آپا و CERT چه مي‌کنند؟ (گزارشي از ميزان آمادگي مراکز امنيت رايانه‌اي کشور براي مقابله با بحران‌هاي امنيتي) نيما مجيدي وقتی سخن از مرکز امداد رخدادهای امنیتی در حوزه فناوري اطلاعات یا CERT به میان می‌آید، متخصصین امنیت و یا حتی مدیران شبکه به فکر یک گروه کارآمد می‌افتند که قادر است در کمترین زمان موجود، مشکلات و رخدادهای پیش آمده را بررسی و برای آنها راه حل ارائه دهد. در سال‌های اخير رخدادهای فراوان امنیتی در ایران به وقوع پیوسته که مجال بررسی همه آنها در این بحث نيست، اما نگاهی گذرا آلودگی هزاران سیستم به ویروس‌هایی مانند Slammer و Blaster و در همین اواخر Conficker نشان دهنده ضعف در اطلاع‌رسانی و پیگیری مشکلاتی از این دست می‌باشد. در سال‌های قبل با نبود پروژه‌هایی مانند «آپا» یا «CertCc» توقعی از مسئولان امر نمی‌رفت تا واکنشی درخور نسبت به این حوادث نشان دهند، اما حال با تاسیس این گروه‌ها و صرف هزینه‌های لازم، امید مدیران سازمان‌ها و حتی بخش خصوصی به این گروه‌هاست تا با اطلاع‌رسانی دقیق و پیگیری مستمر آنها، از مشکلاتی مانند همه‌گير شدن آلودگی به یک ویروس در سطح کشور کاسته شود و دیگر اتفاقاتی مانند از کار افتادن سیستم‌های حیاتی بر اثر الودگی به ویروس‌ها دیده نشود و نتيجتا امنيت شرکت‌ها و سازمان‌ها و حتا کشور به مخاطره نيفتد. Conficker مهم‌ترین و آخرین نمونه از کرم‌های رایانه‌اي است که با استفاده از ضعف در سیستم عامل ویندوز میلیون‌ها کامپیوتر در سرار دنیا را آلوده کرده است، و نيز هزاران کامپیوتر در داخل کشورمان آلوده شده و مدارک و اسناد شبکه‌های الوده شده در ایران نیز به صورت رسمی در دسترس عموم قرار گرفته است. اما چیزی که این روزها فکر نگارنده(به عنوان يک کارشناس امنيت اطلاعات) را به خود مشغول می‌کند، بی‌تفاوتی و یا عدم توانایی پاسخگویی به رخداد امنیتی است که به وقوع پیوسته و در حال حاضر می‌بایست برای پاکسازی و ایمن کردن سیستم‌های زیر بنایی عکس‌العملی از سوی گروه‌هایی مانند «آپا» یا «Certcc» انجام پذیرد، اما متاسفانه تنها فعالیت نمایان این گروه‌ها ترجمه اخبار از سایت‌های خارجی و منابع دست دوم است، و در پاره‌ای اوقات هم چند مقاله دانشجویی. در ادامه داستان تلاش دو هفته‌ای من برای تماس با مرکز Cert و هشدار در زمینه آلودگی گسترده در مورد ویروس Stuxnet بیان می شود. شروع داستان - پنجشنبه 24 تیرماه در 4 سال گذشته بنا به عادت و با توجه به بررسی بدافزارها و فعالیت آنها و همکاری با گروه‌های بین‌الملی جهت مبارزه با جرائم رایانه‌ای مانند آلوده‌سازی سیستم به بدافزارها در حال خواندن اخبار روزانه بودم. اخبار روزانه‌ای که دقیقه‌ها و ساعت‌ها در آن نقش عمده‌ای را بازی می‌کنند. اخبار منتشر شده حاکی از انتشار یک بدافزار بود که بر اساس یک ضعف در Shourtcutها امکان اجرای بدافزار بدون دخالت کاربر را می‌داد. اطلاع از شیوع این ویروس و ضعف در سیستم عامل‌های