زنگ خطر برای امنیت وب در ایران

خیلی از ما هنوز رمزهای مهم را در گوشی یا تلگرام نگه می‌داریم و فکر می‌کنیم قرار نیست هیچ‌وقت هک شویم؛ اما واقعیت این است که همین سهل‌انگاری‌های ساده، در کنار بی‌توجهی مدیران و نبود فرهنگ‌سازی، باعث شده امنیت شبکه در ایران شکننده‌تر از همیشه باشد.

به بهانه روز جهانی وب، ۹ مرداد، به سراغ داوود منتظری، مدیرعامل شرکت مبین‌هاست، رفته‌ایم تا در خصوص وضعیت امنیت شبکه در ایران صحبت کنیم. او   در گفت‌گو با کاماپرس از ضعف زیرساختی، نبود فرهنگ‌سازی و بی‌توجهی عمومی به اصول اولیه حفاظت از اطلاعات می‌گوید. به باور منتظری تا زمانی که امنیت در سطوح مختلف به یک رفتار حرفه‌ای و آگاهانه تبدیل نشود، آسیب‌پذیری‌های جدی‌تری در کمین خواهد بود.

مهم‌ترین تهدیدات امنیتی وب در حال حاضر کدام‌اند؟

دسترسی آی. ال. او روی سرور‌ها وجود دارد و به واسطه این دسترسی و ناامن بودن آنها، هکر‌ها و یا کسانیکه این مشکل امنیتی را پیدا می‌کنند، به سرور‌ها دسترسی پیدا می‌کنند و اطلاعات کاربران را جا به جا می‌کنند. این دسترسی یکی از خطرناک‌ترین رخداد‌ها را برای کاربران به وجود آورده است. اگر بخواهم یک مشکل امنیتی در سرویس‌های ایران را اعلام کنم، مبحث دسترسی به آی. ال او است. روش‌هایی نیز برای امن‌سازی آن وجود دارد.

می‌توان بخشی از مشکل دسترسی ALO را با محدودیت و وی‌پی‌ان بدون دسترسی به اطلاعات حل کرد. مثلاً شما پسورد‌های مهم را در تلفن همراه نگه می‌دارید. همه افراد از یک فرد عادی تا حرفه‌ای پسورد‌هایشان را در نقاط ناامن ذخیره می‌کنند. در بهترین حالت در سیومسیج تلگرام این رمز‌ها نگهداری می‌شوند. استفاده از ابزار‌های مدیریت پسورد می‌تواند خطر را کم کند. کاربران به علت عدم آشنایی با این نرم‌افزار‌ها، رمز‌ها را در نقاط ناامن ذخیره می‌کنند.

حتی اگر پسورد سختی هم داشته باشید اما در مکان ناامن ذخیره شود، آسیب می‌بیند. ما در فرهنگ نگهداری از رمز‌هایمان ضعیف هستیم. ما حادثه را برای دیگران قلمداد می‌کنیم و برای خودمان متصور نیستیم. خیلی از افراد به همین طریق هک شده‌اند و زمانیکه حادثه رخ داده به فکر ذخیره امن رمز‌ها افتاده‌اند. باید یک فرهنگ‌سازی در خصوص نگهداری پسورد صورت بگیرد. در بهترین حالت روی کروم پسورد‌ها را ذخیره می‌کنند که بسیار ناامن است.

بیشتر  بخوانید:

• هوش مصنوعی در فروشگاه‌ های اینترنتی: آینده‌ ای که اکنون آغاز شده است

چگونه توسعه‌دهندگان می‌توانند امنیت وبسایت را تأمین کنند؟

بیشتر از اینکه کاربر مهم باشد، ادمین‌ها مهم هستند. مثلاً کاماپرس یک سایتی دارد که مدیر سرور آن باید یک‌سری اقدامات را جدی بگیرد. شما به عنوان مدیرسرور طرف حساب من هستید نه مشتری که می‌خواهد به سایت شما سر بزند. شما مثلاً مدیر سرور هستید من هم کارمند جدید هستم. شما در بهترین حالت یک فایل اکسل درست می‌کنید که پسورد‌ها در آن قرار دارد. ارسال پسورد از نفر قبل به بعد، یک روش سنتی و غیرامن است. می‌توان این ارسال پسورد را به واسطه یک نرم‌افزار انجام داد تا آسیب‌پذیری این روند کاهش یابد.

