دیاچنکو: اطلاعاتم را به مرکز ماهر ایران دادم

آی‌تی‌من- یکی از بزرگترین این موارد روز ۲۱ مارس (یکم فروردین‌ماه) کشف و تقریبا 10 روز بعد علنی شد؛ نام کاربری و شماره تلفن ۴۲ میلیون کابر ایرانی تلگرام که از نسخه ثالث پیام‌رسان تلگرام استفاده می‌کردند، بدون اینکه رمز عبوری از آنها محافظت کند، در دسترس عموم بود. بعدتر تایید شد که این داده‌ها دست‌کم توسط یک هکر در یکی از انجمن‌های اینترنتی فروش اطلاعات قرار داده شده بود. این اطلاعات را گروهی به نام «سامانه شکار» روی یک سرور قرار داده بود.

بعد از این گزارش، گمانه‌زنی‌های بسیاری درباره منبعی که این اطلاعات را در اختیار داشته و آن را پخش کرده، مطرح شد. از جمله این‌که، اطلاعات را یکی از سازمان‌های دولتی یا امنیتی در ایران در اختیار داشته است. سازمان فناوری اطلاعات ایران درز اطلاعات را تایید کرد و گفت که پیش‌تر درباره نسخه‌های کپی تلگرام هشدار داده است. اما درباره چیستی «سامانه شکار» و جزییات مربوط به این درز اطلاعاتی واکنشی نداشت. ‌

باب دیاچنکو، مدیر بخش تحقیقات امنیت سایبری در Comparitech این موضوع را کشف کرده و آن را گزارش داده بود. او بعد از آرام شدن واکنش‌ها، در گفت‌وگوی اختصاصی با یورونیوز درباره درز اطلاعاتی و داده‌هایی که به آنها دست پیدا کرده،‌ توضیح داد. او در این گفت‌وگو صرفا به داده‌هایی می‌پردازد که از نظر فنی معتبر هستند.

در بخش پایانی گفت‌وگو با او درباره اتفاقات آنلاین در جهان مبتلا به ویروس کرونا گپ زده‌ایم. آیا افزایش تعداد حملات سایبری که پیش‌تر رییس کمیسیون اروپا درباره‌اش هشدار داده بود، نگران‌کننده است؟

این گفت‌وگو پیش روی شماست:

درباره این‌که داده‌ها شامل چه اطلاعاتی بوده، گزارش‌هایی منتشر شده اما درباره روش جمع‌آوری آنها کمتر کسی می‌داند. می‌توانید بگویید این داده‌ها را چطور و کجا پیدا کردید؟

یکی از کارهای همیشگی من کندوکاو محیط‌های عمومی ‌اینترنت و بررسی داده‌هایی است که روی این فضاهای عمومی ‌در اینترنت قرار داده می‌شوند.

من هکر نیستم. کار من زیر نظر گرفتن جریان داده‌هایی است که دیتابیس‌های باز و بدون حفاظت منتشر می‌شوند. منظورم از این دیتابیس‌ها جاهایی مثل نتایج موتورجست‌وجوست. گاهی در بررسی‌هایم و هنگام جست‌وجو در اینترنت به داده‌هایی برمی‌خورم که نیاز به حفاظت دارند.

داده‌های اخیر را روز ۲۱ ماه مارس (یکم فروردین‌ماه)‌ وقتی در موتور جست‌وجوی «باینری‌اج» BinaryEdge مشغول کار بودم، پیدا کردم. در آن زمان روی یک پروژه درباره «داده‌های متن‌باز» کار می‌کردم. این اطلاعات در یک فضای قابل‌جست‌وجو قرار گرفته بودند و برای دسترسی به داده‌های آنها هیچ رمز عبوری قرار داده نشده بود.

