سایت‌های ایرانی راحت هک می‌شوند

مسئول سایت یکی از بانک‌های کشور وقتی صبح روز شنبه کامپیوتر محل کار خود را روشن کرد و مطابق معمول آدرس سایت اینترنتی بانک را در اینترنت اکسپلورر آن تایپ کرد، با صفحه‌ای مواجه شد که هیچ شباهتی با صفحه اول سایت اینترنتی آن بانک نداشت. او متعجب شد، به نظرش این کار غیر ممکن می آمد چرا که همه چیز تا پنج شنبه بعدازظهر درست پیش از آن که او محل کار خود را در بانک ترک کند درست و سر جای خود قرار داشت اما حالا صفحه نخست سایت با جملاتی از قبیل«این سایت بانک است یا پنیر سوراخ سوراخ؟»، « آقا جان از پول مردم هم این جوری محافظت می کنید؟»، «بهتر نیست به جای این جوایز رنگ و وارنگ کمی به امنیت سایت خودتان فکر کنید؟» و ... پوشانده شده بود.
این نخستین حمله از این نوع به سایت بانک‌های کشور و یا دیگر ادارات دولتی و شرکت های خصوصی نبود و نیست، دست کم چند سالی که رشد اینترنت شکل بی سابقه ای به خود گرفته روزی نیست که با چنین حملاتی مواجه نباشیم. در حقیقت با رشد روز افزون اینترنت و گسترش آن بین بخش های مختلف جامعه حالا موضوع امنیت سایت های اینترنتی از اولویت نه چندان مهم به یک اولویت جدید تغییر مکان داده است. چنین تغییر نگرشی اما در حالی اتفاق افتاده که به عقیده بسیاری از کارشناسان در زمینه امنیت سایت های اینترنتی مشکلات بسیار جدی وجود دارد.
● اولین نیاز تأمین امنیت
وزارت ارتباطات و فناوری اطلاعات اخیراً در گزارشی با عنوان ربع قرن تلاش به ارائه آماری رسمی از تعداد کاربران اینترنت طی پنج سال اخیر پرداخته است. بنا بر این آمار تعداد کاربران اینترنت در سال ۷۹ بالغ بر ۲۰۰ هزار نفر بود که در سال بعد یعنی ۱۳۸۰ به یک میلیون و ۷۰۰ هزار نفر رسید. این تعداد همچنین در سال ۱۳۸۱ به ۳ میلیون و ۲۰۰ هزار کاربر افزایش یافت و این رشد در سال ۱۳۸۲ به بیش از ۵ میلیون ۵۰۰ هزار نفر رسید. مشخص است که در نبود سیستم آمارگیری دقیق میزان کاربران اینترنت طی سال های اخیر به طور دقیق مشخص نبوده و این آمار حتی در مقایسه با بعضی آمارهای دیگر نسبت حداقلی را رعایت کرده است.
دبیر شورای عالی اطلاع رسانی چندی قبل تعداد کاربران اینترنت در کشور را در حدود ۱۶ میلیون نفر ذکر کرده بود و برخی کارشناسان نیز وجود ده میلیون کاربر را تخمین می زنند. به هر حال هر کدام از این آمارها را مبنا قرار دهیم، می توانیم به رشد بسیار سریع اینترنت در کشور پی ببریم.
چنین رشد بی سابقه ای در زمینه تعداد کاربران اینترنت در حقیقت نشان دهنده میزان توجه به تولید روی اینترنت هم هست. هر چند در این مورد نیز آمار دقیقی وجود ندارد اما مشخص است که تنها طی دو سال گذشته تعداد بسیاری سایت به زبان فارسی ایجاد شده و پروژه های بسیاری نیز برای ایجاد سایت در ادارات و سازمان های دولتی به اجرا درآمده است. دولت در چشم انداز برنامه چهارم توسعه موضوع فناوری اطلاعات را با دقت بسیار مورد توجه قرار داده و بودجه های متعددی هم از طریق طرح توسعه و کاربری فناوری اطلاعات و هم با عنوان طرح های فناوری اطلاعات سازمان ها در اختیار آنها قرار می دهد. طبیعی است با چنین رشدی یکی از مهم ترین معضلات حضور در اینترنت یعنی تامین امنیت تبادل داده ها مورد توجه قرار گیرد. کار حتی به جایی رسیده که بعضی از شرکت های تامین کننده فضای اینترنتی تصریح می کنند مهمترین خواسته مشتریانشان از قیمت پایین به تامین امنیت مناسب آن تغییر جهت داده است.
یک کارشناس امور امنیت شبکه در این باره می گوید: تا چند سال قبل کسی به موضوع امنیت توجه نمی کرد ، به رغم این که حملاتی از قبیل هک و خرابکاری های اینترنتی وجود داشت در حقیقت چون حضور اینترنت در کشور هنوز محسوس نبود و سایت های اینترنتی چندان مورد بازدید قرار نمی گرفت حتی هک شدن یک سایت چندان توجهی را بر نمی انگیخت اما امروزه با توجه و استقبال بیشتری که روی اینترنت وجود دارد و افزایش بی سابقه کاربران اینترنتی و بالارفتن شهرت سایت های اینترنتی عملاً هرگونه وقفه در کار یک سایت و یا دستکاری در آن بلافاصله مورد توجه افکار عمومی قرار می گیرد.
روزنامه ها و سایت های اینترنتی بلافاصله اخبار هک را منعکس می کنند و همین مسئله باعث حساسیت موضوع شده است.مدیر یکی از سایت های اینترنتی نیز اعتقاد دارد: توجه دولت به موضوع اینترنت در کشور به رسمی تر شدن این موضوع منجر شده است به این معنی که با حضور سایت های متعدد دولتی و توجه به حضور مؤثر در این شبکه و انجام فعالیت- و نه صرفاً نمایش اطلاعات بی مصرف - باعث شده که هر خبر هک مثل بمبی بترکد خصوصاً هک سایت های مهم و دولتی از این جهت مهم است که بسیاری از آنها فعالیت های اصلی خود را به اینترنت منتقل می کنند و بلافاصله این پرسش ایجاد می شود که حمله به این سایت مثلاً چه مقدار هزینه و خسارت به این سازمان و اداره وارد کرده است.
● طلسمی به نام هک
طی سال های گذشته تقریباً کمتر سایت دولتی از تعرض هکرها مصون بوده است با این همه حمله به سایت های دولتی کمتر هدفمند صورت گرفته است. حمله به سایت هایی مثل سنجش، وزارت ارشاد، جهاد دانشگاهی و دانشگاه آزاد نمونه های قابل ذکری هستند. نگاهی دقیق تر به این حملات نشان می دهد اغلب سایت های دولتی که توسط هکرها دستکاری شدند روی سرورهای ناامنی قرار داشته اند و به همراه سایت های غیر دولتی دیگر به طور یکجا مورد حمله قرار گرفته اند اما به دلیل آن که مشخصاً مربوط به نهاد و یا سازمانی دولتی می شدند خبر مربوط به دستکاری آنها بیشتر مورد توجه قرار گرفته است.
به گفته یک کارشناس امنیت شبکه بسیاری از هک های صورت گرفته اخیر که عمدتاً سایت های دولتی را نیز مورد تعرض قرار داده به خاطر وجود یک سوراخ امنیتی و یا عدم نصب نرم افزارهای به روز روی سرورها انجام شده است به همین دلیل خبرهایی از نوع ۵۰ سایت هک شدند، ۲۰۰سایت مورد حمله قرار گرفتند و ... چندان از نظر حملات اینترنتی دقیق نیستند. در حقیقت موضوع اصلی مربوط به تأمین کنندگان فضای اینترنتی است که به طور یکجانبه تمامی سایت ها را روی یک سرور قرار می دهد و به این طریق در صورت به وجود آمدن کوچکترین مشکل امنیتی بلافاصله تمامی این سایت ها به خطر می افتند به این ترتیب در چنین حملاتی فرد هکر واقعاً ۵۰ یا ۲۰۰ بار عمل هکینگ را انجام نمی دهد بلکه با یک بار ورود غیر مجاز به سرور کنترل تمامی سایت هایی را که روی آن قرار دارند، در دست می گیرد.
مدیر یک شرکت اینترنتی خدمات دهنده فضای اینترنتی (Hosting) اما اعتقاد دارد نباید تمام گناه بی امنیتی در فضای سایبر کشور را به گردن این شرکت ها انداخت. او می گوید: موضوع امنیت یک سایت اینترنتی رابطه مستقیمی با تامین نرم افزارهای به روز و محافظ دارد. در کشور ما تا همین چندی قبل وقتی سایت یک وزارتخانه هک می شد کسی آن را گزارش نمی داد و به جز چند متخصص و کاربر خاص هیچ کس هم از آن مطلع نمی شد اما امروزه کار به جایی رسیده که وقتی یک سایت معمولی هم هک می شود مسئول آن بلافاصله خود را موظف به ارائه اطلاعات مربوط به آن می داند. او اضافه می کند: طی سال های اخیر اینترنت در کشور رشد بی سابقه ای داشته اما موضوع تامین فضای مناسب و ارائه استاندارد های لازم برای آن اصلاً بحث نشده است.
شما تقریباً هیچ خدمات دهنده ای را نمی یابید که سرور آنها حداقل یک بار طی این سال ها مورد نفوذ قرار نگرفته باشد واقعیت این است که حتی بزرگترین و امن ترین سایت ها هم از خطر هک مصون نیستند اما این هم واقعیتی است که هنوز صاحبان سایت های اینترنتی قیمت بسیار پائینی را برای تامین امنیت سایت هایشان می پردازند در حالی که نه تعداد بازدیدکننده شان قابل مقایسه با گذشته است و نه خواسته هایشان. حتی سایت های دولتی که باید حداقل نسبت به سایت های خصوصی حساسیت بیشتری داشته باشند هم گاه سر ۱۰- ۵ هزار تومان کمتر و بیشتر چانه می زنند و حاضر نیستند سرورهای اختصاصی و امن خودشان را داشته باشند.
به رغم این بسیاری از کارشناسان هم اعتقاد دارند که موضوع نگهداری سرور که عمده ترین مشکل امنیتی سایت های اینترنتی ایرانی محسوب می شود به تخصص و دانشی نیاز دارد که کمتر خدمات دهنده میزبانی وب یا هاستینگ است که از آن به طور مطلوب برخوردار باشد. یک کاربر اینترنت در این باره اعتقاد دارد: وقتی شما می توانید با ثبت یک شرکت به هر نامی و خرید یک فضای عمده و خرد کردن آن به فضای کوچکتر صاحب یک شرکت میزبانی وب بشوید دیگر موضوع تخصص چندان به چشم نمی آید.
● سایت ایرانی سرور خارجی
تقریباً می توان گفت به جز میزبانی وب، بسیاری دیگر از نیازهای اینترنتی در داخل کشور برآورده می شود اما تقریباً بیش از ۹۵ درصد سایت های اینترنتی ایرانی در سرورهای خارجی نگهداری می شوند. به عقیده کارشناسان نبود مرکزی که بتوان سایت های کشور را در آن به اصطلاح هاست (HOST) کرد باعث شده که شرکت های ایرانی به فروشندگان خرده پای بسیاری از شرکت های نه چندان بزرگ خارجی تبدیل شوند و همین بعد مسافت و گاه ناآشنایی زبان باعث مشکلات متعددی می شود. مدیر یکی از سایت های اینترنتی بازرگانی می گوید: یک سال قبل وقتی توسط هکری با عنوان «اسپایدرمن» مورد حمله قرار گرفتیم سایت ما برای مدت چند روز در دسترس نبود.
وقتی از مسئول سرور این موضوع را جویا شدیم متوجه شدیم به خاطر مواجهه با تعطیلات در کشور نگهدارنده سرور عملاً دسترسی به مهندسان سرور مربوطه میسر نشده، در حالی که اگر سرور ما در داخل کشور قرار داشت بلافاصله این مشکل قابل حل بود. به هر حال سئوالی که مطرح می شود این است که چرا به رغم آن که سایت های متعددی هک شده اند و روزبه روز هم بر تعداد آنها افزوده می شود باز هم از تامین یک سرور در داخل کشور ناتوان هستیم؟
به عقیده کارشناسان برای نگهداری سرور در داخل کشور نیاز به یک مرکزی به این منظور هست که به اصطلاح دیتا سنتر نامیده می شود. دیتا سنترها سرورهای متعددی را در داخل خود نگهداری می کنند و با سرعت بسیار زیادی به اینترنت متصل هستند. در داخل کشور به دلیل محدودیت در سرعت اتصال به اینترنت امکان بهره برداری حرفه ای از دیتاسنتر وجود ندارد. همچنین به دلیل محدودیتی که مصوبه شورای عالی انقلاب فرهنگی در دسترسی مستقیم به اینترنت وضع کرده امکان ایجاد آن بدون رایزنی های مختلف با مقامات و قانع کردن آنها ممکن نیست. از طرفی دیگر کشور هنوز در فقر پهنای باند به سر می برد.
