447
یکشنبه، ۱۹ فروردین ۱۳۹۷
15
درباره حمله سایبری سراسری جمعه شب

چقدر مقاومیم؟!

17 فروردین‌ماه بیش از 168 هزار سیستم در سراسر جهان به دلیل وجود حفره امنیتی نرم‌افزاری در تجیهزات سیسکو دچار اختلال شدند.

قلمرو شبکه ملی اطلاعات مرز جداسازی شبکه‌های داخلی و خارجی

خبر

صبح نو

درباره حمله سایبری سراسری جمعه شب

چقدر مقاومیم؟!

17 فروردین‌ماه بیش از 168 هزار سیستم در سراسر جهان به دلیل وجود حفره امنیتی نرم‌افزاری در تجیهزات سیسکو دچار اختلال شدند.

حفره امنیتی موجود در Cisco Smart Install Clients وجود داشت که 8 فروردین‌ماه یعنی چند روز قبل از این حمله سراسری، سیسکو نسبت به وجود آن و آسیب‌پذیری دستگاه‌های سری 3x و 4x هشدار داده و بسته به‌روزرسانی آن را نیز برای استفاده در وب‌سایت خود قرار داده بود. بر مبنای اعلام سیسکو، در صورت عدم به‌روزرسانی، حدود 8.5 میلیون دستگاه در معرض آسیب‌پذیری قرار می‌گرفتند.
دامنه این حملات، بخشی از زیرساخت‌های شبکه ایران را نیز دربرگرفت و روترهای شرکت‌های صبانت، افرا، شاتل و ... را دچار اختلال کرده و در مقطعی از کار انداخت.
این حمله که که از جنس حملات DoS و بر مبنای حفره امنیتی نرم‌افزاری موجود در Cisco Smart Install Clients صورت گرفت، تنظیمات روترهای سیسکو را به حالت کارخانه باز می‌گرداند!
شاید این نوع حمله و نوع تأثیرگذاری آن را بتوان صرفاً نوعی «هشدار» تلقی کرد چراکه یکی از ساده‌ترین و ابتدایی‌ترین اقداماتی که هر تیم مدیریت شبکه انجام می‌دهد، پشتیبان‌گیری از تنظیماتی که بر روی تجهیزات شبکه از جمله روترها، سوئیچ‌ها و ... است تا در صورت بروز چنین اتفاقاتی که گاهی امری طبیعی تلقی می‌شود، بتوانند به سرعت تنظیمات را بازگردانند.
این کار نه فقط برای بازیابی اطلاعات در زمان حملات سایبری بلکه برای زمان‌هایی که یک روتر یا سوئیچ از لحاظ سخت‌افزاری از کار می‌افتد نیز کاربرد دارد و با جایگزین تجهیزات جدید، تنظیمات گذشته به سادگی در مدت‌زمان کوتاهی بر روی آن دستگاه بارگذاری می‌شود. ذکر این نکته لازم است که در صورت نبود پشتیبان‌گیری از تنظیمات انجام شده بر روی یک دستگاه نظیر روتر یا سوئیچ‌های فعال در شبکه‌ای به ابعاد یک سرویس‌دهنده، زمان زیادی برای اعمال تنظیمات از ابتدا باید صرف شود!
خوشبختانه به دلیل آنکه مدیران شبکه‌های هدف این حمله در ایران از تنظیمات بیش از 95 تجهیزات خود نسخه پشتیبان تهیه کرده ‌بودند، ظرف مدت کوتاهی پس از شناسایی حمله و نوع تأثیرگذاری آن بر دستگاه‌ها توانستند با بازیابی تنظیمات، مجدداً به کاربران خود سرویس دهند و شرایط را به حالت عادی بازگردانند. اما حدود 5% مابقی دستگاه‌ها می‌بایست مجدداً پیکربندی می‌شدند که مستلزم خرید زمان بود!
روترها یا مسیریاب‌های کوچک و بزرگ با اتصال دادن شبکه‌های کوچک و بزرگ به یکدیگر در واقع شبکه‌های بزرگ‌تر و در نهایت اینترنت را شکل می‌دهند و در صورتی که به هر دلیل دچار اختلال شوند، ممکن است سازمان‌ها و شرکت‌هایی که بر مبنای اینترنت به کاربران خود سرویس می‌دهند نظیر وب‌سایت‌ها و ... با مشکل جدی مواجه شوند.
