افزایش حملات اینترنتی دانشجویان به سایت دانشگاهها
تفریحی به نام هـک
چند سال پیش بود که هک سایت دانشگاه توسط یکی از بچههای دانشجو مثل بمب در دانشگاه صدا کرد. خبری که علاوه بر تعجب از هک سایت یک دانشگاه تعجب دیگری را هم به دنبال داشت و آن اینکه سایت توسط کسی هک شده بود که هیچ کس و شاید خودش هم در مرحله اول فکر نمیکرد که توانایی انجام این کار را داشته باشد.
سونیتا سرابپور
چند سال پیش بود که هک سایت دانشگاه توسط یکی از بچههای دانشجو مثل بمب در دانشگاه صدا کرد. خبری که علاوه بر تعجب از هک سایت یک دانشگاه تعجب دیگری را هم به دنبال داشت و آن اینکه سایت توسط کسی هک شده بود که هیچ کس و شاید خودش هم در مرحله اول فکر نمیکرد که توانایی انجام این کار را داشته باشد. از وقوع این اتفاق سالها سپری شده بود و از آن زمان تاکنون دو سال سپری شده، دانشگاه بارها آدرس سایت را به دلیل هکهای مجدد تغییر داده بود. حوصله درس خواندن ندارید با خودتان فکر میکنید چه میشد من هم می توانستم سایت دانشگاه را هک و با تغییر نمرههای درسی، خود را از شر درس خواندن خلاص کنم. این فکر مثل خوره تا چند روز مغزتان را میخورد تا اینکه به طور کاملا تصادفی با یک CD آموزش هک سایت آشنا میشوید. با کمک این CD آموزشی و استفاده از تجربه دیگر دوستان در هک سایت، برای نفوذ به سایت دانشگاه دست به کار میشوید. بعد از چند ساعت و با کمترین مشکل میتوانید وارد فایل شخصیتان شوید و نمراتتان را تغییر دهید. حتی به فایل دانشجویان دیگر هم دست پیدا میکنید و نمرات هر کدام از آنها را با توجه به میلتان کم و زیاد میکنید.
چند روز بعد تمامی عملیاتی را که آن روز انجام دادهاید با شوق و ذوق فراوان برای دوستانتان تعریف میکنید. در حال توضیح مراحل نفوذ به سایت هستید که صدایی از بلندگو شما را به کمیته انضباطی دعوت میکند. در مسیر به این فکر میکنید که کار اشتباهی نکردهاید، چرا که مناسب نبودن طراحی سایت باعث شده که شما به فکر هک آن باشید.
هک از روی کنجکاوی
هک سایتهای دانشگاه در حال حاضر به تفریح هیجانانگیز برای برخی از دانشجویان دانشگاهها تبدیل شده است. به طوری که اگر یک بار جمله «هکسایت دانشگاهها» را در مرورگر مورد نظر خود جستوجو کنید با حجم عظیمی از لینکهایی روبهرو خواهید شد که در آن نام سایت هک شده دانشگاههای مختلف کشور به چشم میخورد. سایت دانشگاه آزاد واحد تهران شمال و جنوب، سایت دانشگاه علوم کشاورزی و منابع طبیعی گرگان، سایت دانشگاه شهید بهشتی، سایت دانشگاه شیراز، ایلام و ... از جمله سایتهای دانشگاهی هستند که در چند سال گذشته مورد حمله و هک دانشجویان قرار گرفتهاند. همچنین در آخرین اقدام، هفته گذشته چند دانشجو با نفوذ به سایت یکی از واحدهای دانشگاه پیام نور، توانسته بودند نمرات پایان ترم خود را تغییر دهند.
ادامه این روند باعث شده است تا وزارت علوم برنامه ویژهای را برای جلوگیری از هک شدن سایتهای دانشگاهی در نظر بگیرد. برنامهای که هدفش ایجاد راهکار برای مقابله با هکرها است.
امید فاطمی، دبیر شورای فنآوری اطلاعات وزارت علوم، تحقیقات و فنآوری در خصوص پروژه جدید این وزارتخانه میگوید: «در شورای آیتی پروژهای را تحت عنوان امنیت سایتهای دانشگاهها طراحی کردهایم که نتایج اولیه آن استخراج و به دانشگاهها ارسال شده است. این پروژه راهکارهای مواجهه با مشکلات امنیتی مانند هک کردن، انواع سوراخهای امنیتی و نحوه برنامهریزی صحیح برای جلوگیری از چنین مشکلاتی را به دانشگاهها ارائه میدهد.»
فاطمی در ادامه اظهار میدارد: «دانشگاهها باید دارای نسخه پشتیبان منظمی باشند به طوری که نفوذ در سایت آسان نباشد بر همین اساس، وزارت علوم استانداردهای امنیتی خاصی را به دانشگاهها ابلاغ کرده است.» وی یادآور میشود که شورای آیتی نقش کمکی و راهنماییکننده را برای دانشگاهها ایفا میکند و این پروژه بیشتر مخصوص دانشگاههای وابسته به وزارت علوم است. همچنین اگر این طرح با موفقیت اجرا شد، وزارت علوم قادر خواهد بود خروجیهای این پروژه را در اختیار دانشگاههای دیگر کشور، همچون آزاد قرار دهد.
اما سوال اصلی که در اینجا طرح میشود این است که دلیل اصلی اینکه یک سایت توسط دانشجویان یک دانشگاه یا یک فرد ۱۶ ساله مورد حمله قرار میگیرد چیست؟ برخی علت این امر را ناآگاهی مسوولان مربوطه در بخش فناوری اطلاعات و ارتباطات دانشگاهها میدانند و برخی دیگر کنجکاوی دانشجویان را عامل اصلی معرفی میکنند. امین خسروشاهی، مسوول شبکه دانشگاه صنعتی شریف در این خصوص میگوید: «افزایش هک سایت در میان دانشجویان دانشگاههای مختلف به روحیه ماجراجویانه آنها برمیگردد. در واقع آنها میخواهند با این کار تفریح و با چیزی دست و پنجه نرم کنند البته باید گفت که اکثر آنها احساس نمیکنند که کار خطایی انجام میدهند و از روی ناآگاهی دست به این کارها میزنند.» خسروشاهی در ادامه علت به وجود آمدن چنین وضعیتی را به ضعف اجرای قوانین در کشور ارتباط میدهد و میافزاید: «در کشور ما قوانین خاصی برای مبارزه با این افراد وجود ندارد اگر هم قوانینی در این حوزه تدوین شده باشد، ضمانت اجرایی قوی نخواهد داشت. در واقع اگر ضمانت اجرایی وجود نداشته باشد مجرم این احساس را خواهد داشت که در فضای مجازی به راحتی میتواند دست به انجام هر کاری بزند.»
وی عامل دیگر هک سایتهای دانشگاه را به ضعف طراحی سایت ارتباط میدهد و اظهار میدارد: «بسیاری از سایتهای دانشگاهها با هزینه کم و بدون استفاده از نیروی متخصص طراحی شده است. آنچه که در حال حاضر در جامعه اطلاعاتی دیده میشود این است که خیلی از مدیران میبینند که در حال حاضر نیاز به اطلاعرسانی دارند، پس تصمیم میگیرند که یک سایت با هر امکاناتی را طراحی و مبلغی را هم برای نگهداری از آن هزینه کنند، اما در این بین به مسائل دیگر مثل امنیت فکر نمیکنند. در واقع آنها به این نتیجه نمیرسند که همان طور که برای یک سایت هزینهای را در نظر گرفتهاند، باید هزینه جداگانهای را هم برای حفاظت از اطلاعات آن در نظر بگیرند.» خسروشاهی در ادامه اضافه میکند که در بسیاری از مواقع هم مشکل هک کردن سایت به سرویسدهندگان آن سایت نیز برمیگردد که یا دانش کافی ندارند یا اینکه ملاحظات لازم را اجرا نمیکنند.
کلاه سفیدان خیرخواه
هک کردن و مسدود شدن سایتها تنها مربوط به دانشگاهها نمیشود. در واقع موضوع امنیت سایتها نه تنها در دانشگاهها بلکه در بخشهای آیتی دستگاههای دولتی ایران نیز چندان جدی گرفته نمیشود. بررسیهای انجام گرفته از سوی کمیسیون افتای سازمان نظام صنفی رایانههای کشور نشان میدهد که از ۱۳۰ سایت سازمانی در سال گذشته حداکثر ۱۱۰ سایت نفوذپذیر بودهاند. این یعنی ۹۰درصد پورتالهای دولتی ایران در برابر حملات هکرها آسیب پذیرند.
از جمله سایتهای مهمی که در چند سال گذشته هک شده است میتوان به سایت مجلس خبرگان، سایت وزارتخانههای اصلی کشور، سایت برخی خبرگزاریها و... اشاره کرد. همچنین دستبرد به دامنه وب سایتهای مهم از شیوههای دیگر اختلال اینترنتی است که نمونه برجسته آن سرقت دامنه انتخاباتی ایران، متعلق به وزارت کشور بوده است. جالب است که برخی از این سایتها که توسط افراد مختلف هک یا مسدود شدهاند هدفی جز خرابکاری نداشتهاند. اما در این بین گروههایی هم دیده میشوند که هدفشان هشدار به سازمانها برای برطرف کردن مشکلات امنیتی سایتهایشان است.
این گروه را در زمره گروه هکرهای کلاه سفید طبقهبندی کردهاند. هکرهایی که با دانش خود از سد موانع امنیتی یک شبکه میگذرند اما اقدام خرابکارانهای انجام نمیدهند. خسروشاهی در خصوص هک سایتهای دولتی در چند سال گذشته میگوید: «وضعیتی که در چند سال گذشته شاهد آن بودیم نشان میدهد که زیرساختهای فناوری اطلاعات ایران به لحاظ امنیتی و دفاعی بسیار آسیبپذیر است و در صورتی که حملات سامانمندی از سوی هکرهای خارجی به سایتهای دولتی ایران صورت بگیرد، تدابیر پیشگیرانه دفاعی مناسبی اتخاذ نشده است.»
وی معتقد است که هر سازمانی برای حفظ امنیت سایتهای خود باید استانداردهای امنیتی خاصی را تدوین کند و افراد آن سازمان را ملزم به پیروی از آن استاندارد کند. اما چیز جالبی که در این بین دیده میشود این است که در حال حاضر در اکثر سایتها، هککردن سایتها آموزش داده میشود یا CD های آموزشی آن به راحتی در اختیار افراد قرار میگیرد که این وضعیت میتواند امنیت اطلاعات سایتهای کشور را هرچه بیشتر به خطر بیاندازد. اما برخی کارشناسان معتقدند که این CD های آموزشی کارآیی چندانی ندارد و نمیتواند افراد را به هکرهای حرفهای تبدیل کند. به باور این کارشناسان بیشتر کسانی که در ایران مبادرت به هک سایتها میکنند، هدف علمی و تحقیقاتی ندارند و به دنبال دستاوردهای امنیتی هم نیستند. برخی به علت بیکاری و برخی نیز برای ارضای حس کنجکاوی و ورود به حریم خصوصی دیگران، اقدام به هککردن ایمیلها و سایتها میکنند. اما تمام این عوامل میتواند جرقهای باشد تا همین هکرهای نیمه حرفهای به هکرهای حرفهای تبدیل شوند و امنیت اطلاعات سایتهای کشور را دچار اختلال کنند. همه سال در اکثر کشورهای پیشرفته سیاستهای امنیت اطلاعاتی مشخصی تدوین و به اجرا گذاشته میشود. در کشور ما نیز چندی پیش، سیاستی مبنی بر امنیت فضای تبادل اطلاعات (افتا) تدوین شد که از ابلاغ آن به تمام داستگاههای دولتی، بیش از ۴ سال سپری شده است. در آغاز ابلاغ این طرح، اقداماتی از سوی برخی سازمانهای دولتی برای اجرای سیاستهای طرح (افتا) انجام و مناقصاتی نیز در این زمینه آماده و اعلام شده، اما هماکنون یا این طرح به فراموشی سپرده شده یا اینکه مسیر دیگری جز طرح افتا را طی کرده است.
ارسال نظر