«قدرت‌نمایی مشکوک» کفتار سایبری در ایران

نود فناوری – «کفتار سایبری» نامی است که رسانه‌ها به عامل یا عاملان حملات سایبری هفته گذشته به سایت تعدادی از کسب‌وکارهای اینترنتی در ایران داده‌اند.

هفته قبل اما هفته مانور و قدرت‌نمایی کفتار سایبری در ایران بود که از جهات مختلفی کم‌نظیر بوده و باعث نمایش ضعف‌ها، ابهامات و بلاتکلیفی‌های مهمی در فضای سایبری کشور شد که در اشکال متعددی نیازمند تحلیل و بررسی است، اما اکنون و در متن حاضر به گوشه‌هایی از این موارد پرداخته می‌شود.

۱٫ حمله از داخل به داخل

نوع حمله کفتار سایبری نه جدید بود، نه پیچیده. حملات DDoS یا Distributed Denial of Service، یکی از رایج‌ترین و قدیمی‌ترین نوع از حملات هکری در دنیا محسوب می‌شود. در این نوع حمله، حجم زیادی تقاضای کاذب به سمت سرور هدف یا قربانی صادر می‌شود که در نهایت باعث کندی و حتی از کار افتادن سرور می‌شود.

این حملات عموما از سمت خارج از کشور انجام می‌شود و به گفته مسوولان سازمان فناوری اطلاعات و شرکت ارتباطات زیرساخت، این حملات از ۶۰ تا ۹۰ درصد شناسایی و مهار می‌شود. این در حالی است که **تا پیش از این تصور بر این بود که این نوع از حملات در صورت اجرا از داخل کشور، قابل شناسایی بوده و به همین دلیل مهاجمان اصولا چنین حملاتی، آن‌هم در حد اقدام کفتار سایبری را رقم نخواهند زد؛ تصوری که ظاهرا باید در آن تجدید نظر کرد.**

پس نکته و ابهام نخست این است که کفتار سایبری از داخل کشور به کشور در حال حمله است که پاسخ اولیه به چرایی و چگونگی وقوع این حمله به مخفی شدن عامل یا عاملان حملات، پشت میلیون‌ها گوشی تلفن همراه آلوده ایرانیان است.

۲٫ فرمانده ارتش زامبی‌های سایبری

حملات اخیر نشان داد که بخش کوچکی از آثار ماه‌ها بمباران و تشویق ایرانی‌ها به نصب انواع فیلترشکن‌ها، نسخه‌های تقلبی تلگرام و انبوهی از اپلیکیشن‌های نامعتبر، اکنون در حال پیدایش است و کار مهار این معضل از هشدار گذشته و حالا به علت کندی نهادهای مسوول در اطلاع‌رسانی و بی‌اعتمادی کاربران به برخی از این هشدارها، باید دست‌بسته نشست و منتظر ادامه عملیات‌هایی بود که از طریق زامبی‌های ایرانی انجام می‌شود.

**در این میان فرضیه‌ای نیز وجود دارد که در پس تشویق به نصب برخی از این اپ‌های مساله‌دار، نوعی عمد و کنترل وجود داشته، اما نکته نگران‌کننده و ابهام این است که حالا از این ارتش زامبی‌های سایبری چه کسی، چگونه و برای چه اهدافی اعم از سیاسی، تجاری یا امنیتی استفاده خواهد کرد؟**

۳٫ بهره‌برداری تبلیغاتی از کفتار سایبری

فرضیه دیگر در خصوص تحرکات مشکوک کفتار سایبری در ایران به احتمال بهره‌برداری‌های تبلیغاتی باز می‌گردد؛ به این مفهوم که به قربانیان برای مصون ماندن از تداوم حملات یا بی‌اثر گذاشتن آنها، آدرس‌های مشخصی داده می‌شود که برای مثال باید روی فلان و بهمان سرور بروند و گویی سرور مذکور در حکم نوعی لیست سفید است که هر کس روی آن باشد یا از حملات مصون می‌ماند یا حملات به آنها کارگر نیست.

همان‌طور که گفته شد، این یک فرضیه است که به همان اندازه که می‌تواند غلط باشد، قابل رد کردن نیز نیست.

۴٫ اهداف انتخاب‌شده

موضوع و فرضیه دیگر، نحوه انتخاب قربانیان کفتار سایبری بود. هر حمله‌ای به یک عامل حمله‌کننده، انگیزه حمله و یک سوژه حمله‌شونده نیاز دارد. آن‌طور که پیدا است، ظاهرا کفتار سایبری به چند کسب‌وکار اینترنتی مشخص حمله کرده است و عامل حمله با نام مستعار Master در جریان چت تلگرامی با یکی از قربانیان (روزنامه فناوران) گفته «آیا می‌دانید این کسب‌وکارها چه می‌کنند و از چه منبعی سرمایه‌گذاری کرده و چگونه پول در می‌آورند که از آنها دفاع می‌کنید؟»

اگرچه کفتار سایبری ظاهرا از کسب‌وکارهای مورد حمله تقاضای بیت‌کوین داشته که قاعدتا موفق به اخاذی نشده است. اما **سوال اینجا است که چرا عامل حمله سراغ موضوعات جذاب‌تری نرفته است. برای مثال، چرا به سایت‌های عرضه اینترنتی گوشت حمله نکرده یا به سایت‌های دو شرکت خودروساز یعنی ایران‌خودرو یا سایپا که در حال پیش‌فروش اینترنتی هستند نرفته است؟**

به هر حال توقف کار سایت‌های محدود عرضه گوشت یا سایت‌های پرکاربرد و مورد نیاز مردم می‌تواند چالش‌های مهم‌تری را ایجاد کند؛ اتفاقی که البته تا کنون رخ نداده و برای کفتار سایبری جذابیتی نداشته است.

۵٫ خلأ واکنش سریع

به عنوان کسی که در جریان حمله به روزنامه فناوران در جریان جزئیات کار از اعلام دقیق زمان حمله گرفته تا پایان آن قرار داشتم، نکته دیگری نیز جلب توجه کرد. تماس با مرکز ماهر و پلیس فتا، به واکنش سریع و خاصی منجر نشده و مرکز ماهر ظاهرا اعلام کرده بود که «اقداماتی را در دست انجام» دارند و پلیس فتا هم اعلام کرده بود که با در اختیار داشتن شکواییه و جزئیات مکتوب حمله، مراجعه شود تا اقدامات لازم به عمل آید.

فارغ از اینکه به شکل لحظه‌ای و زنده امکانی برای واکنش و تدابیر جبرانی وجود ندارد، اصولا قربانیان نمی‌دانند باید شکایت خود را برای چه و به کدام نهاد مسوول امنیت سایبری منتقل کنند. برای مثال، در جریان حملات اخیر معلوم نیست در مجموع چه تعداد سایت مورد حمله قرار گرفته‌اند و نهادهای مسوول مشخصا «چه اقدامات» و هماهنگی‌هایی برای شناسایی و توقف عامل یا عوامل حملات به عمل آورده‌اند.

۶٫ مساله مهمی به نام نبود امنیت داخلی

برای تشریح ششمین مورد از ابهامات و فرضیه‌های پشت قدرت‌نمایی کفتار سایبری، اما بگذارید نقل قول مستقیمی از یک عضو هیات‌مدیره شرکت ارتباطات زیرساخت در گفت‌وگو با روزنامه فناوران اطلاعات داشته باشم:

«سجاد بنابی، عضو هیات‌مدیره شرکت زیرساخت در پاسخ به فناوران درباره اینکه آیا سرویس‌ DDoS Protection  روی اینترنت ایران فعال است، توضیح داد: بله براساس قانون روی Gateway اینترنت بین‌الملل این سرویس وجود دارد. علاوه بر این، لینک‌هایی وجود دارد که از حفاظت بهتری برخوردارند و در هنگام حمله اخیر نیز با جابه‌جایی لینک‌ها، جلوی حملات DDoS از خارج از کشور را گرفتیم.

وی با بیان اینکه در حملات اخیر تنها ۲۴ ساعت حمله از خارج از کشور صورت گرفته و بقیه منشا داخلی دارد، گفت: **زیرساخت آمادگی دارد که روی شبکه ملی اطلاعات نیز سرویس DDoS Protection را راه‌اندازی کند.** این موضوع در داخل کشور عملا یک کسب‌وکار است و برخی‌FCPها هم همین الان اینترنت Protected با تعرفه گران‌تر از اینترنت معمولی ارایه می‌دهند. **زیرساخت برای اینکه با بخش خصوصی رقابت نکند، وارد حوزه Protection  داخلی نشده است.**

