دومین تلاش هکر ایرانی بر ضد کاربران ایرانی

در یک هفته گذشته، گمانه‌زنی‌های بسیاری درباره جعل گواهی‌های امنیتی کمپانی DigiNator برای نفوذ به حریم خصوصی دیجیتال کاربران ایرانی منتشر شد. در بسیاری از رسانه‌های جهان، احتمال پشتیبانی حکومت ایران از این حملات گسترده مطرح شده، اما اطلاعاتی که هکر ایرانی منتشر کرده، نشان می‌دهد که هنوز نمی‌توان با قاطعیت از دخالت دولت سخن گفت، اگرچه بسیاری از کاربران در برابر این تهدید آسیب‌پذیر بوده‌اند.

آن‌طور که در گزارش امنیتی کمپانی Fox-IT آمده، تعداد گواهی‌های به سرقت رفته از کمپانی امنیتی DigiNotar مستقر در هلند، نسبت به آنچه در ابتدا اعلام شده بود افزایش چشم‌گیری یافته است؛ رقمی که در ابتدا اعلام شده بود ۲۵۰ بود که در روزهای اخیر به ۵۳۱ رسیده است. رقم هراس‌آوری است. ۵۳۱ گواهی SSL جعلی که ۳۴۴ دامنه اینترنتی از جمله سرویس‌های یاهو، فیس‌بوک، مایکروسافت، اسکایپ‌، AOL، موزیلا، فیلترشکن TOR، و سیستم مدیریت محتوای وردپرس و سایت پربیننده بالاترین را در بر گرفته است.

در این گزارش گفته شده ۳۰۰ هزار شناسه اینترنتی (IP) از ایران در دام این گواهی‌های جعلی افتاده‌اند. قربانی‌های چنین حملاتی، به‌طور بالقوه حتی ممکن است بسیار بیشتر از ۳۰۰ هزار نفر باشند، چون در بسیاری از نقاط ایران، چندین کاربر از یک آی‌پی مشترک استفاده می‌کنند؛ از جمله در کمپ‌های دانشگاهی، کافی‌نت‌ها یا دیگر مکان‌های عمومی.

۹۹ درصد آی‌پی‌هایی که در دام این حملات گرفتاد شدند، از ایران بودند. نکته اینجاست که هم‌چون همه آمارهای مرتبط با وضعیت اینترنت در ایران، نمی‌توان این رقم را دقیق و قطعی دانست، چون بسیاری از کاربران ایرانی از پراکسی‌های گوناگون یا وی‌پی‌ان برای اتصال به اینترنت استفاده می‌کنند و به همین خاطر در ثبت آمار، آنها نه به‌عنوان کاربر ایران، که به‌عنوان کاربر کشور واسطه‌ای شناخته می‌شوند که سرور پراکسی یا وی‌پی‌ان در آن قرار دارد. می‌توان گفت که تعداد کاربران ایرانی که به‌طور بالقوه در معرض این حملات بوده‌اند، می‌تواند بسیار بیش‌تر از ۳۰۰ هزار نفر باشد، اما این به معنی نفوذ به اطلاعات همه آنها نیست.

نکته اینجاست که همه این‌ها بر مبنای ادعاهایی است که هکر ۲۱ ساله ایرانی مطرح کرده است. او حتی گفته کاربرانی که به وب‌سایت‌های سازمان‌های برجسته جاسوسی در دنیا مراجعه می‌کنند، از جمله CIA (آمریکا)، موساد (اسرائیل) و MI6 (انگلیس) نیز در برابر حملات «مرد در میانه» (MITM) آسیب‌پذیرند، در حالی که بسیاری از متخصصان امنیتی معتقدند این اسامی فقط برای جلب توجه بیشتر در پیام این هکر گنجانده شده. البته ایرانی بودن او، ادعایی است که تا امروز راهی برای تایید یا تکذیب آن وجود ندارد. (بخوانید: سیا، موساد و کاربران ایرانی اینترنت، قربانیان حمله‌ی هکرها)

بازگشت هکر کومودو؛ مستقل یا وابسته به نظام؟

هکری که عملیات نفوذ به سرورهای دیجی‌ناتور برای سرقت و جعل گواهی‌های امنیتی را انجام داد، همان کسی است که اواسط ماه مارس، با هک کردن کمپانی امنیتی کومودو، بزرگ‌ترین مرکز صدور گواهی‌های دیجیتال در جهان، جنجالی در جهان تکنولوژی به پا کرد، جنجال موسوم به Comodogate. در حمله قبلی، او ۹ گواهی امنیتی صادر کرد که می‌توانست برای نفوذ به حریم خصوصی کاربران گوگل، مایکروسافت و اسکایپ استفاده شود.

آن زمان گفته می‌شد که این هکر انگیزه‌های سیاسی ندارد و صرفا ممکن است هکری «کلاه‌خاکستری» باشد که در پی بهره‌گیری خراب‌کارانه از اطلاعات خصوصی کاربران، یا در صدد کسب درآمد از طریق فروش داده‌ها در بازار سیاه دیجیتال است.

برخی از متخصصان امنیتی با توجه به شواهد موجود و گستردگی عملیات، حملات سایبری اخیر با گواهی‌های امنیتی جعلی را «تحت حمایت دولت ایران» می‌دانند. اما تحلیل محتوای پیامی که او منتشر کرده، نشان می‌دهد که احتمال مستقل عمل کردن او بیش‌تر از وابستگی‌اش به نظام یا نهاد‌های فعال در سرکوب دیجیتال، مانند ارتش سایبری است. اگرچه او تاکید می‌کند که مدافع سیاست‌های نظام است و مخالفان را، از مجاهدین خلق تا حامیان جنبش سبز، «گانگستر» خطاب می‌کند. به اعتقاد او چیزی به نام «جنبش سبز» در ایران وجود ندارد. (بخوانید: پهن کردن دام برای کاربران ایرانی گوگل؛ آیا پای حکومت در میان است؟)

هکر ۲۱ ساله کومودو، آن‌طور که خودش در پیامی که در وب‌سایت PasteBin منتشر کرده می‌گوید، در ایران مشغول تحصیل در دانشگاه است، خودش تکنیک‌های هک را یاد گرفته و تنها کار می‌کند و به تیم یا گروه دیگری وابسته نیست. مصاحبه او با بخش انگلیسی دویچه‌وله در ماه مارس نشان می‌دهد احساسات ناسیونالیستی و تلاش برای بهره‌گیری از توانایی‌های فنی در زمینه امنیت برای کسب شهرت در سطح جهان، مهم‌ترین انگیزه‌های او بوده است. اما در آینده بیشتر می‌توان در این‌باره گفت و آسان‌تر می‌توان قضاوت کرد؛ آن‌طور که او می‌گوید، این قصه سر دراز دارد.

«لاله‌های سیاه بیش‌تری در راه است»

او در پیام خود می‌گوید: «در مصاحبه‌هایم گفته بودم که هنوز به بسیاری از مراکز صدور گواهی دسترسی دارم. حالا می‌گویم که به چهار مرکز دیگر هم دسترسی پیدا کرده‌ام و به سادگی می‌توانم از آنها برای صدور گواهی‌های جدید استفاده کنم.» او فقط به نام یکی از آن مراکز اشاره می‌کند: «گلوبال‌ساین.»

مسئولان این کمپانی اما می‌گویند در بررسی‌های دقیق خود با هیچ نشانه‌ای از وقوع چنین حمله‌ای مواجه نشده‌اند و پی‌گیری‌های جدی خود را ادامه خواهند داد تا در صورت وقوع حمله، بلافاصله واکنش لازم را نشان دهند.

این نخستین باری است که او در پیام خود، مضامین سیاسی مطرح می‌کند: «باید بدانید هر کاری که انجام می‌دهید پیامدهایی دارد؛ هر کاری که کشورهای شما در گذشته انجام داده‌اند، باید هزینه‌اش را بپردازید.» او در پیام خود، از کشتار یا نسل‌کشی سربرنیتسا به‌عنوان یکی از این اقدامات یاد می‌کند که «امروز پس از گذشت ۱۶ سال، هلند باید هزینه‌اش را بپردازد» چون در ماجرای سربرنیتسا «جان ۸ هزار مسلمان را با ۳۰ سرباز هلندی تاخت زده است.» حمله به دیجی‌ناتور، در شانزدهمین سالگرد کشتار سربرنیتسا انجام شده است.

او همچنین در این پیام اعلام کرده که جزئیات فنی عملیات نفوذ خود به سرورهای دیجی‌نوتار و گذر از ۶ لایه امنیتی آنها را در آینده نزدیک منتشر خواهد کرد. به گفته این هکر ایرانی، او در حالی به سرورها نفوذ کرده که همه پورت‌های مرتبط با اتصالات راه دور بلاک شده بود و فایروال‌های قدرتمندی وجود داشت و ششمین لایه امنیتی، متصل به اینترنت نبود. به همین خاطر او معتقد است «تشریح جزئیات این عملیات، می‌تواند درس بزرگی حتی به گروه‌هایی نظیر انانیمس و لولزسک باشد.»

آنچه کاربران برای حفاظت از حریم خصوصی خود باید بدانند

کمپانی‌های تولیدکننده مرورگرها خیلی سریع به این رویداد واکنش نشان دادند و آسیب‌پذیری‌های موجود را برطرف کردند، اگرچه در مدت ۵۰ روزی که کسی از جریان سوء استفاده از این گواهی‌ها باخبر نبود، ممکن است عملیات نفوذ گسترده‌ای بر ضد کاربران صورت گرفته باشد. اما مساله اینجاست که تولیدکنندگان گوشی‌های هوشمند واکنش لازم را نشان نداده‌اند و کاربرانی که از گوشی هوشمند برای اتصال به اینترنت استفاده می‌کنند، باید محتاطانه‌تر برخورد کنند تا در دام نفوذگران گرفتار نشوند.

اپل، گوگل، مایکروسافت و RIM (تولیدکننده گوشی‌های بلک‌بری) به‌عنوان تولیدکننده‌های اصلی گوشی‌های هوشمند در جهان، هنوز واکنش رسمی به خبرهای پیرامون افزایش عجیب تعداد گواهی‌های به سرقت رفته نشان نداده‌اند، در حالی که میلیون‌ها کاربر آی‌فون، آی‌پد و اندروید در جهان و به‌خصوص کشورهایی نظیر ایران، در معرض خطر قرار دارند.

از آنجایی که کمپانی‌های اپل و گوگل هنوز بسته امنیتی لازم برای رفع این آسیب‌پذیری‌ها را منتشر نکرده‌اند، بهتر است کاربران آی‌فون، آی‌پد، آی‌پاد، و نیز گوشی‌ها یا تبلت‌های مبتنی بر اندروید (سیستم‌عامل گوگل) تا زمان انتشار این بسته امنیتی از مرورگر اپرا استفاده کنند که در برابر این تهدیدها مقاوم است. استفاده از مرورگر سافاری، در شرایط کنونی امنیت کاربران را در معرض خطر قرار می‌دهد.

ایرانیان، هدف اصلی این حملات بودند. اگر کاربری که در دام این حملات گرفتار شود، از سرویس‌های دیگر گوگل نظیر Google Latitude هم استفاده کند، هکر می‌تواند مکان دقیق جغرافیایی او را هم شناسایی کند. گذشته از این، هکر می‌تواند با استفاده از اطلاعات ورود به جی‌میل، کنترل اکانت توییتر و فیس‌بوک کاربر را هم در اختیار بگیرد. اما از آنجایی که احتمالا تیم سازمان‌یافته‌ای در پس این حملات وجود ندارد و واکاوی داده‌های دزدیده شده در جریان این عملیات هم دشواری‌های خاصی دارد و بسیار زمان‌بر است، تغییر سریع پسوردها، توجه بیشتر به پیغام‌های هشدار مرورگرها و استفاده از مرورگرهای‌امن‌تر نظیر گوگل‌کروم و فایرفاکس می‌تواند از میزان ‌آسیب‌پذیری‌امنیتی کاربران ایرانی بکاهد. (بخوانید: اگر می‌خواهید امن بمانید، همیشه با HTTPS باشید)

ایرا ویکتور، مدیر کمپانی فارنسیکس، و از اعضای انجمن بررسی جرایم تکنولوژیک (HTCIA) می‌گوید ممکن است به واسطه همین گواهی‌های جعلی، کاربران دیگری در دیگر نقاط دنیا هم قربانی حملات نفوذ به حریم خصوصی دیجیتال شوند، «چون داده‌هایی که می‌توان از کاربران دزدید، صرف‌نظر از اینکه کاربر اهل چه کشوری باشد، مشتری‌های پروپاقرصی در بازارهای سیاه دیجیتال جهان دارد.»

ممکن است فروش داده‌ها و تلاش برای مطرح شدن، تنها هدف‌های هکر ایرانی از این حملات باشد. دویچه‌وله در تلاش است تا مصاحبه‌ای با این هکر ایرانی انجام دهد که در این صورت در روزهای آتی منتشر خواهد شد.

احسان نوروزی
تحریریه: یلدا کیانی