مایکروسافت را شرکت VirusBlokAda برای اولین بار متوجه عموم کرد. طی بررسی‌های انجام شده یک بدافزار جاسوس با استفاده از آلوده کردنUSB flash ها در حال انتشار بود، به نظر می‌رسید هدف این ویروس، دسترسی به اطلاعات سیستم‌های مدیریتی مانیتورینگ SCADA در اروپا بود که از نرم‌افزار شرکت زیمنس به نام Wincc استفاده می‌کردند. این ویروس Stuxnet نام گرفت. طراحی این ویروس به قدری حرفه‌ای برنامه‌ریزی شده بود که از همان روزهای اول، صحبت در باب عوامل پشت صحنه این حمله تبدیل به بحث داغ محافل امنیتي شد. جمعه 25 تیر ماه مایکروسافت دست به انتشار Advisory اولیه در این زمینه می‌زند و وجود یک ضعف امنیتی را در تمامی سیستم عامل‌های ویندوز تایید می‌کند، اما هنوز اطلاع دقیقی از چگونگی عملکرد این ضعف به صورت عمومی در دسترس نیست، و اصلاحیه‌ای هم برای آن منتشر نشده است. ساعاتی بعد در همان روز با اضافه شدن شناسه ویروس Stuxnet در برنامه‌های ضدویروس مایکروسافت و قابلیت تشخیص آن از سوی این برنامه‌ها مانند: Microsoft Security Essentials, Microsoft Forefront Client Security, Windows Live OneCare, the Forefront Threat Management Gateway, and the Windows Live Safety Platform, windows defender مرکز مبارزه با بدافزارها در مایکروسافت(MMPC) با دریافت گزارش از میزان آلودگی در جهان دست به انتشار اطلاعاتی می‌زند که در آن کشورهایی که بیشترین موارد آلودگی توسط برنامه‌های ضدویروس مایکروسافت ثبت شده‌اند مشخص می‌گردد، اما این آمارها تنها محدود به حوزه فعالیت نرم‌افزارهای مایکروسافت می‌باشد و می‌تواند به عنوان یک هشدار قبل از بدست آوردن اطلاعات بیشتر مورد استفاده قرار گیرند. در این گراف، رتبه اول به ایران، رتبه دوم به اندونزی، و رتبه سوم به هند تعلق گرفته بود. با مطالعه گراف، ابعاد فاجعه تا حدی برای من مشخص گردید. ساعاتی بعد تصمیم گرفتم به مرکز رخدادهای امنیتی certcc.ir و مرکز آپا سری بزنم و ببینم آیا اطلاعات یا هشداری در این زمینه در دسترس میباشد یا نه. اما چیزی بر روي وب‌سایت‌های این مراکز یافت نشد.(لينک) شنبه 26 تیر ماه بر اساس تبادل اطلاعات با متخصصین امنیت در دنیا یک Sample اصلی از برنامه بدافزار بدستم می‌رسد، اما مانند تمام ویروس‌های دیگر امکان بررسی آن به سادگی وجود ندارد. با هماهنگی با دوستان و گروه‌های دیگر کار برای بازگشایی کدهای اصلی این malware را شروع می‌کنم. یکشنبه 27 تیرماه یک روز بعد فایل به صورت کامل رمزگشایی شده(unpacked) و اطلاعاتی که مربوط به تغییر داده‌ها در برنامه wincc است قابل مشاهده است، همچنین اطلاعات مفید دیگری که می‌تواند برای بررسی عملکرد ویروس مورد استفاده قرار گیرد. اما هنوز certcc پس از گذشت دو روز واکنشی نشان نداده است. تصمیم می‌گيرم تا با نشاني ايميلي که جهت گزارش رخدادهای امنیتی در وب‌سایت قرار گرفته است تماس بگيرم. به نظر من این یک رخداد امنیتی و اپیدمی شدن آلودگی به ویروس در سطح گسترده در کشور است. متن نامه ارسالی در تاریخ یکشنبه 27 تیرماه 1389 به مرکز Certcc: با سلام با توجه با انتشار ویروس جدید که از یک زیرو دی در برنامه ویندوز استفاده می‌کند. حجم آلودگی سیستم‌های درون ایران بیش از حد می‌باشد آیا اطلاع رسانی یا پیگیری جهت ردیابی میزان الودگی درون سازمان‌ها انجام گردیده است یا خیر؟ تنها آسیب‌رسانی این ویروس تغییرات در یکی برنامه‌های کنترلی زیمنس است که با توجه به امکان استفاده این برنامه‌ها در داخل سازمان‌های ایران نیاز پیگیری بیش از پیش احساس می‌شود. در صورت که اطلاعات قابل توجهی در دسترس باشد خوشحال می‌شوم برای تحقیقات در اختیار من قرار گیرد. باتشکر نیما مجیدی (با ذکرمنابع فني) در متن ارسالی به Certcc قسمتی را به عنوان تحقیقات شخصی و مهندسی معکوس به بیان فعالیت این ویروس با برنامه Wincc می‌پردازم شاید علاقه‌مندی در شخصی که مسئول چک کردن ایمیل است به وجود آید و پاسخی دهد. منتظر می‌مانم تا تماس از سمت cert کشورم برقرار شود تا اطلاعاتی را که در دسترس دارم به اشتراک بگذارم. در چنین رخدادهایی زمان به سرعت می‌گذرد و سخن ادیبانه‌ای که این سال‌ها به خوبی به گوش می‌رسد «مدیریت بحران» است. با گذشت چند روز هنوز هیچگونه کد exploit به صورت عمومی برای ضعف در برنامه Shurtcut ویندوز منتشر نشده است. چند نسخه از Exploit ها به صورت خاص منتشر گردیده‌اند اما هنوز مدل کارآمد و راحتی برای آن بدست نیامده است. دوشنبه 28 تیر ماه اچ دی مور یکی از موسسین پروژه Metasploit دست به انتشار کد Exploit می‌زند که می‌تواند به صورت Client Side Attack مورد استفاده نفوذگران قرار گیرد و این در حالی است که هنوز اصلاحیه‌ای از سوی مایکروسافت منتشر نشده است. با بررسی شرایط موجود و با توجه به آسیب‌پذیری 0day در سیستم عامل ویندوز که هنوز اصلاحیه‌ای برای آن منتشر نگردیده، مرکز بررسی حوادث اینترنتی Sans (Internet Storm Center) به دلیل انتشار کد Exploit به صورت عمومی و با توجه به امکان هدف قرار گرفتن سیستم‌های دیگر وضعیت رخدادهای امنیتی در اینترنت را به حالت زرد یعنی خطرناک درمی‌آورد(Raising Infocon to yellow) . رنگ Infocon به معنی خطر و فراگیر شدن حملات کامپیوتری یا انتشار ویروس‌هاست. مرکز ISC به عنوان یک منبع معتبر در این زمینه عمل می‌کند و با تغییر موقعیت به حالت خطرناک بسیاری از شرکت‌ها و سازمان‌ها به حالت آماده‌باش درمی‌آیند. این فرایندی است که در طول سال‌ها شکل گرفته و مدل استانداردی است که توسط مدیران شبکه یا مسئولین امنیت دنبال می‌شود. از همین مدل کارآمد می‌توان درس گرفت و جدا از شعارهای بومی‌سازی، دست به ایجاد مرکزی زد تا در مواقع بحرانی، مسئولان شبکه‌ها را در جریان خطرهای پیش رو قرار دهد. سه شنبه 29 تیر ماه به دلیل بالا رفتن خطرات ناشی از آلودگی به این ویروس و همچنین آلوده شدن سیستم‌های بسیار حساس، کمپانی