از زمان اتصال ایران به اینترنت ۲۵ سال میگذرد و از حدود ۱۷ سال پیش اینترنت مورد استفاده بسیاری از ایرانیان قرار گرفت. یکی دو سالی نگذشت که جامعه هکری ایران شکل گرفت و از سوی دیگر اولین بازداشت بلاگرهای ایرانی نیز آغاز شد. این سرآغاز گزارشی مفصل از بنیاد کارنگی در آمریکاست که به موضوع فعالیتهای سایبری ایران می پردازد.
در این گزارش که کالین اندرسون محقق حوزه امنیت سایبری، و کریم سجادپور، از محققان ارشد در بنیاد کارنگی آن را تهیه کردهاند آمده است که نهادهای امنیتی در ایران، همانند سایر دستگاههای امنیتی در کشورهای سراسر جهان، به طور فزایندهای در زمینه جاسوسی سایبر و حملات تخریبی ورزیده شدهاند. اقداماتی که دامنه آن از مخالفان حکومت ایران در داخل و خارج از کشور، و نهادهای مدنی در ایران، تا سازمانهای دولتی، دفاعی، تجاری و دیپلماتیک در آمریکا، اسرائیل، آلمان و عربستان سعودی را در بر میگیرد.
این گزارش که به تازگی با تمرکز بر اقدامات تخریبی حکومت ایران در فضای سایبر منتشر شده، از جمله اشاره میکند که حکومت ایران عملیات تهاجمی خود در فضای مجازی را در پوشش حسابهای کاربری عمومی گمراهکنندهای دنبال میکند تا ضمن نمایش توانایی خود در این زمینه، از مسئولیت چنین اقداماتی شانه خالی کند.
درباره این گزارش تازه، رادیوفردا با کالین اندرسون، گفتوگو کرده است.
آقای اندرسون، این گزارش شما چه بازه زمانی را در زمینه فعالیتهای سایبری از داخل ایران، در نظر گرفته است؟
این تحقیق از خیلی وقت پیش برای من، و از زمانی که درباره هدف گرفته شدن فعالان ایرانی شنیدیم، آغاز شد. اما دسترسی به اطلاعات خام درباره نحوه انجام این حملات و اینکه چه کسی آن را انجام میدهد خیلی سخت بود.
انتخابات سال ۲۰۱۳ (۹۲) زمانی بود که ما به اطلاعاتی درباره حملات «فیشینگ» دست پیدا کردیم. من از سال ۲۰۰۹ (۸۸) بسیار مشتاق بودم که به اطلاعات دست یابم. در آستانه انتخابات ۹۲ بود که به یکباره من با موجی از اطلاعات روبهرو شدم و تا آن زمان هیچ اطلاعاتی به دست نیاورده بودم.
ممکن است نحوه تحقیق خود را کمی توضیح دهید؟ چون برای کسی که اطلاعات کافی در این زمینه نداشته باشد، شاید کار شما شبیه این باشد که یک گروه دست به هک کردن زدن، و شما هم در مقابل آنها را هک کردید تا به اطلاعات دست پیدا کنید.
نه. هم اکنون یک حوزه بسیار تخصصی درباره امنیت سایبری و تحقیق در این زمینه وجود دارد و فنونی در دست هست تا بتوان در این زمینه تحقیق کرد. این تکنیکها این فرصت را فراهم میکند که به انبوهی از اطلاعات دست پیدا کنیم و بفهمیم چه کسی حمله میکند و چه کسی هدف حمله بوده است.
یک مثال میزنم تا شاید روشن شود. وقتی کسی با یک بدافزار آلوده میشود، آن بدافزار باید اطلاعات را به حملهکنندگان بازگرداند. و معمولاً این را با در ارتباط بودن با یک دامنه اینترنتی انجام میدهد. مثلاً به نام malicousmalware.com، آنچه که محقق این حوزه انجام میدهد این است که معمولاً این دامنه را به عنوان یک دامنه منقضی ثبت میکند، یا از یک ارائهدهنده خدمات میخواهد که دسترسی این دامنه را به سوی محقق منحرف کند.
نام این کار (سینک هولینگ) sinkholing است. وقتی این کار انجام میدهد، زمینهای فراهم میشود که بفهمیم حملهکننده چه میکرده و به دنبال چه بوده است. در بسیاری از موارد در این زمینه، ما از این راه استفاده کردیم اما راههای زیادی هست که شبیه به این شیوه است، اما مطمئناً هک کردن نیست، و به عنوان یک شیوه معمول، شئون اخلاقی مشخصی هم دارد و بسیار اخلاقیتر و قانونیتر از هک کردن است.
درباره اهداف این حملات کمی صحبت کنیم. در میان کارکنان رادیوفردا هم خبرنگارانی هدف این حملات بودهاند. شما چگونه قربانیان را دستهبندی میکنید؟
گروههای متعددی هستند و برای ایرانیها و درک آنها از وضعیت سیاسی کشورشان، این گروهها قابل پیشبینیاند. این گروهها با توجه به سابقه سرکوب از سوی حکومت ایران قابل پیشبینی هستند. هکرها، خبرنگاران، منتقدان سیاسی، اقلیتهای مذهبی، را هدف میگیرند. همچنین دشمنان منطقهای، مثل عربستان سعودی، اسرائیل و همچنین ایالات متحده آمریکا و برخی کشورهای اروپایی از جمله اهداف هستند.
