ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

  عبارت مورد جستجو
تحلیل وضعیت فناوری اطلاعات در ایران

۷۷۹ مطلب با موضوع «security» ثبت شده است

تحلیل


نگاهی به مهمترین ویروس های هفته گذشته

يكشنبه, ۱۷ دی ۱۳۸۵، ۱۲:۳۹ ب.ظ | ۰ نظر

به گزارش Panda Software مهمترین ویروس ها و کدهای مخرب هفته گذشته عبارتند بودند از:

- تروژانهای Gagar.CC و Mitglieder

- و کرم رایانه ای RaHack.BB

Gagar.CC، تروژانی است که پس از ایجاد آلودگی در سیستم، به برخی آدرس های IP متصل شده، تروژان دیگری با عنوان Alanchum.MU را در سیستم آلوده داونلود می کند. این تروژان نیز به نوبه خود کدهای مخرب زیر را در سیستم داونلود می نماید:

- Duel.A : یک کرم رایانه ای، دارای روش های خاص برای مخفی ماندن در حین عملکرد تخریبی

- Nuwar.B : یک تروژان با قابلیت انتشار از طریق نامه های الکترونیک و داونلود یک تروژان دیگر با عنوان Gagar.CB

- Spammer.ER: تروژانی با قابلیت فراهم کردن آدرس های پستی برای ارسال Nuwar.B
دومین کد مخرب مهم، با نام Mitglider.LX، تروژانی ست که یک فایل خاص را از چند صفحه مختلف وب داونلود کرده و آن را در رایانه مورد

حمله خود اجرا می کند. این فایل مخرب یکی از گونه های کرم مشهور Bagle است که قادر به از بین بردن قفل حفاظتی برخی از برنامه های خاص می باشد.

RaHack.BB نیز یک کرم رایانه ای با سطح تخریبی پایین است که هدف اصلی آن تنها انتشار در شبکه اینترنت و آلوده کردن رایانه های مختلف است. این کد بویژه در رایانه هایی که دارای برنامه مدیریت دوردست Radmin هستند نفوذ می نماید. هم چنین اگر رایانه مورد حمله بخشی از یک شبکه باشد، RaHack.BB تلاش می کند تا به منابع به اشتراک گذاشته شده این شبکه نفوذ کرده و خود را در آن کپی کند.

کلیه کاربرانی که قصد دارند از عدم آلودگی رایانه های خود به کدهای مخرب فوق و نیز سایر تهدیدات رایانه ای مطمئن شوند می توانند از برنامه رایگان و آنلاین Panda ActiveScan استفاده کنند. این برنامه قدرتمند با بررسی کلیه قسمت های سیستم و صندوق های پستی کاربران، قادر به کشف و ردیابی انواع مختلف کدهای مخرب و ویروس های رایانه ای می باشد.

منبع

شفیعی‌خورشیدی* - بزرگراه فناوری - یکی از وظایف قوه قضائیه که در اصل 156 قانون اساسی بدان اشاره شده، اقدام مناسب برای پیشگیری از وقوع جرایم و احیای حقوق عامه و گسترش عدل و آزادی‌های مشروع است.

سیاست اجرایی دادسرای عمومی و انقلاب کلان‌شهر کرج نیز متاثر از برنامه‌های قوه قضائیه در حوزه‌های مختلف در حال انجام است که یکی از این حوزه‌ها، جرایم رایانه‌ای و اینترنتی است.

با گسترش سریع علوم رایانه‌ای و افزایش کاربران این رشته و به‌عبارتی فراگیر شدن رایانه در زندگی روزمره در این حوزه جرایمی نیز قابل وقوع و شیوع است که این امر رسالت دستگاه قضایی را به‌عنوان متولی قانونی پیشگیری، تعقیب، تحقیق و مجازات بیش از پیش در این زمینه مشهود می‌سازد. گرچه این نکته را نباید از نظر دور نگه داشت که به تناسب رشد فزاینده علوم رایانه‌ای و به تبع آن تعدد جرایم در این عرصه قوانین اجرایی و مدون در کشور ما هنوز به مرحله اجرایی درنیامده است که این موضوع مشکلاتی را برای کاربران و زیان‌دیدگان ایجاد می‌کند که علاوه بر تحمل ضرر اقتصادی، اجتماعی به‌دلیل فقدان قانون، زیان‌های دیگری را متحمل می‌شوند و عدم توان برخورد مناسب با قانون‌شکنان این مقوله، موجب ازدیاد جرایم، ناامنی محیط، شکست برنامه‌های پیشگیرانه و دلسردی کاربران و در پی آن روی‌آوری دیگران به قانون‌شکنی را در پی خواهد داشت. از این‌رو دادسرای عمومی انقلاب کرج اقدام به تشکیل ستاد مقابله با جرایم اینترنتی در مهرماه سال 84 کرد که عمده اهداف این ستاد سالم‌سازی محیط اینترنتی برای جوانان و اعتمادسازی خانواده‌های آنان به استفاده فرزندان از علوم روز در جهت پیشگیری از وقوع جرم را عنوان کرد.

با توجه به رشد روزافزون علوم مختلف رایانه‌ای و تعداد کاربران آن جامعه ما نیز به سمت و سویی پیش می‌رود که رایانه به‌عنوان یک وسیله کاملا شخصی درآمده و هر فرد برای خود می‌تواند یک کامپیوتر داشته باشد، در کنار همه فواید و محسنات آن متاسفانه معضلات و مشکلات و جرایمی هم حاصل می‌شود.
انواع تخلفات (در محیط اینترنت)
حملات اطلاعاتی و نظامی

همان‌طور که می‌دانیم امنیت ملی به‌طور فزاینده‌ای در دست رایانه‌هاست. همان‌گونه که تبهکاران به‌خوبی می‌دانند که رایانه‌ها در جاهایی هستند که پول هست، سازمان‌های جاسوسی نیز می‌دانند که کامپیوترها نیز جاهایی هستند که اطلاعات جاسوسی در آن وجود دارد. این در حالی است که جاسوسی به‌طور فزاینده‌ای در حال تبدیل به نوعی بازی است که در آن اقدام به نفوذ در رایانه، رمزنگاری و تجزیه و تحلیل ترافیک پیام‌ها صورت می‌گیرد.
حملات تجاری

در جایی که به‌نظر می‌رسد جنگ سرد رو به پایان است، دوره جدیدی از رقابت اقتصادی شروع شده و آن استراق سمع و دریافت اطلاعات سری شرکت‌‌هاست.
حملات مالی

این روزها صورتحساب‌ها معمولا به‌طور الکترونیکی پرداخت می‌شوند و این باعث می‌شود که بانک‌ها همیشه هدف وسوسه‌انگیزی برای مجرمان رایانه‌ای باشند.
حملات غرض‌ورزانه

تمام مجرمان رایانه‌ای در جست‌وجوی اطلاعات نیستند. بعضی از آن‌ها به‌سادگی خواستار ایجاد خسارت و تخریب هستند.
حملات تفننی

جرایم رایانه‌ای بسیار متفاوت‌تر از جرایم دیگر است، چراکه سریع‌تر، بی‌نام و نشان‌تر و روشی بزرگ‌تر را ارایه می‌دهد.

بسیاری از مجرمان رایانه‌ای به‌خاطر پول دست به کار نمی‌شوند و فقط و فقط عمل آنان شکستن و نقض حریم خصوصی افراد و سازمان‌هاست.

با توجه به حرکت سریع این تکنولوژی باید سریع‌تر و با تمام قوا نقاط آسیب‌پذیر را شناسایی کرده و از وقوع این‌گونه جرایم جلوگیری کنیم و با فرهنگ‌سازی و اطلاع‌رسانی در این موارد و ارتقای سطح دانش عموم راه را بر وقوع این‌گونه جرایم ببندیم.

هیات دولت نیز در سال گذشته وارد عمل شده و لایحه جرایم رایانه‌ای را به تصویب رسانده است.

این لایحه برای بررسی نهایی و اجرایی شدن، در 27 مرداد سال گذشته، به مجلس شورای اسلامی ارسال شد که در این لایحه ذکر شده است که قضات دادسراها و دادگاه‌هایی که به جرایم رایانه‌ای رسیدگی می‌کنند باید آشنایی لازم را با امور رایانه‌ای داشته باشند.

کار تدوین لایحه جرایم رایانه‌ای حدود دو سال به طول انجامید و قرار است به‌زودی کار تایید آن از سوی نمایندگان مجلس شورای اسلامی به پایان برسد.

در پیش‌نویس قانون مجازات جرایم رایانه‌ای ایران برای دسترسی غیرمجاز مجازات نقدی بین ده تا پنجاه میلیون ریال در نظر گرفته شده است، در حالی که در آمریکا برای این جرم مجازات حبس بین دو تا ده سال همراه با مجازات نقدی سنگین اعمال می‌شود، اما به هر حال، تصویب این لایحه در مجلس، نقطه عطفی در قانون‌گرایی فضای IT در ایران به‌شمار خواهد رفت که چشم‌اندازها و نتایج فراوانی برای جامعه اطلاعاتی (Information Society) ایران به همراه خواهد داشت.

آنچه مسلم است، توسعه زیرساخت‌های فناوری اطلاعات و ارتباطات در ایران، نیازمند قانونی منسجم، دقیق و فراگیر است تا آزادی عمل مبتنی بر قانون‌مداری فعالان آن صنعت در کشور فراهم باشد و متخلفان با ضمانت‌های اجرایی لازم مورد کیفر قرار بگیرند.

به هر حال اگر داعیه حضور در سرزمین دیجیتال هزاره سوم را داریم، باید به قوانین حقوقی بین‌المللی در این حوزه در داخل و خارج از کشور احترام بگذاریم.

*دادستان عمومی و انقلاب شهرستان کرج

کشف حفره های امنیتی جدید در موزیلا

شنبه, ۲ دی ۱۳۸۵، ۰۶:۱۶ ب.ظ | ۰ نظر

اسماعیل ذبیحی - کشف حفره های امنیتی جدید در Mozilla FireFox، SeaMonkey و Thunderbird کارشناسان امنیتی از کشف و ردیابی حفره های امنیتی در جستجوگرهای Mozilla FireFox, SeaMonkey و Thunderbird خبر می دهند.

بنا به گزارش Panda Software، کارشناسان امنیت IT بر این باورند که نقاط آسیب پذیر جدید قادر هستند که امکان نفوذ از لایه های امنیتی و در اختیار گرفتن کنترل سیستم ها را برای هکرها و خرابکاران اینترنتی ایجاد کنند. نخستین نقص امنیتی به علت ایجاد خطاهای مربوط به از بین رفتن حافظه در موتورهای زبان جاوااسکریپت ایجاد می شود که خرابکاران اینترنتی می توانند از آن برای اجرای کدهای مخرب در رایانه های دارای این نقص استفاده کنند.

نقص های دیگر نیز به علت سرریزی بافر در استفاده از ویژگی مکان نمای CSS برای اختصاص مکان نما به برخی تصویرهای خاص سیستم عامل ویندوز، پردازش نادرست عملکرد \"watch\" در زبان جاوااسکریپت، خطای حافظه در LiveConnect، خطا در پردازش SVG و هم چنین سرریزی بافر در هنگام پردازش نامه های الکترونیک دارای \"Content type\" های طولانی و یا سرصفحه \"rfc2047-encoded\" می باشد.

علاوه بر این نقص ها، نقاط آسیب پذیر دیگری نیز مانند پردازش نادرست خصوصیت \"src\" مربوط به آیتم های IMG لود شده در یک فریم، دارای قابلیت ایجاد حمله های cross-site scripting، خطا در خصوصیت \"Feed Preview\" ، دارای قابلیت ایجاد نفوذپذیری و سرقت اطلاعات محرمانه در سیستم، کشف و ردیابی شده اند. خطا در تعریف متد نیز در این برنامه ها موجب آسیب پذیر شدن سیستم در برابر نفوذ و ایجاد حملات cross-site scripting می گردد.

بروزرسانی های امنیتی برای ترمیم نقص های امنیتی فوق منتشر شده و برای کلیه کاربران قابل دسترس می باشند. قابل ذکر است که این نقص ها در موزیلا فایرفاکس، نسخه های قبل از نگارش 2.0.0.1 ؛ در Thunderbird نسخه های قبل از 1.5.0.9 و برنامه SeaMonkey نسخه های قبل از نگارش 1.0.7 وجود دارد. فایل های بروز رسانی مربوطه، علاوه بر قابلیت داونلود شدن از طریق سیستم های بروز رسانی این نرم افزارها، در آدرس های زیر نیز قابل دسترس می باشند:

http://www.mozilla.com/firefox

http://www.mozilla.com/thunderbird

http://www.mozilla.org/projects/seamonkey
منبع : www.mec-security.com

اسماعیل ذبیحی - پیش بینی شرکت های امنیتی در خصوص افزایش ناگهانی حملات مخرب اینترنتی به حقیقت پیوست

شنبه، 2 دی 1385- شرکت امنیتی Panda Software از کشف و ردیابی فزاینده حملات مخرب اینترنتی در آستانه سال نو میلادی خبر می دهد که با توجه به افزایش فوق العاده خریدهای اینترنتی، وجود نقاط آسیب پذیر و حفره های امنیتی فراوان در رایانه ها و عدم ملاحظات خاص امنیتی از سوی کاربران، هراس و نگرانی بی سابقه ای را ایجاد کرده است.

مقارن با این حملات قدرتمند، مایکروسافت نیز کشف حفره های امنیتی جدید در نرم افزارهای مختلف خود را مورد تأیید قرار می دهد. بی گمان استفاده از این نقص های امنیتی در برنامه های پرکاربردی چون Word و Media Player، در حمله های اخیر بی تأثیر نبوده است. طبق اظهارات لوییس کرونز مدیر PandaLabs، از آنجا که برای برخی از نقص های امنیتی اخیر هنوز راهکار ترمیمی خاصی ارائه نشده است، خرابکاران اینترنتی و هکرها براحتی و بدون هیچ مزاحمتی قادر هستند تا حملات مخرب خود را در رایانه ها اجرا کنند.

بنابراین پاندا به تمام کاربران اینترنت توصیه کرده است تا برنامه های امنیتی سنتی و معمول خود را به فن آوری های پیشگیرانه حفاظتی مانند TruPrevent™ مجهز کنند. این فن آوری ها قادر هستند که کدهای مخرب بسیار جدید و ناشناخته را نیز ردیابی و خنثی کرده، نفوذ آنها را از طریق حفره های امنیتی موجود غیر ممکن سازند. گذشته از توجه خاص به نرم افزارهای امنیتی قدرتمند و وجود نقاط آسیب پذیر در رایانه ها، کاربران اینترنت باید این نکته را نیز مد نظر قرار دهند که در هنگام افزایش فوق العاده خریدهای اینترنتی، انتشار اسپم ها یا هرزنامه ها نیز سرعت و کمیت فزاینده ای می یابند.

متاسفانه بسیاری از آنها دارای لینک هایی به صفحات کاذب مربوط به خریدهای اینترنتی و انجام خدمات بانکی هستند که با طراحی بسیار حرفه ای سعی دارند کاربران اینترنت را فریب داده و اطلاعات محرمانه آنها را سرقت کنند.

یکی دیگر از موارد مهم که موجب انتشار و حمله های وسیع کدهای مخرب خصوصاً در ایام جشن و تعطیلی سال نو می گردد، استفاده از برخی سایت های ارائه دهنده کارت های تبریک رایگان است که کاربران با کلیک بر روی لینک ها و یا داونلود کردن از این وب سایت ها، کدهای مخرب را نیز به صورت غیر محسوس در رایانه خود نصب می کنند.

اکنون، طراحان کدهای مخرب اهداف و عملکردهای خود را مطابق با مقدار پول دریافتی خود تعیین می کنند! بنابراین با حداکثر استفاده از حفره ها و نقص های امنیتی متعدد در رایانه ها، سعی در نصب تروژان ها، اجرای حملات phishing و در نتیجه دریافت غیر قانونی اطلاعات محرمانه و شخصی برای انجام کلاهبرداری،‌ سرقت پول و سوء استفاده از هویت افراد، دارند.

در آستانه سال نو میلادی، کاربران اینترنت باید بیش از پیش مراقب آلودگی رایانه های خود باشند. یکی از کدهای مخربی که حملات آن در این روز ها افزایش چشمگیری یافته است، تروژان MerryX.A است که در نامه هایی با موضوع کریسمس مبارک \"Merry Christmas!\" پنهان می شود و با اجرای انیمیشن آن، خود را در رایانه ها نصب کرده، به فعالیت های تخریبی می پردازد.

منبع : www.mec-security.com

کودکان در محاصره دوستان مجازی

شنبه, ۱۸ آذر ۱۳۸۵، ۰۸:۰۶ ب.ظ | ۰ نظر

سیدمیثم لطفی - بزرگراه فناوری - حتما همه شما تاکنون نام Yahoo Messenger یا سرویس‌های مشابه که در آن امکان ارتباط مجازی کاربران با یکدیگر فراهم می‌شود به گوشتان خورده است. این سرویس‌ها معمولا به‌صورت رایگان عرضه می‌شوند و همین امر موجب شده تا اقبال کاربران نسبت به آن‌ها افزایش یابد. چند وقتی است که دو شرکت مایکروسافت و گوگل هم اقدام به ارایه خدمات مشابه کرده‌اند تا از این طریق مخاطبان خود را بالا برند. اما با همه این توضیحات آیا کاربران به درستی می‌دانند که تالار گفت‌وگو (chatroom) چیست؟ آیا این ابزار مجازی می‌تواند خطراتی را برای کودکان به‌همراه داشته باشد؟ آیا این ابزار ارتباطات دنیای واقعی را کمرنگ‌تر خواهد کرد؟
خبرگزاری بی‌بی‌سی برای پاسخ‌گویی به این سؤالات و تشریح وضعیت chatroom در اینترنت گفت‌وگویی را با کریس آتکینسون (Chris Atkinson) کارشناس امنیت اینترنتی مرکز حمایت از کودکان بریتانیا (NSPCC) انجام داده است.
تالار گفت‌وگوی اینترنتی چیست؟

تالار گفت‌وگو فضایی در اینترنت است که مردم در آن می‌توانند با دیگر افراد در سراسر دنیا صحبت کرده و برای خود دوستان مجازی پیدا کنند. سایت‌ها یا مراکزی که این خدمات را ارایه می‌کنند معمولا چندین chatroom دارند که به گروه‌های تخصصی مجزا تقسیم می‌شود تا هر یک از کاربران با توجه به سلایق شخصی خود وارد آن‌ها شوند و از آن‌ها استفاده کنند. امروزه صدها هزار تالار گفت‌وگو در اینترنت وجود دارد که در هر لحظه پذیرای میلیون‌ها نفر از سراسر جهان است. در بیشتر مواقع کاربران موظفند که پیش از ورود به این قبیل فضاها ثبت‌نام کنند. با این ثبت‌نام آن‌ها نوعی نام اینترنتی برای خود انتخاب می‌کنند و خود را با این نام به دیگران معرفی می‌کنند. این نام شامل یک شناسه کاربری و رمز عبور می‌شود و در صورتی که فرد هر دوی این موارد را به درستی در قسمت مشخص وارد کند، اجازه ورود به chatroom را خواهد گرفت.

تنها یک بار ثبت‌نام کافیست تا فرد مجوز ورود به تالار گفت‌وگو را برای همیشه دریافت کند و از این طریق بتواند علاوه بر ارسال پیام‌های نوشتاری، صدای دوست مجازی خود را شنیده و تصویر او را ببیند. Chatroom در اصل پل ارتباطی میان دنیای حقیقی و دنیای مجازی است. زمانی که کاربر اقدام به ارسال یک پیام نوشتاری می‌کند، در همان لحظه پیام او به دست فرد مقابل می‌رسد و این اتفاق در زمان حقیقی می‌افتد. در عین حال، چون ارسال این پیام در فضای مجازی صورت گرفته به نوعی دنیای مجازی و حقیقی با یکدیگر ادغام شده‌اند.

به‌هر حال، برخی تالارهای گفت‌وگو هم وجود دارند که نیازی به ثبت‌نام ندارند و تنها با یک اسم مستعار می‌توان وارد آن‌ها شد.
این تالارهای گفت‌وگو تا چه اندازه می‌توانند برای کودکان خطرآفرین باشند؟

من به همه مردم هشدار می‌دهم که هیچ تالار گفت‌وگویی بی‌‌خطر نیست. امروزه روش‌های گوناگونی در اختیار کودکان است تا بتوانند با هم‌سن و سالان خود در سراسر دنیا صحبت کنند و با آن‌ها دوست شوند، اما این کار باید با دقت فراوان صورت گیرد و جلوی تمامی خطرات احتمالی گرفته شود. در حالی که تعداد معدودی از تالارهای گفت‌وگو با توجه به سیاست‌های گردانندگان آن ایمن شده‌اند، بخش زیادی از آن‌ها برای کودکان خطرناک هستند. این مسئله به آن معنا خواهد بود که کودکان در هر محیط مجازی که وارد می‌شوند باید مراقب باشند و خود را برای دریافت پیام‌های نامناسب و خطرناک آماده کنند.

ساخت Chatroom در اینترنت کار بسیار ساده‌ای است و به همین خاطر معمولا کودکان نمی‌دانند که چه افرادی مسؤول این تالار گفت‌وگو هستند و ایمنی در این مکان تا چه اندازه رعایت شده است. هر کاربر در هر موقعیت و کشوری که قرار دارد می‌تواند یک تالار گفت‌وگو را با اهداف مختلف برای خود ایجاد کند.

تالارهای گفت‌وگوی ایمن‌تر فضاهایی هستند که مسؤولان آن‌ها مشخص هستند و اهداف آن‌ها برای راه‌اندازی این مکان به‌درستی مشخص شده است. گردانندگان این فضاها همه پیام‌ها و ارتباطات را به‌دقت زیر نظر می‌گیرند تا در صورت بروز هرگونه تخلف با فرد خاطی برخورد شود و در صورت لزوم، فرد از Chatroom اخراج شود.

بسیاری از کارشناسان و تحلیل‌گران فناوری معتقدند که باید دسترسی کودکان به تالارهای گفت‌وگو محدود شود تا جلوی بروز خطر احتمالی برای آن‌ها گرفته شود، این در حالی است که برخی دیگر از محققان معتقدند محدود کردن اطلاعات شخصی ارسال شده از جانب کاربران کم‌سن و سال می‌تواند ایمنی بیشتری را برای آن‌ها به همراه بیاورد. کودکان معمولا در این قبیل فضاها می‌توانند افرادی را که از نظر سن و دیگر مشخصات شباهت زیادی به ‌آن‌ها دارند پیدا کنند و با او دوست شوند. با این وجود ممکن است پس از گذشت چند ماه مشخص شود که فرد مقابل تمامی مشخصات خود را نادرست اعلام کرده است.

برای جلوگیری از این مشکل، دولت بریتانیا به تازگی اقدام به اجرای طرحی کرده که به موجب آن افراد به‌طور دقیق دسته‌بندی می‌شوند و هر یک از آن‌ها تنها می‌توانند در گروه مربوط به خود به گفت‌وگوهای اینترنتی بپردازند.
آیا می‌توان در دنیای بی‌پایان اینترنتی تالارهای گفت‌وگویی را ایمن‌تر از بقیه Chatroomها پیدا کرد؟

امروزه صدها هزار Chatroom در اینترنت وجود دارد و پیدا کردن آن‌ها برای کاربران کار بسیار ساده‌ای است. اما باید یک بار دیگر اعلام کنم که برخی از این تالارهای گفت‌وگو با سیاست‌های معتدلی که دنبال می‌کنند ایمن‌تر از نمونه‌های مشابه هستند. تا کنون هیچ قانونی برای نحوه اداره تالارهای گفت‌وگو تصویب نشده است، اما با این وجود برخی مراکز اینترنتی بزرگ دنیا دستورالعمل‌هایی را منتشر کرده‌اند تا به این وسیله وظایف مدیران Chatroom نمایان شود.

دولت بریتانیا در طرح جدید خود اقدام به بررسی تمام تالارهای گفت‌وگوی فعال در این منطقه کرده تا به این وسیله میزان امنیت در هر یک از آن‌ها را مشخص کند. قرار است که در این اقدام دستورالعمل‌های لازم به گردانندگان این قبیل‌فضاها داده شود تا در صورت بروز هر گونه تخلف با این افراد برخورد قانونی شود. در حال حاضر بیشتر تالارهای گفت‌وگویی که از داخل بریتانیا اداره می‌شوند باید آخرین برنامه‌ها و سیستم‌های امنیتی را مورد استفاده قرار دهند تا کاربران به این وسیله احساس امنیت بیشتری کنند. بریتانیا برای جلوگیری از بروز هر گونه خطر برای کاربران در سنین مختلف اقدامات زیر را انجام می‌دهد:

• ارایه اطلاعات شفاف و دقیق در مورد تالارهای گفت‌وگویی که کاربران پس از ورود به آن‌ها با مشکلی مواجه نخواهند شد.

• ارایه اطلاعات شفاف و دقیق امنیتی و آموزش روش‌های امنیتی برای جلوگیری از بروز خطرات احتمالی

• استفاده از ابزارهای امنیتی نظیر کلید ignore برای محدود کردن افراد موجود در Chatroom و فیلتر کردن افرادی که کلمات نادرست و غیراخلاقی به‌کار می‌برند.

• تعدیل تمامی تالارهای گفت‌وگو و نظارت دقیق بر آن‌ها و ارسال پیام‌های هشدار به افراد در صورت بروز مشکلات مختلف

• لزوم ثبت‌نام برای حضور در همه تالارهای گفت‌وگو و جلوگیری از انتشار اطلاعات شخصی کاربران
آیا روش‌های دیگری برای ارتباطات اینترنتی کودکان وجود دارد که از امنیت بیشتری برخوردار باشند؟

هم‌اکنون روش‌های مختلفی ایجاد شده که کودکان می‌توانند به‌وسیله آن‌ها با یکدیگر ارتباط برقرار کنند که در عین حال باید اعتراف کرد برخی از این روش‌ها بسیار ایمن‌تر از Chatroomها هستند. سه راه عمده و اصلی که کودکان می‌توانند برای ارتباطات آنلاین از آن‌ها استفاده کنند شامل موارد زیر می‌شود:

• استفاده از سرویس پیام‌های فوری (IM)

• استفاده از گروه‌ها یا مراکز ارسال پیام اینترنتی

• استفاده از سرویس‌های گفت‌وگوهای تقویت‌شده اینترنتی (IRC)

سرویس پیام‌‌های فوری این روزها بسیار محبوب شده و کاربران استفاده‌های بسیاری از آن می‌کنند. برای به‌کار بردن سرویس IM نرم‌افزارهای مختلفی وجود دارد که کاربران مجبورند آن‌ها را روی کامپیوتر خود نصب کنند. این ابزار به کاربران امکان می‌دهد تا کنترل بیشتری را بر فرد مقابل خود داشته باشند و در صورت عدم تمایل، فرد مقابل را ignore کنند تا خطری آن‌ها را تهدید نکند.
برای آنکه ایمنی بیشتری برای کودکان ایجاد شود، والدین چه اقداماتی را می‌توانند برای فرزندان خود انجام دهند؟

والدین باید به‌جای آنکه استفاده از اینترنت را برای کودکان خود ممنوع کنند، با آن‌ها صحبت کنند و روش استفاده صحیح از اینترنت و تالارهای گفت‌وگو را به آن‌ها بیاموزند. باید فرزندان خود را تشویق کنند تا همواره هر آنچه که در اینترنت برایشان اتفاق می‌افتد را به آن‌ها بگویند و به این وسیله رابطه صمیمانه‌ای بین آن‌ها برقرار شود.

کارشناسان توصیه می‌کنند، کامپیوترهای کودکان نباید در اتاق‌های شخصی آن‌ها باشد و باید طوری قرار گیرد که والدین بتوانند در هر لحظه نمایشگر‌آن را مشاهده کنند. اگر کودکان یاد بگیرند که همه فعالیت‌های خود را در اینترنت برای والدین توضیح دهند،‌در این صورت والدین با همه دوستان مجازی آن‌ها آشنا خواهند شد و مشکلات در این زمینه از بین خواهد رفت. بزرگ‌ترها می‌توانند به کودکان خود کمک کنند تا فقط به تالارهای گفت‌وگوی ایمن وارد شوند و از ورود به فضاهای خطرناک خودداری کنند. در کنار همه این موارد، والدین باید مراقب باشند تا فرزند آن‌ها هیچ‌یک از اطلاعات شخصی خود را در اینترنت اعلام نکند و به افرادی که در دنیای واقعی آن‌ها را نمی‌شناسد پست الکترونیکی ارسال نکند.
برای ایمنی هرچه بیشتر تالارهای گفت‌وگو شرکت‌های بزرگ تاکنون چه اقداماتی را انجام داده‌اند؟

در پی بالا گرفتن مخالفت انجمن‌های حامی حقوق کودکان در سراسر دنیا، شرکت‌های بزرگ اقدام به مسدود کردن تالارهای گفت‌وگوی خود برای بسیاری از کشورهای دنیا کرده‌اند که از جمله آن‌ها می‌توان به مایکروسافت اشاره کرد. مایکروسافت مدتی است که تمامی تالارهای گفت‌وگوی خود را برای بریتانیایی‌ها مسدود کرده و این‌طور که گفته می‌شود، این سرویس ماهانه بیش از 2/1 میلیون نفر مشتری ثابت داشته است. در کشور آمریکا کاربران موظفند که برای ورود به این فضاها از کارت‌های اعتباری خود استفاده کنند تا به این وسیله پی‌گیری تخلفات آسان‌تر صورت گیرد. فضاهای مجازی گفت‌وگو در دیگر کشورها نظیر استرالیا، ژاپن و کانادا همچنان به فعالیت خود ادامه می‌دهند، اما با این وجود مراکزی تشکیل‌شده‌اند که همه فعالیت‌های آن‌ها را به دقت زیر نظر می‌گیرند.

طبق آمارهای جهانی، از هر پنج کودک 9 تا 16 ساله یک نفر به‌طور مرتب از تالارهای گفت‌وگو استفاده می‌کند و گفته می‌شود که نیمی از این کودکان فقط سراغ chatroomهای غیراخلاقی می‌روند. یک چهارم همه کودکانی که وارد این فضا می‌شوند، فرد مقابل از آن‌ها می‌خواهد تا تصویر خود را از طریق وبکم نشان دهند و در مقابل، 10 درصد کودکان تصویرشان را به دوست مجازی خود نشان می‌دهند.

شرکت مایکروسافت طی بیانیه‌ای اعلام کرده است، آن دسته از کاربران آمریکایی که قصد ورود به تالارهای گفت‌وگوی MSN را دارند باید از این پس حتما اطلاعات مندرج در کارت اعتباری خود را به‌کار برند. این شرکت در کانادا، استرالیا و ژاپن نیز به‌صورت دایم همه فعالیت‌های Chatroomهای خود را به‌دقت زیر نظر می‌گیرد و اجازه هیچ‌گونه تخلفی را نمی‌دهد. در نیوزلند و برزیل نیز قانون مدیریت تالارهای گفت‌وگو بسیار تعدیل شده و در بریتانیا و تمامی کشورهای اروپایی نیز تمام تالارهای گفت‌وگوی وابسته به مایکروسافت بسته شده است. مایکروسافت می‌کوشد تا چندی دیگر این فضاهای مجازی را برای کاربران خاورمیانه، آمریکای لاتین و آسیا مسدود کند.

در بررسی‌های جدید مشخص شده، بیشتر کودکانی که در سنین کمتر از 16 سالگی به‌سر می‌برند می‌کوشند تا دوست جدیدی را با مشخصات سنی مشابه برای خود پیدا کنند، این در حالی است که گفته می‌شود هدف بیشتر نوجوانان و جوانان از ورود به Chatroomها تنها برقراری ارتباطات نامشروع و سوءاستفاده‌های جنسی است.

به‌طور کلی برای آنکه کاربران در هر سنی از ایمنی کامل برخوردار باشند، می‌توانند به هنگام ورود به تالارهای گفت‌وگو این موارد را در نظر بگیرند:

• مطالعه معرفی‌نامه Chatroom: هر یک از تالارهای گفت‌وگو باید معرفی‌نامه‌ای داشته باشند تا کاربران با خواندن آن بتوانند اطلاعات واضحی را در مورد این سرویس و اهداف آن دریافت کنند.

• به‌کارگیری توصیه‌های امنیتی: در هر تالار گفت‌وگو باید توصیه‌های ایمنی لازم وجود داشته باشد تا کاربران با مطالعه آن‌ها احتمال بروز خطرات را از بین ببرند.

• به‌کارگیری ابزارهای امنیتی: وجود کلید ignore برای جلوگیری از انتشار پیام‌های فرد مقابل که تمایلی به دریافت آن نداریم، وجود کلید هشدار و وجود مکانیسمی که به کمک آن بتوان خطرات را به مسؤولان اعلام کرد در همه Chatroomها اجباری است.

• به‌کارگیری سیاست‌های تعدیلی: در بالای هر صفحه باید کلید هشداری وجود داشته باشد تا کاربر با فشردن آن اعلام کند که خطری او را تهدید می‌کند. این امر نشان‌دهنده آن است که سیاست‌های تعدیلی برای تالار گفت‌وگو در نظر گرفته شده است و خطری کاربر را تهدید نمی‌کند.

• استفاده از سیستم ثبت‌نام: اگرچه ثبت‌نام باید برای ورود کاربران به Chatroom وجود داشته باشد، مسؤولان موظفند این سیستم را طوری طراحی کنند که اطلاعاتی شخصی زیادی از افراد منتشر نشود.

• صفحات حاوی مشخصات عمومی افراد: این صفحات که افراد در صورت تمایل می‌توانند اطلاعات شخصی خود را وارد آن کنند می‌تواند شامل اطلاعاتی برای برقراری تماس با کاربر شود. ولی با این وجود باید کنترل دقیقی بر این صفحات صورت گیرد.

• مسؤولیت در مقابل مشکلات مختلف: سیستم تالارهای گفت‌وگو باید به‌گونه‌ای طراحی شود که گزارش‌ها را در مورد مشکلات موجود بین کاربران دریافت کند و در مقابل آن اقدامات لازم را انجام دهد.

گذری بر ویروس های مطرح ایرانی

شنبه, ۱۱ آذر ۱۳۸۵، ۰۴:۵۷ ب.ظ | ۱ نظر

ITanalyze.ir - برخی از قسمت های آن دستخوش تغییرات و بخشی از آن حذف شده است . ویروس های مطرح ایرانی که تاکنون خبر آفرینی کرده اند .

1. سیسیلی 2. کاتومیک 3. یوسف علی 4. فانوت 5. کولاک 6. فووا

البته ویروس های ایرانی دیگری هم وجود دارند که در مجال دیگری به آنها پرداخته می شود.

شرح خبر آفرینی :

قبل از ویروس سیسیلی ویروس های ایرانی در حد شبکه های کوچک منتشر شده بودند . خبر انتشار اولین نسخه از ویروس سیسیلی مثل یک بمب تبلیغاتی برای این ویروس بود . اغلب خبرگزاری ها از انتشار ویروسی خبر می دادند که قطعات مادربرد را می سوزاند . ( شایعه ) شایعات دیگری هم در مورد این ویروس بود . اما این نسخه فقط یک متن سیاسی را بر روی سیستم کاربر اجرا می کرد . و پس از فروکش کردن اخبار این ویروس . شبهاتی در مورد منبع این ویروس بوجود آمد .

اغلب کارشناس بر این باورند که این ویروس یک ویروس بومی نبوده و منشا خارجی داشته . اولین ویروسی ایرانی که بصورت گسترده خبر گسترش آن در رسانه های خارجی ( عربی ) بازتاب یافت ویروس کاتومیک بود. این ویروس دارای دو نگارش متفاوت با شناسه های a و b است . که بعضی از مراجع ویروس شناسی احتمال وجود شناسه C را هم رد نکرده اند . شناسه A این ویروس به تبلیغ برای انرژی اتمی پرداخت از همین رو اسم این ویروس بی نام و نشان را کاتومیک انتخاب کردند . خبر انتشار این ویروس و ویروس شناسه B که برای حمایت از نام خلیج فارس نوشته شده بود ... در رسانه های عربی بخصوص کشورهای های حاشیه خلیج فارس زیاد مطرح شد.

محتوای این ویروس و مکان های هدف این ویروس ( کشورهای عربی ) بجز یک برنامه 45 دقیقه ای در صدا و سیما در ایران بایکوت خبری شد . این ویروس ( کاتومیک ) بحث آنتی ویروس های بومی ایران را داغ تر کرد .

ویروس یوسف علی اولین ویروسی بود که خبر انتشار آن به صورت گسترده در ایران منتشر شد . این ویروس ایرانی خلق خوی خاصی داشت خودنمایی و دخالت در امور کاربر . ایده جالبی داشت . اما بعد از بررسی های کارشناسان سوفوس ( آبروی هر چی ویروس نویس ایرانی بود رو برد ) . اعلام شد این ویروس ساختار ضعیفی دارد و حتی نمی تواند بخشی از قابلیت های نهفته خود را اجرا کند . ویروس یوسف علی گذشته از عدم مهارت در نگارش آن گام بزرگی برای ویروس های ایرانی به شمار می رفت .

مهندسی اجتماعی در این ویروس باعث شد تا ویروس ها دیگری هم با این ساختار پا به عرصه دنیای دیجیتال بگذارند .

ادامه دارد ...

بحران در امنیت سایت‌‌های دولتی

دوشنبه, ۶ آذر ۱۳۸۵، ۰۹:۲۲ ب.ظ | ۰ نظر

مینو مومنی - بزرگراه فناوری - اعلام نتیجه یک پژوهش توسط مرکز پژوهش‌های مجلس شورای اسلامی در چند روز گذشته باعث شد به نوعی بار دیگر دغدغه قدیمی بسیاری از صاحب‌نظران و کارشناسان حوزه آی‌تی در خصوص نبود امنیت در میزبانی سایت‌های ایرانی مطرح شود. همان دغدغه‌ای که بارها و بارها در رسانه‌ها به چاپ رسیده، اما روی آن نگاه جدی صورت نگرفته است.
در گزارش این پژوهش آمده است، ۵۷ درصد سایت‌های مهم حکومتی ایران ‌از میزبان‌های خارجی‌ استفاده می‌کنند و از این بین، ‌اطلاعات ‪۸۷ سایت حکومتی صرفا در آمریکا و کانادا نگهداری می‌شود. نتایج فوق حاصل بررسی روی ۱۵۰ سایت مهم حکومتی توسط مرکز پژوهش‌های مجلس است. گرچه هشدار مجلسیان به وضعیت بحرانی امنیت سایت‌های دولتی قابل قدردانی است، اما نکته مهم آن است که این هشدار و هشدارهایی از این قبیل از سوی بسیاری در سال‌های گذشته مطرح شده و به نوعی این پژوهش، یک یافته جدید محسوب نمی‌شود و بهتر بود که در کنار این هشدار هرچه سریع‌تر مسؤولان به فکر راهکاری برای خروج از این بحران بودند چراکه یک سرور اینترنتی مثل یک خانه مستحکم می‌تواند محیط امن برای زندگی یک سایت به‌شمار آید.
اطلاعاتی در قلب آمریکا

"مسدود کردن بیش از ‪ ۵۰۰ سایت از سوی ارایه‌کنندگان خدمات میزبانی کانادایی و آمریکایی و هک شدن چندباره وبسایت‌های مهم حکومتی نظیر وب‌سایت مجلس شورای اسلامی و مجلس خبرگان، این سؤال تامل‌برانگیز را در ذهن تداعی می‌کند که آیا دولتمردان نسبت به این مهم واقفند و اقدامی به‌عمل نمی‌آورند یا توسعه فناوری اطلاعات، تحقق دولت الکترونیکی و جامعه اطلاعاتی تنها در حد شعار دنبال می‌شود." این متن بخش دیگری از گزارش مرکز پژوهش‌های مجلس است. گفتنی است این گزارش به درخواست احمد توکلی نماینده تهران و رییس این مرکز با عنوان "مراکز داده، ضرورتی حیاتی" تهیه شده است. گزارش مرکز پژوهش‌های مجلس، وضعیت کنونی وب‌سایت‌های دولتی از نظر امنیتی را یک بحران ملی دانسته و می‌افزاید: بررسی صلاحیت میزبان‌های وب‌سایت‌های دولتی نشان می‌دهد که تاکنون به مقوله امنیت در فضای تبادل اطلاعات به هیچ عنوان بها داده نشده است بنابراین لزوم ایجاد مراکز داده در کشور برای جلوگیری از تعرضات الکترونیکی بیگانگان امری ضروری است.
در ادامه گزارش این مرکز آمده است: مایکل چرتوف، یکی از معاونان وزارت امنیت ملی ایالات متحده که یک صهیونیست اسرائیلی است، نامه محرمانه‌ای از سوی وزارت امنیت ملی با تایید آژانس امنیت ملی و کاخ سفید برای شرکت‌های بزرگ میزبانی مانند ,‪Microsoft,yahoo,The Planet ‪ Interland, Peerlو ‪ Googleارسال و در آن به‌صراحت تاکید کرده که سرورها، داده‌ها، پست‌الکترونیکی و دیگر منابع، همگی اموال ایالات متحده محسوب می‌شوند و در همین راستا مدتی پس از ارسال این نامه، جعبه‌های سیاهی که دارای قفل و دوربین‌های نظارتی بودند، در این مرکز نصب شده و طی اطلاعیه‌ای هشدار داده شده بود که هیچ کس حق ندارد به این جعبه‌ها نزدیک شود و فقط ماموران ویژه مجاز به این کار هستند و در غیر این صورت، متخلفان مطابق قوانین جدید امنیت ملی - آمریکا - به حبس محکوم می‌شوند.

