ويروس Duqu و لزوم توجه به روشهای پیشگیرانه حفاظتی در شبکههای سازمانی
ایتنا - تحقيقات نشان ميدهد كه بخشهای قابل توجهی از ساختار كدهاي نوشته شده براي فايل ويروس Duqu، درست شبيه به كدهاي مربوط به فايل ويروس استاكسنت است.
اسماعیل ذبیحی - اطلاعرسانی شرکت ایمن رایانه پندار انتشار ويروس استاكسنت درست به همان ميزاني كه براي دنياي خرابكاران اينترنتي و به ويژه گروههاي سازمان يافته اتفاق مباركي بود، براي دنياي امنيت فناوري اطلاعات نيز تجربهاي عبرت آموز و پربار به حساب آمد. همانقدر كه تبهكاران رايانهاي از دست يافتن به يك بلوغ تخريبي به خود باليدند، شركتهاي امنيتي و دستاندركاران حفاظت از اطلاعات رايانهاي نيز با خشنودي شاهد اتفاقات بيسابقهاي بودند كه منجر به تحولي عميق در باورهاي امنيتي جامعه كاربران رايانه و اينترنت شد.
بله، استاكسنت نخستين تهديد رايانهاي بود كه با واكنش جدي رسانهها و محافل ارشد سياسي در كشورهاي مختلف جهان همراه شد. دست كم نتيجه اين واكنشها و گاه جنجالها هر چند به بزرگنمايي قدرت و قابليت اين ويروس كم نظير انجاميد اما در نهايت به افزايش آگاهي عمومي درباره قدرت تهديدها و بدافزارهاي رايانهاي كمك قابل توجهي كرد.
هر چند تحليلهاي بسياري بر روي اين بدافزار انجام شد اما مهارت بكار رفته در توليد و انتشار اين كرم رايانهاي و يا شايد اتفاقات و فشارهاي پشت پرده مانع از شناسايي و رديابي منتشركنندگان آن گرديد كه هنوز هم چيزي در حد گمان و اتهام باقي مانده.
اما حالا، پس از گذشت بيشتر از يكسال از كشف استاكسنت، انتشار يك كرم رايانهاي ديگر با عنوان "Duqu" ، خاطره استاكسنت را دوباره زنده کرده است. تا حدی که از این بدافزار به عنوان برادرخوانده و یا فرزند استاکسنت یاد میکنند.
بازار گمانه زنيها هم دوباره داغ شده: آيا تيم سازنده استاكس نت با آن همه حمایت مالی و فنی، مجددا فعال شده است؟ آيا سایه خطر انفجارهای فاجعه بار ، اختلالهاي شديد عملياتي، سرقت اطلاعات فوق محرمانه و يا نفوذهاي غير مجاز تروريستهاي مجازي در مراكز استراتژيك و زير بنايي كشورها مثل نيروگاهها، كارخانهها و بخشهاي صنعتي دوباره بازگشته است؟
تحقيقات اوليه شركتهاي امنيتي نشان ميدهد كه بخشهای قابل توجهی از ساختار كدهاي نوشته شده براي فايل ويروس Duqu، درست شبيه به كدهاي مربوط به فايل ويروس استاكسنت است. بر اين اساس به نظر ميرسد افرادي كه ويروس Duqu را توليد و منتشر كردهاند همان گروهي باشند كه عامل انتشار استاكسنت بودهاند يا دست كم با يك يا چند فرد فعال در آن گروه تماس مستقيم داشتهاند.
نكته بسيار مهم اينجاست كه ويروس Duqu براي انتشار اوليه و وسيع خود در شبكه جهاني اينترنت از يك حفره امنيتي اصلاح شده(!) در هسته عملياتي سيستمهاي عامل ويندوز استفاده كرده است. سوءاستفاده يك ويروس، از يك حفره امنيتي اصلاح شده در چهار ماه قبل و نفوذ موفق به درون سيستمهاي رايانهاي، مورد بسيار عجيب و نادريست؛ اما به هر حال در مورد ويروس Duqu اين اتفاق افتاده و در روزهاي آينده بايد منتظر جنجالهاي شديد رسانهاي و انتقادهاي تند كارشناسان امنيتي عليه شركت مايكروسافت باشيم.
به هر حال شركتهاي مختلف امنيتي تحليلهاي متنوعي از نوع عملكرد، نحوه انتشار و روشهاي تخريبي ويروس Duqu منتشر كردهاند اما به گفته كارشناسان امنيتي شركت Panda Security برآيند اين تحليلها، اطلاعات آماري و بررسيهاي عملياتي نشان ميدهد كه ويروس Duqu يك بدافزار تركيبي شامل ويژگيهاي يك كرم، يك تروجان و يك روتکیت،است که بيشتر به منظور نفوذ به درون شبكه مراكز صنعتي، سرقت اطلاعات محرمانه و جاسوسي سايبر طراحي شده و برخلاف استاكسنت از قابليت ايجاد تغييرات خطرناك در تنظيمات سيستمهاي كنترل صنعتي كه به نوبه خود ممكن است منجر به حوادث فاجعهبار و اختلال شديد عملياتی در مراكز حساس گردند برخوردار نيست. با این وجود، ویروس Duqu نیز به نحوی طراحی شده تا از راه دور قابل کنترل و فرمان دهی توسط منتشر کننده خود باشد.
