میزگرد تخصصی بررسی بدافزار فلیم با حضور کارشناسان امنیت اطلاعات بخش خصوصی کشور در دفتر افتانا تشکیل شد. در این میزگـرد آقایـان رستمـی (مدیـر دپارتمـان بیت دیفنـدر در شـرکت بدرالکتـریک)، اخلاقی (مدیرعـامل شرکت دمسان رایانه)، بقایی (مدیرعـامل شرکت ایدکـو) و رمضـانی نیا (کارشنـاس فنـی شرکت آرکـا سامانه) حضور داشتنـد و به بیـان دیدگاه هـای خـود پرداختنـد.
مقدمه:
حمله سایبـری فلیم (شعله آتـش) که پس از حمله استـاکس نت در سـال ۲۰۱۰ دومین حمله هدفمنـد به زیرساخت هـای سایبری کشورمـان بود، بار دیگر زنگ خطر در مورد لـزوم توجه جدی به امنیت فضای تبادل اطلاعات را به صدا درآورد. اما این بار و برخلاف حمله استاکس نت آمادگی بیشتری در میان سازمان های دولتی و خصوصی دیده شد. هر چند که کماکان ضعف های عمده ای در این میـان دیده می شود، عملکـرد خوب مرکز ماهـر در شناسایی و ارائه برنامه پاکسـازی شعله آتش از نقاط قوت فعالیت ماهر بود که متاسفـانه امکان گفتگو و حضور ایشـان در این میزگرد میسر نشد.
در این میزگـرد آقایـان رستمـی (مدیـر دپارتمـان بیت دیفنـدر در شـرکت بدرالکتـریک)، اخلاقی (مدیرعـامل شرکت دمسان رایانه)، بقایی (مدیرعـامل شرکت ایدکـو) و رمضـانی نیا (کارشنـاس فنـی شرکت آرکـا سامانه) حضور داشتنـد و به بیـان دیدگاه هـای خـود پرداختنـد.
صالحی: اجازه دهید بحث را با بررسی تاثیرات فلیم بر فضای سایبر آغاز کنیم و اقدامات شرکت های ارائه کننده ضد بدافزار که در مقابله با این بدافزار فعالیت کردند را بررسی نماییم. از آنجاییکه سیمانتک و کسپرسکی بازخورد سریعتری را نسبت به این موضوع داشتند، ابتدا از ایشان می خواهم که صحبت را آغاز کنند.
بقـایی: باید گفت که فلیم یکی از قویترین سلاح های سایبری است که تا به حال در مجموعه جنگ های سایبری مورد استفاده قرار گرفته که برای ایران طراحی شده بود. این سلاح سایبری از سال ۲۰۱۰ مشغول فعالیت بود و یکسری از اطلاعات را سرقت کرده و به منابع مورد نظر خودش انتقال داده است.
صـالحی: موضوع فلیم از کجا آغاز شد؟ ظاهرا جرقه اولیه وجود آن بعد از حمله سایبری به وزارت نفت زده شد. اما ظاهراً پیشینه دیگری هم داشته است.
اخـلاقی: اولین موضوعی که مطرح شد و شاید بتوان آن را به فلیم هم مرتبط کرد اتفاقی بود که در اسفند سال۹۰ رخ داد که برای یکی از شرکت های شهرستانی بوقوع پیوست. در آن زمان گزارش شد که همه اطلاعات آن ها پاک شده است و بعد از آن بود که زمزمه وجود نوعی بدافزار که اقدام به پاک کردن اطلاعات رایانه ها می کند شنیده شد. اما اتفاق جدی که ذهن ها را متوجه خود کرد اتفاقی بود که در دوم اردیبهشت ماه حوالی ساعت۱۲ روی داد و طی آن همه رایانه ها restart شده بودند و همه اطلاعات آن پاک شده بود. ابتدا گمان بر این می رفت که حمله هکری شده باشد اما بعدا معلوم شد که دستور خودکشی به آن بدافزار ابلاغ شده است که خود را پاک کند.
