روز شنبه پنجم شهریور ماه ۱۳۹۰، یکی از کاربران ایرانی «پارس آنلاین» به هنگام ورود به اکانت گوگل خود توسط مرورگر کروم Google Chrome با خطای گواهینامه جعلی سرور Invalid certificate error مواجه شد.
او به جای آنکه مانند بسیاری از کاربران دیگر خطا را نادیده گرفته یا از مرورگر دیگری برای ورود به اکانت خود استفاده کند، شروع به واکاوی مسیر ارتباطی کامپیوتر خود به سرورهای گوگل کرد. نتیجه این آزمایش ساده، حقیقتی تکاندهنده بود. فرد یا نهادی در ایران با جعل گواهینامههای اس اس ال، به شیوه «مرد میانی» مشغول جاسوسی از ایمیلهای شهروندان ایرانی است.
علی برهانی، کارشناس برنامهنویسی وب، از روز شنبه تلاش خود را برای آگاهسازی میلیونها شهروند ایرانی از جاسوسی سازمانیافته صندوقهای پست الکترونیکیشان آغاز نمود. او تصویری از صفحات مرورگر کامپیوتر شخصی خواهرش که ورود به جیمیل را روی آن کنترل میکرد تهیه و در یک شبکه اجتماعی کدهای متن، به اشتراک گذاشت.
به انجمنهای شرکت گوگل رفت و به آنان احتمال تکرار حملات مشهور به «هکر کمودو» را هشدار داد. ساعتها گذشت و علی همچنان مشغول ارسال اخطار در سایتهای مختلف امنیت سایبری بود. دو روز بعد سرانجام پشتکار برنامهنویس جوان ساکن مشهد نتیجه داد. ماجرای جاسوسی الکترونیکی با گواهینامههای جعلی به یک طوفان خبری در دنیای امنیت سایبری انجامید.
گوگل وقوع جعل گواهینامه و تلاش برای جاسوسی الکترونیکی از پست الکترونیکی شهروندان را تأیید کرد، کروم و فایرفاکس خبر از حذف گواهینامههای جعلی دادند و شرکت مایکروسافت نیز گواهینامههای جعلی را برای کاربران ویندوز ویستا و بالاتر به صورت اتوماتیک باطل کرد.
گواهینامههای جعلی SSL توسط شرکت هلندی Diginotar صادر شده بودند. این شرکت صادرکننده گواهینامههای امنیتی برای بسیاری از تشکیلات حیاتی دولت هلند، زیرساختهای شهری -صنعتی و حتی سامانههای امنیتی و حساس مدیریت هویت افراد میباشد.
شرکت Diginotar زیرمجموعه شرکت صاحب نام امنیت داده های VASCO در زوریخ سوئیس میباشد. مدیر شرکت VASCO به هنگام خرید Diginotar این شرکت را از امنترین و قابل اعتمادترین شرکتهای حوزه امنیت دادهها ارزیابی کرده بود.
با انتشار خبر جعل گواهینامهها سهام شرکت VASCO صبح روز سهشنبه به شکل چشمگیری سقوط کرد.
کارشناسان امنیتی متفقاً دولت و نهادهای نظامی- امنیتی ایران را مسئول وقوع این حملات میدانند چرا که افراد یا بنگاههای غیردولتی به زیرساختهای ارتباطی و مخابراتی در ایران دسترسی ندارند. جعل و استفاده از گواهینامههای امنیتی «فقط و فقط با اطلاع و همکاری شرکت دولتی مخابرات ایران و خدماتدهندگان دولتی اینترنت» ممکن است.
تلاش بیوقفه برای جعل گواهینامههای اس اس ال که از پنج ماه پیش توسط ایران رسما آعاز شد، در واقع اعلام جهاد انتحاری علیه زیرساختهای امنیتی اقتصاد جهانی است. در مورد اخیر بر خلاف هک نمایندگی ایتالیایی شرکت کومودو، مجموعهای هدف قرار گرفته است که مستقیماً با امنیت حیاتی شهروندان و زیرساختهای کشور هلند ارتباط مستقیم دارد.
هلند عضو مؤثر ناتو، پیمان آتلانتیک شمالی، و اتحادیه اروپاست و به اعتقاد ناظران، جعل گواهینامههای امنیتی شرکت Diginotar به تغییر نگرش راهبردی بازیگران عمده درگیر در نبرد سایبری در سطح جهانی خواهد انجامید.
