اسپوتنیک - در ميان پخش آنونس برنامه ها به مدت ده ثانيه، تصاويري از سران منافقين و صوت يکي از سخنراني هاي آنها روي آنتن شبکه اول تلویزیون ایران ديده و شنیده شد.
مسئولان فني سازمان صدا و سيما مي گويند احتمالا سرور، مورد حمله هکري قرار گرفته است. بر اساس اين گزارش، اتفاقاتي شبيه به اين در شبکه قرآن، راديو پيام و جوان هم رخ داده است.
سجاد عابدی کارشناس امنیتی و رئیس مرکز مطالعات امنیت سایبری ایران در گفتگو با خبرنگار اسپوتنیک به بررسی این موضوع پرداخت.
در خصوص جزئیات حمله هکرها به تلویزیون ایران، این موضوع در حال بررسی است تا میزان خسارت و اینکه چگونه این اتفاق رخ داده است، مشخص شود. این موضوع که چه کسانی پشت این حملات بودند، قطع به یقین، نمی توانیم آمریکا و اسرائیل را در این خصوص مورد حجمه قرار بدهیم، به این دلیل که نوع حملات سایبری آمریکا و اسرائیل، ساختار آن و به طور کلی نوع متدهای آن مشخص است. آمریکا و اسرائیل هنگامی که حملات سایبری انجام می دهند، کدهای مشخصی دارند و از طرفی این کشورها حمله سایبری در کشور ثالثی را انجام نمی دهند که تصاویر گروهکی را که آن کشور با آن مشکل داشته را به تصویر بکشند.
این می تواند گزینه عامل انسانی در این موضوع را پر رنگ تر کند و می خواهد این موضوع را القا کند که مثلا سازمان منافقین در ایران فعال هستند و نفراتی را دارند که تا سازمان صدا و سیما هم نفوذ کرده اند.
سرورهای صدا و سیما ایزوله هستند و هدف قراردادن سازمان صدا و سیما دو پیامد داشت، پیامد اول با توجه به تصاویر و صوتی که پخش شد، حاکی از این بود که می خواستند اینگونه القا کنند که ما در ایران نفوذ داریم و به خیال خودشان، ما در ایران فعال هستیم.
نکته دوم که مهمتر می باشد، اینست که این حمله اینگونه نشان داد که به هر حال زیر ساخت های سایبری ما بشدت ضعیف است و به راحتی می توانند به شبکه ملی ما دسترسی پیدا کنند. این موضوع نمی تواند بدون عوامل انسانی رخ داده باشد ولی نکته ای که حائز اهمیت است که جامعه جهانی این موضوع ضعف در زیرساخت های سایبری را مورد حجمه و بحث بررسی قرار خواهند داد. اینکه ما خودمان اذعان داشته باشیم که زیرساخت های ما بشدت قوی بوده و اگر این اتفاق قرار بوده رخ دهد، به طور تخصصی اگر اشاره شود، فرد و یا گروهی که این اقدام را صورت داده، باید دکلی بزرگتر از دکل صدا و سیما در اختیار داشته باشد تا بتواند موج خود را بر موج تصاویر صدا سیما القاء کند، به همین دلیل بروز این حادثه را توسط عوامل انسانی می دانیم.
ولی موضوع اصلی که در حال حاضر در دست بررسی است، ما از مهر ماه سال گذشته تا به امروز حملات سایبری سنگینی را پشت سر گذاشتیم. این مسئله باید چراغ خطرها و چراغ قرمزها را باید روشن کند و حقیقتاً یک نیاز اساسی است که زیرساخت های سایبری کشور ما باید مورد بررسی قرار بگیرد و سازمان های مربوط با برگزاری جلسات مشترک، یک تصمیم درست در خصوص زیرساخت های سایبری جمهوری اسلامی ایران اتخاذ شود.
عابدی در ادامه توضیحاتی در خصوص حملات سایبری و پیشگیری از این حملات به نکاتی اشاره کرد.
*شبکههای کامپیوتری که در بستر اینترنت توسعه یافتهاند، بیش از سایر شبکهها در معرض حملات سایبری هستند.*
برای جلوگیری از حملات احتمالی، در اکثر شبکهها از ابزارهای زیر استفاده میشود :
- Firerwalls/دیواره آتش
- Intrusion Detection Systems/IDS
سامانه های شناسایی نفوذ
- Intrusion Prevention Systems/IPS
سامانههای مقابله با نفوذ
- Antivirus /آنتی ویروسها اما استفاده از این ابزارها به تنهایی امکان شناسایی، جلوگیری و دفاع از حملات سایبری را به طور صد در صد تضمین نمیکند.
*ایمن سازی شبکه های کامپیوتری به طور کامل، نیازمند رصد لحظهای ومداوم عناصر مختلف شبکه و دادههای مبادله شده میباشد.*
برای این منظور در هر شبکه رایانهای بایستی مجموعهای بنام *"مرکز عملیات امنیتی" یا SOC* راه اندازی شود.