مهندس اخلاقی مدیرعامل شرکت دمسان رایانه
من فلیم را به عنوان یک ابزار چند وجهی مد نظر دارم چرا که یک جاسوس افزار حرفه ای است که اقدام به سرقت اطلاعات می کند و هم اینکه می توان از آن برای خرابکاری استفاده کرد و نوع خرابکاری آن هم بسیار منحصر به فرد است چرا که تا الان وسعت خرابی هایی که این بدافزار به وجود آورده است سابقه نداشته است و به نوعی طراحی این نوع سلاح سایبری در واقع زنگ هشدار برای آغاز یک جنگ سایبری می باشد.
رستمـی: تمام مسائلی که دوستان فرمودند به نوعی صحیح است، اما طبق گزارش هایی که ما از بیت دیفندر دریافت کردیم، فلیم توسعه یافته بدافزاری است که در سال ۲۰۰۵ تولید شده بود و البته بدافزار سال ۲۰۰۵ صرفا با مقاصد جاسوسی طراحی شده بود که مسئله انجام فعالیت های تخریبی در فلیم گنجانده شده است و به نوعی ابزار جدیدی را با خود به همراه داشت.
صـالحی: آنطوریکه در رسانه ها منتشر شد، بیشترین هجوم مربوط به رایانه های شرکت نفت بوده است، چه اتفاقاتی بعد از این حمله صورت گرفت؟
رستمـی: تا آنجـاییکه که ما می دانیم بعد از این حمله کلیه شبکه و سیستم های رایانه ای قطع شدند و دستورالعملـی برای راه اندازی شبکه اینترنت خارج از شبکه سازمانی به واحدهای زیر مجموعه ابلاغ شده است که به این ترتیب هر سازمانی باید دو شبکه مستقل برای خود داشته باشد که یکی مربوط به امور داخلی سازمان است و دومی مربوط به استفاده از اینترنت و این دو شبکه به هیچ عنوان نباید به یکدیگر ارتباط داشته باشند.
مهندس رستمی مدیر دپارتمان بیت دیفندر شرکت بدرالکتریک
البته با ذکر این نکته که انجام این پروژه طرح جدیدی نیست و سال ۸۴ و ۸۵ نیز دستورالعمل مشابهی نه تنهـا در وزارت نفت بلکه در سایر نهادها نیز ابلاغ شد. اما از همان زمان هم کارشناسان و مشاورین انجام چنین را تائید نکردند. چرا که به زعم آن ها انجام چنین پروژه ای راه حل منـاسبی برای حل مشکلات ایجاد شده نیست.
چرا که برای ارتقا امنیت در سازمان می بایست که ابتدا تعریف امنیت پیاده سـازی شود و اگـر تعریف امنیت در سازمـان به درستی صورت نپذیرد قطعا در بخشی از سازمـان این دو شبکه به هم متصـل خواهنـد شد که همیـن اتصـال کوتـاه و یا کوچک کل فرآیند را به محل اولیه خود باز می گرداند.
اما این دستورالعمل مجددا به صورت جدی تری ابلاغ شده و در حال پیگیری برای پیاده سازی آن است. حتی تا جائیکه بنده می دانم ورود حافظه فلش نیز به سازمان های تابعه وزارت نفت تنها بعد از بررسی آن از لحاظ وجود ویروس و پاکسازی آن میسر می باشد.
بقـایی: اگر بخواهیم واکنش ها را از نگاهی دیگر بررسی کنیم میبینیم که در همان ایام بروز بحران، رفت و آمد به مراکز و بخش های رایانه ای بسیار محدود شد تا جائیکه حتی افراد کمی بودند که توانستند از نزدیک مشکل به وجود آمده را ببینند و این مسئله، مسئله مهمی بود. به نظرم چرا که تا مدت زمان زیادی حتی نمونه ای از سیستم آلوده نیز در اختیار کسی قرار نگرفت.
