ارتش پنهان برای حمله به بانک‌ها / تهدید از همان جایی می‌آید که قرار بود امنیت بسازد

کد نوشته: 63204

۰۸ تیر ۱۴۰۵

2 بازدید

ماجرای فیلترینگ دیگر فقط بحث قطع شدن چند شبکه اجتماعی یا کلافگی کاربران نیست؛ این سیاست لایه‌های پنهان و فنی اینترنت کشور را به شدت آسیب‌پذیر کرده است. اصرار بر مسدودسازی گسترده، نه تنها جلوی حملات سایبری را نگرفته، بلکه باعث رواج بدافزارها، ایجاد بازار سیاه فیلترشکن و شکل‌گیری ارتش خاموشی از گوشی‌های آلوده شده که امنیت کل زیرساخت‌های کشور را تهدید می‌کنند.

ارتش پنهان برای حمله به بانک‌ها / تهدید از همان جایی می‌آید که قرار بود امنیت بسازد

تینا مزدکی_ فیلترینگ در سال‌های اخیر به یکی از بحث‌برانگیزترین سیاست‌های حوزه اینترنت در ایران تبدیل شده است؛ سیاستی که هدف آن کنترل دسترسی به برخی سرویس‌ها و افزایش امنیت عنوان می‌شود، اما همزمان انتقادهای گسترده‌ای درباره پیامدهای آن بر کیفیت اینترنت، امنیت سایبری و حتی شکل‌گیری بازار بزرگ فیلترشکن‌ها مطرح است.

بسیاری از کاربران امروز برای انجام ساده‌ترین فعالیت‌های روزمره خود ناچار به استفاده از ابزارهای دور زدن فیلترینگ هستند؛ ابزاری که به گفته برخی کارشناسان، خود می‌تواند به منشأ تهدیدهای امنیتی جدید تبدیل شود. در گفت‌وگو با آرین اقبال، کارشناس امنیت شبکه، تلاش کرده‌ایم از زاویه‌ای فنی به این پرسش پاسخ دهیم که فیلترینگ دقیقاً چگونه در شبکه ایران اعمال می‌شود و چه تأثیری بر کیفیت اینترنت، امنیت کاربران و زیرساخت‌های ارتباطی کشور گذاشته است.

اینترنت ایران به زبان ساده چگونه کار می‌کند؟

آرین اقبال، کارشناس امنیت شبکه، می‌گوید برای اینکه وضعیت فعلی اینترنت در ایران را بهتر درک کنیم، ابتدا باید بدانیم اینترنت چگونه کار می‌کند. به گفته او، اینترنت در واقع از تعداد زیادی شبکه مستقل تشکیل شده که برای تبادل اطلاعات به یکدیگر متصل هستند. هر کدام از این شبکه‌ها یک «سیستم خودمختار» یا AS نام دارد. به زبان ساده، هر اپراتور یا ارائه‌دهنده اینترنت، مانند شاتل یا آسیاتک، شبکه مستقل خود را دارد. بنابراین وقتی گفته می‌شود یک اپراتور دچار قطعی شده، یعنی همان شبکه مستقل آن اپراتور از دسترس خارج شده است.

او توضیح می‌دهد که هر AS می‌تواند خدمات داخلی خود را بدون وابستگی به سایر شبکه‌ها ارائه کند و فقط زمانی که لازم باشد اطلاعات را به شبکه دیگری بفرستد، از طریق یک پروتکل مسیریابی به نام BGP مسیر مناسب را پیدا می‌کند.

اقبال برای روشن‌تر شدن موضوع مثالی می‌زند: اگر کاربری از اینترنت شاتل استفاده کند و بخواهد وارد پلتفرمی مانند نماوا شود که سرورهای آن نیز در همان شبکه شاتل قرار دارند، اطلاعات کاربر اصلاً از شبکه شاتل خارج نمی‌شود. یعنی داده‌ها نه وارد شبکه اصلی کشور می‌شوند و نه از مرزهای ایران عبور می‌کنند. این موضوع به محل فیزیکی سرورها ربطی ندارد؛ حتی اگر تجهیزات در شهرهای مختلف باشند، تا زمانی که در یک شبکه قرار دارند، اطلاعات در همان شبکه جابه‌جا می‌شود.

به گفته این کارشناس، همین سازوکار در سایر اپراتورها نیز وجود دارد. برای اینکه کاربران با سرعت بیشتر و تأخیر کمتر به خدمات داخلی دسترسی داشته باشند، اپراتورها مراکزی به نام IXP یا مرکز تبادل ترافیک ایجاد کرده‌اند. این مراکز باعث می‌شوند اطلاعات بین اپراتورهای داخلی مستقیماً رد و بدل شود و نیازی نباشد از مسیرهای طولانی یا شبکه‌های واسطه عبور کند؛ موضوعی که هم کیفیت اینترنت را افزایش می‌دهد و هم هزینه انتقال داده را کاهش می‌دهد.

اقبال در ادامه به تفاوت ایران با بسیاری از کشورهای دنیا اشاره می‌کند. او می‌گوید در کشورهای دیگر، اپراتورهای بزرگ می‌توانند مستقیماً به شرکت‌های بین‌المللی تأمین‌کننده اینترنت متصل شوند، اما در ایران چنین امکانی وجود ندارد. بر اساس قوانین، همه اپراتورها باید اینترنت بین‌الملل را فقط از طریق شرکت ارتباطات زیرساخت دریافت کنند و این شرکت تنها دروازه اتصال کشور به اینترنت جهانی است.

او همچنین معتقد است آنچه امروز با عنوان «شبکه ملی اطلاعات» مطرح می‌شود، از نظر فنی مفهوم تازه‌ای نیست. به گفته اقبال، از همان زمانی که اینترنت در ایران راه‌اندازی شد، اطلاعاتی که مقصدشان داخل کشور بود، به طور طبیعی از داخل شبکه ایران جابه‌جا می‌شدند و نیازی به خروج از کشور نداشتند.

این کارشناس امنیت شبکه در پایان تأکید می‌کند برخی ادعاها مبنی بر اینکه اطلاعات کاربران هنگام باز کردن یک وب‌سایت ایرانی ابتدا به خارج از کشور می‌رود و سپس بازمی‌گردد، از نظر فنی درست نیست. به گفته او، داده‌ها همیشه کوتاه‌ترین مسیر ممکن را انتخاب می‌کنند و تا زمانی که سرور مقصد در داخل ایران قرار داشته باشد، ترافیک نیز از مرزهای کشور خارج نخواهد شد.

اینترنت ایران چگونه فیلتر می‌شود؟

آرین اقبال، کارشناس امنیت شبکه، می‌گوید مسیر ورود اینترنت جهانی به ایران بسیار محدود است. به گفته او، اینترنت بین‌الملل تنها از دو مسیر وارد کشور می‌شود؛ یکی از طریق پژوهشگاه دانش‌های بنیادی (IPM) که فقط به دانشگاه‌ها و مراکز پژوهشی خدمات می‌دهد و دیگری از طریق شرکت ارتباطات زیرساخت که اینترنت را در اختیار اپراتورهای تلفن همراه، شرکت‌های اینترنتی و سایر ارائه‌دهندگان خدمات قرار می‌دهد. این شرکت‌ها نیز اینترنت را به کاربران خانگی، سازمان‌ها، شرکت‌ها و مراکز داده می‌رسانند.

او توضیح می‌دهد که سامانه‌های فیلترینگ نیز در دو نقطه اصلی شبکه نصب شده‌اند؛ بخشی در دروازه‌های بین‌المللی شرکت ارتباطات زیرساخت و بخشی دیگر در شبکه اپراتورها و شرکت‌های ارائه‌دهنده اینترنت.

به گفته اقبال، طبق قوانین، همه شرکت‌های ارائه‌دهنده اینترنت موظف هستند تجهیزات فیلترینگ را با هزینه خود خریداری و در شبکه‌شان نصب کنند. با این حال، این شرکت‌ها فقط محل استقرار این تجهیزات را فراهم می‌کنند و اختیار تغییر تنظیمات یا نحوه عملکرد آن‌ها را ندارند.

او می‌گوید نگهداری و به‌روزرسانی این تجهیزات بر عهده شرکت‌های سازنده است، اما تنظیم قوانین فیلترینگ توسط واحدی به نام «امنیت شبکه» انجام می‌شود. این واحد با همکاری وزارت اطلاعات و وزارت ارتباطات فعالیت می‌کند و وظیفه اجرای سیاست‌های فیلترینگ را بر عهده دارد.

اقبال تأکید می‌کند که واحد امنیت شبکه خود تصمیم‌گیرنده درباره فیلتر شدن یا نشدن یک سرویس نیست، بلکه فقط مصوبات نهادهایی مانند کارگروه تعیین مصادیق محتوای مجرمانه، قوه قضاییه و شورای عالی فضای مجازی را روی تجهیزات فیلترینگ اجرا می‌کند.

فیلترینگ کیفیت اینترنت را کاهش می‌دهد

آرین اقبال، کارشناس امنیت شبکه، می‌گوید فیلترینگ فقط دسترسی به برخی سایت‌ها را محدود نمی‌کند، بلکه کیفیت اینترنت را هم به‌طور مستقیم کاهش می‌دهد. به گفته او، فیلترینگ یک فرآیند فعال است؛ یعنی تجهیزات شبکه باید تمام داده‌هایی را که در اینترنت جابه‌جا می‌شوند بررسی کنند تا تشخیص دهند کدام‌یک اجازه عبور دارند و کدام‌یک باید مسدود شوند.

او توضیح می‌دهد که این بررسی مداوم، فشار زیادی به تجهیزات شبکه وارد می‌کند و در نتیجه سرعت اینترنت کاهش می‌یابد، تأخیر در ارسال و دریافت اطلاعات بیشتر می‌شود، ارتباط ناپایدارتر می‌شود و بخشی از داده‌ها نیز در مسیر از بین می‌روند. به گفته اقبال، حتی اگر پیشرفته‌ترین تجهیزات فیلترینگ دنیا بدون اعمال هیچ محدودیتی در شبکه نصب شوند، صرف عبور ترافیک از این تجهیزات باعث کاهش کارایی شبکه خواهد شد.

این کارشناس امنیت شبکه می‌گوید تفاوت کیفیت اینترنت را می‌توان به‌سادگی در مقایسه برخی اتصال‌های بدون فیلتر، مانند «اینترنت سفید»، با اینترنت معمولی مشاهده کرد؛ جایی که شاخص‌هایی مانند سرعت، میزان تأخیر و پایداری اتصال، اختلاف محسوسی با یکدیگر دارند.

محدودیت HTTP/3 سرعت و پایداری اینترنت را کاهش داده است

آرین اقبال، کارشناس امنیت شبکه، می‌گوید هرچه فیلترینگ گسترده‌تر شود، کاربران بیشتری برای انجام کارهای روزمره خود مجبور به استفاده از فیلترشکن می‌شوند. به گفته او، چون ارتباط فیلترشکن‌ها رمزگذاری شده است، سامانه‌های فیلترینگ نمی‌توانند محتوای داخل این ارتباطات را ببینند. به همین دلیل، برای مقابله با فیلترشکن‌ها از روش‌هایی استفاده می‌شود که گاهی روی کل شبکه اینترنت اثر منفی می‌گذارد.

اقبال توضیح می‌دهد یکی از این روش‌ها، کاهش سرعت یا قطع اتصال‌هایی است که مدت زیادی برقرار می‌مانند یا حجم زیادی از داده را جابه‌جا می‌کنند. این موضوع می‌تواند روی بسیاری از کاربران عادی نیز تأثیر بگذارد.

به گفته این کارشناس، روش دیگر، محدود کردن فناوری‌های جدید اینترنت مانند HTTP/3 است. این فناوری برای افزایش سرعت و امنیت وب طراحی شده، اما به دلیل ساختار فنی آن، امکان اعمال فیلترینگ دشوارتر است. به همین دلیل، محدود شدن آن می‌تواند باعث کاهش سرعت و پایداری بسیاری از وب‌سایت‌ها و سرویس‌های اینترنتی شود.

اقبال همچنین می‌گوید برای مقابله با برخی فیلترشکن‌ها، گاهی ترافیک UDP نیز دچار اختلال می‌شود. این در حالی است که همین نوع ترافیک در تماس‌های تصویری، کلاس‌های آنلاین، بازی‌های اینترنتی و بسیاری از سرویس‌های ارتباطی استفاده می‌شود. به گفته او، وقتی این ترافیک به‌طور گسترده محدود شود، تنها فیلترشکن‌ها تحت تأثیر قرار نمی‌گیرند، بلکه کیفیت بسیاری از خدمات آنلاین نیز کاهش پیدا می‌کند و عملکرد طبیعی اینترنت با اختلال مواجه می‌شود.

فیلترینگ نظارت امنیتی بر اینترنت را دشوارتر کرده است

آرین اقبال، کارشناس امنیت شبکه، می‌گوید یکی از مهم‌ترین پیامدهای فیلترینگ گسترده این است که برخلاف هدف اولیه، می‌تواند نظارت امنیتی بر اینترنت را دشوارتر کند. به گفته او، وظیفه اصلی واحدهای امنیت شبکه این است که ترافیک اینترنت را رصد کنند، تهدیدهای احتمالی را شناسایی کنند و بر وضعیت امنیتی فضای مجازی کشور اشراف داشته باشند. اما وقتی بخش بزرگی از کاربران برای انجام کارهای روزمره به استفاده از فیلترشکن روی می‌آورند، حجم زیادی از ترافیک اینترنت وارد تونل‌های رمزگذاری‌شده می‌شود و دیگر امکان بررسی محتوای آن مانند گذشته وجود ندارد.

او توضیح می‌دهد که پیش از گسترش استفاده از فیلترشکن‌ها، بخش زیادی از ترافیک اینترنت به‌صورت عادی در شبکه جریان داشت و امکان تحلیل آن برای شناسایی تهدیدهای امنیتی وجود داشت. اما اکنون بخش قابل توجهی از این ترافیک رمزگذاری شده و از مسیرهای واسطه عبور می‌کند. به گفته اقبال، به همین دلیل بسیاری از کارشناسان امنیت سایبری معتقدند که فیلترینگ گسترده، برخلاف هدف اعلام‌شده، بخشی از امکان نظارت فنی بر شبکه را کاهش داده است.

این کارشناس امنیت شبکه می‌گوید در کنار این موضوع، واحدهای امنیت شبکه وظایف مهم دیگری نیز بر عهده دارند؛ از جمله شناسایی و مقابله با حملات گسترده سایبری (DDoS)، تشخیص فعالیت بدافزارها، شناسایی زیرساخت‌های کلاهبرداری اینترنتی مانند صفحات فیشینگ، پیامک‌های جعلی و اپلیکیشن‌های آلوده، و همچنین رسیدگی سریع به آسیب‌پذیری‌های امنیتی و نصب به‌موقع به‌روزرسانی‌های امنیتی.

اقبال توضیح می‌دهد که در زمان وقوع یک حمله سایبری، این واحدها باید منشأ حمله را شناسایی کنند، به مراکز داده برای مسدود کردن سرورهای آلوده هشدار دهند و در صورت نیاز با همکاری وزارت ارتباطات، مسیرهای ارتباطی مهاجمان را محدود کنند. اما به گفته او، وقتی بخش زیادی از توان فنی، تجهیزات و نیروی انسانی صرف مقابله دائمی با فیلترشکن‌ها شود، رسیدگی به این وظایف مهم امنیتی نیز تحت تأثیر قرار می‌گیرد.

فروشندگان فیلترشکن مشتریان بزرگ دیتاسنترها شده‌اند

آرین اقبال، کارشناس امنیت شبکه، می‌گوید بازار فروش فیلترشکن دیگر مانند گذشته یک فعالیت کوچک و محدود نیست، بلکه به صنعتی بزرگ و سازمان‌یافته تبدیل شده است. به گفته او، در گذشته فروشندگان فیلترشکن معمولاً با اجاره یک سرور در خارج از کشور، خدمات خود را ارائه می‌کردند. اما با افزایش محدودیت‌ها و سخت‌تر شدن مسدودسازی، روش کار آن‌ها نیز تغییر کرده است.

اقبال توضیح می‌دهد که امروز بسیاری از فروشندگان فیلترشکن از سرورهایی در داخل کشور و هم‌زمان از سرورهایی در خارج از ایران استفاده می‌کنند. به این ترتیب، ارتباط کاربر ابتدا به یک سرور داخلی منتقل می‌شود و سپس با استفاده از روش‌های فنی مختلف به سرورهای خارج از کشور متصل می‌شود تا محدودیت‌ها دور زده شود.

به گفته این کارشناس، فروشندگان بزرگ فیلترشکن دیگر کاربران عادی نیستند، بلکه به مشتریان پرمصرف مراکز داده داخلی تبدیل شده‌اند و حجم بسیار زیادی از پهنای باند را مصرف می‌کنند. او می‌گوید در دوره‌هایی که محدودیت‌های اینترنت بیشتر بود، حتی برخی سرورها به «اینترنت سفید» یا دسترسی‌های ویژه مجهز بودند که اختلال کمتری داشتند. علاوه بر این، روش‌هایی مانند اینترنت ماهواره‌ای نیز به گسترش این بازار کمک کرده است.

اقبال معتقد است همین شرایط باعث شکل‌گیری یک بازار پرسود برای فروش فیلترشکن شده است؛ بازاری که به گفته او، گردش مالی بالایی دارد و برخی فعالان آن از درآمد این کسب‌وکار به ثروت قابل توجهی رسیده‌اند.

این کارشناس امنیت شبکه برای توضیح این وضعیت مثالی از بازار سیگار می‌زند. او می‌گوید اگر فروش یک کالا به بازار زیرزمینی کشیده شود، دیگر نظارتی بر کیفیت و سلامت آن وجود نخواهد داشت. به اعتقاد او، در فضای دیجیتال نیز وقتی کاربران مجبور شوند برای دسترسی به اینترنت از فیلترشکن‌ها و برنامه‌های ناشناس استفاده کنند، خطر نصب بدافزار، سرقت اطلاعات و هک شدن دستگاه‌ها افزایش پیدا می‌کند.

اقبال در پایان تأکید می‌کند که اگر دسترسی به اینترنت به شکل عادی برقرار بود و فیلترینگ فقط در موارد مشخص و بر اساس قوانین انجام می‌شد، مانند آنچه در برخی کشورهای منطقه اجرا می‌شود، بخش بزرگی از تقاضا برای استفاده از فیلترشکن و پیامدهای امنیتی ناشی از آن نیز به وجود نمی‌آمد.

فیلترشکن‌های ناشناس راه نفوذ هکرها را باز می‌کنند

آرین اقبال، کارشناس امنیت شبکه، در آخر گفت ترکیب فیلترینگ گسترده و تحریم‌ها، امنیت کاربران را با خطرهای بیشتری روبه‌رو کرده است. به گفته او، بسیاری از مردم برای انجام کارهای روزمره خود ناچارند از فیلترشکن استفاده کنند، اما اغلب این برنامه‌ها را از کانال‌های تلگرامی، وب‌سایت‌های ناشناس یا فروشگاه‌های غیررسمی دانلود می‌کنند؛ بدون اینکه بدانند این نرم‌افزارها تا چه اندازه قابل اعتماد هستند.

او توضیح می‌دهد که نصب چنین فیلترشکن‌هایی می‌تواند راه را برای ورود بدافزارها به تلفن همراه یا رایانه کاربران باز کند. نتیجه این اتفاق ممکن است سرقت اطلاعات شخصی، خالی شدن حساب‌های بانکی، سوءاستفاده از اطلاعات هویتی و حتی کلاهبرداری‌های اینترنتی باشد.

اقبال معتقد است اگر تعداد زیادی از کاربران به‌طور هم‌زمان از فیلترشکن‌های آلوده استفاده کنند، این موضوع فقط یک تهدید برای افراد نیست، بلکه می‌تواند به یک مشکل بزرگ در سطح کشور تبدیل شود. به گفته او، اگر میلیون‌ها گوشی یا رایانه به بدافزار آلوده شوند، هکرها می‌توانند آن‌ها را از راه دور کنترل کرده و از این دستگاه‌ها برای اجرای حملات گسترده سایبری علیه زیرساخت‌های مهم، از جمله بانک‌ها و سامانه‌های حیاتی، استفاده کنند. از آنجا که این حملات از داخل کشور انجام می‌شود، شناسایی و متوقف کردن آن‌ها بسیار دشوارتر خواهد بود.

این کارشناس امنیت شبکه هشدار می‌دهد که خطر زمانی بیشتر می‌شود که فیلترشکن‌های ناشناس روی رایانه‌های اداری یا سازمانی نصب شوند. او می‌گوید اگر یکی از کارکنان برای دور زدن محدودیت‌ها یک فیلترشکن آلوده را روی رایانه محل کار خود نصب کند، بدافزار می‌تواند وارد شبکه داخلی سازمان شود و در صورت نبود تدابیر امنیتی کافی، به سرعت به سایر رایانه‌ها نیز گسترش پیدا کند. به گفته اقبال، در چنین شرایطی امکان سرقت اسناد محرمانه، جاسوسی، نشت اطلاعات حساس و آسیب به زیرساخت‌های مهم کشور افزایش پیدا می‌کند.

۲۲۷۳۲۳