تفریحی به نام هـک

سونیتا سراب‌پور

چند سال پیش بود که هک سایت دانشگاه توسط یکی از بچه‌های دانشجو مثل بمب در دانشگاه صدا کرد. خبری که علاوه بر تعجب از هک سایت یک دانشگاه تعجب دیگری را هم به دنبال داشت و آن اینکه سایت توسط کسی هک شده بود که هیچ کس و شاید خودش هم در مرحله اول فکر نمی‌کرد که توانایی انجام این کار را داشته باشد. از وقوع این اتفاق سال‌ها سپری شده بود و از آن زمان تاکنون دو سال سپری شده، دانشگاه بارها آدرس سایت را به دلیل هک‌های مجدد تغییر داده بود. حوصله درس خواندن ندارید با خودتان فکر می‌کنید چه می‌شد من هم می‌ توانستم سایت دانشگاه را هک و با تغییر نمره‌های درسی، خود را از شر درس خواندن خلاص کنم. این فکر مثل خوره تا چند روز مغزتان را می‌خورد تا اینکه به طور کاملا تصادفی با یک CD آموزش هک سایت آشنا می‌شوید. با کمک این CD آموزشی و استفاده از تجربه دیگر دوستان در هک سایت، برای نفوذ به سایت دانشگاه دست به کار می‌شوید. بعد از چند ساعت و با کمترین مشکل می‌توانید وارد فایل شخصی‌تان شوید و نمراتتان را تغییر دهید. حتی به فایل دانشجویان دیگر هم دست پیدا می‌کنید و نمرات هر کدام از آنها را با توجه به میل‌تان کم و زیاد می‌کنید.

چند روز بعد تمامی عملیاتی را که آن روز انجام داده‌اید با شوق و ذوق فراوان برای دوستانتان تعریف می‌کنید. در حال توضیح مراحل نفوذ به سایت هستید که صدایی از بلندگو شما را به کمیته انضباطی دعوت می‌کند. در مسیر به این فکر می‌کنید که کار اشتباهی نکرده‌اید، چرا که مناسب نبودن طراحی سایت باعث شده که شما به فکر هک آن باشید.

هک از روی کنجکاوی

هک سایت‌های دانشگاه در حال حاضر به تفریح هیجان‌انگیز برای برخی از دانشجویان دانشگاه‌ها تبدیل شده است. به طوری که اگر یک بار جمله «هک‌سایت دانشگاه‌ها» را در مرورگر مورد نظر خود جست‌وجو کنید با حجم عظیمی از لینک‌هایی روبه‌رو خواهید شد که در آن نام سایت هک شده دانشگاه‌های مختلف کشور به چشم می‌خورد. سایت دانشگاه آزاد واحد تهران شمال و جنوب، سایت دانشگاه علوم کشاورزی و منابع طبیعی گرگان، سایت دانشگاه شهید بهشتی، سایت دانشگاه شیراز، ایلام و ... از جمله سایت‌های دانشگاهی هستند که در چند سال گذشته مورد حمله و هک دانشجویان قرار گرفته‌اند. همچنین در آخرین اقدام، هفته گذشته چند دانشجو با نفوذ به سایت یکی از واحدهای دانشگاه پیام نور، توانسته بودند نمرات پایان ترم خود را تغییر دهند.

ادامه این روند باعث شده است تا وزارت علوم برنامه ویژه‌ای را برای جلوگیری از هک شدن سایت‌های دانشگاهی در نظر بگیرد. برنامه‌ای که هدفش ایجاد راهکار برای مقابله با هکرها است.

امید فاطمی، دبیر شورای فن‌آوری اطلاعات وزارت علوم، تحقیقات و فن‌آوری در خصوص پروژه جدید این وزارتخانه می‌گوید: «در شورای آی‌تی پروژه‌ای را تحت عنوان امنیت سایت‌های دانشگاه‌ها طراحی کرده‌ایم که نتایج اولیه آن استخراج و به دانشگاه‌ها ارسال شده است. این پروژه‌ راهکارهای مواجهه با مشکلات امنیتی مانند هک کردن، انواع سوراخ‌های امنیتی و نحوه برنامه‌ریزی صحیح برای جلوگیری از چنین مشکلاتی را به دانشگاه‌ها ارائه می‌دهد.»

فاطمی در ادامه اظهار می‌دارد: «دانشگاه‌ها باید دارای نسخه پشتیبان منظمی باشند به طوری که نفوذ در سایت آسان نباشد بر همین اساس، وزارت علوم استانداردهای امنیتی خاصی را به دانشگاه‌ها ابلاغ کرده است.» وی یادآور می‌شود که شورای آی‌تی نقش کمکی و راهنمایی‌کننده را برای دانشگاه‌ها ایفا می‌کند و این پروژه بیشتر مخصوص دانشگاه‌های وابسته به وزارت علوم است. همچنین اگر این طرح با موفقیت اجرا شد، وزارت علوم قادر خواهد بود خروجی‌‌های این پروژه را در اختیار دانشگاه‌های دیگر کشور، همچون آزاد قرار دهد.

اما سوال اصلی که در اینجا طرح می‌شود این است که دلیل اصلی اینکه یک سایت توسط دانشجویان یک دانشگاه یا یک فرد ۱۶ ساله مورد حمله قرار می‌گیرد چیست؟ برخی علت این امر را ناآگاهی مسوولان مربوطه در بخش فناوری اطلاعات و ارتباطات دانشگاه‌ها می‌دانند و برخی دیگر کنجکاوی دانشجویان را عامل اصلی معرفی می‌کنند. امین خسروشاهی، مسوول شبکه دانشگاه صنعتی شریف در این خصوص می‌گوید: «افزایش هک‌ سایت در میان دانشجویان دانشگاه‌های مختلف به روحیه ماجراجویانه آن‌ها برمی‌گردد. در واقع آن‌ها می‌خواهند با این کار تفریح و با چیزی دست و پنجه نرم کنند البته باید گفت که اکثر آن‌ها احساس نمی‌کنند که کار خطایی انجام می‌دهند و از روی ناآگاهی دست به این کارها می‌زنند.» خسروشاهی در ادامه علت به وجود آمدن چنین وضعیتی را به ضعف اجرای قوانین در کشور ارتباط می‌دهد و می‌افزاید: «در کشور ما قوانین خاصی برای مبارزه با این افراد وجود ندارد اگر هم قوانینی در این حوزه تدوین شده باشد، ضمانت اجرایی قوی نخواهد داشت. در واقع اگر ضمانت اجرایی وجود نداشته باشد مجرم این احساس را خواهد داشت که در فضای مجازی به راحتی می‌تواند دست به انجام هر کاری بزند.»

وی عامل دیگر هک سایت‌های دانشگاه را به ضعف طراحی سایت ارتباط می‌دهد و اظهار می‌دارد: «بسیاری از سایت‌های دانشگاه‌ها با هزینه کم و بدون استفاده از نیروی متخصص طراحی شده است. آنچه که در حال حاضر در جامعه اطلاعاتی دیده می‌شود این است که خیلی از مدیران می‌بینند که در حال حاضر نیاز به اطلاع‌رسانی دارند، پس تصمیم می‌گیرند که یک سایت با هر امکاناتی را طراحی و مبلغی را هم برای نگهداری از آن هزینه کنند، اما در این بین به مسائل دیگر مثل امنیت فکر نمی‌کنند. در واقع آن‌ها به این نتیجه نمی‌رسند که همان طور که برای یک سایت هزینه‌ای را در نظر گرفته‌اند، باید هزینه‌ جداگانه‌ای را هم برای حفاظت از اطلاعات آن در نظر بگیرند.» خسروشاهی در ادامه اضافه می‌کند که در بسیاری از مواقع هم مشکل هک کردن سایت به سرویس‌دهندگان آن سایت نیز برمی‌گردد که یا دانش کافی ندارند یا اینکه ملاحظات لازم را اجرا نمی‌کنند.

کلاه سفیدان خیرخواه

هک کردن و مسدود شدن سایت‌ها تنها مربوط به دانشگاه‌ها نمی‌شود. در واقع موضوع امنیت سایت‌ها نه تنها در دانشگاه‌ها بلکه در بخش‌های آی‌تی دستگاه‌های دولتی ایران نیز چندان جدی گرفته نمی‌شود. بررسی‌های انجام گرفته از سوی کمیسیون افتای سازمان نظام صنفی رایانه‌های کشور نشان می‌دهد که از ۱۳۰ سایت سازمانی در سال گذشته حداکثر ۱۱۰ سایت نفوذپذیر بوده‌اند. این یعنی ۹۰درصد پورتال‌های دولتی ایران در برابر حملات هکرها آسیب پذیرند.

از جمله سایت‌های مهمی که در چند سال گذشته هک شده است می‌توان به سایت مجلس خبرگان، سایت وزارتخانه‌های اصلی کشور، سایت برخی خبرگزاری‌ها و... اشاره کرد. همچنین دستبرد به دامنه وب سایت‌های مهم از شیوه‌های دیگر اختلال اینترنتی است که نمونه برجسته آن سرقت دامنه انتخاباتی ایران، متعلق به وزارت کشور بوده است. جالب است که برخی از این سایت‌ها که توسط افراد مختلف هک یا مسدود شده‌اند هدفی جز خرابکاری نداشته‌اند. اما در این بین گروه‌هایی هم دیده می‌شوند که هدفشان هشدار به سازمان‌ها برای برطرف کردن مشکلات امنیتی سایت‌هایشان است.

این گروه را در زمره گروه هکرهای کلاه سفید طبقه‌بندی کرده‌اند. هکرهایی که با دانش خود از سد موانع امنیتی یک شبکه می‌گذرند اما اقدام خرابکارانه‌ای انجام نمی‌دهند. خسروشاهی در خصوص هک سایت‌های دولتی در چند سال گذشته می‌گوید: «وضعیتی که در چند سال گذشته شاهد آن بودیم نشان می‌دهد که زیرساخت‌های فناوری اطلاعات ایران به لحاظ امنیتی و دفاعی بسیار آسیب‌پذیر است و در صورتی که حملات سامان‌مندی از سوی هکرهای خارجی به سایت‌های دولتی ایران صورت بگیرد، تدابیر پیشگیرانه‌ دفاعی مناسبی اتخاذ نشده است.»

وی معتقد است که هر سازمانی برای حفظ امنیت سایت‌های خود باید استانداردهای امنیتی خاصی را تدوین کند و افراد آن سازمان را ملزم به پیروی از آن استاندارد کند. اما چیز جالبی که در این بین دیده می‌شود این است که در حال حاضر در اکثر سایت‌ها، هک‌کردن سایت‌ها آموزش داده می‌شود یا CD های آموزشی آن به راحتی در اختیار افراد قرار می‌گیرد که این وضعیت می‌تواند امنیت اطلاعات سایت‌های کشور را هرچه بیشتر به خطر بیاندازد. اما برخی کارشناسان معتقدند که این CD های آموزشی کارآیی چندانی ندارد و نمی‌تواند افراد را به هکرهای حرفه‌ای تبدیل کند. به باور این کارشناسان بیشتر کسانی که در ایران مبادرت به هک‌ سایت‌ها می‌کنند، هدف علمی و تحقیقاتی ندارند و به دنبال دستاوردهای امنیتی هم نیستند. برخی به علت بیکاری و برخی نیز برای ارضای حس کنجکاوی و ورود به حریم خصوصی دیگران، اقدام به هک‌کردن ایمیل‌ها و سایت‌ها می‌کنند. اما تمام این عوامل می‌تواند جرقه‌ای باشد تا همین هکرهای نیمه حرفه‌ای به هکرهای حرفه‌ای تبدیل شوند و امنیت اطلاعات سایت‌های کشور را دچار اختلال کنند. همه سال در اکثر کشورهای پیشرفته سیاست‌های امنیت اطلاعاتی مشخصی تدوین و به اجرا گذاشته می‌شود. در کشور ما نیز چندی پیش، سیاستی مبنی بر امنیت فضای تبادل اطلاعات (افتا) تدوین شد که از ابلاغ آن به تمام داستگاه‌های دولتی، بیش از ۴ سال سپری شده است. در آغاز ابلاغ این طرح، اقداماتی از سوی برخی سازمان‌های دولتی برای اجرای سیاست‌های طرح (افتا) انجام و مناقصاتی نیز در این زمینه آماده و اعلام شده، اما هم‌اکنون یا این طرح به فراموشی سپرده شده یا اینکه مسیر دیگری جز طرح افتا را طی کرده است.