x
iranicard-ads
محتوای اختصاصی کاربران ویژهورود به سایت

فراموشی رمز عبور

با شبکه های اجتماعی وارد شوید

ورود با گوگل
ورود با توییتر

عضو نیستید؟ عضو شوید

ثبت نام سایت

با شبکه های اجتماعی وارد شوید

ورود با گوگل
ورود با توییتر

عضو نیستید؟ وارد شوید

فراموشی رمز عبور

وارد شوید یا عضو شوید

جشنواره نوروزی آنر

اقتصاد دیجیتال

مدیرعامل زومیت: اگر هکری حمله کرد فقط خودمانیم و خودمان

مهرک محمودی سردبیر

۲۸ بهمن ۱۴۰۴

زمان مطالعه : ۹ دقیقه

به‌عنوان خبرنگار عادت داریم روبه‌روی مدیران بنشینیم و بپرسیم چرا ملاحظات امنیتی رعایت نشده و چگونه کار به هک کشیده است. شاید همین عادت است که وقتی چنین اتفاقی برای خودمان یا همکاران‌مان می‌افتد، سنگینی‌اش چند برابر می‌شود.خواندن اطلاعیه هک زومیت برای من فقط یک خبر نبود؛ یک شوک بود. از یک سو به این دلیل که حالا تهدید هک بیش از هر زمان دیگری به رسانه‌ها نزدیک شده و از سوی دیگر چون این اتفاق برای دوستی رخ داده بود و اولین سوالی که به ذهنم رسید این بود: من چه کمکی می‌توانم بکنم؟ با این حال، فراتر از نگرانی و همدلی، مهم‌ترین مساله انتقال تجربه است. وقتی بحران فروکش می‌کند، آنچه باقی می‌ماند دانشی است که می‌تواند جلوی تکرار همان اشتباه را در جایی دیگر بگیرد. اگر بدانیم نقطه آسیب کجا بوده، می‌توانیم دقیق‌تر و هوشیارتر عمل کنیم.

به همین دلیل با مسعود یوسف‌نژاد، مدیرعامل زومیت گفت‌وگو کردیم تا از جزئیات این رخداد بگوید؛ از اینکه آسیب‌پذیری چگونه شکل گرفت، چه مسیری طی شد و مهم‌تر از همه اینکه رسانه‌ها برای کاهش ریسک چنین حمله‌هایی چه اقداماتی انجام دهند.

من خبر هک شدن زومیت را صبح چهارشنبه دیدم وقتی از خواب بیدار شدم و طبق معمول سراغ گوشی‌ام رفتم، همان لحظه شوک شدم و برای لحظه‌ای نگاهم به صفحه گوشی‌ام خیره شد، تعریف کن که ماجرا از کجا و چه زمانی شروع شد ؟  

یک روز سه‌شنبه بود. ساعت ده و نیم از جلسه‌ای که داشتم به دفتر بازگشتم. در حال صحبت کردن در مورد جلسه‌ای که صبح داشتم بودم که بعد از مدتی به من گفتند که سایت از کار افتاده و باز نمی‌شود. مسئول IT در ادامه به من توضیح داد که به شبکه داخل دفتر نفوذ شده. در اینجا بود که با خودم فکر کردم هر آسیبی هم باشد احتمالا زیاد بزرگ نیست و ممکن است تنها یک یا دو ماشین از کار افتاده باشند و به زودی حل می‌شود. بچه‌های فنی گفتند که به سرورهای داخل دفتر نفوذ شده، سرورها را خاموش کردیم و تا آن زمان هیچ اتفاقی برای دیتا سنتر و داده‌های ما روی دیتا سنتر نیفتاده بود. به بچه‌های دفتر گفتم بروند از خانه کار کنند و بچه‌ها نیز از خانه به کارشان ادامه دادند.

