هکرهای آسوده خاطر

هک و نفوذگری زوایای پنهان تکنولوژی به شمار می آیند که به مدد آن بستر ایجاد صدها خدمات رسانی شکل گرفته است که از آن جمله می توان به شکل گیری میلیون ها سایت اشاره کرد

هک و نفوذگری زوایای پنهان تکنولوژی به شمار می‌آیند که به مدد آن بستر ایجاد صدها خدمات رسانی شکل گرفته است که از آن جمله می‌توان به شکل‌گیری میلیون‌ها سایت اشاره کرد. سایت‌‌های که با خدمات متنوع خود توانسته کاربران را با سلایق مختلف همچنان راضی نگاه دارد. اما نفوذگری هکرها هرازچندگاهی باعث به وجود آمدن اختلال‌‌های در عرضه خدمات رسانی می‌شود و در این میان باید گفت سایت‌های ایرانی نیز در این میدان بی‌نصیب از نفوذ نبوده‌اند و به دلایل مختلفی توسط هکرهای داخلی و خارجی مورد حمله قرار گرفته‌اند.

تازه‌ترین این نفوذها و به نوعی بی‌خطرترین آن مربوط به هک شدن سایت ایران‌خودرو است. طبق اخبار رسمی منتشره شده، گفته می‌شود همزمان با رونمایی از سمند سورن، محصول جدید ایران خودرو، سایت این شرکت توسط گروه ISP-Cracker هک شده بود و این گروه دلیل نفوذ خود را به نشانه اعتراض به امنیت پائین محصولات ایران خودرو نسبت داده و جالب آن است که این هکرها تمایل خود را برای به دست گرفتن امنیت سایت این شرکت خودروساز اعلام کرده بودند. درتقسیم‌بندی هکرها به چنین هکری، هکر کلاه سفید گفته می‌شود که با انگیزه مثبت اقدام به هک سایتی می‌کند تا مدیران سایت را نسبت به بالا بردن ضریب امنیت سیستم خود ترغیب و به نوعی بستر ایجاد همکاری با سایت مورد حمله را فراهم کنند. اما رضا پرویزی دبیر سابق جرایم‌رایانه‌ای با چنین تقسیم‌بندی مخالف است چرا که وی اعتقاد دارد دزدی چه با انگیزه خوب و چه با انگیزه بد دزدی است و قانون با دزد برخورد میکند. هک هم هیچ تفاوتی با دزدی ندارد،هکر کلاه سفید اگر راستگو باشد باید در قالب شرکتهای امنیت شبکه و بصورت مجاز به فعالیت بپردازد و مسئولین هم باید با فراهم ساختن زمینه‌های این کار‌ از این پتانسیل بهره برداری کنند.

● این سرورهای ناامن

در حالی که تا همین چند سال قبل موضوع هک سایت‌ها خصوصا سایت‌های مهم کشوری مورد توجه قرار نمی‌گرفت و به طور کلی اخبار مربوط به آن در هیچ جای منعکس نمی‌شد، امروزه شاهد آن هستیم که اخبار مربوط به هک شدن سایت‌ها به سرعت در تمامی رسانه‌های گروهی بخش و منتشر می‌شود و علت این دگرگونی در شیوه اطلاع رسانی به این مسئله برمی‌گردد که توجه کاربران به کوچکترین تغییر در صفحات اینترنتی سایت‌ها به شدت افزایش یافته است . این موضوع در حالی که مدیران سایت‌ها را نسبت به ضعف امنیتی سایت‌هایشان هشدار می‌دهد به نوعی کار صاحبان سرورهای اینترنتی را به مراتب دشوار کرده است.

مسئول یکی از سرورهای اینترنتی در همین زمینه می‌گوید، تا همین چندی قبل تغییرات در بسیاری از سایت‌های مهم اساسا به چشم نمی‌آمد و از کار افتادن آن‌ها حتی برای چند روز هیچ توجه‌ای را به سمت خود جلب نمی‌کرد اما امروزه چند ساعت وقفه در سرویس سرورها اعتراضات بی‌شماری را حتی از وبلاگ نویس‌ها تا صاحبان سایت‌های شخصی را به همراه دارد.

رقابت شدیدی که طی سال‌های اخیر در زمینه میزبانی وب به وجود آمده بیشتر حول و حوش کاهش قیمت و ارزانی آن بوده است به نحوی که شرکت‌های خدمات دهنده میزبانی با خرید یک فضای اینترنتی، حجم آن را قطعه قطعه کرده و در اختیار متقاضیان قرار می‌دادند و به عبارتی باید گفت شرکت‌‌های میزبان وب برای کاهش قیمت‌های خود و جلب مشتریان بیشتر به سراغ سرویس‌های می‌رفتند که از امنیت و کیفیت پائین‌تری برخوردار بودند و در مقابل قیمت آن‌ها نیز پائین‌تر بود. چنین روشی خود به نوعی راه نفوذ هکرها را هموار کرده است. هر چند که گفته می‌شود ضعف امنیتی شبکه، تنها به هزینه پائین در تامین کیفیت مناسب خدمات رسانی هاستینگ ارتباط پیدا نمی‌کند. چرا که موضوع تخصص، بحثی است که این روزها به آن نگاه جدی صورت نمی‌گیرد.

