چرا اینترنت ایران در ۱۹ بهمن با اختلال و قطعی رو‌برو شد؟

تواناتک: بنا به گزارش‌های کاربران، اینترنت ایران در روز ۱۹ بهمن با اختلال شدیدی رو‌برو شد. علت این اختلالات حملات سایبری از شرق آسیا و شمال آمریکا اعلام شد. در این گزارش به بررسی این حملات می‌پردازیم.

هنگام بروز این اختلالات وب‌سایت نت‌بلاکس، که ترافیک اینترنت سراسر جهان را رصد می‌کند، در توییتی از افت ۷۵‌درصدی ارتباط اینترنتی در ایران خبر داد.

در ساعات اولیه این حمله سجاد بنابی، نایب‌رئيس هیئت مدیره شرکت ارتباطات زیرساخت ایران، توییتی را درباره حملات سایبری به زیرساخت‌ها ارسال کرد. 

بنابی علت این اختلال را حمله منع سرویس توزیع‌شده DDoS دانست و اشاره کرد برای مقابله با این حمله مجبور به فعال‌کردن «سپر دژفا» شده‌اند که همین امر منجر به قطعی و اختلال در اینترنت‌ شد. وی اعلام کرد این حملات از سوی یک کشور یا یک دولت به صورت هدفمند انجام نشده و تنها باعث ایجاد اختلال در اینترنت شده و هیچ گونه آسیبی به زیرساخت‌ها وارد نشده است. 

به زبان ساده، حمله DDoS زمانی رخ می‌دهد که چندین سیستم به‌طور هم‌زمان با ارسال بسته‌های بسیار زائد، به پهنای باند یا منابع سیستم مورد هدف، حمله کنند. پس از این حمله سیستم مورد هدف، قادر به ارائه سرویس نرمال خود نخواهد بود. در حقیقت هدف از این حمله از کار انداختن سرورها با ارسال بسته‌های بیشماری بوده است. یکی از حملات رایج DDoS، حمله SYN flood است. 

فتاحی، مدیرعامل شرکت ارتباطات زیرساخت، ضمن اینکه این حمله را تایید کرد، آن را گسترده و بی‌سابقه خواند.

اینترنت ایران پیش از این نیز در آذرماه مورد حمله دیگری قرار گرفته بود که جهرمی، وزیر ارتباطات، آن را هدفمند و با برنامه‌ریزی خواند و گفت قطعا این حمله از سوی کشوری مشخص و با هدف ایجاد اختلال در زیر‌ساخت‌های دولت الکترونیک انجام شده است. 

در آبان ماه ۹۸ همزمان با تظاهرات سراسری در شهرهای ایران، اینترنت به مدت حدودا ده روز به طور کامل از سوی نهادهای حکومتی قطع شد. بسیاری از منتقدان دلیل این کار را محدود‌کردن دسترسی کاربران ایرانی به منابع آزاد و ایجاد محدودیت در ارتباطات و انتقال اطلاعات دانستند. کاربران نیز تا زمان اتصال به اینترنت جهانی، به اجبار از شبکه اینترنتی داخلی استفاده کردند. به گزارش رویترز، همزمان با این قطعی اینترنت حدود ۱۵۰۰ شهروند با گلوله نیروهای حکومت کشته شدند. 

اکنون به بررسی «سپر دژفا» می‌پردازیم. آیا «سپر دژفا» می‌تواند حملات را دفع و از آن‌ها جلوگیری کند؟

سپر امنیتی دژفا یکی از پروژه‌های امنیتی بود که با راه‌اندازی ۱۰ سامانه امنیتی بر زیرساختارهای ارتباطی فضای مجازی در مقابل حملات و تهدیدات سایبری راه‌اندازی شد. هدف این پروژه حفاظت از اطلاعات و ارتباطات کاربران در برابر تهدیدات امنیتی و حفظ حریم خصوصی آن‌ها بود.

