با گذشت چند رو از انتشار خبر وجود بدافزار flame و جنجال بر سر آن در سطح جهان، و سپس انتشار ابزار پاکسازی آن از سوی مرکز ماهر، همچنان بحث و گفتوگو پیرامون آن ادامه دارد.
شرکت شبکه گستر، با ارائه تحلیلی به ایتنا، با دیدگاهی انتقادی به جنجال سازی در زمینه این ویروس پرداخته و خواهان توجه بیشتر به ابعاد تحلیلی و فنی آن به دور از جنبههای تبلیغی و اغراقآمیز شده است.
به گزارش ایتنا، متن تحلیل به شرح زیر است:
ویروس Flame، بزرگترین، بدترین و اندازه واقعیاش
نه تنها ایران ، بلکه تمام دنیا درگیر هیاهوی ویروس Flame شدهاند.
آیا رسانههای عمومی عملکرد مناسبی در آگاهی و هوشیاری کاربران داشتهاند؟
به ویروس Flame لقبهایی نظیر”پیچیدهترین تهدید امنیتی" و "“ پیشرفتهترین اسلحه سایبری در دنیا" دادهاند و حتی گفتهاند "بزرگتر از stuxnet " است.
بله، درست است. ویروس Flame از لحاظ حجم و اندازه فایلها، بسیار بزرگتر از Stuxnet است. ولی تصور نمیکنیم منظور آنان، این بوده باشد! طبیعتاً بزرگی یک بدافزار را، درصد احتمال آلودگی به آن و تعداد آلودگیهای به وجود آمده، مشخص میکند.
شرکت ضدویروس Kaspersky که بیشترین بهرهبرداری تبلیغاتی از ویروس Flame را در جهان داشته و در عین حال در ایران، در معرض بزرگترین شایعهها و اتهامات نیز قرار گرفته، اعلام کرده که تنها چند صد کامپیوتر آلوده به Flame کشف و شناسایی کرده است.
این که چندان بزرگ نیست !
ویروس Flame افراد در شبکههای خاصی را هدف قرار داده است. برای انتشار خود هم با احتیاط و به کندی عمل میکند و انتشار گسترده در آن پیشبینی نشده است.
اگر همین ویروس Flashback را که در یکماه اخیر بیش از ۶۰۰ هزار کامپیوتر (آن هم فقط از نوع Apple Mac) را آلوده کرده، در نظر بگیرید، ویروس Flame که از آن کوچکتر است.
ویروسهای مشهور و رایج امروزی را هم نباید فراموش کرد. ویروسهایی مانند Canfiker، Sasser ، Code Red و SoBig همگی در صد آلودگی و تعداد قربانیان بسیار بیشتری نسبت به Flame داشتهاند و شاید هنوز هم دارند.
باید به این نکته توجه داشت که نوشتن و تهیه فرمول شناسایی یک بدافزار بسیار بسیار آسانتر و سریعتر از تجزیه وتحلیل عملکرد و رفتار آن است.
تجزیه و تحلیل ویروس Flame با ۲۰ مگابایت حجم نیاز به زمان نسبتاً زیادی دارد تا بتوان تمام مشخصهها و رفتارهای آن را شناسایی کرد. وقتی کارشناسان صحبت از پیچیدگی ویروس Flame میکنند، بیشتر منظورشان همین تجزیه و تحلیل آن است.
در یک نگاه ساده و سریع ، ویروس Flame عمل خاص و متفاوتی در مقایسه با بدافزارهای رایج امروزی انجام نمیدهد. شرکتهای ضد ویروس، روزانه شاهد دهها هزار گونه مختلف از ویروسها هستند که اطلاعات کاربرها را پاک میکنند، اطلاعات شخصی را سرقت میکنند، ترافیک اینترنت و شبکه کاربر را شنود میکنند، اهداف خود را هوشمندانه انتخاب و سوا میکنند و....
اکنون که اطلاعات بیشتری درباره ویروس Flame به دست آمده، شاید یکی از رفتارهای بارز این ویروس، مدت زمان حیات Flame است که بدون جلب توجه خاص و شناسایی دقیق، توانستند باقی بمانند.
البته آن زمان که مرکز ماهر ایران اولین مشخصههای ویروس Flame را منتشر کرد، در سطح عمومی و بینالمللی به مشارکت گذاشت، در کمتر از ۲۴ ساعت مشخص شد که تحقیقاتی درباره همین ویروس در نقاط دیگر جهان در حال انجام بوده و با کنار هم گذاشتن قطعات پازل Flame، تمام ضد ویروسهای دنیا قادر به شناسایی Flame شدند.
شرکت شبکه گستر با بدست آوردن نمونههایی از این ویروس از شبکه مشترکین خود و ارائه آنها به دو شرکت Mcafee و Bitdender توانست آنان را در شناسایی دقیقتر و گونههای بیشتر ویروس Flame کمک کند.
