امنیت متزلزل سایتهای ایرانی
۳۰ درصد سایتهای دولتی سال گذشته هک شدند
حمله به سایت سازمان فضایی ایران توسط یک گروه هکر ایرانی به نام Persian Boys، هک یکی از بانکهای کشور توسط گروه ISCN و مشکل کاربران برای دسترسی به صفحات اصلی بانک، دستکاری سایت ماهنامه دنیای کامپیوتر و ارتباطات توسط گروهی به نام مافیا، هک چندباره سایت ایسنا توسط هکرهای خارجی و داخلی، نفوذ هکرها به سایت مجلس شورای اسلامی، نفوذ به سایت دانشگاه پیام نور و تغییر نمرهها و..... تنها بخشی از حملات سایبری به سایتهای نهادهای دولتی و آموزشی کشور است.
سونیتا سرابپور
حمله به سایت سازمان فضایی ایران توسط یک گروه هکر ایرانی به نام Persian Boys، هک یکی از بانکهای کشور توسط گروه ISCN و مشکل کاربران برای دسترسی به صفحات اصلی بانک، دستکاری سایت ماهنامه دنیای کامپیوتر و ارتباطات توسط گروهی به نام مافیا، هک چندباره سایت ایسنا توسط هکرهای خارجی و داخلی، نفوذ هکرها به سایت مجلس شورای اسلامی، نفوذ به سایت دانشگاه پیام نور و تغییر نمرهها و..... تنها بخشی از حملات سایبری به سایتهای نهادهای دولتی و آموزشی کشور است. آن طور که شواهد و آمارها نشان میدهند، ضریب ایمنی سایتهای ایرانی در مقابل عملیات خرابکارانه بسیار پایین است و همین امر باعث شده است که نام ایران در میان ۵۰ کشور برتر در زمینه هک سایتها قرار بگیرد. همچنین پلیس آگاهی ناجا، بخش جرائم رایانهای نیز خبر از کشف حدود ۶۷ مورد مشکوک جرم رایانهای توسط گشتهای اینترنتی در سال گذشته دادهاند و اعلام کردهاند که سهم سایتهای دولتی از نفوذ غیرمجاز اینترنتی در سال ۸۷، ۳۱ درصد و سایتهای غیردولتی ۶۹ درصد بوده است. با توجه به این شرایط و هشدارهایی که کارشناسان بخش فناوری اطلاعات به مسوولان سازمانها در خصوص چارهاندیشی برای افزایش ایمنی سایتهای ایرانی دادهاند، اما تا کنون به جز چند طرح و پروژه نیمهکاره و یا فراموش شده فعالیت زیادی در این زمینه دیده نشده است.
عدم توجه سازمانها به امنیت فضای سایبر
بیتوجهی سازمانها و نهادهای دولتی و غیردولتی برای افزایش امنیت سایتهای خود باعث شده که این روزها هک کردن سایتها به یک تفریح مفرح برای برخی از دوستداران دنیای کامپیوتر تبدیل شود، به طوری که اگر یک بار کلمه «هک» را در مرورگر خود جستوجو کنید با حجم عظیمی از لینکهایی روبهرو خواهید شد که در آن نام سایتهای هک شده در کشور چه از خارج و چه از داخل دیده میشود.
بررسیهای انجام گرفته از سوی کمیسیون افتای سازمان نظام صنفی رایانههای کشور نشان میدهد که از ۱۳۰ سایت سازمانی در سال گذشته حداکثر ۱۱۰ سایت نفوذپذیر بودهاند. این یعنی ۹۰درصد پورتالهای دولتی ایران در برابر حملات هکرها آسیبپذیرند.
از جمله سایتهای مهمیکه در چند سال گذشته هک شده است، میتوان به سایت مجلس خبرگان، سایت وزارتخانههای اصلی کشور، سایت برخی خبرگزاریها و... اشاره کرد. همچنین دستبرد به دامنه وبسایتهای مهم از شیوههای دیگر اختلال اینترنتی است که نمونه برجسته آن سرقت دامنه انتخاباتی ایران، متعلق به وزارت کشور بوده است. جالب است که برخی از این سایتها که توسط افراد مختلف هک یا مسدود شدهاند، هدفی جز خرابکاری نداشتهاند و برخی دیگر قصدی جز هشدار نداشتهاند. به باور کارشناسان متاسفانه در ایران به مقوله امنیت سایت کمترین اهمیت داده میشود، به خصوص سایتهای دولتی که با وجود اهمیت دادههای موجود در آن هزینهای برای امنیت سایت پرداخت نمیشود.
پاشا ناصرآبادی، کارشناس حوزه فناوری اطلاعات و دبیر همایش امنیت و دولت الکترونیک در خصوص امنیت سایتهای ایرانی میگوید: «بسیاری از سایتهای مهم کشور را که باید دارای ضریب ایمنی بالا باشد، با یک داس اتک (حمله به سرور از طریق داس- dos attack) ساده در عرض چند ثانیه میتوان از کار انداخت.»
ناصرآبادی به مشخصات سایتهای هک شده اشاره کرده و میافزاید: «همیشه کاربران از هک شدن یک سایت مطلع نمیشوند؛ چراکه گاهی هک برای یک دقیقه است یا مثلا در ساعت ۲۴ اتفاق میافتد که بلافاصله برای رفع آن اقدام میشود. ولی با مراجعه با سایت Zone-h میتوان از هک شدن سایتها در دنیا مطلع شد.» وی در ادامه با اشاره به برخی از اخبار در زمینه هک همزمان ۵۰۰ سایت، اظهار میکند که معمولا روی یک سرور بیش از ۴۰۰ سایت قرار دارد و اگر حتی یکی از این سایتها از نظر امنیتی مشکل داشته باشد، به راحتی میتوان همه سایتها را هک کرد.
این کارشناس امنیت اطلاعات با اشاره به اقدام دولت در زمینه ارائه خدمات الکترونیکی اضافه میکند که ما هیچ چارهای به جز الکترونیکی کردن خدمات نداریم، از این رو باید قبل از هر چیز زیرساختهای امنیتی سایتها را فراهم کنیم.
ناصرآبادی با یادآوری این نکته که نرمافزارهای مورد استفاده در سازمانها و شرکتها، مجهز به سیستمهای ایمنی و حفاظتی نیستند، میافزاید: «برای مثال نرمافزارهای مورد استفاده در اکثر سازمانها قابلیت پشتیبانی از امضای دیجیتالی را ندارند. ارگانهای دولتی وقتی به سمت ارائه خدمات الکترونیک میروند باید ملزم به تجهیز پشتیبانی از امضای دیجیتالی شوند و توانمندسازی سازمانها در مقابل اقدامات خرابکارانه داخلی در اولویت کاری آنها قرار گیرد.» بر اساس اظهارات این کارشناس در زمینه آموزش کاربران اینترنت نیز اقدام مناسبی صورت نگرفته است و در دورههای آموزش کامپیوتر و اینترنت نیز هیچ اشارهای به روشهای حفظ امنیت اطلاعات نمیشود. برای مثال به کاربران در مورد حفظ امنیت ایمیل و اینکه وارد چه سایتهایی نشوند و روی چه لینکی کلیک نکنند، آموزشی داده نمیشود. به اعتقاد این کارشناس موضوع حفظ امنیت اطلاعات در فضای سایبر باید در کتابهای درسی دانشگاهها و دورههای آموزشی گنجانده شود.
هک تنها برای هشدار
به جز اینکه برخی از هکرها هدفی جز تخریب و صدمه زدن به سازمان یا نهادی را دنبال نمیکنند؛ اما در این بین گروههایی هم دیده میشوند که هدفشان هشدار به سازمانها برای برطرف کردن مشکلات امنیتی سایتهایشان است. این گروه را در زمره گروه هکرهای کلاه سفید طبقهبندی کردهاند. هکرهایی که با دانش خود از سد موانع امنیتی یک شبکه میگذرند؛ اما اقدام خرابکارانهای انجام نمیدهند. هک سایت انتخاباتی مجلس شورای اسلامی که در یک فراخوان مورد آزمایش قرار گرفته بود یکی از این نوع هکها بود. گفته میشود هک شدن این سایت بسیار ساده و آسان و توسط یک برنامه نویس مبتدی انجام شده است که این اتفاق میزان امنیت یک سایت دولتی را نشان میدهد.
امین خسروشاهی، مسوول شبکه دانشگاه صنعتی شریف، در این خصوص میگوید: «وضعیتی که در چند سال گذشته شاهد آن بودیم، نشان میدهد که زیرساختهای فناوری اطلاعات ایران به لحاظ امنیتی و دفاعی بسیار آسیبپذیر است و در صورتی که حملات سامانمندی از سوی هکرهای خارجی به سایتهای دولتی ایران صورت بگیرد، تدابیر پیشگیرانه دفاعی مناسبی اتخاذ نشده است.»
وی معتقد است که هر سازمانی برای حفظ امنیت سایتهای خود باید استانداردهای امنیتی خاصی را تدوین کند و افراد آن سازمان را ملزم به پیروی از آن استاندارد کند.
اما چیز جالبی که در این بین دیده میشود، این است که در حال حاضر در اکثر سایتها، هک کردن سایتها آموزش داده میشود یا CDهای آموزشی آن به راحتی در اختیار افراد قرار میگیرد که این وضعیت میتواند امنیت اطلاعات سایتهای کشور را هرچه بیشتر به خطر بیاندازد. اما برخی کارشناسان معتقدند که این CDهای آموزشی کارآیی چندانی ندارد و نمیتواند افراد را به هکرهای حرفهای تبدیل کند. به باور این کارشناسان بیشتر کسانی که در ایران مبادرت به هک سایتها میکنند، هدف علمی و تحقیقاتی ندارند و به دنبال دستاوردهای امنیتی هم نیستند.
برخی به علت بیکاری و برخی نیز برای ارضای حس کنجکاوی و ورود به حریم خصوصی دیگران، اقدام به هککردن ایمیلها و سایتها میکنند. اما تمام این عوامل میتواند جرقهای باشد تا همین هکرهای نیمهحرفهای به هکرهای حرفهای تبدیل شوند و امنیت اطلاعات سایتهای کشور را دچار اختلال کنند.
همه سال در اکثر کشورهای پیشرفته سیاستهای امنیت اطلاعاتی مشخصی تدوین و به اجرا گذاشته میشود. در کشور ما نیز چندی پیش، سیاستی مبنی بر امنیت فضای تبادل اطلاعات (افتا) تدوین شد که از ابلاغ آن به تمام داستگاههای دولتی، بیش از ۴ سال سپری شده است. در آغاز ابلاغ این طرح، اقداماتی از سوی برخی سازمانهای دولتی برای اجرای سیاستهای طرح «افتا» انجام و مناقصاتی نیز در این زمینه آماده و اعلام شده، اما هماکنون یا این طرح به فراموشی سپرده شده یا اینکه مسیر دیگری جز طرح افتا را طی کرده است.
ارسال نظر