گفتگو با ناشر درز اطلاعات ۴۲ میلیون کاربر ایرانی تلگرام
اوایل فروردین ماه امسال و در عرض چند روز، سه بار درز اطلاعاتی بزرگ در ایران رخ داد. در هر کدام این موارد، اشتباههای فنی باعث شده بود اطلاعات شخصی میلیونها نفر از شهروندان ایران بدون حفاظت در دسترس عموم قرار بگیرد.
یکی از بزرگترین این موارد روز ۲۱ مارس (یکم فروردینماه) کشف و تقریبا ده روز بعد علنی شد؛ نام کاربری و شماره تلفن ۴۲ میلیون کابر ایرانی تلگرام که از نسخه ثالث پیامرسان تلگرام استفاده میکردند، بدون اینکه رمز عبوری از آنها محافظت کند، در دسترس عموم بود. بعدتر تایید شد که این دادهها دستکم توسط یک هکر در یکی از انجمنهای اینترنتی فروش اطلاعات قرار داده شده بود. این اطلاعات را گروهی به نام «سامانه شکار» برروی یک سرور قرار داده بود.
بعد از این گزارش، گمانهزنیهای بسیاری درباره منبعی که این اطلاعات را در اختیار داشته و آن را پخش کرده، مطرح شد. از جمله اینکه، اطلاعات را یکی از سازمانهای دولتی یا امنیتی در ایران در اختیار داشته است. سازمان فناوری اطلاعات ایران درز اطلاعات را تایید کرد و گفت که پیشتر درباره نسخههای کپی تلگرام هشدار داده است. اما درباره چیستی «سامانه شکار» و جزییات مربوط به این درز اطلاعاتی واکنشی نداشت.
باب دیاچنکو، مدیر بخش تحقیقات امنیت سایبری در Comparitech این موضوع را کشف کرده و آن را گزارش داده بود. او بعد از آرام شدن واکنشها، در گفتوگوی اختصاصی با یورونیوز درباره درز اطلاعاتی و دادههایی که به آنها دست پیدا کرده، توضیح داد. او در این گفتوگو صرفا به دادههایی اشاره میکند که از نظر فنی معتبر هستند.
در بخش پایانی گفتوگو با او درباره اتفاقات آنلاین در جهان مبتلا به کرونا گپ زدهایم. آیا افزایش تعداد حملات سایبری که پیشتر رییس کمیسیون اروپا دربارهاش هشدار داده بود، نگرانکننده است؟
این گفتوگو پیش روی شماست:
- درباره اینکه دادهها شامل چه اطلاعاتی بوده، گزارشهایی منتشر شده اما درباره روش جمعآوری آنها کمتر کسی میداند. میتوانید بگویید این دادهها را چطور و کجا پیدا کردید؟
یکی از کارهای همیشگی من کندوکاو محیطهای عمومی اینترنت و بررسی دادههایی است که روی این فضاهای عمومی در اینترنت قرار داده میشوند.
من هکر نیستم. کار من زیر نظر گرفتن جریان دادههایی است که دیتابیسهای باز و بدون حفاظت منتشر میشوند. منظورم از این دیتابیسها جاهایی مثل نتایج موتورجستوجوست. گاهی در بررسیهایم و هنگام جستوجو در اینترنت به دادههایی برمیخورم که نیاز به حفاظت دارند.
دادههای اخیر را روز ۲۱ ماه مارس (یکم فروردینماه) وقتی در موتور جستوجوی «باینریاج» BinaryEdge مشغول کار بودم، پیدا کردم. در آن زمان روی یک پروژه درباره «دادههای متنباز» کار میکردم. این اطلاعات در یک فضای قابلجستوجو قرار گرفته بودند و برای دسترسی به دادههای آنها هیچ رمز عبوری قرار داده نشده بود.
- درباره صاحب این دادهها و منبع انتشارشان چه اطلاع دیگری دارید؟ درباره منبع این دادهها مطالب متفاوتی منتشر شده است. شما دراینباره به چه اطلاعاتی برخوردید.
پروژههای من به این ترتیب جلو میروند: در حین جستوجو در فضاهای عمومی اینترنت وقتی به دادههای عمومی یا هر داده دیگری که بدون هیچ محدودیتی به طور کامل در دسترس عموم است، برمیخورم، آنها را برای آنالیزهای بیشتر در آینده جمعآوری میکنم.
اگر در میان این دادهها هر نوع داده خصوصی یا حساسی وجود داشته باشد، من طبق یک سیستم افشای اطلاعات مسوولیتپذیر با صاحب داده (شرکت یا سازمانی که اطلاعات را به صورت عمومی در دسترس قرار داده) تماس میگیرم. جریان را به آنها اطلاع میدهم. دراین تماس، کمکشان میکنم تا برای محافظت از دادههای خصوصیشان اقدامات امنیتی خاصی را انجام بدهند.
من در روز ۲۴ مارس بعد از اینکه مطمین شدم دادههای حساسی وجود دارند، با تامینکننده خدمات هاستینگ یعنی جایی که اطلاعات روی آن قرار داشت، تماس گرفتم و گزارش را فرستادم. این اطلاعات در نهایت ۲۵ مارس از روی هاست برداشته شد. اما هاست همچنان فعالیت میکرد. در روز ۳۱ مارس بعد از مکالمه با مرکز ماهر، این سرور به طور کامل خاموش شد.
