بازیگران×××××××××××××××××××××فضای سایبری

آشنایی با CERT   و شرکت "ماهر"

اولین بار با ایجاد یک بحران در شبکه رایانه ای ایالات متحده در سال 1988 که با ارسال یک بد افزار به این شبکه اتفاق افتاد ، حدود 100 میلیون دلار برای این کشور خسارت به بار آورد .

چون این خسارت بیشتر از عدم وجود سازمانی متشکل برای مقابله با چنین پدیده ای بوجود آمده بود ، موجب شد در سال 1990 موسسه ای به نام CERT  بوجود آید تا بتوانند با شناخت یکدیگر درمواقع ضروری به راحتی به جنگ با چنین بحرانهایی بروند.  CERT در واقع موسسه ای است که در آن یک مجموعه منسجم از متخصصین نرم افزارهای رایانه ای به منظور شناخت بد افزارهای جدید وراهای مقابله با آنها و تهیه دستور العملهایی در این زمینه ، اقدام می کنند.سازمان CERT در سال 1387 در ایران با عنوان "ماهر" زیر نظر شرکت فناوری اطلاعات ایران وابسته به وزارت ارتباطات و فناوری و اطلاعات تشکیل شد و در سال 1389 فعالیت جدی خود را در زمینه آگاهی رسانی و در پاره ای موارد خدمات رسانی در مقابله با بحرانهای رایانه ای ادامه داده است و چشم انداز آینده آن ایجاد مرکزیت CERT برای کشورهای منطقه می باشد.

شرکت ماهر در تلاش است ابتدا لیست کاملی از انواع بد افزارها که مجموعه های صنعتی و حیاتی کشور را تهدید می کنند تهیه نماید و در پی آن با آگاه سازی سازمانهای دولتی و خصوصی ، روشهای پیش گیری و مقابله با این بد افزارها را آموزش دهد.

از آنجا که بر اساس آمارهای مکرر داخلی و خارجی ، کشورمان با داشتن بیش از 8000 IP  آلوده  اولین هدف سازنده های بد افزارهای ضد امنیتی و مخرب می باشد و بالاترین IP آلوده را در جهان دارا است و از سوی دیگر عدم آگاهی کاربران باعث شده است تا نفوذ این بد افزارها چنان در رایانه ها ادامه یابد که حالت تخریبی و سرقت اطلاعات در بسیاری موارد به سهولت اتفاق بیافتد ، لذا لزوم آگاهی سازی شرح ما وقع بسیار لازم بنظر می رسید.با این حال متخصصین توضیح دادند که مرحله کنونی در کشور مرحله آلودگی است و هنوز به مرحله بحران نرسیده است . ولی هشدار داده شد که مرحله هجوم و ایجاد بحران به احتمال قوی در پیش است لذا ضرورت دارد تا تمهیدات لازم برای جلوگیری و مقابله با این بد افزارها به صورت جدی صورت پذیرد.

روش جدید بد افزار staxnet  

انتشار بد افزار staxnet از طریق اینترنت (پست الکترونیکی یا فایل های آلوده اینترنتی ) و یا توسط محیطهای به اشتراک گذاشته شده  صورت می گیرد ولی عملکرد آن لزوما از این طریق نیست بلکه می تواند با استفاده از فلاش مموری صورت پذیر .

 به این ترتیب که بدافزار فوق با استفاده از  Botnetهای پنهان شده خود(سربازهای پنهان ) در یک فایل آلوده دریافت شده از شبکه جهانی ، از طریق فلاش مموری به یک رایانه سالم منتقل می شود.این Botnet ها ماموریت می یابند تا فایل های تعریف شده ای را با پسوند معین دنبال کنند . ابتدا Botnet ها خود را درPLC های رایانه  تزریق می کنند و در صورت یافتن فایلهای مورد علاقه ، آنها را ذخیره کرده و در مرحله بعد به تخریب این فایل در رایانه می پردازند . در پایان با اتصال فلاش آلوده به شبکه جهانی ، این فرصت پیش می آید تااطلاعات بسرقت رفته توسط  Botnet ها به شبکه های جاسوسی انتقال یابد.

این بد افزار در انواع پیچیده  خود می تواند خود را پاک کنند و ازبین ببرد .

علائم وجود بد افزار staxnet

بد افزار staxnet نسبت به ویندوز Mspac67 و برخی دیگر از ویندوزها حساس است و از این فایلها برای خود استفاده می کنند:

Services.exe

Isass.exe

Svchost.exe

KerneL32.DLLsLx…

نکته : از علائم وجود این بد افزار ایجاد فایلهایی با کدهای تصادفی چهار رقمی و یا ایجاد پیش کد CWI است که توسط این بد افزار بوجود می آید.

