هكرهای آسوده خاطر

هك و نفوذگری زوایای پنهان تكنولوژی به شمار می آیند كه به مدد آن بستر ایجاد صدها خدمات رسانی شكل گرفته است كه از آن جمله می توان به شكل گیری میلیون ها سایت اشاره كرد

هك و نفوذگری زوایای پنهان تكنولوژی به شمار می‌آیند كه به مدد آن بستر ایجاد صدها خدمات رسانی شكل گرفته است كه از آن جمله می‌توان به شكل‌گیری میلیون‌ها سایت اشاره كرد. سایت‌‌های كه با خدمات متنوع خود توانسته كاربران را با سلایق مختلف همچنان راضی نگاه دارد. اما نفوذگری هكرها هرازچندگاهی باعث به وجود آمدن اختلال‌‌های در عرضه خدمات رسانی می‌شود و در این میان باید گفت سایت‌های ایرانی نیز در این میدان بی‌نصیب از نفوذ نبوده‌اند و به دلایل مختلفی توسط هكرهای داخلی و خارجی مورد حمله قرار گرفته‌اند.

تازه‌ترین این نفوذها و به نوعی بی‌خطرترین آن مربوط به هك شدن سایت ایران‌خودرو است. طبق اخبار رسمی منتشره شده، گفته می‌شود همزمان با رونمایی از سمند سورن، محصول جدید ایران خودرو، سایت این شركت توسط گروه ISP-Cracker هك شده بود و این گروه دلیل نفوذ خود را به نشانه اعتراض به امنیت پائین محصولات ایران خودرو نسبت داده و جالب آن است كه این هكرها تمایل خود را برای به دست گرفتن امنیت سایت این شركت خودروساز اعلام كرده بودند. درتقسیم‌بندی هكرها به چنین هكری، هكر كلاه سفید گفته می‌شود كه با انگیزه مثبت اقدام به هك سایتی می‌كند تا مدیران سایت را نسبت به بالا بردن ضریب امنیت سیستم خود ترغیب و به نوعی بستر ایجاد همكاری با سایت مورد حمله را فراهم كنند.

اما رضا پرویزی دبیر سابق جرایم‌رایانه‌ای با چنین تقسیم‌بندی مخالف است چرا كه وی اعتقاد دارد دزدی چه با انگیزه خوب و چه با انگیزه بد دزدی است و قانون با دزد برخورد میكند. هك هم هیچ تفاوتی با دزدی ندارد،هكر كلاه سفید اگر راستگو باشد باید در قالب شركتهای امنیت شبكه و بصورت مجاز به فعالیت بپردازد و مسئولین هم باید با فراهم ساختن زمینه‌های این كار‌ از این پتانسیل بهره برداری كنند.

● این سرورهای ناامن

در حالی كه تا همین چند سال قبل موضوع هك سایت‌ها خصوصا سایت‌های مهم كشوری مورد توجه قرار نمی‌گرفت و به طور كلی اخبار مربوط به آن در هیچ جای منعكس نمی‌شد، امروزه شاهد آن هستیم كه اخبار مربوط به هك شدن سایت‌ها به سرعت در تمامی رسانه‌های گروهی بخش و منتشر می‌شود و علت این دگرگونی در شیوه اطلاع رسانی به این مسئله برمی‌گردد كه توجه كاربران به كوچكترین تغییر در صفحات اینترنتی سایت‌ها به شدت افزایش یافته است . این موضوع در حالی كه مدیران سایت‌ها را نسبت به ضعف امنیتی سایت‌هایشان هشدار می‌دهد به نوعی كار صاحبان سرورهای اینترنتی را به مراتب دشوار كرده است.

مسئول یكی از سرورهای اینترنتی در همین زمینه می‌گوید، تا همین چندی قبل تغییرات در بسیاری از سایت‌های مهم اساسا به چشم نمی‌آمد و از كار افتادن آن‌ها حتی برای چند روز هیچ توجه‌ای را به سمت خود جلب نمی‌كرد اما امروزه چند ساعت وقفه در سرویس سرورها اعتراضات بی‌شماری را حتی از وبلاگ نویس‌ها تا صاحبان سایت‌های شخصی را به همراه دارد.

رقابت شدیدی كه طی سال‌های اخیر در زمینه میزبانی وب به وجود آمده بیشتر حول و حوش كاهش قیمت و ارزانی آن بوده است به نحوی كه شركت‌های خدمات دهنده میزبانی با خرید یك فضای اینترنتی، حجم آن را قطعه قطعه كرده و در اختیار متقاضیان قرار می‌دادند و به عبارتی باید گفت شركت‌‌های میزبان وب برای كاهش قیمت‌های خود و جلب مشتریان بیشتر به سراغ سرویس‌های می‌رفتند كه از امنیت و كیفیت پائین‌تری برخوردار بودند و در مقابل قیمت آن‌ها نیز پائین‌تر بود. چنین روشی خود به نوعی راه نفوذ هكرها را هموار كرده است. هر چند كه گفته می‌شود ضعف امنیتی شبكه، تنها به هزینه پائین در تامین كیفیت مناسب خدمات رسانی هاستینگ ارتباط پیدا نمی‌كند.