چرا که بالاخره هر یک از سازمان های تابعه وزارت نفت مدت های زیادی بود که با شرکت های ارائه دهنده خدمات و محصولات امنیت در حال همکاری بودند. در نتیجه بهتر بود که نمونه فایل های آلوده در اختیار شرکت ها قرار می گرفت.
در همان زمان اسفند ماه۹۰ که اولین اتفاقات رخ داد نیز ما با تمام مشتریان خود تماس گرفتیم و از آن ها خواستیم که از اطلاعات خود نسخه پشتیبان تهیه کنند تا در صورت آلوده بودن به بدافزار اتفاق جدی برای آن ها نیفتد.
حتی در فاصله اسفند تا اردیبهشت هم به بسیاری از مشتریان خود گفتیم که می توانیم از کسپرسکی متخصصانی را به ایران بیاوریم تا به بررسی مسئله بپردازند، حتی قرار شد که هماهنگی هایی با وزارت خارجه نیز صورت بگیرد اما متاسفانه هیچ پیگیری بعدی صورت نگرفت. چه خوب بود که در همان اسفند ۹۰ مسئله جدی گرفته می شد تا شاهد این اتفاق در اردیبهشت ماه نباشیم.
اخـلاقی: در تکمیل این حرف ها باید اضافه کنم که حتی تا اوایل خردادماه هم هیچ گونه اطلاعات مناسبی و درخوری منتشر نشد.
رستمـی: اگر بخواهیم از نگاه کلان تری به مسئله نگاه کنیم باید بگوییم که ما در مملکت یک بیماری داریم به نام بیماری امنیت. فارغ از اینکه بدافزاری وجود دارد یا خیر و اینکه چه کسی می خواهد در مقابل این بدافزارها از خود دفاع کند یا خیر به نظر من باید مشکل را در ابعادی بزرگ تر بررسی کرد و آن مشکل فرایند امنیت است و اینکه متولی صاحب صلاحیتی در این زمینه نداریم. البته تشکیل مرکز ماهر برای رسیدگی به این فرآیند حرکت خوبی است اما به راستی ماهر برای پیاده سازی این مسئله تا به حال چه حرکت جدی کرده است؟
به نظر اگر این اتفاق در سازمان های ما بیفتد بسیاری از مسائل حل می شود و متوجه می شوند که زمانی که مجددا چنین اتفاقاتی رخ داد باید به شرکت هایی که در این حوزه فعالیت می کنند اعتماد کرد، به آن ها فضا داد و از کمک آن ها استفاده کرد.
اخـلاقی: من هم با این مسئله موافقم، اعتماد به شرکت های فعال در حوزه امنیت سایبر بسیار مهم است.
رستمـی: ما حتی برای دریافت نمونه های آلوده بسیار تلاش کردیم. به هر صورت باید این نمونه ها توسط افراد متخصصی تست می شدند. کما اینکه شاید همین نمونه های آلوده هم دارای نسخه های متفاوتی باشند.
بقـایی: اما به این موضوع می توان نگاه دیگری هم داشت و آن اینکه ماجرای فلیم به نظر من باعث شد که مرکز ماهر از یک توانایی بالقوه به یک توانایی بالفعل برسد. به طور مثال تا قبل از این ماجرا چیزی که از ماهر دریافت می کردیم تنها گزارش هایی مبنی بر وجود آلودگی هایی بود و انصافا هم وب سایت ماهر تا به حال مقالات و گزارش های خوبی را منتشر کرده است. اما موضوع فلیم به طور خاص باعث شد که ماهر به صورت عملیاتی وارد شود و اتفاقا دولت و وزارت نفت هم به این مرکز اطمینان کردند .