این در حالی است که هنوز شرکت شبکه گستر در حال مکاتبه اداری با مرکز ماهر ایران و سازمان فناوری اطلاعات است تا بلکه نمونههای آن مرکز نیز در اختیار این شرکت گذاشته شود تا زمینه شناسایی هرچه بیشتر و دقیق ویروس Flame توسط این دو ضدویروس رایج و بهتر در دنیا فراهم گردد.
تا روز پنجشنبه ۱۱ خرداد ماه، پیگیریها همچنان ادامه داشت.
اکنون همه ضدویروسهای رایج در دنیا و حتی ضدویروسهای نه چندان مطرح هم قادر به شناسایی ویروس Flame هستند، البته نباید فراموش کرد که امکان تهیه و انتشار گونههای جدیدی از این ویروس وجود دارد و همچنان باید هوشیار بود.
ولی سعی کنیم که به هر تهدید امنیتی در اندازه و چارچوب واقعی آن نگاه کنیم.
شاید در اولین لحظات و ساعات فعال شدن ویروس Flame، وضعیت بحرانی احساس میشد و به نسبت آن هم اقدامات آنی و بزرگی صورت گرفت. ولی شاید میتوانستیم با مشارکت بیشتر، هم جنبه اطلاعات و هم از جنبه توان و منابع فنی، سریعتر و بدون ایجاد حساسیت زیاد، با این تهدیدات مقابله کنیم.
درآن حالت، شاید ویروس Flame تبدیل به خبر روز دنیا و مخلوط با مباحثات غیرIT نمیشد.
قبول کنیم که در همین لحظه حاضر، کاربران ایرانی بیشتر در معرض تهدید ویروسها و برنامههای جاسوسی دیگری هستند که امنیت اطلاعات شبکههای مارا به چالش میکشند.
مگر در بخشنامهها ودستورالعملها یی که بعد از فعال شدن ویروس Flame در سوم اردیبهشت ماه منتشر شدند، به چه نکات ایمنی و پیشگیرانهای اشاره شده است. ما هم در شبکه گستر با داشتن چند صد هزار کاربر تحت پوشش خدمات ضدویروسمان، از مدیران شبکه شنیدهایم و برخی از بخشنامهها را دیدهایم.
نصب تمام اصلاحیههای امنیتی، به روز نگه داشتن ابزارهای امنیتی، استفاده از تجهیزات دیدهبانی (Monitoring) شبکه، بکارگیری تجهیزات امنیت شبکه مانند IPS / IDS ، کنترل بیشتر کاربران شبکه، نظارت و مدیریت استفاده از اینترنت و.....
این نکات ایمنی که چیز تازهای نیستند، مگر نه اینکه این نکات همیشه باید رعایت شوند، مخصوصاً اگر شبکههای حیاتی و مهم کشور باشند. مگر اولین بار است که یک ویروس از طریق حافظههای Flash USB انتشار مییابد که اکنون به فکر مسدود ساختن و نظارت بر این قطعات کوچک و دردسرساز شدهایم!؟
مگر نمیتوان بدون جداسازی فیزیکی شبکهها، امنیت آنها را تأمین کرد که اکنون فقط به دنبال راهکارهای جداسازی فیزیکی هستیم؟
آیا میتوان پس از جداسازی فیزیکی شبکهها، به کاربران اجازه دهیم تا به عادات ناصحیح خود بازگردند؟ یا باید سیاستهای امنیتی مناسبی در سطح شبکه سازمانی تعریف کرده و جداً به اجرا بگذاریم.
آیا پس از رفع بلای Flame، مدیران شبکه میتوانند به سهلانگاری و سادهاندیشیهای گذشته خود بازگردند و سادهترین کارها مانند نصب اصلاحیههای امنیتی سیستم عامل را فراموش کرده و یا پشت گوش اندازند؟
هیچکس نمیگوید که ویروس Flame مهم نبود و نباید در رسانهها جنجال برانگیز میشد. یقیناً اینطور است ، مخصوصاً در کشور خودمان.
امروز کمتر کارشناسانی هست که باور نداشته باشد که ویروس Flame با حمایت و پشتیبانی برخی دولت یا دولتها طراحی و تهیه شده است. گرچه هنوز سند و مدرک قاطعی برای اثبات آن نیست.
استفاده از دنیای مجازی توسط دولتها بر علیه یکدیگر در حال تبدیل شده به امری عادی است. کشورهایی مانند چین و آمریکا، حتی رزمایشهای سایبری مجازی با یکدیگر ترتیب میدهند.
ولی آیا ملیت دشمن و نویسنده بدافزار تا چه حد اهمیت دارد و چه تأثیری بر آمادهسازی ما در برابر این تهدیدات وطنی و یا فرامرزی میتواند داشته باشد؟
آیا در دنیای مجازی مرزبندیهای فیزیکی را میتوان قائل شد و یا در یک کلام ، باید در برابر تمام تهدیدات امنیتی بیرون از شبکه سازمانی خود آماده دفاع و مقابله باشیم.
