سه شنبه, ۱۳ آذر, ۱۴۰۳ / 3 December, 2024
مجله ویستا

هک شدن هر روزه سایت‌های دولتی


هک شدن هر روزه سایت‌های دولتی
امروز و بعد از گذشت چندین و چند سال از ورود مبحث IT در ایران هنوز که هنوز است خدمات الکترونیکی شایسته‌ای از طریق وب سایت‌های دولتی قابل ارائه به مخاطبان نیستند، چرا که در بیشتر سایت‌های دولتی از خدمات الکترونیک تنها در حد تعریف و یا چند لینک بسیار معمولی به چند فرم عادی چیز دیگری پیدا نمیکنید و در این میان خبر روزانه هک شدن سایت‌های دولتی به موضوعی طبیعی تبدیل شده که خود نیز مانعی بزرگ در ابتدای ورود به مباحث خدمات الکترونیکی است!
شاید بعضی به این سخن خرده بگیرند اما با بررسی دو وب سایت معروف و جنجالی شهرهای الکترونیک ایران یعنی کیش و مشهد اگر دستی در آتش داشته باشید حتما شما نیز به همین نتیجه می‌رسید.
این مقاله قصد بررسی این دو طرح شکست خورده را ندارد بلکه بیش‌تر مصمم است توجه دولمترادان را به آفتی جلب کند که جدیدا مانند خوره‌ای به جان بسیاری از نهادهای دولتی و شرکت‌های خصوصی افتاده و با پیروی از هم نسبت به راه اندازی پورتال‌هایی با استفاده از نرم‌افزارهای کدباز (Open source) اقدام کرده اند.
● نرم‌افزار کد باز چیست؟
به زبان ساده برای عموم نرم‌افزار های کد باز نرم‌افزارهایی هستند که هر شخصی به تمامی کدهای برنامه ، ساختار بانکهای اطلاعاتی، معماری نرم‌افزاری و مسائل امنیتی آن دسترسی کامل داشته و می‌تواند به راحتی آن نرم‌افزار را از اینترنت دانلود کند. در حقیقت این نوع نرم‌افزارها حاصل همین دانلودها و ویرایش‌ها و تبدیل‌ها از سراسر جهان و توسط هزاران برنامه نویس با سلایق و دیدهای متفاوت است .یکی از علل کد باز شدن یک نرم‌افزار توسعه و بهینه‌سازی و گرفتن اشکالات و ایرادات آن و همچنین همکاری برنامه‌نویسان در یک پروژه است یعنی در حقیقت حاصل نوعی کار گروهی بوده و چه بسا دارای حفره‌های امنیتی بسیار زیاد و خطرناکی نیز باشد که برای عموم استفاده کنندگان و یا ویرایشگران آن قابل مشاهده است. به همین دلیل است که این گونه نرم‌افزارها به سرعت نسخه های جدیدی ارائه می‌دهند که معمولا بر طرف کننده حفره‌های امنیتی هستند
از طرفی استفاده بهینه و حرفه‌ای از این نوع نرم‌افزارها کار مشکل و تخصصی بوده و از توان هر کارشناس عادی بر نمی‌اید و اینگونه است که در این میان برخی از سایت‌های استفاده کننده از این نوع کد‌ها بسیار زیبا و حرفه‌ای به نظر میرسند ( Tehran.ir Dotnetnuke) و برخی واقعا اسفناک! (fa.nr-khr.ir dotnetnuke)
● استفاده از نرم‌افزارهای کد باز در سایت‌های دولتی
شاید استفاده از نرم‌افزارهای کدباز برای سایت‌هایی که برنامه توسعه نداشته و اقدام به ارائه سرویسهای معمولی مانند دانلود، خبر، اطلاع رسانی و... به بازدیدکنندگان خود می‌نمایند و یا برای آگاهی برنامه‌نویسان از متدها و روشهای روز برنامه‌نویسی می‌تواند مفید تلقی شود اما آیا نوع نرم‌افزارها مناسب نهادهای دولتی و سایت‌های اداری نیز هستند؟
البته بهتر است این موضوع را نیز در نظر بگیرید که بسیاری از ادارت دولتی خریدار این نوع نرم‌افزارها حتی نمی‌دانند که دارند یک نرم‌افزار کد باز رایگان را خریداری می‌کنند و با ترفندهای عجیب و غریب برخی شرکتهای خصوصی مانند نام گذاری بر روی پرتال کد باز، قدری دستکاری در سورس و تغییر رد پاها و ادعای کاملا بومی بودن آن و طراحی شده در شرکت خصوصی نسبت به فروش این نوع پورتالها به ادارت دولتی اقدام مینمایند و بعضا با ارقام گزافی سایت‌هایی که تنها زحمت ترجمه فایلهای زبان آنرا متحممل شده اند و شاید نهایتا اقدام به طراحی یک قالب گرافیکی برای آن نموده اند را به قیمت یک نرم‌افزار طراحی شده داخلی و بسا گرانتر از آن به مشتری عرضه می‌کنند.