در حالت کلی SOC به عنوان یک سایت متمرکز مانیتورینگ و مدیریت امنیت شبکه، خدمات زیر را ارائه میکند:- ارزیابی ریسک و آسیب پذیری
- مدیریت رخداد و حوادث
- مانیتورینگ منطبق بر سیاستهای امنیتی سازمان و استانداردها
- مدیریت پیکربندی و تنظیمات
- ارزیابی آسیبها و بحثهای قانونی
- پاسخگویی به حوادث
- تضمین تداوم کسب و کار *در قلب این مرکز، ابزاری وجود دارد بنام SIEM که انجام وظایف بالا را امکان پذیر میکند.* *با توجه به ویژگی ایران، سامانه SIEM حتما بایستی به صورت بومی تولید و عرصه گردد تا ضریب امنیت به بالاترین سطح ارتقاء یابد.*در ایران تاکنون سامانه SIEM توسط ۵ شرکت مستقل از هم تولید شده است.
یکی از این SIEMها توسط هلدینگ صنایع نوین شستا (مرکب از رایتل و چند شرکت بزرگ) تولید شده است. *جالب است بدانید هر ۵ SIEM تولید داخل به رغم تایید آن توسط افتای (امنیت فضای تبادل) وزارت اط، بوسیله سازمان پدافند غیرعامل و شخص سردار جلالی رد و بایکوت شده است. این دعوا قصه درازی دارد و مسلما عوامل دیگری هم در آن دخیل هستند که در اینجا نمیتوان به آنها پرداخت.*البته، جهالت مرکب این سردار، نقش بسیار مهمی در این دعوا و هدررفت منابع کشور و کاهش ضریب امنیت رایانهای دارد.بر این اساس سازمانهایی با شبکههای کامپیوتری گسترده در کشور، یا اصولا فاقد SOC هستند و یا SOC نیم بندی با یک SIEM خارجی ایجاد کردهاند.
برای جلوگیری از حملات احتمالی، در اکثر شبکهها از ابزارهای زیر استفاده میشود :
- Firerwalls/دیواره آتش
- Intrusion Detection Systems/IDS
سامانه های شناسایی نفوذ
- Intrusion Prevention Systems/IPS
سامانههای مقابله با نفوذ
- Antivirus /آنتی ویروسها اما استفاده از این ابزارها به تنهایی امکان شناسایی، جلوگیری و دفاع از حملات سایبری را به طور صد در صد تضمین نمیکند.
*ایمن سازی شبکه های کامپیوتری به طور کامل، نیازمند رصد لحظهای ومداوم عناصر مختلف شبکه و دادههای مبادله شده میباشد.*
برای این منظور در هر شبکه رایانهای بایستی مجموعهای بنام *"مرکز عملیات امنیتی" یا SOC* راه اندازی شود.
در حالت کلی SOC به عنوان یک سایت متمرکز مانیتورینگ و مدیریت امنیت شبکه، خدمات زیر را ارائه میکند:- ارزیابی ریسک و آسیب پذیری
- مدیریت رخداد و حوادث
- مانیتورینگ منطبق بر سیاستهای امنیتی سازمان و استانداردها
- مدیریت پیکربندی و تنظیمات
- ارزیابی آسیبها و بحثهای قانونی
- پاسخگویی به حوادث
- تضمین تداوم کسب و کار *در قلب این مرکز، ابزاری وجود دارد بنام SIEM که انجام وظایف بالا را امکان پذیر میکند.* *با توجه به ویژگی ایران، سامانه SIEM حتما بایستی به صورت بومی تولید و عرصه گردد تا ضریب امنیت به بالاترین سطح ارتقاء یابد.*در ایران تاکنون سامانه SIEM توسط ۵ شرکت مستقل از هم تولید شده است.
یکی از این SIEMها توسط هلدینگ صنایع نوین شستا (مرکب از رایتل و چند شرکت بزرگ) تولید شده است. *جالب است بدانید هر ۵ SIEM تولید داخل به رغم تایید آن توسط افتای (امنیت فضای تبادل) وزارت اط، بوسیله سازمان پدافند غیرعامل و شخص سردار جلالی رد و بایکوت شده است. این دعوا قصه درازی دارد و مسلما عوامل دیگری هم در آن دخیل هستند که در اینجا نمیتوان به آنها پرداخت.*البته، جهالت مرکب این سردار، نقش بسیار مهمی در این دعوا و هدررفت منابع کشور و کاهش ضریب امنیت رایانهای دارد.بر این اساس سازمانهایی با شبکههای کامپیوتری گسترده در کشور، یا اصولا فاقد SOC هستند و یا SOC نیم بندی با یک SIEM خارجی ایجاد کردهاند.
