تجربه واقعي و روزمره كاربران، اينترنتي كند و محدود است

ايران در خاموشي ديجيتال

۱۴۰۴/۱۰/۲۰ - ۰۱:۱۶:۵۹
کد خبر: ۳۷۳۲۳۴
ايران در خاموشي ديجيتال

داده‌هاي كلاودفلر در هفته سوم دي‌ماه نشان مي‌دهد موج گسترده حملات سايبري نه از خارج، بلكه از درون زيرساخت ارتباطي ايران و به‌ويژه از شبكه‌هاي موبايل كشور ايجاد شده است. تمركز بيش از سه‌چهارم ترافيك مخرب در دو اپراتور تلفن همراه به اين معناست كه ميليون‌ها گوشي هوشمند شهروندان، ناخواسته به ابزار يك عمليات سايبري بين‌المللي تبديل شده‌اند.

داده‌هاي كلاودفلر در هفته سوم دي‌ماه نشان مي‌دهد موج گسترده حملات سايبري نه از خارج، بلكه از درون زيرساخت ارتباطي ايران و به‌ويژه از شبكه‌هاي موبايل كشور ايجاد شده است. تمركز بيش از سه‌چهارم ترافيك مخرب در دو اپراتور تلفن همراه به اين معناست كه ميليون‌ها گوشي هوشمند شهروندان، ناخواسته به ابزار يك عمليات سايبري بين‌المللي تبديل شده‌اند. رخدادي كم‌سابقه كه مرز ميان «كاربر عادي» و «عامل حمله» را از بين مي‌برد و اينترنت ايران را از يك فضاي تحت محدوديت، به منشأ فعال تهديد در مقياس جهاني بدل مي‌كند.

بر اساس پايش كلاودفلر سطح حملاتي كه از مبدا ايران نسبت به ساير نقاط انجام مي‌شود طي چهار هفته گذشته نسبتا پايدار بوده، اما در بازه يكشنبه تا چهارشنبه (۱۴ تا ۱۷ دي) به‌طور ناگهاني بين دو تا سه برابر سطح معمول افزايش يافته است. آنطور كه پيوست اشاره مي‌كند، اين رويداد برخلاف روندهاي تدريجي و قابل پيش‌بيني در كشورهاي ديگر، حاكي از حساسيت فضاي سايبري ايران به رويدادهاي بيروني و نوسانات اجتماعي است. داده‌هاي كلاودفلر تصويري از اينترنتي با سرعت بسيار پايين ارائه مي‌دهد. سرعت دانلود نيمي از كاربران ايراني تنها ۵.۴ مگابيت بر ثانيه است و يك‌چهارم كاربران سرعتي برابر يا كمتر از ۳.۵ مگابيت بر ثانيه را تجربه مي‌كنند. هرچند ميانگين نتايج تست سرعت در بازه ۹۰روزه عدد بالاتري را نشان مي‌دهد، اما تجربه واقعي و روزمره كاربران، بيانگر اينترنتي كند و محدود است. اين ارقام فاصله معناداري با ميانگين‌هاي جهاني با پهناي‌باند ۳۰ تا ۵۰ مگابيت و تأخير كمتر از ۱۰۰ ميلي‌ثانيه دارند. حملات اين كارزار سايبري از مبدا ايران به مقاصد مختلف مانند امريكا، اندونزي، فرانسه و روسيه انجام مي‌شود. تحليل نوع حملات نشان مي‌دهد تمركز مهاجمان بر حملات پيچيده‌تر در سطح برنامه‌ها و تلاش براي دور زدن سازوكارهاي نظارتي است. البته مي‌توان اين‌طور برداشت كرد كه ابزارهاي دورزدن فيلترينگ و پروكسي‌ها مي‌توانند باعث شناسايي حجم بالاتري از ناهنجاري‌هاي ترافيكي به عنوان تهديد شوند و حتي بخشي از ترافيك عادي كاربران با فيلترشكن‌ها نيز در آمار حملات منعكس شده‌اند. اما واقعيت اين است كه جهش ناگهاني و پايدار حملات از بخش بزرگي از شبكه‌هاي موبايل كشور، نشانه فعال‌سازي يك بات‌نت است و نمي‌توان آن را حاصل تجميع تلاش‌هاي پراكنده شهروندان براي دسترسي آزاد به اينترنت دانست. در نتيجه اپليكيشن‌هاي عبور از فيلترينگ كه بارها در مورد آنها هشدار داده شده اكنون مي‌توانند به عنوان بخشي از يك كمپين سايبري براي حمله به اهداف مشخص مورد استفاده قرار بگيرند بدون اينكه كاربران اطلاع داشته باشند. حملات لايه كاربرد (Application Layer Attacks) با تقليد رفتار كاربران واقعي، شناسايي و مهار را دشوارتر مي‌كنند و حجم و تداوم آنها نشان‌دهنده فعال‌سازي يك كارزار بزرگ با پشتيباني قابل‌توجه است. اين رفتار زماني اثبات مي‌شود كه نوسانات ترافيك در دو اپراتور موبايل كشور از يك الگوي مشابه پيروي مي‌كند و احتمال تصادفي بودن اين حملات منتفي است.

 

بدافزارها قاتل اينترنت كاربران

كاربران قرباني شايد متوجه اجراي اين حملات از طريق گوشي موبايل خود نباشند و در روزهاي آينده تاثير آن را در حجم مصرفي و افزايش هزينه اينترنت تجربه خواهند كرد. از منظر منشأ و مقصد حملات، داده‌ها نشان مي‌دهد كه بخش عمده آنها از شبكه‌ اپراتورهاي موبايل ايران سرچشمه مي‌گيرد و سهم شبكه‌هاي ثابت به‌مراتب كمتر است. وضعيتي كه با الگوي جهاني تفاوت چشمگير دارد. منشأ ترافيك اين حمله نشان مي‌دهد ابزارهاي آلوده به شبكه تلفن همراه متصل هستند. تمركز بر شبكه‌هاي موبايل، مي‌تواند ناشي از نفوذ گسترده بدافزار در گوشي‌هاي هوشمند و ضعف به‌روزرساني‌هاي امنيتي باشد و در بعد رسانه‌اي، تصويري از ايران به عنوان همزمان «قرباني» و «منبع» تهديدهاي سايبري ارايه مي‌دهد. تصويري كه پيامدهاي امنيتي قابل توجهي در فضاي مجازي و دسترسي ايرانيان به سرويس‌هاي بين‌المللي خواهد داشت.

كمپين حملات سايبري از روز يكشنبه چهاردهم دي شتاب گرفته است و در روز سه‌شنبه شانزدهم دي به اوج خود مي‌رسد. از منظر ماهيت حملات، تركيبي از روش‌هاي پيشرفته به‌كار گرفته شده است: حدود ۶۳ درصد ترافيك توسط فايروال‌هاي برنامه‌هاي وب مسدود شده كه نشان‌دهنده تلاش براي سوءاستفاده هوشمندانه از آسيب‌پذيري‌هاي نرم‌افزاري است و حدود ۳۶ درصد به حملات DDoS اختصاص داشته كه هدفشان از كار انداختن سرويس‌ها است.

 

نعمتي به نام فيلترينگ براي مهاجمان

آمارهاي كلادفلر نشان مي‌دهد كه شمار بسيار زيادي از تلفن‌هاي همراه در ايران آلوده شده و به‌نظر مي‌رسد به عنوان ابزار اجراي يك كارزار هجوم سايبري مورد استفاده قرار گرفته‌اند. غلبه مطلق اين شبكه‌هاي موبايل به عنوان منشأ يك حمله هماهنگ و چندروزه، مي‌تواند به اين معنا باشد كه دستگاه‌هاي متصل به آنها در حال توليد ترافيك مخرب بوده‌اند. هر دستگاهي كه به‌صورت هماهنگ در ارسال چنين ترافيكي مشاركت كند، عملا آلوده شده و بخشي از يك بات‌نت محسوب مي‌شود. اين شواهد نشان‌دهنده آلودگي گسترده گوشي‌هاي هوشمند در ايران است. وضعيتي كه در آن، موبايل كاربران به ابزاري در يك شبكه توزيع‌شده و قدرتمند براي عمليات سايبري تبديل شده‌اند. حجم بالاي ترافيك حملات از شبكه‌هاي موبايل نشان مي‌دهد كه بخش قابل‌توجهي از كاربران تحت تأثير قرار گرفته‌اند، موضوعي كه از يك ضعف امنيتي عميق و فراگير در زيست‌بوم موبايل ايران پرده برمي‌دارد.

 

اندرويد، سلطان بازار موبايل ايران

داده‌هاي كلاودفلر نشان مي‌دهد كه در بازه دوهفته ابتداي دي‌ماه، رفتار اكوسيستم دستگاه‌هاي متصل در ايران كاملا يكنواخت است. اندرويد با سهم ۹۰ درصدي تقريبا تمام ترافيك موبايل را در اختيار دارد و سهم iOS به حدود ۱۰ درصد محدود شده است. الگويي كه با ميانگين‌هاي جهاني فاصله زيادي دارد. همين يكنواختي در مرورگرها نيز ديده مي‌شود. جايي كه كروم تقريبا انحصاري است و ساير مرورگرها سهم ناچيزي دارند. اين وضعيت عمدتا ناشي از محدوديت‌هاي اقتصادي و تحريم‌هاست و اين تمركز، ريسك آسيب‌پذيري گسترده در برابر نقص‌هاي فني مشترك را افزايش مي‌دهد. در شاخص‌هاي رمزنگاري و پروتكل‌ها، شبكه اينترنت ايران همزمان نشانه‌هايي از همسويي و عقب‌ماندگي را نشان مي‌دهد. استفاده از HTTPS با نرخ ۹۷ درصد تقريبا هم‌سطح استانداردهاي جهاني است و از امنيت پايه ارتباطات حكايت دارد، اما وابستگي بالا به IPv4 (بيش از ۸۲ درصد) در مقايسه با ديگر كشورها، از كهولت زيرساخت‌ها خبر مي‌دهد. در عين حال، توزيع نسخه‌هاي HTTP و غلبه TLS 1.3 حركت تدريجي به سوي استانداردهاي جديدتر را بيان مي‌كند، هرچند اين پيشرفت نسبت به كشورهاي پيشرو همچنان محدود باقي مانده است.

 

كيفيت اينترنت، پايدار و همچنان ضعيف

علاوه بر سرعت پايين، تأخير بالا يكي ديگر از مشكلات جدي اينترنت ايران است. زمان رفت‌وبرگشت نيمي از كاربران كشور حدود ۱۳۸ ميلي‌ثانيه و زمان پاسخ DNS حدود ۱۵۳ ميلي‌ثانيه گزارش شده است. داده‌هاي تجميعي نشان مي‌دهد كه در زمان شلوغي شبكه، تأخير به‌طور ميانگين تا حدود ۴۹۳ ميلي‌ثانيه افزايش مي‌يابد. چنين تأخيري باعث مي‌شود تجربه كاربري در فعاليت‌هاي تعاملي مانند تماس‌هاي اينترنتي، بازي‌هاي آنلاين و ارتباطات بلادرنگ، كند و آزاردهنده شود و از ازدحام شديد و ناكارآمدي مديريت ترافيك حكايت دارد. سرعت متوسط نيمي از كاربران كشور حدود ۵.۵ مگابيت بر ثانيه يعني حدود ۷۰۰ كيلوبايت بر ثانيه است. نمودارهاي زماني كلادفلر همچنين از بي‌ثباتي شديد حكايت مي‌كنند. جايي كه سرعت، تأخير و پاسخ DNS به‌طور مداوم دچار نوسان‌هاي تند و غيرقابل پيش‌بيني مي‌شوند. اين وضعيت نشان‌دهنده زيرساختي شكننده و كم‌ظرفيت است كه كيفيت خدمات در آن درگير نوسانات روزمره و ساعتي است. در بستر سياسي و ژئوپوليتيكي ايران، چنين ناپايداري‌ تنها نشانه كمبود سرمايه‌گذاري نيست، بلكه مي‌تواند ابزاري براي اعمال «اختلال نرم» در ارتباطات بدون قطع كامل اينترنت باشد. زمان تاخير در اينترنت ايران حدود ۱۲۷ ميلي‌ثانيه است كه در ساعت‌هاي شلوغ به ۴۹۳ ميلي‌ثانيه مي‌رسد. Jitter نيز نشان‌دهنده نوسان قابل‌‌توجه در توالي ارسال بسته‌ها است. شبكه‌هاي موبايل ايران كه محدود به دو اپراتور اصلي هستند به سنگر حملات لايه كاربردي تبديل شده‌اند. از سوي ديگر مي‌توان تحليل كرد سياست «كاهش كارايي بدون قطع كامل» به ابزار اصلي مديريت فضاي ديجيتال در روزهاي اخير تبديل شده است. در مجموع مي‌توان گفت اينترنت ايران در هفته سوم دي‌ماه تركيبي متناقض از امنيت ظاهري و عملكرد بي‌ثبات است. از يك‌سو، اجراي گسترده استانداردهاي رمزنگاري و ثبات در لايه‌هاي هسته‌اي شبكه بيانگر كنترلي متمركز و حساب‌شده است از سوي ديگر، افت كيفيت، نوسان مداوم و نقش پررنگ شبكه‌هاي موبايل در حملات سايبري، از زيرساختي شكننده و عمدا تضعيف‌شده در سطح تجربه كاربر حكايت دارد. در سطحي فراتر از ايران، اين وضعيت پيامدهاي منطقه‌اي و جهاني دارد. استفاده از زيرساخت داخلي به عنوان سكوي حملات برون‌مرزي، احتمال تنش‌هاي سايبري را بالا مي‌برد و هم‌زمان، كاربران عادي را در معرض انزواي ديجيتال، ناامني ناخواسته و افت مزمن كيفيت ارتباط قرار مي‌دهد.

 

نت بلاكس خبر از افت دسترسي به  اينترنت در تهران و چند استان ديگر مي‌دهد

داده‌هاي زنده اتصال شبكه نت‌بلاكس نشان‌دهنده افت همزمان اينترنت در تهران و چندين استان ديگر ايران است. اين نهاد پايش اينترنت اعلام كرده است كه كاهش اتصال در چند ارايه‌دهنده به‌طور موازي رخ داده و نشانه‌هايي از ورود كشور به يك «خاموشي ديجيتال» مشاهده مي‌شود. مطابق نمودار نت‌بلاكس ميزان اتصال شبكه در استان‌هايي از جمله تهران، كرمانشاه، همدان، بوشهر، فارس و آذربايجان شرقي با افت‌ ناگهاني و همزمان مواجه شده است. NetBlocks تأكيد كرده كه اين رخداد مي‌تواند دسترسي عمومي به اينترنت را به‌شدت محدود كند. كاهش ناگهاني ترافيك اينترنت ايران در داده‌هاي كلادفلربررسي نمودار «ترافيك HTTP در ايران» منتشرشده توسط Cloudflare Radar نشان مي‌دهد كه در روز پنجشنبه ۱۸ دي ۱۴۰۴، الگوي ترافيك اينترنت كشور تا ساعات مياني روز روندي نسبتا باثبات و رو به افزايش داشته، اما در ساعات پاياني بازه زماني ثبت‌شده، افتي شديد و ناگهاني را تجربه كرده است. بر اساس اين داده‌ها، ميزان درخواست‌هاي HTTP از نيمه‌شب تا حوالي ظهر به‌تدريج افزايش يافته و در برخي مقاطع با نوسان‌هاي محدود همراه بوده است. با اين حال، از حدود ساعت 30: 19 كاهش چشمگيري در حجم ترافيك ثبت شده كه در ادامه به نزديك صفر مي‌رسد؛ وضعيتي كه معمولا با اختلال گسترده يا قطع ارتباط در سطح ملي همخواني دارد.