این کار چه از لحاظ قانونی و چه از لحاظ شرعی مطمئنا دارای مشکل است اما در این نوشته به بررسی سایر مشکلات ناشی از این پدیده می‌پردازیم:
▪ از بین رفتن فرصتهای شغلی برای متخصصین داخلی:
اولین ترکش این موضوع به سمت جمع کثیری از برنامه‌نویسان و فارغ‌التحصیلان داخلی روانه می‌شود
شاید برنامه‌نویسان در ابتدا از اینکه بدون زحمت یک نرم‌افزار کد باز را ترجمه و نصب می‌کنند خوشحال باشند اما در حقیقت و به طور غیر مستقیم ضرر اصلی این موضوع متوجه خود برنامه‌نویسان داخلی می‌شود.
با معمول شدن استفاده از اینگونه نرم‌افزارها به علت پیچیدگی ساختاری این نوع برنامه‌ها و عدم امکان به‌روزرسانی نرم‌افزار در صورت اعمال تغییرات زیاد، شرکت‌ها تمایلی به توسعه خدمات و کدنویسی‌های جدید ندارند و طبعا نیاز به یک برنامه‌نویس یا تجزیه‌گر سیستم در شرکت احساس نمی‌شود، حتی اگر برنامه‌نویسانی باشند که در این سیستم‌ها باقی بمانند به تدریج قدرت نوآوری و خلاقیتشان را از دست می‌دهند. فروشندگان این نوع نرم‌افزارها نیز با استخدام نیروهای غیر حرفه‌ای ( برای پرداخت حقوق کمتر و رهایی از بیمه ) کار خود را که تنها طراحی چند قالب گرافیکی برای پورتال است پیش میبرند و به تدریج کد نویسی و توسعه در این شرکت‌ها و به تبع آن مشتریان آنها فراموش شده و باعث کساد شدن بازارمتخصصان واقعی it در کشور می‌شود.
متاسفانه برخی مدعی هستند که عدم حضور متخصصین IT داخلی مهمترین عامل روآوری به این نوع برنامه‌هاست، اگر به فرض محال این موضوع صحت داشته باشد، مطمئنا راه حل آن نادیده گرفتن پتانسیل نیروهای جوان داخل کشور نیست.
برخی از اساتید دانشگاه نیز به جای تشویق دانشحویان به تولید نرم‌افزار داخلی آنها را در حد ترجمه یک نرم‌افزار کد بازی خارجی محدود و همین را به عنوان پروژه پایان ترم از دانشجو می‌پذیرند.
▪ به‌روز نبودن نرم‌افزار و باگهای امنیتی:
همواره یکی از مهمترین ادعاهای مخالفین استفاده از برنامه های رایگان کدباز بالا بودن احتمال هک شدن سایتها به علت دسترسی عموم به کد برنامه است. در این میان معمولا خریداران دولتی خبر از کد باز بودن نرم‌افزار خود نداشته و مطمئنا به دنبال بروز رسانی نرم‌افزار و نصب نسخه های جدید آن که برای مسائل امنیتی ارائه میشود نیستند و سایت آماده هک و نفوذ می‌شود و اینگونه است که هر ساله شاهد هک شدن ده‌ها سایت دولتی نیز می‌باشیم.
بررسی بر روی یازده نرم‌افزار محبوب اوپن‌سورس این گمان را بوجود آورد که سازمان‌ها و شرکت‌ها ریسک امنیتی استفاده از این برنامه‌ها را دست کم گرفته‌اند.
شرکت امنیتی Fortify با مطالعه بر روی نرم‌افزارهایی همچون JBoss و OpenCMS مشکلات امنیتی متعددی را مشاهده نمودند که عمدتاً بخاطر اشتباهات برنامه‌نویسان اوپن‌سورس ایجاد گردیده‌اند.
در بخشی از این گزارش آمده است: «توجه به نکات امنیتی در پروسه‌های برنامه‌نویسی اوپن‌سورس از اولویت پائینی برخوردار است.»
«با وجود این که برنامه‌های اوپن‌سورس در مورد توانایی‌های بالقوه خود برای رفع نیازهای سازمانی تبلیغات زیادی را انجام می‌دهند اما تعداد اندکی از آنها به نیازهای امنیتی سازمان‌ها توجه لازم و کافی را می‌نمایند.»
▪ از بین رفتن قدرت تجزیه تحلیل و خلاقیت:
شرکتهای فروشنده این نوع پرتال‌ها ترجیح می‌دهد طوری قرار داد را تنظیم کند که تنها با استفاده از ماژولهای موجود در آن (مانند خبر، مقاله، آلبوم تصاویر، جداول اطلاعاتی و...) بتوان سایت را راه اندازی کرد. در این بین فاز اصلی پروژه‌هایIT که شناخت نیازها و تجزیه و تحلیل عملی و علمی برای خدمات رسانی به مخاطبان آن سازمان است در گیر و دار انعقاد یک قرار داد تک بعدی و یک نرم‌افزار از پیش تعیین شده فراموش می‌شودو هیچ راهکاری برای ورود به مباحث خدمات الکترونیکی در این نوع سیستم‌ها دیده نمی‌شود.
ایجاد تغییرات و خصوصی سازی در چینین نرم‌افزارهای کد بازی بسیار پیچیده تر و زمان برتر از طراحی یک سایت اختصاصی برای یک اداره و یا نهاد دولتی است و به همین دلیل است که معمولا شرکتهای ارائه دهنده چنین نرم‌افزار هایی به هیچ وجه پیشنهادی برای توسعه و یا پیشرفت خدمات سایت ندارند و بعد از نصب این نرم‌افزار، ارتقاء آن به فراموشی سپرده میشود.
اگر بخواهیم گشت و گذاری هر چند کوتاه به دنبال چینین سایت‌هایی بزنیم شاید بیشترین موارد استفاده را بتوان از نرم افزارهای کد بازی مانند پورتال rainbow به آدرس اینترنتی http://rainbowportal.net پرتال dotnetnuke به آدرس اینترنتی http://www.dotnetnuke.com و یا نسخه فارسی آن در irandnn.ir و همچنین پورتال کد باز mojoportal به آدرس اینترنتی http://www.mojoportal.com نام برد که به طرز فراگیری در بسیاری از سایت‌های دولتی به چشم می‌خورند برای دیدن نمونه‌هایی می‌توانید به سایت شهرداری تهران ـ سایت شبکه رشد ـ سایت جزیره کیش ـ استانداری خراسان رضوی ـ دامپزشکی خراسان رضوی ـ کانون پرورش کودکان و نوجوانان و صدها نمونه دیگر که متاسفانه با حمایت نهادهای دولتی به طور فراگیری در حال رشد هستند مراجعه کنید.
● راهکار:
نویسنده معتقد است استفاده از این نوع سیستم‌ها را نمیتوان کلا نفی کرد و در بعضی موارد استفاده از این نوع نرم‌افزارها برای برخی سایت‌ها ( با چشم پوشی از مسائل امنیتی ) به صرفه است.
اما به شرط انکه با آگاهی کامل خریدار نسبت به رایگان بودن کد برنامه وذکر نام برنامه کد باز در قرارداد و تعیین قیمت منطقی برای خدماتی مانند نصب ، طراحی قالب و تعیین خدمات اضافه باشد.
علاوه بر این موارد و در صورت اصرار بر استفاده از این نوع سیستم‌ها چرا نباید پایه و اساس یک نرم‌افزار داخلی opensource چیده شود، اما در پایان شاید بتوان با دعوت از نهادهای نظارتی برای کنترل اینگونه قراردادها قدری این بازار پرهیاهو را آرام کرد تا حداقل شبهه مغبون شدن خریداران دولتی و ضایع شدن حقوق شهروندان در این میان برداشته شود.
منبع : ایرسا نیوز