روند هک شش سازمان دولتی و خصوصی در شهریورماه بررسی شد; ترکش فیلترینگ بر امنیت اطلاعات
شهریورماه ۱۴۰۲، ماه هک و نشت اطلاعات سازمانهای دولتی و خصوصی بود. در این ماه، اپلیکیشن بهنما، اپلیکیشن هفهشتاد، ۱۸ شرکت بیمه، تپسی، سازمان ثبت احوال و وزارت علوم هک شدند و هکرها ادعا کردند که به اطلاعات کاربران این سازمانها دسترسی دارند. مسئولان در حالی که نشت اطلاعات را تکذیب کردند، تاکنون توضیحی درباره چگونگی دسترسی هکرها به اطلاعات، سرنوشت اطلاعات منتشرشده و اقدامات انجامشده برای ارتقای امنیت ارائه ندادهاند. به همین منظور، در این گزارش، ضمن مرور هکهای صورتگرفته در شهریورماه، گمانهزنیهای کارشناسان از نحوه دسترسی هکرها به اطلاعات تپسی، شرکتهای بیمه، وزارت علوم و سازمان ثبت احوال بررسی شده است.
همچنین، سعید سوزنگر، کارشناس امینت سایبری و محمدجواد نعناکار، حقوقدان درباره ابعاد فنی و حقوقی هکهای اخیر صحبت کردند. نعناکار در این گفتوگو ضمن تأکید بر وجود سازوکارهای حقوقی و قانونی برای پیگیری قضایی هکهای اخیر، از لزوم ورود دادستانی به هکهای شهریورماه و پیگیری حقوق شهروندان گفت. طبق گفته سوزنگر نیز، اکثر پروتکلهای ایمنسازی و رمزنگاری برای ارتباطات و اتصال به شبکه بهدلیل فیلترینگ دچار اختلال هستند و ایران بهدلیل ناامنی و پیچیدگی در شبکه، به کلکسیونی از ابزارهای خوشایند برای هکرها تبدیل شده است.
نرمافزار بهنما هک شده بود یا خیر؟
حمله سایبری به سازمانها موضوع جدیدی نیست و هکرها همواره در کمین اطلاعات شرکتهای دولتی و خصوصی هستند، اما از سال گذشته میزان حملات سایبری به سازمانهای ایرانی، بهخصوص دولتیها زیاد شده است. این حملات در سال جاری با خبر نفوذ یک گروه هکری به نرمافزار ایرانی «شناسایی و تشخیص چهره» شروع شد. در هفتم شهریورماه، گروه هکری «گوستسِک» اعلام کرد که یک نرمافزار ایرانی «ناقض حریم خصوصی» را که در زمینه نظارت و رصد به کار میرود و قابلیتهایی مانند «تشخیص چهره» و «حسگر حرکتی» دارد، هک کرده و به اطلاعات آن دست یافته است.
طبق اعلام این گروه هکری، این نرمافزار متعلق به شرکت فناپ است و به ۲۰ گیگ اطلاعات نرمافزار «بهنما» دسترسی پیدا کرده که این اطلاعات، شامل کدهای منبع مربوط به سیستمهای تشخیص چهره و حسگرهای حرکتی است. در پی این اتفاق، شرکت فناپ در بیانیهای ضمن تکذیب هک نرمافزار بهنما اعلام کرد: «صرفاً بخشی از اطلاعات لاگهای نرمافزار و فایلهای داکر با اتصال به اینترنت برای مدتی در دسترس قرار گرفته است. این اطلاعات بسیار کماهمیت و حاوی مشخصات عمومی نرمافزار بوده و اطلاعاتی از کاربران این محصول در این فایلها وجود نداشته است.»
این شرکت همچنین، استفاده از نرمافزار تشخیص هویت شهروندان را رد کرد و گفت: «این نرمافزار، فقط توانایی شناخت چهرههایی را دارد که از قبل با حضور و رضایت شخص، به دستگاه معرفی شده باشد؛ بنابراین این سیستمها اصلاً امکان شناسایی چهرههای دیگر را ندارند.»
ماجرای هک اپلیکیشن هفهشتاد
در ادامه، خبر هک اپلیکیشن پرداختی «هفهشتاد» در نهم شهریورماه منتشر شد. ماجرا از این قرار بود که کاربران هفهشتاد حوالی ساعت ۹ شب، با پیغام غیرمعمولی از این اپلیکیشن مواجه شدند و این پیام مکرر برای آنها ارسال شد تا جایی که این موضوع در فضای مجازی فراگیر شد. بررسیها از پشتیبانی هفهشتاد در آن زمان نشان داد که سیستم اطلاعرسانی اپلیکیشن هفهشتاد مورد حمله سایبری قرار گرفته است. همچنین این اپلیکیشن در بیانیهای با عذرخواهی از کاربران، اعلام کرد که «ایجاد اختلال در سیستم اطلاعرسانی را از مراجع قضایی پیگیری خواهد کرد».
با گذشت یک ماه از هک این اپلیکیشن پرداختی، تاکنون خبری از چگونگی دسترسی هکرها به سیستم اطلاعرسانی و نتیجه پیگیری قضایی منتشر نشده است. همچنین اطمینان خاطری از سمت هفهشتاد مبنی بر اقدامات انجامشده برای ارتقای امنیت به کاربران داده نشده است.
سرنوشت اطلاعات هکشده از تپسی چه شد؟
پس از هفهشتاد، میلاد منشیپور، مدیرعامل تپسی از هکشدن زیرساخت این اپلیکیشن در یازدهم شهریورماه خبر داد. این هک، به نشت و درز اطلاعات بیش از ۲۷ میلیون مسافر و شش میلیون راننده منجر شد و هکرها برای منتشرنکردن این اطلاعات، پیشنهاد پرداخت ۳۵ هزار دلار از تپسی کردند.
در نهایت، معاون اجتماعی پلیس فتا در واکنش به این موضوع، از برطرفشدن منبع آلودگی ناشی از حمله سایبری یک گروه هکری سخن گفت و به کاربران این اپلیکیشن اطمینان خاطر داد که نگرانیای بابت استفاده از آن وجود ندارد. حالا، با گذشت بیش از یک ماه، هنوز توضیحی درباره نحوه دسترسی به زیرساخت تپسی، سرنوشت اطلاعات منتشرشده از این اپلیکیشن و اقدامات انجامشده برای ارتقای امنیت تپسی منتشر نشده است.
این در حالی است که تپسی در سال ۱۳۹۸ نیز مورد حمله سایری قرار گرفته و محمدجواد آذری جهرمی، وزیر ارتباطات وقت، آسیبپذیری تپسی در نگهداری از اطلاعات رانندگان را تأیید کرده بود.
ابهامات هک اطلاعات شرکتهای بیمه
یک روز پس از هک تپسی، همان گروه هکری از دسترسی به اطلاعات مشتریان ۱۸ شرکت فعال بیمه خبر داد و اعلام کرد که ۱۱۵ میلیون رکورد اطلاعاتی را در اختیار دارد و میخواهد آنها را بفروشد. گفتههای زیادی مبنی بر چگونگی دسترسی به اطلاعات شرکتهای بیمه مطرح شد، اما یکی از پرتکرارترین مورد در این زمینه این بود که شرکتهای بیمه برای ایجاد ساختار بانک اطلاعاتی و دیتاسنتر خود به پشتیبان فنی نیاز دارند و شرکت فناوران اطلاعات خبره، این پشتیبانی فنی را برای شرکتهای بیمه انجام میدهد.
از آنجا که شرکتهای بیمه هکشده، در بین شرکتهای طرف قرارداد شرکت فناوران اطلاعات خبره قرار داشتند، گفته شد که هک اطلاعات از طریق این شرکت انجام شده است. در پی این اتفاق، نه شرکتهای بیمه و نه شرکت فناوران اطلاعات خبره موضعگیری رسمی نداشتهاند.
البته بیمه مرکزی در بیانیهای به این موضوع واکنش نشان داد. این نهاد ناظر، هرگونه «هکشدن» یا «افشای» اطلاعات را رد و اعلام کرد که «هشدارهای لازم امنیتی که از مدتها قبل به برخی شرکتهای بیمه در انتخاب پیمانکار و استانداردهای امنیتی که باید داشته باشد، داده شده بود.»
علاوه بر این، مجید مشعلچی فیروزآبادی، قائممقام بیمه مرکزی نیز اطمینان داد که «اطلاعات بهسرقترفته از بیمهگزاران، نمیتواند مورد سوءاستفاده قرار بگیرد.» چون از نظر او «این ماجرا به یک ماه پیش مربوط بود و اکنون تمام شده است.»
