به نقل از سایت وین بتا :
وقتی سخن از مرکز امداد رخدادهای امنیتی در حوزه فناوری اطلاعات یا CERT به میان میآید، متخصصین امنیت و یا حتی مدیران شبکه به فکر یک گروه کارآمد میافتند که قادر است در کمترین زمان موجود، مشکلات و رخدادهای پیش آمده را بررسی و برای آنها راه حل ارائه دهد.
در سالهای اخیر رخدادهای فراوان امنیتی در ایران به وقوع پیوسته که مجال بررسی همه آنها در این بحث نیست، اما نگاهی گذرا آلودگی هزاران سیستم به ویروسهایی مانند Slammer و Blaster و در همین اواخر Conficker نشان دهنده ضعف در اطلاعرسانی و پیگیری مشکلاتی از این دست میباشد.
در سالهای قبل با نبود پروژههایی مانند «آپا» یا «CertCc» توقعی از مسئولان امر نمیرفت تا واکنشی درخور نسبت به این حوادث نشان دهند، اما حال با تاسیس این گروهها و صرف هزینههای لازم، امید مدیران سازمانها و حتی بخش خصوصی به این گروههاست تا با اطلاعرسانی دقیق و پیگیری مستمر آنها، از مشکلاتی مانند همهگیر شدن آلودگی به یک ویروس در سطح کشور کاسته شود و دیگر اتفاقاتی مانند از کار افتادن سیستمهای حیاتی بر اثر الودگی به ویروسها دیده نشود و نتیجتا امنیت شرکتها و سازمانها و حتما کشور به مخاطره نیفتد.
Conficker مهمترین و آخرین نمونه از کرمهای رایانهای است که با استفاده از ضعف در سیستم عامل ویندوز میلیونها کامپیوتر در سرار دنیا را آلوده کرده است، و نیز هزاران کامپیوتر در داخل کشورمان آلوده شده و مدارک و اسناد شبکههای الوده شده در ایران نیز به صورت رسمی در دسترس عموم قرار گرفته است.
اما چیزی که این روزها فکر نگارنده (به عنوان یک کارشناس امنیت اطلاعات) را به خود مشغول میکند، بیتفاوتی و یا عدم توانایی پاسخگویی به رخداد امنیتی است که به وقوع پیوسته و در حال حاضر میبایست برای پاکسازی و ایمن کردن سیستمهای زیر بنایی عکسالعملی از سوی گروههایی مانند «آپا» یا «Certcc» انجام پذیرد، اما متاسفانه تنها فعالیت نمایان این گروهها ترجمه اخبار از سایتهای خارجی و منابع دست دوم است، و در پارهای اوقات هم چند مقاله دانشجویی.
در ادامه داستان تلاش دو هفتهای من برای تماس با مرکز Cert و هشدار در زمینه آلودگی گسترده در مورد ویروس Stuxnet بیان می شود.
شروع داستان – پنجشنبه ۲۴ تیرماه
در ۴ سال گذشته بنا به عادت و با توجه به بررسی بدافزارها و فعالیت آنها و همکاری با گروههای بینالملی جهت مبارزه با جرائم رایانهای مانند آلودهسازی سیستم به بدافزارها در حال خواندن اخبار روزانه بودم. اخبار روزانهای که دقیقهها و ساعتها در آن نقش عمدهای را بازی میکنند. اخبار منتشر شده حاکی از انتشار یک بدافزار بود که بر اساس یک ضعف در Shourtcutها امکان اجرای بدافزار بدون دخالت کاربر را میداد.
اطلاع از شیوع این ویروس و ضعف در سیستم عاملهای مایکروسافت را شرکت VirusBlokAda برای اولین بار متوجه عموم کرد. طی بررسیهای انجام شده یک بدافزار جاسوس با استفاده از آلوده کردنUSB flash ها در حال انتشار بود، به نظر میرسید هدف این ویروس، دسترسی به اطلاعات سیستمهای مدیریتی مانیتورینگ SCADA در اروپا بود که از نرمافزار شرکت زیمنس به نام Wincc استفاده میکردند. این ویروس Stuxnet نام گرفت.
طراحی این ویروس به قدری حرفهای برنامهریزی شده بود که از همان روزهای اول، صحبت در باب عوامل پشت صحنه این حمله تبدیل به بحث داغ محافل امنیتی شد.
