پنج‌شنبه 8 آذر 1403
سیاسی

تهران، خراسان رضوی و اصفهان آلوده‌ترین استان‌ها به بدافزار

خبرگزاری ایرنا مشاهده در مرجع
تهران، خراسان رضوی و اصفهان آلوده‌ترین استان‌ها به بدافزار

اصفهان - ایرنا - مرکز آپا (آگاهی‌رسانی، پشتیبانی و امداد رایانه‌ای) دانشگاه صنعتی اصفهان اعلام کرد: استان‌های تهران، خراسان رضوی و اصفهان دارای بیشترین آدرس‌های آلوده به بدافزار (malware) در سال گذشته بودند.

مرکز تخصصی آپا (آگاهی‌رسانی، پشتیبانی و امداد رایانه‌ای) دانشگاه صنعتی اصفهان در جدیدترین گزارش خود به بررسی رخدادهای مهم و وضعیت امنیت فضای مجازی ایران و جهان در سال 98 پرداخت.

در این گزارش با اشاره به وضعیت امنیت فضای مجازی کشور در سال 98، آمده است: از نظر پراکندگی آدرس‌های آلوده به بدافزار، استان تهران دارای رتبه اول (بیش از 53 میلیون گزارش) و خراسان رضوی (بیش از 2 میلیون) و اصفهان (بیش از یک میلیون و 800 هزار) در رتبه‌های دوم و سوم قرار دارند.

بدافزار به برنامه مخرب گفته می‌شود که برای کاربران اینترنت و دستگاه‌های دیجیتال از قبیل رایانه و گوشی هوشمند مضر و شامل انواع ویروس، جاسوسی، کرم‌ها و تروجان است.

کمترین تعداد گزارش آلودگی به بدافزار ثبت شده در کل کشور نیز مربوط به استان‌های چهارمحال و بختیاری با 70 هزار و 773 مورد و و کهگیلویه و بویراحمد با 92 هزار و 624 مورد است.

همچنین از نظر آدرس‌های آسیب‌پذیر، استان تهران با بیش از 57 میلیون گزارش آسیب‌پذیری در صدر جدول قرار دارد و اصفهان با بیش از پنج میلیون گزارش و گیلان و فارس با بیش از چهار میلیون در رتبه‌های بعدی قرار دارند.

کمترین تعداد گزارش آسیب‌پذیری ثبت شده در کل کشور نیز مربوط به استان‌های چهارمحال و بختیاری با 88 هزار و 438 و لرستان با 105 هزار گزارش است.

مرکز آپای دانشگاه صنعتی اصفهان با اشاره به گزارش سامانه بومی "بینا"، اعلام کرد: نگاه جامع به آمار نشان می‌دهد که در سال 98 در مجموع 91 میلیون و 583 هزار مرتبه هشدار درباره مشاهده ترافیک مربوط به میزبان‌های آلوده به بدافزار مشاهده شده است.

بطور میانگین این تعداد در هر ماه مربوط به 25 درصد از کل فضای آدرس آی پی (IP) کشور است اما بدلیل تعداد زیاد کاربران خانگی آلوده که آدرس آنها بطور متناوب تغییر می‌کند، برای بیش از 60 درصد از کل فضای آدرس IP کشور گزارش آلودگی دریافت شده است.

نگاه دقیقتر به آمار نشان می‌دهد که تعداد آدرس‌های آلوده تقریبا در همه ماه‌ها روند افزایشی داشته و از یک میلیون و 232 هزار مورد در فروردین به سه میلیون و 398 هزار در اسفند افزایش یافته است.

از نظر تعداد آسیب‌پذیری نیز در سال گذشته در 93 میلیون و 114 هزار مرتبه هشدار درباره آدرس‌های دارای آسیب‌پذیری‌های منتخب (اغلب از نوع پیکربندی نامناسب) ثبت شده است که این تعداد مربوط به 30 درصد از کل آدرس‌های IP کشور در طول سال است.

