امنیت در محاق

بحث امنیت اطلاعات دوباره به بحث روز رسانه ها تبدیل شده است بعد از طوفانی که گروه لولزسک یا AntiSec راه انداختند و در مدت کوتاهی اطلاعات زیادی را از سازمان ها و شرکت های مهم به دست آوردند, به نظر می رسد سازمان هایی که از بالاترین سطوح امنیتی و بهترین کارشناسان و متخصصان بهره می برند هم از خطر در امان نیستند

بحث امنیت اطلاعات دوباره به بحث روز رسانه ها تبدیل شده است. بعد از طوفانی که گروه لولزسک یا AntiSec راه انداختند و در مدت کوتاهی اطلاعات زیادی را از سازمان ها و شرکت های مهم به دست آوردند، به نظر می رسد سازمان هایی که از بالاترین سطوح امنیتی و بهترین کارشناسان و متخصصان بهره می برند هم از خطر در امان نیستند. بحث مهم این روزها این است که در دنیای امروز برای آن که اطلاعات در فضای مجازی امن باشد، چه باید کرد؟

● قصه از کجا شروع شد؟

Lulz Security یا به اختصار LulzSec یک گروه هک و نفوذ کامپیوتری بود که چندین حمله بزرگ خرابکارانه را صورت داد. مانند دسترسی به حساب های کاربران شرکت سونی پیکچرز در سال ۲۰۱۱، یا قطع دسترسی به سایت CIA. بعد از آن که لولزسک، اطلاعات پلیس آریزونا امریکا را منتشر نمود، به عنوان گروه تروریستی سایبری شناخته شد. به غیر از اهمیت امنیتی حملات انجام شده توسط این گروه، پیام ها و اهداف طعنه آمیز و عجیبی که لولزسک برای حملاتش در نظر می گرفت نیز توجهات را به سوی خود جلب کرده بود. اما در روز ۲۶ ژوئن ۲۰۱۱ لولزسک بیانیه ای غیرمنتظره صادر کرد که در آن پایان کارشان را اعلام کردند. در این بیانیه آمده بود که این گروه از ابتدا هدفش این بوده که فقط ۵۰ روز فعالیت کند. همچنین در این بیانیه اشاره شده بود که اعضای لولزسک، شش نفر بوده اند. در نهایت آن ها اطلاعات ۷۵۰۰۰۰ حساب کاربری مربوط به سایت ها و بازی های آن لاین را منتشر نمودند. در همین مدت کوتاه لولزسک آن قدر فعالیت داشت که هر روز خبری تازه را به خود اختصاص دهد.

لولزسک از می ۲۰۱۱ شروع به فعالیت جدی کرد و تمرکز خود را روی سایت های با امنیت پایین و استخراج اطلاعات از آنان گذاشت. بنابراین بسیاری این گروه را در دسته هکرهای کلاه خاکستری دسته بندی کردند. هکرهای کلاه خاکستری حد وسط هکرهای کلاه سیاه و کلاه سفیدند. هکرهای کلاه سفید متخصصین شبکه ای هستند که چاله های امنیتی شبکه را پیدا می کنند و به مسوولان گزارش می دهند و به دنبال اعمال خرابکارانه نیستند. هکرهای کلاه سیاه اشخاصی هستند که پس از نفوذ، به دستبرد اطلاعات، جاسوسی کردن، پخش کردن ویروس و ... می پردازند. کلاه خاکستری ها بین این دو گروه هستند. یعنی نه کاملاً بی خطرند و نه کاملاً خرابکار.

اما اولین حمله جدی این گروه، حمله به سایت کمپانی فاکس بود. مجموعه شبکه های کمپانی فاکس از پربیننده ترین شبکه های تلویزیونی امریکا هستند و حتی در سال ۲۰۰۷ با جذب بیشترین بیننده، گوی سبقت را از رقبایشان مانند ABC، CBS یا NBC ربودند. لولزسک ادعا کرد که اطلاعات و رمز عبور تعدادی از کارکنان فاکس را به دست آورده. همچنین گفته شد که آن ها اطلاعات ۷۳۰۰۰ نفر از متقاضیان شرکت در برنامه محبوب و پربیننده X Factor را نیز به دست آورده اند. در اقدامی دیگر، در روز ۱۵ می آن ها اطلاعات مربوط به ۳۱۰۰ پاسخگوی خودکار تلفنی در انگلستان را نیز منتشر نمودند. در ژوئن ۲۰۱۱ لولزسک اعلام کردند که در حمله ای علیه شرکت سونی، نام، رمز عبور، پست الکترونیک، نشانی منزل و تاریخ تولد هزاران کاربر سونی را به دست آورده اند و دلیل این کار را اقدام قانونی سونی علیه یک هکر اعلام کردند که روشی برای استفاده رایگان از سرویس های پلی استیشن ۳ پیدا کرده بود. لولزسک اعلام کرد که به اطلاعات یک میلیون کاربر دست یافته، در حالی که سونی رقم واقعی را ۳۷۵۰۰ اعلام نمود. این گروه همچنین حملاتی با روش DoS یا همان انکار سرویس داشته است. انکار سرویس نوعی از حمله است که هدف آن از کار انداختن سرویس یا سرویس های خاصی روی سرور مورد نظر است که معمولاً با ارسال تعداد زیادی درخواست غیرواقعی، باعث می شود سرویس ها یا سایت های روی سرور از دسترس خارج شوند. همچنین روش دیگر این گروه، خرابکاری تلفنی بوده به طوری که باعث انتقال تماس ها از شماره ای به شماره دیگر می شده است. لیست فعالیت های لولزسک به همین ها محدود نمی شود؛ آن ها به سایت نینتندو هم نفوذ کردند (البته اطلاعات خاصی از این نفوذ به دست نیاوردند) و از دیگر فعالیت های آنان می توان هک سایت شرکت مشاور امنیت مجازی Black & Berg، هک یک سایت غیراخلاقی و انتشار اطلاعات اعضای آن، نفوذ به شبکه بازی Bethesda و Eve Online، انتشار ۶۲۰۰۰ ایمیل و رمز عبور کاربران سایت مدیافایر و چندین و چند اقدام خرابکارانه دیگر اشاره کرد که ظرف مدت کوتاهی توجه فضای مجازی را به خود جلب کردند؛ و همه این ها به غیر از فعالیت های سیاسی این گروه است!

در حرکتی دیگر لولزسک یکی از سایت های InfraGard را هک کرد. InfraGard یک سایت غیرانتفاعی است که با FBI همکاری می کند. Federal Bureau of Investigation یا همان FBI سازمانی است که وظیفه رسیدگی به قوانین فدرال و همچنین مبارزه با اقدامات علیه امنیت داخلی آمریکا را بر عهده دارد. در ۹ ژوئن، از طرف لولزسک ایمیلی به مدیران سازمان بهداشت ملی بریتانیا ارسال شد، با این محتوا که این گروه به مشکلات امنیتی سیستم های این سازمان آگاهی دارد، ولی قصد سؤاستفاده یا خرابکاری ندارد و می خواهد به این سازمان کمک کند تا این مشکلات امنیتی را رفع کنند. در حمله ای دیگر، لولزسک به شبکه داخلی شرکت تولید تسلیحات لاکهید مارتین رفت و کلمه کاربری و رمز عبور کارمندان این شرکت را به بدست آورد. لاکهید مارتین شرکت مهم تولیدکننده محصولات صنایع هوافضایی و نظامی پیشرفته است که حدود ۸۵ درصد قراردادهایش با دولت امریکاست. شعبه اصلی لاکهید مارتین در بتسدا در ایالت مریلند قرار دارد. این شرکت از نظر درآمد کارهای نظامی بزرگ ترین تولید کننده محصولات نظامی در دنیا است. محصولات این شرکت شامل هواپیمای ترابری، هواپیمای جنگنده، رادار، ماهواره، موشک جنگی (انواع موشک زمین به هوا، موشک برد کوتاه و موشک بالستیک)، مهمات جنگی و ... است. درآمد این شرکت در سال ۲۰۰۹ حدود ۴۵ میلیارد دلار تخمین زده شده است.

در ۱۳ ژوئن، لولزسک ایمیل و رمز عبور تعدادی از کاربران سایت senate.gov را منتشر کرد. این سایت، سایت مجلس سنای امریکاست. آن ها در پیامی به مناسبت این نفوذشان، نوشتند: «انتشار برخی اطلاعات داخلی مجلس سنا، فقط یک حرکت کوچک بود. این تحرکی برای شروع جنگ است؟» کنایه لولزسک به وزارت دفاع امریکا بود درباره این که برخی حملات سایبری می توانند اعلان جنگ محسوب شوند. (در اینباره در ادامه بیشتر توضیح می دهیم) البته در این حمله هیچ اطلاعات حساسی منتشر نشد.

در ۱۵ ژوئن، لولزسک حمله ای روی سایت cia.gov ترتیب داد. Central Intelligence Agency یا همان CIA سازمان اطلاعاتی آمریکاست که وظیفه جمع آوری و تحلیل اطلاعات درباره تهدیدات مختلف و گزارش این اطلاعات به حکومت آمریکا به منظور حفظ امنیت ملی را دارد. لولزسک با استفاده از روش DoS (که قبلاً توضیح دادیم) سایت CIA را به مدت حدود ۲ ساعت از دسترس خارج کرد. در بیستم ژوئن، Operation Anti-Security یا به اختصار AntiSec نامی بود که لولزسک برای بخشی از فعالیت های سیاسی و ضد دولتی خود برگزید و احتمالاً به همراه گروه دیگری به نام Anonymous یا ناشناس این سری فعالیت ها را انجام داد که بازتاب رسانه ای بسیار گسترده ای داشت. برخی نیز اعتقاد دارند که لولزسک شاخه ای از Anonymous بوده است. در خبرها از این گروه با عنوان AntiSec، Anonymous یا همان لولزسک یاد می شد. این حملات دامن سایت های دولت برزیل، دولت زیمباوه، دولت تونس، بانک CitiBank و حزب دموکرات امریکا را نیز گرفت. شرکت اپل هم از این حملات در امان نماند و Anonymous سندی شامل ۲۷ نام کاربری و رمز عبور مدیریتی این شرکت منتشر نمود. در همین روزها بود که بالای ۱۰۰ سایت با پسوند tr (ترکیه) مورد حمله واقع شده و صفحه اصلی ۷۴ تا از آن ها با لوگوی AntiSec تغییر کرد. همچنین این گروه اطلاعات ۲۰ دانشگاه ایتالیا را منتشر نمود. در ۲۳ ژوئن، لولزسک به سیستم های پلیس آریزونا نفوذ کرد. آن ها دلیل این کارشان را اعتراض به قانونی در آریزونا اعلام کردند که طبق این قانون برخی از خارجی ها باید همیشه مدارکشان همراهشان باشد. لولزسک اعلام کرد صدها بولتن محرمانه امنیتی، دستورالعمل آموزشی و اطلاعات مربوط به ایمیل های شخصی، شماره تلفن، آدرس و رمز عبور نیروهای پلیس آریزونا را هک کرده است. پلیس آریزونا اعلام کرد که انتشار این اطلاعات می تواند امنیت نیروهای این مرکز را به خطر اندازد. سایت این مرکز نیز بعد از انجام این حمله برای چند ساعت قابل دسترس نبود. (البته یک هفته بعد از این اتفاق، سایت این مرکز دوباره هک شد!) و سرانجام در ۲۵ ژوئن لولزسک مجموعه ای عظیم از اطلاعاتی که استخراج کرده بود منتشر نمود. این مجموعه شامل موارد مختلفی چون نیم گیگابایت اطلاعات داخلی شرکت مخابراتی AT&T، ۹۰۰۰۰ تلفن شخصی IBM، نشانی پروتکل چندین شرکت بزرگ مثل سونی، دینی و یونیورسال و ۷۵۰۰۰۰ نام کاربری و رمز عبور سایت های مختلف بود.

اما واقعاً هدف لولزسک از این کارها چه بوده؟ بسیاری از گروه های هک، به منظور کسب منافع مالی چنین حملات بزرگی را ترتیب می دهند؛ اما لولزسک اعلام کرده بود که این حملات را نه برای پول که برای تفریح ناشی از اذیت کردن انجام می دهند! هرچند در مواردی اعتراضات سیاسی، دفاع از حق آزادی بیان و دموکراسی یا حمایت از مواردی چون ویکی لیکس بهانه حملات این گروه اعلام شد، اما در بیانیه ای در ژوئن ۲۰۱۱، آن ها اعلام کردند که هک کردن را برای سرگرمی انجام می دهند و روی کارشان نمی شود قیمت گذاشت. در این بیانیه آمده: «خیلی جالب است که باعث تمام این خرابی ها باشیم! در چند ماه گذشته خسارات زیادی در اینترنت ایجاد کردیم از جمله در شرکت سونی، شبکه فاکس، FBI، CIA و سایت های دولتی آمریکا. حالا کلی طرفدار پیدا کردیم و تعدادی زیادی هم دشمن که اکثر آن ها کاربران شبکه بازی سونی هستند. الان دوره ماست و هر کاری برای تفریح خود انجام می دهیم. اینجا اینترنت است، جایی که برای تفریح یکدیگر را سر کار می گذاریم! ایمیل ها و اطلاعات شخصی افراد شرور برای ما وسیله تفریح است.» البته آن ها تاکید کردند که هدف دیگرشان این است که توجهات را به سوی مبحث امنیت مجازی جلب کنند. لولزسک به فعالیت های خود پایان داد، اما این فعالیت ها واکنش های مختلفی را برانگیخت، به غیر از واکنش های حکومتی، بسیاری از خود هکرها نیز نسبت به فعالیت های این گروه اعتراض داشتند. مبنای اصلی بسیاری از اعتراضات این بود که لولزسک نباید اطلاعات شخصی کاربران معمولی را منتشر نماید.

● واکنش ها

اما سوالی که در اینجا پیش می آید این است که دولت ها برای در امان ماندن از این حملات باید چه کنند؟ پاسخ این سوال در نگاه اول شاید واضح به نظر بیاید: باید سطح امنیت سیستم هایشان را بالا ببرند. اما طوفانی که لولزسک به راه انداخت نشان می دهد که حتی سازمان هایی که از بهترین کارشناسان و متخصصان امنیت استفاده می کنند و اطلاعاتی بسیار محرمانه و مهم دارند نیز از این حملات در امان نیستند. نفوذ به سازمان هایی چون FBI و CIA حتی اگر منجر به استخراج درصد کمی از اطلاعات شود هم برای این سازمان ها بسیار مهم و خطرناک است؛ سازمان هایی هم که همواره از آن ها تصویری نفوذناپذیر و پیشرفته ساخته شده است و این حملات می تواند اقتدار آن ها را نیز زیر سوال ببرد. وییس کرونز، مدیر فنی شرکت امنیتی پاندا در اینباره می گوید: «متاسفانه حملات اخیر، در حال تبدیل شدن به یک معضل کاملاً جدی هستند و این نشان می دهد که فضای سایبر رفته به یکی از ابعاد مهم منازعات سیاسی بدل می شود. موفقیت آمیز بودن این حمله ها نیز به ما نشان می دهد که بسیاری از مراکز مهم و به ظاهر حفاظت شده، دارای آسیب پذیری های جدی هستند.» همه این موارد باعث شده که بحث نبرد مجازی یا همان Cyber War دوباره به بحث روز تبدیل شود. نبرد مجازی به نوعی از نبرد اطلاق می گردد که طرفین جنگ در آن از رایانه و شبکه های رایانه ای (به خصوص شبکه اینترنت) به عنوان ابزار استفاده کرده و نبرد را در فضای مجازی جاری می سازند.

کشورهای مختلف مانند امریکا، روسیه، چین و ... روی این موضوع حساس هستند تا جایی که در روسیه در رتبه بندی از نظر اهمیت، جنگ مجازی را دقیقاً بعد از جنگ هسته ای قرار می دهند. از آنجایی که تعدادی از سازمان های مهم امریکا مورد حمله در مدت اخیر مورد حملات خرابکارانه قرار گرفتند، دور از ذهن نبود که مهم ترین واکنش به این بحث از جانب این کشور باشد. این واکنش جدی، اقدام جدید وزارت دفاع امریکا بوده است که حملات سایبری را اعلان جنگ محسوب می نماید. سند راهبردی امریکا در فضای سایبری تلاشی برای برخورد با تهدیدات فضای مجازی همچون حمله به رآکتورهای اتمی، خطوط مترو، گاز و حتی تاسیسات نظامی این کشور خواهد بود. بر این اساس در آینده رؤسای جمهور می توانند در پاسخ به چنین حملاتی دست به تحریم های اقتصادی، حملات تلافی جویانه در فضای مجازی و حتی عملیات نظامی بزنند. وقتی حتی سیستم های شرکت لاکهید مارتین نیز در امان نماند، وزارت دفاع امریکا تصمیم گرفت که این گزارش و طرح جدید را تهیه نماید؛ طرحی که در آن پاسخ یک حمله سایبری، لزوماً سایبری نخواهد بود و همین باعث افزایش نگرانی ها شده است که ممکن است در آینده یک حمله سایبری با برخورد نظامی پاسخ داده شود. بر اساس سیاست جدید، حملات سایبری کشورهای دیگر که زندگی غیرنظامیان را تهدید کند، از جمله قطع برق و یا شبکه های پاسخ به وقایع غیرمترقبه، اقدام خصمانه و به نوعی «اعلان جنگ» تلقی می شود. اما این طرح با انتقادات جدی روبرو است.

مثلاً طرح جدید روشن نمی کند که آمریکا با حملات سایبری گروه های تروریستی بی ارتباط با دولت ها چگونه برخورد می کند. یا اگر این حملات صرفاً انگیزه سیاسی نداشته و بر مبنای اعتراضی غیرسیاسی باشند، باید چگونه با آن برخورد کرد؟ از طرف دیگر، یکی از اقدامات مهم هکرها این است که هویت خودشان را مخفی می کنند و معلوم نیست در حملاتی که هویت مهاجمان مشخص نیست، وزارت دفاع امریکا چگونه می خواهد اقدامی تلافی جویانه را سامان دهد. یک انتقاد جدی دیگر بحث تناسب جرم و جنایت است که آن هم به نظر نمی رسد در این طرح قابل توجیه باشد. در مجموع با توجه به آنچه که گفته شد به نظر می رسد نیاز به تعامل بیشتری بین متخصصان و سیاستمداران در زمینه های امنیتی وجود دارد. شاید طرح هایی مثل طرح وزارت دفاع امریکا که در برخی رسانه ها با عنوان «موشک در برابر هک!» نیز معرفی شد خیلی در این زمینه کارآمد نباشد و نیاز باشد که راه حل های جدیدتری برای معضل امنیت اطلاعات در دنیای امروز به کار گرفته شوند.

نویسنده: بابک هزاوه