کانال تلگرام ایران جیب

آخرین اخبار

فروشگاه اینترنتی مدیسه
تور لحظه آخری,تور کیش,تور دبی,تور آنتالیا,تور ترکیه,تور استانبول
صرافی آرز
دهکده ساحلی الیت
آژانش مسافرتی الی گشت
زیرپوش ضد عرق
کانال تلگرام ایران جیب

علت آسیب پذیری سایت های حاکمیتی ایران چه بود؟

کدخبر:۲۳۴۶۴دوشنبه، ۱۰ خرداد ۱۳۹۵ - ۱۶:۳۲:۲۳۹۹۹ بازدید

کارشناسان استفاده از روش‌ها و ابزارهای ارزان قیمت و فاقد امنیت لازم را علت اصلی بروز مخاطرات امنیتی برای سایت‌های حاکمیتی کشور طی هفته ...

کارشناسان استفاده از روش‌ها و ابزارهای ارزان قیمت و فاقد امنیت لازم را علت اصلی بروز مخاطرات امنیتی برای سایت‌های حاکمیتی کشور طی هفته اخیر می دانند. هک‌های اخیر که اگر چه این بار اطلاعات مهم و حساسی را لو نداده است، اما مشخص نیست در صورت ادامه کم‌توجهی به استانداردهای امنیتی در آینده چه مخاطراتی بوجود آورد.

طی چند روز گذشته برخی از سایت های دولتی در کشورمان مورد حمله قرارگرفته و از دسترس خارج شدند. این اتفاق نگرانی‌هایی را در جامعه بوجود آورده است. اگر چه مسئولان با توضیح و تشریح علل و ابعاد این حملات تا حدودی دغدغه‌های عمومی را برطرف کرده‌اند ولی به نظر می رسد ارائه توضیحات بیشتر ضروری است.

ضرورت ارائه این توضیحات و آشنا کردن مردم با جوانب مختلف امنیت در فضای مجازی از آن رو اهمیت فوق العاده‌ای دارد که ضریب نفوذ استفاده از از روش‌ها و ابزارهای الکترونیکی روز به روز در جامعه افزایش می یابد و به دنبال آن احتمال بروز مخاطرات هم.

علاوه بر مردم، مسئولان در رده‌های مختلف سازمان‌ها و نهادها هم باید دقت و وسواس بیشتری در انتخاب و بکارگیری ابزارهای ارائه خدمات و اطلاعات در فضای مجازی و سایبری به خرج دهند تا ضمن حفظ امنیت اطلاعات، اعتماد و اعتبار نهادهای حاکمیتی کشور از ناحیه سایبری نیز لطمه نبیند.

شاهین نوروزی کارشناس حوزه امنیت اطلاعات در این‌باره به خبرآنلاین گفت: "واقعیت این است که مشابه این اتفاقات را  تقریبا در تمامی کشورهای دنیا و در ارتباط با بسیاری از سایت‌ها شاهد بوده و هستیم و از این منظر اتفاق نادر و بی سابقه ای در کشور ما رخ نداده است. طی همین چند هفته به دفعات اخباری درباره حمله به سایت سوئیفت منتشر شد که در مواردی هم موفق بود بنا بر این نباید از وقوع چنین اتفاقاتی چندان تعجب کرد. بلکه مهم این است که علاوه بر ارتقای سطح دانش و آگاهی در حوزه امنیت اطلاعات در فضای مجازی چه برای عموم مردم و چه برای لایه‌های مختلف تصمیم گیر و مجری در سازمان و نهادهای حاکمیتی و ختی خصوصی، شیوه برخورد با این قبیل اتفاقات را نیز تمرین کرد تا نه بی جهت نگران شویم و نه از سر کم اطلاعی، ساده انگارانه با مقوله امنیت سایبری برخورد کنیم".

وی ادامه داد:" سایت‌هایی که در کشور ما مورد حمله قرار گرفته اند، پورتال‌هایی هستند که تنها اطلاعات عمومی و فاقد طبقه بندی یا حساسیت بر روی آن ها بارگذاری شده بود. به همین دلیل ما دچار مخاطره خاصی از ناحیه امنیت اطلاعات نشدیم. با این حال مسئله از زاویه دیگری باید مورد توجه ویژه قرار بگیرد چرا که مخاطره اصلی در هک شدن پورتال های عمومی که حاوی مطالب حساس نیستند، لو رفتن اطلاعات نیست بلکه در چنین مواردی درگیر مخاطرات اجتماعی هستیم؛ این مخاطره در حقیقت از جنس مخاطرات اعتباری است. به عبارت دیگر اگر چه اطلاعات محرمانه و طبقه بندی شده ای با هک شدن پورتال یک سازمان لو نرفته اما اعتبار سازمانی که سایت آن هک شده قطعا از منظر عمومی خدشه دار شده است. در ادبیات امنیت اطلاعات به این پدیده " مخاطره اعتباری" گفته می شود که پیامدهای آن از منظر سرمایه اجتماعی کمتر از لو رفتن اطلاعات ارزشمند و طبقه بندی شده نیست. به همین خاطر باید حتی المقدور جلوی تکرار این اتفاقات را گرفت چرا که اعتبار یک سازمان و اعتماد به آن، مقوله ای نیست که براحتی بتوان آن را بازسازی کرد".

