پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
شهروندان بیدفاع
پخش شدن گسترده برخی از اطلاعات هویتی مربوط به ایرانیها امنیت اطلاعات را به یک موضوع مورد توجه مردم تبدیل کرده است. چرا در زمینه امنیت اطلاعات شرایط خطرناک است و در آینده نزدیک ریسکها جدیتر میشود؟
بخشی از اطلاعات شهروندان ایرانی در طول دوران قرنطینه لو رفت. این اتفاق نشان داد سازمانهای سنتی ایرانی هنوز مبانی امنیت اطلاعات را نمیدانند. از آن سو ماجرای افشای اطلاعات از طریق نسخههای قلابی تلگرام را داشتیم. این موضوع هم نشان داد مردم امنیت اطلاعات را جدی نمیگیرند. کنار هم گذاشتن این دو واقعیت ما را به این سوال میرساند که آیا در نگهداری اطلاعات هویتی و شخصی شهروندان سهلانگاری میشود و تبعات آن چیست؟ شهروندان چقدر در لو رفتن اطلاعات شخصیشان در فضای اینترنت نقش دارند؟ برای درک پرسشها لازم است ابتدا تفاوت بین دو مفهوم امنیت و تقلب را درک کنیم.
امنیت داریم؛ حواسمان به تقلب نیست!
بخش مهمی از نشت اطلاعات در جهان از طریق تقلب صورت میگیرد؛ تقلب به معنای سواستفاده از ضعفهای انسانی و دسترسی به اطلاعات حساس است. مثلا با فردی تماس میگیرند و میگویند از طرف بانک تماس گرفتهاند و برای پیگیری موضوعی نیاز به رمز عبور فرد دارند. وقتی فرد ناآگاهانه رمز عبورش را در اختیار فرد تماس گیرنده قرار میدهد میگوییم که مهندسی اجتماعی صورت گرفته و تقلب شده است. این موضوع به اشتباه هک یا نفوذ بیان میشود.
به همین دلیل در مباحث مربوط به امنیت اطلاعات مبارزه با تقلب جایگاه مهمی دارد و این روزها به کمک روشهای فناوری سعی میکنند با تقلب مبارزه کنند ولی عامل اصلی در مبارزه با تقلب مردم هستند؛ معمولا در طراحی سیستمهای سایبری این عامل مورد غفلت و بیتوجهی قرار میگیرد و با بزرگ شدن سیستمها به مرور شاهد رشد مشکلات امنیتی به دلیل در نظر گرفتن عوامل انسانی هستیم.
تصویری که در فیلمهای سینمایی از هکرهای پاکستانی مشغول در سالنهای تاریک ترسیم شده تا حد زیادی از واقعیت دور است. در واقع بسیاری از مواردی که با عنوان هک شناخته میشود هک نیست؛ معمولا نوعی تقلب است.
مثلا یک مورد معروف را مرور کنیم. در ماجرای افشای اطلاعات آژانس امنیت ملی آمریکا و اطلاعاتی که از آنجا خارج شده هیچ هکی صورت نگرفته است.
ادوارد اسنودن حدود۲۵ نفر از همکارانش را متقاعد کرده بود که گذرواژه خود را در اختیار او بگذارند؛ بهانه اسنودن این بود که به عنوان مدیر سیستم کامپیوتری برای کار به آنها نیاز دارد.
یا حدود ۱۰ سال پیش خبری با سروصدای زیاد در رسانههای ایران منتشر شد که اطلاعات ۳ میلیون کارت بانکی ایرانی هک شده است. واقعیت چه بود؟ فردی که مسئولیت توسعه سوئیچ پرداخت را در یکی از شرکتهای پرداخت الکترونیکی داشته یک کپی از تمام اطلاعات گرفته بود و بعد که با مدیران شرکت مشکل پیدا کرد اطلاعات را با خود از ایران خارج و شروع به باجخواهی کرد.
در بسیاری از موارد چیزی که به عنوان هک بیان میشود صرفا نتیجه اعتماد اشتباه به یک فرد است که کنترلهای لازم در مورد او صوت نگرفته، نه نفوذ به سیستمها از طریق هکرهای سینمایی! در این یادداشت منکر هک نشدهام و در واقع چیزی که میگویم این است که بخش زیادی از مواردی که با عنوان هک معرفی میشوند تقلب هستند. در امنترین سیستمها نیز تقلب ممکن است و در واقع اولین روش مورد استفاده هکرها است.
ماجرای این روزها چیست؟
این روزها به دلیل رسانهای شدن، نشت اطلاعات به موضوعی رسانهای تبدیل شده و بسیاری تصور میکنند به یک باره امنیت آنها دچار مشکل شده است. واقعیت چیست؟ واقعیت این است که هر ماه در سازمانهای حساس دولتی و غیر دولتی نشت اطلاعات در ابعاد گوناگون رخ میدهد؛ ولی چون رسانهای نمیشود کسی نسبت به آنها حساس نمیشود.
حالا از سوی دیگری به موضوع نگاه کنیم. هک اطلاعات در دنیا چقدر جدی است؟ هک اطلاعات در دنیا بسیارجدی است و در سال موارد زیادی در زمینه هک اطلاعات رخ میدهد که در برابر آنها چیزی که ما در ایران با عنوان هک اطلاعات از آنها یاد میکنیم شوخی بیش نیست. برخلاف تصوری که داریم ایرانیهای جزو پیشروان هک در جهان نیستند و هنوز به صورت جدی مورد توجه هکرهای واقعی قرار نگرفتهایم. برای این که دنیای هکرها را درک کنیم باید مفهومی ساده و مهم را بشناسیم: رمزنگاری!
