حافظههاي فلش در حال آلوده کردن رايانههاي کل کشور هستند/گسترش ويروس مرگبار
سلام
احساس كردم خبر مهميه به خاطر همين تو صفحه اصلي گزاشتم تا بيشتر ديده بشه و احتياط هاي لازم انجام بشه
--------------------------------------------
انتشار سريع ويروسي رايانهاي موسوم به RootKit.T mpHider موجبات نگراني جدي تحليلگران امنيتي در کشور را فراهم آورده است.
به گزارش عصر ارتباط، طي هفتههاي اخير اخبار متعددي در فضاي مجازي از سوي کاربران که مبني بر افزايش خطاهايي مانند Script Error و حتي در برخي موارد ظاهرشدن صفحه آبي و خاموششدن ناگهاني دستگاهها به گوش ميرسيد. گمانهزنيها ورود يک ويروس جديد به ايران که ظاهرا با هيچ يک از آنتيويروسهاي متعارف نيز قابل شناسايي نيست را افزايش داد؛ تمرکز اين شکايتها در وبلاگها و اجتماعات مجازي فارسيزبان نيز اين احتمال را به وجود آورد که ويروس ياد شده يا در ايران طراحيشده يا دستکم هنوز هيچ منبع جهاني موفق به شناسايي آن نشده است.
نشانههاي عجيب
ردگيري مجموعه اين اخبار پراکنده در نهايت نگاهها را متــوجه انجمن ايـنتـــرنتي گريــنوي بـــا آدرس greenway.ir کرد که در يکي از نوشتههاي اخير خود خبر از وجود يک فايل عجيب در فهرست فايلهاي سيستم داده و نوشته است: «طي روزهاي اخير گزارشهاي زيادي از كار نكردن برنامهها توسط توليدكنندگان نرمافزار و همچنين كاربرها داشتيم. خطاهاي اجرايي مانند Script Error يا عدم نمايش فيلم برنامهها از حدود يك ماه پيش افزايش يافته و به نقطه بحراني رسيده است. همچنين در اين مدت توسط برخي از كاربران نيز مورد لطف قرار گرفتهايم كه نتيجه همه اين مشكلات با بررسي دو سيستم كه داراي رفتارهاي عجيب بودهاند وجود يك Rootkit جديد تشخيص داده شد. براي رفع مشكل در سيستمها حتما توجه كنيد كه فايل MRxNet.sys از زير فهرست system32drivers سيستم شما حذف شود.
اين انجمن فني در نوشته ياد شده از ويژگيهاي منحصر به فرد اين فايل رفتار اين فايل ابراز شگفتي کرده و نوشته است: «اين فايل بسيار عجيب است، اولا روالهاي اين درايور به درستي نوشته نشده و در نتيجه اجازه نصب درايور بعدي در زنجيره را نميدهد. ثانيا فايلهاي مشابه، داراي امضا نيستند ولي اين فايل داراي امضاي ديجيتال است و ثالثا، با اين كه در قسمت مشخصات فايل، نام مايكروسافت آورده شده، اما امضا كننده فايل Realtek است.
در پايان اين نوشته وعده مکاتبه با شركتهاي امنيتي متخصص در زمينه ويروسها داده شده تا منشا مشكل به طور قطع يافت و نمونه فايل به بانك اطلاعاتي ويروسكشهاي معروف اضافه شود. وعدهاي که در نهايت ما را به سايت ويروسکش تازهوارد VBA32 رساند.
ويروس پولساز
ويروسکش جوان و تقريبا گمنام VirusBlokAda که بيشتر با نام تجاري VBA32 شناخته شده اصالتا يک ويروسکش متعلق به بلاروس يا همان روسيه سفيد است که در چند سال اخير اندک اندک جاي پايي هم در بازار نرمافزاري ايران براي خود باز کرده است.
سايت ايراني اين ويروسکش با آدرس vba32-ir.com اولين سايتي است که به خبر انتشار RootKit.T mpHider واکنش نشان داد. در بخش اخبار اين سايت ويروس mpHider ويروس خطرناک خوانده شده و آمده است: «اين ويروس که از طريق حافظههاي فلش منتشر شده و روي سيستمهاي کاربران ايراني نيز ديده شده، به محض باز کردن حافظه فلش روي سيستم مينشيند و يک فايل با پسوند SYS توليد و در پوشه System32\Drivers ويندوز کپي ميکند.»
در اين سايت ادعا شده mpHider براي اولين بار توسط نرمافزارهاي شرکت امنيتي VirusBlockAda کشف و رديابي شده است و ميتواند مشکلات مهمي مانند ايجاد خطاي Blue Page و Reset شدن سيستمها را روي کامپيوترهاي آلوده شده به وجود بياورد. از کار انداختن قفلهاي نرمافزاري روي ديسکهاي نوري از ديگر اثرات آلوده شدن سيستمهاي کامپيوتري به اين روتکيت هستند. در اين صورت کاربراني که از اين نرمافزارها استفاده ميکنند يا توليدکنندگاني که روي محصولات خود اين نرمافزار را استفاده کردهاند، دچار مشکل خواهند شد.
به گزارش اين سايت اين ويروس داراي امضاي Realtek است. در نتيجه در صورتي که اين شرکت نتواند براي مقابله با آن اقدامي کند، از کار افتادن سختافزارهاي اين شرکت روي سيستمها از ديگر عواقب انتشار و توزيع اين ويروس جديد خواهد بود.
RealTek همان غول صنايع نيمههادي تايوانيهاست که کارتهاي صدايش بسيار در ايران شناخته شده هستند ولي محصولاتش طيف گستردهاي از تلويزيونهاي ديجيتالي تا تجهيزات شبکه را شامل ميشود.
ناگفته نماند VBA32 نهايت استفاده را هم از اين ويروس مرگبار و تازهوارد کرده و در همين سايت لينک شناسايي و پاکسازي اين ويروس هم ارايه شده است.
گسترش سريع
تماس با عباس گنجخاني که لابراتوارش در شرکت بازيابي طلايي ژرف اولين گزارشها درباره اين ويروس جديد را منتشر کرده، جزييات بيشتري از ابعاد جديد اين آلودگي را به دست ميدهد.
مديرعامل ژرف با اشاره به اين که لزوما پاک کردن فايل MRxNet.sys مشکلات کاربران با mpHider را حل نخواهد کرد، گفت: «اين فايل RootKit فقط ساخته ميشود تا مانع ديدهشدن ويروس اصلي شود و استفاده از آنتي ويروس در چنين شرايطي کاملا ضروري است. چون آنتيويروس علاوه بر حذف روتکيت ياد شده رجيستري را هم اصلاح ميکند که با توجه به تغييراتي که mpHider در قسمت SERVICES رجيستري ويندوز انجام ميدهد اصلاح اين بخش هم ضروري است.»
او با اشاره به مکاتبات صورت گرفته ميان VBA32 و Realtek گفت: «بدون شک اين ويروس خاص به ويژه با توجه به داشتن امضاي شرکت RealTek در لابراتوارهاي ويروسشناسي سراسر جهان در حال بحث است ولي احتمال آن که اين ويروس در واقع بر اثر يک کارکرد نادرست يکي از راهاندازهاي Realtek به وجود آمده باشد بسيار اندک است. چون اين تغييرات پس از فعال شدن ويروس اعمال ميشود.»
به گفته گنجخاني تا کنون دستکم 30 درصد رايانههاي آمارگيري شده توسط لابراتوار شرکت ژرف داراي اين ويروس بودهاند و با توجه به اين نکته که اين ويروس از طريق حافظههاي فلش منتقل ميشود و استفاده از اين حافظهها در ايران بسيار رايج است احتمال گستردهتر شدن ابعاد آلودگي هم ميرود.
او ضمن اشاره به اين نکته که حتي نمونههايي از اين آلودگي در رايانهها و حتي سرورهاي بانکهاي معتبر کشور هم يافت شده است، هشدار داد: «چون سرورها معمولا قابليت اتصال به حافظههاي فلش را ندارند وجود mpHider روي اين دستگاهها احتمال تکثير آن از طريق شبکه را بالاتر برده است. در واقع خطر واقعي هنگامي بروز ميکند که مشخص بشود اين ويروس يا نسخههاي جديدتر آن علاوه بر حافظههاي فلش امکان انتقال از طريق شبکه را هم دارد که در اين صورت سرعت گسترش و خسارات وارده توسط mpHider وارد فاز بسيار جديتري خواهد شد.»
انتشار ويروسی خطرناک به نام Rootkit.T mpHider
انتشار ويروسی خطرناک به نام Rootkit.TmpHider
آزمايشگاه آنتيويروس VBA32خبر از انتشار يک روتکيت جديد و خطرناک به نام RootKit.T mpHider بر روي سيستمهاي کامپيوتري داد. اين ويروس که از طريق حافظههاي فلش منتشر شده و روي سيستمهاي کاربران ايراني نيز ديده شده، به محض باز کردن حافظه فلش روي سيستم مينشيند و يک فايل با پسوند SYS توليد و در پوشه System32\Drivers ويندوز کپي ميکند.
اين ويروس که براي اولين بار توسط نرمافزارهاي شرکت امنيتي VirusBlockAda کشف و رديابي شده است، ميتواند مشکلات مهمي مانند ايجاد خطاي Blue Pageو Reset شدن سیستم ها را بر روی کامپیوترهای آلوده شده بوجود بیاورد.
از کار انداختن قفلهاي نرمافزاري روي ديسکهاي نوري از ديگر اثرات آلوده شدن سيستمهاي کامپيوتري به اين روتکيت هستند. در اين صورت کاربراني که از اين نرمافزارها استفاده ميکنند يا توليدکنندگاني که روي محصولات خود اين نرمافزار را استفاده کردهاند، دچار مشکل خواهند شد.
به گزارش آزمايشگاه آنتيويروس VBA32 در ايران، اين ويروس داراي امضاي Realtek است. اگر اين موضوع صحت داشته باشد و اين شرکت نتواند براي مقابله با آن اقدامي نمايد، از کار افتادن سختافزارهاي اين شرکت روي سيستمها از ديگر عواقب انتشار و توزيع اين ويروس جدید خواهد بود.
براي شناسايي و پاکسازي اين ويروس ميتوانيد از نرمافزارهاي رايگان VBA32 Check و VBA32 Rescue از نشاني
کد:
http://www.vba32-ir.com/download.htm
استفاده نماييد.
همچنین شرکت VirusBlockAda، برنامه کاربردی را صرفا جهت پاک سازی این ویروس ارایه داده است که می توانید آنرا از لینک زیر دریافت نمایید.
کد:
http://www.vba32-ir.com/virusnews4.htm
بد نیست به این آدرس یه سر بزنید
http://www.asreertebat.com/1389/4/19/AsreErtebat_weekly/364/Page/26/
رایانههای ایرانی در معرض تاخت و تاز یک ویروس
رایانه های ایران مورد هجوم شدید کرم خطرناک رایانه ای به نام Stuxnet قرار گرفته اند که تلاش می کند اطلاعات سیستمهای کنترل صنعتی را به سرقت برده و آنها را بر روی اینترنت قرار دهد. اندونزی و هندوستان نیز به واسطه این نرم افزار مخرب مورد هجوم قرار گرفته اند.
بر اساس اطلاعات جمع آوری شده توسط شرکت “سایمنتک” در حدود ۶۰ درصد از سیستمهای رایانه ای که به این ویروس آلوده شده اند در ایران قرار دارند. اندونزی و هندوستان نیز به واسطه این نرم افزار مخرب که به Stuxnet شهرت دارد مورد هجوم قرار گرفته اند.
