در حاشیه هک شدن سایتهای شیعه
نام نویسنده: بهروز مهدوی mahdavi.behrooz@gmail.com
آي تي ايران – خبر هک شدن صدها سایت شیعه و درج مطالب توهین آمیز در آن باعث جریحه دار شدن احساسات شیعیان سراسر جهان گردید .
البته با یک جستجوی ساده در مورد هک شدن سایتهای ایرانی بالاخص سایتهای دولتی متوجه میشویم که سایت دولتی نیست که طی این چند ساله از ترکش هکران مصون مانده باشد و حتی در برخی موارد دیده میشود که مدیران it یک موسسه هک شدن سایتشان را امری کاملا طبیعی قلمداد میکنند که افاق نیفتادن آن به مراتب عجیب تر از اتفاق افتادن آن است !
در خبر سایت تابناک آمده بود که 250 تا 300 نفر و با هزینه ای حدود 300 میلیون دلار اقدام به هک این سایتها کرده و از هفت لایه امنیتی نیز گذشته اند ! این جمله باعث شد تا یک بررسی ابتدایی بر روی این سرور انجام دهم .
در این نوشتار قصد بررسی دلایل هک شدن سایتهای ایرانی و بالاخص دولتی را نداریم بلکه در همین راستا و تنها به بررسی برخی از علل هک شدن سرور میزبان سایتهای مذهبی al-shia میپردازم .البته اینجانب تنها با استفاده از امکاناتی عادی و دسترسی که همگان به اینترنت دارند این نکات ابتدایی را متذکرمیشوم :
نکات زیر به عنوان ابتدایی ترین مسائل امنیتی باید مورد توجه قرار میگرفت :
1- استفاده از یک سرور آمریکایی :
با یک ping ساده یکی از سایتها و گرفتن ip ان و بعد استفاده از یک سایت مثل ip2location متوجه میشوید که میزبان عقاید مذهبی ما و مراجع تقلید ما یک شرکت آمریکایی با مشخصات زیر بوده است :
اولین سئول مطرح شده اینست که چه لزومی به استفاده از یک شرکت امریکایی بوده؟ اگربحث سرعت کم اینترنت داخلی نیز مطرح باشد باید به خطر بیاوریم که این سرویس در کشورهایی مانند هند , کانادا , چین و اروپا که در حال حاضر روابط بهتری با ما دارند نیز ارائه میوشد .
2- share کردن سرور برای صدها ها سایت
با فرض مدیریت آگاهانه سرور و تنظیم یک سرور امن باید در نظر داشته باشید که استفاده از یک سرور share میتواند امنیت سایت شما را تا حداقل 70 درصد در مقایسه با یک سرور dedicated پایین بیاورد چرا که در یک سرور share صدها FTP با دسترسی به سرور وجود دارد که توانایی انجام انواع روشهای نفوذ را نیز دارا میباشند در حقیقت هکرها با نفوذ به یک سایت میتوانند عملیات خرابکارانه خود را تا حد زیادی افزایش دهند.
در این میان یکی از مهمترین نکات امنیتی استفاده از سرورهای اختصاصی برای سرویس دهی به سایتهای مهم میباشد که هزینه ای بین سالیانه 2 تا 7 میلیون تومان بسته به کیفیت و قدرت سرور دارد و مطمئنا رداخت چنین هزینه ای ارزش مواجه نشدن با این موضوعات را دارد .البته باید در نظر داشت که یک مدیریت غلط میتواند یک سرور اختصاصی را صدها با نا امنتر از سرور share نماید و در این میان فرض با مدیریت قوی در هر دو حالت بوده است .
برای بررسی این موضوع کافی است به آدرس اینترنتی http://domainbyip.com/66.230.192.134 مراجعه کنید تا لیست سایتهایی که در این سرور قرار داشته اند را ببینید .
اینجانب معتقد به قرار گرفتن همه سایتها بر روی سروهای اختصاصی نیستم اما دیدن سایتی با نام khobregan.org این شائبه را در من به وجود اورد که سایت مجلس خبرگان نیز بر روی همین سرور بوده است!
3- استفاده چند گانه از یک سرور :
با فرض لزوم استفاده از یک سرور share برای کم شدن هزینه ها , تعریف استراژی های صحیح میتواند امکان نفوذ به سرور را پایین بیاورد اگر من به جای مدیر سرور مربوطه بودم مطمئنا حاضر به قرار دادن سایتهای تجاری در کنار سایتهایی با این اهمیت نمیشدم و با یک دسته بندی صحیح سایتها را در دو یا سه سرور بسته به نوع مدیریت آن تقسیم میکردم اما متاسفانه با بررسی سایتهای موجود در این سرور به سایتهای تجاری و شخصی نیز برخورد کردم مانند : فروشگاه ونمايشگاه عدالت جميلى شرکت تبلیغاتی pbc-co شرکت چشمه سار تسنیم , شرکت efa ایران
و چندین مورد دیگر
شاید گر شرکت سرویس دهنده حداقل طوری برنامه ریزی میکرد که سایتهای شخصی و تجاری را در محل دیگری هاست میکرد احتمال این نفوذ کمتر میشد.چرا که در بسیار از موارد هک, هکرها با استفاده از نااگاهی مدیر یک سایت و استفاده از روشهای بسیار ابتدایی هک مانند social engineering و یا هک میل مدیر سایت ومتعقبا نفوذ به یک سایت میتوانند تمامی سایتهای یک سرور را هک کنند حال با قرار دادن سایتهای تجاری که مطمئنا نسبت به رعایت مسائل امنیتی شخصی بی تفاوت تر هستند این امکان وجود دارد که هکرها با استفاده از بدست آوردن اطلاعات مدیریتی یکی از سایتهای فوق موفق به نفوذ به سرور شده باشند .
البته میشد با بررسی مسائل امنیتی سرور از بیرون نکات بیشتری را به شکل تخصصی به این نوشتار اضافه کرد که باتوجه به گذشت زمان هک این سرور مطمئنا کارشناسان در حال بستن راههای نفوذ به سرور بوده ونیازی به این موضوع نیز احساس نمیشد اما به نظر میرسد جای خالی نظارت نهادهای امنیتی بر مراحل ایجاد سایتهای مهم دولتی و حکومتی وعدم وجود یک دستورالعمل مشخص امنیتی روز به روز آشکار تر میشود.