شهروندان بی‌دفاع

بخشی از اطلاعات شهروندان ایرانی در طول دوران قرنطینه لو رفت. این اتفاق نشان داد سازمان‌های سنتی ایرانی هنوز مبانی امنیت اطلاعات را نمی‌دانند. از آن سو ماجرای افشای اطلاعات از طریق نسخه‌های قلابی تلگرام را داشتیم. این موضوع هم نشان داد مردم امنیت اطلاعات را جدی نمی‌گیرند. کنار هم گذاشتن این دو واقعیت ما را به این سوال می‌رساند که آیا در نگهداری اطلاعات هویتی و شخصی شهروندان سهل‌انگاری می‌شود و تبعات آن چیست؟ شهروندان چقدر در لو رفتن اطلاعات شخصی‌‌شان در فضای اینترنت نقش دارند؟ برای درک پرسش‌ها لازم است ابتدا تفاوت بین دو مفهوم امنیت و تقلب را درک کنیم.

امنیت داریم؛ حواسمان به تقلب نیست!

بخش مهمی از نشت اطلاعات در جهان از طریق تقلب صورت می‌گیرد؛ تقلب به معنای سوءاستفاده از ضعف‌های انسانی و دسترسی به اطلاعات حساس است. مثلاً با فردی تماس می‌گیرند و می‌گویند از طرف بانک تماس گرفته‌اند و برای پیگیری موضوعی نیاز به رمز عبور فرد دارند. وقتی فرد ناآگاهانه رمز عبورش را در اختیار فرد تماس‌گیرنده قرار می‌دهد می‌گوییم که مهندسی اجتماعی صورت گرفته و تقلب شده است. این موضوع به اشتباه هک یا نفوذ بیان می‌شود.

به همین دلیل در مباحث مربوط به امنیت اطلاعات مبارزه با تقلب جایگاه مهمی دارد و این روزها به کمک روش‌های فناوری سعی می‌کنند با تقلب مبارزه کنند ولی عامل اصلی در مبارزه با تقلب مردم هستند؛ معمولاً در طراحی سیستم‌های سایبری این عامل مورد غفلت و بی‌توجهی قرار می‌گیرد و با بزرگ شدن سیستم‌ها به مرور شاهد رشد مشکلات امنیتی به دلیل در نظر گرفتن عوامل انسانی هستیم.

تصویری که در فیلم‌های سینمایی از هکرهای پاکستانی مشغول در سالن‌های تاریک ترسیم شده تا حد زیادی از واقعیت دور است. در واقع بسیاری از مواردی که با عنوان هک شناخته می‌شود هک نیست؛ معمولاً نوعی تقلب است.

مثلاً یک مورد معروف را مرور کنیم. در ماجرای افشای اطلاعات آژانس امنیت ملی آمریکا و اطلاعاتی که از آنجا خارج شده هیچ هکی صورت نگرفته است.

ادوارد اسنودن حدود 25 نفر از همکارانش را متقاعد کرده بود که گذرواژه خود را در اختیار او بگذارند؛ بهانه اسنودن این بود که به عنوان مدیر سیستم کامپیوتری برای کار به آنها نیاز دارد.

یا حدود ۱۰ سال پیش خبری با سروصدای زیاد در رسانه‌های ایران منتشر شد که اطلاعات سه میلیون کارت بانکی ایرانی هک شده است. واقعیت چه بود؟ فردی که مسوولیت توسعه سوئیچ پرداخت را در یکی از شرکت‌های پرداخت الکترونیکی داشته یک کپی از تمام اطلاعات گرفته بود و بعد که با مدیران شرکت مشکل پیدا کرد اطلاعات را با خود از ایران خارج و شروع به باج‌خواهی کرد.

در بسیاری از موارد چیزی که به عنوان هک بیان می‌شود صرفاً نتیجه اعتماد اشتباه به یک فرد است که کنترل‌های لازم در مورد او صورت نگرفته، نه نفوذ به سیستم‌ها از طریق هکرهای سینمایی! در این یادداشت منکر هک نشده‌ام و در واقع چیزی که می‌گویم این است که بخش زیادی از مواردی که با عنوان هک معرفی می‌شوند تقلب هستند. در امن‌ترین سیستم‌ها نیز تقلب ممکن است و در واقع اولین روش مورد استفاده هکرهاست.

ماجرای این روزها چیست؟

این روزها به دلیل رسانه‌ای شدن، نشت اطلاعات به موضوعی رسانه‌ای تبدیل شده و بسیاری تصور می‌کنند به یکباره امنیت آنها دچار مشکل شده است. واقعیت چیست؟ واقعیت این است که هر ماه در سازمان‌های حساس دولتی و غیردولتی نشت اطلاعات در ابعاد گوناگون رخ می‌دهد؛ ولی چون رسانه‌ای نمی‌شود کسی نسبت به آنها حساس نمی‌شود.

حالا از سوی دیگری به موضوع نگاه کنیم. هک اطلاعات در دنیا چقدر جدی است؟ هک اطلاعات در دنیا بسیارجدی است و در سال موارد زیادی در زمینه هک اطلاعات رخ می‌دهد که در برابر آنها چیزی که ما در ایران با عنوان هک اطلاعات از آن یاد می‌کنیم شوخی‌ای بیش نیست. برخلاف تصوری که داریم ایرانی‌ها جزو پیشروان هک در جهان نیستند و هنوز به صورت جدی مورد توجه هکرهای واقعی قرار نگرفته‌ایم. برای اینکه دنیای هکرها را درک کنیم باید مفهومی ساده و مهم را بشناسیم: رمزنگاری!

دنیای رمزنگاری

ما در زندگی به صورت گسترده‌ای از رمزنگاری استفاده می‌کنیم و اساس علم کامپیوتر رمزنگاری است. همه می‌دانند که هر چیزی در کامپیوتر برای اینکه قابل فهم توسط ماشین باشد در نهایت باید به صفرها و یک‌ها تبدیل شده و به عبارتی رمزگذاری می‌شود. هر رمزگذاری یک منطق دارد که برای رمزگشایی باید منطق آن را بدانیم. اگر منطق رمزگذاری را ندانیم رمزگشایی ممکن نیست. هکر چه کار می‌کند؟ منطق رمزگذاری را کشف می‌کند. همین! اولین هکر جهان آلن تورینگ بود که منطق رمزگذاری و رمزگشایی ماشین آلمانی انیگما را در زمان جنگ جهانی دوم کشف کرد. تورینگ را پدر علم کامپیوتر می‌دانند.

منتها همین موضوع ساده بسیار پیچیده است و برای انجام آن به مقدار زیادی قدرت پردازش نیاز است. مثلاً تصور کنید کسی بخواهد رمز دوم یک کارت بانکی را هک کند؛ ساده‌ترین کار چیست؟ حدس زدن. با فرض شش‌رقمی بودن رمز دوم کارت بانکی و استفاده از اعداد ۰ تا ۹ برای فهمیدن یک رمز یک میلیون آزمون  لازم است. آزمون این موضوع از نظر فنی چقدر شدنی است؟ تقریباً صفر. منتها یک راه دیگر دسترسی به محل ذخیره‌سازی رمزهاست که برای دسترسی به آن باید از چند لایه رمزگذاری عبور کرد و بعد از عبور از همه آنها هم هکر متوجه می‌شود رمزها به صورت رمزگذاری‌شده ذخیره شده‌اند. تعداد بالای لایه‌های رمزگذاری باعث می‌شود رمزگشایی تقریباً غیرممکن شود یا هکر نیاز به قدرت پردازش بسیار بالایی داشته باشد. منتها یک راه ساده‌تر وجود دارد: فیشینگ! فیشینگ یعنی دسترسی به اطلاعات حساس از طریق روش‌های مهندسی اجتماعی. مثلاً با یک نفر تماس می‌گیریم و می‌گوییم از طرف بانک تماس گرفته‌ایم و برای کاری نیاز به رمز دوم فرد داریم. به طرز عجیبی برخی از افراد به این تماس‌ها پاسخ می‌دهند و با داشتن اطلاعات دیگر که به دست آوردن آنها سخت نیست به راحتی می‌توان از اطلاعات مالی افراد سوءاستفاده کرد. به این می‌گوییم فیشینگ که به اشتباه به آن عنوان هک داده‌اند.

آن چیزی که این روزها در ایران رخ داده از جنس فیشینگ و تقلب است. در واقع ما با هک و نفوذ گسترده به سیستم‌ها مواجه نیستیم؛ ما شاهد سوءاستفاده از اطلاعات هستیم. این موضوع چرا رخ می‌دهد؟

به عنوان نمونه در زمینه اطلاعات لورفته مربوط به سازمان ثبت احوال در نظر نگرفتن رویه‌های امنیتی مربوط به APIهای اشتراک‌گذاری اطلاعات باعث شده که اشتراک اطلاعات بین سازمان ثبت احوال و وزارت بهداشت مورد سوءاستفاده قرار گیرد. به عبارت دیگر اطلاعات حبس‌شده در ثبت احوال و وزارت بهداشت امن هستند اما در زمان ردوبدل شدن اطلاعات بین این دو نهاد رویه‌های امنیتی در نظر گرفته نشده است. دلیل اصلی چیست؟ عدم آشنایی سازمان‌های دولتی ایرانی با اشتراک‌گذاری اطلاعات.

به دلیل سال‌ها حبس اطلاعاتی سازمان‌ها توانایی فنی برای اشتراک‌گذاری ایمن را ندارند. به عنوان نمونه تصور کنید که یک متهم در زمان جابه‌جایی بین دادگاه و زندان فراری داده شود. دادگاه و زندان امن است اما آیا مسیر جابه‌جایی هم امن است؟ برای جابه‌جایی اطلاعات و به اشتراک‌گذاری آنها نیز رویه‌هایی وجود دارد، مانند انتقال زندانی. متاسفانه سازمان‌های دولتی ایرانی تمرین کافی در زمینه اشتراک اطلاعات نداشته‌اند و در مواقع بحران ناخودآگاه رویه‌های ساده امنیتی را نادیده می‌گیرند.

سوال پایانی! ما به عنوان شهروند باید نگران باشیم؟ بله؛ باید نگران باشیم و فعلا فقط می‌توانیم خوشحال باشیم که به دلیل ارتباط بسته و محدودی که با جهان داریم هنوز مورد توجه هکرهای بین‌المللی قرار نگرفته‌ایم. هرچند کار زیادی از دست ما برنمی‌آید. موضوع امنیت شوخی‌بردار نیست و امنیت را فقط نباید در حفظ مرزهای فیزیکی کشور و قفل و زنجیر دید. امنیت اطلاعات و حفاظت اطلاعات در جهان جدید یکی از زیرساخت‌های اساسی توسعه اقتصادی است و در صورت بی‌توجهی به رویه‌های فنی شاهد هک‌، نفوذ و انتشار گسترده اطلاعات حساس خواهیم بود.

چیزهایی که این روزها رخ داده در برابر آنچه در آینده رخ می‌دهد شوخی‌ای بیش نیست.