اتفاقات این چند ساله در وب ایران و گسترش برنامه های بازمتن باعث شد تا این مطلب را بنویسم ، نکته که نمای خوبی از باز متن ارائه می کند هزینه کم و در دسترس بود بهمراه امکان توسعه کاربر محور این برنامه ها می باشد، این ور خوب قضیه باعث می شود تا خیلی از موسسات دولتی و نیمه دولتی برای کاهش هزینه ها بدون تحقیق یا با تحقیق سطحی اقدام به انتخاب این برنامه ها کنند ، این مقاله بر علیه بازمتن یا اوپن سورس نیست بلکه صحبت بر سر اتفاقاتی است که ممکن است بخاطر رعایت نکردن اصول جنگ نرم و قوانین پدافند غیر عامل صورت بگیرد.



برای روشن تر شدن این قضیه مثالی را برای شما می آورم تا به موضوع نزدیک تر شویم ، حرکت باز متن مثل یک شورش و تظاهرات خودجوش بر علیه سلطه شرکت های بزرگ بر بازار نرم افزار دنیا علی الخصوص فضای سایبری شروع شد ، این شورش یا حرکت اعتراضی برای همه کسانی که از شرکت های بزرگ ناراضی بودند به عنوان یک حرکت آرمانی شناخته شد و باعث گسترش فوری بازمتن شد که نتیجه آن هزاران برنامه بازمتن می باشد. استعمار از این حرکت نو ترسید و سعی کرد تا این حرکت را با شیوه ارعاب و فشار و قانون کنترل کند نمونه این کنترل شکایت شرکت یونیکس از لینوکس بخاطر شباهت هسته ای سیستم عامل می باشد ، اوپن سورس و بازمتن چون از طریق وب و بدون تبلیغات و هزینه تبلیغاتی پخش می شود بصورت خیلی سریع که به تکثیر قارچی بی شباهت هم نیست می ماند بهمین دلیل خیلی زودتر از آنکه چرخه های قانونی بتواند آنرا کنترل کند پخش شد به عنوان مثال می توان به روایت های مختلف لینوکس اشاره کرد که بی ارتباط با نسخه و صاحب اصلی تکثیر و تولید شد. استعمار علی الخصوص استعمار پیر هر گاه نتواند جلوی حرکتی مردم نهاد را بگیرد سعی بر انحراف و تغییر آن می کند این تغییر را در انقلاب هایی مثل انقلاب مشروطه ایران نیز می توان حس کرد ، استعمار تصمیم به ایجاد حرکتی انحرافی در این بحث نمود که شامل 2 راهکار کلی برای کنترل و تغییر بازمتن می باشد :

 

1- راهکار اول : راهکار اول ایجاد شرکت ها و گروه هایی بود که با توان مالی زیاد وارد این بازار شدند و شروع به تولید یا خرید سیستم های بازمتن نمودند یا در توسعه این سیستم ها به عنوان حامی مالی این سیستم ها شریک شدند این رفتار 2 نتیجه کلی برای بازمتن داشت ه در هر دو حالت باز متن بازنده بود :

الف- با خرید و تجاری کردن برنامه ها کم کم نسخه های بازمتن را از روند توسعه خارج و کاربران آنرا سر در گم و سر خورده می کنند به عنوان مثال نرم افزار بانک اطلاعاتی Mysql که برای ایران و تعدادی از کشورها محدود شد.این مشتریان سردرگم بهترین بازار هدف برای نرم افزارهای جدید هستند.



