حمله به سایت سازمان فضایی ایران توسط یك گروه هكر ایرانی به نام Persian Boys، هك یكی از بانكهای كشور توسط گروه ISCN و مشكل كاربران برای دسترسی به صفحات اصلی بانك، دستكاری سایت ماهنامه دنیای كامپیوتر و ارتباطات توسط گروهی به نام مافیا، هك چندباره سایت ایسنا توسط هكرهای خارجی و داخلی، نفوذ هكرها به سایت مجلس شورای اسلامی، نفوذ به سایت دانشگاه پیام نور و تغییر نمرهها و..... تنها بخشی از حملات سایبری به سایتهای نهادهای دولتی و آموزشی كشور است.
آن طور كه شواهد و آمارها نشان میدهند، ضریب ایمنی سایتهای ایرانی در مقابل عملیات خرابكارانه بسیار پایین است و همین امر باعث شده است كه نام ایران در میان 50 كشور برتر در زمینه هك سایتها قرار بگیرد. همچنین پلیس آگاهی ناجا، بخش جرائم رایانهای نیز خبر از كشف حدود 67 مورد مشكوك جرم رایانهای توسط گشتهای اینترنتی در سال گذشته دادهاند و اعلام كردهاند كه سهم سایتهای دولتی از نفوذ غیرمجاز اینترنتی در سال 87، 31 درصد و سایتهای غیردولتی 69 درصد بوده است. با توجه به این شرایط و هشدارهایی كه كارشناسان بخش فناوری اطلاعات به مسوولان سازمانها در خصوص چارهاندیشی برای افزایش ایمنی سایتهای ایرانی دادهاند، اما تا كنون به جز چند طرح و پروژه نیمهكاره و یا فراموش شده فعالیت زیادی در این زمینه دیده نشده است.
عدم توجه سازمانها به امنیت فضای سایبر
بیتوجهی سازمانها و نهادهای دولتی و غیردولتی برای افزایش امنیت سایتهای خود باعث شده كه این روزها هك كردن سایتها به یك تفریح مفرح برای برخی از دوستداران دنیای كامپیوتر تبدیل شود، به طوری كه اگر یك بار كلمه «هك» را در مرورگر خود جستوجو كنید با حجم عظیمی از لینكهایی روبهرو خواهید شد كه در آن نام سایتهای هك شده در كشور چه از خارج و چه از داخل دیده میشود.
بررسیهای انجام گرفته از سوی كمیسیون افتای سازمان نظام صنفی رایانههای كشور نشان میدهد كه از 130 سایت سازمانی در سال گذشته حداكثر 110 سایت نفوذپذیر بودهاند. این یعنی 90درصد پورتالهای دولتی ایران در برابر حملات هكرها آسیبپذیرند.
از جمله سایتهای مهمیكه در چند سال گذشته هك شده است، میتوان به سایت مجلس خبرگان، سایت وزارتخانههای اصلی كشور، سایت برخی خبرگزاریها و... اشاره كرد. همچنین دستبرد به دامنه وبسایتهای مهم از شیوههای دیگر اختلال اینترنتی است كه نمونه برجسته آن سرقت دامنه انتخاباتی ایران، متعلق به وزارت كشور بوده است. جالب است كه برخی از این سایتها كه توسط افراد مختلف هك یا مسدود شدهاند، هدفی جز خرابكاری نداشتهاند و برخی دیگر قصدی جز هشدار نداشتهاند. به باور كارشناسان متاسفانه در ایران به مقوله امنیت سایت كمترین اهمیت داده میشود، به خصوص سایتهای دولتی كه با وجود اهمیت دادههای موجود در آن هزینهای برای امنیت سایت پرداخت نمیشود.
پاشا ناصرآبادی، كارشناس حوزه فناوری اطلاعات و دبیر همایش امنیت و دولت الكترونیك در خصوص امنیت سایتهای ایرانی میگوید: «بسیاری از سایتهای مهم كشور را كه باید دارای ضریب ایمنی بالا باشد، با یك داس اتك (حمله به سرور از طریق داس- dos attack) ساده در عرض چند ثانیه میتوان از كار انداخت.»
ناصرآبادی به مشخصات سایتهای هك شده اشاره كرده و میافزاید: «همیشه كاربران از هك شدن یك سایت مطلع نمیشوند؛ چراكه گاهی هك برای یك دقیقه است یا مثلا در ساعت 24 اتفاق میافتد كه بلافاصله برای رفع آن اقدام میشود. ولی با مراجعه با سایت Zone-h میتوان از هك شدن سایتها در دنیا مطلع شد.» وی در ادامه با اشاره به برخی از اخبار در زمینه هك همزمان 500 سایت، اظهار میكند كه معمولا روی یك سرور بیش از 400 سایت قرار دارد و اگر حتی یكی از این سایتها از نظر امنیتی مشكل داشته باشد، به راحتی میتوان همه سایتها را هك كرد.
این كارشناس امنیت اطلاعات با اشاره به اقدام دولت در زمینه ارائه خدمات الكترونیكی اضافه میكند كه ما هیچ چارهای به جز الكترونیكی كردن خدمات نداریم، از این رو باید قبل از هر چیز زیرساختهای امنیتی سایتها را فراهم كنیم.
ناصرآبادی با یادآوری این نكته كه نرمافزارهای مورد استفاده در سازمانها و شركتها، مجهز به سیستمهای ایمنی و حفاظتی نیستند، میافزاید: «برای مثال نرمافزارهای مورد استفاده در اكثر سازمانها قابلیت پشتیبانی از امضای دیجیتالی را ندارند. ارگانهای دولتی وقتی به سمت ارائه خدمات الكترونیك میروند باید ملزم به تجهیز پشتیبانی از امضای دیجیتالی شوند و توانمندسازی سازمانها در مقابل اقدامات خرابكارانه داخلی در اولویت كاری آنها قرار گیرد.» بر اساس اظهارات این كارشناس در زمینه آموزش كاربران اینترنت نیز اقدام مناسبی صورت نگرفته است و در دورههای آموزش كامپیوتر و اینترنت نیز هیچ اشارهای به روشهای حفظ امنیت اطلاعات نمیشود. برای مثال به كاربران در مورد حفظ امنیت ایمیل و اینكه وارد چه سایتهایی نشوند و روی چه لینكی كلیك نكنند، آموزشی داده نمیشود. به اعتقاد این كارشناس موضوع حفظ امنیت اطلاعات در فضای سایبر باید در كتابهای درسی دانشگاهها و دورههای آموزشی گنجانده شود.
هك تنها برای هشدار
به جز اینكه برخی از هكرها هدفی جز تخریب و صدمه زدن به سازمان یا نهادی را دنبال نمیكنند؛ اما در این بین گروههایی هم دیده میشوند كه هدفشان هشدار به سازمانها برای برطرف كردن مشكلات امنیتی سایتهایشان است. این گروه را در زمره گروه هكرهای كلاه سفید طبقهبندی كردهاند. هكرهایی كه با دانش خود از سد موانع امنیتی یك شبكه میگذرند؛ اما اقدام خرابكارانهای انجام نمیدهند. هك سایت انتخاباتی مجلس شورای اسلامی كه در یك فراخوان مورد آزمایش قرار گرفته بود یكی از این نوع هكها بود. گفته میشود هك شدن این سایت بسیار ساده و آسان و توسط یك برنامه نویس مبتدی انجام شده است كه این اتفاق میزان امنیت یك سایت دولتی را نشان میدهد.
امین خسروشاهی، مسوول شبكه دانشگاه صنعتی شریف، در این خصوص میگوید: «وضعیتی كه در چند سال گذشته شاهد آن بودیم، نشان میدهد كه زیرساختهای فناوری اطلاعات ایران به لحاظ امنیتی و دفاعی بسیار آسیبپذیر است و در صورتی كه حملات سامانمندی از سوی هكرهای خارجی به سایتهای دولتی ایران صورت بگیرد، تدابیر پیشگیرانه دفاعی مناسبی اتخاذ نشده است.»
وی معتقد است كه هر سازمانی برای حفظ امنیت سایتهای خود باید استانداردهای امنیتی خاصی را تدوین كند و افراد آن سازمان را ملزم به پیروی از آن استاندارد كند.
اما چیز جالبی كه در این بین دیده میشود، این است كه در حال حاضر در اكثر سایتها، هك كردن سایتها آموزش داده میشود یا CDهای آموزشی آن به راحتی در اختیار افراد قرار میگیرد كه این وضعیت میتواند امنیت اطلاعات سایتهای كشور را هرچه بیشتر به خطر بیاندازد. اما برخی كارشناسان معتقدند كه این CDهای آموزشی كارآیی چندانی ندارد و نمیتواند افراد را به هكرهای حرفهای تبدیل كند. به باور این كارشناسان بیشتر كسانی كه در ایران مبادرت به هك سایتها میكنند، هدف علمی و تحقیقاتی ندارند و به دنبال دستاوردهای امنیتی هم نیستند.
برخی به علت بیكاری و برخی نیز برای ارضای حس كنجكاوی و ورود به حریم خصوصی دیگران، اقدام به هككردن ایمیلها و سایتها میكنند. اما تمام این عوامل میتواند جرقهای باشد تا همین هكرهای نیمهحرفهای به هكرهای حرفهای تبدیل شوند و امنیت اطلاعات سایتهای كشور را دچار اختلال كنند.
همه سال در اكثر كشورهای پیشرفته سیاستهای امنیت اطلاعاتی مشخصی تدوین و به اجرا گذاشته میشود. در كشور ما نیز چندی پیش، سیاستی مبنی بر امنیت فضای تبادل اطلاعات (افتا) تدوین شد كه از ابلاغ آن به تمام داستگاههای دولتی، بیش از 4 سال سپری شده است. در آغاز ابلاغ این طرح، اقداماتی از سوی برخی سازمانهای دولتی برای اجرای سیاستهای طرح «افتا» انجام و مناقصاتی نیز در این زمینه آماده و اعلام شده، اما هماكنون یا این طرح به فراموشی سپرده شده یا اینكه مسیر دیگری جز طرح افتا را طی كرده است.