خسارت قطعی اینترنت از جنگ کمتر نیست | کالبدشکافی یک بحران ۶۰۰ ساعته

بیش از ۶۰۰ ساعت از قطعی اینترنت می‌گذرد و در حالی که بخش عمده توجهات به سمت زیان‌های اقتصادی کسب‌وکارها و مسدود شدن راه‌های ارتباطی مردم معطوف است، با یک خطر بزرگ در زیرساخت‌های فناوری اطلاعات کشور روبه رو هستیم. تصمیم‌گیرانی که کلید قطع و وصل اینترنت را در دست دارند، غالباً تصور می‌کنند با این اقدام کشور را در یک قلعه امن سایبری هم قرار داده‌اند؛ اما کارشناسان امنیت معتقدند این ایزوله‌سازی، خود بزرگترین تهدید امنیتی است. به باور آنها خسارت قطعی اینترنت اگر از جنگ بیشتر نباشد، کمتر نیست.

علی ملک‌لی، کارشناس ارشد امنیت شبکه و دانشجوی دکتری مدیریت فناوری اطلاعات، در گفتگو با دیجیاتو، این توهم که قطع اینترنت ما را از حملات سایبری محفوظ می‌دارد را رد می‌کند و هشدار می‌دهد قطعی طولانی مدت اینترنت که سال گذشته شاهد آن بودیم و همچنان هم ادامه دارد، ضررهایش بیش از منفعت‌هایش است.

توهم ایزوله‌سازی

بسیاری بر این باورند که با قطع ارتباط شبکه‌های داخلی با جهان خارج، امکان نفوذ هکرها به صفر می‌رسد. اما ملک‌لی معتقد است از دیدگاه امنیت سایبری ما با یک چاقوی دو لبه مواجه هستیم. او می‌گوید:

از یک طرف می‌گویند برای حفظ امنیت، شرایط جنگی و سیاسی اینترنت را قطع می‌کنند و از طرف دیگر می‌بینیم امنیت سایبری ما با مشکلات بسیار بسیار بزرگی مواجه شده است.

او با تاکید بر اینکه قطعی طولانی مدت اینترنت آسیب زیادی به زیرساخت‌های حیاتی ما می‌زند، از حمله به بانک سپه یا پمپ‌بنزین‌ها در سال‌های گذشته یاد می‌کند. به گفته ملک‌لی اگر قرار بود با قطع اینترنت، تهدیدات سایبری به صفر برسد، نباید چنین مواردی هم اتفاق می‌افتاد.

به گفته ملک‌لی، نرم‌افزارهای مخربی که از گذشته روی سامانه‌ها یا حتی گوشی‌های کاربران نصب شده‌اند، به عنوان ابزارهای تهدید، فارغ از وضعیت اتصال به اینترنت بین‌الملل، به فعالیت‌های خرابکارانه خود ادامه می‌دهند. در این حالت قطعی اینترنت فقط موجب می‌شود نتوان در برابر آنها به خوبی دفاع کرد و اقدامات حفاظتی را انجام داد.

او در ادامه برخی از مشکلات قطعی طولانی مدت اینترنت برای زیرساخت‌های مرتبط با فناوری اطلاعات را برمی‌شمارد. یکی از آنها انباشت وصله‌های امنیتی (Patch Gap) منتشر نشده است. سیستم‌عامل‌ها، آنتی‌ویروس‌ها، روترها و میلیون‌ها تجهیزات شبکه در کشور نیازمند دریافت روزانه یا لحظه‌ای به‌روزرسانی‌ها هستند با مسدود شدن این شریان، سیستم‌ها در برابر آسیب‌پذیری‌های شناخته‌شده کاملاً بی‌دفاع می‌مانند. 

ملک‌لی در این باره می‌گوید: «ما میلیون‌ها دیوایس و تجهیزات داریم که حاوی نقاط ضعفی هستند که برای آن‌ها آپدیت آمده، اما چون نتوانستیم آپدیت‌ها را نصب کنیم، الان با خطر بالقوه‌ای روبه رو هستیم.»

علاوه بر این او به مشکل Revocation (باطل‌سازی گواهینامه‌ها) اشاره می‌کند که صرفاً موضوع تمدید SSL مطرح نیست: «گاهی گواهینامه‌ای به دلیل افشای کلید خصوصی یا شناسایی فعالیت مخرب باید پیش از موعد (Revoke) باطل شود. قطعی اینترنت مانع از بررسی وضعیت اعتبار گواهینامه‌ها از طریق پروتکل‌هایی مانند Online Certificate Status Protocol می‌شود و امکان ادامه فعالیت با گواهینامه‌های باطل‌شده اما هنوز تاریخ‌گذشته‌نشده را فراهم می‌کند.»

اختلال در مدیریت و پاسخ به حوادث (Incident Response) به علت عدم دسترسی به پلتفرم‌های تبادل اطلاعات تهدید (Threat Intelligence Feeds) یا اختلال در ارتباط با تیم‌های واکنش سریع (CERT/TIRT)، توقف مدیریت امنیت تجهیزات شبکه و سخت‌افزاری به علت عدم همگام‌سازی (Synchronization) زیرساخت‌های امنیتی یا مشکل در دریافت کلیدهای لایسنس و تمدید پشتیبانی و افزایش خطر حملات زنجیره تامین (Supply Chain) و جعلی (Counterfeit) با ورود تجهیزات آلوده یا غیراستاندارد از جمله دیگر تهدیدهایی است که در زمان قطعی اینترنت با آن روبه رو هستیم.

اینترنت طبقاتی و فاجعه عدم تقارن امنیتی

با توجه به اینکه کارشناسان بارها خطرات قطع اینترنت را یادآور شدند، تصمیم‌گیران در دل حاکمیت راهکارهایی مثل ارائه اینترنت طبقاتی را در پیش گرفته‌اند.

در پاسخ به این دیدگاه که می‌توان با اینترنت طبقاتی، بحران را مدیریت کرد، توضیحات فنی این کارشناس پرده از یک واقعیت خطرناک برمی‌دارد: ایجاد شکاف عمیق امنیتی به نفع مهاجمان.

به استناد آمار نت‌بلاکس، اینترنت صد در صد قطع نیست و همچنان یک درصد دسترسی وجود دارد. دسترسی که از طریق سیم‌کارت‌های سفید برای عده‌ای خاص فراهم شده است. همچنین به گفته وزارت ارتباطات ده‌ها هزار پایانه استارلینک فعال در کشور وجود دارد بنابراین همچنان راه‌های نفوذ به زیرساخت‌های دیجیتال وجود دارد. 

ملک‌لی با اشاره به اینکه حاکمیت نمی‌تواند روی این راه‌های نفوذ کنترلی داشته باشد به دیجیاتو می‌گوید:

با وجود این راه‌های نفوذ، هکرها تنها کمی به دردسر می‌افتند و کارشان سخت می‌شود نه اینکه نتوانند هیچ کاری انجام دهند. در سوی مقابل با قطع گسترده اینترنت، میلیون‌ها سامانه، تجهیزات، سرور، روتر و حتی تمام مودم‌های خانگی و تلفن‌های همراه را آسیب‌پذیر کرده‌ایم؛ چراکه دسترسی به آپدیت‌های جدید ندارند.

او با تاکید براینکه با سیم‌کارت‌های سفید مخالف است به دیجیاتو می‌گوید این سیم‌کارت‌ها معمولاً در اختیار مدیران ارشد، برخی سازمان‌ها یا با قیمت‌های بالا در بازار آزاد وجود دارند و در زمان قطعی سراسری، به «شریان‌های حیاتی» تبدیل می‌شوند که تمرکز حملات روی آنها افزایش می‌یابد.

به باور او اتکای سازمان‌های حیاتی به چند سیم‌کارت سفید باعث می‌شود این خطوط ارتباطی معدود به «نقطه شکست» (Single Point of Failure) تبدیل شوند. هکرها با انجام یک حمله ساده DDoS روی این لینک‌های محد یا فیشینگ مدیران دارنده سیم‌کارت، می‌توانند کل ارتباط امنیتی سازمان را فلج کنند.

در نتیجه، تقابلی نابرابر شکل می‌گیرد: مدافعان سیستماتیک نابینا و خلع سلاح می‌شوند، در حالی که مهاجمان از طریق روزنه‌های موجود، همچنان مسلح و متصل باقی می‌مانند.

او از مشکل «همگام‌سازی زمانی» و «گواهینامه‌های مبتنی بر مکان» به عنوان خطر دیگر ناشی از سیم‌کارت‌های سفید یاد می‌کند:

برخی از گواهینامه‌های امنیتی سطح بالا، مانند گواهی‌های سخت‌افزاری یا VPN های سازمانی، به IP ثابت سازمانی یا محدوده جغرافیایی خاصی قفل هستند (Geo-fencing). کارشناس IT که برای رفع یک بحران امنیتی از طریق سیم‌کارت سفید (با IP خارج از محدوده مجاز) وارد می‌شود، ممکن است توسط سیستم امنیتی سازمان به عنوان یک مهاجم خارجی شناسایی و به صورت خودکار قفل شود (Account Lockout). این امر فرآیند بازیابی امنیت را در بحرانی‌ترین لحظات مختل می‌کند.

به گفته ملک‌لی، وجود استارلینک و سیم‌کارت‌های سفید منجر به عدم تقارن امنیتی می‌شود. از یک سو زیرساخت‌های حیاتی، سازمان‌های دولتی و شرکت‌های بزرگ به دلیل قطعی سراسری، دچار فرسایش امنیتی مثل عدم آپدیت و اختلال در نظارت می‌شوند. در نتیجه عملاً سپر دفاعی آنها روز به روز نازک‌تر می‌شود. از سوی دیگر: مهاجمان، اعم از گروه‌های باج‌افزاری، APT ها یا رقبا، از طریق استارلینک و سیم‌کارت‌های سفید، همچنان از اینترنت پرسرعت و بدون مانع برای هماهنگی حملات، استفاده از ابزارهای مبتنی بر هوش مصنوعی و به‌روزرسانی تاکتیک‌های خود برخوردارند.

او در پایان نتیجه‌گیری می‌کند که قطعی اینترنت باعث نمی‌شود که «همه به یک اندازه آسیب‌پذیر شوند». بلکه باعث می‌شود شکاف امنیتی بین مدافعان که نابینا و بی‌سلاح می‌شوند و مهاجمان که همچنان متصل و مسلح هستند به حداکثر برسد.

این سخنان نشان می‌دهد قطعی اینترنت صرفاً یک محدودسازی در دسترسی به شبکه‌های اجتماعی نیست، بلکه به طور سیستماتیک لایه‌های دفاعی سازمان‌ها را فرسایش می‌دهد و هزینه بازیابی امنیت سایبری کشور را تا ماه‌ها پس از رفع این محدودیت‌ها به شدت بالا می‌برد.