x
۰۹ / خرداد / ۱۳۹۶ ۰۸:۴۹

پایگاه های اطلاعاتی منهای امنیت

پایگاه های اطلاعاتی منهای امنیت

«سایت بانک مرکزی از دسترس خارج شد.» این خبری بود که غروب شنبه به سرعت در کانال‌های اقتصادی تلگرام دست به دست شد، اما ماجرا به همین جا ختم نشد و خبر اختلال پایگاه اینترنتی وزارت کار، ایرانسل و شرکت پست هم یکی پس از دیگری مخابره شد.

کد خبر: ۱۹۶۴۹۵
آرین موتور

  درحالی‌که کاربران فضای مجازی با انتشار تصویر سایت‌های از دسترس خارج شده، حمله هکری را گمانه‌زنی می‌کردند، مدیران دولتی حمله هکری را رد کرده و مدعی بودند این سایت‌ها تنها به دلیل به‌روزرسانی چند ساعتی از دسترس خارج شده است. در این میان برخی دیگر احتمال وقوع بار پردازشی بالا و ترافیک مراجعه به سایت‌ها را عامل اختلالات پیش آمده دانستند. در همین گیر و دار شایعه و تکذیب، دیروز مرکز امداد و هماهنگی حملات رخدادهای رایانه‌ای وزارت ارتباطات (ماهر)‌ عامل اختلال‌ها را حمله هکری دانست. این موضوع در شرایطی رخ داد که ‌سال گذشته حمله گسترده هکرهای عربستان به مرکز آمار ایران، سازمان ثبت اسناد و چند ارگان دولتی خبرساز شد. البته در این میان حمله هکری به ایرانسل در بهمن ماه ‌سال گذشته و لو رفتن اطلاعات مشتریان این اپراتور موج خبری گسترده‌تری به دنبال داشت.

به گزارش اقتصادآنلاین به نقل از شهروند ، اخبار حمله هکری به سایت‌های ایرانی تا آن‌جا پیش رفت که تعدادی از رسانه‌های خارجی سلسله آتش‌سوزی پتروشیمی‌های ایران را به حمله هکری نسبت دادند و اعلام کردند هکرها با اختلال در سیستم ایمنی و هشدار پتروشیمی‌های ایران، آتش‌سوزی راه انداخته و خسارات گسترده به صنعت نفت و گاز وارد کرده‌اند. گرچه دبیر شورایعالی فضای مجازی و مدیران پتروشیمی مطابق انتظار این موضوع را رد کردند اما سطوح امنیتی سایت‌های ایرانی سال‌هاست که مورد انتقاد کارشناسان قرار دارد. کیوان نقره‌کار، کارشناس فناوری اطلاعات  می‌گوید: ادارات دولتی در استخدام متخصصان گرفتار محدودیت‌های پیچیده هستند و همین مسأله باعث می‌شود واحدهای آی.تی ادارات قادر به افزایش استانداردهای امنیتی سایت‌های دولتی نباشند.

عامل حمله مشخص نیست

عامل حمله هکری به سایت‌های دولتی هنوز مشخص نیست. این موضوعی است که روابط‌عمومی سازمان فناوری اطلاعات و همچنین وزارت ارتباطات  اعلام می‌کند. با این وجود مرکز ماهر توضیح داده است  هدف اولیه حمله، پهنای باند شبکه نبوده بلکه هدف منع سرویس توزیع شده و سیستم‌های عامل ویندوز بوده و آناتومی حمله، شامل ارسال زیاد درخواست‌های HTTP به سمت وب‌سرورها با حجم و تعداد بالا بوده  است که باعث ایجاد پردازش سنگین روی سرویس‌دهنده‌ها شده است.

هک سایت‌های دولتی و سازمان‌های مهم تنها مختص ایران نیست و تاکنون خبرهای مختلفی درخصوص هک و حمله سایبری به سایت‌ نهادهای معتبر جهانی مانند ناسا، صندوق بین‌المللی پول، گوگل و... شنیده شده است. برخی از این حملات تنها جنبه تفریحی  دارد و یک تهدید ساده است ولی برخی دیگر با هدف سرقت اطلاعات و وارد کردن ضربه‌های جبران‌ناپذیر به این نهاد‌ها صورت می‌گیرد. برخی دیگر هم با هدف کسب منافع مالی انجام می‌شود. به‌عنوان مثال یک گروه هکری با نام carbanak که پایگاه اصلی آنها در روسیه بود، در ‌سال ۲۰۱۵ میلادی بالغ بر یک‌میلیارد دلار از حساب افراد در بانک‌های مختلف در ٣٠ کشور دنیا برداشت کردند و عنوان بزرگترین هکرهای بانکی در دنیا را به نام خود به ثبت رساندند، اما برداشت یک‌میلیارد دلار از حساب افراد ساکن در ٣٠ کشور دنیا در ‌سال ۲۰۱۵ میلادی پایان ماجرای هکرها نبود. در ‌سال گذشته هم بالغ بر ۸۰‌میلیون دلار از حساب‌های بانک مرکزی در بنگلادش برداشت شد و نشان داد که تلاش‌های جهانی برای مقابله با جرایم آنلاین و به‌خصوص هکرها هنوز به نتیجه مطلوب نرسیده است.