مهندس بقایی مدیر عامل شرکت ایدکو
صـالحی: در بین مشتریانی که شما دارید به خصوص بعد از ماجرای فلیم آیا باعث شد که هیچ کدام از سازمان ها فردی را به عنوان مدیر امنیت اطلاعات به کارگیرند یا بخشی را با این عنوان ایجاد کنند؟
رستمـی: معمولا در سازمان هایی که مشتری ما هستند یک فردی هست که متولی امنیت است و بعد از این ماجرای نیز کماکان همان افراد هستند اما در سازمان های زیادی می بینیم که وظایف امنیت سایبری به خوبی تفکیک نشده اند وبا وظایف حراست سازمان ها تداخل دارد. متاسفانه بعد از ماجرای فلیم، این تداخل بیشتر هم شده است.
صـالحی: اگر بخواهیم تا اینجا یک جمع بندی انجام دهیم باید بگوییم که یک نظام مدیریت امنیت اطلاعات و پیاده سازی استاندارد ISMS می توانست در تدوین سناریوی بحران به سازمان ها کمک کند تا بتوانند در چنین مواقعی باید چه بکنند.؟
اخـلاقی: در تایید این سخنان باید بگویم که در واقع ما نه در بخش پیشگیری و نه در بخش مدیریت بحران هیچ نظام تعریف شده ای نداریم و غالبا در موقع برخورد با مشکلات به صورت بداهه آن را مدیریت می کنیم. اما نکته مهمی که باید بیشتر به آن پرداخت مسئله تفکیک اینترنت از شبکه داخلی است که به نظر من تنها نکته ای که دارد این است که حمله سایبری بعدی به کشور به مراتب مخرب تر خواهد بود، چرا که یک اعتماد کاذبی به وجود می آورد.
و دیگر اینکه که بدافزاری که در آن صورت به شبکه حمله خواهد کرد قطعا هدف تخریبی دنبال خواهد کرد و به جمع آوری اطلاعات بسنده نخواهد کرد.
اشکال به صورت کلی اینجاست که زمانی که ما راهکاری را پیشنهاد می کنیم راهکاری بدون توجه به نتیجه است.
صـالحی: البته تفکیک شبکه ها از اوائل دهه هشتاد در برخی وزارت خانه ها صورت گرفته است.
رستمـی: البته ضمن تایید صحبت های آقای اخلاقی اضافه کنم که بنده هم تا به حال هیچ سند و گزارشی ندیدیم که حتی در مکان هایی با درجه اهمیت امنیتی بالا نیز چنین پروژه های پیاده شده باشد.
اخـلاقی: البته باید اضافه کنم در خارج از ایران تفکیک شبکه وجود دارد اما در مراکز بسیار خاص این امر اتفاق افتاده است.
رستمـی: ولی همانطور که شما اشاره کردید در مراکزی با ویژگی های بسیار خاص چنین اتقاقی افتاده است نه اینکه یک نسخه ثابت برای کلیه سازمان ها و نهادها بپیچیم که همه باید شبکه خود را تفکیک کنند.
اخـلاقی: نکته جالب اینکه در مکان هایی هم که این تفکیک شبکه صورت گرفته است دستورالعمل دسترسی و کار با شبکه ای که به اینترنت متصل نیست بسیار مفصل تر و جدی تر از شبکه ای است که به اینترنت متصل است.
صـالحی: در تکمیل این گفته ها هم به یک مثال نقض خیلی مناسب می توان اشاره کرد و آن هم استاکس نت است. استاکس نت بدافزاری بود که اتفاقا از طریق ایترنت منتقل نشد و همین مساله ثابت می کند که انتقال بدافزارها به هر صورت از طریق شبکه انجام می گیرد چه این شبکه به اینترنت متصل باشد و چه اینکه متصل نباشد. حالا آیا درست است که همه ما مسئولیت چنین اتفاقی را به حساب نرم افزارهای ضد بدافزار بگذاریم و فعالیت های آنان را زیر سئوال ببریم ؟
بقـایی: در قدم اول باید بگویم که تمامی شرکت های ضد بدافزار اولین کاری که انجام می دهند این است در توافقنامه اولیه استفاده از نرم افزار که معمولا هم کمتر کسی آن را می خواند اعلام کنند که اگر اتفاقی بیفتد و به موجب آن اطلاعات شما سرقت شود یا اینکه تخریب شود، با اینکه ما تا حد ممکن سعی می کنیم جلوی بروز آن را بگیریم ولی در عین حال تعهدی متوجه ما نیست.
لذا ضد بدافزار به هیچ عنوان ضمانتی نمی دهد که شما هیچ گاه دچار مشکلی نمی شوید بلکه ابزاری است برای اینکه میزان آلودگی های شما را به حداقل برساند. لذا ضدبدافزار همه چیز نیست به طور مثال هیچ ضدبدافزاری نسبت به حفره های امنیتی سیستم عامل هم تعهدی ندارد.
اخـلاقی: باید گفت که ضدبدافزار یک سامانه ری اکتیو(واکنشی) است.به عبارتی حتما باید چیزی پیدا شود و بعد شرکت صاحب برند ضد ویروس آن را تحلیل کند و ابزار پاک سازی و جلوگیری از گسترش آن را بسازد و در نهایت در قالب به روزرسانی این ابزار به نرم افزار ضد بدافزار افزوده می شود.
لذا برای ارتقاء امنیت باید به مسئله پرواکتیو (پیشگیرانه) توجه کرد. حال ممکن است صاحب برند ضد بدافزار همراه نرم افزار یا در خود نرم افزار چنین ابزارهایی را هم به شما ارائه کند. البته هیچ کدام از این ها نمی تواند جایگزین نظام مدیریت امنیت اطلاعات شود. چرا که هر کدام از اینها بخشی از این نظام هستند.
رستمـی: باید به این نکته توجه کرد که در واقع ضدبدافزار جزئی از همین نظام فراگیر مدیریت امنیت اطلاعات است وهمه این نظام نیست. به عنوان یکی از این اجزاء در محل خودش وظیفه مربوطه را انجام می دهد و باید گفت که اگر هر جزء از این نظام ناقص باشد طبیعتا سامانه دچار مشکل خواهد شد.
اخـلاقی: نگاه در واقع به این ترتیب است که چون یک بدافزاری موجب مشکل شده است پس ضدبدافزار مقصر اصلی ماجرا است.
رستمـی: در واقع باید گفت که زمانی که ما هنوز در بسیاری از سازمان ها تعریف رفتار سازمانی به درستی لحاظ نشده است لذا نمی توان از ضدبد افزار انتظار معجزه داشت و باز هم اشاره می کنم که باید به فرایند پیاده سازی نظام مدیریت امنیت اطلاعات بصورت کلی توجه کرد.
رمضـانی نیا: یکی از مسائلی که باید به آن توجه کرد کمبود دانش فنی افراد و کارکنان سازمان ها و حتی بخش های حراستی است به طور مثال حتی در یکی از سازمان های کشور که بحث تفکیک شبکه داخلی از شبکه اینترنت نیز در آن صورت گرفته و نرم افزار ضد بدافزار نیز مورد استفاده قرار می گیرد بسیاری از موارد امنیتی رعایت نمی شود.
مهندس رمضانی نیا کارشناس شرکت آرکا سامانه
در نتیجه با وجود نرم افزار و سخت افزار امنیتی مناسب، همچنان مشکلات امنیتی پابرجاست. در یک جمله داشتن انواع ابزارها بدون داشتن دانش فنی نمی تواند کمک مهمی به ارتقاء سطح امنیت سازمان کند.
اخـلاقی: البته یک مخالفت کوچکی با این نتیجه گیری داشته باشیم که با افزایش ابزارها می توانیم امنیت را افزایش دهیم ولی مسئله مهم اینکه نباید این مسئله باعث شود که خیالمان راحت باشد و به عبارتی نباید باعث بی تفاوتی ما شود.
رمضـانی نیا: در واقع اینگونه بیان می کنم که اگر ما رانندگی بلد باشیم تفاوتی نمی کند که چه ماشینی داریم، این ماشین قدیمی است یا یک ماشین لوکس و مهم سواد ما در خصوص چگونگی رانندگی و تجربه و مهارت رانندگی است و امکانات ماشین در اولویت بعدی رانندگی است.
صـالحی: یک سؤال مهم هنوز باقی است. استاکس نت آمد و موجی از لزوم توجه به امنیت در سازمان ایجاد کرده. هم اکنون موج دومی به نام فلیم ایجاد شده است که باز هم ممکن است به بالا رفتن سطح امنیت کمک کند. اما آیا به نظر شما ما برای فلیم بعدی آماده ایم؟
بقـایی: باید گفت که حتی گفتن اینکه آماده هستیم یا نه زمانبر است، و باز هم تاکید می کنم که مسئله مهم این است که ما باید امنیت را به عنوان یک فرایند ببینیم و نگاه سیستمی به مسئله امنیت داشته باشیم. ما اگر بتوانیم استانداردهای مدیریت امنیت را اجرایی کنیم عملا آمادگی لازم را کسب خواهیم کرد. به نظر می رسد که اقداماتی هم در این راستا انجام شده است و حداقل اینکه گام هایی در خصوص پیاده سازی ISMS برداشته شده است. اما متاسفانه ما معمولاً دچار فراموشی می شویم و تا بروز حادثه بعدی اقدام خاصی را انجام نمی دهیم.
اخـلاقی: از این بابت که در خصوص فلیم بعدی آمادگی چندانی وجود ندارد و باید گفت بله واقعا آمادگی وجود ندارد و همچنین باید تاکید کنم که فلیم بعدی به مراتب مخرب تر است.
صالحی: چرا فکر می کنید فلیم بعدی مخرب تر است؟
اخلاقی: چرا که الآن به فلیم می گوییم سلاح سایبری، چرا اسـم سلاح را روی آن گذاشتیم؟ چون یک دولت آن راتهیه کرده است و طبیعتا دولت متخاصم تمام تلاش خود را برای اینکه این سلاح بتواند ضربه قوی تری به مقاصد مورد نظر وارد کند خواهد کرد و حتی این پروژه تفکیک سازی اینترنت از اینترنت تسریع کننده این جریان خواهد بود به نحوی که حتی حمله بعدی آن چنان صدماتی به بار آورد که دیگر هیچ چیز قابل جبران نخواهد بود.
رمضـانی نیا: حداقل اینکه در حال حاضر الان فرهنگ خرید ضد بدافزار تقریبا جا افتاده است باز هم جای خوشحالی است اما اینکه باز هم استفاده از ابزارهای نامناسب و استفاده از سیستم عامل های کرک شده هنوز باب است قطعا موجب نگرانی می شود.
بقـایی: می خواهم تأکید کنم که اگر همین فلیم منجر به اخذ تصمیمات امنیتی جدی تری شود هم خوب خواهد بود.
اخـلاقی: امـا چون هنـوز مشکلات زیـرسـاختی داریـم بهتـر است بـه آن توجـه کنیـم کـه در صـورت بروز حمله مجـدد بتوانیـم جلـوی آنـرا بگیریم.
رمضـانی نیا: اگـر شرکت هـا به سمت تخصصی تر شـدن برونـد و راهکـار محورتـر بشونـد، می تواننـد بسیاری از این قبیـل مشکلات را حـل کننـد.
اخـلاقی: مسئلـه مهمـی که به نظـرم بایـد به آن پـرداخت ایجـاد یک مرکـز CERT با حضـور نمـایندگان بخش خصوصـی است به عبـارتی ایجـاد نهـادی با حضـور نماینـدگان همه شرکت هـای فعـال در بخش خصوصی است منجر به هماهنگی هـای بیشتری دست یابنـد و راهکارهای جـامع تـری را بـرای مدیریت صحیـح بحران هـا و پیاده سـازی نظام مدیـریت امنیت اطلاعات ارائـه کنند.
برای دریافت نسخه کامل ویژه نامه خبری بدافزار فلیم اینجا را کلیک کنید