در این مورد خاص اصرار دولت جمهوری اسلامی ایران به سانسور و کنترل شهروندان داخل کشور به تروریسم سایبری علیه زیرساختهای امنیت اینترنتی جهان انجامیده است. تهدید در قالب جعل گواهینامههای SSL کشورهایی نظیر جمهوری خلق چین را که از شرکای تجاری- سیاسی جمهوری اسلامی ایران به شمار میروند بیتردید به سمت رویارویی امنیتی با ایران خواهد برد.
کاربران ایرانی چه کنند؟
متأسفانه معضلات امنیتی متعددی در ساختار صدور گواهینامههای اس اس ال به چشم میخورد که در این مورد مورد سوءاستفاده جمهوری اسلامی ایران قرار گرفته است. کارشناسان امنیت سایبری مدتهاست نسبت به خطرات صدور گواهینامههای ستارهدار، موسوم به Wildcards، که به صورت کلی و در ازای مبالغی حدود ۱۰ دلار آمریکا صادر میشوند، هشدار دادهاند.
عملیات اخیر هک شرکت Diginotar علیرغم هزینههای سیاسی، امنیتی انتحارگونه برای دولت جمهوری اسلامی ایران از لحاظ فنی موفقیتآمیز بوده است.
نهادهای امنیتی جمهوری اسلامی ایران در فاصله ۱۸ تیر ۱۳۹۰ تا پنجم شهریور ماه قادر بودهاند، اکانت جیمیل و دیگر سرویسهای گوگل نظیر سرویس اسناد Google Docs و تاریخچه گوگل Web History کاربرانی خاص را تماماً کنترل نمایند بدون آنکه کسی متوجه شده باشد.
بسیاری از کاربران ایرانی برای اتصال به اینترنت باز و عبور از فیلترها از VPN استفاده میکنند. اگر این VPN ها خود به صورت کدگذاری شده دادههای شما را ارسال میکرده دلیلی برای نگرانی نیست. توصیههای فنی زیر میتواند کاربران ایرانی را برای تأمین امنیت ایمیلشان یاری رساند.
۱. امروز ما میدانیم که گواهینامههای Diginotar برای مدت پنج هفته هک شده بودند. آیا گواهینامههای دیگری نیز در دسترس نهادهای امنیتی جمهوری اسلامی ایران قراردارند؟ پاسخ به این سؤال مشکل است. بنابراین شوربختانه باید پذیرفت دولت جمهوری اسلامی ایران تتمه اعتبار بینالمللی خود را برای قطع دسترسی شهروندان کشورش به دنیای اخبار و اطلاعات آزاد هزینه میکند و در این راه قدری موفقیت نیز کسب کرده است.
در عین حال هدف اصلی جمهوری اسلامی ایران ارعاب شهروندان ناراضی این کشور است. انتشار خبر ناامن بودن جیمیل به هراس شهروندان از تبادل اطلاعات خواهد انجامید و این دقیقاً خواست طراحان حملات اخیر است. کاربران ایرانی با قدری توجه و کسب مهارتهای لازم از این سد جمهوری اسلامی ایران نیز چونان پروژه شکست خورده فیلترینگ عبور خواهند کرد.
۲. جمهوری اسلامی ایران در صورت اصرار بر تهدید زیرساخت امنیت جهان سایبر با جعل اس اس ال عملاً وارد جنگ با سراسر دنیا خواهد شد. به همین خاطر اصرار این نظام به ادامه جعل گواهینامههای SSL انتحار امنیتی تلقی شده و بعید است در شکل گسترده و سازمانیافته تکرار شود و در عین حال به لطف عملیات ماههای گذشته جمهوری اسلامی ایران کارشناسان امنیت دادهها به روشنی از خداحافظی با پروسه صدور گواهینامه امنیتی به شکل کنونی سخن میگویند. عمر صدور گواهینامههای SSL در قالب فعلی چندان طولانی نخواهد بود.
۳. تأخیر مرورگرهای اکسپلورر و فایرفاکس در تشخیص گواهینامههای جعلی دلیل روشنی بر لزوم استفاده کاربران ایرانی از مرورگر گوگل کروم است. کروم مرورگری سریع و قابل اعتماد است و ماجرای اخیر به روشنی نشان از برتری امنیتی کروم نسبت به سایر رقبا دارد.
۴. بلافاصله و همین امروز پسورد ایمیل خود را عوض کنید، علاوه بر پسورد - ایمیل ثانویه Secondary mail و سؤالات امنیتی Security Questions خود را نیز تغییر دهید.
