خبر
کرم رایانه ای « استاکس نت »
- خبر
- نمایش از چهارشنبه, 28 مهر 1389 13:34
- بازدید: 6652
برگرفته از کاربرد
مهندس یاسر شادمهر متخصص امنیت شبکه و سیستم های کنترل صنعتی
در 27 خرداد 1389 ٬ شرکت ویروس بلاک آدا[i] اعلام کرد که یک کرم رایانه ای به نام « استاکس نت »[ii] در سیستم یک کاربر ایرانی کشف شده که هدف اصلی آن حمله به سیستم های کنترل صنعتی است . این در حالی است که این کرم هوشمند رفتاری مشابه به کرمی دارد که یک سال قبل سیستم های رایانه ای را در سراسر دنیا مورد تهاجم قرار داده بود . کرم های Aurora و استاکس نت هر دو با به کارگیری حملاتzero-day اقدام به نصب برنامه های مخرب بر روی سیستم ها می کنند .
در اینجا لازم است به طور مختصری به شیوه کار و انتشار کرم رایانه ای استاکس نت بپردازیم . تفاوت اصلی میان ویروس با کرم های مخرب رایانه ای در نحوه ی انتشار آن ها می باشد . یک ویروس همیشه توسط یک کاربر انتشار می یابد . ولی کرم های رایانه ای توانایی انتشار خود در شبکه را دارا می باشند . در ضمن این که استاکس نت بسیار هوشمند تر از همنوعان خود عمل می کند . این کرم با به کارگیری چهار حفره ی امنیتی متفاوت در سیستم های شرکت ماکروسافت و به کمک USB Devices ٬ removable media و network shares به شبکه وارده شده و سپس اقدام به نصب دو Driver مخرب به نام شرکت های JMicron و Realtek می کند ( که هر دو توسط شرکت وری ساین[iii] تایید شده اند) . این کرم با رمز دار کردن کدهای خود ٬ نه تنها خود را از چشم کاربران و آنتی ویروس ها مخفی می کند ، بلکه به صورت پنهانی اقدامات خربکارانه ی خود را به راحتی انجام می دهد . یعنی این کرم پس از ورود به سیستم ٬ از روش های مخرب Rootkit و Trojan نیز بهره می گیرد . این کرم با توانایی های ویژه ی خود می تواند با نفوذ به Internet Explorer از دیواره ی آتش نیز عبور کند .
هدف اصلی استاکس نت سیستم های زیمنس اسکادا[iv] ، شامل محصولات Step7 PLC ٬ PCS 7 ٬ HMI های آن شرکت است که جهت کنترل مراکز بزرگ صنعتی ٬ پالایشگاه ها و نیروگاه ها به کار می رود . استاکس نت با بدست آوردن پیش فرض کلمه عبور این سیستم ها به آن ها نفوذ می کند و توانایی دزدیدن اطلاعات کنترل فرآیند و حتی مخفی کردن تغییرات از دید کاربر را نیز دارد . این کرم اطلاعات به دست آمده را برای سرور هایی می فرستد که هویت آنها دقیقا معلوم نیست و دستوراتی را نیز از آنها دریافت می کند .
نکته قابل توجه در مورد استاکس نت این است که چه کسی و یا چه کسانی سازندگان و مالکان اصلی آن هستند و اساسا چه نفعی از آن میبرند . با توجه به مطالب گفته شده ، در تولید چنین بد افزاری نه تنها باید توسط یک گروه خبره انجام گرفته باشد ، بلکه بی تردید چندین سازمان بزرگ و حتی کشورباید از آن پشتیبانی کرده باشند . در اثبات این نظریه هم اکنون سند و مدرک قطعی در دست نیست . ولی چندین نکته وجود دارد که این نظریه را تقویت میکنند .
اولین نکته این است که طراحی و نوشتن این بد افزار حداقل 36 هزار ساعت وقت برده است ، که این رقم به این معناست که کما بیش 20 نفر متخصص ، دست کم روزانه 10 ساعت و در مدت 6 ماه بر روی این پروژه کار کرده اند . با کمی تأ مل در مورد ویژگی های این کرم میتوان دریافت که این رقم دور از ذهن نیست . حال اگر دستمزد این افراد را تنها 20 هزار تومان در ساعت در نظر بگیریم ، این کرم هزینه ای 720 میلیون تومانی برای سفارش دهندگانش داشته است و مسلماّ باید چندین برابر این رقم سود آوری داشته باشد . حال اگر ژرف تر به این ارقام و اقدامات خرابکارانه این کرم بیاندیشیم به راحتی میتوانیم پی ببریم که هدف اصلی تولید این کرم فراتر از دزدیدن اطلاعات و تخریب کد های سیستم های زیمنس اسکادا است . نکته در این است که چرا این کرم با داشتن توانایی های وسیع در "هک" ، تمامی تمرکز خود را بر روی سیستم های کنترل صنعتی قرار داده است . این در حالی است که میتواند با به کار گیری مشخصه های خود در زمینه های دیگر، مثل اطلاعات کارت های اعتباری و شبکه های بانکی جهانی ، سود آوری بیشتری برای صاحبانش داشته باشد.
