یک هفته از اعلام عمومی جعل گواهینامههای اینترنتی شرکت Diginotar توسط فرد یا نهادهایی در جمهوری اسلامی ایران میگذرد. [بیشتر بخوانید: «متأسفانه ایمیلهای شما خوانده شدهاند ...»]
چند هفته پیش از درز اخبار مربوط به این حمله بیسابقه اینترنتی، گروهی از کارشناسان امنیت سایبری با حضور در شرکت Diginotar تحقیق عملیاتی پیرامون عمق نفوذ و تبعات احتمالی این واقعه را آغاز کردند.
صبح سهشنبه ۱۵ شهریور ماه ۱۳۹۰، این کارشناسان نخستین یافتههای عملیات موسوم به «لاله سیاه» یا تحقیق از حادثه حمله به گواهینامههای Diginotar را برای اطلاع عموم منتشر کردند.
نتایج تحقیقات کارشناسان امنیت سایبری شرکت Fox-it که وظیفه پیگیری حملات را بر عهده داشته است، موارد ذیل را شامل میشود: مجموعاً ۵۳۱ گواهینامه جعلی صادر شده است و گروه هکر نفوذی توانسته است با موفقیت کنترل صدور گواهینامههای شرکت Diginotar را در دست گرفته اقدام به صدور گواهینامههای جعلی نماید.
این گروه مهاجم امنیت صدور گواهینامهها در سطح مشتریان عمومی و همچنین مجوزهای دولتی نظیر «سازمان سلطنتی دفاتر رسمی هلند» را به دست آوردهاند. این هکرها به سیستم صدور گواهینامه برای تشکیلات فوق حساس PKIoverheid که مجوزهای مربوط به عملیات زیرساختی دولت هلند را صادر مینماید نیز وارد شدهاند.
[ویدئوی لاله سیاه]
روز شمار حملات:
بر اساس بررسیها نخستین تلاشها برای نفوذ به سرورهای شرکت Diginotar به ۶ ژوئن ۲۰۱۱ یا ۱۶ خرداد ماه باز میگردد، تلاش مهاجمان برای گذر از سرورهای ابتدایی و حفاظتی تا ۱۷ ژوئن یا ۲۷ خرداد ماه ادامه یافته است در این تاریخ مهاجمان بر سرورهای بیرونی شرکت احاطه کامل داشتهاند.
دو روز بعد یعنی در تاریخ ۱۹ ژوئن یا ۲۹ خرداد ماه کارمندان Diginotar در جریان یک بازبینی و کنترل معمولی روزانه متوجه فعالیت غیرعادی و نفوذ به سرورها میشوند. سارقان گواهینامههای امنیتی تلاش خود را برای صدور گواهینامه جعلی از تاریخ ۲ ژوئیه یا ۱۱ تیر آغاز مینمایند و نخستین گواهینامه جعلی در تاریخ ۱۰ ژوئیه یا ۱۹ تیر یا به نام شرکت گوگل صادر میشود.
صدور گواهینامههای جعلی توسط فرد یا نهادهایی از جمهوری اسلامی ایران ادامه مییابد، آثار آخرین گواهینامه احتمالی، صادر شده به تاریخ ۲۰ ژوئیه یا ۲۹ تیر ماه برمیگردد.
بررسی دادههای به جای مانده از ترافیک ورودی - خروجی با استفاده از گواهینامههای جعلی از تاریخ چهارم اوت ۲۰۱۱ یا ۱۳ مرداد ۱۳۹۰، ترافیک بسیار بالایی را نشان میدهد. این ترافیک که ۹۹ درصد آن از کشور جمهوری اسلامی ایران و بقیه آن نیز به خاطر استفاده کاربران ایرانی از «Tor» و «VPN»های دیگر برای فرار از فیلتر است. حدود ۳۰۰ هزار آی پی متفاوت را شامل میشود.
در ۲۹ اوت یا هفتم شهریور گوگل گواهینامههای صادره را ابطال نموده و متعاقباً موزیلا و شرکت مایکروسافت نیز مرورگرهای خود را به روز مینمایند.
بر اساس یافتههای گروه تحقیق از ماجرای Diginotar اکنون میتوان با دقت بیشتری به پرسشهای رایج کاربران ایرانی که پس از انتشار مقالات توسط ایمیل برای نگارنده ارسال شده است، پاسخ داد.
******
چه تعداد از کاربران ایرانی در معرض تهدید قرار دارند؟
در حال حاضر اگر پسورد و سؤالات امنیتی Gmail خود را تغییر داده، مرورگر کروم و فایرفاکس خود را به روزرسانی کردهاید دلیلی بر نگرانی وجود ندارد. در بررسیها ۳۰۰ هزار مراجعه با آی پیهای واقع در ایران به ثبت رسیده که لزوماً به معنای ۳۰۰ هزار کاربر ایرانی نیست. چون در هر مرحله از تماس چند کاربر میتوانستهاند از یک آی پی استفاده کرده و یا بالعکس یک کاربر در تماسهای مختلف با آی پیهای متفاوتی به شبکه متصل شده باشد.
چه فرد، افراد و یا گروههایی این حملات را سازمان دادهاند؟
به دلیل تعلق زیرساختهای اینترنت در ایران به دولت جمهوری اسلامی، لااقل در میان کارشناسان امنیت سایبری تردیدی وجود ندارد که هیچکس جز دولت جمهوری اسلامی ایران توان استفاده از چنین گواهینامههایی را نداشته و ندارد.
علاوه بر این مقامات جمهوری اسلامی ایران به طور مثال حیدرمصلحی وزیر اطلاعات به روشنی از رمزگشایی ایمیل فتنهگران سخن گفتهاند که عنوانی کلی برای سرقت گواهینامههای اس اس ال است. گروه مهاجم به شرکت دیجی نوتار هم یکی از فایلهای برجای مانده خود را با عنوان «جانم فدای رهبر امضا کرده است»
چرا به یک نهاد هلندی صادرکننده گواهینامهها حمله شده است؟
جمهوری اسلامی ایران از معدود مناطقی در جهان است که خود اجازه صدور گواهینامه امنیتی را ندارد. در حقیقت اگر جمهوری اسلامی خود توان صدور گواهینامهها را داشت این امکان همواره وجود داشت که از صدور گواهینامههای جعلی برای جاسوسی از شهروندان ایرانی استفاده کند به همین دلیل ظاهراً راهی جز حمله به صادرکنندگان خارجی گواهینامهها پیش رویشان نبوده است.
دلیل اصلی عملیات فوق چیست؟
ظاهراً ارعاب کاربران ایرانی مورد نظر است و بزرگنمایی توان ارتش سایبری ایران. در حقیقت ارتش سایبری در این میان کار مهمی انجام نداده. هر روزه هزاران حمله سایبری در مناطق مختلف دنیا توسط تبهکاران انجام میپذیرد. چندی پیش دادههای میلیونها کاربر پلی استیشن شرکت سونی هک شد. آنچه ماجرای Diginotar را متمایز میکند توان ارتش سایبری نیست.
عملیات مذکور را گروهی هکر معمولی نیز میتوانستند انجام دهند، خصوصا با توجه به نتایجی که از Diginotar منتشر شده، این شرکت اساساً فاقد حفاظ امنیتی مناسب و به روزرسانی شده بوده و این به این معناست که حتی هکرهای تازه کار و معمولی هم میتوانستند احتمالا به نتایجی مشابه دست یابند.
آنچه دنیا را بسیار نگران میکند، تصمیم تکان دهنده دولت ایران در استفاده از گواهینامههای سرقت شده علیه شهروندان ایرانی است. هیچکس نمیتواند باور کند یک دولت اجازه دهد گواهینامههای امنیتی سرقت شده توسط شرکت مخابرات ایران و آی اس پیهای دولتی و نیمه دولتی برای کاربران ارسال شود.
امری که در تاریخ اینترنت بیسابقه است. دولت ایران در مقیاسی بسیار گسترده وارد جنگ ویروسی و آلوده کردن کامپیوتر شهروندان خود شده است و این تنها سوءاستفاده دولت از ناچاری کاربران ایرانی در استفاده از اینترنت مخابرات جمهوری اسلامی ایران را میرساند و نه تواناییهای فنی این دولت را.
در سراسر این عملیات به کارگیری گواهینامههای جعلی از ابتدا تا کنون، دادههای هیچ فرد، سازمان و یا نهادی جز کاربران ایرانی ساکن ایران تهدید نشدهاند.
تبعات امنیتی و حقوقی حملات فوق چیست؟
به هرحال گروهی هکر به زیرساختهای امنیتی یک کشور عضو ناتو نفوذ کرده و تا مرحله دستکاری و جعل مجوزهای فوق سری، تأسیسات زیربنایی این کشور پیش رفتهاند. هدف این عملیات نمایش ارعاب، تبلیغات در سطح منطقه یا هر چیز دیگری بوده باشد، قطعاً توجه کشورهای جهان را بر بازبینی امنیت زیرساختهای حیاتیشان، متمرکز خواهد کرد.
این حملات قطعاً موضع کارشناسانی را که دستیابی جمهوری اسلامی ایران به سلاحهای کشتارجمعی را فاجعهای برای بشریت میدانند به شدت تقویت خواهد کرد.