چرا كه موضوع تخصص، بحثی است كه این روزها به آن نگاه جدی صورت نمی‌گیرد. در همین رابطه رضا‌عسگری یكی از كارشناسان امنیت شبكه می‌گوید،موضوع تخصص جزو مواردی است كه نمی‌توان به سادگی از كنار آن گذشت چرا كه بسیاری از افرادی كه مسئولیت میزبانی را به عهده دارند از معلومات و دانش كافی برخوردار نیستند و به همین علت در مقابل مشكلات كاربران در می‌مانند و یا قادر به تامین امنیت آن نیستند.

نكته دیگر این است كه آن‌ها به نوعی یك خرده فروش بازاری بزرگ به حساب می‌آیند یعنی حتی نماینده یك شركت خارجی خدمات دهنده هاستینگ هم نیستند و صرفا یك فروشنده جز‌ء به شمار می‌آیند لذا در مواقع حساس مثل حملات بزرگ اینترنتی یا مشكلات فنی باید با مسئولان سرور اصلی در كشور ثالث ارتباط برقرار كنند و همین مشكلات را دو چندان می‌كند.

● بازار در تسخیر نرم افزارهای هك

بعد از سرورهای ناامن و كم تجربه بودن مسئولین این گونه سرورها یكی دیگر از عواملی كه سبب رشد روزافزون نفوذگری شده است مربوط به آموزش‌های است كه در این خصوص به افراد داده می‌شود تا آنجا كه امروزه فروشگاههای عرضه كننده نرم افزار مملو از نرم افزارهایی برای نفوذ غیر قانونی، دزدیدن پسورد، تخریب شبكه های اینترنتی و ... است .

عدم برخود لازم و نبود متولی مشخص برای نظارت بر عرضه این گونه محصولات عملا بازار را با اینگونه محصولات اشباع كرده است تا آنجا كه حتی برخی فروشندگان به تبلیغ این گونه نرم افزارها به شكلی بسیار آشكار می‌پردازند. از طرف دیگر كتاب‌های آموزشی هك با مجوز‌های رسمی در تیراژی وسیع منتشر می‌شود و در اختیار كاربران اینترنت قرار می‌گیرد و این عوامل به خودی خود راه نفوذ و خرابكاری را گسترش می‌دهد.

رضا عسگری كارشناس امنیت شبكه در این باره می گوید : مشتری اصلی این گونه نرم افزارها نوجوانان هستند چرا كه آن‌ها به تازگی با مقوله كامپیوتر و اینترنت آشنا شده‌اند و از آن جا كه كنجكاوی در این قشر بسیار شدید است معمولا به سراغ این گونه نرم افزارها می روند .

این كارشناس تاكید می‌كند، متاسفانه بازار اشباع شده كامپیوتر از این گونه نرم‌افزارها و عدم نظارت در ارایه سالم محصولات، به نوعی نوجوانان را به سمت استفاده از این گونه نرم افزارها ترغیب می كند در حالیكه همین انرژی كه برای یادگیری و استفاده در جهت تخریب به كار می رود می تواند برای یادگیری نرم افزارهای مفید و توسعه بخش‌های مختلف كامپیوتری و اینترنتی به كار گرفته شود.

به هرحال اگر نوجوانان عمده ترین قشر استفاده كننده از این گونه محصولات كامپیوتری مخرب باشند. هم اكنون به غیر از عرضه نرم افزارها و انتشار كتاب‌های در این مورد راههای دیگری برای ورود آن‌ها به چنین عرصه‌ای وجود دارد از جمله آن‌ها می توان به برگزاری كلاس‌های آموزشی هك‌، كرك و یا كلاس‌های تحت عنوان امنیت كامپیوتری اشاره كرد.

مدیر یكی از كلاس‌های آموزش امنیت اینترنتی در این باره می گوید: امنیت شبكه و امنیت روی وب آن چیزی است كه ما در كلاس‌های خود آموزش می دهیم البته برای آشنایی دانشجویان موارد عملی و شكل‌های نفوذ نیز تشریح می شود ضمن آن كه در كنار نفوذ، راههای مقابله نیز تدریس می‌شود.

