مینو مومنی
تقریباً هفته ای نیست که یک سایت دولتی مورد حمله قرار نگیرد. این اظهار نظر یکی از کارشناسان امنیت شبکه است. وی که طی سال های اخیر موضوع حمله و امنیت سایت های ایرانی را روی اینترنت دنبال کرده تاکید می کند که افزایش سایت های ایرانی و به خصوص توجه دولتی ها به ایجاد سایت اینترنتی طی سال های اخیر تاثیر عمده ای در بالا رفتن آمار حمله به این دسته از سایت ها داشته است. با این حال به گفته او و بسیاری دیگر حمله به سایت های دولتی ایران با هر هدفی که صورت گیرد هنوز حساسیت چندانی را در مسئولان و افکار عمومی اینترنتی برنمی انگیزد. طی سه، چهار سال اخیر بسیاری از مراکز دولتی، وزارتخانه ها، سازمان های خدمات رسانی و... به اجبار یا به دلخواه به ایجاد یک سایت اینترنتی روی آورده اند. بسیاری از این سایت ها صرفاً از چند صفحه اطلاعات مختصر درباره گستره فعالیت آن اداره تشکیل شده اما برخی از سایت های دولتی هم وجود دارند که در کنار ارائه اطلاعات بخشی از خدمات خود را نیز از این طریق به مراجعان و علاقه مندان ارائه می کنند. شاید در واقع یکی از مزیت های اصلی سایت های دولتی ایرانی در هنگام مورد حمله قرار گرفتن و هک شدن را در این بدانیم که این سایت ها هنوز اطلاعات حیاتی و بسیار مهم را از این طریق ارائه نمی کنند و یا قطع خدمات رسانی آن لاین آنها چندان مشکلی برای مخاطبان و مراجعانشان ایجاد نمی کند. از این رو معمولاً بروز اتفاق برای این دسته از سایت ها چندان بازتاب خبری ندارد و حتی مواردی هم وجود داشته که یک سایت دولتی برای مدت زمان طولانی مورد حمله قرار گرفته بی آنکه حتی کسی از مسئولان آن متوجه شود و نسبت به اصلاح آن اقدامی انجام دهد.
یک برنامه در حد طرح
یکی از مهمترین مشکلاتی که سایت های دولتی از آن رنج می برند نداشتن برنامه مدون و افراد متخصص برای توسعه ارا ئه خدمات آن لاین است. همین موضوع باعث می شود که در بسیاری از اوقات تلاش آنان برای ارائه اطلاعات و یا خدمات از طریق سایت های اینترنتی با مشکل روبه رو شود.
یک متخصص امنیت شبکه در این زمینه می گوید: هم اکنون در سازمان های دولتی جایگاه شغلی برای کسانی که بحث امنیت شبکه را انجام می دهند نداریم. علاوه بر آن متاسفانه در بحث امنیت سایت ها دانشی وجود ندارد. همه کسانی که اطلاعاتی دارند اطلاعات و دانشی است که خودشان به مرور به دست آورده اند، دوستان زحمت خودشان را می کشند اما جایی وجود ندارد که این دانش و اطلاعات کنار هم قرار بگیرد تا معلوم شود این دانشی که آموخته ایم بهتر از آن نیز وجود دارد یا نه، شاید دانشی وجود داشته باشد که فراتر از آموخته های ما باشد. به نظر من باید برای این کار متولی مشخص شود یعنی به این معنا که یک سازمان روی ساختار فیزیکی و مقطعی این مسئله کار کند. به هر حال طی سال های اخیر برنامه های معدودی در زمینه افزایش ارتقای امنیت شبکه های دولتی صورت گرفته اما با توجه به آمار نسبتاً بالای نفوذ به سایت های دولتی به نظر می رسد بسیاری از این برنامه ها هنوز به طور کامل پیاده نشده و یا اساساً در حد طرح باقی مانده است.
