flame واقعا بزرگ‌ترین ویروس شناخته شده!؟

Images
Images
Images
Images

flame واقعا بزرگ‌ترین ویروس شناخته شده!؟

  • وِیژه
  • 1,740 بازدید

شرکت ضدویروس Kaspersky که بیشترین بهره‌برداری تبلیغاتی از ویروس Flame را در جهان داشته و در عین حال در ایران، در معرض بزرگ‌ترین شایعه‌ها و اتهامات نیز قرار گرفته، اعلام کرده که تنها چند صد کامپیوتر آلوده به Flame کشف و شناسایی کرده است!

با گذشت چند روز از انتشار خبر وجود بدافزار flame و جنجال بر سر آن در سطح جهان، و سپس انتشار ابزار پاکسازی آن از سوی مرکز ماهر، همچنان بحث و گفت‌وگو پیرامون آن ادامه دارد.
شرکت شبکه گستر، با ارائه تحلیلی  ، با دیدگاهی انتقادی به جنجال سازی در زمینه این ویروس پرداخته و خواهان توجه بیشتر به ابعاد تحلیلی و فنی آن به دور از جنبه‌های تبلیغی و اغراق‌آمیز شده است.

متن تحلیل به شرح زیر است:


ویروس Flame، بزرگ‌ترین، بدترین و اندازه واقعی‌اش
نه تنها ایران ، بلکه تمام دنیا درگیر هیاهوی ویروس Flame شده‌اند.
آیا رسانه‌های عمومی عملکرد مناسبی در آگاهی و هوشیاری کاربران داشته‌اند؟
به ویروس Flame لقب‌هایی نظیر”پیچیده‌ترین تهدید امنیتی" و "“ پیشرفته‌ترین اسلحه سایبری در دنیا" داده‌اند و حتی گفته‌اند "بزرگ‌تر از stuxnet " است.
بله، درست است. ویروس Flame از لحاظ حجم و اندازه فایل‌ها، بسیار بزرگ‌تر از Stuxnet است. ولی تصور نمی‌کنیم منظور آنان، این بوده باشد! طبیعتاً بزرگی یک بدافزار را، درصد احتمال آلودگی به آن و تعداد آلودگی‌های به وجود آمده، مشخص می‌کند.
 


شرکت ضدویروس Kaspersky که بیشترین بهره‌برداری تبلیغاتی از ویروس Flame را در جهان داشته و در عین حال در ایران، در معرض بزرگ‌ترین شایعه‌ها و اتهامات نیز قرار گرفته، اعلام کرده که تنها چند صد کامپیوتر آلوده به Flame کشف و شناسایی کرده است.
این که چندان بزرگ نیست !
ویروس Flame افراد در شبکه‌های خاصی را هدف قرار داده است. برای انتشار خود هم با احتیاط و به کندی عمل می‌کند و انتشار گسترده در آن پیش‌بینی نشده است.

اگر همین ویروس Flashback را که در یکماه اخیر بیش از ۶۰۰ هزار کامپیوتر (آن هم فقط از نوع Apple Mac) را آلوده کرده، در نظر بگیرید، ویروس Flame که از آن کوچک‌تر است.
ویروس‌های مشهور و رایج امروزی را هم نباید فراموش کرد. ویروس‌هایی مانند Canfiker، Sasser ، Code Red و SoBig همگی در صد آلودگی و تعداد قربانیان بسیار بیشتری نسبت به Flame داشته‌اند و شاید هنوز هم دارند.

باید به این نکته توجه داشت که نوشتن و تهیه فرمول شناسایی یک بدافزار بسیار بسیار آسان‌تر و سریع‌تر از تجزیه وتحلیل عملکرد و رفتار آن است.
تجزیه و تحلیل ویروس Flame با ۲۰ مگابایت حجم نیاز به زمان نسبتاً زیادی دارد تا بتوان تمام مشخصه‌ها و رفتارهای آن را شناسایی کرد. وقتی کارشناسان صحبت از پیچیدگی ویروس Flame می‌کنند، بیشتر منظورشان همین تجزیه و تحلیل آن است.

