دولت جمهوری اسلامی ایران میگوید در حال بررسی حملات سایبری مشکوکی است که در هفته اخیر ترمینال اصلی صادرات نفت و بخشی از شبکه کامپیوتری وزارت نفت را هدف گرفت. به گفته مقامات دولت ایران، حداقل تا روز ۲۴ آوریل نشانههایی از صدمه جدی به این تاسیسات دیده نشده است.
برای بررسی جزئیات چنین حملاتی و ابعاد احتمالی ضایعات ناشی از آن رادیو اروپای آزاد/ رادیو آزادی با بولدیزار بنچاس، استاد دانشگاه بوداپست در رشته سیستمهای ایمنی، مصاحبهای انجام داده است.
بولدیزار بنچاس: ما غیر از اطلاعیههای رسمی و سخنان مقامات ایران هیچ اطلاعات دیگری نداریم. هیچ نمونه یا اطلاعات دیگری نداریم که جزئیات این حملات را افشا و تشریح کند. بسیاری حدس میزنند که احتمالا این حملهای هدفمند با استفاده از یک ویروس کامپیوتری بوده، ولی حقیقت این است که هیچ اطلاعات دقیقی در این مورد وجود ندارد.
بله این امکان وجود دارد، ولی در اکثر موارد دولت ایران به ضعفهای موجود در سیستمهای فنی خود اعتراف نمیکند.
با توجه به این که در گذشته نیز تاسیسات دیگری در ایران هدف حملات سایبری قرار گرفتهاند برخی معتقدند که این اختلال نیز ممکن است محصول حمله مشابهی باشد.
مورد اول از این نوع حملات شیوع بدافزار «استاکسنت» در سال ۲۰۰۹ و ۲۰۱۰ در شبکه کنترل برخی از تاسیسات هستهای ایران بود. مورد دوم ویروس یا بدافزار «دوک» بود که در یکی از شبکههای کامپیوتری موجود در اروپا کشف شد. این مورد نیز یک حمله سایبری هدفمند بود.
به همین خاطر احتمال میرود که مورد اخیر نیز یک بدافزار مشابه یا نمونه تغییریافتهای از بدافزار «دوک» باشد که این بار شبکه ارتباطی صنایع نفت ایران را هدف گرفته است. ولی باید تاکید کنم که فعلا هیچ شواهدی دال بر ارتباط این موارد با یکدیگر وجود ندارد.
ویروس سومی نیز وجود داشت که «استارز» نامیده میشد و مقامات دولت ایران در ماه آوریل سال گذشته وجود آن را گزارش دادند. وقوع یک اختلال دیگر درست یک سال پس از انتشار اخبار مربوط به ویروس «استارز» کمی مشکوک به نظر میرسد. در مورد بدافزار «استارز» اطلاعات چندانی نداریم. دولت ایران اطلاعات خود را در این زمینه در اختیار مراکز و موسسات ایمنی شبکههای کامپیوتری قرار نداده است. بنابراین کسی واقعا نمیداند که بدافزار یا ویروس «استارز» واقعا چه بود.
شیوع بدافزار در شبکههای کامپیوتری و ارتباطی میتواند هدفهای مختلفی داشته باشد. برای مثال، در مورد ویروس «دوک» میدانیم که میتواند از طریق نفوذ در کیبورد کامپیوترها تمام اطلاعاتی را که به سیستم داده میشود متوقف کند یا با نفوذ در صفحه کامپیوترها میتواند تمام اطلاعات ذخیره شده یا اطلاعاتی را که از طریق حافظههای جداگانه به شبکه وصل میشوند، تغییر داده و حتی آنها را پاک کند.
در عین حال چنین بدافزاری ممکن است بتواند هر کاری که میخواهد انجام دهد. اگر سیستمهای ایمنی وجود آن را تشخیص ندهند میتواند از یک کامپیوتر به کامپیوتر دیگری منتقل شده و به مرور کل شبکه را در بربگیرد. اگر کامپیوترهای یک مجموعه اداری یا صنعتی به سیستمهای کنترل مرکزی متصل باشند این ویروس ممکن است به قلب این شبکه نفوذ کرده و حتی در آنجا نیز خرابکاری خود را انجام دهد.
