^{مصاحبه با نماینده گروه امنیتی آشیانه در یزد: هک وبسایتها دولتی و سرور پارک و این گونه مقولات}

یزدفردا -گروه فناوری و اطلاعات :درروزهای اخیر مبحث امنیت اطلاعات در حوزه فناوری اطلاعات استان یزد به یک بحث داغ تبدیل شده است این مقوله زمانی به اوج خود رسید که در پی هک شدن وب سایتهای دولتی، کارشناسان و علاقمندان به قلم فرسایی پرداختند که این نوشتارها دارای فراز و فرودهایی بود.
یکی از مقوله های مورد بحث پروژه "هک سرور پارک علم و فناوری یزد" بود که در سال گذشته توسط گروه امنیتی آشیانه در یزد انجام شد و مورد بحث و کارشناسی برخی قرار گرفت که در نهایت مدیر خدمات تخصصی پارک علم و فناوری با درایت مثال زدنی به این مقوله جوابگویی کافی و وافی دادند.

پیش درآمد گپ و گفتگو:
برای اینکه از ابعاد مختلف با هک و حمله های اینترنتی در هفته های اخیر به خصوص هک سرور پارک علم و فناوری یزد بیشتر آشنا شویم، با نماینده گروه امنیتی آشیانه در استان یزد مصاحبه ای انجام دادیم، این گروه مجری طرح تست نفوذ پذیری سرور پارک علم و فناوری بودند که بی شک از جزییات داستان بیشتر از دیگران اطلاع دارند . 
 
^{یزدفردا : در خصوص هک سرور پارک علم و فناوری استان یزد سوالات و ابهاماتی وجود دارد، اصل قضیه چیست؟}
پروژه تست نفوذپذیری سرور پارک علم و فناوری استان یزد یک پروژه فنی و مهندسی و تخصصی امنیت اطلاعات است که در حوزه فناوری اطلاعات رایج است، گروه با مجموعه پارک به توافق رسیدند که سرور پارک علم وفناوری را مورد تست امنیتی قرار دهند که این موضوع پیشرویی در کشور است. 
 
 
^{یزدفردا :} پس چرا مورد انتقاد برخی از کاربران قرار گرفت مشکل کجاست؟
مشکل اینجاست که متاسفانه برخی برداشتهایی نامرتبط و شخصی از این موضوع دارند. 
 
^{یزدفردا :}  در هرحال سرور پارک مورد حمله قرار گرفته است فکر کنم حال با عنوان تست نفوذپذیری بخواهیم توجیه کنیم تفاوتی نمی کند؟
نه! ببینید فرق یک جنگ نظامی تمام عیار با مانور نظامی چیست؟ تست نفوذ پذیری یک مانور محسوب می شود حتی نام این پروژه می تواند مانور امنیتی باشد که اصطلاح فنی و رایجی نیست و از همان اصطلاح تست نفوذپذیری استفاده میکنیم، درهرحال این پروژه به صورت آزمایشی و برای تحلیل و آنالیز انجام می شود، حالا عده ای هستند که در میگویند در مانور اسیر شده اند، باید دید چرا این نگاه وجود دارد. 
 
^{یزدفردا :}  اصلا چرا این پروژه هک یا همان تست نفوذپذیری کلید خورد؟
ببینید هنوز هم عده ای از دست اندرکاران بخش خصوصی و دولتی به مقوله امنیت اطلاعات بها نمی دهند، وقتی می گفتیم امنیت وبسایت شما حداقل است، واکنش غریبی داشتند، خوب باید پروژه ای فنی و کارشناسی انجام شود تا حداقل این مقوله مهم مورد توجه قرار گیرد. از طرفی تست نفوذپذیری، هک سفید و بدون خسارات است و می تواند نقاط ضعف احتمالی را برطرف کند. 
 
^{یزدفردا :} چرا سرور پارک علم و فناوری را انتخاب کردید؟
پارک علم و فناوری یک مجموعه تخصصی است لااقل برایشان این مسایل مانند تست نفوذپذیری معنا دارد، در ضمن اینکه در یک مرکز علمی بزرگ حاشیه هایی نظیر سیاسی شدن موضوع پیش نمی آید. 
 
