امنیت

فناوری اطلاعات

April 13, 2014
4:51 یکشنبه، 24ام فروردینماه 1393
کد خبر: 61633

خطر امنیتی برای وب‌سایت‌های ایران

حمید ضیایی پرور: ۲ خبر تکان‌دهنده هفته گذشته فضای وب ایران را تحت‌تأثیر قرار داد.
اخبار مذکور به‌قدری تکان‌دهنده است که می‌توان آن را بزرگ‌ترین خطر امنیتی دانست که تا‌کنون وب‌سایت‌های ایران و کاربران اینترنت در کشور را تهدید کرده است. با این حال به‌نظر می‌رسد که این زلزله 8ریشتری هنوز به درستی درک نشده است، شاید اگر پس لرزه‌های 7 ریشتری آن بعد از مدتی احساس شد، تازه برخی‌ها متوجه اصل زلزله بشوند.
 
ماجرا از این قرار است که:
 
1- واحد رسیدگی به جرایم شبکه‌ای پیشرفته پلیس آلمان (NHTCU) به پلیس فتا ناجا رسما اعلام کرده در تحقیقات انجام شده در کشور آلمان فهرستی حاوی 18میلیون آدرس ایمیل به همراه پسورد آنها از هکرها کشف شده که به گفته سرپرست مرکز فوریت‌های سایبری پلیس فتا، تعدادی از ایمیل‌های مزبور مربوط به کاربران ایرانی بوده است. سایت پلیس فتای ایران، فهرستی از ایمیل‌های هک‌شده ایرانی‌ها را منتشر کرده که بر عمق فاجعه می‌افزاید. بررسی این فهرست نشان می‌دهد که بخش عمده این ایمیل‌ها مربوط به دانشگاه‌های ایران بوده است. یعنی عملا ایمیل‌های دانشگاهی امن نیست.
 
2- یک آسیب‌پذیری بسیار مهم در OpenSSL کشف و راه‌حل اجتناب از آن نیز ارائه شده است. این مشکل که به خونریزی قلبی شهرت یافته است، تقریبا به هر کس که به اینترنت دسترسی دارد، اجازه می‌دهد که اطلاعاتی از سرورهای آسیب‌پذیر را سرقت کند. این اطلاعات ممکن است رمز عبور کاربران یا حتی رمز عبور کل سرور باشد. براساس گزارش NetCraft در سال۲۰۱۴ بیش از 66درصد سایت‌ها از سرورهایی استفاده می‌کنند که بالقوه این آسیب‌پذیری را دارند.
 
به گزارش شرکت امنیتی بیان در ایران، در میان سایت‌های ایرانی که آسیب‌پذیر تشخیص داده شده‌اند وب‌سایت‌های مهمی شامل دانشگاه‌ها، اپراتورهای تلفن همراه، سرویس‌های پست الکترونیک داخلی و دولتی، دفاتر پیشخوان دولت، صدا و سیما، وزارت علوم، سامانه یارانه‌ها، برخی از بانک‌ها، سایت شاپرک، برخی خبرگزاری‌ها و تعدادی وب‌سایت دولتی و خصوصی مشاهده می‌شود. البته طی روزهای اخیر برخی از این وب‌سایت‌ها حفره امنیتی مذکور را برطرف کرده‌اند ولی برخی دیگر همچنان دارای آسیب‌پذیری بوده و به‌احتمال زیاد بخش‌های زیادی از اطلاعات کاربران قبلا لو رفته است.
 
متأسفانه تا این لحظه به جز سردار جلالی رئیس سازمان پدافند غیرعامل که اتفاقا وب‌سایت سازمان وی نیز یکی از سایت‌های آسیب‌پذیر بوده است، فرد مسئول دیگری نسبت به این رخدادها واکنش نشان نداده است. معمول این است که در چنین مواقعی سازمان‌های قربانی، سکوت پیشه کرده و واکنشی نشان نمی‌دهند، انگار نه انگار که خانی آمده و خانی رفته است! بخشی از این استراتژی سکوت به‌منظور ایجاد نکردن ناامنی در اذهان کاربران اینترنت است، اما اگر این سکوت توأم با تلاش برای حل مشکل باشد ایرادی ندارد، فاجعه اینجاست که سکوت گاهی توأم با انکار واقعیت و سر فرو بردن در برف است.
 
واقعیت این است که با وجود ورود اینترنت به کشور از 2دهه پیش به این سو، به مسئله امنیت وب‌سایت‌ها توجه اندکی شده است. وب‌سایت‌ها یا فاقد پروتکل‌های امنیتی هستند یا کمترین انرژی و سرمایه‌گذاری روی آن صورت می‌گیرد. شاهد مثال این است که سال گذشته اطلاعات چندین میلیون کارت بانکی ایرانی‌ها لو رفت و بانک مرکزی مجبور به صدور اطلاعیه برای تغییر اجباری پسورد کارت‌های بانکی ایرانیان شد.
 
روزنـامه هـمـشهـری در تـاریخ 20فروردین1391 در یادداشتی با عنوان کدام ضریب امنیت؟ نوشت: هنگام ورود به سامانه ایمیل ملی iran.ir از شما خواسته می‌شود تدابیر امنیتی را نادیده گرفته و بدون پروتکل امنیتی ssl وارد سایت شوید. بعد از آن نیز چندین یادداشت دیگر در مورد ناامن بودن سرویس‌های مشابه با نام ملی منتشر شد اما گوش شنوایی برای شنیدن این موضوع وجود نداشت، اکنون که به‌طور رسمی آسیب‌پذیری این سامانه اعلام شده است، مسئولان وزارت ارتباطات باید تدابیر جدی برای جلوگیری از لو رفتن اطلاعات کاربران اتخاذ کنند. این یک حمله آشکار و البته بین‌المللی به‌شمار می‌رود که قربانیان بسیار زیادی داشته و بخشی از این قربانیان نیز در داخل ایران بوده‌اند. به‌طور حتم هدف این حمله یا آسیب رسانی، وب‌سایت‌های ایران نبوده است اما به‌دلیل عدم‌رعایت ملاحظات امنیتی، بخشی از وب‌سایت‌های ایران دچار آسیب شده و به تبع آن کاربران ایرانی متحمل خسارت شده‌اند.
 
راهکار حل مشکل بسیار ساده است: 1- سازمان‌های ذیربط ازجمله سازمان پدافند غیرعامل، قرارگاه دفاع سایبری، مرکز ماهر، سازمان فناوری اطلاعات ایران، کمیته‌های بحران و پدافند غیرعامل در دستگاه‌های دولتی باید این آسیب‌پذیری را جدی تلقی کرده و بررسی و رفع مشکل را در دستور کار فوری خود قرار دهند. 2- به کاربران اینترنت در ایران آموزش‌های کافی داده شود که از سامانه‌های ناامن استفاده نکنند و رمز‌های ورود خود را به‌طور نوبه‌ای تغییر دهند. 3- در آینده تدابیر جدی برای جلوگیری از چنین آسیب‌پذیری‌هایی اتخاذ شود.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.