بلوغ شركت‌های بزرگ ایرانی، باعث جذب هكرها شده است

یاشار شاهین‌زاده یك هكر كلاه سفید است. به این معنی كه او به عنوان یك متخصص امنیت كامپیوتر شروع می كند به تست و ارزیابی امنیت یك شبكه. راهكار تست هم از جانب او و كسانی كه مانند او هستند، سعی در هك كردن سیستم مورد نظر است.
اگر بتوان به سرورها نفوذ كرد، نشان می دهد امنیت سیستم موردنظر پایین است. این نوع هكرها از مهارت های خود برای برقراری بیشتر امنیت و مبارزه با هكرهای كلاه سیاه استفاده می كنند. هدف آن ها حفظ امنیت است.
این جوان 29ساله روز دوشنبه در گفت و گوی اختصاصی با ایرنا، به شدت گرفتن حملات به سرور كسب و كارهای ایرانی اشاره كرد و گفت: تمام شركت های بزرگ دنیا، توسط هكرها مورد حمله قرار می گیرند.
وی افزود: این كه چرا در گذشته تعداد این حملات به سرورهای ایرانی كم بود و الان شدت گرفته، یك دلیل دارد: شركت های ایرانی قبلا این قدر بزرگ نبودند كه بتوانند توجه هكرها را به خودشان جلب كنند. به همین دلیل بیشتر اخبار هك شدن را می شنیدیم تا این كه شركت‌های ایرانی با آن درگیر شوند.
اما در حال حاضر شركت‌های بزرگی در ایران وجود دارند كه تا حد زیادی به بلوغ رسیده‌اند. در سیستم كاری‌ آن‌ها پول قابل توجهی وجود دارد و حمله‌های اخیر نشان می‌دهد توجه هكرهای دنیا به این سمت جلب شده است.
یكی از شركت های خارجی كه با تمام اقداماتی كه در جهت امنیت خود انجام داده چند ماه قبل مورد حمله هكرها قرار گرفت، شركت حمل و نقل اوبر است. شاهین‌زاده در این خصوص گفت: چند ماه قبل تعدادی هكر با نفوذ به سیستم اوبر، تعدادی از فایل‌های آن‌ها را قفل كردند و داخل آن‌ها بدافزار گذاشتند.
این هكرها از شركت اوبر درخواست 200 هزار دلار بیت‌كوین كردند و این شركت نیز مجبور به پرداخت شد. حالا اگر شركت‌های ایرانی به ثروت و گردش مالی برسند كه توان پرداخت حتی یك چهارم این مبلغ را به هكرها داشته باشند، قطعا توجه بیشتری به سمت شان جلب خواهد شد. مطمئنا شركت‌ها برای این كه زنده بمانند، تن به انجام چنین كاری می‌دهند.
وی افزود: به واسطه بزرگ شدن شركت‌ها، تامین امنیت آن‌ها نیز هر روز سخت‌تر از قبل می‌شود. دلیلش هم افزوده شدن روزانه چندصد كاربر و چندین سرور و دیتابیس است. این حجم زیاد را نمی توان به سادگی كنترل كرد. درست همین جاست كه نیاز به تكنولوژی‌های خاص و جدید هر روز بیشتر از گذشته می‌شود.
او در ادامه گفت: تقریبا در ایران مدیر امنیتی كه بتواند امنیت شركت های بزرگ را تامین كند، نداریم. ممكن است یك نفر برای شركت كوچك هر نوع امنیتی را تامین كند و سیستم‌هایش غیر قابل نفوذ باشد، اما زمانی كه شركت بزرگ شود و هزار كارمند و چند میلیون كاربر داشته باشد، قطعا كار سخت‌تر است. از آن‌جایی كه ما شركت‌های میلیون دلاری و میلیارد دلاری نداشته‌ایم، مدیر امنیتی با این میزان تخصص نیز نداریم.
او اظهار كرد: نفوذهای سطح بالا معمولا در شركت های خصوصی اتفاق می‌افتد و مجموعه‌های دولتی برای هدف اصلی هكرها كه دریافت پول است، هك نمی‌شوند مگر این كه هدف هكر، چیزی غیر از پول باشد.
یاشار شاهین‌زاده در ادامه به مسئله باگ باونتی اشاره می‌كند و درباره اینكه برگزاری آن در كشور ما چقدر می‌تواند تاثیرگذار باشد می گوید: مدتی قبل بین مسئولان سازمان فناوری و همراه اول، صحبت از «باگ باونتی» مطرح شد اما تا الان به نتیجه نرسیده است.
او در ادامه گفت: بیگ باونتی به این معناست كه شركتی به عنوان واسط یا خود هكرها وارد میدان می‌شوند. سازمان های مختلف كه احتمال وجود آسیب پذیری امنیتی یا نفوذ هكر در بدنه امنیتی شان می‌رود، اعلام می‌كنند كه نیاز دارند فردی امنیت شركت‌شان را تست كند.
