ضعف اطلاعاتي مديران و هك شدن هر روزه سايتهاي دولتي
بسياري از ادارت دولتي خريدار اين نوع نرمافزارها حتي نميدانند که دارند يک نرمافزار کد باز رايگان را خريداري ميکنند و با ترفندهاي عجيب و غريب برخي شرکتهاي خصوصي مانند نامگذاري بر روي پرتال كد باز، قدري دستکاري در سورس و تغيير رد پاها و ادعاي کاملا بومي بودن آن و طراحي شده در شرکت خصوصي نسبت به فروش اين نوع پورتالها به ادارت دولتي اقدام مينمايند.
کد خبر: ۱۶۸۰۳
| | 14271 بازدید
استفاده از نرمافزارهاي كدباز در طراحي سايتها، باعث آسانتر شدن كار هكرها و حمله بيمحاباي آنان به سايتهاي دولتي شده است.
به گزارش خبرنگار «تابناك»، امروز و پس از گذشت چندين و چند سال از ورود مبحث IT در ايران هنوز که هنوز است خدمات الکترونيکي شايستهاي از طريق وبسايتهاي دولتي قابل ارايه به مخاطبان نيستند، چرا که در بيشتر سايتهاي دولتي از خدمات الکترونيک تنها در حد تعريف و يا چند لينک بسيار معمولي به چند فرم عادي چيز ديگري پيدا نميکنيد و در اين ميان خبر روزانه هک شدن سايتهاي دولتي به موضوعي طبيعي تبديل شده که خود نيز مانعي بزرگ در ابتداي ورود به مباحث خدمات الکترونيکي است!
نرمافزارهاي كد باز (Open Source)، نرمافزارهايي هستند كه هر شخصي به تمامي كدهاي برنامه، ساختار بانكهاي اطلاعاتي، معماري نرمافزاري و مسائل امنيتي آن دسترسي كامل داشته و ميتواند به راحتي آن نرمافزار را از اينترنت دانلود كند. در حقيقت اين نوع نرمافزارها حاصل همين دانلودها و ويرايشها و تبديلها از سراسر جهان و توسط هزاران برنامهنويس با سلايق و ديدهاي متفاوت است.
يکي از علل كد باز شدن يك نرمافزار، توسعه و بهينهسازي و گرفتن اشكالات و ايرادات آن و همچنين همکاري برنامهنويسان در يک پروژه است؛ يعني در حقيقت حاصل نوعي کار گروهي بوده و چه بسا داراي حفرههاي امنيتي بسيار زياد و خطرناکي نيز باشد كه براي عموم استفاده كنندگان و يا ويرايشگران آن قابل مشاهده است. به همين دليل است كه اين گونه نرمافزارها به سرعت نسخههاي جديدي ارايه ميدهند که معمولا برطرفکننده حفرههاي امنيتي هستند.
اين گزارش حاكي است: به روز نبودن اطلاعات و دانش مديران رايانهاي ادارات و وزارتخانهها، خود باعث شده است، بسياري از ادارت دولتي خريدار اين نوع نرمافزارها حتي نميدانند که دارند يک نرمافزار کد باز رايگان را خريداري ميکنند و با ترفندهاي عجيب و غريب برخي شرکتهاي خصوصي مانند نامگذاري بر روي پرتال كد باز، قدري دستکاري در سورس و تغيير رد پاها و ادعاي کاملا بومي بودن آن و طراحي شده در شرکت خصوصي نسبت به فروش اين نوع پورتالها به ادارت دولتي اقدام مينمايند و نهايتا اقدام به طراحي يک قالب گرافيکي براي آن نمودهاند را به قيمت يک نرمافزار طراحي شده داخلي و بسا گرانتر از آن به مشتري عرضه ميکنند.
اين در حالي است كه به علت دسترسي عموم به كد برنامهها، احتمال هك شدن سايتهايي كه با اين برنامهها نوشته شدهاند، بسيار بالاست و از سوي ديگر، معمولا خريداران دولتي خبر از كد باز بودن نرمافزار خود نداشته و مطمئنا به دنبال بروز رساني نرمافزار و نصب نسخههاي جديد آن كه براي مسائل امنيتي ارائه ميشود نيستند و سايت آماده هك و نفوذ ميشود و اينگونه است كه هر ساله شاهد هك شدن دهها سايت دولتي نيز ميباشيم.
بررسي بر روي يازده نرمافزار محبوب اوپنسورس اين گمان را بوجود آورد که سازمانها و شرکتها ريسک امنيتي استفاده از اين برنامهها را دست کم گرفتهاند.
بنا بر اين گزارش، شرکت امنيتي Fortify با مطالعه بر روي نرمافزارهايي همچون JBoss و OpenCMS مشکلات امنيتي متعددي را مشاهده نمودند که عمدتاً بخاطر اشتباهات برنامهنويسان اوپنسورس ايجاد گرديدهاند.
در بخشي از اين گزارش آمده است: «توجه به نکات امنيتي در پروسههاي برنامهنويسي اوپنسورس از اولويت پاييني برخوردار است.
با وجود اين که برنامههاي اوپنسورس در مورد تواناييهاي بالقوه خود براي رفع نيازهاي سازماني تبليغات زيادي را انجام ميدهند اما تعداد اندکي از آنها به نيازهاي امنيتي سازمانها توجه لازم و کافي را مينمايند».
به گزارش خبرنگار «تابناك»، امروز و پس از گذشت چندين و چند سال از ورود مبحث IT در ايران هنوز که هنوز است خدمات الکترونيکي شايستهاي از طريق وبسايتهاي دولتي قابل ارايه به مخاطبان نيستند، چرا که در بيشتر سايتهاي دولتي از خدمات الکترونيک تنها در حد تعريف و يا چند لينک بسيار معمولي به چند فرم عادي چيز ديگري پيدا نميکنيد و در اين ميان خبر روزانه هک شدن سايتهاي دولتي به موضوعي طبيعي تبديل شده که خود نيز مانعي بزرگ در ابتداي ورود به مباحث خدمات الکترونيکي است!
نرمافزارهاي كد باز (Open Source)، نرمافزارهايي هستند كه هر شخصي به تمامي كدهاي برنامه، ساختار بانكهاي اطلاعاتي، معماري نرمافزاري و مسائل امنيتي آن دسترسي كامل داشته و ميتواند به راحتي آن نرمافزار را از اينترنت دانلود كند. در حقيقت اين نوع نرمافزارها حاصل همين دانلودها و ويرايشها و تبديلها از سراسر جهان و توسط هزاران برنامهنويس با سلايق و ديدهاي متفاوت است.
يکي از علل كد باز شدن يك نرمافزار، توسعه و بهينهسازي و گرفتن اشكالات و ايرادات آن و همچنين همکاري برنامهنويسان در يک پروژه است؛ يعني در حقيقت حاصل نوعي کار گروهي بوده و چه بسا داراي حفرههاي امنيتي بسيار زياد و خطرناکي نيز باشد كه براي عموم استفاده كنندگان و يا ويرايشگران آن قابل مشاهده است. به همين دليل است كه اين گونه نرمافزارها به سرعت نسخههاي جديدي ارايه ميدهند که معمولا برطرفکننده حفرههاي امنيتي هستند.
اين گزارش حاكي است: به روز نبودن اطلاعات و دانش مديران رايانهاي ادارات و وزارتخانهها، خود باعث شده است، بسياري از ادارت دولتي خريدار اين نوع نرمافزارها حتي نميدانند که دارند يک نرمافزار کد باز رايگان را خريداري ميکنند و با ترفندهاي عجيب و غريب برخي شرکتهاي خصوصي مانند نامگذاري بر روي پرتال كد باز، قدري دستکاري در سورس و تغيير رد پاها و ادعاي کاملا بومي بودن آن و طراحي شده در شرکت خصوصي نسبت به فروش اين نوع پورتالها به ادارت دولتي اقدام مينمايند و نهايتا اقدام به طراحي يک قالب گرافيکي براي آن نمودهاند را به قيمت يک نرمافزار طراحي شده داخلي و بسا گرانتر از آن به مشتري عرضه ميکنند.
اين در حالي است كه به علت دسترسي عموم به كد برنامهها، احتمال هك شدن سايتهايي كه با اين برنامهها نوشته شدهاند، بسيار بالاست و از سوي ديگر، معمولا خريداران دولتي خبر از كد باز بودن نرمافزار خود نداشته و مطمئنا به دنبال بروز رساني نرمافزار و نصب نسخههاي جديد آن كه براي مسائل امنيتي ارائه ميشود نيستند و سايت آماده هك و نفوذ ميشود و اينگونه است كه هر ساله شاهد هك شدن دهها سايت دولتي نيز ميباشيم.
بررسي بر روي يازده نرمافزار محبوب اوپنسورس اين گمان را بوجود آورد که سازمانها و شرکتها ريسک امنيتي استفاده از اين برنامهها را دست کم گرفتهاند.
بنا بر اين گزارش، شرکت امنيتي Fortify با مطالعه بر روي نرمافزارهايي همچون JBoss و OpenCMS مشکلات امنيتي متعددي را مشاهده نمودند که عمدتاً بخاطر اشتباهات برنامهنويسان اوپنسورس ايجاد گرديدهاند.
در بخشي از اين گزارش آمده است: «توجه به نکات امنيتي در پروسههاي برنامهنويسي اوپنسورس از اولويت پاييني برخوردار است.
با وجود اين که برنامههاي اوپنسورس در مورد تواناييهاي بالقوه خود براي رفع نيازهاي سازماني تبليغات زيادي را انجام ميدهند اما تعداد اندکي از آنها به نيازهاي امنيتي سازمانها توجه لازم و کافي را مينمايند».
متن كامل را در ستون «مقالات» بخوانيد.
گزارش خطا
غیر قابل انتشار: ۰
در انتظار بررسی: ۲
انتشار یافته: ۰
این را باید درمورد موبایلهای جدید ( هوشمند) هم ذکر کرد. بعضی از این تلفنها، بنا به گفته تولید کنندگان، دارای برنامههائی با کذ باز هستند. این مسئله خطر هک شدن آنها را بالا میبرد. مدیران دولتی که مطمئنا همگی آخرین مدلهای تلفن همراه را بکار میبرند باید به مسئله امنیت اطلاعات توجه ویژه ای داشته باشند. 
سلام و خسته نباشیدمتاسفانه نظر شما تا حدودی جانبدارانه هست. این اصلا دلیل مناسبی نیست که بگوییم چون سورس نرم افزارهای اپن سورس در اختیار همه قرار دارد، این نرم افزارها از نظر امنیتی در سطح پایینی قرار دارند. نظر بسیاری از کارشناسان امر دقیقا مخالف با نظر شما در این مقاله هست و گزارشات متعددی خلاف آنچه شما بیان کردید وجود دارد. علاوه بر این مشکلات امنیتی به فاکتورهای متعددی از جمله پیکر بندی سرور و فایروال هم بستگی دارد و نمی توان همه تقصیر را بر گردن یک نرم افزار خاص گذاشت. گزارشات این چنینی را معمولا شرکت های نرم افزاری که با دنیای اپن سورس مخالف هستند و از این مسئله سود می برند تهیه می کنند. ای کاش مقاله شما منبع و ماخذی می داشت تا ما هم استفاده می کردیم. استفاده از نرم افزار اپن سورس دلیلی برای کمی دانش یک نفر یا یک سازمان نیست. مگر گوگل و یا هو از نرم افزارهای اپن سورس استفاده نمی کنند؟
یک دانشجوی دکتری مهندسی کامپیوتر-نرم افزار
بنده مدير امور نرم افزار یکی از شرکت های امور بانکداری الکترونيک هستم . متاسفانه اطلاعات نويسنده در مورد هک و روش های آن ضعيف می باشد چراکه هک هایی که اين روزها صورت گرفته از نوع Defence می باشد و اين نوع هک از طريق نفوذ به ديتا سنترهای ميزبان وب صورت می گيرد . ضمنا استفاده از برنامه های کد باز در همه دنيا از قبيل پنتاگون استفاده شده است و اين اصلا دليلی برای هک شدن سايتهای دولتی نمی باشد . لطفا اگر ذره ای انصاف هست اينگونه بدون تخصص مطلب ننويسید چراکه فضای IT را بی دليل مسموم می کند . ضمنا اکثر ادارات دولتی هم اکنون از نرم افزار های دارای License استفاده می کنند . آخ داغ دلمو تازه کردیدتوی دانشگاه ما تازه 2ساله انتخاب واحد اینترنتی شده
ترم اول که اینترنتی بود من خودم با دستکاری توی کلاسهایی که ظرفیتشون پرشده بود ثبت نام می کردم و همینطور برای دوستام
بعد از انتخاب واحد رفتم گفتم سایت این مشکلات رو داره درستش کنید. گفتند مسئولش ما نیستم ، از تهران برامون اومده. بهشون گفتم شما که بهترین استادای کامپیوتر رو دارید خودتون طراحی کنید یا به عنوان پروژه پایان نامه به بچه های کامپیوتری بدید.وقتی دیدند زیادی گیر بهشون دادم گفتند حتما ترم بعد همین کارو می کنیم. بعد 3 ترم هنوز ترم بعدی که می گفتند نیومده.
