محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

کارشناس امنیت اطلاعات مبتنی بر سازمان ایرانی : امنیت = سخت افزار!

این مقاله رو در تجزیه و تحلیل و ارائه توضیحات در خصوص حملاتی که طی چند روز گذشته به وب سایت انجام شد نوشتم و احساس کردم دونستن این موضوع در ایران بسیار لازم هست ، طی روزهای اخیر حملات گسترده ای از نوع DDOS بر روی وب سایت انجام شد که متاسفانه باعث شد ضمن اینکه وب سایت ساعاتی در دسترس نباشه ، مشکلاتی رو برای منابع سخت افزاری ما هم ایجاد کرد و سرور ما دچار اختلال شد که با کمک و همیاری دوستان و رسیدگی به این موضوع خوشبختانه مشکل تا حدود زیادی فعلا برطرف شد .

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

اما نکته جالب در خصوص این حملات این هست که در وهله اول حمله به وب سایت ها چیز بسیار بسیار طبیعی هست ، یعنی اگر روی وب سایتی حمله انجام نشه باید تعجب کرد ! شما وقتی روی وب سایتتون حمله میشه که مهم شده باشید ، ارزشمند باشید ، هیچوقت یک گروه هکری یا هکرها برای وب سایت های کم ارزش و بی ارزش زمان نمیزارن و این جای شکر داره که باعث شدیم انگیزه ای برای عده ای بشیم که در این حوزه بخان خودشون رو با حمله کردن به وب سایت ITPRO به دیگران نشون بدن و از این بابت خوشحالیم .

اما این میان خیلی حرف ها هست که نه تنها سنجیده نیست بلکه مشخصا زائییده ذهن افرادی هست که من بهشون میگم کارشناس های امنیت مبتنی بر مکانیزم های دولتی ایران ! ما در مجموعه ITPRO اصل رو بر صداقت قرار می دیم ، یعنی اگر حمله ای روی وب سایت انجام بشود رسما در کانال و در شبکه های اجتماعی در خصوص حمله و نوع آن توضیح می دهیم و از کاربران می خواهیم که تا زمان برطرف شدن مشکل صبور باشند اما ظاهرا عده ای این اطلاع رسانی را از جهت ضعف مجموعه TOSINSO می دانند !! واقعا درک نمی کنم که عده ای به من پیام می دهند و راهکار امنیتی می دهند !

آن هم نه راهکار امنیتی فنی که بصورت فورس ماژور اجرایی شود بلکه راهکارهایی که فقط در سیستم دولتی ایرانی دیده می شود ! یکی از دوستان راهکار خرید فایروال های سخت افزاری می دهد ، یکی دیگر پیشنهاد خرید تجهیزات WAF سخت افزاری می دهد ، آن یکی می گوید از فلان سرویس بین المللی ضد DDOS استفاده کنید ، آن یکی می گوید از فلان پلتفرم ایرانی استفاده کنید و ... من فقط از این عزیزان یک سئوال دارم !! واقعا تصور شما این است که بنده تا به حال عقلم به خرید و استفاده از چنین تجهیزات و سرویس هایی نرسیده است ؟ بد نیست در مورد خودم و رزومه کاری که در این حوزه دارم مطالعه کنید تا متوجه شوید که سالهای سال است که در این حوزه فعالیت می کنم و این پیشنهادات شما برای من سالها پیش حل شده است اما نکته در کجاست ؟

اکثر کارشناس های امنیتی که در ایران هستند ، به محض بروز مشکلات امنیتی با توجه به اینکه محدودیت بودجه ای تقریبا وجود ندارد و کار اکثر سازمان های دولتی در ایران هزینه تراشی است سریع به سراغ پیشنهاد راهکارهای سخت افزاری می روند ، دوست عزیز ، بزرگوار ، کارشناس امنیت سطح کلان ، شک نکنید ما هم عقلمان به این می رسد که هزینه ای چند صد میلیون تومانی می توان جلوی بسیاری از این حملات را گرفت اما شما متوجه این هستید که مجموعه TOSINSOیک مجموعه دولتی و دارای بودجه برای حیف و میل کردن نیست ؟

اگر توانایی خرید تجهیزات گرانقیمت و سرویس هایی که برای ما به لحاظ فنی بعضا قابل پیاده سازی نیست و شما هم قطعا در جریان جزئیات فنی آن نیستید ، را نداریم به دلیل این است که ما یک مجموعه دولتی نیستیم ، ما بودجه دولتی نداریم ، ما اسپانسر مالی نداریم ، ما مثل وب سایت های دولتی نیستیم که میلیاردها تومان سالیانه بودجه برای آنها تعیین شود ! از طرفی ما یک تجارتخانه آنلاین هم نیستیم ! درست است که از این وب سایت درآمد داریم اما هدف اصلی وب سایت مالی نبوده و نیست و صرفا درآمدی که از وب سایت تامین می شود برای نیروهایی که در آن زحمت می کشند هزینه می شود و ...

