خلل در اینترنت ایران حمله‌ی هکرها یا جنگ سایبری؟

آیا جنگ سایبری میان ایران و آمریکا آغاز شده و در جریان است؟ جنگ سایبری چیست؟ حمله هکری با جنگ سایبری چه تفاوتی دارد؟ دو کشور درگیر در یک جنگ سایبری چه ابزار و سلاح‌هایی برای پیشبرد اهداف خود دارند؟

برای پاسخ به این سوالات و برخی پرسش‌های دیگر در این زمینه با آقای رایان شایگان نیا، متخصص امنیت شبکه صحبت کردیم.

رایان شایگان‌نیا، مشاور ارشد امنیت شبکه، معمار سیستم‌های امنیت اطلاعات و طراح امنیت شبکه‌های ابری است. رایان شایگان‌نیا فارغ‌التحصیل کامپیوتر در مقطع کارشناسی ارشد از دانشگاه پلی‌تکنیک مونترال است. او دارای مدرک CISSP از کنسرسیوم بین‌المللی صدور گواهینامه امنیت سیستم‌های کامپیوتری و هکر قانونی CEH و متخصص سیستم‌های امنیتی سیسکو CCNP Security است.

تخصص اصلی رایان شایگان نیا دستگاه‌های فایروال و تجهیزات دفع حملات منع دسترسی گسترده DDoS و رمزنگاری اطلاعات است.

آقای رایان شایگان‌نیا در ابتدا یک سوال پایه‌ای: حملۀ هکری چگونه است و اصولا کار یک هکر چیست؟

رایان شایگان‌نیا: اگر بخواهیم یک تعریف خیلی ساده و سطح بالا در این باب ارائه دهیم، ایجاد هرگونه اختلال در امنیت یک سیستم کامپیوتری را حملۀ هکری می‌گویند. اختلال در سیستم کامپیوتری به معنی ایجاد مشکل در یک‌روند مشخص است. سیستم کامپیوتری به قلب یک دستگاه می‌گوییم و این دستگاه می‌تواند یک موبایل، لپ‌تاپ یا شبکۀ بزرگی از کامپیوترها باشد.

یعنی یک هکر به امنیت یک سیستم آسیب می‌زند. اما سوال این است که امنیت یک سیستم کامپیوتری یا شبکه اینترنتی چطور می‌تواند آسیب ببیند؟

رایان شایگان‌نیا: امنیت شبکه یا یک سیستم کامپیوتری سه بخش یا محور دارد: در دسترس بودنAvailability، محرمانه بودن Confidentiality، و تمامیت یا درستیIntegrity یک حمله هکری اصولا یکی از این سه جنبه را هدف می‌گیرد.

در دسترس بودن: این یعنی یک سیستم کامپیوتری تعریف‌شده تا همواره خدماتی را ارائه دهد. پس باید همیشه در دسترس باشد. این دسترسی در سیستم‌های مختلف متفاوت است. مثلاً سیستم کامپیوتری که در اتاق عمل یا برج مراقبت فرودگاه کار می‌کند باید حداقل 99 ممیز 12 تا 9 درصد از زمان در دسترس باشد. ولی سیستمی که در یک مدرسه کار می‌کند نیازی به این درصد از دسترسی ندارد.

محرمانگی: این یعنی انتقال اطلاعات از یک سیستم کامپیوتری به یک سیستم دیگر که در شبکه قرار دارد باید توسط یک فرد یا سیستم ثالث قابل مشاهده و خواندن نباشد. مثلاً اگر شما با کردیت کارت خرید می‌کنید یعنی اطلاعات کردیت کارت شما از سیستمی به سیستم دیگر می‌رود؛ یا در رابطه دو مرکز بهداشت (مثلا دو بیمارستان) اطزلاعات سلامتی شهروندان جابجا می‌شود و این اطلاعات باید فقط برای فرستنده و گیرنده واقعی قابل دسترسی باشد و شخص ثالث نتواند آن به آن دسترسی داشته باشد.

تمامیت یا درستی: این یعنی اگر شما دارید یک فعالیت مالی را از طریق اینترنت انجام می‌دهید، مثلاً قرار است صد دلار از حساب خودتان به‌حساب من منتقل کنید باید دقیقاً همان اندازه دلار منتقل شود نه اینکه شما صد دلار بفرستید ولی صد و پنجاه دلار یا پنجاه دلار به‌حساب من بیاید. یک مثال ساده دیگر اینکه اگر شما دارید ایمیلی برای من می‌فرستید، آن ایمیل میان راه نباید تغییر کند. مثلاً شما در یک ای‌میل به من اطلاع می‌دهید که ساعت پنج روز سه شنبه 11 فوریه 2020 به محل ملاقات می‌رسید. تصور کنید از این‌‌ای میل شما به طور نیمه منتقل شود. طبیعتا این چیزی نیست که شما می‌خواهید.

خلاصه اینکه اطلاعات سیستم باید برای افراد مجاز «در دسترس» باشد، «محرمانه بودن» و «تمامیت» آن هم حفظ بشود.

به این‌ترتیب یک هکر به یکی از این سه محور حمله می‌کند. درست است؟

رایان شایگان‌نیا: بله دقیقاً. مثلاً هکری که می‌خواهد به یک سیستم مالی حمله کند، باید در قسمت محرمانه بودن یا تمامیت اطلاعات آن اختلال وارد کند. مثلاً حساب‌های مالی یک بانک را دست‌کاری کند یا حساب‌های یک فرد را بخواند و از موجودی حسابش مطلع شود.

یا هکری که می‌خواهد در اطلاعات حسابی تغییر ایجاد کند مثلاً موجودی حساب یک شخص را کم و زیاد کند.

یا زمانی که اطلاعاتی در دسترس نباشد. مثلاً برج مراقبت فرودگاه باید اطلاعات کامل همۀ پروازها را در هرلحظه‌ داشته باشد و اگر این اطلاعات در دسترس نباشد تبدیل به یک فاجعه می‌شود. اینجا دیگر موضوع محرمانه بودن یا تمامیت نیست، بلکه در دسترس بودن مهم است.

موضوع ما محدود به حملۀ هکری نمی‌شود. وقتی بحث حمله به زیرساخت‌های سایبری ایران مطرح می‌شود، ماجرا ابعاد گسترده‌تری پیدا می‌کند و جنگ سایبری مطرح می‌شود. خیلی خلاصه بگوییم جنگ سایبری چیست؟

رایان شایگان‌نیا: مفهومی همچون جنگ سایبری یک مفهوم جدید است. من فکر می‌کنم در یک جنگ سایبری چیزی غیر از حملۀ هکری اتفاق نمی‌افتد ولی معمولا ابعاد حمله بسیار گسترده‌تر است. یک حملۀ هکری ممکن است توسط یک دانش‌آموز کالج در زیرزمین خانه‌اش انجام شود یا چند هکر متخصص آن را انجام بدهند. اما وقتی که ما از جنگ سایبری صحبت می‌کنیم، دیگر صحبت از یک مجموعه یا سازمانی از متخصصین حرفه‌ای به میان می‌آید که ممکن است تعدادشان بعضاً به هزاران نفر هم برسد. معمولا بحث میان دو کشور است که یک طرف اهدافی را در حوزه الکترونیکی کشور دیگر هدف تخریب قرار می‌دهد. مثلا به زیرساخت‌های دیگری حمله می‌کند. اختلال در زیرساخت‌های اینترنتی‌ یک کشور، دیگر کار یک نفر و دو نفر نیست. بلکه به نیروی کامپیوتینگ بسیار بالا نیاز است تا بتوانند از طریق سیستم کامپیوتری در زیرساخت‌ها اختلال ایجاد کنند.

معمولا حمله به زیرساخت‌ها بیشتر حمله به قسمت دسترسی است؛ یعنی زیرساخت یا بخشی از آن از دسترس خارج می‌شود. اینجا کمتر مفهوم محرمانه بودن یا تمامیت اطلاعات مورد تعرض قرار می‌گیرد. مثل اتفاقی که دیروز در ایران افتاد، دسترسی به اینترنت قطع می‌شود. در اینجا هیچ تغییری در اطلاعات صورت نگرفته یا محرمانه بودن اطلاعات خدشه‌دار نشده ولی همان‌که سرویس اینترنت برای مدت معینی مثلاً یک یا دو ساعت از دسترسی خارج شود اختلال در دسترسی محسوب می‌شود.

