RaazNet

رازنتبتا

دانشنامه
در این صفحه

واکنش به حادثه و بازیابی سیستم

راهنمای جامع تشخیص نقض‌های امنیتی، واکنش به آلودگی‌های بدافزاری و نفوذ به حساب‌های کاربری، و بازیابی ایمن سیستم‌ها در فضای تهدید ایران.

Time20 minutes

پاسخ به حوادث و بازیابی سیستم

در فضای امنیت اینترنت ایران، «حوادث» می‌توانند دامنه‌ای از حملات رایج فیشینگ تا جاسوس‌افزارهای پیچیده دولتی (مانند پگاسوس یا نمونه‌های داخلی) و توقیف فیزیکی دستگاه توسط نیروهای امنیتی را شامل شوند.

این راهنما یک رویکرد ساختاریافته را برای پاسخ به حوادث (Incident Response) ترسیم می‌کند: تشخیص نفوذ، محدودسازی آسیب، پاکسازی تهدید و بازیابی زندگی دیجیتال شما.

⚠️ هشدار حیاتی برای کاربران ایرانی: اگر شک دارید که توسط عوامل دولتی (مانند نهادهای اطلاعاتی یا امنیتی) هدف قرار گرفته‌اید، به هیچ وجه سعی نکنید بدافزارهای پیچیده را به تنهایی بررسی کنید. اولویت شما باید امنیت فیزیکی و قطع ارتباط دستگاه باشد. «کارآگاه‌بازی» یا تلاش برای تحلیل شخصی می‌تواند مهاجم را هوشیار کند، مدارک را از بین ببرد و یا مخاطبین شما را به خطر بیندازد.

مرحله ۱: تشخیص و شاخص‌های نفوذ (IoC)

تشخیص زودهنگام یک نفوذ می‌تواند از سرقت اطلاعات جلوگیری کند. شاخص‌ها به دو دسته ناهنجاری‌های حساب کاربری و رفتار دستگاه تقسیم می‌شوند.

۱. شاخص‌های امنیت حساب کاربری

مهاجمان اغلب به جای خود دستگاه، حساب‌های کاربری (تلگرام، اینستاگرام، گوگل) را هدف قرار می‌دهند، زیرا این کار کم‌هزینه‌تر و ساده‌تر است.

  • هشدارهای ورود ناشناس: دریافت اعلان‌هایی مبنی بر ورود از دستگاه‌ها یا مکان‌های ناشناخته (مثلاً ورود از تهران در حالی که شما در تبریز هستید).
  • نشست‌های فعال (Active Sessions): مشاهده دستگاه‌های ناشناس در منوی «دستگاه‌ها» (Devices) یا «نشست‌های فعال» در تلگرام، واتس‌اپ یا سیگنال.
  • پیام‌های گم‌شده یا خوانده‌شده: پیام‌هایی که تیک «خوانده شده» خورده‌اند اما شما آن‌ها را باز نکرده‌اید، یا پیام‌هایی که از طرف شما ارسال شده اما شما آن‌ها را ننوشته‌اید.
  • کدهای تایید پیامکی (2FA): دریافت کدهای احراز هویت دو مرحله‌ای از طریق پیامک بدون اینکه شما درخواستی داده باشید. نکته: در ایران، این مورد اغلب نشان‌دهنده تلاش عوامل دولتی برای کلون کردن نشست شما از طریق رهگیری پیامک است.

۲. شاخص‌های رفتاری دستگاه

  • تخلیه باتری و داغ شدن: تغییرات قابل توجه در عمر باتری یا داغ شدن گوشی در حالت بیکار.
  • ریستارت‌های ناگهانی: خاموش و روشن شدن خودکار دستگاه (که اغلب توسط بدافزارها برای اعمال به‌روزرسانی یا تثبیت حضور استفاده می‌شود).
  • از کار افتادن آنتی‌ویروس: غیرفعال شدن خودکار نرم‌افزارهای امنیتی یا اجرا نشدن آن‌ها.
  • اختلالات رابط کاربری: تاخیر در کیبورد، بسته شدن مکرر برنامه‌ها (Crash)، یا ظاهر شدن آیکون‌های عجیب.

۳. شاخص‌های سخت‌افزاری

  • دستکاری فیزیکی: اگر دستگاه شما توقیف شده و سپس بازگردانده شده است، به دنبال علائم باز شدن (مانند خراش روی پیچ‌ها) یا تغییرات جزئی در وزن یا حس سخت‌افزار باشید.

مرحله ۲: محدودسازی فوری (Containment)

اگر به آلودگی یا نفوذ مشکوک شدید، بلافاصله جلوی گسترش آن را بگیرید.

۱. قطع تمام ارتباطات

ارتباط بین مهاجم و دستگاه خود را قطع کنید.

  • فعال‌سازی حالت پرواز (Airplane Mode): بلافاصله انجام دهید.
  • خاموش کردن وای‌فای و بلوتوث: مطمئن شوید که از داخل تنظیمات (Settings) خاموش شده‌اند، نه فقط از طریق کنترل سنتر.
  • خارج کردن سیم‌کارت: سیم‌کارت را به صورت فیزیکی خارج کنید. این کار مانع ارتباط از طریق شبکه موبایل می‌شود که اصلی‌ترین روش ردیابی در ایران است.
  • کشیدن کابل شبکه: اگر از اتصال کابلی (Ethernet) استفاده می‌کنید.

۲. خاموش کردن (بسته به شرایط)

  • بدافزارهای معمولی: خاموش کردن دستگاه باعث توقف اجرای بدافزار می‌شود.
  • جاسوس‌افزارهای پیشرفته موبایل (پگاسوس/پردیتور): جاسوس‌افزارهای پیشرفته مدرن اغلب «غیرپایدار» (Non-persistent) هستند، به این معنی که در حافظه موقت (RAM) زندگی می‌کنند. ریستارت کردن دستگاه ممکن است عفونت فعال را از بین ببرد. با این حال، اگر نیاز به حفظ مدارک برای تحلیل جرم‌شناسی توسط سازمان‌هایی مانند «عفو بین‌الملل» (Amnesty Tech) دارید، دستگاه را ریستارت نکنید—آن را در یک کیف فارادی (یا مایکروویو/یخچال برای مسدود کردن سیگنال) قرار دهید و تا زمانی که بتوانید با کارشناسان تماس بگیرید، شارژ آن را حفظ کنید.

مرحله ۳: بازیابی حساب‌های کاربری

اگر حساب‌های شما به خطر افتاده‌اند، باید سریعاً دسترسی‌ها را قطع کنید. این کار را حتماً از طریق یک دستگاه امن و پاک انجام دهید، نه دستگاه آلوده.

۱. بستن نشست‌های فعال (Kill Active Sessions)

  • تلگرام: تنظیمات > دستگاه‌ها > انتخاب گزینه Terminate All Other Sessions.
  • گوگل: مدیریت حساب گوگل > امنیت > دستگاه‌های شما > خروج (Sign out) از نشست‌های ناشناس.
  • توییتر/ایکس/اینستاگرام: تنظیمات > امنیت > برنامه‌ها و نشست‌ها > لغو دسترسی.

۲. تغییر رمزهای عبور

  • بلافاصله رمزهای عبور را با استفاده از یک مدیر رمز عبور (Password Manager) تغییر دهید.
  • اطمینان حاصل کنید که رمز عبور جدید قوی است (بیش از ۱۶ کاراکتر و ترکیبی تصادفی).

۳. تقویت احراز هویت (معضل پیامک)

  • حذف تایید پیامکی (SMS 2FA): اپراتورهای مخابراتی ایران (همراه اول، ایرانسل، رایتل) موظف به رهگیری پیامک‌ها برای سرویس‌های امنیتی هستند. تایید دو مرحله‌ای پیامکی در ایران امن نیست.
  • استفاده از اپلیکیشن‌های احراز هویت: از اپلیکیشن‌های TOTP (مانند Google Authenticator، Raivo، Aegis) یا کلیدهای سخت‌افزاری (YubiKey) استفاده کنید.
  • تولید کدهای پشتیبان (Backup Codes): این کدها را برای روز مبادا که به دستگاه خود دسترسی ندارید، در جایی امن و آفلاین ذخیره کنید.

مرحله ۴: تحلیل دستگاه (جرم‌شناسی دیجیتال)

توجه: برای کاربر معمولی، تحلیل فنی دشوار است. اگر شما فردی در معرض خطر بالا (High-risk) هستید، به «مرحله ۵: پاکسازی» بروید.

۱. ابزارهای تایید خارجی (موبایل)

ابزارهای عمومی برای اسکن «شاخص‌های نفوذ» (IoCs) مرتبط با جاسوس‌افزارهای شناخته شده وجود دارند.

  • جعبه ابزار تایید موبایل (MVT): توسعه یافته توسط عفو بین‌الملل. این ابزار نسخه پشتیبان (Backup) سیستم عامل iOS و سیستم‌های اندروید را برای یافتن ردپای پگاسوس و پردیتور اسکن می‌کند.
    • محدودیت: نیاز به دانش فنی بالا (رابط خط فرمان).
    • محدودیت: فقط تهدیدهای شناخته شده را تشخیص می‌دهد. نتیجه اسکن «پاک» تضمین کننده امنیت نیست.
  • iMazing (برای iOS): یک ابزار کاربرپسند که موتور اسکن MVT را در خود دارد. این ابزار می‌تواند آیفون شما را برای یافتن شاخص‌های جاسوس‌افزار بدون نیاز به دانش کدنویسی اسکن کند.

۲. تحلیل فایل (دسکتاپ)

  • VirusTotal: اگر به فایل خاصی مشکوک هستید (PDF, APK, EXE)، آن را در VirusTotal.com آپلود کنید. این سایت فایل را با بیش از ۷۰ موتور آنتی‌ویروس بررسی می‌کند.
    • هشدار: اسناد حاوی اطلاعات شخصی حساس را آپلود نکنید، زیرا فایل‌های آپلود شده با محققان امنیتی به اشتراک گذاشته می‌شوند.

۳. یکپارچگی روی دستگاه (اندروید)

  • اپلیکیشن Auditor: برای کاربران GrapheneOS یا اندرویدهای استوک پشتیبانی شده، اپلیکیشن Auditor با استفاده از تایید سخت‌افزاری بررسی می‌کند که آیا سیستم عامل دستکاری یا دانگرید (Downgrade) شده است یا خیر.

مرحله ۵: پاکسازی و بازسازی

حذف تهدید اولویت اصلی است. «تمیز کردن» یک سیستم آلوده به ندرت ۱۰۰٪ موثر است؛ پاک‌سازی کامل (Wipe) روش ایمن‌تری است.

۱. استراتژی «تخریب و نوسازی» (توصیه شده)

تنها راه اطمینان از پاک بودن سیستم، پاک کردن کامل آن است.

  • بازگشت به تنظیمات کارخانه (Factory Reset): به تنظیمات > سیستم > گزینه‌های بازنشانی > پاک کردن تمام داده‌ها (Factory Reset) بروید.
  • نصب مجدد سیستم عامل (کامپیوتر): برای ویندوز/لینوکس، هارد دیسک را کاملاً فرمت کرده و سیستم عامل را از روی یک فلش USB مطمئن (که در یک کامپیوتر پاک ساخته شده) مجدداً نصب کنید.
  • نابودی فیزیکی: اگر دستگاه حاوی اطلاعات بسیار حساس درباره مخالفان یا شبکه‌ها بوده است، نابودی فیزیکی هارد دیسک/چیپ حافظه تنها تضمین قطعی در برابر بازیابی جرم‌شناسی توسط مقامات دولتی است.

۲. مدیریت نسخه‌های پشتیبان (Backups)

  • خطر آلودگی مجدد: نسخه پشتیبان کامل سیستم (مانند Time Machine یا بکاپ کامل اندروید) را روی دستگاه پاک برنگردانید. ممکن است بدافزار را دوباره نصب کنید.
  • بازیابی امن: اسناد، عکس‌ها و ویدیوهای ضروری را به صورت دستی کپی کنید. قبل از باز کردن، آن‌ها را با آنتی‌ویروس اسکن کنید. برنامه‌ها را مجدداً از فروشگاه‌های رسمی (Google Play, F-Droid, App Store) دانلود کنید و از کپی کردن فایل‌های نصبی قدیمی (APK) خودداری کنید.

۳. ابزارهای تخصصی

  • دیسک‌های نجات (Rescue Disks): اگر کامپیوتر بالا نمی‌آید، از یک «دیسک نجات» (مانند Kaspersky Rescue Disk یا یک Live Linux USB) استفاده کنید تا سیستم را به صورت اکسترنال بوت کرده و فایل‌ها را اسکن/بازیابی کنید.
  • Dangerzone: از ابزار Dangerzone برای ایمن‌سازی اسناد بازیابی شده استفاده کنید. این ابزار فایل‌های PDF یا آفیس مشکوک را به پیکسل‌های امن تبدیل کرده و دوباره به PDF برمی‌گرداند و تمام کدهای مخرب را حذف می‌کند.

مرحله ۶: امن‌سازی پس از حادثه (Hardening)

پس از بازیابی، مکانیزم‌های دفاعی خود را تقویت کنید تا از تکرار حادثه جلوگیری شود.

  1. به‌روزرسانی همه چیز: مطمئن شوید سیستم عامل و تمام برنامه‌ها در آخرین نسخه خود هستند.
  2. حالت‌های قرنطینه:
    • iOS: حالت Lockdown Mode را فعال کنید. این قابلیت سطح حمله را به شدت محدود می‌کند (مسدود کردن فونت‌های وب، دعوت‌نامه‌های تماس ناشناس) و علیه جاسوس‌افزارهای گروه NSO بسیار موثر است.
    • اندروید: از حالت Advanced Protection (در اندروید ۱۶ به بالا) استفاده کنید یا برای امنیت مبتنی بر سخت‌افزار به GrapheneOS مهاجرت کنید.
  3. قفل ثبت‌نام (Registration Lock): در سیگنال و واتس‌اپ «قفل ثبت‌نام» (PIN) را فعال کنید تا از ثبت شماره شما روی دستگاه جدید توسط سارقین سیم‌کارت جلوگیری شود.
  4. بررسی مداوم: بخش «دستگاه‌های متصل» (Linked Devices) را در تمام پلتفرم‌ها به صورت دوره‌ای چک کنید.

منابع اضطراری

اگر شما مدافع حقوق بشر، روزنامه‌نگار یا فعال مدنی هستید و با یک وضعیت اضطراری فعال روبرو شده‌اید، کمک‌های خارجی در دسترس است.

امنیت تماس: هنگام تماس با این سازمان‌ها، از دستگاه آلوده استفاده نکنید. از یک گوشی قرضی یا کامپیوتر امن استفاده کنید و از طریق سیگنال یا ایمیل رمزگذاری شده (PGP) ارتباط بگیرید.

  • خط کمک امنیت دیجیتال Access Now:
    • ارائه کمک ۲۴/۷ به چندین زبان (از جمله فارسی).
    • وب‌سایت: accessnow.org/help
  • آزمایشگاه امنیت عفو بین‌الملل (Amnesty Tech):
    • متخصص در تحلیل جرم‌شناسی دستگاه‌های هدف قرار گرفته با جاسوس‌افزار (پگاسوس).
    • تماس: securitylab.amnesty.org
  • فرانت لاین دیفندرز (Front Line Defenders):
    • ارائه پشتیبانی اضطراری برای مدافعان حقوق بشر در معرض خطر.
    • وب‌سایت: frontlinedefenders.org

چک‌لیست خلاصه برای ایران

  1. قطع ارتباط: حالت پرواز، خروج سیم‌کارت، خاموش کردن وای‌فای.
  2. ایزوله کردن: توقف استفاده از دستگاه برای ارتباطات حساس.
  3. لغو دسترسی: استفاده از یک دستگاه پاک برای بستن نشست‌های فعال در تلگرام/اینستاگرام/گوگل.
  4. مشاوره: اگر در معرض خطر بالا هستید، قبل از پاک‌سازی (Wipe) با Access Now تماس بگیرید.
  5. پاک‌سازی: انجام بازگشت به تنظیمات کارخانه (Factory Reset) اگر نیازی به تحلیل جرم‌شناسی نیست.
  6. امن‌سازی: تغییر تمام رمزهای عبور و تغییر تایید دو مرحله‌ای به اپلیکیشن‌های Authenticator (حذف پیامک).
منبع:
Edit

آیا این مقاله مفید بود؟

بازخورد شما به بهبود محتوای ویکی کمک می‌کند.