چند خبر از دنیای جاسوسی و هکرها

باسمه تعالی

حدود ۲ سال پیش در مقاله‌ای درباره مجموعه افشاگری‌های ویکی‌لیکس با عنوان Vault 7 مطلبی نوشته بودم.[1] در طی این مدت اطلاعات خیلی زیادی درباره این ماجرا پخش شد؛ و مشخص شد که سازمان سیا، برای دور زدن قانون در آمریکا، این افشاگری را طرح‌ریزی کرده بود.

سازمان سیا، از بدو تاسیس تحت کنترل گلوبالیست‌ها بود؛ و عملاً هیچ تبعیتی از دولت مرکزی نداشت؛ و با قتل جان کندی، به روسای‌جمهور بعد از او فهماند که در کار این سازمان دخالت نکنند. در مقالات قبلی دراین‌باره زیاد توضیح داده‌ام که فرض اینکه آمریکا توسط یک دولت و یک مدیریت اداره میشود، فرض درستی نیست؛ بلکه مجموعه‌های مختلفی در این کشور با هم رقابت دارند و بعضا تنش‌ها و درگیری‌های سنگینی بین آنها رخ میدهد.

ماجرای Keystone

در سالهای گذشته سازمان سیا نیاز داشت که یک سری ابزار جاسوسی را در کامپیوترها نصب کند و اطلاعات استخراج شده از آن را به سرورهای Command & Control خود، که در سراسر دنیا پخش شده‌اند، بفرستد. از نظر قانونی نگه داشتن اطلاعات طبقه‌بندی شده در این سرورها نیاز به این دارد که سرور برای چنین منظوری تأیید شود. به علاوه خود ابزارهای جاسوسی توسعه داده شده در سیا نیز محرمانه و اموال دولتی به حساب می‌آیند. سیا برای جلوگیری از دادن بهانه به مخالفان خود، کاری کرد که ابزارهای توسعه داده شده جاسوسی به عنوان افشاگری در دسترس همه قرار بگیرند، تا از رده‌بندی محرمانه خارج شوند. به این ترتیب اگر چنین ابزارهایی در یک کامپیوتر پیدا شوند، نمیشود وجود آن را به سیا نسبت داد و هرکسی میتواند عامل آن باشد.

از طرف دیگر برای مخفی کردن رد پای این ابزارهای جاسوسی، آن‌ها را در قالب نرم‌افزار فیسبوک در کامپیوتر و تلفن، می‌گنجانند؛ تا جزء آن به حساب بیاید. اما اشکال کار در این است که بعد از پاک کردن فیسبوک از کامپیوتر و تلفن، دیگر نمیشود آن ابزار جاسوسی را از کار انداخت.

یکی از پروژه‌هایی که در مجموعه Vault 7‌به اصطلاح افشا شد، Angelfire نام دارد.[2] این پروژه شامل ۵ implant است که یکی از آن‌ها Keystone نامیده شده است. این ایمپلنت قبلاً با نام Magic Wand یا «چوب جادو» معرفی میشد. مشخصه «چوب جادو» این بود که در file system خود را کپی نمیکند و boot را چنان تغییر میدهد که هر بار که کامپیوتر روشن شود، آن را نیز به عنوان یک سرویس سیستم عامل اجرا و معرفی کند. به این ترتیب کسی متوجه وجود آن نمیشود.[5]

ظاهراً اهمیت چنین ابزارهای جاسوسی آنقدر بالا بوده که اوباما در لابلای حرفهای خود در سال ۲۰۱۶ به ترامپ می‌گفت که «فلان مشکل را با کدام چوب جادو میخواهی حل کنی؟» اخیر ترامپ هم در جواب او گفت که «چوب جادو را یافتم».[3,4] منظور از این حرف هم این بود که او به NSA اجازه داده بود که برای جاسوسی از عوامل Deep State از این «چوب جادو» استفاده کنند.

اکثر خبرنگاران سرشناس، و کسانی که نگران جاسوسی از خود هستند، هر هفته تلفن خود را عوض میکنند و از طریق Direct Message توئیتر، شماره جدید را به همکاران میفرستند. اما به محض نصب فیسبوک و چند برنامه مشابه آن، Keystone جزء آن نرم‌افزار نصب می‌شود و دیگر نمیشود آن را پاک کرد. در بعضی مرورگرها نیز، مانند Chrome، این ابزار جزء لاینفک برنامه است. البته راههایی برای بی‌اثر کردن آن معرفی کرده‌اند، که انشاالله در آینده ذکر خواهم کرد. به محض اینکه keystone شروع بکار کند، تمام direct message‌ های توئیتر و چت‌های برنامه‌های بازی را میخواند و به سرور مخصوص میفرستد. اخیراً عوامل Deep State از چت برنامه‌های بازی برای تبادل اطلاعات خود استفاده میکردند، چون احتمال میدادند کسی این بازی‌ها را دنبال نکند.

در این زمینه اطلاعات بسیار زیادی در دسترس عموم است، که اگر کسی علاقه‌مند باشد، میتواند خود تحقیق کند. شخصاً بیش از این نمیتوانم روی اطلاع‌رسانی این موضوع وقت بگذارم.

ماجرای قطع شبکه برق ونزوئلا

دیروز ظاهراً ویروسی، که از نظر عمل‌کرد دقیقاً مشابه Stuxnet است، به PLC های نیروگاه آبی ۱۲ هزار مگاواتی Guri نفوذ کرده؛ و کاری کرده بود که دریچه‌های آب زیادی باز شوند، بدون اینکه سنسورها تغییر وضعیت دریچه‌ها را به اتاق فرمان درست گزارش کنند. همین مطلب باعث شده که فرکانس خروجی توربین‌ها نسبت به بقیه شبکه برق فرق کند و فشار زیادی روی شبکه بیاورد؛ که در نهایت منجر به قطعی برق بخش مهمی از کشور بشود. نقل شده که سیستم مدیریت شبکه‌ برق ونزوئلا جزء مدرن‌ترین‌ها در دنیا است و همین مطلب آن را نسبت به ویروس‌های جدید آسیب‌پذیر کرده است.

پس از گذشت ۲۴ ساعت از شروع خاموشی، هنوز مسأله حل نشده است. هرچند برق بعضی مناطق کاراکاس مدتی وصل میشود، مشکل قطعی برق در بقیه کشور همچنان وجود دارد؛ و اکثر مغازه‌ها و فروشگاه‌ها و رستوران‌ها تعطیل هستند. کارخانه‌ها و پالایشگاه‌ها نیز به روال طبیعی کار خود برنگشته‌اند.

قطعی طولانی مدت برق باعث شده که دستگاههای موجود در ICU‌ بیمارستان‌ها از کار بیافتد و برآورد می‌شود که صدها نفر تا این لحظه تلف شده باشند. خاموشی یخچال انبارها و فروشگاه‌ها نیز باعث شده که محصولات غذایی آن‌ها شروع به گندیدن کنند. باطری‌های ذخیره شبکه تلفن نیز پس از چند ساعت تخلیه شده‌اند و به همین دلیل تلفن نیز از کار افتاده است. با تعطیلی پمپ بنزین‌ها امکان مسافرت نیز محدود شده است.

اگر دولت ونزوئلا نتواند این مشکل را سریع حل کند، این شرایط میتواند به یک بحران جدی تبدیل شود.

برنامه مهندسی معکوس Ghidra

۵ سال پیش در همین وبلاگ درباره «ماجرای Snowden» مطلبی نوشته بودم.[6] البته اخیراً مشخص شد که رقابت بین ملی‌گرایان در NSA و گلوبالیست‌های سیا از همان زمان در جریان بود. اسنودن به عنوان جاسوس سیا، اولاً اطلاعات فراوانی را به چین منتقل کرد؛ و دوماً افکار عمومی را بر علیه NSA تحریک کرد. او پس از رساندن اطلاعات به چین، به روسیه رفت تا پروژه هراس از روسیه در آمریکا، از همان زمان کلید بخورد.

اخیراً NSA تحت کنترل ملی‌گرایان، برای فاصله گرفتن از وضعیتی که در زمان گلوبالیست‌هایی مثل اوباما داشت، چند قدم مهم برداشته است. اولاً اخیراً NSA اعلام کرده که برنامه جمع‌آوری اطلاعات از شهروندان را خاتمه داده است.[7] کار دیگری که اخیراً NSA کرده، و در بین اهل کامپیوتر خیلی بازتاب مثبتی خواهد داشت، این است که بعضی از ابزارهایی را که برای خود توسعه داده‌اند، بصورت متن‌باز در اختیار همه قرار داده است. به عنوان نمونه NSA نرم‌افزار مهندسی معکوس نرم‌افزار، به نام Ghidra، را در Github منتشر کرده است.[8,9] با کمک این نرم‌افزار می‌شود طرز عمل یک نرم‌افزار، مثلاً یک بدافزار، را شبیه سازی کرد و آن را مهندسی معکوس کرد.

ایران و مقابله با حملات سایبری

نکته‌ای که در خاتمه قابل ذکر میدانم، درباره طرز برخورد ایران با حملات سایبری است. شیوه‌های جنگ در بین قدرت‌های بزرگ دنیا با گذشته خیلی فرق کرده است و شیوه‌های جنگ هایبریدی مرسوم شده است. در این شیوه جنگی، برای ایجاد درگیری و وحشت در یک کشور، و به هم ریختن پشت جبهه، استفاده از حملات سایبری نقش اساسی دارد.

تجربه اخیر ونزوئلا نشان از این دارد که باید برای حملات سایبری خیلی گسترده، آمادگی جدی پیدا کرد. متأسفانه در ایران به‌روز نگاه داشتن سیستم‌عامل‌ها و رعایت نکات امنیتی شبکه‌ها، چندان جدی گرفته نمیشود. بنابراین با یک حمله سایبری خیلی ابتدائی، می‌شود اکثر ادارات دولتی را برای مدتهای طولانی تعطیل نگه داشت.

نحوه مدیریت مدیران ایران ۱۸۰ درجه با کشورهای دیگر متفاوت است. مثلاً در سوئد، وقتی طرح کشیدن خط لوله گاز و نفت از روسیه به اروپا، از طریق این کشور، مطرح میشود، اولین کاری که دولت میکند این است که به تمام شهروندان خود جزوه آمادگی برای جنگ هسته‌ای را بدهد. چون یکی از احتمالات این است که در آینده بین آمریکا و روسیه برای تسخیر بازار انرژی اروپا جنگ رخ دهد. مثال دیگر این است که رهبران روسیه، به محض اینکه یافتند که احتمال جنگ هسته‌ای را باید در نظر داشته باشند، اقدام به ساخت و تجهیز پناهگاه مقاوم در برابر حملات هسته‌ای، برای حداقل ۴۰ میلیون شهروند شهرهای بزرگ کردند.

اما مدیران ایران اطلاع‌رسانی به عموم مردم، و آموزش آن‌ها را، زمینه‌ساز تشنج افکار عمومی و نارضایتی تلقی میکنند و به هیچ وجه حاضر نیستند اقدام به چنین کاری کنند. در حالی که بخش عمده‌ای از صدمات ناشی از حملات سایبری بزرگ را می‌شود با آموزش عمومی و برنامه‌ریزی کم کرد. احتمال این وجود دارد که شرایطی که ونزوئلا در حال تجربه آن است، در آینده نزدیک برای ایران هم پیش بیاید.

[1] افشاگری ویکی‌لیکس درباره روشهای جاسوسی مدرن سیا https://shakeri.net/2888

[2] https://wikileaks.org/vault7/#Angelfire

[3] Obama to Trump: 'What magic wand do you have?' https://thehill.com/blogs/blog-briefing-room/news/281936-obama-to-trump-what-magic-wand-do-you-have

[4] Trump taunts Obama: 'Guess I found the magic wand' https://www.aol.com/article/news/2019/01/21/trump-taunts-obama-guess-i-found-the-magic-wand/23648666/

[5] https://wikileaks.org/vault7/document/BadMFS_Developer_Guide/BadMFS_Developer_Guide.pdf

[6] ماجرای Snowden https://shakeri.net/578/snowden-nsa/

[7] Trump's NSA Ends Metadata Collection https://www.creators.com/read/dick-morris/03/19/trumps-nsa-ends-metadata-collection

[8] NSA releases Ghidra, a free software reverse engineering toolkit https://www.zdnet.com/article/nsa-release-ghidra-a-free-software-reverse-engineering-toolkit/

[9] https://github.com/NationalSecurityAgency/ghidra