ظهور استاکسنت بهعنوان کرمی که هدفش نظارت بر سیستمهای کنترل و دستیابی به اطلاعات است، اهمیت زیادی در امنیت جهانی دارد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، شان مک گرک (Sean McGurk)، رئیس سابق امنیت سایبری DHS و مدیر فعلی امنیت سیستمهای کنترلی در وزارت امنیت داخلی ایالاتمتحده، معتقد است که امنیت سایبری باید در سطح بینالمللی اجرا شود.
مک گرک در مورد اولین آثار ویروس استاکسنت بر روی دستگاهها میگوید: «نخستینبار روز دهم ژوئیه ۲۰۱۰، تیم پاسخگویی اضطراری سایبری سیستمهای کنترل صنعتی به من در مورد یک تماس از طرف سازمان همتای آلمانی، درباره نمونه یک بدافزار با ویژگیهای بسیار منحصربهفرد خبر دادند.»
چند سال بعد از یک دوره ۲۸ ساله با نیروی دریایی ایالاتمتحده، مگ گرک با طوفان استاکسنت روبرو شد. او بعدها بهعنوان مدیر مرکز ادغام ارتباطات و امنیت سایبری ملی (NCCIC) در DHS، قبل از انتقال به بخش خصوصی، منسوب شد. اکنون پس از گذشت هفت سال از زمان استاکسنت، مک گرک بهعنوان مشاور ارشد سیاسی در مرکز تجزیهوتحلیل و به اشتراکگذاری اطلاعات سیستم کنترل صنعتی عمل میکند.
به گزارش کارشناسان، درحالیکه ایران نزدیک به ۱۰۰۰ عدد از ۶ هزار سانتریفیوژ خود را در نیروگاه نطنز بهخاطر استاکسنت از دست داد، کشورهای اندونزی، هند، آذربایجان، ایالاتمتحده، پاکستان و تعدادی دیگر نیز خشم خود را بروز دادند. ظهور استاکسنت، بهعنوان کرمی که هدفش نظارت بر سیستمهای کنترل و دستیابی به اطلاعات است، اهمیت زیادی در امنیت جهانی دارد.
استاکسنت
مگ گرک معتقد است: «با انتشار نرمافزارهای مخرب که بهطور خاص سیستمهای کنترل صنعتی را هدف قرار میدهند، ما حوزه جدیدی از خطرات سایبری را احساس میکنیم. پیش از استاکسنت، تمرکز اصلی امنیت اطلاعات بر روی شبکههای سازمانی و کسبوکار و اطلاعات شخصی بود. بیشتر نگرانیها بهجای از بین بردن سیستمهای فیزیکی از طریق ابزار سایبری در مورد سرقت و تقلب بود. وضعیت در دوران پس از استاکسنت تغییر کرد و حملات فیزیکی نهفقط برای اهداف دولتی، بلکه برای اهداف تجاری و سود مالی نیز افزایش یافتند. بحث مربوط به «حملات فیزیکی» مهم است، زیرا استاکسنت صرفاً برای سرقت اطلاعات و دستکاری آنها در فضای سایبری نیست، بلکه در دنیای واقعی نیز باعث آسیبهای فیزیکی به سیستمها میشود.»
نگاهی به شروع کار استاکسنت در ۱۰ ژوییه ۲۰۱۰
پس از تماس از سوی همتای آلمانی، آنها نمونه اولیه را برای تیم مگ گرک ارسال کردند. این مقام دولتی اعلام کرد: «من پرسیدم که چرا تیم آمادگی اضطراری رایانهای ایالاتمتحده (US-CERT) رهبری را به عهده نگرفتهاست. بعد من مطلع شدم که این بدافزار سیستمها را آلوده کردهاست؛ بنابراین تیم آمادگی اضطراری رایانهای سیستمهای کنترل صنعتی رهبری را بر عهده گرفتهاند.»
وی یادآور شد: «زمانی که نمونه به دستم رسید و کار تجزیهوتحلیل آغاز شد، من دستورالعملی را صادر کردم سپس روند پیگیری را برای ثبت فعالیتها آغاز کردیم.»
با به اشتراک گذاشتن نمونههایی با شرکای داخلی و بینالمللی، هر دو گروه تیم آمادگی اضطراری رایانهای ایالاتمتحده و تیم آمادگی اضطراری رایانهای سیستمهای کنترل صنعتی کار تجزیهوتحلیل بدافزار را شروع کردند.
مگ گرک گفت: «با شروع کار، نمونه را به آزمایشگاه امنیتی سیستمهای کنترل برای تجزیهوتحلیل و بررسی بیشتر ارسال کردیم. من عصر همان روز تماسی از تیم بدافزاری دریافت کردم مبنی بر اینکه این نمونه بسیار پیچیده از بدافزاری است که با هدف قرار دادن سازنده خاص سیستمهای کنترل صنعتی ظاهرشده است و سازنده مورد هدف به نظر زیمنس است.»
وی ادامه داد: «متأسفانه پیشرفت بهدلیل استفاده از رمزگذاری پیشرفته در کد و نیاز به تجزیهوتحلیل بیشتر به تأخیر افتادهاست. کمکم میزان و تأثیرات احتمالی این نوع بدافزار روی شبکههای کنترل سیستم را درک کردیم.»
پنج روز بعد، تیم آمادگی اضطراری رایانهای سیستمهای کنترل صنعتی اولین اطلاعیه عمومی در مورد این بدافزار و تأثیر آن را منتشر کرد. از این زمان به بعد جلسات داخلی با دولت، شرکای صنعت و بینالملل با بهروزرسانی روزانه در مورد وضعیت تجزیهوتحلیل آغاز شد.
بالاخره چه کسی مسئول است؟
در طول سالها، گزارشهایی مبنیبر مسئول بودن ایالاتمتحده و اسراییل در تولید استاکسنت و اینکه سلاحی است از یک استراتژی سایبری طراحیشده توسط جورج دبلیو بوش و باراک اوباما، منتشر شدند.
رئیس سابق فرماندهی نیروی دریایی ایالاتمتحده در گفتگویی اظهار کرد: «اگرچه گمانهزنیهای زیادی در مورد منشأ و هدف از تولید استاکسنت وجود دارد، اما هیچ شاخصی در کد برای نسبت دادن آن به گروه یا گروههای خاص وجود ندارد. توجه داشتهباشید که استاکسنت یکی از پیچیدهترین و پیشرفتهترین بدافزارهای کشفشده در آن زمان بودهاست.»
مگ گرک تکامل استاکسنت را از پنج منظر بررسی کردهاست:
• اولاً استاکسنت از چهار آسیبپذیری مهم صفر-روز استفاده کرد. بیشتر نرمافزارهای مخرب از آسیبپذیریهای موجود یا صفر روز استفاده میکنند.
• دوماً دو نوع استاکسنت هستند که هرکدام از یک گواهینامه دیجیتالی مختلف «گرفتهشده» از شرکتهای فناوری واقع در پارک فناوری Hsinchu (تایوان) استفاده میکنند. اینها گواهیهای تایید نرمافزاری معتبر در کد هستند.
• سوماً با بیش از 4 هزار عملکرد، استاکسنت بهاندازه برخی محصولات نرمافزار تجاری، حاوی کد است.
• چهارماً استاکسنت از بسیاری تکنیکهای پیشرفته برنامهنویسی برای اثبات دانشهای پیشرفته در بسیاری از زمینهها شامل پروتکلهای ضدویروس و ارتباطات شبکه استفاده میکند.
• و پنجم اینکه استاکسنت از یک روش تصفیه سابق اطلاعات و فرایندی پیچیده استفاده میکند که قبلاً در سایر نمونههای مخرب شناسایی نشدهاست.
جنگهای سایبری امروزی
حمله استاکسنت، هفت سال پیش اتفاق افتادهاست. از آن زمان به بعد قابلیتهای سایبری تهاجمی به وجود آمدند. مدیر فعلی امنیت سیستمهای کنترل در وزارت امنیت داخلی ایالاتمتحده اعلام کرد: «امروز، بهعنوان نتیجه استاکسنت، ما علاوه بر توانایی اختلال در تجارت، تمایل به انجام این کار را نیز میبینیم. نمونههای متعددی از کمپینهای بدافزاری مانند شمعون، مهدی، Duqu، Flame، Skywiper، Black Energy و Petya/ Notpetya بهمنظور انکار، اختلال و نابودی توانایی انجام کار و ارائه محصولات و خدمات وجود دارند.»
وی افزود: «بهعنوان یک انسان، میتوانیم این مسئله را در جهان علمی-تخیلی درک کنیم؛ اما موارد بدتر هم وجود دارند. با شناسایی اخیر بدافزار Hatman / Trisis / Triton که سیستمهای ایمنی را هدف قرار میدهد، ما وارد دوران جدیدی از خطرات بر روی زیرساختهای حیاتی و زندگی و ایمنی شدهایم.»
بر اساس گزارش مرکز ادغام ارتباطات و امنیت سایبری ملی، کار سیستمهای ایمنی در زیرساختهای حیاتی ارائه راهحلی برای ایمنی بیشتر در شرایط عملیاتی ناامن و ایمنی و اطمینان بیشتر باقابلیتهای مهم نظارتی برای مهندسین فرایند است. جنبه کلیدی سیستمهای ایمنی، طراحی آنهاست یعنی در صورت شکست، شیوه آن کاملاً قابل پیشبینی است. بدترین سناریوها معمولاً شناختهشده، مهم و قابل پیشبینی هستند.
