محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

چرا وب سایت های دولتی در برابر حملات سایبری امن نیستند؟

در ماه اخیر حملات بسیار زیادی به وب سایت های دولتی و سازمانی ایرانی از جانب گروه های هکری سعودی و وهابی انجام شد که با اسامی و القاب مختلفی انجام شدند. از این موضوع بگذریم و دوست نداریم در این خصوص بحث کنیم که آیا واقعا حملات از طریق هکرهای سعودی و وهابی انجام شده است یا خیر ، این موضوع چیز تازه ای نیست ، سالهاست که وب سایت ها و گروه های هک داخلی و خارجی حملاتی را بصورت روزمره به وب سایت های همدیگر انجام می دهند و بعضا دسترسی هایی وجود دارد که در مواقع خاصی به نمایش گذاشته می شوند .

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

قرار نیست وب سایت ها در همان لحظه ای که هک انجام می شود در اصطلاح Deface شوند. کاری نداریم که ممکن است این وب سایت های داخلی از طریق گروه ها یا اشخاصی داخل خود ایران هک شده باشند ما فقط قرار است یک تحلیل امنیتی در خصوص چرای مسئله داشته باشیم ؟ این سئوال را باید از خودمان بپرسیم که چرا به یکباره چندین وب سایت دولتی ما هک شده و Deface می شوند ؟ هر چند اساسا در وب سایت های دولتی ما در بسیاری از موارد اطلاعات حیاتی و سازمانی طبقه بندی شده وجود ندارد اما به هر حال وب سایت یک سازمان دمو یا ویترین کار آن سازمان است و هک شدن آن اعتبار یک سازمان را ممکن است دچار اختلال کند.


خوب یکی دیگر از سئوالاتی که در خبرگزاری ها مطرح شده بود و در برنامه ای که با همین موضوع در شبکه خبر هم پخش شد مطرح شد این بود که با توجه به اینکه پلیس و نیروهای سایبری که مسئولیت اطلاع رسانی در خصوص اینگونه حملات را بر عهده دارند چرا در خصوص این حملات اشاره کردند که حملات پیش پا افتاده و ساده بوده است و هیچ اطلاعات طبقه بندی شده ای به دست مهاجمین نیوفتاده است ، سوال اینجاست که چرا وب سایت های دولتی ما با همین حملات ساده و پیش پا افتاده هک می شوند ؟ این چهره امنیت را خدشه دار می کند ؟ اما من به عنوان یک فرد متخصص کوچک در این حوزه که سالها سعی کرده ام حداقل در حوزه کاری خودم تحلیل های درستی ارائه بدهم توجه شما را به چند نکته جلب می کنم که این موارد زنگ خطری برای همه سازمان های ایران در خصوص حملات سایبری و هکری خواهد بود.

امنیت یک معیار کاملا نسبی است ، امنیت با مدرک و گواهینامه ایجاد نمی شود

زمانی بود که پفک نمکی شرکت مینو یکی از قسمت های تبلیغاتی خودش را به دارا بودن گواهینامه ISO 9000 اختصاص داده بود و این را یک افتخار می دانست ، این گواهینامه نمایانگر رعایت استانداردهای کیفی لازم در جهت تولید این محصول بود و بعد از رعایت این پارامترها به این شرکت این گواهینامه داده شده بود. ما چنین گواهینامه ای را در حوزه امنیت اطلاعات هم داریم که آن را به ISO 27000 می شناسیم .

داشتن گواهینامه ISO 27000 امروزه یک الزام برای یک سازمان دولتی است و نمایانگر این است که کلیه استانداردهای امنیتی در آن سازمان رعایت شده است و مشتری شما با دیدن این گواهینامه متوجه می شود که سازمان مورد نظر تمهیدات و کنترل های امنیتی لازم را در سازمانش انجام داده است. اما آیا صرفا دریافت ISO 27000 به این معنا است که سازمان شما امن است ؟ آیا مهاجمین با توجه به اینکه شما این مدرک را دارید دیگر به شما حمله نمی کنند ؟


متاسفانه ما در ایران بحث جالبی به نام تب داریم ، یعنی مثلا تب تلگرام ، تب وایبر ، تب ایزو 9000 و البته تب ایزو 27001 و هزاران تب دیگر ، یعنی اینکه به یکباره هزاران شرکت و سازمان به این فکر می افتند که به خاطر چشم و هم چشمی هم که شده باید ایزو دریافت کنند و خودشان را به هر دری می زنند که در هر محدوده ای کوچکی از سازمان خودشان این گواهینامه را برای چشم و هم چشمی دریافت کنند ، البته بگذریم که فرآیند دریافت این گواهینامه هم چندان ارزان قیمت نیست و پول خوبی این وسط برای این تب ها رد و بدل می شود.