به گفته کارشناسان امنیت این گروه از سایت ها که برخی نیز با شبکه های داخلی دستگاه های دولتی ارتباط دارد در سطح پایین انجام نمی گیرد. به طور مثال اغلب کاربران برای استفاده از دستگاه های متصل به شبکه های دولتی آموزش های دقیقی درباره حفظ و ارتقای امنیت شبکه نمی بینند و عمدتاً همین کاربران هستند که زمینه را برای نفوذ و رخنه در سایت ایجاد می کنند. بی توجهی به اصول ابتدایی امنیت، استفاده از ای میل و دیگر نرم افزارهای ارتباطی مواردی از این دست است.
مسئول یک سایت دولتی در این زمینه اعتقاد دارد: بحث امنیت در تمامی سطوح لازم و ضروری است. یک کاربر معمولی که روی شبکه کار می کند باید به طور کامل توجیه شود و آموزش ببیند و بعضی از مسائل برای او آنالیز شود. مثلاً بداند بر اثر سهل انگاری یک نفر در یک سازمان و هنگام چک کردن ای میل ممکن است یک فایل اسکریپت آمده و کل شبکه آنها را آلوده کند. این کاربر باید در این سطح آموزش ببیند. به نظر من وقتی کسی می خواهد در بستر اینترنت قدم بزند نه اینکه حتی با یک ماشین به سرعت حرکت کند، برای همین قدم زدن نیز باید با اصول اولیه آشنا باشد وگرنه بعدها دچار مشکل می شود.
سرورهای ناامن
علاوه بر موارد ذکر شده انتخاب سرور (server) نه چندان مطمئن برای میزبانی سایت های دولتی نیز اشکال دیگری است که بسیاری از مسئولان سایت های دولتی به آن بی اعتنا هستند. با توجه به نرخ نسبتاً بالای سرورهای اختصاصی و فقدان کارشناس آشنا به کار با این سرورها اغلب سایت های دولتی روی سرورهایی میزبانی می شوند که تعداد زیادی سایت را یک جا روی آن نگهداری می کنند. از آنجا که چنین کاری صرفاً برای کاهش هزینه ها صورت می گیرد اغلب مشکلات امنیتی فراوانی را برای صاحب سرور و همچنین مشتریان که سایت های دولتی را نیز دربر می گیرند سبب می شود.
بسیاری از حملات اخیر صورت گرفته علیه سایت های دولتی عمدتاً با نفوذ به سروری صورت گرفته که تعداد زیادی سایت را به طور یک جا روی یک میزبان نگهداری می کرد. در بسیاری از این موارد نیز مشکلات امنیتی نه از سایت ها بلکه از میزبان بوده و به این ترتیب بزرگترین مشکلات از این زاویه ایجاد شده است. مشکلی که طی سال های اخیر گریبان سایت های دولتی ایران را نیز گرفته عدم همکاری شرکت های آمریکایی میزبانی وب با مشتریان ایرانی و به خصوص دولتی بوده است. بهانه تحریم عملاً باعث شده کمتر شرکتی حاضر به فروش فضای اینترنتی به سایت های ایرانی باشد و در موارد متعددی نیز به ناگاه سایت های ایرانی را از روی سرور میزبان خارج کرده اند که منجر به خسارات متعددی شده است. چنین موضوعی باعث شد که از یکی، دو سال قبل مسئولان ایرانی به فکر ایجاد سرورهای میزبانی وب در داخل کشور بیفتند و زمینه را برای ایجاد این میزبان ها که دیتاسنتر یا IDC نامیده می شوند نیز فراهم کنند.
