گزارش و تحلیل

بررسی حمله سایبری به تلویزیون ملی ایران

روز پنج شنبه، شبکه اول تلویزیون ایران مورد حمله سایبری قرار گرفت و حدود ده ثانیه تصاویری را پخش کردند.
Sputnik
اسپوتنیک - در ميان پخش آنونس برنامه ها به مدت ده ثانيه، تصاويري از سران منافقين و صوت يکي از سخنراني هاي آنها روي آنتن شبکه اول تلویزیون ایران ديده و شنیده شد.
مسئولان فني سازمان صدا و سيما مي گويند احتمالا سرور، مورد حمله هکري قرار گرفته است. بر اساس اين گزارش، اتفاقاتي شبيه به اين در شبکه قرآن، راديو پيام و جوان هم رخ داده است.
سجاد عابدی کارشناس امنیتی و رئیس مرکز مطالعات امنیت سایبری ایران در گفتگو با خبرنگار اسپوتنیک به بررسی این موضوع پرداخت.
در خصوص جزئیات حمله هکرها به تلویزیون ایران، این موضوع در حال بررسی است تا میزان خسارت و اینکه چگونه این اتفاق رخ داده است، مشخص شود. این موضوع که چه کسانی پشت این حملات بودند، قطع به یقین، نمی توانیم آمریکا و اسرائیل را در این خصوص مورد حجمه قرار بدهیم، به این دلیل که نوع حملات سایبری آمریکا و اسرائیل، ساختار آن و به طور کلی نوع متدهای آن مشخص است. آمریکا و اسرائیل هنگامی که حملات سایبری انجام می دهند، کدهای مشخصی دارند و از طرفی این کشورها حمله سایبری در کشور ثالثی را انجام نمی دهند که تصاویر گروهکی را که آن کشور با آن مشکل داشته را به تصویر بکشند.
این می تواند گزینه عامل انسانی در این موضوع را پر رنگ تر کند و می خواهد این موضوع را القا کند که مثلا سازمان منافقین در ایران فعال هستند و نفراتی را دارند که تا سازمان صدا و سیما هم نفوذ کرده اند.
حمله سایبری به شبکه اول تلویزیون ایران + ویدئو
سرورهای صدا و سیما ایزوله هستند و هدف قراردادن سازمان صدا و سیما دو پیامد داشت، پیامد اول با توجه به تصاویر و صوتی که پخش شد، حاکی از این بود که می خواستند اینگونه القا کنند که ما در ایران نفوذ داریم و به خیال خودشان، ما در ایران فعال هستیم.
نکته دوم که مهمتر می باشد، اینست که این حمله اینگونه نشان داد که به هر حال زیر ساخت های سایبری ما بشدت ضعیف است و به راحتی می توانند به شبکه ملی ما دسترسی پیدا کنند. این موضوع نمی تواند بدون عوامل انسانی رخ داده باشد ولی نکته ای که حائز اهمیت است که جامعه جهانی این موضوع ضعف در زیرساخت های سایبری را مورد حجمه و بحث بررسی قرار خواهند داد. اینکه ما خودمان اذعان داشته باشیم که زیرساخت های ما بشدت قوی بوده و اگر این اتفاق قرار بوده رخ دهد، به طور تخصصی اگر اشاره شود، فرد و یا گروهی که این اقدام را صورت داده، باید دکلی بزرگتر از دکل صدا و سیما در اختیار داشته باشد تا بتواند موج خود را بر موج تصاویر صدا سیما القاء کند، به همین دلیل بروز این حادثه را توسط عوامل انسانی می دانیم.
ولی موضوع اصلی که در حال حاضر در دست بررسی است، ما از مهر ماه سال گذشته تا به امروز حملات سایبری سنگینی را پشت سر گذاشتیم. این مسئله باید چراغ خطرها و چراغ قرمزها را باید روشن کند و حقیقتاً یک نیاز اساسی است که زیرساخت های سایبری کشور ما باید مورد بررسی قرار بگیرد و سازمان های مربوط با برگزاری جلسات مشترک، یک تصمیم درست در خصوص زیرساخت های سایبری جمهوری اسلامی ایران اتخاذ شود.
عابدی در ادامه توضیحاتی در خصوص حملات سایبری و پیشگیری از این حملات به نکاتی اشاره کرد.
*شبکه‌های کامپیوتری که در بستر اینترنت توسعه یافته‌اند، بیش از سایر شبکه‌ها در معرض حملات سایبری هستند.*
برای جلوگیری از حملات احتمالی، در اکثر شبکه‌ها از ابزارهای زیر استفاده می‌شود :
- Firerwalls/دیواره آتش
- Intrusion Detection Systems/IDS
سامانه های شناسایی نفوذ
- Intrusion Prevention Systems/IPS
سامانه‌های مقابله با نفوذ
- Antivirus /آنتی ویروس‌ها اما استفاده از این ابزارها به تنهایی امکان شناسایی، جلوگیری و دفاع از حملات سایبری را به طور صد در صد تضمین نمی‌کند.
*ایمن سازی شبکه های کامپیوتری به طور کامل، نیازمند رصد لحظه‌ای ومداوم عناصر مختلف شبکه و داده‌های مبادله شده می‌باشد.*
برای این منظور در هر شبکه رایانه‌ای بایستی مجموعه‌ای بنام *"مرکز عملیات امنیتی" یا SOC* راه اندازی شود.
در حالت کلی SOC به عنوان یک سایت متمرکز مانیتورینگ و مدیریت امنیت شبکه، خدمات زیر را ارائه می‌کند:- ارزیابی ریسک و آسیب پذیری
- مدیریت رخداد و حوادث
- مانیتورینگ منطبق بر سیاستهای امنیتی سازمان و استانداردها
- مدیریت پیکربندی و تنظیمات
- ارزیابی آسیبها و بحثهای قانونی
- پاسخگویی به حوادث
- تضمین تداوم کسب و کار *در قلب این مرکز، ابزاری وجود دارد بنام SIEM که انجام وظایف بالا را امکان پذیر می‌کند.* *با توجه به ویژگی ایران، سامانه SIEM حتما بایستی به صورت بومی تولید و عرصه گردد تا ضریب امنیت به بالاترین سطح ارتقاء یابد.*در ایران تاکنون سامانه SIEM توسط ۵ شرکت مستقل از هم تولید شده است.
یکی از این SIEMها توسط هلدینگ صنایع نوین شستا (مرکب از رایتل و چند شرکت بزرگ) تولید شده است. *جالب است بدانید هر ۵ SIEM تولید داخل به رغم تایید آن توسط افتای (امنیت فضای تبادل) وزارت اط، بوسیله سازمان پدافند غیرعامل و شخص سردار جلالی رد و بایکوت شده است. این دعوا قصه درازی دارد و مسلما عوامل دیگری هم در آن دخیل هستند که در اینجا نمی‌توان به آنها پرداخت.*البته، جهالت مرکب این سردار، نقش بسیار مهمی در این دعوا و هدررفت منابع کشور و کاهش ضریب امنیت رایانه‌ای دارد.بر این اساس سازمان‌هایی با شبکه‌های کامپیوتری گسترده در کشور، یا اصولا فاقد SOC هستند و یا SOC نیم بندی با یک SIEM خارجی ایجاد کرده‌اند.
حمله سايبرى به سامانه دوربین‌های امنیتی اسرائیل + عکس

با عنایت به مقدمه‌ مذکور و وضعیت نابسامان SOC، شبکه‌های کامپیوتری ایرانی در مقابل حملات سایبری بسیار آسیب پذیر هستند.همچنین یکی دیگر از دلایل تضعیف امنیت شبکه‌های کامپیوتری کشور، مهاجرت بخش عمده نیروهای نخبه این صنعت است. برای مزید اطلاع دوستان بزرگوار عرض می کنم‌؛در کشورهای توسعه یافته اروپایی و آمریکا و شرق دور یکی از بالاترین دست مزدها متعلق به متخصصین امنیت رایانه‌ای است. در برخی کشورها این عدد خالص حدود 450،000 دلار در سال هم می‌رسد.با توجه به آنچه گفته شد نفوذ به شبکه رايانه‌ای آن مجموعه از طریق نفوذ غیر مستقیم( شبکه واسط /Zambi) حمله کنندگان از خارج کشور صورت گرفته است. از این رو پیدا کردن رد دقیق آن، غیر ممکن است.به صورت ساده؛
- بات نت در دنیای سایبری مجموعه‌ای از تجهیزات رایانه‌ای است که حمله کنندگان دسترسی غیرمجاز به آن‌ها پیدا کردهاند و برای انجام حملات سایبری مختلف مورد استفاده قرار می‌دهند. به هر کدام از دستگاه‌های درون بات نت، یک زامبی (Zombie) یا بات گفته می‌شود. اصطلاح “botnet” از کلمات “ربات (bot)” و “شبکه(network)” تشکیل شده است. ربات ها به عنوان ابزاری برای خودکار سازی حملات گسترده مانند سرقت اطلاعات، آسیب زدن به سرورها و پخش کردن بدافزارها به کار می‌روند. نکته حائز اهمیت این است که بات نت‌ها از دستگاه‌های ربود شده (Hijacked) بدون اینکه اجازه‌ای از صاحب آن بگیرند، سواستفاده می‌کنند.اگر چنانچه بحث SOC و SIEM تولید داخل جدی گرفته نشود، حملات مشابه و حتی بسیار خطرناک‌تر از آن اکثر شبکه‌های رایانه‌ای کشور را تهدید می‌کند.
حملات سایبری ممکن است با اهداف گوناگونی صورت بگیرد، اما بطور کلی عمده ترین اهداف این حمله‌ها عبارتند از:
- دسترسی به اطلاعات و ردیابی آنها
- سرقت داده‌ها
- ایجاد اختلال در سرویس‌های ارائه شده توسط سیستم‌های کامپیوتری
- تغییر تنظیمات شبکه به دلخواه حمله کننده
- تخریب دادها و سامانه‌های نرم افزاری
- تخریب تجهیزات سخت افزاری
- به کار گرفتن تجهیزات رایانه‌ای هدف به عنوان سپر2. حمله به شبکه‌های رایانه‌ای صدا وسیما، قبلآ هم اتفاق افتاده است، اما تنها تعداد کمی از آنها در معرض و مرآی مردم بوده و عموم از آن مطلع شده اند.
معمولاً بعد از حمله به یک شبکه کامپیوتری، ادمین و کارشناسان تلاش می‌کنند، حفره امنیتی مورد استفاده حمله کننده را کشف و اقدامات ترمیمی و مقابله‌ای را انجام دهند. از این‌رو معمولا حمله کننده در حملات بعدی به دنبال رخنه از حفره‌ها و ضعف‌های دیگری در شبکه می‌باشد.
کارشناسان به محض اینکه متوجه حمله از نوع اختلال در سرویس‌ها بشوند نسبت به قطع شبکه و مقابله و... اقدام می‌کنند، از این‌رو این گونه حملات در مدت بسیار کوتاه انجام می‌شود. اما چنانچه حملات از نوع سرقت داده و یا ردیابی آنها باشد، حمله کننده به‌گونه‌ای عمل میکند که متخصصان طرف مقابل، متوجه آن نشوند و شاید روزها و هفته‌ها و... امتداد داشته باشد.
بحث و گفتگو