واکنشها به هک اطلاعات شرکتهای بیمه فقط به اظهارنظر مسئولان منتهی نشد؛ بلکه چند روز پس از این اتفاق، رئیسکل بیمه مرکزی تغییر کرد و علی استاد هاشمی جانشین او شد. البته بیمه مرکزی در آن زمان اعلام کرد که تغییر رئیس بیمه مرکزی ارتباطی به هک اطلاعات شرکتهای بیمه ندارد.
حالا با گذشت تقریباً یک ماه از آن اتفاق، پیگیریها از شرکتهای بیمه و فناوران اطلاعات خبره بینتیجه مانده و برخی منابع آگاه اعلام میکنند که پلیس فتا در حال بررسی حملات سایبری اخیر به سازمانهای دولتی و خصوصی است و تا زمان انتشار گزارش پلیس فتا در این زمینه، بهدلیل موضوعات امنیتی سکوت خواهند کرد. به همین منظور، از پلیس فتا اقدامات انجامشده برای حملات سایبری اخیر را پیگیری کردیم که این نهاد نیز اظهارنظری در این زمینه نداشت.
هک ثبت احوال و وزارت علوم و سکوت مسئولان
حملات سایبری فقط به تپسی، هفهشتاد و شرکتهای بیمه محدود نشد. در روزهای پایانی شهریورماه، یک گروه هکری، هک اطلاعات سازمان ثبت احوال و دسترسی به اطلاعات ۱۳۰ میلیون ایرانی را اعلام کرد. در حالی که این سازمان، هک سایت خود را رد کرد، اما سایت سازمان ثبت احوال برای مدتی از دسترس خارج و پس از آن نیز بهصورت ماکت در دسترس قرار گرفت و آیکونی از آن فعال نبود.
کارشناسان، حمله سایبری به ثبت احوال را از نوع Poison Attack یا حمله سایبری میدانند که این حمله، احتمال تغییر اطلاعات را نیز فراهم میکند. به همین دلیل، نگرانیها بابت اختلال در احراز هویت شهروندان برای دریافت انواع خدمات همچون خدمات بانکی بیشتر شد و تاکنون مسئولی، اطمینان خاطری از این بابت به شهروندان نداده است.
سلسلهحملات سایبری در شهریورماه به پایان نرسید و در ادامه در اولین روز مهر در آستانه بازگشایی مدارس و دانشگاهها، سایت وزارت علوم و فناوری هک و از دسترس خارج شد. در این حمله نیز هکرها به اطلاعات ۵۰۰ سرور، کامپیوتر، سایت و سامانه و ۲۰ هزار سند دسترسی پیدا و اطلاعاتی درباره کارکنان این وزارتخانه منتشر کردند.
سکوت و انکار مسئولان برای هک سایت وزارت علوم هم تکرار شد و این بار نیز توضیحی درباره چگونگی دسترسی به اطلاعات و تکلیف اطلاعات منتشرشده داده نشد.
هکرها چگونه به اطلاعات سازمانهای دولتی و خصوصی رسیدند؟
در شرایطی که در یک ماه، تقریباً پنج سازمان دولتی و خصوصی با حمله سایبری مواجه شدند و صحبتهایی از انتشار میلیونها اطلاعات از کاربران آنها منتشر شد، مسئولان مربوطه تاکنون تکذیب یا سکوت را به جای پاسخگویی انتخاب کردهاند، اما کارشناسان سناریوهای مختلفی برای دسترسی هکرها به اطلاعات مطرح میکنند.
یکی از مواردی که در این زمینه مطرح میشود، احتمال وجود نیروی نفوذی در سازمانهاست و اینکه عملاً هکی انجام نشده است. ادعای کارشناسان در این زمینه این است که فیلترشکنها ابزارهایی برای عبور از انواع لایههای دفاعی شبکهها برای دسترسی به محیطهای ممنوع هستند.
همچنین به اعتقاد کارشناسان، ضعف امنیتی اطلاعات در صنعت بیمه و بانک چالشآفرین است؛ زیرا افراد زیادی بهراحتی به اطلاعات خام در صنعت بانکی دسترسی دارند و این موارد باعث شده تا دسترسی هکرها به اطلاعات سازمان راحت شود.
محمدجواد آذری جهرمی، وزیر سابق ارتباطات نیز در اینباره نوشت: «اگرچه زیرساختهای سایبری و امنیت اطلاعات آنچنان که باید جدی گرفته نشدهاند یا سیاستگذاری در این حوزه قربانی موازیکاریهای نادرست شده، اما نکته مهم و مغفول در همه این حملات سایبری، نقش عامل انسانی است. او تأکید میکند: «بدون همکاری عامل انسانی عملاً این درزهای اطلاعاتی امکانپذیر نیست.»