در نخستین اقدام شرکت فناوری اطلاعات (دیتای سابق) از راه اندازی شارع ۲ به عنوان نخستین دیتاسنتر داخلی نام برد. هر چند این دیتاسنتر که در مقاطعی از آن به عنوان دیتاسنتر ملی نیز نام برده شد تبلیغات فراوانی را اطراف خود دید اما خیلی زود مشخص شد ظرفیت این میزبان ملی برای میزبانی کردن حتی یک بخش کوچک از کشور نیز کافی نیست. از این رو بلافاصله مجوزهایی در اختیار شرکت های خصوصی قرار داده شد تا اقدام به ایجاد دیتاسنتر کنند. به رغم گذشت چند ماه هنوز از راه اندازی این دیتاسنترها و یا میزبان های سایت های اینترنتی خبری نیست هرچند کم و بیش گفته می شود آنها از مرحله پایلوت فراتر نرفته اند. در این میان شارع ۲ فعالیت خود را به خدمات دهی به سایت های دولتی محدود کرده است. اما تعداد سایت های دولتی حداقل طی یکی، دو سال اخیر با چنان افزایشی روبه رو شده که این میزبان ملی نمی تواند به تمامی تقاضاها در این عرصه پاسخ دهد. نکته دیگر در این زمینه این است که مشخص نیست حتی میزبان های ایرانی در مقایسه با رقبای خارجی خود از امنیت بهتری برخوردار باشند. هر چند هنوز این میزبانان داخلی به طور جدی مورد ارزیابی قرار نگرفته اند و به اصطلاح زیر بار نرفته اند اما با توجه به امکانات محدودی که در این عرصه وجود دارد هنوز اطمینان به آنها برای میزبانی سایت های ایرانی کافی نیست. این موضوع خصوصاً از آنجا اهمیت می یابد که بسیاری از بخش های دولتی ایرانی درصدد افزایش فعالیت های آن لاین خود هستند و به مرور قصد دارند که اطلاعات حساس تر و مهمتری را از این طریق مبادله کنند. به عنوان مثال با فعالیت پول الکترونیکی و گسترش تجارت الکترونیکی تبادلات مالی از طریق سایت های ایرانی افزایش قابل ملاحظه ای خواهد یافت اما در این میان موضوع حفظ امنیت مشتریان نیز به همان نسبت اهمیت می یابد.
خرابکاری بدون مزاحمت
چندی پیش برخی از سایت های حساس دولتی و حکومتی توسط یک گروه شناخته شده مورد حمله قرار گرفت. در میان سایت های مورد حمله قرار گرفته سایت های اختصاصی برخی از نهادهای حساس نظام نیز دیده می شد اما جالب آنکه گروهی که اقدام به این کار کرده بود به روشنی و بدون هیچ هراسی از برخورد با آن، خبر آن را به شکل یک عمل موفقیت آمیز برای تمامی رسانه ها ارسال کرد. نکته جالب تر آنکه به نوشته برخی سایت های اینترنتی این گروه حتی به طور نیمه رسمی و آشکار کلاس های آموزشی نیز برای آموزش خرابکاری اینترنتی برپا کرده اند. این جرات و اعتماد به نفس در چنین فضایی قطعاً به دلیل عدم برخورد با چنین گروه ها و وقایعی به وجود آمده و دلیل اصلی آن فقدان نهاد و ارگانی برای مقابله با چنین مواردی است. هم اکنون کمیته جرایم رایانه ای قوه قضائیه و کمیته جرایم رایانه ای نیروی انتظامی تنها مراکز مربوط به این گونه جرایم در کشور هستند اما عملاً این دو نهاد فعالیت چشمگیری را در این عرصه انجام نداده و یا فعالیت آنان چندان به اطلاع عموم نرسیده است. معطل ماندن قانون جرایم رایانه ای در مجلس نیز بر افزایش این جرایم در جامعه افزوده است. گفته می شود این قانون که حدود یک سال قبل به مجلس ارائه شده تا پایان سال نیز به صحن علنی ارائه نخواهد شد. این شاید بهترین خبر به گروه های خرابکار و هکری باشد که در این فضا آزادانه و بی مزاحمت مشغول فعالیت هستند.
نکته دیگر در موضوع حملاتی است که از سوی خرابکاران خارجی علیه سایت های دولتی سازماندهی می شوند. بسیاری از سایت های ایرانی با انگیزه های سیاسی و یا... طی سال های اخیر مورد حمله قرار گرفته اند اما در بسیاری از موارد به دلیل ناشناخته بودن سایت ها و نداشتن بازدیدکننده عملاً کسی متوجه این حملات نشده و یا خیلی زود فراموش شده است، اما با توجه به رشد سایت های ایرانی و افزایش بازدیدکننده ها چنین حملاتی در آینده می تواند امنیت اطلاعات آن لاین ما را به خطر بیندازد.
بر باد رفتن اطلاعات سایت
به نظر می رسد دولت می تواند از یک بعد و آن نظارت پورت های ورودی و خروجی و دستیابی به اینترنت سیاستی را پیاده کرده و بحث امنیت را از بالا نظارت کند. اما در ابعاد دیگر نیز دولت می تواند از مجموعه و کسانی که درگیر این مسائل هستند حمایت کند.
یک متخصص امنیت شبکه در این باره می گوید: دولت می تواند برای شکل گیری ساختار فیزیکی کمک کند یعنی در اصل هم می تواند حمایت لجستیکی و هم حمایت فنی و ساختاری داشته باشد. هم اکنون از سوی دولت طرحی مثل تکفا یا طرح های دیگر ارائه شده اما اگر ما قصد مسافرت داریم باید قبل از اینکه به این فکر باشیم که در راه چه چیزی بخوریم بهتر است اول به فکر اتومبیل و جاده باشیم و ایمنی آن را در نظر بگیریم. در مورد اینترنت که بستر آن بزرگراه نام دارد بهتر است قبل از حرکت روی مسئله امنیت آن توجه کنیم و دولت می تواند روی این مسئله نقش جدی داشته باشد و هم روی مسئله اصلی که ورودی و خروجی اینترنت است و هم در سطوح دیگر. به عنوان نمونه در مورد حمایت از بخش خصوصی که اگر دولت این کارها را انجام ندهد در آینده حتماً ضرر می کنیم چرا که شاید الان ما اطلاعات باارزشی نداشته باشیم که نگران و ناراحت از دست دادن آن باشیم ولی اگر زمانی اطلاعات باارزشی داشته باشیم که بخواهیم به صورت آن لاین در اختیار متقاضیان قرار بگیرد مطمئن باشید اگر آن سیستم تنها یک ساعت به دلیلی از کار بیفتد کل مسیر طی شده برمی گردد به نقطه شروع، یعنی تمام مسیری که با زحمت به جلو سوق داده ایم در یک لحظه از دست می دهیم.
امنیت دامنه های ایرانی
دامنه اینترنتی از جمله بخش های مهم یک سایت اینترنتی به حساب می آید و نگهداری و حفظ امنیت آن به اندازه حفظ امنیت خود محتوای سایت ها و چه بسا بیشتر اهمیت دارد. شاید بتوان گفت در صورت بروز هرگونه اتفاق برای محتوای یک سایت می توان به بازگشت آن محتوا و یا بازآوری اطلاعات از دست رفته اقدام کرد در حالی که در صورتی که یک دامنه اینترنتی از دست برود به دست آوردن مجدد آن محتاج طی کردن فرآیندهای قضایی بین المللی دشوار و طولانی است. به همین جهت نگهداری از یک دامنه اینترنتی خصوصاً برای بخش های دولتی بسیار مهم و حساس است. طی سال های اخیر بسیاری از سایت های دولتی ایرانی با دامنه های ایرانی ir. فعالیت می کنند که همین موضوع امنیت آن را تا حد زیادی بالا می برد. به رغم این حتی در مورد دامنه های فارسی نیز نمی توان به نحو کامل اطمینان خاطر داشت چرا که امکان بروز کوچکترین اشتباه می تواند منجر به اتفاقات بسیار ناگواری شود.
چندی قبل دسترسی یک فرد به اطلاعات دامنه یک سازمان دولتی باعث شد تا سایت این سازمان با مشکل شدید مواجه شود. این موضوع باعث شد تا موضوع امنیت پایین دامنه های فارسی مورد بحث قرار گیرد. دکتر سیاوش شهشهانی مدیر دامنه های فارسی در این باره می گوید: امنیت دامنه های ir. در حد مطلوبی است و تاکنون گزارشی مبنی بر نفوذ یا تهاجم نداشته ایم. در چند ماه اخیر تنها به یک مورد در یکی از سازمان ها که تصور می شد، نفوذی به داخل سایت آن سازمان شده است برخوردیم، اما پس از بررسی، مشخص شد فردی خارج از سازمان به پسورد مسئول فنی آن دسترسی پیدا کرده بود و این مسئله ربطی به دامنه ir. نداشت. به گفته وی دامنه های .ir در مقایسه با دامنه هایی مانند com، net و org از امنیت بالایی برخوردارند، حتی گاهی دیده شده که برخی از این دامنه ها مورد تهاجم قرار گرفته اند اما درباره دامنه های ir. در چند سال اخیر تاکنون هیچ مورد نفوذ یا تهاجمی گزارش نشده است.
موضوع دیگر در زمینه دامنه سایت های دولتی این است که با بی تجربگی مدیر فنی یک سازمان و یا سایت دولتی این دامنه ها از سوی شرکت هایی خریداری می شوند که به بهانه ارائه دامنه ارزان تر کیفیت نامناسبی را ارائه می دهند. چند سال قبل ده ها دامنه اینترنتی سایت های دولتی ایران در جریان یک حمله اینترنتی به کنترل یک گروه خرابکار افتاد. در جریان بررسی ها مشخص شد که این دامنه ها به دلیل ارزان بودن از یک شرکت چینی، فروش دامنه خریداری شده اند. هر چند این شرکت هر دامنه را به نسبت شرکت های دیگر بسیار ارزان تر در اختیار مشتریان خود می گذارد اما ضعف امنیتی آن کاملاً جبران کننده قیمت پایین آن است و ممکن است ضررهای هنگفتی را به بخش های دولتی وارد سازد.
یک کارشناس دامنه های اینترنتی در این باره می گوید: موضوع دامنه های اینترنتی از اهمیت بسیار بالایی در امنیت یک سایت برخوردار است و این متاسفانه چیزی است که بسیاری از مدیران سایت های دولتی به آن توجهی نمی کنند. در این زمینه بروز مشکل متاسفانه در اغلب اوقات ضربات جبران ناپذیر و یا بسیار سنگینی را به مجموعه خصوصاً دولتی وارد می کند و از این رو توجه به امنیت یک دامنه بسیار مهم است. در این زمینه اغلب توصیه می شود که سایت های دولتی به یک دامنه قانع نباشند و چندین دامنه را برای مواقع خاص و بحرانی به صورت رزرو در اختیار داشته باشند.
ارزیابی امنیتی میزبان های خارجی
در حالی که همچنان استقبال از میزبان های وب خارجی در میان بخش های دولتی و خصوصی ما رواج دارد آنچه در این میان به عنوان مشکل گریبانگیر بسیاری از سایت ها و مسئولان آنها است، عدم شناخت نسبت به میزبان های وب خارجی از نظر امنیت است. عرضه بسیاری از سرورهای خارجی به مشتریان ایرانی اغلب بدون هیچ اطمینان و یا گارانتی خاصی صورت می گیرد. در بسیاری از اوقات شرکت های میزبان وب ایرانی که هاست (HOST) را به صورت عمده از شرکت های خارجی خریده و آن را به صورت قطعه قطعه در اختیار مشتریان ایرانی خود قرار می دهند برای کاهش هزینه های خود از بسیاری امکانات امنیتی و کاربردی چشم پوشی می کنند و همین باعث می شود که ضریب امنیت سایت تا حد زیادی کاهش پیدا کند. در بررسی که چند ماه قبل توسط یک گروه امنیتی از سایت های دولتی صورت گرفته بود مشخص شد قریب به ۷۰ درصد از سایت های دولتی ایران مشکل امنیتی دارند. با توجه به اینکه در بسیاری اوقات این ضعف های امنیتی به اطلاع مدیران سازمان ها و نهادهای دولتی نمی رسند اغلب در مواقعی بروز می یابند که یک حمله اینترنتی صورت گرفته باشد. بر این اساس مشکل اصلی آنجا است که مسئولان سایت ها و نهادهای دولتی حتی اگر از این ضعف اطلاعی داشته باشند نحوه رفع آن را نمی دانند و یا اساساً در هنگام خرید فضای اینترنتی نحوه تست امنیتی آن را نمی دانند.