این کارشناس حوزه امنیت اطلاعات گفت:" بررسی سایت هایی که مورد حمله قرار گرفته اند نشان می دهد وجه مشترک همه آن ها استفاده از سازه های عمومی یا همان Cms"" های عمومی و "متن باز" (Open sorce) است. این قبیل سازه ها در حالی از سوی متولیان سفارش سایت در نهادهای حاکمیتی ما انتخاب شده که حتی افراد تازه کار در طراحی سایت های اینترنتی هم می دانند استفاده از سازه های متن باز که اشراف کاملی نسبت به کدهای آن وجود ندارد مخاطرات فراوانی به دنبال خواهد داشت که نمونه آن را در هک شدن پورتال های عمومی چند دستگاه حاکمیتی و دولتی شاهد بودیم".

وی افزود: "ما پیش از این هم چنین ضرباتی را متحمل شده ایم و در همه این موارد کارشناسان امنیت اطلاعات تأکید کرده بودند که استفاده از سازه های متن باز بسیار پرمخاطره و اشتباه است. اکثر سایت هایی که طی چند هفته اخیر مورد حمله و هک قرارگرفته اند، سایت هایی بودند که از سیستم "دات نت نیوک"، "وردپرس" یا سایر سازه های متن باز استفاده کرده بودند. این سازه ها به خاطر رایگان بودن، ارزان بودن خدمات یا بکارگیری کارشناسان ارزان قیمتی که تنها در استفاده از همین سازه های عمومی و ساده تبحر دارند، جذابیت های زیادی برای سازمان ها و ارگان های ما دارد غافل از اینکه این  صرفه جویی ظاهری ، مخاطرات فراوانی به دنبال دارد که چندین برابر صرفه جویی اولیه به اعتبار و جایگاه و حتی بودجه سازمان ضربه می زند".

نوروزی گفت: "استفاده از سازه های متن باز عمومی همواره با چنین مخاطراتی مواجه است و حتی اگر سایت هایی که هک شده اند دوباره بازسازی و بارگذاری شوند تا زمانی که شرکت سازنده حفره امنیتی را برطرف نکند، باز هم احتمال هک شدنشان وجود دارد".

این کارشناس امنیت اطلاعات افزود: " اگرچه سازمان ها و نهادهای ما به این نکته اشراف دارند که نباید اطلاعات طبقه بندی شده و مهم را روی چنین بسترهای ناامنی قراردهند ولی واقعیت این است که هک شدن پورتال های حاکمیتی و دولتی حتی اگر حاوی اطلاعات مهمی نباشند، اعتماد عمومی را خدشه دار می کند بنا بر این توصیه اکید می کنم برای جلوگیری از تکرار این مخاطرات و مشکلات از دانش و ظرفیتی که در داخل کشور به آن دسترسی داریم، بهترین استفاده را ببریم. متولیان در صورت بهره گیری از توان داخلی علاوه بر اینکه سطح امنیت را بالا می برند با استفاده از ظرفیت های بالا و قابل اتکای شرکت های دانش بنیان و کارشناسان داخلی علاوه بر ارتقای سطح امنیت فضای مجازی کشور، اعتماد به نفس و خوداتکایی را نیز در بدنه کارشناسی کشورمان تقویت خواهندکرد".

وی ادامه داد: "حداقل حسن استفاده از ظرفیت های داخلی این است که اگر مشکل امنیتی یا هر مشکل دیگری در این سازه های بومی اتفاق بیفتد، مسئول این اتفاق مشخص است و متولی رفع آن هم در دسترس قرار دارد نه اینکه مانند اتفاقات اخیر استفاده کنندگان از سازه های عمومی متن باز نتوانند سراغ افراد مشخصی برای رفع این حفره های امنیتی بروند".

همراه مکانیک



دیدگاه ها

نیما: 1395/3/1017:12:38،
39
10
|||||این کارشناس حوزه امنیت اطلاعات گفت:" بررسی سایت هایی که مورد حمله قرار گرفته اند نشان می دهد وجه مشترک همه آن ها استفاده از سازه های عمومی یا همان Cms"" های عمومی و "متن باز" (Open sorce) است. این قبیل سازه ها در حالی از سوی متولیان سفارش سایت در نهادهای حاکمیتی ما انتخاب شده که حتی افراد تازه کار در طراحی سایت های اینترنتی هم می دانند استفاده از سازه های متن باز که اشراف کاملی نسبت به کدهای آن وجود ندارد مخاطرات فراوانی به دنبال خواهد داشت که نمونه آن را در هک شدن پورتال های عمومی چند دستگاه حاکمیتی و دولتی شاهد بودیم".||||


99 درصد cms هایی که ملت استفاده می کنند متن باز هست ! مشهورترینش هم وردپرس هست که کلی سایت مشهور استفاده می کنند کسی هم هک نشده !

