باگ‌های خطرناک در سایت‌های دولتی

توییت یک هکر کلاه‌سفید خطاب به وزیر ارتباطات اخیرا جنجالی در فضای مجازی به راه انداخته و نگاه‌های بسیاری از کارشناسان مجازی را به یک مشکل قدیمی معطوف کرده است؛ باگ‌های امنیتی و بی‌توجهی شرکت‌ها به حفظ حریم خصوصی کاربران. یاشار شاهین‌زاده، کارشناس امنیت سایبری به یک مشکل امنیتی در شرکت مخابرات ایران اشاره کرده که با نفود به آن، می‌توان به اطلاعات مشترکان ADSL مخابرات ازجمله مشخصات فردی و شماره موبایل آنها دسترسی پیدا کرد. آذری‌جهرمی با تشکر از او مجتبی جوان‌بخت، یکی از مقام‌های این وزارتخانه را مسئول حل این مشکل کرد. شاهین‌زاده در این‌باره به همشهری می‌گوید: «برای تمدید حساب اینترنت به سایت مخابرات رفته بودم که فکر کردم بهتر است نگاهی به وضعیت امنیتی این سایت داشته باشم. بعد از مدتی گشتن، به این مشکل برخوردم که ناشی از مشکل برنامه‌نویسی در سایت بود. جست‌وجوی بیشتر، باگ‌های دیگری را نیز آشکار کرد که نشان می‌دهد امنیت سایت در لایه‌های پایینی نیز رعایت نشده است.» ‌شاهین‌زاده در نهایت این مشکل را با وزیر در میان گذاشته اما می‌گوید سایت‌ها و سازمان‌هایی که امنیت اطلاعات را جدی نمی‌گیرند، بسیار بیشتر از اینهاست. این نگاه نیاز به تغییر دارد.


آسیب‌پذیری‌های جدیخروج اطلاعات کشور
در بسیاری از کشورهای جهان، سامانه‌های پولی و بانکی هدف اصلی هکرها هستند، چون می‌توان از طریق آنها پول منتقل کرد. در ایران اما نگاه متفاوتی وجود دارد. یاشار شاهین‌زاده، کارشناس امنیت سایبری در این‌باره می‌گوید: «در ایران چون راه انتقال مالی بسته است، نگاه هکرها به اطلاعات و کلونی‌های اطلاعاتی دوخته شده است. هرجایی که حجم زیادی اطلاعات قرار داشته باشد، یک طعمه محبوب برای آنهاست.»‌ این داده‌ها می‌توانند برای جاسوسی یا به‌دست آوردن اطلاعات مهم کشور مورد استفاده قرار بگیرند. یکی از کارشناسان امنیتی در این‌باره به همشهری می‌گوید: «فرض کنید یک سازمان اطلاعات دقیق 70میلیون شهروند کشوری را در اختیار داشته باشد. این داده‌ها با تلفیق اطلاعات دیگر می‌توانند وضعیت یک شهر یا کشور را مشخص کنند.»

خروج مغزها از کشور
برخورد متفاوت با هکرهای ایرانی در جهان باعث می‌شود‌ بسیاری از آنها به فعالیت در کشورهای دیگر تمایل جدی نشان بدهند. مجتبی مصطفوی، کارشناس امنیت سایبری در ‌این‌باره می‌گوید: «حقوق‌های چندین‌هزار دلاری و امکانات زندگی مناسب باعث شده بسیاری از دوستانمان در این سال‌ها از کشور خارج شوند. درحالی‌که لو‌رفتن اطلاعات در کشور ما چندان توسط شرکت‌ها جدی گرفته نمی‌شود، در بقیه جاها بابت پیدا‌کردن باگ‌ها هزینه‌های هنگفتی پرداخت می‌شود و کسی که باگ پیدا کند، یک رزومه مهم جهانی برای خودش دست و پا کرده. در ایران اما شرایط کاملا متفاوت است.»


