چندی پیش در اخبار بینالمللی، آلوده شدن رایانههای بسیاری در سراسر جهان از طریق سیستمهای عامل معیوب ویندوز اطلاعرسانی شد که دنیای رایانه را با یک چالش بزرگ مواجه کرد؛ آنچنان که در ابتدای امر مایکروسافت نیز نمیدانست چطور میتواند این داستان ترسناک را پایان دهد. داستانی که با تاخیر بسیار در ایران و تنها با ترجمه اخبار ازسوی برخی رسانهها اطلاعرسانی شد؛ بدون اینکه راهکاری از سوی مسوولان مراکز امنیتی در حوزه رایانه کشور به کاربران ارایه شود.
قطعا در کشوری مانند ایران مراکزی چون آپا (آگاهیرسانی، پشتیبانی و امداد حوادث رایانهیی)، در مرکز تحقیقات مخابرات ایران و نیز مرکز ماهر (مدیریت امداد و هماهنگی عملیات رخداد رایانهیی) که از سوی شرکت فنآوری اطلاعات ایران در حوزه امنیت راهاندازی شدهاند، میتوانستهاند در مواردی مانند چنین آلودگی به بدافزار جاسوسی و در شرایط جنگ نرم، اطلاعرسانی دقیق کرده و راهکارهای پیشگیرانه به کاربران ارایه کنند و از وسعت آسیبها بکاهند.
*کشف نقص امنیتی
اواسط تیرماه محققان امنیتی یک نقص امنیتی جدید و اصلاح نشده را در ویندوز 7 کشف کردند که به اجرای کد دلخواه بر رایانه قربانی منجر میشد. در اخبار آمد که سیستم عامل ویندوز 7 در برابر یک نقص امنیتی جدید و اصلاح نشده آسیبپذیر است که کاربران را در معرض حملات از کار افتادگی صفحه آبی (blue screen) یا اجرای کد قرار میدهد.
بنا بر اطلاعات ارائه شده توسط VUPEN - یک شرکت امنیتی فرانسوی - این نقص امنیتی میتواند توسط مهاجمان محلی مورد سوءاستفاده قرار بگیرد؛ تا حملات انکار سرویس را اجرا کنند، یا حق دسترسی بالاتری به دست آورند.
به گفته همان منبع، مشکل مذکور بر اثر یک خطای سرریز بافر در تابع CreateDIBPalette رخ میدهد که میتواند توسط افراد بداندیش مورد سوءاستفاده قرار بگیرد؛ تا سیستم قربانی را از کار بیندازند و یا کد دلخواه را در هسته اجرا کنند.
آسیبپذیری مذکور در ویندوز 7 که تمام اصلاحیههایش نصب شده باشد، ویندوز سرور 2008 SP2، ویندوز سرور 2003 SP2، ویندوز ویستا SP2، و ویندوز XP SP3 تأیید شده است.
اما با رجوع به سایتهای آپا و ماهر تنها با اخباری مبنی بر حمله ویروس مذکور مواجه میشویم و راه حلهایی که مایکروسافت چندی بعد اطلاعرسانی کرده است. مواردی که خبرگزاریها و پایگاههای اطلاعرسانی نیز نسبت به انجام آن اقدام کردند.
اکنون کاربران ایرانی فعال در شرکت های تولیدی یا کارخانههای کنترل و صنعتی بعد از اطلاع از این که در این حمله ویروسی بیشترین آسیبها به سیستمهای ایرانی وارد شده است، این سوال را مطرح میکنند که چه راهها و نسخههایی برای مقابله با حملات اینچنینی تجویز شده است؟
کاربران که البته شامل کاربران خانگی نمی شوند، تاکید دارند که اکنون تنها با راه حلی مواجهیم که مایکروسافت اعلام کرده و هنوز نمیدانیم در عرصه داخلی در این باره چه کردهاند، در شرایطی که علاوه بر راهاندازی مراکز امنیتی با هزینههای بالا، بحث مقابله با جنگ نرم نیز مطرح شده است و مسوولان مربوط طبق معمول پاسخی در اینباره هم برای رسانهها ندارند.
امیدواریهایی برای آینده!
اما سعید مهدیون - مدیر عامل شرکت فنآوری اطلاعات - در گفتوگو با خبرنگار ایسنا، با بیان این که آماری بهصورت ماهانه تهیه میشود که وضعیت بدافزارها در کشور چگونه است و چگونه پخش شدند، گفت: ما نظارت تقریبا کاملی را در این حوزه داریم، ولی این آمار آماری است که نمیشود بهصورت عمومی اطلاع داد.
او تصریح کرد: در زمینه مبارزه هم، یکسری شرکتهای توانمند داخلی را شناسایی کردیم و بیش از شش ماه است که با آنها کار میکنیم که توانمندیهایشان هم بسیار افزایش یافته است.
مدیر عامل شرکت فنآوری اطلاعات افزود: بعضی از آمارهای قابل ارائه را در سایت ماهر داریم مثلا در نرمافزار ایمن که کاملا داخلی است؛ اگر این را دنبال کنیم، ضریب شناساییاش به عددهای خیلی خوبی نزدیک میشود که از عدد 10 تا 15 درصد شروع شده و یکی دو مورد تا 50 درصد رسیده و در جاهایی هم بالا رفته که البته چون ویروس بالا و پایین میشود، این درصدها هم تغییر میکند ولی در حال رشد است.
مهدیون درباره توانمندیهای مربوط به امنیت و شناسایی و مقابله با ویروسها و حملههای امنیتی گفت: در این زمینه جای امیدواری زیادی وجود دارد که بتوانیم این توانمندی را در کشور بهوجود آوریم و حتا صادر کنیم؛ اکنون شرکتها آرام آرام در حال آماده شدن هستند که بتوانند خدماتشان را به کشورهای دیگر صادر کنند.
چگونه میتوانستیم آلوده نشویم؟
محمدحسین شیخی ـ مدیر مرکز آپا دانشگاه شیراز ـ در گفتوگو با خبرنگار ایسنا، با اشاره به ویروس stuxnet گفت: این ویروس با استفاده از نقطه ضعف مایکروسافت در سیستمهای عامل ویندوز آن، نرمافزار ویندوز را فریب میدهد و خود را به سیستم شخص نزدیک میکند.
وی افزود: کار اصلی این ویروس آن است که اطلاعات مربوط به PLCهای (ابزارهایی که در کنترل صنعتی در کارخانههای بزرگ تولیدی و صنعتی استفاده میشوند) شرکتهای زیمنس که به Scada معروفند، بررسی کرده و نقشه کنترل صنعتی کارخانه را به مقصدی در اروپا میفرستاد.
او تصریح کرد: به این ترتیب مراکز صنعتی که رایانههای آنها به PLCها مرتبط و به اینترنت وصل بوده است، در معرض تهدید این ورم قرار میگرفتند.
به گفته شیخی طبق بخشنامه دولت شرکتهای تولیدی و کارخانهها باید سیستمهای کنترل صنعتی خود را از اینترنت جدا میکردند و یک شبکهی LAN داخلی به وجود میآوردند و برای استفاده از اینترنت بهصورت مجزا از شبکهی کنترل، شبکهی خاصی در دسترس کارکنان قرار میدادند و اگر این استاندارد رعایت میشد، تهدیدی برای آنها از طریق این ویروس به وجود نمیآمد.
مدیر مرکز آپا دانشگاه شیراز با اشاره به اینکه احتمالا این ورم از هشت ماه پیش فعال بوده است اظهار کرد: شش ماه پس از فعالیت آن اطلاعرسانی دربارهی چگونگی شناسایی و مبارزه با آن اطلاعرسانی شد.
او خاطرنشان کرد: مرکز آپای دانشگاه شیراز بهعنوان یک مرکز مبارزه با بدافزارها به محض اطلاع از حضور این ویروس مرکز تحقیقات را در جریان امر گذاشت و نکاتی چون نحوه پاک کردن این ویروس و ایجاد شبکهی مجزا برای بحث کنترل را در پرتال آپا اطلاعرسانی کرد.
شیخی در بیان میزان آسیبهای وارده به سیستمهای ایران گفت: طبق اعلام شرکت simantec میزان 58 درصد آلودگی در ایران، 18 درصد در اندونزی، 8 درصد در هند و 2 درصد در آمریکا را شامل میشود.
وی با تاکید بر این که این آمار توسط یک شرکت اعلام شده است، گفت: ما این آمار را نه تایید و نه تکذیب میکنیم؛ اما باید این را در نظر گرفت که نسبت تعداد رایانهها در کشورهای مختلف متفاوت است و شاید 2 درصد از کل رایانههای آمریکا بیشتر از 58 درصد از رایانههای ایران باشد.
این کارشناس درباره نحوه انتقال این ویروس نیز اظهار کرد: ویروس stuxnet از طریق فلش مموری منتقل میشود و از آنجا که انتقال اطلاعات در کشور ما در حجمی وسیع با استفاده از فلش مموریها صورت میگیرد، سرعت انتشار این ویروس افزایش مییابد. این درحالیست که در سایر کشورها به علت بالا بودن سرعت اینترنت، کاربران بیشتر اطلاعات را با استفاده از بستر اینترنت منتقل میکنند.
اما راهحل مایکروسافت...
مایکروسافت یک اصلاحیه فوری برای تمامی نسخههای ویندوز عرضه کرده است که یک نقص امنیتی جدید در نحوه نمایش میانبرها را رفع میکند. این نقص اخیرا هدف حملات خرابکاران قرار گرفته است.
این اصلاحیه خارج از نوبت که در رده امنیتی «بسیار مهم» قرار گرفته است، کمتر از 20 روز پس از کشف یک حمله بدافزاری جدی عرضه شده است. این حمله بدافزاری با ترکیب این نقص امنیتی با مشکلات امنیتی در سیستمهای SCADA و با استفاده از درایورهای امضا شده سرقت شده، از نرمافزار امنیتی عبور میکرد.
مایکروسافت در بولتن امنیتی خود نوشت:
این آسیبپذیری میتواند در صورتی که آیکون یک میانبر خرابکار نمایش داده شود، به اجرای کد از راه دور منجر شود. یک مهاجم که به شکل موفقیتآمیز از این آسیبپذیری سوء استفاده کند، میتواند به حقوق دسترسی کاربر محلی دست یابد.
کاربرانی که حسابهای کاربری معمول آنها دارای حقوق دسترسی کمتر است، کمتر از کاربرانی با حق دسترسی administrator در معرض خطر قرار دارند.
این نقص امنیتی تمامی نسخههای پشتیبانی شده ویندوز XP، ویستا، ویندوز 7، ویندوز Server 2008 و ویندوز Server 2008 R2 را شامل میشود.
منبع: ایسنا