سروش کرمیان تحریریه

پیوست » ذره‌بین » مدیرعامل نوبیتکس: اگر اینترنت قطع نبود، حمله را زودتر تشخیص می‌دادیم

مدیرعامل نوبیتکس: اگر اینترنت قطع نبود، حمله را زودتر تشخیص می‌دادیم

سروش کرمیان تحریریه

۸ شهریور ۱۴۰۴

زمان مطالعه : ۱۳ دقیقه

شماره ۱۳۷

خستگی روزهای حمله هنوز از چهره امیرحسین راد، مدیرعامل نوبیتکس، بیرون نرفته است، صدایش آرام‌تر از پیش شده و با تعمق بیشتری صحبت می‌کند. وقتی از روزهای حمله صحبت می‌کنیم، یک لبخند تلخ در پشت چهره‌اش نمایان می‌شود؛ او هرچند معتقد است این حادثه آنها را قوی‌تر کرده اما واقعیت این است که هیچ‌کس دوست نداشت تجربه‌اش کند، تجربه‌ای که شاید مقصر اصلی‌ گستردگی‌اش اختلال در اینترنت بود.

با توجه به اطلاع‌رسانی‌های نوبیتکس، اختلال‌ها در اینترنت و زیرساخت دلیل تاخیر در تشخیص حمله اعلام شده است. این تاخیر چرا پیش آمد و واکنش اولیه تیم نوبیتکس چقدر زمان برد؟ابتدا باید اشاره کنم، چند روز پیش از هک، به دلیل آغاز جنگ، بخش بزرگی از تمرکز تیم صرف یافتن راه‌هایی برای دور زدن اختلالات اینترنت شده بود. شرایط «شبه‌جنگی» فشار زیادی بر تیم وارد کرده و تمرکز آنها را از مسائل دیگر، از جمله رصد لحظه‌ای امنیت، گرفته بود. این عوامل دست‌به‌دست هم داد تا واکنش اولیه به حمله با تاخیر انجام شود.

از سامانه‌های مانیتورینگ استفاده می‌کردیم که در صورت مشاهده هرگونه رفتار غیرعادی، پیام هشداری مبنی بر وجود رفتار غیرعادی در شبکه ارسال می‌کردند. در شب حمله این پیام هشدار به دلیل قطعی‌ها و اختلال‌ها در پروتکل‌های ارتباطی، ارسال نشد. از زمان شروع جنگ تا وقوع هک، ما به‌شدت با قطعی‌های مکرر اینترنت بین‌الملل مواجه بودیم، چراکه سرویس‌های صرافی‌ها و شبکه بلاک‌چین به‌شدت به اتصال پایدار اینترنت بین‌الملل وابسته‌اند. تیم ما عمدتاً مشغول رفع این چالش‌ها و به عبارتی دور زدن محدودیت‌های پیش‌آمده بود و تمرکز خود را در این موقعیت بحرانی دوچندان کرده بود. آنها شبانه‌روزی در حال راه‌اندازی پروکسی‌ها و سرویس‌های جدید بودند تا بتوانند سرویس‌دهی را حفظ کنند. اولین بار قبل از ساعت هشت صبح متوجه دسترسی‌های غیرمجاز شده بودیم و در حال بررسی بودیم که در حوالی هشت و ۲۰ دقیقه نوتیفیکیشن ارسال شد. ابتدا تصور می‌کردیم مشکل صرفاً ناشی از اختلال اینترنت است اما پس از بررسی بیشتر متوجه شدیم حملات هکری بسیار گسترده و سازمان‌یافته بوده‌اند.

اینجا زمانی است که اعلان‌های گروه هکری از طریق اپلیکیشن نوبیتکس ارسال شد؟بله حدود ساعت هشت و ۲۰ دقیقه این اتفاق افتاد. در حالی که تیم نوبیتکس قبل از ساعت هشت، عملیات برای ایزوله ‌کردن سرورها و جلوگیری از ادامه فعالیت خرابکارانه را آغاز کرد. در ابتدا تصور می‌شد این اختلال‌ها ناشی از مشکلات معمول زیرساخت باشد، اما بعد از بررسی مشخص شد ماجرا جدی‌تر است. اولین اقدام، قطع دسترسی‌ها و کنترل وضعیت شبکه و ایزوله‌سازی و تخلیه دارایی‌ها بود. سپس تیم امنیتی شروع به جمع‌آوری شواهد و بررسی دقیق حمله کرد؛ کاری که بسیار زمان‌بر بود. بررسی‌های اولیه با تیمی پنج‌نفره حدود یک هفته طول کشید و بعد از دو هفته کار مستمر، علت اصلی حادثه مشخص و گزارش آن برای همکاری با تیم‌های دیگر و اشتراک‌گذاری اطلاعات آماده شد.