خوشبختانه حمله سایبری 17 فروردین‌ماه که می‌توان از آن به عنوان یک «هشدار» نام برد، به‌رغم اینکه چندین ساعت بخشی از خدمات وب‌سایت‌ها و سرویس‌های اینترنتی ایران را دچار اختلال کرد، اما در زمره یکی از ساده‌ترین و مرسوم‌ترین نوع حملات دسته‌بندی می‌شود.
سؤال اینجاست که دیتاسنترها و حتی شبکه زیرساخت ایران تا چه اندازه در مقابل حملات پیچیده‌تر با دامنه وسیع‌تر می‌تواند واکنش و مقابله سریع از خود نشان داده و در مقابل این نوع حملات مقاومت کند!
مرکز ماهر وزارت ارتباطات و فناوری اطلاعات که در شرح اهداف و مأموریت‌های خود «پیشگیری و مقابله با حوادث فضای تبادل اطلاعات» در سطح ملی را برعهده دارد، نیز براساس گزارش‌های موجود در اثنای این حمله برای مدت کوتاهی از دسترس خارج شد! اینکه آیا وظایف این مرکز به درستی انجام می‌شود را در مواجهه با چنین حملاتی می‌توان بررسی کرد. اما مقابله و آمادگی با چنین حملاتی در ایران صرفاً بر دوش مرکز ماهر نبوده و دیتاسنترهای ایرانی خود باید برای مقابله با حملات این‌چنینی و حتی فراتر از این آمادگی لازم را داشته باشند.
نکته آنکه با یک بررسی ساده و به‌روزرسانی دستگاه‌هایی که براساس اعلام چند روز قبل شرکت سیسکو ممکن بود براساس چنین حمله‌ای آسیب‌پذیر باشند، می‌شد به سادگی از بروز آن جلوگیری کرد اما پروسه به‌روزرسانی در تجهیزاتی که به صورت مداوم در حال سرویس‌دهی هستند به این سادگی نیست. پروسه به‌روزرسانی در این نوع دستگاه‌ها معمولاً ابتدا در یک محیط آزمایشگاهی صورت گرفته و دستگاه‌ها از نظر نوع عملکرد مورد بررسی قرار می‌گیرند و پس از طی دوره تست، در صورت عملکرد مطلوب، دستگاه‌های در حال سرویس‌دهی نیز به روز می‌شوند. از سوی دیگر برای بسیاری از مدیران شبکه اتفاق افتاده که پس از به‌روزرسانی‌های نرم‌افزاری یا حتی سخت‌افزاری، تجهیزاتشان در سرویس‌دهی دچار اختلال شده و مجبور به بازگشت به حالت قبل از به‌روزرسانی می‌شوند.
مواردی از این دست موجب می‌شود که بعضاً مدیران شبکه‌ها حتی اگر بدانند باید دستگاه‌های خود را به‌روزرسانی کنند، با اندکی تأمل این کار را انجام دهند و به همین دلیل از زمان اعلام یک حفره امنیتی و ارائه بسته به‌روزرسانی آن تا نصب، گاهی زمان زیادی سپری شود!
همچنین ممکن است برای بسیاری از تجهیزاتی که پشتیبانی از آنها متوقف شده و یا از دید شرکت سازنده، به صورت غیرقانونی استفاده می‌شوند نیز بسته به روزرسانی منتشر نشده یا در صورت به‌روزرسانی از کار بیفتند؛ از همین رو مدیران شبکه‌ها علی‌الخصوص در ایران گاهی با احتیاط فراوان تجهیزات خود را به روز می‌کنند!
همانطور که پیش از این گفته شد، مدیران شبکه، مدیران زیرساخت، کارشناسان و مدیران مرکز ماهر وزارت ارتباطات و فناوری اطلاعات و همچنین کارشناسان سازمان پدافند غیرعامل می‌بایست برای هر نوع حمله سایبری که به سادگی می‌تواند کل کشور را تحت تأثیر قرار دهد، پیش از وقوع چاره‌اندیشی کرده و علاوه بر جلوگیری از وقوع این نوع حملات، برای مقابله با حملاتی که تجهیزات زیرساختی شبکه ایران را متأثر کرده و روش‌های بازیابی اطلاعات در صورت وقوع این نوع حملات، آمادگی لازم را داشته باشند.
ذکر این نکته لازم است که دامنه برخی از انواع حملات سایبری می‌تواند زیرساخت کل کشور را تحت تأثیر قرارداده و قسمت یا حتی تمام آن را دچار اختلال کرده یا از کار بیاندازد!

 

captcha
شماره‌های پیشین