تب گرفتن هم مشکل نیست اما متاسفانه در ایران دریافت یک گواهینامه مثل دریافت مدرک تحصیلی دانشگاه است ، به جای اینکه فارق التحصیل دانشگاهی به فکر بالا بردن دانش خودش باشد به فکر این است که مدرک را دریافت کرده است و دیگر باید به فکر چیز دیگری باشد. در ایران هم دریافت گواهینامه ISO 27000 فقط در حد دریافت گواهینامه است ، متاسفانه اکثر سازمان ها و شرکت های دولتی ما صرفا چون یک تکلیف بر عهده آنها گذاشته شده است اقدام به دریافت این گواهینامه می کنند و همانطور که داشتن مدرک دانشگاهی دلیلی بر داشتن سواد فنی نیست ، داشتن گواهینامه سیستم مدیریت امنیت اطلاعات هم دلیلی بر امنیت یک سازمان نیست .

اما ما ایرانی ها مدرک را دوست داریم ، تصورمان این است که هر چقدر مدرک بیشتر داشته باشیم بهتر هستیم. امروزه تقریبا در هر شهری و هر محله ای شرکتی وجود دارد که در حوزه امنیت اطلاعات فعالیت می کند ، بعضا حتی با واژه های فنی در حوزه امنیت اطلاعات هم آشنایی ندارند اما در این حوزه با قدرت فعالیت می کنند ، چون مهم دریافت کردن این مدرک است و این مدرک فقط چند گزینه پیاده سازی دارد ، مستند سازی کنید ، طراحی کنید ، مستند سازی کنید ، مستند سازی کنید ، مستندات را تایید کنید ، تمام شد شما امن هستید ... خوشحال باشید.

سخت افزار امنیتی یک دستگاه است ، این دانش است که امنیت را برقرار می کند

بارها در پروژه های دولتی شاهد این بوده این که میلیون ها ، میلیون ها و چه بسا میلیاردها تومان هزینه تجهیز سازمان به سخت افزارهای امنیتی شده است ، فایروال های سخت افزاری از لایه صفر تا لایه 100 ، فایروال های تحلیل گر ، سیستم های تشخیص نفوذ ، سیستم های جلوگیری از نفوذ ، سیستم های جلوگیری از نشت اطلاعات ، سخت افزارهای خفن ( همینه به خدا ) همه و همه با هزینه های سرسام آور خریداری می شوند و این اصلا مشکل نیست .

مشکل جایی است که قرار است شما این تجهیزات را پیکر بندی کنید ، به جای اینکه کار را به کاردان بسپارید در حین عقد قرارداد خرید یک پیوست به عنوان خرید و نصب و راه اندازی دارید که شرکت فروشنده موظف به پیاده سازی آن هم هست ، نمی دانم این تفسیر از کجا به وجود آمده است که هر کسی که فروشنده است باید محصول را بتواند بفهمد و آن را پیکربندی کند ؟

بگذریم از اینکه میلیاردها تومان تجهیزات در این کشور خریداری می شود و بعضا نام کاربری و رمز عبور پیشفرض آنها هم عوض نمی شود ، هیچوقت یادم نمی رود که در یک پروژه دولتی یک میلیارد فایروال خریداری شد و شرکت فروشنده با چند هفته کار مستمر در پروژه در نهایت با کلی کلاس گذاشتن یک Rule فایروال به شکل Allow Any From Internal To External نوشت و پروژه پایان یافت و یک گواهینامه حسن انجام کار از مدیر آن سازمان محترم دولتی هم دریافت کرد.

