«قدرتنمایی مشکوک» کفتار سایبری در ایران
علی شمیرانی - «کفتار سایبری» نامی است که رسانهها به عامل یا عاملان حملات سایبری هفته گذشته به سایت تعدادی از کسبوکارهای اینترنتی در ایران دادهاند.
هفته قبل اما هفته مانور و قدرتنمایی کفتار سایبری در ایران بود که از جهات مختلفی کمنظیر بوده و باعث نمایش ضعفها، ابهامات و بلاتکلیفیهای مهمی در فضای سایبری کشور شد که در اشکال متعددی نیازمند تحلیل و بررسی است، اما اکنون و در متن حاضر به گوشههایی از این موارد پرداخته میشود.
1. حمله از داخل به داخل
نوع حمله کفتار سایبری نه جدید بود، نه پیچیده. حملات DDoS یا Distributed Denial of Service، یکی از رایجترین و قدیمیترین نوع از حملات هکری در دنیا محسوب میشود. در این نوع حمله، حجم زیادی تقاضای کاذب به سمت سرور هدف یا قربانی صادر میشود که در نهایت باعث کندی و حتی از کار افتادن سرور میشود.
این حملات عموما از سمت خارج از کشور انجام میشود و به گفته مسوولان سازمان فناوری اطلاعات و شرکت ارتباطات زیرساخت، این حملات از 60 تا 90 درصد شناسایی و مهار میشود. این در حالی است که **تا پیش از این تصور بر این بود که این نوع از حملات در صورت اجرا از داخل کشور، قابل شناسایی بوده و به همین دلیل مهاجمان اصولا چنین حملاتی، آنهم در حد اقدام کفتار سایبری را رقم نخواهند زد؛ تصوری که ظاهرا باید در آن تجدید نظر کرد.**
پس نکته و ابهام نخست این است که کفتار سایبری از داخل کشور به کشور در حال حمله است که پاسخ اولیه به چرایی و چگونگی وقوع این حمله به مخفی شدن عامل یا عاملان حملات، پشت میلیونها گوشی تلفن همراه آلوده ایرانیان است.
2. فرمانده ارتش زامبیهای سایبری
حملات اخیر نشان داد که بخش کوچکی از آثار ماهها بمباران و تشویق ایرانیها به نصب انواع فیلترشکنها، نسخههای تقلبی تلگرام و انبوهی از اپلیکیشنهای نامعتبر، اکنون در حال پیدایش است و کار مهار این معضل از هشدار گذشته و حالا به علت کندی نهادهای مسوول در اطلاعرسانی و بیاعتمادی کاربران به برخی از این هشدارها، باید دستبسته نشست و منتظر ادامه عملیاتهایی بود که از طریق زامبیهای ایرانی انجام میشود.
**در این میان فرضیهای نیز وجود دارد که در پس تشویق به نصب برخی از این اپهای مسالهدار، نوعی عمد و کنترل وجود داشته، اما نکته نگرانکننده و ابهام این است که حالا از این ارتش زامبیهای سایبری چه کسی، چگونه و برای چه اهدافی اعم از سیاسی، تجاری یا امنیتی استفاده خواهد کرد؟**
3. بهرهبرداری تبلیغاتی از کفتار سایبری
فرضیه دیگر در خصوص تحرکات مشکوک کفتار سایبری در ایران به احتمال بهرهبرداریهای تبلیغاتی باز میگردد؛ به این مفهوم که به قربانیان برای مصون ماندن از تداوم حملات یا بیاثر گذاشتن آنها، آدرسهای مشخصی داده میشود که برای مثال باید روی فلان و بهمان سرور بروند و گویی سرور مذکور در حکم نوعی لیست سفید است که هر کس روی آن باشد یا از حملات مصون میماند یا حملات به آنها کارگر نیست.
همانطور که گفته شد، این یک فرضیه است که به همان اندازه که میتواند غلط باشد، قابل رد کردن نیز نیست.
4. اهداف انتخابشده
موضوع و فرضیه دیگر، نحوه انتخاب قربانیان کفتار سایبری بود. هر حملهای به یک عامل حملهکننده، انگیزه حمله و یک سوژه حملهشونده نیاز دارد. آنطور که پیدا است، ظاهرا کفتار سایبری به چند کسبوکار اینترنتی مشخص حمله کرده است و عامل حمله با نام مستعار Master در جریان چت تلگرامی با یکی از قربانیان (روزنامه فناوران) گفته «آیا میدانید این کسبوکارها چه میکنند و از چه منبعی سرمایهگذاری کرده و چگونه پول در میآورند که از آنها دفاع میکنید؟»
اگرچه کفتار سایبری ظاهرا از کسبوکارهای مورد حمله تقاضای بیتکوین داشته که قاعدتا موفق به اخاذی نشده است. اما **سوال اینجا است که چرا عامل حمله سراغ موضوعات جذابتری نرفته است. برای مثال، چرا به سایتهای عرضه اینترنتی گوشت حمله نکرده یا به سایتهای دو شرکت خودروساز یعنی ایرانخودرو یا سایپا که در حال پیشفروش اینترنتی هستند نرفته است؟**
به هر حال توقف کار سایتهای محدود عرضه گوشت یا سایتهای پرکاربرد و مورد نیاز مردم میتواند چالشهای مهمتری را ایجاد کند؛ اتفاقی که البته تا کنون رخ نداده و برای کفتار سایبری جذابیتی نداشته است.
5. خلأ واکنش سریع
به عنوان کسی که در جریان حمله به روزنامه فناوران در جریان جزئیات کار از اعلام دقیق زمان حمله گرفته تا پایان آن قرار داشتم، نکته دیگری نیز جلب توجه کرد. تماس با مرکز ماهر و پلیس فتا، به واکنش سریع و خاصی منجر نشده و مرکز ماهر ظاهرا اعلام کرده بود که «اقداماتی را در دست انجام» دارند و پلیس فتا هم اعلام کرده بود که با در اختیار داشتن شکواییه و جزئیات مکتوب حمله، مراجعه شود تا اقدامات لازم به عمل آید.
فارغ از اینکه به شکل لحظهای و زنده امکانی برای واکنش و تدابیر جبرانی وجود ندارد، اصولا قربانیان نمیدانند باید شکایت خود را برای چه و به کدام نهاد مسوول امنیت سایبری منتقل کنند. برای مثال، در جریان حملات اخیر معلوم نیست در مجموع چه تعداد سایت مورد حمله قرار گرفتهاند و نهادهای مسوول مشخصا «چه اقدامات» و هماهنگیهایی برای شناسایی و توقف عامل یا عوامل حملات به عمل آوردهاند.
6. مساله مهمی به نام نبود امنیت داخلی
برای تشریح ششمین مورد از ابهامات و فرضیههای پشت قدرتنمایی کفتار سایبری، اما بگذارید نقل قول مستقیمی از یک عضو هیاتمدیره شرکت ارتباطات زیرساخت در گفتوگو با روزنامه فناوران اطلاعات داشته باشم:
«سجاد بنابی، عضو هیاتمدیره شرکت زیرساخت در پاسخ به فناوران درباره اینکه آیا سرویس DDoS Protection روی اینترنت ایران فعال است، توضیح داد: بله براساس قانون روی Gateway اینترنت بینالملل این سرویس وجود دارد. علاوه بر این، لینکهایی وجود دارد که از حفاظت بهتری برخوردارند و در هنگام حمله اخیر نیز با جابهجایی لینکها، جلوی حملات DDoS از خارج از کشور را گرفتیم.
وی با بیان اینکه در حملات اخیر تنها 24 ساعت حمله از خارج از کشور صورت گرفته و بقیه منشا داخلی دارد، گفت: **زیرساخت آمادگی دارد که روی شبکه ملی اطلاعات نیز سرویس DDoS Protection را راهاندازی کند.** این موضوع در داخل کشور عملا یک کسبوکار است و برخیFCPها هم همین الان اینترنت Protected با تعرفه گرانتر از اینترنت معمولی ارایه میدهند. **زیرساخت برای اینکه با بخش خصوصی رقابت نکند، وارد حوزه Protection داخلی نشده است.**
بنابی ادامه داد: **اگر حاکمیت تشخیص دهد بخش خصوصی توان فعالیت در حوزه DDoS Protection را ندارد، شرکت زیرساخت آمادگی سرمایهگذاری در این حوزه را دارد. ولی تا امروز حاکمیت چنین نظری نداشته و ما هم تا امروز ابا داشتیم این پیشنهاد را بدهیم؛ زیرا DDoS Protection تجارت سودآوری است.**
اما بگذارید این اظهارات را اندکی واکاوی و کدگشایی کنیم:
1. به گفته این مقام مسوول در شرکت ارتباطات زیرساخت، ما روی لایه اینترنت از Protection برخورداریم، اما روی لایه اینترانت (شبکه ملی اطلاعات) چنین امنیتی وجود ندارد. به عبارت دیگر حمله اگر از خارج باشد قابل دفع و مهار است اما اگر از داخل باشد، ما تنها نظارهگر حمله خواهیم بود و فعلا مسوولیتی نداریم!
2. یکی از فلسفههای ایجاد شبکه ملی اطلاعات اصولا افزایش حداکثری امنیت بوده است، نه لزوما امکان قطع اینترنت در مواقع مورد نیاز!
3. معادلسازی فیزیکی اظهارات این مقام زیرساخت از این قرار است: ما در مرزهای کشور امکانات و نیروهای مرزی را مستقر کرده و از ورود تهدیدها جلوگیری میکنیم، اما در داخل کشور (درون مرزهای سایبری یا شبکه ملی اطلاعات) نیروی پلیس و امکانات مستقر نکردهایم؛ چون این کار میتواند برای بخش خصوصی پولساز باشد و برخی میتوانند خدمات کارآگاه و محافظ خصوصی به متقاضیان ارایه دهند و کسبوکار ایجاد کنند.
4. به عبارت دیگر در شرایط فعلی که در آن هستیم، هر کس توان مالی و فنی بالاتری دارد میتواند از حملات داخلی در امان بماند و سایرین هم ...
5. به موجب این حمله و بنا بر اظهارات این مقام شرکت زیرساخت، اگر حاکمیت تشخیص دهد بخش خصوصی توان فعالیت در حوزه DDoS Protection را ندارد، شرکت زیرساخت آمادگی سرمایهگذاری در این حوزه را دارد.
اینجا منظور از حاکمیت یعنی کدام نهاد؟ شاخص تعیین ناتوانی بخش خصوصی در تامین امنیت چیست؟ هزینه تامین امنیت عمومی در فضای سایبری داخل کشور چه میزان است؟ این امنیت از طریق چه روشی (مناقصه یا ...) قابل تامین است؟ زمان لازم برای تامین این امنیت چقدر است؟ هزینه واگذاری تامین امنیت سایبری به بخش خصوصی و تامین امنیت از سوی دولت، چه میزان متفاوت است؟ و پرسشهای دیگری از این دست که در زمان مقتضی به آن خواهیم پرداخت.
6.آیا وضع موجود مقدمه و بهانهای برای واگذاری اجرای پروژه حفاظت از شبکه ملی اطلاعات به شرکت زیرساخت است؟ یا صرفا افزایش حساسیت و آگاهی کشور به وجود ضعفهای امنیتی در این شبکه و لزوم ترمیم و اصلاح آن؟
7. نکته پایانی اینکه در همین زمینه یک کارشناس حوزه سایبری میگوید: «در خصوص اظهارات این مقام مسوول، فقط این سوال در ذهنم میماند که وقتی صحبت از شبکه داخلی میشود، کنترل کامل این شبکه در اختیار گردانندگان آن است و قرار هم هست که خدمات ملی و درگاههای خدمات روی همین زیرساخت قرار داشته باشد، لذا قطعا آقایان باید دیداس پروتکشن داشته باشند. حالا کلمه «موقعیت تجاری» و «بخش خصوصی» کجای این معادله میگنجند؟
شترسواری دولا دولا نمیشود، وقتی حاکمیت بستر شبکه ملی اطلاعات راه میاندازد، باید لوازم آن را هم تامین کند، همین!»
**در مورد حملات کفتار سایبری البته گفتنیها، ابهامات و فرضیههای دیگری نیز وجود دارد که فعلا منتظر اقدامات و تدابیر نهادهای مسوول مانده و مدتی بعد مجددا به آن خواهیم پرداخت.** (منبع:عصرارتباط)