- چه اطلاعاتی درباره صاحب این داده داریم؟
روشن نیست که چه کسی دادهها را در اختیار دارد. چون دادهها برروی یک سرور ابری ناشناس قرار داده شده بود. فقط میتوانم تایید کنم که این دادهها را گروهی به نام Hunting System (سامانه شکار) پست کرده بود. این سرور در روز ۳۱ مارس و بعد از صحبتّهایی که در توییتر با سامانه «مرکز ماهر»داشتم خاموش شد. تا قبل از آن یعنی از ۲۵ تا ۳۱ مارس، سرور روشن بود اما بانک داده از روی آن برداشته شده بود.
- گفتید که اطلاعات را در هنگام جستوجو در اینترنت پیدا کردهاید. فضایی که در آن دادههای تلگرام را پیدا کردهاید، چقدر برای مردم عادی قابلدسترس است؟
این دادهها در فضای عمومی اینترنت و برای همه در دسترس هستند. این دادهها در یک فضای قانونی قرار داده شدهاند نه مثلا در جایی که به عنوان دارکنت (نت تاریک) معروف شده و برای دسترسی به آن از ابزارهای خاصی باید استفاده کرد.
دسترسی به این دادهها دانش فنی خاصی نمیخواهد و برای هرکسی با مرورگرهای عادی امکان پذیر است. موتور جستوجویی که من در آن اطلاعات تلگرام را پیدا کردم، چیزی شبیه گوگل است، منتهی با تمرکز روی «اینترنت اشیاء» یا IoT .
- یعنی هرکسی با یک مرورگر معمولی و بدون دانش فنی میتوانسته به این اطلاعات دست پیدا کند؟
پروژههای من عمدتا روی مسایلی مثل نقص اطلاعات، درز داده یا آسیبپذیری در اینترنت متمرکز هستند. برای بررسی این اطلاعات باید در محیط های عمومی اینترنتی مثل فیدهای موتورهای جستوجوی عمومی استفاده کنم. موتورهایی مثل Shodan, Censys, BinaryEdge یا چیزهایی شبیه این.
دادههایی که در این موتورهای جستوجو قرار داشته باشند، در دسترس عموم مردم قرار دارند نه در فضای پنهان وب. دسترسی به آنها پیچیده نیست.
- تقریبا همزمان با درز این دادهها، خبر مشابه دیگری هم که مربوط به دادههای یک شرکت در ایران بود، پخش شد. به نظرتان این همزمانی دلیل خاصی داشت یا این دو مورد، شباهتی به هم داشتند؟
فکر نمیکنم این درز اطلاعاتی که ناشی از پیکربندی غلط بودند، به هم ارتباطی داشتند یا از روی قصد و غرض بوده باشد. به نظرم مشکل فقط ناشی از یک جور ایراد در تنظیمات است.
در تمام این موارد که گفتم، رعایت نکردن قواعد پیکربندی باعث شده چنین مشکلی پیش بیاید و ما در اصطلاح فنی به آن «پیکربندی غلط داده» میگوییم. به زبان سادهتر در تمام این موارد دادهها بدون هیچ رمز عبوری در یک فضای عمومی قرار دارند.
- این که اطلاعات مهم و حساس بدون پسورد در فضاهای عمومی قرار داشته باشند، چقدر در دنیا معمول است؟
قراردادن دادههای حساس در یک دیتابیس در تمام دنیا یک اتفاق معمول است. اما نکته اینجاست که باید ازاین داده با دستکم رمز عبور حفاظت کرد و مطمئن شد که این اطلاعات در دامنههای عمومی در دسترس نیستند.
متاسفانه این اشتباه در تمام دنیا زیاد از حد رخ میدهد و مربوط به یک جغرافیای خاص هم نیست. اینکه خیلیها یادشان میرود از اطلاعاتشان محافظت کنند.
حدود یک سال قبل هم یک درز داده بزرگ مربوط به ایران را پیدا کردم و گزارش دادم. در آن زمان اطلاعات مربوط به یک تاکسی اینترنتی در ایران بود که در شرایط حفاظتنشدهای قرار داشت. آنجا هم دادهها پسورد نداشتند.
- بیایید کمی از ایران فاصله بگیریم و به جهان مبتلا به ویروس کرونا برسیم. این روزها تعداد زیادی حملات سایبری گزارش شده است. «اورزلا فن درلاین»، رییس کمیسیون اروپا چند روز پیش درباره گسترش جرایم سایبری بعد از شیوع ویروس کرونا هشدار داده بود. به نظرتان این حملات چرا بیشتر شدهاند.
به نظرم آنها فقط میخواهند ولعشان را بخوابانند و از هیجان زیاد مردم به خاطر اتفاقات بد این روزها سواستفاده میکنند. یکجورهایی بازی کردن با ترس مردم.
- این افزایش جرایم سایبری به ما چه میگویند؟ آیا تعداد هکرها رشد کرده یا مشکل جدیدی اضافه شده؟
به نظرم تعداد حملهها در تابع نمایی رشد نداشته است. هکرها قبلا هم وجود داشتند. اما اینبار هدفشان را عوض کردهاند و از شرایط روز سواستفاده میکنند.
- کرونا جهان را تغییر داده است. میگویند این تغییرات ادامهدار است و حتی ممکن است سبک زندگیها را تغییر بدهد. در مورد جهان سایبری اوضاع چطور است؟
همه صنایع و کارها به خاطر ویروس کرونا تغییر خواهند کرد و امنیت سایبری هم استثنا نیست. اما فکر نمیکنم تغییری که در این حوزه رخ خواهد داد، به اندازه دگرگونی در بقیه زمینهها ناراحتکننده و دراماتیک باشد. امنیت همیشه برای هر سازمان و متخصص صنعت یک الویت است و درخواست برایش وجود ددارد. البته که در شرایط فاجعهبار بزرگ فعالیت و بودجه کمتری وجود خواهدداشت.