باید این فرهنگ جا بیوفتد که شما حداقل باید 10 درصد از هزینه خرید سخت افزار خودتان را برای طراحی و پیاده سازی درست محصولات امنیتی صرف کنید ، متاسفانه در ایران محصول جای دانش را گرفته است ، یعنی شما اگر خوب بتوانید بفروشید برد کرده اید ، شما اگر خوب بفهمید هیچ چیزی عایدتان نمی شود ، البته از هر چه بگذریم سخن پول خوشتر است ، هیچوقت نمی شود از شیرینی یک خرید چند صد میلیونی که به رئیس یا معاون فناوری اطلاعات یک سازمان می رسد غافل شد .

هیچوقت نمی شود از شرکت های اقوام قافل شد و هیچ کارشناس امنیت و مشاور امنیتی مثل پدر پسر خاله پدر مدیر عامل هم نمی تواند به شما مشاوره فناوری اطلاعات بدهد. هیچوقت یادم نمی رود که در یکی از سازمان های دولتی به یکی از مدیران فناوری اطلاعات در خصوص وجود یک باگ امنیتی در وب سایتشان گزارشی ارائه کردیم ، ایشان در کمال خونسردی گفتند که چقدر بدیم به شما که نگید این باگ وجود داره ؟ دلیل آن هم این بود که وب سایت بصورت کاملا ناشیانه توسط خواهرزاده ایشان که یک شرکت جدیدالتاسیس داشتند طراحی و پیاده سازی شده بود.


بگذریم ، هدف تخریب نیست ، اینها مشکلاتی است که در ساختار IT این کشور وجود دارد و متاسفانه درصد بسیاری از مدیران دولتی ما که در حوزه فناوری اطلاعات فعالیت می کنند درگیر این نحوه مدیریت هستند ، نمی دانم تا کی و چه زمانی باید به این نتیجه برسیم که دانش اولویت دارد نه سخت افزار ، من سازمانی را سراغ دارم که امنیت آن با روترهای ساده صد هزار تومانی آنقدر خوب طراحی شده است که باور نکردنی است اما در کنار آن سازمانی وجود دارد که تجهیزات بلااستفاده میلیاردی را برای زیبای از بیرون دسترسی کامل داده است. البته حملاتی که به شبکه ها و وب سایت های ایرانی می شود بیشتر در لایه هفتم انجام می شود . جاییکه شما باید از برنامه نویس های حرفه ای و کارشناسان امنیت در حوزه برنامه نویسی استفاده کنید.

بایستی بر روی نرم افزارهای شما هم تست و آزمون نفوذ سنجی انجام شود ، بایستی استانداردهای امنیتی حوزه وب را رعایت کرده باشید. حداقل بتوانید بروز رسانی کنید ، یکی از دوستان زمانیکه ما در خصوص وب سایت صحبت می کردیم گفت ITPRO هک شده است ؟ گفتیم بله بارها هک شده است اما بحث هک شدن نیست ، بحث این است که دائما در حال بروز رسانی باشید ، وب سایتی که برای سازمان شما با تکنولوژی و محصولات 8 سال پیش طراحی شده است طبیعتا دارای آسیب پذیری های زیادی است که باید بصورت کلی تعویض شود.

به هر حال این موارد در اکثریت قریب اتفاق سازمان ها و نهادهای دولتی ما رخ می دهد ، ما به عنوان یک عضو کوچک از این خانواده حق داریم انتقاد کنیم ، حق داریم بگوییم که این آسیب پذیری ها دیده می شوند ، مدرک حرف نمی زند عمل مهم است ، زمانیکه ما در ایران تنها 7 گواهینامه بین المللی ISO 27001 دریافت کردیم کشور ژاپن دارای بیش از 3000 گواهینامه بود .

امروز که در این حوزه صحبت می کنیم ما بعد از 4 سال دارای حداکثر 40 یا 50 عدد سازمان هستیم که دارای ISO 27000 هستند و ژاپن دارای بیش از 7000 گواهینامه ای که فقط مدرک نیست. فقط امیدارم این مطلب را به عنوان طعنه یا کنایه به کسی در نظر نگیرید ، من سعی کردم واقعیات را برای شما باز کنم. امیدوارم ، امیدوارم بیشتر به حوزه فرهنگ سازی و آموزش در ایران ارزش قائل شوند تا ارزش امنیت در دانش آن خلاصه شود نه در وزن آن ...


محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات