زمان : 16 Dey 1385 - 15:48
شناسه : 4341
بازدید : 2569
افشاي 17خطاي امنيتي و حرفه‌اي طرح ساماندهي پايگاه‌هاي اينترنتي وزارت ارشاد افشاي 17خطاي امنيتي و حرفه‌اي طرح ساماندهي پايگاه‌هاي اينترنتي وزارت ارشاد



«طرح ملي ساماندهي سايت هاي اينترنتي» واكنش‌هاي وسيعي را در وبلاگستان برانگيخت كه اكثريت قريب به اتفاق آنها منفي و انتقادي بود. رضا ولي‌زاده، يكي از بلاگرهايي بود كه در وبلاگ خود به نام ايستگاه با نگاهي فني و تحليلي به اشكالات ساختاري اين طرح پرداخت. ولي‌زاده نوشت:

روز گذشته عده زيادي از وبلاگ نويسان به افشاي چند نکته از طرح ملي ساماندهي سايت‌هاي اينترنتي پرداختند. اين نوشتار، گزارش مفصلي از تمامي جزئيات پشت پرده اين طرح و نتايج فاجعه آميز آن است که اجراي آن مساوي با نشانه رفتن امنيت ملي و تير خلاص به حيات سايت‌ها و وبلاگ هاست.

نکاتي در ارتباط با طرح ساماندهي پايگاه‌هاي اينترنتي ايراني:
(الف) مشکلات امنيتي سايت فعلي:
1ـ شرايط فعلي ميزباني سايتي که قرار است اطلاعات تفصيلي تمام پايگاه‌هاي ايراني را نگهداري کند به قرار زير است:
محل ميزباني سايت: دو سرور واقع در آمريکا و چين

شرکت خارجي طرف قرارداد:

wildhoster.com

(ميزبان وحشي)
شرکت‌هاي داخلي که به اطلاعات سرور دسترسي دارند: ... (دارنده سرور اصلي سايت در آمريکا)، احتمالاً ...(که به عنوان مالک دامنه
samandehi.ir نام ايشان ثبت شده)

2ـ قالب سايت از يک سايت خارجي (www.checkm8.com) کپي شده که کاري غيرقانوني و غيرحرفه‌اي است. اين دو نشاني را مقايسه کنيد. سايتي که وزارت فرهنگ معرفي کرده بدون کوچکترين تغييري يک دزدي تمام عيار است: www.checkm8.com

حالا مقايسه کنيد با اين:

 www.samandehi.ir


3ـ بخشي از اطلاعات الزامي خواسته شده درباره هر سايت به اين شرح است:
نام مدير سايت، تلفن و نشاني کامل مسئول سايت، سال ايجاد وب سايت، هدف از ايجاد وب سايت، زبان برنامه نويسي، نوع بانک اطلاعاتي، تعداد بازديد روزانه، نام سايت ميزبان، کشور محل ميزباني، کاربري سايت، نوع محتواي آن، طيف مخاطبان سايت و گروه سني مخاطبان.

احتمالاً چنين اطلاعات طبقه بندي شده‌اي در هيچ يک از کشورهاي دنيا براي تمام پايگاه‌هاي اينترنتي‌شان وجود ندارد. نياز به گفتن نيست که در اختيار داشتن چنين اطلاعاتي چه امتياز بزرگي براي يک شرکت تجاري محسوب مي‌شود و چه سوء استفاده‌هايي از اين اطلاعات مي‌تواند انجام گيرد. به چه دليل بايد چند شرکت کوچک داخلي و خارجي به چنين اطلاعاتي (از جمله اطلاعات محرمانه رقباي تجاري‌شان) دسترسي داشته باشند؟

4ـ آيا مي‌دانيد فرستندگان هرزنامه براي اطلاعات کامل و دسته‌بندي‌شده تمام سايت‌هاي يک کشور حاضرند چقدر پول بدهند؟ به نظر شما شرکتي که نام خود را ميزبان وحشي ( wildhoste) نام گذاشته از چنين پولي مي‌گذرد؟ چه تضميني وجود دارد که آن شرکت چيني و يا شرکت داخلي چنين کاري نکنند؟

5ـ وزير ارتباطات چندي پيش يکي از دستاوردهاي وزارت خود را چنين اعلام کرد که «هم اکنون نه تنها براي ميزباني سايت‌هاي ايراني مشکلي نيست، بلکه امکان ميزباني سايت‌هاي خارجي نيز در ايران وجود دارد.» پس چرا سايتي با چنين اطلاعات حساس در خارج از کشور ميزباني شده است؟