در همین رابطه رضا‌عسگری یکی از کارشناسان امنیت شبکه می‌گوید،موضوع تخصص جزو مواردی است که نمی‌توان به سادگی از کنار آن گذشت چرا که بسیاری از افرادی که مسئولیت میزبانی را به عهده دارند از معلومات و دانش کافی برخوردار نیستند و به همین علت در مقابل مشکلات کاربران در می‌مانند و یا قادر به تامین امنیت آن نیستند. نکته دیگر این است که آن‌ها به نوعی یک خرده فروش بازاری بزرگ به حساب می‌آیند یعنی حتی نماینده یک شرکت خارجی خدمات دهنده هاستینگ هم نیستند و صرفا یک فروشنده جز‌ء به شمار می‌آیند لذا در مواقع حساس مثل حملات بزرگ اینترنتی یا مشکلات فنی باید با مسئولان سرور اصلی در کشور ثالث ارتباط برقرار کنند و همین مشکلات را دو چندان می‌کند.

● بازار در تسخیر نرم افزارهای هک

بعد از سرورهای ناامن و کم تجربه بودن مسئولین این گونه سرورها یکی دیگر از عواملی که سبب رشد روزافزون نفوذگری شده است مربوط به آموزش‌های است که در این خصوص به افراد داده می‌شود تا آنجا که امروزه فروشگاههای عرضه کننده نرم افزار مملو از نرم افزارهایی برای نفوذ غیر قانونی، دزدیدن پسورد، تخریب شبکه های اینترنتی و ... است . عدم برخود لازم و نبود متولی مشخص برای نظارت بر عرضه این گونه محصولات عملا بازار را با اینگونه محصولات اشباع کرده است تا آنجا که حتی برخی فروشندگان به تبلیغ این گونه نرم افزارها به شکلی بسیار آشکار می‌پردازند. از طرف دیگر کتاب‌های آموزشی هک با مجوز‌های رسمی در تیراژی وسیع منتشر می‌شود و در اختیار کاربران اینترنت قرار می‌گیرد و این عوامل به خودی خود راه نفوذ و خرابکاری را گسترش می‌دهد.

رضا عسگری کارشناس امنیت شبکه در این باره می گوید : مشتری اصلی این گونه نرم افزارها نوجوانان هستند چرا که آن‌ها به تازگی با مقوله کامپیوتر و اینترنت آشنا شده‌اند و از آن جا که کنجکاوی در این قشر بسیار شدید است معمولا به سراغ این گونه نرم افزارها می روند .

این کارشناس تاکید می‌کند، متاسفانه بازار اشباع شده کامپیوتر از این گونه نرم‌افزارها و عدم نظارت در ارایه سالم محصولات، به نوعی نوجوانان را به سمت استفاده از این گونه نرم افزارها ترغیب می کند در حالیکه همین انرژی که برای یادگیری و استفاده در جهت تخریب به کار می رود می تواند برای یادگیری نرم افزارهای مفید و توسعه بخش‌های مختلف کامپیوتری و اینترنتی به کار گرفته شود.

به هرحال اگر نوجوانان عمده ترین قشر استفاده کننده از این گونه محصولات کامپیوتری مخرب باشند. هم اکنون به غیر از عرضه نرم افزارها و انتشار کتاب‌های در این مورد راههای دیگری برای ورود آن‌ها به چنین عرصه‌ای وجود دارد از جمله آن‌ها می توان به برگزاری کلاس‌های آموزشی هک‌، کرک و یا کلاس‌های تحت عنوان امنیت کامپیوتری اشاره کرد.

مدیر یکی از کلاس‌های آموزش امنیت اینترنتی در این باره می گوید: امنیت شبکه و امنیت روی وب آن چیزی است که ما در کلاس‌های خود آموزش می دهیم البته برای آشنایی دانشجویان موارد عملی و شکل‌های نفوذ نیز تشریح می شود ضمن آن که در کنار نفوذ، راههای مقابله نیز تدریس می‌شود.

