08.09.2011

عملیات «لاله سیاه» و جاسوسی اینترنتی از کاربران ایرانی

رادیوفردا: یک هفته از اعلام عمومی جعل گواهینامه‌های اینترنتی شرکت Diginotar توسط فرد یا نهادهایی در جمهوری اسلامی ایران می‌گذرد. [بیشتر بخوانید: «متأسفانه ایمیل‌های شما خوانده شده‌اند …»]

چند هفته پیش از درز اخبار مربوط به این حمله بی‌سابقه اینترنتی، گروهی از کار‌شناسان امنیت سایبری با حضور در شرکت Diginotar تحقیق عملیاتی پیرامون عمق نفوذ و تبعات احتمالی این واقعه را آغاز کردند.

صبح سه‌شنبه ۱۵ شهریور ماه ۱۳۹۰، این کار‌شناسان نخستین یافته‌های عملیات موسوم به «لاله سیاه» یا تحقیق از حادثه حمله به گواهینامه‌های Diginotar را برای اطلاع عموم منتشر کردند.

نتایج تحقیقات کار‌شناسان امنیت سایبری شرکت Fox-it که وظیفه پیگیری حملات را بر عهده داشته است، موارد ذیل را شامل می‌شود: مجموعاً ۵۳۱ گواهینامه جعلی صادر شده است و گروه هکر نفوذی توانسته است با موفقیت کنترل صدور گواهینامه‌های شرکت Diginotar را در دست گرفته اقدام به صدور گواهینامه‌های جعلی نماید.

این گروه مهاجم امنیت صدور گواهینامه‌ها در سطح مشتریان عمومی و همچنین مجوزهای دولتی نظیر «سازمان سلطنتی دفا‌تر رسمی هلند» را به دست آورده‌اند. این هکر‌ها به سیستم صدور گواهینامه برای تشکیلات فوق حساس PKIoverheid که مجوزهای مربوط به عملیات زیرساختی دولت هلند را صادر می‌نماید نیز وارد شده‌اند.

[ویدئوی لاله سیاه]

روز شمار حملات:

بر اساس بررسی‌ها نخستین تلاش‌ها برای نفوذ به سرورهای شرکت Diginotar به ۶ ژوئن ۲۰۱۱ یا ۱۶ خرداد ماه باز می‌گردد، تلاش مهاجمان برای گذر از سرورهای ابتدایی و حفاظتی تا ۱۷ جون یا ۲۷ خرداد ماه ادامه یافته است در این تاریخ مهاجمان بر سرورهای بیرونی شرکت احاطه کامل داشته‌اند.

دو روز بعد یعنی در تاریخ ۱۹ ژوئن یا ۲۹ خرداد ماه کارمندان Diginotar در جریان یک بازبینی و کنترل معمولی روزانه متوجه فعالیت غیرعادی و نفوذ به سرور‌ها می‌شوند. سارقان گواهینامه‌های امنیتی تلاش خود را برای صدور گواهینامه جعلی از تاریخ ۲ ژوئیه یا ۱۱ تیر آغاز می‌نمایند و نخستین گواهینامه جعلی در تاریخ ۱۰ جولای یا ۱۹ تیر یا به نام شرکت گوگل صادر می‌شود.

صدور گواهینامه‌های جعلی توسط فرد یا نهادهایی از جمهوری اسلامی ایران ادامه می‌یابد، آثار آخرین گواهینامه احتمالی، صادر شده به تاریخ ۲۰ ژوئیه یا ۲۹ تیر ماه برمی‌گردد.

بررسی داده‌های به جای مانده از ترافیک ورودی – خروجی با استفاده از گواهینامه‌های جعلی از تاریخ چهارم آگوست ۲۰۱۱ یا ۱۳ مرداد ۱۳۹۰، ترافیک بسیار بالایی را نشان می‌دهد. این ترافیک که ۹۹ درصد آن از کشور جمهوری اسلامی ایران و بقیه آن نیز به خاطر استفاده کاربران ایرانی از «Tor» و «VPN»‌های دیگر برای فرار از فیلتر می‌باشد. حدود ۳۰۰ هزار آی پی متفاوت را شامل می‌شود.

در ۲۹ اوت یا هفتم شهریور گوگل گواهینامه‌های صادره را ابطال نموده و متعاقباً موزیلا و شرکت مایکروسافت نیز مرورگرهای خود را به روز می‌نمایند.

بر اساس یافته‌های گروه تحقیق از ماجرای Diginotar اکنون می‌توان با دقت بیشتری به پرسش‌های رایج کاربران ایرانی که پس از انتشار مقالات توسط ایمیل برای نگارنده ارسال شده است، پاسخ داد.

******

چه تعداد از کاربران ایرانی در معرض تهدید قرار دارند؟

در حال حاضر اگر پسورد و سؤالات امنیتی Gmail خود را تغییر داده، مرورگر کروم و فایرفاکس خود را به روزرسانی کرده‌اید دلیلی بر نگرانی وجود ندارد. در بررسی‌ها ۳۰۰ هزار مراجعه با آی پی‌های واقع در ایران به ثبت رسیده که لزوماً به معنای ۳۰۰ هزار کاربر ایرانی نیست. چون در هر مرحله از تماس چند کاربر می‌توانسته‌اند از یک آی پی استفاده کرده و یا بالعکس یک کاربر در تماس‌های مختلف با آی پی‌های متفاوتی به شبکه متصل شده باشد.

چه فرد، افراد و یا گروه‌هایی این حملات را سازمان داده‌اند؟

به دلیل تعلق زیرساخت‌های اینترنت در ایران به دولت جمهوری اسلامی، لااقل در میان کار‌شناسان امنیت سایبری تردیدی وجود ندارد که هیچکس جز دولت جمهوری اسلامی ایران توان استفاده از چنین گواهینامه‌هایی را نداشته و ندارد.

علاوه بر این مقامات جمهوری اسلامی ایران به طور مثال حیدرمصلحی وزیر اطلاعات به روشنی از رمزگشایی ایمیل فتنه‌گران سخن گفته‌اند که عنوانی کلی برای سرقت گواهینامه‌های اس اس ال است. گروه مهاجم به شرکت دیجی نوتار هم یکی از فایلهای برجای مانده خود را با عنوان «جانم فدای رهبر امضا کرده است»

چرا به یک نهاد هلندی صادرکننده گواهینامه‌ها حمله شده است؟

جمهوری اسلامی ایران از معدود مناطقی در جهان است که خود اجازه صدور گواهینامه امنیتی را ندارد. در حقیقت اگر جمهوری اسلامی خود توان صدور گواهینامه‌ها را داشت این امکان همواره وجود داشت که از صدور گواهینامه‌های جعلی برای جاسوسی از شهروندان ایرانی استفاده کند به همین دلیل ظاهراً راهی جز حمله به صادرکنندگان خارجی گواهینامه‌ها پیش رویشان نبوده است.

دلیل اصلی عملیات فوق چیست؟

ظاهراً ارعاب کاربران ایرانی مورد نظر است و بزرگنمایی توان ارتش سایبری ایران. در حقیقت ارتش سایبری در این میان کار مهمی انجام نداده. هر روزه هزاران حمله سایبری در مناطق مختلف دنیا توسط تبهکاران انجام می‌پذیرد. چندی پیش داده‌های میلیون‌ها کاربر پلی استیشن شرکت سونی هک شد. آنچه ماجرای Diginotar را متمایز می‌کند توان ارتش سایبری نیست.

عملیات مذکور را گروهی هکر معمولی نیز می‌توانستند انجام دهند، خصوصا با توجه به نتایجی که از Diginotar منتشر شده، این شرکت اساساً فاقد حفاظ امنیتی مناسب و به روزرسانی شده بوده و این به این معناست که حتی هکرهای تازه کار و معمولی هم می‌توانستند احتمالا به نتایجی مشابه دست یابند.

آنچه دنیا را بسیار نگران می‌کند، تصمیم تکان دهنده دولت ایران در استفاده از گواهینامه‌های سرقت شده علیه شهروندان ایرانی است. هیچکس نمی‌تواند باور کند یک دولت اجازه دهد گواهینامه‌های امنیتی سرقت شده توسط شرکت مخابرات ایران و آی اس پی‌های دولتی و نیمه دولتی برای کاربران ارسال شود.

امری که در تاریخ اینترنت بی‌سابقه است. دولت ایران در مقیاسی بسیار گسترده وارد جنگ ویروسی و آلوده کردن کامپیو‌تر شهروندان خود شده است و این تنها سوءاستفاده دولت از ناچاری کاربران ایرانی در استفاده از اینترنت مخابرات جمهوری اسلامی ایران را می‌رساند و نه توانایی‌های فنی این دولت را.

در سراسر این عملیات به کارگیری گواهینامه‌های جعلی از ابتدا تا کنون، داده‌های هیچ فرد، سازمان و یا نهادی جز کاربران ایرانی ساکن ایران تهدید نشده‌اند.

تبعات امنیتی و حقوقی حملات فوق چیست؟

به هرحال گروهی هکر به زیرساختهای امنیتی یک کشور عضو ناتو نفوذ کرده و تا مرحله دستکاری و جعل مجوزهای فوق سری، تأسیسات زیربنایی این کشور پیش رفته‌اند. هدف این عملیات نمایش ارعاب، تبلیغات در سطح منطقه یا هر چیز دیگری بوده باشد، قطعاً توجه کشورهای جهان را بر بازبینی امنیت زیرساخت‌های حیاتیشان، متمرکز خواهد کرد.

این حملات قطعاً موضع کارشناسانی را که دستیابی جمهوری اسلامی ایران به سلاح‌های کشتارجمعی را فاجعه‌ای برای بشریت می‌دانند به شدت تقویت خواهد کرد.

—————————————————————————
* نیما راشدان، کارشناس امنیت سایبری است.

پیام برای این مطلب مسدود شده.

Free Blog Themes and Blog Templates