این بد افزار برای آسیب پذیری امنیتی این وصله ها را ایجاد می کند :

Ms10-046

Ms10-061

Ms08-067

و وصله ناشناخته دیگر(؟)

چگونه می توان متوجه وجود این بد افزار شد

 علت اینکه نرم افزارهای ضد بد افزار نمی توانند وجود اینگونه بدافزارها را دررایانه ها کشف کنند و هشداردهند آن است که در واقع سازمانهای تولید کننده این بد افزارها از Sertificat های رسمی (مجوزهای رسمی) برای تولید آنها استفاده می کنند .یکی از مواردی که کاربران می توانند از وجود اینگونه بد افزارها در رایانه خود مطلع شوند ، هر گونه عملکرد نامطلوب نرم افزار مورد استفاده در رایانه است .که در این صورت نباید به طور سرسری از کنار آن گذشت اگر چه مقطعی باشد.

دو واقعه پیش آمده جدی پس از عملکرد بد افزار ها

بزرگترین انفجار غیر اتمی قابل مشاهده در فضا محصول عملکرد مخرب بد افزارها : ابتدا لازم است بدانیم کهSCADA  یک سیستم سوپروایزر و کنترلی است که در صنایع بکار می رود . این سیستم تمام فعالیتهای مشاهده و عملکرد صنایع بزرگ بوسیله آن هدایت و کنترل می شود . در سال 1982 با ورود یک بد افزار مخرب و فریب دهنده به سیستم SCADA در خطوط لوله گاز روسیه در سیبری ، هنگامی که فشار گاز در خطوط لوله بالا می رفت این بد افزار موجب شد تا به عکس به سوپروایزر نشان دهد که فشار پایین رفته است و سوپروایزر فریب خورده و فشار را بالا می برد تا اینکه این امر باعث گردید که انفجار مهیبی در خطوط لوله گاز سیبری بوجود آید . قدرت این انفجار چنان بالا بوده است که از فضا روئیت شده است . بعدا آشکار شد این بد افزار توسط سرویسهای آمریکا به شبکه کنترل گاز روسیه نفوذ داده شده است

2-  انفجار در خطوط انتقال بنزین در آمریکا : همان اتفاق فوق در سال 1999 با نفوذ یک بد افزار در سیستم کنترل SCADA خطوط بنزین آمریکا رخ داد با این تفاوت که این بار با فریب بد افزار ، افزایش فشار از طرف دو سیستم کنترلی صورت گرفت و موجب بروز انفجار مهیب و وارد نمودن خسارات جدی به ایالات متحده گردید .

تذکر:

 یاد آور می شود گاه خسارت سرقت اطلاعاتی خصوصا برای مراکز نظامی و اطلاعاتی به مراتب بیش از بروز حوادث فوق می تواند به کشور ضربه وارد سازد و گاهی حتی جبران آن غیر ممکن است . لذا بی شک این مراکز می بایست دقت خود را در اقدامات پیشگیری و پاکسازی رایانه ها از انواع بد افزارها بکاربندند .

 توصیه های ایمنی :

از آنجا که نمی توان از ارتباط با شبکه جهانی صرف نظر کرد و لزوم استفاده از نرم افزارهای جدید از ضرورتهای امروز ما است لذا باید برای جلوگیری از افتادن در دام این بد افزارها کارهای زیر از روشهای فوری است :

جداسازی رایانه های متصل به شبکه جهانی از سایر رایانه ها

به روز سازی ضد بد افزارهای اتوماتیک در همه رایانه ها خصوصا رایانه هایی که به هم اشتراک داده شده اند .

توجه به خطاها و عملکرد های نامناسب و غیر معمول در رایانه ها که احتمالا نشان از وجود چنین بدافزارهایی می دهد.حتی المقدور تلاش شود که از فلاش های محل کار برای رد و بدل حتی فایلهای مجاز به خانه و محل کار جدا خود داری شود .

در هنگام ورود اطلاعات از بیرون معاونت به رایانه های داخلی ابتدا باید فلاش یا هر حافظه دیگر در یک رایانه مجزی امتحان شده و از سلامت آن اطمینان حاصل شود و سپس  اطلاعات  از طریق این رایانه به سایر رایانه ها انتقال یابد.

در استفاده از لب تاب ها تلاش شود تا پیش از اتصال آنها به شبکه داخلی رایانه ها ، حتما چک شده و از سلامت آن کاملا اطمینان حاصل شود . در این مورد فرقی میان هیچ کدام از لب تاب ها (مسئول و غیر مسئول ندارد) .

هنگام برخورد با هرگونه بد افزار جدید ، ضمن پی گیری اصلاح رایانه از طریق مرکز فنی ، مراتب را به مرکز ماهر نیزگزارش دهید تا در لیست بدافزارها قرار گرفته و روشهای پیشگیری از سرایت آن در نظر گرفته شود .