به اعتقاد مرکز پژوهش‌های مجلس منابع صاحب‌نظر عقیده دارند که این جعبه‌ها برای دریافت داده‌ها، ‪ IPو بسیاری اطلاعات مرتبط دیگر به کار گرفته شده‌اند و به استناد قانون میهن‌پرستی آمریکا مصوب نوامبر۲۰۰۱- یعنی یک ماه پس از واقعه یازدهم سپتامبر - که در سال ‪ ۲۰۰۵ نیز دوباره تایید شده است به مجریان قانون در ایالات متحده اجازه داده شده در راستای مبارزه با تروریسم، به حریم اشخاص، به‌ویژه ارتباطات الکترونیکی آن‌ها، تعرض کنند. گفتنی است گزارش پژوهش مجلس با یک سؤال به پایان رسیده است: «چگونه دستگاه‌های حکومتی ایران جرات می‌کنند در قلب این آمریکا و کشورهای هم‌پیمانش اطلاعات خود را نگهداری کنند». پرسشی که بارها مطرح شده اما تاکنون پاسخ شفافی به آن داده نشده است.
زیر تیغ نفس کشیدن

تهدید امنیت فعالیت سایت‌های ایرانی و ضرورت داشتن یک دیتا‌سنتر داخلی برای حفظ اطلاعات و امنیت آن‌ها دغدغه امروز نیست، چراکه قصه این ماجرا به سال‌ها قبل بازمی‌گردد. درست به 25 دی‌ماه سال 1383، وقتی ایمیلی از طرف یک شرکت آمریکایی با نام The planet به خبرگزاری ایسنا ارسال شد. در آن ایمیل آمده بود که به‌دلیل شرایط و قوانین موجود این خبرگزاری باید طی 48 ساعت سرور The planet را ترک کند. در این نامه قید شده بود این ایمیل یک دستور فوری محسوب می‌شود و به نوعی قابل برگشت یا مذاکره نیست.

این خبرگزاری در آن زمان چندین ایمیل به The planet ارسال کرد و خواستار اعلام دلیل این برخورد شد، اما تمامی نامه‌‌ها بی‌جواب ماند و عاقبت با اختلالاتی که در این خبرگزاری پیش آمد ماجرا به این‌جا ختم شد که ایسنا به شرکت Hostway کوچ کرد که دست بر قضا این شرکت هم آمریکایی بود. بعد از آن موج جدید از تحریم‌های اینترنتی علیه سایت‌های ایرانی در سال 84 آغاز شد. حداقل این موج باعث شد که دارندگان سایت‌ها بدانند که به چه دلیلی زیر تیغ قرار گرفته‌اند. بعد از آن بسیاری از این شرکت‌ها قوانینی را به مشتریانشان نشان دادند که اساسا خرید و فروش و هر نوع معامله‌ای را با شهروندان ایرانی منع می‌کرد.

به این ترتیب عملا کار از این مرحله هم فراتر رفت و اساسا فروش هر گونه فضای اینترنتی به ایرانیان ممنوع شد. هرچند در همان زمان و حتی هم‌اکنون نیز سایت‌های ایرانی را می‌توان یافت که روی سرورهای آمریکایی قرار دارند، اما طبیعی است که این کار یا با چشم‌پوشی طرف آمریکایی و یا پنهان از آن‌ها (مثلا با استفاده از کارت‌های اعتباری که نام و آدرس غیرایرانی دارند) به فعالیت مشغولند، اما کسی نمی‌تواند تضمین بدهد که این دسته از سرورها ناگهان اقدام به حذف سرور و یا سایت‌های ایرانی نکنند.

چنین موضوعی وضعیت خطرناکی را برای سایت‌های ایرانی ایجاد می‌کند به‌خصوص از آن جهت که معمولا خریداران ایرانی فضای اینترنتی اطلاعاتی در مورد چنین مواردی ندارند و اساسا بسیاری از آن‌ها حتی از شرکت میزبان وب در مورد محل سرور نیز پرسشی مطرح نمی‌کنند و به این‌گونه ناگهان مانند همان سال‌های نخست ایجاد مشکلات برای سایت‌های ایرانی، صاحبان این سایت‌ها حتی اجازه انتقال و گرفتن فایل پشتیبانی را نیز به مشتریان نمی‌دهند.
آنچنان که عنوان شد موج برخورد با سایت‌های ایرانی از سال 83 آغاز شد و این مسدودسازی‌ها به نوعی هشداری برای ایجاد محل امن برای سایت‌های ایرانی که عمدا سایت‌‌های دولتی و نظامی را دربر می‌گرفت شامل می‌شد که به فکر حفظ اطلاعات خود باشند، اطلاعاتی که به‌راحتی می‌توانست در اختیار بیگانگان قرار بگیرد. وقتی مسدود‌سازی خارجی چندان هشدار جدی به حساب نیامد. هکرهای وطنی دست به کار شدند تا آن‌جا که گروه هکر آشیانه طی اقدامی 250 سایت مهم ایرانی را مورد هدف قرار دادند. این گروه هکر در راستای کار خود اطلاعیه‌ای نیز صادر کردند. در بخشی از این اطلاعیه آمده بود: ما در طی سالیان گذشته بارها به مدیران سرورهای عزیز ایرانی گوشزد کردیم که به مقوله امنیت شبکه اهمیت دهند و حفره‌های امنیتی سرورهای مهم خود را از بین ببرند ولی بعضی از آن‌ها تا به وضوح مشاهده نکنند که سرورشان هک شده، به‌خود نیامده و به امنیت سرور خود اهمیت نمی‌دهند.

ما از دو سال پیش اعلام کردیم که دیگر سایت ایرانی هک نمی‌کنیم ولی متاسفانه بعضی از سرورهای مهم دولتی ایران که سایت‌های بزرگ دولتی - نظامی و سیاسی کشور روی آن‌ها قرار دارند هنوز مشکلات عمده‌ای از لحاظ Security و امنیت سرور دارند که متاسفانه به آن نیز اهمیتی از سوی مسؤولان داده نمی‌شود. ما به‌عنوان گروه کوچکی از دنیای امنیت شبکه بسیار نگران این موضوع بوده و هستیم و روزانه مشاهده می‌کنیم که تعداد زیادی از سایت‌های دولتی و مهم ایرانی توسط هکرهای ایرانی و خارجی دیگر هک میشوند که در بعضی از مواقع هکرهای خارجی با نوشتن شعارهایی علیه مردم ایران، دانش -اعتقادات ایرانیان را مسخره می‌کنند. به همین دلیل در پروژه‌ای تعداد زیادی از سایت‌های مهم و دولتی ایران را هک کردیم که شاید با این تذکر ما مسؤولان کشور به مقوله امنیت سرورهای مهم دولتی ایران بیشتر از گذشته اهمیت دهند.

ما صفحه اول و Index این سایت‌ها را تغییر ندادیم و هیچ خسارتی به اطلاعاتی که در این سرور و سایت‌های مهم بود وارد نکردیم و تنها فایلی با نام ash.htm که حاوی متن تذکر به مقوله امنیت شبکه هست را برای اثبات امنیت پایین سرورهای مهم دولتی ایران روی تمامی این سایت‌ها قرار دادیم. ما تا به‌حال هیچ کلمه عبور سروری را عوض نکردیم و حتی در ایمیلی که به مسؤولان سرورهای مورد نظر زدیم به این موضوع اشاره کردیم که اگر آن‌ها مایل باشند ما می‌توانیم به‌صورت رایگان باگ‌های سرورهای آن‌ها و دیگر سرورهای مهم دولتی ایران را از بین ببریم تا خدای نکرده توسط یک فرد خارجی هک نشود و یا اطلاعات مهم این سرورها توسط کسی از بین نرود که متاسفانه در بیشتر موارد به ایمیل‌های ما جوابی داده نشده است. هدف ما از این تذکر خیرخواهانه بوده و قصد آگاه کردن مسؤولان این سرور که مهم‌ترین سرور دولتی ایران است را از اهمیت مقوله امنیت شبکه داشتیم نه قصد تخریب یا خسارت. با این خبر مطمئن هستیم دیگر مدیرهای سرورهای ایرانی به امنیت سرور خود بیشتر از گذشته توجه می‌کنند.
غربت دیتاسنترهای وطنی

به گفته کارشناسان ایجاد دیتا‌سنتر ملی زیرساخت مهمی در راه‌اندازی دولت الکترونیکی است و تا زمانی که مستندات ملی ما در حافظه‌های بیگانه قرار گیرد بهتر است دولت الکترونیکی نداشته باشیم. اما داستان دیتاسنتر در کشور ما داستان پرفراز و نشیبی است. گفته می‌شود زمزمه‌ها برای داشتن یک دیتاسنتر در کشور از سال‌های 79 با پروژه شارع 2 آغاز شد و در اواخر سال 81 به منظور پاسخ‌گویى به نیاز Hosting در کشور آیین‌نامه IDC (Internet Data Center) در امور ارتباطات دیتاى مخابرات تدوین و مراحل نهایى تصویب خود را مى‌گذراند.

بعد از ماه‌ها سکوت و بی‌خبری در خصوص فعالیت در زمینه ایجاد دیتا‌سنتر در اواخر سال 83 خبری روی تلکس خبرگزاری‌ها در مورد اینکه حوزه علمیه قم نخستین دیتاسنتر ایران را راه‌اندازی کرده است به نوعی تعجب کارشناسان این حوزه را برانگیخت و چند روز بعد معاون فنی شورای عالی اطلاع‌رسانی در اظهارنظری در مورد وضعیت دیتاسنتر وطنی گفت، در حال حاضر ایجاد دیتاسنتر در کشور در حد یک پیشنهاد و طرح بوده و برای اجرای آن برنامه‌ای در نظر گرفته نشده است. اما همین معاون پس از چند روز در اظهارنظری دیگر از حمایت سازمانش از راه‌اندازی دیتاسنتر حوزه علمیه قم خبر داد و اواسط آذر سال 83 مدیرعامل آن زمان شرکت ارتباطات داده‌ها اعلام کرد شارع 2 تا یک ماه دیگر راه‌اندازی شده و به بهره‌برداری خواهد رسید.

هرچند طبق خبرهای موجود در آن زمان ماه‌ها از پایان آن وعده سپری می‌شد، اما خبری از طرح بهره‌برداری از شارع 2 به میان نبود. بالاخره با اما و اگر‌ها بسیار شارع 2 فعالیت خود را آغاز کرد. اما قیمت‌های بسیار بالای آن مانع از فراگیری آن شد ضمن اینکه این دیتاسنتر قرار بود تنها سایت‌‌های دولتی را تحت پوشش خود قرار دهد.
همان زمان در کنار شارع 2 مجوز راه‌اندازی تاسیس دیتاسنتر برای بخش خصوصی به مناقصه گذاشته شد و در این بین سه شرکت داده‌پردازی ایران و کنسرسیوم فن‌آوا- پتسا و پارس‌آنلاین موفق به کسب این مجوز شدند. این سه شرکت هر کدام مبلغ 5/1 میلیارد تومان ضمانت‌نامه اجرای طرح را به‌شکل تضمین در اختیار وزارت ارتباطات قرار داده تا طبق این ضمانت‌نامه موظف باشند طی چهار تا شش ماه مرکز دیتاسنتر را راه‌اندازی کنند.
عبدالمجید ریاضی معاون آی‌تی وزیر با بیان اینکه حضور برخی سایت‌های دولتی در دیتاسنترهای خارج از کشور خطرناک است افزود: یکى از مشکلات اصلى در رابطه با توسعه فناورى اطلاعات در کشور و توسعه کاربرى‌هاى مختلف عدم وجود دیتاسنتر است، به همین علت در این زمینه یک‌سرى آیین‌نامه تدوین و ابلاغ شده است که دیتاسنترهاى رسمى و مهندسى شده باید حداقل از چه استانداردهایى برخوردار باشند و این آیین‌نامه را اعلام کردیم و در همین زمینه در بخش خصوصى تعدادى متقاضى وجود داشته که در مرحله اول به سه شرکت پارس‌آنلاین، داده‌پردازى و کنسرسیوم فن‌آوا- پتسا مجوز ایجاد دیتاسنتر را داده‌ایم که این سه شرکت کار خود را آغاز کرده‌اند و کارشناسان ما از نزدیک فعالیت این شرکت‌ها را دنبال کرده‌اند که خوشبختانه پیشرفت کار بسیار مطلوب بوده تا آن‌جا که بعضى از این شرکت‌ها حتى اقدام به سرویس‌دهى کرده‌اند. اما در مورد شارع 2 باید بگویم این یک دیتاسنترى است که توسط بخش دولتى راه‌اندازى شده است و اولویت آن سرویس‌دهى به بخش دولتى است. ما با این کار سعى داریم بخش خصوصى را ترغیب کنیم که جلب ایجاد دیتاسنتر شوند.
به گفته کارشناسان هرچند این شرکت‌ها به تعهدات خود تا حدودی عمل کردند اما نبود استانداردهای لازم و امکانات مطمئن در دیتاسنترهای این شرکت‌ها سبب شد باز هم دیتاسنترهای وطنی با اقبال خوبی همراه نباشند و همچنان سرورهای آمریکایی به‌خاطر قیمت ارزان حتی در مقایسه با قیمت سرورهای اروپایی و کانادایی و کیفیت مناسب از محبوبیت بالایی برخوردار باشند.
در مورد مشکلات پیش رو در ایجاد دیتاسنتر، رضا باقری مدیرگروه فناوری‌های نوین پژوهشکده مجلس چنین اظهارنظر می‌کند: در اصل 44 اشاره‌ای به پهنای باند نشده است و با توجه به جایگاه شورای عالی فناوری اطلاعات و دبیر آن که معاون وزیر ارتباطات است، ممکن است نگاه انحصاری به مقوله آی‌تی و پهنای باند مطرح شود که ممنوعیت دریافت مستقیم از ماهواره توسط دانشگاه‌ها، ICPها و سایر مراکز ضرورت عدم انحصار در مقوله‌امنیت و کنترل را طبق ماده‌37 برنامه‌ توسعه‌چهارم در فناوری‌های نوین ایجاد می‌کند.
باقری در ادامه چنین می‌افزاید: از دیگر زیرساخت‌های ارتباطی نقطه‌ اتصال بین‌المللی بدون پشتیبان شرکت فناوری اطلاعات است که اگر تنها یک نقطه هم باشد، باید برای بخش خصوصی و دولتی قابلیت اطمینان داشته باشد تا تمام سیستم‌های خود را مبتنی بر اینترنت و روی شبکه‌دیتا قرار دهد. این در حالی است که ما 7/3 گیگابیت بر ثانیه پهنای باند داریم، در این‌جا این سؤال مطرح می‌شود که سرانه کاربران اینترنت چقدر است؟ این عدد با یک حساب سرانگشتی بالای 500 بیت برثانیه است که 50 بیت آن مربوط به سرانه‌مصرف اینترنت در کشور است. وی با طرح این سؤال که آیا با این 50 بیت بر ثانیه می‌توان سرویس ارایه داد، گفت: اگر پهنای باند به 5/12 گیگ و یا حتی اگر بر رقمی که در برنامه‌چهارم ذکر شده برسد، نمی‌توان مدیا و سرویس قابل اطمینانی ارایه داد.
باقری در پایان نبود تجربه، نبود پهنای باند مناسب و زیرساخت ارتباطی به همراه هزینه‌بالای راه‌اندازی اولیه را که طبق آنچه در سازمان تنظیم مقررات ذکر شده 12 تا 16 میلیارد تومان است، نمونه‌ای از چالش‌های موجود بر سر راه ایجاد دیتاسنتر نام برد.
به هرحال برای ایجاد یک دیتاسنتر عوامل مهمی دخیل هستند، از جمله آن‌ها پهنای باند مناسب و زیرساخت لازم و ضروری در کنار هزینه‌های سنگین و در عین حال برآورد کردن امنیت لازم و جلب مشتری است. در عین حال دقت به این نکته نیز ضروری است که گویا در ایجا دیتاسنتر نیز بر سر متولی‌گری آن اما و اگرهایی وجود دارد. تا آن‌جا که طبق تصمیم وزارت آی‌سی‌تی مجوز نصب و راه‌اندازی دیتاسنتر طبق مناقصه این وزارتخانه به سه شرکت واگذار شد، اما در همان زمان‌ها زمزمه‌هایی شنیده می‌شد که نشان می‌داد بخش دیگری از حاکمیت یعنی سازمان تبلیغات اسلامی و سازمان ثبت احوال کشور نیز بدون توجه به تصمیم وزارت آی‌سی‌تی اقدام به برگزاری مناقصه برای راه‌اندازی دیتاسنتر کرده‌اند که این خود خطر جدی برای بخش خصوصی محسوب می‌شود.
به عقیده عده‌ای ارگانی که باید ناظر بر هاست شدن وب‌سایت‌های دولتی در ایران باشد، دیوان محاسبات است که سایت این ناظر نیز در خارج از ایران قرار دارد و حتی هاست شرکت مادر مخابرات ایران هم خارجی است. با این اوضاع باید از مسؤولان پرسید آیا اصلا برای دولت اطلاعات ارزش محسوب می‌شود. رضا باقری در این زمینه می‌گوید: بحث مدیریت اطلاعات در کشور نه در اسناد قدیمی و نه در نظام جامع آی‌تی مرجع تصمیم‌گیری خاصی ندارد و علی‌رغم تاکیدی که قانون برنامه چهارم بر بحث اطلاعات دارد هنوز اطلاعات برای دولت سرمایه تلقی نمی‌شود و تنها قوانین موجود بر نگهداری اطلاعات قانون محاسبات عمومی است که اشاره می‌کند، اطلاعات مالی باید به‌مدت 15 سال نگهداری شود.
***

همواره مسؤولان مخابرات بر این باورند که هاست شدن سایت‌های دولتی در خارج به ضرر منافع کشور است چراکه این مسئله باعث می‌شود که اطلاعات همیشه و در هر لحظه در اختیار بیگانگان باشد. به همین علت پروژه دیتا‌سنتر ملی تبدیل به موضوعی شد که از چند سال قبل در دستور کار قرار گرفت. اما به مرور نشان داده شد که در واقع هنوز ما ظرفیت ایجاد دیتاسنتر با استانداردهای جهانی را نداریم، چراکه ایجاد دیتاسنتر نیاز به سرمایه‌گذاری و فراهم کردن زمینه‌های فعالیت برای یک بازار اقتصادی دارد که چنین کاری تاکنون صورت نگرفته است. قیمت‌های بالای شارع 2 نشان می‌دهد که حتی اگر دولت بخواهد در این زمینه مستقیم وارد عمل شود نمی‌تواند هزینه‌های خود دیتاسنتر را نیز تامین کند و باید شرایط فنی و حمایتی برای حضور بخش خصوصی در این زمینه ایجاد شود. موضوعی که تاکنون بسیار کند پیش رفته است تا آن‌جا که در دولت قبل پس از یک مناقصه تنها چند شرکت خصوصی مجوز ایجاد دیتاسنتر را دریافت کردند که طبق شنیده‌ها هنوز هیچ‌کدام به‌طور کامل افتتاح نشده‌اند و تنها پایلوتی از آن‌ها راه‌اندازی شده است. در چنین فضایی انتخاب میزبان برای صاحبان سایت‌ها گزینه‌ای جز میزبانان خارجی نیست.

احسان موحدیان - بزرگراه فناوری - یکی از واقعیات "ناراحت‌کننده" در مورد بخش IT در منطقه خاورمیانه آن است که این حوزه در زمینه به‌کارگیری جدیدترین فناوری‌ها حدود پنج سال عقب‌تر از آمریکا و اروپاست، اما یکی از واقعیات "تهدیدکننده" از دید کارشناسان مسایل اینترنت آن است که در این بخش از جهان به تهدیدات امنیتی اینترنتی توجه چندانی معطوف نمی‌شود و همین مسئله باعث شده که مردم خاورمیانه از این لحاظ بسیار آسیب‌پذیر باشند.

صاحب‌نظران می‌گویند اگر سازمان‌ها و نهادهای ارایه‌دهنده خدمات اینترنتی در خاورمیانه نسبت به نصب وصله‌های نرم‌افزاری و استفاده از شبکه‌های رایانه‌ای ایمن بی‌توجه بوده و بخواهند طی سال‌های آینده نیز همین روند را ادامه دهند، به‌طور قطع هزینه‌های سنگین و خسارات جبران‌ناپذیری را به شهروندان دولت‌های منطقه وارد خواهند کرد.

یکی از کابوس‌های همیشگی سازمان‌هایی که تمام یا بخشی از فعالیت‌های حرفه‌ای خود را به‌صورت آنلاین انجام می‌دهند، تهدیدات بالقوه مخرب حاصل از حملات Denial of Service است که به اختصار DOS نامیده می‌شود. سازمان‌های مختلف تجاری و دولتی در سراسر جهان همیشه با این حملات مواجه هستند. ناشناس ‌ماندن عامل حمله و غیرقابل پی‌گیری بودن دو مشخصه مهم حملات DOS است. حملات DOS منجر به از کارافتادن شبکه یک شرکت و سیستم‌های آن و حتی تهدید منابع مالی شرکت می‌شود.
رونق حملات DOS

اصل بنیادین حملات DOS از زمان آغاز آن- اولین روزهای شکل‌گیری اینترنت- به‌طور کامل تا به‌حال تغییر نکرده است. ارسال حجم بالایی از درخواست (Request) به شبکه و فلج‌ ‌کردن آن، رمز موفقیت این حملات است. در عوض قدرت تخریبی و دامنه این حملات روز به‌روز بیشتر افزایش می‌یابد. کارشناسان معتقدند که به‌خصوص در دو سال اخیر قدرت این حملات افزایش چشمگیری یافته، به گونه‌ای که می‌توانند کل پهنای باند یک شبکه را به‌راحتی اشغال کنند.

یک پژوهشگر مسایل امنیتی در خاورمیانه در این مورد می‌گوید: در سال 2004 این حملات دامنه‌ای بین 800 مگابیت تا یک گیگابیت داشتند که البته بسیار چشمگیر بود، اما امروزه حملات 10 گیگابیتی هم امری عادی و پیش پاافتاده به‌حساب می‌آید.

افزایش حملات این‌چنینی به کاروکاسبی برخی شرکت‌های امنیتی حسابی رونق بخشیده است. از جمله این شرکت‌ها می‌توان به Prolexic اشاره کرد که فعالیت گسترده‌ای در خاورمیانه عربی دارد. شرکت آمریکایی یاد شده خدمات "پاکسازی ترافیک" خود را به سازمان‌هایی ارایه می‌دهد که از حملات DOS به تنگ آمده‌اند. این شرکت از سه دیتاسنتر در سراسر جهان برخوردار است و قصد دارد از دو دیتاسنتر جدید خود در آینده نزدیک بهره‌برداری کند. این شرکت به ادعای مدیرانش توانایی مقابله و دفع ده‌ها گیگابیت ترافیک ساختگی حاصل از حملات DOS را دارد. متخصصان این شرکت در صورت عقد قرارداد با دیگر موسسات به‌طور دایم از آن در برابر حملات حفاظت می‌کنند و سیستم موسسه یاد شده را برای دفع حملات احتمالی همیشه به‌روز نگاه می‌دارند.

این رویکرد یکی از معضلات کلیدی امنیتی مرتبط با حملات DOS را حل می‌کند. طی یکی دو سال اخیر مهاجمان کار حمله به سیستم‌های مورد نظر را با استفاده از صدها یا هزاران رایانه تحت کنترل خود که توسط انواع کرم و برنامه‌های مخرب آلوده شده‌اند صورت می‌دهند. آنان از این طریق پهنای باند یک سازمان را به‌خود اختصاص می‌دهند و شبکه آن را از کار می‌اندازند.

کارشناسان محلی می‌گویند حملات این‌چنینی در مناطقی مانند خاورمیانه بسیار مشکل‌آفرین است، زیرا سطح پهنای باندی که در این منطقه وجود دارد در مقایسه با دیگر نقاط جهان بسیار پایین است و اگر پهنای باند یک سازمان هدف قرار گیرد، باید به‌سرعت برای مقابله با آن فکری کرد.

به گفته وی، یک راه‌حل فوری برای این مشکل استفاده از لینک‌های خاص اینترنتی برای خدمات متفاوت است. به‌عنوان مثال باید لینک‌های ایمیل، وب و... از هم جدا باشند تا اگر یکی از آن‌ها مورد حمله قرار گرفت، دیگری دست‌نخورده باقی بماند. با این حال در بسیاری از مواقع این حملات انجام شده و خسارت قابل توجهی به کاربران وارد می‌آید. در منطقه‌ای مانند خاورمیانه بهترین راه‌حل در چنین شرایطی مراجعه به تامین‌کننده پهنای باند- در اکثر موارد یک شرکت مخابراتی- است تا آنان ترافیک مزاحم را از سر راه بردارند. اما متاسفانه اکثر شرکت‌های مخابراتی در خاورمیانه و حتی در جهان رغبتی به ارایه چنین خدماتی ندارند، زیرا سرویس این‌چنینی فشار زیادی به سیستم‌های مخابراتی وارد کرده و خرج زیادی روی دستشان می‌گذارد.
مقابله با DOS

اگرچه در منطقه خاورمیانه خدمات مقابله با DOS ارایه نمی‌شود، اما تعدادی از موسسات مخابراتی برای شناسایی مهاجمان حاضر به همکاری هستند. از جمله شرکت‌های مخابراتی پیشرو در این زمینه در خاورمیانه اتصالات است که به‌طور مداوم اطلاعاتی در مورد ترتیب‌دهندگان حملات DOS جمع‌آوری کرده و آن‌ها را در اختیار مقامات مجاز می‌گذارد. بررسی‌های اتصالات نشان می‌دهد که حملات DOS صورت گرفته بر علیه هدفی در یک کشور معمولا از همان کشور نشات نگرفته‌اند و رایانه‌های به گروگان گرفته شده برای این کار هم معمولا در نقاط مختلف جهان پراکنده بوده‌اند.

صاحب‌نظران می‌گویند اگر گزارش حملات DOS به فاصله زمانی زیادی پس از وقوع آن‌ها صورت گیرد، ردگیری‌شان کار چندان ساده‌ای نخواهد بود و اطلاعات چندانی هم در این مورد به‌دست نخواهد آمد. آنان می‌گویند که حداکثر زمان قابل قبول برای گزارش این حملات 15 تا 20 دقیقه پس از وقوع آن‌هاست. در غیر این صورت اکثر سرنخ‌های قابل ردگیری دیگر در دسترس نخواهند بود.

به‌نظر می‌رسد یکی از روش‌های موثر مقابله با حملات DOS، به‌ویژه در مورد حملاتی که با سوء‌استفاده از حفره‌ها وآسیب‌پذیری‌های یک نرم‌افزار خاصی برنامه‌ریزی می‌شود، اتخاذ سیاست‌های موثر برای بررسی این نرم‌افزارها و آشنایی با نقاط ضعف و قوت آن‌ها باشد.

یک کارشناس در این مورد می‌گوید: به‌عنوان مثال هنگامی که می‌خواهیم چیزی را به‌صورت آنلاین میزبانی کنیم، باید ابتدا یک فرآیند ارزیابی امنیتی پشت‌سر گذارده شود که در قالب آن تیم امنیت اطلاعات قادر به ارزیابی کل برنامه‌های کاربردی مورد نیاز و خدمات ارایه شده خواهند بود. با این کار تمامی نقاط ضعف شناسایی شده و در مورد آن تصمیم‌گیری می‌شود. به هنگام برپایی یک سیستم email هم باید همین فرآیند به اجرا گذارده شود.

یکی از تحولات مهم حملات DOS در دو سال اخیر افزایش حملات هدفمند به سازمان‌های خاص است. همچنین ویروس‌ها، تروجان‌ها و کرم‌های مختلف هم با اهداف صرفا تخریبی طراحی نمی‌شوند، بلکه نگارش آن‌ها نیز هدفمند‌تر شده و هر کرم یا ویروس به منظور برآوردن یک هدف خاص منتشر می‌شود.

پاتریک هایاتی مدیر موسسه ضد ویروسی مک‌آفی در خاورمیانه می‌گوید: حمله اینترنتی به یک سازمان سه دلیل می‌تواند داشته باشد. دلیل اول انگیزه‌های مالی، باج‌گیری، تلاش یک شرکت رقیب برای از کارانداختن یک سرویس و انتقام‌گیری یک کارمند ناراضی یا اخراجی است، دلیل دوم این است که فردی یک کرم مخرب را طراحی کرده و آن را به‌طور تصادفی و برای آزمایش علیه شبکه‌ها و سیستم‌های مختلف آزمایش کند. اما در حالت سوم حمله هدفمند است و فردی تصمیم می‌گیرد به شبکه یک بانک یا سازمان حمله کند. این نوع حملات ممکن است انگیزه‌های مالی یا کینه‌توزانه داشته باشند.

وی می‌افزاید: اگرچه در گذشته اکثر حملات از نوع دوم بودند، اما امروزه حملات نوع سوم افزایش چشمگیری یافته‌اند. حملات سازمان‌یافته و متمرکز امروزه به یک هنجار مبدل شده‌اند. مهاجمان امروزه حتی به دقت شعبه بانک مورد نظر را برای حمله مشخص می‌کنند، خوشبختانه فناوری هم پیشرفت کرده و با بررسی می‌توان دریافت سیستم کدام سازمان از نقص بیشتری برخوردار است و احتمال حمله به کدام شعبه یک بانک بیشتر است.

در عین حال آمار دقیقی در مورد تعداد شرکت‌های مورد حمله و چگونگی حمله به آن‌ها در جهان وجود ندارد. در خاورمیانه و جهان اکثر شرکت‌ها تمایلی به افشای جزئیات مسایل امنیتی خود ندارند، البته هنوز در خاورمیانه حملات جدی و دامنه‌دار بر ضد موسسات مالی و دولتی بزرگ و شناخته شده صورت نگرفته، ولی این بدان معنا نیست که این بخش از جهان در برابر خرابکاری مهاجمان مصون است.

انور کتاب از مدیران سیسکو در خاورمیانه می‌گوید: هر سازمانی که به اینترنت متصل است، در معرض حمله است و در این‌جا فقط مسئله زمان حمله و چگونگی آن مطرح است. خوشبختانه حملات DOS جدی در خاورمیانه رخ نداده و اگر هم چنین تلاشی صورت گرفته با موفقیت همراه نبوده است. با این حال برخی حملات انجام شده تا بدان حد دردناک بوده که شرکت‌های آسیب‌دیده را مجبور به بازنگری در سیاست‌های امنیتی خود کرده است.

وی می‌افزاید: جدی‌ترین حملات موفق DOS در خاورمیانه مربوط به چند سرویس پست الکترونیکی عربی بوده که خوشبختانه به‌سرعت مهار شده و منجر به از دست رفتن اطلاعات کاربران نیز نشده است. البته برطرف کردن خسارات وارده به‌طور کامل چند روزی طول کشیده است. در این حملات کل سیستم به‌طور کامل از کار نیفتاده و تنها کارکرد سیستم email کند شده و به‌همین علت کاربران عادی متوجه مشکل نشده‌اند. پس از برطرف ‌کردن مشکلات، تمامی شرکت‌های ارایه‌دهنده این سرویس‌ها با شناسایی نقاط ضعف سیستم خود، تمهیدات جدید امنیتی را به‌کار گرفته‌اند.

اگرچه هنوز حملات DOS در خاورمیانه از وسعت و شدت چندانی برخوردار نیستند، اما کارشناسان هشدار می‌دهند که هم‌زمان با افزایش تعداد کاربران اینترنت در منطقه و ارایه سرویس‌های جدید همراه با پهنای باند بیشتر، توجه به مقوله امنیت در فضای مجازی هم اهمیت فوق‌العاده‌ای پیدا می‌کند.

به اعتقاد کارشناسان، اگر تا به‌حال تنها ترافیک وب در معرض خطر بود، از این پس باید به فکر برطرف‌ کردن نقاط ضعف فناوری‌های جدیدی مانند VoIP و IPTV هم باشیم که اندک اندک در خاورمیانه هم از جایگاه مناسبی برخوردار خواهند شد.

مرکز پژوهشهای مجلس شورای اسلامی نسبت به انواع کلاهبرداریها و سوء استفاده‌های ضدامنیتی، مالی و اخلاقی از اینترنت هشدار داد.

به گزارش روز دوشنبه دفتر اطلاع رسانی مرکز پژوهشها، گروه ارتباطات و فناوریهای نوین این مرکز در مورد انواع سوء‌استفاده از پیامهای اینترنتی تاکید کرده است که "بدون تردید از پیامهای اینترنتی سوء‌استفاده می‌شود." در این گزارش در عین حال خاطرنشان شده است که نمی‌توان با عدد و رقم میزان این سوء‌استفاده‌ها را مشخص کرد زیرا درصد استفاده یا سوء‌استفاده از آن بستگی به نوع پیام، محتوای آن و نیز کشور مورد نظر دارد.

مرکز پژوهشها اضافه کرد: به عنوان مثال برخی جرایم رایانه‌ای که در کل رقم بالایی دارند غالبا از طریق ایمیل، چت و پیام کوتاه صورت می‌گیرند که نمونه بارز آن کلاهبرداری اینترنتی است.

این نهاد وابسته به مجلس خاطرنشان کرد که در بانکداری الکترونیک و تجارت الکترونیک میزان سوء‌استفاده از ایمیل بسیار زیاد است و در عرصه پورنوگرافی (هرزه نگاری) نیز به روشهای مختلف جرم اینترنتی تحقق می‌یابد که از جمله می‌توان تولید، توزیع، نشر، خرید، فروش و امثال آنها را نام برد که مشتری به راحتی می‌تواند تصاویر، صوتها یا متن‌های مستهجن را دانلود (دریافت) کند.

مرکز پژوهشها برقراری امنیت اینترنتی را برای کشور ضروری دانست و افزود: اگر ضریب امنیت اینترنتی بالا باشد برخی جرایم کمتر رخ می‌دهند و اگر امنیت ضعیف یا در حد صفر باشد هر جرمی به کرات و به فور واقع می‌شود.

این گزارش می‌افزاید: در کشور ما نه تنها هیچ استاندارد امنیتی وجود ندارد بلکه بالاتر از آن هیچ تعهد امنیتی نیز وجود ندارد و در همین حال امضای قراردادها بدون رعایت استانداردها و مکانیزاسیون بدون توجه به ضرورتهای فنی و نکاتی از این قبیل صورت می‌گیرد.

"‪ISP‬ها، ‪ICP‬ها و امثال آنها مسوولیت قانونی اعم از کیفری و مدنی ندارند و در همین حال والدین نیز مجبور نشده‌اند که وقتی رایانه‌ای برای فرزندان خود می‌خرند پیش از آن نکات ایمنی و پیشگیری در سطح ابتدایی را فرا بگیرند."

در بخش دیگری از این گزارش آمده است: مدیران ادارات و سازمانها، نوعا افرادی را به عنوان مدیر انفورماتیک بر می‌گزینند که هیچ دوره رسمی و استاندارد امنیت اینترنتی را نگذرانده‌اند و در طراحی ساختمانهای اداری نیز کوچک‌ترین نکات ایمنی در زمینه پیشگیری از جرم اینترنتی رعایت نمی‌شود.

مرکز پژوهشها یادآور شد که اینترنت و دیگر ابزارهای الکترونیک به هیچ وجه منفی نیستند و می‌توانند برای کشور مفید واقع شوند کما اینکه کشور هند در زمان حاضر برابر با درآمد صدور نفت ایران از این طریق درآمد کسب می‌کند که تا چند سال دیگر این میزان حدود پنجن برابر درآمد حاصل از صدور نفت ایران خواهد شد زیرا امروزه تجارت الکترونیک و استفاده از روشهای نوین تجاری، سبب کاهش بیکاری و افزایش درآمد افراد و حتی درآمد ملی برخی از کشورها شده است.

گروه ارتباطات و فناوریهای نوین مرکز پژوهشها تصویب قوانین متعددی در ارتباط با فضای اینترنتی در کشور را ضروری دانست و افزود: در کشورهای پیشرفته به اندازه مجلدات قطع رحلی و قطور "دایره‌المعارف بریتانیکا" پیرامون فضای اینترنت قانون وجود دارد اما در کشور ما این میزان از پنج صفحه فراتر نمی‌رود.

" قانون ضد اسپم، قانون جرایم رایانه‌ای (در دست بررسی کمیسیون قضایی) قانون رقابتهای غیرمنصفانه، قانون حمایت ‪ online‬از کودکان و قانون مسوولیت ‪ISP‬ها، نمونه‌ای از قوانین مورد نیاز در این بخش هستند و در کنار این قوانین باید استانداردهای موجود در سطح دنیا رعایت و تصویب شوند." در این گزارش بر ضرورت تصویب حداقل مقررات و استانداردهای امنیت اینترنتی در مجلس و الزام دستگاههای اجرایی به رعایت آنها، تاکید شده است.

نخستین آمار از جرایم رایانه‌ای ایران

دوشنبه, ۱۰ مهر ۱۳۸۵، ۱۰:۲۳ ب.ظ | ۱ نظر

غزال صادقی - بزرگراه فناوری - هم‌زمان با ورود به هزاره دوم، انسان همچنان شاهد جرم و جنایت‌های بی‌شماری است که اگرچه از نظر ماهوی دچار تغییر نشده است اما از نظر استفاده از ابزارها، تغییرات شگرفی را به‌خود دیده است. انسان امروزی همچنان دزدی می‌کند، آدم می‌کشد و به مال و حریم دیگران تجاوز می‌کند. شاید دیروز یک داس یا یک چوب و یا یک خنجر، ابزار تجاوز و یا دزدی و باج‌خواهی از اموال دیگران بود، اما امروز با فشار دادن یک کلید و وارد کردن چند عدد، می‌شود به حریم دیگران تجاوز و یا به مال او دست‌اندازی کرد. حوزه جرایم در زندگی امروز بشر آن قدر پیچیده شده است که قانون‌گذاران مجبورند تحولات جرم را به‌صورت مداوم زیر نظر داشته باشند.

این معضل با سرعت ملایم‌تری در ایران رو به گسترش است و به قانون‌گذار و پلیس کشور اجازه می‌دهد که هم‌زمان با گسترش فرهنگ اینترنت در کشور، راهکارهای مقابله با جرایم قابل ارتکاب در این حوزه را تدوین کند. در نیروی انتظامی جمهوری اسلامی ایران و پس از اصلاح ساختار معاونت کشف جرایم، اداره کل مبارزه با جرایم خاص و رایانه‌ای از سال 1381 آغاز به‌کار کرده است. این اداره ماموریت طراحی و برنامه‌ریزی، هماهنگی و هدایت امور مربوط به کشف جرایم در زمینه مبارزه با جعل، کلاهبرداری، اختلاس و جرایم رایانه‌ای را برعهده دارد.

در گفت‌وگوی زیر که با سرهنگ مهرداد امیدی مدیرکل مبارزه با جرایم خاص و رایانه‌ای ناجا، انجام شده است، موضوع کشف جرم در فضای اینترنت و رایانه مورد بحث و بررسی قرار گرفته است.
به‌طور طبیعی، نخستین پرسش باید در مورد تعریف جرایم اینترنتی باشد. به‌عنوان مدیرکل مبارزه با جرایم خاص و رایانه‌ای نیروی انتظامی چه تعریفی از جرم رایانه‌ای دارید؟

در مورد جرم رایانه‌ای تعریف‌های زیادی ارایه شده است. از نظر سازمان ملل متحد جرم رایانه‌ای می‌تواند شامل فعالیت‌های مجرمانه‌ای باشد که ماهیتی سنتی دارند اما از طریق ابزارهای مدرنی مثل رایانه و اینترنت صورت می‌پذیرند. از طرف دیگر متخصصان سازمان OECD معتقدند سوءاستفاده از رایانه، هر نوع رفتار غیرقانونی، غیراخلاقی و غیرمجاز مربوط به پردازش خودکار و انتقال داده‌ها جرم اینترنتی محسوب می‌شود. در هر صورت ماهیت جرم تفاوتی ندارد و این ابزار است که وقوع جرم را در بستری جدید فراهم می‌کند. در مورد تعریف جرم رایانه‌ای در ایران اختلاف نظر وجود دارد و کارشناسان قضایی و انتظامی تعریف‌های گوناگونی در مورد آن ارایه داده‌اند. اما در مجموع فضای قضایی و انتظامی کشور به آن سمت پیش می‌رود که یک تعریف یکسان در مورد جرم رایانه‌ای و مجازات‌های برخورد با آن ارایه شود.
اما پیش از آنکه بخواهیم در مورد جرایم رایانه‌ای بحث کنیم، باید وارد حوزه "جرایم سایبر" شویم. جرایم در فضای سایبر یا فضای سایبری به‌واسطه تغییرات سریع فناوری اطلاعات در قلمرو سیستم‌های رایانه‌ای و مخابرات امکان وقوع می‌یابند. در این‌گونه جرم‌ها، تاکید بر رایانه نیست بلکه رایانه وسیله‌ای است که ابزار وقوع جرم قرار می‌گیرد.
نسل سوم جرایم رایانه‌ای؟

بله، به آن نسل سوم جرایم رایانه‌ای می‌گویند.
در مجموع چند نوع جرم در حوزه رایانه و اینترنت تعریف شده است؟

مطابق تعریف سازمان ملل متحد از جرم رایانه‌ای، کلاهبرداری رایانه‌ای، جعل، ایجاد خسارت یا تغییر داده‌ها، دست‌یابی غیرمجاز به سیستم‌ها و خدمات رایانه‌ای و تکثیر غیرمجاز برنامه‌های رایانه‌ای جزء جرایم شناخته شده در حوزه رایانه محسوب می‌شوند.
جناب سرهنگ درحال حاضر وضعیت ایران از نظر وقوع جرایم رایانه‌ای چگونه است؟

با تکیه بر اینکه در کشور ما هنوز آیین‌نامه‌ای برای مبارزه با جرایم اینترنتی و رایانه‌ای تدوین نشده است، باید بگویم که میزان کشفیات جرایم رایانه‌ای در سال گذشته، معادل 50 درصد پرونده‌های ورودی بوده است یعنی از کل پرونده‌هایی که در زمینه جرایم رایانه‌ای به ثبت رسید، 50 درصد منجر به کشف جرم شد و پیش‌بینی من این است که این روند باز هم بهبود پیدا کند. در همین زمینه باید بگویم که در طول زمان مشخصی از فصل بهار، میزان کشف جعل با5/73 درصد و کشف کلاهبرداری با 78 درصد رشد مواجه شد. بنابراین پیش‌بینی ناجا این است که هم‌زمان با تدوین قوانین و آیین‌نامه‌های مربوط به جرایم رایانه‌ای و اینترنتی، رقم کشف جرم در مجموع با افزایش قابل ملاحظه‌ای همراه شود.
با وجود خلاء قانونی، نحوه برخورد ناجا با مجرمان رایانه‌ای چگونه است؟

نیروی انتظامی، با آن دسته از جرایم رایانه‌ای که منجر به خسارت شود و با قوانین موجود نیز تطابق داشته باشد، به‌طور قطع برخورد جدی خواهد کرد. مسایلی مثل ایجاد مزاحمت و هتک‌حرمت از آن دسته موضوعاتی هستند که ناجا نسبت به آن حساس است. اما جرایم دیگری مثل نفوذ غیرمجاز در اینترنت که بحث تازه‌ای است، با این عنوان که در جریان وقوع جرم، خسارت وارد آمده است، در دسته جرایم مربوط به ایجاد خسارت و تخریب و یا مصادیقی از این دست قرار می‌گیرد و ناجا با این جرایم با تمام توان مقابله خواهد کرد. اما مصادیق دیگری از جرایم رایانه‌ای وجود دارد که ناجا برای برخورد با آن، نیاز به قوانین جدید دارد.
ناجا، برای پر کردن خلاء قانون چه کرده است؟

لایحه‌ای تدوین کرده‌ایم با عنوان "آیین‌نامه رسیدگی به جرایم اینترنتی"، قرار است این لایحه به مجلس ارایه شود. در این آیین‌نامه به‌طور جامعی، روی جرایم اینترنتی و رایانه‌ای کار کرده‌ایم و تصویب آن به‌طور قطع بر کشف جرم در این حوزه تاثیر زیادی خواهد گذاشت.
جناب سرهنگ، سهم جرایم رایانه‌ای از کل جرایم کشور، چه‌قدر است؟

خیلی ناچیز است، به‌طور مثال سال گذشته، 53 پرونده با شکایت بخش خصوصی در حوزه جرایم رایانه‌ای تشکیل شد که 22 مورد آن به سوءاستفاده از کارت‌های اعتباری مربوط بود. در همین مدت همکاران ما، 11 پرونده در مورد کلاهبرداری اینترنتی تشکیل داده‌اند. هفت پرونده هم در مورد ایجاد مزاحمت اینترنتی تشکیل شد و سه پرونده هم در مورد رعایت نشدن حقوق کپی‌رایت بوده است. البته دو مورد انتشار اکاذیب در اینترنت داشته‌ایم و پنج مورد نیز شامل موارد متفرقه بوده است.
در مورد کارت‌های اعتباری چه نوع جرایمی می‌توان متصور شد؟

تعریف جرم کارت‌های اعتباری خیلی پیچیده نیست. هرگاه شخصی بدون اینکه دارنده کارت اعتباری اطلاع داشته باشد، از اعتبار کارت او استفاده کند، جرم صورت گرفته است. تعریف مشخصی که از این‌گونه جرایم وجود دارد، به ما می‌گوید که چنانچه شخصی اقدام به اخذ اموال یا خدماتی کند، با اطلاع از اینکه کارت قلابی یا دزدیده شده است و یا کارت باطل شده است و یا به‌ هر دلیلی که استفاده آن شخص از کارت اعتباری شخص دیگری، غیرمجاز باشد جرم صورت می‌گیرد.
درحال حاضر قانون خاصی برای مقابله با این جرایم وجود دارد؟

به‌طور واقعی اگر بخواهیم قضاوت کنیم، در این زمینه با خلاء قانون مواجه هستیم اما بخشی از قوانین، در قانون مربوط به تجارت الکترونیکی پیش‌بینی نشده است. همان‌طور که اشاره کردم، بخش عمده‌ای از کمبود قوانین مبارزه با این‌گونه جرایم، در قالب آیین‌نامه‌ای که قرار است به مجلس ارایه شود، پیش‌بینی شده است.
در مورد تجارت ‌الکترونیکی و قوانین مربوط به جرایم این حوزه، چه اقداماتی توسط ناجا صورت گرفته است؟

در قانون تجارت‌ الکترونیکی، مواردی وجود دارد که به‌طور قطع فصل‌الخطاب ناجا قرار خواهد گرفت. بحث این است که در قانون تجارت ‌الکترونیکی در مورد مسایلی همچون امضای الکترونیکی قرار است مراکزی راه‌اندازی شود که وزارت بازرگانی در تلاش برای راه‌اندازی این مراکز است. در کنار این موضوع، توجه به بانکداری الکترونیکی هم در دستور کار بانک مرکزی و نهادهای اقتصادی قرار دارد. از دید نیروی انتظامی، حرکت به سمت بانکداری الکترونیکی می‌تواند به‌میزان قابل ملاحظه‌ای از حجم جرایم مالی کم کند.
درحال حاضر تلاش نیروی انتظامی این است که هم‌زمان با حرکت بازار مالی به‌سمت بانکداری الکترونیکی، مقدمات مبارزه با جرایم قابل ارتکاب در این حوزه را فراهم کند. به‌طور قطع مبارزه با جعل رایانه‌ای که در حوزه امضای الکترونیکی وجود دارد، در دستور کار نیروی انتظامی قرار دارد و به‌زودی راه‌های مبارزه با آن تدوین خواهد شد.
در مورد امضای الکترونیکی و راه‌های مبارزه با جعل آن در نیروی انتظامی چه اقداماتی صورت گرفته است؟

امضای الکترونیکی، پدیده جدید و تازه‌ای است که پیچیدگی‌های خاص خود را دارد. با این تعریف که داده‌های الکترونیکی که به یک پیام ‌الکترونیکی الصاق می‌شود و از طریق آن امکان شناسایی امضا‌کننده پیام و تایید او وجود دارد، می‌توان به دو کارکرد مهم و عمده اشاره کرد. شناسایی امضا، موضوع مهمی است که باید به آن توجه داشت و دیگر اینکه امضای الکترونیکی به‌صورت عنصر معنوی سند الکترونیکی باید مورد توجه قرار گیرد. در همین زمینه، در قانون تجارت الکترونیکی ایران، هر نوع علامت منضم شده یا به نحوی متصل شده به داده پیام که برای شناسایی امضاکننده داده پیام مورد استفاده قرار گیرد، امضای الکترونیکی نام دارد.
با توجه به این تعریف، دو نوع امضای الکترونیکی ارایه شده است. اول امضای مبتنی بر رمزنگاری و دیگری امضای غیرمبتنی بر رمزنگاری، با تکیه بر همین تکنیک‌ها، قابلیت شناسایی امضای الکترونیکی وجود دارد و نیروی انتظامی در همین راستا به تدوین راهکارهای مبارزه با جرایم قابل ارتکاب اقدام کرده است.
فکر می‌کنید حرکت به سمت الکترونیکی شدن تجارت در ایران، چه تاثیری بر کاهش میزان جرایم اقتصادی در کشور داشته باشد؟

به اعتقاد من تاثیر بسیار زیادی در کاهش جرایم اقتصادی خواهد داشت. البته من معتقدم حرکت به سمت بانکداری الکترونیکی از تجارت الکترونیکی مهم‌تر است و در کاهش میزان جرایم اقتصادی تاثیر بیشتری دارد. داشتن سیستم جامع بانکداری الکترونیکی می‌تواند در کاهش میزان پول‌شویی و ورود پول‌های کثیف به اقتصاد کشور تاثیرگذار باشد. گذشته از آن بانکداری الکترونیکی می‌تواند میزان فرارهای مالیاتی، جعل اسناد بانکی و سرقت پول را به حداقل برساند. بنابراین فکر می‌کنم اگر زودتر از تجارت الکترونیکی، به فکر بانکداری الکترونیکی باشیم، نتیجه بهتری خواهیم گرفت.
در مورد نفوذ به شبکه و به اصطلاح هک‌ کردن سیستم چه توضیحی دارید؟ آیا هک کردن در ایران جرم است؟

هر گونه حمله به سیستم‌های رایانه‌ای که با هدف محروم کردن افراد از دسترسی صحیح و مستمر به سیستم‌های رایانه‌ای صورت گیرد، جرم محسوب می‌شود. درحال حاضر نیروی انتظامی و قوه قضاییه با توجه به اینکه برخی حمله‌ها به ایجاد خسارت و یا ایجاد مزاحمت منجر می‌شود، می‌تواند با شکایت افراد موضوع را پی‌گیری کند. نیروی انتظامی به‌طور قطع برنامه‌های گسترده‌ای برای مبارزه با این‌گونه جرایم دارد که بخشی از آن در آیین‌نامه رسیدگی به جرایم رایانه‌ای پیش‌بینی شده است.
آیا در مورد هک‌ کردن دیدگاه واحدی وجود دارد؟

این موضوع در میان متخصصان حقوقی و فنی تعریف مشخصی ندارد.

برخی کارشناسان معتقدند هر نوع حمله به سیستم‌های ایمن، در قالب تعریف هک ‌کردن می‌گنجد و برخی دیگر معتقدند نفوذیابی یا نفوذگری بهترین تعریف برای هک‌ کردن است. همین چالش‌ها در ایران نیز وجود دارد.
به‌عنوان آخرین سوال بگویید که نحوه همکاری پلیس ایران با پلیس بین‌الملل برای کشف جرایم رایانه‌ای چگونه است؟

درحال حاضر سامانه ارتباط جهانی اینترپل به‌عنوان پل ‌ارتباطی پلیس کشورها نقش عمده‌ای در داد‌وستد اطلاعات پلیسی دارد. این سامانه در مدت فعالیت خود توانسته است نقش عمده‌ای در افزایش همکاری میان پلیس کشورها داشته باشد. در حقیقت استفاده از اینترنت و رایانه باعث شده است که پلیس‌ها در همه جای دنیا با سرعت زیاد به اطلاعات مربوط به جنایتکاران، سوابق و به‌طور کل اطلاعات مورد نیاز خود دسترسی پیدا کنند.
نحوه همکاری پلیس ایران با پلیس بین‌المللی هم بر مبنای برخورد با جرایم و کمک به شناسایی جرم و جنایت در دنیا تنظیم شده است.
اما در شرایط کنونی و با توجه به افزایش جرایم اینترنتی در کشورهای اطراف ایران، نیروی انتظامی در صدد گسترش همکاری با پلیس بین‌الملل است و در این راستا قصد دارد برنامه‌ریزی جامعی برای بالا بردن سطح کارایی پلیس ایران برای پیشگیری و مقابله با جرایم رایانه‌ای داشته باشد.
در مجموع این وعده را می‌دهم که با توجه به تلاش گسترده همکاران ما و تاکید فرماندهی ناجا، به‌زودی شاهد تجهیز و برنامه‌ریزی گسترده نیروی انتظامی برای مقابله با جرایم رایانه‌ای باشید.

امنیت الکترونیکی را به خانه‌ها می بریم

دوشنبه, ۱۰ مهر ۱۳۸۵، ۱۰:۱۴ ب.ظ | ۰ نظر

سید میثم لطفی - بزرگراه فناوری - اگرچه تا چند سال پیش ادارات و سازمان‌های قدیمی و باسابقه کمتر به سراغ استفاده از کامپیوتر‌ها و دستاوردهای نوین فناوری می‌رفتند و در بیشتر مواقع ترجیح می‌دادند که از ابزارهای سنتی استفاده کنند، امروز فناوری ارتباطات و اطلاعات حرف اول را در بیشتر سازمان‌های کوچک و بزرگ در سراسر جهان می‌زند.

شرکت‌هایی که امروزه به بقا و ماندگاری خود فکر می‌کنند و در تلاشند رقابت بیشتری را با مراکز همسان خود انجام دهند مجبورند آخرین یافته‌های فناورانه را به‌کار بندند و به این وسیله خدمات متنوع‌تر و گرانبهاتری را به‌دست مصرف‌کنندگان برسانند. نشریه eGovMonitor برای آنکه میزان خدمت‌رسانی شرکت‌های مختلف جهانی به مردم با استفاده از فناوری ارتباطات و اطلاعات را بیش از پیش نمایان کند به‌تازگی گفت‌وگویی با کلیر هامون(Claire Hamon) انجام داده است. هامون درحال حاضر مدیریت دفتر اطلاعات وابسته به مرکز خدمات پیگردهای قانونی بریتانیا را برعهده دارد و در این مصاحبه سعی کرده تا نشان دهد که سازمان‌ها چگونه می‌توانند با کنترل فناوری اطلاعات تولیدات و خدمات خود را به بهترین صورت ممکن به‌دست مردم برسانند که در زیر بخش‌هایی از این مصاحبه را مرور می‌کنیم.
به‌عنوان نخستین سوال، می‌توانید توضیح کوتاهی در مورد نقش خود به‌عنوان مدیر دفتر اطلاعات وابسته به مرکز خدمات پیگردهای قانونی بریتانیا بدهید؟
سمتی که من در آن قرار گرفته‌ام طوری طراحی شده که براین اساس باید 100 کارشناس را که در بخش عرضه خدمات فناوری ارتباطات و اطلاعات فعالیت‌ می‌کنند به‌طور مستمر زیرنظر بگیرم و با آن‌ها در ارتباط باشم. نقش من به‌عنوان مسؤول سیستم‌های اطلاعاتی بازرگانی در مرکز فناوری ارتباطات و اطلاعات وابسته به مرکز پیگردهای قانونی دولت مرکزی بریتانیا تعریف شده و بر این اساس مجبورم تمام فعالیت‌هایی را که در حیطه ICT انجام می‌شود، زیر نظر بگیرم. اعضای گروه من وظیفه دارند که به صورت شبانه‌روزی مراکز ارایه خدمات اینترنتی را کنترل کنند و با آن‌ها در تماس باشند و همچنین به کمک‌ ابزارهای فناوری ارتباطات و اطلاعات، با هشت هزار کارمند اداره پیگردهای قانونی بریتانیا که در انگلستان و ولز پراکنده شده‌اند در ارتباط باشند.
علاوه براین، من در بخشی فعالیت می‌کنم که ارتباط سازمانمان را با دنیای بیرون برقرار می‌سازد. این ارتباط نه‌تنها با شرکت‌ها و سازمان‌های خصوصی، بلکه با مراکز دولتی و ملی نیز برقرار می‌شود تا بتوانیم اطلاعات مورد نیاز خود را از همه بخش‌ها به‌دست آوریم. در دولت مرکزی بریتانیا شورایی با نام "شورای پی‌گیری‌های قانونی" تاسیس شده که با شرکت در آن می‌توانیم دریابیم که طرح‌های دولتی و بزرگ برای توسعه فناوری ارتباطات و اطلاعات تا چه اندازه موفق بوده است. ما همچنین در سازمان خود طرحی را عرضه کرده‌ایم که eSkills نام گرفته و بر این اساس ضمن شناسایی نیازهای کاربران و کارمندان، به ما امکان می‌دهد با برگزاری کلاس‌ها و دوره‌های آموزشی مختلف بتوانیم به این نیازها پاسخ دهیم و سطح فناوری ارتباطات و اطلاعات را در تمامی نقاط بریتانیا بالا آوریم.
درحال حاضر دولت دریافته که فناوری ارتباطات و اطلاعات به‌عنوان اصلی‌ترین عامل در انتقال کالا و خدمات به مصرف‌کنندگان محسوب می‌شود. آیا شما می‌توانید توضیحی کوتاه در مورد فعالیت‌های سازمان خود برای رشد صنعت ICT بدهید؟
دفتر اطلاعات وابسته به مرکز خدمات پیگردهای قانونی بریتانیا استراتژی‌هایی را برای خود در نظر گرفته که به کمک آن شبکه تولید، عرضه و خدمات کالاهای مختلف را زیر نظر می‌گیرد و با کمک فناوری ارتباطات و اطلاعات باعث می‌شود تا این کالاها با کیفیتی مناسب و در سطحی گسترده به‌دست همه مردم برسد. باید اعتراف کنیم که فناوری ارتباطات و اطلاعات در سال‌های اخیر موفق شده تاثیری مستقیم و چشمگیر در عرضه خدمات به مشتریان برجای بگذارد. ما برای آنکه بتوانیم موفقیت خود در آینده را تضمین کنیم شش استراتژی مجزا و کامل تبیین کرده‌ایم که شامل توسعه مدیریتی، افزایش استفاده از فناوری برای بالا بردن میزان انعطاف‌پذیری فعالیت‌های مختلف، توسعه و ارتقای قابل ‌ملاحظه بخش‌های اصلی و اساسی سازمان، افزایش کیفیت و در دسترس بودن مدیریت اطلاعات در عرضه خدمات، افزایش توانایی‌های خود برای مدیریت اطلاعات و تبدیل اطلاعات به ابزاری برای استفاده در بخش‌های مختلف زندگی می‌شود. این ابزارها باعث می‌شوند تا ما بتوانیم استفاده‌های بیشتری از مراکز آموزشی سازمان خود برده و کارایی سیستم عدالت جنایی را در این مرکز بالا ببریم تا بازده در مراکز دولتی افزایش یابد. این استراتژی‌ها می‌تواند میزان کارایی و اثربخشی ما را افزایشی قابل‌ ملاحظه دهد.
آیا می‌توانید چند نمونه از پروژه‌های فناوری اطلاعات که در مرکز شما به آن پرداخته شده را برای ما مثال بزنید؟ این پروژه ها تا چه اندازه موفق بوده‌اند؟
یکی از مهم‌ترین پروژه‌های فناورانه‌ای که ما در این مرکز انجام داده‌ایم طرح سیستم مدیریتی COMPASS بوده که از سال 2003 میلادی آغاز شده که سازمان ما توانسته مدیریت پیگردهای جنایی خود را به کمک این طرح انجام دهد و موفقیت‌های فراوانی را نسبت به گذشته به‌‌دست آورد. این طرح عظیم و بزرگ موجب شده تا ما بتوانیم در زمان مناسب اطلاعات مورد نیاز خود را به‌دست آورده و آن‌ها را برای فعالیت‌های خود به‌کار بریم. در این سیستم که CMS نام‌گذاری شده تاکنون بیش از سه میلیون مورد پی‌گیری شده که بیشتر آن‌ها با موفقیت به پایان رسیده است. علاوه بر این، به‌تازگی سیستم WMS نیز که به‌عنوان پشتوانه CMS محسوب می‌شود راه‌اندازی شده که باعث می‌شود احتمال موفقیت‌های ما در زمینه‌های مختلف افزایش یابد.
مرکز ما درحال حاضر به‌قدری توسعه یافته که به‌صورت مستمر به هشت هزار نفر خدمات می‌دهد. درحالی که بخشی از این افراد در سازمان‌های وابسته به ما فعالیت‌ می‌کنند، بخش دیگر در ادارات پلیس و مراکز اطلاع‌رسانی وابسته به آن بهره می‌برند. سیستم CMS اطلاعات تمام سارقان و متخلفان را در خود جای داده تا به هنگام نیاز ماموران امنیتی و پلیس بتوانند از آن‌ها استفاده کنند، با زیر پوشش قرار دادن دادگاه‌ها به آن‌ها کمک می‌کند تا بتوانند در مواقع مختلف بهترین تصمیم را با توجه به اطلاعات به ثبت رسیده اتخاذ کنند. سیستم CMS تاکنون در بیش از 750 مرکز در انگلستان و ولز راه‌اندازی شده و احتمال می‌دهیم که در آینده نزدیک این رقم تا چند برابر افزایش یابد. تجربه ثابت کرده، هر جا این سیستم مورد استفاده قرار گرفته درصد خطا و اشتباه کارمندان ما به میزان زیادی کاهش یافته است.
برای تغییر آسان‌تر و بهتر روش‌های مدیریتی که بتواند نتایج بهتری را در پی داشته باشد چه روش‌هایی را مناسب می‌بینید؟
به‌طور کلی تغییر سیستم‌های مدیریتی از جمله روش‌هایی است که به کمک آن یک سازمان می‌‌تواند بقای خود را تضمین کند. ما براساس این اصل می‌کوشیم سیستم‌های قضایی خود را به‌روز کنیم و از این طریق بتوانیم اطلاعات مورد نیاز را در بهترین زمان ممکن به‌کار بریم. پیشنهادات و انتقاداتی که مردم همواره به ما انتقال می‌دهند از جمله مواردی است که همواره برای ما مفید محسوب شده و توانسته بر روی سیستم‌های الکترونیکی ما تاثیر بگذارد. این تغییرات می‌تواند از تفاوت‌های بزرگ که به تغییر فرهنگ منتهی می‌شود گرفته تا تغییر سیستم‌های کوچک مدیریتی را شامل شود.

کارشناسان ما بر پایه نتایج حاصل از مطالعاتی که در این زمینه انجام داده‌اند دریافته‌اند، این تغییرات که برخی از آن‌ها در ظاهر بسیار کوچک به‌نظر می‌رسند اساس رشد و توسعه فناوری ارتباطات و اطلاعات را فراهم می‌آورند. باید توجه داشته باشیم که مبادلات و خدمات امنیتی به برکت فناوری‌های نوین اطلاعاتی امروزه پیشرفته‌تر و کامل‌تر از گذشته شده است، به‌طوری که ادغام بازارهای جهانی به‌وسیله فناوری‌های ارتباطی امکان‌پذیر شده است. امروزه سازمان ملل به‌جای اینکه ارزش یک کشور را از روی توسعه صنعتی آن ارزش‌یابی کند، به ارزش اطلاعاتی آن یا Knowledge Base Economy رجوع می‌کند که چقدر اطلاعات در این جامعه درحال گسترش است و سرعت گسترش آن چه میزان است و یا اینکه چقدر توسعه اطلاعات، سالم و دقیق است و این امر باعث می‌شود که دامنه اقتصاد جهانی توسعه پیدا کند.
شما فکر می‌کنید که ظرف چند سال آینده چه تغییرات اساسی در این زمینه ایجاد می‌شود و استراتژی‌های شما برای موفقیت‌ هرچه بیشتر این تغییرات چیست؟
ابتکار و خلاقیت ابزاری است که همواره توانسته به توسعه فناوری ارتباطات و اطلاعات کمک کند. ما همواره با این توسعه‌ها و پیشرفت‌ها مواجه هستیم و برای آنکه بتوانیم سیستم‌های قضایی، امنیت، عدالت و ... را همواره به‌روز نگه‌داریم مجبوریم از این فناوری‌ها استفاده کنیم. این پیشرفت‌ها موجب شده تا در ابزارهای قابل حمل ما که برای ماموران امنیتی مورد استفاده قرار می‌گیرد تغییرات فراوانی حاصل شود.

یکی از راه‌های اصلی پیشرفت در زمینه قضایی و امنیتی خدمت در یک یا چند پست سخت و دشوار است. این چنین پست‌هایی، پست‌های خطرناک و ضروری در مناطقی است که اغلب حکومت‌های ضعیف دارند و تلاش می‌کنند امنیت به‌وجود آورند، توسعه یابند و هرچه بیشتر امنیت الکترونیکی ایجاد کنند. اکنون تحت حکم جدید امنیت ملی، قدرت و اختیارات وسیعی به‌دست آمده است. به‌تازگی قانونی به مرحله اجرا درآمده که طی آن تا مبلغ زیادی از بودجه وزارت دفاع به مناطقی که درگیری در آن‌ها به پایان رسیده، منتقل می‌شود. مشاوران امنیتی برای نیروهای ارتش که به‌عنوان مشاوران سیاسی و دیپلماتیک برای فرماندهان ارتش عمل می‌کنند، به همراه آن‌ها اعزام شده و تجربیات منطقه‌ای و دیپلماتیک خود را در اختیار آن‌ها قرار می‌‌دهند.
به‌عنوان سؤال آخر، شما برای آن دسته از افراد و مراکزی که می‌خواهند فعالیتی مشابه را انجام دهند چه پیشنهادی دارید؟
در سال 2005 حداقل 130 گزارش مبنی بر سرقت اطلاعات شخصی کاربران اینترنتی از کشور آمریکا به‌دست شرکت‌های امنیتی رسیده است. در این سال تقریبا 55 میلیون آمریکایی مورد هدف سارقان کارت‌های شناسایی و اطلاعات سری قرار گرفته‌اند. در سال 2004 اداره آمار اینترنتی اعلام کرد: میزان جرایم سایبر به 105 میلیارد دلار رسیده بود. علاوه بر این، در سال 2005 نیز اطلاعات شخصی تقریبا 206 هزار نفر از کارمندان شرکت‌ها و مشتریان آن‌ها به سرقت رفته است. مسؤولان کشور آمریکا با بررسی آمار حملات اینترنتی و افزایش روزافزون سرقت اطلاعات شخصی کاربران، قصد دارند فعالیت‌های خود را در زمینه مقابله با جرایم اینترنتی دوچندان کنند و برای این منظور باید مبلغ بیشتری را در این بخش هزینه کنند. در این میان کاخ سفید هم اعلام کرده که فناوری ردیابی اینترنتی‌ خود در راستای قوانین فدرال است چرا که تنها شمارش تعداد بازدیدکنندگان ناشناس را انجام می‌دهد و از ثبت اطلاعات شخصی امتناع می‌ورزد. سایت کاخ سفید با استفاده از یک فناوری جاسوسی اینترنت، تصویر گرافیکی کوچکی که به‌طور مجازی غیرقابل مشاهده است به‌طور پنهانی تعداد و زمان بازدیدها را ثبت و ردیابی می‌کند.
باید توجه داشت که از میان برداشتن شکاف دیجیتالی و اطمینان از دسترسی عمومی به اینترنت یکی از مهم‌ترین وابتدایی‌ترین اقدامات در جهت تحقق امنیت الکترونیکی و دولت الکترونیکی محسوب می‌شود.
به‌طور کلی در تئوری‌های سازمانی فرایند هدایت را اخذ اطلاعات عملکردی سازمان، تحلیل و مقایسه این اطلاعات با رسالت‌های سازمان و تفکرات نوین سازمانی به‌منظور ارایه راهکارهای اجرایی و کاربردی در جهت رشد و تعالی سازمان باید دانست. از سوی دیگر فلسفه وجودی تکنیک‌ها و الگوریتم‌های کارآمد فعالیت در زمینه هوش مصنوعی، چیزی جز تحلیل انبوهی از اطلاعات انباره‌های داده در جهت کشف روابط مخفی دانش در اطلاعات موجود به‌منظور تسریع عملیات تصمیم‌سازی و تصمیم‌گیری نیست. از این‌رو ابزار داده‌کاوی به‌منظور تحلیل اطلاعات پراکنده و حجیم سازمان و تبدیل اطلاعات مذکور به دانش مفید مدیریتی و هدایتی ضرورتی انکارناپذیر بوده که فقط به کمک صنعت ICT می‌توان به نتیجه مطلوب رسید.
دولت‌هایی نظیر انگلستان پنج میلیون پوند در سال کلاه‌برداری اینترنتی دارند، اما با این‌حال از این نوع شبکه‌ها، به اسم ملی و به بهانه امنیت راه‌اندازی نکرده‌اند. دولت الکترونیکی که زیر نظر امنیت الکترونیکی اداره می‌شود اشاره به استفاده نمایندگان دولت از فناوری اطلاعات که قادر است روابط با شهروندان، تجار و دیگر بازوهای دولت را گسترش و ارتقا دهد، است. دولت الکترونیکی نسبت به تعامل فعال دولت با شهروندان یا دولت با شرکت‌های تجاری بیشتر بر انتشار اطلاعات از طریق اینترنت متمرکز شده است. بی‌شک پیش‌بینی الکترونیکی یک فرآیند کلیدی در مدیریت اجرایی است و اساس آن بر فراوانی داده‌هایی بوده که قبلا حاصل شده است. بنابراین، سیستم‌های پیش‌بینی بیش از هر چیز برای یک دولت کارا ضروری است.

بخش‌هایی مانند مدیریت خدمات درمانی، بازار دارایی‌های غیرمنقول و بازارهای تجاری و مالی بیشترین نیاز را به پیش‌بینی‌های نزدیک به واقعیت دارند. در قرن بیست و یکم پیش‌بینی الکترونیکی جایگزین پیش‌بینی‌های سنتی شده است و در واقع به یک قسمت لازم‌الاجرا و غیرقابل انکار در دولت الکترونیکی تبدیل شده است که به سرعت دنیای کامپیوتر را تغییر می‌دهد. این تحقیق برآوردی از کتابنامه‌های موجود و برنامه‌های سیستم‌های پیش‌بینی‌کننده در قالب دولت الکترونیکی است که عناصر ساختار اصلی سیستم پیش‌بینی‌کننده در دولت الکترونیکی را ارایه می‌دهد.

یکی از نگرانی‌های همیشگی والدین اجرای بیش از حد بازی‌های ویدئویی توسط فرزندان‌شان بوده که آن‌ها را از رسیدگی به وظایف تحصیلی و خانوادگی بازمی‌دارد. آنچه که در ادامه می‌آید توصیه‌هایی در این مورد برای پدرها و مادرهاست که از سایت‌های مختلف اینترنتی جمع‌آوری شده است.


کارشناسان معتقدند اختصاص بیش از سه ساعت در روز به اجرای بازی‌های ویدئویی از سوی کودکان به هیچ وجه صحیح نیست، چون در این صورت وضعیت تحصیلی دانش‌آموزان دچار افت شده و ارتباطات خانوادگی آن‌ها نیز تضعیف می‌شود.
از سوی دیگر پزشکان هم تصریح می‌کنند که بین میزان استفاده از رسانه‌های تصویری و چاقی رابطه مستقیم وجود دارد. سلامت بچه‌های امروزی به‌خاطر چاقی مفرط در معرض خطر قرار گرفته است. این درحالی است که تا یک دهه قبل کودکان و نوجوانان از تحرک فیزیکی کافی برخوردار بودند.
آکادمی امراض کودکان در آمریکا به والدین توصیه کرده که به فرزندان‌شان اجازه ندهند بیش از دو ساعت در روز را صرف استفاده از رسانه‌های مختلف اعم از تلویزیون، رایانه و کنسول‌های ویدئویی نمایند.
توصیه‌های عملی این آکادمی برای تحقق این هدف به شرح زیر است:
الف) اعمال محدودیت‌های زمانی: فرزندانتان را از این تصمیم آگاه کنید.
به او بگویید که از چه ساعت تا چه ساعتی حق بازی کردن با کنسول را دارد یا می‌تواند از رایانه استفاده کند.
کودک باید راس ساعت مقرر از بازی کردن یا استفاده از رایانه دست بردارد. اگر او به این قوانین بی‌توجهی کرد، دسته کنترل بازی را از دسترس وی دور کرده یا رایانه را خاموش کنید.
ب) فرزندتان را حین بازی زیر نظر بگیرید. اگر رایانه یا کنسول بازی فرزندتان در اتاق خواب اوست، آن را به یک مکان عمومی‌تر منتقل کنید.
ج) بیش از حد کنجکاوی نکنید. اگر بخواهید بیش از حد فرزندتان را زیر نظر بگیرید، او احتمالا ترجیح خواهد داد در خارج از خانه از کنسول بازی یا رایانه استفاده کند. لذا از زل زدن به او در حین بازی یا کنجکاوی بیش از حد جدا خودداری کنید.
د) جایگزین‌هایی برای بازی‌های ویدئویی پیدا کنید. به‌عنوان مثال نام او را در کلاس‌های تابستانی بنویسید، با هم به گردش و تفریح بروید یا دوتایی با هم ورزش کنید. او را به کتاب‌ خواندن تشویق کنید یا ده‌ها کار مفید دیگر انجام دهید. فراموش نکنید که اگر خانه شما دارای یک کتابخانه بزرگ با کتاب‌های جذاب باشد راحت‌تر می‌توانید فرزندتان را تحت تاثیر بگذارید.
اگر شما هم سؤالی در این مورد دارید و می‌خواهید آن را با یک کارشناس در میان بگذارید، سری به آدرس http://advisor.parent-institnte.com زده و سؤالتان را طرح کنید.

در مقوله امنیت رایانه‌ای و فناوری اطلاعات نیز ـ مانند سایر زمینه‌ها ـ سیاست‌های دولت نقش بسیار مهمی ایفا می‌کند. با این‌حال در این مورد باید با احتیاط اظهارنظر کرد، چراکه یک چارچوب عمومی قوانین هرچند می‌تواند امنیت رایانه‌ای را تقویت کند، اما اشکالاتی که در اثر مقررات نادرست دولتی به‌وجود می‌آید بیش از مزایای چنین مقرراتی است.


فناوری به‌سرعت درحال تغییر است و تهدیدات جدید با چنان سرعتی انتشار می‌یابند که مقررات دولتی به‌راحتی می‌توانند تبدیل به موانعی برای ارایه سریع پاسخ‌های مبتکرانه شوند. بنابراین بهترین راه این است که میان معیارهای تقنینی و غیرتقنینی یک نقطه تعادل پیدا کنیم.
برای دست‌یابی به چنین تعادلی، سیاست‌گذاران باید به برخی ویژگی‌های ذاتی و منحصر به‌فرد رایانه توجه کنند. در مقایسه با فناوری‌های اطلاعات و ارتباطات پیشین، فضای سایبر(مجازی) یک فضای غیرمتمرکز است. بخشی از قدرت اینترنت ناشی از این حقیقت است که فاقد مرزبان است و بیشتر کارایی آن در مرزهای شبکه است تا در مرکز آن. سیاست‌های امنیت سایبر دولت باید این ویژگی‌ها را مدنظر قرار دهند.
دولت‌ها معمولا سیستم رایانه‌ای خاص خود را دارند؛ از جمله رایانه‌هایی که برای امنیت ملی، خدمات اضطراری، بهداشت و سایر عملکردهای ضروری مورد استفاده قرار می‌گیرند، اما بسیاری از سیستم‌های رایانه‌ای سازمان‌های دولتی وابسته به همان نرم‌افزارها و سخت‌افزارهایی هستند که توسط شرکت‌های خصوصی طراحی و ساخته شده‌اند و لذا مسئله امنیت در آن‌ها یکی از مسایل قابل توجه است. بنابراین مسؤولیت امنیت این سیستم‌ها میان دولت و بخش خصوصی تقسیم شده است و همچنین مشخص شده که دولت باید برای مجازات و پیشگیری از انجام حملات به سیستم‌های بخش خصوصی، مثل سیستم‌های دولتی از قدرت قوانین حقوق و جزا کمک بگیرد.
ایجاد یک محیط قابل اطمینان در فضای سایبر نیازمند تطبیق قوانین و سیاست‌های دولتی سایر زمینه‌ها بر حوزه امنیت سایبر است. این زمینه‌ها شامل حمایت از مصرف‌کننده، خصوصی ماندن داده‌ها و ارتباطات، حقوق مالکیت معنوی و چارچوب تجارت الکترونیکی است. در دنیای بدون اینترنت، قانون برای معاملات تجاری و مصرف‌کنندگان حمایت‌هایی ایجاد می‌کند. قسمت اعظم این قوانین در حوزه فضای سایبر نیز قابل اعمال هستند، اما کشورهایی که به‌دنبال گسترش فناوری اطلاعات و ارتباطات (ICT) هستند باید این مسئله را بررسی کنند که آیا در قوانین آن‌ها خلائی وجود دارد که مانع ایجاد اعتماد لازم برای افزایش امنیت فضای سایبر شود یا خیر. در حقیقت کشورهایی که علاقه‌مند به گسترش تجارت الکترونیکی هستند ممکن است دریابند که قوانین آن‌ها در مورد خدمات مالی، مالکیت سایبر و حمایت از مصرف‌کننده از اعتماد یا پشتیبانی لازم برای تعاملات خارج از دنیای اینترنت برخوردار نیست. اصلاح قوانین دنیای سایبر ممکن است به‌عنوان بخشی از اصلاحات روی قوانین کلی‌تر انجام شود. (برگرفته از کتاب مرجع «راهنمای امنیت فناوری اطلاعات»، انتشارات شورای عالی اطلاع‌رسانی)
اما پس از این مقدمه و تاکید بر نقش حیاتی و اعتمادساز تامین امنیت فضای مجازی در هر کشور، به نقد لایحه جرایم رایانهای کشور که چندسالی است در مجلس شورای اسلامی در انتظار تصویب است، می‌پردازیم.
به‌نظر می‌رسد در تهیه لایحه جرایم رایانه‌ای، موارد متعددی که باعث جامعیت و قابل اجرا بودن یک قانون است لحاظ نشده که این امر باعث می‌شود لایحه مزبور در صورت تصویب، نتواند در پیشگیری و مجازات عوامل حقیقی آزار و اذیت‌های رایانه‌ای چندان موثر باشد.
در ادامه فهرست عناوینی که در ادامه این مکتوب در خصوص پیش‌نویس تهیه شده، مورد اشاره قرار گرفته‌اند و پس از آن نیز موارد مذکور بهصورت مشروح بررسی می‌شوند.
1. فقدان تعریف مشخص از حیطه و شمول قانون 2. عدم دسته‌بندی افعال مجرمانه و تفکیک آن‌ها از مجازات‌ها 3. عدم تناسب مجازات با معیارهای معقول تعیین‌کننده حدود مجازات 4. بی‌توجهی به عوامل تاثیرگذار در شدت تقصیر/قصور متولیان امنیت 5. عدم اشاره به برخی از مهم‌ترین عناوین آزار و اذیت رایانه‌ای به‌عنوان مصادیق جرم 6. مشکلات قانونی پیگرد الکترونیکی؛ در صورت تصویب این پیش‌نویس 7. سکوت در برابر سوء‌استفاده از سامانه‌ها برای تهاجم به سامانه‌های شخص ثالث 8. لزوم توجه به عدم اختلال در خدمات 9. همگن نبودن مواد مختلف در تعیین مصادیق 10. آیین‌نامه‌های مبهم 11. برخی نکات موردی
1. فقدان تعریف مشخص از حیطه و شمول قانون

به‌طور کلی طبق الگوهای سرآمدی امنیت، برای تدوین قانون در حیطه‌هایی که کاربرد فناوری
رایانه‌ای باعث ناکارآمد شدن سیستم قانونی مورد استفاده می‌شود، یک تقسیم‌بندی عمده برای جرایم رایانه‌ای در نظر گرفته می‌شود که عبارت است از:
a. جرایمی که به‌وسیله رایانه تسهیل می‌شوند؛ و
b. جرایمی که توسعه و کاربرد فناوری رایانه‌ای و شبکه باعث خلق مفاهیم جدید و به‌وجود آمدن آن‌ها شده است.
بنابراین، برای تدوین نظام جامع و مانع قانونی به‌منظور افزایش اعتماد در فضای رایانه‌ای، هم باید قوانین مختص این فضا را به‌وجود آورد و هم باید قوانین جزایی را که از قبل وجود داشته به‌گونه‌ای اصلاح کرد که جرایم تسهیل شده به‌وسیله رایانه را نیز دربر بگیرد. لذا نباید در قانون جرایم رایانه‌ای به‌دنبال جمع‌آوری تمام اقدامات مجرمانه در هر زمینه‌ای بود و باید قسمتی از آن را به اصلاح قوانین دیگر واگذارد. در هر صورت، به‌نظر می‌رسد لازم باشد که در مقدمه متن پیشنهادی، حیطه قانون و شمول آن (و در صورت صلاح‌دید، حتی مواردی که این قانون به آن‌ها مربوط نمی‌شود نیز) به‌وضوح مورد اشاره قرار گیرند. مثلا به‌نظر می‌رسد ماده 25 از جنس قانون دیگری برای الزامات نگهداری داده‌هاست که باید شامل موارد دیگری (نظیر مسؤولیت تهیه صحیح نسخه پشتیبان و غیره و همچنین مجازات‌های عدم عملکرد صحیح در خصوص موارد ذکر شده) نیز بشود.
به‌دلیل عدم رعایت اصل مذکور، در موادی از این پیش‌نویس تداخل‌هایی با سایر قوانین مانند حقوق شهروندی و قانون مدنی وجود دارد؛ مانند مواردی که در فصل چهارم و فصل پنجم بازتعریف شده، درحالی که طبق قوانین حال حاضر نیز کلیه این موارد از افعال مجرمانه محسوب می شوند و تنها از طریق رایانه، کیفیت انجام آن‌ها متفاوت است.
2. عدم دسته‌بندی افعال مجرمانه و تفکیک آن‌ها از مجازات‌ها