البته همين حالا تنها پس از گذشت چند روز از شناسايي اين ويروس بيش از صدها و يا هزاران تحليل فني، بررسي تخصصي، فرضيات تخريبي و حتي تبعات سياسي نظامي براي آن منتشر شده كه بسياري از آنها هدفي جز مطرح كردن برندهاي تجاري شركتهاي امنيتي ندارند، اما دركمتر تحليلي ميتوان يافت كه فارغ از نوع و نحوه عملكرد، روش انتشار، قدرت تخريب و طول و تفصيلهاي تخصصي در خصوص این ویروس نسبتاً خطرناک، به راهكارهاي ساده براي مقابله با اين ويروس پرداخته شده باشد.
بر اساس اعلام پاندا، استاكسنت و Duqu شايد به مدد هدفگيريهاي خاص خود مانند شبكه مراكز حياتی و استراتژيك و اطلاعات و تجهيزات بسيار حساس و ... وجهه سياسي و رسانهاي يافته و خود را بر سر زبانها انداخته باشند اما این كدهاي مخرب، كاري سخت در نفوذ به امنترين و حفاظت شدهترين محيطهاي عملياتي در پيش دارند. همانطور که دیدیم، در مورد استاکس نت فرضیه های تخریبی وحشتناکی مطرح شد که هیچ کدام صورت عملی به خود نگرفت.
بر اساس اظهارات مهدی جانبزرگی، کارشناس امنیت فناوری اطلاعات در شرکت پاندا، واقعیت این است که البته در مراکزی که امنیت جدی گرفته نشده باشد، حتی ویروس های بسیار ساده تر و ابتدایی تر هم میتوانند خسارت بار باشند. تا قبل از ظهور استاکس نت و "Duqu"، امنیت اطلاعات در بسیاری از شبکههای حساس و استراتژیک منحصر بود به نصب یک ضدویروس و نهایتاً بروز رسانی آن، اما اکنون مدیران فناوری اطلاعات در بسیاری از شبکههای سازمانی، امنیت اطلاعات را به چشم یک روند پویا و زنده میبینند که از بخشهای گوناگونی تشکیل شده و همگی نیاز به بررسی دائم و بازبینی مستمر دارند. نصب یک ضدویروس هم تنها یکی از بخشهای کوجک تأمین امنیت کامل در شبکههای سازمانی است.
این اولین درس استاکس نت بود که بسیاری از مراکز مهم کشور را از آلودگیهای شدید رایانهای، اختلال عملیاتی و از دست رفتن اطلاعات حساس ناشی از حملات برادرخوانده آن، Duqu نجات داد. هرجند باز هم هستند شبکههایی که متأسفانه هنوز هم اولین و ساده ترین درس استاکس نت را خوب فرا نگرفتهاند. جالب اینجاست که تمام درسهایی که باید از استاکس نت میگرفتیم، لزوماً احتمال دچار شدن شبکههای سازمانی به آلودگیهای رایانهای و حملات اینترنتی را فارغ از نوع تهدید، به کمترین حد ممکن کاهش میدهند.
عدم اتصال رایانه ها و شبکه های حیاتی و بسیار حساس به شبکههای محلی و به ویژه اینترنت، استفاده از چندین لایه امنیتی، استفاده از روشهای پیشگیرانه ضدویروس مانند Panda TruPrevent، بکارگیری سیستمهای شناسایی و پیشگیری از نفوذ، پوشش کامل سه محور اصلی نفوذ بدافزارها در صورت اتصال به اینترنت، یعنی رایانههای نهایی سازمانی، سرورهای پست الکترونیک و درگاههای اینترنت، نصب و استقرار سختافزارهای امنیتی مانند GateDefender Performa در درگاه اصلی اینترنت شبکه برای پالایش محتویات اطلاعاتی ورودی و خروجی و نیز مدیریت یکپارچه تهدیدات اینترنتی توسط دستگاهای UTM و از همه مهمتر، توجه بیشتر به استفاده از راهکارهای قدرتمند مبتنی بر ابر مانند مجموعه نرمافزارهای Panda Cloud Protection برای تأمین امنیت کامل و مستمر در شبکههای سازمانی متصل به اینترنت، تنها بخشی از درسهایی ست که اگر به شکل سختگیرانه مورد توجه و پیادهسازی قرار بگیرند، نه تنها ویروسهای خطرناکی مانند Duqu، بلکه تقریباً تمام حملات و تهدیدهای رایانهای قایل ردیابی و انسداد هستند؛ البته با توجه به این مسئله که امنیت صددرصد، برای همیشه در هیچ رایانه ای قابل حصول نیست.
Duqu، بدافزار چموشی ست که ممکن است شما را به دردسر بیاندازد، اما مانند تمام ویروسها و کدهای مخرب رایانهای دیگر بینیاز از روشهای ارتباطی، ابزار انتقالی و محیط های عملیاتی مناسب نیست. هر کدام از این عوامل می توانند پاشنه آشیل یک نرم افزار مخرب باشند. بنابراین، آخرین درس استاکس نت می تواند این باشد که امنیت شبکههای سازمانی و رایانههای حساس بهتر است مبتنی بر پیشگیری و انسداد ویروسها باشد تا درمان و پاکسازی ...