آیا شبکه‌های اجتماعی داخلی ایمن است؟

به گزارش موبنا از روزنامه ایران، وزیر طی دوسال از فعالیت خود در وزارت ارتباطات بارها اعلام کرده که دولت یازدهم با فیلتر شدن تمام سایت‌های اینترنتی موافق نیست و حتی با سیاستگذاری‌های ویژه خود نیز جلوی فیلتر شدن بسیاری از سرویس‌های اینترنتی را گرفته است. اما با این حال وی همواره استفاده از شبکه‌های اجتماعی …

به گزارش موبنا از روزنامه ایران، وزیر طی دوسال از فعالیت خود در وزارت ارتباطات بارها اعلام کرده که دولت یازدهم با فیلتر شدن تمام سایت‌های اینترنتی موافق نیست و حتی با سیاستگذاری‌های ویژه خود نیز جلوی فیلتر شدن بسیاری از سرویس‌های اینترنتی را گرفته است.

اما با این حال وی همواره استفاده از شبکه‌های اجتماعی بومی را پیشنهاد داده است. او در حالی استفاده از شبکه‌های اجتماعی داخلی را به نفع کاربران ایرانی می‌داند و از آنها می‌خواهد که با عضویت در این شبکه‌ها از این سرویس‌های داخلی حمایت کنند، اظهارات اخیر یکی از معاونان سازمان فناوری اطلاعات نشان می‌دهد این شبکه‌ها از امنیت بالایی برخوردار نیستند و برخی از آنها در معرض حمله هکرها قرار دارند.

بتازگی مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای اعلام کرده است که در ۲ سال گذشته بیش از ۴ هزار و ۸۰۰ سایت دستگاه‌های اجرایی که مورد هدف هکرها قرار گرفته بود، شناسایی شدند.

سرویس‌هایی که امن نیستند
حمله به سایت‌ها و سرویس‌های مختلف اینترنتی این روزها به یکی از خبرهای عادی دنیای وب تبدیل شده است. روزانه ده‌ها خبر در خصوص حمله‌هکر‌ها و به سرقت رفتن اطلاعات میلیون‌ها کاربر شنیده می‌شود.

جدیدترین تحقیقات صورت گرفته توسط شرکت HP که با همکاری مرکز Ponemon Institute انجام شده نشان می‌دهد، میانگین هزینه جرائم سایبری برای سازمان‌های مستقر در هفت کشور طی سال ۲۰۱۵ میلادی برابر با ۷/۷ میلیون دلار بوده است.

همچنین این بررسی نشان داد هر سازمان برای آنکه بتواند مشکلات ناشی از حملات سایبری را برطرف کند، به طور میانگین ۴۶ روز با این مسأله درگیر است.

ایران نیز از چرخه جرائم سایبری جدا نیست. هرچند در خصوص حملات سایبری به سایت‌ها و سرویس‌های اینترنتی داخل کشور اطلاعات دقیق و جزئی وجود ندارد اما بتازگی مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای اعلام کرده است که در ۲ سال گذشته بیش از ۴ هزار و ۸۰۰ سایت دستگاه‌های اجرایی که مورد هدف هکرها قرار گرفته بود، شناسایی شدند.

همچنین مدیرعامل شرکت ارتباطات زیرساخت نیز در گفت‌و‌گویی تعداد حملات سایبری روزانه به زیرساخت ارتباطی کشور را حدود ۱۰ میلیون سانحه امنیتی عنوان کرده است.

تا کنون برای افزایش امنیت سایبری در محیط وب کشور، برنامه‌ریزی‌ها و سیاستگذاری‌های مختلفی مورد توجه قرار گرفته است برنامه‌هایی که به نتیجه مطلوبی هم نرسیده است.

یکی از این برنامه‌ها اجرای اهداف سند امنیت فضای تبادل اطلاعات است که به گفته کارشناسان امنیتی، به دلیل کمبود بودجه برای تحقیق و پژوهش در این بخش و همچنین عدم شکل‌گیری تعامل بین بخش دولتی و خصوصی هنوز این سند به درستی در کشور اجرا نشده است.

به جز سایت‌ها و شبکه‌های اینترنتی برخی سازمان‌ها و شرکت‌های داخلی، سرویس‌های اینترنتی بومی نیز از گزند حملات سایبری جان سالم به در نبرده‌اند. آخرین اخبار منتشر شده نشان از پایین بودن سطح امنیت شبکه‌های اجتماعی داخلی دارد.

هادی سجادی، معاون امنیت فضای تبادل اطلاعات سازمان فناوری اطلاعات، از تحقیقی روی شبکه اجتماعی داخلی خبر داده و اینکه نتایج این تحقیق چندان رضایتبخش نبوده است.

به گفته سجادی، با بررسی ۱۰ شبکه اجتماعی برتر داخلی مشخص شده که سطح امنیت در بسیاری از این شبکه‌ها پایین است و این شبکه‌ها از نظر حفظ امنیت کاربران دارای نقص‌‏های متعددی هستند.

وی حتی به هک اطلاعات ۲ میلیون نفر از کاربران یکی از این شبکه‌های اجتماعی پربازدید و داخلی اشاره و تصریح کرده است که اطلاعات حساب کاربری و کلمه عبور این کاربران در اینترنت نیز منتشر شده است.

براساس اظهارات وی با انجام این تحقیق همچنین مشخص شد که برخی شبکه‏‌های اجتماعی داخلی اقدام به فروش اطلاعات کاربران خود می‏‌کنند که درباره این موضوع در صورت داشتن شاکی می‏تواند اعلام جرم شود.

سجادی برای کاهش این گونه مخاطرات در شبکه‌های اجتماعی داخلی از تدوین نظام تضمین امنیت شبکه‌های اجتماعی توسط مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (ماهر) با همکاری مرکز راهکارهای هوشمند دانشگاه شریف خبر داده است.

برای کسب اطلاعات تکمیلی در خصوص وضعیت فعلی شبکه‌های اجتماعی داخلی از نظر امنیتی
” معاون امنیت فضای تبادل اطلاعات سازمان فناوری اطلاعات: براساس اظهارات وی با انجام این تحقیق همچنین مشخص شد که برخی شبکه‏‌های اجتماعی داخلی اقدام به فروش اطلاعات کاربران خود می‏‌کنند که درباره این موضوع در صورت داشتن شاکی می‏تواند اعلام جرم شود “
و اینکه کدام شبکه‌های اجتماعی داخلی مورد حمله هکرها قرار گرفته‌اند، با سازمان فناوری اطلاعات تماس گرفتیم اما تا زمان نگارش این گزارش مسئولان این سازمان تماس‌ها را بی‌جواب گذاشته‌اند.

راهی برای جبران و پیشگیری
هادی سجادی، معاون امنیت فضای تبادل اطلاعات سازمان فناوری اطلاعات: با بررسی ۱۰ شبکه اجتماعی برتر داخلی مشخص شده که سطح امنیت در بسیاری از این شبکه‌ها پایین است و این شبکه‏‌ها از نظر حفظ امنیت کاربران دارای نقص‏‌های متعددی هستند.

همچنین برخی شبکه‏‌های اجتماعی داخلی اقدام به فروش اطلاعات کاربران خود می‏‌کنند که درباره این موضوع در صورت داشتن شاکی می‌‏تواند اعلام جرم شود.

هک و ‌ایجاد مشکلات امنیتی برای شبکه‌های اجتماعی تنها مختص به سرویس‌های داخلی نیست. برای مثال همین چند روز پیش بود که شبکه‌اجتماعی فیس‌بوک دلیل اختلال در شبکه خود را یک مشکل امنیتی عنوان کرد.

چنین اتفاق‌هایی برای دیگر سرویس‌های اینترنتی محبوبی مانند گوگل، یاهو، فیلیکر و… نیز افتاده است.

اما آنچه در این بین مهم به نظر می‌رسد شفاف‌سازی و هشدار به کاربران این سرویس‌هاست. این درحالی است که در ایران به طور دقیق مشخص نیست کدام شبکه‌های اجتماعی داخلی در خطر امنیتی و هک قرار دارد و تنها در این میان به کاربران توصیه می‌شود از شبکه‌های داخلی استفاده شود.

نیما شایافر، برنامه‌نویس، در گفت‌و‌گو با روزنامه ایران، مشکل امنیتی را تنها مختص شبکه‌های اجتماعی بومی نمی‌داند و اعلام می‌کند که سایت‌های سازمان‌ها و شرکت‌های داخلی نیز از پایین‌ترین سطح امنیتی برخوردار هستند.