به گفته “الیاس لووی” مدیر ارشد فنی بخش “پاسخگویی ایمنی سایمنتک” با توجه به تاریخ نشانه های دیجیتالی که از این کرم رایانه ای به جا مانده، می توان گفت این نرم افزار از ماه ژانویه سال جاری میان رایانه ها در گردش بوده است.
Stuxnet ماه گذشته توسط شرکتی به نام VirusBlockAda که اعلام کرد نرم افزاری را بر روی سیستم رایانه یکی از مشتریان ایرانی خود مشاهده کرده، کشف شد. این کرم به دنبال سیستم مدیریتی SCADA زیمنس که معمولا در کارخانه های بزرگ تولیدی و صنعتی مورد استفاده قرار می گیرد بوده و تلاش می کند اسرار صنعتی رایانه های این کارخانه ها را بر روی اینترنت بارگذاری (Upload) کند.
به گزارش خبرگزاری مهر، سایمنتک اعلام کرده نمی داند چرا ایران و دیگر کشورها به این اندازه تحت تاثیر آلودگی های ویروسی قرار دارند. به گفته لووی تنها می توان گفت افرادی که این نرم افزارهای خاص را ساخته اند، آن را ویژه حمله به این نقاط جغرافیایی خاص طراحی کرده اند.
زیمنس تعداد مشتریان خود را در ایران را اعلام نمی کند اما به تازگی اعلام کرده دو شرکت آلمانی به واسطه این ویروس آلوده شده اند. نرم افزار آنتی ویروس رایگانی که طی چند روز گذشته بر روی وب سایت زیمنس قرار گرفته تا کنون هزار و ۵۰۰ بار دانلود شده است.
سایمنتک اطلاعات خود را به واسطه همکاری با صنایع و تغییر مسیر ترافیک به وجود آمده به منظور اتصال به سرورهای کنترل و فرمان کرم رایانه ای به سوی رایانه های خود جمع آوری کرده است. طی دوره ای سه روزه رایانه هایی که در ۱۴ هزار آدرس IP حضور داشتند تلاش کردند با این سرورهای کنترل و فرمان ارتباط برقرار کنند که این نشان می دهد تعداد کمی از رایانه های خانگی در سرتاسر جهان به این کرم آلوده شده اند. تعداد دقیق رایانه های آلوده می تواند در حدود ۱۵ تا ۲۰ هزار باشد زیرا بسیاری از شرکتها برای چند رایانه یک آدرس IP در نظر می گیرند.
به این دلیل که سایمنتک می تواند آدرسهای IP مورد استفاده سیستمهای رایانه ای را برای اتصال به سرورهای کنترل و فرمان مشاهده کند، می تواند تعیین کند کدام رایانه آلوده شده است. به گفته این شرکت رایانه های آلوده شده به سازمانهای متعددی تعلق داشتند که از نرم افزار و سیستمهای SCADA استفاده می کردند، ویژگی که به روشنی مورد هدف حمله هکرها بوده است.
بر اساس گزارش PCworld، کرم Stuxnet توسط ابزارهای USB دار انتقال پیدا می کند، زمانی که ابزاری آلوده به این شکل به رایانه اتصال پیدا می کند، کدهای آن به جستجوی سیستمهای زیمنس گشته و خود را بر روی هر ابزار USB دار دیگری که بیابد، کپی خواهد کرد.
winbeta.net
ویروس استاکسنت ایران و آمریکا را هدف قرار داده است/جاسوس یا تروریست
انتشار گزارشاتی جدید درباره ویروس استاکسنت نگرانی های امنیتی درباره این ویروس را افزایش داده است.
به گزارش هفتهنامه عصر ارتباط، پس از دو هفته گمانهزنیهای مداوم درباره هویت ویروس منتشر شده جدید در میان کاربران ایرانی سرانجام مجله معتبر بیزینسویک از طراحی این ویروس با قصد استخراج اطلاعات صنعتی ایران خبر داد. به نوشته این مجله گزارش اخیر سیمانتک، غول راهحلهای امنیتی جهان، حاکی از آن است که نزدیک به 60 درصد رایانههای و دستگاههای هوشمند آلوده شده این ویروس در داخل ایران قرار دارند و هند و اندونزی با اختلافی قابل توجه جزو سایر کشورهایی هستند که تهدید این جاسوسی صنعتی را احساس میکنند.
تاکنون مارک لوي یکی از مقامات ارشد سیمانتک تاریخ امضاهای جایگذاری شده در این ویروس که به نام استاکسنت (Stuxnet) شهرت یافته است را حدود ژانویه سال گذشته اعلام و تاکید کرده است هرچند هیچ نشانهای از انگیزه واقعی طراحان این ویروس در دست نیست ولی بدیهی است با توجه به آلودگی شدید کشورهایی مانند ایران به استاکسنت طراحان آن دستکم به وضوح یک منطقه جغرافیایی خاص را مد نظر داشتهاند.
به گفته مقام یاد شده در سیمانتک نقش این حقیقت را هم که کاربران ایرانی چندان به استفاده از ویروسکشها خو نگرفتهاند در گسترش سریع این ویروس در ایران نمیتوان نادیده گرفت.
اسرار صنعتی
مطابق گزارش سیمانتک استاکسنت که اولین بار توسط آنتیویروس گمنام VBA32 کشف شده به محض ورود به رايانه فایلهای اسکادا که متعلق به شرکت آلمانی زیمنس است را جستجو میکند و میکوشد محتویات این فایلها را به سرور مورد نظر خود بفرستد. فایلهای اسکادا از آن رو حائز اهمیت هستند که در واقع رابط نرمافزاری تجهیزات زیمنس برای اداره خط تولید کارخانجاتی با مقیاس تولیدی بزرگ به حساب میآیند و از همین رو حاوی جزيیات حیاتی از مجتمعهای تولیدی و تحقیقاتی موجود در ایران هستند.
زیمنس تا کنون درباره تعداد مشتریانش در ایران و به تبع آن حجم آلودگی سیستمهای آنها به استاکسنت سکوت اختیار کرده ولی دستکم تایید کرده است که دو دفتر آلمانی در ایران به استاکسنت آلوده شدهاند و یک ابزار نرمافزاری رایگان برای شناسایی این ویروس که روی سایت زیمنس قرار داشته ظرف کمتر از یک هفته بیش از یک هزار و 500 بار دریافت شده است که طبیعتا بخش عمدهای از آن را کاربران ایرانی تشکیل دادهاند.
همانگونه که انتظار میرفت و در مقاله بیزینسویک هم مورد اشاره قرار گرفته سکوت زیمنس درباره حجم آلودگی سیستمهایش در ایران ناشی از فشار دور جدید تحریمهای ایالات متحده و شورای امنیت در ایران است. به ویژه که در ابتدای سال 2010 زیمنس در یک مانور رسانهای اعلام کرد دفتر خود را در ایران که بیش از 290 کارمند و درآمدی بالغ بر 563 میلیون دلار در سال دارد( گزارش سال 2008 والاستریت ژورنال) تعطیل خواهد کرد. وعدهای که اکنون با انتشار استاکسنت بار دیگر مورد توجه رسانهها و مقامات غربی قرار گرفته است.
شیوه سیمانتک برای بررسی سطح آلودگی استاکسنت در ایران هم در نوع خود قابل توجه است چراکه این شرکت توانسته حجم ترافیک ارسالی به سرورهای این ویروس را به سمت دامنه خودش هدایت کند که نقش قابل توجهی در اطلاعات دقیق این غول امنیتی درباره ویروس یاد شده دارد. در این فرآیند حدود 14 هزار IP مختلف تلاش کردهاند خود را ظرف سه روز به سرور ساختگی سیمانتک متصل کنند که هرچند مطابق شکل شماره دو قسمت عمدهای از آنها ایرانی هستند ولی با این وجود خود کارشناسان سیمانتک معتقدند این فقط شمار ناچیزی از تعداد کل دستگاههایی است که به این ویروس خاص آلوده شدهاند. دلیل این استدلال سیمانتک هم کاملا مشخص است چراکه تعداد زیادی از شرکتهای ایرانی و حتی خارجی تمامی دستگاههای موجود در شبکهشان را تحت یک پروتکل اینترنتی با همان IP واحد به اینترنت متصل میکنند. به همین دلیل تخمینهای سیمانتک نشان میدهد دستکم بین 15 تا 20 هزار دستگاه به استاکسنت آلوده شده باشند که حدود 60 درصد آنها ایرانی هستند.
وبـلاگ رسمی سیمانتک در پورتال blogspot.com تایید کرده است که اکنون کارشناسان سیمانتک هم میتوانند مانند طراحان ویروس IPهای شرکتهای آلوده شده را ببینند و همانگونه که انتظار میرود در میان آنها اسامی شرکتهایی به چشم میخورد که از سیستمهای اسکادای زیمنس استفاده میکنند.
ویروسشناسی
استاکسنت همانطور که در گزارش پربازخورد عصر ارتباط (مورخ 29 تیرماه-پست اول تاپيك) هشدار داده شده بود از امضای دیجیتالی شرکت قدیمی و سرشناس Realtek استفاده میکند که به سبب محصولات صوتیاش در ایران بسیار شناخته شده است و از طریق USB هم تکثیر میشود. اخبار اولیه درباره این ویروس توسط کارشناسان لابراتوار VBA32 به دست عصر ارتباط رسید و در آن تاکید شده بود استفاده از آنتیویروس برای خنثیکردن فعالیتهای استاکسنت ضروری است. هرچند در آن زمان هنوز از کارکرد اصلی آن به عنوان یک ابزار جاسوسی صنعتی، اطلاعاتی در دسترس نبود.
با اندکی تاخیر نسبت به VBA32 و سیمانتک، کارشناسان کمپانی ESET هم به عنوان صاحبان برند تجاری بسیار پرفروش آنتیویروس NOD32 هم به استاکسنت واکنش نشان دادهاند و با انتشار گزارشی نام کامل این ویروس را Win32/Stuxnet اعلام کرده و با تایید آنکه ویروسکشهای این شرکت آن را تحت عنوان LNK/Autostart.A شناسایی و خنثی میکنند آن را ناشی از یک نقص نرمافزاری در پوسته ویندوز دانسته است.
مایکروسافت هم در اولین واکنش به مساله همهگیر شدن استاکسنت بار دیگر تاکید کرده که وصله امنیتی لازم در این خصوص منتشر شده ولی درباره دستگاههایی که به این ویروس آلوده شدهاند گفته است حتی با نصب این وصله نرمافزاری هم باز مشکل به صورت موقتی رفع خواهد شد. آدرس کامل این وصله امنیتی را میتوانید در وبلاگ برخط عصر ارتباط به آدرس Online.asreertebat.com مشاهده کنید.
ESET بر خلاف سیمانتک قسمت عمدهای از فعالیت ویروس را از آمریکا میداند (58 درصد) و تنها 30 درصد حضور ویروس را متعلق به دستگاههای ایرانی اعلام کرده است که پس از ایران، روسیه هم با سهمی چهار درصدی از استاکسنت در رتبه سوم قرار گرفته است. لابراتوار شرکت ESET همچنین قسمت عمده خطر انتشار استاکسنت را متوجه زیرساختهای صنعتی کشور، به عنوان مثال صنایع بخش نیرو میداند و تاکید میکند به این ترتیب کاربران خانگی چندان در معرض تهدیدات ناشی از این ویروس نیستند. هنوز مشخص نیست چه چیزی غیر از ماجراهای هستهای اخیر، صنایع آمریکا، روسیه و ایران را به یکدیگر ارتباط میدهد.