جمعه ۲۵ تیر ماه
مایکروسافت دست به انتشار Advisory اولیه در این زمینه میزند و وجود یک ضعف امنیتی را در تمامی سیستم عاملهای ویندوز تایید میکند، اما هنوز اطلاع دقیقی از چگونگی عملکرد این ضعف به صورت عمومی در دسترس نیست، و اصلاحیهای هم برای آن منتشر نشده است. ساعاتی بعد در همان روز با اضافه شدن شناسه ویروس Stuxnet در برنامههای ضدویروس مایکروسافت و قابلیت تشخیص آن از سوی این برنامهها مانند:
Microsoft Security Essentials, Microsoft Forefront Client Security, Windows Live OneCare, the Forefront Threat Management Gateway, and the Windows Live Safety Platform, windows defender
مرکز مبارزه با بدافزارها در مایکروسافت(MMPC) با دریافت گزارش از میزان آلودگی در جهان دست به انتشار اطلاعاتی میزند که در آن کشورهایی که بیشترین موارد آلودگی توسط برنامههای ضدویروس مایکروسافت ثبت شدهاند مشخص میگردد، اما این آمارها تنها محدود به حوزه فعالیت نرمافزارهای مایکروسافت میباشد و میتواند به عنوان یک هشدار قبل از بدست آوردن اطلاعات بیشتر مورد استفاده قرار گیرند.
در این گراف، رتبه اول به ایران، رتبه دوم به اندونزی، و رتبه سوم به هند تعلق گرفته بود.
با مطالعه گراف، ابعاد فاجعه تا حدی برای من مشخص گردید. ساعاتی بعد تصمیم گرفتم به مرکز رخدادهای امنیتی certcc.ir و مرکز آپا سری بزنم و ببینم آیا اطلاعات یا هشداری در این زمینه در دسترس میباشد یا نه. اما چیزی بر روی وبسایتهای این مراکز یافت نشد.(لینک)
شنبه ۲۶ تیر ماه
بر اساس تبادل اطلاعات با متخصصین امنیت در دنیا یک Sample اصلی از برنامه بدافزار بدستم میرسد، اما مانند تمام ویروسهای دیگر امکان بررسی آن به سادگی وجود ندارد. با هماهنگی با دوستان و گروههای دیگر کار برای بازگشایی کدهای اصلی این malware را شروع میکنم.
یکشنبه ۲۷ تیرماه
یک روز بعد فایل به صورت کامل رمزگشایی شده (unpacked) و اطلاعاتی که مربوط به تغییر دادهها در برنامه wincc است قابل مشاهده است، همچنین اطلاعات مفید دیگری که میتواند برای بررسی عملکرد ویروس مورد استفاده قرار گیرد. اما هنوز certcc پس از گذشت دو روز واکنشی نشان نداده است. تصمیم میگیرم تا با نشانی ایمیلی که جهت گزارش رخدادهای امنیتی در وبسایت قرار گرفته است تماس بگیرم. به نظر من این یک رخداد امنیتی و اپیدمی شدن آلودگی به ویروس در سطح گسترده در کشور است.
متن نامه ارسالی در تاریخ یکشنبه ۲۷ تیرماه ۱۳۸۹ به مرکز Certcc:
با سلام
با توجه با انتشار ویروس جدید که از یک زیرو دی در برنامه ویندوز استفاده میکند. حجم آلودگی سیستمهای درون ایران بیش از حد میباشد آیا اطلاع رسانی یا پیگیری جهت ردیابی میزان الودگی درون سازمانها انجام گردیده است یا خیر؟ تنها آسیبرسانی این ویروس تغییرات در یکی برنامههای کنترلی زیمنس است که با توجه به امکان استفاده این برنامهها در داخل سازمانهای ایران نیاز پیگیری بیش از پیش احساس میشود. در صورت که اطلاعات قابل توجهی در دسترس باشد خوشحال میشوم برای تحقیقات در اختیار من قرار گیرد.
باتشکر
نیما مجیدی
(با ذکرمنابع فنی)
در متن ارسالی به Certcc قسمتی را به عنوان تحقیقات شخصی و مهندسی معکوس به بیان فعالیت این ویروس با برنامه Wincc میپردازم شاید علاقهمندی در شخصی که مسئول چک کردن ایمیل است به وجود آید و پاسخی دهد. منتظر میمانم تا تماس از سمت cert کشورم برقرار شود تا اطلاعاتی را که در دسترس دارم به اشتراک بگذارم. در چنین رخدادهایی زمان به سرعت میگذرد و سخن ادیبانهای که این سالها به خوبی به گوش میرسد «مدیریت بحران» است.
با گذشت چند روز هنوز هیچگونه کد exploit به صورت عمومی برای ضعف در برنامه Shurtcut ویندوز منتشر نشده است. چند نسخه از Exploit ها به صورت خاص منتشر گردیدهاند اما هنوز مدل کارآمد و راحتی برای آن بدست نیامده است.