ب- با ترزیق پول به عنوان حامی یک برنامه در تیم تولید کننده نفوذ و کم کم تیم را از هم متلاشی می کنند مثلا با تاسیس بنیاد های حمایتی عملا نرم افزار را از قوانین بازمتن و کپی لفت خارج می کنند ، این رفتار هم باعث دلسردی برنامه نویسانی است که بصورت رایگان بر روی برنامه کار می کردند هم باعث به وجود آمدن احساس نا امنی در کاربران استفاده کننده می شود که هر روز انتظار می کشند تا کی برنامه رایگان متوقف شود، نمونه خوب این قضیه نرم افزار مدیریت محتوای مامبو بود که شرکت حامی با تاسیس بنیاد مامبو عملا برنامه نویسان را دلسرد یا از سیستم کنار گذاشت و حاصل آن سرخوردگی عده ای از برنامه نویسان و کاربران برنامه بود و بعد از گذشت حدود 2 سال عملا این برنامه خوب توسعه نیافت. در این بخش به شرکت های زیاد میتوان اشاره کرد که اینقدر وارد موضوع بازمتن شده اند که اکنون خود حامی بزرگ این پدیده نوظهور شناخته می شوند به عنوان مثال شرکت سان مایکروسیستم یا شرکت اچ پی یا اخیر شرکت گوگل با ارائه گوگل کد اقدام به کنترل و نظارت کامل بر روی بازمتن نموده است ، کافی شما به عنوان یک ایران وارد یکی از سایتهای این سرویس دهنده های خدمات رایگان شوید براحتی می بینید که به شما حتی اجازه رویت صفحات معرفی این برنامه ها داده نمی شود ، این حرکت شرکت های بزرگ نشان از سرمایه گذاری عظیم استعمار نو بر روی بازمتن دارد ، استعمار نو سعی دارد تا با کنترل دسترسی و توسعه بازمتن بتواند آنرا کنترل کند ، برای روشن تر شدن موضوع یکی از قوانین باز متن را بهمراه یک مثال برای شما می آورم تا بدانید که خطر در کجا نهفته شده است:



یکی از قوانین معروف بازمتن سلب مسئولیت آن می باشد تحت این عنوان که اگر برنامه تولید شده به شما ضرری وارد کرد تولید کننده هیچ مسئولیت را نمی پذیرد یا اینکه تولید برنامه بازمتن اجباری نیست و هر گاه تولید کننده بخواهد میتواند بدون اطلاع استفاده کننده گان آنرا متوقف نماید، حالا بیایید براساس این قوانین به این مثال فکر کنیم ، تمامی یا حداقل بگوییم بیش از 90 درصد پروژه های باز متن بر روی سرور های شرکت های معروف گوگل ، اچ پی و ... در سایت های سورس فورج و گوگل کد قرار دارند و عملا تولید کننده گان برنامه های بازمتن از وب سایت های خود به عنوان سایت اطلاع رسانی استفاده می کنند و فایل های مربوط به برنامه را در این سرور ها آرشیو می کنند ، تا اینجای قضیه هیچ چیز بدی وجود ندارد اما لحظه ای را میتوان در نظر گرفت که این شرکت ها تصمیم به عدم ارائه خدمات خود بگیرند ، میتوانید ضربه شدیدی را که به بازمتن می خورد را احساس کنید ، نمونه این اتفاق بسته شدن یکی از سرویس های معروف وبلاگ در دنیا بود که عملا با این کار خود بیش از سیصد هزار وبلاگ فعال را از بین برد.



2- راهکار دوم که خیلی خطرناکتر از راهکار اول است ایجاد بستر کاذب امنیتی برای نرم افزار است به این صورت که برنامه همه گیر هدف قرار می گیرد و با ورود برنامه نویسان و توسعه دهنده گان مبتدی و کم سواد عملا برنامه دچار کرم سیب می شود ، خطر این کرم سیب وقتی معلوم میشود که کشوری مثل ایران بیش از 40 تا 50 درصد وب سایتهای دولتی خود را بر پایه این نرم افزار ها بنیان گذاشت مورد حمله سایبری قرار بگیرد ، با نگاهی سطحی به سایت های ایجاد شده در این حوزه توسط دولت یا سازمان های دولتی میتوانید براحتی ضریب بالای نفوذ این سایت ها را ببنید به عنوان مثال هک گسترده وب سایتهای صدا و سیمای استان ها را در ماههای اخیر اشاره کرد ، متاسفانه آستانه خطر برای دولت در این زمینه خیلی بالاتر از این حد رفته و عملا سایتهای سازمان ها که سرورشان نیز در داخل خود سازمان و متصل به شبکه اصلی سازمان نیست است به سرباز دشمن تبدیل می شود و با یک حمله خیلی ابتدایی و در کمتر از 1 ساعت تمامی دولت حتی تا روستا ها و کیوسک های مخابراتی نیز از حالت ارائه سرویس خارج می شود ، در اصول اولیه جنگ نرم میتوان این روش های حمله را دید ، در پایین جدولی از مشابه سازی این حمله را می آوریم تا عمق فاجعه به ذهن نزدیکتر باشد:

در تصویر براحتی می شود مسیر حمله را دید مسیر که فقط سرعت اینترنت زمان حمله را کند می کند وگرنه با سرعت بالا در کسری از ثانیه ممکنه است این اتفاق بیافتد ، با گردشی در یکی از ادارات دولتی براحتی متوجه خواهید شد که کاربران سیستم های رایانه ای اکثرا از معلومات بسیار کمی برخوردار بوده و از سیستم های اداری برای گردش های اینترنتی استفاده می کند ، بر روی اکثر سیستم ها یا ویروس کش و فایر وال وجود ندارد و یا تاریخ گذشته است. کمتر سیستمی در یک اداره مشاهده خواهید کرد که آلوده به ویروس های شایع مثل Autorun نباشد ، اکثر کارمندان دولت دارای گوشی های موبایل مموری دار هستند که گاها آنرا به سیستم یا همان شبکه اداری وصل می کنند.