یکی از نکات عجیب در گزارش لابراتوار ESET جزيیاتی است که این شرکت درباره نحوه انتشار استاکسنت به آنها آشاره کرده است. به گفته یوراه مالکو رییس لابراتوار ESET در براتیسلاوای اسلواکی، این ویروس به محض ورود به فضای سیستم عامل ویندوز بررسی میکند که رایانه مورد نظر در قلمرو ایالات متحده قرار گرفته است یا خیر. در صورت منفی بودن این پرسش ویروس به صورت خودکار نرخ تکثیرش را کاهش میدهد که نشان میدهد طرحان ویروس علاقهمند نیستند این ویروس در سایر نقاط جهان نمود چندانی داشته باشد. شاید ما هم اکنون شاهد نسل جدیدی از تروریسم رایانهای باشیم.
وقتی هدف وسیله را توجیه نمی کند
زیمنس به عنوان بزرگترین گروه صنعتی اروپایی، نماد جریان اخلاقی یا در واقع ضداخلاقی مدرنی است که اروپاییان در تجارت پس از جنگ جهانی دوم از آن پیروی میکنند.
در این دستورالعمل اخلاقی جدید شرکتهای اروپایی در رقابت با برتری ایالات متحده در بازار بینالملل و رشد سرسامآور صنعت چین میکوشند فارغ از ملاحظات سیاسی، انسانی و اخلاقی در تعریفی جدید از لیبرالیسم اقتصادی در بازارهای جدید نفوذ کنند و در این راه دیگر واهمهای از قواعد بینالمللی، تاثیرات مردمی و محیطی اقدامات خود یا حتی جهتگیریهای بعضا متضاد ندارند؛ فاجعه زیستمحیطی بریتیش پترولیوم در خلیج مکزیک، قتل عام کارگران الماس به دست کمپانی دو بیرز در آفریقا و سیاست یک بام و دو هوای زیمنس در سیاست خارجی ایران هم همگی مثالهایی از این دست هستند.
زیمنس ابتدای سال گذشته در حالی اعلام کرد خود و تمامی شاخههای تجاریاش مانند نوکیا زیمنس را در واکنش به تحریمها از ایران جمع خواهد کرد و خواهد رفت که آخرین تخمینها سود سالیانه این کمپانی از قراردادهایش در ایران را نزدیک به 700 میلیون دلار در سال نشان میداد و این شرکت را به بزرگترین شریک خارجی صنعت ایران پس از شرکتهای نفتی تبدیل میکرد. جالب آنکه تنها چند ماه پیش مشخص شده بود که کنسرسیوم مشترک این شرکت با نوکیا از سال 2008 مشغول فروختن تجهیزات بازرسی عمیق دادهها یا DPI به دولت ایران بوده است. معاملهای که نشان میداد این شرکت اساسا به مسایل داخلی یا خارجی سیاسی ایران حساس نیست و این پرسش را پیش آورد که چرا فقط وقتی بحث مجهز کردن صنایع ایران پیش میآید این شرکت ژست خروج از کشور را میگیرد؟
در جریان ویروس تازه ظهور استاکسنت هم بار دیگر زیمنس این رنگ عوض کردن را منفعتطلبانه به رخ کشیده است. سکوت این شرکت در برابر انبوه کاربران آلوده شده به این ویروس که بسیاری از آنها را مراکز حیاتی، زیرساختی و امنیتی کشور تشکیل میدهند هم نشان میدهد این شرکت هنوز به دنبال سلب مسوولیت در برابر مشتریان ایرانی خود است. اینکه فایلهای اطلاعاتی زیمنس منبع این خطر امنیتی جدی هستند تاکنون به هیچ وجه از سوی مقامات زیمنس در داخل کشور توضیح داده نشده و تا به حال هم هیچ فراخوان یا حتی هشداری برای رفع این حفره نرمافزاری در ایران اعلام نشده است. پرسشهایی مانند اینکه چرا باید 60 درصد دستگاههای آلوده شده زیمنس در ایران باشند یا این سوال که تا چه سطحی از حریم اطلاعاتی کشور در پی این جریان خدشهدار شده است هم همچنان بدون پاسخ باقی ماندهاند.
حوادثی از این دست نه تنها لزوم توسعه مفاهیمی مانند پدافند غیرعامل و زیرساخت نرمافزاری بومی را بار دیگر خاطرنشان میکنند بلکه بار دیگر به ما گوشزد میکنند گاهی اوقات استفاده فناورانه از بیگانگان در زیربنای امنیتی کشوری تا چه حد میتواند خطرآفرین باشد.
asreertebat.com
برای آمریکا آلودگی دستگاه های ایران به استاکسنت مهم نیست/مایکروسافت کاری نمی کند
مایکروسافت اعلام کرد فعلا برای نقص امنیتی اش که منجر به انتشار ویروس استاکسنت شده وصله نرم افزاری ارایه نخواهد کرد.
به گزارش عصر ارتباط، پس از هفتهها انتظار سرانجام مایکروسافت آب پاکی روی دست کاربران خود ریخت و برخلاف انتظارات عمومی اعلام کرد اساسا حاضر نیست با ایجاد تغییرات در سیاستهای نرمافزاری خود یک بسته اضطراری جدید برای مقابله با ویروس استاکسنت ارايه کند.
این تصمیم در نوع خود بیسابقه محسوب میشود زیرا مایکروسافت که سابقهای طولانی در نقض سیاستهای از پیش تعیین شده خود موسوم به «تصمیمات سهشنبههای آخر هر ماه» دارد و بعضا پیش آمده که در سهشنبه اول ماه اقدام به ارايه برنامه نرمافزاری جدید جهت رفع نقصهای موجود مثلا در نسخههای اینترنت اکسپلورر کند. اما این بار سخت و محکم از سیاستهای تغییرناپذیر خود سخن گفت و بدون توجه به امنیت مجازی کاربرانی که وابسته به سیستم عاملاش هستند، از آنها خواست صرفا به نسخههای جدیدتر مجهز شوند تا آسیب نبینند. این در حالی است که اقدامات اولیه این شرکت برای رفع این مساله این خوشبینی را در بسیاری از کارشناسان و کاربران ایجاد کرده بود که بالاخره آنها تنها نیستند و غول بزرگی مثل مایکروسافت محصولاتاش را به حال خود رها نمیکند.
تنهاتر از همیشه
استاکسنت که اولین بار توسط آنتیویروس گمنام VBA32 کشف شد به محض ورود به رايانه، فایلهای اسکادا را که متعلق به شرکت آلمانی زیمنس است، جستجو میکند و میکوشد محتویات این فایلها را به سرور مورد نظر خود بفرستد. فایلهای اسکادا از آن رو حائز اهمیت هستند که در واقع رابط نرمافزاری تجهیزات زیمنس برای اداره خط تولید کارخانجاتی با مقیاس تولیدی بزرگ به حساب میآیند. کارشناسان تاریخ انتشار این ویروسها را ژانویه سال گذشته میدانند و هنوز گمانهزنیها برای کشف انگیزه واقعی طراحان آنها به جایی نرسیده است. آنها معتقدند عدم آشنایی بیشتر کاربران با راهکارهای مقابله با آن باعث شده است که هر روز تعداد بیشتری از رایانهها به این ویروس آلوده شوند.
مایکروسافت ماه گذشته به کاربران خود درباره حفرههای موجود در سیستمهای عامل خود هشدار داده بود و در ابتدا نیز حتی یک مکانیسم خودکار خاص برای مقابله با این ویروس ارايه کرد اما این مکانیسم برای بسیاری از کاربران نه فقط کمکی نمیکرد بلکه باعث زحمت آنها میشد زیرا در توصیف این برنامه که در سایت دانلود برنامههای مایکروسافت قرار داشت، SP2 و SP3 در یک طبقه قرار گرفته بودند که این مساله باعث سردرگمی بیشتر کاربران شد. هرچند مسوولان مایکروسافت این مشکل را رفع کردند اما سردرگمی همچنان به قوت خود باقی ماند.
بسیاری از کاربران مایکروسافت انتظار داشتند مایکروسافت آنها را در این شرایط تنها نگذارد و حتی با تغییر در سیاستهای نرمافزاری خود راهی پیش روی آنها بگذارد. کارشناسان نیز در این مدت مدام در پی اخباری بودند که از عزم مایکروسافت برای مقابله با این بحران خبر بدهد. اما همه این امیدها با اظهارات سخنگوی مایکروسافت نقش بر آب شد.
نقش بر آب
کریستوفر باد سخنگوی مایکروسافت در نشستی گفت: «با صراحت اعلام میکنم که تولید هیچ نسخه جدیدی برای ویندوز XP SP2 در برنامه مایکروسافت وجود ندارد.» او در ادامه برای توجیه این موضع جدید ادامه داد: «مایکروسافت XP SP2 و حتی نسخه قدیمیتر ویندوز 2000 را در 13 جولای از بسته پشتیبانی خود حذف کرده است. یعنی زمانی که زمان حضور آنها حتی در فهرست تمدیدشده پنج سال آخر نیز به اتمام رسید.» او کاربران را به قوانین مایکروسافت ارجاع داد که براساس آنها، محصولاتی که از فهرست پشتیبانی تمدیدشده حذف میشوند دیگر مشمول هیچ خدمات نرمافزاری امنیتی یا غیرامنیتی که عمدتا از طریق سیستم خدمات بهروزرسانی اتوماتیک و مکانیزمهای دیگر ارايه میشوند، قرار نمیگیرند.
ویروس استاکسنت که بنابر آخرین گزارشات منتشره از سوی شرکت امنیتی سیمانتک نزدیک به یکصد هزار دستگاه را در ایران آلوده کرده است ( 60 درصد از کل میزان آلودگی در جهان) از طریق درگاه USB منتقل میشود و در صورت دسترسی به اطلاعات یک فایل SCADA تلاش میکند که از طریق اتصال خود به اینترنت اطلاعات این فایلها را به سرور خود انتقال دهد. شائبه اصلی درباره این ویروس با توجه به این مکانیسم کارکردی آن، احتمال جاسوسی صنعتی به ویژه از نیروگاهها و طرحهای مبتنی بر انتقال و تولید انرژی است.
تمرکز این آلودگی در دستگاههای ایران و سهم تنها شش درصدی خود ایالات متحده را میتوان از مهمترین دلایل بیانگیزگی مایکروسافت برای تعجیل در ارایه وصله نرمافزاری مورد انتظار دانست.
اخلاق حرفهای
اکنون سوالی که در ذهن کاربران و کارشناسان شکل گرفته، این است که تکلیف کاربرانی که همچنان از SP2 استفاده میکنند، چیست؟ واقعیت امر این است که مایکروسافت در مواجهه با این سوال تلاش کرده است با ارايه پاسخ های دوپهلو عبور کند. تاکنون مایکروسافت هیچ اقدامی در این زمینه نکرده و همین مساله بیش از هرچیز باعث سرخوردگی کاربران شده است. آنها اکنون خود را در هنگامه یک بحران میبینند. چراکه بسیاری از کاربران هستند که هنوز تصمیم دارند همچنان از XP SP2 استفاده کنند. در این شرایط کاربران تنها چند گزینه بیشتر پیش رو ندارند، یا اینکه هیچ حرکتی برای تغییر سیستم عامل خود انجام ندهند و صرفا از گزینه اولیه مایکروسافت برای حل مشکل استفاده کنند که عملا کار دشواری است یا یک یک ابزار جدید نصب کنند که مانع از اجرای این ویروس شود. این ابزار موسوم به «ابزار آزاد سوفوس» است که در ویندوز ایکس پی SP2 اجرا میشود اما در ویندوز 2000 قابل اجرا نیست و این کار را برای کاربرانی که از ویندوز 2000 استفاده میکنند، سختتر میکند.
شرایطی از این دست و موضعگیری مایکروسافت به عنوان یکی از غولهای بزرگ باعث شده است که بحث جدیدی در مورد اخلاق حرفهای غولهای بزرگ در میان کارشناسان شکل بگیرد که در روزهای آینده شدت خواهد گرفت. اینکه چگونه مایکروسافت تصمیم گرفته است به راحتی از کنار این مساله بگذرد بیشک میتواند متاثر از شرایط مختلف اقتصادی و سیاسی باشد. از همین اکنون کارشناسان به کاربران توصیه کردهاند با اتخاذ تدابیر پیشگیرانه مانع از بروز مشکلاتی از این دست باشند. رفع این مساله این خوشبینی را در بسیاری از کارشناسان و کاربران ایجاد کرده بود که بالاخره آنها تنها نیستند و غول بزرگی مثل مایکروسافت محصولاتاش را به حال خود رها نمیکند.
هنوز برآوردي از ميزان آلودگي سيستمهاي صنعتي به کرم جاسوس استاکسنت نداريم!
معاون برنامهريزي وزير صنايع با اشاره به ورود كرم جاسوس به سيستمهاي صنعتي كشور، از تشكيل تيم مشتركي از وزارتخانههاي صنايع و ارتباطات جهت مقابله با اين كرم خبر داد و گفت: واحدهاي صنعتي براي حفاظت از اطلاعات توليديشان بايد از اتصال رايانههاي خود به اينترنت جلوگيري كنند.
محسن حاتم در گفتوگو با فارس، اظهار داشت: حمله كرم جاسوس به سيستمهاي صنعتي كشور به تأييد رسيده ولي اين موضوع كه چقدر از سيستمهاي صنعتي به اين كرم آلوده شدهاند، در دست بررسي است.
وي با بيان اينكه هنوز برآوردي از ميزان آلودگي سيستمهاي صنعتي به اين كرم جاسوس نداريم، تصريح كرد: راههاي مختلفي براي مبارزه با اين كرم وجود دارد و به اين منظور تيمي متشكل از كارشناسان وزارتخانههاي صنايع و ارتباطات تشكيل شده است.
حاتم ادامه داد: انتقال كرم جاسوس از طريق شبكههاي اينترنتي و پرتهاي قابل حمل صورت ميگيرد و رايانههاي صنعتي مقصد اصلي حمله اين ويروس بودهاند.
وي با بيان اينكه كامپيوترهاي صنعتي وظيفه كنترل سيستمهاي صنعتي را بر عهده دارند، تأكيد كرد: اين نوع سيستمها نبايد به هيچ عنوان به اينترنت متصل شوند هرچند ممكن است كرم جاسوس از روشهاي ديگر مانند فلش و يا سي.دي به سيستمها منتقل شده باشد.
وي افزود: سروري كه در اتاق كنترل يونيت يك كارخانه صنعتي وجود دارد نبايد به هيچ عنوان اتصالي به اينترنت و يا حتي شبكههاي داخلي داشته باشند.
معاون برنامه ريزي وزير صنايع تصريح كرد: اگر سيستمي با اينترنت ارتباط داشته و مورد حمله كرم جاسوس قرار گرفته است، بايد سريعا مورد بازبيني و رفع مشكل قرار گيرد.
وي در پاسخ به اين سؤال كه با توجه به پيشرفته بودن كرم جاسوس حمله كننده به سيستمهاي صنعتي ايران، آيا امكان مقابله با اين كرم به راحتي امكانپذير است؟ افزود: در گذشته كرمهاي پيشرفتهتر از اين نيز به سيستمهاي صنعتي كشور حمله ور شدهاند كه مقابله با آنها صورت گرفته است.
وي تأكيد كرد: متخصصين حوزه نرمافزار در ايران از قابليتهاي بالايي برخوردارند و ميتوانند با كرم جاسوس حمله كننده مقابله كنند.
حاتم ادامه داد: واحدهاي صنعتي بايد اقدامات امنيتي لازم را در خصوص حفظ اطلاعات خود انجام دهند و به همين دليل هيچ يك از رايانههاي صنعتي نبايد در تماس با اينترنت باشند.
itna.ir
آلودگي 60 درصد از رايانههاي ايراني از 8 ماه پيش!/سينا در گفتوگو با ايسنا: متاسفانه اطلاعرساني مناسبي در اين زمينه نشده است
عضو هيات رييسه سنديكاي توليدكنندگان فنآوري اطلاعات گفت: به كليه سازمانها، افراد و شركتهاي صنعتي و غيرصنعتي درباره كرمي كه اخيرا بسياري از رايانههاي ايراني را آلوده كرده، نامه نوشته و به آنها هشدار دادهايم.
ويدا سينا در گفتوگو با خبرنگار خبرگزاري دانشجويان ايران (ايسنا)، در اين باره توضيح داد: متاسفانه درباره كرم اخيري كه حدود 60 درصد از رايانههاي ايراني را آلوده كرده اطلاعرساني مناسبي نشده و البته هيچ متولي مشخصي نيز در اين زمينه در كشور وجود ندارد.
وي با بيان اينكه وزارت ارتباطات و فنآوري اطلاعات بايد در زمينه اطلاعرساني درباره ويروسها و كرمهاي آلودهكننده قويتر عمل كند، عنوان كرد: حتي ستاد پيشگيري از حوادث غيرمترقبه در كشور ميتواند در اين زمينه فعالتر عمل كند، چرا كه آلودگي 60 درصد از رايانههاي كشور به اين كرم خطر كمتري نسبت به زلزله يا سيل ندارد.
سينا با ابراز تاسف از اينكه هشت ماه پس از شروع آلودگي رايانههاي ايراني به اين كرم تازه هماكنون درباره آن در كشور اطلاعرساني ميشود، عنوان كرد: شركتهاي صنعتي به ويژه شركتهاي تحت پوشش وزارت نيرو كه با زيمنس در ارتباطند، هدف اصلي اين آلودگي بودند.
عضو هيات رييسه سنديكاي توليدكنندگان فنآوري اطلاعات خاطرنشان كرد: متاسفانه هماكنون سازمان خاصي در كشور متولي اطلاعرساني درباره آلودگي كرمها و ويروس ها نبوده و كسي نيز مسووليت اين حوزه را نميپذيرد؛ بنابراين برآوردي از خسارات ناشي از اين آلودگي نيز وجود ندارد.
وي خاطرنشان كرد: هميشه نميتوان جلوي آلودگي رايانهها به كرمها و ويروسها را گرفت، اما ميتوان به شيوه مناسبي با آنها مقابله كرد.
در همين حال محسن حاتم، معاون وزير صنايع و معادن چندي پيش با اشاره به ورود كرم جاسوس به سيستمهاي صنعتي كشور، از تشكيل تيم مشتركي از وزارتخانههاي صنايع و ارتباطات جهت مقابله با اين كرم خبر داد و اعلام كرد كه واحدهاي صنعتي براي حفاظت از اطلاعات توليديشان بايد از اتصال رايانههاي خود به اينترنت جلوگيري كنند.
آنتی ویروس برای Stuxnet که صنایع آلوده کرده (در واقع بیشتر ایران رو آلوده کرده )
آنتی ویروس برای Stuxnet که صنایع آلوده کرده (در واقع بیشتر ایران رو آلوده کرده )
اول برین دیوایس منیجر بعد MRXNET و MRXCLS غیر فعال کنید
بعد فایل ریج رو اجرا کنید یک ری استارت کنید حالا می تونید TakFanar-A_nti-V_irus4.0 ر استفاده کنید البته این حرکت ها به صورت اتومات هم انجام میشه ولی باید یک بار تو سیف مود اجرا کنید بعد تو ویندوز معمولی ویروس های جدید این چند وقت رو هم پاک می کنه این برنامه فقط برای محیط ویندوز xp طراحی شده گرچه در بیشتر مواقع در 7 و ویستا هم جواب میده ولی من مسولیت اواقبشو نمی پذیرم
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
stuxnet removal
1.Right click My Computers > Properties > Hardware > Device Manager:
2.Go to View > Show Hidden Devices
3.Go to Non-Plug and Play Drivers
4.Disable both MRXNET and MRXCLS:
5.run First Run ME and Restart.reg
6.restart
7.run TakFanar-A_nti-V_irus4.0.exe
Only tested on xp
have Good Time
====================
Forgive me for my poor English
Virus infected for Stuxnet industries (in fact, more so Iran has infected)
First go to device manager and then MRXNET MRXCLS disabling
After you run a file Ridge starter Ray can now realize TakFanar-A_nti-V_irus4.0 R. Of course, use this move to s done automatically, but you must once Seif mode after you run the new Windows viruses Normal How I'll also clean program only designed for Windows xp, although in most 7 and Vista gives the answer but I do not accept responsibility Avaqbshv
__________________
آيا مديريت صنايع كشور به دست نفوذگران ميافتد؟
حدود یک ماه از اعلام خبر شیوع تروجان Stuxnet میگذرد؛ با وجود اينكه گسترش این تروجان در ذات خود اتفاق خوشایندی نبود، لیکن محک بسیار خوبی برای فضای امنیت اطلاعات کشور شد، فضایی که در فقدان مدیریت یکپارچه و صحیح بار دیگر دچار یک شک امنیتی شد.
این بار ضعف کشور در فضای سایبری عواقب سنگینی ایجاد نمود که همچنان کسی بدان توجه نمیکند!
این تروجان که براساس استفاده از ابزار متداول USB( فلش ها , هارد قابل حمل و...) و یا میل آلوده گسترش مییابد از یک ضعف امنیتی در سیستم عامل ویندوز استفاده مینماید و در نهایت علاوه بر سیستمهای کاربران, به صورت خاص نرمافزارهای SIMATIC WinCC و PCS 7 که از محصولات شرکت زیمنس است و در مانیتورینگ و مدیریت صنایع کاربرد دارد را مورد حمله قرار میدهد.
بنا بر اطلاعات ارائه شده توسط شرکت امنیتی سيمانتك، این تروجان ، نه تنها به سرقت اطلاعات ميپردازد، بلكه يك back door را نيز بر روي سيستم قرباني قرار ميدهد تا بتواند از راه دور و به طور مخفيانه كنترل عمليات زيرساخت هاي مذكور را در اختيار گيرد، براساس گزارش این شرکت تا اواخر ماه قبل اطلاعات شیوع براساس نمودار ذیل است:
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
همچنان كه در نمودار بالا قابل مشاهده است، ايران در رديف اولین كشور در جهت شيوع اين تروجان قرار داشته است، ليكن شركتهاي امنيتي از اعلام منابع آلوده گزارش شده خودداري مينمايند.
بنابر گفته يكي از محققان امنيتي، مهاجمان ميتوانند براي مثال در يك نيروگاه توليد انرژي، نقشه چگونگي عملكرد ماشين آلات فيزيكي را دريافت كرده و آنها را تحليل كنند تا دريابند چگونه ميتوانند تغييرات مورد نظر خود را در آنها اعمال كنند، سپس كد دلخواه خود را وارد ماشين آلات كرده تا شيوه عملكرد آنها را تغيير دهند.