درباره صاحب این داده‌ها و منبع انتشارشان چه اطلاع دیگری دارید؟ درباره منبع این داده‌ها مطالب متفاوتی منتشر شده است. شما دراین‌باره به چه اطلاعاتی برخوردید؟
پروژه‌های من به این ترتیب جلو می‌روند: در حین جست‌وجو در فضاهای عمومی ‌اینترنت وقتی به داده‌های عمومی ‌یا هر داده دیگری که بدون هیچ محدودیتی به طور کامل در دسترس عموم است، برمی‌خورم، آنها را برای آنالیزهای بیشتر در آینده جمع‌آوری می‌کنم.

اگر در میان این داده‌ها هر نوع داده خصوصی یا حساسی وجود داشته باشد، من طبق یک سیستم افشای اطلاعات مسوولیت‌پذیر با صاحب داده (شرکت یا سازمانی که اطلاعات را به صورت عمومی‌در دسترس قرار داده) تماس می‌گیرم. جریان را به آنها اطلاع می‌دهم. در این تماس، کمک‌شان می‌کنم تا برای محافظت از داده‌های خصوصی‌شان اقدامات امنیتی خاصی را انجام بدهند.

من در روز ۲۴ مارس بعد از این‌که مطمئن شدم داده‌های حساسی وجود دارند، با تامین‌کننده خدمات ‌هاستینگ یعنی جایی که اطلاعات روی آن قرار داشت، تماس گرفتم و گزارش را فرستادم. این اطلاعات در نهایت ۲۵ مارس از روی ‌هاست برداشته شد. اما‌ هاست همچنان فعالیت می‌کرد. در روز ۳۱ مارس بعد از مکالمه با مرکز ماهر، این سرور به طور کامل خاموش شد.

چه اطلاعاتی درباره صاحب این داده داریم؟

روشن نیست که چه کسی داده‌ها را در اختیار دارد. چون داده‌ها روی یک سرور ابری ناشناس قرار داده شده بود. فقط می‌توانم تایید کنم که این داده‌ها را گروهی به نام Hunting System (سامانه شکار) پست کرده بود. این سرور در روز ۳۱ مارس و بعد از صحبت‌هایی که در توییتر با سامانه «مرکز ماهر»‌ داشتم خاموش شد. تا قبل از آن یعنی از ۲۵ تا ۳۱ مارس،‌ سرور روشن بود اما بانک داده از روی آن برداشته شده بود.

گفتید که اطلاعات را در هنگام جست‌وجو در اینترنت پیدا کرده‌اید. فضایی که در آن داده‌های تلگرام را پیدا کرده‌اید، چقدر برای مردم عادی قابل‌دسترس است؟

این داده‌ها در فضای عمومی‌ اینترنت و برای همه در دسترس هستند. این داده‌ها در یک فضای قانونی قرار داده شده‌اند نه مثلا در جایی که به عنوان دارک‌نت (وب تاریک)‌ معروف شده و برای دسترسی به آن از ابزارهای خاصی باید استفاده کرد.

دسترسی به این داده‌ها دانش فنی خاصی نمی‌‌خواهد و برای هرکسی با مرورگرهای عادی امکان پذیر است. موتور جست‌وجویی که من در آن اطلاعات تلگرام را پیدا کردم، چیزی شبیه گوگل است، منتهی با تمرکز روی «اینترنت چیزها» یا IoT .

یعنی هرکسی با یک مرورگر معمولی و بدون دانش فنی می‌توانسته به این اطلاعات دست پیدا کند؟

پروژه‌های من عمدتا روی مسایلی مثل نقص اطلاعات، درز داده یا آسیب‌پذیری در اینترنت متمرکز هستند. برای بررسی این اطلاعات باید در محیط‌های عمومی ‌اینترنتی مثل فیدهای موتورهای جست‌وجوی عمومی ‌استفاده کنم. موتورهایی مثل Shodan, Censys, BinaryEdge یا چیزهایی شبیه این.

داده‌هایی که در این موتورهای جست‌وجو قرار داشته باشند، در دسترس عموم مردم قرار دارند نه در فضای پنهان وب. دسترسی به آنها پیچیده نیست.