از آن سمت هكرهای كلاه سفید یا بچه های امنیت كار كه با این شركت ها همكاری دارند، شروع می كنند به پیدا كردن «باگ» یا بهتر بگویم پیدا كردن آسیب پذیری امنیتی آن سازمان. آن‌ها بعد از پیدا كردن آسیب پذیری، مبلغی را به عنوان جایزه دریافت می‌كنند تا برای ادامه فعالیت‌های خود انگیزه داشته باشند.
شاهین زاده افزود: من مدتها فیسبوك و توئیتر را دنبال كردم، این دو سایت خیلی مورد حمله هكرها قرار نمی‌گیرند چرا كه آن‌ها باگ باونتی برگزار می‌كنند و تقریبا تمام هكرها از سراسر دنیا، تیم امنیتی این دو شركت را تشكیل می‌دهند.
او به نكته جالب دیگری هم اشاره كرد: البته ممكن است این سوال پیش بیاید كه چرا شركتی مانند اوبر كه اتفاقا «باگ باونتی» نیز برگزار كرده اما دوباره مورد نفوذ هكرها قرار گرفته است؟ ماجرای حمله به شركت هایی مانند اوبر این است كه آن‌ها مورد حملات سایبری APT قرار می‌گیرند. یك نوع حمله خاص كه معمولا توسط دولت‌ها پشتیبانی می‌شوند. برای این قبیل حملات از تكنیك‌هایی مانند حملات مهندسی اجتماعی استفاده می‌شود. به این شكل كه یك نفر با كارمند آن شركت مورد نظر آشنا می‌شود و به طرق مختلف از او می‌خواهد روی سیستم كاری‌اش فایلی را اجرا (Run) كند.
او در خصوص راهكار این نوع حملات گفت: برای دفع كردن چنین حملاتی راه سختی پیش روی شركت‌ها و تیم‌های فنی‌شان است. برای این دست حملات نیاز به Red team pentest است. یك تیم قوی كه در واقع، كارمندان یك مجموعه را امن می‌كنند. شركت‌های ایرانی كارمندان زیادی دارند، هر چقدر هم روی سیستم امنیتی و فنی‌شان كار كنند، ممكن است نا امن بودن یك كارمند، مجموعه‌شان را به خطر بیندازد.
او در خصوص این كه شركت‌های ایرانی كه حال بلوغ و بزرگ شدن هستند باید چه مسیری را در پیش بگیرند تا از لطمه هكرها در امان باشند، گفت: تا جایی كه من می دانم، برخی شركت ها در حال حاضر تصمیم دارند ماجرای باگ بانتی را به مرحله اجرا درآورند. زمانی كه یكی دو شركت این كار را انجام دهند، قطعا بقیه شركت های بزرگ برای تامین امنیت‌شان به آن‌ها می‌پیوندند.
اما این ابتدای مسیر است، همزمان با این كار باید كارمندان مجموعه ها نیز امن شوند. شعاری در كشور ما وجود دارد كه می‌گوید بهترین درمان، پیشگیری است. شركت های ایرانی باید قبل از این كه حملات سایبری به مجموعه شان در دسته حملات APT جای بگیرد، امن بودن كارمندان را در دستور كار قرار بدهند.
ماجرای دیگری كه در این قبیل هك شدن ها شاهد آن بودیم، تكذیب و تاییدهای بی‌ثمر شركت‌ها بود. شاهین‌زاده می‌گوید یك حركت اشتباه پس از هك شدن، ممكن است اعتماد كاربران را برای همیشه از بین ببرد: زمانی كه اتفاقات این‌چنین رخ می‌دهد، شركت ها باید واقعیت را بگویند. نه كم، نه زیاد. یك شركتی كه مورد نفوذ قرار گرفته بود، پس از یك ساعت آمد و ماجرا را تكذیب كرد. چند ساعت بعد نیز مجبور به تایید شد. این در حالی است كه بررسی هك شدن یا نشدن به این سادگی نیست كه بتوان در دقایق اولیه تكذیب یا تاییدش كرد.
شركت های بزرگ دنیا كه با اعلام خبر هك شدن، حتی سهام شركت‌شان هم افت می‌كند معمولا اتفاقات این چنین را می پذیرند و عذرخواهی می‌كنند. اما این روش تكذیب كردن در ابتدای انتشار اخبار این چنینی، هنوز به بقیه روش ها برتری دارد.
او در پایان به قدم دیگری كه باید در این شرایط برداشته شود اشاره كرد و گفت: شركت ها پس از این كه مورد نفوذ قرار می‌گیرند، باید به كاربران خود ایمیل بزنند یا پیام بفرستند و بگویند كه رمز خودشان را عوض كنند. كار ساده ای كه امنیت كاربر را تامین می كند اما من ندیده ام كه شركتی چنین كاری را انجام دهد.
علمی **9207**1485