راه‌حل‌های اصلی

به رسمیت شناختن کلاه‌سفیدها

برخوردی که با هکرهای کلاه‌سفید انجام می‌شود، عموما تفاوتی با هکرهای کلاه‌سیاه و تخریب‌کننده ندارد. از طرف بسیاری شرکت‌ها، حتی سازمان‌های بزرگ و دولتی جایگاه هکرهای کلاه‌سفید به رسمیت شناخته نمی‌شود. یاشار شاهین‌زاده در این‌باره می‌گوید: «کلاه‌سفیدها بعد از شناسایی و معرفی باگ معمولا مورد شماتت شرکت‌ها قرار می‌گیرند و متهم می‌شوند که اطلاعات‌شان مورد سوءاستفاده قرار گرفته است. همین برخورد باعث می‌شود که‌ بسیاری از هکرها این باگ‌ها را شناسایی کنند اما تمایلی به ارائه آن به شرکت‌ها نداشته باشند. این روزنه امنیتی تا زمانی که یک هکر سیاه از آن سوءاستفاده کند، در سایت باقی می‌ماند.» کارشناسان حوزه امنیت سایبری، توجه اخیر ارتباطات به یکی از این گزارش‌ها و موظف‌کردن یکی از کارشناسان وزارتخانه به پیگیری موضوع را نشان‌دهنده احتمالی تغییر رویکرد در این‌باره می‌دانند. این هکرهای کلاه‌سفید در نهایت وقتی می‌توانند بازدهی خوبی داشته باشند که به‌صورت دسته‌جمعی یک باگ را در سیستم‌ها بررسی کنند. یاشار شاهین‌زاده، کارشناس امنیت سایبری به همشهری می‌گوید: «شرکت‌ها برای اینکه مطمئن باشند‌ مشکل‌شان از همه نظر بررسی می‌شود، بررسی باگ را به چند سامانه محدود نمی‌کنند. برای مثال، یک شرکت مخابراتی و اینترنتی فقط سامانه مشتریان را تست نمی‌کند، بلکه از کارشناسان سایبری می‌خواهد تا تمام سامانه‌های سازمان، ‌از صفر تا صد را بررسی کنند. چنین رویکردی در دنیا وجود دارد اما در ایران هیچ نمونه‌ای از آن سراغ ندارم.»

پاداش برای هکرهای قوی

در بسیاری از کشورهای جهان، سازمان‌ها و مؤسساتی برای پشتیبانی از فعالیت هکرهای کلاه‌سفید فعالیت می‌کنند. بودجه این شرکت‌ها که متعلق به بخش خصوصی هستند، از ساختارهای بزرگ‌تر تامین می‌شود. این شرکت‌ها تعرفه‌های مشخصی برای انواع باگ‌ها دارند و جایزه‌هایشان به‌اندازه‌ای بالاست که بسیاری از هکرها، پیدا‌کردن باگ را به‌عنوان یک شغل انتخاب کرده‌اند. سیدمجتبی مصطفوی، کارشناس امنیت اینترنت به همشهری می‌گوید: «اخیرا جشنواره‌هایی برای پیدا‌کردن باگ و توجه به کلاه‌سفیدها راه‌اندازی شده اما چندان کاربردی به‌نظر نمی‌رسد. جایزه‌هایشان در حد چند صد هزار تومان به ازای یک باگ است که برای هکرها و توانایی‌هایشان به یک شوخی شبیه است. یک هکر باید یک هفته زمان بگذارد، باگ شناسایی کند و در آخر فقط چند صد هزار تومان به‌دست می‌‌آورد. اگر قرار است این فضا را جدی بگیریم، باید جایزه‌ها هم ارزش واقعی‌تری داشته باشند و به‌صورت مرتب برگزار شوند. باید فضای رقابت به‌وجود بیاید و فضایی ایجاد شود که هکرها خودشان راغب شوند در این برنامه شرکت کنند.» یاشار شاهین‌زاده‌، ‌کارشناس امنیت سایبری می‌گوید: «در این مورد، تعداد هکرهایی که دنبال پیداکردن باگ‌های سیستم می‌گردند، بسیار بالاست و چون جایزه قابل‌توجهی نیز درنظر گرفته شده، رقابت بالایی در این فضا وجود دارد.» بررسی‌های همشهری نشان می‌دهد، باگ‌های مهم و اساسی در شرکت‌های بزرگ و مؤثر که بیشتر از یک میلیون کاربر داشته باشند، حدود 25 تا 40میلیون تومان برآورد می‌شود. برای پیدا‌کردن باگ مشابه در شرکت‌هایی مثل گوگل، به هکر کلاه‌سفید پاداشی معادل 20هزار دلار آمریکا پرداخت می‌شود.