البته این نکته رو باید اشاره کنم که درگاه ملی ایران بنام iran.ir با همین نرم افزارهای اوپن سورس(جوملا) طراحی شده.و امکانات خوبی هم دارد و هیچگاه هک هم نشده است .پس همه سایتها و نرم افزارها اوپن سورس بد نیستند بلکه اگر درست استفاده شود ، می تواند بهترین پورتال را با ان پیاده کرد. من یک متخصص در زمینه نرم افزارهای سازمانی و مبتنی بر وب هستم. باید عرض کنم دوست عزیری که متن فوق را نگاشته است به احتمال زیاد نه متخصص نرم افزارهای متن باز می باشند و نه از علت هک شدن سایتهای دولتی مطلع هستند. سایتها دولتی نوعا بر بروی سرور کاربرد IIS مربوط به مایکروسافت اجرا می شوند و همه متخصصان این رشته متفق القول هستند که این نرم افزار ها امنیت چندانی ندارند. و راه حل آن استفاده از نرم افزارهای متن باز می باشد که امنیت بیشتری دارند. در نرم افزارهای متن باز مانند نرم افزارهای مایکروسافت بر مبنای مخفی کاری نیست. بلکه براساس کیفیت بالای تولید می باشد. یک صرب المثل در دنیای متن باز هست که می گوید اگر به اندازه کافی چشم در اختیار داشته باشید می توانید همه مشکلات را ببینید. و این اتفاق در نرم افزارهای متن باز می افتد و نه نرم افزارهای تجاری استفاده از open source ربطی به راحت تر شدن کار هکر ها ندارد. نرم افزار های apache، لینوکس، BSD، و بسیاری نرم افزارهای مبتنی بر جاوا در دنیا open source هستند. امنیت نرم افزار به معماری نرم افزار و رعایت اصول امنیتی بر می گردد، open source الان یک حرکت جهانی در نرم افزار است استفاده نادرست از هر ابزاری مشکل زاست. یکی از بزرگترین مشکلات در سازمان های دولتی عدم بروز رسانی سیستم هاست که مشکلات زیادی را پدید می اورد. اگر استفاده از سیستم های open source نادرست بود چطور شورای عالی انفورماتیک کشور برای رتبه بندی شرکت های نرم افزاری از ProcessMaker که متن باز است استفاده می کند؟ یا در دنیا در این حد استفاده از آن رواج دارد.در عین حال سایتهایی که با PHP طراحی شده اند و به صورت پکیج به فروش می رسد ( حتی نسحه های تجاری و غیر اپن سورس) بواسطه ذات این زبان با کد ارایه شده . آیا می توان نتیجه گرفت اینگونه سایت هم دارای مشکل امنیتی خواهد بود؟ ( با توجه به این حقیقت که یک نمونه کد در هزاران سایت استفاده می شود؟) اگر این چنین است چرا در این حد وسیع از این زبان در دنیا استفاده شده؟
اگر ما به دلایل عدم دانایی، نبود قوانین و آگاهی مناسب در جامعه فنی و مهندسی (که آن هم به به دلیل عدم تربیت نیروی انسانی آگاه از حوزه در دانشگاهها است) نمی توانیم از قابلیتهای ویژه نرم افزارهای متن(کد) باز که توصیه سازمان ملل و سایر نهاد بین المللی است و در بسیار از کشورهای در حال توسعه مانند مالزی، آفریقای جنوبی یا حتی افغانستان و پاکستان به عنوان بستر توسعه فناوری اطلاعات در دولت در نظر گرفته شده است، درست استفاده کنیم، چرا باید با پرداختن به حواشی نرم افزار متن باز را متهم کنیم؟ استفاده از نرم افزار های اپن سورس هیچ ربطی به ای مساله ندارداصولا نرم افزار های اپن سورس امنیت بسیار بیشتری نسبت به نرم افزار های تجاری دارند که آن هم به علت تعداد بالای افرادیست که در سراسر دنیا بر روی این نرم افزار ها کار می کنند.
نگارنده متون بالا هیچ گونه آشنایی با دنیای نرم افزار های اپن سورس یا متن باز نداشته است..
ولی این نکته که برخی شرکت های ایرانی با تغییر چند خط و آب رنگ نرم افزار ادعای نوشتن و مالکیت این نرم افزار ها را دارند ادعای درستی است
نظرسنجی
آیا جام جهانی میتواند مانع جنگ آمریکا با ایران شود؟