طبق الگوهای سرآمدی، به‌دلیل ماهیت پیچیده و کثرت افعال مجرمانه در فناوری‌های نوین مانند فناوری اطلاعات و ارتباطات، برای روشن بودن چارچوب و ساده‌تر شدن اجرای قانون، معمولا ابتدا در یک فصل مصادیق افعال مجرمانه دسته‌بندی و تشریح می‌شوند و سپس مجازات‌های مربوطه در فصل بعد آن متناظر با دسته‌بندی انجام شده و سایر عوامل تعیین‌کننده میزان مجازات (که در بند چهارم همین مکتوب مورد اشاره قرار گرفته‌اند) تعیین می‌شوند.
این دسته‌بندی علاوه بر ساده کردن کار تطبیق فعل انجام شده با مصادیق افعال مجرمانه (خصوصا در مواردی‌که فعل انجام شده با بیش از یک مصداق تطابق دارد)، کار اصلاح قانون متناسب با پیشرفت و تغییر کاربرد فناوری را نیز تسهیل می‌کند.
3. عدم تناسب مجازات با معیارهای معقول تعیین‌کننده حدود مجازات

مواردی چون قصد و نیت فرد مهاجم، آگاهی قبلی برای تخریب، سطح حساسیت سامانه هدف، میزان تقصیر یا قصور متولیان حفاظت از سامانه میانی (توضیحات بیشتر در این مورد در بند ششم همین مکتوب آمده است)، میزان تقصیر یا قصور متولیان حفاظت از سامانه هدف، میزان خرابی‌های مستقیم به بار آمد و همچنین میزان آسیب‌ها و ضررهایی که در مراحل بعد به قربانی/قربانیان فعل مجرمانه وارد می‌شود (که گاهی اشخاص ثالث حقیقی و حقوقی را هم دربر می‌گیرد)، همه از مواردی هستند که عرفا مسؤولیت آن‌ها برعهده مجرم و معاونان اوست و لذا در تعیین مجازات، توجه صرف به‌عنوان مصداق تشخیص داده شده از فعل مجرمانه کافی نیست و باید این موارد نیز در نظر گرفته شوند. این مورد نیز در قوانین کشورهای توسعه‌یافته که به اقتضای کاربرد فناوری پیش از کشورهای درحال توسعه، زودتر به ضرورت وجود قوانینی از این دست پی برده‌اند به چشم می‌خورد.
4. بی‌توجهی به عوامل تاثیرگذار در شدت تقصیر/قصور متولیان امنیت

زمانی‌که یک تهاجم موفقیت‌آمیز (با هر درجه‌ای از موفقیت) صورت می‌گیرد، همه مسؤولیت خرابی‌های به بار آمده بر گردن مهاجم نیست، بلکه مسؤولان، سیاست‌گذاران و مدیران سامانه هدف نیز در آن شریکند؛ چراکه معمولا با عدم تدبیر به موقع اقدامات لازم برای جلوگیری از نفوذ، راه را برای تهاجم آسان باز گذاشته‌اند. اما میزان این شراکت بسته به عوامل مختلف (از جمله میزان پیچیدگی روش مورد استفاده برای نفوذ، میزان استحکام تدابیر امنیتی سامانه هدف و غیره) متغیر است.
هرچند در ماده 5 پیش‌نویس مورد بحث به این مورد اشاره ضمنی شده است، اما باز هم بدون توجه به نوع حمله، قصد تخریب، میزان خسارت‌های وارده و سایر موارد موثر و صرفا به‌دلیل «اعطای دسترسی» به مهاجم، مجازات مشخصی برای خاطیان در نظر گرفته شده است؛ درحالی‌که اولا عوامل موثر بر مجازات باید به شرح گفته شده باشند و ثانیا، ممکن است فرد خاطی از طریقی غیر از «اعطای دسترسی» به انجام حمله توسط مهاجم کمک کرده باشد.
5. عدم اشاره به برخی از مهم‌ترین عناوین آزار رایانه‌ای به‌عنوان مصادیق جرم

در ادامه برخی از عناوین به‌عنوان نمونه مورد اشاره و توضیح مختصر قرار گرفته‌اند که در پی می‌آیند.
الف. نرم‌افزارهای دارای «درب مخفی»: ایجاد تعمدی درب مخفی در نرم‌افزار توسط نویسنده نرم‌افزار؛ جمع‌آوری اطلاعات کاربران به‌صورت خودکار توسط نرم‌افزار و انتشار آزادانه آن روی وب. این نرم‌افزارها معمولا در پایگاه‌های وب با کارکرد دیگر خود (مثلا یک بازی رایانه‌ای) معرفی می‌شوند، اما پس از دریافت و به اجرا در آمدن توسط کاربران، کارکرد مخرب خود را نیز - غالبا بدون اطلاع کاربران - انجام می‌دهند؛ بنابراین خود کاربر در آسیب وارده مقصر است، اما از طرف دیگر، از چنین کارکردی توسط نرم‌افزار اطلاع قبلی نداشته است.
ب. کرم‌های اینترنتی که معمولا برای انتشار خود از اطلاعات یافته شده روی رایانه‌های قربانی سوءاستفاده می‌کنند و به‌عنوان مثال، از طرف برخی آدرس‌های یافته شده در سامانه قربانی، برای برخی دیگر از آدرس‌های همان فهرست، نامه الکترونیکی ارسال می‌کنند، واضح است که در چنین موردی، مقصر اصلی پدیدآورنده اولیه کرم اینترنتی است.
ج. کلاهبرداری اینترنتی؛ مثلا طراحی یک صفحه ورود اطلاعات مشابه صفحه ورود اطلاعات سامانه‌های پرداخت الکترونیکی (مثلا سامانه‌های برخی بانک‌های داخلی) و فریب کاربران برای ورود اطلاعات کارت‌های خرید/پرداخت الکترونیکی و سوءاستفاده از اطلاعات جمع‌آوری شده. در این خصوص، خود کاربر با رضایت کامل اقدام به ورود اطلاعات در پایگاه فرد کلاهبردار کرده، اما ابتدا توسط او فریب خورده است و پس از ورود اطلاعات نیز این کاربر است که قربانی این کلاهبرداری می‌شود.
د. ارسال هرزنامه که عبارت است از ارسال نامه‌های تبلیغاتی/با مصارف دیگر به فهرست‌های بزرگی از آدرس‌های پست الکترونیکی، خصوصا در شرایطی که دریافت‌کنندگان تمایلی به دریافت آن نامه‌ها ندارند. این عمل در قوانین کلیه کشورهای پیشرو در صنعت فناوری اطلاعات و ارتباطات از جرایم سنگین محسوب می‌شود.
6. مشکلات قانونی پیگرد الکترونیکی

در قسمت‌های مختلفی از قانون (در صورت تصویب پیش‌نویس مذکور) مواردی آمده که می‌تواند کاربردهای مشروع، قانونی و بعضا مورد نیاز برای جلوگیری از وقوع جرایم رایانه‌ای را دچار مشکل کند که در ادامه به‌طور مختصر به برخی از آن‌ها اشاره شده است:
الف. شنود الکترونیکی که برای نظارت و ارتقای امنیت سامانه‌های الکترونیکی جزء اولیه‌ترین نیازهاست، اما طبق این پیش‌نویس، انجام این کار پس از تصویب این پیش‌نویس، جرم خواهد بود.
ب. معامله ابزارهای تست ضریب امنیت که می‌توانند کارکرد دوگانه داشته باشند. این خصوصیت تمام ابزارها و نرم‌افزارهای امنیت الکترونیکی است که هم می‌توانند توسط راهبران امنیت و در جهت ارتقای امنیت شبکه و محیط به‌‌کار روند و هم می‌توانند توسط نفوذگران و در جهت تخریب سیستم‌ها مورد استفاده قرار گیرند.
ج. گستراندن دام برای کسب اطلاعات از روش کار مهاجم (honeypot) که این پیش‌نویس در خصوص قانونی و مشروع بودن آن مسکوت است، اما طبق موادی از آن، می‌توان این کار را فعل مجرمانه برشمرد.
د. نفوذ اخلاقی که به درخواست یک سازمان از یک تیم/شرکت امنیتی برای نفوذ به سیستم‌ها جهت ارزیابی استحکام اقدامات دفاعی سازمان انجام می‌شود.
7. سکوت در برابر سوءاستفاده از سامانه‌ها برای تهاجم به سامانه‌های شخص ثالث

در جرایم رایانه‌ای، امکان سوءاستفاده از سامانه رایانه‌ای یک سازمان برای تهاجم و یا تسهیل تهاجم به سامانه یک سازمان ثالث نیز وجود دارد. در این ‌صورت آیا سازمانی که برای حمله به سازمان ثالث از سامانه‌های رایانه‌ای آن سوءاستفاده شده، به‌علت تقصیر یا قصور مستحق مجازات است یا خیر؟ طبق الگوهای سرآمدی دنیا، در این مورد سازمانی که از سامانه آن برای تهاجم سوءاستفاده شده، مسؤولیت حفظ امنیت آن را به عهده داشته و حتی در صورت عدم آگاهی نیز، بخشی از مسؤولیت با آن است.
8. لزوم توجه به عدم اختلال در خدمات

عدم ایجاد اختلال در خدمات، اصلی است که همواره باید در پیگردهای قانونی جرایم الکترونیکی مدنظر قرار گیرد. در غیر این‌صورت، ممکن است کاری که مهاجم موفق به انجام آن نشده (از کار انداختن ارایه خدمات)، توسط ضابطین قضایی و در جهت اجرای قانون صورت پذیرد. گاهی لطمات این از کارافتادگی خدمت، می‌تواند بسیار بیش از اصل تهاجم برای سازمان قربانی خسارت به بار بیاورد.
9. همگن نبودن مواد مختلف در تعیین مصادیق

در تعریف مصادیق جرم، این پیش‌نویس در برخی مواد آنچنان پیش‌رفته که سعی کرده کوچک‌ترین جزییات را برای تعریف مصداق فعل مجرمانه برشمارد (نمونه: مواد فصل چهارم) و در مواردی نیز به ‌کلی تعیین مصادیق را به آیین‌نامه‌هایی که جزء یک نام از آن‌ها وجود ندارد موکول کرده است.
یکی از مواردی که در صورت رعایت بندهای 1 و 2 این مکتوب عاید قانونگذار می‌شود، همگن بودن مواد مختلف از جهات مختلف است که در عمل، اجرای قانون را به‌میزان قابل توجهی تسهیل می‌کند.
10. آیین‌نامه‌های مبهم

آیین‌نامه‌های متعددی که این قانون به آن‌ها ارجاع دارد و هیچ ‌یک حتی در حد پیش‌نویس هم آماده نشده‌اند، بسیار حیاتی هستند و به همین دلیل لازم است پیشنهاددهندگان محترم حداقل محورهای اصلی این آیین‌نامه‌ها و نیز حیطه، شمول و کلیات بندهای آن‌ها را نیز پیشنهاد دهند.
11. برخی نکات موردی

نکاتی نیز در خصوص جامع و مانع بودن این پیش‌نویس وجود دارد که چند نمونه از آن در پی آمده است:
الف. مواد 1 و 2 با بند اول ماده 3 همپوشانی قابل توجهی دارند.
ب. ماده 5: «چنانچه ماموران دولتی که... به آن‌ها آموزش لازم داده شده ...». اگر سازمانی مورد تهاجم قرار گرفت که متولیان امنیت آن، اصولا آموزش‌های لازم امنیتی را ندیده باشند، تکلیف چیست؟ آیا صرف اینکه از نظر فنی ناآگاه بوده‌اند، دلیل موجهی برای پوشش سهل‌انگاری انجام شده در تدبیر اقدامات دفاعی است که متن پیشنهادی قانون در قبال آن مسکوت است؟
ج. ماده 7: ممکن است کسی بتواند از کارت‌ها یا تراشه‌های مجعول استفاده صحیح کند؛ بنابراین عمومیت کلمه «استفاده» در این بند، می‌تواند این بند قانون را در عمل و هنگام تفسیر، با مشکلاتی مواجه سازد.
نتیجه‌گیری

به‌نظر می‌رسد با عنایت به موارد فوق، لزوم بازنگری در لایحه پیشنهادی بیش از پیش آشکار شده باشد. امید است مسؤولان و تصمیم‌گیرندگان و کلیه افرادی که به هر نحو در تصویب این قانون موثر هستند، برای تصویب یک قانون جامع و قابل اجرا در خصوص جرایم رایانه‌ای، نکات کارشناسی ذکر شده را مدنظر داشته باشند.

پریسا خسروداد - بزرگراه فناوری - تامین امنیت فضای تبادل اطلاعات کشور، در عصری که شاهد شکل‌گیری فعالیت‌های مختلف به‌صورت الکترونیکی هستیم به یکی از مهم‌ترین شاخصه‌های توسعه تبدیل شده است. در همین راستا نیز در جلسه مورخ 13/12/1382 هیات وزیران، تشکیل شورای عالی امنیت فضای تبادل اطلاعات به تصویب رسید.


هدف از تشکیل این شورا، حفظ امنیت فضای تبادل اطلاعات کشور و ایجاد امنیت در حوزه‌های گوناگون نظیر تجارت، اقتصاد، ارتباطات و اطلاعات اعلام شد. پس از اینکه شورای عالی امنیت فضای تبادل اطلاعات کشور کار خود را آغاز کرد، نخستین اقدام روشن آن تدوین سند راهبردی افتا (امنیت فضای تبادل اطلاعات کشور) بود.
این سند به استناد بند «ج» ماده 44 قانون برنامه چهارم توسعه و پیشنهاد شورای عالی امنیت فضای تبادل اطلاعات کشور، به‌عنوان مرجع عالی سیاست‌گذاری این حوزه تهیه شد.
بنابر این گزارش سند راهبردی افتا، به‌منظور تحقق اهداف چشم‌انداز 20 ساله کشور تدوین شده بود و از طرف دیگر خطوط راهنما و محورهای اصلی برنامه پنج‌ساله چهارم را مدنظر قرار می‌داد.
به‌دنبال طرح افتا، بیش از دو هزار صفحه مستندات و 15 جلد کتاب در این زمینه منتشر شد. این سند شاید جزء اولین سندهای راهبردی محسوب می‌شود که هم به‌ تصویب دولت رسید و هم به دستگاه‌ها ابلاغ شد، اما درحال حاضر پس از گذشت قریب به دو سال از ابلاغ بخش‌نامه مذکور و صرف بودجه عمومی هیچ تصمیم شفافی در زمینه تامین امنیت فضای تبادل اطلاعات کشور صورت نگرفته است. به‌طوری که سند راهبردی افتا متوقف مانده و تاکنون دبیرخانه افتا گزارش عملکرد صریح و روشنی از وضعیت دستگاه‌های دولتی برای اجرای بخش‌نامه مذکور از خود ارایه نکرده است. در همین راستا و نظر به اهمیت تامین امنیت فضای تبادل اطلاعات کشور به بررسی آخرین وضعیت سند راهبردی افتا پرداختیم.
بخش‌نامه برنامه امنیت فضای تبادل اطلاعات کشور

به‌موجب بخش‌نامه امنیت فضای تبادل اطلاعات کشور که در تاریخ 19/7/1383 و با شماره 39360 به تمامی وزارتخانه‌ها، سازمان‌ها، موسسات، شرکت‌های دولتی، نهادهای انقلاب اسلامی و استانداری‌های سراسر کشور ابلاغ شد، تمامی دستگاه‌های ذی‌ربط که از بودجه عمومی دولت استفاده می‌کنند، موظف شدند برنامه عملیاتی امنیت فضای تبادل اطلاعات خود را حداکثر در مدت شش ماه پس از ابلاغ و براساس بند 5-9 ترتیبات اجرایی سند مذکور به سازمان مدیریت و برنامه‌ریزی کشور ارایه کنند، تا بتوانند با همکاری آن سازمان مراحل تصویب، تخصیص بودجه و اجرای آن را طی کنند.
بنابر این گزارش مجری این سند سازمان مدیریت و برنامه‌ریزی و ناظر آن شورای عالی امنیت فضای تبادل اطلاعات کشور پیش‌بینی شده و قرار بود هماهنگی‌های لازم توسط کمیسیونی که به‌همین منظور تشکیل شد صورت گیرد.
200 میلیارد ریال بودجه برای شورای عالی افتا

پس از ابلاغ بخش‌نامه شماره 39360، همان‌طور که ذکر شد، کلیه دستگاه‌ها با همکاری دبیرخانه شورای عالی افتا وظیفه مطالعات اولیه، تهیه پیشنهاد پروژۀ هر اقدام و تمهید مقدمات لازم جهت استقرار نظام‌ها را برعهده گرفتند.
براساس این گزارش سازمان مدیریت و برنامه‌ریزی کشور نیز موظف شد به‌منظور تهیه طرح‌های موردنظر و برای تحقق هر یک از اقدامات در دستگاه‌های نام برده شده، مبلغ 200 میلیارد ریال را به‌صورت متمرکز به دبیرخانه شورای عالی اختصاص دهد تا با همکاری آن سازمان بین دستگاه‌ها توزیع شود.
همچنین در مورد لازم‌الاجرا بودن بخش‌نامه 39360 می‌توان به این نکته اشاره کرد که به سازمان مدیریت و برنامه‌ریزی کشور، این اختیار داده شد که از پیش‌بینی اعتبار در بودجه طرح‌های فناوری اطلاعات سازمان‌ها و نهادهایی که فاقد بخش امنیت هستند خودداری کند.
توقف سند راهبردی افتا

اما با استقرار دولت جدید و حضور دبیر تازه شورای عالی افتا سند راهبردی افتا از نظر محتوا به همان صورت باقی ماند زیرا تقریبا گردآورندگان سند مذکور به یک اجماع کلی حین تهیه این سند رسیده بودند، اما پی‌گیری آن با ایجاد تغییراتی در دبیرخانه شورای عالی تامین امنیت فضای تبادل اطلاعات کشور متوقف شد و اجرای سند با تعویق مواجه شد. نکته‌ای که در این زمینه وجود دارد این است که در آخرین بند سند افتا یعنی بند 11-9 در قسمت ترتیبات اجرایی ذکر شده هر گونه بازنگری در سند، زمان و نحوه اجرای آن به‌عهده شورای عالی افتاست، اما همان‌طور که از شواهد قضیه برمی‌آید تاکنون از جانب هیچ مرجعی در افتا خبری در زمینه ایجاد تغییر زمان و نحوه اجرا در مراجع رسمی منتشر نشده است.
بنابر این گزارش هرچند که تصور بر این بود، با استقرار دبیرخانه جدید کار پی‌گیری برنامه‌های افتای سازمان‌های دولتی پس از مدتی سکون ادامه پیدا خواهد کرد، اما این اتفاق رخ نداد زیرا از طرفی در سند افتا، با توجه به امنیتی بودن موضوع به حداکثر استفاده از توانمندی داخلی و اهتمام به استفاده از بخش غیردولتی تاکید شده بود. درحالی که تمام دستگاه‌های دولتی موظف بودند شش ماه بعد از دریافت بخش‌نامه و با استفاده از بودجه 200 میلیارد ریالی سازمان برنامه طرح‌های افتای خود را ارایه دهند اما به گفته یک مقام آگاه تاکنون هیچ مناقصه عمومی و فراگیری در این زمینه برگزار نشده است، از سوی دیگر فعالان بخش خصوصی در این حوزه نیز از وضعیت اجرای پروژه‌های مذکور اظهار بی‌اطلاعی می‌کنند.
لزوم اجرای زمان‌بندی و برگزاری مناقصات شفاف

محمود خادمی، رییس کمیسیون افتای سازمان نظام صنفی رایانه‌ای در مورد چگونگی وضعیت برگزاری مناقصات طرح‌های امنیت فضای تبادل اطلاعات سازمان‌های دولتی می‌گوید: ضرورت برگزاری مناقصات افتا با توجه به در نظر گرفتن حداکثر استفاده از توانمندی‌های داخلی در شرایط کنونی می‌تواند راهکار مناسبی برای خروج از حالت رکود باشد.
زیرا در وضعیتی که بسیاری از مناقصات برگزار شده توسط سازمان‌های دولتی به حالت شناور و معلق درآمده‌اند، ایجاد مناقصات جدید نظیر افتا می‌تواند به رشد رونق در میان بخش خصوصی کمک فراوانی کند.
وی، همچنین می‌گوید: درخواست بخش خصوصی به‌عنوان مجری طرح‌های افتا، اجرای زمان‌بندی در نظر گرفته شده و برگزاری مناقصات شفاف در این زمینه است زیرا اعلان عمومی مناقصات در روزنامه‌های کثیرالانتشار، پایگاه‌های اطلاع‌رسانی و غیره فرصت‌های برابری را در اختیار متقاضیان قرار می‌دهد. خادمی با تاکید بر این موضوع که ارایه طرح‌های افتا و اجرای آن باعث شکوفایی هرچه بیشتر این صنعت در ایران می‌شود، اجرای طرح‌های امنیت فضای تبادل اطلاعات کشور به‌دست فعالان واقعی را باعث افزایش ضریب اطمینان بیشتر در میان پروژه‌های مذکور می‌داند.

لایحه «جرایم رایانه‌ای» چه شد؟

شنبه, ۷ مرداد ۱۳۸۵، ۰۹:۱۰ ب.ظ | ۰ نظر

مهندس عباس پورخصالیان - بزرگراه ‌فناوری‌ - هیات دولت هشتم در تاریخ 25/3/1383، لایحه‌ای را تحت نام «جرایم رایانه‌ای» به تصویب رساند و آن را به مجلس شورای اسلامی فرستاد، اما این لایحه معلوم نیست در مجلس شورای اسلامی کجاست و در چه مرحله‌ایست که هنوز پس از گذشت دو سال شاید «خاک می‌خورد»!
این درحالی ا‌ست که هم‌اکنون محاکم و قوۀ مجریه، فاقد چارچوبی قانونی، بهنگام و مناسب برای پیگیری قانونی و قضایی و تعیین جرم هر یک از موارد متنوع و رو به تزاید جرایم رایانه‌ای، اینترنتی و سوء‌استفاده از فضای سایبری (مجازی) است.
آیا به صرف اینکه این لایحه در دولت هشتم به تصویب رسیده است می‌تواند دلیلی برای توقف روند شور و تصویب (یا رد) از سوی مجلس شورای اسلامی باشد، پرسشی است که عقل سلیم آن را رد می‌کند، تنها گزینۀ معقولی که می‌توان در نظر گرفت این است که این لایحه، در صف نوبت است و به‌زودی مطرح خواهد شد. اما کی؟ معلوم نیست! لایحۀ مورد بحث، از پنج بخش تشکیل شده است و در مجموع، در وضعیتی که به تصویب دولت هشتم رسیده بود، دارای چهل و دو ماده و دوازده تبصره بود. به احتمال قوی، در تهیه این لایحه، شورای عالی اطلاع‌رسانی و کارشناسان قوه قضاییه یا وکلای دادگستری نقش داشته‌اند چرا که در همان زمان، شورای عالی اطلاع‌رسانی، روی این موضوع کار می‌کرد و برای مثال کتاب ادله الکترونیکی (e-evidence) را به کمک قوۀ قضایی، در دست تدوین داشت و منتشر کرد.
اکنون سه حالت ممکن است پیش آمده باشد:
1ـ مرکز پژوهش‌های مجلس، اظهارنظر کارشناسی خود را دربارۀ این لایحه انجام داده و آن را به دبیرخانه مجلس شورای اسلامی ارجاع داده است.
2ـ مجلس شورای اسلامی در کمیسیون قضایی خود متن آن را به کمک دولت نهم و قوۀ قضاییه در دست مطالعه دارد.
3ـ آن را به‌دست فراموشی سپرده است که البته بعید به‌نظر می‌رسد.
در ضمن حالت‌های دیگری نیز به ذهن متبادر می‌شود اما در هر حالت آنچه مهم است این است که وجود یک قانون تعیین جرایم رایانه‌ای، حتی به‌صورت ناکامل و ناتمام، بهتر از عدم آن است. برای تکمیل و تجدیدنظر در یک قانون، همیشه وقت هست و همواره توجیه دارد. اما نبود و عدم چنین قانونی، توجیهی ندارد!
آن هم در شرایطی که صحبت از اینترنت ملی یا اینترانت ملی و شبکه نسل آتی (NGN) است.
برای مجلس شورای اسلامی و دولت باید بدیهی باشد که بدون قانون جرایم رایانه‌ای، تجارت‌الکترونیکی، بانکداری الکترونیکی و کسب‌وکار الکترونیکی، مشروعیت لازم را ندارند. پس تسریع در به تصویب رساندن لایحه مذکور، انتظار دست‌اندرکاران این خدمات الکترونیکی است

امنیت در اینترنت و شبکه هاى ارتباطى

شنبه, ۷ مرداد ۱۳۸۵، ۰۹:۰۶ ب.ظ | ۰ نظر

شرق - در حالى که بسیارى فناورى اطلاعات و ارتباطات را باعث تسهیل در امر انتقال اطلاعات مى دانند موضوع امنیت در تبادل اطلاعات همواره به عنوان یکى از اصول غافل مانده به شکل یک معضل پنهان باقى مى ماند.امنیت اطلاعات براى بخش مهمى از فعالان بخش فناورى اطلاعات تنها زمانى به عنوان یک موضوع حاد مطرح مى شود که مشکلى در سیستم به وجود آید. در اغلب مواقع این مشکلات باعث ضربه اى سنگین بر سیستم و یا به اطلاعات موجود در آن مى شود که در واقع مى توان گفت رویکرد دیرهنگامى است. اینترنت همواره از جهت هاى گوناگون مورد نقد و ارزیابى قرار مى گیرد اما واقعیت این است که این شبکه عظیم مانند هر اجتماع عادى انسانى دیگر در معرض تهدیدها و خطرات قرار دارد. از نفوذ داده هاى مخرب گرفته تا تخریب داده هاى سالم و برهم زدن نظم شبکه همه و همه تنها به یک مورد بستگى دارد و آن بحث امنیت اطلاعات در محیط اینترنت است. امروزه امنیت اطلاعات در زمینه اینترنت از یک بحث حاشیه اى به یک بحث ضرورى تغییر جهت داده است. هرگونه خرید و فروش روى اینترنت و یا انتقال داده ها باید تحت یک کنترل امنیتى صورت گیرد. اگر امنیت شبکه برقرار نگردد، مزیت هاى فراوان آن نیز به خوبى حاصل نخواهد شد و پول و تجارت الکترونیک، خدمات به کاربران خاص، اطلاعات شخصى، اطلاعاتى عمومى و نشریات الکترونیک همه و همه در معرض دستکارى و سوءاستفاده هاى مادى و معنوى قرار مى گیرند. همچنین دستکارى اطلاعات- به عنوان زیربناى فکرى ملت ها - توسط گروه هاى سازماندهى شده بین المللى، به نوعى مختل ساختن امنیت ملى و تهاجم علیه دولت ها و تهدیدى ملى محسوب مى شود.در ایران که بسیارى از نرم افزارهاى پایه از قبیل سیستم عامل و نرم افزارهاى کاربردى و اینترنتى، از طریق واسطه ها و شرکت هاى خارجى تهیه مى شود، بیم نفوذ از طریق راه هاى مخفى وجود دارد. هم اکنون نیز بانک ها و بسیارى از نهادها و دستگاه هاى دیگر از طریق شبکه به فعالیت مى پردازند، به همین دلیل جلوگیرى از نفوذ عوامل مخرب در شبکه به صورت مسئله اى استراتژیک درآمده که نپرداختن به آن باعث ایراد خساراتى خواهد شد. تجربیاتى نیز در همین زمینه وجود دارد که این موضوع را کاملاً ثابت کرده است.

•هویت مجازى

به رغم معرفى سرویس هاى متعدد روى شبکه، تاکنون مهمترین سرویس از میان سرویس هاى گوناگون اینترنت، سیستم پست الکترونیکى بوده است . بسیارى از کاربران اینترنت از این بخش بیشتر از سایر امکانات فراهم آمده توسط این شبکه جهانى استفاده مى کنند. امروزه، اقتصاد جهانى به پست الکترونیکى متکى شده است، بسیارى از پیام هاى رد و بدل شده بین کاربران حاوى یادداشت هاى شخصى است. گرچه اغلب پیام ها از متن ساده تشکیل شده اند اما امکان پست الکترونیکى تمام انواع داده ها، مثل تصاویر، برنامه هاى کامپیوترى، سندهاى صفحه گسترده و... نیز وجود دارد. با توجه به این سرویس، اینترنت اجازه مى دهد که افرادى که دور از هم هستند با یکدیگر در تعامل و کار باشند و در واقع، فردى با فرد دیگرى که هزاران کیلومتر از او دور است و هیچ وقت او را ندیده است، مى تواند ارتباط داشته باشد. پست الکترونیکى امروزه در تجارت و بانکدارى الکترونیکى هم کاربرد فراوانى دارد و بسیارى از تعیین هویت هاى مجازى امروزه توسط پست الکترونیک صورت مى گیرد. در همین رابطه براى استفاده امن از پست الکترونیکى تذکراتى وجود دارد. درک تفاوت هاى پست الکترونیکى با پست عادى و یا گفت وگوى تلفنى کمى دشوار است ولى به کار بستن برخى نکات ساده مى تواند در بالا بردن امنیت هنگام به کارگیرى این سرویس مؤثر باشد از جمله این موارد مى توان از موارد زیر را نام برد:بایستى همواره تصور شود که هیچ گونه اختفایى وجود ندارد. پیام هایى که به دلایلى نباید همه ببینند نباید از این طریق ارسال شود، بنابراین از ارسال نامه هاى بسیار خصوصى، سخنرانى هاى تند، بى احترامى هاى منظوردار و... باید احتراز شود. نباید فرض شود که پیام هاى حذف شده قابل بازیابى نیستند. چنانچه پیامى روز سه شنبه حذف شود، احتمالاً در نسخه هاى پشتیبان که شب یا روز قبل تهیه شده است موجود است، در سیستم پستى ابزار مشابه کاغذ خردکن وجود ندارد. در متن هاى ارسالى باید محتاط بود. این طبیعت پست الکترونیکى است که مردم پیام هاى دریافتى خود را بیشتر از پیام هاى ارسالى جدى مى گیرند. ضمن اینکه ارسال یادداشت سریع به هر جایى از جهان بسیار ساده است .

• ضرورت حفاظت

براى افزایش امنیت تبادل اطلاعات از تکنیک هاى متعددى استفاده مى شود که یکى از آنها رمزنگارى است. رمزنگارى از دیر باز به عنوان یک ضرورت براى حفاظت از اطلاعات خصوصى در مقابل دسترسى هاى غیرمجاز در تجارت و سیاست و مسائل نظامى وجود داشته است. به طور مثال تلاش براى ارسال یک پیام سرى بین دو هم پیمان به گونه اى که حتى اگر توسط دشمن دریافت شود قابل درک نباشد، در رم قدیم نیز دیده شده است. در سالیان اخیر رمزنگارى و تحلیل رمز از یک هنر پا را فراتر گذاشته و یک علم مستقل شده است و در واقع به عنوان یک وسیله عملى براى ارسال اطلاعات محرمانه رویکانال هاى غیرامن همانند تلفن، ماکروویو و ماهواره ها شناخته مى شود. پیشرفت علم رمزنگارى موجب به وجود آمدن روش هاى تحلیل مختلفى شده است به گونه اى که به طور متناوب سیستم هاى رمز مختلف شکسته شده اند. معروف ترین نمونه این نوع سیستم ها ماشین «انیگما » بوده است. انیگما ماشین رمزگذار و کدگذار و کدکننده اى بوده است که حزب نازى در زمان جنگ جهانى دوم براى ارسال پیام هایشان از طریق رادیو به سایر نقاط استفاده مى کردند.رمزنگارى که به طور عمده به دو بخش رمزنگارى متقارن یا رمزنگارى با کلید خصوصى و رمزنگارى نامتقارن یا رمزنگارى با کلید عمومى صورت مى گیرد، تلاش مى کند براى ایجاد یک ارتباط سریاز طریق سیستم هاى مخابراتى و شبکه هاى کامپیوترى مباحث مربوط به محرمانگى و احراز هویت را تحت فرض هاى مشخص به درستى اثبات کند.نرم افزارها از جمله مهمترین اصول ارتقا و یا کاهش سطح امنیت در یک شبکه به حساب مى آیند بر این اساس باید براى نظارت فنى در آنها قوانین و اجبارهایى را در نظر گرفت و باید به منظور پشتیبانى از سیستم کنترل دستیابى ابزارهاى لازم را در اختیار داشت . سیستم هاى نرم افزارى بایستى داراى کنترل هاى داخلى براى شناسایى کاربران، نمایش استفاده هاى غیرمجاز و محدود نمودن حدود اختیار کاربران باشند. چنانچه فردى چند بار سعى کند به سیستم وارد شود و رمز نادرستى را وارد کند بایستى سیستم به طور خودکار غیرفعال و در موارد پیچیده تر برنامه ها به منظور عدم دستیابى به اطلاعات به صورت خود مخرب طراحى شوند. چنانچه از سیستمى در یک مدت زمان مشخص و تعیین شده استفاده نشود، پایانه ها یا رایانه هاى مربوطه باید از حالت فعال خارج شده و سیستم، براى استفاده مجدد نیاز به واردشدن مجدد و دادن رمز ورود داشته باشد. رمزنگارى روش مناسبى براى حفاظت داده هاى مهم از دید همگان است. گنجانیدن دستورات کنترلى داخلى مى تواند کمک موثرى در اعمال رویه هاى شناسایى، دسترسى، استفاده و انتقال داده ها به حساب آید و رد و اثر عملیات انجام شده را در اختیار مسئولان بگذارد. اعمال برخى روتین هاى ویرایشى از بروز اشتباهات و خرابى داده ها تا حد بسیارى جلوگیرى مى کند و در مواقعى، گرفتن گزارش هایى که نشانگر داده هایى است که خارج از محدوده معمول هستند، مى تواند کمک بسیارى در یافتن خطاها یا افراد باشد که قصد خرابکارى یا اعمال خلاف را دارند، این گونه کنترل ها میزان اطمینان به داده ها و اطلاعات جمع آورى شده را نیز بالا مى برد. تدوین برنامه هاى لازم براى تهیه نسخه هاى پشتیبانى از داده ها بسیار ضرورى است . تعیین برنامه زمانبندى براى اجراى این برنامه ها نیز از اهمیت بالایى برخوردار است. کنترل کیفیت نرم افزار مى تواند از بسیارى از خطاهاى نرم افزارى که موجب فقدان داده یا خرابى آنها مى شود، جلوگیرى کند.

گنجانیدن پیام هاى خطاى مناسب جهت ردیابى اشکالات نرم افزارى سبب تسریع در امر اشکال یابى و رفع اشکالات احتمالى مى شود. نرم افزارها در مقابل ویروس هاى رایانه اى و برنامه هاى مخرب بایستى محافظت شوند.

روزانه راهکارهاى مختلف امنیتى در سطوح مختلف براى کاربرى و استفاده از اینترنت براى انتقال داده ها ارائه مى شود با وجود این همواره شاهد بروز ضعف ها و نقاط آسیب پذیر متعددى در سایت ها و بانک هاى اطلاعاتى هستیم. در واقع به نظر مى رسد در هر دو سطح کاربرى و استفاده هاى حرفه اى از این شبکه دچار مشکلات فراوان امنیتى هستیم. یکى از مهمترین راهکارهایى که در این زمینه همواره گوشزد مى شود استقرار نظام جامعى براى افزایش سطح امنیت چه در سطوح کاربرى و چه در سطوح تجارى و دولتى است.

در سطوح کاربرى استفاده از نرم افزارهاى دیوار آتش یا فایروال و همچنین آشنا کردن کاربران با خطرات کاهش امنیت اینترنتى از جمله راهکارها است. یک سیستم ناامن باعث سرقت هویت و اطلاعات مهم افراد از روى کامپیوترها مى شود و این سیستم ناامن اگر در یک شرکت و یا سازمان وجود داشته باشد مى تواند امنیت اطلاعات هزاران نفر را با خطر مواجه کند. در سطح کلان استفاده از طرح هاى ارتقاى امنیت شامل خریدارى و نصب سیستم هاى پیشرفته کنترل امنیت، تبادل اطلاعات و همچنین بهره گیرى از مشاوره هاى امنیتى یک امر ناگزیر است. فقدان استاندارد امنیتى براى شبکه هاى رایانه اى یکى از مهمترین دلایل نفوذ به این سیستم و حذف اطلاعات ضرورى است. این موضوع به خصوص در سال هاى گذشته در بخش هاى خصوصى و دولتى ما به شکل گسترده اى دیده شده است. به عنوان مثال کاربران ایرانى بارها با خبر حمله و دستکارى گسترده به ده ها و صدها سایت دولتى و خصوصى ایران به طور یک جا روبه رو شده اند. در واقع نگهدارى یک جاى هزاران سایت دولتى و خصوصى روى یک سرور امنیت آنان را به گونه اى به خطر انداخته که با یک حمله اینترنتى عملاً همه این سایت ها در معرض خطر قرار مى گیرد. عدم استفاده از نرم افزارهاى به روز شده امنیتى نیز مشکل دیگر امنیتى در دو عرصه کاربرى عادى و کلان اینترنت در ایران است. کاربران ایرانى عادت به خرید یک نرم افزار ۴۰۰ دلارى ضد ویروس و یا فایروال ندارند و عموماً آن را با هزار تومان از بازارهاى نرم افزار تهیه مى کنند. به همین دلیل در بسیارى اوقات این نرم افزارها به جاى آنکه به افزایش امنیت سیستم کمکى کنند باعث بروز مشکلات متعدد امنیتى و فنى دیگر در سیستم مى شوند. با وجود آنکه مشکلاتى از این دست امنیت اطلاعات در کشور ما را به شکل قابل ملاحظه اى کاهش داده اما معضل امنیت صرفاً مربوط به کشور ما نیست. چند سال قبل در حمله اى به چندین سرور اصلى اینترنت عملاً ترافیک اینترنت به شکل بسیار زیادى افزایش پیدا کرد و حتى احتمال قطع اینترنت نیز پیش آمد. این در حالى است که کشور آمریکا و بسیارى از کشورهاى دیگر سالانه میلیاردها دلار براى ارتقاى امنیت سیستم هاى کامپیوترى هزینه مى کنند اما به هر حال این جنگ ادامه دارد.

جنگ سایبر و جنگ شبکه‌ای

شنبه, ۷ مرداد ۱۳۸۵، ۰۹:۰۵ ب.ظ | ۰ نظر

انقلاب اطلاعات در حال متحول‌سازی جنگ می‌باشد. بیش از این دیگر شاهد نبرد فرسایشی خونین نیروهای نظامی نخواهیم بود. در عوض، نیروهای کوچک و چالاکی که به اطلاعات بلادرنگ ماهواره‌ها و حسگرهای صحنه نبرد مسلح شده‌اند، با سرعت اعجاب‌آوری به محل‌های غیرمنتظره حمله می‌برند. در جنگ، فاتح و پیروز کسی است که می‌تواند از اطلاعات برای ازبین‌بردن "ابهام فضای جنگ" (که دشمن را فراگرفته است) استفاده کند.
فرض کنید جنگ اینگونه باشد که نیروهای اندک و چالاکی به دفاع در مقابل توده‌های انبوهی از نیروهای به‌شدت مسلح دشمن پرداخته و بدون تلفات سنگینی در دو طرف، آنان را ناچار به تسلیم می‌کنند. به دلایل ذیل نیروهای چالاک قادر به انجام این کار هستند:

1. برای انجام این‌کار تدارک دیده شده‌اند.

2. برای مانور فضاسازی می‌کنند.

3. قدرت آتش خود را بسرعت در محل‌های غیرقابل‌پیش‌بینی متمرکز می‌کنند.