چرا تا این حد موضوع امنیت شبکه در ایران جدی گرفته نمی‌شود؟

ما در حوزه امنیت هیچ مسأله و مشکلی را جدی نمی‌گیریم. ادمین‌ها عموماً مبحث امنیت شبکه را دنبال نمی‌کنند. همیشه در ذهن افراد این وجود دارد که حادثه‌ای رخ نمی‌دهد. به همین علت هک‌ها زیاد می‌شود. من توصیه می‌کنم که در حوزه امنیت شبکه آموزش و فرهنگ‌سازی صورت بگیرد.

کشور‌های توسعه یافته چه برخوردی با این موضوعات دارند؟

امنیت یک مسأله کلی نیست، یک روش است. کشور‌های توسعه یافته به صورت حرفه‌ای‌تری به این موضوعات می‌پردازند. اگرچه آنها هم به مشکل خوردند اما طرف مقابل یعنی هکر خیلی توانمند بوده است.

توصیه‌هایی مبنی بر عدم استفاده از فیلترشکن‌های رایگان صورت می‌گیرد و برخی مدعی‌اند از این طریق شبکه اینترنت آلوده می‌شود. این ادعا چقدر درست است؟

وقتی صحبت عدم استفاده از فیلترشکن می‌شود، منظور وی‌پی‌ان‌ رایگان است. هیچکس در دنیا یک اپلیکیشن رایگان در اختیار کسی قرار نمی‌دهد. یک شرکت ایرانی یا خارجی که یک وی‌پی‌ان رایگان در اختیار عموم قرار می‌دهد، مدل درآمدزایی آن چند روش است. برخی از طریق تبلیغات درآمد کسب می‌کنند و برخی نیز اطلاعات را می‌گیرند.

وقتی شما یک اپلیکیشن رایگان نصب می‌کنید، به بخشی از تنظیمات شما دسترسی پیدا می‌کند. کسی که از این وی‌پی‌ان استفاده می‌کند آگاهی نسبت به نوع کارکرد این اپلیکیشن ندارد.

مثلا زمانی که یک مجموعه خارجی بخواهد اینترنت ایران را تحت تأثیر قرار دهد می‌تواند از این طریق عمل کند. هزاران کاربر ایرانی که اپلیکیشن رایگان را نصب می‌کنند، به عنوان مثال سایت خدمات دولت را با آن باز می‌کنند و به ازای همه این کاربران به واسطه آن اپلیکیشن یک سری درخواست به سمت آن سایت ارسال می‌شود. از روی اینترنت داخلی با این اپلیکیشن، یک ترافیک مشکل ساز را به سمت سرور مقابل ارسال می‌کنند، در این نقطه سرور ناامن می‌شود.

 اگرچه آن اپلیکیشن به گالری و دیگر نقاط گوشی هم دسترسی پیدا می‌کند؛ اما به طور کلی ناامنی در شبکه اینترنت به عنوان یک زامبی می‌تواند به هر نقطه‌ای وارد شود. فرض کنید این دسترسی در قالب یک گوشی چیزی نیست اما اگر یک میلیون نفر با همان اپلیکیشن یک صفحه‌ای را باز کنند، حجم ترافیک بسیار زیادی ایجاد می‌شود. اگر یک میلیون نفر مثلا دیجی کالا را باز کنند، سایت دچار مشکل و از دسترس خارج می‌شود.

انتهای پیام