تا اینجای ماجرا دیتاسنتر هنوز کار می‌کرد؛ این فرایند تا ده‌ونیم شب برای ما ادامه داشت در همین زمان با بچه‌های دواپس درباره کپی شدن ۳ بکاپی که داشتیم صحبت می‌کردم.

چند تا پشتیبان داشتید؟

۳ تا بک‌آپ داشتیم یکی در خود دیتاسنتر یکی در دفتر و یکی هم خارج از دفتر. بکاپ دفتر همان زمان که نفوذ انجام شد از بین رفت و بیشترین آسیب را هم در دفتر متحمل شدیم و تقریبا همه سرویس‌ها از بین رفت؛ به این صورت که مهاجم ابتدا خود بکاپ را پاک کرد بعد هم همه ماشین‌های مجازی را؛ در هر صورت لحظه نفوذ در دفتر مساوی بود با از بین رفتن تمام کپی‌ها و سرویس‌ها.

در ادامه و در زمانی که دیتاسنتر در حال کپی شدن در خارج از دفتر بود مسئول دواپس زومیت اعلام کرد که چهار ساعت از کپی بکاپ تازه برای خروج از دفتر مانده است که درست در همین زمان به خود دیتاسنتر نفوذ کردند.

از داخل دفتر به دیتاسنتر نفوذ کردند؟

متوجه شدیم که نفوذ از دفتر آغاز شده است و در دیگر قسمت‌ها ادامه پیدا کرده و در نهایت هم به دیتاسنترها رسیدند. اما همه این موارد در حدود حدس و گمان است و محل دقیق نفوذ هنوز مشخص نیست.

چگونگی نفوذ از دفتر مشخص است؟

هنوز در حال بررسی هستیم. در این چند روز تنها تلاش کردیم که سایت‎ها برگردند و سرویس‌های ابتدایی را دوباره راه‌اندازی کنیم تا بچه‌ها بتوانند به کار برگردند. اما دو حدس برای محل نفوذ وجود دارد؛ یکی قفل‌های امنیتی که روی شیرپوینت بوده است و دیگری هم قفل امنیتی «اسمارترمیل» که روی سرویس میل دفتر وجود داشته است.

در حال حاضر از محل و نحوه نفوذ به صورت دقیق اطلاع نداریم و برای فهمین این موضوع نیازمند زمان بیشتری هستیم. در هر صورت اما مشخص است که نفوذ از دفتر آغاز شده است و از دفتر روی یک TUNEL که روی دیتاسنتر وجود داشته است راهی باز شده است.

دو بکاپ پاک شد و یکی آنها باقی ماند؟

زمانی که این اتفاق افتاد با یکی از همکاران فنی زومیت صحبت می‌کردم و از او پرسیدم چه چیزهایی مورد حمله قرار گرفت؟ او در پاسخ گفت که ماشین‌ها مورد حمله قرار گرفتند و بعد هم گفت همین اتفاق برای بکاپ‌نیز رخ داده است که این اولین مواجهه من با حمله بکاپ‌های زومیت بود. در اینجا بود که واقعا دچار شوک شدم چرا که گمان می‌کردم وقتی سایت بالا بیاید می‌توانیم بعد از ۱۵ ساعت اولین مطلب را آپلود کنیم.

شرایط بسیار سختی بود. مجبور بودیم تا ساعت دو نیم صبح در یک تماس آنلاین با بچه‌های پارس‌پک باشیم که به ما کمک کنند و اصلا نمی‌دانستیم که بکاپ سالمی باقی مانده یا نه. تنها می‌دانستیم که یک بکاپ خارج از دفتر وجود دارد اما از سلامت آن خبر نداشتیم. البته روی یک استوریج ایزوله در خود دیتاسنتر هم بکاپ داشتیم که از وضعیت آن هم بی‌خبر بودیم. ساعت دو و نیم صبح به بچه‌های پارس‌پک اعلام کردیم که فضای استوریج را «READ ONLY » کنند و ببینند که بکاپ سالم مانده است یا نه؛ در اینجا متوجه شدیم این بکاپ سالم است.