4. دارای سیستم‌های فرماندهی، کنترل و اطلاعاتی هستند که از ساختاری غیرمتمرکز برای اجرای طرح‌های تاکتیکی برخوردارند. اما همچنان فرماندهان مرکزی از آگاهی همه‌جانبه (غیرموازی) و"نگاه از بالا" جهت اهداف استراتژیک سود می‌برند.
شاید نتوان پیروزی آمریکا در جنگ خلیج فارس را همتراز با موفقیت مغول‌ها در قرن سیزدهم دانست. اگرچه معمولاً تعداد مغول‌ها از نیروهای مقابل کمتر بود، اما در جنگ پیروز می‌شدند و بیش از یک قرن بزرگترین امپراطوری قاره‌ای تاریخ را حفظ نمودند. رمز موفقیت مغول‌ها، در کسب اطلاعات از میدان نبرد بود. آنان در هر زمان و مکان مناسب، حمله می‌کردند و ارتباطات روزانه خود را با فرماندهان (اگرچه صدها کیلومتر با آنها فاصله داشتند) را از طریق "سواران تیزرو" حفظ می‌نمودند. اگرچه خان بزرگ بعضاً هزاران کیلومتر از نیروهای خود دور بود ولی ظرف چند روز از پیشرفت‌های آنها کاملاً مطلع می‌شد.
جنگ در عصر اطلاعات

در طول تاریخ، دکترین، سازمان و استراتژی نظامی پیوسته دستخوش تغییرات بنیادین در اثر پیشرفت‌های فناوری شد‌ه‌اند. صنعتی‌شدن به جنگ فرسایشی بین ارتشهای انبوه در جنگ جهانی اول منتهی شد. در جنگ جهانی دوم، مکانیزه‌شدن نیز به مانورهایی که در سیطره تانکها بود منجر شد. انقلاب اطلاعات باعث ظهور سبکی از جنگ می‌شود که نه تعداد زیاد نیرو و نه تحرک آنان، به نتایج مورد نظر منجر نخواهد شد. در عوض کسی که در جنگ اطلاعات بیشتری دارد، ابهام فضای جنگ را (که دشمن را در بر گرفته است) از بین برده و از مزایای قطعی آن بهره‌مند خواهد شد.

تحولات شگرفی در جمع‌آوری، ذخیره‌سازی، پردازش، انتقال و ارائه اطلاعات و همینطور سازمان‌هایی که از افزایش اطلاعات منتفع می‌شوند، در حال رخ‌دادن می‌باشد. اطلاعات در حال تبدیل‌شدن به یک منبع استراتژیک می‌باشد و می‌تواند خود را به عنوان یک عنصر بانفوذ و ارزشمند در عصر فراصنعتی، همانند نقش سرمایه و کار در عصر صنعتی، مطرح کند.

انقلاب اطلاعات در حال به‌چالش‌کشیدن طراحی سازمان‌های زیادی است. این انقلاب، سلسله‌مراتب سازمان‌هایی که بصورت متعارف طراحی شده‌اند را از هم می‌پاشد و به مرور زمان از بین می‌برد. انقلاب اطلاعات اغلب قدرت را به نفع بازیگران کوچکتر و ضعیفتر اشاعه و توزیع‌مجدد می‌کند. این انقلاب از مرزهای فعلی مسئولیت‌ها عبور می‌کند و مرزهای جدیدی برای این مسئولیت‌ها ترسیم می‌کند و عموماً سیستم‌های بسته را مجبور به باز‌شدن می‌کند.

انقلاب اطلاعات می‌تواند باعث تغییر‌جهت در چگونگی کشمکش بین جوامع و هم چگونگی برپایی جنگ توسط نیروها شود. بهتر است بین جنگ شبکه‌ای (درگیری در سطح جوامع از طریق سبکهای ارتباط اینترنتی) و جنگ سایبر تمایز قائل شویم.
جنگ شبکه‌ای چیست؟

جنگ شبکه‌ای برخوردی اطلاعاتی در سطح کلان بین ملل و جوامع گوناگون می‌باشد. هدف این نوع جنگ، مخدوش‌کردن مسایلی است که مردم مورد هدف راجع به خود و جهان اطرافشان می‌دانند و می‌اندیشند. جنگ شبکه‌ای توانایی تمرکز بر روی افکار عمومی یا نخبگان و یا هر دوی آن‌ها را دارد. این جنگ اموری همچون دیپلماسی، تبلیغات و مبارزات روانی، تخریب فرهنگی و سیاسی، اغفال و یا دخالت در رسانه‌های محلی، نفوذ در شبکه‌های کامپیوتری و پایگاه داده‌ها، تلاش یرای اشاعه جنبشهای دگراندیش و مخالف در شبکه‌های کامپیوتری را در بر می‌گیرد.

جنگ شبکه‌ای سبک نوینی در طیف گسترده برخوردها است که ابعاد اقتصادی، سیاسی و اجتماعی را نیز همانند ابعاد نظامی در بر می‌گیرد. در مقابل جنگ‌های اقتصادی که هدف آن نظام تولید و توزیع سرمایه می‌باشد و جنگ‌های سیاسی که هدف آن هدایت و رهبری سازمان‌های دولتی می‌باشد، می‌توان جنگ شبکه‌ای را از طریق آرمانهای اطلاعاتی و ارتباطاتی آن تشخیص داد.

جنگ شبکه‌ای اشکال گوناگونی دارد؛ این جنگ می‌تواند در سطح دولتهای رقیب و در سطح ملل رخ دهد. نوع دیگری از جنگ شبکه‌ای وجود دارد که می‌تواند بین دولت‌ها و نیروهای غیردولتی اتفاق بیافتد؛ برای مثال می‌توان به جنگ دولت‌ها بر علیه گروه‌های نامشروع (از قبیل تروریست‌ها، تکثیرکنندگان تسلیحات کشتار جمعی و یا قاچاقچیان دارو) اشاره کرد. همچنین می‌تواند بر علیه سیاست‌های دولت خاصی توسط گروه‌های مدافع محیط زیست، حقوق بشر واعتقادات مذهبی انجام شود. این نیروهای غیردولتی ممکن است ملیت مشخصی داشته باشد یا اینکه از ائتلافی بین‌المللی تشکیل شده باشند. برخی از جنگ‌های شبکه‌ای شامل موضوعات نظامی خواهد بود؛ برای نمونه تکثیر سلاحهای هسته‌ای، قاچاق دارو و مخالفت با تروریسم، که تهدیدی بالقوه برای نظم بین المللی و امنیت ملی محسوب می‌شوند.

جنگ شبکه‌ای همان جنگهای واقعی در قالب سنتی نیستند؛ اما شاید بزودی جنگ شبکه‌ای به ابزاری در جهت جلوگیری از وقوع جنگ واقعی تبدیل شود. بازدارندگی در این دنیای پرآشوب همانگونه که به حضور و وظیفه نیروهای نظامی یک کشور بستگی دارد می‌تواند به حضور و کارکرد فضای سایبر آن کشور نیز بستگی داشته باشد.

جنگ سایبر چیست؟

به هدایت عملیات نظامی بر اساس قوانین حاکم بر اطلاعات، جنگ سایبر گویند. هدف از این نوع جنگ، تخریب سیستم‌های اطلاعاتی و ارتباطاتی می‌باشد؛ تلاش این جنگ در جهت شناسایی مسایلی است که دشمن به‌شدت از آن محافظت می‌کند؛ این جنگ حرکتی در جهت تغییردهی "توازن اطلاعات و دانش" به نفع یک طرف است، به‌خصوص اگر توازن نیروها برقرار نباشد. در واقع، به کمک دانش، سرمایه و نیروی کاری کمتری هزینه خواهد گردید.

این جنگ از فناوری‌های گوناگونی بهره می‌برد. از موارد برجسته این نوع فناوری‌ها می‌توان به فرماندهی و کنترل برای رسیدن به هوشمندی، توزیع و پردازش برای رسیدن به ارتباطات تاکتیکی، تثبیت موقعیت، و شناخت هویت دوست و دشمن در زمینه مبادلات سیستم‌های جنگی هوشمند اشاره کرد. همچنین این نوع فناوری‌ها می‌توانند باعث اغفال، فریب و ایجاد اختلال در تجهیزات ارتباطاتی و اطلاعاتی دشمن شده و راهی جهت نفوذ به آن پیدا کنند.

جنگ سایبر الزامات گسترده‌ای برای دکترین و سازمان‌های نظامی هم دارد. حرکت به سمت ساختار شبکه‌ای تا حدودی نیازمند فرماندهی و کنترل غیرمتمرکز است؛ اما این همه مطلب نیست؛ فناوری جدید با تامین نگاه بهتری از بالا (اصل قضیه)، سبب بهبود مدیریت پیچیدگی‌ها می‌شود.

جنگ سایبر می‌تواند باعث خلق دکترین‌های جدید در زمینه انواع نیروهای موردنیاز، و اینکه چگونه و کجا باید آنان را مستقر کرد تا بتوان به دشمن حمله‌ور شد. این که چطور و چه نوع کامپیوترها، حسگرها، شبکه‌ها و پایگاه داده‌ها در چه موقعیتی قرار گیرند، اهمیتی هم‌سطح با نحوه استقرار بمب‌افکن‌ها و عملیات‌ پشتیبانی آن‌ها (در گذشته) دارد.

جنگ سایبر می‌تواند همان "حمله رعدآسا"ی قرن بیستم در قرن بیست و یکم (به عنوان ابتکاری در جنگ) باشد. پایین‌ترین سطح جنگ سایبر، مبین اهمیت گسترش اطلاعات در جنگ است: فرماندهی و کنترل، ارتباطات و آگاهی، می‌تواند در شناسایی، تعیین موقعیت، فهمیدن و اغفال دشمن (قبل از اینکه دشمن این‌کار را انجام دهد) مثمرثمر باشد.

شاید صحنه نبرد در عصر فراصنعتی، تغییرات بنیادینی را در اثر انقلاب فناوری اطلاعات به خود ببیند. افزایش وسعت و عمق میدان نبرد و بهبود مستمر دقت و تخریب‌کنندگی تسلیحات متعارف، اهمیت اطلاعات را به‌جایی رسانده است که، برتری تنها از این ‌بعد می‌تواند معنا داشته باشد و مزایای منسجمی را برای فاتح جنگ داشته باشد.
سلسله مراتب در برابر شبکه‌ها

بر اساس دیدگاه متداول، ارتش نهادی است که نیروهای آن به میدان نبرد می‌روند. معمولاً همه سازمان‌ها از سلسله‌مراتبی بر‌خوردار می‌باشند؛ به خصوص در ارتش، این وابستگی به سلسله‌مراتب بیشتر است. البته، انقلاب اطلاعات باعث نابودی تدریجی سلسله‌مراتب‌ها می‌شود و معمولاً از محدودیت‌هایی که موسسات و سازمان‌ها را احاطه کرده است گذر می‌کند.

مغولها یک نمونه باستانی می‌باشند که مطابق اصول جنگ سایبر، به نبرد پرداختند؛ سازماندهی آنها بیشتر ساختار شبکه‌ای داشت تا اینکه سلسله‌مراتبی باشد؛ در عصر حاضر نیز می‌توان به اتحاد نیروهای ویتنام شمالی و جنوبی که یک قدرت نظامی ضعیف بودند و در مقابل یک قدرت پیشرفته قویتر دفاع کردند، اشاره کرد؛ عملیات‌شان بیشتر شبیه ساختار شبکه‌ای بود تا اینکه یک سازمان باشند. حریفانی که در مقابل مغول‌ها و ویتنامی‌ها دفاع می‌کردند، سازمانهای بزرگتری بودند که نیروهایشان برای مبارزه‌کردن در یک نبرد عظیم و فرسایشی مشخص طراحی شده بودند.

در حال حاضر بیشترین دشمنان پیش روی ایالت متحده و هم‌پیمانانش (از جمله تروریسم بین‌المللی، شورشیان غیرنظامی، قاچاقچیان دارو، انجمن‌های نژادی و گروه‌های قومی و طایفه‌ای) که برخوردهای کم‌شدتی دارند، همگی از ساختاری شبیه شبکه‌ برخوردارند.
جمع‌بندی

سازمان‌هایی که بصورت ساختاری شبیه شبکه‌ هدایت می‌شوند، توانایی ایستادگی در مقابل ساختارهای شبکه‌ای را دارا می‌باشند. آینده از آن کسانی است که بر شبکه‌ها حکمرانی می‌کنند.
(حقوق مادی و معنوی این اثر متعلق به مرکز آینده‌پژوهی علوم و فناوری دفاعی است)

امنیت الکترونیکی را به خانه‌ها می بریم

شنبه, ۷ مرداد ۱۳۸۵، ۰۸:۵۹ ب.ظ | ۰ نظر

سید میثم لطفی- بزرگراه فناوری - اگرچه تا چند سال پیش ادارات و سازمان‌های قدیمی و باسابقه کمتر به سراغ استفاده از کامپیوتر‌ها و دستاوردهای نوین فناوری می‌رفتند و در بیشتر مواقع ترجیح می‌دادند که از ابزارهای سنتی استفاده کنند، امروز فناوری ارتباطات و اطلاعات حرف اول را در بیشتر سازمان‌های کوچک و بزرگ در سراسر جهان می‌زند.

شرکت‌هایی که امروزه به بقا و ماندگاری خود فکر می‌کنند و در تلاشند رقابت بیشتری را با مراکز همسان خود انجام دهند مجبورند آخرین یافته‌های فناورانه را به‌کار بندند و به این وسیله خدمات متنوع‌تر و گرانبهاتری را به‌دست مصرف‌کنندگان برسانند. نشریه eGovMonitor برای آنکه میزان خدمت‌رسانی شرکت‌های مختلف جهانی به مردم با استفاده از فناوری ارتباطات و اطلاعات را بیش از پیش نمایان کند به‌تازگی گفت‌وگویی با کلیر هامون(Claire Hamon) انجام داده است. هامون درحال حاضر مدیریت دفتر اطلاعات وابسته به مرکز خدمات پیگردهای قانونی بریتانیا را برعهده دارد و در این مصاحبه سعی کرده تا نشان دهد که سازمان‌ها چگونه می‌توانند با کنترل فناوری اطلاعات تولیدات و خدمات خود را به بهترین صورت ممکن به‌دست مردم برسانند که در زیر بخش‌هایی از این مصاحبه را مرور می‌کنیم.
به‌عنوان نخستین سوال، می‌توانید توضیح کوتاهی در مورد نقش خود به‌عنوان مدیر دفتر اطلاعات وابسته به مرکز خدمات پیگردهای قانونی بریتانیا بدهید؟
سمتی که من در آن قرار گرفته‌ام طوری طراحی شده که براین اساس باید 100 کارشناس را که در بخش عرضه خدمات فناوری ارتباطات و اطلاعات فعالیت‌ می‌کنند به‌طور مستمر زیرنظر بگیرم و با آن‌ها در ارتباط باشم. نقش من به‌عنوان مسؤول سیستم‌های اطلاعاتی بازرگانی در مرکز فناوری ارتباطات و اطلاعات وابسته به مرکز پیگردهای قانونی دولت مرکزی بریتانیا تعریف شده و بر این اساس مجبورم تمام فعالیت‌هایی را که در حیطه ICT انجام می‌شود، زیر نظر بگیرم. اعضای گروه من وظیفه دارند که به صورت شبانه‌روزی مراکز ارایه خدمات اینترنتی را کنترل کنند و با آن‌ها در تماس باشند و همچنین به کمک‌ ابزارهای فناوری ارتباطات و اطلاعات، با هشت هزار کارمند اداره پیگردهای قانونی بریتانیا که در انگلستان و ولز پراکنده شده‌اند در ارتباط باشند.
علاوه براین، من در بخشی فعالیت می‌کنم که ارتباط سازمانمان را با دنیای بیرون برقرار می‌سازد. این ارتباط نه‌تنها با شرکت‌ها و سازمان‌های خصوصی، بلکه با مراکز دولتی و ملی نیز برقرار می‌شود تا بتوانیم اطلاعات مورد نیاز خود را از همه بخش‌ها به‌دست آوریم. در دولت مرکزی بریتانیا شورایی با نام "شورای پی‌گیری‌های قانونی" تاسیس شده که با شرکت در آن می‌توانیم دریابیم که طرح‌های دولتی و بزرگ برای توسعه فناوری ارتباطات و اطلاعات تا چه اندازه موفق بوده است. ما همچنین در سازمان خود طرحی را عرضه کرده‌ایم که eSkills نام گرفته و بر این اساس ضمن شناسایی نیازهای کاربران و کارمندان، به ما امکان می‌دهد با برگزاری کلاس‌ها و دوره‌های آموزشی مختلف بتوانیم به این نیازها پاسخ دهیم و سطح فناوری ارتباطات و اطلاعات را در تمامی نقاط بریتانیا بالا آوریم.
درحال حاضر دولت دریافته که فناوری ارتباطات و اطلاعات به‌عنوان اصلی‌ترین عامل در انتقال کالا و خدمات به مصرف‌کنندگان محسوب می‌شود. آیا شما می‌توانید توضیحی کوتاه در مورد فعالیت‌های سازمان خود برای رشد صنعت ICT بدهید؟
دفتر اطلاعات وابسته به مرکز خدمات پیگردهای قانونی بریتانیا استراتژی‌هایی را برای خود در نظر گرفته که به کمک آن شبکه تولید، عرضه و خدمات کالاهای مختلف را زیر نظر می‌گیرد و با کمک فناوری ارتباطات و اطلاعات باعث می‌شود تا این کالاها با کیفیتی مناسب و در سطحی گسترده به‌دست همه مردم برسد. باید اعتراف کنیم که فناوری ارتباطات و اطلاعات در سال‌های اخیر موفق شده تاثیری مستقیم و چشمگیر در عرضه خدمات به مشتریان برجای بگذارد. ما برای آنکه بتوانیم موفقیت خود در آینده را تضمین کنیم شش استراتژی مجزا و کامل تبیین کرده‌ایم که شامل توسعه مدیریتی، افزایش استفاده از فناوری برای بالا بردن میزان انعطاف‌پذیری فعالیت‌های مختلف، توسعه و ارتقای قابل ‌ملاحظه بخش‌های اصلی و اساسی سازمان، افزایش کیفیت و در دسترس بودن مدیریت اطلاعات در عرضه خدمات، افزایش توانایی‌های خود برای مدیریت اطلاعات و تبدیل اطلاعات به ابزاری برای استفاده در بخش‌های مختلف زندگی می‌شود. این ابزارها باعث می‌شوند تا ما بتوانیم استفاده‌های بیشتری از مراکز آموزشی سازمان خود برده و کارایی سیستم عدالت جنایی را در این مرکز بالا ببریم تا بازده در مراکز دولتی افزایش یابد. این استراتژی‌ها می‌تواند میزان کارایی و اثربخشی ما را افزایشی قابل‌ ملاحظه دهد.
آیا می‌توانید چند نمونه از پروژه‌های فناوری اطلاعات که در مرکز شما به آن پرداخته شده را برای ما مثال بزنید؟ این پروژه ها تا چه اندازه موفق بوده‌اند؟
یکی از مهم‌ترین پروژه‌های فناورانه‌ای که ما در این مرکز انجام داده‌ایم طرح سیستم مدیریتی COMPASS بوده که از سال 2003 میلادی آغاز شده که سازمان ما توانسته مدیریت پیگردهای جنایی خود را به کمک این طرح انجام دهد و موفقیت‌های فراوانی را نسبت به گذشته به‌‌دست آورد. این طرح عظیم و بزرگ موجب شده تا ما بتوانیم در زمان مناسب اطلاعات مورد نیاز خود را به‌دست آورده و آن‌ها را برای فعالیت‌های خود به‌کار بریم. در این سیستم که CMS نام‌گذاری شده تاکنون بیش از سه میلیون مورد پی‌گیری شده که بیشتر آن‌ها با موفقیت به پایان رسیده است. علاوه بر این، به‌تازگی سیستم WMS نیز که به‌عنوان پشتوانه CMS محسوب می‌شود راه‌اندازی شده که باعث می‌شود احتمال موفقیت‌های ما در زمینه‌های مختلف افزایش یابد.
مرکز ما درحال حاضر به‌قدری توسعه یافته که به‌صورت مستمر به هشت هزار نفر خدمات می‌دهد. درحالی که بخشی از این افراد در سازمان‌های وابسته به ما فعالیت‌ می‌کنند، بخش دیگر در ادارات پلیس و مراکز اطلاع‌رسانی وابسته به آن بهره می‌برند. سیستم CMS اطلاعات تمام سارقان و متخلفان را در خود جای داده تا به هنگام نیاز ماموران امنیتی و پلیس بتوانند از آن‌ها استفاده کنند، با زیر پوشش قرار دادن دادگاه‌ها به آن‌ها کمک می‌کند تا بتوانند در مواقع مختلف بهترین تصمیم را با توجه به اطلاعات به ثبت رسیده اتخاذ کنند. سیستم CMS تاکنون در بیش از 750 مرکز در انگلستان و ولز راه‌اندازی شده و احتمال می‌دهیم که در آینده نزدیک این رقم تا چند برابر افزایش یابد. تجربه ثابت کرده، هر جا این سیستم مورد استفاده قرار گرفته درصد خطا و اشتباه کارمندان ما به میزان زیادی کاهش یافته است.
برای تغییر آسان‌تر و بهتر روش‌های مدیریتی که بتواند نتایج بهتری را در پی داشته باشد چه روش‌هایی را مناسب می‌بینید؟
به‌طور کلی تغییر سیستم‌های مدیریتی از جمله روش‌هایی است که به کمک آن یک سازمان می‌‌تواند بقای خود را تضمین کند. ما براساس این اصل می‌کوشیم سیستم‌های قضایی خود را به‌روز کنیم و از این طریق بتوانیم اطلاعات مورد نیاز را در بهترین زمان ممکن به‌کار بریم. پیشنهادات و انتقاداتی که مردم همواره به ما انتقال می‌دهند از جمله مواردی است که همواره برای ما مفید محسوب شده و توانسته بر روی سیستم‌های الکترونیکی ما تاثیر بگذارد. این تغییرات می‌تواند از تفاوت‌های بزرگ که به تغییر فرهنگ منتهی می‌شود گرفته تا تغییر سیستم‌های کوچک مدیریتی را شامل شود. کارشناسان ما بر پایه نتایج حاصل از مطالعاتی که در این زمینه انجام داده‌اند دریافته‌اند، این تغییرات که برخی از آن‌ها در ظاهر بسیار کوچک به‌نظر می‌رسند اساس رشد و توسعه فناوری ارتباطات و اطلاعات را فراهم می‌آورند. باید توجه داشته باشیم که مبادلات و خدمات امنیتی به برکت فناوری‌های نوین اطلاعاتی امروزه پیشرفته‌تر و کامل‌تر از گذشته شده است، به‌طوری که ادغام بازارهای جهانی به‌وسیله فناوری‌های ارتباطی امکان‌پذیر شده است. امروزه سازمان ملل به‌جای اینکه ارزش یک کشور را از روی توسعه صنعتی آن ارزش‌یابی کند، به ارزش اطلاعاتی آن یا Knowledge Base Economy رجوع می‌کند که چقدر اطلاعات در این جامعه درحال گسترش است و سرعت گسترش آن چه میزان است و یا اینکه چقدر توسعه اطلاعات، سالم و دقیق است و این امر باعث می‌شود که دامنه اقتصاد جهانی توسعه پیدا کند.
شما فکر می‌کنید که ظرف چند سال آینده چه تغییرات اساسی در این زمینه ایجاد می‌شود و استراتژی‌های شما برای موفقیت‌ هرچه بیشتر این تغییرات چیست؟
ابتکار و خلاقیت ابزاری است که همواره توانسته به توسعه فناوری ارتباطات و اطلاعات کمک کند. ما همواره با این توسعه‌ها و پیشرفت‌ها مواجه هستیم و برای آنکه بتوانیم سیستم‌های قضایی، امنیت، عدالت و ... را همواره به‌روز نگه‌داریم مجبوریم از این فناوری‌ها استفاده کنیم. این پیشرفت‌ها موجب شده تا در ابزارهای قابل حمل ما که برای ماموران امنیتی مورد استفاده قرار می‌گیرد تغییرات فراوانی حاصل شود. یکی از راه‌های اصلی پیشرفت در زمینه قضایی و امنیتی خدمت در یک یا چند پست سخت و دشوار است. این چنین پست‌هایی، پست‌های خطرناک و ضروری در مناطقی است که اغلب حکومت‌های ضعیف دارند و تلاش می‌کنند امنیت به‌وجود آورند، توسعه یابند و هرچه بیشتر امنیت الکترونیکی ایجاد کنند. اکنون تحت حکم جدید امنیت ملی، قدرت و اختیارات وسیعی به‌دست آمده است. به‌تازگی قانونی به مرحله اجرا درآمده که طی آن تا مبلغ زیادی از بودجه وزارت دفاع به مناطقی که درگیری در آن‌ها به پایان رسیده، منتقل می‌شود. مشاوران امنیتی برای نیروهای ارتش که به‌عنوان مشاوران سیاسی و دیپلماتیک برای فرماندهان ارتش عمل می‌کنند، به همراه آن‌ها اعزام شده و تجربیات منطقه‌ای و دیپلماتیک خود را در اختیار آن‌ها قرار می‌‌دهند.
به‌عنوان سؤال آخر، شما برای آن دسته از افراد و مراکزی که می‌خواهند فعالیتی مشابه را انجام دهند چه پیشنهادی دارید؟
در سال 2005 حداقل 130 گزارش مبنی بر سرقت اطلاعات شخصی کاربران اینترنتی از کشور آمریکا به‌دست شرکت‌های امنیتی رسیده است. در این سال تقریبا 55 میلیون آمریکایی مورد هدف سارقان کارت‌های شناسایی و اطلاعات سری قرار گرفته‌اند. در سال 2004 اداره آمار اینترنتی اعلام کرد: میزان جرایم سایبر به 105 میلیارد دلار رسیده بود. علاوه بر این، در سال 2005 نیز اطلاعات شخصی تقریبا 206 هزار نفر از کارمندان شرکت‌ها و مشتریان آن‌ها به سرقت رفته است. مسؤولان کشور آمریکا با بررسی آمار حملات اینترنتی و افزایش روزافزون سرقت اطلاعات شخصی کاربران، قصد دارند فعالیت‌های خود را در زمینه مقابله با جرایم اینترنتی دوچندان کنند و برای این منظور باید مبلغ بیشتری را در این بخش هزینه کنند. در این میان کاخ سفید هم اعلام کرده که فناوری ردیابی اینترنتی‌ خود در راستای قوانین فدرال است چرا که تنها شمارش تعداد بازدیدکنندگان ناشناس را انجام می‌دهد و از ثبت اطلاعات شخصی امتناع می‌ورزد. سایت کاخ سفید با استفاده از یک فناوری جاسوسی اینترنت، تصویر گرافیکی کوچکی که به‌طور مجازی غیرقابل مشاهده است به‌طور پنهانی تعداد و زمان بازدیدها را ثبت و ردیابی می‌کند.
باید توجه داشت که از میان برداشتن شکاف دیجیتالی و اطمینان از دسترسی عمومی به اینترنت یکی از مهم‌ترین وابتدایی‌ترین اقدامات در جهت تحقق امنیت الکترونیکی و دولت الکترونیکی محسوب می‌شود.
به‌طور کلی در تئوری‌های سازمانی فرایند هدایت را اخذ اطلاعات عملکردی سازمان، تحلیل و مقایسه این اطلاعات با رسالت‌های سازمان و تفکرات نوین سازمانی به‌منظور ارایه راهکارهای اجرایی و کاربردی در جهت رشد و تعالی سازمان باید دانست. از سوی دیگر فلسفه وجودی تکنیک‌ها و الگوریتم‌های کارآمد فعالیت در زمینه هوش مصنوعی، چیزی جز تحلیل انبوهی از اطلاعات انباره‌های داده در جهت کشف روابط مخفی دانش در اطلاعات موجود به‌منظور تسریع عملیات تصمیم‌سازی و تصمیم‌گیری نیست. از این‌رو ابزار داده‌کاوی به‌منظور تحلیل اطلاعات پراکنده و حجیم سازمان و تبدیل اطلاعات مذکور به دانش مفید مدیریتی و هدایتی ضرورتی انکارناپذیر بوده که فقط به کمک صنعت ICT می‌توان به نتیجه مطلوب رسید.
دولت‌هایی نظیر انگلستان پنج میلیون پوند در سال کلاه‌برداری اینترنتی دارند، اما با این‌حال از این نوع شبکه‌ها، به اسم ملی و به بهانه امنیت راه‌اندازی نکرده‌اند. دولت الکترونیکی که زیر نظر امنیت الکترونیکی اداره می‌شود اشاره به استفاده نمایندگان دولت از فناوری اطلاعات که قادر است روابط با شهروندان، تجار و دیگر بازوهای دولت را گسترش و ارتقا دهد، است. دولت الکترونیکی نسبت به تعامل فعال دولت با شهروندان یا دولت با شرکت‌های تجاری بیشتر بر انتشار اطلاعات از طریق اینترنت متمرکز شده است. بی‌شک پیش‌بینی الکترونیکی یک فرآیند کلیدی در مدیریت اجرایی است و اساس آن بر فراوانی داده‌هایی بوده که قبلا حاصل شده است. بنابراین، سیستم‌های پیش‌بینی بیش از هر چیز برای یک دولت کارا ضروری است. بخش‌هایی مانند مدیریت خدمات درمانی، بازار دارایی‌های غیرمنقول و بازارهای تجاری و مالی بیشترین نیاز را به پیش‌بینی‌های نزدیک به واقعیت دارند. در قرن بیست و یکم پیش‌بینی الکترونیکی جایگزین پیش‌بینی‌های سنتی شده است و در واقع به یک قسمت لازم‌الاجرا و غیرقابل انکار در دولت الکترونیکی تبدیل شده است که به سرعت دنیای کامپیوتر را تغییر می‌دهد. این تحقیق برآوردی از کتابنامه‌های موجود و برنامه‌های سیستم‌های پیش‌بینی‌کننده در قالب دولت الکترونیکی است که عناصر ساختار اصلی سیستم پیش‌بینی‌کننده در دولت الکترونیکی را ارایه می‌دهد.

نخستین آمار از جرایم رایانه‌ای ایران

شنبه, ۱۷ تیر ۱۳۸۵، ۱۰:۴۸ ب.ظ | ۲ نظر

هم‌زمان با ورود به هزاره دوم، انسان همچنان شاهد جرم و جنایت‌های بی‌شماری است که اگرچه از نظر ماهوی دچار تغییر نشده است اما از نظر استفاده از ابزارها، تغییرات شگرفی را به‌خود دیده است. انسان امروزی همچنان دزدی می‌کند، آدم می‌کشد و به مال و حریم دیگران تجاوز می‌کند. شاید دیروز یک داس یا یک چوب و یا یک خنجر، ابزار تجاوز و یا دزدی و باج‌خواهی از اموال دیگران بود، اما امروز با فشار دادن یک کلید و وارد کردن چند عدد، می‌شود به حریم دیگران تجاوز و یا به مال او دست‌اندازی کرد. حوزه جرایم در زندگی امروز بشر آن قدر پیچیده شده است که قانون‌گذاران مجبورند تحولات جرم را به‌صورت مداوم زیر نظر داشته باشند. این معضل با سرعت ملایم‌تری در ایران رو به گسترش است و به قانون‌گذار و پلیس کشور اجازه می‌دهد که هم‌زمان با گسترش فرهنگ اینترنت در کشور، راهکارهای مقابله با جرایم قابل ارتکاب در این حوزه را تدوین کند. در نیروی انتظامی جمهوری اسلامی ایران و پس از اصلاح ساختار معاونت کشف جرایم، اداره کل مبارزه با جرایم خاص و رایانه‌ای از سال 1381 آغاز به‌کار کرده است. این اداره ماموریت طراحی و برنامه‌ریزی، هماهنگی و هدایت امور مربوط به کشف جرایم در زمینه مبارزه با جعل، کلاهبرداری، اختلاس و جرایم رایانه‌ای را برعهده دارد. در گفت‌وگوی زیر که با سرهنگ مهرداد امیدی مدیرکل مبارزه با جرایم خاص و رایانه‌ای ناجا، انجام شده است، موضوع کشف جرم در فضای اینترنت و رایانه مورد بحث و بررسی قرار گرفته است.

به‌طور طبیعی، نخستین پرسش باید در مورد تعریف جرایم اینترنتی باشد. به‌عنوان مدیرکل مبارزه با جرایم خاص و رایانه‌ای نیروی انتظامی چه تعریفی از جرم رایانه‌ای دارید؟
در مورد جرم رایانه‌ای تعریف‌های زیادی ارایه شده است. از نظر سازمان ملل متحد جرم رایانه‌ای می‌تواند شامل فعالیت‌های مجرمانه‌ای باشد که ماهیتی سنتی دارند اما از طریق ابزارهای مدرنی مثل رایانه و اینترنت صورت می‌پذیرند. از طرف دیگر متخصصان سازمان OECD معتقدند سوءاستفاده از رایانه، هر نوع رفتار غیرقانونی، غیراخلاقی و غیرمجاز مربوط به پردازش خودکار و انتقال داده‌ها جرم اینترنتی محسوب می‌شود. در هر صورت ماهیت جرم تفاوتی ندارد و این ابزار است که وقوع جرم را در بستری جدید فراهم می‌کند. در مورد تعریف جرم رایانه‌ای در ایران اختلاف نظر وجود دارد و کارشناسان قضایی و انتظامی تعریف‌های گوناگونی در مورد آن ارایه داده‌اند. اما در مجموع فضای قضایی و انتظامی کشور به آن سمت پیش می‌رود که یک تعریف یکسان در مورد جرم رایانه‌ای و مجازات‌های برخورد با آن ارایه شود.
اما پیش از آنکه بخواهیم در مورد جرایم رایانه‌ای بحث کنیم، باید وارد حوزه "جرایم سایبر" شویم. جرایم در فضای سایبر یا فضای سایبری به‌واسطه تغییرات سریع فناوری اطلاعات در قلمرو سیستم‌های رایانه‌ای و مخابرات امکان وقوع می‌یابند. در این‌گونه جرم‌ها، تاکید بر رایانه نیست بلکه رایانه وسیله‌ای است که ابزار وقوع جرم قرار می‌گیرد.
نسل سوم جرایم رایانه‌ای؟
بله، به آن نسل سوم جرایم رایانه‌ای می‌گویند.
در مجموع چند نوع جرم در حوزه رایانه و اینترنت تعریف شده است؟
مطابق تعریف سازمان ملل متحد از جرم رایانه‌ای، کلاهبرداری رایانه‌ای، جعل، ایجاد خسارت یا تغییر داده‌ها، دست‌یابی غیرمجاز به سیستم‌ها و خدمات رایانه‌ای و تکثیر غیرمجاز برنامه‌های رایانه‌ای جزء جرایم شناخته شده در حوزه رایانه محسوب می‌شوند.
جناب سرهنگ درحال حاضر وضعیت ایران از نظر وقوع جرایم رایانه‌ای چگونه است؟
با تکیه بر اینکه در کشور ما هنوز آیین‌نامه‌ای برای مبارزه با جرایم اینترنتی و رایانه‌ای تدوین نشده است، باید بگویم که میزان کشفیات جرایم رایانه‌ای در سال گذشته، معادل 50 درصد پرونده‌های ورودی بوده است یعنی از کل پرونده‌هایی که در زمینه جرایم رایانه‌ای به ثبت رسید، 50 درصد منجر به کشف جرم شد و پیش‌بینی من این است که این روند باز هم بهبود پیدا کند. در همین زمینه باید بگویم که در طول زمان مشخصی از فصل بهار، میزان کشف جعل با5/73 درصد و کشف کلاهبرداری با 78 درصد رشد مواجه شد. بنابراین پیش‌بینی ناجا این است که هم‌زمان با تدوین قوانین و آیین‌نامه‌های مربوط به جرایم رایانه‌ای و اینترنتی، رقم کشف جرم در مجموع با افزایش قابل ملاحظه‌ای همراه شود.
با وجود خلاء قانونی، نحوه برخورد ناجا با مجرمان رایانه‌ای چگونه است؟
نیروی انتظامی، با آن دسته از جرایم رایانه‌ای که منجر به خسارت شود و با قوانین موجود نیز تطابق داشته باشد، به‌طور قطع برخورد جدی خواهد کرد. مسایلی مثل ایجاد مزاحمت و هتک‌حرمت از آن دسته موضوعاتی هستند که ناجا نسبت به آن حساس است. اما جرایم دیگری مثل نفوذ غیرمجاز در اینترنت که بحث تازه‌ای است، با این عنوان که در جریان وقوع جرم، خسارت وارد آمده است، در دسته جرایم مربوط به ایجاد خسارت و تخریب و یا مصادیقی از این دست قرار می‌گیرد و ناجا با این جرایم با تمام توان مقابله خواهد کرد. اما مصادیق دیگری از جرایم رایانه‌ای وجود دارد که ناجا برای برخورد با آن، نیاز به قوانین جدید دارد.
ناجا، برای پر کردن خلاء قانون چه کرده است؟
لایحه‌ای تدوین کرده‌ایم با عنوان "آیین‌نامه رسیدگی به جرایم اینترنتی"، قرار است این لایحه به مجلس ارایه شود. در این آیین‌نامه به‌طور جامعی، روی جرایم اینترنتی و رایانه‌ای کار کرده‌ایم و تصویب آن به‌طور قطع بر کشف جرم در این حوزه تاثیر زیادی خواهد گذاشت.
جناب سرهنگ، سهم جرایم رایانه‌ای از کل جرایم کشور، چه‌قدر است؟
خیلی ناچیز است، به‌طور مثال سال گذشته، 53 پرونده با شکایت بخش خصوصی در حوزه جرایم رایانه‌ای تشکیل شد که 22 مورد آن به سوءاستفاده از کارت‌های اعتباری مربوط بود. در همین مدت همکاران ما، 11 پرونده در مورد کلاهبرداری اینترنتی تشکیل داده‌اند. هفت پرونده هم در مورد ایجاد مزاحمت اینترنتی تشکیل شد و سه پرونده هم در مورد رعایت نشدن حقوق کپی‌رایت بوده است. البته دو مورد انتشار اکاذیب در اینترنت داشته‌ایم و پنج مورد نیز شامل موارد متفرقه بوده است.
در مورد کارت‌های اعتباری چه نوع جرایمی می‌توان متصور شد؟
تعریف جرم کارت‌های اعتباری خیلی پیچیده نیست. هرگاه شخصی بدون اینکه دارنده کارت اعتباری اطلاع داشته باشد، از اعتبار کارت او استفاده کند، جرم صورت گرفته است. تعریف مشخصی که از این‌گونه جرایم وجود دارد، به ما می‌گوید که چنانچه شخصی اقدام به اخذ اموال یا خدماتی کند، با اطلاع از اینکه کارت قلابی یا دزدیده شده است و یا کارت باطل شده است و یا به‌ هر دلیلی که استفاده آن شخص از کارت اعتباری شخص دیگری، غیرمجاز باشد جرم صورت می‌گیرد.
درحال حاضر قانون خاصی برای مقابله با این جرایم وجود دارد؟
به‌طور واقعی اگر بخواهیم قضاوت کنیم، در این زمینه با خلاء قانون مواجه هستیم اما بخشی از قوانین، در قانون مربوط به تجارت الکترونیکی پیش‌بینی نشده است. همان‌طور که اشاره کردم، بخش عمده‌ای از کمبود قوانین مبارزه با این‌گونه جرایم، در قالب آیین‌نامه‌ای که قرار است به مجلس ارایه شود، پیش‌بینی شده است.
در مورد تجارت ‌الکترونیکی و قوانین مربوط به جرایم این حوزه، چه اقداماتی توسط ناجا صورت گرفته است؟
در قانون تجارت‌ الکترونیکی، مواردی وجود دارد که به‌طور قطع فصل‌الخطاب ناجا قرار خواهد گرفت. بحث این است که در قانون تجارت ‌الکترونیکی در مورد مسایلی همچون امضای الکترونیکی قرار است مراکزی راه‌اندازی شود که وزارت بازرگانی در تلاش برای راه‌اندازی این مراکز است. در کنار این موضوع، توجه به بانکداری الکترونیکی هم در دستور کار بانک مرکزی و نهادهای اقتصادی قرار دارد. از دید نیروی انتظامی، حرکت به سمت بانکداری الکترونیکی می‌تواند به‌میزان قابل ملاحظه‌ای از حجم جرایم مالی کم کند.
درحال حاضر تلاش نیروی انتظامی این است که هم‌زمان با حرکت بازار مالی به‌سمت بانکداری الکترونیکی، مقدمات مبارزه با جرایم قابل ارتکاب در این حوزه را فراهم کند. به‌طور قطع مبارزه با جعل رایانه‌ای که در حوزه امضای الکترونیکی وجود دارد، در دستور کار نیروی انتظامی قرار دارد و به‌زودی راه‌های مبارزه با آن تدوین خواهد شد.
در مورد امضای الکترونیکی و راه‌های مبارزه با جعل آن در نیروی انتظامی چه اقداماتی صورت گرفته است؟
امضای الکترونیکی، پدیده جدید و تازه‌ای است که پیچیدگی‌های خاص خود را دارد. با این تعریف که داده‌های الکترونیکی که به یک پیام ‌الکترونیکی الصاق می‌شود و از طریق آن امکان شناسایی امضا‌کننده پیام و تایید او وجود دارد، می‌توان به دو کارکرد مهم و عمده اشاره کرد. شناسایی امضا، موضوع مهمی است که باید به آن توجه داشت و دیگر اینکه امضای الکترونیکی به‌صورت عنصر معنوی سند الکترونیکی باید مورد توجه قرار گیرد. در همین زمینه، در قانون تجارت الکترونیکی ایران، هر نوع علامت منضم شده یا به نحوی متصل شده به داده پیام که برای شناسایی امضاکننده داده پیام مورد استفاده قرار گیرد، امضای الکترونیکی نام دارد.
با توجه به این تعریف، دو نوع امضای الکترونیکی ارایه شده است. اول امضای مبتنی بر رمزنگاری و دیگری امضای غیرمبتنی بر رمزنگاری، با تکیه بر همین تکنیک‌ها، قابلیت شناسایی امضای الکترونیکی وجود دارد و نیروی انتظامی در همین راستا به تدوین راهکارهای مبارزه با جرایم قابل ارتکاب اقدام کرده است.
فکر می‌کنید حرکت به سمت الکترونیکی شدن تجارت در ایران، چه تاثیری بر کاهش میزان جرایم اقتصادی در کشور داشته باشد؟
به اعتقاد من تاثیر بسیار زیادی در کاهش جرایم اقتصادی خواهد داشت. البته من معتقدم حرکت به سمت بانکداری الکترونیکی از تجارت الکترونیکی مهم‌تر است و در کاهش میزان جرایم اقتصادی تاثیر بیشتری دارد. داشتن سیستم جامع بانکداری الکترونیکی می‌تواند در کاهش میزان پول‌شویی و ورود پول‌های کثیف به اقتصاد کشور تاثیرگذار باشد. گذشته از آن بانکداری الکترونیکی می‌تواند میزان فرارهای مالیاتی، جعل اسناد بانکی و سرقت پول را به حداقل برساند. بنابراین فکر می‌کنم اگر زودتر از تجارت الکترونیکی، به فکر بانکداری الکترونیکی باشیم، نتیجه بهتری خواهیم گرفت.
در مورد نفوذ به شبکه و به اصطلاح هک‌ کردن سیستم چه توضیحی دارید؟ آیا هک کردن در ایران جرم است؟
هر گونه حمله به سیستم‌های رایانه‌ای که با هدف محروم کردن افراد از دسترسی صحیح و مستمر به سیستم‌های رایانه‌ای صورت گیرد، جرم محسوب می‌شود. درحال حاضر نیروی انتظامی و قوه قضاییه با توجه به اینکه برخی حمله‌ها به ایجاد خسارت و یا ایجاد مزاحمت منجر می‌شود، می‌تواند با شکایت افراد موضوع را پی‌گیری کند. نیروی انتظامی به‌طور قطع برنامه‌های گسترده‌ای برای مبارزه با این‌گونه جرایم دارد که بخشی از آن در آیین‌نامه رسیدگی به جرایم رایانه‌ای پیش‌بینی شده است.
آیا در مورد هک‌ کردن دیدگاه واحدی وجود دارد؟
این موضوع در میان متخصصان حقوقی و فنی تعریف مشخصی ندارد.
برخی کارشناسان معتقدند هر نوع حمله به سیستم‌های ایمن، در قالب تعریف هک ‌کردن می‌گنجد و برخی دیگر معتقدند نفوذیابی یا نفوذگری بهترین تعریف برای هک‌ کردن است.
همین چالش‌ها در ایران نیز وجود دارد.
به‌عنوان آخرین سوال بگویید که نحوه همکاری پلیس ایران با پلیس بین‌الملل برای کشف جرایم رایانه‌ای چگونه است؟
درحال حاضر سامانه ارتباط جهانی اینترپل به‌عنوان پل ‌ارتباطی پلیس کشورها نقش عمده‌ای در داد‌وستد اطلاعات پلیسی دارد. این سامانه در مدت فعالیت خود توانسته است نقش عمده‌ای در افزایش همکاری میان پلیس کشورها داشته باشد. در حقیقت استفاده از اینترنت و رایانه باعث شده است که پلیس‌ها در همه جای دنیا با سرعت زیاد به اطلاعات مربوط به جنایتکاران، سوابق و به‌طور کل اطلاعات مورد نیاز خود دسترسی پیدا کنند.
نحوه همکاری پلیس ایران با پلیس بین‌المللی هم بر مبنای برخورد با جرایم و کمک به شناسایی جرم و جنایت در دنیا تنظیم شده است.
اما در شرایط کنونی و با توجه به افزایش جرایم اینترنتی در کشورهای اطراف ایران، نیروی انتظامی در صدد گسترش همکاری با پلیس بین‌الملل است و در این راستا قصد دارد برنامه‌ریزی جامعی برای بالا بردن سطح کارایی پلیس ایران برای پیشگیری و مقابله با جرایم رایانه‌ای داشته باشد.
در مجموع این وعده را می‌دهم که با توجه به تلاش گسترده همکاران ما و تاکید فرماندهی ناجا، به‌زودی شاهد تجهیز و برنامه‌ریزی گسترده نیروی انتظامی برای مقابله با جرایم رایانه‌ای باشید.