تعداد آدرس‌های آسیب‌پذیر در سال گذشته دارای شیب نزولی بوده و از یک میلیون و 600 هزار مورد در فروردین به 858 هزار مورد در اسفند کاهش یافته است.

بررسی آلودگی‌ها نیز نشان می‌دهد که بات avalanche - Andromeda با حدود 65 میلیون مورد گزارش بعنوان پرتکرارترین بدافزار سال 1398 در کشورمان مطرح بود و teleplus.android و gamarue در رده‌های دوم و سوم قرار دارند.

از نقطه نظر آسیب‌پذیری نیز پروتکل لایه کاربردی cwmp درصدر جدول و سرویس‌دهنده‌های DNS دارای پیکربندی نامناسب و تجهیزات دارای پیکربندی نامناسب SNMP در رده‌های دوم و سوم قرار دارند.

مشکلات امنیتی تلگرام

همچنین در این گزارش به بررسی مهمترین رخدادهای امنیتی فضای مجازی کشور در سال گذشته پرداخته شده که یکی از بخش‌های آن مربوط به پیام‌رسان تلگرام است.

در این گزارش تصریح شده است: " تلگرام با وجود فیلتر شدن در سال 97، یکی از پراستفاده‌ترین پیام‌رسان‌های سال گذشته کاربران ایرانی بود و نقش مهمی در به خطر افتادن امنیت و حریم خصوصی کاربران ایرانی و بویژه کاربران تلفن همراه داشت.

یکی از مشکلات امنیتی که تلگرام از ابتدای نفوذ خود در میان کاربران ایرانی ایجاد کرد امکانات بالای این برنامه بود؛ تلگرام نخستین پیام‌رسان محبوب ایرانیان بود که امکان ارسال فایل و برنامه داشت. این امکان موجب توزیع بدافزارها و برنامه‌های آلوده تلفن همراه در گروه‌ها و کانال‌های مختلف این پیام‌رسان شده است.

متاسفانه تعداد زیادی از کاربران با نصب این برنامه‌ها آلوده به بدافزار شده‌اند اما با فیلترینگ تلگرام در سال 97 کاربران ایرانی بر خلاف دفعه‌های قبل به پیام‌رسان دیگری کوچ نکردند و این امر مشکلات امنیتی دیگری را به همراه آورد.

متن باز بودن قسمت سمت کاربر تلگرام و فیلترینگ این موقعیت را ایجاد کرد که پوسته‌های غیررسمی تلگرام با امکان دور زدن فیلترینگ در میان کاربران ایرانی محبوبیت پیدا کند؛ تلگرام طلایی، موبوگرام، هاتگرام و بسیاری از نسخه‌های غیررسمی تلگرام که به راحتی در بازارهای ایرانی برنامه‌های کاربردی و در شبکه‌های اجتماعی در دسترس کاربران قرار داشت، مخاطبان زیادی را به خود جذب کردند.

گفته شده است که تلگرام طلایی به تنهایی 45 میلیون کاربر ایرانی داشته است. با گسترش پوسته‌های غیررسمی، بسیاری از کارشناسان و سازمان‌های متولی امنیت ابراز نگرانی کرده و به کاربران هشدار دادند که از این پوسته‌ها استفاده نکنند.

در طول زمان نیز مشخص شد که برخی از این پوسته‌ها، اطلاعات را نه فقط برای سرورهای تلگرام بلکه برای سرورهای خود نیز ارسال می‌کنند که این امر سبب گمان‌هایی در مورد جاسوس بودن برخی از این پوسته‌ها و نقض حریم خصوصی کاربران شد.

در اردیبهشت و خرداد سال 98، پوسته‌های غیررسمی تلگرام از دید مکانیزم‌های امنیتی "گوگل پلی" بعنوان بدافزار شناخته و از دستگاه‌های کاربران حذف شدند؛ با حذف این برنامه‌ها از روی گوشی کاربران اندروید، این پوسته‌ها نیز به کار خود پایان دادند و بسیاری از آنها فعالیت رسمی خود را متوقف کردند.