^{یزدفردا :}  خوب دانشگاه یزد و مراکز دیگر هم بودند، می توان برداشت کرد امنیتشان بالا بوده است؟
سرور پارک علم و فناوری یک سرور داخل استان است، در حالی که هنوز برخی ادارات دولتی و بخش خصوصی سرور داخل خاک آمریکا دارند، این موضوع مهم بود که یک سرور استانی تست و ارتقا یابد.
در خیلی از موارد امنیت سرورهایی پایین است که کارشناسان آی تی ادارات هیچ مدیریت و دخالتی در سرورها ندارند، تست نفوذپذیری وبسایتها با میزبانی خارج از کشور در نهایت به تذکر جابجایی میزبان ختم می شود. 
 
^{یزدفردا :}  اگر این مقوله را مانور و پروژه فنی و مهندسی می دانید چرا اطلاع رسانی شد؟
ببینید این یک پروژه ایست که نشان از ضعف یا نقض یا برتری گروهی نیست که نخواهیم اطلاع رسانی کنیم، از طرفی باید فرهنگ سازی صورت بگیرد، این موضوع در جهان در تمام علوم رایج است.

البته ما فقط به ایرنا و یزد فردا خبر دادیم ولی موضوع و نوع پروژه به دلیل تازگی و داغی خبری مورد توجه وبسایتها قرار گرفت که خیلی به سود یزد به خصوص پارک شد. 
 
^{یزدفردا :}  در یک کلام، یک جواب قانع کننده بدهید! تست نفوذپذیری چرا؟
تاکید می کنم تست نفوذپذیری از خدماتی است که توسط شرکتهای فعال امنیتی ارایه می شود و جزیی از فازهای ایمن سازی سرور است که به صورت دوره ای و دایم توسط مدیریت سرور یا به صورت پروژه برون سپاری انجام می شود، این مقوله در دنیا شناخته شده است و هیچ ابهامی نیست! 
 
^{یزدفردا :}  برخی از این پروژه برداشتهای متفاوت و گاه تند داشته اند علت چیست؟
خوب نظر و گفته هر کارشناس و شهروندی برایمان محترم است البته قضاوت با خوانندگان رسانه هاست که ایمان داریم شاید برخی مسایل فنی را در حد وحدود تخصصی نمی دانند اما سره را از ناسره خوب تشخیص می دهند و به قول استادی، فردی نادان است که خود را دانا و دیگران را احمق فرض کند. 
 
^{یزدفردا :}  آیا در نهایت برای پارک علم و فناوری دستاوردی داشت؟
به هر حال سرور پارک که تست شد داخل استان است، از طرفی نگاه مسولین به امنیت اطلاعات در قالب پروژه هایی نظیر تست نفوذپذیری نشانی از سطح درک بالای علمی و فنی مجموعه مدیریت استان است که لااقل استان مثل همیشه در این زمینه هم پیشرو است.
این نکته هم هست، یکی از موضوعات مهم در راه اندازی سرور امنیت اطلاعات است که هر میزان بالاتر باشد، سطح اعتبار سرور بالاتر است، یکی از فازها امنیت هم تست نفوذپذیری است.  در ضمن مهمترین دستاورد این تست نفوذ پذیری برای پارک این بود که معلوم شد سرور پارک امن نیست و باید برای بالا بردن امنیتش و رفع حفره ها اقدامی شود.

^{یزدفردا :}  در این سرور به غیر از سایت پارک وب سایتهای دیگر نیز وجود دارد. با این وجود پارک نمی توانسته برای سایت های مردم درخواست تست نفوذپذیری کنند؟
نه اینطور نیست، فکر کنم وبسایت غیرپارکی روی سرورنبوده است، ضمنا ماههای ابتدایی راه اندازی سرور بود و فضایی فروخته نشده بود.
از طرفی این یک تست نفوذ پذیری بوده است و نفوذ کننده ها با اطلاع قبلی اقدام به نفوذ کرده اند و به اطلاعات احتمالی کاری نداشتند. درهر حال اگر ضعف امنیتی باشد، اینبار فردی بدون صلاحیت وارد می شود. 
 
