باگهای خطرناک در سایتهای دولتی
بهتازگی یک هکر کلاهسفید با ترفندی ساده از سایت مخابرات ایران مشخصات مشترکان ADSL و شماره موبایل آنها را استخراج کرد. این هکر در گفتوگو با همشهری گفته موارد مشابه بسیاری در سایتهای دیگر دولتی وجود دارد
توییت یک هکر کلاهسفید خطاب به وزیر ارتباطات اخیرا جنجالی در فضای مجازی به راه انداخته و نگاههای بسیاری از کارشناسان مجازی را به یک مشکل قدیمی معطوف کرده است؛ باگهای امنیتی و بیتوجهی شرکتها به حفظ حریم خصوصی کاربران. یاشار شاهینزاده، کارشناس امنیت سایبری به یک مشکل امنیتی در شرکت مخابرات ایران اشاره کرده که با نفود به آن، میتوان به اطلاعات مشترکان ADSL مخابرات ازجمله مشخصات فردی و شماره موبایل آنها دسترسی پیدا کرد. آذریجهرمی با تشکر از او مجتبی جوانبخت، یکی از مقامهای این وزارتخانه را مسئول حل این مشکل کرد. شاهینزاده در اینباره به همشهری میگوید: «برای تمدید حساب اینترنت به سایت مخابرات رفته بودم که فکر کردم بهتر است نگاهی به وضعیت امنیتی این سایت داشته باشم. بعد از مدتی گشتن، به این مشکل برخوردم که ناشی از مشکل برنامهنویسی در سایت بود. جستوجوی بیشتر، باگهای دیگری را نیز آشکار کرد که نشان میدهد امنیت سایت در لایههای پایینی نیز رعایت نشده است.» شاهینزاده در نهایت این مشکل را با وزیر در میان گذاشته اما میگوید سایتها و سازمانهایی که امنیت اطلاعات را جدی نمیگیرند، بسیار بیشتر از اینهاست. این نگاه نیاز به تغییر دارد.
آسیبپذیریهای جدیخروج اطلاعات کشور
در بسیاری از کشورهای جهان، سامانههای پولی و بانکی هدف اصلی هکرها هستند، چون میتوان از طریق آنها پول منتقل کرد. در ایران اما نگاه متفاوتی وجود دارد. یاشار شاهینزاده، کارشناس امنیت سایبری در اینباره میگوید: «در ایران چون راه انتقال مالی بسته است، نگاه هکرها به اطلاعات و کلونیهای اطلاعاتی دوخته شده است. هرجایی که حجم زیادی اطلاعات قرار داشته باشد، یک طعمه محبوب برای آنهاست.» این دادهها میتوانند برای جاسوسی یا بهدست آوردن اطلاعات مهم کشور مورد استفاده قرار بگیرند. یکی از کارشناسان امنیتی در اینباره به همشهری میگوید: «فرض کنید یک سازمان اطلاعات دقیق 70میلیون شهروند کشوری را در اختیار داشته باشد. این دادهها با تلفیق اطلاعات دیگر میتوانند وضعیت یک شهر یا کشور را مشخص کنند.»
خروج مغزها از کشور
برخورد متفاوت با هکرهای ایرانی در جهان باعث میشود بسیاری از آنها به فعالیت در کشورهای دیگر تمایل جدی نشان بدهند. مجتبی مصطفوی، کارشناس امنیت سایبری در اینباره میگوید: «حقوقهای چندینهزار دلاری و امکانات زندگی مناسب باعث شده بسیاری از دوستانمان در این سالها از کشور خارج شوند. درحالیکه لورفتن اطلاعات در کشور ما چندان توسط شرکتها جدی گرفته نمیشود، در بقیه جاها بابت پیداکردن باگها هزینههای هنگفتی پرداخت میشود و کسی که باگ پیدا کند، یک رزومه مهم جهانی برای خودش دست و پا کرده. در ایران اما شرایط کاملا متفاوت است.»
راهحلهای اصلی
به رسمیت شناختن کلاهسفیدها
برخوردی که با هکرهای کلاهسفید انجام میشود، عموما تفاوتی با هکرهای کلاهسیاه و تخریبکننده ندارد. از طرف بسیاری شرکتها، حتی سازمانهای بزرگ و دولتی جایگاه هکرهای کلاهسفید به رسمیت شناخته نمیشود. یاشار شاهینزاده در اینباره میگوید: «کلاهسفیدها بعد از شناسایی و معرفی باگ معمولا مورد شماتت شرکتها قرار میگیرند و متهم میشوند که اطلاعاتشان مورد سوءاستفاده قرار گرفته است. همین برخورد باعث میشود که بسیاری از هکرها این باگها را شناسایی کنند اما تمایلی به ارائه آن به شرکتها نداشته باشند. این روزنه امنیتی تا زمانی که یک هکر سیاه از آن سوءاستفاده کند، در سایت باقی میماند.» کارشناسان حوزه امنیت سایبری، توجه اخیر ارتباطات به یکی از این گزارشها و موظفکردن یکی از کارشناسان وزارتخانه به پیگیری موضوع را نشاندهنده احتمالی تغییر رویکرد در اینباره میدانند. این هکرهای کلاهسفید در نهایت وقتی میتوانند بازدهی خوبی داشته باشند که بهصورت دستهجمعی یک باگ را در سیستمها بررسی کنند. یاشار شاهینزاده، کارشناس امنیت سایبری به همشهری میگوید: «شرکتها برای اینکه مطمئن باشند مشکلشان از همه نظر بررسی میشود، بررسی باگ را به چند سامانه محدود نمیکنند. برای مثال، یک شرکت مخابراتی و اینترنتی فقط سامانه مشتریان را تست نمیکند، بلکه از کارشناسان سایبری میخواهد تا تمام سامانههای سازمان، از صفر تا صد را بررسی کنند. چنین رویکردی در دنیا وجود دارد اما در ایران هیچ نمونهای از آن سراغ ندارم.»
پاداش برای هکرهای قوی
در بسیاری از کشورهای جهان، سازمانها و مؤسساتی برای پشتیبانی از فعالیت هکرهای کلاهسفید فعالیت میکنند. بودجه این شرکتها که متعلق به بخش خصوصی هستند، از ساختارهای بزرگتر تامین میشود. این شرکتها تعرفههای مشخصی برای انواع باگها دارند و جایزههایشان بهاندازهای بالاست که بسیاری از هکرها، پیداکردن باگ را بهعنوان یک شغل انتخاب کردهاند. سیدمجتبی مصطفوی، کارشناس امنیت اینترنت به همشهری میگوید: «اخیرا جشنوارههایی برای پیداکردن باگ و توجه به کلاهسفیدها راهاندازی شده اما چندان کاربردی بهنظر نمیرسد. جایزههایشان در حد چند صد هزار تومان به ازای یک باگ است که برای هکرها و تواناییهایشان به یک شوخی شبیه است. یک هکر باید یک هفته زمان بگذارد، باگ شناسایی کند و در آخر فقط چند صد هزار تومان بهدست میآورد. اگر قرار است این فضا را جدی بگیریم، باید جایزهها هم ارزش واقعیتری داشته باشند و بهصورت مرتب برگزار شوند. باید فضای رقابت بهوجود بیاید و فضایی ایجاد شود که هکرها خودشان راغب شوند در این برنامه شرکت کنند.» یاشار شاهینزاده، کارشناس امنیت سایبری میگوید: «در این مورد، تعداد هکرهایی که دنبال پیداکردن باگهای سیستم میگردند، بسیار بالاست و چون جایزه قابلتوجهی نیز درنظر گرفته شده، رقابت بالایی در این فضا وجود دارد.» بررسیهای همشهری نشان میدهد، باگهای مهم و اساسی در شرکتهای بزرگ و مؤثر که بیشتر از یک میلیون کاربر داشته باشند، حدود 25 تا 40میلیون تومان برآورد میشود. برای پیداکردن باگ مشابه در شرکتهایی مثل گوگل، به هکر کلاهسفید پاداشی معادل 20هزار دلار آمریکا پرداخت میشود.