---------------------------------------------------------------------------
* نیما راشدان، کارشناس امنیت سایبری است.
چند هفته پیش از درز اخبار مربوط به این حمله بیسابقه اینترنتی، گروهی از کارشناسان امنیت سایبری با حضور در شرکت Diginotar تحقیق عملیاتی پیرامون عمق نفوذ و تبعات احتمالی این واقعه را آغاز کردند.
صبح سهشنبه ۱۵ شهریور ماه ۱۳۹۰، این کارشناسان نخستین یافتههای عملیات موسوم به «لاله سیاه» یا تحقیق از حادثه حمله به گواهینامههای Diginotar را برای اطلاع عموم منتشر کردند.
نتایج تحقیقات کارشناسان امنیت سایبری شرکت Fox-it که وظیفه پیگیری حملات را بر عهده داشته است، موارد ذیل را شامل میشود: مجموعاً ۵۳۱ گواهینامه جعلی صادر شده است و گروه هکر نفوذی توانسته است با موفقیت کنترل صدور گواهینامههای شرکت Diginotar را در دست گرفته اقدام به صدور گواهینامههای جعلی نماید.
این گروه مهاجم امنیت صدور گواهینامهها در سطح مشتریان عمومی و همچنین مجوزهای دولتی نظیر «سازمان سلطنتی دفاتر رسمی هلند» را به دست آوردهاند. این هکرها به سیستم صدور گواهینامه برای تشکیلات فوق حساس PKIoverheid که مجوزهای مربوط به عملیات زیرساختی دولت هلند را صادر مینماید نیز وارد شدهاند.
[ویدئوی لاله سیاه]
روز شمار حملات:
بر اساس بررسیها نخستین تلاشها برای نفوذ به سرورهای شرکت Diginotar به ۶ ژوئن ۲۰۱۱ یا ۱۶ خرداد ماه باز میگردد، تلاش مهاجمان برای گذر از سرورهای ابتدایی و حفاظتی تا ۱۷ ژوئن یا ۲۷ خرداد ماه ادامه یافته است در این تاریخ مهاجمان بر سرورهای بیرونی شرکت احاطه کامل داشتهاند.
دو روز بعد یعنی در تاریخ ۱۹ ژوئن یا ۲۹ خرداد ماه کارمندان Diginotar در جریان یک بازبینی و کنترل معمولی روزانه متوجه فعالیت غیرعادی و نفوذ به سرورها میشوند. سارقان گواهینامههای امنیتی تلاش خود را برای صدور گواهینامه جعلی از تاریخ ۲ ژوئیه یا ۱۱ تیر آغاز مینمایند و نخستین گواهینامه جعلی در تاریخ ۱۰ ژوئیه یا ۱۹ تیر یا به نام شرکت گوگل صادر میشود.
صدور گواهینامههای جعلی توسط فرد یا نهادهایی از جمهوری اسلامی ایران ادامه مییابد، آثار آخرین گواهینامه احتمالی، صادر شده به تاریخ ۲۰ ژوئیه یا ۲۹ تیر ماه برمیگردد.
بررسی دادههای به جای مانده از ترافیک ورودی - خروجی با استفاده از گواهینامههای جعلی از تاریخ چهارم اوت ۲۰۱۱ یا ۱۳ مرداد ۱۳۹۰، ترافیک بسیار بالایی را نشان میدهد. این ترافیک که ۹۹ درصد آن از کشور جمهوری اسلامی ایران و بقیه آن نیز به خاطر استفاده کاربران ایرانی از «Tor» و «VPN»های دیگر برای فرار از فیلتر است. حدود ۳۰۰ هزار آی پی متفاوت را شامل میشود.
در ۲۹ اوت یا هفتم شهریور گوگل گواهینامههای صادره را ابطال نموده و متعاقباً موزیلا و شرکت مایکروسافت نیز مرورگرهای خود را به روز مینمایند.
بر اساس یافتههای گروه تحقیق از ماجرای Diginotar اکنون میتوان با دقت بیشتری به پرسشهای رایج کاربران ایرانی که پس از انتشار مقالات توسط ایمیل برای نگارنده ارسال شده است، پاسخ داد.
******
چه تعداد از کاربران ایرانی در معرض تهدید قرار دارند؟
در حال حاضر اگر پسورد و سؤالات امنیتی Gmail خود را تغییر داده، مرورگر کروم و فایرفاکس خود را به روزرسانی کردهاید دلیلی بر نگرانی وجود ندارد. در بررسیها ۳۰۰ هزار مراجعه با آی پیهای واقع در ایران به ثبت رسیده که لزوماً به معنای ۳۰۰ هزار کاربر ایرانی نیست. چون در هر مرحله از تماس چند کاربر میتوانستهاند از یک آی پی استفاده کرده و یا بالعکس یک کاربر در تماسهای مختلف با آی پیهای متفاوتی به شبکه متصل شده باشد.