براساس جدیدترین آمار وزارت آی سی تی هم اکنون پهنای باندی که توسط مخابرات تامین می شود بالغ بر ۳۳۰ مگا بیت ارسال و ۴۱۴ مگا بیت دریافت است و مشخص است این مقدار پهنای باند حتی برای ارائه اینترنت با سرعت متوسط (حدود از ۲۵۶K ) هم مناسب نیست چه برسد به تامین پهنای باند دیتا سنتر که قطعاً صحبت از گیگا بیت خواهد بود. در این باره بسیاری اعتقاد دارند، اگر شرکت مخابرات به جای خرید فیلترینگ هفت میلیارد دلاری از کشور آمریکا یک دیتا سنتر برای کشور می خرید و پهنای باند اینترنت را افزایش می داد الان ضریب امنیت سایت های اینترنتی ایرانی به شدت بالا می رفت و نیازی نبود که وزارتخانه های ما با هراس و ترس و لرز به اینترنت روی بیاورند.
● روزهای آفتابی هکرها
چندی قبل هکری با عنوان «هویج» در طی چند روز چندین بار سایت خبرگزاری دانشجویان ایران - ایسنا - را مورد حمله قرار داد. معاون فنی این خبرگزاری در یک گفت وگو خاطر نشان کرده بود که تقریباً همه روزه چنین حملاتی به این سایت انجام می شود و این تنها یک اتفاق نیست. آنچه معاون فنی خبرگزاری ایسنا به آن اشاره می کند مسئله مهمی است. حمله به سایت های اینترنتی ایرانی بی شک در آینده هم ادامه خواهدداشت. اگر حملاتی که تاکنون صورت گرفته چندان خساراتی برجا نگذاشته بی شک حملات آینده دقیق تر، حساب شده تر و پرهزینه تر خواهد بود.
بسیاری از کارشناسان هنوز متخصصان چندین شرکت نگهدارنده سرورهای اصلی اینترنت را به دلیل حمله ۲۲ اکتبر سال ۲۰۰۲ که صرفاً منجر به افزایش ترافیک داده ها در اینترنت شد، ملامت می کنند و آن را به خاطر توجه نکردن به موضوع امنیت سرزنش می کنند اما از طرف دیگر موضوع فقدان قوانین برای حملاتی از این دست و همچنین تشویق افراد نیز در ساختن فضای آینده بسیار موثر است. به رغم آن که موضوع جرایم رایانه ای این روزها بیش از اندازه در رسانه های مطبوعاتی و سایت های اینترنتی مطرح می شود اما هنوز از تصویب قانون جرایم رایانه ای خبری نیست.
این قانون با وجود آن که به خاطر برخی مسائل مورد اعتراض کاربران اینترنتی قرار گرفته اما تنها قانونی است که صراحتاً به موضوع هک و حملات اینترنتی اشاره کرده و برای اعمالی از این دست عناوین مجرمانه اندیشیده است. تا قبل از تصویب این قانون ، حتی نمی توان واضح ترین حملات اینترنتی را صرفاً به خاطر حمله تحت تعقیب قضایی قرار داد و باید در کتاب های قانون به دنبال مصادیق دیگری گشت تا بلکه بتوان یک خرابکار اینترنتی را واقعاً مجازات کرد.
این روزها هکرهای اینترنتی ایرانی روزهای خوبی را سپری می کنند. سایت های زیادی را هک می کنند و سپس اخبار مربوط به هک آنها در روزنامه ها و رسانه های مختلف منتشر می شود، خبرگزاری های رسمی کشور با آنها مصاحبه های متعدد انجام می دهند، اعمال هک و خرابکاری سایت ها را خیرخواهانه می خوانند و کار حتی به جایی رسیده که برخی از آنها از دولت می خواهند که از هکرها حمایت کند (گفت وگوی هکر سایت های دولتی با خبرگزاری ایرنا) به نظر می رسد به جز فراهم کردن زمینه های مختلف امنیتی و فنی و قانونی موضوع برخورد با هکرهای رایانه ای هم باید مورد بازبینی قرار گیرد.
به گفته رضا پرویزی دبیر کمیته مبارزه با جرایم رایانه ای، هک با دزدی تفاوتی ندارد و به همین دلیل در تمامی کشورها فردی که اقدام به هک نماید بلافاصله تحت تعقیب قرار می گیرد اما به نظر می رسد برخی از هکرها در ایران دوست دارند بعد از نفوذ به سایت - حال با هر عیب و نقصی که داراست - مورد تشویق و حتی حمایت هم قرار بگیرند.