سؤال اینجاست که چرا زیمنس اسکادا هدف اصلی این حملات واقع شده و سیستم های دیگر در امان مانده اند . طبق آمار منتشر شده توسط سیمانتک ؛ نزدیک به 60 درصد از سیستم های آلوده به استاکس نت در ایران قرار دارند . این میزان سهم ایران از هجوم استاکس نت این فکر را به ذهن متبادر میکند که هدف اصلی این حملات ایران است . این نکته نه تنها نظریه حمایت برخی کشور ها از این پروژه را تقویت می کند ، بلکه زنگ خطری است برای شروع جنگ نرم افزاری که نتایج آن نه تنها در محیط مجازی بلکه در دنیای واقعی فاجعه بار خواهد بود .
در مورد پاکسازی این کرم ، شرکت ماکروسافت[v] بسته های امنیتی را عرضه کرده است که جلوی حفره های امنیتی که راه نفوذ این کرم است را می گیرد. حتی شرکت های سازنده آنتی ویروس و یا خود شرکت زیمنس اسکادا نیز نرم افزار ها و روش های متفاوتی را عرضه کرده اند . هم چنین می توان با مراجعه به مراکزی در شرکت فناوری اطلاعات در خصوص پاکسازی این کرم رایانه ای اقدام کرد . ولی آیا این پایان داستان استاکس نت است ؟ْ اگر اینچنین باشد این پایان سریع ، پایان غم انگیزی برای این کرم پر هزینه است . اما در غیر این صورت ، آغاز فاجعه برای سیستم های آلوده می باشد : یعنی شروع فعالیت دوم این کرم برای رسیدن به هدفی مهم تر .
در اینجا قصد مطرح کردن نظریه هایی بدون پشتوانه علمی را ندارم . ولی آنچه روشن است ، این است که داستان استاکس نت به پایان نرسیده است . آیا باید منتظر اقدامات بعدی این کرم ماند؟ یا باید اقدامات توصیه شده از جانب شرکت های مایکرو سافت ، زیمنس اسکادا و دیگران را به کار بست و با خیال راحت از پاک شدن سیستم ها از آلودگی سخن راند؟ یا باید و می توان با دید باز تری به ماجرا نگریست و به دنبال راه کار های اصولی تری گشت که منطبق با اهمیت بازوهای صنعتی و... کشور باشد . چراکه هرگونه اقدام بدون در نظر گرفتن احتمالات خطر آفرین بعدی ، می تواند خود تبدیل به نقاط پر خطرتر در سیستم های یاد شده شود .
آنچه نباید فراموش شود این است که نمی توان با جدا سازی این پیکره ها با اطمینان گفت که خطری متوجه شبکه و سیستم های ریانه ای نمی باشد . البته اقدامات پیش گیرانه ، نظیر دیواره های آتش و محکم کردن سامانه های امنیتی ، مسلماَ نقش مهمی در امنیت شبکه ها ایفا خواهد کرد . ولی چون این کرم از روش Rootkit و پنهان سازی توسط رمز نگاری داده های خود استفاده می کند نمی توان با قطعیت بیان کرد که با غیر فعال کردن سـِرورهای کنترلی و پاک کردن این کرم ازسیستم و بستن حفره های امنیتی برنامه ها ، جلوی تمامی فعالیت های این کرم گرفته می شود .
آنچه مأ یوس کننده است این موضوع است که طبق مطالب منتشر شده توسط زیمنس اسکادا در سایت رسمی این شرکت ، کاربران نمی توانند کلمه عبور سیستم های زیمنس اسکادا را تغییر دهند . پس هنوز احتمال این خطر وجود دارد که استاکس نت ویا یک بد افزار دیگر که شاید هم اکنون توسط استاکس نت تولید و در پیکره شبکه رخنه کرده است ، بتواند تغییرات دل خواهش را در سیستم بدهد . در واقع این خطر تنها با حذف کامل سیستم آلوده ( در اینجا زیمنس اسکادا ) قابل حل است . به طور کلی استفاده از نرم افزار هایی با امنیت پایین و تنظیمات ثابت می تواند بسیار پر خطر باشد .
نگهداری اطلاعات به خصوص تنظیمات امنیتی و ساختار آن به صورت درون سیستمی بهترین روش اطمینان از امنیت است . حال موضوع این است که با وجود تولید داخلی سیستم های کنترل فرآیندی و واسط های انسان- فر آیند[vi] (شامل نرم افزار ها و سخت افزار های کنترلی که با کیفیت مشابه نمونه های خارجی تولید می شود و امنیت آن قابل اطمینان است) ، آیا جایی برای استفاده از سیستم های خارجی می ماند ؟
در نتیجه جایگزینی سیستم های به روز داخلی ، به جای نمونه های خارجی ، به خصوص بدون پشتیبانی در جهت درون سیستمی نگه داشتن اطلاعات ، با رویکرد استفاده از تنظیمات امنیتی پویا و ساختارمند کردن رفتار های آن و استفاده از دیوارهای آتش و استحکام سامانه های امنیتی به خصوص درOPC Server ها وClient های آن ، می تواند راهکار مناسبی برای مقابله با استاکس نت و دیگر بد افزارهای متولد نشده بعدی باشد .
منابع :
Aleksandr Matrosov, Eugene Rodionov, David Harley, and Juraj Malcho. "Stuxnet under the microscope" Retrieved 24 September 2010.
Security W32.Stuxnet Dossier, an analysis of Stuxnet white paper, Symantec
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepap
ers/w32_stuxnet_dossier.pdf
Siemens Support about Stuxnet http://support.automation.siemens.com/WW/llisapi.dll?func=cslib.csinfo&lang=en&objid=43876783&caller=view
[i] VirusBlokAda
[ii] Stuxnet
[iii] VeriSign
[iv] Siemens Scada
[v] Microsoft
[vi] HMI-Scada