چه فرد، افراد و یا گروههایی این حملات را سازمان دادهاند؟
به دلیل تعلق زیرساختهای اینترنت در ایران به دولت جمهوری اسلامی، لااقل در میان کارشناسان امنیت سایبری تردیدی وجود ندارد که هیچکس جز دولت جمهوری اسلامی ایران توان استفاده از چنین گواهینامههایی را نداشته و ندارد.
علاوه بر این مقامات جمهوری اسلامی ایران به طور مثال حیدرمصلحی وزیر اطلاعات به روشنی از رمزگشایی ایمیل فتنهگران سخن گفتهاند که عنوانی کلی برای سرقت گواهینامههای اس اس ال است. گروه مهاجم به شرکت دیجی نوتار هم یکی از فایلهای برجای مانده خود را با عنوان «جانم فدای رهبر امضا کرده است»
چرا به یک نهاد هلندی صادرکننده گواهینامهها حمله شده است؟
جمهوری اسلامی ایران از معدود مناطقی در جهان است که خود اجازه صدور گواهینامه امنیتی را ندارد. در حقیقت اگر جمهوری اسلامی خود توان صدور گواهینامهها را داشت این امکان همواره وجود داشت که از صدور گواهینامههای جعلی برای جاسوسی از شهروندان ایرانی استفاده کند به همین دلیل ظاهراً راهی جز حمله به صادرکنندگان خارجی گواهینامهها پیش رویشان نبوده است.
دلیل اصلی عملیات فوق چیست؟
ظاهراً ارعاب کاربران ایرانی مورد نظر است و بزرگنمایی توان ارتش سایبری ایران. در حقیقت ارتش سایبری در این میان کار مهمی انجام نداده. هر روزه هزاران حمله سایبری در مناطق مختلف دنیا توسط تبهکاران انجام میپذیرد. چندی پیش دادههای میلیونها کاربر پلی استیشن شرکت سونی هک شد. آنچه ماجرای Diginotar را متمایز میکند توان ارتش سایبری نیست.
عملیات مذکور را گروهی هکر معمولی نیز میتوانستند انجام دهند، خصوصا با توجه به نتایجی که از Diginotar منتشر شده، این شرکت اساساً فاقد حفاظ امنیتی مناسب و به روزرسانی شده بوده و این به این معناست که حتی هکرهای تازه کار و معمولی هم میتوانستند احتمالا به نتایجی مشابه دست یابند.
آنچه دنیا را بسیار نگران میکند، تصمیم تکان دهنده دولت ایران در استفاده از گواهینامههای سرقت شده علیه شهروندان ایرانی است. هیچکس نمیتواند باور کند یک دولت اجازه دهد گواهینامههای امنیتی سرقت شده توسط شرکت مخابرات ایران و آی اس پیهای دولتی و نیمه دولتی برای کاربران ارسال شود.
امری که در تاریخ اینترنت بیسابقه است. دولت ایران در مقیاسی بسیار گسترده وارد جنگ ویروسی و آلوده کردن کامپیوتر شهروندان خود شده است و این تنها سوءاستفاده دولت از ناچاری کاربران ایرانی در استفاده از اینترنت مخابرات جمهوری اسلامی ایران را میرساند و نه تواناییهای فنی این دولت را.
در سراسر این عملیات به کارگیری گواهینامههای جعلی از ابتدا تا کنون، دادههای هیچ فرد، سازمان و یا نهادی جز کاربران ایرانی ساکن ایران تهدید نشدهاند.
تبعات امنیتی و حقوقی حملات فوق چیست؟
به هرحال گروهی هکر به زیرساختهای امنیتی یک کشور عضو ناتو نفوذ کرده و تا مرحله دستکاری و جعل مجوزهای فوق سری، تأسیسات زیربنایی این کشور پیش رفتهاند. هدف این عملیات نمایش ارعاب، تبلیغات در سطح منطقه یا هر چیز دیگری بوده باشد، قطعاً توجه کشورهای جهان را بر بازبینی امنیت زیرساختهای حیاتیشان، متمرکز خواهد کرد.
این حملات قطعاً موضع کارشناسانی را که دستیابی جمهوری اسلامی ایران به سلاحهای کشتارجمعی را فاجعهای برای بشریت میدانند به شدت تقویت خواهد کرد.
---------------------------------------------------------------------------
* نیما راشدان، کارشناس امنیت سایبری است.