سعید سوزنگر، کارشناس امنیت سایبری در گفتوگو با عصر تراکنش دلیل تداوم هکها در شهریورماه را ضعف در زیرساخت، نرمافزار و سختافزار میداند و در این زمینه توضیح میدهد: «در حال حاضر، ایران بهدلیل ناامنی و پیچیدگی در شبکه، به کلکسیونی از ابزارهای خوشایند برای هکرها تبدیل شده است. ناامنی شبکه در ایران به استفاده از فیلترشکن، عدم دسترسی به ابزارهای جهانی متأثر از تحریم و خودتحریمی برمیگردد.»
او در ادامه با بیان اینکه اکثر پروتکلهای ایمنسازی و رمزنگاری برای ارتباطات و اتصال به شبکه بهدلیل فیلترینگ دچار اختلال هستند، میگوید: «بسیاری از سازمانهای ارائهدهنده زیرساختها نیز ابزارهای لازم برای اتصال به شبکه را غیرفعال کردهاند که همه این موارد باعث میشود شبکه ناامنتر از قبل شود.»
سوزنگر، امنیت سایبری در ایران را ساختمانی مخروبه توصیف میکند و با انتقاد از پاسخگو نبودن سازمانها درباره هک تصریح میکند: «پیچیدگی فیلترینگ، گارد شرکتها را پایین آورده و باعث شده تا پروتکلهای امنیتی را غیرفعال کنند. دلیل این موضوع به این برمیگردد که اگر رمزنگاری در زمان اتصال به دیتاسنتر، مقداری پیچیده باشد، اتصالی صورت نمیگیرد که همین موضوع باعث شده دیتا را بهصورت ساده و رمزنگارینشده، ارسال کنند.»
محمدجواد نعناکار، حقوقدان نیز به بررسی ابعاد حقوقی هکهای اخیر پرداخت و در اینباره اینطور توضیح میدهد: «از زمان انتشار پایگاههای حیاتی اطلاعاتی توسط شورای عالی فضای مجازی، شاهد هکهای دقیقی هستیم. قانونی که درباره مسائل مرتبط با حمله سایبری صحبت کرده، قانون تجارت الکترونیکی است. طبق ماده ۶۵ این قانون، باید از تمامی اسناد تجارت الکترونیکی صیانت شود.»
لزوم ورود دادستانی به هکهای شهریورماه
همچنین طبق گفته این حقوقدان، بر اساس ماده ۷۸ قانون تجارت الکترونیکی، هرگاه در بستر مبادلات الکترونیک در اثر نقص یا ضعف سیستم مؤسسات خصوصی و دولتی، بهجز در نتیجه قطع فیزیکی ارتباط الکترونیکی، خسارتی به اشخاص وارد شود، این مؤسسات مسئول جبران خسارت واردشده هستند.
به اعتقاد نعناکار، زمانی که ابعاد هک گسترده باشد و میلیونها اطلاعات منتشر شده باشد، باید مدعیالعموم یعنی دادستانی به این قضیه ورود و در صورت خسارت، مطالبه جبران خسارت کند. البته اشخاص حقیقی و حقوقی هم میتوانند شخصاً اقامه دعوی کنند.
او در بخش دیگری از صحبتهای خود با بیان اینکه شهروندان از حقوق خود اطلاع ندارند و باید در زمان هک شرکتهای بیمه و ثبت احوال دادستانی به این قضیه ورود میکرد، تأکید میکند: «تمامی سازوکارهای حقوقی و قانونی برای پیگیری قضایی هکهای اخیر وجود دارد.»
نوع حمله سایبری هکرها نیز از سوی کارشناسان، حمله سمی شناسایی شده که در Poison Attack نرخ آسیبها از لحظه اعلام هک شروع به افزایش میکند و علاوه بر اینکه دیتاها دزدیده میشود، امکان حذف و تغییر نیز وجود دارد. همین موضوع، نگرانیها نسبت به امنیت اطلاعات را بیشتر از قبل کرده و انتشار اخبار غیررسمی از تداوم حملات سایبری به سازمانها و تضعیف لایههای امنیتی نیز این نگرانی را تأیید میکند. در این شرایط، لازم است مسئولان سازمانها ضمن اطمینان خاطر به کاربران و مشتریان خود نسبت به حفظ و ارتقای امنیت اطلاعات اقدام کرده و به فکر چاره برای مقابله با حملات سایبری باشند.