معاون فنی مدیرعامل شرکت زیرساخت در گفت‌وگو با کارنگ اعلام کرد / اغتشاشات حمله سایبری به شبکه را افزایش داد

سرعت و کیفیت اینترنت در بیش از ۹ ماه گذشته با شروع اعتراض‌ها در ایران با محدودیت‌ها و اختلال‌هایی همراه بوده که در چند سال گذشته شاید کمتر کاربری چنین تجربه‌ای را هنگام استفاده از اینترنت خود داشته است. 

یک بار توسعه شبکه عامل اختلال در اینترنت کشور اعلام می‌شود و یک بار قطع برق، اما کارشناسان شبکه و فعالان حوزه فنی اینترنت، عواملی چون دستکاری در سیستم فیلترینگ یا افزایش حملات سایبری به شبکه زیرساخت را عامل اختلال و محدودیت‌های اینترنت اعلام می‌کنند. 

سهراب آغ‌بیات، معاون فنی مدیرعامل شرکت ارتباطات زیرساخت نیز در گفت‌وگو با «کارنگ»، هرچند اعلام نمی‌کند که حملات سایبری یکی از عوامل کاهش کیفیت سرعت اینترنت در کشور است، اما می‌گوید که حملات سایبری از به گفته او ‌شروع «اغتشاشات»، افزایش قابل توجهی داشته است. او در این زمینه و همچنین در زمینه میزان افزایش پهنای باند بین‌الملل از زمان شروع کار دولت سیزدهم آماری ارائه نمی‌دهد و تأکید می‌کند آمار در این زمینه به مراجع لازم ارائه می‌شود نه رسانه‌ها. 

همچنین او در این گفت‌وگو اعلام می‌کند که نزدیک یک‌سوم ترافیک پهنای باند بین‌الملل در اختیار دو پلتفرم اینستاگرام و واتس‌اپ بوده که با فیلتر شدن آنها این آمار تغییر کرده است. هرچند او تأکید می‌کند که در حال‌ حاضر به خاطر استفاده بیش‌ از حد مردم از فیلتر‌شکن، استفاده از پهنای‌ باند بین‌الملل با فیلتر این دو پلتفرم کم نشده و تنها شگرد استفاده از آن تغییر پیدا کرده است.

با آغ‌بیات در مورد وضعیت حملات سایبری به شبکه، چرایی عدم ارائه گزارش از وضعیت میزان پهنای باند بین‌الملل از زمان شروع وزارت ارتباطات دولت سیزدهم و مسائل فنی در شرکت ارتباطات زیرساخت به گفت‌وگو نشسته‌ایم که می‌خوانید:

اپراتورهای ارتباطی به‌شدت از افزایش حجم حمله‌های سایبری گلایه‌ می‌کنند و اینکه این حملات سایبری روی کیفیت و سرعت اینترنت کاربران تاثیر بسزایی دارد. چرا حملات سایبری تا این حد افزایش پیدا کرده و آیا امکان ارائه آماری در این زمینه دارید؟ 

حملات انواع مختلفی دارند. حملات DDOS هم به اپراتورهای فراهم‌کننده پهنای‌ باند و هم به شرکت‌هایی که در زمینه سرویس‌رسانی به مردم هستند انجام می‌شود. آن چیزی که جزو وظایف شبکه زیرساخت است، این است که اتکی که از سمت لینک‌های بین‌الملل اینترنت به سمت داخل کشور می‌آید را شناسایی و دفع کنیم تا ترافیکی که به سمت شبکه پایین‌دست می‌رود و به مشترکان نهایی سرویس‌رسانی می‌شود پاک باشد و در واقع آی‌پی‌هایی که شبکه پایین‌دست از آن استفاده می‌کنند مشکل نداشته باشند، چون اتک عملاً یک آی‌پی‌داخل کشور را مورد هدف قرار می‌دهد و با سرازیر کردن حجم زیادی از ترافیک روی آن آی‌پی، دسترسی به آن را قطع می‌کند.

