Rez@ee
9th April 2011, 03:01 PM
دانش > فناوری اطلاعات - رالف لنگنر، کارشناس امنت سایبری در کنفرانس TED از استاکسنت، روش کار و اهداف آن سخن گفت، اینکه این ویروس را آمریکاییها مشخصا برای حمله به تاسیسات غنی سازی اورانیوم نطنز در ایران طراحی کردهاند.رالف لنگنر*: ایده اصلی تولید بدافزار کامپیوتری استاکسنت خیلی ساده است: تولید کنندگان این بدافزار، میخواهند مانعی در راه برنامه هستهای ایران ایجاد کنند.
میدانیم که نقطه اتکای اصلی برنامه هستهای ایران، تاسیسات غنیسازی اورانیوم نطنز است. در چنین تاسیسات صنعتی برای کنترل سرعت ماشینها و باز و بسته شدن شیرها، (مثلا در سانتریفیوژها) از سیستمهای کنترل منطقی قابل برنامهریزی PLC استفاده میکنند که تحت سیستمعاملهایی کار میکنند که هیچ ربطی به ویندوز ندارند. حال اگر بخواهید که در چنین سیستمی اختلال ایجاد کنید، میتوانید از یک ویروس کامپیوتری خوب استفاده کنید که خود را به رایانه مهندسی که این دستگاهها را برنامهریزی میکند، برساند و هنگامیکه رایانه یا لپتاپ به پیالسی متصل شد، بدافزار اصلی را در آن بارگزاری کند؛ آنگاه عملکرد سانتریفیوژ دچار اختلال میشود و کل برنامه هستهای به تاخیر میافتد. بدینترتیب ماموریت به نتیجه میرسد! ساده به نظر میرسد، نه؟
بگذارید بگویم که چگونه به این جا رسیدهایم: شش ماه پیش که کار پژوهش بر روی استاکسنت را شروع کردیم، اصلا نمیدانستیم که هدف آن چه چیزی میتواند باشد، تنها چیزی که میدانستیم این بود که قسمت تحت ویندوز آن تا چه حد پیچیده است و از چه روش هوشمندانهای برای نفوذ همزمان به چند نقطه آسیبپذیر ویندوز استفاده کرده است. به نظر میرسید که میخواهد کاری با این پیالسیها و کنترلکنندهها بکند، در نتیجه ما تمرکز خود را معطوف به آنها کردیم و یک پروژه آزمایشگاهی را برای تشخیص هدف آن آغاز کردیم. ولی چیز جالبی اتفاق افتاد، استاکسنت مانند موشی عمل میکرد که علاقهای به پنیر ما نداشت، بو میکشید ولی تمایلی به خوردن آن نداشت، امری که اصلا منطقی به نظر نمیرسید.
بعد از این که با پنیرهای متفاوت آن را آزمودیم و به نتیجه مشابهی رسیدیم، دریافتیم که این ویروس برای حمله به یک هدف مشخص طراحی شده است. به دنبال مشخصهها و کدهای عملیاتی به خصوصی میگردد و در صورتی که آنها را پیدا کند شروع به کار میکند و اگر چنین چیزی را در هدف پیدا نکند، اصلا عمل نمیکند. دریافتیم که بدون دانستن هدف، نمیتوان کار زیادی از پیش برد. این هدف میتوانست هر جایی باشد، یک نیروگاه در امریکا یا حتی یک کارخانه مواد شیمیایی در آلمان.
ما کدهای حمله را استخراج و رمزگشایی کردیم و دریافتیم که دو بمب دیجیتال در استاکسنت وجود دارد، یک بمب کوچکتر و یک بمب بزرگتر، علاوه بر آن دانستیم که حملهکنندهها از یک مهندسی بسیار پیشرفته بهره برده و دانش کاملی از هدف خود داشتهاند، آنها بر تمام بیتها و بایتهای هدف اشراف داشتند و شاید حتی شماره کفش اپراتورها را هم میدانستند! هر کدام از بمبها یک هدف بخصوص داشتند و به طور خودکار و بدون کنترل از راه دور کار میکردند.
اگر فکر میکنید که استاکسنت صرفا ویروسی پیچیده و با فناوری بالا است، باید بگویم که خیلی بیشتر از چیزی است که حتی بتوانید تصورش کنید. سطح آن خیلی بالاتر و پیشرفتهتر از هر چیز دیگری است که بتوان حتی به آن فکر کرد، فقط کافی است بگویم که این قسمت از ویروس به تنهایی، 15هزار خط برنامهنویسی داشت که به زبانی نزدیک به اسمبلی نوشته شده بود. حال ما باید به دنبال چه چیزی در این 15 هزار خط می گشتیم، اول این که به دنبال چه عملکردهایی در سیستم میگشت، چرا که میدانیم که آنها چه کاری انجام میدهند، و علاوه بر آن زمانسنجها و ساختار دادهها برای مشخص کردن هدف احتمالی به کار میآمدند.
ما نیاز به نظریههایی در مورد اهداف داشتیم تا بتوان با استفاده از آنها مشخص کرد که یک سیستم بخصوص، هدف این ویروس است یا خیر. چیزی که میدانستیم این بود که این یک عملیات خرابکاری است، هدف یک سیستم ولتاژ بالا است و احتمالا هم در ایران قرار دارد، چرا که بیشترین میزان کامپیوترهای الوده شده در این کشور قرار داشتند. در این منطقه اهداف احتمالی زیادی وجود ندارد که اصلیترین آنها نیروگاه هستهای بوشهر و تاسیسات نطنز است. از همین رو به دستیارم گفتم که فهرستی از کارشناسان سانتریفیوژ و نیروگاههای هستهای که مشتری ما هستند، تهیه کند. با آنها تماس گرفتم تا از مشاور آنها برای تعیین هدف احتمالی استفاده کنم.
با استفاده از مشاورههای آنها توانستیم ارتباطی بین بمب کوچکتر و کنترل روتور سانتریفیوژ پیدا کنیم. روتور قسمت متحرک سانتریفیوژ است و اگر بتوانید سرعت آن را تغییر دهید، در عمل میتوانید عملکرد آن را دچار اختلال کنید و حتی سبب انفجار دستگاه سانتریفیوژ شوید. همچنین فهمیدیم که هدف این بمب، این است که سرعت سانتریفیوژ را خیلی آهسته تغییر دهد، شاید برای اینکه کاربران دستگاهها نتوانند به سرعت به وجود مشکل پی ببرند و کاملا گیج شوند.
ولی بمب بزرگتر، کاملا با دادهها و ساختار دادهها در ارتباط بود، برای مثال، عدد 164 را در نظر بگیرید که در ساختار آن وجود داشت؛ اگر در مورد آرایش سانتریفیوژها تحقیق کنید در مییابید که آرایش سانتریفیوژ مورد استفاده در دستگاههای سانتریفیوژ نطنز، آبشار 164 تایی از دستگاههای سری P-1 است، علاوه بر آن سانتریفیوژهای ایران در 15 مرحله و با آرایش خاصی قرار گرفتهاند. جالب اینجاست که ساختار دادههایی که ما در کد حمله استاکسنت یافتیم، کاملا منطبق با این آرایش بود. به این ترتیب میتوانیم با اطمینان بگوییم که این همان هدفی است که به دنبال آن میگشتیم.
حال میتوانیم بگوییم که هر دو بمب به یک هدف حمله میکنند، منتهی از زوایای مختلف. بمب کوچکتر فقط به یک آبشار سانتریفیوژ حمله میکند و سرعت روتورها را کم میکند، در حالی که بمب بزرگتر به مجموعه 6 آبشاری حمله میکند و شیرها را به طور نادرست باز و بسته میکند. اکنون میتوانیم با اطمینان بگوییم که هدف این ویروس نطنز و تنها نطنز است، و دیگر دارندگان پیالسی نباید نگرانی از این باب داشته باشند (دست کم در حال حاضر!)
حال به یک ویژگی دیگر استاکسنت میپردازیم. این ویروس، ورودیهای حسگرها را جعل کرده و تغییر میدهد، (مثل حسگرهای دما و فشار) و در نتیجه به رغم اینکه سانتریفیوژها درست کار نمیکنند، کاربر آنها متوجه چنین مشکلی نمیشود. چون در حقیقت دادههای ورودی که از پیش در آن ذخیره شدهاند، به جای دادههای واقعی نمایش داده میشوند؛ درست مانند یک فیلم هالیوودی که در آن، تصاویر دوربینهای نظارتی با تصاویر جعلی از پیش ضبط شده جابجا میشوند. جالب است، نه؟!
هدف در اینجا تنها این نیست که اپراتور و اتاق کنترل را گول بزنیم، در حقیقت، مسئله بسیار خطرناکتر و تهاجمیتر از این است؛ این سیستم قرار است یک سیستم ایمنی دیجیتال را فریب دهد. در چنین حالتی، کاربر انسانی نمیتواند به سرعت واکنش نشان دهد، و در نتیجه، اگر مثلا در جایی مانند یک نیروگاه باشید، و توربینها به سرعت بسیار خطرناکی برسند بدون آنکه هیچ سیستم حفاظتی آن را تشخیص دهد، حاصل کار وحشتناک خواهد بود: نیروگاه منفجر میشود بدون این که کاربر یا سیستم حفاظتی نیروگاه از آن باخبر شوند.
ولی مسئله خیلی مهم در این میان، این است که وضع از این هم بدتر خواهد شد. به این نکته فکر کنید: این حمله عمومی است، به طور خاص هیچ کاری به سانتریفیوژ یا اورانیوم ندارد، در نتیجه میتواند در هر جای دیگری کار کند، مثل یک نیروگاه یا یک کارخانه خودروسازی؛ و بر خلاف مورد خاص استاکسنت، دیگر نیازی هم به یک یواسبی برای انتقال آن نخواهد بود، مثلا میتوان برای انتقال آن از فناوری معمولی کرم اینترنتی استفاده کرد تا بتوان آن را تا جای ممکن پراکنده کرد.
بدین ترتیب این ویروس به یک سلاح سایبری کشتار جمعی تبدیل خواهد شد. بیشترین جاهایی که در معرض خطر قرار میگیرند، نه در خاورمیانه و آسیا (آنگونه که در مورد استاکسنت رخ داد) که در امریکا، اروپا و ژاپن خواهند بود. آنها میتوانند به سادگی کپی و پخش شوند. ما باید با تبعات این حمله مواجه شویم، و بهتر است که از همین امروز خود را آماده آن روز کنیم.
و یک نکته: به باور من موساد هم در این حمله دخیل بود، ولی آنها به تنهایی توان مدیریت چنین کاری را نداشتند، بلکه نیروی رهبری کننده آن ابرقدرت سایبری دنیای امروز بود، و تنها یک کشور امروزه چنین جایگاهی دارد: ایالات متحده امریکا.
http://images.ted.com/images/ted/168c2505a3d76faeccdf7d419cc61092b8b25046_254x191.j pg*رالف لنگنر (Ralph Langner)، کارشناس امنیت سیستمهای کنترلی و امنیت سایبری از آلمان است که پس از رمزگشایی از استاکسنت و شیوه عملکرد آن در سال 2010 بیشازپیش مورد توجه قرار گرفت.
میدانیم که نقطه اتکای اصلی برنامه هستهای ایران، تاسیسات غنیسازی اورانیوم نطنز است. در چنین تاسیسات صنعتی برای کنترل سرعت ماشینها و باز و بسته شدن شیرها، (مثلا در سانتریفیوژها) از سیستمهای کنترل منطقی قابل برنامهریزی PLC استفاده میکنند که تحت سیستمعاملهایی کار میکنند که هیچ ربطی به ویندوز ندارند. حال اگر بخواهید که در چنین سیستمی اختلال ایجاد کنید، میتوانید از یک ویروس کامپیوتری خوب استفاده کنید که خود را به رایانه مهندسی که این دستگاهها را برنامهریزی میکند، برساند و هنگامیکه رایانه یا لپتاپ به پیالسی متصل شد، بدافزار اصلی را در آن بارگزاری کند؛ آنگاه عملکرد سانتریفیوژ دچار اختلال میشود و کل برنامه هستهای به تاخیر میافتد. بدینترتیب ماموریت به نتیجه میرسد! ساده به نظر میرسد، نه؟
بگذارید بگویم که چگونه به این جا رسیدهایم: شش ماه پیش که کار پژوهش بر روی استاکسنت را شروع کردیم، اصلا نمیدانستیم که هدف آن چه چیزی میتواند باشد، تنها چیزی که میدانستیم این بود که قسمت تحت ویندوز آن تا چه حد پیچیده است و از چه روش هوشمندانهای برای نفوذ همزمان به چند نقطه آسیبپذیر ویندوز استفاده کرده است. به نظر میرسید که میخواهد کاری با این پیالسیها و کنترلکنندهها بکند، در نتیجه ما تمرکز خود را معطوف به آنها کردیم و یک پروژه آزمایشگاهی را برای تشخیص هدف آن آغاز کردیم. ولی چیز جالبی اتفاق افتاد، استاکسنت مانند موشی عمل میکرد که علاقهای به پنیر ما نداشت، بو میکشید ولی تمایلی به خوردن آن نداشت، امری که اصلا منطقی به نظر نمیرسید.