علم این کارشناس های حوزه امنیت اطلاعات تو حلقم !
محمد: 1395/3/1017:34:56،
34
9
این چه مدل کارشناسیه که نمی دونه cms و کلا برنامه های اوپن سورس به مراتب نسبت به نمونه های شرکتیشون امنتر هستند, چون مرتبا از طرف کدنویس هایی که در سراسر دنیا ازشون استفاده می کنن ارتقا داده میشن و چون کدشون قابل دسترسی برای عموم هست, امکان وارد کردن کدهایی که بشه بعدا به عنوان ابزار دسترسی ازشون استفاده کرد به حداقل میرسه. همین چند وقت پیش مشخص شد NSA با تمامی شرکت های سازنده نرم افزار که برنامه هاشون اکثرا کلوزد سورس هستند همکاری داره و می تونه به داخل همه نرم افزارهاشون نفوذ کنه, منجمله او اس های ویندوز و مک. برای همینه که کسانی که دنبال امنیت هستند همه میرن سراغ انواع شاخه های لینوکس مثل تیلز.
علی: 1395/3/1019:19:19،
36
9
علت خیلی روشنه ، حاکمیت تمام توان و سرمایه گذاری را برای جلوگیری از دسترسی مردم به سایت های خارجی( اخبار ، شبکه های اجتماعی و ...) انجام داده در حالی که باید این سرمایه گذاری در جهت جلوگیری از دسترسی هکرها به سایت های کشور انجام می شد.الان هم با اجازه شما با هک کردن سایت آمار ایران نام و نشانی و شماره تلفن و شغل و ... 80 میلیون ایرانی دست خارجی هاست .
نیما: 1395/3/1023:00:14،
19
9
"استفاده از سازه های متن باز که اشراف کاملی نسبت به کدهای آن وجود ندارد"

راستی اون کد شده هست که اشراف به کدهای آن وجود ندارد !

اوپس سورس دسترسی کامل به همه کد ها وجود دارد !
محسن: 1395/3/1100:00:25،
30
12
دليلش اينه كه معيار متخصصان ايراني التزام و بلد بودن نماز است نه مهارت كامپيوتر
ali asgari: 1395/3/1023:03:53،
25
11
متاسفانه ارگانهای دولتی از لحاظ علم فن آوری خیلی در حد ضعیفی هستند. نمونه اش هم سازمان امور مالیاتی که توانای اجرای یک سیستم حقوق و دستمزد مالیات را ندارد. الان دو ماه هست تمامی مودیان اسیر این سیستم هستند. تاره معلوم می شه که اینها از لحاظ علم فن آوری در چی جدی هستن.
فرزاد: 1395/3/1115:37:29،
14
9
ارگان های دولتی هیچ دخالتی در تولید نرم افزارهاشون ندارند و با توصیه های حضرات ایکس و ایگرگ نرم افزارها رو از شرکت های مهندسی خصوصی تهیه میکنند و یا سفارش میدهند و خودشان در روند تولید نقش فنی ندارند.
مسعود: 1395/3/1113:55:32،
13
9
علت موفقیت این حمله ها این است که یک عده بی سواد با توصیه نامه در ادارات دولتی مشغول به کار شده اند و فعالیتهای آی تی را انجام می دهند.
فرزاد: 1395/3/1115:36:05،
15
11
وب سایت های سازمانها در خارج از ادارت و عموما اجاره ای از دیتاسنترها و یا گاها حتی خارج از ایران هستند.
شعار الکی ...... نفرمایید.

افزودن دیدگاه


  • نظرات غیر مرتبط با موضوع خبر منتشر نمی شوند.
  • نظرات حاوی توهین و افترا منتشر نمی‌شوند.
  • لطفاً نظرات خود را به صورت فارسی بنویسید.
نام:
پست الکترونیک:
متن:
در صورتی که تمایل دارید بعد از تایید از طریق ایمیل به شما اطلاع داده شود ، علامت بزنید

در صورتی که تمایل دارید بعد از پاسخ به نظر شما از طریق ایمیل به شما اطلاع داده شود، علامت بزنید
تور لحظه آخری
ایران تلنت
نگین خودرو
آیسان پرواز

پربازدیدترین اخبار هفته

پربحث ترین ها

آسایشگاه خیریه
تور لحظه آخری
تورآنتالیا
دیجی استایل