سطح تخصصی واحدهای آی.تی ادارات دولتی پایین است

به باور بسیاری از کارشناسان حوزه وب، امنیت پایین سایت‌های ایرانی و مخصوصا سایت‌های سازمان‌های دولتی باعث می‌شود این سایت‌ها به راحتی مورد حمله و تهدید قرار بگیرند. هرچند تاکنون برنامه‌ها و سرمایه‌گذاری‌های مشخصی از سوی سازمان‌های گوناگون مانند شورایعالی فضای مجازی، سازمان فناوری اطلاعات، سازمان پدافند غیرعامل و... برای افزایش امنیت فضای سایبری ایران در نظر گرفته شده است اما همچنان پایین بودن امنیت سایت‌های ایرانی، به نقطه ضعف ایران در فضای سایبر تبدیل شده است. کیوان نقره‌کار، کارشناس‌ آی.‌تی، درحالی‌که استفاده از تجهیزات نامناسب و به کار گماردن  افراد غیرمتخصص را دلیل اصلی پایین بودن امنیت در سایت‌های ایرانی به‌ویژه دولتی عنوان کرد، ادامه داد: ارگان‌های دولتی محدودیت‌های بسیاری در جذب نیروی جدید متخصص دارند و به همین دلیل معمولا در ارتقای کیفیت سطوح امنیتی خود با مشکلات متعددی مواجه می‌شوند.  درحالی‌که در دنیای امروز باید توجه به امنیت در فضای الکترونیک اولویت تمامی ارگان‌ها باشد، به دلیل محدودیت‌های مالی و نیروی ماهر این مهم در کشور ما در اولویت‌های چندم قرار دارد. هر چند که این کارشناس ‌آی.‌تی معتقد است بعد از لغو تحریم‌ها رعایت استانداردهای سطح امنیتی در ایران بهبود یافته است، می‌گوید: البته هستند سازمان‌هایی که حتی پایین‌ترین سطح امنیتی هم در آنها رعایت نمی‌شود، طوری که در یک اتوماسیون اداری رمز کاربران به صورت متنی و نه تبدیل به رمز در بانک‌های اطلاعاتی ذخیره می‌شود. این درحالی است که برای همان اتوماسیون اداری و راه‌اندازی آن بانک اطلاعاتی، میلیون‌ها تومان هزینه صرف شده اما به یک فاکتور ساده امنیت در آن توجه نشده است.نقره‌کار  در ادامه تأکید می‌کند که در اکثر سازمان‌ها برای نصب محصولات امنیتی تست‌هایی صورت می‌گیرد و بعد از نصب  محصول هم  فردی به دنبال بررسی محصول و مشخص کردن باگ‌های امینتی آن است، البته هیچ ارگان مشخصی بر  این روند نظارت ندارد و در برخی موارد شاهد هستیم که رعایت نکردن این مسأله ضرر‌های زیادی را به دستگاه‌های دولتی و خصوصی وارد می‌کند.

سایت‌های ایرانی از گواهینامه معتبر استفاده نمی‌کنند

با این وجود، برخی از کارشناسان بر این باورند  که ٩٠‌درصد سایت‌های ایرانی از گواهینامه معتبر امنیت مانند SSL استفاده نمی‌کنند. برای مثال مرکز www.enamad.ir که کارش امن کردن سایت‌های تجاری با استفاده از گواهینامه امنیتی SSL است، خودش از گواهینامه SSL برای ارایه خدماتش استفاده نمی‌کند. بسیاری از مسئولان دولتی دسترسی نداشتن به گواهینامه‌های بین‌المللی را به مسائل تحریم ارتباط می‌دهند درحالی‌که اصولا در زمینه دسترسی به این امکانات، هیچ محدودیتی وجود ندارد و برخی از گواهینامه‌های معتبر امنیتی مانند Let’s Encrypt به راحتی و رایگان در دسترس قرار دارد. همچنین بسیاری از سایت‌های سازمان‌های دولتی برای ارایه خدمات خود کاربران را ملزم به استفاده از مرورگر IE می‌کنند درحالی‌که گزارش‌های مختلف، این مرورگر را ناامن‌ترین مرورگر بازار معرفی می‌کند.

نوبیتکس
ارسال نظرات
x