Symantec وارد عمل شده و کنترل دسترسی به دامین‌های اصلی این بدافزار را بدست می‌گیرد. قابل ذکر است این دامین‌ها به عنوان مراکز ارسال دستور به کامپیوترهای آلوده مورد استفاده قرار می‌گرفتند و امکان دزدی اطلاعات از کامپیوترهای آلوده را فراهم می‌ساختند. حالا Symantec با استفاده از تکنیکی که به Sinkhole معروف است قادر است آماری دقیق از کامپیوترهای آلوده در کشورها و مراکز مختلف بدست آورد. هرچند بدست گرفتن دامین‌های اینترنتی و انتفال مالکیت آن فعالیتی زمان‌بر است و در بسیاری موارد باید گرفتن حکم دادگاه و مراحل پیچیده‌ای را طی کند اما بدلیل اینکه کمپانی Symantec مسئول پاسخگویی رخدادهای امنیتی سیستم SCADA بوده و نيز به علت حساسیت بالاي سیستم SCADA این شرکت توانست در کمترین زمان ممکن کنترل دامین‌ها را در دست بگیرد که در نوع خود کم‌سابقه است. دامین‌های مورد نظر عبارتند از: www[.]mypremierfutbol[.]com www[.]todaysfutbol[.]com پنجشنبه 31 تیر بعد از حدود 72 ساعت مانیتورینگ دامنه‌های مورد استفاده Stuxnet خبر کاملی مبنی بر آلودگی سیستم‌های بسیاری در ایران توسط Symantec منتشر می‌شود، آماری تکان دهنده که ایران را در صدر کشورهای آلوده به ویروس Stuxnet قرار می‌دهد.(لينک) بیش از 58% میزان آلودگی در ایران گزارش شده و بیش از 14000آادرس IP واحد که نشان دهنده میزان آلودگی بسیار بالاتر از 14000 سیستم می‌باشد که در مواردي که از سرویس‌هایی مانند NAT استفاده شده باشد به تعداد آلودگی سیستم‌ها اضافه می‌شود. با گذشت بیش از 4 روز از ارسال نامه به Certcc بدون هیچگونه جوابی، سری به سایت Certcc می‌زنم، تنها دو خبر چندپاراگرافی بدون هیچگونه اطلاعات فنی در مورد انتشار این ویروس در سایت قرار گرفته، و «بومی‌سازی» به ترجمه خبرهای خارجی تبدیل شده؛ به نظر می‌رسد Cert ایران هیچگونه برنامه‌ای برای بررسی بومی ویروس در کشور نداشته است. و شاید هم از داشتن نیروی متخصصی برای این موارد محروم است. فکر می‌کنم ارسال یک نامه دیگر به مرکز آپا به دلیل ارتباط آن با فضای دانشگاه‌های کشور می‌تواند راهکار مناسب‌تری جهت اطلاع مسئولین امر باشد، پس متن ارسال شده به certcc را به همراه یک پاراگراف به پست الکترونیکی info و جهت اطمینان بیشتربه مدیریت مرکز آپا نیز ارسال می‌کنم. متن نامه ارسالی در تاریخ پنجشنبه 31 تیرماه به مرکز آپا: با سلام با توجه به آلوده شدن بیش از 6000 کامپیوتر در ایران و داشتن رتبه اول در مورد این بد افزار چرا هیچگونه اطلاع‌رسانی دقیق و فنی و حتی پیگیری برای میزان آلودگی پس از گذشت 4 روز انجام نشده و مراکز امداد رایانه‌ای که می‌بایست در چنین شرایطی دست به جمع‌آوری اطلاعات و مقابله رخداد نمایند هیچگونه پاسخ یا واکنشی نشان نمی‌دهند، آیا فقط ترجمه کردن و درست کردن فایل‌های پی.دی.اف آموزشی در دستور کار این گروه‌ها قرار دارد؟؟؟ متاسفانه من پاسخی از مرکز سرت مخابرات دریافت نکردم، جهت همکاری گویی در مواقع اضطراری هیچکس جوابگو نیست. به نظر می‌رسد مراکز امداد رایانه‌ای که می‌بایست حرف اول را در واکنش سریع به یک رخداد بزنند هیچگونه آمادگی برای چنین شرایطی را دارا نیستند. نيما مجيدي جمعه 1 مرداد با انتشار کد exploit به صورت عمومی، امکان انتشار ویروس‌ها بر اساس این ضعف امنیتی زیاد دور از ذهن نبود که چند روز بعد کمپانی Eset خبر از انتشار یک ویروس حدید بر اساس ضعف امنیتی یاد شده را داد(lnk 0day) http://blog.eset.com/2010/07/22/new-malicious-lnks-here-we-go 7 روز بعد - پنجشنبه 7 مرداد (هیچ گونه پاسخی از مرکز آپا یا certcc دریافت نشده است) و بالاخره به همت دانشجویان عزیز یکی از دانشگاه‌ها که مسئولیت ترجمه مقالات و راهنماهای منتشر شده را بر عهده گرفتند، همچنین متخصصین امنیت در سراسر دنیا، شرکت‌های Anitvirus که بسیاری از آنها ایران را در لیست کشورهای تحریمی قرار داده‌اند، چند نسخه فایل Pdf ترجمه شده و مقاله‌ای بر روی سایت‌های آپا و Cert ایران قرار می‌گیرد. خبرهایی که 15 روز پیش به صورت عمومی و به زبان انگلیسی در دسترس عموم بود، حالا پس از دو هفته به زبان فارسی برگردانده شده و قابل دسترس است! که در نوع خود در زمینه ترجمه مقالات تخصصی یک رکورد محسوب می‌شود! از شروع داستان در یک ظهر گرم تابستان در روز 24 تیرماه تا پایان شگفت‌انگیز آن در 7 مرداد ماه(يعني بیش از 15 روز) Cert ایران و مرکز آپا، ميزان توانایی برخورد با رخدادهای امنیتی در سطح گسترده را بخوبي نشان دادند! اگر شرکتی مانند Symantec وجود نداشت، اگر متخصصین امنیت در سراسر دنیا دقایق زندگی خود را صرف بروزرسانی خود و تحقیق نمی‌کردند، هیچ رخدادی گزارش داده نمی‌شد، شیوع ویروس ادامه داشت، امکان خروج اطلاعات از داخل کشور زیاد دور از ذهن نبود، و همگی به فکر همایش بعدی امنیت اطلاعات در سطح سازمان‌ها بودیم تا خوش و خرم با ميهمان‌های آسیایی خود در مورد Computer Emergency Response Team سخن بگوییم! این صدای یک زنگ خطر است، زنگ خطری که به مسئولین هشدار می‌دهد که صرف برگزاری سمینارهایی در زیر پرچم سه رنگ ایران به معنی آمادگی با رخدادها نیست، تنها کافی بود تا با یک مدیریت سریع و کارآمد و با استفاده از نیروی متخصص به صورت بومی به این رخداد پاسخ داد؛ و زمان باز هم در حال گذر است، و چه تعداد سیستم جدید به این ویروس در طول هر روز در ایران آلوده می‌شوند؟! من هم مانند تمام دلسوزان امنیت دوست دارم مراکز پاسخگو در کشورمان با بوجود آمدن چنین رخدادهایی قادر به واکنش سریع باشند، و به یاد داشته باشیم که این پایان ماجرا نیست، نقاط اصلی شیوع ویروس، میزان دقیق آلودگی در نقاط مختلف جغرافیایی کشور، بررسی برنامه‌های wincc مورد استفاده درون کشور، بررسی ترافیک انتقالی به Sinkhole .... و نکاتی دیگر می‌تواند شروعی مناسب حداقل براي پیگیری چگونگی همه‌گير شدن این ویروس باشد. (منابع در ایتنا موجود است)