فناوری اطلاعات

افشای ضعف های امنیت سایبری ایران مستقیم از آمریکا

منبع: فناوران
محمد جرجندی میان اهالی حوزه امنیت فناوری اطلاعات با فروم شب گرد و کانال وب آموز شناخته شده است. اما او وقتی به چهره ای مشهور در حوزه ICT بدل شد که در کانال دیده بان تلگرام و وب آموز، به افشای ضعف های امنیتی بخش های مختلف کشور پرداخت. در این راه حتی یک بار وزیر ارتباطات و فناوری اطلاعات به استناد گزارش وب آموز، گروه تحقیقی تشکیل داد و دو اپراتور تلفن همراه را جریمه میلیاردی کرد. آذری جهرمی در توییتر نیز از جرجندی بابت آن گزارش قدردانی کرد. با این حال، محمد جرجندی که اکنون در آمریکا زندگی می کند، هدفش از بررسی امنیت اطلاعات در ایران و افشای ضعف ها در گزارش های پر سر و صدا چیست؟ آیا شایعاتی درباره وی که از سازمان ها باج خواهی می کند درست است؟ در گفت وگو با وی به بررسی این ادعاها پرداخته ایم که می خوانید.
 
 
 چه زمانی از ایران رفتید و چرا؟
خرداد 94 از ایران رفتم. پیش از آن اگر تمام ایران را برای رفتن از کشور صف می کردید من نفر آخر بودم. ولی شرایط کاری اصلا خوب نبود و نگاه عجیبی روی من وجود داشت. نه دوستی ها و نه دشمنی ها هیچ کدام جالب نبود. به این نتیجه رسیدم قرار نیست اینجا آرامش داشته باشم و نمی خواهم بچه ام در چنین شرایطی بزرگ شود.
 کانال وب آموز و دیده بان تلگرام از چه زمانی تاسیس شد و هدفتان از این کانال چیست؟ 
وب آموز یک کانال قدیمی است که به موازات شبگرد راه افتاد و هدفم از آن این بود که دوره های آنلاین امنیت در آن برگزار کنیم. آن زمان کسی نمی دانست آموزش مجازی چیست و مشکلات زیادی هم وجود داشت. مثلا یک بار پلیس مرا احضار کرد و گفت حق نداری از کلمه هک استفاده کنی. عین این بود که به یک سبزی فروش بگویند حق نداری از کلمه سبزی استفاده کنی.
در وب آموز خبری از ایران کار نمی کردم و قصد ما این بود با انتشار اخبار بین المللی امنیت، در کنارش دوره های آموزش مان را تبلیغ کنیم. کانال دیده بان تلگرام (teleScam) را خارج از ایران راه انداختم. آن زمان دیدم که تلگرام بستر بزرگی برای جرم شده که هنوز هم این موضوع ادامه دارد. چون هویت افراد در آن پنهان است و بازدیدها هم در آن بسیار بالاست و هیچ جایی نیست که یک جرم را به صورت ناشناس به این سرعت بتوانی تکثیر کنی. کافی است 50 هزار تومان به فلان کانال پول بدهی و ظرف چند دقیقه تبلیغات تو را 60 هزار نفر می بینند.
در بررسی ای که روی تلگرام هم داشتیم متوجه شدیم پر از اپلیکیشن های آندروییدی برای دزدی اطلاعات حساب بانکی و انواع جرایم است. بنابراین به ذهنم رسید مجموعه ای شبیه Cert درست کنیم و به آنالیز اپ ها و این جرایم روی تلگرام بپردازیم.
آغاز کار هم با گزارش اپ های دسترسی به شبکه های ماهواره ای بود که با این ادعا، کاربر را به یک صفحه جعلی پرداخت هدایت کرده و اطلاعات کارت بانکی اش را می دزدیدند که اتفاقا این گزارش با استقبال خیلی خوبی روبه رو شد. 
دیده بان تلگرام به تدریج قدرت گرفت چون هیچ جای دیگر نیست که یک خط درباره امنیت سایبری بنویسد و اظهار نظر کند. علتش هم روشن است، بزرگ ترین کارفرمای شرکت های فعال این حوزه دولت است و این شرکت ها نیازی به دیده شدن ندارند. 
خوشبختانه این کانال توانست یک سری تابوها را بشکند. مثلا چرا باید برای مرکز ماهر قداست قائل بود و از آن انتقاد نکرد؟ البته هزینه هایی هم داشته است مثل اینکه پس از صحبت درباره پروژه ای که 180 هزار موبایل را آلوده کرده بود، با حکم یک قاضی در مشهد سایت دیده بان تلگرام جمع شد.
 خیلی ها می پرسند شما که از ایران رفته اید، چرا هنوز هم مسایل ایران را مدنظر قرار می دهید؟
درست است آمریکا زندگی می کنم اما روحم در ایران است. تمام دوستانم در ایران هستند. شاید یک روز در آمریکا، فضای ایران را فراموش کنم، اما اکنون از کاری که می کنم حس خوبی دارم و حتی از خوابم می گذرم تا برای فضای امنیت سایبری ایران کاری کنم. کسانی هم که در این مورد شبهه دارند، می توانند به پرونده کاری من مراجعه کنند. دوستان امنیتی می دانند که من از قدیم دیوانه این گونه کارها بوده ام و الان هم چیزی تغییر نکرده و تا وقتی ضربه ای به زندگی ام نزند، رصد فضای سایبری ایران را ادامه می دهم.
 در افشاگری هایی که داشتید، ماجرای شرکت صباسل و دسترسی به شماره تلفن کاربران از طریق IP و با استفاده از سرویس Header Enrichment بسیار داغ شد. خیلی ها می گویند هدف تخریب این شرکت بوده است. شما به این نقص امنیتی به چه صورتی دست یافتید و آیا بهتر نبود خصوصی به آنها اطلاع می دادید؟
آن موقع یکی از دوستان این نقص امنیتی را به من گفت و البته از من خواست صبر کنم تا بیشتر تست روی این سرویس انجام دهد. طبیعتا خودم امکان تست نداشتم. اما بعد از آنکه چند نفر دیگر هم این نقض امنیتی را اطلاع دادند، ناچار به اطلاع رسانی در این باره شدم. آن روز هم که این باگ را اعلام کردم، چندان درباره Header Enrichment و حتی حجم و گستره این اتفاق نمی دانستم. اما وقتی خبرهای اول و دوم را زدیم، متوجه شدیم که با حجم وحشتناکی از دسترسی به اطلاعات مواجه هستیم.
نکته عجیب این است که همچنان و با تغییری کوچک، این شرکت به فعالیتش ادامه می دهد. شما کافی است وارد سایت بازی این شرکت شوید، آنها به شماره شما دسترسی دارند و برای تان یک پیامک تاییدیه می فرستند و به این ترتیب 50 درصد راه را رفته اند. خیلی ها حتی به اشتباه این را تایید می کنند و روزی چند صد تومان شارژ می شوند. هرجای دیگر دنیا بود، این شرکت را می بستند. سوالم از وزیر ارتباطات این است که اگر تخلف برای شما محرز شده، چرا فقط اپراتورهای تلفن جریمه شده اند و این شرکت و شرکت های مشابه دیگر با هیچ جریمه ای روبه رو نشدند؟ آقای وزیر آن زمان به این گزارش واکنش نشان داد و از من تشکر کرد ولی در عمل آن خروجی را که باید اتفاق می افتاد، نگرفتیم. هر جای دنیا بود 10 نفر اخراج می شدند. نمی گوییم کسی اخراج شود ولی لااقل پولی که این دو سه سال از جیب مردم به این روش رفته، باید بازگردد.
 آیا از سمت وزیر ارتباطات و وزارتخانه تماس هایی برای همکاری با کسب اطلاعات بیشتر با شما گرفته شده است؟
نه هیچ تماسی نداشتم. البته دوستانی به من گفتند که با وزیر ارتباط دارند و اگر نکته ای هست به آنها بگویم تا به اطلاع وزیر برسانند که گفتم هر حرفی داشته باشم، در کانال می گذارم. حتی مرا به گروهی اضافه کردند و گفتند که وزیر در آن گروه است، دو کلمه حرف زدیم از آن گروه بیرون مان کردند. 
