و اینکه چرا این ویروس رایانهای نمیتواند تا این حد بزرگ و ترسناک باشد ...
ایتنا- آیا تمام مکاتبات،اطلاعات و دادههای حساس سازمانی در این دو سال، براحتی در اختیار منتشر کنندگان ویروس "فلیم" قرار می گرفته است؟
اسماعیل ذبیحی * درست مانند استاکس نت، حالا ویروس "فلیم" هم رنگ و بوی تند سیاسی به خود گرفته و تا حد غیرقابل باوری بزرگ و ترسناک شده است. چرا؟ آیا بهراستی "فلیم" خطرناکترین و ترسآورترین سلاح سایبری کشف شده در سرتاسر تاریخ امنیت فناوری اطلاعات است؟ پاسخ ما مطلقاً منفیست ...
دلیل ما البته وجود هزاران و یا صدها هزار رایانهایست که در سطح کشور با وجود نفوذ و انتشار این کرم رایانهای آلوده نشدهاند و با اختلالات شدید دست و پنجه نرم نکردهاند. حتی اگر حملات "فلیم" را هدفدار بدانیم، باز هم فقط شبکههایی خاص دارای یک یا چند نوع مشخص از نرمافزارهای ضدویروس، با آلودگی و اختلال مواجه شدهاند و بسیاری از مراکز سازمانی کشور (متصل به شبکه دولت و یا شبکه اصلی وزارت نفت) که ازانواع دیگری از برنامههای ضدویروس استفاده میکردهاند، دچار مشکلات امنیتی و اختلال عملیاتی نشدهاند.
بدون شک "فلیم"یک بدافزار خطرناک و پیچیده است که ویژگیهای منحصر بهفردی دارد، اما هیچ دلیل فنی و تخصصی وجود ندارد که آن را بزرگترین و پیچیدهترین سلاح سایبری تاریخ بخوانیم. فلیم تنها یک کیت سرهمبندی شده و یا یک مجموعه ابزار تخریبیست که میتواند به بهترین وجه، بستر مناسب را برای هر نوع فعالیت جاسوسی، سرقت اطلاعات و یا تخریب دادهها فراهم کند. روی این بستر مناسب میتوان هر نوع بدافزار دلخواه را قرار داد و آن را از دوردست کنترل کرد.
اما با این حال، "فلیم" یک بدافزار اینترنتی مانند بسیاری دیگر از انواع بدافزارهای هدفدار است...یعنی برای ورود و انجام تخریب به یک راه نفوذ، سیستم عامل مناسب، سطح دسترسی بالا برای انتشار، دسترسی به اینترنت یا شبکه، دسترسی به اطلاعات ارزشمند و حساس، دسترسی به رایانههای هدف و ... نیاز دارد. انسداد، اختلال و یا عدم دسترسپذیری هر کدام از موارد فوق میتواند این ویروس به ظاهر پیچیده را زمینگیر کند.
شاید تا به حال این سئوال را از خود نکرده باشیم که ویروس "فلیم"، چه نوع اطلاعاتی را میتواند سرقت کند که بقیه ویروسهای سارق اطلاعات نمیتوانند. آیا این بدافزار میتواند برعکس ویروسهای دیگر بینیاز از یک راه نفوذ به درون شبکههای رایانهای باشد و به اطلاعاتی دست پیدا کند که به طور کامل غیرقابل دسترس هستند؟
واقعیت این است که "فلیم" در نهایت میتواند به اطلاعاتی دست پیدا کند که در رایانههای متصل به اینترنت یا شبکههای محلی موجود و قابل دسترس باشند؛ یعنی اطلاعات نه چندان حساس و نه چندان محرمانه. جالب اینکه تمام فعالیتهای تخریبی "فلیم" توسط سایر بدافزارهای رایانهای نیز قابل اجراست، با این تفاوت که "فلیم" یک بدافزار ترکیبی و هدفدار است که تعداد بیشمار قابلیت مخرب را در خود جای داده و می تواند به دقت از دوردست کنترل و مدیریت شود که همین قابلیت اخیر نیز در بسیاری از انواع دیگر کدهای مخرب وجود داشته و در دنیای امنیت اطلاعات تازگی چندانی ندارد.
از این نگاه، هیاهوی رسانهای و جنجال آفرینی سیاسی توسط برخی از شرکتهای ضدویروس که ادعا میکنند برای نخستین بار ویروس فلیم را کشف کردهاند، بیمورد، بیاساس و تنها در حد یک حربه تبلیغاتی و تجاری محسوب میشود.