حدودا تا روز سوم درگیر بالا آوردن زیرساخت بودیم چرا که باید کل شبکه از ابتدا ساخته می‌شد و ماشین‌های هر کدام از سرویس‌ها نیز باید از ابتدا بالا می‌آمدند که کل این فرایند ما را تا روز دوم یا سوم از سلامت بکاپ بی‌خبر نگه داشته بود.

اصلا دلیل حمله مشخص است؟ یا اینکه کسی مسئولیت حمله را برعهده گرفته‌است؟

راستش را بخواهید اصلا نمی‌دانم که به چه دلیلی حمله صورت گرفته است چرا که ما اصلا داده ارزشمندی نداریم تمامی داده‌های ما منتشر شده است و قابل دسترس است. از سویی حمله به گونه‌ای بوده است که اصلا دسترسی به داده‌های کاربران نیز صورت نگرفته است بلکه فقط از بالا به صورت کامل خرابکاری صورت گرفته است. دقیقا نمی‌توانم بگویم چه کسی یا با چه رویکردی حمله کرده است البته وقتی که بیانیه حمله را منتشر کردیم، کامنت‌های بسیار عجیبی را هم دریافت کردیم. برخی گفتند دشمن داشته‌اید یا مورد حمله جناح خاصی قرار گرفتید. اما خودم هیچ احتمالی نمی‌دهم.

اما یک گروه هکری چینی است که مسئولیت حمله را بر عهده گرفته است و تا یکی دو هفته آینده نام این گروه را هم اعلام خواهم کرد. اما این که آن گروه چینی خودش ما را پیدا کرده است یا کسی این حمله را به او سپرده است، اصلا مشخص نیست؛ شخصا این که چه کسی یا چه گروهی این حمله را انجام داده است برایم مهم نیست. برای من این مهم است که در شبکه ما یک بی‌ملاحظگی وجود داشته که امکان نفوذ را فراهم کرده است. از سوی دیگر هم البته خوشحال هستیم که متوجه شدیم نفوذپذیری وجود دارد و می‌توانیم از این پس جلوی آن را بگیریم.

خیلی مهم است از تجربه حمله استفاده شود که دیگر این اتفاق نیفتد، می‌توانی بگویی که حمله از کجا شروع شده تا سایر رسانه‌ها نیز به آن دقت کنند؟

هنوز به صورت دقیق نمی‌توانیم بگوییم اما احتمال می‌دهیم از طریق شیرپوینت این اتفاق افتاده است و هکر توانسته است به دامین کسی دست پیدا کند که مسئول بک‌آپ‌گیری بوده و زیرساخت مجازی ما در اختیار داشته است از همین رو از بالا به داده‌ها دسترسی پیدا کرده است و به تمامی آنها آسیب رسانده است.

رسانه باید چه اقدامی کند که این اتفاق رخ ندهد یا در صورت بروز باید چه اقداماتی انجام دهیم تا آسیب کمتری ببینیم؟

احتمال این که هر رسانه یا هر سازمان دیگری با این اتفاق مواجه شود بسیار زیاد است؛‌ کما این که رسانه‌های کوچکی و مورد حمله قرار گرفتند و به دلیل نداشتن بکاپ مناسب در ابتدای نفوذ همه بکاپ خود را از دست داده‌‌اند.

اما مهم‌ترین نکته‌ای که باید رعایت شود این است که بی‌ملاحظگی تا بالاترین حد ممکن انجام نشود و شبکه با دقت بالا مورد بررسی قرار بگیرد و مباحث امنیتی در اولویت باشد؛ از جهتی دیگر باید همیشه این را در نظر گرفت که شبکه آلوده است و دسترسی به آن وجود دارد باید اقدامات بعداز حمله را در نظر گرفت. در این میان داشتن بکاپ و پشتیبانی بسیار اهمیت دارد. وجود بکاپ در خارج از دیتا‌سنتر همچنین یک COLD BACKUP که در جایی خارج از دفتر و دیتا سنتر و به صورت فیزیکی نزد شخص امین نگهداری می‌شود نیز اهمیت بسیاری دارد.

همه دارایی ما سایت است و از میان رفتن آن مانند این است که کارگاه یا مغازه شما را آتش زده باشند. اگر سایت از بین برود ما هم دیگر چیزی نداریم.

ممکن است این اتفاق دوباره رخ دهد؟ نقاط نفوذ را بسته‌اید؟

ما شبکه را از نو بازسازی کردیم و حتی روش مجازی‌سازی را هم به صورت کامل تغییر دادیم و همچنان با حساسیت بالا در حال امن‌سازی شبکه هستیم؛ اما صد در صد امکان رخداد دوباره این حمله برای ما و هر سازمان دیگری وجود دارد.

به هر حال همه از فیلترشکن استفاده می‌کنیم و ممکن است شبکه آلوده شود

فقط استفاده از فیلترشکن نیست اگر در دوره ۲۰ روزه قطعی اینترنت یک به‌روزرسانی امنیتی آمده باشد که ما آن را پیاده نکرده باشیم نیز ممکن است هکی اتفاق بیفتد. ما دقیقا درست بعد از وصل شدن اینترنت هک شدیم. در نتیجه این موضوع بسیار محتمل است که به دلیل دریافت نکردن بسته‌های امنیتی در دوره قطعی اینترنت دچار هک شده باشیم. خود قطعی اینترنت یکی از چالش‌های بزرگ ما برای بازگشت به کار و روال عادی بود چرا که نمی‌توانسیتم بسته‌های امنیتی و نرم‌افزاری را دانلود کنیم و در این مسیر سختی بسیار زیادی را تحمل کردیم.

چه نهادی بعد از حمله به شما کمک کرد؟ 

هیچ نهاد یا سازمانی حتی با ما تماس هم نگرفت و بخش دردناک داستان هم تنهایی ما در این اتفاق بود. تنها کسانی که به ما کمک کردند بچه‌های پا‌رس‌پک بودند. چند روز بعد از اتفاقی که رخ داد و همه سرویس‌ها دوباره راه‌اندازی شدند از طرف یک نهاد امنیتی با زومیت تماس گرفته شد و از ما شرح حالی گرفتند اما کمکی نکردند. در نتیجه اگر اتفاقی از جنس حمله هکری برایمان رخ دهد، خودمانیم و خودمان.

 

https://pvst.ir/nlz
مهرک محمودیسردبیر

    مهرک محمودی روزنامه‌نگاری را از حوزه سینما شروع کرد و در مدت کوتاهی پس از آن، با این سودا که روزنامه‌نگار باید در تمامی بخش‌ها فعالیت کند براساس یک اتفاق خیلی ساده وارد حوزه اقتصادی شد و در روزنامه‌های صدای عدالت، آزاد، ابرار اقتصادی، فرهنگ آشتی، همشهری اقتصادی و غیره به عنوان خبرنگار فعالیت کرد. همانطور که زندگی همیشه براساس اتفاق‌های ساده جلو می‌رود، فعالیت خود را به صورت نیمه وقت در در هفته‌نامه عصرارتباط در حوزه تجارت و بانکداری الکترونیکی آغاز کرد و پس از مدتی این فعالیت نیمه وقت به یک فعالیت تمام وقت تبدیل و ۹ سال به طول انجامید اما باز هم براساس یک اتفاق آنجا را ترک کرد. حال سال‌هاست که پیوست خانه مهرک محمودی است؛ اما تجارت و بانکداری و دولت الکترونیکی تبدیل به حوزه‌های مورد علاقه او شده‌اند.

    تمام مقالات
    این مطالب را هم بخوانید:
    درباره پیوست بیشتر بدانید

    شما در حال مطالعه وبسایت ماهنامه پیوست هستید.

    برای بوکمارک این نوشته
    Back To Top
    جستجو