امنیت در اینترنت و شبکه هاى ارتباطى

سه شنبه, ۱۲ ارديبهشت ۱۳۸۵، ۱۱:۱۴ ق.ظ | ۰ نظر

در حالى که بسیارى فناورى اطلاعات و ارتباطات را باعث تسهیل در امر انتقال اطلاعات مى دانند موضوع امنیت در تبادل اطلاعات همواره به عنوان یکى از اصول غافل مانده به شکل یک معضل پنهان باقى مى ماند.امنیت اطلاعات براى بخش مهمى از فعالان بخش فناورى اطلاعات تنها زمانى به عنوان یک موضوع حاد مطرح مى شود که مشکلى در سیستم به وجود آید. در اغلب مواقع این مشکلات باعث ضربه اى سنگین بر سیستم و یا به اطلاعات موجود در آن مى شود که در واقع مى توان گفت رویکرد دیرهنگامى است. اینترنت همواره از جهت هاى گوناگون مورد نقد و ارزیابى قرار مى گیرد اما واقعیت این است که این شبکه عظیم مانند هر اجتماع عادى انسانى دیگر در معرض تهدیدها و خطرات قرار دارد. از نفوذ داده هاى مخرب گرفته تا تخریب داده هاى سالم و برهم زدن نظم شبکه همه و همه تنها به یک مورد بستگى دارد و آن بحث امنیت اطلاعات در محیط اینترنت است. امروزه امنیت اطلاعات در زمینه اینترنت از یک بحث حاشیه اى به یک بحث ضرورى تغییر جهت داده است. هرگونه خرید و فروش روى اینترنت و یا انتقال داده ها باید تحت یک کنترل امنیتى صورت گیرد. اگر امنیت شبکه برقرار نگردد، مزیت هاى فراوان آن نیز به خوبى حاصل نخواهد شد و پول و تجارت الکترونیک، خدمات به کاربران خاص، اطلاعات شخصى، اطلاعاتى عمومى و نشریات الکترونیک همه و همه در معرض دستکارى و سوءاستفاده هاى مادى و معنوى قرار مى گیرند. همچنین دستکارى اطلاعات- به عنوان زیربناى فکرى ملت ها - توسط گروه هاى سازماندهى شده بین المللى، به نوعى مختل ساختن امنیت ملى و تهاجم علیه دولت ها و تهدیدى ملى محسوب مى شود.در ایران که بسیارى از نرم افزارهاى پایه از قبیل سیستم عامل و نرم افزارهاى کاربردى و اینترنتى، از طریق واسطه ها و شرکت هاى خارجى تهیه مى شود، بیم نفوذ از طریق راه هاى مخفى وجود دارد. هم اکنون نیز بانک ها و بسیارى از نهادها و دستگاه هاى دیگر از طریق شبکه به فعالیت مى پردازند، به همین دلیل جلوگیرى از نفوذ عوامل مخرب در شبکه به صورت مسئله اى استراتژیک درآمده که نپرداختن به آن باعث ایراد خساراتى خواهد شد. تجربیاتى نیز در همین زمینه وجود دارد که این موضوع را کاملاً ثابت کرده است.

•هویت مجازى

به رغم معرفى سرویس هاى متعدد روى شبکه، تاکنون مهمترین سرویس از میان سرویس هاى گوناگون اینترنت، سیستم پست الکترونیکى بوده است . بسیارى از کاربران اینترنت از این بخش بیشتر از سایر امکانات فراهم آمده توسط این شبکه جهانى استفاده مى کنند. امروزه، اقتصاد جهانى به پست الکترونیکى متکى شده است، بسیارى از پیام هاى رد و بدل شده بین کاربران حاوى یادداشت هاى شخصى است. گرچه اغلب پیام ها از متن ساده تشکیل شده اند اما امکان پست الکترونیکى تمام انواع داده ها، مثل تصاویر، برنامه هاى کامپیوترى، سندهاى صفحه گسترده و... نیز وجود دارد. با توجه به این سرویس، اینترنت اجازه مى دهد که افرادى که دور از هم هستند با یکدیگر در تعامل و کار باشند و در واقع، فردى با فرد دیگرى که هزاران کیلومتر از او دور است و هیچ وقت او را ندیده است، مى تواند ارتباط داشته باشد. پست الکترونیکى امروزه در تجارت و بانکدارى الکترونیکى هم کاربرد فراوانى دارد و بسیارى از تعیین هویت هاى مجازى امروزه توسط پست الکترونیک صورت مى گیرد. در همین رابطه براى استفاده امن از پست الکترونیکى تذکراتى وجود دارد. درک تفاوت هاى پست الکترونیکى با پست عادى و یا گفت وگوى تلفنى کمى دشوار است ولى به کار بستن برخى نکات ساده مى تواند در بالا بردن امنیت هنگام به کارگیرى این سرویس مؤثر باشد از جمله این موارد مى توان از موارد زیر را نام برد:بایستى همواره تصور شود که هیچ گونه اختفایى وجود ندارد. پیام هایى که به دلایلى نباید همه ببینند نباید از این طریق ارسال شود، بنابراین از ارسال نامه هاى بسیار خصوصى، سخنرانى هاى تند، بى احترامى هاى منظوردار و... باید احتراز شود. نباید فرض شود که پیام هاى حذف شده قابل بازیابى نیستند. چنانچه پیامى روز سه شنبه حذف شود، احتمالاً در نسخه هاى پشتیبان که شب یا روز قبل تهیه شده است موجود است، در سیستم پستى ابزار مشابه کاغذ خردکن وجود ندارد. در متن هاى ارسالى باید محتاط بود. این طبیعت پست الکترونیکى است که مردم پیام هاى دریافتى خود را بیشتر از پیام هاى ارسالى جدى مى گیرند. ضمن اینکه ارسال یادداشت سریع به هر جایى از جهان بسیار ساده است .

• ضرورت حفاظت

براى افزایش امنیت تبادل اطلاعات از تکنیک هاى متعددى استفاده مى شود که یکى از آنها رمزنگارى است. رمزنگارى از دیر باز به عنوان یک ضرورت براى حفاظت از اطلاعات خصوصى در مقابل دسترسى هاى غیرمجاز در تجارت و سیاست و مسائل نظامى وجود داشته است. به طور مثال تلاش براى ارسال یک پیام سرى بین دو هم پیمان به گونه اى که حتى اگر توسط دشمن دریافت شود قابل درک نباشد، در رم قدیم نیز دیده شده است. در سالیان اخیر رمزنگارى و تحلیل رمز از یک هنر پا را فراتر گذاشته و یک علم مستقل شده است و در واقع به عنوان یک وسیله عملى براى ارسال اطلاعات محرمانه رویکانال هاى غیرامن همانند تلفن، ماکروویو و ماهواره ها شناخته مى شود. پیشرفت علم رمزنگارى موجب به وجود آمدن روش هاى تحلیل مختلفى شده است به گونه اى که به طور متناوب سیستم هاى رمز مختلف شکسته شده اند. معروف ترین نمونه این نوع سیستم ها ماشین «انیگما » بوده است. انیگما ماشین رمزگذار و کدگذار و کدکننده اى بوده است که حزب نازى در زمان جنگ جهانى دوم براى ارسال پیام هایشان از طریق رادیو به سایر نقاط استفاده مى کردند.رمزنگارى که به طور عمده به دو بخش رمزنگارى متقارن یا رمزنگارى با کلید خصوصى و رمزنگارى نامتقارن یا رمزنگارى با کلید عمومى صورت مى گیرد، تلاش مى کند براى ایجاد یک ارتباط سریاز طریق سیستم هاى مخابراتى و شبکه هاى کامپیوترى مباحث مربوط به محرمانگى و احراز هویت را تحت فرض هاى مشخص به درستى اثبات کند.نرم افزارها از جمله مهمترین اصول ارتقا و یا کاهش سطح امنیت در یک شبکه به حساب مى آیند بر این اساس باید براى نظارت فنى در آنها قوانین و اجبارهایى را در نظر گرفت و باید به منظور پشتیبانى از سیستم کنترل دستیابى ابزارهاى لازم را در اختیار داشت . سیستم هاى نرم افزارى بایستى داراى کنترل هاى داخلى براى شناسایى کاربران، نمایش استفاده هاى غیرمجاز و محدود نمودن حدود اختیار کاربران باشند. چنانچه فردى چند بار سعى کند به سیستم وارد شود و رمز نادرستى را وارد کند بایستى سیستم به طور خودکار غیرفعال و در موارد پیچیده تر برنامه ها به منظور عدم دستیابى به اطلاعات به صورت خود مخرب طراحى شوند. چنانچه از سیستمى در یک مدت زمان مشخص و تعیین شده استفاده نشود، پایانه ها یا رایانه هاى مربوطه باید از حالت فعال خارج شده و سیستم، براى استفاده مجدد نیاز به واردشدن مجدد و دادن رمز ورود داشته باشد. رمزنگارى روش مناسبى براى حفاظت داده هاى مهم از دید همگان است. گنجانیدن دستورات کنترلى داخلى مى تواند کمک موثرى در اعمال رویه هاى شناسایى، دسترسى، استفاده و انتقال داده ها به حساب آید و رد و اثر عملیات انجام شده را در اختیار مسئولان بگذارد. اعمال برخى روتین هاى ویرایشى از بروز اشتباهات و خرابى داده ها تا حد بسیارى جلوگیرى مى کند و در مواقعى، گرفتن گزارش هایى که نشانگر داده هایى است که خارج از محدوده معمول هستند، مى تواند کمک بسیارى در یافتن خطاها یا افراد باشد که قصد خرابکارى یا اعمال خلاف را دارند، این گونه کنترل ها میزان اطمینان به داده ها و اطلاعات جمع آورى شده را نیز بالا مى برد. تدوین برنامه هاى لازم براى تهیه نسخه هاى پشتیبانى از داده ها بسیار ضرورى است . تعیین برنامه زمانبندى براى اجراى این برنامه ها نیز از اهمیت بالایى برخوردار است. کنترل کیفیت نرم افزار مى تواند از بسیارى از خطاهاى نرم افزارى که موجب فقدان داده یا خرابى آنها مى شود، جلوگیرى کند.

گنجانیدن پیام هاى خطاى مناسب جهت ردیابى اشکالات نرم افزارى سبب تسریع در امر اشکال یابى و رفع اشکالات احتمالى مى شود. نرم افزارها در مقابل ویروس هاى رایانه اى و برنامه هاى مخرب بایستى محافظت شوند.

روزانه راهکارهاى مختلف امنیتى در سطوح مختلف براى کاربرى و استفاده از اینترنت براى انتقال داده ها ارائه مى شود با وجود این همواره شاهد بروز ضعف ها و نقاط آسیب پذیر متعددى در سایت ها و بانک هاى اطلاعاتى هستیم. در واقع به نظر مى رسد در هر دو سطح کاربرى و استفاده هاى حرفه اى از این شبکه دچار مشکلات فراوان امنیتى هستیم. یکى از مهمترین راهکارهایى که در این زمینه همواره گوشزد مى شود استقرار نظام جامعى براى افزایش سطح امنیت چه در سطوح کاربرى و چه در سطوح تجارى و دولتى است.

در سطوح کاربرى استفاده از نرم افزارهاى دیوار آتش یا فایروال و همچنین آشنا کردن کاربران با خطرات کاهش امنیت اینترنتى از جمله راهکارها است. یک سیستم ناامن باعث سرقت هویت و اطلاعات مهم افراد از روى کامپیوترها مى شود و این سیستم ناامن اگر در یک شرکت و یا سازمان وجود داشته باشد مى تواند امنیت اطلاعات هزاران نفر را با خطر مواجه کند. در سطح کلان استفاده از طرح هاى ارتقاى امنیت شامل خریدارى و نصب سیستم هاى پیشرفته کنترل امنیت، تبادل اطلاعات و همچنین بهره گیرى از مشاوره هاى امنیتى یک امر ناگزیر است. فقدان استاندارد امنیتى براى شبکه هاى رایانه اى یکى از مهمترین دلایل نفوذ به این سیستم و حذف اطلاعات ضرورى است. این موضوع به خصوص در سال هاى گذشته در بخش هاى خصوصى و دولتى ما به شکل گسترده اى دیده شده است. به عنوان مثال کاربران ایرانى بارها با خبر حمله و دستکارى گسترده به ده ها و صدها سایت دولتى و خصوصى ایران به طور یک جا روبه رو شده اند. در واقع نگهدارى یک جاى هزاران سایت دولتى و خصوصى روى یک سرور امنیت آنان را به گونه اى به خطر انداخته که با یک حمله اینترنتى عملاً همه این سایت ها در معرض خطر قرار مى گیرد. عدم استفاده از نرم افزارهاى به روز شده امنیتى نیز مشکل دیگر امنیتى در دو عرصه کاربرى عادى و کلان اینترنت در ایران است. کاربران ایرانى عادت به خرید یک نرم افزار ۴۰۰ دلارى ضد ویروس و یا فایروال ندارند و عموماً آن را با هزار تومان از بازارهاى نرم افزار تهیه مى کنند. به همین دلیل در بسیارى اوقات این نرم افزارها به جاى آنکه به افزایش امنیت سیستم کمکى کنند باعث بروز مشکلات متعدد امنیتى و فنى دیگر در سیستم مى شوند. با وجود آنکه مشکلاتى از این دست امنیت اطلاعات در کشور ما را به شکل قابل ملاحظه اى کاهش داده اما معضل امنیت صرفاً مربوط به کشور ما نیست. چند سال قبل در حمله اى به چندین سرور اصلى اینترنت عملاً ترافیک اینترنت به شکل بسیار زیادى افزایش پیدا کرد و حتى احتمال قطع اینترنت نیز پیش آمد. این در حالى است که کشور آمریکا و بسیارى از کشورهاى دیگر سالانه میلیاردها دلار براى ارتقاى امنیت سیستم هاى کامپیوترى هزینه مى کنند اما به هر حال این جنگ ادامه دارد.
منبع : شرق

نقدی بر قانون مجازات جرایم رایانه‌ای

سه شنبه, ۲۳ اسفند ۱۳۸۴، ۰۴:۳۴ ب.ظ | ۰ نظر

کمیته مبارزه با جرایم رایانه‌ای که از طرف شورای عالی توسعه قضایی وظیفه تدوین پیش‌نویس قانون مجازات جرایم رایانه‌ای را عهده‌دار شده، در خرداد ماه ۸۳ پیش‌نویس تهیه شده را با برگزاری سمینار «ابعاد حقوقی فناوری اطلاعات» در معرض نقد و ارزیابی صاحب‌نظران قرار داد. این قانون در صورت تصویب مسیر حرکت صنعت انفورماتیک کشور را طی سالیان آینده تحت تاثیر قرار خواهد داد. بنابراین تلاش جمعی صاحب‌نظران برای پربارتر کردن این قانون و تضمین سلامت فضای مجازی آینده کشور الزامی است.
نگارنده با توجه به پیش‌زمینه مرتبط با فناوری اطلاعات و تعلق خاطری که به این حوزه کاری و رشد و بالندگی آن دارد این فرصت را مغتنم شمرده و نکاتی را راجع به این پیش‌نویس ارائه می‌کند.


1. در ماده ۱ از پیش‌نویس، تعاریف اصطلاحات فنی به کار گرفته شده در متن قانون ارائه شده‌اند. مستقل از اینکه دقت تعاریف بر جامعیت قانون تاثیرگذار بوده و ضامن اجرای دقیق آن است، متاسفانه بعضی از معانی دقت و گویایی لازم را ندارند. به عنوان مثال، در تعریف داده رایانه‌ای ذکر شده این نوع داده «باعث می‌شود سیستم رایانه‌ای عملکرد خود را به مرحله اجرا گذارد». به مرحله اجرا گذاردن عملکرد به چه معناست؟ اگر منظور انجام پردازش بر روی داده است، این کار توسط سیستم رایانه‌ای انجام می‌شود و خود داده باعث انجام فعلی نمی‌شود.
موارد دیگری نیز در سایر بندهای ماده ۱ (به عنوان مثال تعریف بند الف) وجود دارد که شایسته تجدید نظر و رفع ابهام از تعاریف می‌باشند.
2. در ماده ۱۱ قانون آمده است: «هر کس عمدا با انجام اعمالی از قبیل وارد کردن، انتقال دادن، ارسال، پخش، صدمه زدن، پاک کردن، ایجاد وقفه، دستکاری یا تخریب داده‌ها یا امواج الکترومغناطیسی، سیستم رایانه‌ای یا مخابراتی دیگری را غیر قابل استفاده کرده یا ...» در این ماده تعدادی عمل ذکر شده که انجام آنها بر روی داده و یا امواج الکترومغناطیسی جرم شناخته شده و مجازات خاص خود را در پی دارد. کلیت ماده قابل قبول است ولی متاسفانه بعضی از اعمال را نمی‌توان بر روی داده و یا امواج الکترومغناطیسی انجام داد. داده را می‌توان وارد کرد ولی این کار در مورد امواج الکترومغناطیسی تعریف نشده است، مگر این که منظور تدوین کنندگان این ماده به صورت دقیق و فنی بیان شود. ایجاد وقفه در ارسال امواج الکترومغناطیسی امکان‌پذیر است ولی در مورد داده این کار انجام‌پذیر نیست.

3. در بند الف ماده ۲۲ یکی از جرایمی که مجازات هم برای آن در نظر گرفته شده است به شرح زیر بیان شده است:
«تولید، انتشار یا مورد معامله قرار دادن داده‌ها یا نرم‌افزارها یا هر نوع وسایل الکترونیکی که به منظور ارتکاب یکی از جرایم رایانه‌ای مورد استفاده قرار می‌گیرند».
برنامه‌هایی که در این بند به عنوان ابزار جرم معرفی شده‌اند همگی چندکاربرده می‌باشند. به عبارت دیگر ممکن است از آنها به عنوان ابزار جرم استفاده شود و در عین حال توسط محققین برای آزمایش و انجام تحقیقات علمی و یا توسط گروه‌های بازرسی برای محک‌زنی سیستم‌های کامپیوتری موجود مورد استفاده قرار گیرد. بنابراین نفس تولید، انتشار و یا خرید و فروش این نرم‌افزارها به خودی خود نمی‌تواند به منزله وقوع جرم باشد.
اجرای این بند به معنای تعطیلی همه فعالیت‌های تحقیقاتی و بسته شدن درب آزمایشگاه‌های شبکه و امنیت اطلاعات در دانشگاه‌ها و شرکت‌های خصوصی و دولتی و همینطور موسساتی که در زمینه benchmarking سیستم‌های کامپیوتری فعالیت دارند می‌باشد.

4. پیش نویس قانون مجازات جرایم رایانه‌ای بار اصلی فرایند مبارزه با وقوع جرم و انتشار محتوای خلاف قانون را بر روی دوش مراکز ارائه کننده خدمات قرار داده است. در ماده ۲۰ این قانون آمده است: «ایجادکنندگان نقطه تماس بین‌المللی موظفند امکان دستیابی به محتویات موضوع ماده 15 و بند الف ماده 16 را متوقف سازند، در غیر اینصورت به مجازات مقرر در مادة 25 همین قانون محکوم خواهند شد، ...»
به موجب این ماده نقاط تماس بین‌المللی موظف شده‌اند مانع دسترسی افراد به محتویات مستهجن،‌ محتویات فریب‌دهنده و تشویق کننده در این زمینه و همینطور محتویات آموزش خودکشی و استفاده از مواد روانگردان شوند. این کار از طریق استفاده از تجهیزات خاص امکان‌پذیر است ولی واقعیتی عینی که همه متخصصین به آن اذعان دارند وجود راه‌های متعدد برای دور زدن فیلترها و رسیدن به اطلاعات مورد نظر است. استفاده از تجهیزات فیلترگذاری با صرف هزینه‌های زیاد می‌تواند مانع دسترسی تعدادی از کاربران به محتویات سایت‌های موجود در لیست‌های سیاه‌ شود، ولی با استفاده از روش‌هایی که چندان دشوار هم نیستند کاربران می‌توانند دسترسی خود را حفظ کنند. در این صورت تکلیف ارائه دهندگان خدمات چیست؟
از سوی دیگر در ماده ۲۱ همین قانون آمده است:
«به منظور جلوگیری از ادامه ارائه یا انتشار محتویات موضوع مواد 15 و بند الف ماده 16 ارائه‌کنندگان خدمات میزبانی موظفند:
الف ـ نسبت به محتوای موجود در سایت‌های تحت میزبانی خود نظارت نمایند، چنانچه عدم نظارت یا بی مبالاتی وی در نظارت منجر به ادامة ارائه یا انتشار محتویات فوق گردد به مجازات مقرر در ماده 25 همین قانون محکوم خواهند شد.»
با این فرض که ارائه دهندگان خدمات میزبانی با صرف هزینه‌های فراوان موفق به انجام این کار بشوند، تضمینی برای از بین رفتن محتویات نامطلوب بوجود نمی‌آید. در حال حاضر که قانون مکتوبی برای مبارزه با چنین محتویاتی وجود ندارد، در بیشتر موارد میزبان‌های خارجی برای نگه‌داری و ارائه اطلاعات انتخاب می‌شوند. با توجه به توضیحاتی که در رابطه با ماده ۲۰ قانون بیان شد، امکان دسترسی به این گونه محتوا برای کاربران وجود دارد.

5. در بند ۴ موارد ۲۰ و ۲۱ پیش‌نویس قانون از دید فنی مورد نقد قرار گرفتند. پس از مطالعه کل قانون و بررسی این دو ماده نکته‌ای که به ذهن خواننده متبادر می‌شود این است که تدوین کنندگان قانون حجم قابل توجهی از بار معنوی و مادی مبارزه با قانون را بر دوش ارائه دهندگان خدمات قرار داده‌اند که اتفاقا بیشتر آن‌ها از بخش خصوصی بوده و مشابه سایر حوزه‌های تخصصی بخش خصوصی توانی محدود دارند.
در بسیاری از مواد دیگر قانون مشاهده می‌شود که روح تساهل در برخورد با مجرم وجود دارد. به عنوان مثال در ماده‌های ۲، ۳، ۴، ۱۱ و ۱۲ شرط مجرمیت فرد احراز تعمد در انجام فعل است، حتی در مورد قرار دادن اطلاعات در دسترس دولت‌ها و سازمان‌های بیگانه. علاوه بر این در مواد ۷ و ۹ وجود قصد تقلب و در ماده ۱۰ وجود قصد اضرار متمایز کننده مجرمین می‌باشد. در شرایطی که عدم وجود قصد تقلب باعث تبرئه کسی که محتویات کارت اعتباری را تحریف نموده است می‌شود، چگونه ارائه دهندگان خدمات تحت هر شرایطی مسئول کل داده ذخیره شده در میزبان خود و یا کل داده تبادل شده از طریق خطوط ارتباطی می‌باشند. آیا نباید ضریب خطای ماشینی و یا انسانی را در این میان مدنظر قرار داد؟ به نظر می‌رسد دیوار شرکت‌های ارائه دهنده خدمات در حال حاضر از همه کوتاه‌تر است.

علی‌رغم لزوم وجود قانون برای جلوگیری از هرج و مرج به نظر می‌رسد قانون تهیه شده در حال حاضر نیازمند کار بیشتر و استفاده از نظرات متخصصین هر دو حوزه فناوری اطلاعات و حقوق می‌باشد. مفاد تعدادی از مواد قانون در سایر قوانین هم وجود دارد و به نظر نمی‌رسد تغییر ابزار نیازمند وضع قوانین جدید باشد.
از سوی دیگر تعدادی از مواد این قانون به حدی سخت‌گیرانه است که می‌تواند عرصه را بر فعالان حوزه IT (کاربران و ارائه دهندگان خدمات) چنان تنگ کند که امکان ادامه فعالیت وجود نداشته باشد. یک کاربر عادی که می‌داند کلیه اعمالش در دنیای مجازی ثبت می‌شود و شناخت دقیقی هم نسبت به سایت‌های اینترنتی و محتویات آنها ندارد همواره در اضطراب مشاهده سایت‌ها بوده و در چنین شرایطی ممکن است عطای اینترنت را به لقایش ببخشد. در شرایطی که متوسط استفاده از اینترنت در کشور بسیار پایین‌تر از استانداردهای جهانی و حتی کشورهای در حد ایران می‌باشد این حرکت قطعاً در راستای منافع کشور نیست.
علاوه بر این کاهش کاربران و اجرای سیاست‌های سخت‌گیرانه‌ای مانند مواد ۲۰، ۲۱ و ۳۰ قانون مجازات جرایم رایانه‌ای تهدیدی جدی برای پیکره ضعیف شرکت‌های فعال در حوزه خدمات رسانی اینترنت است. در این مقطع مناسب‌ترین کار انجام کار کارشناسی بیشتر بر روی این قانون است که باید با حضور کارشناسان مستقل حقوق و فناوری اطلاعات انجام شود تا حقوق کاربران اینترنت و شهروندان تضمین شده و از سوی دیگر سیاست‌های حمایتی و توسعه‌ای دولت در حوزه فناوری اطلاعات و ارتباطات (که به موجب برنامه پنج ساله سوم جزیی از وظایف حاکمیت است) در قانون لحاظ شود.

منبع : http://www.ircert.com

پذیرش پدیده‌هایی که چه از نظر فردی و چه اجتماعی ماهیتا از طینت بدی برخوردارند، طبیعتا مورد تایید هیچ عقل سلیمی نیست. از طرفی این مطلب نیز بر هیچ‌کس پوشیده نیست که بعضی ابداعات و اختراعات بوده‌اند که اگرچه به نیت کمک به انسان در جهت پیشرفت و رفاه ایجاد گشته‌اند، اما در طول عمر خود بسیار مورد سوءاستفاده قرار گرفته‌اند.
تجربیات دهه‌ها و سال‌های اخیر نشان داده است که قراردادن پدیده‌های نام‌آشنای کامپیوتر و فرزند خلف آن، اینترنت در زمره پدیده‌های بدطینت به دور از انصاف است. بنابراین اکنون و بعداز سالها که از ظهور اینترنت می‌گذرد، تلاش در جهت به حداقل رساندن سوءاستفاده‌هایی که هر روزه از رسانه‌ها اخبارشان را می‌شنویم و یا خود با آنها مواجهیم، در کشورمان امری اجتناب‌ناپذیر است. از آنجا که نگارنده این سطور در زمینه فناوری اطلاعات فعالیت دارد و از دانش مربوط به حقوق قضایی بهره چندانی ندارد، تنها اجازه ذکر چند نکته فنی را به خود می‌دهد و امیدوار است که خبرگان حقوق نیز یش‌نویس قانون مطروحه را با رویکردی حقوقی مورد مداقه و نقد قرار دهند.
اگرچه ممکن است از فضای جدید ایجاد شده توسط اینترنت بعنوان دنیای مجازی نام برده شود (دنیایی که اجزای تشکیل دهنده آن سیگنالهای الکتریکی و الکترومغناطیسی هستند و از اینرو ماهیت آن در پاره‌ای از موارد با آنچه از دنیای سنتی! درک کرده‌ایم، متفاوت است)، اما این دنیای مجازی دیگر جزئی لاینفک از دنیای واقعی است و شاهد حضور غیرقابل‌انکار آن در بیشتر اتفاقات دنیای پیشرفته امروز هستیم. مسلما درک دقیق‌تر قانونگذار محترم از این تفاوتها، عاملی مهم در برطرف ساختن شبهاتی است که اذهان بسیاری را بعد از مطرح ساختن پیش‌نویس قانون مجازات جرایم رایانه‌ای به خود معطوف داشته است.
برای جلوگیری از اطاله کلام و با توجه به نقدهایی که تاکنون بر این قانون نگاشته شده است، در اینجا تنها به ذکر چند نکته بصورت مختصر بسنده می‌شود.
۱- در بندهایی از این قانون مجازاتهایی برای ناقضان تدابیر امنیتی تعیین گردیده است، اگر منظور از این افراد همان هکرها باشند، شایان ذکر است که هکرها در سه گروه طبقه‌بندی می‌گردند، گروهی که برای کشف شکافهای امنیتی بمنظور پوشاندن آنها فعالیت می‌کنند، گروهی دیگر که از دانش فنی بالایی برخوردار نیستند و از ابزاری که تهیه آن چندان سخت نیست و توسط سایرین تولید شده استفاده می‌کنند و گاهی خود از عواقب استفاده از آنها اطلاع چندانی ندارند و گروه سوم که در جهت کسب منافع شخصی، کسب شهرت یا صدمه‌رساندن به دیگران فعالیت می‌کنند. شایسته است که قانونگذار محترم ناقضان تدابیر حفاظتی را دقیق‌تر مشخص کند، ضمن اینکه از آنجا که نتیجه عمل هر سه گروه هکرها ممکن است به هم شبیه باشد، دسته‌بندی آنها همیشه به سهولت و تنها براساس شواهد، ممکن نیست.
۲- در قسمتی از قانون برای ماموران دولتی که در اثر بی‌احتیاطی باعث دسترسی افراد بدون صلاحیت به اطلاعات باارزش شوند،‌ مجازات تعیین گشته است. نکته‌ای که باید به آن اشاره شود، تعداد معدود متخصصان امنیت و حفاظت داده در کشور است که از دانش و اطلاعات کافی و به‌روز شده برای محافظت داده‌ها برخوردار باشند. جالب اینجاست که خود همین افراد معدود نیز، به این نکته معترفند که هیچگاه نمی‌توان نسبت به محافظت از داده‌ها، اطمینان صد در صد داشت. زیرا معمولا (نه همیشه) شکاف‌های امنیتی بعد از مورد سوءاستفاده قرار گرفتن، مرمت می‌شوند. بنابراین همیشه باید برای یک سیستم داده محافظت شده حتی توسط به‌روز ترین افراد و ابزارها، درصدی احتمال خطر در نظر گرفت که همین درصد نامساوی با صفر باعث عدم پذیرش مسوولیت محافظت از اطلاعات توسط ماموران دولتی خواهد گشت. نرخ شگفت‌انگیز ظهور روزانه ویروس‌ها را نیز مدنظر داشته باشید!
۳- در قسمتی از قانون، ارائه دهندگان خدمات اینترنتی موظف به ذخیره داده‌های مبادله‌شده توسط کاربرانشان بمدت سه ماه شده‌اند. یک محاسبه ساده برای تخمین این حجم از اطلاعات، نیاز ارائه دهندگان خدمات اینترنتی را به حجم زیادی از ابزار ذخیره‌سازی اطلاعات، علیرغم پهنای باند کمی که در اختیار کاربران قرار می‌گیرد، مشخص می‌سازد. اجازه دهید برای روشن شدن مطلب مثالی بزنیم. اگر فرض کنیم که یک ICP پهنای باند 16 مگابیت را در اختیار داشته باشد (پهنای باندی که بین این شرکتها در حال حاضر بسیار معمول است) ، حجم اطلاعاتی که روزانه باید ذخیره شود برابر خواهد بود با حدود 181 گیگابایت اطلاعات و این حجم در سه ماه به حدود 16 هزار گیگابایت خواهد رسید! چگونگی ذخیره سازی و سپس پردازش این اطلاعات موضوعی است که باید به آن اندیشید. اما اخبار و شنیده‌ها حکایت از آن دارد که در آینده نزدیک کاربران کشورمان می‌توانند برای دسترسی به اینترنت از خطوط پرسرعت بهره‌مند شوند. ضرب عدد تخمین‌زده شده قبل در میزان افزایش پهنای باند، پایبندی ارائه‌دهندگان خدمات اینترنتی به این ماده از قانون را بدون اینکه قصد تخلف از قانون را داشته باشند، زیرسوال می‌برد.
۴- در قسمتهایی از این قانون، سرویس‌دهندگان و سرویس‌گیرندگان اینترنت نسبت به محتویات به نمایش در آمده یا منتشر شده مسوولند. این مسوولیت تا جایی پذیرفته است که وجود یا انتشار این محتویات به عمد صورت گرفته باشد. از نظر دور نداریم که امروز با توجه به انواع نرم‌افزارهای جاسوسی یا تبلیغاتی، ویروس‌ها و کرمهای اینترنتی، امکان ارسال و دریافت اطلاعات به یک سیستم کامپیوتری متصل به اینترنت بدون کسب اجازه از صاحب آن امکانپذیر است. امکان سرقت آدرس‌های ایمیل شخص قربانی و سوءاستفاده از آنها وجود دارد. همچنین بازکردن صفحات وب که دربردارنده محتویات مستهجن هستند، بر روی کامپیوتر فرد، بدون کسب اجازه از وی میسر است. بنابراین آنچه که در این میان دقت بسیار بالایی می‌طلبد، تدابیری است که کارشناسان فنی و حقوقی درگیر در تدوین این قانون، در اثبات تعمد در هرکدام از تخلفات مذکور می‌اندیشند.
و اما ...
تغییرات و پیشرفتهای سریع در زمینه کامپیوتر و اینترنت، گاهی پیش بینی آینده آن را حتی برای متخصصان فن نیز غیرممکن می‌کند. بنابراین در زمینه تدوین قانون مناسب، برداشتن گامهای آهسته اما محکم، بسیار مطمئن‌تر از حرکتهای سریع اما بدون رایزنیها و تجارب کافی است. اگر موادی از این قانون که هنوز نمی‌توان با اطمینان در مورد ضمانت اجرای آنها سخن گفت، به تصویب برسند، علاوه بر ضربات مهلکی که بر پیکره نهال فناوری اطلاعات در کشور وارد می‌کنند، چهره قانون اساسی کشورمان را نیز به شدت مخدوش خواهند کرد. کلام آخر اینکه فناوری اطلاعات و قانون مجازات جرایم رایانه‌ای دو نهال هستند که وجود، رشد و بالندگی هرکدام جز در سایه و به اتکای دیگری، میسر نیست.

دغدغه هاى والدین و اینترنت

سه شنبه, ۲۳ اسفند ۱۳۸۴، ۰۴:۱۷ ب.ظ | ۰ نظر

اگرچه اینترنت مى تواند راهى باشد که در آن نوجوانان کوشش مى کنند خودشان را به عنوان افرادى مستقل و منحصر و داراى دنیاى اجتماعى مخصوص به خود به اثبات رسانند اما به این معنى نیست که والدین نباید دخالتى داشته باشند. دقیقاً برعکس آن صحیح است. همانند تمامى فعالیت هاى نوجوانان، آنان احتیاج دارند که دست کم نوعى نظارت بر کارهایشان براى جلوگیرى از بروز مشکل وجود داشته باشد. برخى والدین به دلیل مهربانى، ناخواسته غفلت مى کنند و مى گویند فرزندان ما باید رایانه یاد بگیرند و یا نباید از بقیه بچه ها عقب بیفتند. اگر فرزندانم کنار رایانه مى نشینند و تایپ مى کنند این چیز خوبى است... خوب من باید فقط آنان را تنها بگذارم. اما دخالت کردن تنها به معنى نظارت به منظور جلوگیرى از مشکل نیست. فضاى مجازى و رایانه مى توانند یک روش عالى براى والدین و نوجوانان باشند تا در کنار یکدیگر تفریح کنند و همدیگر را بهتر بشناسند. فضاى مجازى بخشى از زندگى نوجوانان است و شاید بخشى که آن را دوست دارند و سعى مى کنند مخفى سازند.