 شما ادعا کرده اید که ای نماد هک شده و اطلاعات آن به فروش رسیده است. مرکز ماهر و مرکز توسعه تجارت الکترونیکی وزارت صنعت این ادعا را رد کرده اند. آیا سندی برای اثبات این موضوع دارید؟ مثلا برای سنجش این ادعا می توانید اطلاعات هک شده مربوط به یک سایت مشخص را بدهید؟ 
ببینید اطلاعات را من ندارم اما براساس تجربه می گویم ای نماد هک شده است. دو ناشناس هم مدعی شده اند که این اطلاعات را در اختیار دارند. تجربه ام هم می گوید که راست می گویند. خود سایت هم رفتاری داشته که این ادعا را ثابت می کند. مثلا مدتی هیچ کس نمی توانست وارد سایت شود. اکنون هم که با کاربری خودم وارد سایت می شوم، بخشی از اسناد و مدارک آپلود شده دیگر وجود ندارد و انگار دیگر این اسناد را در اختیار ندارند. 
حالا اینکه چه کسی باید این ادعا را ثابت کند، باید یک کمیته مستقلی تشکیل شود. این موضوع را به دقت بررسی کند چون قطعا خودشان می گویند که چنین هکی اتفاق نیفتاده است.
 یکی از داغ ترین موضوعاتی که دنبال کرده اید، اعطای درگاه های شرط بندی به سایت های قمار است. چه شد به این موضوع علاقه مند شدید؟ 
ما مشغول بررسی صفحات و اپلیکیشن های فیشینگ بودیم که متوجه شدیم اینها با رشد وحشتناکی مواجهند. وقتی یک نفر اطلاعات کارت بانکی می دزدید، معمولا یا با آن شارژ می خرید یا به خرید کالا و محصول دیگری می پرداخت. ولی مگر چقدر می توان شارژ خرید. بنابراین وقتی فیشینگ رشد گسترده ای دارد، حتما راهی برای پولشویی به وجود آمده است. هم زمان شرط بندی، تمام تبلیغات تلگرام را قبضه کرده بود و متوجه شدیم اینها به هم ربط دارند. سایت های شرط بندی درگاه مستقیم بانکی داشتند و خیلی راحت شب پول ها وارد درگاه اینها می شد و صبح پول ها شسته شده است.
 مشکل کجاست و چطور این درگاه ها این قدر رشد داشته اند؟
مشکل از سیستم پرداخت است. قاعدتا نه می توان جلوی قماربازها را گرفت و نه به قمارخانه ها مجوز داد. بنابراین تنها راه این است که جلوی نقل و انتقال پول را بگیرید. اما شما می بینید سایتی با یک میلیون کاربر و ماهی 100 میلیارد تومان تراکنش به راحتی فعال است.
دلیلش را هم به شما می گویم. مگر شما چند تجارت بزرگ اینترنتی با تراکنش های بالا دارید؟ مثلا دیجی کالا را می شود نام برد. بعد از آن چه؟ خب سایتی با تراکنش صد میلیاردی برای PSPها بهشت است. نمی گویم آنها فاسد هستند. آنها خود را یک تاکسی می بینند که مهم نیست چه کسی سوار آن شده و صرفا وظیفه دارند مسافر را به مقصد برسانند. غافل از اینکه به 13 شرکت مجوز PSP نداده اند که فقط نقش تاکسی را ایفا کند. 
وقتی درها باز می شود، هزاران نفر آلوده آن می شوند. شما ببینید چند نفر آدم به ترکیه فرار کرده اند که همه اش به خاطر بی مسوولیتی آقایان است. 
 به نظر می رسد شما در انتقادات خود بیش از آنکه سازمان ها را هدف بگیرید، افراد را هدف گرفته اید. چرا؟
بله همین طور است. چون ما قوانین زیادی داریم و عالی هم هستند. همین شاپرک سال 1395 مدعی شد که MCC را راه انداخته است. با این سیستم صنوف دسته بندی شده و تراکنش هر صنف دسته بندی می شود. بنابراین مثلا اگر درگاه یک سبزی فروش ناگهان درآمد چند میلیاردی داشت، به راحتی شناسایی می شود. از سال 95 که مدعی شدند MCC در شاپرک راه افتاده، هنوز هیچ خبری نیست.
به خاطر همین هم یک نفر با ماهی دو میلیون تومان، مدارک یک شخص دیگر را اجاره کرده و به اسم او یک درگاه می گیرد و تراکنش های میلیاردی دارد. خیلی از اینها ای نماد هم ندارند. 
شما اگر فهرست 10 سایت پرتراکنش ایران را دربیاورید، حتما بیشتر آنها قمار است. همه آنها هم درگاه مستقیم دارند چون پلیس شرکت های واسط پرداخت حساس است و آنها مراقبت می کنند به چنین مشتریانی سرویس ندهند. 
خدا می داند چند نفر درگیر و بدبخت این پول شده اند. الان در اینستاگرام طرف حاضر است اسید را با خاک بخورد که چندتا فالوئر بیشتر بگیرد تا تبلیغ سایت شرط بندی کند. 
 یکی از اتهاماتی که به شما می زنند، باج خواهی است. برخی مدعی هستند که از شما مدارکی دارند که به صورت بیت کوین باج گرفته اید. در یک مورد هم یک میلیارد تومان از یک PSP باج گرفته اید. این شایعه وقتی قوی تر شد که شما در کانال تان گفتید قیمت من بالاست! اولا آیا پیشنهاد باج به شما شده و دوما پاسخ شما به این اتهام چیست؟
بله؛ پیشنهاد باج به من شده است. در یک خبرگزاری هم بدون آنکه نام مرا بیاورند، گفته اند من باج گرفته ام. خب اگر مدیری به من باج داده است، حتما مشکلی داشته که این کار را کرده. بروید بررسی کنید مشکل کارش کجاست. 
این دروغ است و من به مدعیان باج خواهی گفتم اگر شرافت دارند و اگر به مسایل شرعی معتقدند، بیایند و مدارک این اتهام را رو کنند. حتما سندی وجود دارد که می گویند من باج گرفته ام. 
شما ببینید، همین ها که این اتهام را به من می زنند گزارش می دهند که 400 سایت شرط بندی را بسته ایم. این گزارش ها خنده دار است وقتی حتی یک نفر هم اخراج نشده است. یعنی همه پاک بودند و هیچ فسادی نیست؟ من به شما می گویم صد سایت بزرگ شرط بندی داریم که سر جمع شاید 20 درگاه هم نداشته باشند. اینها را اعلام کرده ایم اما یا این درگاه ها را نمی بندند یا با تاخیر این اتفاق می افتد. مطمئن باشید هرجا که پولی با این حجم رد و بدل می شود، حتما فسادی در کار است.
تازه این بخشی از ماجراست. شرکت های پشت این سایت های شرط بندی در دوبی و سوئد و انگلیس است و باید ببینیم این درآمدهای میلیاردی چطور به دلار تبدیل شده و از کشور خارج می شود.
 اخیرا گفته اید که شما و خانواده تان را تهدید کرده اند. این تهدید به چه صورت بوده و چه اطلاعاتی از شما داشته اند؟
بله هر روز من در تلگرام با آیدی های ناشناس تهدید می شوم. برخی فحش می دهند و برخی عکس اسلحه می فرستند. اما در یک مورد خاص، فرد تهدید کننده اطلاعاتی مانند لحظه خروج من از ایران و شماره پروازم را داشت که هرکسی به این اطلاعات دسترسی ندارد.
البته اینجا دستشان به من نمی رسد ولی خانواده من در ایران هستند. با اینکه تاکنون هیچ وقت هیچ چیز را پای نظام نگذاشته ام و سیستم را مسوول ندانسته ام، اما در این مورد مسوولیت محافظت از خانواده ام با دادستانی است. 
 در پایان اگر نکته دیگری دارید، بگویید.
از آذری جهرمی تشکر می کنم. ایشان حرف ما را شنیده اند و چندبار هم واکنش نشان داده اند. چندبار مرکز ماهر را به چالش کشیده ایم اما دست این دوستان را می بوسم چون هرچند به ما مستقیم اشاره نکرده اما تغییراتی در کارشان ایجاد کرده اند که خوب بوده است. این نکته را هم بگویم که جرایم سایبری در ایران در مقابل جرایم پیچیده و بزرگی که در دنیا اتفاق می افتد هیچ است. اگر مرکز ماهر و مرکز افتا که جواب هیچ کس را نمی دهد، نتوانند با این جرایم برخورد کنند، با جرایم پیچیده چه می کنند؟

​​