کارشناسان امنیت سایبری در گفتوگو با «ایران» بیان کردند
انتشار گزارش هک مانع گسترش حملات سایبری
سوسن صادقی
خبرنگار
چندی پیش هک شدن سازمان صداوسیما و تلوبیون خبرساز شد اما باز مانند دیگر هکهایی که در کشور اتفاق میافتد، هیچ گزارشی مبنی بر اینکه چرا هک اتفاق افتاده، مشکل چه بوده است و... از سوی این سازمان و مراکز امنیت سایبری منتشر نشد تا دیگر سازمانها نیز از راههای نفوذ مطلع شده و دست به اقدامهای عملی پیشگیرانه بزنند. این در حالی است که وب سایت «چک پوینت» که متعلق به رژیم صهیونیستی است، جزئیات این هک را منتشر کرده است. اما چرا در کشور ما هکی که صورت میگیرد گزارش آن منتشر نمیشود؟ انتشار گزارش هک چه پیامدهای مثبتی دارد و اینکه در انتشار گزارشها چه موارد امنیتی نیز باید رعایت شود؟ کارشناسان امنیت سایبری اعتقاد دارند که منتشر نشدن گزارش هک به دلایلی مانند نبود آگاهی، دانش، تجربه کافی و در صورت تهیه گزارش بهدلیل محرمانگی منتشر نمیشوند این در حالی است که با رعایت امنیت لازم در انتشار گزارش میتوان دیگر سازمانها را از نحوه حملات و... آگاه کرد و مانع هکهای مشابه و حملات سایبری گسترده شد.
نبود فرهنگ نشر گزارش هک
کاظم فلاحی، کارشناس امنیت سایبری معتقد است بخشی از منتشر نشدن گزارشهای هک به دلیل نبود فرهنگ آن در کشور است.
فلاحی با بیان اینکه البته به تازگی سازمانها و نهادها در صورتی که سازمان آنها هک شوند، هک را تأیید میکنند و باز این یک گام رو به جلو است، به «ایران» گفت: کارشناسان و مدیران امنیت سایبری سازمانها نمیدانند که انتشار گزارشها و اشتراکگذاری آن با دیگر سازمان و نهادها میتواند به افزایش دانش آنها کمک کند.
وی افزود: وقتی گزارش هک منتشر میشود نشان میدهد که از چه بدافزاری استفاده شده، حملهکننده از کجا و چه کشوری بوده و به چه دادهها و چه آدرسی حمله شده است. بنابراین دیگر سازمانها هم با استفاده از این اطلاعات متوجه عمق خطر میشوند و سریع میتوانند جلوی خطرات احتمالی سازمان خود را بگیرند.
به گفته فلاحی، آمارهای جهانی نیز حکایت از آن دارد که 75 درصد حملات در مدت 24 ساعت اشتراکگذاری میشود به طوری که اگر جلوی حملات از نقطه اول گرفته نشود 75 درصد اتفاقهای مشابه میافتد و به صورت یکسان تکرار میشود. بهعنوان مثال وقتی راهآهن هک شود در 24 ساعت امکان اینکه دیگر حمل و نقلها نیز هک شوند، وجود دارد.
این کارشناس امنیت سایبری در ادامه گفت: هر سازمانی که هک میشود میتواند با استفاده از کارشناسان امنیت سایبری سریع حمله را بررسی کرده و گزارش دهند و نیازی به ورود نهاد دومی و سومی برای ارائه گزارش حملات نیست. اگر خود کارشناسان امنیت سایبری سازمان هم نتوانستند میتوانند با برونسپاری به افراد معتبر گزارش را تهیه و منتشر کنند.