فراموش نکنیم، هر کدام از شرکتهای تولید کننده ضدویروس، تنها میتواند رایانههای موجود در قلمرو حفاظتی و عملیاتی خودش را از لحاظ امنیتی بررسی کند و نمی تواند نظرات و تحلیلهای فنی خود را به تمام رایانهها و شبکههای موجود در جهان و یا حتی یک کشور خاص تعمیم دهد. برای مثال اگر شرکت کسپرسکی از آلودگی ۶۰۰ هدف مختلف خاورمیانه به ویروس "فلیم" خبر میدهد، بدان معناست که نزدیک به ۶۰۰ سازمان مجهز به ضدویروس کسپرسکی، با حملات موفق این بدافزار مواجه شدهاند و "فلیم" توانسته از سد امنیتی ضدویروس و لایههای حفاظتی این مراکز عبور کند.
اتفاقاً کشف ویروس "فلیم" پس از حملات پی در پی و موفقیتآمیز آن و گذشت بیش از یک ماه از ایجاد اختلالهای شدید، نشان میدهد که در ابتدا یک ضعف و آسیبپذیری طولانی مدت در نرمافزار ضدویروس وجود داشته که پس از بروز مشکلات امنیتی و خسارتهای هنگفت مورد توجه واقع شده و نسبت به رفع آن اقدام شدهاست. از طرف دیگر جستوجوی نمونه ویروس در رایانههای آلوده مدتها طول کشیده و تحلیل آن آگاهی دیرهنگامی را از فعالیتهای این ویروس بدست داده است.
این در حالیست که بسیاری از ضدویروسها، به سادگی و با استفاده از سیستمهای بازدارنده و فناوریهای پیشرفته خود، حتی با وجود ناشناس بودن ویروس فلیم، موفق شدهاند تا از حملات آن پیشگیری کنند و گزارش خاصی نیز از آلودگی به این بدافزار منتشر نکردهاند. زیرا در این صورت، کار اصلی انجام شده ... حمله رایانهای خطرناک به صورت خودکار خنثی شده؛ سازمان یا رایانه هدف امن مانده و بنابراین حساسیت خاصی هم برانگیخته نشده تا احساس ضرورت به واشکافی و یا تحلیل بدافزار مهاجم انجام شود.
بر اساس اعلام شرکت امنیتی پاندا ویروس "فلیم" بهراحتی و به سادگی قابل شناسایی، کشف و یا دست کم پیش شناسایی بوده است. حجم عظیم بیست مگابایتی این ویروس و قابلیتهای خطرناک تخریبی آن میتواند مؤید این مسئله باشد.
به هرحال اکنون که ویروس "فلیم" به اذعان برخی شرکتهای امنیتی از دو سال پیش تاکنون فعال بوده، پاسخ به این سئوالات ضرورت پیدا میکند: اول اینکه چه نوع اطلاعاتی از سیستمهای مجهز به ضدویروس های آسیب پذیر از کشور خارج شده است؟ آیا تمام مکاتبات، اطلاعات و دادههای حساس سازمانی در این دو سال، براحتی در اختیار منتشر کنندگان ویروس "فلیم" قرار میگرفته است؟ چرا ناگهان و در یک روز خاص دستکم سه شرکت امنیتی از شرق و غرب جهان با ترتیب دادن کنفرانسهای خبری (البته با حضور رسانههای بزرگ "سیاسی" )، ویروس فلیم را در سطح جهان مطرح میکنند و برای آن قابلیتهای استراتژیک ضدامنیتی علیه کشوری خاص فرض می کنند؟ چرا ویروسی که "به سادگی و راحتی" میتوانسته تحت کنترل و مدیریت باشد، روزها و ماهها به فعالیت آزادانه مشغول بوده است؟ آیا درست به فاصله چند ساعت پس از کشف این ویروس توسط یک مرکز امنیت سایبر در کشور (ماهر)، شرکتهایی از روسیه و امریکا تصمیم گرفتهاند تا مسئله اتنشار این ویروس را رسانهای و جهانی کنند؟ چرا در مدت زمانی که سازمانهای آلوده به فلیم یا وایپر با اختلال شدید عملیاتی مواجه بودهاند، این شرکتها هیچ واکنشی نداشتهاند؟ البته امیدواریم شرکتهای امنیتی خارجی که ادعای کشف اولیه "فلیم" را داشتهاند بتوانند پاسخگوی این سئوالات مهم باشند.
بله ... زحمات بسیاری از شرکتهای امنیتی که به بررسی، تحلیل و اطلاعرسانی درباره تهدیدهای امنیتی میپردازند، ستودنی و قابل تقدیر است، اما به این شرط که با بزرگنمایی بیش از حد تهدیدها و کشاندن موضوع به رسانههای "سیاسی" جهان و جنجال آفرینی امنیتی در جستوجوی نام و افزایش سهم تجاری خود نباشند. -------------------------------- * شرکت امنیتی پاندا