۰ نفر
۳ آبان ۱۳۸۸ - ۱۵:۴۴

کارشناسان حوزه وب و فناوری اطلاعات هشدار می‌دهند:

فضای سایبر ایران امن نیست

خبر حمله‌های سایبری در ایران، معمولاً پنهان می‌ماند مگر آن‌که صفحه اول یک وب‌سایت طوری تغییرشکل دهد که کاربران متوجه آن شوند.

هادی نیلی: این‌روزها زندگی دیگری جز آنچه لمس می‌کنیم و حس می‌کنیم در جریان است. وقتی به جای صندوق‌های نامه، میل‌باکس‌ها را چک می‌کنیم و به جای مراجعه‌های هرروزه به بانک، به وب‌سایت بانک‌ها می‌رویم، زندگی دیگری میان صفرویک‌ها در جریان است. اگر در زندگی واقعی با دو چشم بینا اطراف خود را می‌پاییم و با قفل و زنجیر، مالمان را می‌چسبیم که کسی را دزد نکنیم، در فضای وب ماجرا فرق می‌کند.

امنیت سایبر از همان روزی که فضای سایبر شکل گرفت، مسئله شد. همین صفر و یک‌ها که فضای سایبر را می‌سازند، می‌توانند در برابر کوچک‌ترین حمله‌ها آسیب‌پذیر شوند و اطلاعاتی که برای راحتی کار ما در این صفر و یک‌ها گنجانده شده‌اند، اسباب زحمت و مکافات شوند.

هفته پیش گروه امنیتی «آشیانه» که سابقه جنگ‌های سایبری علیه وب‌سایت‌های اسرائیلی را در کارنامه دارد، با استناد به آمارهای جرائم رایانه‌ای از کشف حدود 67 مورد مشکوک جرم رایانه‌ای توسط گشت‌های اینترنتی در سال گذشته خبر داده و هشدار داده است که سهم سایت‌های دولتی از نفوذ غیرمجاز اینترنتی در سال 87، 31 درصد و سایت‌های غیردولتی 69 درصد است. این متخصصان که خود به عنوان هکرهایی توانمند شناخته می‌شوند، نسبت به نفوذ هکرها به فضای سایبر کشور هشدار داده‌اند.

ماه پشت ابر نمی‌ماند اما خبر چرا
خبر حمله‌های سایبری در ایران، معمولاً پنهان می‌ماند مگر آن‌که صفحه اول یک وب‌سایت طوری تغییرشکل دهد که کاربران متوجه آن شوند.

رضا هاشمی، کارشناس ارشد فناوری اطلاعات و شبکه‌های کامپیوتری که از موسسین اولین سرویس وبلاگ‌نویسی فارسی است، می‌گوید: حمله به سرویس‌ دهندگان اینترنتی یا ایجاد اختلال در آن‌ها، از سوی مدیران مجموعه‌ها پنهان می‌شود چون آن را مایه بی‌اعتباری و بی‌آبرویی برای مجموعه خود می‌دانند. به همین دلیل خیلی از حمله‌های اساسی و گاه خطرساز، به گوش افکار عمومی نمی‌رسد.

هاشمی همین موضوع را یکی از عوامل کاهش میزان امنیت سایبر در ایران می‌داند: وقتی خبری درباره ناامنی‌های اینترنتی و خسارتها منتشر نمی‌شود، مدیران درباره میزان خطرهای فضای مجازی بی‌اطلاع و ناآگاه می‌مانند و توجه جدی به اهمیت امن کردن مجموعه خود نمی افتند. وقتی خبری درباره حمله‌های فضای مجازی و ابعادش منتشر نمی‌شود و مجرای دیگری برای مطلع‌ نگه‌داشتن مدیران در این باره وجود ندارد، طبیعی است که این حوزه را جدی نگیرند و به ابعاد آن توجه نکنند و توجه نکنند که چه اطلاعاتی آسیب‌پذیر است و باید از آن‌ها محافظت کنند.

با این حال چند نمونه از خبر حمله‌های سایبری در ایران از این قرار بوده است: دانشجویان با نفوذ به سایت دانشگاه پیام نور، توانستند نمره‌های خود را تغییر دهند. این موضوع باعث واکنش وزارت علوم برای امن کردن سایت‌های دانشگاهی شد. البته بعدها گفته شد که این خبر کذب بوده است.

سایت یکی از بانک‌های کشور توسط گروه ISCN هک شد. این گروه با قرار دادن صفحه index. htm در شاخه اصلی سایت امکان دسترسی کاربران به صفحات بانک را مسدود کردند.
سایت ماهنامه دنیای کامپیوتر و ارتباطات دستکاری شد. کاربران با مراجعه به سایت ماهنامه به آدرس www. ccwmagazine. com با پیغامی مبنی بر هک شدن سایت روبه‌رو شدند که مانع دسترسی به صفحات این سایت می‌شد. هکر یا هکرها، خود را با نام «گروه مافیا» معرفی کردند. سازمان فضایی ایران به آدرس اینترنتی http: //www. isa. ir توسط یک گروه هکری از ایران به نام Persian Boys مورد حمله قرار گرفت.

مدیران از هزینه فراری‌اند
هاشمی، کارشناس امنیت وب، توضیح می‌دهد: موضوع امنیت ارتباط در فضای مجازی همیشه جزو بخش‌های هزینه‌بر است؛ چه درباره کاربران، چه درباره شرکت‌های خصوصی و چه درباره سازمان‌های دولتی و عمومی. به همین دلیل علاوه بر این‌که مدیران به اهمیت امنیت سایبر توجه ندارند و واقف نیستند، چون این بخش جزو ردیف‌های هزینه‌ای است و خیلی از مدیران علاقه‌ای به سرمایه‌گذاری و هزینه‌کردن در این حوزه ندارند.

رضا هاشمی البته یادآوری می‌کند: خیلی از جنبه‌های مفید وب و فضای مجازی در ایران نادیده مانده ودر حال توسعه است همین باعث شده امنیت فضای مجازی جدی گرفته نشود.

این کارشناس ارشد فناوری و شبکه‌های کامپیوتر می‌گوید: در ایران، کارشناسان خیلی خوب و متبحری در حوزه امنیت فضای مجازی داریم اما متأسفانه نظام اعتبارسنجی درستی در این حوزه وجود ندارد و صنف مشخصی ندارند. به همین دلیل شرکت‌ها و مدیران معمولاً با توجه به شهرت و توان بازاریابی و ارتباطات افراد فعال در حوزه امنیت وب، به آن‌ها مراجعه می‌کنند.

ارتباطات حرف اول را می‌زند، نه تخصص
هاشمی که خود در اولین ارائه‌دهنده خدمات وبلاگ‌نویسی مشارکت داشته، می‌گوید: شرکت‌های قدرتمندی در حوزه امنیت سایبر داریم اما آن‌ها نه به دلیل صلاحیت و توانایی‌شان، که به دلیل رانت و ارتباطات رشد کرده‌اند. مشکلات پیش‌آمده برای به‌خصوص مجموعه‌های مالی و بانک‌ها محرمانه تلقی می‌شوند و در خبرها نمی‌آیند. این، پاک‌کردن صورت‌مسئله است و باعث می‌شود مشاوران ناآگاه این مجموعه‌ها در این حوزه‌ها هزینه اقدامات ناکافی‌شان را ندهند. اما در کشورهای توسعه‌یافته چنین حمله‌هایی خبرساز می‌شود، هزینه مدیران برای استفاده از خدمات ناکارآمد بالا می‌رود و ترغیب می‌شوند جلوی ضررهای بعدی را بگیرند.

هاشمی توضیح می‌دهد: فقدان مشاوران کارشناس در این حوزه، باعث می‌شود همان شرکت‌ها و افرادی که تمایل دارند فضای سایبرشان را امن نگه دارند، باعث می‌شوند هزینه‌های بیجا و بیهوده‌ای بکنند. این در حالی است که آن‌ها باید به آنچه نیاز دارند توجه کنند. طبیعی است که فعالان حوزه امنیت وب و شرکت‌های مرتبط میل داشته باشند جنس و خدمات خود را به بالاترین قیمت به مشتری بفروشند اما فقدان مشاوران زبده در این باره، باعث می‌شود بارها در حوزه امنیت سایبر هزینه کنند و دوباره و دوباره برای نرم‌افزار و سخت‌افزار خرج کنند. اگر از اول درست هزینه کنند و خدمات درست را بخرند، به هزینه‌های مجدد دچار نمی‌شوند.

جای خالی پشتیبانی پس از خدمات
یک فعال حوزه وب و امنیت سایبر یادآوری می‌کند: در کشورهای توسعه‌یافته که شرکت‌های امنیت وب به‌خوبی فعالیت دارند و کاربران به آن‌ها اعتماد می‌کنند، به این خاطر است که این شرکت‌ها، خدماتی که می‌دهند را پشتیبانی می‌کنند. این پشتیبانی شکلی قانونی دارد و اگر مجموعه‌ای که از آن‌ها خدمات گرفته، از همان نقطه ضربه بخورد، این شرکت‌ها باید در مقابل آنها پاسخگو باشند.

رضا هاشمی معتقد است در ایران توانایی به‌دست‌آوردن پسورد ای‌میل دیگران کافی است تا فرد خودش را کارشناس امنیت وب بداند و تا لایه مشاوران امنیت شبکه ارتقا پیدا کند.به گفته او، برخی از افرادی که این روزها در زمینه تأمین امنیت فضای مجازی فعالیت می‌کنند، به صورت تجربی از فضای تبهکاران اینترنتی وارد این عرصه شده اند و آموزشهای مرتبط و تخصص در این زمینه برخوردار نیستند و به کارگیری آنها خود میتواند منشا خطرات باشد.

هاشمی خبر می‌دهد: خیلی از گروه‌های هک و حمله اینترنتی، همزمان در قالب شرکت‌های امنیتی هم فعالیت می‌کنند اما توانایی مقابله با هک، تنها یکی از جنبه‌های امنیت شبکه و سایبر است. این گروه‌ها حداکثر می‌توانند به عنوان گروه تست نفوذ شناخته می‌شوند.

این کارشناس حوزه امنیت سایبر به مدیران هشدار می‌دهد: درست نیست در این موارد از مشاور نااهل استفاده کنید چرا که این مشاوران، شما را به خریدن خدمات گران و بی‌فایده وادار می‌کنند.

او یادآوری می‌کند: لزومی ندارد پولی به‌نادرستی جابه‌جا شود بلکه تقلب‌های علمی و آموزشی هم می‌تواند موضوع حمله‌های سایبر شود و این موارد هم دست‌کمی از پول ندارند. متأسفانه بیشتر خدمات‌دهنده‌های وب کسانی هستند که در زمینه کاری خودشان متخصص نبوده‌اند. ویژگی‌های مدیر خوب و کارشناس خوب فرق دارد و دلیلی ندارد هر کارشناس خوبی، یک مدیر خوب هم باشد؛ و بالعکس. این می‌شود که در مواقع بحران که مجموعه‌های اطلاعاتی با حمله سایبر مواجه می‌شوند، خیلی ضعیف عمل می‌کنند.

پاشا ناصرآبادی دبیر همایش امنیت و دولت الکترونیک با تأکید بر اینکه ایران از نظر امینت اطلاعات در وضعیت مناسبی قرار ندارد، گفت: استفاده از CMS‌های (سامانه‌های مدیریتی) مجانی متن باز (Open source) و بی‌توجهی نسبت به به روز کردن نرم افزارها از سوی سازمانها باعث شده است تا حفره‌های امنیتی گسترش یابند. از این رو سایت‌های بسیاری از سازمانها دستخوش حملات سایبری قرار می‌گیرند.

او با بیان اینکه تاکنون کشور از آسیب‌های حملات سایبری در امان بوده است، ادامه داد: با توجه به اقداماتی که در زمینه هک برخی از سایت‌های رژیم اشغالگر قدس از سوی هکرهای ایرانی انجام شد، نشان می‌دهد که کشور پتانسیل نفوذ در شبکه‌های اطلاعاتی را دارد.

ناصرآبادی به مشخصات سایت‌های هک شده اشاره کرد و اظهار داشت: همیشه کاربران از هک شدن یک سایت مطلع نمی‌شوند چرا که گاهی هک برای یک دقیقه است و یا مثلاً در ساعت 24 اتفاق می‌افتد که بلافاصله برای رفع آن اقدام می‌شود. ولی با مراجعه به سایت Zone-h می‌توان از هک شدن سایت‌ها در دنیا مطلع شد.

او با اشاره به برخی از اخبار در زمینه هک همزمان 500 سایت گفت: معمولاً بر روی یک سرور بیش از 400 سایت قرار دارد و اگر حتی یکی از این سایت‌ها از نظر امنیتی مشکل داشته باشند به راحتی می‌توان همه سایت‌ها را هک کرد.

این کارشناس امنیت اطلاعات با اشاره به اقدام دولت در زمینه ارائه خدمات الکترونیکی اضافه کرد: ما هیچ چاره‌ای به جز الکترونیکی کردن خدمات نداریم، از این رو باید قبل از هر چیز زیرساختهای امنیتی سایت‌ها را فراهم کنیم.

هزینه‌های خرد خرد به جای هزینه به‌جا
سیدمجید علوی‌زاده گرمی نیز که یک شرکت خدمات هاستینگ دارد، می‌گوید: نیروهای متخصص، نیروهای گران‌قیمتی هستند اما چون شرکت‌ها در پی کاهش هزینه‌ها هستند، برایشان مهم نیست که از متخصص‌ها استفاده کنند. 

این فعال حوزه وب توضیح می‌دهد: فقدان بودجه باعث می‌شود مدیران به جای قدم‌های بزرگی که مشکل را به‌کلی از پیش پای آنان بر دارد، قدم‌های کوچک بر دارند و این باعث می‌شود هزینه‌های خرد خرد و در نهایت بیشتر از هزینه اصلی بکنند.

اما فرشاد اسماعیلیان، مدیر سایت هاست‌ایران، نظر دیگری دارد. او به خبر می‌گوید: شرکت‌های ایرانی به سمت استانداردها و سیاست‌های خوبی پیش می‌روند. وضع، خیلی بهتر از قبل شده است. تا پنج سال پیش، متوسط سنی هکرها زیر 18سال بود و هرکس می‌توانست وب‌سایت‌های ایرانی را با کمی وقت‌گذاشتن هک کند اما حالا وضع‌مان بهتر است.
با این حال او نیز تأیید می‌کند که هنوز مدیرانی هستند که آموزش لازم درباره امنیت سایبر را ندارند.

اسماعیلیان برخلاف هاشمی و علوی‌زاده معتقد است: هزینه تأمین امنیت وب بالاست اما لزومی هم ندارد این مسئله را این‌قدر بزرگ کنیم که یک بودجه جداگانه برایش در نظر گرفته شود. به نظر من اگر از اول به شکل استانداردی هزینه و برنامه‌ریزی شود، امنیت مشکلی پیدا نمی‌کند. یعنی مثلاً سرور از اول با امنیت بالا بیاید. در این صورت لازم نیست زیر بار هزینه‌های بعدی بازیابی اطلاعات و امثال آن برویم.

برای دسترسی سریع به تازه‌ترین اخبار و تحلیل‌ رویدادهای ایران و جهان اپلیکیشن خبرآنلاین را نصب کنید.
کد خبر 21417

برچسب‌ها

خبرهای مرتبط

نظر شما

شما در حال پاسخ به نظر «» هستید.
1 + 1 =

نظرات

  • نظرات منتشر شده: 1
  • نظرات در صف انتشار: 0
  • نظرات غیرقابل انتشار: 0
  • بدون نام IR ۰۹:۴۷ - ۱۳۸۸/۰۸/۰۴
    0 0
    پاسخ
    خبری از پرداخت حقوق به دانشجویان دکتری نشده خواهشمند است پیگیری کنید