فلاحی افزود: البته در انتشار گزارش نیز نباید صفر تا صد گزارش منتشر شود چون خود انتشار تمام جزئیات خود ناامنی ایجاد میکند. بنابراین انتشار گزارش هم دارای اصولی است و باید اصول امنیتی نیز در نوشتن گزارشها رعایت شود. این گزارش منتشر شده از سوی چک پوینت که در کشور ما فعال نیست چگونه توانسته برای چندمین بار چنین گزارشی آن هم با جزئیات بنویسد؟ به نظر میرسد فردی هرچه مستندات بوده را تحویل این شرکت خارجی داده است.به گفته وی در دنیا پایگاههایی وجود دارد که آنجا اطلاعات را به اشتراک میگذارند تا جلوی حملات بیشتر گرفته شود که البته این کار برای کسانی که کار دفاعی انجام میدهند مثبت است اما باید این را هم در نظر گرفت که مهاجمان هم بیکار نمینشینند و از آن مطالب استفاده میکنند.
به اعتقاد این کارشناس امنیت سایبری، سایتهایی وجود دارند که با بررسی بدافزارها آنها را تحلیل میکنند. به نظر میرسد برخی به جای اینکه خود علت هک را بررسی کنند به این سایتها دادهاند و این نشان از کم دانشی و بیتجربگی فرد بوده است چون بررسی هک از سوی بیگانگان و دشمنان باعث میشود آنها به سازمانهای ما اشراف کامل داشته باشند و راههای نفوذ دیگری را یافته و حمله کنند.
وی در ادامه گفت: درست است که کارشناس نمیتواند جلوی حملات سایبری را بگیرد، چراکه همیشه امنیت صددرصدی نیست و کارشناسان هر کاری کنند باز امکان حملات سایبری وجود دارد اما وقتی هکی از سادهترین راه صورت بگیرد قابل اغماض نخواهد بود از اینرو در دیگر کشورها اگر مشخص شود که کارشناسان امنیت سایبری سازمانی کوتاهی کرده با فرد خاطی بهصورت کاهش حقوق یا اخراج برخورد میکنند و حتی با ارائه مستندات از افرادی که کوتاهی کردهاند، شکایت میکنند.
محرمانگی بیمورد
مرتضی نکویی دیگر کارشناس امنیت سایبری نیز معتقد است اگر گزارشی از سوی سازمانها و نهادها منتشر نمیشود دلیل بر تدوین نکردن گزارش نیست چون اگر گزارشی هم تهیه شود، معمولاً محرمانه بوده و با جزئیات کامل قابل انتشار نیستند.
نکویی به «ایران» گفت: اما باید بعد از وقوع هک گزارشهای جرم شناسی یا گزارشهای ثبت رویدادها و... به هر طریقی انجام شده و در اختیار متخصصان فعال کشور قرار گیرد تا جزئیات کاملی از هکهای داخلی از سوی شرکتهای امنیتی خارجی گزارش نشود.
وی افزود: قبل از اینکه نفوذگر فایلهای مموری دامپ و امثالآن از سوی افراد ناآگاه در واحدهای امنیت اطلاعات سازمانها در سامانههای اینترنتی خارجی منتشر شود، باید خود سازمانها با اعتماد به توانمندیهای داخلی گزارش هکها را منتشر کنند تا شاید دفعات حملات به حداقل برسد.
این کارشناس امنیت سایبری با بیان اینکه حداقل دستاورد ارائه گزارشها میتواند شناسایی روشهای حمله و اقدامهای پیشگیرانه قبل از وقوع حوادث مهلکتر در دیگر زیرساختهای کشور باشد، گفت: هر چند با توجه به فیلترهای متعدد افتایی اکنون بسیاری از شرکتها و نیروهای خبره در این حوزه قادر به دریافت چنین گزارشاتی نیستند و از ظرفیتها و توانمندیهای آنها استفادهای نمیشود. بنابراین ناچار هستند گزارشهای بسیار کاملتری که در VirusTotal و سندباکسهای عمومی اینترنت عرضه میشود، دریافت کنند.
