ورود ویروسهای تجاری پس از ویروسهای صنعتی
م.ر. بهنام رئوف – دنیای اقتصاد : این روزها با گسترش استفاده از رایانه و تلفنهای هوشمند مجهز به سیستم عامل، فعالیت هکرها و ویروس نویسان هم افزایش یافته است.
البته این فعالیتها که در زمانی بیشتر برای خرابکاران سایبری جنبه سرگرمی یا قدرت نمایی هکرها محسوب میشد اما امروز با ورود به چهارمین دهه از فعالیت آنها، بیشتر به یک تجارت تبدیل شده است. تجارتی که گاهی وقتها با پرداخت پول برای خرابکاری در یک نهاد دولتی یا شرکت خصوصی همراه بوده و گاهی نیز تخریب یا جمع آوری اطلاعات را برای مقاصدی خاص در بر میگیرد.
جنگی با ابزار صفر و یک
در چند سال گذشته اما با آمدن ویروسهای صنعتی و حملات پیاپی به مراکز حساس کشور داستان ویروسهای رایانهای ابعاد تازهای به خود گرفته اند. هم اکنون تقریبا هر 6 ماه یکبار خبری از حمله یک ویروس به رایانههای داخلی منتشر میشود. در حالی که انتظار میرفت بعد از حمله ویروس استاکس نت آمادگی مقابله با تهدیدات ویروس در کشور چند برابر شود، اما شواهد نشانگر آن است که تا زمان وقوع بحران برنامهای برای امنیت شبکهای یا وجود نداشته یا اگر هم وجود داشته باشد به شکل کلی فراگیر نیست. همچنین تعدد مراکز رسیدگیکننده به این موضوع باعث شده است که در مواقع بحرانی اخبار و اطلاعات صحیح و درستی منتشر نشود. در این بین خبرهای منتشر شده از سوی شرکتهای فعال در بخش آنتیویروس و اطلاعاتی که از سوی آنها منتشر میشود نیز مزید بر علت شده و اندک اخبار منتشر شده را هم با ابهام روبهرو میکند. چرا که عموما اخبار منتشر شده از سوی شرکتهای امنیتی فعال در این بخش بیشتر جنبه تجاری، تبلیغاتی و بازار گرمی برای محصولات آنها را خواهد داشت.
در جهان و به خصوص کشورهای اروپایی و آمریکایی تداوم انتشار ویروسها و حملات مخرب هکرها باعث شده تا دولتها در این بخش دست به کار شده و سالانه با اختصاص بودجههای کلان اقدام به تدوین برنامهای مدون در بخش امنیت سایبری خود داشته باشند. برنامهای که به عنوان مثال در ایالات متحده آمریکا توسط رییسجمهور تصویب و به تمام دستگاههای اجرایی کشور ابلاغ شده و لازم الاجرا است.
همانطور که گفته شد اما به نظر میرسد که در ایران چنین برنامهای وجود نداشته باشد. از سوی دیگر به نظر میرسد مدیران ایرانی بیشتر به فکر اینترنت ملی یا همان شبکه ملی اطلاعات هستند. آنها معتقدند که با بهکار گیری این شبکه بسیاری از مشکلات از جمله حملات سایبری یا ویروسی حل خواهد شد حال آنکه تجربه چند ویروس گذشته نشان میدهد که مشکل در این بخش دسترسی به اینترنت و شبکههای جهانی نیست؛ چرا که ویروسها به راحتی و به واسطه یک درایو اطلاعاتی و توسط یک نیروی انسانی هم میتوانند وارد شبکههای داخلی شوند.
کارشناسان حوزه امنیت شبکه در کشور معتقدند که متاسفانه نهادهای دولتی توجه چندانی به مقوله امنیت اطلاعات ندارند. استفاده و تهیه نرمافزارهای آنتیویروس نمیتواند جوابگوی تخریبها و حملات ویروسی باشد، همانطور که نصب دزدگیر روی خودرو هم نمیتواند احتمال سرقت را صد در صد از میان بردارد. آنها میگویند: متاسفانه مدیران آی تی در سازمانهای دولتی اعتقادی به خدمات پشتیبانی یا مشاورهای در بخش امنیت اطلاعات ندارند. همچنین استفاده از نرمافزارهای غیر اورجینال و قفل شکسته که قابلیت به روز رسانی آنها از بین رفته است نیز میتواند به عنوان یک آلترناتیو احتمال آسیبپذیری در این بخش را افزایش دهد.
ویروسهای داخلی
جدا از حملات هکرها و ویروسهای صنعتی مخرب این روزها اما شاهد استفاده از ویروسهای ساخت داخل هم هستیم. ویروسهایی که بیشتر به بهانه ضربه زدن به نشانههای تجاری طراحی شده و هدف نهایی آنها پایین آوردن سهم بازار یک شرکت و افزایش سهم بازار سایر رقبای آن شرکت است.
ناریلام، ویروسی که هفته گذشته خبر انتشارش برای نخستین بار توسط سیمانتک منتشر شده بود از جمله این ویروسها است. بنا به گزارش منتشر شده از سوی سیمانتک، کرم رایانهای «ناریلام» به دنبال کلمات فارسی میگردد و با وارد شدن به بانکهای اطلاعاتی حسابداری، سفارش اقلام و سامانههای مدیریت مشتریان سازمانها و شرکتها، اطلاعات آنها را جایگزین یا حذف میکند.
