رکوردشکنی حملات DDoS در ایران/ حملات سایبری با حجم ۴۰۰ گیگابایت

پنل فناوری، امنیت و آینده ایران برگزار در وزارت ارتباطات و فناوری اطلاعات برگزار شد.

بهزاد اکبری؛ مدیرعامل شرکت‌ ارتباطات زیرساخت در ابتدای این پنل با اشاره به افزایش قابل توجه حملات سایبری به زیرساخت ارتباطی کشور در ایام تعطیلات اخیر گفت: در این روزها و روزهای منتهی به آتش‌بس، ما با موج گسترده‌ای از حملات DDoS مواجه بودیم؛ به‌طوری‌که می‌توان گفت تا روز گذشته، به صورت مداوم تحت حملات موسوم به «حملات DDoS» قرار داشتیم.

وی افزود: در مقاطعی از این ایام، حجم حملات بسیار بالا رفت؛ به‌نحوی‌که در برخی لحظات، حملاتی با حجم 400گیگابایت را تجربه کردیم. این عدد تنها مربوط به بخشی از حملات بود که موفق به مقابله با آن شدیم. نیمی از این حملات از خارج از کشور و نیم دیگر از داخل انجام شده‌اند.

اکبری ادامه داد: هنگامی‌که حملات شناسایی می‌شود، اقدامات لازم برای هدایت و پاک‌سازی ترافیک در دستور کار قرار می‌گیرد. 

وی با تأکید بر اینکه حملات DDoS تنها بخشی از تهدیدهاست، تصریح کرد: حملات DDoS شاید کمترین اثر را داشته باشند، چراکه تأثیر آن‌ها معمولاً در حد یکی دو دقیقه یا کمتر از 30ثانیه است. برخی اپراتورها نیز این حملات را به‌صورت خودکار خنثی می‌کنند.

مدیرعامل شرکت ارتباطات زیرساخت با بیان اینکه گزارش‌های دقیقی از حملات اخیر تهیه شده، گفت: بر اساس اندازه‌گیری‌های ما، متأسفانه یکی از آلوده‌ترین شبکه‌ها را داریم. 

اکبری در ادامه خاطرنشان کرد: از آنجا که کنترل حملات خروجی دشوارتر است، باید بگویم که در همین بازه زمانی، حملاتی از داخل کشور به خارج صورت گرفته است که بخش عمده‌ای از این حملات ناخواسته و ناشی از آلودگی دیوایس‌های ایرانی است.

وی تصریح کرد:  این حملات از سوی خارج از کشور کاملاً سازمان‌دهی‌شده هستند. وقتی حمله‌ای با حجم 500گیگابایت به سمت کشور می‌آید، نمی‌توان آن را حاصل فعالیت یک فرد دانست. این حملات از سوی گروه‌ها یا حتی دولت‌هایی طراحی شده‌اند و از زیرساخت‌های توزیع‌شده جهانی استفاده می‌کنند؛ به‌طوری‌که از 170 کشور دنیا به‌سمت شبکه ما ترافیک ارسال می‌شود.

مدیرعامل شرکت ارتباطات زیرساخت گفت: حجم حملات 24 ساعت گذشته به‌قدری بالاست که نمی‌توان آن‌ها را به اقدام افراد خاص نسبت داد. بسیاری از حملاتی که از داخل به داخل صورت می‌گیرد از طریق دیوایس‌های آلوده و ناخواسته صورت می‌گیرد.

اکبری تأکید کرد: بخشی از این حملات با انگیزه‌هایی نظیر نفوذ و اخلال صورت می‌گیرد. این موضوع نیازمند بررسی و همکاری گسترده‌تر دستگاه‌های مسئول است.

مدیرعامل شرکت ارتباطات زیرساخت، درباره انتشار اطلاعات مربوط به حملات سایبری گفت: ما داشبوردهایی منتشر می‌کنیم که اطلاعات کلی در آن‌ها درج شده، اما برخی اطلاعات، مانند مشخصات دقیق شرکت‌هایی که هدف حمله قرار گرفته‌اند یا جزئیات فنی مربوط به منشأ حملات، جزو حریم خصوصی و اطلاعات بیزینسی اپراتورها محسوب می‌شود و قابل انتشار عمومی نیست.