 

شماری از قابلیت­های مهم این بدافزار عبارتند از:
• انتشار از طریق حافظه‌های فلش
• انتشار در سطح شبكه
• پویش شبكه و جمع‌آوری و ثبت اطلاعات منابع شبكه و رمز عبور سیستم­های مختلف
• پویش دیسك كامپیوتر آلوده و جستجو برای فایل‌هایی با پسوندها و محتوای مشخص
• تهیه تصویر از فعالیت­های خاص كاربر سیستم آلوده با ذخیره سازی تصاویر نمایش داده شده بر روی مانیتور كاربر
• ذخیره‌سازی صوت دریافتی از طریق میكروفن سیستم در صورت وجود
• ارسال اطلاعات ذخیره شده به سرورهای كنترل خارج از كشور
• دارا بودن بیش از ۱۰ دامنه مورد استفاده به عنوان سرور C&C
• برقراری ارتباط امن با سرورهای C&C از طریق پروتكل‌های SSH و HTTPS
• شناسایی و از كار انداختن بیش از ۱۰۰ نرم‌افزار آنتی‌ویروس، ضد بدافزار، فایروال و ...
• قابلیت آلوده‌سازی سیستم­های ویندوز XP، ویستا و ویندوز ۷
• قابلیت آلوده‌سازی سیستم­های یك شبكه در مقیاس بالا


در یک نگاه ساده و سریع ، ویروس Flame عمل خاص و متفاوتی در مقایسه با بدافزارهای رایج امروزی انجام نمی‌دهد. شرکت‌های ضد ویروس، روزانه شاهد ده‌ها هزار گونه مختلف از ویروس‌ها هستند که اطلاعات کاربرها را پاک می‌کنند، اطلاعات شخصی را سرقت می‌کنند، ترافیک اینترنت و شبکه کاربر را شنود می‌کنند، اهداف خود را هوشمندانه انتخاب و سوا می‌کنند و....
اکنون که اطلاعات بیشتری درباره ویروس Flame به دست آمده، شاید یکی از رفتارهای بارز این ویروس، مدت زمان حیات Flame است که بدون جلب توجه خاص و شناسایی دقیق، توانستند باقی بمانند.

البته آن زمان که مرکز ماهر ایران اولین مشخصه‌های ویروس Flame را منتشر کرد، در سطح عمومی و بین‌المللی به مشارکت گذاشت، در کمتر از ۲۴ ساعت مشخص شد که تحقیقاتی درباره همین ویروس در نقاط دیگر جهان در حال انجام بوده و با کنار هم گذاشتن قطعات پازل Flame، تمام ضد ویروس‌های دنیا قادر به شناسایی Flame شدند.
شرکت شبکه گستر با بدست آوردن نمونه‌هایی از این ویروس از شبکه مشترکین خود و ارائه آنها به دو شرکت Mcafee و Bitdender توانست آنان را در شناسایی دقیق‌تر و گونه‌های بیشتر ویروس Flame کمک کند.
این در حالی است که هنوز شرکت شبکه گستر در حال مکاتبه اداری با مرکز ماهر ایران و سازمان فناوری اطلاعات است تا بلکه نمونه‌های آن مرکز نیز در اختیار این شرکت گذاشته شود تا زمینه شناسایی هرچه بیشتر و دقیق ویروس Flame توسط این دو ضدویروس رایج و بهتر در دنیا فراهم گردد.
تا روز پنجشنبه ۱۱ خرداد ماه، پیگیری‌ها همچنان ادامه داشت. 
 

اکنون همه ضدویروس‌های رایج در دنیا و حتی ضدویروس‌های نه چندان مطرح هم قادر به شناسایی ویروس Flame هستند، البته نباید فراموش کرد که امکان تهیه و انتشار گونه‌های جدیدی از این ویروس وجود دارد و همچنان باید هوشیار بود.

ولی سعی کنیم که به هر تهدید امنیتی در اندازه و چارچوب واقعی آن نگاه کنیم.
شاید در اولین لحظات و ساعات فعال شدن ویروس Flame، وضعیت بحرانی احساس می‌شد و به نسبت آن هم اقدامات آنی و بزرگی صورت گرفت. ولی شاید می‌توانستیم با مشارکت بیشتر، هم جنبه اطلاعات و هم از جنبه توان و منابع فنی، سریع‌تر و بدون ایجاد حساسیت زیاد، با این تهدیدات مقابله کنیم.
درآن حالت، شاید ویروس Flame تبدیل به خبر روز دنیا و مخلوط با مباحثات غیرIT نمی‌شد.