براساس تحقیقات، این تروجان با دو سرور که در مالزی است تماس برقرار میکند و از آنجا مدیریت میشوند، این تروجان اطلاعات و مشخصات کامپیوتر مربوطه را به این سرورها ارسال مینماید، برای مثال یکی از موارد ارسال شده از کامپیوترهای در دست نفوذگران در بخش ذیل قابل مشاهده است:
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
مايكروسافت يك اصلاحيه فوري را براي برطرف ساختن نقص امنيتي مذكور منتشر كرده است، ولي تنها نصب اصلاحيه، نميتواند از سيستمهايي كه از نرمافزار زيمنس استفاده ميكنند، محافظت به عمل آورد زيرا اين بدافزار قادر است كد خود را در سيستمهاي مذكور مخفي كرده و بدون اينكه كسي متوجه شود، در فعاليتهاي كارخانه و يا نيروگاه مداخله كند.
این تروجان همچنين مي تواند فعاليتهاي جديدي را براي يك خط لوله و يا يك نيروگاه تعريف كند كه ممكن است صاحبان سيستم متوجه آن نشوند. به همين دليل سيستمهايي كه آلوده شدهاند بايد كاملاً مورد بازرسي قرار گيرند تا اطمينان حاصل شود به همان شيوهاي كه مورد انتظار است، كار ميكنند.
واضح است كه انجام بازرسي مذكور بسيار سخت و زمان بر و در عين حال ضروري است. در واقع علاوه بر نصب اصلاحيه لازم است، پاكسازي كامل در مورد رايانههاي آلوده نيز انجام شود.
در کشور گرچه سایتهایی مانند ماهر و امداد کامپیوتری براساس هشدارهای شرکتهای امنیتی مانند سیمانتک شروع به اطلاعرسانی نمودند، لیکن مدیران کشور با تاخیری حداقل دو هفتهای شروع به پیگیری موارد نمودند ، تاخیری که شاید باعث از دست رفتن اطلاعات صنعتي كشور در همین دو هفته باشد!! و برخی صنایع در حال حاضر نیز در دست نفوذگران باشد!
حال معلوم نیست در کشور آیا این جلسات جزیرهای به نتیجهای خواهد رسید؟ آیا سایتهایی مانند ماهر و امداد کامپیوتری در تلاطم بروکراسی اداری برای پرداخت حقوق متخصصان به گزارشی تحلیلی از وضعیت کشور دست خواهند یافت؟
به نظر میرسد ساختار اداره سازمانی متخصصان امنیت در کشور مانند ماهر وامداد کامپیوتری ضعف خود را به صورت مشخص نشان داد، اما مدیران به جای حل مشکل درصدد پاک نمودن صورت مسئله هستند و اطلاعات شرکتهای امنیتی مانند سیمانتک را زیر سئوال میبرند؟!
و این سئوال باقی میماند که آیا برای یک حمله در فضای سایبر که حتی یک ساعت به قیمت از دست رفتن مقادیری زیادی از اطلاعات کشور هزینه دارد، اظهار نظر مدیران و برگزاری جلسه حتی بعد از یک هفته جایی از سخن دارد؟
itna.ir
حافظههای فلش مموری، بسترساز آلودگی رایانهها
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
ایتنا – حافظههای USB به دلیل سهولت استفاده، عامل مناسبی برای توزیع ویروسهای رایانهای بهشمار میرود.
حافظههای فلش مموری به دلایلی همچون سهولت استفاده، اشغال فضای کم و قیمت پایین به یکی از ابزار محبوب کاربران تبدیل شده است.
با این حال استفاده از همین ابزار کوچک ممکن است خطرات زیادی به دنبال داشته باشد.
به گزارش ایتنا به نقل از eSecurityPlanet، در سال گذشته از هر چهار ویروس رایانهای، یک مورد آن از حافظههای فلش مموری نشات گرفته است.
به عبارت دیگر USBها مسئول انتشار یک چهارم ویروسها در سطح جهان بودهاند.
بر اساس این گزارش، تجهیزات دیگری که به رایانهها وصل میشود نیز باید به عنوان یک عامل بالقوه آلودهسازی سیستمها، مورد توجه قرار گیرد. از جمله این تجهیزات میتوان به تلفنهای هوشمند، دوربینها و پخشکنندههای موزیک اشاره کرد.
کرم صنعتی استاکسنت (Stuxnet) که به تازگی با آلوده کردن رایانهها، خسارات هنگفتی به بار آورده است، از USB برای نقل و انتقال خود استفاده مینماید.
البته توانایی حافظههای فلش مموری در آلودهسازی سیستمها، موضوع جدیدی نیست. دو سال پیش نیز کرم کانفیکر با استفاده از همین شیوه راه خود را به هزار توی رایانهها باز کرد.
کد:
http://www.itna.ir/archives/news/014566.php
طراحي آنتيويروس كرم جاسوس استاكسنت در دو شركت داخلي
مديركل دفتر صنايع برق، الكترونيك و فنآوري اطلاعات وزارت صنايع و معادن از طراحي آنتي ويروس كرم جاسوس استاكسنت در دو شركت داخلي خبر داد.
محمود ليايي در گفتوگو با خبرنگار خبرگزاري دانشجويان ايران (ايسنا)، افزود: دو شركت داخلي آنتيويروس كرم جاسوس استاكسنت را طراحي و توليد كرده و سپس در معرض فروش گذاشتهاند.
وي در پاسخ به اين سوال كه آيا شركتهاي داخلي از آنتيويروس طراحي شده توسط شركت زيمنس استفاده ميكنند؟ عنوان كرد: استفاده از آنتيويروس زيمنس را توصيه نميكنيم، زيرا اگر پشت طراحي كرم جاسوس استاكسنت اراده دولتي وجود داشته باشد، ممكن است چنين ارادهاي در شركت زيمنس نيز به شكل ديگري وجود داشته باشد.
وي در پاسخ به اين سوال كه آيا شما كشور آلمان را منشا طراحي و توليد كرم جاسوس استاكسنت ميدانيد؟ گفت: منشا اين كرم جاسوس را آلمان نميدانيم، اما در هر صورت اين جاسوسافزار به اين منظور نوشته شده تا به اطلاعات صنعتي ايران دست پيدا كند.
ليايي همچنين با تاييد خروج اطلاعات صنعتي از كشور توسط كرم جاسوس استاكسنت، بدون اشاره به آمار و ارقام مربوط به اطلاعات صنعتي خارج شده از كشور اظهار كرد: جلسه مربوط به اين كرم جاسوس چند روز پيش در وزارت ارتباطات و فنآوري اطلاعات برگزار شد و قرار نيست راجع به اين موضوع مصاحبه كنيم.
مديركل دفتر صنايع برق، الكترونيك و فنآوري اطلاعات وزارت صنايع و معادن همچنين درباره ميزان آلودگي رايانههاي ايراني به اين كرم جاسوس گفت: پيشبيني شده كه60 درصد رايانههاي ايراني به اين كرم آلوده شدهاند، اما كارگروه برآوردي در اين زمينه اعلام نكرده است.
گفتني است، چندي پيش معاون وزير صنايع و معادن آلودگي60 درصد از رايانههاي ايراني به كرم جاسوس استاكس نت را تكذيب كرده بود.
محسن حاتم با اشاره به اينكه هجوم كرم جاسوس استاكس نت به رايانههاي ايراني ميتواند داراي دلايل اقتصادي يا سياسي باشد، گفته بود كه آلودگي به اين كرم از حدود هشت ماه پيش در ايران آغاز شده و مشخص نيست چرا رسانههاي بيگانه هماكنون اين موضوع را مطرح ميكنند.
مدير شركت توليدكننده آنتيويروس: كد جاسوسافزار استاكس نت مميزي شده بود/ضعف سيستمهاي عامل علت اصلي ورود اين كرم بود
به اعتقاد يك كارشناس امنيت شبكه شايد با ورود جاسوسافزاري مانند استاكس نت به كشور، اطمينان به محصولات خارجي از بين برود و شايد هم گوشزدي باشد براي دستاندركاران طرحهاي صنعتي تا مسوول امداد و نجاتي را براي سيستمهاي امنيتي برگزينند؛ استاكسنت شناخته شد اما ممكن است جاسوسافزارهاي ديگري در سيستمها وجود داشته باشد كه هنوز از آنها اطلاعي نداريم.
حميدرضا سعدي در گفتوگو با خبرنگار فنآوري اطلاعات خبرگزاري دانشجويان ايران(ايسنا)، با بيان اينكه ويروس استاكسنت (STUXNET) نقش يك جاسوس را ايفا ميكند، اظهار كرد: از آنجا كه هكرها و يا ويروسنويسان رايانهيي سيستمهاي صنعتي در اختيار ندارند تا براي آنها ويروس بنويسند، اين ويروس صنعتي نشاندهنده اين است كه گروهي با اطلاعات صنعتي قوي اين كار را انجام دادهاند.
وي تصريح كرد: علت شناخته نشدن اين ويروس توسط آنتيويروسهاي خارجي، جديد بودن آن است ولي باز هم ميتوانستند با روش اكتشافي كه از خود ارائه ميدهند، در جهت شناسايي آن اقدام كنند.
اين كارشناس تاكيد كرد: هم اكنون با گذشتن بيش از شش يا هفت ماه از پخش بودن و آزاد گشتن اين ويروس در سيستمهاي صنعتي، يك آنتي ويروس بلاروسي توانسته كد مقابله با آن را پيدا و به عموم اطلاعرساني كند تا ديگر آنتيويروسها هم بتوانند از آن كد استفاده كنند.
او با بيان اينكه كد جاسوسافزاري كه براي اين ويروس نوشته شده مميزي شده است، ادامه داد: مميزي شدن به اين معني كه به آنتيويروسها گفته شده كه اين ويروس را رصد نكنند تا به عنوان يك كد درست بتواند به فعاليت خودش ادامه دهد.
سعدي ادامه داد: هرچند اين شيوه در فعاليت بخشهايي مثل پليس اينترپل وجود دارد، اما بايد دانست كه مميزي كردن بعضي موضوعات توسط آنها درباره جرائم رايانهيي و يا كنترلهاي شهروندي كشورهاست.
به گفته او نمونه قبلي جاسوسافزار در سال 2002 به نام Magic Lantern بود که توسط سازمان NSA آمريکا براي خبرنگاران آمريکاي جنوبي نوشته شده بود و مشخصا ضدويروس مکآفي و سيمانتك اعلام کردند كه کد مميزي شده است و جلوي آن را را نخواهند گرفت.
وي با بيان اينكه كد جاسوسافزار كرم استاكس نت مميزي شده است، گفت: آمار نزديك به يقيني از سوي يک شرکت ضدويروس خارجي مبني بر ارسال تعداد 8200 IP VALID (آيپيهاي شناخته شده در كل جهان) از كشور ارائه شده است.
اين مدير شركت توليدكننده آنتيويروس درباره ميزان آلودگي سيستمهاي صنعتي به اين ويروس تصريح كرد: به علت محدوديت هايي كه در سيستمهاي كنترل صنعتي كشور وجود دارد، دسترسي به آمار و ارقام مشخص از ميزان آلودگيها كار آساني نيست، ولي با فرض صحيح بودن منابع خارجي يعني 8200 سيستم كنترل صنعتي كه با اسكادا زيمنس كار مي كردهاند، اطلاعاتشان به مبدأ اين كرم جاسوسافزار ارسال شده است.
اين كارشناس امنيت شبكه بيشترين آلودگي اين ويروس را مختص ايران دانست و درباره آثار اين كرم جاسوسافزار خاطر نشان كرد: كدهاي ارسال شده از طريق اين ويروس، ميتوانست كنترل سيستمها را در اختيار خارجيها قرار دهد و در اين صورت يك BACKDOOR روي سيستمهاي صنعتي ما براي آنها باز شده ولي با تمهيداتي که مرکز ماهر اجرا كرده توانسته مسير باز شده را مسدود كند.
او افزود: با فرض شرايط فوق، هنوز فرمان تخريبي از سوي آنها صادر نشده بوده زيرا اطلاعي از کار نکردن اين سيستمها به اين شرکت گزارش نشده است اما امكان تزريق اطلاعاتي خاص در سيستمها از سوي آنها براي روز مبادا وجود خواهد داشت و ما هم بايد تا بررسي جامعي از وضعيت سيستمهاي صنعتي آلوده در حالت آمادهباش بهسر ببريم زيرا ممكن است با اجراي فرامين خاصي در سيستمها از سوي بيگانگان دچار خطراتي جبرانناپذير شويم.
سعدي درباره حفرههاي امنيتي اطلاعات صنايع كشور بيان كرد: حفاظتهاي فعلي سيستمهاي صنعتي چه سختافزاري و چه نرمافزاري نسبت به رايانههاي شخصي خيلي ضعيفتر است و دليل آن فراواني رايانه شخصي يا خانگي است كه دست هكران را براي خود باز گذاشته است و درنتيجه اقدامات حفاظتي آنها هم به مراتب بالاتر از سيستمهاي صنعتي است، شايد كمبود اطلاعات از سيستمهاي صنعتي عامل ديگري باشد كه ويروسنويسان اين حوزه چندان رشدي نداشتهاند.
اين مدير شركت توليدكننده آنتيويروس تاكيد كرد: ضعف سيستم عاملها و سيستمهاي اسكاداي زيمنس علت اصلي ورود اين ويروس به سيستمهاي صنعتي كشور است.
اين توليدكننده آنتي ويروس با اشاره به برچسب زرد و قرمز براي ميزان آلودگي آنتي ويروسها، گفت: دليل بياهميت شمردن اين ويروس توسط ضدويروسهاي خارجي در اوايل انتشار، گستردگي و ميزان آلودگي پايين آن در ديگر كشورهاي جهان بوده است و شايد دليل ديگر تعداد فراوان ويروسها باشد.
او گفت: روزانه بين هزار تا 1500 كد بدافزار در اينترنت پخش ميشود که استاكسنت در بين آنها نميتواند شاخص بزرگي محسوب شود و لازم است براي مبارزه با اين حجم تهديدات يک عزم ملي شكل بگيرد.
سعدي ابراز كرد: مركز امداد و نجات رايانه ملي، "مركز ماهر" و زيرمجموعه شركت فنآوري اطلاعات است كه در زمينه پيشگيري و رفع اثرات اين ويروسها و ساير تهديدات فعال هستند و در سازمانها نيز مراكز "گوهر" وجود دارد كه با ضوابط خاص هر سازمان ميتواند با همكاري مركز ماهر عاملي براي جلوگيري از انتشار اين ويروسها باشد.
وي در پايان افزود: در كنار اين مجموعههاي دولتي فعال، توليد يك ضد ويروس بومي اهميت خودش را نشان ميدهد و اعتماد به برخي توليدات خارجي از بين ميرود و تنها با سرمايهگذاري در حوزه توليد و حمايت محصولات داخلي ميتوان سطح علمي و عملياتي مجموعههاي داخلي كشور را حفظ كرد و فراتر از حال حاضر برد.
كارشناسان ویروس استاکسنت را یک موضوع امنیتی کلان میدانند
جای خالی دولت
هر چند وزارت صنایع از تولید دو آنتیویروس برای مقابله با استاکسنت خبر میدهد اما همچنان رویکرد دولت در مقابله با این ویروس همهگیر در پردهای از ابهام باقی مانده است.
به گزارش عصر ارتباط کرم کامپیوتری استاکسنت همچنان در ایران میتازد و همه را چشم به راه اقدامات جدید در این زمینه گذاشته است. این انتظار از آن رو طولانیتر جلوه میکند که تنها نکته مشترک در برابر موضعگیریهای مختلفی که در مورد استاکسنت در داخل کشور صورت گرفته پذیرفتن وجود آن است و اختلافات از آمارها و ارقام شروع میشود و حتی به موضعگیریها هم ختم نمیشود.
علت شهرت استاکسنت به عنوان یک ویروس در ایران حمله اختصاصی آن به ایران است که در همین مورد هم برداشتها از آن متناقض بوده، گروهی آن را سیاسی دانسته و شیوع این ویروس را تا حد یک حمله نظامی خطرناک تلقی میکنند و به اقدام سریع نسبت به مقابله با آن تاکید داشته و نسبت به تعلل درباره آن هشدار میدهند. گروهی هم استاکسنت را جدی نمیگیرند و آن را فقط بزرگنمایی رسانهای میدانند. از نکات قابل توجه اقدامات دولت بعد از گذشت یک ماه و نیم از کشف این ویروس در کشور بوده و میزان توجه و اهمیت اندکی است که به استاکسنت شده است. این مبحث که آیا باید با اتکا به توان داخلی با این مشکل روبهرو شد یا از پشتیبانی و حمایت دیگر کشورها هم میتوان بهره برد نیز از موارد مورد بحث در حاشیه خود استاکسنت است. استاکسنت بدافزاری است که از نقص امنیتی موجود در میانبرهای ویندوز استفاده میکند و با آلوده کردن رایانههای کاربران صنعتی اطلاعات فایلهایی با قالب اسکادا را که متعلق به شرکت زیمنس است را جمعآوری کرده و به یک سرور خاص ارسال میکند.
جاسوسافزاری برای جنگ سایبری
حمیدرضا سعدی مدیرعامل شرکت مهران رایانه، استاکسنت را به عنوان یک جاسوسافزار بسیار خطرناک میداند. او که شرکتش یکی از قدیمیترین تولیدکنندگان ویروسکشهای ایرانی با نام تجاری ایمن است اعتقاد دارد کشور برای مقابله با این جاسوسافزار باید خود را مجهز کرده و تیمهایی تشکیل دهد تا به طور مداوم مراکز صنعتی و حیاتی کشور را بررسی کنند تا برای موارد احتمالی آمادگی لازم را داشته باشیم.
او معتقد است در این جنگ سایبری امید بستن به خارج، خیالی باطل است و باید بخش CERT در سازمانها راهاندازی شود تا این CERTها کدهای مشکوک را ردیابی کنند و در اختیار آنتیویروسهای داخلی قرار دهند. همچنین مدیرعامل شرکت مهران رایانه بیان کرد: «اطلاعات به دست آمده توسط این CERTها را به هیچ عنوان نباید در اختیار شرکتهای خارجی قرار دهیم زیرا ما در یک جنگ سایبری قرار داریم و باید هشیار باشیم زمانیکه دشمن برای ما جاسوسافزار میفرستد ما نباید آنها را در جریان اطلاعاتی که به دست میآوریم، قرار دهیم. در این صورت از راه دیگری وارد شده و به ما ضربه میزنند باید به خود متکی بوده و امیدی به خارج نداشته باشیم. »
به گفته وی شرکت مهران رایانه برای دستیابی به این هدف در سایت خود مرکزی آموزشی را در نظر گرفته و نحوه ردیابی این بدافزار را به تفضیل توضیح داده است. مدیر بخش نرمافزار شرکت مهران رایانه از دلایل بیتوجهی آنتیویروسهای خارجی به استاکسنت، با وجود فعالیت 10 ماهه این ویروس را جاسوسافزار بودن آن میداند که پلیس اینترپل اجازه ردیابی آن را نمیدهد و دلیل این عدم ردیابی وابستگی استاکسنت به بعضی کشورهای خاص است که به مراکزی همچون اینترپل جهت میدهند.
او در ادامه افزود: «برای مقابله با استاکسنت در داخل حرکتهایی در زمینه اطلاعرسانی و تشکیل کارگاههای آموزشی و اقدامات حفاظتی صورت گرفته که از آن جمله میتوان به فیلتر شدن سه سایتی که استاکسنت با آنها ارتباط برقرار میکرد اشاره داشت.» سعدی معتقد است به طور کلی اقداماتی انجام شده که کافی نیستند، باید مراکز بیشتری درگیر شوند و قویتر عمل کنند.
سعدی در پاسخ به سوال اقدامات انجام شده توسط مهران رایانه گفت: «مکاتباتی با وزارت صنایع و شرکت فناوری اطلاعات صورت گرفته و در آن آمادگی شرکت متبوعش را به اطلاع مسوولین رسانده است.» علاوه بر آن در سایت مهران رایانه نحوه ردیابی این بدافزار به طور کامل تشریح شده است. در نهایت مدیر بخش نرمافزار شرکت مهران رایانه با تاکید فراوان تنها راهحل را اقدام سریع مراکز داخلی نسبت به فایلها، کدهای مشکوک و عدم اطمینان به مراکز خارجی میداند.
استاکسنت یک موضوع امنیتی است
محمدعلی درهشیری مدیرعامل شرکت کارنما رایانه نیز استاکسنت را یک موضوع امنیتی دانست و گفت: «هویت امنیتی این ویروس ما را در اظهار نظر محتاط میکند. چراکه این مساله امنیتی مربوط به مملکت است و کارنما رایانه در قالب یک شرکت تجاری و بازرگانی به پشتیبانی مساله میپردازد.»
مدیرعامل شرکت کارنما رایانه در ادامه بیان میکند: «اقداماتی تاکنون انجام شده اما برای درمان این ویروس احتیاج به شناخت بیشتری داریم. ما به دنبال اطلاعات کامل استاکسنت هستیم. تیم فنی کارنما رایانه به تحقیقات راجع به عوامل تخریب ایجاد شده و مشکلات احتمالی آن پرداخته و در این زمینه با لابراتوار کسپرسکی همکاری میکند. استاکسنت موضوع حائز اهمیتی است و تیم پشتیبانی شرکت به عنوان مرحله اول در جهت کمرنگ کردن آن تلاش میکند.کسپرسکی این اطمینان را میدهد که در مراحل بعدی در جهت پیشگیری از موارد مشابه خود را مجهز کند.»
در زمینه اقدامات صورت گرفته توسط دولت، وي معتقد است: «دولت مطمئنا در حال انجام اقداماتی است که شاید بر حسب صلاح و مسایل امنیتی به طور کامل در رسانهها عنوان نمیشود.» با این حال محمدعلی درهشیری از هر نوع اظهار نظری در باب این ویروس، اقدامات انجام شده و کیفیت این اقدامات به دلیل مسایل امنیتی خودداری کرد و معتقد است که در مورد مسایل امنیتی بهترین راه سکوت است. البته به این نکته هم اذعان دارد که شرکتهای مختلف از جمله کارنما رایانه در کنار دولت هستند و آمادگی لازم برای انتقال اطلاعات، عملکردها و حتی در اختيار گذاشتن نیروهای متخصص خود به دولت را دارند.
