به گزارش تابناک کهگیلویه و بویراحمد ، مرکز آپا (آگاهیرسانی، پشتیبانی و امداد رایانهای) دانشگاه صنعتی اصفهان اعلام کرد: استانهای تهران، خراسان رضوی و اصفهان دارای بیشترین آدرسهای آلوده به بدافزار (malware) در سال گذشته بودند. مرکز تخصصی آپا (آگاهیرسانی، پشتیبانی و امداد رایانهای) دانشگاه صنعتی اصفهان در جدیدترین گزارش خود به بررسی رخدادهای مهم و وضعیت امنیت فضای مجازی ایران و جهان در سال ۹۸ پرداخت.
در این گزارش با اشاره به وضعیت امنیت فضای مجازی کشور در سال ۹۸، آمده است: از نظــر پراکندگی آدرسهای آلــوده بــه بدافزار، اســتان تهــران دارای رتبــه اول (بیــش از ۵۳ میلیــون گــزارش) و خراســان رضــوی (بیــش از ۲ میلیون) و اصفهــان (بیــش از یــک میلیــون و ۸۰۰ هــزار) در رتبههــای دوم و ســوم قــرار دارنــد.
بدافزار به برنامه مخرب گفته میشود که برای کاربران اینترنت و دستگاههای دیجیتال از قبیل رایانه و گوشی هوشمند مضر و شامل انواع ویروس، جاسوسی، کرمها و تروجان است.
کمترین تعداد گزارش آلودگی بــه بدافزار ثبت شــده در کل کشــور نیز مربوط بــه اســتانهای چهارمحال و بختیــاری با ۷۰ هزار و ۷۷۳ مورد و و کهگیلویه و بویراحمد با ۹۲ هزار و ۶۲۴ مورد است.
همچنین از نظر آدرسهای آســیبپذیر، استان تهران با بیش از ۵۷ میلیون گزارش آســیبپذیری در صدر جدول قرار دارد و اصفهان با بیش از پنج میلیون گــزارش و گیلان و فارس با بیش از چهار میلیون در رتبههای بعدی قرار دارند.
کمترین تعداد گزارش آســیبپذیری ثبت شـده در کل کشور نیز مربوط به اســتانهای چهارمحال و بختیاری با ۸۸ هزار و ۴۳۸ و لرســتان با ۱۰۵ هزار گزارش است.
مرکز آپای دانشگاه صنعتی اصفهان با اشاره به گزارش ســامانه بومی "بینا"، اعلام کرد: نگاه جامع به آمار نشان میدهد که در ســال ۹۸ در مجموع ۹۱ میلیون و ۵۸۳ هزار مرتبه هشدار درباره مشــاهده ترافیک مربوط به میزبانهای آلوده به بدافزار مشـاهده شــده اســت.
بطور میانگین این تعداد در هر ماه مربوط بــه ۲۵ درصد از کل فضای آدرس آی پی (IP) کشــور اســت امــا بدلیل تعــداد زیاد کاربران خانگی آلوده که آدرس آنها بطور متناوب تغییر میکند، بــرای بیــش از ۶۰ درصــد از کل فضای آدرس IP کشــور گــزارش آلودگی دریافت شــده اســت.
نـگاه دقیقتر به آمار نشـان میدهد که تعــداد آدرسهای آلـوده تقریبا در همه ماهها روند افزایشی داشــته و از یک میلیون و ۲۳۲ هزار مــورد در فروردیــن بــه سه میلیون و ۳۹۸ هزار در اســفند افزایش یافته اســت.
از نظر تعداد آســیبپذیری نیز در ســال گذشــته در ۹۳ میلیون و ۱۱۴ هزار مرتبــه هشــدار درباره آدرسهــای دارای آســیبپذیریهای منتخــب (اغلــب از نــوع پیکربندی نامناســب) ثبت شــده اســت که این تعــداد مربوط به ۳۰ درصد از کل آدرسهای IP کشــور در طول ســال است.
تعــداد آدرسهــای آســیبپذیر در سال گذشته دارای شــیب نزولی بوده و از یک میلیون و ۶۰۰ هزار مورد در فروردین به ۸۵۸ هزار مــورد در اســفند کاهش یافته اســت.
بررسـی آلودگیها نیز نشــان میدهد که بات avalanche – Andromeda با حدود ۶۵ میلیون مورد گزارش بعنوان پرتکرارتریــن بدافزار ســال ۱۳۹۸ در کشــورمان مطرح بود و teleplus.android و gamarue در ردههای دوم و ســوم قرار دارند.
از نقطــه نظــر آســیبپذیری نیز پروتــکل لایــه کاربردی cwmp درصدر جدول و ســرویسدهندههای DNS دارای پیکربنــدی نامناســب و تجهیــزات دارای پیکربندی نامناســب SNMP در ردههــای دوم و ســوم قــرار دارنــد.
مشکلات امنیتی تلگرام
همچنین در این گزارش به بررسی مهمترین رخدادهای امنیتی فضای مجازی کشور در سال گذشته پرداخته شده که یکی از بخشهای آن مربوط به پیامرسان تلگرام است.
در این گزارش تصریح شده است: " تلگرام با وجود فیلتر شدن در سال ۹۷، یکــی از پراســتفادهترین پیامرســانهای ســال گذشــته کاربران ایرانی بــود و نقش مهمــی در به خطــر افتــادن امنیــت و حریــم خصوصـی کاربران ایرانــی و بویژه کاربران تلفن همراه داشـت.
یکی از مشــکلات امنیتی کــه تلگــرام از ابتــدای نفوذ خود در میان کاربــران ایرانــی ایجاد کرد امکانات بــالای این برنامه بود؛ تلگرام نخستین پیامرســان محبــوب ایرانیان بود که امکان ارســال فایل و برنامه داشــت. این امکان موجب توزیع بدافزارهــا و برنامههای آلوده تلفن همراه در گروهها و کانالهای مختلف این پیامرســان شده اســت.
متاســفانه تعداد زیادی از کاربران با نصب ایــن برنامهها آلــوده به بدافزار شــدهاند اما بــا فیلترینــگ تلگــرام در ســال ۹۷ کاربران ایرانی بر خلاف دفعههای قبل بــه پیامرســان دیگری کــوچ نکردند و این امــر مشــکلات امنیتی دیگری را بــه همراه آورد.
متن باز بودن قســمت ســمت کاربر تلگــرام و فیلترینگ این موقعیت را ایجــاد کرد که پوســتههای غیررســمی تلگرام بــا امــکان دور زدن فیلترینــگ در میــان کاربــران ایرانی محبوبیــت پیدا کند؛ تلگرام طلایــی، موبوگــرام، هاتگرام و بســیاری از نســخههای غیررســمی تلگرام که بــه راحتی در بازارهــای ایرانــی برنامههــای کاربردی و در شــبکههای اجتماعــی در دســترس کاربــران قــرار داشــت، مخاطبان زیادی را به خود جذب کردند.
گفته شــده اســت کــه تلگرام طلایی بــه تنهایــی ۴۵ میلیون کاربر ایرانی داشــته اســت. با گسترش پوســتههای غیررسمی، بســیاری از کارشناسان و ســازمانهای متولی امنیت ابراز نگرانی کـرده و به کاربران هشــدار دادند که از این پوســتهها اســتفاده نکنند.
در طول زمان نیز مشخص شــد که برخی از این پوســتهها، اطلاعات را نه فقط برای ســرورهای تلگــرام بلکه برای ســرورهای خود نیز ارســال میکنند که ایــن امر ســبب گمانهایــی در مورد جاسوس بــودن برخی از این پوســتهها و نقــض حریــم خصوصی کاربران شــد.
در اردیبهشــت و خرداد سـال ۹۸ ، پوســتههای غیررســمی تلگــرام از دیــد مکانیزمهــای امنیتــی "گوگل پلی" بــعنوان بدافــزار شــناخته و از دســتگاههای کاربران حذف شــدند؛ با حذف ایــن برنامهها از روی گوشــی کاربران اندروید، این پوســتهها نیز به کار خود پایان دادند و بســیاری از آنها فعالیت رســمی خود را متوقف کردند.
با این حال، انتشار و توزیع نسخههای غیررسمی و گاهی آلوده به بدافزار برخی از پوســتهها بر روی گروهها و کانالهای تلگرامی بطور قطع موجب نقض حریــم خصوصی کاربران مســتقیم آنها و حتـی مخاطبان آن کاربران میشــود.
از ســوی دیگر پــس از فیلتر تلگــرام، کاربرانی کــه تمایل به استفاده از این پیامرسان داشــتند رو به استفاده از ویپیان (VPN) آوردند. به همین جهت اســتفاده از ویپیان بــرای دور زدن فیلترینـگ میان کاربران ایرانی رشــد بســیاری پیــدا کرد.
لازم به توضیح نیســت که اســتفاده از ویپیانهــای رایگان چقدر میتواند حریــم خصوصی و امنیت کاربــران را به خطر بیندازد؛ بســیاری از این ســرویسهای رایگان بارها جاسوسافزار تشــخیص داده و مشخص شد که امنیت و حریــم خصوصی اســتفادهکنندگان آنها را به خطر میندازد.
همچنین اســتفاده گسترده از ویپیان موجب شــد بســیاری از ترافیک کشــور که میتوانست در داخل کشور مســیریابی شــود، ابتدا به خارج از کشور هدایت و ســپس به داخل کشــور بازگرداننده شــود؛ این رفت و برگشت ترافیک هم بار زیادی به شبکه کشور تحمیل میکند.
اما ویپیان تنهــا راه دور زدن فیلترینگ در تلگرام نیســت؛ تلگرام برای کاربرانی که به دلیل فیلترینــگ نمیتوانند از این پیامرسان اســتفاده کنند، پروکســیهای MTproto را ارائه کرد.
این پروکســیهای داخلی امــکان دور زدن فیلترینگ را تنها برای پیامرســان تلگرام فراهم میکنند و دیگر نیازی به اســتفاده از ویپیان و عبور همه ترافیک تلفن همراه از آن نیست.
مدیرعامل تلگرام مدعی اســت که این پروکسیها امن است و سرور پروکسی امکان دسترسی به پیامهای کاربران را ندارد اما این پروکســیها یک کانال را بهعنوان کانــال تبلیغاتی به کاربر نشــان میدهند که گاهــی علاوه بر نمایــش پیامهای نامناســب، امکان توزیــع بدافــزار و برنامههای بعضا آلوده را فراهم میکند؛ همچنین در آذر ســال ۹۸ سرورهای پروکســی تلگرام عامل حملــه DDoS به یکی از ســرویسدهندههای ابری کشــور شــدند.
در بهمن و پس از حوادث ترور شهید ســردار ســلیمانی و حادثــه دلخــراش ســقوط هواپیمــا، رکــورد اســتفاده از تلگرام در بیــن کاربــران ایرانــی شکســته شــد؛ این امــر نشــان میدهد کــه کاربـران ایرانی تصمیم ندارند اســتفاده از این پیامرســان را کنــار بگذارند.
بهنظر میرسد در ســال جدید نیز قرار نیست مشکلات امنیتی مرتبط بــا تلگرام به پایان برســد؛ در روزهای ابتدایی امســال خبر افشــای اطلاعات ۴۲ میلیون کاربر ایرانــی تلگرام توجه بســیاری را به خود جلب کرد.
این اطلاعات که روی یک سرور بدون محافظت وجود داشــت، اکنون در انجمنهای هکری به فروش میرسد. شــماره تماس، نام و شناســه کاربری و برخی دیگر از اطلاعات کاربــران در این پایگاه داده موجود اســت".
مرکز آپای دانشگاه صنعتی اصفهان اظهار امیدواری کرد که امسال بــا اتخــاذ سیاســتهای درســت در قبــال ایــن پیامرســان، تهدیــدات امنیتــی اشــاره شــده بــرای کاربــران ایرانــی کاهــش یابــد.