وی در خصوص علل این شرایط می‌گوید: «یکی از دلایل بروز چنین مشکلات امنیتی، ضعف در برنامه‌نویسی چنین سرویس‌هایی است. در واقع برخی از برنامه‌نویسان، زمان کدنویسی یک سرویس به استاندارد‌های لازم در این زمینه توجهی نمی‌کنند.»

وی در ادامه می‌افزاید: «همچنین برخی از برنامه‌نویسان ایرانی برای ایجاد یک سرویس اینترنتی از ساختارهای برنامه‌نویسی از پیش آماده شده و متن‌باز استفاده می‌کنند که این انتخاب در طول زمان باعث بروز مشکلات امنیتی می‌شود.

درست است که استفاده از چنین ساختارهای برنامه‌نویسی باعث کاهش هزینه‌ها می‌شود اما برای جلوگیری از بروز مشکلات امنیتی، استفاده از چنین برنامه‌هایی نیاز به نگهداری و به روزرسانی دارد.

اما متأسفانه به دلیل نوع برخی قرارداد‌ها، بعضی برنامه‌نویسان تنها یک سرویس را پیاده‌سازی می‌کنند و بعد از آن به این موضوع کاری ندارند که آیا امنیت این سرویس تأمین خواهد شد یا خیر.»

شایافر در ادامه با انتقاد از عدم شفافیت وزارت ارتباطات در معرفی شبکه‌های اجتماعی داخلی مورد حمله هکر‌ها اعلام می‌کند: «شبکه‌های اجتماعی خارجی نظیر فیس‌بوک نیز در معرض حملات سایبری هستند و هیچ سرویس اینترنتی از چنین حملاتی در امان نیست اما آنچه در این بین و در خصوص مشکلات امنیتی شبکه‌های اجتماعی داخلی باعث تعجب می‌شود این موضوع است که چرا مسئولان به شکل شفاف نام این شبکه‌های مورد حمله را اعلام نمی‌کنند چرا که روند این کار باعث به وجود آمدن بی‌اعتمادی کاربران نسبت به استفاده از شبکه‌های داخلی را سبب می‌شود.»

بسیاری از کارشناسان حوزه وب بر این باورند که سرویس‌های اینترنتی و شبکه‌های اجتماعی داخلی را نمی‌توان با رقیبان خارجی آنها مقایسه کرد اما با بالا بردن سطح کیفی و امنیتی این سرویس‌های داخلی می‌توان باعث جلب توجه کاربران به استفاده از آنها شد.

نیما شایافر، برنامه‌نویس: مشکل امنیتی تنها مختص شبکه‌های اجتماعی بومی نیست و سایت‌های سازمان‌ها و شرکت‌های داخلی نیز از پایین‌ترین سطح امنیتی برخوردار هستند.

یکی از دلایل بروز چنین مشکلات امنیتی، ضعف در برنامه‌نویسی چنین سرویس‌هایی است. در واقع برخی از برنامه‌نویسان، زمان کدنویسی یک سرویس به استاندارد‌های لازم در این زمینه توجهی نمی‌کنند.

شایافر نیز معتقد است برای جلب نظر کاربران به سرویس‌های اینترنتی داخلی باید برنامه‌نویسان ایرانی نسبت به خواسته کاربران آگاه باشند و از برنامه‌های به روز و امن دنیا برای کد نویسی استفاده کنند.

او همچنین پیشنهاد می‌کند که مسئولان نیز به جای ورود مستقیم یا تدوین قوانین خاص در این زمینه آن هم بدون مشارکت برنامه‌نویسان شبکه‌های اجتماعی، بهتر است سرویس‌های آموزشی مناسبی در اختیار برنامه‌نویسان ایرانی بگذارد.

این برنامه‌نویس پیشنهاد می‌کند که یکی از اولین قدم‌هایی که می‌توان در این راه برداشت ترجمه اطلاعات سایت www.owasp.org است.

سایتی که ماهیتی همچون ویکی پدیا دارد و در آن تمام مشکلات امنیتی سایت‌ها و راهکارهای مقابله با آن نیز گزارش شده است.

به هرحال هک و مشکل امنیتی یک موضوع اجتناب‌ناپذیز است و همیشه راهی برای نفوذ به سیستم‌ها و سرویس‌های اینترنتی از طرف خرابکاران سایبری وجود دارد اما به باور فعالان دنیای وب، برنامه‌نویسان می‌توانند با آمادگی و به روز بودن خسارات چنین اتفاق‌هایی را کاهش دهند.

نوشته های مشابه

دکمه بازگشت به بالا