دوشنبه ۲۸ تیر ماه
اچ دی مور یکی از موسسین پروژه Metasploit دست به انتشار کد Exploit میزند که میتواند به صورت Client Side Attack مورد استفاده نفوذگران قرار گیرد و این در حالی است که هنوز اصلاحیهای از سوی مایکروسافت منتشر نشده است. با بررسی شرایط موجود و با توجه به آسیبپذیری ۰day در سیستم عامل ویندوز که هنوز اصلاحیهای برای آن منتشر نگردیده، مرکز بررسی حوادث اینترنتی Sans (Internet Storm Center) به دلیل انتشار کد Exploit به صورت عمومی و با توجه به امکان هدف قرار گرفتن سیستمهای دیگر وضعیت رخدادهای امنیتی در اینترنت را به حالت زرد یعنی خطرناک درمیآورد (Raising Infocon to yellow) .
رنگ Infocon به معنی خطر و فراگیر شدن حملات کامپیوتری یا انتشار ویروسهاست. مرکز ISC به عنوان یک منبع معتبر در این زمینه عمل میکند و با تغییر موقعیت به حالت خطرناک بسیاری از شرکتها و سازمانها به حالت آمادهباش درمیآیند. این فرایندی است که در طول سالها شکل گرفته و مدل استانداردی است که توسط مدیران شبکه یا مسئولین امنیت دنبال میشود.
از همین مدل کارآمد میتوان درس گرفت و جدا از شعارهای بومیسازی، دست به ایجاد مرکزی زد تا در مواقع بحرانی، مسئولان شبکهها را در جریان خطرهای پیش رو قرار دهد.
سه شنبه ۲۹ تیر ماه
به دلیل بالا رفتن خطرات ناشی از آلودگی به این ویروس و همچنین آلوده شدن سیستمهای بسیار حساس، کمپانی Symantec وارد عمل شده و کنترل دسترسی به دامینهای اصلی این بدافزار را بدست میگیرد. قابل ذکر است این دامینها به عنوان مراکز ارسال دستور به کامپیوترهای آلوده مورد استفاده قرار میگرفتند و امکان ی اطلاعات از کامپیوترهای آلوده را فراهم میساختند. حالا Symantec با استفاده از تکنیکی که به Sinkhole معروف است قادر است آماری دقیق از کامپیوترهای آلوده در کشورها و مراکز مختلف بدست آورد.
هرچند بدست گرفتن دامینهای اینترنتی و انتفال مالکیت آن فعالیتی زمانبر است و در بسیاری موارد باید گرفتن حکم دادگاه و مراحل پیچیدهای را طی کند اما بدلیل اینکه کمپانی Symantec مسئول پاسخگویی رخدادهای امنیتی سیستم SCADA بوده و نیز به علت حساسیت بالای سیستم SCADA این شرکت توانست در کمترین زمان ممکن کنترل دامینها را در دست بگیرد که در نوع خود کمسابقه است.
دامینهای مورد نظر عبارتند از:
www[.]mypremierfutbol[.]com
www[.]todaysfutbol[.]com
پنجشنبه ۳۱ تیر
بعد از حدود ۷۲ ساعت مانیتورینگ دامنههای مورد استفاده Stuxnet خبر کاملی مبنی بر آلودگی سیستمهای بسیاری در ایران توسط Symantec منتشر میشود، آماری تکان دهنده که ایران را در صدر کشورهای آلوده به ویروس Stuxnet قرار میدهد.(لینک) بیش از ۵۸% میزان آلودگی در ایران گزارش شده و بیش از ۱۴۰۰۰آادرس IP واحد که نشان دهنده میزان آلودگی بسیار بالاتر از ۱۴۰۰۰ سیستم میباشد که در مواردی که از سرویسهایی مانند NAT استفاده شده باشد به تعداد آلودگی سیستمها اضافه میشود.
با گذشت بیش از ۴ روز از ارسال نامه به Certcc بدون هیچگونه جوابی، سری به سایت Certcc میزنم، تنها دو خبر چندپاراگرافی بدون هیچگونه اطلاعات فنی در مورد انتشار این ویروس در سایت قرار گرفته، و «بومیسازی» به ترجمه خبرهای خارجی تبدیل شده؛ به نظر میرسد Cert ایران هیچگونه برنامهای برای بررسی بومی ویروس در کشور نداشته است.
و شاید هم از داشتن نیروی متخصصی برای این موارد محروم است. فکر میکنم ارسال یک نامه دیگر به مرکز آپا به دلیل ارتباط آن با فضای دانشگاههای کشور میتواند راهکار مناسبتری جهت اطلاع مسئولین امر باشد، پس متن ارسال شده به certcc را به همراه یک پاراگراف به پست الکترونیکی info و جهت اطمینان بیشتربه مدیریت مرکز آپا نیز ارسال میکنم.
متن نامه ارسالی در تاریخ پنجشنبه ۳۱ تیرماه به مرکز آپا:
با سلام
با توجه به آلوده شدن بیش از ۶۰۰۰ کامپیوتر در ایران و داشتن رتبه اول در مورد این بد افزار چرا هیچگونه اطلاعرسانی دقیق و فنی و حتی پیگیری برای میزان آلودگی پس از گذشت ۴ روز انجام نشده و مراکز امداد رایانهای که میبایست در چنین شرایطی دست به جمعآوری اطلاعات و مقابله رخداد نمایند هیچگونه پاسخ یا واکنشی نشان نمیدهند، آیا فقط ترجمه کردن و درست کردن فایلهای پی.دی.اف آموزشی در دستور کار این گروهها قرار دارد؟؟؟ متاسفانه من پاسخی از مرکز سرت مخابرات دریافت نکردم، جهت همکاری گویی در مواقع اضطراری هیچکس جوابگو نیست. به نظر میرسد مراکز امداد رایانهای که میبایست حرف اول را در واکنش سریع به یک رخداد بزنند هیچگونه آمادگی برای چنین شرایطی را دارا نیستند.
نیما مجیدی
جمعه ۱ مرداد
با انتشار کد exploit به صورت عمومی، امکان انتشار ویروسها بر اساس این ضعف امنیتی زیاد دور از ذهن نبود که چند روز بعد کمپانی Eset خبر از انتشار یک ویروس حدید بر اساس ضعف امنیتی یاد شده را داد(lnk 0day)
http://blog.eset.com/2010/07/22/new-malicious-lnks-here-we-go
7 روز بعد – پنجشنبه ۷ مرداد
(هیچ گونه پاسخی از مرکز آپا یا certcc دریافت نشده است)
و بالاخره به همت دانشجویان عزیز یکی از دانشگاهها که مسئولیت ترجمه مقالات و راهنماهای منتشر شده را بر عهده گرفتند، همچنین متخصصین امنیت در سراسر دنیا، شرکتهای Anitvirus که بسیاری از آنها ایران را در لیست کشورهای تحریمی قرار دادهاند، چند نسخه فایل Pdf ترجمه شده و مقالهای بر روی سایتهای آپا و Cert ایران قرار میگیرد. خبرهایی که ۱۵ روز پیش به صورت عمومی و به زبان انگلیسی در دسترس عموم بود، حالا پس از دو هفته به زبان فارسی برگردانده شده و قابل دسترس است! که در نوع خود در زمینه ترجمه مقالات تخصصی یک رکورد محسوب میشود!
از شروع داستان در یک ظهر گرم تابستان در روز ۲۴ تیرماه تا پایان شگفتانگیز آن در ۷ مرداد ماه(یعنی بیش از ۱۵ روز) Cert ایران و مرکز آپا، میزان توانایی برخورد با رخدادهای امنیتی در سطح گسترده را بخوبی نشان دادند!
اگر شرکتی مانند Symantec وجود نداشت، اگر متخصصین امنیت در سراسر دنیا دقایق زندگی خود را صرف بروزرسانی خود و تحقیق نمیکردند، هیچ رخدادی گزارش داده نمیشد، شیوع ویروس ادامه داشت، امکان خروج اطلاعات از داخل کشور زیاد دور از ذهن نبود، و همگی به فکر همایش بعدی امنیت اطلاعات در سطح سازمانها بودیم تا خوش و خرم با میهمانهای آسیایی خود در مورد Computer Emergency Response Team سخن بگوییم!
این صدای یک زنگ خطر است، زنگ خطری که به مسئولین هشدار میدهد که صرف برگزاری سمینارهایی در زیر پرچم سه رنگ ایران به معنی آمادگی با رخدادها نیست، تنها کافی بود تا با یک مدیریت سریع و کارآمد و با استفاده از نیروی متخصص به صورت بومی به این رخداد پاسخ داد؛ و زمان باز هم در حال گذر است، و چه تعداد سیستم جدید به این ویروس در طول هر روز در ایران آلوده میشوند؟!
من هم مانند تمام دلسوزان امنیت دوست دارم مراکز پاسخگو در کشورمان با بوجود آمدن چنین رخدادهایی قادر به واکنش سریع باشند، و به یاد داشته باشیم که این پایان ماجرا نیست، نقاط اصلی شیوع ویروس، میزان دقیق آلودگی در نقاط مختلف جغرافیایی کشور، بررسی برنامههای wincc مورد استفاده درون کشور، بررسی ترافیک انتقالی به Sinkhole …. و نکاتی دیگر میتواند شروعی مناسب حداقل برای پیگیری چگونگی همهگیر شدن این ویروس باشد.
-------------------------------------------------------------------------------------------------------------------------------------------------
نظرات شما عزیزان: