کاربران ایرانی، مهاجمانی که قربانی حکمرانی دیجیتال شدند

به گزارش پیوست، بر اساس پایش کلادفلر سطح حملاتی که از مبدا ایران نسبت به سایر نقاط انجام می‌شود طی چهار هفته گذشته نسبتاً پایدار بوده، اما در بازهٔ یکشنبه تا چهارشنبه (۱۴ تا ۱۷ دی) به‌طور ناگهانی بین دو تا سه برابر سطح معمول افزایش یافته است. این رویداد، برخلاف روندهای تدریجی و قابل پیش‌بینی در کشورهای دیگر، حاکی از حساسیت فضای سایبری ایران به رویدادهای بیرونی و نوسانات اجتماعی است.

داده‌های کلاودفلر تصویری از اینترنتی با سرعت بسیار پایین ارائه می‌دهد. سرعت دانلود نیمی از کاربران ایرانی تنها ۵.۴ مگابیت بر ثانیه است و یک‌چهارم کاربران سرعتی برابر یا کمتر از ۳.۵ مگابیت بر ثانیه را تجربه می‌کنند. هرچند میانگین نتایج تست سرعت در بازه ۹۰روزه عدد بالاتری را نشان می‌دهد، اما تجربه واقعی و روزمره کاربران، بیانگر اینترنتی کند و محدود است. این ارقام فاصله معناداری با میانگین‌های جهانی با پهنای‌باند ۳۰ تا ۵۰ مگابیت و تأخیر کمتر از ۱۰۰ میلی‌ثانیه دارند.

تحلیل نوع حملات نشان می‌دهد تمرکز مهاجمان بر حملات پیچیده‌تر در سطح برنامه‌ها و تلاش برای دور زدن سازوکارهای نظارتی است. البته می‌توان اینطور برداشت کرد که ابزارهای دورزدن فیلترینگ و پروکسی‌ها می‌توانند باعث شناسایی حجم بالاتری از ناهنجاری‌های ترافیکی به‌عنوان تهدید شوند و حتی بخشی از ترافیک عادی کاربران با فیلترشکن‌ها نیز در آمار حملات منعکس شده‌اند. اما واقعیت این است که جهش ناگهانی و پایدار حملات از بخش بزرگی از شبکه‌های موبایل کشور، نشانهٔ فعال‌سازی یک بات‌نت است و نمی‌توان آن را حاصل تجمیع تلاش‌های پراکنده شهروندان برای دسترسی آزاد به اینترنت دانست.

در نتیجه اپلیکیشن‌های عبور از فیلترینگ که بارها در مورد آنها هشدار داده شده اکنون می‌توانند به عنوان بخشی از یک کمپین سایبری برای حمله به اهداف مشخص مورد استفاده قرار گیرند بدون اینکه کاربران اطلاع داشته باشند. حملات لایه کاربرد (Application Layer Attacks) با تقلید رفتار کاربران واقعی، شناسایی و مهار را دشوارتر می‌کنند و حجم و تداوم آنها نشان دهنده فعال‌سازی یک کارزار بزرگ با پشتیبانی قابل‌توجه است.

این رفتار زمانی اثبات می‌شود که نوسانات ترافیک در دو اپراتور موبایل کشور از یک الگوی مشابه پیروی می‌کند و احتمال تصادفی بودن این حملات منتفی است.

بدافزارها قاتل اینترنت کاربران

کاربران قربانی شاید متوجه اجرای این حملات از طریق گوشی موبایل خود نباشند و در روزهای آینده تاثیر آن را در حجم مصرفی و افزایش هزینه اینترنت تجربه خواهند کرد. از منظر منشأ و مقصد حملات، داده‌ها نشان می‌دهد که بخش عمده آنها از شبکه‌ اپراتورهای موبایل ایران سرچشمه می‌گیرد و سهم شبکه‌های ثابت به‌مراتب کمتر است. وضعیتی که با الگوی جهانی تفاوت چشمگیر دارد.

تمرکز بر شبکه‌های موبایل، می‌تواند ناشی از نفوذ گسترده بدافزار در گوشی‌های هوشمند و ضعف به‌روزرسانی‌های امنیتی باشد و در بعد رسانه‌ای، تصویری از ایران به‌عنوان هم‌زمان «قربانی» و «منبع» تهدیدهای سایبری ارائه می‌دهد. تصویری که پیامدهای امنیتی قابل توجهی در فضای مجازی و دسترسی ایرانیان به سرویس‌های بین‌المللی خواهد داشت.

از منظر ماهیت حملات، ترکیبی از روش‌های پیشرفته به‌کار گرفته شده است: حدود ۶۳ درصد ترافیک توسط فایروال‌های برنامه‌های وب مسدود شده که نشان‌دهندهٔ تلاش برای سوءاستفاده هوشمندانه از آسیب‌پذیری‌های نرم‌افزاری است و حدود ۳۶ درصد به حملات DDoS اختصاص داشته که هدفشان از کار انداختن سرویس‌ها است.

نعمتی به نام فیلترینگ برای مهاجمان

آمارهای کلادفلر نشان می‌دهد که شمار بسیار زیادی از تلفن‌های همراه در ایران آلوده شده و به‌نظر می‌رسد به‌عنوان ابزار اجرای یک کارزار هجوم سایبری مورد استفاده قرار گرفته‌اند. این موضوع را نمی‌‌توان با قطعیت عنوان کرد اما مبنای این نتیجه‌گیری، هویت منابع اصلی ترافیک مخرب است به‌گونه‌ای که دو شبکه همراه اول و ایرانسل در مجموع ترافیک ۷۵ درصد از کل حملات را تأمین کرده‌اند.
غلبهٔ مطلق این شبکه‌های موبایل به‌عنوان منشأ یک حمله هماهنگ و چندروزه، می‌تواند به این معنا باشد که دستگاه‌های متصل به آن‌ها در حال تولید ترافیک مخرب بوده‌اند. هر دستگاهی که به‌صورت هماهنگ در ارسال چنین ترافیکی مشارکت کند، عملاً آلوده شده و بخشی از یک بات‌نت محسوب می‌شود.

این شواهد نشان دهنده آلودگی گسترده گوشی‌های هوشمند در ایران است. وضعیتی که در آن، موبایل کاربران به ابزاری در یک شبکه توزیع‌شده و قدرتمند برای عملیات سایبری تبدیل شده‌اند. حجم بالای ترافیک حملات از شبکه‌های موبایل نشان می‌دهد که بخش قابل‌توجهی از کاربران تحت تأثیر قرار گرفته‌اند، موضوعی که از یک ضعف امنیتی عمیق و فراگیر در زیست‌بوم موبایل ایران پرده برمی‌دارد.

اندروید، سلطان بازار موبایل ایران

داده‌های کلاودفلر نشان می‌دهد که در بازه دو هفته ابتدای دی‌ماه، رفتار اکوسیستم دستگاه‌های متصل در ایران کاملا یکنواخت است. اندروید با سهم ۹۰ درصدی تقریباً تمام ترافیک موبایل را در اختیار دارد و سهم iOS به حدود ۱۰ درصد محدود شده است. الگویی که با میانگین‌های جهانی فاصلهٔ زیادی دارد.

همین یکنواختی در مرورگرها نیز دیده می‌شود. جایی که کروم تقریباً انحصاری است و سایر مرورگرها سهم ناچیزی دارند. این وضعیت عمدتاً ناشی از محدودیت‌های اقتصادی و تحریم‌هاست و این تمرکز، ریسک آسیب‌پذیری گسترده در برابر نقص‌های فنی مشترک را افزایش می‌دهد.

در شاخص‌های رمزنگاری و پروتکل‌ها، شبکه اینترنت ایران هم‌زمان نشانه‌هایی از همسویی و عقب‌ماندگی را نشان می‌دهد. استفاده از HTTPS با نرخ ۹۷ درصد تقریباً هم‌سطح استانداردهای جهانی است و از امنیت پایه ارتباطات حکایت دارد، اما وابستگی بالا به IPv4 (بیش از ۸۲ درصد) در مقایسه با دیگر کشورها، از کهولت زیرساخت‌ها خبر می‌دهد. در عین حال، توزیع نسخه‌های HTTP و غلبه TLS 1.3 حرکت تدریجی به‌سوی استانداردهای جدیدتر را بیان می‌کند، هرچند این پیشرفت نسبت به کشورهای پیشرو همچنان محدود باقی مانده است.

کیفیت اینترنت، پایدار و همچنان ضعیف

علاوه بر سرعت پایین، تأخیر بالا یکی دیگر از مشکلات جدی اینترنت ایران است. زمان رفت‌وبرگشت نیمی از کاربران کشور حدود ۱۳۸ میلی‌ثانیه و زمان پاسخ DNS حدود ۱۵۳ میلی‌ثانیه گزارش شده است. داده‌های تجمیعی نشان می‌دهد که در زمان شلوغی شبکه، تأخیر به‌طور میانگین تا حدود ۴۹۳ میلی‌ثانیه افزایش می‌یابد. چنین تأخیری باعث می‌شود تجربه کاربری در فعالیت‌های تعاملی مانند تماس‌های اینترنتی، بازی‌های آنلاین و ارتباطات بلادرنگ، کند و آزاردهنده شود و از ازدحام شدید و ناکارآمدی مدیریت ترافیک حکایت دارد.

نمودارهای زمانی کلادفلر همچنین از بی‌ثباتی شدید حکایت می‌کنند. جایی که سرعت، تأخیر و پاسخ DNS به‌طور مداوم دچار نوسان‌های تند و غیرقابل پیش‌بینی می‌شوند. این وضعیت نشان‌دهنده زیرساختی شکننده و کم‌ظرفیت است که کیفیت خدمات در آن درگیر نوسانات روزمره و ساعتی است. در بستر سیاسی و ژئوپولیتیکی ایران، چنین ناپایداری‌ تنها نشانه کمبود سرمایه‌گذاری نیست، بلکه می‌تواند ابزاری برای اعمال «اختلال نرم» در ارتباطات بدون قطع کامل اینترنت باشد.

شبکه‌های موبایل ایران که محدود به دو اپراتور اصلی هستند به سنگر حملات لایه کاربردی تبدیل شده‌اند. از سوی دیگر می‌توان تحلیل کرد سیاست «کاهش کارایی بدون قطع کامل» به ابزار اصلی مدیریت فضای دیجیتال در روزهای اخیر تبدیل شده است.
در مجموع می‌توان گفت اینترنت ایران در هفته سوم دی‌ماه ترکیبی متناقض از امنیت ظاهری و عملکرد بی‌ثبات است. از یک‌سو، اجرای گسترده استانداردهای رمزنگاری و ثبات در لایه‌های هسته‌ای شبکه بیانگر کنترلی متمرکز و حساب‌شده است از سوی دیگر، افت کیفیت، نوسان مداوم و نقش پررنگ شبکه‌های موبایل در حملات سایبری، از زیرساختی شکننده و عمداً تضعیف‌شده در سطح تجربه کاربر حکایت دارد.

در سطحی فراتر از ایران، این وضعیت پیامدهای منطقه‌ای و جهانی دارد. استفاده از زیرساخت داخلی به‌عنوان سکوی حملات برون‌مرزی، احتمال تنش‌های سایبری را بالا می‌برد و هم‌زمان، کاربران عادی را در معرض انزوای دیجیتال، ناامنی ناخواسته و افت مزمن کیفیت ارتباط قرار می‌دهد.