همان موقع توانستید تشخیص بدهید که حمله از کجا اتفاق افتاده است؟نه، حملات صورت‌گرفته بسیار گسترده و پیچیده بودند و به همین دلیل در مرحله اول درک دقیق رخداد برای ما ممکن نبود. در آن زمان، تیم امنیتی با اقدام به ایزوله کردن سرورها و سیستم‌ها، توانست کنترل ابعاد حادثه را در دست بگیرد. پس از آن، عملیات بررسی‌های فنی (فارنزیک) آغاز شد. جمع‌آوری سرورها و دیتاسنترها فرایندی دشوار بود که پیش از شروع این عملیات انجام گرفت. در مرحله فارنزیک، لاگ‌های امنیتی سرورها به‌دقت گردآوری و بررسی شذند. این بررسی‌ها زمان‌بر بود و تیمی متشکل از پنج شش نفر به مدت یک هفته به بررسی علت اولیه حادثه پرداختند. سپس تحقیقات عمیق‌تر به مدت دو هفته ادامه یافت تا از دلایل اصلی این حمله اطمینان حاصل شود.

علت حادثه را در یک گزارش امنیتی با پلتفرم‌هایی در میان گذاشتید؟ بله،‌ در بررسی اولیه حتی به آی‌پی‌هایی دست یافتیم که مرتبط با مهاجمان بودند و در گزارش خود تاکید کردیم که در صورت مشاهده هرگونه فعالیت از این آی‌پی‌ها، باید در فایروال مسدود شوند و در لیست سیاه قرار گیرند تا از وقوع حملات جلوگیری شود. همزمان با هک سیستم‌های بانکی، به فاصله یکی دو روز، به نوبیتکس حمله شد. اگر بانک‌ها اطلاع‌رسانی دقیق‌تر و به‌موقع‌تری کرده و اطلاعات لازم را در اختیار ما قرار داده بودند، احتمالاً نوبیتکس چنین آسیبی نمی‌دید و می‌توانستیم وضعیت را بهتر کنترل و از وقوع حملات جلوگیری کنیم. با توجه به شباهت الگوی حملات، آسیب‌های واردشده نیز مشابه بودند و اگر بهتر اطلاع‌رسانی می‌شد، قطعاً مدیریت بهتری صورت می‌گرفت. به عنوان نمونه، پس از ارائه آی‌پی‌های مذکور، حملات بعدی که به پلتفرم‌ها وارد شد، با گستردگی و آسیب کمتری همراه بود و خوشبختانه حادثه مشابهی برای ما رخ نداد و دیگر پلتفرم‌ها نیز از چنین حملاتی مصون ماندند.

مدت‌هاست صرافی‌ها برای بخش‌هایی مانند چت‌بات پشتیبانی به دلیل مشکلات زیرساختی مجبور به جابه‌جایی میان نسخه‌های مختلف این ابزارها هستند. از طرفی تهیه نرم‌افزارهای لازم نیز به دلیل شرایط تحریمی چالش‌هایی دارد. از سویی به نظر می‌رسد موضوع محدود به نرم‌افزار نیست و گزارش‌هایی از سخت‌افزارهای آلوده و دست‌دوم در کشور منتشر می‌شود. این موارد چقدر بر نفوذ به نوبیتکس تاثیرگذار بودند؟در خصوص تجربه نوبیتکس، می‌توان گفت حداقل نوع حمله‌ای که رخ داده، ترکیبی از نرم‌افزاری و سخت‌افزاری بوده است. این باگ‌ها پیش از این برای ما ناشناخته بودند و عمدتاً به استفاده از سخت‌افزارها و تجهیزات مرتبط است. همچنین تحریم‌ها سبب شده‌اند ما مجبور به استفاده از نوع خاصی از سخت‌افزارها باشیم که این موضوع به طور بالقوه ما و تمام شرکت‌ها را در معرض حملات قرار می‌دهد و بدون شک تاثیرگذار است. درباره آلوده بودن سخت‌افزار در مورد نوبیتکس نمی‌توان با قطعیت اظهارنظر کرد و در گزارش‌ها و بررسی‌های ما نیز چنین چیزی مشاهده نشده است، اما در موارد مشابه مانند برخی از بانک‌ها، احتمال استفاده از سخت‌افزارهای آلوده وجود داشته است. یکی از عوامل مهم این مساله، نبود ارتباط مستقیم با تامین‌کنندگان تجهیزات و پشتیبانی نامناسب پس از خرید است که ریسک‌های امنیتی را افزایش می‌دهد. عمدتاً سرورهای کشور از برند و مدل مشخصی تهیه می‌شوند و تجهیزات ذخیره‌سازی بانک‌ها نیز غالباً محدود به یک برند خاص است. از طرفی شرکت‌ها اختیار گسترده‌ای در انتخاب تامین‌کننده‌ها ندارند و محدودیت‌های مالی آنها را به سمت استفاده از سخت‌افزارهای دست‌دوم سوق می‌دهد که این خود می‌تواند احتمال دستکاری در سیستم‌ها و افزایش آسیب‌پذیری‌ها را دوچندان کند.

انتشار کد منبع نوبیتکس بعد از حمله می‌تواند معماری نرم‌افزار را برای افراد خارج از سازمان قابل مشاهده کند و در نتیجه آن آسیب‌پذیری‌هایی که پی‌تر کشف نشده بود، شناسایی شوند. انتشار کد منبع نوبیتکس بعد از هک چه تاثیری می‌تواند بر امنیت پلتفرم بگذارد؟در واقع، سورس کد نوبیتکس در جریان همین حمله منتشر شد و پیش از آن هیچ‌گاه به صورت عمومی قابل مشاهده نبود. شایان ذکر است که نوع حمله رخداده، حمله‌ای از جنس لاجیکال نبوده و هیچ‌گونه اینجکشن (Injection) یا تغییر مستقیمی در کد رخ نداده است. بنابراین، آسیب‌پذیری کشف‌شده ناشی از سورس‌کد نبود.

با وجود اینکه معماری نرم‌افزاری به‌سرعت قابل تغییر نیست، تیم ما دو اقدام مهم انجام داده است: اول، معماری شبکه و ساختار سلول‌بندی (Cellular Architecture) را به‌کلی بازطراحی کرده‌ایم. این تغییرات موجب شده است دیگران نتوانند به‌سادگی محل اجرای بخش‌های مختلف کد و ساختار سیستم را شناسایی کنند و امنیت کلی افزایش یابد. این بازطراحی با همکاری تیم امنیت داخلی، پلیس فتا و تیم‌های امنیتی خارجی انجام شده است و بسیاری از نقاط ضعف پیشین در این معماری جدید برطرف شده‌اند.

دوم، برای اطمینان بیشتر از امنیت سورس‌کد و کاهش ریسک‌های احتمالی، برنامه‌ای برای اجرای طرح پنتست (Penetration Testing) یا باگ‌بانتی (Bug Bounty) تدارک دیده شده است. به این صورت که می‌خواهیم با برگزاری این رویداد سورس‌کد منتشرشده نوبیتکس را در معرض آزمون قرار دهیم. این اقدامات به شناسایی آسیب‌پذیری‌های بالقوه کمک می‌کند و در کنار تغییرات کامل در معماری زیرساخت و چیدمان سیستم، سطح امنیت را به طرز چشمگیری بالا می‌برد، هرچند هسته نرم‌افزار (Core Software) همچنان ثابت مانده است.

در مورد برنامه‌ریزی این حمله که گفته می‌شود از دو سال پیش آغاز شده و مهاجمان به‌تدریج دسترسی‌های لازم را کسب کرده‌اند تا در زمان جنگ فرصت اجرای گسترده آن را داشته باشند، نظر شما چیست؟ این سناریو تا چه حد واقع‌گرایانه و درست به نظر می‌رسد؟با توجه به بررسی شواهد موجود، هیچ نشانه‌ای یافت نشد که مشخص کند این حمله تا این حد قدیمی بوده یا به دو سال پیش بازمی‌گردد. اما آنچه کاملاً واضح است، برنامه‌ریزی دقیق و منسجم این عملیات بوده است؛ چراکه هیچ تیمی در بازه زمانی محدود نمی‌تواند با این دقت و در این سطح گسترده، دست به حمله هکری بزند. بنابراین می‌توان گفت مهاجمان در یک بازه زمانی مشخص و با استفاده از منابع مختلف به شناخت کاملی از سیستم دست یافته و آمادگی کامل برای اجرای این حمله را داشته‌اند.

با انتشار کد منبع نوبیتکس بحث‌هایی مطرح شد در‌این‌باره که برخی از داده‌ها به‌درستی رمزنگاری نشده بودند یا در سورس‌کد به گونه‌ای نمایش داده می‌شدند که مهاجم می‌توانست بدون دردسر به آنها دسترسی پیدا کند. هرچند این موارد در فرایند باگ‌بانتی که پیشتر اشاره کردید بررسی و شناسایی خواهند شد، به نظر شما آیا همین ضعف‌ها می‌توانسته یکی از عوامل اصلی وقوع حمله باشد؟خیر، این موارد جزو سناریوهای احتمالی حمله نبوده‌اند. در نوبیتکس، سطح دسترسی به داده‌ها همواره با محدودیت‌های سخت‌گیرانه همراه بوده. بر اساس بررسی‌های تیم امنیت، چنین ضعفی به عنوان عامل حمله مطرح نشده و شواهدی که نشان دهد مهاجمان از این طریق موفق به نفوذ شده باشند در دست نیست. در واقع، سیاست‌های کنترلی و محدودیت‌های دسترسی به داده در نوبیتکس به گونه‌ای طراحی شده‌اند که حتی در موقعیت عادی نیز دسترسی به اطلاعات حساس بسیار محدود و کنترل‌شده باشد.

با توجه به بحرانی که در کل اکوسیستم پیش آمد و اینکه یکی از بزرگ‌ترین صرافی‌های کشور هدف این حمله سایبری قرار گرفت، هیچ واکنشی از سوی پدافند غیرعامل، پلیس فتا یا سازمان افتا مشاهده نشد. پیش از این حادثه، آیا دستورالعمل یا راهکاری برای جلوگیری از چنین اتفاقاتی از طرف این نهادها ارائه شده بود؟ به نظر شما، فارغ از بحث دستورالعمل‌ها، چرا چنین نگرشی وجود ندارد که در صورت بروز یک مشکل امنیتی جدی، این نهادها فعالانه وارد عمل شوند و به حل بحران کمک کنند؟ابتدا لازم است یادآوری کنم که، صادقانه بگویم، تنها نهادی که از همان لحظه اول در صحنه حاضر شد پلیس فتا بود. تیم تخصصی آنها شبانه‌روزی در کنار ما حضور داشتند و حتی کمک کردند گزارش حمله زودتر منتشر شود تا سایر پلتفرم‌ها آسیب نبینند. اما از سوی دیگر، هیچ نهاد دیگری- چه در جریان این حادثه و چه در مواجهه با چالش‌های پیش از آن-حضور موثر و چشمگیری نداشت.البته باید اشاره کنم که پیش از وقوع این حادثه، پلیس فتا یک بازرسی دوره‌ای از شرکت‌های فعال در حوزه اقتصاد دیجیتال و صرافی‌های رمزارزی انجام داده و پیشنهادهایی درباره رعایت اصول شبکه و مدیریت سطوح دسترسی ارائه کرده بود. این پیگیری و همراهی پلیس فتا از قبل جریان داشت، اما در مقابل، از سمت نهادهای دیگری مانند افتا یا پدافند غیرعامل برای شرکت‌های خصوصی، حضور فعالانه‌ای مشاهده نکردیم. به نظر می‌رسد این نهادها تمرکز بیشتری بر سازمان‌ها و شرکت‌های دولتی دارند.با توجه به روند حوادث اخیر در کشور، به‌سختی می‌توان سازمانی را یافت که از حملات سایبری مصون مانده باشد. این وضعیت نگران‌کننده است و ضرورت تعیین یک متولی مشخص برای این حوزه را برجسته می‌کند. زیرا پس از هر حمله و نشت اطلاعات، داده‌های منتشرشده می‌توانند دستمایه تعریف سناریوهای جدید حمله شوند و در غیاب یک نهاد پاسخگو، چرخه این تهدیدات ادامه خواهد یافت.

آیا پیشتر از شرکت‌های خصوصی مشاوره می‌گرفتید یا ارزیابی‌های امنیتی (Security Audit) را به آنها می‌سپردید؟ و به طور کلی، این مدل همکاری بین بخش خصوصی در حوزه امنیت سایبری، چگونه شکل می‌گیرد و پیش می‌رود؟از ابتدای فعالیت نوبیتکس، همکاری با شرکت‌های مختلف در حوزه امنیت، چه در بخش تست نفوذ (Pentest) و چه در سایر ارزیابی‌های امنیتی، به‌ صورت مستمر برقرار بوده و همچنان نیز از مشاوره و کمک آنها استفاده می‌کنیم. با این حال، واقعیت این است که وقتی حملاتی در این سطح رخ می‌دهد، کنترل شرایط و مدیریت پیچیدگی‌ها بسیار دشوارتر می‌شود. همان‌طور که پیشتر اشاره کردم، ماهیت این حمله ترکیبی از باگ‌های سخت‌افزاری و نرم‌افزاری بود، نه صرفاً یک آسیب‌پذیری نرم‌افزاری ساده.بنابراین، حتی با وجود مشورت‌های تخصصی و اقدامات پیشگیرانه، هر شرکت دیگری نیز در برابر چنین حمله‌ای می‌توانست آسیب‌پذیر باشد و تنها می‌شد از شدت و دامنه آسیب کاست، نه جلوگیری کامل از آن. علاوه بر این، شرکت‌های مشاوری که در این حوزه فعال‌اند نیز دچار محدودیت‌های چشمگیری در فعالیت خود هستند و فضای کافی برای توسعه و گسترش توانمندی‌هایشان در کشور فراهم نشده است.

