پنج شنبه, 01ام آذر

شما اینجا هستید: رویه نخست خانه تازه‌ها خبر کرم رایانه ای « استاکس نت »

کرم رایانه ای « استاکس نت »

برگرفته از کاربرد

مهندس یاسر شادمهر متخصص امنیت شبکه و سیستم های کنترل صنعتی

 در 27 خرداد 1389 ٬ شرکت  ویروس بلاک آدا[i]  اعلام  کرد که یک کرم رایانه ای به نام « استاکس نت »[ii]  در سیستم یک کاربر ایرانی کشف شده که هدف اصلی آن حمله به سیستم های کنترل صنعتی است .  این در حالی است که این کرم هوشمند رفتاری مشابه به کرمی دارد که یک سال قبل سیستم های رایانه ای را در سراسر دنیا مورد تهاجم قرار داده بود .  کرم های  Aurora  و استاکس نت  هر دو با به کارگیری حملاتzero-day  اقدام به نصب برنامه های مخرب بر روی سیستم ها می کنند .

 در اینجا لازم است به طور مختصری به شیوه کار و انتشار کرم رایانه ای استاکس نت  بپردازیم . تفاوت اصلی میان ویروس با کرم های مخرب رایانه ای در نحوه ی انتشار آن ها می باشد . یک ویروس همیشه  توسط یک کاربر انتشار می یابد .  ولی کرم های رایانه ای توانایی انتشار خود در شبکه را دارا می باشند . در ضمن این که استاکس نت  بسیار هوشمند تر از همنوعان خود عمل می کند . این کرم با به کارگیری چهار حفره ی امنیتی متفاوت در سیستم های   شرکت ماکروسافت و به کمک USB Devices  ٬   removable media  و network shares  به شبکه وارده شده و سپس اقدام به نصب دو Driver  مخرب به نام شرکت های  JMicron  و Realtek  می کند  ( که هر دو توسط شرکت وری ساین[iii]  تایید شده اند) .  این کرم با رمز دار کردن کدهای خود ٬ نه تنها خود را از چشم کاربران و آنتی ویروس ها مخفی می کند ، بلکه به صورت پنهانی اقدامات خربکارانه ی خود را به راحتی انجام می دهد .  یعنی این کرم پس از ورود به سیستم ٬ از روش های مخرب Rootkit  و Trojan  نیز بهره می گیرد . این کرم با توانایی های ویژه ی خود می تواند با نفوذ به Internet Explorer  از دیواره ی آتش نیز عبور کند .

 

 هدف اصلی استاکس نت  سیستم های زیمنس اسکادا[iv] ، شامل محصولات Step7 PLC  ٬ PCS 7  ٬ HMI  های آن شرکت است که جهت کنترل مراکز بزرگ صنعتی ٬ پالایشگاه ها و نیروگاه ها به کار می رود . استاکس نت با بدست آوردن پیش فرض کلمه عبور این سیستم ها به آن ها نفوذ می کند و توانایی دزدیدن اطلاعات کنترل فرآیند و حتی مخفی کردن تغییرات از دید کاربر را نیز دارد . این کرم اطلاعات به دست آمده را برای سرور هایی می فرستد که هویت آنها دقیقا معلوم نیست و دستوراتی را نیز از آنها دریافت می کند .

 

 

 

نکته قابل توجه در مورد استاکس نت این است که چه کسی و یا چه کسانی سازندگان و مالکان اصلی آن هستند و اساسا چه نفعی از آن میبرند . با توجه به مطالب گفته شده ، در تولید چنین بد افزاری نه تنها  باید توسط یک گروه خبره انجام گرفته باشد ، بلکه بی تردید چندین سازمان بزرگ و حتی کشورباید از آن پشتیبانی کرده باشند .  در اثبات این نظریه هم اکنون سند و مدرک قطعی در دست نیست .  ولی چندین نکته وجود دارد که این نظریه را تقویت میکنند .

 

 

 

اولین نکته این است که طراحی و نوشتن این بد افزار حداقل 36 هزار ساعت وقت برده است ، که این رقم به این معناست که کما بیش  20 نفر متخصص ، دست کم روزانه 10 ساعت و در مدت 6 ماه بر روی این ‍پروژه کار کرده اند . با کمی تأ مل در مورد ویژگی های این کرم میتوان دریافت که این رقم دور از ذهن نیست . حال اگر دستمزد این افراد را تنها 20 هزار تومان در ساعت در نظر بگیریم ، این کرم هزینه ای 720 میلیون تومانی برای سفارش دهندگانش داشته است و مسلماّ باید چندین برابر این رقم سود آوری داشته باشد . حال اگر ژرف تر به این ارقام و اقدامات خرابکارانه این کرم بیاندیشیم به راحتی میتوانیم پی ببریم که هدف اصلی تولید این کرم فراتر از دزدیدن اطلاعات و تخریب کد های سیستم های زیمنس اسکادا است .  نکته در این است که چرا این کرم با داشتن توانایی های وسیع در "هک" ، تمامی تمرکز خود را بر روی سیستم های کنترل صنعتی قرار داده است .  این در حالی است که میتواند با به کار گیری مشخصه های خود در زمینه های دیگر، مثل اطلاعات کارت های اعتباری و شبکه های بانکی جهانی  ، سود آوری بیشتری برای صاحبانش داشته باشد.