ابوالقاسم صادقی، معاون امنیت سازمان فناوری اطلاعات ایران درباره عملکرد سپر امنیتی دژفا می‌گوید که این سپر دارای سامانه‌هایی است که خدمات مختلف امنیتی را ارائه می‌دهد. او توضیح می‌دهد:

یکی از سامانه‌هایی که در «دژفا» دنبال می‌کنیم «هانی نت ملی» یا «تله بدافزار ملی» است که چندسالی است مرکز ماهر آن را دنبال می‌کند. سامانه «تله بدافزار ملی» در سطح کشور در حدود ۳ هزار نود نصب شده و تماماً این نودها مشغول رصد فضای کشور هستند. این سامانه بدافزارها و آلودگی‌هایی را که وارد زیرساخت‌های ما در نقاط مختلف می‌شوند، مانتیور و دریافت می‌کند و می‌تواند با یک ضریب خطای خیلی پایین و قابل قبول، آلودگی‌ها را در سطح زیرساخت کل کشور به ما نشان دهد.

سامانه دومی که در طرح «دژفا» دیده شده است، سامانه «ویروس کاو» است. روی این سامانه ۳۰ ضدویروس مختلف مستقر شده و این امکان را به کاربر می‌دهد که در صورت اتصال، هرگونه آلودگی و فایل مشکوکی را که روی سیستم وجود داشته باشد، اسکن کند. اگرچه «سامانه ویروس کاو» سرویس جدیدی در دنیا از لحاظ امنیتی نیست و کشورهای دیگر نیز در حال ارائه سرویس‌های مشابه هستند اما در داخل کشور، این سرویس از آن جهت که توسط مرکز ماهر و با هزینه وزارت ارتباطات ارائه شده، در درجه اهمیت قرار دارد. برای این آنتی‌ویروس‌ها، سخت‌افزار و پهنای باند تخصیص داده شده و لایسنس آن خریداری شده تا برای تست امنیتی سیستم به صورت رایگان در اختیار عموم قرار داده شود.

سامانه دیگری که می‌تواند در کاهش تأثیر حملات از کاراندازی توزیع‌شده مؤثر واقع شود، «سامانه تشخیص و اجتناب و کاهش تأثیر حملات DDoS» است که در یکی از مراکز آپای دانشگاهی توسعه پیدا کرده و در سطح آزمایشگاهی تست‌های خود را پشت سر گذاشته و برای آنکه در سطوح جدی‌تر و برای ترافیک‌های سنگین تست شود، آماده است. این سامانه می‌تواند در مقابل حملات دیداس (DDoS) به اپراتورهای اینترنت (FCP) و کسب و کارهای دیجیتال کمک کند و نمونه بومی دیگری هم ندارد.

سامانه دیگر در طرح «دژفا» که متشکل از ۳ سرویس امنیتی پرکاربرد است و برای کاربر نهایی نیز مهم است، سامانه «چکاپ» است. این سامانه ۳ نقطه از نقاطی که کاربران بیشترین آسیب‌پذیری را دارند بررسی کرده و وضعیت کاربر را به صورت رایگان اعلام می‌کند. این سامانه نیز توسط مرکز ماهر راه‌اندازی شده و گواهی SSL سایت (گواهی امنیتی سایت) را تست کرده و نتیجه آن را به کاربر اعلام می‌کند.

این سامانه همچنین می‌تواند امنیت DNSهای (نام دامنه سایت) کاربران را بررسی کرده و در صورتی که DNS مشکوک به انتشار بدافزار بوده و یا توسط هکرها کنترل می‌شود به کاربر اطلاع دهد تا در دام نیفتد. از سوی دیگر تست سومی که سامانه «چکاپ» انجام می‌دهد تست امنیت مودم اینترنت هر کاربر است تا با استفاده از IP مودم، آسیب‌پذیری به کاربر گزارش داده شود.

