روزنامه وطن امروز
1397/01/19
سکته سایبری
گروه اقتصادی: از ساعت 21 شبانگاه جمعه بخش قابل توجهی از سایتهای خدماتدهنده ایرانی از دسترس خارج شدند؛ شوکی بیسابقه در فضای مجازی که با پیگیریهای شبانه صورت گرفته تا شروع ساعت اداری شنبه بخش قابل توجهی از این حمله سایبری خنثی شد. به گزارش «وطن امروز»، از همان ساعات اولیه حمله سایبری، محمدجواد آذریجهرمی بالاترین مقام ICT با حضور در توئیتر از هوشیاری وزارت ارتباطات و فناوری اطلاعات در واکنش به این حمله خبر داد. طبق گزارشهای واصله از کشورهای دیگر، دامنه این حمله سایبری تنها به ایران ختم نشده است؛ آمریکا، روسیه و هندوستان از اصلیترین مقاصد این حمله بودهاند. گمانهزنیهایی وجود دارد که مخالفان انتخاب ترامپ به عنوان رئیسجمهور ایالات متحده آمریکا پشت این حمله سایبری هستند اما تاکنون گروهی به طور رسمی مسؤولیت این اتفاق را به عهده نگرفته است. طبق گزارش مرکز ماهر، این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات را مورد حمله قرار داده و همه پیکربندیهای این تجهیزات شامل running-config و startup-config حذف شده است. در موارد بررسی شده پیغامی در قالب startup-config مشاهده شد. دلیل اصلی مشکل، وجود حفره امنیتی در ویژگی smart install client تجهیزات سیسکو است و هر سیستم عاملی که این ویژگی روی آن فعال باشد در معرض این آسیبپذیری قرار داشته و مهاجمان میتوانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور روی روتر/ سوئیچ اقدام کنند. در ادامه گزارش مرکز ماهر آمده که مدیران سیستم با استفاده از دستور «no vstack» نسبت به غیرفعالسازی این قابلیت (که عموما مورد استفاده نیز قرار ندارد) روی سوئیچها و روترهای خود اقدام کنند؛ همچنین بستن پورت ۴۷۸۶ در لبه شبکه نیز توصیه میشود. در صورت نیاز به استفاده از ویژگی smart install نیز لازم است بهروزرسانی به آخرین نسخههای پیشنهادی شرکت سیسکو انجام شود. به گزارش «وطن امروز»، روترها ابزارهایی هستند که با استفاده از آنها میتوان بستهها را بین شبکههای مختلف ارسال و دریافت کرد. بستههای ارسالی در شبکه حاوی آدرسهایی هستند که مقصد را نشان میدهد. روترها با استفاده از این آدرس، بسته مورد نظر را به مقصد میرسانند. به روترهای مسیریاب هم میگویند. روتر زمانی مورد استفاده قرار میگیرد که شبکه داخلی به شبکه گستردهتری متصل شده باشد. زمانی که شما جستوجویی را در گوگل انجام میدهید، روتر شما بستههای مورد نظر را به سمت سرورهای گوگل ارسال میکند تا پردازش انجام شود. برای درک بهتر این موضوع بهتر است ایمیل را در نظر بگیرید. در صورتی که بخواهید ایمیلی را به یکی از هماتاقیهای خود در منزل ارسال کنید، آدرس Room A برای ارسال ایمیل کافی است اما اگر اتاق دریافتکننده ایمیل در منزل دیگری باشد، باید به همراه اطلاعات ایمیل، دادههای دیگری را نیز اضافه کنید. در این مرحله شما کدپستی را اضافه میکنید اما در صورتی که گیرنده در شهر دیگری باشد، کد پستی نیز به تنهایی کافی نیست و باید بسته مورد نظر به همراه آدرس پستی و کد پستی همراه شده و تحویل اداره پست محلی شود تا بسته به مقصد برسد. طی حمله سایبری صورت گرفته 3500 مسیریاب که شاید دامنهای از سایتهای خدماتدهنده روی آن مستقر شده باشد به حالت اصلی یا طراحی کارخانه بازگشتهاند که طبق اظهارات وزیر تا پیش از شروع ساعت اداری به حالت اولیه بازگشتهاند.انتقاد از مرکز ماهر توسط جهرمی