ایراد در کجاست؟
اهمالکاری درباره مشکل بزرگ
توجهنکردن شرکتهای بزرگ به امنیت سایبری لزوما به متهمکردن هکرهای کلاهسفید به دزدی اطلاعاتی یا حتی ناتوانی برای رفع باگ برنمیگردد. برخی از این شرکتها - عموما با قدرت مالی زیاد و بیشتر دولتی - تمایل چندانی به دانستن مشکل نیز ندارند. یاشار شاهینزاده، کارشناس امنیت سایبری در اینباره به همشهری میگوید: «مدتی پیش یک باگ را در یک شرکت چندمیلیونی حوزه تلفن همراه پیدا کردم. مشکل را به مرکز ماهر هم گزارش دادم و آنها از نماینده شرکت دعوت کردند برای بررسی مشکل در جلسهای حاضر شود. آن نماینده در برنامه حضور پیدا نکرد چون برایش این باگ مهم نبود. این برخورد در بسیاری از شرکتهای دیگر نیز وجود دارد.»
پنتستهای از مدافتاده
یکی از مهمترین تستهای امنیت سایبری که در دنیا به نام «پنتست» یا «تست نفوذپذیری» شناخته میشود، توسط بسیاری از شرکتها جدی گرفته نمیشود. یاشار شاهینزاده در اینباره میگوید: «روش اجرای تست نفوذپذیری در کشور ما مشکلات جدی دارد. نخستین مشکل این است که از بین تمام رخنههای امنیتی موجود در یک سازمان، فقط چند سامانه جزئی و عادی بررسی میشوند. درحالیکه روزنهها معمولا در نقاط پنهان وجود دارند و شناساییشان زمانبر است. ضمن اینکه، معمولا به یک شرکت یا فرد «تستکننده» این اجازه داده میشود که در هر صورت اطلاعات محدودی دارد و بهاندازه کافی، به همهچیز مسلط نیست. از طرفی، برای انجام «پنتست» بهطور سنتی با یک شرکت که چند سال پیش چنین کاری را انجام میداده، همکاری را ادامه میدهند. هیچ تضمینی وجود ندارد که کیفیت یک شرکت برای همیشه ثابت بماند. در نتیجه شرکت سرویسدهنده همیشه باید کنترل شود.»
سختافزار؛ مهمتر از کارشناس
گفتوگوی همشهری با کارشناسان حوزه امنیت سایبری که با شرکتهای دولتی و خصولتی، در زمینه اطلاعات فعالیت کردهاند، نشان میدهد اولویت هزینه در این شرکتها با خرید سختافزارهای گرانقیمت است تا بهکار گرفتن نیروهای متخصص. سیدمجتبی مصطفوی، کارشناس امنیت سایبری میگوید: «بسیاری از شرکتها روی خرید سختافزارهایی تمرکز دارند که قیمتشان بسیار گران است ولی عموما چون روی استخدام نیروهای کارآمد تمرکز ندارند، عملا نیرویی که بتواند با این سیستمها کار کند، وجود ندارد.» در بعضی موارد این نیروها به توصیههای امنیتی که سازمانهایی مثل «مرکز ماهر» در زمینه امنیت سایبری ارائه میکنند نیز به اندازه کافی توجه ندارند. این بیتوجهی باعث شده بود در بهار امسال بخشی از شرکتهای کشور با مشکلات امنیتی جدی مواجه شوند.
تجارت مهمتر از امنیت
بهخاطر قوینبودن قانون در زمینه برخورد با لورفتن اطلاعات شخصی افراد در فضای مجازی و قابلتفسیر بودن بسیاری از جرمها در این حوزه، عملا اولویت بسیاری از شرکتها حل مشکل نیست. مجتبی مصطفوی، کارشناس امنیت سایبری به همشهری میگوید: «فرض کنید یک شرکت چند میلیارد تومان سرمایه دارد. اولویت این شرکت، پیشبردن برنامههای تجاریاش است. اگر مشکلی وجود داشته باشد، تا زمانی که لونرفته و عمومینشده، چندان مهم نیست. بعد از آن هم، معمولا با عذرخواهی مشکل را حل میکنند. اولویت با هزینهکردن سرمایه در زمینههای مهمتر است.»
در همینه زمینه :
کلاس سودوکو
چهره روز