وی در پاسخ به این پرسش که دانشجویان بعد از حضور در این کلاس‌ها ممکن است از دانش خود بهره برداری نامناسبی داشته باشند می گوید: هدف ما پرورش هکر نیست ضمن این که اگر این گونه فکر کنیم که ممکن است از هر ابزاری استفاده منفی صورت گیرد پس نباید از آن استفاده کرد راه را به بیراهه رفته ایم. کلاس‌های آموزشی، دانش این عرصه را به دانشجویان ارایه می دهد. آنها می توانند از این دانش در جهت درست بهره بگیرند و به عنوان مثال می توانند مدیر امنیت یک شبکه کامپیوتری شوند و یا این دانش در جهت منفی به کار ببرند این بستگی به شرایط جامعه و خود این افراد دارد.

به هرحال باید گفت واقعیت اینگونه کلاس‌ها نوع دیگری است چرا در اغلب این کلاس ها صرفا شکل‌های تخریب و نفوذ غیر قانونی را آموزش می‌دهند نه امنیت و راههای مقابله با آن را، از طرف دیگر هم اکنون سایت‌های متعددی به زبان فارسی راههای آموزش هک و کرک را ارایه می دهند و استقبال از آن ها نیز رو به افزایش است و جالب آن است که این روزها در اکثر سرویس‌دهندگان وبلاگ تبلیغاتی از این دست به چشم می‌خورد که در سه سوت آی دی یاهو مسنجر را هک کنید و... که این گونه تبلیغاتی در چنین حجم وسیعی جای سوال دارد.

به عقیده بسیاری از کارشناسان، سایتِ‌های اینترنتی آموزش هک در تمامی دنیا وجود دارند و اتفاقا استقبال زیادی از آن‌ها صورت می گیرد اما چون از حیطه قوانین جاری کشورها خارج نیست. بنابراین عمدتا فعالیت آن‌ها با مشکل قانونی مواجه نمی‌شود تا آنجا که حتی برخی از متخصصان امنیتی وجود این سایت‌ها و هکر‌ها را به سود امنیتی شبکه ها می دانند چرا که آن‌ها می توانند میزان امنیت سایت‌ها و پایگاههای اطلاعاتی را محک بزنند تا اگر نقصی در آن ها وجود دارد توسط متخصصان رفع شود .

هک و نفوذ به سایت‌ها چه به دلیل پائین بودن امنیت سرویس‌های ارائه دهنده فضای اینترنتی باشد و چه به دلیل وجود دهها مراکزآموزشی هک و به طبع آن هزاران کتا ب و سی‌دی آموزشی در بازار باعث می‌شود به نوعی صاحبان سایت‌ها و از آنها مهم‌تر کاربران دچار ضرر‌های هنگفتی شوند و در بعضی اوقات ضرر‌های به وجود آمده را نمی‌توان جبران کرد با چنین اوضاع و احوالی به نظر می‌رسد هک کردن سایت و از بین بردن اطلاعات آن جرمی است که در ردیف سرقت‌ و آنهم سرقت‌های بزرگی که در آن به اموالی قیمتی دستبرد زده می‌شود به حساب می‌آید با این تفاوت که در این نوع سرقت، اطلاعات کلیدی سایت به جای اموال قیمتی مورد تاراج قرار گرفته است. بنابراین در این میان جای قانونی خاص همچون قانون جرایم رایانه‌ای بسیار خالی است که طبق آن قانونگذار بتواند با فرد نفوذگر برخورد قضایی داشته باشند. اما متاسفانه خلا قانونی در این مورد سبب شده است که هکرها به آسودگی مرزها را شکسته و اطلاعات را مورد هدف قرار دهند هرچند در این میان بسیاری از کارشناسان امیدوارند که با تصویب هرچه سریعتر قانون جرایم رایانه‌ای این خلا به گونه‌ای پرشود. ولی رمضانعلی صادق‌زاده رئیس کمیته مخابرات مجلس در خصوص وضعیت فعلی این قانون می‌گوید، کلیات قانون جرایم رایانه‌ای در حدود چند ماه پیش از سوی کمیسیون ما مورد تصویب قرار گرفت و رسیدگی به جزئیات آن به کمیسیون حقوقی و قضایی سپرده شد. اما هنوز پس از گذشت چندین ماه این کمیسیون جزئیات را مورد بررسی قرار نداده تا طرح فوق به صحن علنی مجلس برسد. البته دلیل این تعلل به این مسئله برمی‌گردد که از همان ابتدا دولت برای این طرح فوریتی اعلام نکرده بود به همین علت نحوه رسیدگی کمیسیون حقوقی و قضایی روی طرح مانند رسیدگی به طرح‌ها و لوایح عادی است بنابراین من به نوبه خود روی تصویب این طرح زیاد خوش‌بین نیستم تا آنجا که شاید تصویب آن به عمر مجلس هفتم نیز نرسد.

به هرحال این اقدام دولت یعنی مطرح نکردن این طرح با فوریت به هر دلیلی باشد تنها این مژده را به مجرمان رایانه‌ای می‌دهد که فعلا در آسودگی کامل به تخلفات خود ادامه دهند.