او درباره استاکسنت موضعگیری صریحی داشته و آن را مساله بسیار بااهمیتی میداند که نباید نسبت به آن بزرگنمایی صورت بگیرد و تنها با یک نگاه کارشناسانه مسایل و مشکلاتی که این ویروس ایجاد کرده است را میتوان با تحقیق مناسب حل کرد. در ارزیابی خساراتی که استاکسنت به صنایع کشور وارد کرده، درهشیری با تاکید بر تواناییها و قابلیتهایی که استاکسنت دارد و شرایطی که ایجاد میکند، این ویروس را تنها در جهت ایجاد رعب و وحشت دانست. او معتقد است اين ويروس خسارات چندانی وارد نکرده، هر چند اطلاعات موجود در این زمینه را قطعی ندانسته و یگانه راهحل مطلوب برای مقابله با اینگونه ویروسها را نصب آنتیویروس اورجینال ميداند و بس. استاکسنت هشدار خوب و به موقعی بود که خود را برای تهدیدات مشابه در زمینه امنیتی مجهز کنیم. موضوعی که بسیاری از مدیران ارشد در شرکتهای بزرگ این مهم را نادیده میگیرند.
این کرم سیاسی نیست
در مقابل برخی از فعالین این بازار اعتقاد دارند استاکسنت سیاسی نیست و در مورد نتایج مخرب آن بزرگنمایی صورت گرفته است. برای مثال اسماعیل ذبیحی مدیر اطلاعرسانی شرکت مهندسی پاندا، با اعلام این مطلب گفت: «تنها دو درصد از کل کامپیوترهای ایران آلوده به این ویروس شدهاند در حالی که درصد رایانههای آلوده آمریکایی نسبت به کل رایانههای موجود در آمریکا بیشتر است. بنابراین استاکسنت از لحاظ شیوع و شدت پراکندگی محلی از اعراب ندارد و تنها اهمیت آن اثرگذاری روی سیستمهای صنایع بزرگ است که پر واضح است که چنین سازمانهایی هم اطلاعات مهم خود را در رایانههایی که به اینترنت متصل میشوند قرار نمیدهند تا به این راحتی با یک ویروس تهدید شوند.» در نهایت ذبیحی، خسارات این کرم را در ایران کم ارزيابي ميکند.
او در پاسخ به سوال اقدامات انجام شده توسط دولت گفت: «دولت فقط متولی اطلاعرسانی است و نمیتوان از آن انتظارات اجرایی داشت. شبکهبندی در شرکتهای مختلف متفاوت است در نتیجه سیاستگذاری امنیتی هم متفاوت میشود. «دولت نمیتواند یک نسخه امنیتی را برای همه شرکتها تعریف کند.»
ذبیحی اطلاعرسانی دولت را در زمینه نفوذ استاکسنت به کشور مطلوب ارزیابی میکند، اما معتقد است تیم زبدهتری متشکل از شرکتهای امنیتی داخلی باید جمعآوری شوند تا در این باره چارهاندیشی کنند. شرکتهای امنیتی به دلیل سر و کار داشتن مداوم با ویروسها تجربه فراوانی در این زمینه دارا هستند. آنها میتوانند کمکهای ارزندهای برای مقابله با این کرم رایانهای ارایه دهند ولی در نهایت هر شرکت مسوول تامین امنیت خویش است. خصوصا مدیران شبکه در داخل سازمانها و شرکتهای دولتی و خصوصی در زمینه امنیت و حفاظت اطلاعات خود غیرحرفهای عمل کردهاند و این عامل اصلی شیوع اکستاسنت در ایران است. مدیرعامل شرکت مهندسی پاندا 30 درصد مشکل را به عملکرد ضعیف دولت نسبت میدهد و در 70 درصد بقیه مقصر را خود سازمانها و صنایع میداند.
مدیر اطلاعرسانی شرکت پاندا، در مورد اقدامات شرکت پاندا علیه کرم رایانهای استاکسنت عنوان کرد: «ما به طور موازی و همزمان با شرکت مایکروسافت در این زمینه به رسانهها و سپس به مشتریان خود اطلاعرسانی کردیم.»
همچنین او از عدم امکان اصلاح سیستمهای عامل ویندوز 2000 و XP که به این ویروس آلوده شدهاند خبر داد و به شرکتهایی که همچنان از این سیستمهای عامل استفاده میکنند، هشدار داد.
مصاحبه بیمصاحبه
تاکنون جدیدترین اخبار در خصوص موضعگیری دولتی درباره استاکسنت متعلق به مدیرکل دفتر صنایع برق و الکترونیک و فناوری اطلاعات وزارت صنایع است که از ساخت همان آنتی ویروس توسط دو شرکت داخلی خبر داده است. محمود لیایی در گفتگو با خبرگزاریها ضمن اعلام این خبر چنان ارزش امنیتی براي این محصول جدید قائل شده است که خطاب به شرکتهای داخلی گفت: «استفاده از آنتیویروس زیمنس را توصیه نمیکنیم زیرا اگر پشت طراحی کرم جاسوس استاکسنت، اراده دولتی وجود داشته باشد ممکن است چنین ارادهای در شرکت زیمنس نیز به شکل دیگری وجود داشته باشد.» این گفتههای مقام وزارت صنایع از آن رو حائز اهمیت است که رنگ و بویی بدبینانه نسبت به کمپانی زیمنس به عنوان شریک استراتژیک دولت طی سالهای اخیر دارد و حتی لیایی در پاسخ به سوالی در خصوص آنکه آیا شما کشور آلمان را منشا طراحی و تولید کرم جاسوس استاکسنت میدانید، گفت: «منشا این کرم جاسوس را آلمان نمیدانیم اما در هر صورت این جاسوسافزار به منظور دستيابي به اطلاعات صنعتی ایران طراحي شده است.»
لیایی همچنین با تایید خروج اطلاعات صنعتی از کشور توسط کرم جاسوس استاکسنت بدون اشاره به آمار و ارقام مربوط به اطلاعات صنعتی خارج شده از کشور، گفت: «جلسه مربوط به این کرم جاسوس چند روز پیش در وزارت ارتباطات و فناوری اطلاعات برگزار شد و قرار نیست راجع به این موضوع مصاحبه کنیم.»
مدیرکل دفتر صنایع برق و الکترونیک و فناوری اطلاعات وزارت صنایع و معادن همچنین درباره میزان آلودگی رایانههای ایرانی به این کرم جاسوس گفت: «پیشبینی شده که 60 درصد رایانههای ایرانی به این کرم آلوده شدهاند. اما کارگروه برآوردی در این زمینه اعلام نکرده است.» این اظهارات از آن رو انعکاس گستردهای در رسانههای داخلی داشت که تاکنون نهتنها دولت هیچ واکنشی رسمی به تهدیدات استاکسنت نشان نداده بود بلکه حتی یک بار وجود آن را نیز تکذیب کرده بود.
احتمال انفجار فقط در صنایع و تاسیسات هسته ای در ایران بر اثر کرم استاکس نت
شهریار سیامی - بی بی سی
آنچه تا این لحظه از نتایج Decode کردن ویروس(کرم اینترنتی) بسیار هوشمند استاکس نت توسط شرکت آلمانی معتبر لنگنر انجام شده و در کامپیوتر ورلد 25 شهریور منتشر شده نشان میدهد این کرم تنها یک جاسوس نیست بلکه فقط در ایران میتواند کنترل کارخانجات را نیز بدست بگیرد و عملیات خرابکارانه انجام دهد.
استاکس نت اولین ویروس شناخته شده است که میتواند همه ی تأسیسات زیربنایی مانند نیروگاه های برق و تأسیسات آب و تأسیسات هسته ای و اکثریت صنایع مختلف ایران و بعضی کشورهای دیگر را که از سیستم زیمنس استفاده میکنند آلوده کند اما طوری برنامه ریزی شده که Blow up یا انفجار و فعالیتهای تخریبی آن فقط در ایران رخ میدهد.سریعترین راه و گاهی تنها راه رهایی از شر این کرم مخرب،تعطیل کردن کارخانه ها و تعویض فیزیکی چیپهای آلوده سیستمهای SCADA است!
کارشناسان فناوری اطلاعات می گویند که کرم اینترنتی استاکس نت که پیش تر آلوده شدن بسیاری از کامپوترهای صنعتی و اقتصادی ایران به آن اعلام شده بود، ممکن است اخلال در تاسیسات هسته ای این کشور را هدف گرفته باشد.
اطلاعات جدید در مورد این نرم افزار مخرب یا بدافزار (malicious software یا malware) نشان می دهد که استاکس نت توانایی این را دارد که علاوه بر کامپیوترهای صنعتی ایران، به برنامه های هسته ای این کشور هم نفوذ کند.
بررسیهای تلویزیون فارسی بی بی سی در تیرماه گذشته نشان داده بود که سیستم های صنعتی ایران به کرم جاسوسی به نام استاکس نت آلوده شده اند که احتمالاً اطلاعات صنعتی و محرمانه زیادی را از ایران خارج کرده است.
در آن زمان، تیم کارشناسی بی بی سی اعلام کرده بود که این حمله سایبری می تواند در آینده نتایج مخربی برای بخش های امنیت اطلاعات ایران داشته باشد.
بررسی های جدید نشان می دهد که استاکس نت نخستین کرم جاسوسی شناخته شده ای است که می تواند تاسیسات زیربنایی نظیر نیروگاه های برق، سیستم های توزیع آب آشامیدنی و واحدهای بزرگ صنعتی را مورد هدف قرار دهد.
لیام امورچو، از بخش امنیتی شرکت نرم افزاری سیمانتیک در این مورد به بی بی سی گفت: واقعیت این است که ما بیشترین میزان آلودگی به کرم استاکس نت را در ایران مشاهده کرده ایم و بر این اساس احتمال می دهیم که کسی که این بدافزار را طراحی کرده، احتمالا ایران را به عنوان هدف اصلی در نظر داشته است.
برخی از گمانهزنیها هدف استاکس نت را ایجاد اخلال در کار نیروگاه اتمی بوشهر و تاسیسات غنی سازی اورانیوم نطنز در ایران ارزیابی کرده اند، اما آقای امورچو و برخی دیگر کارشناسان امنیت فضای مجازی مانند بروس اشنایر، می گویند که هنوز دلایل کافی برای چنین نتیجه گیری وجود ندارد.
ببینید
* استاکس نت در ایران جاسوسی می کند
برخلاف دیگر بدافزارهای رایج، استاکس نت کامپیوترهایی را هدف می گیرد که بیشتر اوقات از بیم آلودگی به ویروس به شبکه اینترنت وصل نمی شوند.
این کرم جاسوس توانایی انتقال از طریق یو اس پی به کامپیوتر را دارد و بعد از ورود به اولین کامپیوتر می تواند به صورت خزنده از طریق هر شبکه ای از جمله اینترنت به کامپیوترهای دیگر وارد شود.
کرم استاکس نت پس از رسیدن به این سیستمها، شروع به جمع آوری اطلاعات محصولات آن کارخانه، روند تولید و حتی اطلاعات ذخیره موجود در سیستم می کند؛ سپس از طریق اتصال به اینترنت اطلاعات را به مقصد نامعلومی ارسال می کند.
موضوع زمانی اهمیت پیدا می کند که خصوصیات این کرم کامپیوتری را بدانیم: مقصد اصلی کرم استاکس نت سیستم های کنترل صنعتی است، حتی کارشناسان شرکت زیمنس آلمان دریافتند که این کرم، برنامه سیستمهای کنترل صنعتی زیمنس به نام اسکادا را هدف قرار داده است.
اسکادا در کارخانه های تولیدی، نیروگاههای برق، تصفیهخانههای آب، صنایع نفت و گاز و برخی از آزمایشگاه های پیشرفته استفاده می شود.
این سیستم ها حتی در برخی از کشتی ها و نیروی دریایی نیز کاربرد دارد.
