آلوده شدن صدها هزار رایانه در جهان؛ ایرانی‌ها چگونه اطلاع‌رسانی شدند؟!

ابتدای امر مایکروسافت نیز نمی‌دانست چطور می‌تواند این داستان ترسناک را پایان دهد. داستانی که با تاخیر بسیار در ایران و تنها با ترجمه اخبار ازسوی برخی رسانه‌ها اطلاع‌رسانی شد؛ بدون اینکه راهکاری از سوی مسوولان مراکز امنیتی در حوزه رایانه کشور به کاربران ارایه شود.

به گزارش افکار نیوز به نقل ازایسنا، قطعا در کشوری مانند ایران مراکزی چون آپا(آگاهی‌رسانی، پشتیبانی و امداد حوادثرایانه‌یی)، در مرکز تحقیقات مخابرات ایران و نیز مرکز ماهر(مدیریت امداد و هماهنگی عملیات رخداد رایانه‌یی) که از سوی شرکت فن‌آوری اطلاعات ایران در حوزه امنیت راه‌اندازی شده‌اند، می‌توانسته‌اند در مواردی مانند چنین آلودگی به بدافزار جاسوسی و در شرایط جنگ نرم، اطلاع‌رسانی دقیق کرده و راهکارهای پیشگیرانه به کاربران ارایه کنند و از وسعت آسیب‌ها بکاهند.


*کشف نقص امنیتی

اواسط تیرماه محققان امنیتی یک نقص امنیتی جدید و اصلاح نشده را در ویندوز ۷ کشف کردند که به اجرای کد دلخواه بر رایانه قربانی منجر می‌شد. در اخبار آمد که سیستم عامل ویندوز ۷ در برابر یک نقص امنیتی جدید و اصلاح نشده آسیب‌پذیر است که کاربران را در معرض حملات از کار افتادگی صفحه آبی(blue screen) یا اجرای کد قرار می‌دهد.

بنا بر اطلاعات ارائه شده توسط VUPEN - یک شرکت امنیتی فرانسوی - این نقص امنیتی می‌تواند توسط مهاجمان محلی مورد سوءاستفاده قرار بگیرد؛ تا حملات انکار سرویس را اجرا کنند، یا حق دسترسی بالاتری به دست آورند.

به گفته همان منبع، مشکل مذکور بر اثر یک خطای سرریز بافر در تابع CreateDIBPalette رخ می‌دهد که می‌تواند توسط افراد بداندیش مورد سوءاستفاده قرار بگیرد؛ تا سیستم قربانی را از کار بیندازند و یا کد دلخواه را در هسته اجرا کنند.

آسیب‌پذیری مذکور در ویندوز ۷ که تمام اصلاحیه‌هایش نصب شده باشد، ویندوز سرور ۲۰۰۸ SP۲، ویندوز سرور ۲۰۰۳ SP۲، ویندوز ویستا SP۲، و ویندوز XP SP۳ تأیید شده است.

اما با رجوع به سایت‌های آپا و ماهر تنها با اخباری مبنی بر حمله ویروس مذکور مواجه می‌شویم و راه‌ حل‌هایی که مایکروسافت چندی بعد اطلاع‌رسانی کرده است. مواردی که خبرگزاری‌ها و پایگاه‌های اطلاع‌رسانی نیز نسبت به انجام آن اقدام کردند.

اکنون کاربران ایرانی فعال در شرکت های تولیدی یا کارخانه‌های کنترل و صنعتی بعد از اطلاع از این که در این حمله ویروسی بیش‌ترین آسیب‌ها به سیستم‌های ایرانی وارد شده است، این سوال را مطرح می‌کنند که چه راه‌ها و نسخه‌هایی برای مقابله با حملات این‌چنینی تجویز شده است؟

کاربران که البته شامل کاربران خانگی نمی شوند، تاکید دارند که اکنون تنها با راه ‌حلی مواجهیم که مایکروسافت اعلام کرده و هنوز نمی‌دانیم در عرصه داخلی در این باره چه کرده‌اند، در شرایطی که علاوه بر راه‌اندازی مراکز امنیتی با هزینه‌های بالا، بحثمقابله با جنگ نرم نیز مطرح شده است و مسوولان مربوط طبق معمول پاسخی در این‌باره هم برای رسانه‌ها ندارند.


امیدواری‌هایی برای آینده!

اما سعید مهدیون - مدیر عامل شرکت فن‌آوری اطلاعات - در گفت‌وگو با خبرنگار ایسنا، با بیان این که آماری به‌صورت ماهانه تهیه می‌شود که وضعیت بدافزارها در کشور چگونه است و چگونه پخش شدند، گفت: ما نظارت تقریبا کاملی را در این حوزه داریم، ولی این آمار آماری است که نمی‌شود به‌صورت عمومی اطلاع داد.

او تصریح کرد: در زمینه مبارزه هم، یکسری شرکت‌های توانمند داخلی را شناسایی کردیم و بیش از شش ماه است که با آنها کار می‌کنیم که توانمندی‌هایشان هم بسیار افزایش یافته است.

مدیر عامل شرکت فن‌آوری اطلاعات افزود: بعضی از آمارهای قابل ارائه را در سایت ماهر داریم مثلا در نرم‌افزار ایمن که کاملا داخلی است؛ اگر این را دنبال کنیم، ضریب شناسایی‌اش به عددهای خیلی خوبی نزدیک می‌شود که از عدد ۱۰ تا ۱۵ درصد شروع شده و یکی دو مورد تا ۵۰ درصد رسیده و در جاهایی هم بالا رفته که البته چون ویروس بالا و پایین می‌شود، این درصدها هم تغییر می‌کند ولی در حال رشد است.

مهدیون درباره توانمندی‌های مربوط به امنیت و شناسایی و مقابله با ویروس‌ها و حمله‌های امنیتی گفت‌: در این زمینه جای امیدواری زیادی وجود دارد که بتوانیم این توانمندی را در کشور به‌وجود آوریم و حتا صادر کنیم؛ اکنون شرکت‌ها آرام آرام در حال آماده شدن هستند که بتوانند خدماتشان را به کشورهای دیگر صادر کنند.


چگونه می‌توانستیم آلوده نشویم؟

محمدحسین شیخی مدیر مرکز آپا دانشگاه شیراز در گفت‌وگو با خبرنگار ایسنا، با اشاره به ویروس stuxnet گفت: این ویروس با استفاده از نقطه ضعف مایکروسافت در سیستم‌های ‌عامل‌ ویندوز آن، نرم‌افزار ویندوز را فریب می‌دهد و خود را به سیستم شخص نزدیک می‌کند.

وی افزود: کار اصلی این ویروس آن است که اطلاعات مربوط به PLCهای(ابزارهایی که در کنترل صنعتی در کارخانه‌های بزرگ تولیدی و صنعتی استفاده می‌شوند) شرکت‌های زیمنس که به Scada معروفند، بررسی کرده و نقشه کنترل صنعتی کارخانه را به مقصدی در اروپا می‌فرستاد.

او تصریح کرد: به این ترتیب مراکز صنعتی که رایانه‌های آن‌ها به PLCها مرتبط و به اینترنت وصل بوده است، در معرض تهدید این ورم قرار می‌گرفتند.

به گفته شیخی طبق بخشنامه دولت شرکت‌های تولیدی و کارخانه‌ها باید سیستم‌های کنترل صنعتی خود را از اینترنت جدا می‌کردند و یک شبکه‌ی LAN داخلی به وجود می‌آوردند و برای استفاده از اینترنت به‌صورت مجزا از شبکه‌ی کنترل، شبکه‌ی خاصی در دسترس کارکنان قرار می‌دادند و اگر این استاندارد رعایت می‌شد، تهدیدی برای آن‌ها از طریق این ویروس به وجود نمی‌آمد.

مدیر مرکز آپا دانشگاه شیراز با اشاره به اینکه احتمالا این ورم از هشت ماه پیش فعال بوده است اظهار کرد: شش ماه پس از فعالیت آن اطلاع‌رسانی درباره‌ی چگونگی شناسایی و مبارزه با آن اطلاع‌رسانی شد.

او خاطرنشان کرد: مرکز آپای دانشگاه شیراز به‌عنوان یک مرکز مبارزه با بدافزارها به محض اطلاع از حضور این ویروس مرکز تحقیقات را در جریان امر گذاشت و نکاتی چون نحوه پاک کردن این ویروس و ایجاد شبکه‌ی مجزا برای بحثکنترل را در پرتال آپا اطلاع‌رسانی کرد.

شیخی در بیان میزان آسیب‌های وارده به سیستم‌های ایران گفت: طبق اعلام شرکت simantec میزان ۵۸ درصد آلودگی در ایران، ۱۸ درصد در اندونزی، ۸ درصد در هند و ۲ درصد در آمریکا را شامل می‌شود.

وی با تاکید بر این که این آمار توسط یک شرکت اعلام شده است، گفت: ما این آمار را نه تایید و نه تکذیب می‌کنیم؛ اما باید این را در نظر گرفت که نسبت تعداد رایانه‌ها در کشورهای مختلف متفاوت است و شاید ۲ درصد از کل رایانه‌های آمریکا بیش‌تر از ۵۸ درصد از رایانه‌های ایران باشد.

این کارشناس درباره نحوه انتقال این ویروس نیز اظهار کرد: ویروس stuxnet از طریق فلش مموری منتقل می‌شود و از آنجا که انتقال اطلاعات در کشور ما در حجمی وسیع با استفاده از فلش مموری‌ها صورت می‌گیرد، سرعت انتشار این ویروس افزایش می‌یابد. این درحالیست که در سایر کشورها به علت بالا بودن سرعت اینترنت، کاربران بیش‌تر اطلاعات را با استفاده از بستر اینترنت منتقل می‌کنند.


اما راه‌حل مایکروسافت…


مایکروسافت یک اصلاحیه فوری برای تمامی نسخه‌های ویندوز عرضه کرده است که یک نقص امنیتی جدید در نحوه نمایش میانبرها را رفع می‌کند. این نقص اخیرا هدف حملات خرابکاران قرار گرفته است.

این اصلاحیه خارج از نوبت که در رده امنیتی «بسیار مهم» قرار گرفته است، کم‌تر از ۲۰ روز پس از کشف یک حمله بدافزاری جدی عرضه شده است. این حمله بدافزاری با ترکیب این نقص امنیتی با مشکلات امنیتی در سیستم‌های SCADA و با استفاده از درایورهای امضا شده سرقت شده، از نرم‌افزار امنیتی عبور می‌کرد.

مایکروسافت در بولتن امنیتی خود نوشت:

این آسیب‌پذیری می‌تواند در صورتی که آیکون یک میانبر خرابکار نمایش داده شود، به اجرای کد از راه دور منجر شود. یک مهاجم که به شکل موفقیت‌آمیز از این آسیب‌پذیری سوء استفاده کند، می‌تواند به حقوق دسترسی کاربر محلی دست یابد.

کاربرانی که حساب‌های کاربری معمول آن‌ها دارای حقوق دسترسی کم‌تر است، کم‌تر از کاربرانی با حق دسترسی administrator در معرض خطر قرار دارند.

این نقص امنیتی تمامی نسخه‌های پشتیبانی شده ویندوز XP، ویستا، ویندوز ۷، ویندوز Server ۲۰۰۸ و ویندوز Server ۲۰۰۸ R۲ را شامل می‌شود.