در حمله روز شنبه که بعد هم به نظر می‌آید ادامه داشته دقیقا چه اتفاقی افتاده؟

رایان شایگان‌نیا: ما می‌دانیم که در نتیجه حمله روز شنبه بین یک تا دو ساعت اینترنت ایران به شدت تحت تاثیر قرار گرفت. در اینجا یک حملۀ SYN flood با هدف «منع دسترسی گسترده» یا DDoS صورت گرفته است. از لحاظ فنی وقتی دو کامپیوتر در نت‌ورک می‌خواهند باهم ارتباط برقرار کنند یک پروتکل انجام می‌شود که به آن می‌گویند: 3 way hand shake. یعنی دست دادن سه جانبه.

از طرف دیگر یک سیستم کامپیوتری طراحی شده که در یک روز به تعداد مشخصی از مراجعات اینترنتی یا شبکه‌ای پاسخ بدهد. مثلا شما تصور کنید که یک فرودگاه طراحی شده که در یک روز به حدود 100 هزار نفر سرویس بدهد. یعنی 100 هزار نفر بتوانند بیایند، پاسپورت‌هایشان را نشان بدهند، با مامور گمرک یا ماموری که داخل فرودگاه است صحبت کنند و سوار هواپیما بشوند و بروند. حالا اگر علاوه بر 100 هزار مسافر واقعی مثلا 180 میلیون فردی که اصلا مسافر نیستند به فرودگاه بروند و بخواهند با ماموران ارتباط بگیرند دیگر تعداد ماموران کافی نیست و آنها که نمی دانند چه کسی مسافر واقعی است نمی توانند به مسافران واقعی هم خدمات بدهند. برای همین هعم یک مسافر واقعی به جای اینکه در عرض یک ساعت کارش انجام بشود باید ساعت‌ها و ساعتها منتظر بماند و بعضی هم اصلا نتوانند به هیچ ماموری دسترسی پیدا کنند که پاسپورتشان مهر بخورد و بتوانند خارج شوند. به این ترتیب فرودگاه مذکور از دسترس خارج می‌شود.

در حمله این هفته دقیقا یک چنین اتفاقی افتاده است. در این حمله که منع سرویس گسترده نام دارد گستردگی جغرافیایی منشاء حمله نیز مهم است که طی آن یک‌سری کامپیوترهایی در جنوب شرقی آسیا و در آمریکای شمالی شروع کرده‌اند با آی.پی‌های داخل ایران تماس بگیرند. یعنی همان به اصطلاح مکانیزم Hand Shake را انجام دادند و باعث شده که سیستم زیر ساخت اینترنت ایران دیگر نتواند اطلاعات واقعی را پردازش کند و در نتیجه از کارآیی بیافتد.

حمله SYN flood چیست و دقیقا در طول حمله چه اتفاقی می‌افتد؟

رایان شایگان‌نیا: حمله SYN flood یکی از مشهورترین حملات منع سرویس گسترده دیداس DDoS است. به زبان ساده یعنی سرازیر کردن تقاضاهای زیاد به یک سرور و استفاده بیش از حد از منابع (پردازنده، پایگاه داده، پهنای باند، حافظه و…) به طوری که سرویس دهی عادی آن به کاربرانش دچار اختلال شده یا از دسترس خارج شود.

به طور معمول وقتی دو سیستم کامپیوتری در یک شبکه کامپبوتری مانند اینترنت با هم ارتباط برقرار می‌کنند طبق قرارداد یک فرایند سه مرحله‌ای باید انجام ‌شود که به آن اصطلاحا «دست دادن سه مرحله‌ایی» یا 3Way-Hand Shake می‌گویند.

در مرحله اول کامپبوتر مبدا یک بسته SYN به کامپبوتر مقصد می‌فرستد.

در مرحله دوم کامپبوتر مقصد یک بسته SYN ACK به کامپبوتر مبدا می‌فرستد.

در مرحله سوم کامپبوتر مبدا یک بسته ACK به کامپبوتر مقصد می‌فرستد.

هنگامی که این سه مرحله به اتمام برسد یک ارتباط امن بین کامپبوتر مبدا و مقصد برقرار می‌شود که می‌توانند به تبادل اطلاعات بپردازند.

در یک حمله SYN flood که اکثرا با آی‌پی‌های جعلی انجام می‌شود مرحله اول اتصال انجام می‌شود؛ یعنی درخواست SYN ارسال می‌شود ولی مرحله دوم اتصال انجام نمی‌شود و سرور در انتظار تکمیل ارتباط می‌ماند و به نوعی کانکشن نیمه باز می‌ماند، اگر میزان کانکشن‌های نیمه باز افزایش یابد ظرفیت کانکشن‌ها تمام می‌شود و هیچ جای خالی برای ایحاد کانکشن جدید بین سرور و کاربران واقعی آنها نمی ماند و به اصطلاح سرور DOWN می‌شود.

ممنون برای این توضیحات. به نظرم طبیعتاً علل و انگیزه‌های یک حملۀ هکری با انگیزه‌های جنگ سایبری تفاوت دارد! موافق هستید؟

رایان شایگان‌نیا: دقیقاً درست است. در حمله‌های هکری کلاسیک انگیزه‌های مختلفی وجود دارد. می‌تواند انگیزه‌های مالی باشد، می‌تواند فقط کنجکاوی تعدادی دانشجوی کالج یا یک سری از آدم‌ها که وقت آزاد دارند و می‌‌خواهند به این شکل وقتشان را پر کنند یا ریپوتیشن شرکتی را زیر سؤال ببرند باشد. مثلاً اگر یکی از بانک‌های کانادا حک شود و سیستم آن از دسترسی خارج شود، رپیوتیشن (آبروی) این بانک زیر سؤال می‌رود.

ولی وقتی صحبت از جنگ سایبری پیش می‌آید این مفاهیم بسیار گسترده‌تر می‌شود. جنگ سایبری ممکن است نوعی چنگ و دندان نشان دادن کشوری‌ها به هم باشد؛ یعنی مثل جنگ سرد بین روسیه و آمریکا و رقابت‌هایی که داشتند.

با توجه به سابقه درگیری‌های سایبری بین ایران و آمریکا، که فکر می‌کنم خبرسازترین مورد آن Stuxnet بود، آیا می‌توانیم بگوییم بین ایران و آمریکا یک جنگ سایبری در جریان است؟

رایان شایگان‌نیا: دربارۀ ویروس Stuxnet که به نظر می‌آید حمله‌‌ای در قالب یک جنگ سایبری بوده به توضیحات اولیه‌ای که دادم برمی‌گردم. در حقیقت هدف ویروس Stuxnet ایجاد اختلال در دسترسی نبود. حمله کننده می‌خواست محرمانه بودن یک سری از اطلاعات را خدشه‌دار کند. تیم خیلی بزرگی پشت آن کار بود و از مدتها پیش برنامه ریزی کرده بود و نتیجه آن هم به درد هیچ هکر منفرد یا گروهی از هکرهای غیردولتی نمی‌خورد. همۀ اینها نشان‌دهندۀ نقش یک دولت در این کار بود.

در این جنگی که به نوعی می‌توان گفت شروع شده، واقعا قدرت سایبری ایران در برابر یک ابرقدرت اقتصادی، سیاسی و نظامی دنیا مثل ایالات متحده چقدر است؟

رایان شایگان‌نیا: ببینید برای یک جنگ کلاسیک ما به یک سری ابزار نیاز دازیم. این ابزار شامل یک سری هواپیما و فشنگ و اسلحه و توپ و ابزارآلات جنگی است و صدالبته یک سری نیروی انسانی هم احتیاج است. در اینجا نیروی انسانی همان سربازها هستند که از تجهیزات استفاده می‌کنند و می‌خواهند این جنگ را انجام دهند. در جنگ سایبری هم ما به ابزار و منابع انسانی نیاز داریم. یعنی به یک سری تجهیزات و متخصصی که با آنها کار کند. باتوجه به اطلاعاتی که من دارم، ایران از لحاظ متخصص IT در وضعیت خوبی است. ایران بخاطر نزدیک بودنش به هند و چین و روسیه که قطب‌های هکینگ هستند و بخاطر اینکه دانشجو‌های ایرانی خیلی زیادی در هند و همچنین در دو کشور دیگر درس می‌خوانند از نظر نیوری انسانی احتمالا وضعیت مساعدی دارد. از طرف دیگر بخاطر تحریم‌های شدید آمریکا علیه ایران، تجهیزات خیلی پیشرفته دفاع‌های سایبری را نمی تواند وارد کند. به این ترتیب من فکر می‌کنم ایران از نظر تامین تجهیزات می‌تواند با مشکل روبرو باشد. مثلا وقتی که یک حمله انجام می‌شود، یک سری تجهیزاتی باید در مرز شبکه قرار بگیرند تا بتوانند این حمله را کنترل کنند. درست مثل زمانی که ایران در اوایل انقلاب در جنگ بود. نیروهای زیادی بودند که می‌توانستند بروند و در جبهه‌ها بجنگند ولی ایران عملا تجهیزات نظامی‌اش به پایان رسیده بود. شاید اگر بخواهیم مقایسه کنیم، همانطوری که ایران در جنگ از نظر تامین تجهیزات جنگی با مشکل روبرو بود، احتمالا در حملات سایبری هم بخاطر تحریم‌ها با تامین تجهیزات و تکنولوژی روبرو است. شرکت‌های بزرگی که تجهیزات شبکه تولید می‌کنند، تجهیزات دفاع هم تولید می‌کنند. تجهیزات حفاظت این حملات را هم تولید می‌کنند که حاضر به فروش تجهیزات به ایران نیستند.

ما در دنیا گروه‌های سایبری خیلی قوی داریم، منظورم گروه‌های هکری هست که همانطور که در صحبت‌های قبلی شما اشاره شد با انگیزه‌های مختلف هک می‌کنند و بعضی از اینها خیلی قوی هستند و کارهای خیلی بزرگی تا به حال انجام داده‌اند که شاید شما بتوانید چند مورد را برای خواننده‌ها مثال بزنید. آیا دولت‌ها ابزارهایی دارند تا تشخیص بدهند که یک حمله‌ای که صورت گرفته، آیا توسط یک گروه هکری است یا این‌که دولتی پشت آن است؟

رایان شایگان‌نیا: صددرصد ابزاری هست که بتوان توسط آن انجام یک حمله‌ را تشخیص داد. ولی تشخیص اینکه آیا یک گروه هکری پشت حمله است یا یک دولت اصولا از تجزیه و تحلیل داده‌ها برمی‌آید: مثلا حجم حمله چگونه است آیا یک نفر یا یک گروه از متخصصان، بدون بودجه دولتی، قادر به انجام آن کار است؟ آیا گستردگی طوری است که بگویم برای انجام آن واقعا یک ارتشی که توسط دولتی حمایت شده باشد، پشت حمله است. و از همه اینها مهمتر در یک تحلیل باید به این سوال اساسی پاسخ داده شود که انگیزه حمله چه بوده است؟

توجه داشته باشیم که این حمله اخیر دقیقا همزمان است با قرار پرتاب ماهواره ظفر توسط صنایع هوافضای ایران. و همچنین همزمان است با اوج گیری تنش بین دو کشور ایران و آمریکا. می‌دانیم که این اولین تلاش برای ارسال ظفر به مدار 520 کیلومتر نبود. بار اول ارسال این ماهواره به فضا با موفقیت انجام نشد و متعاقبا ترامپ هم یک توییت تمسخرآمیزی نوشت: «موفق باشید اگر می‌توانید…….»

به هر حال برای یافتن پاسخ به این سوال که حمله سایبری اخیر توسط چه کشوری انجام شده نیاز به تحقیقات است اما در این مرحله هم می‌دانیم که بعید است یک فرد یا یک گروه بودجه کافی برای این کار داشته باشد یا حتی انگیزه‌ای برای این کار.

جناب رایان شایگان‌نیا از شما سپاسگزارم