شیوهای که این نوع حملات اتفاق میافتد معمولا وارد کردن ویروس به یک یا چند کامپیوتر متصل به یک شبکه است. در نتیجه میزان صدمات ناشی از هر مورد از این حملات به این بستگی دارد که چه مدتی این ویروسها در شبکه فعال بوده و با چه سرعتی توانستهاند خرابکاریهای خود را انجام دهند.
مسلما همه این شبکهها یک سیستم یا نسخه اضطراری دارند که در صورت آسیب دیدن شبکه فعال میتوانند آن را راهاندازی کنند. بنابراین متناسب با گستردگی هر سیستم و یا میزان آسیبی که به آن وارد شده احتمالا راهاندازی یک سیستم جایگزین ممکن است بین چند ساعت و یا چند روز طول بکشد.
سرعت ترمیم شبکه و راهاندازی سیستمهای جایگزین به این بستگی دارد که ویروس یا بدافزاری که به آن سیستم حمله کرده چقدر فرصت خرابکاری داشته و در چه ابعادی به شبکه نفوذ کرده است. در عین حال به این نیز بستگی دارد که بدافزارها به چه حدی از اطلاعات حساس آن شبکه دست یافتهاند. برای مثال، اگر اطلاعات ساختاری شبکه را مورد حمله قرار داده باشند ترمیم و راهاندازی آن زمان بیشتری طول خواهد کشید.
برای بررسی جزئیات چنین حملاتی و ابعاد احتمالی ضایعات ناشی از آن رادیو اروپای آزاد/ رادیو آزادی با بولدیزار بنچاس، استاد دانشگاه بوداپست در رشته سیستمهای ایمنی، مصاحبهای انجام داده است.
- رادیو اروپای آزاد: دولت ایران برای مقابله با آن چه «حملات سایبری» توصیف کرده کمیته بحران تشکیل داده است. مقامات ایرانی میگویند که یک ویروس، بدافزار، که اطلاعات ذخیره شده در سیستمهای کامیپوتری را پاک میکند از چند روز پیش به شبکه کامپیوتری وزارت نفت و شرکت ملی نفت یران حمله کرده و برای مقابله با این وضعیت آنها مجبور شدهاند موقتا سیستم کنترل در برخی از این تاسیسات را از دور خارج کنند. ما چه اطلاعات دقیقی در مورد این حمله سایبری در دست داریم؟
بولدیزار بنچاس: ما غیر از اطلاعیههای رسمی و سخنان مقامات ایران هیچ اطلاعات دیگری نداریم. هیچ نمونه یا اطلاعات دیگری نداریم که جزئیات این حملات را افشا و تشریح کند. بسیاری حدس میزنند که احتمالا این حملهای هدفمند با استفاده از یک ویروس کامپیوتری بوده، ولی حقیقت این است که هیچ اطلاعات دقیقی در این مورد وجود ندارد.
- اگر این اختلال ناشی از حمله یک نوع بدافزار نباشد، ممکن است دلیل آن مشکلات فنی در شبکه ارتباطی وزارت نفت ایران باشد؟
بله این امکان وجود دارد، ولی در اکثر موارد دولت ایران به ضعفهای موجود در سیستمهای فنی خود اعتراف نمیکند.
- چه عوامل و دلایلی ممکن است وجود داشته باشد که احتمال وقوع یک حمله سایبری را تقویت میکند؟
با توجه به این که در گذشته نیز تاسیسات دیگری در ایران هدف حملات سایبری قرار گرفتهاند برخی معتقدند که این اختلال نیز ممکن است محصول حمله مشابهی باشد.
مورد اول از این نوع حملات شیوع بدافزار «استاکسنت» در سال ۲۰۰۹ و ۲۰۱۰ در شبکه کنترل برخی از تاسیسات هستهای ایران بود. مورد دوم ویروس یا بدافزار «دوک» بود که در یکی از شبکههای کامپیوتری موجود در اروپا کشف شد. این مورد نیز یک حمله سایبری هدفمند بود.