جنگ سایبری
به اعتقاد کارشناسان؛ سرقت چندین میلیون دلار از یک مجموعه بزرگ مهم است، اما خرابکاری سیستمهای ایمنی زیرساختهای حیاتی مانند یک نیروگاه یا کنترل ترافیک هوایی و بازی با زندگی میلیونها مردم بیگناه مهمتر است. اینجاست که یک سؤال اساسی باید پرسید: تفاوت میان جرم سایبری و جنگ سایبری چیست؟
مگ گرک گفت: «تمایز این دو مورد دشوار است، اما شاید یک مورد مشخص کسب سود مالی در مقایسه با یک مزیت ملی یا اقتصادی باشد. فعالیتهای جنایتکارانه تحت حمایت دولت با استفاده از ابزارها، تکنیکها و روشهای مشابه، اما برای مقاصد یا نتایج متفاوت هستند.»
وی ادامه داد: «من از یک رویکرد جهانی برای فعالیتهای سایبری حمایت میکنم، اما عدم تعریف دقیق در مورد آنچه با عمل سایبری جنگی ترکیب میشود، توسعه پروتکل یا کنوانسیون را مشکل میکند.»
اما کنترل جنگ سایبری با طبیعتی پنهانی، بینظیر و عمدتاً باهدف قرار دادن غیرنظامیان چگونه خواهدبود؟ سلاحهای سایبری در صورت مخفی ماندن منبع حملات، بسیار عالی عمل میکنند که این کار هنوز هم خیلی دقیق نیست. در اینجا این فرضیه مطرح میشود که ما دائماً در جنگ با یک و یا چند کشور در فضای سایبری هستیم.
مگ گرک اشاره کرد: «کنوانسیون ژنو اقدامات انجامشده در طول عملیات جنگی را نشان میدهد؛ بااینوجود ما باید بهطور روزانه از فعالیتهای جنگی مطلع شویم. ما نیاز به یک رویکرد جامعتر برای گسترش فعالیتهای آنلاین معمولی داریم.»
عملکرد دولتها در مورد جنگ سایبری
این مقام دولتی خاطرنشان کرد: «برای موفقیت، مشارکت بخشهای عمومی و خصوصی ضروری است. پنهان نیست که در بسیاری کشورها کارمندان بخش خصوصی نسبت به بخش دولتی فعالترند و این امر باعث میشود که روند مدیریت دولتی بهسرعت پیشرفت کند. دولتها، در سطح بینالمللی باید چارچوبی برای سیستمهای سایبری، ارتباطات، اتصال و امنیت ایجاد کنند. بخش خصوصی باید با این چارچوب برای توسعه سیستمهای امن طراحیشده و ریسک مربوط به سیستمهای موروثی کار کند. اعتقاد بر این است که این کار شکافها و آسیبپذیریهای موجود در زیرساختهای حیاتی را نشان میدهد.»
جهان پس از هیروشیما و ناگازاکی در سال ۱۹۴۵، درس بزرگی از بمب اتمی گرفت. با تقویت تواناییهای هستهای، فقط یک سلاح هستهای توسط کشوری علیه کشور دیگر در ۷۵ سال گذشته استفاده نشدهاست.
شان مک گرک اظهار داشت: «من گمان نمیکنم که به یک فاجعه دیجیتالی نیاز داشتهباشیم تا دولتها و صنایع بتوانند تهدیدات ناشی از جنگ سایبری را درک کنند. ما باید در این زمینه آگاهی خود را افزایش دهیم. در اینجا میتوان به بیانیه خواندهشده توسط رئیس سابق DHS در آوریل ۲۰۱۱ در مجلس سنا اشاره کرد که بر مبنای آن هیچ سازمانی بهتنهایی مسئول ایمنی فضای سایبری نیست و موفقیت مأموریت امنیت سایبری ما بر همکاری و ارتباطات مؤثر متکی است.»
وی افزود: «این مسئله در سطح جهانی در مورد دولتها صدق میکند. نگرانی من این است که ما در برخورد با یک رویکرد جهانی، یک رویکرد ملی محدود داریم. هیچ سازمان دولتی یا خصوصی قادر به حل این مشکل نیست. این کار نیازمند همکاری مشترک جامعه جهانی برای نشان دادن خطرات سایبری است.»
مگ گرک درنهایت توضیح داد: «طبق گزارشهای متعدد، هند بهدلیل سرمایهگذاریهای پایهای و زیرساختی بهعنوان بزرگترین کشور متصل در سطح جهان معرفی شدهاست. از نظر هویت دیجیتالی، بانکداری دیجیتالی و استفاده از دادهها، هند میتواند جهان را رهبری کند.»