P
توضیح ضروری در خصوص برداشتهای نادرست از بخشی از گفتوگوی منتشرشده درباره حملات سایبری به صرافی نوبیتکسپیرو انتشار گسترده بخش کوتاهی از سخنان اینجانب در یکی از میزگردهای تخصصی روزنامه دنیای اقتصاد درباره آثار و تبعات قطع اینترنت بر امنیت سایبری کشور، لازم میدانم برای جلوگیری از برداشتهای نادرست و نیز رفع هرگونه سوءتفاهم، توضیحاتی را به اطلاع مخاطبان محترم و اصحاب رسانه برسانم.نخست آنکه گفتوگوی مورد اشاره مربوط به حدودا 4 ماه قبل و در فضای تحلیلی و تخصصی پس از حوادث تلخ دیماه و پیش از جنگ تحمیلی رمضان بوده است. موضوع اصلی آن میزگرد، بررسی پیامدهای فنی، اقتصادی و امنیتی قطع اینترنت و اثر آن بر تابآوری زیرساختهای کشور بود. از این جهت، بازنشر ناگهانی و گسترده بخشی کوتاه از آن گفتوگو، آن هم بدون توجه به توضیحات قبل و بعد آن توسط برخی رسانه ها، موجب تعجب است؛ بهویژه آنکه برخی بازنشرها و تحلیلها، سخنان مطرحشده را از بستر تخصصی خود خارج کرده و باعث برداشتهایی غیرواقعی و ناصحیح شده است.در آن نشست، اینجانب با ادبیات فنی حوزه امنیت سایبری توضیح دادم که در بسیاری از حملات سایبری، مهاجمان لزوماً حمله را مستقیماً از زیرساختهای خارجی انجام نمیدهند. یکی از روشهای شناختهشده در حملات سایبری این است که گروه های هکری APT «مهاجمان حرفه ای با پشتوانه دولتهای معاند»، پیش از اجرای حمله اصلی، تعدادی سرور، سیستم یا زیرساخت آسیبپذیر را در داخل کشور هدف قرار داده، بدون اطلاع مالک یا بهرهبردار، آنها را در اختیار میگیرند و در زمان مقتضی از آنها به عنوان واسط حمله استفاده میکنند. در ادبیات امنیت سایبری به چنین سامانههایی اصطلاحاً «Zombie» یا «سیستم زامبیشده» گفته میشود.لازم است تأکید شود که «زامبیشدن» یک سامانه به معنای مشارکت آگاهانه، طراحی حمله یا مسئولیت مالک آن سامانه در حمله نیست. بلکه برعکس، سازمان، مؤسسه یا فردی که سامانهاش زامبی شده، خود قربانی یک حمله سایبری است. در جلسه تخصصی یادشده، با توجه به حضور کارشناسان و فعالان حوزه فناوری و امنیت، این مفهوم بدیهی فرض شد و توضیح تفصیلی درباره آن ارائه نشد؛ اما انتشار عمومی و گسترده یک قطعه کوتاه از آن گفتوگو، بدون توضیح این مفهوم، باعث شده برخی مخاطبان غیرمتخصص چنین برداشت کنند که نهادی که نام آن در مثال مطرح شده، خود طراح یا عامل حمله بوده است. چنین برداشتی کاملاً نادرست و خلاف مقصود سخنان اینجانب است.در همان چارچوب، اشاره به یک نمونه از زامبیشدن سرورها در یک محل خاص، صرفاً برای توضیح روش فنی مهاجمان در استفاده از زیرساختهای داخلی به عنوان واسط حمله بوده و به هیچوجه به معنای انتساب حمله سایبری به آن مجموعه، نهاد یا افراد وابسته به آن نیست. اگر در مثال مطرحشده از یک مجموعه دینی یا فرهنگی نام برده شده، مقصود این نبوده که آن مجموعه در حمله نقش داشته است، بلکه دقیقاً برعکس، منظور این بوده که چنین مجموعههایی میتوانند قربانی سوءاستفاده گروههای هکری حرفهای شوند.از منظر فنی، زامبیشدن یک سرور یا سامانه لزوماً به معنای ضعف خاص، قصور عمدی یا همراهی مالک آن زیرساخت با مهاجمان نیست. نمونههای متعددی در جهان وجود دارد که حتی سامانههای متعلق به دستگاههای دولتی، شرکتهای بزرگ، مراکز دانشگاهی، مؤسسات عمومی و حتی زیرساختهای مرتبط با گروههای هکری، خودشان توسط مهاجمان دیگر تسخیر شده و به عنوان سکوی حمله مورد استفاده قرار گرفتهاند. (مثال بارز آن در این پست منتشر شد.) در فضای سایبری، مهاجم حرفهای معمولاً بهدنبال نقطهای است که کمترین حساسیت و بیشترین امکان سوءاستفاده را داشته باشد؛ نه الزاماً نقطهای که از نظر سیاسی یا رسانهای به حمله مرتبط باشد.همچنین باید توجه داشت که مهاجمان معمولاً برای پنهانسازی ردپای خود، سراغ مراکز و زیرساختهایی میروند که در نگاه اول حساسیت امنیتی کمتری ایجاد میکنند. مؤسسات فرهنگی، آموزشی، خیریه، مدارس، مراکز دینی و مجموعههایی از این دست که به دلیل ماهیت فعالیت خود، اطلاعات طبقهبندیشده یا داراییهای حساس امنیتی ندارند و معمولا از لایههای دفاع سایبری سادهتری برخوردار هستند طعمه های جذاب تری برای زامبی شدن هستند. در سالهای اخیر نیز بارها مشاهده شده که سازمانها و مراکز فرهنگی، آموزشی و عمومی کشور، بهسادگی مورد نفوذ و سوء استفاده هکرها قرار گرفته اند. (ادامه در پست بعد)
۱۰۴۳