لازم است در این جا به شیوه از هک تحت نام Ddos اشاره کنم تا بدانیم امنیت پایین این کلاینت ها کجا خطرناک می شود ، در این نوع حمله به جای اینکه هکر مستقیما به قربانی خود حمله کند ابتدا برنامه خود را شکسته و بین سیستم های آلوده متصل به اینترنت پخش می کند و در زمان حمله با استفاده از این ارتش مجازی خود به قربانی حمله می کند ، این سیستم های نا امن اداری عملا کلاینت های آماده برای چنین حمله هایی هستند ، بدلیل اینکه هم کاربرانی سطحی و ابتدایی دارند و هم از اینترنت پر سرعت برخوردارند.

 

این مطالب گفته شد تا عمق فاجعه برا همه روشن شود ، هر گاه مجموعه ای دولتی یا نیمه دولتی برای وب سایت خود از برنام های بازمتن استفاده می کند باید هوشیار و بروز باشد تا حداقل از 50 درصد امنیت اولیه که توسط تولید کنندگان نرم افزار تامین می شود بتواند بهره مند شود ، متاسفانه اداره جات برای استفاده از برنامه از تیم های توسعه دهنده کمک نگرفته و خودم اقدام به موازی کاری می کنند نمونه این مثال پایلوت دولت الکترونیک است که متاسفانه بر پایه جوملا قرار گرفته و تمامی وب سایت های تولید شده از این برنامه استفاده می کنند ، گاها برنامه های نصب شده فاقد امنیت کافی بوده و راه را برای سوء استفاده های احتمالی باز می گذارد ، اکثر اوقات بین بروز رسانی جوملا و این سایت ها ممکن است ماه ها فاصله بیافتد و این خطر ابزاری شدن این وب سایت ها را برای هکر بیشتر می کند ، من از ته دل آرزو دارم که اشتباه کرده باشم اما اگر روزی جنگی نا برابر میان ما و کشوری دیگر که در زمینه سایبری قدرتی بیشتر از ما دارد صورت بگیرد تمامی سامانه های اطلاع رسانی دولت در کوتاه ترین زمان ممکن از دور خارج شده و عملا خلع اطلاعاتی برای سوء استفاده دشمن ایجاد می شود ، در زمان جنگ های فیزیکی دشمن هر گاه قصد تخریب داشت ابتدا فرودگاه ها ، باندهای پرواز و آشیانه نظامی را هدف قرار میداد و بعد به تاسیسات حیاتی حمله می کرد اما جنگ امروز ما جنگ سایبری و جنگ نرم است ، هدف این جنگ از بین بردن ما نیست بلکه هدف اصلی آن عقب افتادن از پیشرفت و درگیر باز سازی شدن ماست تا تمامی سرمایه های ما در راه بازسازی آنچه بر باد رفته خرج شود ، در این جنگ نرم باند های فرودگاه ما به وب سایت های ما تبدیل شده و نقاط حساس و حیاطی ما همسایه این نقاط حساسند نمونه این اتفاق بد بدافزار استاکسنت بود که توانست در ایران تا جایی جلو برود که تجسمش نیز ترسناک است .



