جنگ‌های سایبری

سپتامبر 17, 2013

سه سال قبل، زمانی که اپراتورهای شبکه‌های الکتریکی کم کم به فکر محافظت از زیرساخت‌های حیاتی در مقابل حملات سایبری افتادند، تنها تعداد معدودی از آنها از متخصصان کارآزموده در این زمینه بهره‌می‌بردند.

به گزارش شبکه خبری دولت الکترونیک, با ظهور استاکس نت در سال ۲۰۱۰، گزارش‌های بسیاری از خلق این بدافزار توسط آمریکا و رژیم صهیونیستی جهت تخریب ۱۰۰۰ سانتریفیوژ تجهیزات هسته ای ایران بعد از کامپیوتری شدن خبر‌می‌دادند.

جنرال مایکل‌هایدن، متخصص و مشاور امنیتی در موسسه چیرتاف گروپ که مدیریت آژانس امنیت ملی آمریکا و سی آی اِی را عهده‌دار بوده، در طول سالیان متمادی راهبری حوادث و رویدادهای بسیاری را به انجام رسانده است.

او‌می‌گوید: “در این خصوص باید بسیار محتاطانه سخن گفت. در زمان صلح ممکن است که یک کشور با استفاده از جنگ افزار سایبری به تخریب زیرساخت‌های حیاتی کشوری دیگر مبادرت‌ کند. در این حالت، مجرمان نه تنها آسیب پذیری سیستم‌های کنترل را به اثبات‌ می‌رسانند بلکه به واسطه مداخله دولت‌ها در این اقدام، کار نامشروع و غیرقانونی انجام نداده اند.

این حملات در سازوکارهای صنایع اختلال ایجاد ‌می‌کنند. مارک ویدرفورد، معاون بخش امنیت سایبری برنامه امنیت ملی در وزارت امنیت داخلی ایالات متحده اظهار کرد: “استاکس‌نت مسیر بازی را تغییر داد. زیرا چشمهای مردم را به روی این حقیقت که حملات سایبری ‌می‌توانند به صدمات فیزیکی نیز منجر شوند باز کرد.”

رویداد دیگری که هشدار روشنی در خصوص حملات سایبری بود متهم شدن ایران از سوی دولت ایالات متحده به راه‌اندازی حملات انکار سرویس توزیع شده (DDoS) علیه موسسات مالی ایالات متحده بود.
لئون پانه‌تا، معاون وزارت دفاع در یک سخنرانی با موضوع حمایت از قوانین امنیت سایبری که باعث اشتراک‌گذاری بیشتر اطلاعات و ارتقاء استانداردهای امنیت سایبری‌ می‌گردد هشدار داد در صورتی که اقدام مناسبی برای حفاظت بهینه تر از زیرساخت‌های حیاتی به عمل نیاید کشور با امکان حملات سایبری پرل هاربری (Cyber Pearl Harbor) روبرو خواهد شد – مشابه حمله غافلگیرانه و نابودکننده ژاپنی‌ها به یک بندر امریکایی در خلال جنگ جهانی دوم – م.

تیم راکسی، رئیس امنیت سایبری در شرکت نورث امریکن الکتریک که یک گروه بازرگانی فعال درزمینه اپراتورهای شبکه‌های برق ‌می‌باشد “ظهور استاکس‌نت را یک هشدار بزرگ در زمینه حملات ویروسی‌ می‌داند.

او خاطرنشان ‌می‌کند که عنوان‌های شغلی مانند رئیس ارشد امنیت اطلاعات و سرپرست امنیت سایبری نسبت به گذشته بسیار قابل قبول‌تر و ملموس‌تر شده‌اند. استانداردهای جدیدی در زمینه امنیت سایبری هم اکنون در حال توسعه است و روی تسهیم اطلاعات در بین صنایع و با وزارت امنیت داخلی آمریکا از طریق مراکز تحلیل و تسهیم اطلاعات تاکید فراوانی وجود دارد.

از سوی دیگر، بنا بر اظهارات جان اسکاتور، تحلیل گر روزنامه گارنر، امنیت سایبری برای بسیاری از صنایع هنوز هم نگرانی عمده‌ای به حساب نمی‌آید. رکسی در این باره ‌می‌گوید: “واضح است که امنیت سایبری در بین ده نگرانی نخست هر شرکت قرار دارد.”

از برآیند چنین چالش‌هایی ‌می‌توان به این حقیقت دست یافت که کارایی درست تاسیسات و تجهیزات نشان از بودجه ثابت و محکمی ‌برای آنها دارد.
به گفته پاول کرتز، مدیر عامل موسسه بین المللی مهندسی امنیتی CyberPoint و مدیر سابق بخش حفاظت از زیرساخت حیاتی در شورای امنیت کاخ سفید “این مشکل بسیار بزرگ است و برای حل آن نمی‌توانیم راهکارهای مقرون به صرفه و کم‌هزینه تر را پیشنهاد کنیم. چطور‌می‌توان این مشکل را بدون صرف هزینه‌های هنگفت حل نمود؟”

اقدامات انفعالی
بسیاری از کارشناسان در مورد اینکه زیر ساخت‌ها حیاتی هنوز هم راهی طولانی برای پیمودن دارند با هم اتفاق نظر دارند. ملیسا‌هاتاوی، رئیس موسسه‌ هاتاوی گلوبال استراتژی، در سال ۲۰۰۹ سمت مدیر ارشد فضای سایبری را در کابینه اوباما برعهده داشته است.
او‌می‌گوید:پیش نویس طرح ملی واکنش در برابر حوادث سایبری تهیه شده که در ماه ژوئن به صورت آزمایشی در سطح کشور به اجرا گذاشته‌ می‌شود و نشان از آن است که این طرح برای حفاظت از زیرساخت‌های حیاتی به اندازه کافی کارآمد و کافی نیست.

هاتاوی ‌می‌گوید: “بسیاری از زیرساخت‌های حیاتی هنوز حتی از دست هکرها کاملا در امان نیستند.
به نظر من مدیران صنایع به جای اینکه چاره‌ای برای این معضل بیندیشند همچنان به دولت چشم دوخته‌اند تا شاید با ارائه راهکارهایی از هزینه‌های هنگفت این اقدام بکاهد.” با این حال شواهد بسیاری حاکی از آن است که زیرساخت‌های حیاتی تا‌ میزان زیادی آسیب پذیر بوده و نیازمند اقدامات اساسی‌می‌باشند.

وزارت دفاع ایالات متحده به دلیل مسائل نظامی‌ و امنیتی نقش مهم و مستقیمی‌ در زمینه امنیت زیرساخت‌های حیاتی کشور ایفا ‌می‌نماید.
جیمز لوییس، کارشناس ارشد امنیت سایبری در مرکز مطالعات بین المللی و استراتژیک در این باره ‌می‌گوید: “هیئت علوم دفاعی با بررسی زیرساخت‌های حیاتی مدنظر وزارت دفاع دریافتند که حملات دقیق و زیرکانه‌می‌توانند به قابلیت‌های این وزارتخانه آسیب برسانند.

ژنرال کیت الکساندر، مدیر آژانس امنیت ملی آمریکا به‌ میزان آمادگی ایالات متحده جهت مقابله با حملات سایبری به زیر ساخت‌های حیاتی از امتیاز ۱ تا ۱۰ عدد ۳ را اختصاص‌می‌دهد.

دلایل این انتخاب را ‌می‌توان ناتوانی در شناسایی و واکنش سریع در مقابل حملات، فقدان یا کمبود استانداردهای امنیت سایبری و عدم تمایل عمومی ‌شرکتهای خصوصی و آژانس‌های دولتی جهت تسهیم اطلاعات تفصیلی در خصوص تهدیدات و حملات برشمرد.‌

هایدن‌ می‌گوید وزارت دفاع و آژانس‌های اطلاعاتی به دلیل محدودیت‌های قانونی که در طبقه بندی‌های اطلاعاتی خود دارند قادر به اشتراک گذاری اطلاعات خود نمی‌باشند.

شرایط فعلی زیرساخت حیاتی این تمایل را بوجود ‌می‌آورد که هر سازمان اطلاعاتش را برای خود محفوظ بدارد و آنرا در دسترس مشتریها قرار ندهد زیرا در مورد صدمه دیدن اعتبار و شهرتشان پس از انتشار خبر یک حمله سایبری گسترده نگرانی زیادی وجود دارد.

ادوارد آموروسو، قائم مقام و مدیر بخش امنیت در شرکت AT&T بزرگترین نگرانی خود را حملات انکار سرویس توزیع شده (DDoS) که توانایی آسیب رسانی به Backbone اینترنت را دارند عنوان‌می‌کند. او‌می‌گوید: “من برای این اقدام باید وکلایی را استخدام نمایم و برای تعامل با دولت بسیار محتاطانه عمل کنم.”

فراهم آورندگان زیرساخت‌های حیاتی چه در صورتی که اطلاعات را به اشترک بگذارند و یا در غیر اینصورت بهر حال در زمره نفرین شدگان قرار دارند. او در ادامه‌می‌گوید:” درصورتی که دولت مجوز این کار را به ما بدهد برخی از ناظران سیاسی خواهند گفت که ما به نیابت از آژانس‌های دولتی مشغول به کارهستیم.”

تمامی ‌طرف‌ها بر این نقطه اتفاق نظر دارند که در زمان وقوع بحران هریک از آنها باید توانایی به اشتراک گذاری اطلاعات در زمان واقعی را دارا باشند.

آموروسو‌ می‌گوید: “ اگر با پنج نفر گفتگو کنید، پنج نظر متفاوت در خصوص اقدامات درست خواهید شنید.” متاسفانه اقدامات و راهکارهای دولت برای حل این مشکل تنها به وضع قوانینی مانند قانون امنیت سایبری خلاصه‌ می‌شود که از هرگونه پیشرفتی ناتوان است.

ویدرفورد‌ می‌گوید: “حقیقتا برای ما جای تاسف است که هنوز از پس چنین مسئله بی بنیادی برنیامده‌ایم و این مشکل همچنان پابرجاست.” عدم لحاظ پیشرفت و بروز بودن در سیاست گذاری‌ها یکی از مشکلات وزارت امنیت ملی و مرکز ملی یکپارچه‌سازی ارتباطات و امنیت سایبری (NCCIC)‌ می‌باشد.

این مرکز شبانه‌روزی در قالب یک پل واسط جهت اشتراک گذاری اطلاعات بین فراهم آورندگان زیرساخت حیاتی بخش خصوصی طراحی شده است و همچنین مکانی برای یاری گرفتن در زمان وقوع مشکلات به حساب‌می‌آید.

او‌می‌گوید: “امیدوارم که NCCIC به شماره ۹۱۱ (شماره پلیس) حوزه امنیت سایبری مبدل شود. شاید ما تمامی ‌جوابها و تمامی‌افراد مناسب و متخصص را در اختیار نداشته باشیم اما‌می‌دانیم که آنها را از کجا می‌توان پیدا کرد.”

در همین اثنا شاهدیم که بر تعداد حملات و سطح پیچیدگی‌های آنها روز به روز افزوده‌ می‌شود. ریچارد بیلیچ، مقام ارشد امنیت سایبری در موسسه مشاوره امنیتی ماندیانت معتقد است که تاسیسات برقی و سایر کسب و کارها همیشه در معرض خطر حملات سایبری از سوی دولت‌های خارجی قرار دارند.

او‌می‌گوید: “ ما برآورد‌ می‌کنیم که ۳۰ تا ۴۰ درصد از شرکت‌های مندرج در Fortune ۵۰۰ هم اکنون با مداخله روس‌ها و چینی‌ها روبرو هستند. اما با این حال فکر‌می‌کنم در خصوص تهدیدهای این حوزه بسیار اغراق شده است.”

سایر کارشناسان نیز با این نظر موافق هستند و افرادی مانند‌ هاواراد اشمیت، یک متخصص امنیت سایبری و معاون سابق رئیس جمهور که اکنون به عنوان یک مشاور مستقل مشغول به کار است چنین اظهار نظر‌می‌کنند: “ما شاهد شکل‌گیری تخصص‌های جدیدی در خصوص سیستم‌های کنترل صنعتی هستیم. بسیاری از افراد و گروهها نسبت به جنبه‌های فنی و تخصصی این سیستم‌ها به شدت خود را متعهد‌می‌دانند.

کرتز دراین باره‌می‌گوید: “مردم درمورد آسیب‌هایی که بواسطه حملات سایبری به زیرساخت‌ها متوجه سرمایه غیرملموس آنهاست غفلت‌می‌کنند. حملات بی امان و هدفدار phishing‌ می‌توانند تمام سرمایه‌های غیرملموس شما را دچار مخاطره کرده و تاثیرات مخربی را نیز متوجه فضای سیستم کنترل زیرساخت‌های حیاتی کنند.”

حملات هدف دار فیشینگ که بعضی اوقات با عنوان تهدیدهای هدفمند پیشرفته یا تهدیدهای مداوم پیشرفته از آنها یاد‌ می‌شود سعی دارند تا با هدف قرار دادن افراد بخصوص و تلاش برای ترغیب آنها به باز کردن ایمیل‌های حاوی پیام‌های آلوده که به ظاهر از جانب یک دوست فرستاده شده است، به سیستم‌های یک سازمان راه یابند. مقاومت در برابر برخی از این حملات کار بسیاری دشواری است.

در این میان، حملات zero – day نیز مشکل دیگری است. آموروسو‌می‌گوید در حالی که افراد دخیل در حوزه نرم افزار و سیستم‌ها در طول ده سال گذشته هزاران پچ در خصوص آسیب پذیری‌ها را کشف کرده‌اند، هرگز برای من تعجب آور نیست اگر باز هم هزاران آسیب پذیری zero – day گزارش نشده وجود داشته باشد.”

در حالی که برخی از هکرها به خاطر سرقت اطلاعات و افشای آنها ممکن است به خود ببالند، سازمانهای جاسوسی و تبهکار و دولت‌های خارجی ترجیح‌ می‌دهند اطلاعات کشف شده را برای خود محفوظ بدارند. اشمیت در این باره‌ می‌گوید: “حملاتی که با پشتیبانی دولت‌ها انجام‌می‌شوند نه تنها سرمایه‌های معنوی بلکه توانایی شما برای خلاص شدن از این مهلکه و تجدید انرژی را هدف‌می‌گیرند.”

در حملات خرابکارانه معمولا دزدیدن اطلاعات سری بسیار آسانتر از وارد آوردن صدمات فیزیکی است.‌ هایدن ‌می‌گوید: “چنانچه موفق شدید با اهداف خرابکارانه به شبکه‌ای نفوذ کنید به هرآنچه که برای صدمه زدن به آن نیاز دارید دست خواهید یافت.”

بسیاری از شرکت‌های خصوصی که حتی توانایی محافظت از شبکه خود در برابر آسیب‌های فیزیکی را ندارند چگونه ممکن است که بتوانند در برابر حملات سایبری از خود مقاومت نشان بدهند.
هر حمله سایبری از یکی از نقطه ضعف‌ها پرده برمی‌دارد. سکاتور در این باره‌ می‌گوید: “با از میان برداشتن اینگونه آسیب پذیری‌ها شما‌می‌توانید شبکه خود را از دسترس مهاجمان سایبری و تبهکاران و حتی افراد مبتدی و غیر حرفه ای دور نگه دارید.”

نگرانی‌های مدیریتی
ظرفیت بروز مشکل در سیستم‌های کنترل کامپیوتری بسیار بالاست چراکه در بسیاری از انواع متفاوت زیرساخت‌های حیاتی از سیستم‌های مشابهی استفاده ‌می‌شود. به گفته اشمیت تمامی ‌کارهایی مانند روشن کردن صفحه شماره گیر یا سوئیچ که قبلا به صورت دستی انجام می‌شدند اکنون به صورت کاملا الکترونیکی صورت‌ می‌گیرد.”

علاوه براین، بسیاری از سیستم‌های کنترل صنعتی که از “فواصل دور” بوسیله اینترنت کنترل‌ می‌شوند به دلایل تجاری به شبکه‌های شرکتی متصل هستند. مارتی ادواردز، رئیس بخش امنیت سیستم‌های کنترل در گروه فوریت‌های سایبری سیستم‌های کنترل صنعتی (ICS-CERT) در وزارت کشور ایالات متحده‌ می‌گوید: “ما شاهد صفحات گسترده با هزاران مولفه سیستم کنترل هستیم که مستقیما به اینترنت متصل ‌می‌باشند.

برخی از این مولفه‌ها حاوی آسیب پذیری‌های شناخته شده‌ای هستند که در حال حاضر بدون زحمت زیادی قابل رفع می‌باشند.”
کارکنان این سازمان که در طول چهار سال گذشته ده برابر شده‌اند استانداردهایی را برای سیستم کنترل ارائه ‌می‌دهند که اطلاعات تهدیدات را در اختیار فراهم آورندگان زیرساخت‌های حیاتی قرار ‌می‌دهد و نیز تیم “نینجاهای سایبری” که متشکل از مهندسان و تحلیل گران سایبری سیستم‌های کنترلی سطح بالا ‌می‌باشد در سریعترین زمان ممکن پاسخگوی مشکلات هستند.

ICS-CERT در سال گذشته برای دولت و صنایع خصوصی بالغ بر ۵۲۰۰ مورد خدمات رسانی در زمینه مشاوره و مشکلات اضطراری به انجام رسانده است.
ویدرفورد که از ارائه جزئیات در خصوص ماهیت این حوادث سر باز زد، عنوان کرد: “در طول سال گذشته ادوار تیم خود را هفت مرتبه به کمک کسب و کارها فرستاد تا به آنها در رویارویی با حوادثی که به قطع ارتباط اینترنتی و یا تاثیرات مخبر عملیاتی منجر‌می‌شوند کمک کنند.

علاوه بر این، سیستم‌های کنترل از ضعف فاحش دیگری نیز رنج‌ می‌برند که به یک زخم کهنه تبدیل شده و پچ کردن آن به آسانی امکان پذیر نیست. به گفته اشمیت بسیاری از آنها بطور کلی برای اجرا شدن در فضای شبکه طراحی نشده اند و قابلیت بروزشدن را ندارند. نرم افزار دائمی‌ آن بخش ثابتی از این ابزار است و به هنگام بروز مشکل، تنها راه برای تعمیر آن جایگزین کردن است.”

از آنجا که سیستم‌ها با یک چشم انداز ده تا بیست ساله طراحی ‌می‌شوند، لازم است که سازمان‌ها تا فرا رسیدن زمان جایگزینی و تعویض، حصار امنیتی مستحکمی ‌گرد آنها بکشند. در سایر موارد ‌می‌توان از امکان بروزرسانی بهره برد اما اپراتورها برای انجام عمل پچ باید منتظر ارائه دهندگان خدمات بمانند.

اما مقصد بعدی این صنعت کجاست؟
این راه را باید با استانداردها و تجارب بهتر، بازیابی و محدودسازی بلادرنگ، تسریع و افزایش میزان اشتراک گذاری اطلاعات در بین فراهم آورندگان زیرساخت‌های حیاتی و تمامی‌زیرشاخه‌های دولتی آغاز نمود.

در حالی که برخی از این برنامه‌ها با استانداردهای وزارت امنیت و گروه‌های صنعتی مانند NERC مطابقت دارند برخی دیگر بر سر امکان استفاده از خط مشی‌های دولتی در اجرای استانداردهای سطح بالاتر در بین تولیدکنندگان سخت افزار و نرم افزارهای قابل کاربرد در زیرساخت‌های حیاتی بحث‌می‌کنند.
در حال حاضر، از چنین خط مشی‌هایی در هیچ یک از آژانس‌های دولتی خبری نیست.

به نظر پکاتور “بهتر است که دولت به جای سعی در قانونمندسازی سطوح بالاتر امنیتی از قدرت خود برای تهیه و اجرای سطح بالاتری از امنیت اقدام کند. دولت فدرال هیچ نیازی به تامین کنندگانی جهت تدارک مجموعه یکپارچه و پایایی از استانداردهای، امنیت در کل آژانسها ندارند.

اشمیت با بیان اینکه ایجاد برخی تغییرات اساسی در مفاد قرارداد ‌می‌تواند سودمند باشد‌ می‌گوید: “به باور من و بسیاری از همکارانم در West Wings در حال حاضر هیچ مانعی برای نوشتن قرادادی که شما را بعنوان یک ارائه دهنده خدمات IT به دولت ملزم به فراهم آوردن آخرین تدابیر امنیت سایبری نماید وجود ندارد.

شما به عنوان یک ارائه دهنده خدمات باید مکانیسم‌هایی برای مطلع ساختن دولت از هرگونه اختلال و اقدامات خرابکارانه در دست داشته باشید و نیز بتوانید در موارد لزوم ارتباط شبکه را قطع کنید. “

اما تاثیر خط مشی‌های تدارکاتی دولت بر این استانداردها بسیار فراتر از این ‌میزان است. به گفته لوئیس “دولت اقدام به خرید توربین‌ها و سیستم‌های کنترل برای زیرساخت‌های حیاتی نمی‌کند.”

به عقیده بلیچ واکنش سریع در زمان روبرو شدن با حملات سایبری از اهمیتی حیاتی برخوردار است: “مهاجمان دائما به دنبال راهی برای نفوذ به درون شبکه هستند و بنابراین شناسایی و دفع حملات مستلزم در اختیار داشتن افرادی کارآزموده و متخصص است که بتوانند واکنش سریع و مناسبی نشان بدهند.

این راهکار ممکن است در مورد تهدیدهای فوق خطرناک‌ تنها ابزار کارآمد باشد.” به گفته بلیچ اگر تحلیل گرها به سیستم‌ میزبان احاطه کاملی داشته باشند شبکه و محتوای آن در عرض یک ساعت تحت کنترل اختلال‌گران قرار خواهد گرفت.

افشای اسرار
شاید بتوان گفت ترسیم و تعیین خط مشی‌ها و اعتمادسازی یکی از چالش‌های دشواری است که مستلزم تشویق و پشتیبانی دولت و صنایع خصوصی جهت به اشتراک گذاشتن تمامی‌اطلاعات و یافته‌ها است.

دولت علاوه بر وضع مقرراتی جهت تامین امنیت اطلاعات مشترک شرکتهای مرتبط با زیر ساخت‌های حیاتی در خصوص تهدیدات سایبری، لازم است که سازمانهای قانونگذار، اطلاعاتی و نظامی ‌را به پذیرش بی قید و شرط این قوانین ملزم نماید.

بطور مثال چنانچه وزارت دفاع آمریکا حمله سایبری به زیرساخت حیاتی کشوری را برنامه ریزی کند که مشابه همان زیرساخت در ایالات متحده نیز در حال استفاده است آیا باید اطلاعات مربوط به نقاط ضعف شناسایی شده آن را با شرکت‌های فعال در این کشور به اشتراک بگذارد تا آنها قادر باشند از خود در برابر حملات متقابل دفاع کنند؟

هایدن در این باره‌می‌گوید: “صنایع آمریکا حق دارند که از برخی اطلاعات فوق محرمانه دولت مطلع باشند تا بتوانند به مناسب ترین شکل ممکن در خصوص نگرانی‌های مهم و موجود نظرات و مشاوره‌های خود را بیان کنند.

در این جریان هر دو طرف در معرض خطر قرار دارند و به این ترتیب هر یک از طرفین‌می‌توانند نگرش یکسانی در خصوص تهدیدات و جریانات متعاقب آن پیدا کنند.

یکی از راه‌های نیل به این هدف، به اشتراک گذاشتن اطلاعات طبقه بندی شده با نمایندگان برگزیده صنایع خصوصی است. مجلس نمایندگان آمریکا اخیرا لایحه ای با موضوع قانون حفاظت و اشتراک گذاری اطلاعات سایبری تصویب کرده است که برمبنای آن به مجریان صنایع حیاتی مجوزهای امنیتی داده‌ می‌شود.

اما این لایحه شدیدا مورد انتقاد مجامع امنیتی قرار گرفته است و به عقیده‌ هایدن با توجه به فضای سیاسی کنونی انتظار‌می‌رود که این لایحه در مجلس سنا رد شود.

اشتراک گذاری اطلاعات به استاندارد شدن مبانی حفاظتی و امنیتی کمک‌ می‌کند اما به گفته آموروسو در نهایت هر یک از فراهم آورندگان زیرساخت‌های حیاتی باید استراتژی امنیتی خاص خود را تعریف کرده و آن را از سایرین متمایز کنند: “در حال حاضر همه کسب و کارها از استراتژی‌های امنیت سایبری مشابهی که معمولا توسط برخی بازبین‌ها دیکته شده است استفاده‌می‌کنند. اما درست به مانند بازی فوتبال شما نمی‌توانید همیشه از استراتژی دفاعی یکسانی استفاده کنید چرا که یک مهاجم حرفه‌ای بالاخره راهی برای شکستن سد دفاعی خواهد یافت. به گفته آموروسو “شما باید استراتژی‌های دفاعی را با هم ترکیب کرده و با دیگران هم از کارهایی که انجام داده اید صحبت نکنید.”