۵. اگر ایمیل شما حاوی دادههای غیرحساس و صرفاً خصوصی است باید بدانید دولت ایران قطعاً توان فنی، سختافزاری و نیروی انسانی کنترل دادههای ورودی و خروجی همه شهروندان را ندارد و تنها تعداد اندکی را میتوان با جعل گواهینامههای امنیتی و تحلیل همه پاکتهای داده کنترل کرد.
اگر ایمیل شما واقعاً حاوی اطلاعات حساس است از کدگذاریهای پیچیدهتر استفاده کنید. دادههای خود را با نرمافزارهایی نظیر Truecrypt کدگذاری کنید و همزمان از VPN های SSL برای همه مبادلات داده اینترنتی خود استفاده کنید. در این حالت دولت ایران قادر به کنترل دادههای شما نیست.
۶. همانطور که بارها گفته شده، مرورگر و سیستم عامل خود را همیشه به روز نگه دارید. قبل از ورود به صندوق ایمیل و دیگر اطلاعات حساس خود از به روز بودن سیستم عامل و مرورگر خود اطمینان حاصل کنید. نسخههای جدیدتر ویندوز نظیر ویندوز ۷ و ویستا بلافاصله خود را برابر تهدید گواهینامه ها به روزرسانی اتوماتیک کردند حال آنکه ویندوزهای قدیمیتر نظیر ویندورزهای ۹۵، ۹۸ و XP برای ابطال گواهینامهها نیازمند اعمال تغییرات دستی و پیچیدهتر هستند.
۷. توصیههای کارشناسان امنیتی سایبری به کاربران ایرانی را با دقت دنبال کنید. هنوز میتوان با درصد بالایی از اطمینان استفاده از سرویسهای گوگل را به کاربران ایرانی توصیه کرد اما در صورت ادامه تهاجم ایران علیه گواهینامههای امنیتی، روشهای دیگری به تدریج برای خنثیسازی تهدیدهای موجود ارائه خواهد شد.
۸. بسیاری از کاربران ماجرای جعل گواهینامههای امنیتی را هنوز نشنیدهاند. تکثیر اطلاعات و ارائه راهکارهای تأمین امنیت بیشتر برای ایمیل کاربران ایرانی وظیفه اخلاقی جامعه شهروندان دنیای بدون مرز و مجازی است.
---------------------------------------------------------------------------
* نیما راشدان، کارشناس امنیت سایبری است.
او به جای آنکه مانند بسیاری از کاربران دیگر خطا را نادیده گرفته یا از مرورگر دیگری برای ورود به اکانت خود استفاده کند، شروع به واکاوی مسیر ارتباطی کامپیوتر خود به سرورهای گوگل کرد. نتیجه این آزمایش ساده، حقیقتی تکاندهنده بود. فرد یا نهادی در ایران با جعل گواهینامههای اس اس ال، به شیوه «مرد میانی» مشغول جاسوسی از ایمیلهای شهروندان ایرانی است.
علی برهانی، کارشناس برنامهنویسی وب، از روز شنبه تلاش خود را برای آگاهسازی میلیونها شهروند ایرانی از جاسوسی سازمانیافته صندوقهای پست الکترونیکیشان آغاز نمود. او تصویری از صفحات مرورگر کامپیوتر شخصی خواهرش که ورود به جیمیل را روی آن کنترل میکرد تهیه و در یک شبکه اجتماعی کدهای متن، به اشتراک گذاشت.
به انجمنهای شرکت گوگل رفت و به آنان احتمال تکرار حملات مشهور به «هکر کمودو» را هشدار داد. ساعتها گذشت و علی همچنان مشغول ارسال اخطار در سایتهای مختلف امنیت سایبری بود. دو روز بعد سرانجام پشتکار برنامهنویس جوان ساکن مشهد نتیجه داد. ماجرای جاسوسی الکترونیکی با گواهینامههای جعلی به یک طوفان خبری در دنیای امنیت سایبری انجامید.
گوگل وقوع جعل گواهینامه و تلاش برای جاسوسی الکترونیکی از پست الکترونیکی شهروندان را تأیید کرد، کروم و فایرفاکس خبر از حذف گواهینامههای جعلی دادند و شرکت مایکروسافت نیز گواهینامههای جعلی را برای کاربران ویندوز ویستا و بالاتر به صورت اتوماتیک باطل کرد.