شرکت زیرساخت در سمت بین‌الملل با همکاری پرووایدرهای خود حملات را شناسایی و از اتک جلوگیری می‌کند، ولی کنترل شبکه مشترکان انتهایی به شرکت زیرساخت مربوط نیست و بخش شناسایی و استفاده از سامانه‌های زیرساخت باید توسط مشترک و تأمین‌کننده سرویسش صورت پذیرد. در این راستا، سال گذشته دستورالعملی در خصوص تعیین نقش‌ها و تفکیک وظایف با تأیید سازمان‌های نظارتی مانند افتا و… تدوین و به اپراتورها ابلاغ شده است.

و این دستورالعمل شامل چه جزئیاتی می‌شود؟

جزئیات این دستورالعمل به شکل محرمانه به ذینفعان قضیه ابلاغ شده، ولی به طور کلی در این دستورالعمل نقش زیرساخت، اپراتورها و… به‌صورت شفاف برای مقابله با حملات کاملاً مشخص شده است .

اما شکایت اپراتورها حملاتی است که به بخش بین‌الملل می‌شود. این موضوع را چگونه کنترل می‌کنید تا اپراتورها دچار مشکل نشوند و در نهایت این حملات روی کیفیت اینترنت تأثیری نداشته باشد؟

همان‌طور که اشاره شد شرکت ارتباطات زیرساخت سامانه‌ها و زیرساخت‌های لازم را فراهم کرده و نقش اپراتورها در استفاده از امکانات فراهم‌شده شفاف است و در صورت اقدام به‌موقع آنها، تمام حملات صورت‌گرفته به اپراتورها دفع شده و مشترکان آنها دچار اختلال نمی‌شوند. 

پس چرا صحبت از افزایش اتک‌ها به سمت شبکه پهنای بین‌الملل مطرح می‌شود؟

بله. حملات سایبری نسبت به سال گذشته از نظر حجم و افزایش چشم‌گیری پیدا کرده است.

می‌توانید در این زمینه آماری ارائه دهید که چقدر این حجم حملات افزایش داشته است؟

نسبت به سال گذشته حملات افزایش قابل توجهی داشته و آمارهای آن به سازمان‌های نظارتی ذیصلاح ارائه می‌شود.

درصدی هم نمی‌توانید اعلام کنید چون در حاشیه اینوتکس ۲۰۲۳ جناب وزیر اعلام کردند که در این زمینه با افزایش چهار تا پنج‌برابری نسبت به سال گذشته روبه‌رو بوده‌ایم.

این‌طور هم می‌توان تفسیر کرد، میزان حملات سایبری خیلی بیشتر شده چون سال گذشته پیش از اغتشاشات تعداد حملات بسیار محدود بود، ولی متناسب با همین افزایش حملات هم ما توانمندی‌مان را در مقابله با اتک‌ها چندبرابر کرده‌ایم. قبل از این جریانات با استفاده از یک پرووایدر شناسایی و مقابله با حملات را انجام می‌دادیم، ولی در حال حاضر با چند اپراتور همکاری داریم و با حملات DDoS مقابله می‌کنیم و در نظر داریم تعداد آنها را باز هم افزایش دهیم. در واقع متناسب با افزایش حملات، توانمندی‌مان را برای مقابله با آنها افزایش داده‌ایم.

دلیل این افزایش حملات سایبری چیست؟ چرا در جایی که کل پهنای‌ باندش به‌صورت انحصاری از سمت شما تأمین می‌شود، باید این میزان حملات سایبری روی شبکه اتفاق بیفتد؟ برای کاهش این حجم از حملات چه کاری انجام داده‌اید؟

با شروع اغتشاشات سال گذشته تعداد و حجم حملات افزایش پیدا کرده و در این راستا شرکت ارتباطات زیرساخت مبادرت به افزایش ظرفیت سامانه‌های مقابله با حملات کرده و مکانیسم استفاده از آن در اختیار اپراتورها قرار گرفته است. برای مثال شبکه تلفن ثابت را در نظر داشته باشید، به‌عنوان مثال وقتی که تلفن معمولی در خدمت مردم قرار داده می‌شود و خدمت‌رسانی صورت می‌گیرد، اگر در این بین فردی مزاحم فرد دیگر شود، شرکت تأمین‌کننده سرویس که نباید پاسخگو باشد…

بالأخره این حملات روی پهنای‌ باند بین‌الملل اتفاق می‌افتد، مگر شما روی آن نظارت ندارید؟

در حال حاضر با توانمندی‌های صورت‌گرفته روی تمام حملات نظارت کامل داریم و همه آنها را به طور کامل شناسایی می‌کنیم، ولی نیاز است کسی که مورد حمله قرار می‌گیرد نیز وظایف خود را به طور کامل انجام دهد. شرکت زیرساخت بستر و زیرساخت کامل را آماده کرده، ولی نمی‌تواند کل شبکه را به‌صورت کامل پاکسازی کند زیرا همه اپراتورها به‌صورت مستقیم از ما به‌عنوان شرکت زیرساخت، سرویس دریافت نمی‌کنند.

برای مثال فرض کنید یک سازمان دولتی مانند ثبت احوال آمده پشت شبکه اپراتور X قرار گرفته است؛ ما برای شبکه شرکت X بستر Mitigation را آماده کرده‌ایم و این شرکت موظف است با نظارت مناسب و اقدام به‌موقع از این امکانات برای مشتریان هدفش استفاده کند. بدیهی است که بخشی از پروسه باید توسط شرکت X انجام شود؛ بنابراین از نوع ترافیکی که از خارج از کشور می‌آید اطلاعی نداریم، مگر اینکه به ما اعلام شود که این ترافیک اتک است.

چطور شما اطلاع ندارید؟! مگر پهنای‌ باند به صورت انحصاری توسط شما وارد نمی‌شود؟!

بله کل ترافیک بین‌الملل از طریق شرکت ارتباطات زیرساخت وارد می‌شود، ولی این پهنای باند دست به دست می‌شود و به پایین‌دست و مشترک نهایی می‌رسد. رنج آدرس آی‌پی‌های هر اپراتور مجزا بوده و با توجه به تشخیص حملات توسط خود اپراتورها می‌توانند به راحتی از سامانه‌های مقابله با حملات DDOS Mitigation زیرساخت استفاده کرده و حملات را به طور کامل دفع کنند، اما با توجه به مالکیت آدرس‌های آی‌پی، این وظیفه باید توسط اپراتور مالک صورت پذیرد.

یعنی قبل از این هیچ حمله‌ای صورت نمی‌گیرد؟!

من نمی‌گویم حمله قبل از این مرحله نمی‌شود، ولی حمله از من رد می‌شود. آی‌پی‌هایی که به‌صورت استاتیک در سامانه Mitigation است که اگر حمله‌ای روی آن صورت بگیرد فوری MITIGAT می‌کنیم و حمله را خنثی می‌کنیم. یکسری آی‌پی  باید توسط اپراتور پشت سرویس Mitigation بیفتد و اپراتور باید این کار را بکند. 

در حال حاضر اپراتورهایی که از شما پهنای‌ باند دریافت می‌کنند اعلام می‌کنند که سرویس DDoS Mitigatoin را روی سرویس خود از زیرساخت دریافت نمی‌کنند. چقدر این ادعا را درست می‌دانید؟

این‌طور نیست. از سال‌های گذشته شرکت ارتباطات زیرساخت از یکی از پرووایدرهای بین‌الملل (قبل از اغتشاشات) سرویس DDoS Mitigatoin داشت و با یکسری از پرووایدرها فقط روی ظرفیت خودشان این کار را انجام می‌داد که چندان برای ما کارساز نبود، ولی از سال گذشته تا الان با یک تعداد پرووایدر دیگر برای کنترل شبکه با سناریوهای مختلف بحث DDoS Mitigatoin را تعریف کرده‌ایم که بتوانیم این قضیه حملات سایبری را کنترل کنیم و موفق هم بوده‌ایم.

مشکل مقابله با حملات DDoS روی بین‌الملل را کاملاً حل کرده‌ایم و حملاتی هم که صورت می‌گیرد عموماً در لایه پایین‌تر است. این یک واقعیت است با توجه به اینکه این گوشی‌ها مخصوصاً گوشی‌های اندروید به فیلترشکن‌های مختلف متصل هستند خودشان به یک زامبی در شبکه تبدیل شده‌اند و این خود می‌تواند در لایه پایین‌دست برای اپراتور ایجاد مشکل کند.

سایت ایران آی ‌اکس پی ‌از زمان شروع اختلال و محدودیت اینترنت یک مرجع مناسب و شفاف در مورد قطعی‌ها و وضعیت پهنای باند کشور بود که رسانه‌ها به آن برای وجود اختلال در شبکه داخلی ارجاع می‌‌دادند، اما بعد از مدتی دسترسی به این سایت قطع شد و به نوعی زیرساخت این وب‌سایت را حذف کرد. دلیل این تصمیم چه بود؟ قرار است برای شفافیت در این زمینه زیرساخت چه کاری انجام دهد؟

این سامانه دیگر دقیق نبود. به خاطر اینکه سرویس IXP در سال ۹۵ راه‌اندازی شد و این سایت مربوط به آن زمان است و اعلام کردیم که مشتریان بحث مربوط به تنظیمات سرویس را از طریق این سایت دنبال کنند و بتوانند سرویسی که دریافت می‌کنند را ملاحظه کنند و از طرفی مردم هم می‌توانستند از طریق این سایت از وضعیت شبکه داخلی کشور باخبر شوند. اما حالا با توجه به توسعه‌ای که روی شبکه IXP داشتیم این سایت دیگر جوابگو نبود چون نمی‌توانست به‌روزرسانی شود.

همچنین اطلاعاتی که داشت خیلی محدود شده بود. در حال حاضر شرکت زیرساخت در تمام پاپ‌های بین‌الملل سرویس IXP راه‌اندازی کرده که هم بحث ترافیک بین‌الملل و هم تبادل ترافیک داخل کشور را کنترل کنیم و کیفیت ارائه سرویس را بالا ببریم؛ بنابراین آن سایت عملاً قدیمی شده بود و به‌عنوان مرجع نمی‌توانست استفاده شود.

چرا این توضیح داده نشد و سایت از دسترس خارج شد؟

سایت را ما نبستیم، از پیمانکاری که با آن ارتباط داشتیم و سایت را مدیریت می‌کرد خواستیم سایت را به‌روزرسانی کند که این به‌روزرسانی هم برای او به‌عنوان مجری کار مشکل بود و هم ما نمی‌توانستیم اطلاعات جدیدمان را در اختیارش قرار بدهیم.

چرا؟

چون دیگر پیمانکار ما نبود. 

پس الان برای شفاف‌سازی در مورد وضعیت ترافیک پهنای باند داخلی چه کاری قرار است انجام دهید؟

در حال حاضر تلاش می‌کنیم یک سامانه مانیتورینگ جدید راه‌اندازی کنیم که دقت عمل خیلی بالایی دارد و ان‌شالله در دسترس عموم هم قرار خواهیم داد. شما الان هم روی سایت شرکت ارتباطات زیرساخت بروید، وضعیت شبکه داخلی و بین‌الملل را می‌توانید مشاهده کنید. در کنار این اطلاعات در حال آماده کردن اطلاعات نمایش IXP هستیم تا شفاف‌سازی در این زمینه را بیشتر کنیم. 

چه زمانی قرار است این سامانه راه‌اندازی شود؟

ان‌شاالله به‌زودی آماده خواهد شد و اطلاع‌رسانی خواهیم کرد.

سال گذشته که برق LCT  قطع و اختلال‌های اینترنتی ایجاد شد، شما به اپراتورها اعلام کرده بودید به سمت استفاده از  دیتاسنتر بومهن بروند تا یک بخش تمرکز از LCT کم شود، اما ماه گذشته هم که قطع برق در بومهن اتفاق افتاد و  پیام‌رسان‌ها با قطع ارائه خدمات خود برای چند ساعت مواجه شدند، مشخص شد که بردن تمرکز به آن سمت هم اشتباه است. برای اینکه تمرکز  در این بخش واقعاً وجود نداشته باشد، می‌خواهید چه کاری انجام دهید؟

ما یک بستر توزیع‌شده در سراسر کشور ایجاد کرده‌ایم. الان اتفاقی که می‌افتد این است که تولیدکننده محتوا در تهران است؛ در نتیجه اپراتور می‌‌آید محتوا را از تهران می‌خرد و روی شبکه انتقال می‌برد و در هر استانی که باید پخش می‌کند. کاری ما که می‌کنیم این است که عملاً شبکه انتقال را حذف می‌کنیم تا تولیدکننده محتوا یک قسمت از محتوایش را بسته به مشتری‌ای که دارد، جای دیگری ببرد و اپراتور هم این محتوا را از او بخرد و این روند را دنبال می‌کنیم که اینها را به هم متصل کنیم.

حتی خودمان را واسطه می‌کنیم که تضمین کنیم محتوا را مثلاً در شهری غیر از تهران خریداری کنیم تا هم خیال تولیدکننده محتوا راحت شود و هم اپراتور که بداند این تولیدکننده محتوا در آنجا حضور دارد. عملاً سال گذشته هم نخواستیم که LCT را تخلیه کنند، ما خواستیم مقداری از ظرفیت خودشان را به بومهن ببرند یا به دیگر دیتاسنتر‌های زیرساخت منتقل کنند و یک قسمتی از تجهیزات‌شان در LCT باقی بماند تا اگر LCT دچار مشکل شد یک دفعه همه‌چیز را از دست ندهند. همکاری‌هایی هم در این زمینه از سمت شرکت‌های بزرگ شده و الان وضعیت تمرکز بسیار متعادل‌تر شده است. 

برای از بین بردن تمرکز در این زمینه چه کاری انجام داده‌اید؟

 برای از بین بردن تمرکز، سرمایه‌گذاری هنگفتی در سراسر کشور کرده‌ایم که دیتاسنترها و تولیدکنندگان محتوا و سوییچ‌های IXP با هم در ارتباط باشند و فقط این نباشد که اینها در تهران متمرکز باشند و اپراتور محتوا را در تهران تحویل بگیرد و در جای دیگری توزیع کند. فرض کنید در مشهد اپراتور حضور دارد، همانجا از تولیدکننده محتوا روی سوییچ IXP محتوا را تحویل گرفته تا بتواند آن را برای ناحیه مشهد توزیع کند، نه‌اینکه محتوا را با انتقال ببرد مشهد و آنجا بین بقیه توزیع کند.

اپراتورها اعلام می‌کنند که زیرساخت اصرار دارد ترافیک پهنای‌ باند را در چند استان اصلی توزیع کند. این کار هزینه اساسی برای سرمایه‌گذاری به اپراتورها تحمیل می‌کند. چرا روی این موضوع پافشاری وجود دارد؟

این کار به نفع خودشان است. وقتی تمرکز باشد آسیب‌‌پذیری هم بالا می‌رود و این یک واقعیت است. اپراتور فقط به منافع توجه می‌کند. نباید که فقط به منافع توجه کرد، قاعدتاً باید به بحث پایداری خودش هم فکر کند. پایداری نیازمند سرمایه‌گذاری است؛ کمااینکه ما هم برای پایداری‌ خودمان ناچار به سرمایه‌گذاری هستیم. چرا می‌آییم تعداد سوییچ IXP را در استان‌ها بالا می‌بریم و…؟ اینها همه برای این است که پایداری شبکه را بالا ببریم. فقط که نمی‌توان دنبال سود بود، باید هزینه هم پرداخت کرد. قطعاً اگر تمرکز وجود داشته باشد آسیب‌پذیری اپراتورها هم بالا می‌رود. 

چیزی که در یک سال گذشته شاهد آن بودیم این است که زیرساخت به صورت شفاف میزان مصرف پهنای‌ باند بین‌الملل را اعلام نمی‌کند. با این شرایط آیا الان امکان دارد اعلام کنید مقدار پهنای باند دایرشده بین‌الملل در یک سال اخیر چقدر افرایش داشته است؟

من مرجع فنی شرکت هستم. مرجع آماری شرکت قطعاً روی این قضایا کار خودش را انجام می‌دهد، چون نمی‌خواهم با آن حوزه تداخلی پیش بیاید و آماری بدهم که اشتباه باشد، ترجیح می‌دهم در این زمینه صحبتی نکنم.

شما آمار را بگویید، ما با آنها هماهنگ می‌کنیم.

در یک سال گذشته پهنای‌ باند دایرشده بین‌الملل افزایش زیادی پیدا کرده است. در یک سال اخیر حداقل ۳ ترابیت افزایش ظرفیت بین‌الملل داشته‌ایم؛ یعنی از فروردین ۱۴۰۱ تا الان اگر حساب کنید ما حداقل این میزان افزایش ظرفیت بین‌الملل داشته‌ایم. 

مقدار مصرف اینترنت بین‌الملل در یک سال اخیر چگونه بوده است؟

 تا قبل از اغتشاشات با توجه به فعال بودن پلتفرم متا (اینستاگرام و واتس‌اپ) عملاً ظرفیت پهنای‌ باند بین‌الملل خیلی بیشتر از الان در اختیار این دو پلتفرم بود. با محدود شدن این دو پلتفرم، میزان استفاده از پهنای‌ باند بین‌الملل کاهش قابل توجهی داشت، ولی ما از ظرفیت پهنای‌ باند بین‌الملل کم نکردیم. 

میزان مصرف چقدر بوده و الان به چه میزان رسیده است؟

شاید نزدیک یک‌سوم یا بیشتر ترافیک بین‌الملل متعلق به این دو پلتفرم بوده که عملاً الان که فعالیت ندارند این میزان تغییر کرده است. آمار دقیق هم بهتر است از بخش آمار زیرساخت پرسیده شود چون بنده مرجع ارائه آمار در این زمینه نیستم. 

چرا زیرساخت به‌صورت شفاف میزان پهنای باند بین‌الملل استفاده‌شده را اعلام نمی‌کند؟

سیاست‌گذاری‌ها در این زمینه فقط مربوط به زیرساخت نیست. بحث یک کشتی است که ما در موتورخانه آن کار می‌کنیم، هدایت کشتی و سیاست‌گذاری‌ها جای دیگری صورت می‌گیرد. 

اما آمار قبلاً به‌صورت شفاف اعلام می‌شد.

باید ببینیم سیاست‌گذاری جدید چه می‌گوید. 

در این زمینه سیاست‌گذاری مگر خود زیرساخت نیست؟

خیر؛ جایی فراتر از وزارتخانه این اتفاق می‌افتد. البته باید بگویم شگرد استفاده از پهنای‌ باند بین‌الملل الان هم تغییر پیدا کرده است. همان‌طور که می‌دانید استفاده از فیلترشکن روی شبکه به‌شدت بالاست و مردم کار خودشان را انجام می‌دهند. از طرف دیگر میزان پهنای‌ باند داخلی با رشد استفاده از پیام‌رسان‌های بومی افزایش پیدا کرده است. 

در واقع افزایش استفاده از پیام‌رسان بومی رخ نداده؛ به خاطر فیلتر دو پلتفرم خارجی مردم مجبور به استفاده از این پلتفرم‌های بومی شده‌اند.

اجباری در کار نبوده است. در یک سال گذشته پیام‌رسان‌های بومی به‌شدت موفق بوده‌اند و خودشان باعث جذب مخاطب شده‌اند. بی حساب و کتاب که نمی‌شود یک پلتفرم خارجی در کشور فعالیت کند؛ بدون اینکه پاسخگوی اعمالش باشد. بحث امنیت کشور مطرح است، چرا باید پهنای‌ باند کشور را در اختیار پلتفرمی بگذاریم که هیچ تعاملی با ما ندارد؟ 

در این بین تکلیف مردمی که کسب‌وکارشان را روی این پلتفرم‌ها گذاشته‌اند چه می‌شود؟

اینها هم مربوط به من نمی‌شود که در موردش حرف بزنم، ولی همین پیام‌رسان‌های بومی ظرفیت‌های خیلی خوبی برای کسب‌وکارها فراهم کرده‌اند و از آنها به صورت واقعی رفع احتیاج می‌کند.

در دوران مدیریت قبل؛ اعلام شد که زیرساخت از تجهیزات فیلترینگ خالی شد؛ اما هم‌اکنون برخی اپراتورها می‌گویند که همه تجهیزات فیلترینگ در زیرساخت متمرکز شده است. این کار با چه هدفی انجام شده و چقدر هزینه داشته است؟

این سؤالی که مطرح می‌کنید در حوزه کاری بنده تعریف نشده است. باید مراجع ذی‌صلاحش را پیدا کنید و از آنها بپرسید.