6ـ فکرش را بکنيد وقتي چنين خبري در سايت‌هاي خارجي منتشر شود که اطلاعات حساس و محرمانه تمام سايت‌هاي اينترنتي ايران در يک reseller account ارزان قيمت که از يک فروشنده دست چندم چيني يا آمريکايي اجاره شده قرار دارد، در کنار صدها سايت ديگر و بدون تمهيدات امنيتي، و تازه قالب سايت هم دزدي است، چقدر باعث حيرت و تمسخر آن‌ها و خجالت و تحقير کشورمان خواهد شد؟

7ـ حتي با انتقال ميزباني اين سايت به يک ديتاسنتر بسيار ايمن داخلي و تحت نظارت امنيتي شديد – به طوري که دسترسي به سرور براي شرکت داخلي طراح يا ميزبان سايت هم امکان‌پذير نباشد، در ساختار فعلي سايت به نظر نمي‌رسد موارد امنيتي لازم رعايت شده باشد و احتمال دسترسي هکرها به اطلاعات سايت بسيار بالا است.

8ـ اگر تمام مشکل‌هاي امنيتي و فني سايت حل شود و امکان هيچ دسترسي غيرمجازي به اين اطلاعات فراهم نباشد (يعني بديهي‌ترين شرايطي که پيش از فراخوان براي ثبت نام بايد انجام مي‌شد و الان به هيچ عنوان فراهم نيست)، مشکلات ديگري در اين طرح وجود دارد که در ادامه به آن‌ها اشاره مي‌شود. ولي اين سوال پيش مي‌آيد که کساني که در ساخت يک سايت عادي چنين عمل کرده‌اند چه صلاحيتي براي بررسي و ساماندهي فعاليت‌هاي اينترنتي يک کشور دارند؟

(ب) مشکلات ثبت وبلاگ‌ها:
1ـ طبق تعريف آيين نامه «كليه مراكز موجود در شبكه اينترنت كه ارائه دهنده خدماتي مانند www و FTP هستند» ملزم به ثبت در وزارت ارشاد هستند و در غير اين صورت مسدود خواهند شد. با توجه به ادغام وبلاگ‌ها با ساير سرويس‌هاي اينترنتي، آيا مثلاً کسي که در يک سايت شبکه اجتماعي يک صفحه پروفايل دارد بايد پروفايلش را ثبت کند؟ اگر در آن پروفايل وبلاگ بنويسد چطور؟ آيا کسي که داخل کشور وبلاگ مي‌نويسد بايد آن را ثبت کند ولي کسي که خارج از کشور به فارسي بنويسد چنين الزامي ندارد؟ (مگر کسي که در ايران زندگي نمي‌کند ملزم به رعايت قوانين ايران است؟) آيا تمام سايت‌ها و وبلاگ‌هاي خارجي بايد در وزارت ارشاد ايران ثبت شوند وگرنه مسدود خواهند شد؟

2ـ چگونه مي‌شود فهميد که نويسنده يک وبلاگ اطلاعات خود را درست ثبت کرده است؟ تنها اطلاعاتي که کنترل مي‌شود اي ميل او است که مي‌تواند در همان لحظه يک نشاني مثلاً در ياهو بسازد و باقي اطلاعات را نادرست بدهد يا اصلاً شيطنت کند و اطلاعات فرد ديگري را بدهد.

3ـ آيا کسي که بخواهد طبق تعريف آيين نامه موارد غيرمجاز منتشر کند، اين کار را در وبلاگي که با اطلاعات خودش ثبت کرده انجام مي‌دهد؟

4ــ کسي که چنين چيزهايي بنويسد در هر حال فيلتر خواهد شد، چه ثبت شده باشد و چه نه. در باقي موارد داشتن مشخصات کسي که مثلاً شعر، داستان، خاطرات روزانه، و يا در يک حوزه تخصصي مي‌نويسد، چه ارتباطي با اهداف ذکر شده در اين آيين نامه دارد؟

5ـ فرض کنيد که سرويس دهندگان داخلي را مجبور کرديد ايجاد وبلاگ را منوط کنند به ثبت مشخصات دارنده وبلاگ. نتيجه‌اش اين مي‌شود که کاربران به جاي استفاده از سرويس‌هاي داخلي، يکي از صدها سرويس‌دهنده خارجي را انتخاب کنند. چنين کاري جز ضربه زدن به سرويس‌دهنده داخلي چه حاصلي دارد؟

6ـ در ادامه فرض بالا، فرض کنيد که تمام سرويس‌دهندگان خارجي وبلاگ و شبکه‌هاي اجتماعي و تمام اجتماع‌هاي مجازي را هم مسدود کرديد و خلاصه تمام راه‌هاي وبلاگ‌نويسي بدون مجوز را بستيد. فکر مي‌کنيد در آن شرايط از چندصد هزار وبلاگ فارسي موجود چند درصدشان براي ثبت مشخصات خود اقدام مي‌کنند؟ مطمئن باشيد تعدادشان به همان اندازه است که اعلام کنيد هر جواني بايد دفتر خاطرات شخصي‌اش را به وزارت ارشاد ببرد و برايش مجوز بگيرد. يعني اگر هم در اجراي طرح ساماندهي‌تان موفق شويد تازه توانسته‌ايد تعداد وبلاگ‌هاي فارسي را از چند صد هزار برسانيد به کمتر از يک درصد. به گمان من قريب به اتفاق وبلاگ‌نويسان ترجيح مي دهند قيد اين کار را بزنند تا اينکه مشخصات خودشان را ثبت کنند.