  

سؤال اینجاست که چرا زیمنس اسکادا هدف اصلی این حملات واقع شده و سیستم های دیگر در امان مانده اند . طبق آمار منتشر شده توسط سیمانتک ؛ نزدیک به 60 درصد از سیستم های آلوده به استاکس نت در ایران قرار دارند . این میزان سهم ایران از هجوم استاکس نت  این فکر را به ذهن متبادر میکند که هدف اصلی این حملات ایران است . این نکته نه تنها نظریه حمایت برخی کشور ها از این پروژه را تقویت می کند ، بلکه زنگ خطری است برای شروع جنگ نرم افزاری که نتایج آن نه تنها در محیط مجازی بلکه در دنیای واقعی فاجعه بار خواهد بود .  

  

در مورد پاکسازی این کرم ، شرکت ماکروسافت[v]  بسته های امنیتی را عرضه کرده است که جلوی حفره های امنیتی که راه نفوذ این کرم است را می گیرد. حتی شرکت های سازنده آنتی ویروس و یا خود شرکت زیمنس اسکادا نیز نرم افزار ها و روش های متفاوتی را عرضه کرده اند . هم چنین می توان با مراجعه به مراکزی در شرکت فناوری اطلاعات در خصوص پاکسازی این کرم رایانه ای اقدام کرد . ولی آیا این پایان داستان استاکس نت  است ؟ْ  اگر اینچنین باشد این پایان سریع ، پایان غم انگیزی برای این کرم پر هزینه است . اما در غیر این صورت ، آغاز فاجعه برای سیستم های آلوده می باشد : یعنی  شروع فعالیت دوم این کرم برای رسیدن به هدفی مهم تر .

 

 

 

در اینجا قصد مطرح کردن نظریه هایی بدون پشتوانه علمی را ندارم . ولی آنچه روشن است ، این است که داستان استاکس نت  به پایان نرسیده است . آیا باید منتظر اقدامات بعدی این کرم ماند؟  یا باید اقدامات توصیه شده از جانب شرکت های مایکرو سافت ، زیمنس اسکادا و دیگران را به کار بست و با خیال راحت از پاک شدن سیستم ها از آلودگی سخن راند؟ یا باید و می توان با دید باز تری به ماجرا نگریست و به دنبال راه کار های اصولی تری گشت که منطبق با اهمیت بازوهای صنعتی و... کشور باشد . چراکه هرگونه اقدام بدون در نظر گرفتن احتمالات خطر آفرین  بعدی ، می تواند خود تبدیل به نقاط پر خطرتر در سیستم های یاد شده شود .

 

 

 

آنچه نباید فراموش شود این است که نمی توان با جدا سازی این پیکره ها با اطمینان گفت که خطری متوجه شبکه و سیستم های ریانه ای نمی باشد . البته اقدامات پیش گیرانه  ، نظیر دیواره های آتش و محکم کردن سامانه های امنیتی ، مسلماَ نقش مهمی در امنیت شبکه ها ایفا خواهد کرد . ولی چون این کرم از روش Rootkit  و پنهان سازی توسط رمز نگاری داده های خود استفاده می کند نمی توان با قطعیت بیان کرد که با غیر فعال کردن سـِرورهای کنترلی و پاک کردن این کرم ازسیستم و بستن حفره های امنیتی برنامه ها ، جلوی تمامی فعالیت های این کرم گرفته می شود .

 

آنچه مأ یوس کننده است این موضوع است که طبق مطالب منتشر شده توسط زیمنس اسکادا در سایت رسمی این شرکت ، کاربران نمی توانند کلمه عبور سیستم های زیمنس اسکادا را تغییر دهند . پس هنوز احتمال این خطر وجود دارد که استاکس نت  ویا یک بد افزار دیگر که شاید هم اکنون توسط استاکس نت تولید و در پیکره شبکه رخنه کرده است  ، بتواند تغییرات دل خواهش را در سیستم بدهد .  در واقع این خطر تنها با حذف کامل سیستم آلوده ( در اینجا زیمنس اسکادا ) قابل حل است .  به طور کلی استفاده از نرم افزار هایی با امنیت پایین و تنظیمات ثابت می تواند بسیار پر خطر باشد .

 

نگهداری اطلاعات به خصوص تنظیمات امنیتی و ساختار آن به صورت درون سیستمی بهترین روش اطمینان از امنیت است . حال موضوع این است که با وجود تولید داخلی سیستم های کنترل فرآیندی و واسط های انسان- فر آیند[vi] (شامل نرم افزار ها و سخت افزار های کنترلی که با کیفیت مشابه نمونه های خارجی تولید می شود و امنیت آن قابل اطمینان است) ، آیا جایی برای استفاده از سیستم های خارجی می ماند ؟

 

در نتیجه جایگزینی سیستم های به روز داخلی  ، به جای نمونه های خارجی ، به خصوص بدون پشتیبانی در جهت درون سیستمی نگه داشتن اطلاعات ، با رویکرد استفاده از تنظیمات امنیتی پویا و ساختارمند کردن رفتار های آن و استفاده از دیوارهای آتش و استحکام سامانه های امنیتی به خصوص درOPC Server ها وClient های آن ، می تواند راهکار مناسبی برای مقابله با استاکس نت  و دیگر بد افزارهای  متولد نشده بعدی باشد .

  

منابع :

Aleksandr Matrosov, Eugene Rodionov, David Harley, and Juraj Malcho. "Stuxnet under the microscope"  Retrieved 24 September 2010.

Security W32.Stuxnet Dossier, an analysis of Stuxnet white paper, Symantec

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepap
ers/w32_stuxnet_dossier.pdf

Siemens Support about Stuxnet http://support.automation.siemens.com/WW/llisapi.dll?func=cslib.csinfo&lang=en&objid=43876783&caller=view

[i] VirusBlokAda

[ii] Stuxnet

[iii] VeriSign

[iv] Siemens Scada


[v] Microsoft


[vi] HMI-Scada

نوشتن دیدگاه


تصویر امنیتی
تصویر امنیتی جدید