سامانه دیگری که به صورت کاملاً بومی توسعه پیدا کرده «سامانه سینا» است که برای انجام تست نفوذ امنیتی بر بسترهای مبتنی بر ابر، کاربرد دارد و می‌تواند برای تیم‌های تست نفوذ، به کار گرفته شود. این سامانه که کاهش هزینه و افزایش اعتبار برای دسترسی به ابزارها را برای شرکت‌ها و تیم‌های تست نفوذ در کشور فراهم می‌کند در یکی از مراکز آپای دانشگاهی کشور تولید شده است. از آنجایی که یکی از مشکلاتی که شرکتها و تیم‌های تست نفوذ در کشور ما دارند، این است که به ابزارها دسترسی ندارند و یا اگر هم دسترسی دارند، چون ابزارها گران است نمی‌توانند دیتای مناسب را به دلیل مشکلات هزینه‌ای به دست بیاورند. اما سامانه «سینا» به ما این امکان را می‌دهد که یک بار این مشکل را به صورت متمرکز حل کنیم.

همچنین سامانه دیگری برای شناسایی نفوذ و یا عملیات خرابکارانه سایبری در شبکه‌های کنترل صنعتی است که بر اساس برند زیمنس طراحی و پیاده‌سازی شده باشند. این سامانه اتفاقات خرابکارانه و مبتنی بر بدافزار را که دستورات و اتفاقات نامعقول و نامتعارفی از PLC دریافت کند، مانیتور کرده و تشخیص می‌دهد. همچنین در صورت نیاز، هشدارهای لازم را برای مسئولان آن مجموعه صنعتی، صادر می‌کند.


 

صادقی در جواب این سوال که آیا سپر امنیتی ژرفا توان مقابله با حملات سایبری را دارد، می‌گوید:

اگر حملات سایبری بخواهد با فناوری‌های متعارف انجام شود طرح «دژفا» ما را به سمتی می‌برد که در مقابل آنها، میزان تاب‌آوری‌مان افزایش یابد. چرا که در گذشته دفاع امنیتی ما در فضای سایبر به صورت جسته گریخته انجام می‌شد اما طرح «دژفا» ما را به سمت انسجام و یکپارچگی برده و ما دفاع را بی درنگ انجام می‌دهیم. این به معنی این است که حملات متعارف، دیگر به سادگی بر ما تأثیر نخواهد کرد. در این راستا گام‌های خوبی برداشته شده است. شاید نتوان گفت که به طور دقیق چند درصد توان دفاع بهتری داریم اما به جرأت می‌توان گفت که وضعیتمان نسبت به مدت مشابه سال گذشته بهبود خوبی پیدا کرده است. اما تا نقطه ایده‌ال فاصله زیاد است و باید اقدامات قابل توجهی انجام شود.

طبق توضیحاتی که صادقی در مصاحبه‌اش داده است، می‌توان به این نتیجه‌ رسید که این سیستم هنوز آن‌قدر قدرتمند نیست که بتواند حملات سایبری را دفع کند. در سیستم‌های امنیتی برای مقابله با حملات سایبری دو بحث مطرح می‌شود، قدرت سیستم برای شناسایی حملات سایبری و قدرت سیستم برای دفع آن حمله. پس می‌توان پیش‌بینی کرد در حمله اخیر شاید سپر امنیتی ژرفا حمله DDOS را تشخیص داده باشد ولی با آن مقابله نکرده است؛ چرا که اختلال در اینترنت ایجاد کرده بود و برخی دسترسی به اینترنت‌ نداشتند. 

اگر بخواهیم حملات امنیتی را از بعد از راه‌اندازی سپر امنیتی دژفا بررسی کنیم، متوجه می‌شویم که این پروژه و سامانه‌های امنیتی دژفا موفق عمل نکردند. برای مثال می‌توان به هک‌های گروه #OP999 اشاره کرد که سایت‌های زیادی را هک کردند بدون اینکه سامانه امنیتی بتواند اقدامی برای جلوگیری این هک‌ها انجام دهد!

 

 

 

در آخر می‌شود به این نتیجه رسید که سپر امنیتی دژفا و سامانه‌های امنیتی آن راه درازی را در پیش دارند که بتوانند مقابل حملات و تهدیدات امنیتی از سیستم‌ها، اطلاعات و حریم خصوصی کاربران محافظت کنند و همان‌طور که صادقی هم گفته است:  تا نقطه ایده‌آل فاصله زیاد است و باید اقدامات قابل توجهی انجام شود.