بنابی ادامه داد: **اگر حاکمیت تشخیص دهد بخش خصوصی توان فعالیت در حوزه DDoS Protection را ندارد، شرکت زیرساخت آمادگی سرمایه‌گذاری در این حوزه را دارد. ولی تا امروز حاکمیت چنین نظری نداشته و ما هم تا امروز ابا داشتیم این پیشنهاد را بدهیم؛ زیرا DDoS Protection تجارت سودآوری است.**

اما بگذارید این اظهارات را اندکی واکاوی و کدگشایی کنیم:

۱٫ به گفته این مقام مسوول در شرکت ارتباطات زیرساخت، ما روی لایه اینترنت از Protection برخورداریم، اما روی لایه اینترانت (شبکه ملی اطلاعات) چنین امنیتی وجود ندارد. به عبارت دیگر حمله اگر از خارج باشد قابل دفع و مهار است اما اگر از داخل باشد، ما تنها نظاره‌گر حمله خواهیم بود و فعلا مسوولیتی نداریم!

۲٫ یکی از فلسفه‌های ایجاد شبکه ملی اطلاعات اصولا افزایش حداکثری امنیت بوده است، نه لزوما امکان قطع اینترنت در مواقع مورد نیاز!

۳٫ معادل‌سازی فیزیکی اظهارات این مقام زیرساخت از این قرار است: ما در مرزهای کشور امکانات و نیروهای مرزی را مستقر کرده و از ورود تهدیدها جلوگیری می‌کنیم، اما در داخل کشور (درون مرزهای سایبری یا شبکه ملی اطلاعات) نیروی پلیس و امکانات مستقر نکرده‌ایم؛ چون این کار می‌تواند برای بخش خصوصی پول‌ساز باشد و برخی می‌توانند خدمات کارآگاه و محافظ خصوصی به متقاضیان ارایه دهند و کسب‌وکار ایجاد کنند.

۴٫ به عبارت دیگر در شرایط فعلی که در آن هستیم، هر کس توان مالی و فنی بالاتری دارد می‌تواند از حملات داخلی در امان بماند و سایرین هم …

۵٫ به موجب این حمله و بنا بر اظهارات این مقام شرکت زیرساخت، اگر حاکمیت تشخیص دهد بخش خصوصی توان فعالیت در حوزه DDoS Protection را ندارد، شرکت زیرساخت آمادگی سرمایه‌گذاری در این حوزه را دارد.

اینجا منظور از حاکمیت یعنی کدام نهاد؟ شاخص تعیین ناتوانی بخش خصوصی در تامین امنیت چیست؟ هزینه تامین امنیت عمومی در فضای سایبری داخل کشور چه میزان است؟ این امنیت از طریق چه روشی (مناقصه یا …) قابل تامین است؟ زمان لازم برای تامین این امنیت چقدر است؟ هزینه واگذاری تامین امنیت سایبری به بخش خصوصی و تامین امنیت از سوی دولت، چه میزان متفاوت است؟ و پرسش‌های دیگری از این دست که در زمان مقتضی به آن خواهیم پرداخت.

۶٫آیا وضع موجود مقدمه و بهانه‌ای برای واگذاری اجرای پروژه حفاظت از شبکه ملی اطلاعات به شرکت زیرساخت است؟ یا صرفا افزایش حساسیت و آگاهی کشور به وجود ضعف‌های امنیتی در این شبکه و لزوم ترمیم و اصلاح آن؟

۷٫ نکته پایانی اینکه در همین زمینه یک کارشناس حوزه سایبری می‌گوید: «در خصوص اظهارات این مقام مسوول، فقط این سوال در ذهنم می‌ماند که وقتی صحبت از شبکه داخلی می‌شود، کنترل کامل این شبکه در اختیار گردانندگان آن است و قرار هم هست که خدمات ملی و درگاه‌های خدمات روی همین زیرساخت قرار داشته باشد، لذا قطعا آقایان باید دیداس پروتکشن داشته باشند. حالا کلمه «موقعیت تجاری» و «بخش خصوصی» کجای این معادله می‌گنجند؟

شترسواری دولا دولا نمی‌شود، وقتی حاکمیت بستر شبکه ملی اطلاعات راه می‌اندازد، باید لوازم آن را هم تامین کند، همین!»

**در مورد حملات کفتار سایبری البته گفتنی‌ها، ابهامات و فرضیه‌های دیگری نیز وجود دارد که فعلا منتظر اقدامات و تدابیر نهادهای مسوول مانده و مدتی بعد مجددا به آن خواهیم پرداخت.**