نکته مهم دیگری که قدری ترس و اضطراب ما را بیشتر می کند نفوذ برنامه نویسان اسرائیلی در اکثر تیم های توسعه دهنده سیستم های مدیریت بازمتن می باشد ، این نفوذ از آنجا خطرناکتر می شود که تمرکز اسرائیل بر روی برنامه های بامتنی است که در ایران استفاده بیشتری دارد به عنوان مثال نرم افزار بارمتن جوملا که زمانی شخص بنده یکی از توسعه دهندگان آن بودم ، در هسته مرکزی جوملا چند اسرائیلی و یهودی وجود دارد که حساسیت من را بیشتر کرده است زیرا این اشخاص در جایگاه هایی قرار دارند که بسیار حساس است به عنوان مثال دیوید گال که یهودی الاصل و مقیم اسرائیل است ، این شخص مسئول تیم توسعه بومی سازی زبان های جوملا است یعنی کسی که بر روی تمامی توسعه دهندگان جوملا در تمامی کشور های جوملا نظارت دارد. خطر این شخص یک خطر مستقیم نیست بلکه برای اسرائیل جنبه آماری دارد و براحتی میتواند از استفاده جوملا در کشورهای خاورمیانه علی الخصوص ایران آگاه باشد ، این صف آرایی و جمع کردن نیرو برای روز موعود یا حمله جهانی اسرائیل است ، شما در نظر بگیرید در یک لحظه تمامی سایت های ایجاد شده با جوملا هک شود ، مثل اتفاقی که برای نسخه 6.2 نیوک افتاد ، عملا اطلاع رسانی بیش از 1 میلیون وب سایت به خطر می افتد که بخش زیادی از این وب سایت های ، وب سایت های دولتی ایران است، نکته ای که در نسخه های جدید این برنامه به چشم می خورد اتصالات بیش از حد این برنامه با سرور های تولید کننده برنامه است ، شما میتوانید برای مثال جوملای نسخه آخر را بر روی کامپیوتر های شخصی نصب و دسترسی خود به اینترنت را قطع کنید ، جوملا خطایی تحت عنوان عدم دسترسی برای بروز رسانی را به شما می دهد که در نسخه های جدید اعمال شده ، وقتی از جوملا در ارتباط با این اتصالات سوال می شود خیلی راحت بهانه بروز رسانی را علت آن می داند اما هدف اصلی چیز دیگری است ، جوملا عملا با این کار در حال ایجاد سیستم آمار گیری از استفاده کننده گان خود می باشد تا بتواند از تمامی استفاده کنندگان اطلاع داشته باشد ، به نظر شما یک گروه بازمتن ارائه کننده خدمات چه هدفی از جمع آوری این همه اطلاعات دارد؟ ارزش این اطلاعات برای این گروه چیست ؟ به نظر من صحبت از این حد خیلی بالاتر از زیرا جوملا از طریق هر یک از این نسخه های نصب شده میتواند به کلیه اطلاعات موجود در سیستم دسترسی داشته باشد کافی است تا یکی از فایل های جوملا را ادیت کرده و کد جلوگیری از دسترسی آن را بردارید تا بفهمید که با این کار تا کجا ها دسترسی خواهید داشت ، من همیشه بسته ها بروز رسانی جوملا را چک می کنم تا علت بروز رسانی ها را متوجه بشوم ، در تمامی این بروز رسانی همیشه فایل هایی ارائه می شود که وقت مقایسه با فایل های قبلی متوجه نکته عجیبی می شوید ، گاها میبینید که فقط یک کاراکتر کم و زیاد شده اند یا اینکه همین خط کنترل فراموش شده و به کد اضافه شده ، جوملا بخشی را تحت عنوان کنترل قبل از انتشار یا همان QC دارد که وظیفه این بخش کنترل نسخه های جوملا است ، این گروه بسیار حرفه ای هستند و این که چنین چیز کوچکی ار قلم افتاده باشد عملا غیر قابل باور است و باعث می شود که این احساس بوجود آید که این حفره های امنیتی کوچک برای هدفی خاص ارائه می شود ، هدفی که در دراز مدت خود را نشان می دهد ، من هیچ تهمتی به تیم توسعه جوملا نمی زنم اما رفتارهای تیم های توسعه جوملا قدری انسان را در مورد این سیستم مردد می کند ، متاسفانه استفاده گروهی از جوملا در اداره جات دولتی بسیار زیاد شده و این ازدیاد بدون ارتباط یا مشاوره با گروه توسعه دهنده بوده و گاها بعد از مدتی می بینید که حتی بروز رسانی های ارائه شده توسط جوملا نیز بر روی آن اعمال نمی شود، نمونه این عدم بروز رسانی ها در تیم حامی پایلوت دولت الکترونیک است که در سایت persianit.ir فعالیت می کند ، آخرین بروز رسانی های این سایت به بیش از 5 نسخه قبل جوملا بر می گردد و این عدم توسعه تا آنجا پیش رفت که عملا پروژه تعطیل و به سایت mambolearn.com منتقل شد ، به نظر شما با هزینه های گزاف و بودجه های عظیمی که برای پایلوت دولت الکترونیک شده چرا توانایی توسعه برنامه جوملا را نداشته و آنرا به سایتی دیگر منتقل نموده اند ، جواب این سوال را باید مسئولان دولت الکترونیک بدهند. تا آنجایی که من در جریان دولت الکترونیک بودم برای توسعه و پیاده سازی پایلوت 5 میلیارد تومان اعتبار اولیه و چیزی در حدود 50 میلیارد اعتبار تکمیلی در صورت موفقیت پروژه در نظر گرفته شده بود این مطالب در زمان استاندار سابق هنگام شروع به کار پروژه عنوان شده بود ، به نظر می رسد دولت الکترونیک مشکل بودجه نداشته که توسعه را متوقف کرده بلکه اشتباه در ایجاد تیم پشتیبانی بوده که درگیر سیستم اداری و پشتیبانی شده و عملا از انتشار نسخه های توسعه یافته باز مانده اند ، به نظر من دولت باید از تیم های توسعه اصلی به عنوان مشاور استفاده کند تا مجبور نباشد این هزینه های هنگفت را بنماید.