7ـ در حالي که اغلب ملت‌هاي جهان سعي مي‌کنند حضور زبان ملي خود را در اينترنت افزايش دهند و اطلاعات موجود در اينترنت به زبان هر کشور به نوعي يک ثروت ملي محسوب مي‌شود، کدام کشور به جز ايران تعمداً دست به نابودي دارايي‌هاي اطلاعاتي خود زده است؟

8ـ در بررسي ساليانه مجله اکونوميست و شرکت آي بي ام براي سنجش شاخص آمادگي الکترونيک(e-readiness) کشورهاي جهان در سال 2006 (که معتبرترين بررسي در اين حوزه به شمار مي‌رود و شاخص قدرت يک کشور در عصر ارتباطات و اطلاعات است)، ايران در رده آخر خاورميانه و سه تا مانده به آخر در ميان تمام کشورهاي مورد بررسي قرار گرفته است. با غيرمجاز دانستن تمام سايت‌هاي اينترنتي، تعطيلي شرکت‌هاي سرويس‌دهنده ايراني، و تلاش براي تبديل اينترنت به يک اينترانت ملي، احتمالاً خيال‌مان به کلي راحت خواهد شد چون ديگر در دنياي ارتباطات حضوري نخواهيم داشت که بخواهيم نگران رتبه آخرمان باشيم.

(پ) سايت‌ها:
سايت‌هاي خبري جديد، خبرخوان‌ها، جوامع مجازي، سرويس‌دهندگان وبلاگ و بسياري از سايت‌هاي ديگر، به جاي تحريريه متمرکز، امکان انتشار محتوا را براي طيف وسيعي از نويسندگان فراهم مي‌کنند و نمي‌توان مسئوليت حقوقي مطالب منتشر شده را به مدير چنين سايت‌هايي نسبت داد. عرف جهاني براي چنين مواردي اين است که در صورت انتشار مطالب خلاف قانون، به مسئول سايت اطلاع داده شود و او آن مطلب را حذف يا دسترسي کاربر را مسدود مي‌کند. موارد ذکر شده در آئين‌نامه – برقراري هر نوع پيوند که مبلغ و مروج پايگاه هاي اطلاع رساني حاوي مضامين غيرمجاز باشد تخلف محسوب مي‌شود – عملاً امکان فعاليت تمام سايت‌هاي پيشرفته اينترنتي و مبتني بر مفاهيم وب 2 را منتفي مي‌کند.

جمع بندي و پيشنهاد:
به نظر مي‌رسد راه‌هاي آسان تر و عملي‌تري براي رفع دغدغه‌هاي موردنظر طراحان آيين نامه وجود داشته باشد. مي‌توان به سادگي نشريات و خبرگزاري‌‌ها را موظف دانست که تنها از سايت‌هاي شناسنامه‌‌دار نقل قول کنند. مي‌توان سازمان‌هاي دولتي و آژانس‌هاي تبليغاتي را موظف کرد تنها با سايت‌هاي شناسنامه‌دار براي درج آگهي همکاري کنند. مي‌توان ثبت سايت‌ها را اختياري دانست و با ارائه برخي حمايت‌ها، آن‌ها را به فعاليت رسمي تشويق کرد.
در هر صورت به نظر مي رسد طرح فعلي عجولانه و بدون مشاوره با کارشناسان تهيه شده و اجراي آن – به خصوص در مورد وبلاگ‌ها - غيرعملي، بي‌فايده و محکوم به شکست است.
اميدواريم وزير محترم و هوشيار فرهنگ و ارشاد اسلامي و ديگر مسئولان با بررسي مجدد اين طرح، اجراي آن را تا انجام تغييرات جدي و عمده متوقف کنند.
و به مديران سايت‌ها توصيه مي‌شود تا حل مشکلات فني و امنيتي و ارائه تضمين از سوي دولت براي حفظ امنيت اطلاعات و همچنين امکان طرح شکايت و دريافت خسارت در صورت افشاي اطلاعات محرمانه‌شان، از ثبت اطلاعات سايت خود در يک محيط ناامن پرهيز کنند.

یزدفردا