دنیای رمزنگاری
ما در زندگی به صورت گستردهای از رمزنگاری استفاده میکنیم و اساس علم کامپیوتر رمزنگاری است. همه میدانند که هر چیزی در کامپیوتر برای اینکه قابل فهم توسط ماشین باشد در نهایت باید به صفرها و یکها تبدیل و به عبارتی رمزگذاری شود. هر رمزگذاری یک منطق دارد که برای رمزگشایی باید منطق آن را بدانیم. اگر منطق رمزگذاری را ندانیم رمزگشایی ممکن نیست. هکر چه کار میکند؟ منطق رمزگذاری را کشف میکند. همین! اولین هکر جهان آلن تورینگ بود که منطق رمزگذاری و رمزگشایی ماشین آلمانی انیگما را در زمان جنگ جهانی دوم کشف کرد. تورینگ را پدر علم کامپیوتر میدانند.
منتها همین موضوع ساده بسیار پیچیده است و برای انجام آن به مقدار زیادی قدرت پردازش نیاز است. مثلا تصور کنید کسی بخواهد رمز دوم یک کارت بانکی را هک کند؟ سادهترین کار چیست؟ حدس زدن. با فرض ۶ رقمی بودن رمز دوم کارت بانکی و استفاده از اعداد ۰ تا ۹ برای فهمیدن یک رمز، یک میلیون آزمون لازم است. آزمون این موضوع از نظر فنی چقدر شدنی است؟ تقریبا صفر. منتها یک راه دیگر دسترسی به محل ذخیرهسازی رمزها است که برای دسترسی به آن باید از چند لایه رمزگذاری عبور کرد و بعد از عبور از همه آنها هم هکر متوجه میشود رمزها به صورت رمزگذاری شده ذخیره شدهاند.
تعداد بالای لایههای رمزگذاری باعث میشود رمزگشایی تقریبا غیرممکن شود یا هکر نیاز به قدرت پردازش بسیار بالایی داشته باشد. منتها یک راه سادهتر وجود دارد: فیشینگ! فیشینگ یعنی دسترسی به اطلاعات حساس از طریق روشهای مهندسی اجتماعی. مثلا با یک نفر تماس میگیریم و میگوییم از طرف بانک تماس گرفتهایم و برای کاری نیاز به رمز دوم فرد داریم. به طرز عجیبی برخی از افراد به این تماسها پاسخ میدهند و با داشتن اطلاعات دیگر که به دست آوردن آنها سخت نیست به راحتی میتوان از اطلاعات مالی افراد سواستفاده کرد. به این میگوییم فیشینگ که به اشتباه به آن عنوان هک دادهاند.
آن چیزی که این روزها در ایران رخ داده از جنس فیشینگ و تقلب است. در واقع ما با هک و نفوذ گسترده به سیستمها مواجه نیستیم؛ ما شاهد سواستفاده از اطلاعات هستیم. این موضوع چرا رخ میدهد؟
به عنوان نمونه در زمینه اطلاعات لو رفته مربوط به سازمان ثبت احوال در نظر نگرفتن رویههای امنیتی مربوط به APIهای اشتراکگذاری اطلاعات باعث شده که اشتراک اطلاعات بین سازمان ثبت احوال و وزارت بهداشت مورد سو استفاده قرار گیرد. به عبارت دیگر اطلاعات حبس شده در ثبت احوال و وزارت بهداشت امن هستند اما در زمان ردوبدل شدن اطلاعات بین این دو نهاد رویههای امنیتی در نظر گرفته نشده است. دلیل اصلی چیست؟ عدم آشنایی سازمانهای دولتی ایرانی با اشتراکگذاری اطلاعات.
به دلیل سالها حبس اطلاعاتی سازمانها توانایی فنی برای اشتراکگذاری ایمن را ندارند. به عنوان نمونه تصور کنید که یک متهم در زمان جابجایی بین دادگاه و زندان فراری داده شود. دادگاه و زندان امن است اما آیا مسیر جابجایی هم امن است؟ برای جابجایی اطلاعات و به اشتراکگذاری آنها نیز رویههایی وجود دارد، مانند انتقال زندانی. متاسفانه سازمانهای دولتی ایرانی تمرین کافی در زمینه اشتراک اطلاعات نداشتهاند و در مواقع بحران ناخودآگاه رویههای ساده امنیتی را نادیده میگیرند.
سوال پایانی! ما به عنوان شهروند باید نگران باشیم؟ بله؛ باید نگران باشیم و فعلا فقط میتوانیم خوشحال باشیم که به دلیل ارتباط بسته و محدودی که با جهان داریم هنوز مورد توجه هکرهای بینالمللی قرار نگرفتهایم. هرچند کار زیادی از دست ما برنمیآید. موضوع امنیت شوخی بردار نیست و امنیت را فقط نباید در حفظ مرزهای فیزیکی کشور و قفل و زنجیر دید. امنیت اطلاعات و حفاظت اطلاعات در جهان جدید یکی از زیرساختهای اساسی توسعه اقتصادی است و در صورت بیتوجهی به رویههای فنی شاهد هک، نفوذ و انتشار گسترده اطلاعات حساس خواهیم بود.
چیزهایی که این روزها رخ داده در برابر آنچه که در آینده رخ میدهد شوخی بیش نیست.
به دلیل اهمیت موضوع امنیت سایبری ما در راه پرداخت در حال انتشار کتاب «امنیت سایبری» انتشارات HBR هستیم. این کتاب در فصل اول سال ۹۹ منتشر میشود.