ایراد در کجاست؟

اهمال‌کاری درباره مشکل بزرگ
توجه‌نکردن شرکت‌های بزرگ به امنیت سایبری لزوما به متهم‌کردن هکرهای کلاه‌سفید به دزدی اطلاعاتی یا حتی ناتوانی برای رفع باگ برنمی‌گردد. برخی از این شرکت‌ها - عموما با قدرت مالی زیاد و بیشتر دولتی - تمایل چندانی به دانستن مشکل نیز ندارند. یاشار شاهین‌زاده، کارشناس امنیت سایبری در این‌باره به همشهری می‌گوید: «مدتی پیش یک باگ را در یک شرکت چندمیلیونی حوزه تلفن همراه پیدا کردم. مشکل را به مرکز ماهر هم گزارش دادم و آنها از نماینده شرکت دعوت کردند برای بررسی مشکل در جلسه‌ای حاضر شود. آن نماینده در برنامه حضور پیدا نکرد چون برایش این باگ مهم نبود. این برخورد در بسیاری از شرکت‌های دیگر نیز وجود دارد.»

پن‌تست‌های از مدافتاده
یکی از مهم‌ترین تست‌های امنیت سایبری که در دنیا به نام «پن‌تست»‌ یا «تست نفوذپذیری» شناخته می‌شود، توسط بسیاری از شرکت‌ها جدی گرفته نمی‌شود. یاشار شاهین‌زاده در این‌باره می‌گوید: «روش اجرای تست نفوذ‌پذیری در کشور ما مشکلات جدی دارد. نخستین مشکل این است که از بین تمام رخنه‌های امنیتی موجود در یک سازمان، فقط چند سامانه جزئی و عادی بررسی می‌شوند. درحالی‌که روزنه‌ها معمولا در نقاط پنهان وجود دارند و شناسایی‌شان زمان‌بر است. ضمن اینکه، معمولا به یک شرکت یا فرد «تست‌کننده» این اجازه داده می‌شود که در هر صورت اطلاعات محدودی دارد و به‌اندازه کافی، به همه‌چیز مسلط نیست. از طرفی، برای انجام «پن‌تست» به‌طور سنتی با یک شرکت که چند سال پیش چنین کاری را انجام می‌داده، همکاری را ادامه می‌دهند. هیچ تضمینی وجود ندارد که کیفیت یک شرکت برای همیشه ثابت بماند. در نتیجه شرکت سرویس‌دهنده همیشه باید کنترل شود.» 

سخت‌افزار؛ مهم‌تر از کارشناس
گفت‌وگوی همشهری با کارشناسان حوزه امنیت سایبری که با شرکت‌های دولتی و خصولتی، در زمینه‌ اطلاعات فعالیت کرده‌اند، نشان می‌دهد اولویت هزینه در این شرکت‌ها با خرید سخت‌افزارهای گران‌قیمت است تا به‌کار گرفتن نیروهای متخصص. سیدمجتبی مصطفوی، کارشناس امنیت سایبری می‌گوید: «بسیاری از شرکت‌ها روی خرید سخت‌افزارهایی تمرکز دارند که قیمت‌شان بسیار گران است ولی عموما چون روی استخدام نیروهای کارآمد تمرکز ندارند، عملا نیرویی که بتواند با این سیستم‌ها کار کند، وجود ندارد.»‌ در بعضی موارد این نیروها به توصیه‌های امنیتی که سازمان‌هایی مثل «مرکز ماهر» در زمینه امنیت سایبری ارائه می‌کنند نیز به اندازه کافی توجه ندارند. این بی‌توجهی باعث شده بود در بهار امسال بخشی از شرکت‌های کشور با مشکلات امنیتی جدی مواجه شوند.

تجارت مهم‌تر از امنیت
به‌خاطر قوی‌نبودن قانون در زمینه برخورد با لو‌رفتن اطلاعات شخصی افراد در فضای مجازی و قابل‌‌تفسیر بودن بسیاری از جرم‌ها در این حوزه، عملا اولویت بسیاری از شرکت‌ها حل مشکل نیست. مجتبی مصطفوی، کارشناس امنیت سایبری به همشهری می‌گوید: «فرض کنید یک شرکت چند میلیارد تومان سرمایه ‌دارد. اولویت این شرکت، پیش‌بردن برنامه‌های تجاری‌اش است. اگر مشکلی وجود داشته باشد، تا زمانی که لونرفته و عمومی‌نشده، چندان مهم نیست. بعد از آن هم، معمولا با عذرخواهی مشکل را حل می‌کنند. اولویت با هزینه‌کردن سرمایه در زمینه‌های مهم‌تر است.»‌