با عنایت به مقدمه مذکور و وضعیت نابسامان SOC، شبکههای کامپیوتری ایرانی در مقابل حملات سایبری بسیار آسیب پذیر هستند.همچنین یکی دیگر از دلایل تضعیف امنیت شبکههای کامپیوتری کشور، مهاجرت بخش عمده نیروهای نخبه این صنعت است. برای مزید اطلاع دوستان بزرگوار عرض می کنم؛در کشورهای توسعه یافته اروپایی و آمریکا و شرق دور یکی از بالاترین دست مزدها متعلق به متخصصین امنیت رایانهای است. در برخی کشورها این عدد خالص حدود 450،000 دلار در سال هم میرسد.با توجه به آنچه گفته شد نفوذ به شبکه رايانهای آن مجموعه از طریق نفوذ غیر مستقیم( شبکه واسط /Zambi) حمله کنندگان از خارج کشور صورت گرفته است. از این رو پیدا کردن رد دقیق آن، غیر ممکن است.به صورت ساده؛
- بات نت در دنیای سایبری مجموعهای از تجهیزات رایانهای است که حمله کنندگان دسترسی غیرمجاز به آنها پیدا کردهاند و برای انجام حملات سایبری مختلف مورد استفاده قرار میدهند. به هر کدام از دستگاههای درون بات نت، یک زامبی (Zombie) یا بات گفته میشود. اصطلاح “botnet” از کلمات “ربات (bot)” و “شبکه(network)” تشکیل شده است. ربات ها به عنوان ابزاری برای خودکار سازی حملات گسترده مانند سرقت اطلاعات، آسیب زدن به سرورها و پخش کردن بدافزارها به کار میروند. نکته حائز اهمیت این است که بات نتها از دستگاههای ربود شده (Hijacked) بدون اینکه اجازهای از صاحب آن بگیرند، سواستفاده میکنند.اگر چنانچه بحث SOC و SIEM تولید داخل جدی گرفته نشود، حملات مشابه و حتی بسیار خطرناکتر از آن اکثر شبکههای رایانهای کشور را تهدید میکند.
حملات سایبری ممکن است با اهداف گوناگونی صورت بگیرد، اما بطور کلی عمده ترین اهداف این حملهها عبارتند از:
- دسترسی به اطلاعات و ردیابی آنها
- سرقت دادهها
- ایجاد اختلال در سرویسهای ارائه شده توسط سیستمهای کامپیوتری
- تغییر تنظیمات شبکه به دلخواه حمله کننده
- تخریب دادها و سامانههای نرم افزاری
- تخریب تجهیزات سخت افزاری
- به کار گرفتن تجهیزات رایانهای هدف به عنوان سپر2. حمله به شبکههای رایانهای صدا وسیما، قبلآ هم اتفاق افتاده است، اما تنها تعداد کمی از آنها در معرض و مرآی مردم بوده و عموم از آن مطلع شده اند.
معمولاً بعد از حمله به یک شبکه کامپیوتری، ادمین و کارشناسان تلاش میکنند، حفره امنیتی مورد استفاده حمله کننده را کشف و اقدامات ترمیمی و مقابلهای را انجام دهند. از اینرو معمولا حمله کننده در حملات بعدی به دنبال رخنه از حفرهها و ضعفهای دیگری در شبکه میباشد.
کارشناسان به محض اینکه متوجه حمله از نوع اختلال در سرویسها بشوند نسبت به قطع شبکه و مقابله و... اقدام میکنند، از اینرو این گونه حملات در مدت بسیار کوتاه انجام میشود. اما چنانچه حملات از نوع سرقت داده و یا ردیابی آنها باشد، حمله کننده بهگونهای عمل میکند که متخصصان طرف مقابل، متوجه آن نشوند و شاید روزها و هفتهها و... امتداد داشته باشد.
- سرقت دادهها
- ایجاد اختلال در سرویسهای ارائه شده توسط سیستمهای کامپیوتری
- تغییر تنظیمات شبکه به دلخواه حمله کننده
- تخریب دادها و سامانههای نرم افزاری
- تخریب تجهیزات سخت افزاری
- به کار گرفتن تجهیزات رایانهای هدف به عنوان سپر2. حمله به شبکههای رایانهای صدا وسیما، قبلآ هم اتفاق افتاده است، اما تنها تعداد کمی از آنها در معرض و مرآی مردم بوده و عموم از آن مطلع شده اند.
معمولاً بعد از حمله به یک شبکه کامپیوتری، ادمین و کارشناسان تلاش میکنند، حفره امنیتی مورد استفاده حمله کننده را کشف و اقدامات ترمیمی و مقابلهای را انجام دهند. از اینرو معمولا حمله کننده در حملات بعدی به دنبال رخنه از حفرهها و ضعفهای دیگری در شبکه میباشد.
کارشناسان به محض اینکه متوجه حمله از نوع اختلال در سرویسها بشوند نسبت به قطع شبکه و مقابله و... اقدام میکنند، از اینرو این گونه حملات در مدت بسیار کوتاه انجام میشود. اما چنانچه حملات از نوع سرقت داده و یا ردیابی آنها باشد، حمله کننده بهگونهای عمل میکند که متخصصان طرف مقابل، متوجه آن نشوند و شاید روزها و هفتهها و... امتداد داشته باشد.