با این حال، انتشار و توزیع نسخه‌های غیررسمی و گاهی آلوده به بدافزار برخی از پوسته‌ها بر روی گروه‌ها و کانال‌های تلگرامی بطور قطع موجب نقض حریم خصوصی کاربران مستقیم آنها و حتی مخاطبان آن کاربران می‌شود.

از سوی دیگر پس از فیلتر تلگرام، کاربرانی که تمایل به استفاده از این پیام‌رسان داشتند رو به استفاده از وی‌پی‌ان (VPN) آوردند. به همین جهت استفاده از وی‌پی‌ان برای دور زدن فیلترینگ میان کاربران ایرانی رشد بسیاری پیدا کرد.

لازم به توضیح نیست که استفاده از وی‌پی‌ان‌های رایگان چقدر می‌تواند حریم خصوصی و امنیت کاربران را به خطر بیندازد؛ بسیاری از این سرویس‌های رایگان بارها جاسوس‌افزار تشخیص داده و مشخص شد که امنیت و حریم خصوصی استفاده‌کنندگان آنها را به خطر میندازد.

همچنین استفاده گسترده از وی‌پی‌ان موجب شد بسیاری از ترافیک کشور که می‌توانست در داخل کشور مسیریابی شود، ابتدا به خارج از کشور هدایت و سپس به داخل کشور بازگرداننده شود؛ این رفت و برگشت ترافیک هم بار زیادی به شبکه کشور تحمیل می‌کند.

اما وی‌پی‌ان تنها راه دور زدن فیلترینگ در تلگرام نیست؛ تلگرام برای کاربرانی که به دلیل فیلترینگ نمی‌توانند از این پیام‌رسان استفاده کنند، پروکسی‌های MTproto را ارائه کرد.

این پروکسی‌های داخلی امکان دور زدن فیلترینگ را تنها برای پیام‌رسان تلگرام فراهم می‌کنند و دیگر نیازی به استفاده از وی‌پی‌ان و عبور همه ترافیک تلفن همراه از آن نیست.

مدیرعامل تلگرام مدعی است که این پروکسی‌ها امن است و سرور پروکسی امکان دسترسی به پیام‌های کاربران را ندارد اما این پروکسی‌ها یک کانال را به‌عنوان کانال تبلیغاتی به کاربر نشان می‌دهند که گاهی علاوه بر نمایش پیام‌های نامناسب، امکان توزیع بدافزار و برنامه‌های بعضا آلوده را فراهم می‌کند؛ همچنین در آذر سال 98 سرورهای پروکسی تلگرام عامل حمله DDoS به یکی از سرویس‌دهنده‌های ابری کشور شدند.

در بهمن و پس از حوادث ترور شهید سردار سلیمانی و حادثه دلخراش سقوط هواپیما، رکورد استفاده از تلگرام در بین کاربران ایرانی شکسته شد؛ این امر نشان می‌دهد که کاربران ایرانی تصمیم ندارند استفاده از این پیام‌رسان را کنار بگذارند.

به‌نظر می‌رسد در سال جدید نیز قرار نیست مشکلات امنیتی مرتبط با تلگرام به پایان برسد؛ در روزهای ابتدایی امسال خبر افشای اطلاعات 42 میلیون کاربر ایرانی تلگرام توجه بسیاری را به خود جلب کرد.

این اطلاعات که روی یک سرور بدون محافظت وجود داشت، اکنون در انجمن‌های هکری به فروش می‌رسد. شماره تماس، نام و شناسه کاربری و برخی دیگر از اطلاعات کاربران در این پایگاه داده موجود است".

مرکز آپای دانشگاه صنعتی اصفهان اظهار امیدواری کرد که امسال با اتخاذ سیاست‌های درست در قبال این پیام‌رسان، تهدیدات امنیتی اشاره شده برای کاربران ایرانی کاهش یابد.

رمز پویا و امنیت کاربر

در بخش دیگری از گزارش امنیت فضای مجازی کشور در سال 98 به موضوع رمز پویای حساب های بانکی اشاره شده و آمده است: " فیشینگ و سرقت از حساب‌های بانکی یکی از چالش‌های سیستم بانکی کشور و پلیس فتا در سال‌های گذشته بود که برای رفع این مشکل، طرح رمز پویا ارائه شد. هدف طرح رمز پویا، جایگزینی رمز دوم ثابت با رمزهای زمان‌دار یکبار مصرف است تا امکان سوءاستفاده از رمز دوم کاربران و سرقت از حساب آنها از بین برود.

این طرح موجب برطرف شدن بسیاری از سرقت‌ها شد ولی مشکلاتی برای کاربران فراهم کرد؛ به‌نظر می‌رسد مسأله‌ای که از ابتدا در این طرح نادیده گرفته شد، راحتی کار با سیستم برای عموم مردم است. در ابتدا هر بانک یک برنامه موبایل جداگانه ارائه کرد.

این امر باعث شد افرادی که چند حساب بانکی داشتند مجبور شوند برنامه‌های متعلق به همه بانک‌ها را نصب کنند؛ این در حالی است که فعال‌سازی این برنامه‌ها نیز برای یک کاربر عادی، ساده نیست و کارکنان بانک‌ها نیز به‌دلیل مراجعه زیاد برای رفع مشکلات این برنامه‌ها و نحوه استفاده از آنها با مشکل مواجه شدند.

همچنین برخی از این برنامه‌ها دارای ضعف‌های اجرایی و یا امنیتی بود که استفاده از آنها را برای برخی ناممکن می‌کرد. در ادامه این طرح پر سر و صدا از سامانه "هریم " (هدایت رمز یکبار مصرف) بانک مرکزی رونمایی شد و با پیوستن بانک‌های مختلف به این سامانه بسیاری از مشکلات دشواری استفاده از برنامه‌های مختلف برای دریافت رمز دوم پویا مرتفع شد.

اکنون هرگاه به قصد خرید به درگاه اینترنتی مراجعه شود، یک دکمه درخواست رمز دوم پویا وجود دارد که با انتخاب آن، سامانه هریم، رمز یکبار مصرف را برای کاربر پیامک می‌کند تا مشکل دشواری استفاده از برنامه‌های مختلف حل شود.

اما هنوز کارشناسان در مورد این طرح نظرات مختلفی دارند؛ برخی معتقدند با وجود اینکه این طرح توانست مانع بسیاری از حمله های فیشینگ روی حساب‌های بانکی شود، نتوانست به‌صورت کامل امنیت کاربران را تامین کند. اگرچه روی آوردن به سامانه هریم بسیاری از مشکلات تجربه کاربری این طرح را به‌خصوص برای کاربران عمومی برطرف کرد، اما با این حال ارسال پیامک، روش امنی برای دریافت رمز نیست.

برای تامین امنیت شاید بهتر بود به جای حذف رمز دوم ثابت و جایگزینی آن با رمز پویا، پارامتری دیگر مثل CVV2 (رمز اینترنتی) پویا شده و یا رمز از 2 مولفه ثابت و پویا تشکیل می‌شد تا مولفه "دانسته کاربر" که یکی از اجزای امنیت است حفظ شود.

اکنون رمز حساب کاربران تنها به شماره تلفن همراه که در بانک تعریف شده وابسته است و اگر این دسترسی به دست فرد دیگری بیفتد، امنیت کاربر کاملا نقض می‌شود".

تنش‌های بین‌المللی و قطعی اینترنت

در ادامه این گزارش با اشاره به تنش‌های بین‌المللی سایبری آمده است: " در ابتدای سال 98 با مشاهده روند افزایش فشار امریکا به ایران، کارشناسان در مورد لزوم آمادگی برای دفاع سایبری هشدار دادند. به‌خصوص که در زیرساخت شبکه کشور عمدتا از محصولات امریکایی استفاده شده و این مساله می‌تواند نقطه ضعف ما در حمله‌های سایبری باشد.

تنگتر شدن حلقه تحریم‌ها موجب شد برخی از محصولات امنیت سایبری در کشور از کار بیفتد. به‌عنوان مثال در تیر مجوزهای یو تی ام های سایبروم شرکت سوفوس که در ایران مورد استفاده قرار می‌گرفت، غیرفعال شد".

مرکز آپای دانشگاه صنعتی اصفهان تاکید کرد که با توجه به این تنش‌ها باید برای دفاع سایبری آماده بود و شبکه‌ها و زیرساخت‌های سایبری را برای مقابله با تهدیدات تقویت کرد.

در بخش دیگری از این گزارش به قطع شدن اینترنت پس از اتفاق‌های آبان سال گذشته اشاره و تصریح شده است: " این تصمیم تبعات زیادی داشت. از کار افتادن بسیاری از کسب و کارها در دوران قطعی اینترنت، عدم دسترسی به بسیاری از سرویس‌های بیرون از کشور و به روز نشدن سیستم‌های داخلی تنها برخی از مشکلات این تصمیم بودند اما این بدعت مشخص کرد که باید تا حد امکان وابستگی‌های غیرضروری را به شبکه خارج از کشور کم کرد تا در صورت تکرار، شاهد مشکلات کمتری بود البته باید توجه داشت که تکرار این جنس تصمیم‌ها ممکن است افراد را به سمت دسترسی به اینترنت از راه‌های دیگری هدایت کند که تامین امنیت شبکه و کشور را با چالش‌های جدی‌تری روبرو می‌کند".

در بخش دیگری از این گزارش نیز با اشاره به بدافزارهای اندرویدی آمده است: " کاربران ایرانی چند سالی است که رتبه اول آلودگی‌های بدافزاری دستگاه‌های تلفن همراه را در جهان دارند. کسپراسکی گزارش داده است که کاربران ایرانی‌اش بیش از هر کشور دیگری در سال اخیر گرفتار تبلیغ‌افزارها بویژه تروجان fa.Agent.AndroidOS.AdWare بوده‌اند"

توصیه‌های امنیتی 

مرکز آپای دانشگاه صنعتی اصفهان در گزارش خود توصیه‌هایی را برای حفظ امنیت اطلاعات و فضای مجازی پیشنهاد کرد از جمله در پیش گرفتن یک برنامه دفاع سایبری منسجم بر اساس استانداردهای موجود در سازمان، پیاده‌سازی روال رسیدگی سریع به حوادث سایبری، انجام ارزیابی امنیتی در دوره‌های زمانی منظم برای همه زیرساخت فناوری اطلاعات سازمان، اجرای برنامه آموزش و آگاهی‌رسانی سایبری در سازمان، پیاده‌سازی روال مدیریت وصله متمرکز به‌منظور به‌روزرسانی همه میزبان‌ها در شبکه سازمان، راه‌اندازی یک راهکار تحلیل ترافیک شبکه و پشتیبان‌گیری خودکار داده‌ها بر روی تجهیزاتی که قابلیت نوشتن بعد از آن نداشته باشد.

همچنین به کاربران توصیه شده است که از سامانه‌ها و برنامه‌های امنیتی مناسب، قدرتمند و به‌روز روی سیستم‌های خود استفاده کنید، برنامه‌ها و سیستم عامل‌های خود را به‌روز نگه دارید، ضمیمه‌ها و فایل‌های مشکوک ایمیل را باز نکنید، فایل‌های مورد نظر خود را از منابع معتبر و مطمئن دانلود و از اطلاعات حساس خود نسخه پشتیبان تهیه کنید.

متن کامل این گزارش در پایگاه خبری دانشگاه صنعتی اصفهان به نشانی news.iut.ac.ir در دسترس است.

مرکز آپا دانشگاه صنعتی اصفهان به‌عنوان یک مرکز امداد امنیت رایانه‌ای، فعالیت خود را در زمینه ارائه سرویس مدیریت حوادث امنیتی و آسیب‌پذیری‌های شبکه از سال 1386 در این دانشگاه آغاز کرده است.

*س_برچسب‌ها_س*