گروهی دیگری که شگفتانگیز نیست اما مهم است درباره آن صحبت کنیم، این است که در کنار گروههای قبلی، خود دولت ایران هدف این حملات بوده است. در این گزارش ما درباره هدف گرفته شدن اعضای وزارت خارجه ایران، و اعضای دولت روحانی، در طول سالهای اخیر صحبت کردیم.
همچنین فقط منتقدان و مخالفان سیاسی نبودند که هدف گرفته شدند، بلکه افراد عادی که شیوهای از زندگی را تشویق میکنند، هم هدف حملات سایبری بودهاند. در کنار اینها گروههایی که دست به خشونت علیه ایران و حکومت آن زدهاند هم هدف این حملات بودند. و اینها گروههایی هستند که از سوی بسیاری از دولتها هدف گرفته میشوند.
شما به اهداف متعددی اشاره کردهاید. از خبرنگاران و مخالفان حکومت، تا خود اعضای دولت حسن روحانی. در گزارشتان حتی به وزیر خارجه محمدجواد ظریف هم اشاره کردهاید. در ماههای گذشته دولت آمریکا اقداماتی را در زمینه اعلام اسامی برخی از هکرهای ایرانی انجام داده است. با این دامنه گسترده، و اگر خود دولتی ها هم هدف هستند، نتیجهگیری شما از عامل یا عاملان این حملات سایبری چه بوده است؟
من فکر میکنم یکی از مهمترین کارهایی که این تحقیق انجام میدهد این است که ما از جمله اولین محققانی هستیم که رابطه بین این حملات و حکومت ایران را به صورت مستقل و قابل اثبات نشان میدهیم.
کاری که ما کردیم این است که به صورت بنیادین نشان دهیم با توجه به تعداد این حملاتی که منبع آن داخل ایران است، یک نوعی از هماهنگی با نهادهای امنیتی ایران وجود دارد. در حالی که گروههای متعددی وجود دارند و این گروهها وابستگیهای مختلفی دارند، برخی وابسته به سپاه پاسداران انقلاب اسلامی هستند و برخی دیگر مرتبط با وزارت اطلاعات هستند، اما این اقدامات تکرار میشوند.
نمونه بسیار صریح در این زمینه، مورد کسانیاست که در دستکم دو سال اخیر، توسط سپاه بازداشت شدند، و تنها چند ساعت بعد، پیش از آنکه کسی از بازداشت آنها حتی باخبر شده باشد، دسترسی به حسابهای آنها انجام شده، و بدافزار و حملات فیشینگ از آدرسهای آنها برای دیگران فرستاده شده است.
اینها کسانی بودند که کسی از بازداشتشان خبر نداشته، و به یکباره حسابهای کاربریشان برای انجام حملات مورد استفاده قرار گرفته است. این یک رابطه خیلی مستقیم است که ما با توجه به چندین پرونده مهم موفق به ترسیم آن شدهایم. مثلاً در مورد سیامک نمازی و پدرش باقر نمازی، زندانیان ایرانی آمریکایی و همچنین نزار ذکا زندانی لبنانی در ایران این اتفاق افتاده است.
موارد دیگری هم بوده است که برای حفظ حریم شخصی نمیتوانم اشاره کنم.
آقای اندرسون سؤال آخرم این است که این گزارش تازه شما، در زمانی منتشر شده که ایران شاهد برگزاری تجمعات اعتراضی و محدود شدن شدید فضای اینترنت است. به نظرتان اهمیت این گزارش در این روزها چیست؟
سؤال خوبی است. به نظرم آنچه ما نشان دادیم این است که زیر پوست این سانسوری که مردم به صورت محسوس میبینند، مثلاً در زمینه دسترسی به تلگرام، یک لایه خطرناک و زیانبار به اندازه همان سانسور وجود دارد، که حملات هدفدار علیه حریم شخصی و امنیت ارتباطات کنشگران است.
ما میخواهیم نشان دهیم که از زمان جنبش سبز در سال ۸۸، هر چقدر که دولت در تلاش برای سرمایهگذاری در زمینه سانسور و محدود کردن دسترسیها بوده، به همان اندازه هم درباره نظارت بر اقدامات افراد کار کرده است.
فکر میکنم آنچه ما در عرصه بینالمللی انجام دادیم این است که اگر چه دولتها بر روی حملات سایبری علیه زیرساختها یا مثلاً بانکها متمرکز هستند، ما نشان دادیم که همان گروه از هکرها، که به زیرساختهای آمریکا حمله سایبری کردند، در حال حمله به مخالفان سیاسی حکومت ایران هم هستند.
همان کسانی که حملات «دی داس» (حمله محرومسازی از سرویس) علیه بانکها را انجام دادند، به وبسایتهای مخالفان هم حمله کردهاند. و امنیت ایرانیها به همان اندازه امنیت زیرساختهای آمریکا مهم است. این در واقع دو پاسخ بود که هر دو مهم و در عین حال مرتبط با هم هستند.