جالب است یکی از دوستان با کنایه می گفت که شما چجور کارشناس امنیت و هکر کلاه سفیدی هستید که اینقدر به شما حمله می شود و شما مرتب پیام می گذارید که حمله داشتیم و ... و کاری از دستتان بر نمی آید ؟ من یک سئوال از این دوست عزیزمان دارم که آیا ناسا هک نمی شود ؟ مایکروسافت هک نمی شود ؟ مگر گروه های هکری اینترنت کل ترکیه را برای چند روز مختل نکردند ؟ مگر استارتاپی مثل دیجیکالا و بامیلو در حجم عظیم ترافیکی که داشتند دچار اختلال نشدند ؟ در ضمن دقیقا شما چه کاری مختص خودتان داشته اید که در مورد ما نظر می دهید ؟ آیا خودتان مالک مجموعه ای بوده اید که دچار حملاتی شود که قدرت فکر کردن را از شما بگیرد ؟ یا اینکه صرفا در کنار مجموعه ها بوده اید و همراهی کرده اید و در رزومه نام سازمان را آورده اید که مشاورش بوده اید ؟

جناب مهندس کارشناس مشاور و پروفسور امنیت مبتنی بر سازمان های دولتی ایران ، هنر این است که شما بتوانید یک حمله را با کم هزینه ترین روش ممکن پوشش بدهید و مدیریت کنید و از خودتان خلاقیت نشان بدهید ، اگر کسی توانایی خرید تجهیزات میلیونی ندارد چگونه به او مشاوره می دهید ؟ مشاوره های بعضا این دوستان فقط خرید تجهیزات است ، بارها به دوستان گفته ام که در بسیاری از سازمان های ایران فایروال ها و تجهیزات امنیتی و سرویس های امنیتی میلیاردی خریداری می شود بدون اینکه اصلا بدانیم برای چه چیزی نیاز هستند ؟ حتی درست تنظیمات بر روی آنها انجام نمی شود !

جناب مهندس کارشناس مشاور و پروفسور امنیت مبتنی بر سازمان های دولتی ایران ، هنر این است که شما حملات را ثبت و ضبط کنید با کمترین امکانات ، هنر این است که حملات را خنثی کنید با کمترین امکانات ، هنر این است که از همان سوراخی که قبلا نیش خورده اید مجددا نیش نخورید نه اینکه فقط یک سخت افزار نصب کنید و تمام ... اینجوری باشد خیلی ها کارشناس امنیت می شوند. این محدودیت ها است که باعث ایجاد خلاقیت می شود . در سال گذشته آنقدر تعداد حملات بالا بود که شاید هر هفته ما چند ساعت Downtime داشتیم ، کم کم این حملات به مرور تجزیه و تحلیل و خنثی شدند و به مرور حملات آنقدر کم شدند که ماه ها طول می کشید تا حمله ای انجام شود .

حمله اخیر سنگین ترین حمله ای بود که تا به حال بر روی وب سایت انجام شده بود و به قدری شدید بود که مسئولین مرکز داده با ما به دلیل ایجاد شدن ترافیک زیاد بر روی سرور تماس گرفتند و اطلاع رسانی کردند !! یعنی حمله جدید متفاوت از حملات قدیمی بوده است ... اگر یکی از دوستان حداقل می گفت که اینجور لاگ رو بگیر ، از وب سرور Trace کن ببین چه نوع Attack ای هست ، روی چه آدرس های URL ای Attack داری ، روی چه Query از Database ات بار میندازه ؟ یعنی یکی سئوال فنی نکرد از این دوستان مشاور امنیت ! فقط بخرید بخرید بخرید .... نصب کنید ...

حرف ها زیاد است ، اما خلاصه کلام ، کارشناس امنیت بودن صرفا به پیشنهاد خرید سخت افزار و سرویس و نرم افزار جانبی برای ایجاد امنیت نیست ، هر موقع توانستید با دانش برنامه نویسی و بهینه سازی کدها حملات را خودتان کاهش بدهید ، هر موقع توانستید با فایروال های بسیار مبتدی و ساده ای که برای شما مسخره به نظر می رسند جلوی بسیاری از حملات معمول را بگیرید ، هر موقع توانستید بدون اتکا به بودجه و هزینه های بیخودی که برای هر جایی تراشیده می شود تا بودجه آخر سال حیف و میل شود راهکار امنیتی مبتنی بر علم امنیت بدهید ، شما قطعا یک کارشناس امنیتی مبتنی بر دانش و علم خواهید بود ...

دوستانی که می خواهند کارشناس امنیت مبتنی بر سازمان های دولتی ایرانی باشند کافیست چند جمله را یاد بگیرند ، حمله دارید ؟ فایروال Fortigate فلان را بخرید ، حمله DDOS لایه هفت دارید ؟ Fortiweb بخرید ! حمله باج افزار دارید ؟ آنتی ویروس فلان را بخرید !! مشکل بکاپ دارید ؟ SAN Storage و Tape Storage بگیرید ! سایت از دسترس خارج می شود ؟ خوب شما نیاز به Load Balancing و Clustering دارید ! و .... بگذریم حرفها زیاد است ... خدارا شاکر هستیم که با حداقل امکانات توانسته ایم مجموعه ای بسازیم که با قلب مردم کار می کند نه پول مردم.


محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات