به گزارش رتبه آنلاین از تلسکم،«هانی پات» و «هانی نت» اصطلاحی است که در حوزه امنیت سایبری چند سالی است مطرح شده و قرار است در ایران هم اجرایی شود. در این حوزه جمع آوری یک سری دیتای کلان از حملات سایبری مد نظر است که برای تصمیمات آتی و جلوگیری از خطرات احتمالی به مدیران تصمیم گیر امنیت کمک خواهد کرد.«هانی نت» مفهومی تازه است که به یک سیستم اشاره دارد که درظاهر قابل هک شدن است و هکر را به خودش مشغول میکند و باعث میشود هم وقت هکر گرفته بشود و هم فرصتی پیش بیاد که بشود یک حمله گسترده مثلا بات یا کرم را تشخیص داد و جلوی آن را گرفت.بر این اساس، هانی نت مجموعه ای از این «هانی پات» ها است که با هم کار میکنند و ارزش آن به تعداد هانی پاتها است (سنسور) که میتواند اطلاعات وسیعی را جمع آوری کرده و تصمیم کلان تری برای مقابله با حمله بگیرد.با این مقدمه باید توضیح داد که سالهاست که در کشور ما هم قرار شده است این پروژه وجود داشته باشد و در ایران هم یک سری دیتای کلان از حملات داشته باشیم تا برای تصمیمات آتی به مدیران تصمیم گیر امنیت کمک کند و در عین حال سطح امنیت سایبری را در کشور بالا ببرد.حال سئوال این است که اگر یک بد افزار یا ویروس (ورم یا کرم) ترافیک غیر واقعی در یک درگاه اینترنتی ایجاد کند و ترافیک را هزار برابر کند، آیا تیمی متخصص بر روی پروژه وجود دارد که بداند مشکلی ایجاد شده و قبل از آلودگی گسترده مانع آن شود.تحلیل وضعیت امنیت سایبری ایران
بر اساس این گزارش، بررسی وضعیت ایران در حوزه امنیت سایبری و استفاده از «هانی پات» و «هانی نت» ما را به مرکز ملی ماهر میرساند که در این خصوص ایجاد شده است. این مرکز با توجه به اهمیت پاسخگویی به رخدادهای فضای تبادل اطلاعات و ایجاد مراکز پاسخگویی به حوادث فضای مجازی (که دراکثر کشورها تحت عنوان مراکز CERT انجام شده) ایجاد شده است. مرکز ماهر به عنوان CERT ملی ایران در سال 87 ایجاد و در سطح ملی فعالیت گسترده ای را برای پیشگیری و مقابله با حوادث فضای تبادل اطلاعات به عهده دارد.
سازمان امور مالیاتی کشور در تاریخ ۱۳۹۰/۱۰/۲۷ یعنی ۶ سال پیش تقریبا این به این پروژه پیوست
پیوستن پارک علم و فناوری فارس به شبکه هانی نت ملی ۲۸ دی ۱۳۹۰روند ادامه کاراز همین رو، توقع داریم امروز خیلی کاراتر و حرفه ایتر باشد اما در کمال تعجب دیده میشود که یک سایت هم در این خصوص به ادرس https://www.honeynet.ir ثبت شده است که اطلاعات هویتی ندارد و معلوم نیست به کجا وصل است. اما چیزی که مشخص است این درگاه از ۲۰۱۵ یعنی ۳ سال پیش به روز نشده است.پیگیری اخبار این حوزه نشان میدهد که مدتها دیگر از این پروژه خبری نیست؛ تا ۲۹فروردین ۱۳۹۶اینجا یعنی ۶ سال خبری نیست تا اینکه : “معاون سازمان فناوری اطلاعات با اشاره به راه اندازی شبکه «هانی نت ملی» اشاره و گفته است: در این شبکه تمامی ویروس ها و نرم افزارهای مخرب و بدافزارها با دو هزار سنسور قابل شناسایی خواهند بود. وی از شناسایی چند نمونه حمله خطرناک در روزهای اخیر و رفع آن توسط شبکه هانی نت ملی خبر داد.خبر دیگر۲اردیبهشت ۱۳۹۶منتشر شده که سجادی معاون امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات خبر از رونمایی همین پروژه با 2هزار سنسور خبر داده و به ایسنا گفته است: شبکه تله بدافزار “هانینت” با هدف ثبت نقاط ضعف امنیتی سیستمهای رایانهای و نوع حمله به آنها در کشور به عنوان یک پروژه ملی تعریف و رونمایی شد. سازمان فناوری اطلاعات ایران متولی پروژه “هانینت ملی ایران” و مرکز ماهر -مدیریت امداد و هماهنگی رخدادهای رایانهای ایران- مجری این پروژه بود“در این حوزه در شرایطی سجادی اظهار نظر داشته است که 25 فروردین 1396 یعنی ۷ روز قبل از آن که وی مصاحبه داشته باشد، یکی از مهمترین ابزارهای هک دنیا را گروه Shadowbrokers دراینترنت منتشر کرد و تقریبا ازهمان تاریخ هکرها در حال نفوذ به سرورهای ویندوزی با اکسپلویت مجانی EternalBlue بودند؛ مثلا کمپین هک Adylkuzz که دقیقا ۲۴ ساعت پس از انتشار ابزار ها شروع به آلوده کردن سیستم ها کرده اینجا بیشتر بخونید.
عملکرد «ماهر» چگونه بود؟
شاید این اتفاق از بدشانسی مرکز ماهر بوده است ولی حالا با چند درجه ارفاق میتوان گفت که اشکالی نداشته که این اتفاق را رصد نکرده اند یا نخواستهاند جلوی آن را بگیرند و در آن ایام اطلاع رسانی کرده باشند.
برهمین اساس باید دید که در روزحادثه «ماهر» چه کرده است؟ روزی که WannaCry اینترنت را درعرض۱۲ساعت درنوردید؟ (در این خصوص کنفرانس درباره این حادثه و عملکرد مرکز ماهر را اینجا بررسی کرده بودیم).
حال چرا شبکه هانی نت با ۲۰۰۰ سنسور به نقل از خود مرکز ماهر نمیتونه جلوی این حمله را بگیره مثلا در دقایق اول دسترسی آن را محدود کنند (توجه کنید به علت ساختار اینترنت ایران فقط در ایران این کار شدنی است). شاید این پروژه بیش از آن که دربارهاش حرف زده میشود فراموش شده یا بیشتر جنبه خبری پیدا کرده است.
حال جست وجویی در این حوزه، با استفاده از سرویس های آنلاین در دسترس نشان میدهد که سه نمونه هانی پات در فضای ایران پیدا میشود.دو نمونه پر کاربرد آن نسخه هایی از هانی پات dionaea و یا نسخه قدیمی تر nepenthes هستند. بر اساس این گزارش، بیشتر سنسورهایی که در اینترنت وجود دارد رقمی کمتر از ۲۵ مورد است. همچنین نمیتوان دقیق گفت که کدام مربوط به مرکز ماهر است.
ماهر میزبان ویروسهای چینی و روسی!
بررسیها در این بخش همچنین نشان می دهد که وقایع دیگری در حال اتفاق است . پیش فرض این است که در سرورهای ماهر نباید نسخه دیگری جر هانی پات ملی نصب باشد ولی این بررسی در دو آدرس آی پی ماهر میزبان مجانی بدافزار های روسی و چینی شده است. به این معنا که در یک اتفاق عجیب، فضایی برای میزبانی ویروسها ایجاد شده و نه تنها اقدامی مثب رخ نداده که در رخدادی عجیب، فضا برای مشکلات بیشتر باز شده است.چیزی که در این میان روشن نیست این نکته است که این فایل ها چطور سر از پوشه وب این هانی پات ها در آورده است؟ چرا که در تنظیمات پیشفرض هانی پات Dionaea پوشه فایل های FTP با WWW جداست.
انتظار اصلاح وضعیت در مرکز ماهر
ناگفته پیداست که این پروژه ملی، هزینههای بالایی داشته است و این توقع میرود که سرویس حرفه ای تری ارائه شود؛حال آنکه پیمانکار در حد ۲ ساعت بنر پورت ها را تغییر نداده و 5 دقیقه برای تعیین همه آی پی های ایران (حدود11894776 آدرس آی پی توسط محقق ثبت شده) صرف نکرده اند.در این خصوص طی سال گذشته نقدهایی به مرکز ماهروارد شد تا مسئولان این مرکز بدانند که عملکردشان دیده میشود. همین چند ماه پیش شبکه ماهر با انبوهی از سرویسها حتی کد منبع پویشگر ملی در شبکهاش در دسترس همه بود ولی امروز وضعیت بهتری دارد .
در انتها اگر دوست دارید یک نمونه زنده از گزارش یک هانی پات را ببنید میتوانید نسخه نصب شده در ایران توسط تلسکم را اینجا ببنید .