رمز پویا و امنیت کاربر
در بخش دیگری از گزارش امنیت فضای مجازی کشور در سال ۹۸ به موضوع رمز پویای حساب های بانکی اشاره شده و آمده است: " فیشــینگ و ســرقت از حســابهای بانکــی یکی از چالشهای سیســتم بانکــی کشــور و پلیــس فتــا در ســالهای گذشــته بــود که برای رفــع این مشــکل، طرح رمز پویــا ارائه شــد. هدف طرح رمز پویــا، جایگزینی رمــز دوم ثابت بــا رمزهای زمــاندار یکبار مصرف اســت تا امــکان سوءاســتفاده از رمز دوم کاربران و ســرقت از حســاب آنهــا از بین بــرود.
این طرح موجــب برطرف شــدن بســیاری از ســرقتها شــد ولی مشــکلاتی بــرای کاربــران فراهــم کرد؛ بــهنظر میرســد مســألهای که از ابتدا در ایــن طرح نادیــده گرفته شــد، راحتــی کار با سیســتم بــرای عمــوم مردم اســت. در ابتدا هــر بانک یک برنامــه موبایل جداگانه ارائــه کرد.
این امر باعث شــد افرادی که چند حســاب بانکی داشتند مجبور شــوند برنامههای متعلق به همه بانکها را نصب کنند؛ این در حالی اســت که فعالســازی این برنامهها نیز برای یک کاربر عادی، ســاده نیســت و کارکنان بانکها نیز بهدلیل مراجعه زیاد بــرای رفع مشــکلات این برنامههــا و نحوه اســتفاده از آنها با مشــکل مواجه شــدند.
همچنین برخی از این برنامهها دارای ضعفهــای اجرایــی و یا امنیتــی بود که اســتفاده از آنهــا را بــرای برخــی ناممکــن میکرد. ِدر ادامــه این طرح پر ســر و صدا از ســامانه "هریم " (هدایت رمز یکبار مصرف ) بانک مرکزی رونمایی شــد و با پیوستن بانکهای مختلف به این ســامانه بسیاری از مشکلات دشــواری اســتفاده از برنامههای مختلف برای دریافت رمز دوم پویا مرتفع شد.
اکنون هرگاه به قصــد خرید به درگاه اینترنتی مراجعه شــود، یک دکمه درخواست رمز دوم پویا وجود دارد که با انتخاب آن، ســامانه هریم، رمز یکبار مصرف را برای کاربر پیامک میکند تا مشکل دشــواری اســتفاده از برنامههای مختلف حل شود.
اما هنوز کارشناســان در مورد این طرح نظرات مختلفی دارند؛ برخی معتقدند با وجود اینکه این طرح توانست مانع بسیاری از حمله های فیشینگ روی حســابهای بانکی شود، نتوانست بهصورت کامل امنیت کاربــران را تامین کند. اگرچه روی آوردن به سامانه هریم بسیاری از مشــکلات تجربه کاربری این طرح را بهخصوص بــرای کاربران عمومی برطرف کــرد، اما با این حال ارســال پیامک، روش امنی برای دریافت رمز نیســت.
برای تامین امنیت شــاید بهتر بــود به جای حــذف رمز دوم ثابــت و جایگزینی آن با رمز پویا، پارامتــری دیگر مثل CVV۲ (رمز اینترنتی) پویا شده و یا رمز از ۲ مولفه ثابت و پویا تشــکیل میشد تا مولفه "دانســته کاربر" که یکــی از اجزای امنیت اســت حفظ شـود.
اکنون رمز حســاب کاربران تنها به شــماره تلفن همراه که در بانک تعریف شــده وابسته اســت و اگر این دسترسی به دســت فرد دیگری بیفتد، امنیت کاربر کاملا نقض میشــود".
تنشهای بینالمللی و قطعی اینترنت
در ادامه این گزارش با اشاره به تنشهای بینالمللی سایبری آمده است: " در ابتدای سال ۹۸ با مشاهده روند افزایش فشار امریکا به ایران، کارشناسان در مورد لزوم آمادگی برای دفاع سایبری هشــدار دادند. بهخصوص که در زیرساخت شبکه کشور عمدتا از محصولات امریکایی اســتفاده شده و این مســاله میتواند نقطه ضعف ما در حملههای سایبری باشد.
تنگتر شدن حلقه تحریمها موجب شــد برخی از محصولات امنیت ســایبری در کشــور از کار بیفتد. بهعنــوان مثال در تیر مجوزهای یو تی ام های ســایبروم شــرکت ســوفوس که در ایران مورد اســتفاده قرار میگرفت، غیرفعال شد".
مرکز آپای دانشگاه صنعتی اصفهان تاکید کرد که با توجه به این تنشها باید برای دفاع سایبری آماده بود و شــبکهها و زیرساختهای ســایبری را برای مقابله با تهدیدات تقویت کرد.
در بخش دیگری از این گزارش به قطع شدن اینترنت پس از اتفاقهای آبــان سال گذشته اشاره و تصریح شده است: " ایــن تصمیم تبعات زیــادی داشــت. از کار افتــادن بســیاری از کســب و کارها در دوران قطعی اینترنــت، عدم دسترســی به بســیاری از ســرویسهای بیرون از کشــور و به روز نشــدن سیستمهای داخلــی تنهــا برخــی از مشــکلات ایــن تصمیــم بودند اما این بدعت مشخص کرد که باید تا حد امکان وابستگیهای غیرضروری را به شــبکه خارج از کشــور کم کرد تا در صورت تکرار، شاهد مشــکلات کمتری بود البته باید توجه داشت که تکرار این جنس تصمیمها ممکن اســت افراد را به ســمت دسترســی به اینترنت از راههای دیگری هدایت کند که تامین امنیت شبکه و کشور را با چالشهای جدیتری روبرو میکند".
در بخش دیگری از این گزارش نیز با اشاره به بدافزارهای اندرویدی آمده است: " کاربران ایرانی چند ســالی اســت که رتبــه اول آلودگیهای بدافــزاری دســتگاههای تلفن همراه را در جهــان دارنــد. کسپراســکی گزارش داده اســت که کاربران ایرانیاش بیش از هر کشــور دیگــری در ســال اخیــر گرفتــار تبلیغافزارها بویژه تروجان fa.Agent.AndroidOS.AdWare بودهانــد"
توصیههای امنیتی
مرکز آپای دانشگاه صنعتی اصفهان در گزارش خود توصیههایی را برای حفظ امنیت اطلاعات و فضای مجازی پیشنهاد کرد از جمله در پیش گرفتن یک برنامه دفاع سایبری منسجم بر اساس استانداردهای موجود در سازمان، پیادهسازی روال رسیدگی سریع به حوادث سایبری، انجام ارزیابی امنیتی در دورههای زمانی منظم برای همه زیرساخت فناوری اطلاعات سازمان، اجرای برنامه آموزش و آگاهیرسانی سایبری در سازمان، پیادهسازی روال مدیریت وصله متمرکز بهمنظور بهروزرسانی همه میزبانها در شبکه سازمان، راهاندازی یک راهکار تحلیل ترافیک شبکه و پشتیبانگیری خودکار دادهها بر روی تجهیزاتی که قابلیت نوشتن بعد از آن نداشته باشد.
همچنین به کاربران توصیه شده است که از ســامانهها و برنامههای امنیتی مناسب، قدرتمند و بهروز روی سیستمهای خود استفاده کنید، برنامهها و سیستم عاملهای خود را بهروز نگه دارید، ضمیمهها و فایلهای مشکوک ایمیل را باز نکنید، فایلهای مورد نظر خــود را از منابــع معتبر و مطمئن دانلود و از اطلاعات حساس خود نسخه پشتیبان تهیه کنید.
متن کامل این گزارش در پایگاه خبری دانشگاه صنعتی اصفهان به نشانی news.iut.ac.ir در دسترس است.
مرکز آپا دانشگاه صنعتی اصفهان بهعنوان یک مرکز امداد امنیت رایانهای، فعالیت خود را در زمینه ارائه سرویس مدیریت حوادث امنیتی و آسیبپذیریهای شبکه از سال ۱۳۸۶ در این دانشگاه آغاز کرده است.