گواهینامههای جعلی SSL توسط شرکت هلندی Diginotar صادر شده بودند. این شرکت صادرکننده گواهینامههای امنیتی برای بسیاری از تشکیلات حیاتی دولت هلند، زیرساختهای شهری -صنعتی و حتی سامانههای امنیتی و حساس مدیریت هویت افراد میباشد.
شرکت Diginotar زیرمجموعه شرکت صاحب نام امنیت داده های VASCO در زوریخ سوئیس میباشد. مدیر شرکت VASCO به هنگام خرید Diginotar این شرکت را از امنترین و قابل اعتمادترین شرکتهای حوزه امنیت دادهها ارزیابی کرده بود.
با انتشار خبر جعل گواهینامهها سهام شرکت VASCO صبح روز سهشنبه به شکل چشمگیری سقوط کرد.
کارشناسان امنیتی متفقاً دولت و نهادهای نظامی- امنیتی ایران را مسئول وقوع این حملات میدانند چرا که افراد یا بنگاههای غیردولتی به زیرساختهای ارتباطی و مخابراتی در ایران دسترسی ندارند. جعل و استفاده از گواهینامههای امنیتی «فقط و فقط با اطلاع و همکاری شرکت دولتی مخابرات ایران و خدماتدهندگان دولتی اینترنت» ممکن است.
تلاش بیوقفه برای جعل گواهینامههای اس اس ال که از پنج ماه پیش توسط ایران رسما آعاز شد، در واقع اعلام جهاد انتحاری علیه زیرساختهای امنیتی اقتصاد جهانی است. در مورد اخیر بر خلاف هک نمایندگی ایتالیایی شرکت کومودو، مجموعهای هدف قرار گرفته است که مستقیماً با امنیت حیاتی شهروندان و زیرساختهای کشور هلند ارتباط مستقیم دارد.
هلند عضو مؤثر ناتو، پیمان آتلانتیک شمالی، و اتحادیه اروپاست و به اعتقاد ناظران، جعل گواهینامههای امنیتی شرکت Diginotar به تغییر نگرش راهبردی بازیگران عمده درگیر در نبرد سایبری در سطح جهانی خواهد انجامید.
در این مورد خاص اصرار دولت جمهوری اسلامی ایران به سانسور و کنترل شهروندان داخل کشور به تروریسم سایبری علیه زیرساختهای امنیت اینترنتی جهان انجامیده است. تهدید در قالب جعل گواهینامههای SSL کشورهایی نظیر جمهوری خلق چین را که از شرکای تجاری- سیاسی جمهوری اسلامی ایران به شمار میروند بیتردید به سمت رویارویی امنیتی با ایران خواهد برد.
کاربران ایرانی چه کنند؟
متأسفانه معضلات امنیتی متعددی در ساختار صدور گواهینامههای اس اس ال به چشم میخورد که در این مورد مورد سوءاستفاده جمهوری اسلامی ایران قرار گرفته است. کارشناسان امنیت سایبری مدتهاست نسبت به خطرات صدور گواهینامههای ستارهدار، موسوم به Wildcards، که به صورت کلی و در ازای مبالغی حدود ۱۰ دلار آمریکا صادر میشوند، هشدار دادهاند.
عملیات اخیر هک شرکت Diginotar علیرغم هزینههای سیاسی، امنیتی انتحارگونه برای دولت جمهوری اسلامی ایران از لحاظ فنی موفقیتآمیز بوده است.
نهادهای امنیتی جمهوری اسلامی ایران در فاصله ۱۸ تیر ۱۳۹۰ تا پنجم شهریور ماه قادر بودهاند، اکانت جیمیل و دیگر سرویسهای گوگل نظیر سرویس اسناد Google Docs و تاریخچه گوگل Web History کاربرانی خاص را تماماً کنترل نمایند بدون آنکه کسی متوجه شده باشد.
بسیاری از کاربران ایرانی برای اتصال به اینترنت باز و عبور از فیلترها از VPN استفاده میکنند. اگر این VPN ها خود به صورت کدگذاری شده دادههای شما را ارسال میکرده دلیلی برای نگرانی نیست. توصیههای فنی زیر میتواند کاربران ایرانی را برای تأمین امنیت ایمیلشان یاری رساند.
۱. امروز ما میدانیم که گواهینامههای Diginotar برای مدت پنج هفته هک شده بودند. آیا گواهینامههای دیگری نیز در دسترس نهادهای امنیتی جمهوری اسلامی ایران قراردارند؟ پاسخ به این سؤال مشکل است. بنابراین شوربختانه باید پذیرفت دولت جمهوری اسلامی ایران تتمه اعتبار بینالمللی خود را برای قطع دسترسی شهروندان کشورش به دنیای اخبار و اطلاعات آزاد هزینه میکند و در این راه قدری موفقیت نیز کسب کرده است.
در عین حال هدف اصلی جمهوری اسلامی ایران ارعاب شهروندان ناراضی این کشور است. انتشار خبر ناامن بودن جیمیل به هراس شهروندان از تبادل اطلاعات خواهد انجامید و این دقیقاً خواست طراحان حملات اخیر است. کاربران ایرانی با قدری توجه و کسب مهارتهای لازم از این سد جمهوری اسلامی ایران نیز چونان پروژه شکست خورده فیلترینگ عبور خواهند کرد.
۲. جمهوری اسلامی ایران در صورت اصرار بر تهدید زیرساخت امنیت جهان سایبر با جعل اس اس ال عملاً وارد جنگ با سراسر دنیا خواهد شد. به همین خاطر اصرار این نظام به ادامه جعل گواهینامههای SSL انتحار امنیتی تلقی شده و بعید است در شکل گسترده و سازمانیافته تکرار شود و در عین حال به لطف عملیات ماههای گذشته جمهوری اسلامی ایران کارشناسان امنیت دادهها به روشنی از خداحافظی با پروسه صدور گواهینامه امنیتی به شکل کنونی سخن میگویند. عمر صدور گواهینامههای SSL در قالب فعلی چندان طولانی نخواهد بود.
۳. تأخیر مرورگرهای اکسپلورر و فایرفاکس در تشخیص گواهینامههای جعلی دلیل روشنی بر لزوم استفاده کاربران ایرانی از مرورگر گوگل کروم است. کروم مرورگری سریع و قابل اعتماد است و ماجرای اخیر به روشنی نشان از برتری امنیتی کروم نسبت به سایر رقبا دارد.
۴. بلافاصله و همین امروز پسورد ایمیل خود را عوض کنید، علاوه بر پسورد - ایمیل ثانویه Secondary mail و سؤالات امنیتی Security Questions خود را نیز تغییر دهید.
۵. اگر ایمیل شما حاوی دادههای غیرحساس و صرفاً خصوصی است باید بدانید دولت ایران قطعاً توان فنی، سختافزاری و نیروی انسانی کنترل دادههای ورودی و خروجی همه شهروندان را ندارد و تنها تعداد اندکی را میتوان با جعل گواهینامههای امنیتی و تحلیل همه پاکتهای داده کنترل کرد.
اگر ایمیل شما واقعاً حاوی اطلاعات حساس است از کدگذاریهای پیچیدهتر استفاده کنید. دادههای خود را با نرمافزارهایی نظیر Truecrypt کدگذاری کنید و همزمان از VPN های SSL برای همه مبادلات داده اینترنتی خود استفاده کنید. در این حالت دولت ایران قادر به کنترل دادههای شما نیست.
۶. همانطور که بارها گفته شده، مرورگر و سیستم عامل خود را همیشه به روز نگه دارید. قبل از ورود به صندوق ایمیل و دیگر اطلاعات حساس خود از به روز بودن سیستم عامل و مرورگر خود اطمینان حاصل کنید. نسخههای جدیدتر ویندوز نظیر ویندوز ۷ و ویستا بلافاصله خود را برابر تهدید گواهینامه ها به روزرسانی اتوماتیک کردند حال آنکه ویندوزهای قدیمیتر نظیر ویندورزهای ۹۵، ۹۸ و XP برای ابطال گواهینامهها نیازمند اعمال تغییرات دستی و پیچیدهتر هستند.
۷. توصیههای کارشناسان امنیتی سایبری به کاربران ایرانی را با دقت دنبال کنید. هنوز میتوان با درصد بالایی از اطمینان استفاده از سرویسهای گوگل را به کاربران ایرانی توصیه کرد اما در صورت ادامه تهاجم ایران علیه گواهینامههای امنیتی، روشهای دیگری به تدریج برای خنثیسازی تهدیدهای موجود ارائه خواهد شد.
۸. بسیاری از کاربران ماجرای جعل گواهینامههای امنیتی را هنوز نشنیدهاند. تکثیر اطلاعات و ارائه راهکارهای تأمین امنیت بیشتر برای ایمیل کاربران ایرانی وظیفه اخلاقی جامعه شهروندان دنیای بدون مرز و مجازی است.
---------------------------------------------------------------------------
* نیما راشدان، کارشناس امنیت سایبری است.