آذریجهرمی در آخرین اظهارات خود درباره این حمله سایبری گفت: حفره امنیتی شرکت سیسکو 10 روز پیش به صورت گسترده منتشر شده بود و با هوشیاری صورت گرفته شرکت ارتباطات زیرساخت که مدیریت هسته شبکه ملی اطلاعات را برعهده دارد و همین طور اپراتورهای ارائهدهنده اینترنت موبایلی این موضوع را رفع کرده بودند اما دیگر شرکتهای خصوصی به دلیل تعطیلات نوروزی آمادگی کافی را برای این اتفاق نداشتند. وی با انتقاد از عملکرد ضعیف مرکز ماهر (مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای) از زیرمجموعههای وزارت ارتباطات، گفت: این مرکز باید به صورت ویژه هشدارهای لازم درباره این حفره امنیتی را میداد که این کار صورت نگرفته است و در اسرع وقت به این کمکاری رسیدگی میشود. وزیر ارتباطات و فناوری اطلاعات تاکید کرد هیچ اطلاعاتی از کاربران یا دادههای سازمانی به بیرون نشر نکرده است به دلیل اینکه این حمله تنها به دنبال عدم دسترسی بوده است. وی افزود: تنها 2 درصد از حجم حملات صورت گرفته مختص ایران است و این حملات دامنه جهانی داشتهاند. جهرمی اضافه کرد: شرکت رسپینا یکی از ارائهدهندگان پهنای باند، اشتراکگذاری فضای دیتاسنتر و وایفای عمومی، بیشترین تاثیر را از این حمله سایبری در ایران دیده است، رسپینا ششمین شرکت صدمه دیده در جهان از این حمله سایبری بوده است. آذریجهرمی حمله سایبری را یکی از واقعیتهای فضای مجازی دانست و گفت: نظامهایی برای جلوگیری از این موضوع وجود دارد که باید پس از این، نظامهای پیشگیری در ایران قدرتمندتر شوند.
حمله سایبری نشت اطلاعات نداشت
رئیس مرکز تشخیص و پیشگیری پلیس فتای ناجا با بیان اینکه اختلال در سرویس اینترنت کشور صرفاً قطعی و کندی ارتباطات را در پی داشته، گفت: هیچگونه دسترسی غیرمجاز یا نشت اطلاعات رخ نداده است. این حمله سایبری ناشی از آسیبپذیری امنیتی در سرویس پیکربندی از راه دور تجهیزات سیسکو بوده و با توجه به اینکه روترها و سوئیچهای مورد استفاده در سرویسدهندههای اینترنت و مراکز داده نقطه گلوگاهی و حیاتی در شبکه محسوب میشوند، ایجاد مشکل در پیکربندی آنها تمام شبکه مرتبط را به صورت سراسری دچار اختلال کرده و قطع دسترسی کاربران این شبکهها را در پی داشته است. سرهنگ دوم نیکنفس تصریح کرد: بررسیهای اخیر تیم تالوس که مرجع تهدیدشناسی و امنیت تجهیزات سیسکو است، نشاندهنده وجود این نقص امنیتی در بیش از 168 هزار ابزار فعال در شبکه اینترنت بوده است. سرهنگ نیکنفس گفت: چنانچه قبلا نیز مکرراً تاکید شده است مسؤولان فناوری اطلاعات سازمانها و شرکتها باید مستمراً رصد و شناسایی آسیبپذیریهای جدید و رفع آنها را در دستور کار داشته باشند تا چنین مشکلاتی تکرار نشود.