قبول کنیم که در همین لحظه حاضر، کاربران ایرانی بیشتر در معرض تهدید ویروس‌ها و برنامه‌های جاسوسی دیگری هستند که امنیت اطلاعات شبکه‌های مارا به چالش می‌کشند.

مگر در بخشنامه‌ها ودستورالعمل‌ها یی که بعد از فعال شدن ویروس Flame در سوم اردیبهشت ماه منتشر شدند، به چه نکات ایمنی و پیشگیرانه‌ای اشاره شده است. ما هم در شبکه گستر با داشتن چند صد هزار کاربر تحت پوشش خدمات ضدویروس‌مان، از مدیران شبکه شنیده‌ایم و برخی از بخشنامه‌ها را دیده‌ایم.
نصب تمام اصلاحیه‌های امنیتی، به روز نگه داشتن ابزارهای امنیتی، استفاده از تجهیزات دیده‌بانی (Monitoring) شبکه، بکارگیری تجهیزات امنیت شبکه مانند IPS / IDS ، کنترل بیشتر کاربران شبکه، نظارت و مدیریت استفاده از اینترنت و.....

این نکات ایمنی که چیز تازه‌ای نیستند، مگر نه اینکه این نکات همیشه باید رعایت شوند، مخصوصاً اگر شبکه‌های حیاتی و مهم کشور باشند. مگر اولین بار است که یک ویروس از طریق حافظه‌های Flash USB انتشار می‌یابد که اکنون به فکر مسدود ساختن و نظارت بر این قطعات کوچک و دردسرساز شده‌ایم!؟
مگر نمی‌توان بدون جداسازی فیزیکی شبکه‌ها، امنیت آنها را تأمین کرد که اکنون فقط به دنبال راهکارهای جداسازی فیزیکی هستیم؟
آیا می‌توان پس از جداسازی فیزیکی شبکه‌ها، به کاربران اجازه دهیم تا به عادات ناصحیح خود بازگردند؟ یا باید سیاست‌های امنیتی مناسبی در سطح شبکه سازمانی تعریف کرده و جداً به اجرا بگذاریم.
آیا پس از رفع بلای Flame، مدیران شبکه می‌توانند به سهل‌انگاری و ساده‌اندیشی‌های گذشته خود بازگردند و ساده‌ترین کارها مانند نصب اصلاحیه‌های امنیتی سیستم عامل را فراموش کرده و یا پشت گوش اندازند؟

هیچکس نمی‌گوید که ویروس Flame مهم نبود و نباید در رسانه‌ها جنجال بر‌انگیز می‌شد. یقیناً اینطور است ، مخصوصاً در کشور خودمان.
امروز کمتر کارشناسانی هست که باور نداشته باشد که ویروس Flame با حمایت و پشتیبانی برخی دولت یا دولت‌ها طراحی و تهیه شده است. گرچه هنوز سند و مدرک قاطعی برای اثبات آن نیست.
استفاده از دنیای مجازی توسط دولت‌ها بر علیه یکدیگر در حال تبدیل شده به امری عادی است. کشورهایی مانند چین و آمریکا، حتی رزمایش‌های سایبری مجازی با یکدیگر ترتیب می‌دهند.
ولی آیا ملیت دشمن و نویسنده بدافزار تا چه حد اهمیت دارد و چه تأثیری بر آماده‌سازی ما در برابر این تهدیدات وطنی و یا فرامرزی می‌تواند داشته باشد؟
آیا در دنیای مجازی مرزبندی‌های فیزیکی را می‌توان قائل شد و یا در یک کلام ، باید در برابر تمام تهدیدات امنیتی بیرون از شبکه سازمانی خود آماده دفاع و مقابله باشیم.

 

پست های تصادفی

ITIL چیست؟
ITIL چیست؟
ITIL یک چارچوب راهنما برای مدیران فناوری اطلاعات (IT) می باشد تا بتوانند زیرساختهای فناوری اطلاعا...

طوفان فکری با تیم مشاوران آکو

درخواست مشاوره
مشاوره با آکو