وی با ابراز تعجب از انتشار گزارشی با جزئیات از سوی CheckPoint گفت: معتقدم که هنوز جزئیات بسیار بیشتری نیز وجود دارد که این شرکت خارجی براساس مصلحتهای احتمالی آنها را منتشر نکرده است، چرا که خروجی تحلیل شده از سوی این شرکت گویای جزئیات بیشتری است.
این کارشناس افزود: البته این سؤالها نیز پیش میآید که آیا در تشکیل تیمهای CERT (مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای) در سازمانهای کشور، دستورالعملی در خصوص چگونگی دستهبندی و انتشار گزارشها وجود ندارد؟ آیا نفوذگران تنها به سرویس دهندهها دسترسی داشتند؟ اگر چنین است چگونه فایلها و شواهد جرم شناسی از سرور استخراج شده؟
به گفته وی اگر دسترسی اینترنتی از سوی کارشناسان سازمان داده نشده یا نفوذگر به تجهیزات امنیتی و مسیریابهای موجود کنترل کاملی داشته که به بیرون ارسال شده پس احتمال میرود در بخشهایی بهدلیل ناآگاهی و نبود آموزش مناسب، شواهد و فایلهای مورد نیاز در virustotal و سندباکسها و غیره بارگذاری شدهاند.
نکویی در ادامه گفت: در دنیا گزارشها با جزئیات منتشر میشود، چون همه حکومتها و دولتها و نهادهای جهان به این امر واقف هستند که احتمال وقوع چنین حوادثی برای دیگران هم محتمل است. بنابراین با انتشار چنین جزئیاتی درصدد به چالش کشیدن شرکتهای نرم افزاری و سیستم عاملها و به طور کلی سازندههایی که محصولاتشان مورد نفوذ قرار گرفته است، هستند.
وی افزود: البته در کشورهای دیگر بهدلیل تعاملات نزدیک با تولیدکنندگان نرم افزاری و شرکتهای بزرگ فناوری اطلاعات، قبل از انتشار اخبار و گزارشها، نسبت به شناسایی، مهار و ریشه کن کردن حمله اقدام و بعد از آن گزارشها را منتشر میکنند که این اتفاق در کشور ما نمیافتد.
به اعتقاد این کارشناس، متأسفانه در کشور ما ارائه گزارشها از سوی بخش خصوصی یا حتی نهادهای تصمیم گیرنده امنیت اطلاعات امری نکوهیده محسوب میشود و حتی شرکتهای بخش خصوصی نه تنها دسترسی به شواهد جرم شناسی پیدا نمیکنند که بخواهند نظری در این خصوص بدهند و گزارشهای تحلیلی خود را ارائه دهند، بلکه اگر اینچنین هم بود جرأت انتشار آن را نداشتند.
به گفته نکویی در دنیای امروز فناوری اطلاعات، نمیتوان ادعا کرد که امکان نفوذ به زیرساختهای هیچ کشوری وجود ندارد، همانطور که نفوذ به زیرساختهای کازینوهای امریکا نیز در سال 2013 را شاهد بودیم. پس چه ابرقدرتها و جهان اولیها و چه کشورهای درحال توسعه، هیچ کدام از این قبیل حملات در امان نیستند، ولی روش برخورد و نگرش آنها به این قبیل مسائل متفاوت است.
وی افزود: حملات اخیر متأسفانه بر اساس گزارشهای منتشر شده، شباهتهایی با حملات سایبری در زیرساختهای کشور سوریه و حملات گذشته در کشورمان داشتهاند که جای بسی تأسف است که از این سوراخ چندین و چندبار گزیده شدهایم.
ارسال دیدگاه
- ضمن تشکر از بیان دیدگاه خود به اطلاع شما رسانده می شود که دیدگاه شما پس از تایید نویسنده این مطلب منتشر خواهد شد.
- دیدگاه ها ویرایش نمی شوند.
- از ایمیل شما فقط جهت تشخیص هویت استفاده خواهد شد.
- دیدگاه های تبلیغاتی ، اسپم و مغایر عرف تایید نمی شوند.
ویژه نامه