•••

پدر و مادر چه کنند: دانش لازم در مورد رایانه را دریافت و در فعالیت هاى اینترنتى شرکت کنند، چون نظارت بر فعالیت هاى فضاى مجازى نوجوانان بیشتر اثربخش بوده و والدین باید در مورد این موضوع آگاهى داشته باشند. احتیاجى نیست که خودتان یک نفوذگر رایانه اى شوید اما در مورد این موضوع اطلاعات بگیرید. در مورد این موضوع با والدین دیگر گفت وگو کنید. بهتر است خودتان فضاى مجازى را کاوش و با کودکان خود در مورد فضاى مجازى گفت وگو کنید و در برخى فعالیت هاى روى خط به آنها بپیوندید. با آنان پایگاه هاى وب را سیر و سیاحت کنید و از موتورهاى جست وجو براى یافتن افرادى که فامیلى مشابه خودتان دارند بهره بگیرید. براى خانواده یک صفحه وب بسازید، حتى با کودکان خود و دوستانشان در یک اتاق گپ زنى پاتوق کنید. (براى یک زمان کوتاه، البته اگر حضور شما را تحمل کنند) امکانات بسیار زیادى وجود دارد که شما بتوانید در فعالیت هاى اینترنتى شرکت کنید. با فرزندان خود حرف بزنید. یک هشدار قدیمى مى گوید «آیا شما مى دانید فرزندانتان کجا هستند؟» فضاى مجازى نیز همانند زندگى واقعى کاربرد دارد. از آنها براى استفاده از اینترنت سئوال کنید از چه پایگاه هایى در وب بازدید مى کنند؟ براى اینکه لحن سرزنش آمیزى نداشته باشید بپرسید چه پایگاه هایى را در وب دوست دارند و چرا؟ با آنها کنار میز رایانه بنشینید و اجازه دهید شما را به پاتوق هاى اینترنتى خود ببرند. به شیوه اى پدرانه یا مادرانه و مطبوع کنجکاو باشید. از فرزندانتان در مورد دوستان مجازى که دارند سئوال کنید و اینکه در مورد چه موضوعى با هم بحث مى کنند و در اینترنت چه کارى انجام مى دهند. از بازپرسى اجتناب کنید و در عوض نشان دهید که مشتاق هستید تا در مورد دوستان اینترنتى فرزندانتان بیشتر بدانید.خوب و بد را بپذیرید: از فضاى مجازى بدگویى نکنید. این کار تنها نوجوانان را از شما دور مى کند. در مورد مزایا و معایب آن گفت وگو کنید. نسبت به زندگى مجازى آنان پذیرش نشان دهید اما در مورد مخاطرات این کار و اینکه ممکن است در آنجا با موقعیت ها و یا افراد ناخوشایند برخورد کنید هشدار دهید. رایانه را در جاى قابل مشاهده قرار دهید. حریم خصوصى و خلوت فردى یک عمل ترفندآمیز بین جوانان است. آنان به خلوت نیاز دارند اما والدین باید بین این تقاضا و لزوم نظارت بر فعالیت ها تعادل برقرار سازند. احتمالاً این فکر خوبى است که از قرار دادن تجهیزات رایانه اى در اتاق خواب فرزندان پرهیز کرد و آنها را در فضاى خانوادگى قرار داد. این کار نظارت را خیلى راحت تر مى سازد و استفاده از رایانه به عنوان یک فعالیت خانوادگى را تقویت مى کند. اگر این کار شدنى نبود دست کم از آن دورى کنید تا نوجوان فضاى مجازى را در اتاق خود با در بسته کاوش کند. در را باز نگه دارید به نحوى که صفحه نمایش از بیرون اتاق قابل مشاهده باشد.

قوانین منطقى وضع کنید: والدین به فرزندان خود اجازه نمى دهند تا دیر وقت بیرون از خانه بمانند، هر فیلمى که مى خواهند تماشا کنند و هر جا که دلشان مى خواهد بروند. نوجوانان به قوانین احتیاج دارند. در حقیقت، خواه آنان قبول داشته باشند یا خیر، نیازمند قوانینى هستند که به شکل مخفیانه به کار گرفته شود تا احساس عدم کنترل و به حال خود رها شدن از سوى پدر و مادر به ظاهر بى تفاوت را نکنند. در مورد وقت (براى نمونه بعد از تکالیف مدرسه) و یا میزان زمان استفاده اى که بچه ها مى توانند به گفت وگو و تفریح در فضاى مجازى بگذرانند محدودیت هایى در نظر بگیرید. در مورد اینکه فرزندانتان دقیقاً در اینترنت اجازه چه کارى را دارند و چه کارى را ندارند قوانینى وضع کنید.

میان زندگى واقعى و زندگى مجازى نوجوانان تعادل برقرار کنید: فضاى مجازى، بسیار گسترده است اما زندگى چیزى بیش از آن است. نوجوانان را تشویق کنید که در فعالیت هاى زندگى واقعى شرکت کنند. اگر واقعاً در اینترنت چیزى وجود دارد که فرزندانتان از آن لذت مى برند، راهى پیدا کنید تا آن فعالیت به زندگى واقعى گسترش یابد. از اینترنت براى پروژه هاى درسى نوجوانان استفاده و نوجوانان را تشویق کنید با دوستان خوب زندگى مجازى (قابل اعتماد) تماس تلفنى بگیرند و یا حضورى آنان را ببینید. اگر نوجوانان از بازى نقش در بازى هاى رایانه اى لذت مى برند، تشویقشان کنید که به تئاتر یا سینما بپردازند. هدف، جلوگیرى از این مسئله است که نوجوان فضاى مجازى را از بقیه زندگى خود جدا کند و همچنین او را تشویق کند تا فعالیت هاى غیراینترنتى خود را گسترش دهد.

از نرم افزارهاى نظارتى بهره بگیرید: انواع برنامه هاى تجارى براى نظارت بر نوجوانان در فضاى مجازى وجود دارد. این برنامه ها مى توانند پایگاه هاى وبى را که آنها بازدید مى کنند ثبت و دسترسى به پایگاه هاى خاص وب و یا برنامه هاى خاص را مسدود کند. از ضبط برنامه ها جلوگیرى کنید، زمان استفاده از اینترنت را محدود سازید و یا تنها به نوجوانان اجازه دهید در زمان خاصى از اینترنت استفاده کنند. البته اگر والدین مى خواهند چنین برنامه هایى را نصب کنند باید تا حدى با رایانه آشنایى داشته باشند. البته، خود برنامه ها نیز کامل نیستند، آنها داراى نقاط ضعف بوده و یک نوجوان خبره فنى مى تواند آنها را مغلوب کند. احتمالاً آخرین چیزى که یک پدر یا مادر با آن رو به رو مى شود نبرد تکنیکى دائمى میان دانش وى و فرزندانش است، اگر چنین شد، یک جاى کار ایراد دارد. نرم افزارهاى نظارتى تنها یک ابزار هستند و جایگزین مناسبى براى گفت وگو و یا مشارکت شخصى والدین نیستند. به عبارت دیگر آنها را جانشین یک رابطه ندانید.

درباره اعتیاد مداخله کنید: دکتر کیمبرلى یونگ در کتاب خود برخى راهکارهاى مناسب براى والدینى که فرزندانشان گرفتار استفاده افراطى از اینترنت شده اند را شرح مى دهد: تلاش نکنید آنان را از رایانه دور یا از استفاده منع کنید. این مسئله شاید نتیجه معکوس داشته باشد. نگرانى خود را در مورد گرفتارى نوجوانان نشان دهید. یک جدول زمانى براى استفاده از اینترنت در نظر بگیرید. هنگامى که بچه به مدرسه نرفته و یا نمرات او خراب شده اجازه ندهید زیادى از رایانه استفاده کند. وقتى سعى در مداخله دارید با طغیان و انفجار احساسى نوجوانان خود مدارا کنید. اگر تمام این کارها نتیجه نداشت، در جست وجوى کمک از یک مشاور حرفه اى باشید، البته فردى که در مورد رایانه آگاهى داشته باشد.مجازات رفتارهاى نادرست و تشویق رفتارهاى انسانى هنگامى که کودک در دنیاى واقعى رفتار نادرستى دارد او را تنبیه مى کند. همین امر در مورد رفتار ناشایست وى در فضاى مجازى صادق است. اگر یک پدر یا مادر متوجه شوند فرزندشان براى دیگران در روى خط مزاحمت ایجاد مى کند یا سعى دارد در سیستم هاى روى خط خرابکارى کند (به عنوان نمونه تلفنى از طرف گردانندگان سیستم و یا اجتماع روى خط مى تواند هشدارى باشد) باید تنبیه و مجازات در دستور کار قرار گیرد. والدین نباید اینگونه قضاوت کنند که این تنها یک بازى فضاى مجازى است. این موضوع واقعاً مسئله مهمى نیست. این فکر خوبى به شمار نمى رود که اجازه داد نوجوان افراد دیگر را در روى خط به نحوى تهدید کند؛ گویى که آدم هاى واقعى نیستند. اگر نوجوانان توانایى دلسوزى نسبت به دیگران در دنیاى ناشناس فضاى مجازى نداشته باشند، مى توانند این احساس را در زندگى واقعى نیز به کار ببرند.

منبع : شرق

به دنبال بروز مشکلاتی برای برخی از سایت های ایرانی که در پی حملات هکرها صورت گرفت، کمیسیون امنیت فضای تبادل اطلاعات (افتا) سازمان نظام صنفی رایانه ای در جلسه آخر خود به بررسی این موضوع پرداخت.

به گزارش روابط عمومی سازمان نظام صنفی رایانه ای در جلسه اخیر کمیسیون افتا و به پیشنهاد اعضا، موضوع حملات اخیر به سایت های ایرانی در دستور کار کمیسیون قرار گرفته و اعضای حاضر به بحث و تبادل نظر پیرامون این موضوع پرداختند.

بر این اساس کمیسیون افتا به منظور کاهش زمینه های وقوع حملات اینترنتی به سایت های ایرانی و نیز کاهش صدمات احتمالی به ارایه راه کارهایی پرداخت که در پی می آید.
نکته اول: هیچ بستری 100% امن نیست!

حتی اگر شما از امن ترین سیستم عاملهای دنیا برای میزبانی استفاده میکنید، باید این نکته را بخاطر داشته باشید که سایت شما را تنها سیستم عامل نیست که میزبانی میکند، مجموعه نرم افزارهای مختلفی نظیر سرویس دهنده وب، مفسر زبان برنامه نویسی و ... باید در کنار یکدیگر کار کنند تا شما بتوانید خدمات مورد نیاز در سایت خود را ارائه کنید؛ این نکته از این بابت حائز اهمیت است که امن نگهداشتن این مجموعه نرم افزار به هیچ وجه کار ساده ای نیست، بنابراین باید روشی اتخاذ کرد که در صورت بروز حفره امنیتی یا کشف نقطه آسیب پذیر توسط اخلالگر کارکرد کل سیستم دچار مشکل نشود.

ساده ترین راه برای رسیدن به این مهم استفاده از نرم افزارهای تشخیص اخلال (Intrusion Detection - IDS) و پیشگیری/کنترل اخلال (Intrusion Prevention/Protection - IPS) میباشند، این نرم افزارها بر اساس الگوهای از پیش تعیین شده در لایه های پایین انتقال اطلاعات میتوانند شروع یک حمله را حدس زده و مدیر سیستم را از آن آگاه سازند، در صورت استفاده از سیستمهای IPS در صورتی که تواتر الگوهای تشخیص داده شده زیاد شود، نرم افزار بطور اتوماتیک ترافیک وارده از سمت اخلالگر را قطع و ارتباطات برقرار شده وی با سرویس دهنده را خاتمه می دهد (Session reset). سیستمهای IDS یا IPS باید توسط شرکت سرویس دهنده میزبانی، در شبکه محلی سرویس دهنده بطوری که امکان شنود روی ترافیک در گردش شبکه را داشته باشد نصب شود. امروزه اکثر دیواره های آتش (Firewall) این قابلیت را بصورت پیش فرض دارا هستند.

نوع دیگری از این نرم افزارها بنام HIDS (Host Intrusion Detection System) که مستقیما روی خود سرویس دهنده نصب میشوند، علاوه بر قابلیت شناسایی ترافیک مشکوک به سمت سرویس دهنده، امکان تغییرات غیر مجاز و مشکوک روی اجزای اصلی سیستم نظیر فایلهای سیستمی را دارند، این قابلیت به مدیر سیستم این امکان را میدهد که در صورت بروز مشکل امنیتی برای هر یک از نرم افزارهای بستر میزبانی، و باز شدن دسترسی برای اخلالگر، مورد را سریعا از طریق هشدار دریافت کرده و جلوی تخریبهای احتمالی را بگیرد (مثلا ایجاد کانال کوورت(Covert) یا در عقب - Back-door).
نکته دوم: سیستم های پایش و اخطار

بیشتر شرکتها از نرم افزارهای پایش سیستم برای اطلاع از وضعیت ترافیک، میزان مصرف حافظه، توان پردازشی و ... سرویس دهنده خود بهره میگیرند، اما بندرت اتفاق میافتد که از قابلیت ساده "هشدار حاشیه" (Threshold Alert) که در بیشتر این نرم افزارها تعبیه شده استفاده کنند، این قابلیت حالتهای ساده ولی غیر عادی سیستم، نظیر افزایش بیش از حد پهنای باند را تشخیص و به مدیر سیستم اعلام میکند، نتیجه این هشدار آمادگی برای بروز خطرات احتمالی پیرو میباشد.
نکته سوم: DNS را جدی بگیرید!

سرویس تبدیل نام به آدرس یا به اصطلاح DNS از بخشهایی است که در میزبانی بسیار مهجور واقع میشود، معمولا میزبانی دامنه شما به همراه سرویس وب روی یک دستگاه نصب میشود، اساسا با توجه به ضعفهای ساختاری پروتکل DNS و مشکلات امنیتی که ویژه این سرویس میباشد اکثر سایتهای اینترنتی مهم از زیرساخت جداگانه ای برای میزبانی دامنه و سرویس DNS خود استفاده میکنند، هر چند ایجاد این چنین زیرساختهایی برای سایتهای ایرانی به صرفه نیست اما شرکتهای معتبری در دنیا نظیر easyDNS وجود دارند که با زیرساخت ویژه ای که برای این منظور ایجاد نموده اند، میزبانی دامنه سایتهای پرترافیک را با هزینه کم انجام میدهند.

نکته چهارم: کم بخور، همیشه بخور!

محدود کردن پهنای باند هر کاربر، میزان زمانی که ارتباط کاربر با سیستم زنده نگه داشته میشود (Half-closed Clients) تعداد درخواست در هر ثانیه برای هر thread از پارامترهای قابل تنظیم عمده سرویس دهنده های وب هستند که معمولا توجهی به آنها نمیشود، در حالیکه با تنظیم درست این پارامترها میتوان اثر نامطلوب حمله های اخلالگران بخصوص حمله های از نوع DoS را به نحو چشمگیری کاهش داد، بعنوان مثال با صفر کردن پارامتر مربوط به زمان کاربران نیمه تمام (Half-closed Clients) ضمن کاهش 20 تا 30 درصدی کارایی سرویس دهنده (اثر منفی)، میتواند میزان مقاومت سرویس دهنده در برابر حملات از نوع DoS را تا حدود زیادی افزایش دهد! ویا با کنترل پهنای باند هر کاربر در حدود 10 کیلو بایت در ثانیه (مناسب برای کاربران ایرانی)، حملات پیچیده تر از نوع DDoS (Distributed Denial of Services Attack) اثر کمتری روی کارکرد سیستم خواهند داشت.

شناسایی دوگانه و ابتکار شرکت اِنتراست

جمعه, ۱۴ بهمن ۱۳۸۴، ۰۲:۳۱ ب.ظ | ۱ نظر

شناسایی دوگانه همان طور که از اسمش پیداست، مشتری را مجبور می‌کند که یک شی فیزیکی را (کارت هوشمند، شمارنده یکبار مصرف، کارت رمز) علاوه بر اسم یا شماره رمز به همراه داشته باشد. به عبارت دیگر از دو عامل کاملا متفاوت با هم، برای ورود به سایت اینترنت یا انتقال پول استفاده می‌کند. این دو عامل که در حال حاضر در دنیا رواج دارند، چیزی است که شما به همراه دارید و چیزی است که فقط شما میدانید.
شناسایی دوگانه باعث می‌شود که نفوذکنندگان و سارقان اگر از راه شنود پیام‌های مشتریان، به اسم رمز آنها پی‌بردند، محتاج چیز دیگری هم برای سرقت باشند که در شناسایی دوگانه، چون فقط در نزد مشتری است، هیچ کس قادر به انجام سرقت نمی‌شود. یکی از مهمترین راه‌های سرقت اینترنتی روش "کسی در بین راه" و "فیشینگ" است (Man in the middle & phishing) که با اضافه کردن عامل دوم به روش توکن یا جدول رمز، از فیشینگ جلوگیری شده و با اضافه کردن عامل دوم به روش کارت هوشمند، از هر دو روش جلوگیری می‌شود. شرکت اِنتراست که به نحو تخصصی محصولاتی درباره امنیت دارد اخیرا روشی را برای فروش عرضه می‌کند که بسیار ارزانتر از روش توکن‌های آر.اس.ای است و چیزی از آن کم ندارد.
در این روش کارت یا برگه‌ای مقوایی یا پلاستیکی به شما می‌دهند که جدولی روی آن چاپ شده و داخل خانه‌های جدول ارقام و حروفی درج گردیده است. در هنگام ورود مشتری به سایت یا هنگام صدور دستور انتقال پول، از مشتری خواسته می‌شود که محتوای 3 یا 4 یا بیشتر از خانه‌های جدول را (که به نحو تصادفی انتحاب شده‌اند) وارد نماید. بدیهی است که فقط دارنده کارت می‌تواند این عمل را انجام دهد. این کار به دفعات متوالی در یک نشست یا چندین بار ورود به سایت یا انتقال پول می‌تواند استفاده شود. این کارت کاملا شبیه به توکن (Token) عمل می‌کند و می‌تواند به همراه اسامی و گذرواژه‌های معمولی در هنگام ورود به سیستم عامل یا شبکه و غیره نیز بکار رود. روش "کارت رمز" مزایای خاص خود را نیز دارا است که آنرا برتر از روش توکن می‌سازد:
1- حدود 10 برابر قوی‌تر از گذرواژه است.

2- بسیار ارزانتر از توکن و کارت هوشمند است. اگر از حق لیسانس آن بگذریم. قیمت یک کارت مقوایی را دارد.

3- اجرای آن در سایت مرکزی موسسه مالی، راحت‌تر است و سخت افزار اضافه نمی‌خواهد.

4- بدون خرج اضافه، قابل کپی شدن است و چند شریک همزمان می‌توانند از آن استفاده نمایند.

5- فرمول آن کاملا تصادفی است و قوی‌تر از توکن می‌باشد.

6- احتیاج به باطری و برق نداشته و منقضی نمی‌شود.

7- یک کپی از آنرا می‌توان در محلی امن نگهداری نمود و در مواقع نابود شدن یا مفقود شدن تصادفی، از آن استفاده نمود.

8- صدور کارت تکراری خرج کمی دارد و می‌توان به دفعات آنرا صادر کرد.
این روش در کلیه موارد غیر مالی نیز کاربرد دارد و از مزایای مهم آن استفاده در مواردی است که احتیاج به امنیتی بیشتر از اسم رمز دارد و مایل هستیم که هزینه زیادی را متحمل نشویم.
برای مقایسه روش‌های موجود به شکل مقابل توجه فرمایید. اگر روش‌های خرید اینترنتی در ایران رواج یابد، بدیهی است که روش‌های سرقت و کلاه برداری اینترنتی نیز رواج خواهد یافت. بر طبق گزارش کمیسیون تجارت آمریکا، سرقت شناسه و رمز مشتریان یکی از شایع‌ترین و رشد یابنده‌ترین روش‌ها است و سالانه چندین میلیارد دلار به صاحبان اصلی ضرر می‌رساند. همین امر گریبانگیر تمام عالم است.
بر اساس گزارشی که شرکت انتراست از 2000 کاربر نمونه تهیه کرده است:
85 درصد از کاربران اینترنت از تجارت الکترونیک استفاده می‌کنند و 59 درصد از اینها از بانکداری الکترونیک استفاده می‌کنند.

80 درصد از کاربران بطور خاص از سرقت شناسه کاربری بانکی خود و دسترسی دیگری به آن شکایت دارند.

38 درصد از کاربران مایل هستند که از شناسایی دوگانه برای دسترسی به حساب بانکی خود استفاده نمایند.
این کاربران ترجیح می‌دادند که از موارد زیر استفاده نمایند:
94 درصد رایانه خانگی

23 درصد رایانه محل کار

24 درصد تلفن معمولی

10 درصد تلفن همراه

4 درصد کیوسک عمومی (وب کیوسک)
نتایج مهم دیگری از این نظر سنجی بدست آمد که در جذب منابع و مشتری برای بانک‌ها بسیار مهم است:
- 72 درصد از کاربرانی که از اینترنت استفاده می‌کنند، اما از بانکداری الکترونیک استفاده نمی‌نمایند؛ عنوان کردند که اگر امنیت تماس آنلاین بهبود یابد، از بانکداری الکترونیک استفاده می‌نمایند.

- 90 درصد از کسانی که از بانکداری الکترونیک استفاده می‌کنند عنوان کردند که اگر امنیت تماس بیشتر شود، حاضرند که از خدمات بیشتری به صورت آنلاین بهره برداری کنند.

- 65 درصد از افراد، به میزان امنیت تماس آنلاین بانک مربوطه جهت انتخاب بانک دقت کرده‌اند.

- 22 درصد از افرادی که در بانکی حساب دارند، اگر بانک دیگری میزان امنیت بیشتری را تامین کند؛ حاضرند که بانک خود را عوض نمایند.
سادگی روش جدول رمز، آنرا بر دیگر روش‌ها برتری می‌دهد. نگهداری آن بسیار ساده بوده و اکثریت کاربران استفاده از آنرا بسیار راحت توصیف می‌کردند در حالی که از امنیت بالایی نیز در تماس آنلاین و انتقال پول برخوردار بودند. اگر چند بار بطور تصادفی در یک نشست از جدول استفاده نماییم، بر نفوذ "کسی در بین راه" نیز فایق می‌آییم.
یکی از مزایای مهم آن دارا بودن هزینه کم برای صادر کننده است. اگر از حق لیسانس آن بگذریم، قیمت صدور کارت آن بسیار کم بوده و کمتر از 500 ریال تمام خواهد شد. برای مصرف کننده خارجی اگر به تعداد زیاد استفاده نماید، کمتر از یک دلار هزینه خواهد داشت. هزینه سایت مرکزی نیز با توجه به سادگی کار بسیار کم است.
برای یک سال، روش شرکت انتراست 7 برابر توکن آر.اس.ای و برای 3 سال بیش از 8 برابر صرفه جویی مالی دارد. قیمت گذاری محصول شرکت به نام آیدنتیتی گارد (IdentityGuard) با احتساب هزینه برای هر کاربر، سرور، تولید کارت و پشتیبانی است. قیمت گذاری محصول آر.اس.ای با احتساب قیمت توکن، لیسانس نرم افزار مدیریت و پشتیبانی است.

منبع : ماهنامه راه راست

حفره جدید در برنامه SMF توسط کانون پژوهشگران دانش امنیت (تیم امنیتی پرشین هکرز سابق) کشف شد.
تاریخ کشف :

2 آذر 1384
درباره برنامه :

Simple Machines Forum سیستم تالار گفتمان است که براساس قابلیت های PHP و MySql پایه ریزی شده و به طور گسترده ای در اینترنت مورد استفاده قرار گرفته است. برای اطلاعات بیشتر به وبسایت گروه توسعه دهنده در آدرس زیر مراجعه فرمایید.

http://www.simplemachines.org
شرح :

----------------

این سیستم دارای آسیب پذیری تزریق به پایگاه داده ها (SQL_Injection) در ورژن 1.1 RC 1 میباشد.
نسخه فوق آخرین نسخه ارائه شده بوده و این امکان وجود دارد که نسخه های پیشین نیز آسیب پذیر باشند.
آسیب پذیری :

--------------------

تزریق به پایگاه داده ها :
با توجه به قسمتی از کدهای صفحه Memberlist.php
.

.

------------/CUT/------------

if (!is_numeric($_REQUEST['start']))

{

$request = db_query("

SELECT COUNT(ID_MEMBER)

FROM {$db_prefix}members

WHERE LOWER(SUBSTRING(realName, 1, 1))

AND is_activated = 1", __FILE__, __LINE__);

list ($_REQUEST['start']) = mysql_fetch_row($request);

mysql_free_result($request);

}

CUT/------------i/------------

.

.
همانطور که میبینید اسکریپت به درستی ورودیهای کاربران را هنگام دریافت پارامتر 'start' اعتبار سنجی نمیکنند که به مهاجم این امکان را میدهد تا با تهیه پارامترهای دلخواه , دستورات SQL را از طریق آدرس زیر در پایگاه داده ها تزریق و اجرا نماید.
http://example.com/smf/index.php?action=ml...;start='SQL

راهکار امنیتی :

--------------------

در حال حاضر وصله امنیتی در ارتباط با این موضوع از طرف گروه توسعه دهنده وجود ندارد.

توصیه گروه امنیتی کپدا برای برطرف کردن موقت این آسیب پذیری:

در صفحه /Sources/Memberlist.php خطوط زیر را پیدا کرده:
if (!is_numeric($_REQUEST['start']))

{
و این خطوط را بلافاصله در خط بعد از آن اضافه کنید:
$Pattern="[A-Za-z]";

if (!eregi($Pattern, $_REQUEST['start'])) die('Hacking attempt...');
لینک گزارش :

http://irannetjob.com/content/view/173/28

http://kapda.ir/advisory-155.html (فارسی)
اطلاعات بیشتر :

http://www.securityfocus.com/archive/1/419068/30/0/threaded

http://www.securityfocus.com/bid/15791
توسط :

علیرضا حسنی

trueend5 [at} kapda.ir
منبع : http://www.kapda.ir

گزارش CERT/CC از وضعیت امنیت شبکه در سال 2003

دوشنبه, ۱۶ آبان ۱۳۸۴، ۰۷:۰۸ ب.ظ | ۲ نظر

هفته گذشته موسسه CERT/CC – مرکز اصلی هماهنگی گروههای امداد امنیت کامپیوتری در سطح جهان - گزارشی از فعالیتهای خود را طی سال 2003 عرضه کرد که گروه امداد امنیت کامپیوتری ایران ( IRCERT ) با توجه به اهمیت مطالب این گزارش, چکیده ای از این گزارش را جهت استفاده بازدید کنندگان سایت عرضه می کند.

مهمترین حوادث امنیتی سال 2003
مهمترین حملات سال 2003 از دید CERT دو حمله زیر بوده است:
کرم اینترنتی W32/Sobig.F

این کرم اینترنتی که از طریق ویروس منتشر می شد براساس ارسال از طریق پیوست ایمیل (Attachment) فعالیت میکرد. اجرای موفقیت آمیز این کرم اینترنتی منوط به باز کردن پیوست ایمیل توسط کاربر یا اجرای اتوماتیک آن توسط یک برنامه کلاینت بود. Sobig سپس به صورت اتوماتیک به تمامی آدرسهای یافت شده بر روی کامپیوتر آلوده مجددا ارسال می شد.
MS-SQL Server Worm/W32.Slammer

نفوذ گران با استفاده از یک قطعه کد منتشر شونده و نیز بهره گیری از یک شکاف امنیتی موجود بر روی MS-SQL Server2000 و نیز MSDE توانستند علاوه بر تغییر و دستکاری اطلاعات حساس موجود بر روی انواع سرورها ، کنترل ماشینهایی که این برنامه ها بر روی آنها اجرا می شد را نیز به دست گیرند. سازمان CERT پیشتر و در طی یک راهنمایی امنیتی وجود شکافهای جدی امنیتی بر روی این دو محصول را هشدار داده بود. زمانی که با استفاده از این شکافها کرم Slammer نوشته شد نیز سازمان CERT طی یک راهنمایی امنیتی این مساله را به مخاطبین خود هشدار داد.


مهمترین شکافهای امنیتی سال 2003
مهمترین شکافهای امنیتی نیز از دید سازمان CERT دو شکاف امنیتی زیر بوده اند:
انواع شکافهای امنیتی در سرویس RPC ویندوز
طی هشدار امنیتی CA-2003-16 ,CERT وجود شکافهای جدی امنیتی را در سرویس RPC ویندوز هشدار داد. طی دو هفته بعد انواع گزارشات در باب استفاده نفوذگران از این شکافها به CERT ارسال شد که در نهایت منتهی شد به انتشار راهنمایی CA-2003-19 شکافهایی متعدد امنیتی در Internet Explorer

راهنمایی امنیتی CA-2003-22 حداقل شامل پنج شکاف مهم در IE است که هر کدام از این شکافهای امنیتی میتوانند امکان اجرای یک حمله DoS را به نفوذگر بدهند یا حتی کنترل کامل کامپیوتر را به نفوذگر بسپارند.


جمع بندی
در نهایت در طی سال 2003 ، بیست و هشت راهنمایی امنیتی به شرح زیر توسط سازمان CERT منتشر شده است:
سرریز بافر در ISC DHCPD

کنسرسیوم نرم افزاری اینترنت ( ISC ) چندید مشکل سرریز بافر را در پیاده سازی DHCP پیدا کرده است. این حفره ها می توانند به نفوذگران اجازه اجرای کدهای دلخواه بر روی کامپیوترهای قربانی را بدهد.
خطای Double Free در سرور CVS

این خطا در سرور Concurrent Versions System باعث می شود تا یک نفوذگر غیرمجاز بتواند از راه دور و تنها با اجازه دسترسی خواندن , یک کد دلخواه را اجرا کند , اجرای برنامه را متوقف کند , اطلاعات حساسی را بخواند و یا باعث حمله DoS شود.
سرریز بافر در سرویس Locator ویندوز

این حفره امنیتی می تواند به یک نفوذگر از راه دور اجازه دهد تا کدی دلخواه را اجرا کند یا سرویس Locator ویندوز را با مشکل روبرو کند. این سرویس به صورت پیش فرض فعال است و در کنترلرهای دامنه در ویندوزهای NT و 2000 در حال اجرا است.
کرم MS-SQL Server

CERT/CC گزارشهای متعددی را درباره یک کد خطرناک که خود را منتشر می کند و از حفره های موجود در سرویس Resolution در Microsoft SQL Server 2000 استفاده می کند , دریافت کرده است. انتشار این کرم باعث شده است تا مشکلات ترافیکی در شبکه های مختلف بوجود آید.
چند خطای امنیتی در سرور اوراکل

چند حفره و مشکل امنیتی در نرم افزار اوراکل وجود دارد که می تواند باعث اجرای کد دلخواه , صدور اجازه خواندن , نوشتن یا تغییر اطلاعات نوشته شده در پایگاه داده های این نرم افزار یا حمله DoS شود.
چند خطای امنیتی در پیاده سازی پروتکل SIP

وجود حفره های متعدد امنیتی در پیاده سازی های شرکت های مختلف از پروتکل Session Initiation یا SIP گزارش شده است. این حفره های می توانند به یک حمله کننده اجازه دهند تا دسترسی غیرمجاز ممتازی پیدا کند و باعث بروز حملات DoS یا عدم ثبات رفتاری سیستم شود.
سرریز بافر در SendMail

این حفره امنیتی در sendmail می تواند باعث شود تا هکر اختیار root را در سرور sendmail به دست بگیرد.
حمله به سرویس اشتراک فایل در ویندوز

در هفته های گذشته CERT متوجه شده است که گزارشهای رو به افزایشی از دارندگان سیستم عاملهای ویندوز XP و 2000 درباره ضعف امنیتی اشتراک فایل در این سیستم عامل ها بدست می رسد.
سرریز بافر در یکی از DLL های اصلی ویندوز

یک حفره امنیتی سرریز بافر در کتابخانه های Win32 API در تمامی نسخ ویندوز 2000 وجود دارد. این حفره که در سرورهای IIS 5.0 دارای WebDAV به صورت فعال مورد استفاده قرار می گیرد ، به یک هکر اجازه می دهد تا از راه دور یک کد دلخواه را روی سیستم اجرا کند. سایتهایی که از ویندوز 2000 استفاده می کنند باید هرچه سریعتر اصلاحیه امنیتی مربوطه را نصب کنند یا خدمات WebDAV را غیرفعال کنند.
سرریز Integer در یکی از توابع کتابخانه ای SUN

خطای سرریز Integer در تابع xdrmem_getbytes() و به عنوان بخشی از کتابخانه XDR سیستم عامل Sun توزیع شده است. این خطا می تواند باعث بروز سرریز بافر در برنامه های مختلف و در نتیجه امکان اجرای کد دلخواه بر روی سیستم شود. علاوه بر Sun بعضی شرکتهای دیگر نیز این کد را در پیاده سازی های خود به کار گرفته اند.
چند خطای امنیتی در Lotus

چند اشکال امنیتی در Lotus Notes clients و سرورهای Domino گزارش شده است. این راهنمایی جزئیات این اشکالات ، نسخ در خطر و اصلاحیه های مربوط را معرفی می کند.
سرریز بافر در SendMail

این حفره امنیتی در sendmail می تواند باعث شود تا هکر اختیار root را در سرور sendmail به دست بگیرد.
چند خطای امنیتی در Snort

دو حفره امنیتی در سیستم تشخیص نفوذ Snort وجود دارد که هر یک در ماژول پیش پردازنده قرار دارد. هر دو حفره به هکرها اجازه می دهد تا به عنوان کاربری که Snort را اجرا می کند ( معمولا root ) کدی دلخواه را از راه دور روی سیستم اجرا کند.
سرریز بافر در یکی از توابع تبدیل HTML در ویندوز

یک حفره سرریز بافر در کتابخانه اشتراکی تبدیل HTML ویندوز وجود دارد. یک هکر می تواند از این حفره استفاده کند تا کدی دلخواه را اجرا کند یا یک حمله DoS را اجرا کند.
شکاف امنیتی در CISCO IOS

یک حفره در بسیاری از نسخ Cisco IOS می تواند به یک نفوذگر اجازه دهد تا از حمله DoS استفاده کند.
سرریز بافر در سرویس RPC ویندوز

یک سرریز بافر در پیاده سازی RPC مایکروسافت وجود دارد. یک هکر می تواند از راه دور و با استفاده از این حفره کدی دلخواه را روی سیستم قربانی اجرا کند یا حمله DoS انجام دهد.
دسترسی عام به Exploit مربوط به خطای امنیتی CISCO

یک خطای امنیتی Cisco به صورت عمومی در اختیار کاربران قرار گرفته است. Exploit مربوطه در VU#411332 شرح داده شده است.
سرریز Integer در DirectX

مجموعه ای از سرریزهای Integer در کتابخانه DirectX ویندوز وجود دارد. یک هکر می تواند با استفاده از این حفره ها کدی دلخواه را روی سیستم قربانی اجرا کند یا حمله DoS انجام دهد.
دسترسی عام به Exploit مربوط به سرریز بافر در RPC ویندوز

CERT گزارشاتی را درباره استفاده گسترده از دو حفره امنیتی که اخیرا کشف شده اند دریافت کرده است. این دو حفره در واسط RPC قرار دارند.
کرم Blaster

CERT گزارشاتی را درباره فعالیت گسترده کد خطرناکی به نام W32/Blaster دریافت کرده است. این کرم اینترنتی از حفره های امنیتی شناخته شده در واسط RPC ویندوز برای نفوذ استفاده می کند.
مشکل امنیتی سرور FTP مربوط به پروژه GNU

CERT گزارشی را دریافت کرده است مبنی بر این که سیستم میزبانی سرورهای اصلی FTP در پروژه GNU هک شده است.
چند شکاف امنیتی در IE

IE دارای چند حفره امنیتی است که مهمترین آنها به یک هکر اجازه می دهد تا از راه دور کدی دلخواه را اجرا نماید.
شکاف امنیتی در RPCSS ویندوز

مایکروسافت بولتنی را منتشر کرده است که در آن سه حفره امنیتی را که بسیاری از نسخ ویندوز را تحت تاثیر قرار می دهند توضیح داده است. دو حفره شامل امکان سرریز بافر هستند و به یک هکر اجازه می دهند تا کدی دلخواه را روی سیستم قربانی اجرا کند. سومین حفره به یک مهاجم اجازه می دهد تا حمله DoS‌انجام دهد.
شکاف امنیتی در مدیریت بافرها در OPENSSH

در نسخ پیش از نسخه 3.7 OpenSSH یک حفره امنیتی در تابع مدیریت بافر وجود دارد. این حفره می تواند به یک هکر اجازه دهد تا حافظه heap را تخریب کند و باعث بروز شرایط DoS شود. همچنین هکر امکان اجرای کد دلخواه را نیز خواهد داشت.
سرریز بافر در SendMail

این حفره امنیتی در sendmail می تواند باعث شود تا هکر اختیار root را در سرور sendmail به دست بگیرد.
چند شکاف امنیتی در پیاده سازی SSL و TLS

جندین شکاف امنیتی در پیاده سازی های مختلف پروتکلهای SSL و ‏TLS وجود دارد. این شکافها در کد ASN.1 وجود داشته اند. مهمترین آنها می تواند به هکر اجازه اجرای کد دلخواه و انجام DoS را بدهد.
چند شکاف امنیتی در ویندوز و Exchange

چند حفره امنیتی در دو محصول ویندوز و Exchange وجود دارد که مهمترین آنها به هکر اجازه اجرای کد دلخواه را می دهد.
سرریز بافر در سرویس WorkStation ویندوز

یک سرریز بافر در سرویس WorkStation ویندوز (WKSSVC.DLL) وجود دارد که یک هکر می تواند با استفاه از آن کد دلخواهی را اجرا کند و یا حمله DoS‌ انجام دهد.
منبع:گروه امداد امنیت کامپیوتری ایران

راهنمای والدین با توجه به رده سنی کودکان

دوشنبه, ۱۱ مهر ۱۳۸۴، ۰۷:۴۴ ب.ظ | ۰ نظر

آیا کودکانتان در آغاز اتصال به اینترنت قرار دارند یا تجربه کار با وب را دارند؟ در هر صورت شما می توانید آنها را در استفاده از اینترنت، همچنان که رشد می کنند و در گروه های سنی متفاوتی قرار می گیرند، راهنمایی کنید.
این مقاله به شما کمک می کند که بفهمید کودکان در سنین مختلف از اینترنت چه استفاده هایی می کنند. بنابراین شما می توانید درباره آنچه که به بهبود امنیت کودکانتان در استفاده از اینترنت کمک می کند، بیشتر بیاموزید.


سنین ۲ تا ۴ سالگی:
در طی این دوره، استفاده از اینترنت مستلزم حضور والدین است. والدین می توانند کودکانشان را روی پای خود بنشانند و به عکس های خانوادگی نگاه کنند، از یک دوربین وب برای ارتباط با خویشاوندان استفاده کنند و یا به سایت هایی که مخصوص کودکان طراحی شده، سر بزنند.
سنین ۵ تا ۶ سالگی:
زمانی که کودکان به ۵ سالگی می رسند، احتمالاً خودشان می خواهند به مکاشفه در اینترنت بپردازند. مهم است که والدین کودکانشان را برای حرکت در اینترنت به صورت امن تر در هنگامی که کودکان استفاده از اینترنت را به تنهایی آغاز می کنند، راهنمایی کنند. بعضی از سایت ها نیز برای این گروه سنی کودکان یعنی زیر ۸ سال طراحی شده اند و ابزار مناسبی برای جستجو در اختیار کودکان قرار می دهند.
سنین ۷ تا ۸ سالگی:
بخشی از رفتار طبیعی کودکان در این گروه سنی این است که کمی شیطنت کنند. مثلاً در هنگام اتصال به اینترنت این رفتار ممکن است شامل رفتن به سایت ها یا اتاق های گفتگویی شود که والدینشان اجازه نداده اند. گزارش های فعالیت های آنلاین می تواند بخصوص در طول این سنین، مفید باشد. کودکان احساس نخواهند کرد که والدینشان آنها را تحت نظر دارند، اما گزارش نشان می دهد که آنها به کجا سر زده اند. این گروه از کودکان همچنان از استفاده از سایت های مخصوص خودشان احساس خوشایندی دارند.
سنین ۹ تا ۱۲ سالگی:
در دوران قبل از نوجوانی، کودکان می خواهند از هرچیزی سر دربیاورند . آنها در مورد آنچه که در اینترنت موجود است، شنیده اند. طبیعی است که سعی کنند آنچه را که وجود دارد، ببینند. والدین می توانند با استفاده از ابرازهای کنترلی جهت کنترل دسترسی و یا مسدود سازی بعضی سایتها و موضوعات استفاده کنند. این گروه هنوز می توانند از سایت های مخصوص کودکان ۸ تا ۱۳ سال استفاده کنند.
سنین ۱۳ تا ۱۷ سالگی
کمک به نوجوانان برای امنیت در مقابل اینترنت، احتیاج به مهارت خاصی دارد، زیرا آنها اغلب در زمینه نرم افزارهای اینترنتی بیشتر از والدین خود می دانند. والدین باید نقش فعال تری در هدایت کودکان بزرگتر برای استفاده از اینترنت برعهده گیرند. رعایت جدی قوانینی که بر سر آنها بین کودکان و والدین موافقت صورت گرفته و مرور مرتب گزارش های فعالیت های آنلاین فرزندان بسیار مهم است. والدین باید بخاطر داشته باشند که باید کلمات عبور خود را محافظت کنند، تا نوجوانان نتوانند بعنوان والدین در جایی وارد شوند.