به همین خاطر احتمال میرود که مورد اخیر نیز یک بدافزار مشابه یا نمونه تغییریافتهای از بدافزار «دوک» باشد که این بار شبکه ارتباطی صنایع نفت ایران را هدف گرفته است. ولی باید تاکید کنم که فعلا هیچ شواهدی دال بر ارتباط این موارد با یکدیگر وجود ندارد.
ویروس سومی نیز وجود داشت که «استارز» نامیده میشد و مقامات دولت ایران در ماه آوریل سال گذشته وجود آن را گزارش دادند. وقوع یک اختلال دیگر درست یک سال پس از انتشار اخبار مربوط به ویروس «استارز» کمی مشکوک به نظر میرسد. در مورد بدافزار «استارز» اطلاعات چندانی نداریم. دولت ایران اطلاعات خود را در این زمینه در اختیار مراکز و موسسات ایمنی شبکههای کامپیوتری قرار نداده است. بنابراین کسی واقعا نمیداند که بدافزار یا ویروس «استارز» واقعا چه بود.
- دولت ایران آمریکا و اسرائیل را به خاطر مشارکت و برنامهریزی این حملات سایبری متهم کرده است. به نظر شما چرا یک کشور خارجی ممکن است بخواهد به وسیله بدافزارهای کامپیوتری شبکههای ارتباطی صنایع نفت ایران را مختل کند؟
شیوع بدافزار در شبکههای کامپیوتری و ارتباطی میتواند هدفهای مختلفی داشته باشد. برای مثال، در مورد ویروس «دوک» میدانیم که میتواند از طریق نفوذ در کیبورد کامپیوترها تمام اطلاعاتی را که به سیستم داده میشود متوقف کند یا با نفوذ در صفحه کامپیوترها میتواند تمام اطلاعات ذخیره شده یا اطلاعاتی را که از طریق حافظههای جداگانه به شبکه وصل میشوند، تغییر داده و حتی آنها را پاک کند.
در عین حال چنین بدافزاری ممکن است بتواند هر کاری که میخواهد انجام دهد. اگر سیستمهای ایمنی وجود آن را تشخیص ندهند میتواند از یک کامپیوتر به کامپیوتر دیگری منتقل شده و به مرور کل شبکه را در بربگیرد. اگر کامپیوترهای یک مجموعه اداری یا صنعتی به سیستمهای کنترل مرکزی متصل باشند این ویروس ممکن است به قلب این شبکه نفوذ کرده و حتی در آنجا نیز خرابکاری خود را انجام دهد.
- ایران میگوید که تحت تاثیر اختلال اخیر صدمه جدی ندیده و امیدوار است طی چند روز آینده سیستمهای مختل شده را ترمیم کرده و به کار خود ادامه دهد. در مورد حملات سایبری قبلی نیز ایران مدعی است که دامنه صدمات آنها بسیار محدود بوده است. آیا این ادعاها صحیح است؟
شیوهای که این نوع حملات اتفاق میافتد معمولا وارد کردن ویروس به یک یا چند کامپیوتر متصل به یک شبکه است. در نتیجه میزان صدمات ناشی از هر مورد از این حملات به این بستگی دارد که چه مدتی این ویروسها در شبکه فعال بوده و با چه سرعتی توانستهاند خرابکاریهای خود را انجام دهند.
مسلما همه این شبکهها یک سیستم یا نسخه اضطراری دارند که در صورت آسیب دیدن شبکه فعال میتوانند آن را راهاندازی کنند. بنابراین متناسب با گستردگی هر سیستم و یا میزان آسیبی که به آن وارد شده احتمالا راهاندازی یک سیستم جایگزین ممکن است بین چند ساعت و یا چند روز طول بکشد.
سرعت ترمیم شبکه و راهاندازی سیستمهای جایگزین به این بستگی دارد که ویروس یا بدافزاری که به آن سیستم حمله کرده چقدر فرصت خرابکاری داشته و در چه ابعادی به شبکه نفوذ کرده است. در عین حال به این نیز بستگی دارد که بدافزارها به چه حدی از اطلاعات حساس آن شبکه دست یافتهاند. برای مثال، اگر اطلاعات ساختاری شبکه را مورد حمله قرار داده باشند ترمیم و راهاندازی آن زمان بیشتری طول خواهد کشید.