سیمانتک میگوید که این کرم رایانهای که «W32.Narilam» نام دارد را در تاریخ ۱۵ نوامبر کشف کرده اما شونیچی ایمانو، محقق امنیت سیمانتک، جمعه دو هفته پیش جزئیات این خبر و عملکرد این بدافزار را در مقالهای منتشر کرده است. به نوشته شونیچی ایمانو و بنا بر نقشهای که وی در وبسایت سیمانتک منتشر کرده، تمرکز حملات این بدافزار جدید، ایران است و چند مورد از حملات «ناریلام» نیز در بریتانیا و ایالات متحده، ازجمله در ایالت آلاسکا مشاهده شدهاست.
بعد از انتشار این خبر و بازتاب آن توسط رسانهها اما حقایق دیگری پیرامون این ویروس منتشر شد. ویروس یا تروجانی که میرفت به عنوان قسمت جدیدی از سریال حملههای مخرب ویروسی در چند سال گذشته تبدیل شود، اما ویروس جدیدی نبود بلکه تنها یک نسخه به روز شده از ویروسی بود که در سال 2010 کشف شده بود. آن هم توسط بخش آپا از دانشگاه شیراز.
درست روز بعد از انتشار خبر این ویروس مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای «ماهر» گزارش داد که بر خلاف اخبار منتشر شده این بدافزار در سال 89 یعنی 2010 توسط مراکز و شرکتهای فعال در حوزه امنیت فناوری اطلاعات کشور شناسایی و گزارش شده است.
دامنه فعالیت این بدافزار و انتشار آن بسیار محدود بوده و تنها کاربران محصولات نرم افزاری سیستمهای مالی وحسابداری را هدف قرار داده که این کاربران میتوانند با اسکن سیستم توسط آنتی ویروس به روز شده اقدام به پاک سازی آن نمایند.
در این بین اما برخی از شرکتهای امنیتی از موج ایجاد شده استفاده کرده و در خبرهایی عنوان میکردند که تنها آنتی ویروس آنها قادر به پاکسازی این ویروس هستند، در حالی که چنین خبری از اساس دروغ بوده و تمامی آنتی ویروسهای موجود قابلیت مبارزه با این ویروس را داشتند.
بخش خصوصی هدف تخریب
ویروس «ناریلام» درست بر عکس شده کلمه «مالیران» است که نام یکی از برنامههای معروف حسابداری است. برنامههای حسابداری و مالی مورد حمله قرار گرفته توسط این ویروس محصولات شرکت «طراح سیستم» است. شرکتی با 25 سال سابقه فعالیت. در اولین مراجعه به سایت این شرکت یک پیام اخطار پیرامون این ویروس منتشر شده است. پیامی با این مضمون: «به دلیل بد افزار
W32.Narilam لطفا از اطلاعات مالی خود نسخه پشتیبان (backup) تهیه نمایید».
تورج تیموری، عضو هیات مدیره این شرکت در این باره به ما میگوید: ما هم از خبرهای منتشر شده متوجه این ویروس شدهایم، چرا که تا به حال گزارش خاصی در مورد خرابکاریهای این ویروس از مشتری هایمان نداشتیم. او میگوید: بعد از خبرهای منتشر شده با تمام مشتریها چه آنهایی که قرارداد پشتیبانی داشته و چه آنهایی که چنین قراردادی نداشتند از طرف مسوولان فنی شرکت تماس و در خواست شده تا از اطلاعات خود نسخه پشتیبان تهیه کنند. تیموری ادامه میدهد از بین تمام مشتریها فقط یک شرکت بوده است که میگوید با چنین ویروسی مواجه شده اما نرم افزار آنتی ویروس نصب شده روی سیستم آن را پیدا و پاک کرده است در نتیجه متاسفانه تا به این لحظه موفق نشده ایم که به سورس این ویروس دست بیابیم. همچنین حملاتی که عنوان میشود این ویروس در کشورهای خارجی داشته صحت ندارد و ممکن است کاربران نرم افزار ما به همراه رایانه قابل حمل خود در مسافرت خارج از کشور بوده باشند و مورد حمله قرار گرفته باشند.
عضو هیات مدیره طراح سیستم با اشاره به طرح شکایت در دادسرای جرایم رایانهای و پیگیری از طرف پلیس فتا عنوان میکند: مطمئن هستیم که این ویروس یک ویروس داخلی بوده و به دلیل غرض ورزیهای شخصی یا شرکتی نوشته و منتشر شده است؛ چرا که تنها نرمافزارهای شرکت ما را هدف قرار داده و جز بدنام کردن شرکت و سابقه طراح سیستم نمی تواند هدف دیگری داشته باشد. به همین دلیل حدس و گمانهای موجود را به مراجع قضایی ارائه و تا حصول نتیجه پیگیر این موضوع خواهیم بود.
او در مورد خبرهای منتشر شده از سوی مراکز امنیتی میگوید: به جز خبری که به تازگی منتشر شده است در مورد سوابقی که در آن به کشف این ویروس در سال 2010 اشاره میکند هیچ مدرک، مشکل یا خرابکاریای از سوی مشتریان تا به امروز به ما گزارش نشده است و نمیدانیم چرا این خبرها به این شکل منتشر شده است. تنها دلیلی که برای این کار متصور هستیم خراب کردن نام شرکت و برند خود میدانیم، زیرا این ویروس تا به این لحظه هیچ خسارت مالیای برای هیچکدام از مشتریان ما نداشته و تنها متضرر اصلی این جریان برند شرکت ما است.
تیموری در پایان با اشاره به این نکته که این ویروس اولین تجربه بخش خصوصی در تهدیدهای سایبری است تاکید میکند که تیم برنامه نویسی شرکت در حال حاضر مشغول افزایش و بالابردن توان امنیتی برنامههای شرکت است.