هدف این مقاله دشمنی با بازمتن نیست بلکه هوشیار کردن دولت در استفاده صحیح از بازمتن است ، دولت می تواند با انتخاب آگاهانه اقدام به ایجاد فضای امن سایبری نماید که جلوی تمامی حمله های احتمالی را بگیرد ، من برای دولت راهکارهایی رو پیشنهاد می کنم که شاید به ذهن دولت رسیده باشد یا در جاهایی پیاده سازی هم شده باشد :



1- اینترنت سرور خدمات دهنده را از اینترنت اداره جات دولتی جدا کنند

2- برای سرویس دهنده سعی کنند از لینوکس بهره بگیرند چون بازمتن است و امکان توسعه در صورت تحریم وجود دارد

3- برای اداره جات از تی کلاینت ها استفاده کنند نه از پی سی

4- در تمامی اداره جات برای کارمندان کافی نت بزارند تا سیستم های اداری ابزار وبگردی نشود

5- اینترنت ادارات فقط قابلیت دریافت داشته باشد نه ارسال و برای ارسال از گذرگاه های امن یا سیستم های رابط استفاده شود

6- در صورتی که از نرم افزارهای بازمتن برای وب سایت یا سیستم های خود استفاده می کنند بهتر است از تیم توسعه دهنده به عنوان مشاور کمک بگیرند

7- هر اداره باید تیم امنیتی داشته باشد حتی اگر شده این تیم به یک نفر هم محدود شود

8- هر چند ماه یک بار تمای سیستم عامل های موجود در اداره برای ویروس و آلودگی بررسی شوند

9- پورت های ورودی مثل usb یا سی دی درایو ها بر روی کلاینت ها بسته باشند

10- دسترسی تمامی کاربران سیستم ها بصورت یوزر معمولی باشد نه مدیریتی

دیدگاه‌ها  

+2 #3 taha.93 1394-06-22 15:42
شما یکم سایت های امنیت سایبر این چندماهه اخیر رو ببینید، در این باره خبر کم نبوده.
نقل قول کردن
+2 #2 Super User 1394-06-21 17:50
سیستم های بازمتن در پشتی ندارند اما اگر بروز نباشید ممکنه این کار به در پشتی تبدیل بشه ، انسان همیشه باید محتاط باشه ، انگلیسی ها یه ضرب المثل دارن میگن پنیر مفتی فقط تو تله موش پیدا میشه :)
نقل قول کردن
+2 #1 taha.93 1394-06-20 20:57
سلام

واقعا اینطوری است؟ بنده رو بگو که کلی به سیستم های متن باز اطمینان داشتم، چند وقت پیش تو اخبار سایت های امنیت سایبر درباره در پشتی تو لینوکس یا حتی یک مورد مطلبی درباره فایرفاکس دیدم، اما چیزی که شما گفتی که دیگه ...

یعنی الان دیگه دنبال جوملا نریم؟ ما برای یک پروژه کارآفرینی قصد داریم با جوملا شروع کنیم، واقعا هم برامون نمی صرفه که الان طراح وب استخدام کنیم، الان چه کنیم؟ چون بالاخره سایتمون دولتی نیست اما از کاربران که اطلاعات دریافت میکنه و ما نسبت به اطلاعات اونها مسئول هستیم.
نقل قول کردن

نوشتن دیدگاه


تصویر امنیتی
تصویر امنیتی جدید


Back to Top

Template Design:Dima Group