خطر امنیتی برای وبسایتهای ایران
حمید ضیایی پرور: ۲ خبر تکاندهنده هفته گذشته فضای وب ایران را تحتتأثیر قرار داد.
اخبار مذکور بهقدری تکاندهنده است که میتوان آن را بزرگترین خطر امنیتی دانست که تاکنون وبسایتهای ایران و کاربران اینترنت در کشور را تهدید کرده است. با این حال بهنظر میرسد که این زلزله 8ریشتری هنوز به درستی درک نشده است، شاید اگر پس لرزههای 7 ریشتری آن بعد از مدتی احساس شد، تازه برخیها متوجه اصل زلزله بشوند.
ماجرا از این قرار است که:
1- واحد رسیدگی به جرایم شبکهای پیشرفته پلیس آلمان (NHTCU) به پلیس فتا ناجا رسما اعلام کرده در تحقیقات انجام شده در کشور آلمان فهرستی حاوی 18میلیون آدرس ایمیل به همراه پسورد آنها از هکرها کشف شده که به گفته سرپرست مرکز فوریتهای سایبری پلیس فتا، تعدادی از ایمیلهای مزبور مربوط به کاربران ایرانی بوده است. سایت پلیس فتای ایران، فهرستی از ایمیلهای هکشده ایرانیها را منتشر کرده که بر عمق فاجعه میافزاید. بررسی این فهرست نشان میدهد که بخش عمده این ایمیلها مربوط به دانشگاههای ایران بوده است. یعنی عملا ایمیلهای دانشگاهی امن نیست.
2- یک آسیبپذیری بسیار مهم در OpenSSL کشف و راهحل اجتناب از آن نیز ارائه شده است. این مشکل که به خونریزی قلبی شهرت یافته است، تقریبا به هر کس که به اینترنت دسترسی دارد، اجازه میدهد که اطلاعاتی از سرورهای آسیبپذیر را سرقت کند. این اطلاعات ممکن است رمز عبور کاربران یا حتی رمز عبور کل سرور باشد. براساس گزارش NetCraft در سال۲۰۱۴ بیش از 66درصد سایتها از سرورهایی استفاده میکنند که بالقوه این آسیبپذیری را دارند.
به گزارش شرکت امنیتی بیان در ایران، در میان سایتهای ایرانی که آسیبپذیر تشخیص داده شدهاند وبسایتهای مهمی شامل دانشگاهها، اپراتورهای تلفن همراه، سرویسهای پست الکترونیک داخلی و دولتی، دفاتر پیشخوان دولت، صدا و سیما، وزارت علوم، سامانه یارانهها، برخی از بانکها، سایت شاپرک، برخی خبرگزاریها و تعدادی وبسایت دولتی و خصوصی مشاهده میشود. البته طی روزهای اخیر برخی از این وبسایتها حفره امنیتی مذکور را برطرف کردهاند ولی برخی دیگر همچنان دارای آسیبپذیری بوده و بهاحتمال زیاد بخشهای زیادی از اطلاعات کاربران قبلا لو رفته است.
متأسفانه تا این لحظه به جز سردار جلالی رئیس سازمان پدافند غیرعامل که اتفاقا وبسایت سازمان وی نیز یکی از سایتهای آسیبپذیر بوده است، فرد مسئول دیگری نسبت به این رخدادها واکنش نشان نداده است. معمول این است که در چنین مواقعی سازمانهای قربانی، سکوت پیشه کرده و واکنشی نشان نمیدهند، انگار نه انگار که خانی آمده و خانی رفته است! بخشی از این استراتژی سکوت بهمنظور ایجاد نکردن ناامنی در اذهان کاربران اینترنت است، اما اگر این سکوت توأم با تلاش برای حل مشکل باشد ایرادی ندارد، فاجعه اینجاست که سکوت گاهی توأم با انکار واقعیت و سر فرو بردن در برف است.
واقعیت این است که با وجود ورود اینترنت به کشور از 2دهه پیش به این سو، به مسئله امنیت وبسایتها توجه اندکی شده است. وبسایتها یا فاقد پروتکلهای امنیتی هستند یا کمترین انرژی و سرمایهگذاری روی آن صورت میگیرد. شاهد مثال این است که سال گذشته اطلاعات چندین میلیون کارت بانکی ایرانیها لو رفت و بانک مرکزی مجبور به صدور اطلاعیه برای تغییر اجباری پسورد کارتهای بانکی ایرانیان شد.
روزنـامه هـمـشهـری در تـاریخ 20فروردین1391 در یادداشتی با عنوان کدام ضریب امنیت؟ نوشت: هنگام ورود به سامانه ایمیل ملی iran.ir از شما خواسته میشود تدابیر امنیتی را نادیده گرفته و بدون پروتکل امنیتی ssl وارد سایت شوید. بعد از آن نیز چندین یادداشت دیگر در مورد ناامن بودن سرویسهای مشابه با نام ملی منتشر شد اما گوش شنوایی برای شنیدن این موضوع وجود نداشت، اکنون که بهطور رسمی آسیبپذیری این سامانه اعلام شده است، مسئولان وزارت ارتباطات باید تدابیر جدی برای جلوگیری از لو رفتن اطلاعات کاربران اتخاذ کنند. این یک حمله آشکار و البته بینالمللی بهشمار میرود که قربانیان بسیار زیادی داشته و بخشی از این قربانیان نیز در داخل ایران بودهاند. بهطور حتم هدف این حمله یا آسیب رسانی، وبسایتهای ایران نبوده است اما بهدلیل عدمرعایت ملاحظات امنیتی، بخشی از وبسایتهای ایران دچار آسیب شده و به تبع آن کاربران ایرانی متحمل خسارت شدهاند.
راهکار حل مشکل بسیار ساده است: 1- سازمانهای ذیربط ازجمله سازمان پدافند غیرعامل، قرارگاه دفاع سایبری، مرکز ماهر، سازمان فناوری اطلاعات ایران، کمیتههای بحران و پدافند غیرعامل در دستگاههای دولتی باید این آسیبپذیری را جدی تلقی کرده و بررسی و رفع مشکل را در دستور کار فوری خود قرار دهند. 2- به کاربران اینترنت در ایران آموزشهای کافی داده شود که از سامانههای ناامن استفاده نکنند و رمزهای ورود خود را بهطور نوبهای تغییر دهند. 3- در آینده تدابیر جدی برای جلوگیری از چنین آسیبپذیریهایی اتخاذ شود.