ايتنا - یک سال پس از بدافزار Flame

علی کیائی فر* - یک سال پیش در چنین روزهایی خبرهایی منتشر شد که حکایت از یک حمله سایبری به شبکه وزارت نفت داشت. بدلیل حساسیت موضوع، اطلاع‌رسانی مناسبی در مورد ماهیت حمله و گستردگی آن انجام نمی‌گرفت. اما قطع بودن شبکه و در دسترس نبودن Serverها در شبکه وزارت نفت برای چند هفته حکایت از آن داشت که این حمله یک حمله متفاوت و بی سابقه است.

بررسی‌ها چند هفته پشت درهای بسته ادامه داشت تا اینکه در روز ۷ خرداد ماه ۹۱ مرکز ماهر خبر کشف یک بدافزار پیچیده بنام Flame را منتشر کرد.
بدنبال آن شرکت‌های سیمانتک و کسپرسکی نیز تحلیل‌های دقیق‌تری را از ماهیت و عملکرد این بدافزار پیچیده منتشر کردند.

خواندن این تحلیل‌ها برای هرکارشناس امنیتی شگفت‌انگیز و غیرقابل باور بود.
هیچکس تردیدی نداشت که این حمله کاملا هدفمند و از سوی یک دولت متمول طراحی و حمایت شده است. این بدافزار حداقل به مدت ۲ سال و بر اساس برخی شواهد بیش از ۵ سال قبل از کشف آن، تولید شده و مورد بهره‌برداری قرار گرفته است. بدافزاری که تاکنون نمونه مشابهی نداشته و هدف آن قطعا ایران بوده است.

Flame با نفوذ به شبکه، اقدام به جمع‌آوری اطلاعات، اسناد، تصاویری از Desktop و حتی ضبط صدای محیط از طریق میکروفون کرده و با مکانیزم‌های پیچیده رمزنگاری به مقاصد نامعلوم ارسال می‌کرده است.
این بدافزار از میان تمام فایروال‌ها و آنتی‌ویروس‌های ایرانی و غیرایرانی عبور کرده و در دل شبکه‌ها نفوذ کرده و مانند یک ربات، از راه دور کنترل می‌شد و فرمان‌های جدید را از اتاق فرمانش دریافت کرده و اجرا می‌کرد و در نهایت یک روز پس از شناسایی توسط مرکز ماهر، دستور خودکشی را از سازندگانش دریافت کرد و خود را نابود کرد تا بسیاری از رازهای آن سر به مهر و مکتوم باقی بماند!(اطلاعات دقیق‌تر را در گزارش مشروح ایتنا دنبال کنید.)

تجربه Flame برخی اظهارات گذشته مدیران را که همواره با اطمینان خاطر از امنیت بالای زیرساخت های IT در کشور سخن می‌گفتند نقض کرد و ثابت کرد حتی با داشتن Firewallهای چندلایه خارجی و ایرانی و نیز آنتی‌‌ویروس‌های قوی نمی‌توان تضمین کرد که بدافزاری مانند Flame از دل شبکه ما سردرنمی‌آورد!
از این جهت سازمان‌های دولتی با سرعت تمام بخشنامه‌هایی را مبنی بر قطع اینترنت در شبکه‌های داخلی خود صادر کردند و مدیران شبکه را ملزم کردند که اینترنت را از شبکه داخلی سازمان بصورت فیزیکی جدا کنند.
هرچند که بسیاری از سازمان‌ها به اجبار شبکه اینترنت را از شبکه داخلی بصورت فیزیکی و با صرف هزینه‌های فراوان جدا کردند اما به مرور زمان بدلیل نیاز کسب و کار سازمان به اینترنت، اندک اندک درهای اینترنت را مجددا بسوی شبکه‌های خود گشودند و تجربه Flame را آرام آرام به فراموشی سپردند.

اینک که یک سال از آن فضای ملتهب و تصمیمات خلق‌الساعه می‌گذرد فرصت مناسبی است که در فضایی آرام و همراه با تدبیر، تجربیات بدافزار Flame را مرور کرده و با این دیدگاه، وضعیت امنیتی شبکه‌های خود را ممیزی کنیم و به سئوالات زیر پاسخ دهیم:

۱- جایگاه امنیت شبکه برای مدیران ارشد سازمان‌ها چقدر اهمیت دارد؟ به عبارت دیگر سازمان‌ها حاضرند چقدر هزینه کنند تا تجربه تلخ دیگری مانند Flame برایشان تکرار نشود؟

۲- پس از تجربه Flame چه اقدام مثبتی در جهت جلوگیری از ورود بدافزارهای مشابه به شبکه سازمان خود انجام داده‌ایم؟ این اقدامات تا چه میزان مؤثر بوده‌اند؟

۳- سازمان تا چه اندازه پای اجرای سیاست‌های امنیتی تدوین شده ایستاده است؟

۴- آیا کارشناسان و حتی کاربران ما آموزش‌های لازم را برای اجرای صحیح و دقیق سیاست‌های امنیتی دیده‌اند؟

۵- کارشناسان امنیتی و کاربران ما تا چه میزان دغدغه‌های امنیتی را جدی می‌گیرند و نکات امنیتی را رعایت می‌کنند؟

۶- برای همزمانی استفاده کاربران از شبکه داخلی و اینترنت چه تمهیدات امنیتی اندیشیده‌ایم؟

۷- از میان طرح‌های جداسازی اینترنت از شبکه داخلی(شامل روش‌های فیزیکی و مجازی به روشهای VDI و Virtual Application) آیا روشی را که برگزیده‌ایم پاسخگوی نیازهای سازمان است؟

۸- آیا زمان آن نرسیده است که برای حفظ امنیت بیشتر و محافظت از اطلاعات سازمان از روش‌های بروز Cloud Computing و ابرهای خصوصی در سازمان خود استفاده کنیم؟

۹- آیا برای مدیریت حافظه‌هایی که به پورت‌های USB متصل می‌شوند و منشأ بسیاری از تهدیدات هستند سیاست مدون و عملی را پیاده‌سازی کرده‌ایم؟

۱۰- و دست آخر اینکه با همه پیش‌بینی‌هایی که کرده‌ایم و تمهیداتی که اندیشیده‌ایم آیا می‌توانیم تضمین کنیم که هم اکنون بدافزار دیگری مانند Flame در شبکه ما و بدور از چشمان ما جولان نمی‌دهد؟
----------------------------------------------------------------
* مدیر تحقیق و توسعه شرکت آینده نگاران (آیکو)