بعد از این که با پنیرهای متفاوت آن را آزمودیم و به نتیجه مشابهی رسیدیم، دریافتیم که این ویروس برای حمله به یک هدف مشخص طراحی شده است. به دنبال مشخصهها و کدهای عملیاتی به خصوصی میگردد و در صورتی که آنها را پیدا کند شروع به کار میکند و اگر چنین چیزی را در هدف پیدا نکند، اصلا عمل نمیکند. دریافتیم که بدون دانستن هدف، نمیتوان کار زیادی از پیش برد. این هدف میتوانست هر جایی باشد، یک نیروگاه در امریکا یا حتی یک کارخانه مواد شیمیایی در آلمان.
ما کدهای حمله را استخراج و رمزگشایی کردیم و دریافتیم که دو بمب دیجیتال در استاکسنت وجود دارد، یک بمب کوچکتر و یک بمب بزرگتر، علاوه بر آن دانستیم که حملهکنندهها از یک مهندسی بسیار پیشرفته بهره برده و دانش کاملی از هدف خود داشتهاند، آنها بر تمام بیتها و بایتهای هدف اشراف داشتند و شاید حتی شماره کفش اپراتورها را هم میدانستند! هر کدام از بمبها یک هدف بخصوص داشتند و به طور خودکار و بدون کنترل از راه دور کار میکردند.
اگر فکر میکنید که استاکسنت صرفا ویروسی پیچیده و با فناوری بالا است، باید بگویم که خیلی بیشتر از چیزی است که حتی بتوانید تصورش کنید. سطح آن خیلی بالاتر و پیشرفتهتر از هر چیز دیگری است که بتوان حتی به آن فکر کرد، فقط کافی است بگویم که این قسمت از ویروس به تنهایی، 15هزار خط برنامهنویسی داشت که به زبانی نزدیک به اسمبلی نوشته شده بود. حال ما باید به دنبال چه چیزی در این 15 هزار خط می گشتیم، اول این که به دنبال چه عملکردهایی در سیستم میگشت، چرا که میدانیم که آنها چه کاری انجام میدهند، و علاوه بر آن زمانسنجها و ساختار دادهها برای مشخص کردن هدف احتمالی به کار میآمدند.
ما نیاز به نظریههایی در مورد اهداف داشتیم تا بتوان با استفاده از آنها مشخص کرد که یک سیستم بخصوص، هدف این ویروس است یا خیر. چیزی که میدانستیم این بود که این یک عملیات خرابکاری است، هدف یک سیستم ولتاژ بالا است و احتمالا هم در ایران قرار دارد، چرا که بیشترین میزان کامپیوترهای الوده شده در این کشور قرار داشتند. در این منطقه اهداف احتمالی زیادی وجود ندارد که اصلیترین آنها نیروگاه هستهای بوشهر و تاسیسات نطنز است. از همین رو به دستیارم گفتم که فهرستی از کارشناسان سانتریفیوژ و نیروگاههای هستهای که مشتری ما هستند، تهیه کند. با آنها تماس گرفتم تا از مشاور آنها برای تعیین هدف احتمالی استفاده کنم.
با استفاده از مشاورههای آنها توانستیم ارتباطی بین بمب کوچکتر و کنترل روتور سانتریفیوژ پیدا کنیم. روتور قسمت متحرک سانتریفیوژ است و اگر بتوانید سرعت آن را تغییر دهید، در عمل میتوانید عملکرد آن را دچار اختلال کنید و حتی سبب انفجار دستگاه سانتریفیوژ شوید. همچنین فهمیدیم که هدف این بمب، این است که سرعت سانتریفیوژ را خیلی آهسته تغییر دهد، شاید برای اینکه کاربران دستگاهها نتوانند به سرعت به وجود مشکل پی ببرند و کاملا گیج شوند.
ولی بمب بزرگتر، کاملا با دادهها و ساختار دادهها در ارتباط بود، برای مثال، عدد 164 را در نظر بگیرید که در ساختار آن وجود داشت؛ اگر در مورد آرایش سانتریفیوژها تحقیق کنید در مییابید که آرایش سانتریفیوژ مورد استفاده در دستگاههای سانتریفیوژ نطنز، آبشار 164 تایی از دستگاههای سری P-1 است، علاوه بر آن سانتریفیوژهای ایران در 15 مرحله و با آرایش خاصی قرار گرفتهاند. جالب اینجاست که ساختار دادههایی که ما در کد حمله استاکسنت یافتیم، کاملا منطبق با این آرایش بود. به این ترتیب میتوانیم با اطمینان بگوییم که این همان هدفی است که به دنبال آن میگشتیم.
حال میتوانیم بگوییم که هر دو بمب به یک هدف حمله میکنند، منتهی از زوایای مختلف. بمب کوچکتر فقط به یک آبشار سانتریفیوژ حمله میکند و سرعت روتورها را کم میکند، در حالی که بمب بزرگتر به مجموعه 6 آبشاری حمله میکند و شیرها را به طور نادرست باز و بسته میکند. اکنون میتوانیم با اطمینان بگوییم که هدف این ویروس نطنز و تنها نطنز است، و دیگر دارندگان پیالسی نباید نگرانی از این باب داشته باشند (دست کم در حال حاضر!)
حال به یک ویژگی دیگر استاکسنت میپردازیم. این ویروس، ورودیهای حسگرها را جعل کرده و تغییر میدهد، (مثل حسگرهای دما و فشار) و در نتیجه به رغم اینکه سانتریفیوژها درست کار نمیکنند، کاربر آنها متوجه چنین مشکلی نمیشود. چون در حقیقت دادههای ورودی که از پیش در آن ذخیره شدهاند، به جای دادههای واقعی نمایش داده میشوند؛ درست مانند یک فیلم هالیوودی که در آن، تصاویر دوربینهای نظارتی با تصاویر جعلی از پیش ضبط شده جابجا میشوند. جالب است، نه؟!
هدف در اینجا تنها این نیست که اپراتور و اتاق کنترل را گول بزنیم، در حقیقت، مسئله بسیار خطرناکتر و تهاجمیتر از این است؛ این سیستم قرار است یک سیستم ایمنی دیجیتال را فریب دهد. در چنین حالتی، کاربر انسانی نمیتواند به سرعت واکنش نشان دهد، و در نتیجه، اگر مثلا در جایی مانند یک نیروگاه باشید، و توربینها به سرعت بسیار خطرناکی برسند بدون آنکه هیچ سیستم حفاظتی آن را تشخیص دهد، حاصل کار وحشتناک خواهد بود: نیروگاه منفجر میشود بدون این که کاربر یا سیستم حفاظتی نیروگاه از آن باخبر شوند.
ولی مسئله خیلی مهم در این میان، این است که وضع از این هم بدتر خواهد شد. به این نکته فکر کنید: این حمله عمومی است، به طور خاص هیچ کاری به سانتریفیوژ یا اورانیوم ندارد، در نتیجه میتواند در هر جای دیگری کار کند، مثل یک نیروگاه یا یک کارخانه خودروسازی؛ و بر خلاف مورد خاص استاکسنت، دیگر نیازی هم به یک یواسبی برای انتقال آن نخواهد بود، مثلا میتوان برای انتقال آن از فناوری معمولی کرم اینترنتی استفاده کرد تا بتوان آن را تا جای ممکن پراکنده کرد.
بدین ترتیب این ویروس به یک سلاح سایبری کشتار جمعی تبدیل خواهد شد. بیشترین جاهایی که در معرض خطر قرار میگیرند، نه در خاورمیانه و آسیا (آنگونه که در مورد استاکسنت رخ داد) که در امریکا، اروپا و ژاپن خواهند بود. آنها میتوانند به سادگی کپی و پخش شوند. ما باید با تبعات این حمله مواجه شویم، و بهتر است که از همین امروز خود را آماده آن روز کنیم.
و یک نکته: به باور من موساد هم در این حمله دخیل بود، ولی آنها به تنهایی توان مدیریت چنین کاری را نداشتند، بلکه نیروی رهبری کننده آن ابرقدرت سایبری دنیای امروز بود، و تنها یک کشور امروزه چنین جایگاهی دارد: ایالات متحده امریکا.
http://images.ted.com/images/ted/168c2505a3d76faeccdf7d419cc61092b8b25046_254x191.j pg*رالف لنگنر (Ralph Langner)، کارشناس امنیت سیستمهای کنترلی و امنیت سایبری از آلمان است که پس از رمزگشایی از استاکسنت و شیوه عملکرد آن در سال 2010 بیشازپیش مورد توجه قرار گرفت.