 
^{یزدفردا :}  برگردیم به موضوع روز امنیت اطلاعات استان، چرا وب سایتهای دولتی هک می شوند؟
خوب سوال کلی است، در یک جواب و دوخط نمی گنجد، همین قدر جواب بدهم، هر پروژه نفوذ با تکیه بر ضعف یا نارسایی های امنیتی انجام می شود و ممکن است باهم فرق کند، به هر حال باید برای هر پروژه منفک بررسی شود. 
 
^{یزدفردا :}  شاید بتوان گفت، مسایل ریشه ای وجود دارد که هک می شویم؟
خوب این یک بحث تخصصی است که کارشناسان و فعالان امنیت اطلاعات در همین زمینه مشاوره و راهنمایی و حتی مشارکت دارند، هر فردی یا ارگانی می تواند با این عزیزان همکاری کند. 
 
^{یزدفردا :} بالا بردن امنیت یک وبسایت برای فلان اداره دولتی هزینه دارد حالا به فرض هک شدیم چه اتفاقی رخ می دهد؟
بستگی به نگاهمان دارد، حدود یک سال پیش بارها دوستانمان در گروه به وبسایتهای مهم تذکر دادند که امنیتشان بالا برود، کمتر توجه شد، در هفته گذشته یک گروه افراطی وهابیون وبسایتهای مهم شیعی نظیر وبسایت حرم حضرت معصومه(س) را هک و کلمات بسیار رنج دهنده ای در وبسایتها درج کردند، این مهم هست یانه؟

^{یزدفردا :}  خودتان می گوید وبسایتهای مهم نه وبسایتهای استانی؟
هر درگاه اینترنتی بین المللی است، گفتم به نگاهمان بر می گردد به هر حال در یک نفوذ وهک آسیب فنی ببینم یا مطالب نامرتبط در وبسایتمان درج شود جالب به نظر نمی رسد. 
 
^{یزدفردا :}  فکر می کنید برای حفاظت از یک صفحه از درج احتمالی مطالب نامربوط، باید بازهم هزینه داد؟
ببنید در آینده در اینترنتی اطلاعات محرمانه و شخصی داریم مثل حساب بانکی و. . . مثلا اگر وبسایت 118 هک شود، آدرس و شماره تلفن و مشخصات افراد در دست افراد غیرمسوول قرار می گیرد و این می تواند مشکل آفرین باشد هر میزان محرمانگی این اطلاعات بیشتر باشد مشکل آفرین تر است حتی می تواند مشکل امنیتی ملی به وجود آورد، به نظر می رسد برای بقا در دنیای مجازی امنیت حرف اول را می زند. 
 
^{یزدفردا :}  برای اینکه امنیت اطلاعات در کشور رشد کند چه باید کرد؟
جواب کلی می دهم، باید تک تک کاربران و شهروندان الکترونیکی در حد نیاز خود و مسوولیت و محدوده فعالیتی که در شبکه جهانی اینترنت دارند از دانش فنی امنیت اطلاعات مطلع باشند، حتی فردی که یک ایمیل دارد اگر حداقل امنیت را رعایت نکند ممکن است اطلاعات محرمانه اش افشا و مورد سوء استفاده قرار گیرد.
البته لازم نیست همه کارشناس و متخصص امنیت اطلاعات شوند ولی لااقل مدیر وبسایت می بایست از دانش امنیت اطلاعات در حد نیاز باخبر باشد که امید واریم دست اندر کارن و متولیان امر حرکتهای پایه ای و اساسی در زمینه نهادینه شدن دانش امنیت اطلاعات در استان یزد بردارند.

یزدفردا  

• نویسنده : یزد فردا
• منبع خبر : خبرگزاری فردا