افشای 17خطای امنیتی و حرفه ای در طرح ملی ساماندهی پایگاه‌های اینترنت

[DANG3R]

روز گذشته عده زیادی از وبلاگ نویسان به افشای چند نکته از طرح ملی ساماندهی سایت‌های اینترنتی پرداختند. این نوشتار، گزارش مفصلی از تمامی جزئیات پشت پرده این طرح و نتایج فاجعه‌آمیز آن است که اجرای آن مساوی با نشانه رفتن امنیت ملی و تیر خلاص به حیات سایت ها و وبلاگ هاست.

نکاتی در ارتباط با طرح ساماندهی پایگاه‌های اینترنتی ایرانی:

الف- مشکلات امنیتی سایت فعلی:

یک:شرایط فعلی میزبانی سایتی که قرار است اطلاعات تفصیلی تمام پایگاه‌های ایرانی را نگهداری کند به قرار زیر است:
محل میزبانی سایت: دو سرور واقع در آمریکا و چین
شرکت خارجی طرف قرارداد: wildhoster.com (میزبان وحشی)
شرکت‌های داخلی که به اطلاعات سرور دسترسی دارند: karahost.com (دارنده‌ی سرور اصلی سایت در آمریکا)، احتمالاً kasraweb.com (که به عنوان مالک دامنه‌ی samandehi.ir نام ایشان ثبت شده)

دو: قالب سایت از یک سایت خارجی ([External Link Removed for Guests]) کپی شده که کاری غیرقانونی و غیرحرفه‌ای است. این دو نشانی را مقایسه کنید. سایتی که وزارت فرهنگ معرفی کرده بدون کوچکترین تغییری یک دزدی تمام عیار است: [External Link Removed for Guests] حالا مقایسه کنید با این: [External Link Removed for Guests]

پس از اعلام سرقتی بودن چهره سایت ساماندهی، مدیران آن سعی کردند فلش آن را که کپی کاملی از این سایت خارجی بود تغییر دهند و تمام توان خود را به کار گرفته اند تا هر چه سریع تر سایت تغییر قیافه دهد. شکل فعلی این سایت در حال حاضر چنین است:

سه: بخشی از اطلاعات الزامی خواسته شده در باره هر سایت به این شرح است:
نام مدیر سایت، تلفن و نشانی کامل مسئول سایت، سال ایجاد وب سایت، هدف از ایجاد وب سایت، زبان برنامه نویسی، نوع بانک اطلاعاتی، تعداد بازدید روزانه، نام سایت میزبان، کشور محل میزبانی، کاربری سایت، نوع محتوای آن، طیف مخاطبان سایت و گروه سنی مخاطبان.

احتمالاً چنین اطلاعات طبقه بندی شده‌ای در هیچ یک از کشورهای دنیا برای تمام پایگاه‌های اینترنتی‌شان وجود ندارد. نیاز به گفتن نیست که در اختیار داشتن چنین اطلاعاتی چه امتیاز بزرگی برای یک شرکت تجاری محسوب می‌شود و چه سوء استفاده‌هایی از این اطلاعات می‌تواند انجام گیرد. به چه دلیل باید چند شرکت کوچک داخلی و خارجی به چنین اطلاعاتی (از جمله اطلاعات محرمانه‌ی رقبای تجاری‌شان) دسترسی داشته باشند؟

چهار: آیا می‌دانید فرستندگان هرزنامه برای اطلاعات کامل و دسته‌بندی‌شده‌ی تمام سایت‌های یک کشور حاضرند چقدر پول بدهند؟ به نظر شما شرکتی که نام خود را میزبان وحشی ( wildhoster) نام گذاشته از چنین پولی می‌گذرد؟ چه تضمینی وجود دارد که آن شرکت چینی و یا شرکت داخلی چنین کاری نکنند؟

پنج: وزیر ارتباطات چندی پیش یکی از دستاوردهای وزارت خود را چنین اعلام کرد که «هم اکنون نه تنها برای میزبانی سایت‌های ایرانی مشکلی نیست، بلکه امکان میزبانی سایت‌های خارجی نیز در ایران وجود دارد.» پس چرا سایتی با چنین اطلاعات حساس در خارج از کشور میزبانی شده است؟

شش: فکرش را بکنید وقتی چنین خبری در سایت‌های خارجی منتشر شود که اطلاعات حساس و محرمانه‌ی تمام سایت‌های اینترنتی ایران در یک reseller account ارزان قیمت که از یک فروشنده‌ی دست چندم چینی یا آمریکایی اجاره شده قرار دارد، در کنار صدها سایت دیگر و بدون تمهیدات امنیتی، و تازه قالب سایت هم دزدی است، چقدر باعث حیرت و تمسخر آن‌ها و خجالت و تحقیر کشورمان خواهد شد؟

هفت: حتا با انتقال میزبانی این سایت به یک دیتاسنتر بسیار ایمن داخلی و تحت نظارت امنیتی شدید – به طوری که دسترسی به سرور برای شرکت داخلی طراح یا میزبان سایت هم امکان‌پذیر نباشد، در ساختار فعلی سایت به نظر نمی‌رسد موارد امنیتی لازم رعایت شده باشد و احتمال دسترسی هکرها به اطلاعات سایت بسیار بالا است.

هشت: اگر تمام مشکل‌های امنیتی و فنی سایت حل شود و امکان هیچ دسترسی غیرمجازی به این اطلاعات فراهم نباشد (یعنی بدیهی‌ترین شرایطی که پیش از فراخوان برای ثبت نام باید انجام می‌شد و الان به هیچ عنوان فراهم نیست)، مشکلات دیگری در این طرح وجود دارد که در ادامه به آن‌ها اشاره می‌شود. ولی این سوال پیش می‌آید که کسانی که در ساخت یک سایت عادی چنین عمل کرده‌اند چه صلاحیتی برای بررسی و ساماندهی فعالیت‌های اینترنتی یک کشور دارند؟

ب- مشکلات ثبت وبلاگ‌ها:

یک: طبق تعریف آیین نامه «كليه مراكز موجود در شبكه اينترنت كه ارائه دهنده خدماتي مانند www و FTP هستند» ملزم به ثبت در وزارت ارشاد هستند و در غیر این صورت مسدود خواهند شد. با توجه به ادغام وبلاگ‌ها با سایر سرویس‌های اینترنتی، آیا مثلاً کسی که در یک سایت شبکه‌ی اجتماعی یک صفحه پروفایل دارد باید پروفایلش را ثبت کند؟ اگر در آن پروفایل وبلاگ بنویسد چطور؟ آیا کسی که داخل کشور وبلاگ می‌نویسد باید آن را ثبت کند ولی کسی که خارج از کشور به فارسی بنویسد چنین الزامی ندارد؟ (مگر کسی که در ایران زندگی نمی‌کند ملزم به رعایت قوانین ایران است؟) آیا تمام سایت‌ها و وبلاگ‌های خارجی باید در وزارت ارشاد ایران ثبت شوند وگرنه مسدود خواهند شد؟

دو: چگونه می‌شود فهمید که نویسنده‌ی یک وبلاگ اطلاعات خود را درست ثبت کرده است؟ تنها اطلاعاتی که کنترل می‌شود ای میل او است که می‌تواند در همان لحظه یک نشانی مثلاً در یاهو بسازد و باقی اطلاعات را نادرست بدهد یا اصلاً شیطنت کند و اطلاعات فرد دیگری را بدهد.

سه: آیا کسی که بخواهد طبق تعریف آیین نامه موارد غیرمجاز منتشر کند، این کار را در وبلاگی که با اطلاعات خودش ثبت کرده انجام می‌دهد؟

چهار: کسی که چنین چیزهایی بنویسد در هر حال فیلتر خواهد شد، چه ثبت شده باشد و چه نه. در باقی موارد داشتن مشخصات کسی که مثلاً شعر، داستان، خاطرات روزانه، و یا در یک حوزه‌ی تخصصی می‌نویسد، چه ارتباطی با اهداف ذکر شده در این آیین نامه دارد؟

پنج: فرض کنید که سرویس دهندگان داخلی را مجبور کردید ایجاد وبلاگ را منوط کنند به ثبت مشخصات دارنده‌ی وبلاگ. نتیجه‌اش این می‌شود که کاربران به جای استفاده از سرویس‌های داخلی، یکی از صدها سرویس‌دهنده‌ی خارجی را انتخاب کنند. چنین کاری جز ضربه زدن به سرویس‌دهنده‌ی داخلی چه حاصلی دارد؟

شش: در ادامه‌ی فرض بالا، فرض کنید که تمام سرویس‌دهندگان خارجی وبلاگ و شبکه‌های اجتماعی و تمام اجتماع‌های مجازی را هم مسدود کردید و خلاصه تمام راه‌های وبلاگ‌نویسی بدون مجوز را بستید. فکر می‌کنید در آن شرایط از چندصد هزار وبلاگ فارسی موجود چند درصدشان برای ثبت مشخصات خود اقدام می‌کنند؟ مطمئن باشید تعدادشان به همان اندازه است که اعلام کنید هر جوانی باید دفتر خاطرات شخصی‌اش را به وزارت ارشاد ببرد و برایش مجوز بگیرد. یعنی اگر هم در اجرای طرح ساماندهی‌تان موفق شوید تازه توانسته‌اید تعداد وبلاگ‌های فارسی را از چند صد هزار برسانید به کمتر از یک درصد. به گمان من قریب به اتفاق وبلاگ‌نویسان ترجیح می دهند قید این کار را بزنند تا اینکه مشخصات خودشان را ثبت کنند.

هفت: در حالی که اغلب ملت‌های جهان سعی می‌کنند حضور زبان ملی خود را در اینترنت افزایش دهند و اطلاعات موجود در اینترنت به زبان هر کشور به نوعی یک ثروت ملی محسوب می‌شود، کدام کشور به جز ایران تعمداً دست به نابودی دارایی‌های اطلاعاتی خود زده است؟

هشت: در بررسی سالیانه‌ی مجله‌ی اکونومیست و شرکت آی بی ام برای سنجش شاخص آمادگی الکترونیک(e-readiness) کشورهای جهان در سال 2006 (که معتبرترین بررسی در این حوزه به شمار می‌رود و شاخص قدرت یک کشور در عصر ارتباطات و اطلاعات است)، ایران در رده‌ی آخر خاورمیانه و سه تا مانده به آخر در میان تمام کشورهای مورد بررسی قرار گرفته است. با غیرمجاز دانستن تمام سایت‌های اینترنتی، تعطیلی شرکت‌های سرویس‌دهنده‌ی ایرانی، و تلاش برای تبدیل اینترنت به یک اینترانت ملی، احتمالاً خیال‌مان به کلی راحت خواهد شد چون دیگر در دنیای ارتباطات حضوری نخواهیم داشت که بخواهیم نگران رتبه‌ی آخرمان باشیم.

پ- سایت‌ها:

سایت‌های خبری جدید، خبرخوان‌ها، جوامع مجازی، سرویس‌دهندگان وبلاگ و بسیاری از سایت‌های دیگر، به جای تحریریه‌ی متمرکز، امکان انتشار محتوا را برای طیف وسیعی از نویسندگان فراهم می‌کنند و نمی‌توان مسئولیت حقوقی مطالب منتشر شده را به مدیر چنین سایت‌هایی نسبت داد. عرف جهانی برای چنین مواردی این است که در صورت انتشار مطالب خلاف قانون، به مسئول سایت اطلاع داده شود و او آن مطلب را حذف یا دسترسی کاربر را مسدود می‌کند. موارد ذکر شده در آئین‌نامه – برقراری هر نوع پیوند که مبلغ و مروج پایگاه های اطلاع رسانی حاوی مضامین غیرمجاز باشد تخلف محسوب می‌شود – عملاً امکان فعالیت تمام سایت‌های پیشرفته‌ی اینترنتی و مبتنی بر مفاهیم وب 2 را منتفی می‌کند.

جمع بندی و پیشنهاد:

به نظر می‌رسد راه‌های آسان تر و عملی‌تری برای رفع دغدغه‌های موردنظر طراحان آیین نامه وجود داشته باشد. می‌توان به سادگی نشریات و خبرگزاری‌‌ها را موظف دانست که تنها از سایت‌های شناسنامه‌‌دار نقل قول کنند. می‌توان سازمان‌های دولتی و آژانس‌های تبلیغاتی را موظف کرد تنها با سایت‌های شناسنامه‌دار برای درج آگهی همکاری کنند. می‌توان ثبت سایت‌ها را اختیاری دانست و با ارائه‌ی برخی حمایت‌ها، آن‌ها را به فعالیت رسمی تشویق کرد.

در هر صورت به نظر می رسد طرح فعلی عجولانه و بدون مشاوره با کارشناسان تهیه شده و اجرای آن – به خصوص در مورد وبلاگ‌ها - غیرعملی، بی‌فایده و محکوم به شکست است.

امیدواریم وزیر محترم و هوشیار فرهنگ و ارشاد اسلامی و دیگر مسئولان با بررسی مجدد این طرح، اجرای آن را تا انجام تغییرات جدی و عمده متوقف کنند.

و به مدیران سایت‌ها توصیه می‌شود تا حل مشکلات فنی و امنیتی و ارائه‌ی تضمین از سوی دولت برای حفظ امنیت اطلاعات و همچنین امکان طرح شکایت و دریافت خسارت در صورت افشای اطلاعات محرمانه‌شان، از ثبت اطلاعات سایت خود در یک محیط ناامن پرهیز کنن