نام نویسنده: سونيتا سرابپور
حمله به سایت سازمان فضایی ایران توسط یک گروه هکر ایرانی به نام Persian Boys، هک یکی از بانکهای کشور توسط گروه ISCN و مشکل کاربران برای دسترسی به صفحات اصلی بانک، دستکاری سایت ماهنامه دنیای کامپیوتر و ارتباطات توسط گروهی به نام مافیا، هک چندباره سایت ایسنا توسط هکرهای خارجی و داخلی، نفوذ هکرها به سایت مجلس شورای اسلامی، نفوذ به سایت دانشگاه پیام نور و تغییر نمرهها و….. تنها بخشی از حملات سایبری به سایتهای نهادهای دولتی و آموزشی کشور است.
آن طور که شواهد و آمارها نشان میدهند، ضریب ایمنی سایتهای ایرانی در مقابل عملیات خرابکارانه بسیار پایین است و همین امر باعث شده است که نام ایران در میان 50 کشور برتر در زمینه هک سایتها قرار بگیرد. همچنین پلیس آگاهی ناجا، بخش جرائم رایانهای نیز خبر از کشف حدود 67 مورد مشکوک جرم رایانهای توسط گشتهای اینترنتی در سال گذشته دادهاند و اعلام کردهاند که سهم سایتهای دولتی از نفوذ غیرمجاز اینترنتی در سال 87، 31 درصد و سایتهای غیردولتی 69 درصد بوده است. با توجه به این شرایط و هشدارهایی که کارشناسان بخش فناوری اطلاعات به مسوولان سازمانها در خصوص چارهاندیشی برای افزایش ایمنی سایتهای ایرانی دادهاند، اما تا کنون به جز چند طرح و پروژه نیمهکاره و یا فراموش شده فعالیت زیادی در این زمینه دیده نشده است.
عدم توجه سازمانها به امنیت فضای سایبر
بیتوجهی سازمانها و نهادهای دولتی و غیردولتی برای افزایش امنیت سایتهای خود باعث شده که این روزها هک کردن سایتها به یک تفریح مفرح برای برخی از دوستداران دنیای کامپیوتر تبدیل شود، به طوري كه اگر يك بار کلمه «هک» را در مرورگر خود جستوجو كنيد با حجم عظيمي از لينكهايي روبهرو خواهيد شد كه در آن نام سايتهای هك شده در کشور چه از خارج و چه از داخل دیده میشود.
بررسيهاي انجام گرفته از سوي كميسيون افتاي سازمان نظام صنفي رايانههاي كشور نشان ميدهد كه از 130 سايت سازماني در سال گذشته حداكثر 110 سايت نفوذپذير بودهاند. اين يعني 90درصد پورتالهاي دولتي ايران در برابر حملات هكرها آسيبپذيرند.
از جمله سايتهاي مهميكه در چند سال گذشته هك شده است، ميتوان به سايت مجلس خبرگان، سايت وزارتخانههاي اصلي كشور، سايت برخي خبرگزاريها و… اشاره كرد. همچنين دستبرد به دامنه وبسايتهاي مهم از شيوههاي ديگر اختلال اينترنتي است كه نمونه برجسته آن سرقت دامنه انتخاباتي ايران، متعلق به وزارت كشور بوده است. جالب است كه برخي از اين سايتها كه توسط اراد مختلف هك يا مسدود شدهاند، هدفي جز خرابكاري نداشتهاند و برخی دیگر قصدی جز هشدار نداشتهاند. به باور کارشناسان متاسفانه در ايران به مقوله امنيت سايت کمترين اهميت داده ميشود، به خصوص سايتهاي دولتي که با وجود اهميت دادههاي موجود در آن هزينهاي براي امنيت سايت پرداخت نمیشود.
پاشا ناصرآبادي، کارشناس حوزه فناوری اطلاعات و دبیر همایش امنیت و دولت الکترونیک در خصوص امنیت سایتهای ایرانی میگوید: «بسياري از سايتهاي مهم کشور را که بايد داراي ضريب ايمني بالا باشد، با يک داس اتک (حمله به سرور از طريق داس- dos attack) ساده در عرض چند ثانيه ميتوان از کار انداخت.»
ناصرآبادی به مشخصات سایتهای هک شده اشاره کرده و میافزاید: «همیشه کاربران از هک شدن یک سایت مطلع نمیشوند؛ چراکه گاهی هک برای یک دقیقه است یا مثلا در ساعت 24 اتفاق میافتد که بلافاصله برای رفع آن اقدام میشود. ولی با مراجعه با سایت Zone-h میتوان از هک شدن سایتها در دنیا مطلع شد.» وی در ادامه با اشاره به برخی از اخبار در زمینه هک همزمان 500 سایت، اظهار میکند که معمولا روی یک سرور بیش از 400 سایت قرار دارد و اگر حتی یکی از این سایتها از نظر امنیتی مشکل داشته باشد، به راحتی میتوان همه سایتها را هک کرد.
این کارشناس امنیت اطلاعات با اشاره به اقدام دوت در زمینه ارائه خدمات الکترونیکی اضافه میکند که ما هیچ چارهای به جز الکترونیکی کردن خدمات نداریم، از این رو باید قبل از هر چیز زیرساختهای امنیتی سایتها را فراهم کنیم.
ناصرآبادی با یادآوری این نکته که نرمافزارهاي مورد استفاده در سازمانها و شرکتها، مجهز به سيستمهاي ايمني و حفاظتي نيستند، میافزاید: «براي مثال نرمافزارهاي مورد استفاده در اکثر سازمانها قابليت پشتيباني از امضاي ديجيتالي را ندارند. ارگانهاي دولتي وقتي به سمت ارائه خدمات الکترونيک ميروند بايد ملزم به تجهيز پشتيباني از امضاي ديجيتالي شوند و توانمندسازي سازمانها در مقاب اقدامات خرابکارانه داخلي در اولويت کاري آنها قرار گيرد.» بر اساس اظهارات این کارشناس در زمينه آموزش کاربران اينترنت نيز اقدام مناسبي صورت نگرفته است و در دورههاي آموزش کامپيوتر و اينترنت نيز هيچ اشارهاي به روشهاي حفظ امنيت اطلاعات نميشود. براي مثال به کاربران در مورد حفظ امنيت ايميل و اينکه وارد چه سايتهايي نشوند و روي چه لينکي کليک نکنند، آموزشي داده نميشود. به اعتقاد این کارشناس موضوع حفظ امنيت اطلاعات در فضاي سايبر بايد در کتابهاي درسي دانشگاهها و دورههاي آموزشي گنجانده شود.
هک تنها برای هشدار
به جز اینکه برخی از هکرها هدفی جز تخریب صدمه زدن به سازمان یا نهادی را دنبال نمیکنند؛ اما در اين بين گروههايي هم ديده ميشوند كه هدفشان هشدار به سازمانها براي برطرف كردن مشكلات امنيتي سايتهايشان است. اين گروه را در زمره گروه هكرهاي كلاه سفيد طبقهبندي كردهاند. هكرهايي كه با دانش خود از سد موانع امنيتي يك شبكه ميگذرند؛ اما اقدام خرابكارانهاي انجام نميدهند. هک سايت انتخاباتي مجلس شوراي اسلامي که در يک فراخوان مورد آزمايش قرار گرفته بود یکی از این نوع هکها بود. گفته میشود هک شدن این سایت بسیار ساده و آسان و توسط یک برنامه نویس مبتدی انجام شده است که این اتفاق میزان امنیت یک سایت دولت را نشان میدهد.
امين خسروشاهي، مسوول شبكه دانشگاه صنعتي شريف، در این خصوص میگوید: «وضعيتي كه در چند سال گذشته شاهد آن بوديم، نشان ميدهد كه زيرساختهاي فناوري اطلاعات ايران به لحاظ امنيتي و دفاعي بسيار آسيبپذير است و در صورتي كه حملات سامانمندي از سوي هكرهاي خارجي به سايتهاي دولتي ايران صورت بگيرد، تدابير پيشگيرانه دفاعي مناسبي اتخاذ نشده است.»
وي معتقد است كه هر سازماني براي حفظ امنيت سايتهاي خود بايد استانداردهاي امنيتي خاصي را تدوين كند و افراد آن سازمان را ملزم به پيروي از آن استاندارد كند.
اما چيز جالبي كه در اين بين ديده ميشود، اين است كه در حال حاضر در اكثر سايتها، هك كردن سايتها آموزش داده ميشود يا CDهاي آموزشي آن به راحتي در اختيار افراد قرار ميگيرد كه اين وضعيت ميتواند امنيت اطلاعات سايتهاي كشور را هرچه بيشتر به خطر بياندازد. اما برخي كارشناسان معتقدند كه اين CDهاي آموزشي كارآيي چنداني ندارد و نميتواند افراد را به هكرهاي حرفهاي تبديل كند. به باور اين كارشناسان بيشتر كساني كه در ايران مبادرت به هك سايتها ميكنند، هدف علمي و تحقيقاتي ندارند و به دنبال دستاوردهاي امنيتي هم نيستند.
برخي به علت بيكاري و برخي نيز براي ارضاي حس كنجكاوي و ورود به حريم خصوصي ديگران اقدام به هككردن ايميلها و سايتها ميكنند. اما تمام اين عوامل ميتواند جرقهاي باشد تا همين هكرهاي نيمهحرفهاي به هكرهاي حرفهاي تبديل شوند و امنيت اطلاعات سايتهاي كشور را دچار اختلال كنند.
همه سال در اكثر كشورهاي پيشرفته سياستهاي امنيت اطلاعاتي مشخصي تدوين و به اجرا گذاشته ميشود. در كشور ما نيز چندي پيش، سياستي مبني بر امنيت فضاي تبادل اطلاعات (افتا) تدوين شد كه از ابلاغ آن به تمام داستگاههاي دولتي، بيش از 4 سال سپري شده است. در آغاز ابلاغ اين طرح، اقداماتي از سوي برخي سازمانهاي دولتي براي اجراي سياستهاي طرح «افتا» انجام و مناقصاتي نيز در اين زمينه آماده و اعلام شده، اما هماكنون يا اين طرح به فراموشي سپرده شده يا اينكه مسير ديگري جز طرح افتا را طي كرده است.