اوایل امسال در نخستین جلسه کمیسیون امنیت فضای تبادل اطلاعات (افتا) استان تهران، موضوع ارزیابی امنیتی هاست های خارجی در دستور کار قرار گرفت. این کمیسیون به منظور حمایت از کاربران و سایت های داخلی که در خارج از کشور و روی سرورهای خارجی میزبان می شوند طی طرحی ارزیابی امنیتی آنها را در دستور کار خود قرار داد و بر این اساس قرار است نسبت به آگاه سازی شرکت ها، کاربران و سایت های داخلی در انتخاب سرورهای مناسب اقدام کنند. هر چند هنوز از نوع این آگاه سازی و شیوه اجرای این تست امنیتی اطلاعاتی در دسترس نیست اما به نظر می رسد حداقل این موضوع باعث می شود که انتخاب آگاهانه ای نسبت به تعیین سرور یک سایت در اختیار مدیران سایت ها باشد و صرفاً از روی تبلیغات اقدام به خرید نکنند.
شاید چنین ارزیابی را از جهتی دیگر بتوان برای همه سایت های ایرانی نیز انجام داد و به نوعی متوجه شد کدام سایت های دولتی و حتی غیردولتی از امنیت کافی برخوردارند و کدام یک دارای ضعف هستند. نکته ای که در این زمینه مطرح است استفاده از نرم افزارهای غیراصل در سرورهای خارجی است. با توجه به اینکه بسیاری از شرکت های ایرانی به هیچ روی اقدام به خرید نسخه های اصل نرم افزارهای اینترنتی نمی کنند و در سرورهای خارجی نیز امکان استفاده از نسخه های کپی و غیراصل وجود ندارد در بسیاری از اوقات نرم افزارهای استفاده شده در سرورهای خارجی در حد نسخه های ابتدایی و آسیب پذیر باقی می مانند و این موضوع باعث می شود که ضریب نفوذ آنها در مقابل حملات اینترنتی افزایش یابد.
مدیر یکی از شرکت های میزبان وب ایرانی می گوید: سرورهای خارجی در بسیاری اوقات اجازه نصب نرم افزارهای مهم امنیتی را که ما به صورت قفل شکسته از بازار تهیه می کنیم نمی دهد البته در اغلب مواقع چنین موضوعی از سوی کاربران و مدیران سایت ها حس نمی شود و تنها با یک تست دقیق امنیتی این موضوع قابل دریافت است اما در واقع همین نقاط ضعف نرم افزاری می تواند زمینه را برای برنامه ریزی یک حمله اینترنتی آماده کند. حل این مشکل شاید چندان به مدیران سایت ها و شرکت های میزبان وب مربوط نباشد و بیشتر به حل موضوع کپی رایت و خرید نرم افزارهای اصل مرتبط شود اما واقعیت این است که حتی اگر امروزه یک شرکت میزبان وب بخواهد با خرید نسخه های اصل نسبت به ارتقای سیستم خود اقدام کند سایت های دولتی و حتی خصوصی توجیه این افزایش قیمت را نمی پذیرند و بلافاصله به انتقال فضای اینترنتی خود به یک شرکت دیگر و ارزان تر اقدام می کنند. این در واقع یک مشکل عمومی در این زمینه است.
نگرانی درباره وضعیت سایت های دولتی ایران در حالی رو به افزایش است که اخیراً موجی از پرتال سازی و سایت سازی بخش های دولتی را دربرگرفته است. هر چند تا قبل از این بسیاری از سازمان ها و نهادهای دولتی عملاً به سمت ایجاد سایت اینترنتی نمی آمدند و رغبتی برای حضور آن لاین نشان نمی دادند اما اخیراً نوعی هجوم برای ایجاد سایت و یا پرتال از سوی دولت دیده می شود که از یک سو این هجوم را باید به فال نیک گرفت و از سوی دیگر باید این پرسش را مطرح کرد که آیا امنیت نیز در برنامه های پرتال سازی و سایت سازی جایگاهی دارد یا خیر.