در ۳۱ تیرماه گذشته، شرکت سیمانتک که یکی از بزرگترین تولیدکننده های ضد ویروس در جهان است، گزارشی منتشر کرد که حکایت از آلودگی کامپیوترهای جهان به کرمی به نام استاکس نت داشت.
نکته قابل توجه این گزارش، آماری بود که نشان می داد ۶۰ درصد از آلودگی های این کرم در جهان، از آی پی های کاربران ایرانی ارسال شده است.
در واکنش به این اخبار، ایرنا (خبرگزاری رسمی ایران) نیز روز چهارشنبه ۲۷ مرداد (۱۸ اوت) از تشکیل کمیته بحران برای بررسی این موضوع خبر داد.
پس از شناسایی کرم استاکس نت درجهان و گزارش سیمانتک، خبرگزاری های ایران به طور محدودی به اطلاع رسانی درباره این حمله سایبری پرداختند.
تیمهای پاکسازی ويروس استاكسنت آماده شدند
رایانههای ایران از اوایل مرداد ماه مورد هجوم کرم خطرناک رایانهای به نام استاکس نت که اطلاعات سیستمهای کنترل صنعتی را به سرقت میبرد قرار گرفتند اما با وجود تلاشها، فعالیت این بدافزار که سازندگان آن تروریسم سایبری نامیده شدهاند ادامه دارد.
به گزارش مهر، حدود دو ماه است که رایانههای ایرانی در معرض تاخت و تاز ویروس خطرناک استاکس نت قرار گرفته اند که تلاش میکند اطلاعات سیستمهای کنترل صنعتی را به سرقت برده و آنها را بر روی اینترنت قرار دهد.
پیچیدگی کرم نرمافزاری Stuxnet به اندازهای است که برخی از متخصصان خارجی حدس میزنند ساخت این نرمافزار مخرب توسط تروریسم سایبری صورت گرفته باشد. به بیانی دیگر گروه یا کشوری با هدف تخریب ساختارهای حیاتی یک کشور این نرمافزار را نوشته و فعال کرده است.
گفته میشود این اولین ویروس رایانهای است که با هدف ایجاد تغییرات فیزیک در جهان واقعی ساخته شده است. بر اساس اطلاعاتی که شرکت سایمنتک منتشر کرده است در حدود 60 درصد از سیستمهای رایانهای که به این ویروس آلوده شدهاند در ایران قرار دارند و در همین حال اندونزی و هندوستان نیز به واسطه این بدافزار مورد هجوم قرار گرفتهاند.
البته این شرکت اعلام کرده که تاریخ نشانههای دیجیتالی که از این کرم رایانهای به جا مانده نشان میدهد که این بدافزار از ماه ژانویه سال میلادی (دی ماه 88) میان رایانهها در گردش بوده است. این کرم به دنبال سیستم مدیریتی SCADA زیمنس که معمولا در کارخانههای بزرگ تولیدی و صنعتی مانند شرکتهای نفتی و نیروگاههای تولید برق است و تلاش میکند اسرار صنعتی رایانههای این کارخانهها را بر روی اینترنت بارگذاری کند.
اگرچه تاکنون اعلام نشده که چرا ایران و یا چند کشور خاص به این اندازه تحت تاثیر آلودگیهای این ویروس قرار دارند اما گفته شده افرادی که این نرمافزارهای خاص را ساختهاند آن را ویژه حمله به این نقاط جغرافیایی خاص طراحی کردهاند.
همچنین اعلام شده است که کرم استاکس نت توسط ابزارهای USB دار انتقال پیدا میکند و زمانی که ابزاری آلوده به این شکل به رایانه اتصال پیدا میکند، کدهای آن به جستوجوی سیستمهای زیمنس گشته و خود را بر روی هر ابزار USB دار دیگری که بیابد، کپی خواهد کرد.
شنیدهها همچنین حاکی از آن است که تعداد کمی از رایانههای خانگی در سرتاسر جهان نیز به این کرم آلوده شدهاند که تعداد دقیق رایانههای آلوده میتواند در حدود 15 تا 20 هزار باشد زیرا بسیاری از شرکتها برای چند رایانه یک آدرس IP در نظر میگیرند.
البته موسسه سایمنتک در آخرین بررسیهای خود اعلام کرده که فعالیت این کرم مخرب صنعتی مجدداً تشدید شده است. با توجه به اینکه سازمانها و واحدهای صنعتی کشور دیر متوجه نفوذ ویروس جاسوسی به سیستمهای خود شدهاند، آخرین اخبار نشان میدهد که حدود 30 هزارIP در کشور شناسایی شدهاند که به این ویروس آلودهاند.
دبیر شورای فناوری اطلاعات وزارت صنایع و معادن از شناسایی این 30 هزار IP صنعتی آلوده به ویروس جاسوس استاکس نت خبر داده و اعلام کرده که هدفگیری این ویروس در راستای جنگ الکترونیکی علیه ایران است و این ویروس، اطلاعات مربوط به خطوط تولید را به خارج از کشور منتقل میکند.
محمود لیایی دراین باره گفته است که سیستمهای اتوماسیون صنعتی در ایران و بسیاری از کشورها تحت برند اسکادا زیمنس تولید شدهاند که این سیستمها هدف اصلی این ویروس قرار دارند و حتی اگر IPهای آلوده از ویروس پاکسازی شوند تا زمانی که این ویروس در کل کشور نابود نشود خطر آن همچنان وجود خواهد داشت.
به گفته وی با فعال شدن ویروس استاکس نت، سیستمهای اتوماسیون صنعتی، اطلاعات خط تولید را به مرکز اصلی مشخص شده توسط ویروس منتقل میکنند و این اطلاعات توسط طراحان ویروس مورد پردازش قرار میگیرد و به این ترتیب برای ضربهزدن به کشور برنامهریزی میشود.
وی همچنین از تجهیز سیستمهای صنعتی به آنتی ویروس خاص برای مبارزه با این ویروس خبر داده و به صنعتگران توصیه کرده که از آنتی ویروس شرکت اسکادا زیمنس استفاده نکنند زیرا ممکن است حتی در این آنتیویروسها نیز نسخههای جدید ویروس و یا برنامه به روزرسانی ویروس قبلی وجود داشته باشد.
لیایی با تاکید بر اینکه عزمی که باعث ایجاد و انتشار ویروس جاسوس استاکس نت شده است، یک عزم دولتی و سیاسی است و این سرویس فقط یک هرزنامه یا ویروس معمولی نیست از تشکیل ستادی با حضور نمایندگان وزارتخانهها و دستگاههای مرتبط این موضوع برای تصمیمگیری در مورد چگونگی مبارزه با این ویروس جاسوس خبر داد.
وی تصریح کرد: تخصص و سرمایهگذاری مورد نیاز برای مقابله با ویروس جاسوس در کشور وجود دارد و هم اکنون نیز آنتیویروس مخصوص برای مقابله با ویروس جاسوس توسط برخی شرکتهای تولیدی تهیه شده است.
در همین حال کارگروه مبارزه با ویروسهای صنعتی جاسوسی با عضویت وزارت ارتباطات، وزارت صنایع، سازمان پدافند غیرعامل، کمیته افتای وزارت ارتباطات و مدیران انجمن رمز ایران تشکیل شد تا به بررسی ویروسهای صنعتی با تمرکز بر جاسوسافزار صنعتی استاکس نت و راههای پیشگیری، پاکسازی و ایمنسازی سیستمهای صنعتی آسیبپذیر از حملات امنیتی بپردازد.
براین اساس هفته گذشته نیز نشستی با حضور نمایندگان این سازمانها در وزارت صنایع برگزار شد که در آن میزان شیوع این جاسوسافزار در سیستمهای صنایع کشور مورد بررسی قرار گرفت و بر ضرورت آشنایی هرچه بیشتر مسئولان با روشهای نفوذ ویروسهای صنعتی و ابزارهای مقابله با آن تاکید شد که این امر میتواند تاثیر بسزایی در کاهش تخریب حملات ویروسی به فضای مجازی و سایبری صنعت کشور داشته باشد.
در این کارگروه همچنین مقرر شد تا اطلاع رسانی مناسب به واحدهای صنعتی در خصوص روشهای مقابله با این ویروسها انجام شود، همچنین از توان تولید داخل به منظور تهیه ابزارهای مقابلهای، حداکثر استفاده صورت گیرد.
مدیرعامل شرکت فناوری اطلاعات نیز درباره راهکار مقابله با کرم جاسوس سیستمهای صنعتی از پاکسازی توسط تیمهای امدادی دستگاهها و تحت هماهنگی تیم ماهر خبر داده و اعلام کرده نمایندگان تمام دستگاههای حیاتی و حساس نیز در مرکز ماهر (مرکز مدیریت امداد و هماهنگی عملیات رخداد رایانهای) مستقر هستند.
سعید مهدیون با تاکید بر اینکه مرکز ماهر آماده پاسخگویی و اطلاعرسانی در این زمینه است گفت: در حال حاضر تیمهای مربوطه کار را شروع کردند و با همکاری ماهر کارهای پاکسازی را انجام میدهند. در همین حال وزیر ارتباطات و فناوری اطلاعات از آمادگی تیمهای عملیاتی این وزارتخانه برای پاکسازی سیستمهای صنعتی آلوده به کرم جاسوسی استاکس نت خبر داده و گفته است تاکنون خسارت جدی از خرابی و از کاراندازی سیستمهای صنعتی گزارش نشده است.
رضا تقیپور با اشاره به اقدامات مدنظر این وزارتخانه برای پاکسازی سیستمهای صنعتی آلوده به کرم جاسوسی استاکس نت اعلام کرد که سیستمهایی که از وجود این بدافزار در شبکههای خود آگاهی دارند میتوانند با مراجعه به مراکز ماهر و گوهر شرکت فناوری اطلاعات در خصوص پاکسازی این ویروس رایانهای اقدام کنند.
وی با بیان اینکه در این مراکز ابزاری برای پاکسازی سیستمها از این بدافزار وجود دارد ادامه داد: در صورتیکه این ابزارها برای سیستمهای مورد نظر کفایت نکند تیمهای عملیاتی وزارت ارتباطات آمادگی آن را دارند تا برای پاکسازی شبکهها و رایانههای آلوده به این ویروس اقدام کنند.
تقیپور در مورد خطر این ویروس رایانهای در سیستمهای وزارت ارتباطات و فناوری اطلاعات با تاکید بر اینکه سیستمهای دولتی کم و بیش از فایروال (دیوارههای آتش) و مسائلی نظیر این استفاده میکنند اضافه کرد: نفوذ و آسیب این کرم جاسوسی در سیستمهای دولتی جدی نیست اما سیستمهای موسسات و سازمانهایی که این ابزارهای امنیتی را در اختیار ندارند طبیعتا مورد تهدید و آسیب هستند.
وزیر ارتباطات و فناوری اطلاعات بر اقدامات موثر برای ریشهکن کردن این بدافزار در کشور تاکید کرد و گفت: از شرکتها، موسسات و سازمانهای مختلف درخواست میشود از طریق اطلاعگیری از طریق سایتهای مربوط نسبت به انجام امور لازم برای ریشه کن کردن این بدافزار اقدام کنند.
تقیپور در مورد میزان خسارت وارده به سیستمهای صنعتی در برابر نفوذ این کرم جاسوسی گفت: الیته نمیتوان بر روی اطلاعات قیمت گذاشت اما خسارت خیلی جدی که باعث خرابی و از کاراندازی سیستمها شود گزارش نشده اما قطعا باید به صورت کامل این بدافزار پاکسازی شود.