وی در پاسخ به این پرسش كه دانشجویان بعد از حضور در این كلاس‌ها ممكن است از دانش خود بهره برداری نامناسبی داشته باشند می گوید: هدف ما پرورش هكر نیست ضمن این كه اگر این گونه فكر كنیم كه ممكن است از هر ابزاری استفاده منفی صورت گیرد پس نباید از آن استفاده كرد راه را به بیراهه رفته ایم. كلاس‌های آموزشی، دانش این عرصه را به دانشجویان ارایه می دهد. آنها می توانند از این دانش در جهت درست بهره بگیرند و به عنوان مثال می توانند مدیر امنیت یك شبكه كامپیوتری شوند و یا این دانش در جهت منفی به كار ببرند این بستگی به شرایط جامعه و خود این افراد دارد.

به هرحال باید گفت واقعیت اینگونه كلاس‌ها نوع دیگری است چرا در اغلب این كلاس ها صرفا شكل‌های تخریب و نفوذ غیر قانونی را آموزش می‌دهند نه امنیت و راههای مقابله با آن را، از طرف دیگر هم اكنون سایت‌های متعددی به زبان فارسی راههای آموزش هك و كرك را ارایه می دهند و استقبال از آن ها نیز رو به افزایش است و جالب آن است كه این روزها در اكثر سرویس‌دهندگان وبلاگ تبلیغاتی از این دست به چشم می‌خورد كه در سه سوت آی دی یاهو مسنجر را هك كنید و... كه این گونه تبلیغاتی در چنین حجم وسیعی جای سوال دارد.

به عقیده بسیاری از كارشناسان، سایتِ‌های اینترنتی آموزش هك در تمامی دنیا وجود دارند و اتفاقا استقبال زیادی از آن‌ها صورت می گیرد اما چون از حیطه قوانین جاری كشورها خارج نیست. بنابراین عمدتا فعالیت آن‌ها با مشكل قانونی مواجه نمی‌شود تا آنجا كه حتی برخی از متخصصان امنیتی وجود این سایت‌ها و هكر‌ها را به سود امنیتی شبكه ها می دانند چرا كه آن‌ها می توانند میزان امنیت سایت‌ها و پایگاههای اطلاعاتی را محك بزنند تا اگر نقصی در آن ها وجود دارد توسط متخصصان رفع شود .

هك و نفوذ به سایت‌ها چه به دلیل پائین بودن امنیت سرویس‌های ارائه دهنده فضای اینترنتی باشد و چه به دلیل وجود دهها مراكزآموزشی هك و به طبع آن هزاران كتا ب و سی‌دی آموزشی در بازار باعث می‌شود به نوعی صاحبان سایت‌ها و از آنها مهم‌تر كاربران دچار ضرر‌های هنگفتی شوند و در بعضی اوقات ضرر‌های به وجود آمده را نمی‌توان جبران كرد با چنین اوضاع و احوالی به نظر می‌رسد هك كردن سایت و از بین بردن اطلاعات آن جرمی است كه در ردیف سرقت‌ و آنهم سرقت‌های بزرگی كه در آن به اموالی قیمتی دستبرد زده می‌شود به حساب می‌آید با این تفاوت كه در این نوع سرقت، اطلاعات كلیدی سایت به جای اموال قیمتی مورد تاراج قرار گرفته است.

بنابراین در این میان جای قانونی خاص همچون قانون جرایم رایانه‌ای بسیار خالی است كه طبق آن قانونگذار بتواند با فرد نفوذگر برخورد قضایی داشته باشند. اما متاسفانه خلا قانونی در این مورد سبب شده است كه هكرها به آسودگی مرزها را شكسته و اطلاعات را مورد هدف قرار دهند هرچند در این میان بسیاری از كارشناسان امیدوارند كه با تصویب هرچه سریعتر قانون جرایم رایانه‌ای این خلا به گونه‌ای پرشود. ولی رمضانعلی صادق‌زاده رئیس كمیته مخابرات مجلس در خصوص وضعیت فعلی این قانون می‌گوید، كلیات قانون جرایم رایانه‌ای در حدود چند ماه پیش از سوی كمیسیون ما مورد تصویب قرار گرفت و رسیدگی به جزئیات آن به كمیسیون حقوقی و قضایی سپرده شد.

اما هنوز پس از گذشت چندین ماه این كمیسیون جزئیات را مورد بررسی قرار نداده تا طرح فوق به صحن علنی مجلس برسد. البته دلیل این تعلل به این مسئله برمی‌گردد كه از همان ابتدا دولت برای این طرح فوریتی اعلام نكرده بود به همین علت نحوه رسیدگی كمیسیون حقوقی و قضایی روی طرح مانند رسیدگی به طرح‌ها و لوایح عادی است بنابراین من به نوبه خود روی تصویب این طرح زیاد خوش‌بین نیستم تا آنجا كه شاید تصویب آن به عمر مجلس هفتم نیز نرسد.

به هرحال این اقدام دولت یعنی مطرح نكردن این طرح با فوریت به هر دلیلی باشد تنها این مژده را به مجرمان رایانه‌ای می‌دهد كه فعلا در آسودگی كامل به تخلفات خود ادامه دهند.