بخش عمده درس‌آموخته‌ها و تجربیات این بحران، در نهایت برای تیم امنیت داخلی کشور ارزشمند خواهد بود و باعث ارتقای سطح توانمندی آنها می‌شود. این ارتقا نه‌تنها مختص حوزه امنیت، بلکه شامل تیم‌های توسعه محصول نیز می‌شود که در مواجهه با چنین بحرانی ناگزیر از رشد و بلوغ هستند.در مورد نوبیتکس، این حمله نقطه عطفی بود؛ سازمان بعد از بحران، به‌نوعی چند سال بالغ‌تر شد. پیش از این، درکی از شدت و پیچیدگی واقعی بحران‌ها نداشتیم و آمادگی ما برای رخدادهای امنیتی فقط تا یک حد مشخص بود. می‌دانستیم که احتمال هک برای یک صرافی همیشه وجود دارد و حتی بیانیه‌های از‌پیش‌آماده داشتیم، اما با این حادثه از مرحله «آمادگی برای بحران» عبور کردیم و به سطح «زیست در بحران» رسیدیم. نتیجه آن، شکل‌گیری یک سازمان بالغ‌تر، هم از نظر فرهنگی و هم از نظر فنی و مستندسازی، بود. به بیان دیگر، نوبیتکس قبل و بعد از این بحران دو شخصیت کاملاً متفاوت پیدا کرده است.‌

با توجه به مواردی مانند مسئولیت‌ناپذیریِ حاکمیت، ضعف‌های زیرساختی و اختلال یا فقدان شرکت‌های امنیتی قدرتمند در بخش خصوصی، یکی از روش‌های مدیریت ریسک برای صرافی‌ها این نیست که کمتر به سمت تجمیع دارایی‌ها بروند؟ شب قبل از حمله آخرین اطلاعیه نوبیتکس نگهداری دارایی در صرافی را توصیه کرده بود، آیا تشویق کاربران به استفاده از پول شخصی و نگهداری دارایی‌ها به صورت جداگانه می‌تواند راهکار مناسبی برای کاهش این ریسک‌ها باشد؟ از نظر ما در نوبیتکس، نگهداری دارایی مشتریان در صرافی هیچ سود اقتصادی مستقیمی برای صرافی ندارد و تنها مسئولیت و ریسک آن را بالا می‌برد. اما واقعیت این است که برای انجام معاملات، کاربران باید دارایی‌های خود را در دسترس داشته باشند و به همین دلیل معمولاً دارایی‌ها در حساب صرافی نگهداری می‌شود. اگر دارایی در کیف ‌پول شخصی باشد، برای هر معامله باید انتقال داده شود که هم هزینه و هم زمان بیشتری می‌برد و ممکن است برای کاربران ناخوشایند باشد.در مورد اطلاعیه‌ای که شب قبل از حمله منتشر شد، هدف ما اطلاع‌رسانی درباره اختلالات اینترنت بین‌الملل بود. در آن اطلاعیه گفته شد «در صورت قطع کامل اینترنت بین‌الملل، امکان انتقال رمزارز از صرافی به کیف ‌پول شخصی یا بالعکس وجود ندارد» و به کاربران توصیه شد در صورت نیاز به تبدیل سریع ریال، نگهداری دارایی در کیف ‌پول نوبیتکس گزینه مناسبی است. این به معنای تشویق به نگهداری دائمی دارایی در صرافی نبود، بلکه صرفاً هشداری درباره محدودیت‌های ناشی از قطع اینترنت بود.

ما همیشه آموزش‌های لازم برای استفاده از کیف‌ پول شخصی را در وب‌سایت و مجله خود منتشر و تصمیم درباره محل نگهداری دارایی را به کاربران واگذار کرده‌ایم. البته اگر دارایی در صرافی نگهداری شود، طبق قوانین، مسئول تامین امنیت آن، صرافی است.