وی افزود: وقتی حمله‌ای آغاز می‌شود، برای شرکت مربوطه نوتیفیکیشن ارسال می‌شود و آن‌ها در پنل اختصاصی خود می‌توانند ویژگی‌های فنی حمله را مشاهده کنند؛ از جمله اینکه منشأ (source nation) حمله کجاست، از چه پروتکلی استفاده می‌شود و حجم ترافیک چقدر است. همه این اطلاعات در اختیار اپراتورها قرار دارد، اما در سطح جهانی نیز چنین اطلاعاتی به‌صورت عمومی منتشر نمی‌شود.

اکبری ادامه داد: حتی حملاتی که از داخل کشور به سمت خارج انجام می‌شود، مشخص است که از کدام اپراتور منشأ گرفته‌اند. نهادهای ذی‌ربط نیز در صورت نیاز به این اطلاعات، دسترسی لازم را دارند. بنابراین ما در این زمینه هیچ‌گونه مشکلی نداریم، اما تنها بخشی از اطلاعات که با رعایت حریم خصوصی اپراتورها قابل انتشار بوده، منتشر شده تا مردم نمایی از وضعیت کلی و سطح تهدیدات سایبری در کشور داشته باشند.

مدیرعامل شرکت ارتباطات زیرساخت درباره حاشیه‌هایی که در پی انتشار این گزارش‌ها ایجاد شد گفت: هدف ما صرفاً اطلاع‌رسانی درباره وضعیت حملات بود، اما متأسفانه برخی این موضوع را به اشتباه تفسیر کردند.

 وی توضیح داد: من صرفاً وضعیت حملات دیداس (DDoS) و حجم آن‌ها را منتشر کردم؛ حال آنکه برخی تصور کردند این گزارش‌ها بهانه‌ای برای مسدودسازی‌های اخیر بوده است.

اکبری تأکید کرد: حتی در شرایط عادی نیز ممکن است حملاتی در مقاطعی رخ دهد، اما هیچ‌گاه مسدودسازی به دلیل حمله سایبری انجام نمی‌شود. ما توان مقابله با این حملات را داریم و به هیچ عنوان حمله سایبری نمی‌تواند توجیهی برای فیلتر یا مسدودسازی باشد. از نظر فنی نیز هیچ کشوری چنین کاری نمی‌کند و ما هم هیچ اعتقادی به این روش نداریم.

وی همچنین خاطرنشان کرد: شرکت ارتباطات زیرساخت مسئول مسدودسازی نیست. ما یک کریر (Carrier) هستیم و نقش‌مان در سطح فراهم‌کننده زیرساخت است. تجهیزات حاکمیتی در شبکه اپراتورها قرار دارد و سیاست‌گذاری و اعمال محدودیت‌ها برعهده نهادهای مربوطه است. ما نمی‌توانیم خودسرانه تصمیمی بگیریم، بلکه حتی اگر فشاری بیاید، ممکن است بخشی از خدمات‌مان حذف شود.

اکبری با اشاره به نقش مطالبه‌گرانه زیرساخت در اکوسیستم ارتباطی کشور گفت: ما همواره در کنار مردم و اپراتورها هستیم. البته مسئولان کشور ممکن است در شرایط خاص، دغدغه‌هایی داشته باشند که ما از بیرون نتوانیم آن‌ها را کاملاً درک کنیم. اگر جای آن‌ها بودیم شاید تصمیم‌های مشابهی می‌گرفتیم، اما از سمت ما، تلاش بر این است که مشکلات کاربران و فعالان کسب‌وکارها را بفهمیم و تا حد توان کاهش دهیم.

وی  اظهار کرد: ما در موقعیتی هستیم که ترافیک کشور از طریق ما تبادل می‌شود و می‌توانیم تأثیر شرایط مختلف را بر کیفیت خدمات بسنجیم. از این رو، مطالبه‌گری برای حفظ کیفیت شبکه را وظیفه خود می‌دانیم و سعی می‌کنیم شرایطی مثل آنچه در بازه 12 روزه اخیر پیش آمد، تکرار نشود یا حداقل اثرگذاری آن کاهش یابد.

