شهروندان بیدفاع
عدم آشنایی سازمانهای ایرانی با حفاظت داده و اشتراکگذاری اطلاعات چه خطراتی به بار میآورد؟
بخشی از اطلاعات شهروندان ایرانی در طول دوران قرنطینه لو رفت. این اتفاق نشان داد سازمانهای سنتی ایرانی هنوز مبانی امنیت اطلاعات را نمیدانند. از آن سو ماجرای افشای اطلاعات از طریق نسخههای قلابی تلگرام را داشتیم. این موضوع هم نشان داد مردم امنیت اطلاعات را جدی نمیگیرند. کنار هم گذاشتن این دو واقعیت ما را به این سوال میرساند که آیا در نگهداری اطلاعات هویتی و شخصی شهروندان سهلانگاری میشود و تبعات آن چیست؟ شهروندان چقدر در لو رفتن اطلاعات شخصیشان در فضای اینترنت نقش دارند؟ برای درک پرسشها لازم است ابتدا تفاوت بین دو مفهوم امنیت و تقلب را درک کنیم.
بخشی از اطلاعات شهروندان ایرانی در طول دوران قرنطینه لو رفت. این اتفاق نشان داد سازمانهای سنتی ایرانی هنوز مبانی امنیت اطلاعات را نمیدانند. از آن سو ماجرای افشای اطلاعات از طریق نسخههای قلابی تلگرام را داشتیم. این موضوع هم نشان داد مردم امنیت اطلاعات را جدی نمیگیرند. کنار هم گذاشتن این دو واقعیت ما را به این سوال میرساند که آیا در نگهداری اطلاعات هویتی و شخصی شهروندان سهلانگاری میشود و تبعات آن چیست؟ شهروندان چقدر در لو رفتن اطلاعات شخصیشان در فضای اینترنت نقش دارند؟ برای درک پرسشها لازم است ابتدا تفاوت بین دو مفهوم امنیت و تقلب را درک کنیم.
امنیت داریم؛ حواسمان به تقلب نیست!
بخش مهمی از نشت اطلاعات در جهان از طریق تقلب صورت میگیرد؛ تقلب به معنای سوءاستفاده از ضعفهای انسانی و دسترسی به اطلاعات حساس است. مثلاً با فردی تماس میگیرند و میگویند از طرف بانک تماس گرفتهاند و برای پیگیری موضوعی نیاز به رمز عبور فرد دارند. وقتی فرد ناآگاهانه رمز عبورش را در اختیار فرد تماسگیرنده قرار میدهد میگوییم که مهندسی اجتماعی صورت گرفته و تقلب شده است. این موضوع به اشتباه هک یا نفوذ بیان میشود.
به همین دلیل در مباحث مربوط به امنیت اطلاعات مبارزه با تقلب جایگاه مهمی دارد و این روزها به کمک روشهای فناوری سعی میکنند با تقلب مبارزه کنند ولی عامل اصلی در مبارزه با تقلب مردم هستند؛ معمولاً در طراحی سیستمهای سایبری این عامل مورد غفلت و بیتوجهی قرار میگیرد و با بزرگ شدن سیستمها به مرور شاهد رشد مشکلات امنیتی به دلیل در نظر گرفتن عوامل انسانی هستیم.
تصویری که در فیلمهای سینمایی از هکرهای پاکستانی مشغول در سالنهای تاریک ترسیم شده تا حد زیادی از واقعیت دور است. در واقع بسیاری از مواردی که با عنوان هک شناخته میشود هک نیست؛ معمولاً نوعی تقلب است.
مثلاً یک مورد معروف را مرور کنیم. در ماجرای افشای اطلاعات آژانس امنیت ملی آمریکا و اطلاعاتی که از آنجا خارج شده هیچ هکی صورت نگرفته است.
ادوارد اسنودن حدود 25 نفر از همکارانش را متقاعد کرده بود که گذرواژه خود را در اختیار او بگذارند؛ بهانه اسنودن این بود که به عنوان مدیر سیستم کامپیوتری برای کار به آنها نیاز دارد.
یا حدود ۱۰ سال پیش خبری با سروصدای زیاد در رسانههای ایران منتشر شد که اطلاعات سه میلیون کارت بانکی ایرانی هک شده است. واقعیت چه بود؟ فردی که مسوولیت توسعه سوئیچ پرداخت را در یکی از شرکتهای پرداخت الکترونیکی داشته یک کپی از تمام اطلاعات گرفته بود و بعد که با مدیران شرکت مشکل پیدا کرد اطلاعات را با خود از ایران خارج و شروع به باجخواهی کرد.
در بسیاری از موارد چیزی که به عنوان هک بیان میشود صرفاً نتیجه اعتماد اشتباه به یک فرد است که کنترلهای لازم در مورد او صورت نگرفته، نه نفوذ به سیستمها از طریق هکرهای سینمایی! در این یادداشت منکر هک نشدهام و در واقع چیزی که میگویم این است که بخش زیادی از مواردی که با عنوان هک معرفی میشوند تقلب هستند. در امنترین سیستمها نیز تقلب ممکن است و در واقع اولین روش مورد استفاده هکرهاست.
ماجرای این روزها چیست؟
این روزها به دلیل رسانهای شدن، نشت اطلاعات به موضوعی رسانهای تبدیل شده و بسیاری تصور میکنند به یکباره امنیت آنها دچار مشکل شده است. واقعیت چیست؟ واقعیت این است که هر ماه در سازمانهای حساس دولتی و غیردولتی نشت اطلاعات در ابعاد گوناگون رخ میدهد؛ ولی چون رسانهای نمیشود کسی نسبت به آنها حساس نمیشود.
حالا از سوی دیگری به موضوع نگاه کنیم. هک اطلاعات در دنیا چقدر جدی است؟ هک اطلاعات در دنیا بسیارجدی است و در سال موارد زیادی در زمینه هک اطلاعات رخ میدهد که در برابر آنها چیزی که ما در ایران با عنوان هک اطلاعات از آن یاد میکنیم شوخیای بیش نیست. برخلاف تصوری که داریم ایرانیها جزو پیشروان هک در جهان نیستند و هنوز به صورت جدی مورد توجه هکرهای واقعی قرار نگرفتهایم. برای اینکه دنیای هکرها را درک کنیم باید مفهومی ساده و مهم را بشناسیم: رمزنگاری!
دنیای رمزنگاری
ما در زندگی به صورت گستردهای از رمزنگاری استفاده میکنیم و اساس علم کامپیوتر رمزنگاری است. همه میدانند که هر چیزی در کامپیوتر برای اینکه قابل فهم توسط ماشین باشد در نهایت باید به صفرها و یکها تبدیل شده و به عبارتی رمزگذاری میشود. هر رمزگذاری یک منطق دارد که برای رمزگشایی باید منطق آن را بدانیم. اگر منطق رمزگذاری را ندانیم رمزگشایی ممکن نیست. هکر چه کار میکند؟ منطق رمزگذاری را کشف میکند. همین! اولین هکر جهان آلن تورینگ بود که منطق رمزگذاری و رمزگشایی ماشین آلمانی انیگما را در زمان جنگ جهانی دوم کشف کرد. تورینگ را پدر علم کامپیوتر میدانند.
منتها همین موضوع ساده بسیار پیچیده است و برای انجام آن به مقدار زیادی قدرت پردازش نیاز است. مثلاً تصور کنید کسی بخواهد رمز دوم یک کارت بانکی را هک کند؛ سادهترین کار چیست؟ حدس زدن. با فرض ششرقمی بودن رمز دوم کارت بانکی و استفاده از اعداد ۰ تا ۹ برای فهمیدن یک رمز یک میلیون آزمون لازم است. آزمون این موضوع از نظر فنی چقدر شدنی است؟ تقریباً صفر. منتها یک راه دیگر دسترسی به محل ذخیرهسازی رمزهاست که برای دسترسی به آن باید از چند لایه رمزگذاری عبور کرد و بعد از عبور از همه آنها هم هکر متوجه میشود رمزها به صورت رمزگذاریشده ذخیره شدهاند. تعداد بالای لایههای رمزگذاری باعث میشود رمزگشایی تقریباً غیرممکن شود یا هکر نیاز به قدرت پردازش بسیار بالایی داشته باشد. منتها یک راه سادهتر وجود دارد: فیشینگ! فیشینگ یعنی دسترسی به اطلاعات حساس از طریق روشهای مهندسی اجتماعی. مثلاً با یک نفر تماس میگیریم و میگوییم از طرف بانک تماس گرفتهایم و برای کاری نیاز به رمز دوم فرد داریم. به طرز عجیبی برخی از افراد به این تماسها پاسخ میدهند و با داشتن اطلاعات دیگر که به دست آوردن آنها سخت نیست به راحتی میتوان از اطلاعات مالی افراد سوءاستفاده کرد. به این میگوییم فیشینگ که به اشتباه به آن عنوان هک دادهاند.
آن چیزی که این روزها در ایران رخ داده از جنس فیشینگ و تقلب است. در واقع ما با هک و نفوذ گسترده به سیستمها مواجه نیستیم؛ ما شاهد سوءاستفاده از اطلاعات هستیم. این موضوع چرا رخ میدهد؟
به عنوان نمونه در زمینه اطلاعات لورفته مربوط به سازمان ثبت احوال در نظر نگرفتن رویههای امنیتی مربوط به APIهای اشتراکگذاری اطلاعات باعث شده که اشتراک اطلاعات بین سازمان ثبت احوال و وزارت بهداشت مورد سوءاستفاده قرار گیرد. به عبارت دیگر اطلاعات حبسشده در ثبت احوال و وزارت بهداشت امن هستند اما در زمان ردوبدل شدن اطلاعات بین این دو نهاد رویههای امنیتی در نظر گرفته نشده است. دلیل اصلی چیست؟ عدم آشنایی سازمانهای دولتی ایرانی با اشتراکگذاری اطلاعات.
به دلیل سالها حبس اطلاعاتی سازمانها توانایی فنی برای اشتراکگذاری ایمن را ندارند. به عنوان نمونه تصور کنید که یک متهم در زمان جابهجایی بین دادگاه و زندان فراری داده شود. دادگاه و زندان امن است اما آیا مسیر جابهجایی هم امن است؟ برای جابهجایی اطلاعات و به اشتراکگذاری آنها نیز رویههایی وجود دارد، مانند انتقال زندانی. متاسفانه سازمانهای دولتی ایرانی تمرین کافی در زمینه اشتراک اطلاعات نداشتهاند و در مواقع بحران ناخودآگاه رویههای ساده امنیتی را نادیده میگیرند.
سوال پایانی! ما به عنوان شهروند باید نگران باشیم؟ بله؛ باید نگران باشیم و فعلا فقط میتوانیم خوشحال باشیم که به دلیل ارتباط بسته و محدودی که با جهان داریم هنوز مورد توجه هکرهای بینالمللی قرار نگرفتهایم. هرچند کار زیادی از دست ما برنمیآید. موضوع امنیت شوخیبردار نیست و امنیت را فقط نباید در حفظ مرزهای فیزیکی کشور و قفل و زنجیر دید. امنیت اطلاعات و حفاظت اطلاعات در جهان جدید یکی از زیرساختهای اساسی توسعه اقتصادی است و در صورت بیتوجهی به رویههای فنی شاهد هک، نفوذ و انتشار گسترده اطلاعات حساس خواهیم بود.
چیزهایی که این روزها رخ داده در برابر آنچه در آینده رخ میدهد شوخیای بیش نیست.