تقریبا همزمان با درز این داده‌ها،‌ خبر مشابه دیگری هم که مربوط به داده‌های یک شرکت در ایران بود، پخش شد. به نظرتان این همزمانی دلیل خاصی داشت یا این دو مورد، شباهتی به هم داشتند؟

فکر نمی‌کنم این درز اطلاعاتی که ناشی از پیکربندی غلط بودند، به هم ارتباطی داشتند یا از روی قصد و غرض بوده باشد. به نظرم مشکل فقط ناشی از یک جور ایراد در تنظیمات است.

در تمام این موارد که گفتم، رعایت نکردن قواعد پیکربندی باعث شده چنین مشکلی پیش بیاید و ما در اصطلاح فنی به آن «پیکربندی غلط داده» می‌گوییم. به زبان ساده‌تر در تمام این موارد داده‌ها بدون هیچ رمز عبوری در یک فضای عمومی ‌قرار دارند.

این که اطلاعات مهم و حساس بدون پسورد در فضاهای عمومی‌قرار داشته باشند، چقدر در دنیا معمول است؟

قراردادن داده‌های حساس در یک دیتابیس در تمام دنیا یک اتفاق معمول است. اما نکته اینجاست که باید از این داده با دست‌کم رمز عبور حفاظت کرد و مطمئن شد که این اطلاعات در دامنه‌های عمومی‌ در دسترس نیستند. متاسفانه این اشتباه در تمام دنیا زیاد از حد رخ می‌دهد و مربوط به یک جغرافیای خاص هم نیست. این‌که خیلی‌ها یادشان می‌رود از اطلاعات‌شان محافظت کنند.

حدود یک سال قبل هم یک درز داده بزرگ مربوط به ایران را پیدا کردم و گزارش دادم. در آن زمان اطلاعات مربوط به یک تاکسی اینترنتی در ایران بود که در شرایط حفاظت‌نشده‌ای قرار داشت. آنجا هم داده‌ها پسورد نداشتند.

بیایید کمی ‌از ایران فاصله بگیریم و به جهان مبتلا به ویروس کرونا برسیم. این روزها تعداد زیادی حملات سایبری گزارش شده است. «اورزلا فن درلاین»، رییس کمیسیون اروپا چند روز پیش درباره گسترش جرایم سایبری بعد از شیوع ویروس کرونا هشدار داده بود. به نظرتان این حملات چرا بیشتر شده‌اند.

به نظرم آنها فقط می‌خواهند ولع‌شان را بخوابانند و از هیجان زیاد مردم به خاطر اتفاقات بد این روزها سواستفاده می‌کنند. یک‌جورهایی بازی کردن با ترس مردم.

این افزایش جرایم سایبری به ما چه می‌گویند؟ آیا تعداد هکرها رشد کرده یا مشکل جدیدی اضافه شده؟

به نظرم تعداد حمله‌ها در تابع نمایی رشد نداشته است. هکرها قبلا هم وجود داشتند. اما این‌بار هدف‌شان را عوض کرده‌اند و از شرایط روز سواستفاده می‌کنند.

کرونا جهان را تغییر داده است. می‌گویند این تغییرات ادامه‌دار است و حتی ممکن است سبک زندگی‌ها را تغییر بدهد. در مورد جهان سایبری اوضاع چطور است؟

همه صنایع و کارها به خاطر ویروس کرونا تغییر خواهند کرد و امنیت سایبری هم استثنا نیست. اما فکر نمی‌کنم تغییری که در این حوزه رخ خواهد داد، به اندازه دگرگونی در بقیه زمینه‌ها ناراحت‌کننده و دراماتیک باشد. امنیت همیشه برای هر سازمان و متخصص صنعت یک الویت است و درخواست برایش وجود ددارد. البته که در شرایط فاجعه‌بار بزرگ فعالیت و بودجه کمتری وجود خواهدداشت.