مدیرعامل شرکت ارتباطات زیرساخت، در ادامه سخنان خود درباره وضعیت آینده امنیت سایبری و الزامات آن گفت: پیش از صحبت درباره آینده، باید یک آسیب‌شناسی جدی از وضعیت فعلی کشور داشته باشیم. این آسیب‌شناسی باید جامع و بین‌سازمانی باشد، چرا که بسیاری از مشکلات ما ریشه در همین وضعیت کنونی دارند.

وی افزود: یکی از مهم‌ترین مشکلاتی که در کل دنیا هم وجود دارد، کمبود منابع انسانی متخصص در حوزه امنیت سایبری است. متأسفانه در کشور ما، به دلیل موج گسترده مهاجرت‌ها در سال‌های اخیر، در پیدا کردن نیروی انسانی متخصص که بتواند سیستم‌ها را پشتیبانی و حمل کند، با مشکلات جدی مواجهیم.

اکبری با اشاره به تجربیات جهانی در این حوزه گفت: دنیا برای مقابله با این کمبود، به سمت استفاده از خدمات امنیتی متمرکز رفته است. در کشورهای توسعه‌یافته، بیش از 80 درصد اپلیکیشن‌های اقتصادی از خدمات امنیتی حرفه‌ای بهره می‌برند، چون شرکت‌های تخصصی این حوزه توانمندی بیشتری برای تأمین امنیت دارند.

وی ادامه داد: در کشور ما متأسفانه هنوز سرویس‌های ابری داخلی به شکل گسترده و باثبات شکل نگرفته‌اند. دلایل مختلفی برای این مسئله وجود دارد؛ از ضعف در زیرساخت‌ها گرفته تا مشکلات اقتصادی، تحریم‌ها و مسائل ارزی.

مدیرعامل زیرساخت یکی دیگر از چالش‌های مهم را استفاده گسترده از نرم‌افزارها و سخت‌افزارهای نامطمئن دانست و گفت: درصد قابل توجهی از نرم‌افزارهای مورد استفاده، وضعیت پشتیبانی و امنیت مشخصی ندارند و حتی شرایط سخت‌تری در بخش سخت‌افزار داریم. به‌ویژه در چهار سال اخیر و تحت تأثیر تحریم‌ها، بیشتر سرورهایی که وارد کشور شده‌اند، (refurbished) و دست دوم هستند.

وی افزود: نمی‌توانم عدد دقیقی بدهم، اما تصور می‌کنم بین 70 تا 80 درصد سرورهایی که هم‌اکنون در حال استفاده هستند، دست دوم‌اند. این سرورها به دلایل مختلفی از جمله کمبود تجهیزات نو، وارد زنجیره تأمین کشور شده‌اند. این موضوع باعث افزایش ریسک آلودگی در سطح زیرساخت می‌شود.

اکبری با تأکید بر لزوم تحول بنیادین در حوزه امنیت سایبری گفت: ما ناچاریم به سمت تحول بیشتر حرکت کنیم؛ نمی‌توان پذیرفت در جهانی که همه صنایع در حال دیجیتالی شدن هستند، ما بدون پیشرفت باقی بمانیم. دیگر تنها با سیستم‌های سایبری مواجه نیستیم، بلکه اثرات این سیستم‌ها به‌شدت وارد فضای فیزیکی نیز شده‌اند.

وی با ذکر مثال‌هایی هشدارآمیز ادامه داد: فرض کنید که سیستم IT یک بانک هک شود؛ در این صورت داده‌ها از بین می‌رود، اما اگر در یک زیرساخت حیاتی مانند شبکه برق یا سیستم حمل‌ونقل اتفاق مشابهی بیفتد، ممکن است یک بلک‌اوت (خاموشی گسترده) ایجاد شود و کل کشور را تحت تأثیر قرار دهد.

وی افزود: یا در حوزه سلامت، سیستم‌هایی داریم که حجم بالایی از داده‌های حیاتی مانند توزیع انسولین را مدیریت می‌کنند. اگر این سیستم‌ها دچار اختلال امنیتی شوند، آسیب آن می‌تواند جان انسان‌ها را تهدید کند. بنابراین، امنیت سایبری فقط یک دغدغه فنی نیست، بلکه یک نیاز حیاتی برای کشور است.

مدیرعامل زیرساخت در پایان گفت: برای پاسخ به این نیاز، باید همه ابعاد از جمله منابع انسانی، فرآیندها و سیاست‌گذاری‌ها مورد بازنگری قرار گیرد.