مرکز ماهر باید پاسخگوی حمله سایبری باشد!

بحث درباره حمله به دیتاسنترهای اینترنتی در ایران که دیشب رخ داد و باعث به وجود آمدن مشکلاتی در ارائه خدمات چند سرویس اینترنتی بزرگ در ایران شد کماکان ادامه دارد. اولین کسی که وارد این ماجرا هم شد، وزیر ارتباطات و فناوری اطلاعات بود که در چند پیام توئیتری از این مشکل و روند برطرف شدن آن سخن گفت. در رابطه با این موضوع محمد رهی، مسئول فنی شرکت هاست‌ایران و بنیان‌گذار استارتاپ زودشور صحبت کوتاهی کرده‌ایم.

محمد رهی از علت این حمله به این صورت می‌گوید: «مشکل به دلیل باگ در Smart Install Client روترهای سیسکو در سری‌های 3 و 4 بوده که معروف‌ترین این روترها در ایران مدل‌های 3750 و 4850 هستند؛ افرادی که کار شبکه انجام می‌دهند، با این روتر زیاد کار می‌کنند. این باگ ماه مارس توسط کمپانی سیسکو اعلام شده بود و پچ‌های مربوطه برای رفع این مشکل هم رسما ارائه شده بود،ولی متاسفانه مرکز ماهر که مسئول نگهداری و امنیت شبکه ایران بوده از این باگ خبر نداشته و آپدیت‌ها را انجام نداده است. حمله‌کننده‌ها از طریق همان باگ، روتر یا اصطلاحا مسیریاب را به تنظیمات پیش‌فرض برمی‌گرداند و یا روی تنظیمات متن یا پیامی قرار می‌دهد که در این مورد، متن گذاشته‌شده توسط حمله‌کننده،پرچم آمریکا بود.»

تبعاتی که حمله اخیر برای اکوسیستم ایران دارد

در رابطه باتبعاتی که این حمله برای اکوسیستم استارتاپی ایران دارد، از رهی پرسیدیم و او در پاسخ اشاره می‌کند مهمترین تبعاتی که این حمله می‌تواند برای اکوسیستم استارتاپی ما داشته باشد، ترس و عدم اطمینان سرمایه‌گذاران خارجی برای حضور در ایران است و ادامه می‌دهد: «تبعات این مشکل برای اکوسیستم ایران، این است که در اخبار بین‌المللی این موضوع پیچیده می‌شود که زیرساخت‌های شبکه‌ای ایران آپدیت نیست و با یک باگ کوچک کل شبکه ایران با مشکل مواجه می‌شود. خوب با چنین وضعیتی یک سرمایه‌گذار خارجی چطور می‌تواند اعتماد کرده و برای سرمایه‌گذاری در این اکوسیستم اقدام کند؟!»

مرکز ماهر باید آپدیت باشد تا چنین اتفاقاتی نیفتد

مسئول فنی هاست‌ایران در ادامه اضافه می‌کند: «نام کامل مرکز ماهر، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای است و باید ادمین‌هایی داشته باشد که از کلیه اخبار امنیتی شبکه‌ای خبردار باشند، اما به خاطر یک باگ بسیار ساده دچار مشکلی به این وسعت می‌شود. حالا به دلیل انجام ندادن یک آپدیت ساده که مثل گوشی به‌راحتی قابل انجام است، کل زیرساخت ایران با مشکل مواجه می‌شود.»

رهی می‌گوید: «این مشکل فقط برای ایران پیش نیامده. به عبارتی مقصد این حمله ایران نبوده و هدف زدن ایران نبوده است؛ به این دلیل که این روتر هرجای دنیا که بوده و آپدیت نشده، با این مشکل روبرو شده است؛ مسئله اینجاست که در حال حاضر ایران کشوری ست که در بحث آی‌تی خود را به شدت آپدیت می‌کند و جایی برای این قبیل مشکلات نباید باشد. به نظر من مشکل تنها از طرف مرکز ماهر است و باید اخبار را دنبال کند و کاملا آپدیت باشد. در اصل این مرکز بابت همین کار یعنی نگهداری شبکه، از دولت پول دریافت می‌کند و باید کار خود را دقیق انجام دهد. تنها در صورت آپدیت بودن این مرکز دیگر شاهد چنین مشکلاتی نخواهیم بود.»

محمد رهی در ادامه مباحث فنی این حمله و راهکارهای پیشگیری از آن را به زبان ساده و در مراحل زیر خلاصه شرح می‌دهد:

• علت بروز این حمله: باگ درFile:_Smart_Install.docx
• لینک اطلاعیه هشدار سیسکو:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2

• اگر یک مدیر شبکه بخواهد از وضعیت Smart Install Client با خبر شود، کافی است فرمان vstack config را اجرا کند؛ که نمونه آن را در زیر مشاهده می‌کنید:

switch#show vstack config | inc Role

Role: Client (SmartInstall enabled)

• آسان‌ترین راه برای غیر فعال کردن این قابلیت اجرای فرمان no vstack است. در صورتی هم که این امکان وجود نداشته باشد، محدود کردن دسترسی به رابط آن از طریق ACL می‌تواند کارساز باشد.
• در این زمینه حتی سیسکو گفته است اگر آپدیت نکردید smart install client را فعلا غیرفعال کنید.