منبع : http://www.ircert.com

آشنایی با حملات pharming

دوشنبه, ۱۱ مهر ۱۳۸۴، ۰۷:۴۲ ب.ظ | ۰ نظر

تهدیدهای جدیدی که هویت و اطلاعات کاربر را هدف قرار داده اند،‌رویکردهای جدید امنیتی را طلب می کند.
امروزه، حملات phishing ساده تر و کم خطرتر از تهدیدهای آنلاینی که در حال تجربه شدن هستند، به نظر می رسند. حملات phishing به آسانی شناخته می شوند و می توان به سرعت آنها را از کار انداخت. جرائم سازمان یافته از این حد گذشته و پیچیدگی آنها به طرز چشم گیری افزایش یافته است. امروزه، کاربران با اشکال موذیانه تری از حمله مواجه می شوند و کشف و مقابله علیه آنها بسیار مشکل تر است.
گونه ای جدید از حمله
این گونه جدید حمله بعنوان pharming شناخته می شود. pharming بجای اینکه کاربر را گول بزند تا به یک ایمیل تقلبی پاسخ دهد تا او را به یک وب سایت جعلی هدایت کند، برای فریب دادن کاربر برای تسلیم هویت و اطلاعات حساسش، از روش های زیرکانه تری استفاده می کند. این حملات از اسب های تروا (تروجان) برای نصب برنامه های کلیدخوان و برنامه های هدایت کننده استفاده می کنند تا به یک نفوذگر اجازه دهند کلمات عبور و شماره کارت های اعتباری را بدست آورد، بدون اینکه کاربر مجبور به انجام کاری غیرعادی باشد. در اینجا دو مثال از نحوه این حمله آورده شده است:
۱- کاربر یک ایمیل ظاهراً صحیح را باز می کند که او را تشویق می کند تا فایل الحاقی به ایمیل را باز کند. این فایل الحاقی بصورت مخفیانه یک «کلیدخوان» (برنامه ای است که کلیدهایی را که توسط کاربر زده می شود، ثبت می کند) نصب می کند. هنگامی که کاربر به بانک آنلاین خود سر می زند، کلیدخوان این را تشخیص می دهد و ورودی های صفحه کلید کاربر را هنگامی که وی اسم و کلمه عبور را تایپ می کند، ثبت می کند. سپس این اطلاعات برای نفوذگر ارسال می شود تا برای دسترسی به حساب کاربر استفاده شود.
۲- یک کاربر ممکن است با دانلود کردن یک فایل یا مشاهده یک وب سایت که حاوی ActiveX control است، سهواً یک «هدایت کننده» (redirector) را روی سیستم خود نصب کند. این کار باعث می شود که فایل های موجود در سیستم دچار تغییراتی شود و هنگامی که کاربر به بانک آنلاین خود سر می زند، به وب سایت نفوذگر هدایت شود. این عمل می تواند با مسموم کردن سرور DNS انجام گیرد که برای آدرس بانک آنلاین کاربر، IP وب سایت نفوذگر را می فرستد. حملات پیچیده تر می توانند ارتباط را با بانک کاربر برقرار کنند و هنگامی که پروسه در حال انجام است، ترافیک عبوری بین کاربر و بانک (شامل کلمات عبور و اطلاعات شخصی) را مشاهده کنند. در اصل نفوذگر خود را بین کاربران و بانک قرار می دهد.
چه می توان کرد؟
از نظر تاریخی، رویکرد امنیتی که برای این نوع از حملات بکار گرفته شده است، مشابه مفهوم گارد مرزی (Boarder Guard) بوده است. ورود موارد زیان رسان را به کامپیوتر متوقف کنید و جلوی کاربر را از رفتن به مکان های بد بگیرید. ابزارهایی مانند آنتی ویروس، ضدجاسوس، فایروال ها و تشخیص دهندگان نفوذ، همگی چنین رویکردی دارند. به هرحال، همچنانکه حملات به رشد خود ادامه می دهند و پیچیده تر می شوند، نمی توان از احتمال نصب شدن موفقیت آمیز یک کلیدخوان یا هدایت کننده علیرغم این گاردهای مرزی، غافل ماند.
برای سروکار داشتن با این احتمال، رویکرد متفاوت دیگری مورد نیاز است. علاوه بر ابزارهایی که ذکر آنها رفت، نیاز است که هویت و اطلاعات کاربران توسط محافظ شخصی (body guard) مراقبت شود. یعنی، نیاز است که هویت و اطلاعات شخص بدون در نظر گرفتن نوع حمله و جایی که اطلاعات کاربر به آنجا می رود، همواره امن باقی بماند. این نوع امنیت قابلیت های محافظ شخصی را برای هویت کاربر ایجاد می کند و اهمیتی ندارد که اطلاعات کاربر به کجا فرستاده می شود و کلیدخوان نصب شده است و یا اینکه نفوذگر می تواند ترافیک اینترنت را نظارت کند.
دو قابلیت امنیتی وجود دارد که می تواند توانایی این محافظ شخصی را پیاده کند. اولی تصدیق هویت قوی (strong authentication) است. امروزه، کاربران عموماً برای محافظت از هویتشان به یک کلمه عبور اطمینان می کنند، اما احتمال زیادی وجود دارد که کلمه عبور توسط کسی که نظاره گر login است، دزدیده شود. داشتن یک عامل اضافی برای تصدیق هویت، یعنی چیزی که کاربر باید بصورت فیزیکی داشته باشد علاوه بر آنچه که می داند، می تواند یک هویت آنلاین را در برابر حمله محافظت کند. این کار قابل مقایسه با چگونگی تأیید هویت کاربران در ماشین های خودپرداز بانک است. کاربران هم کارت بانکی دارند و هم PIN را می دانند. با تصدیق هویت قوی، اگر کلیدخوان هم نصب شده باشد، می تواند تنها کلمه عبور را بگیرد و نه عامل فیزیکی استفاده شده در پروسه تصدیق هویت را. کلمه عبور به تنهایی و بدون فاکتور فیزیکی نمی تواند توسط نفوذگر برای دسترسی به حساب کاربر مورد استفاده قرار گیرد.
توانایی مهم دوم رمزنگاری مداوم است. امروزه، SSL (Secure Socket Layer) از اطلاعات ارسال شده توسط کاربران بگونه ای محافظت می کند که انگار تنها به سرور هدف ارسال می شوند. برای مثال، اگر یک کاربر کلمه عبور خود را وارد کند، به راحتی تا زمان رسیدن به و ب سرور در طرف دیگر، قابل مشاهده است. در مورد یک حمله هدایت کننده، ارتباط امن در سایت نفوذگر پایان می پذیرد و قبل از اینکه به سازمان آنلاین قانونی ارسال شود، دیتای کاربر در معرض افشاء قرار می گیرد. رمزنگاری مستمر می تواند از دیتا ،بدون در نظر گرفتن امنیت ارتباط، محافظت کند. ورودی های کاربر قبل از ترک کامپیوتر کاربر رمز می شوند و می توانند تنها توسط سازمان قانونی که به سرورهای طرف دیگر دسترسی دارد، رمزگشایی شوند. حتی اگر دیتا به این سرور نرسد، رمزشده باقی خواهد ماند و برای یک نفوذگر قابل استفاده نیست.
این دو قابلیت به همراه هم، می توانند نقش محافظ شخصی را برای محافظت از هویت و اطلاعات کاربر در دنیای خصمانه! اینترنت ایفاء کنند.

بررسی دنیای واقعی
چند انتخاب وجود دارند که می توانند امنیت محافظ شخصی را فراهم کنند اما باید با استفاده از نیازهای دنیای واقعی اینترنت ارزیابی شوند. چنانچه کاربر با یک تکنولوژی احساس راحتی نکند، آن را نخواهد پذیرفت. اگر تکنولوژی خیلی گران باشد، نه برای کاربر انتهایی قابل تهیه خواهد بود و نه برای سازمان مربوطه.
چندین عامل وجود دارد که باید به هنگام تشویق کاربران به پذیرش تکنولوژی مورد نظر مورد توجه قرار گیرند:
· نرم افزار کلاینت ـ هر نیازی به دانلود و نصب نرم افزار به عنوان یک مانع است...
· واسط نرم افزار ـ خطرات و پیچیدگی که کاربر برای پیاده سازی تجربه می کند...
· راحتی استفاده ـ مخصوصاً برای تصدیق هویت دو عامله! ، راحتی استفاده شامل قابلیت حمل، دوام است. سهولت کار با واسط کاربر نیز مورد توجه جدی است.

مشخصاً زمانی که از این نوع فناوری با مقیاس بالا بکارگرفته شود، هزینه این رویکرد می تواند در امکانپذیری آن موثر باشد. اگر هزینه کل سیستم خیلی بالا باشد، سازمان ها برای برقراری این امنیت اضافی برای یک مورد تجاری مورد قبول، نیاز به مطالبات مالی از کاربران دارند. در این موارد کاربران به راحتی راضی به پرداخت های اضافی برای برقراری این امنیت بیشتر نمی شوند.

به این منظور تکنولوژی های محافظ شخصی باید سطح بالایی از امنیت را در حالی که هزینه کمی در بردارند و برای استفاده آسان هستند، فراهم کنند.

منبع: http://www.ircert.com

ارزش تجاری امنیت

دوشنبه, ۱۱ مهر ۱۳۸۴، ۰۷:۳۳ ب.ظ | ۰ نظر

اگر با امنیت سروکار دارید، بنحوی به این مطلب اذعان دارید که امنیت هزینه بر است، هم از نظر ویژگی ها، هم کارایی و هم قابلیت استفاده. ممکن است هر روز با این حقیقت سروکار داشته باشید و حتی این مطلب را کاملا پذیرفته باشید. اما اگر به شما گفته شود که می توانید احساس خود را نسبت به امنیت تغییر دهید و از آن بجای عاملی هزینه بر به عنوان یک تقویت کننده تجارت استفاده کنید،‌آنگاه چه می گویید؟ ممکن است این مفهوم جدید هنگامی که شما مورد تجاری بعدی خود را برای یک سیستم جدید پایه ریزی می کنید و نیاز دارید که سرمایه بیشتری تقاضا کنید، تفاوت زیادی ایجاد کند. اجازه دهید به شما بگوییم چگونه!
یک طرح امنیتی خوب باید به خوبی از کار بیافتد!
هنگامی که یک راه حل یا برنامه کاربردی طراحی می کنید، دیر یا زود اشکالات فعال و غیرفعال را خواهید دید. مهم نیست که چقدر خوب طراحی کرده باشید، امنیت در نهایت از کار می افتد! هنگامی که امنیت را در راه حل خود وارد می کنید، باید روی این مطلب تمرکز کنید که چگونه کار خواهد کرد و تراکنش خواهد داشت. اما مهم تر این است که چگونه از کار خواهد افتاد.
مرتبه بعد که راه حل جدیدی را طراحی و پیاده سازی می کنید، به دنبال این باشید که چگونه می توانید هنگامی که طرح شما به خطر می افتد ، از یک واکنش زنجیره ای اتفاقات بد جلوگیری کنید. هنگامی که برای جلوگیری از اشکالات، آینده نگری می کنید، این رویکرد به راه حلی منتهی می شود که خسارت را در هنگام به خطر افتادن سیستم، محدود می کند. به عبارت دیگر، مطمئن شوید که طراحی شما به خوبی از کار می افتد و مشکلات گسترده ای ایجاد نمی کند!
یک راه حل که به خوبی از کار میفتد، چگونه ارزش تجاری امنیت را تحت تأثیر قرار می دهد؟ در اینجا به یک مثال اشاره می کنیم: شرکت شما یک پورتال آنلاین ایجاد می کند که روی زیرساختار مبتنی بر Windows Server 2003 و چارچوب .NET اجرا می شود. یک شرکت مشابه نیز پورتالی دارد که اخیراً به خطر افتاده است. بنابراین شرکت شما می خواهد این تضمین را بدهد که مشتریان بالقوه به پورتال جدید اعتماد دارند. راه حل هایی که به طرز بدی از کار می افتند، آنهایی هستند که شما دوست ندارید در آینده یادآور آنها باشید.
بنابراین شرکت شما سعی می کند زیرساختار را ساده کند: شما با پیاده سازی پورتال در سه سطح، یک تقسیم بندی انجام می دهید. در طول نصب تا آنجا که ممکن است از تراکنش های انسانی با استفاده از نصب های اسکریپتی و خودکار می کاهید. به صورت مرکزی ابزارهایی مانند Group Policy در Active Directory را سرپرستی می کنید. برای بهبود امنیت پورتال و بهینه سازی عملیات روزانه، روندهای مدیریت وصله های امنیتی را بهینه می کنید. شما تمام این کارها را تحت نام امنیت انجام می دهید. آنچه که شما در نهایت توسط آن، کار خود را به اتمام می رسانید زیرساختاری است که برای آنچه در آن سرمایه گذاری کرده اید، ارزش افزوده به ارمغان می آورد. شما یک طرح پورتال دارید که پویاتر و مقاوم تر است و به راحتی برای مقاومت در برابر تهدیدها و حملات جدید سازگار می شود.
شما همچنین تکنولوژی ای را که از آن استفاده می کنید بهتر درک می کنید و در عین حال کارمندان IT شما بازدهی بیشتری دارند، زیرا شما نصب طاقت فرسا و وظایف نگهداری را از کار روزانه حذف کرده اید. شما در حقیقت با استفاده از امنیت به عنوان یک تقویت کننده، ارزش تجاری را افزایش داده اید.
اما صبر کنید، یک عامل دیگر هنوز وجود دارد...

عامل انسانی
امنیت در حقیقت مربوط به همه است. نه فقط کسانی که به یک سیستم حمله می کنند، بلکه کسانی که از آن مراقبت می کنند نیز درگیرند. یک چیز را به خاطر داشته باشید: اگر می خواهید طرح امنیتی شما کار کند شما مجبورید به افراد اعتماد کنید. جزئیات یک روش امنیتی اغلب پیچیده است، اما روشی که امنیت عمل می کند و از کار می افتد چیزی است که همه می توانند بفهمند. این را هنگامی که طرح امنیتی خود را ایجاد و پیاده سازی می کنید به یاد داشته باشید.
امتیازی که انسان ها نسبت به ماشین دارند این است که می توانند ابتکار داشته باشند، به سرعت تصمیم گیری کنند و مشکلات را کشف کنند. از طرفی افراد ضعیف ترین بخش یک زنجیره امنیتی هستند. آنها معمولاً دلیل از کار افتادن طرح امنیتی شما هستند.
بنابراین، چگونه می توانید ضعف انسانی را به یک نقطه مثبت تبدیل کنید؟ مطمئن شوید که هنگامی که امنیت را در طرح خود وارد می کنید، افراد مرتبط را درگیر می کنید، به آنها وظایفی محول می کنید و آگاهشان می کنید. داخل یک سازمان، امنیت یک تلاش گروهی است، هم عمودی و هم افقی! همه را درگیر کنید و برای فیدبک ها و پیشنهادهای سازنده در مورد طرحتان به صورت باز برخورد کنید. با استفاده از امنیت به عنوان ابزاری برای ارتباط در میان کل سازمان، شما افراد را از اموالی که قصد محافظت دارید، آگاه می سازید. در حقیقت مقوله امنیت به عنوان یک عامل انگیزه، بر ارزش تجاری می افزاید، زیرا افراد را مجبور به تراکنش و اشتراک ایده ها می کند.

امنیت کامل وجود ندارد؛ اما مخاطرات باید قابل مدیریت باشند. هنگامی که شما به صورت موثری مخاطرات امنیتی را مدیریت می کنید، یک طرح امنیتی -تجاری قدرتمند در اختیار دارید که چیزی بیش از یک هزینه است.
شما نمی توانید این حقیقت را که امنیت همیشه پول را تعقیب می کند، تغییر دهید. شما می توانید رویکرد خود را با تبدیل ساختن امنیت به یک ابزار تجاری با ارزش تغییر دهید و می توانید از آن به عنوان یک انگیزه و تقویت کننده استفاده کنید، هم برای تکنولوژی و هم برای افراد. اکنون امنیت چیزی است که هیچ تجارتی نمی تواند بدون آن وجود داشته باشد.

منبع : www.ircert.com

دو یا سه سال پیش، اگر یک رایانه قابل حمل در محوطه یک دانشکده یا آموزشگاه دزدیده مى شد، تنها نگرانى صاحب آن این بود که چطور پول نسبتاً هنگفت مورد نیاز براى خرید یک رایانه جایگزین را تهیه کند. امروزه اما نخستین دغدغه او این است که «چه داده یا اطلاعات حساسى ممکن است دزدیده شده باشد؟»

رایانه هاى قابل حمل در صورت گم شدن یا دزدیده شدن مى توانند امکان دسترسى به اطلاعاتى از قبیل شماره هاى تلفن یا موبایل، شماره هاى مخصوص کارت هاى اعتبارى، یا رمزهاى عبور انواع سیستم هاى خودکار را در اختیار یابنده یا دزد مورد نظر قرار دهد. دانشجویان جوان یا کارکنان یک موسسه آموزشى ممکن است اطلاع چندانى از اهمیت بحث حراست از داده هاى اینچنینى نداشته باشند یا اصولاً اهمیت چندانى به آن ندهند. فراتر از بحث دزدهاى اطلاعات رایانه اى، مسئولان موسسات آموزشى و دانشگاه ها در آمریکا از توانایى هاى هکرها یا حمله کنندگان به سیستم هاى الکترونیکى رایانه اى نیز در هراس اند. این هکرها با توسل به شیوه هاى مخصوص خود قادرند رایانه هاى یک آموزشگاه را دچار اختلال کرده و با فرستادن هرزنامه هاى الکترونیکى یا تهاجم به منابع خدماتى شبکه (Web servers) ارتباطات برقرار شده در قالب شبکه را به طور کلى معیوب سازند.

• خطر در کمین است

به موازات نزدیک شدن به آغاز دوره جدید تحصیلات تکمیلى در آمریکا گردانندگان دانشکده ها، آموزشگاه ها و دانشگاه ها بیشتر به اهمیت و لزوم حراست از اطلاعات محرمانه موجود پیرامون اساتید دانشگاه، کارکنان حوزه هاى ستادى، دانشجویان و حامیان مالى موسسات آموزشى مربوطه پى مى برند. براساس گزارش منتشر شده از سوى پژوهشگران «موسسه پشتیبانى از حقوق خصوصى افراد» (PRC) بیش از ۵۰ میلیون نفر که بیشتر آنها را دانشجویان موسسات آموزشى مختلف تشکیل مى دهند از شش ماه پیش تاکنون در معرض دستبرد سارقان اطلاعات رایانه اى قرار گرفته اند. این در حالى است که ChoicePoint Inc. به عنوان متولى ذخیره سازى آمار مالى کاربران به تازگى فاش ساخت که دزدها به اطلاعات رایانه اى حدود ۱۴۵ هزار نفر دستبرد زده اند. با اعلام این خبر، دور تازه اى از افشاگرى هاى مشابه در ایالات متحده آغاز شده و نگاه هاى زیادى به بحث تضمین امنیت پایگاه هاى مسئول ارائه داده هاى تجارى، حکومتى و سایر انواع داده ها دوخته شده است.

در هفت ماه گذشته، بیش از ۳۰ موسسه آموزشى و دانشگاه در آمریکا خبر از نفوذ سارقان به منابع اطلاعات رایانه اى خود داده اند. دزدى داده ها و ایجاد اختلال در عملکرد سیستم هاى الکترونیکى رایانه اى در زمره مواردى بوده است که گردانندگان کالج بوستون، نورث وسترن، کارنگى ملون، پوردو و استانفورد از وقوع آن در حوزه فعالیت ستادى خویش خبر داده اند.

• ارزیابى دقیق از خطر

مسئولان موسسات آموزشى مختلف در سراسر ایالات متحده هم اینک مشغول ارزیابى دقیق خطرپذیرى شبکه هاى رایانه اى خویش هستند تا ببینند کدامین اقدامات امنیتى را باید براى مقابله با تهدیدات جارى و بالقوه در این حوزه انجام دهند، ضمن اینکه آنها قصد دارند به این پرسش مهم نیز پاسخ دهند که آیا سیاست هاى موجود در زمینه حراست از داده هاى محرمانه اساساً به مورد اجرا گذاشته مى شوند یا خیر؟ «رادنى پترسن» کارشناس آمریکایى فعال در زمینه داده هاى رایانه اى ضمن بیان این مطلب بر اهمیت ترویج استفاده از کامپیوتر در سطوح عالیه آموزشى، البته با رعایت نکات ایمنى لازم در رابطه با پشتیبانى داده ها، تأکید مى کند.

«گرى کسلر» آموزشیار یک برنامه نوین پژوهشى در حوزه امنیت اطلاعات در Champlain College در برلینگتون آمریکا بر این باور است که فناورى اطلاعات (Information Technology) غالباً در فضاهاى آموزشى ایالات متحده «با یک دست آهنین» کنترل نمى شوند و این مى تواند یک نقطه ضعف اساسى قلمداد شود. وى تمایل گردانندگان شبکه هاى رایانه اى در آموزشگاه هاى آمریکا را به باز عمل کردن و ارائه همه رقم اطلاعات به کاربران خود به پشتوانه آکادمیک بودن فضاى آنها بالقوه خطرناک مى داند.

این سنت آزادى آکادمیک به گفته «کسلر» مى تواند آسیب هاى جبران ناپذیرى را به پیکره نظام اطلاعاتى دانشگاه ها وارد آورد. فرض کنید که یک استاد دانشگاه بدون اهمیت قائل شدن به بحث امنیت اطلاعات یا حتى آگاه ساختن مسئولان دپارتمان فناورى اطلاعات به راه اندازى یک سرور وب براى کلاس درس خود اقدام کند. بدیهى است که دود این بى احتیاطى به چشم همه مسئولان و دانشجویان موسسه آموزشى مربوطه خواهد رفت.

• یک نمونه تمام عیار

Darmouth College در هانوور در نیوهمپشایر آمریکا یکى از مجهزترین فضاهاى آموزشى را به لحاظ برخوردارى از خدمات شبکه در سراسر ایالات متحده در اختیار دارد. دسترسى به رایانه تقریباً در همه جاى آن اعم از درون یا بیرون ساختمان ها از طریق یک اتصال بى سیم Wi-Fi امکانپذیر است. گردانندگان این موسسه دائماً دانشجویان را به استفاده از کامپیوتر در همه جا تشویق مى کنند. استادان نیز به شیوه هاى گوناگون از خدمات شبکه از قبیل انتشار متون برگزیده تحصیلى، ارائه مواد درسى لازم براى گذراندن یک دوره آموزشى، برگزارى آزمون هاى مختلف و پُست کردن مدارک تحصیلى فارغ التحصیلان بهره مند مى شوند.با اینکه دانشجویان Darmouth College مجبور نیستند با فناورى بى سیم به شبکه آموزشگاه محل تحصیل خود متصل شوند، اما تقریباً همه آنها اینگونه عمل مى کنند. «رابرت برنتراپ» عضو هیات مدیره خدمات فنى این آموزشگاه ضمن بیان این مطلب به این نکته بسیار مهم نیز اشاره مى کند که اگر پشتیبانى لازم از داده هاى موجود در شبکه هاى بى سیم به عمل نیاید امکان تهدید شدن آنها توسط هکرها یا اخلالگران سیستم هاى رایانه اى وجود دارد. این خطر به اندازه اى جدى است که گردانندگان آموزشگاه هایى که تا پیش از این اجازه دسترسى بى حد و حصر به اتصالات بى سیم خود را مى دادند هم اینک کاربران را به استفاده از انگاره هاى هویتى براى ورود به شبکه و دسترسى به اطلاعات موجود در آن مکلف مى سازند.

براى حراست از سیستم بى سیم مورد استفاده در Darmouth College گردانندگان این موسسه آموزشى درصدد برآمده اند تا یک سیستم پنهانکارى اطلاعات را که اصطلاحاً WEP2 نام نهاده شده است توسعه دهند، ضمن اینکه تقویت تکنیک هاى پنهانکارى را نیز مورد توجه قرار داده اند. به گفته «برنتراپ»، علاوه بر مأموریت آموزشى موسسه یاد شده طرحى نیز براى ارائه سطوح متنوع دسترسى بى سیم در حال آماده سازى است: «هر چه ما بیشتر درباره شما بدانیم، اجازه دسترسى به اطلاعات بیشترى را خواهید داشت.» به عنوان مثال، کاربران مهمان در کتابخانه فقط قادر خواهند بود که به جست وجو در وب پرداخته و به متون ارائه شده در قالب کتابخانه آن لاین دسترسى داشته باشند.

به همان اندازه که مسئولان Darmouth College تلاش مى کنند تا آموزش هاى لازم را در رابطه با موضوع حراست از داده هاى محرمانه یا خصوصى به دانشجویان خود ارائه دهند، آنها تلاش مى کنند تا کارکنان ستادى خود را نیز از مخاطرات ناشى از غفلت هاى احتمالى در زمینه امنیت اطلاعات رایانه اى آگاه سازند. به عنوان مثال، به آنها آموزش داده مى شود که اگر قرار نیست برنامه اى را تا چند دقیقه دیگر مورد استفاده قرار دهند پنجره مربوط به آن را کلاً ببندند تا خطر سوء استفاده هاى احتمالى از بین برود. علاوه بر این، Darmouth College دپارتمان منابع انسانى خود را که اطلاعات و آمار حساس در آن نگهدارى مى شوند روى یک شبکه فرعى محرمانه قرار داده است تا داده هاى مربوطه را همه وقت از دسترس غریبه ها دور نگه دارد.

• آسیب پذیرى شبکه هاى رایانه اى

طى بیش از یک دهه، گردانندگان موسسه آموزشى Ivy League دانشجویان این موسسه را مجبور ساخته اند تا یک رایانه شخصى را با خود همراه بیاورند. همانند بسیارى از موسسات آموزشى دیگر، Darmouth College نیز اقدام به فروش رایانه به دانشجویان خود مى کند. امسال، حدود ۷۰۰ دانشجو از مجموع ۱۰۰۰ دانشجوى تازه وارد این موسسه رایانه هاى شخصى را همراه خود مى آورند که این به نوبه خود باعث ایجاد اطمینان بیشتر در رابطه با تجهیز رایانه هاى مورد اشاره به برنامه هاى ضدویروس، فایروال، اسپاى وار، یا به طور کلى انواع برنامه هاى حراست کننده از ایمنى اطلاعات شبکه خواهد شد.در کل، گردانندگان این قبیل موسسات آموزشى وسواس زیادى در رابطه با حراست از اطلاعات مالى دانشجویان به خرج مى دهند. با این حال، همانطورى که «جک سوئس» نایب رئیس فناورى اطلاعات در دانشگاه «مریلند بالتیمورکانتى» (UMBC) مى گوید، یک رایانه که سوابق مربوط به دانشجویان ورودى جدید یا فارغ التحصیلان موسسه را در خود جاى داده و در گوشه اى از یک دپارتمان به حال خود رها شده است مى تواند در برابر حملات هکرها یا همان اخلالگران شبکه هاى رایانه اى آسیب پذیر باشند. UMBC پائیز امسال ۱۱ الى ۱۲ هزار کامپیوتر را در فضاى آموزشى خود خواهد داشت، اما به گفته «سوئس»، «شاید فقط ۲۰۰ تا ۲۵۰ تا از آنها به لحاظ امنیتى مشکل ساز شوند.» مسئولان آموزشگاه ها تلاش مى کنند تا رایانه هایى را که داده هاى حساس را در خود جاى داده اند به رمزهاى عبور مجهز سازند تا استفاده از آن فقط براى افرادى که مجوز دارند امکانپذیر باشد، ضمن اینکه ملاحظات اضافى نیز در رابطه با تضمین امنیت اطلاعات در نظر گرفته خواهد شد.

• پژوهش در خفا

برخى دانشگاه ها در ایالات متحده آمریکا بى سر و صدا مشغول انجام پژوهش هایى پیرامون شبکه هاى رایانه اى و راهکارهاى مقابله با تهدیدات امنیتى احتمالى در آینده هستند. «سوئس» ضمن بیان این مطلب بر «ثمربخش بودن این پژوهش ها و کارآمد بودن راهکارهاى مربوطه» تأکید مى کند.در عین حال، گردانندگان Champlain College درصدد افزودن یک دوره آموزشى نوین در زمینه امنیت اطلاعات به دوره هاى تحصیلات تکمیلى خویش هستند تا بدین وسیله دانشجویان را براى خدمت کردن در مشاغل مربوط به حراست از شبکه هاى رایانه اى آماده سازند. به ادعاى «کسلر»، بر خلاف برخى مشاغل دیگر در صنعت فناورى هاى نوین ارتباطى (Hi-Tech) بعید به نظر مى رسد که در آینده شاهد واگذارى مشاغل مربوط به حوزه امنیت اطلاعات به کارکنان ساکن در کشورهاى دیگر باشیم. «کسلر» در پایان به رقابت شدید احتمالى بین شرکت هاى بزرگ فعال در این زمینه اشاره مى کند و با لحنى جالب مى گوید: «غول ها از لقمه هاى تدارک دیده شده بر سر سفره هفت رنگ حوزه امنیت اطلاعات بى نصیب نخواهند ماند.»

The Christian Science Monitor,1Sep. 2005
گریگورى لامب -- ترجمه: على عبدالمحمدى

لایحه جرایم رایانه‌ای تقدیم مجلس شد

يكشنبه, ۳۰ مرداد ۱۳۸۴، ۱۰:۰۹ ق.ظ | ۱ نظر

لایحه "جرایم رایانه‌ای" که بنا به پیشنهاد قوه قضاییه در جلسه مورخ 25/3/1384 هیأت وزیران به تصویب رسیده است. در تاریخ 13/4/1384 جهت طی مراحل قانونی با امضای رییس جمهور به مجلس شورای اسلامی تقدیم شد.

در مقدمه توجیهی این لایحه آمده است:

با عنایت به نبود قانون جامع لازم در زمینه برخورد قانونی با مجرمان حوزه رایانه و با عنایت به گستره وسیع فعالیت‌های رایانه‌ای و با لحاظ سیاست‌های دوره توسعه قضایی و در راستای حبس‌زدایی و بازاندیشی و بازنگری در سیاست جنایی تقنینی مبنی بر توسل بی‌رویه و افراطی به مجازات حبس و به منظور رفع خلاء قانونی و برای ضابطه‌مند کردن فعالیت‌های رایانه‌ای و فراهم کردن بستر مناسب برای این گونه فعالیت‌ها و حفظ و ارتقای وضعیت نظم و امنیت اجتماعی و در اجرای بند 2 اصل 158 قانون اساسی جمهوری اسلامی ایران؛ لایحه زیر جهت طی تشریفات قانونی تقدیم می‌شود:

متن این لایحه به شرح زیر است:

بخش نخست ـ کلیات

ماده 1ـ تعاریف: الف ـ داده رایانه‌ای: هر نمادی از واقعه، اطلاعات یا مفهوم به شکلی مطلوب برای پردازش در یک سیستم رایانه‌ای یا مخابراتی است که باعث می‌شوند سیستم‌های ذکر شده کارکرد خود را به مرحله اجرا گذارند. ب ـ داده محتوا: هر نمادی از موضوع‌ها، مفهوم‌ها و یا دستورالعمل‌ها نظیر متن، صوت یا تصویر چه به صورت در جریان یا ذخیره شده که به منظور برقراری ارتباط میان سیستم‌های رایانه‌ای یا پردازش توسط شخص یا سیستم رایانه‌ای به کار گرفته شده و به وسیله سیستم رایانه‌ای ایجاد شود. ج ـ داده حاصل از مبادله داده محتوا: هرگونه داده‌ای که توسط رایانه‌ها در زنجیره ارتباطات تولید می‌شود تا ارتباطی را از مبداء تا مقصد مسیریابی کند و شامل مبدأ ارتباط، مقصد، مسیر، زمان، تاریخ، اندازه، مدت، زمان و نوع خدمات اصلی و نظایر آن خواهد بود. د ـ اطلاعات: عبارت است از داده های پردازش شده قابل فهم برای انسان یا سیستم‌های رایانه‌ای یا مخابراتی. هـ ـ اطلاعات کاربر: هرگونه اطلاعاتی که در اختیار ارائه کننده خدمات باشد و مربوط به مشترک آن خدمات بوده و شامل نوع خدمات ارتباطی و مربوط به مشترک آن خدمات بوده و شامل نوع خدمات ارتباطی و پیش‌نیازهای فنی و دوره استفاده از آن خدمات، هویت مشترک، آدرس جغرافیایی و یا پستی یا IP ، شماره تلفن و سایر خدمات وی است. و ـ سیستم رایانه‌ای: هر نوع دستگاه با مجموعه‌ای از دستگاههای متصل سخت‌افزاری ـ نرم افزاری است که از طریق اجرای برنامه‌های پردازش خودکار داده عمل می‌کند.

ز ـ سیستم مخابراتی: هر نوع دستگاه یا مجموعه‌ای از دستگاهها برای انتقال الکترونیکی اطلاعات میان یک منبع (فرستنده، منبع نوری) و یک گیرندة آشکارساز نوری از طریق یک یا چند مسیر ارتباطی به وسیله قراردادهایی که برای گیرنده قابل فهم و تفسیر باشد. ح ـ ارایه‌دهنده خدمات دسترسی: هر شخص حقیقی و حقوقی است که امکان ارتباط یا اتصال به اینترنت را برای کاربران فراهم می‌کند و عبارت‌اند از: 1ـ ایجاد کننده نقطه تماس بین‌المللی: ارایه‌دهنده خدمات دسترسی است که امکان ارتباط یا اتصال پر ظرفیت به اینترنت را از طریق سیستم‌های ارتباطی برای کاربران فراهم می‌کند. 2 ـ ارایه‌دهنده خدمات دسترسی کم ظرفیت: ارایه دهنده خدمات دسترسی است که به عنوان واسطه میان ایجاد کننده نقطه تماس بین‌المللی و کاربران عمل می کند و امکان ارتباط یا اتصال به اینترنت را برای آنها فراهم می‌کند. 3 ـ ارایه‌دهنده خدمات دسترسی حضوری: ارایه‌دهنده خدمات دسترسی است که امکان استفاده کاربران از اینترنت را به صورت حضوری در محلی معین فراهم می‌کند. ط ـ ارایه دهنده خدمات میزبانی: هر شخص حقیقی و یا حقوقی است که فضای لازم را برای ذخیره داده کاربران فراهم می‌کند. ذخیره‌گذاری اطلاعات یا ذخیره موقت اطلاعات در راستای ارایه خدمات دسترسی، خدمات میزبانی محسوب نمی‌شود. ی ـ تدبیرهای حفاظتی: عبارت است از به‌کارگیری روش‌های نرم‌افزاری یا سخت افزاری و یا ترکیبی از آن دو، متناسب با نوع و اهمیت داده‌ها و سیستم‌های رایانه‌ای و مخابراتی، به منظور جلوگیری از دسترسی به آنها بدون مجوز مرجع قانونی.
بخش دوم ـ جرایم و مجازات‌ها

فصل اول ـ جرایم علیه داده‌ها و سیستم‌های رایانه‌ای و مخابراتی

مبحث اول ـ دسترسی بدون مجوز

ماده 2 ـ هر کس به طور عمدی و بدون مجوز مرجع قانونی، با نقض تدبیرهای حفاظتی داده‌ها یا سیستم های رایانه‌ای یا مخابراتی، به آنها دسترسی یابد به جزای نقدی از 5 میلیون ریال تا 50 میلیون ریال محکوم خواهد شد.

به طور کلی یا جزیی تخریب یا مختل کند به جزای نقدی از 10 میلیون ریال تا 100 میلیون ریال محکوم خواهد شد.

مبحث دوم ـ شنود و دریافت بدون مجوز

ماده 3 ـ هر کس به طور عمدی و بدون مجوز، داده‌های در حال انتقال در یک ارتباط خصوصی را در سیستم‌های رایانه‌ای یا مخابراتی یا امواج الکترومغناطیسی یا نوری شنود یا دریافت کند به جزای نقدی از 5 میلیون ریال تا 30 میلیون ریال محکوم خواهد شد.

مبحث سوم ـ جرایم علیه امنیت

ماده 4 ـ هر کس به طور عمدی و بدون مجوز، داده‌های رایانه‌ای به کلی سری و سری موجود در سیستم‌های رایانه‌ای یا مخابراتی یا حامل‌های داده دسترسی یابد یا داده‌های رایانه‌ای به کلی سری و سری در حال انتقال را شنود و یا دریافت کند به جزای نقدی از 10 میلیون ریال تا 100 میلیون ریال محکوم خواهد شد.

تبصره 1 ـ داده‌های رایانه‌ای به کلی سری، داده‌هایی هستند که افشای بدون مجوز آنها می‌تواند به اساس حکومت و مبانی نظام جمهوری اسلامی ایران و تمامیت ارضی آن ضرر جبران نا‌پذیری وارد کند و منظور از داده‌های رایانه‌ای سری، داده‌هایی هستند که افشای بدون مجوز آنها می‌تواند امنیت ملی و یا منافع ملی را دچار مخاطره کند.

تبصره 2 ـ آیین نامه شیوه حفاظت و انتقال داده‌های رایانه‌ای به کلی سری و سری ظرف سه ماه از تاریخ تصویب این قانون توسط وزارت دادگستری و با همکاری وزارتخانه‌های کشور، اطلاعات، ارتباطات و فناوری اطلاعات و دفاع و پشتیبانی نیروهای مسلح تهیه شده و به تصویب هیأت وزیران خواهد رسید.

فصل دوم ـ جرایم علیه صحت و تمامیت داده‌ها و سیستم‌های رایانه‌ای و مخابراتی

مبحث نخست ـ جعل

ماده 5 ـ هر کس با قصد تقلب، داده‌های رایانه‌ای قابل استناد یا داده‌های موجود در کارت‌های اعتباری یا مغناطیسی یا سایر علایم یا کدهای کارت‌های قابل پردازش و یا مورد استفاده در سیستم‌های رایانه‌ای یا مخابراتی را تغییر داده یا ایجاد یا حذف یا متوقف کند جاعل محسوب و به مجازات مقرر برای جعل محکوم خواهد شد و همچنین هر کس با علم به جعل و تزویر از آنها استفاده کند، به مجازات مقرر برای استفاده کننده محکوم می‌شود.

مبحث دوم ـ تخریب و ایجاد اختلال در داده‌ها

ماده 6 ـ هر کس به طور عمدی داده‌های رایانه‌ای متعلق به دیگری را از حامل‌های داده یا سیستم‌های رایانه‌ای یا مخابراتی پاک کند یا صدمه بزند یا غیر قابل استفاده کند یا به هر نحو به طور کلی یا جزیی تخریب یا مختل کند به جزای نقدی از 10 میلیون ریال تا صد میلیون ریال محکوم خواهد شد.

مبحث سوم ـ اختلال در سیستم

ماده 7 ـ هر کس به طور عمدی با انجام اعمالی از قبیل وارد کردن، انتقال دادن، ارسال، پخش، صدمه زدن، پاک کردن، ایجاد وقفه، دستکاری یا تخریب داده‌ها یا امواج الکترومغناطیسی یا نوری، سیستم‌های رایانه‌ای یا مخابراتی متعلق به دیگری را از کار بیاندازد یا کارکرد آنها را مختل کند به جزای نقدی از 10 میلیون ریال تا 100 میلیون ریال محکوم خواهد شد و چنانچه عمل وی به قصد اختلال در نظم و امنیت عمومی باشد و در قوانین دیگر مجازات شدیدتری پیش‌بینی شده باشد، به مجازات مندرج در همان قانون محکوم خواهد شد و چنانچه عمل وی به قصد اختلال در نظم و امنیت عمومی باشد و در قوانین دیگر مجازات شدیدتری پیش‌بینی شده باشد، به مجازات مندرج در همان قانون محکوم خواهد شد .

فصل سوم ـ کلاهبرداری

ماده 8 ـ هر کس از سیستم‌های رایانه‌ای یا مخابراتی با ارتکاب اعمالی از قبیل وارد کردن، تغییر، محو، ایجاد، توقف داده‌ها یا اختلال در سیستم، سوء استفاده کند و از این طریق وجه یا مال یا منفعت یا خدمات مالی و امتیازات مالی برای خود یا دیگری تحصیل کند، کلاهبردار محسوب و به مجازات قانونی مقرر برای کلاهبرداری محکوم خواهد شد.

فصل چهارم ـ جرایم مرتبط با محتوا

ماده 9 ـ هر کس به وسیله سیستم‌های رایانه‌ای یا مخابراتی محتویات مستهجن را ارائه یا منتشر کند و یا مورد هر قسم معامله قرار دهد و یا به منظور انتشار یا تجارت تولید کند به مجازات مقرر در ماده 640 قانون مجازات اسلامی محکوم خواهد شد.

تبصره ـ محتویات مستهجن به محتویاتی گفته می‌شود که شامل نمایش برهنگی کامل زن یا مرد و یا اندام تناسلی یا نمایش آمیزش یا عمل جنسی انسان باشد.

ماده 10 ـ اشخاصی که به وسیله حامل های داده یا سیستم رایانه‌ای یا مخابراتی مرتکب یکی از اعمال زیر شوند به ترتیب زیر مجازات می‌شوند: الف ـ هر کس محتویات مستهجن را به اشخاص زیر 18 سال تمام ارائه کند یا محتویات مستهجن اشخاص زیر 18 سال تمام را تولید یا ارائه یا منتشر کند و یا مورد هر قسم معامله قرار دهد و یا آنها را تهیه یا نگهداری یا ذخیره کند، به حداکثر مجازات مقرر در ماده 640 قانون مجازات اسلامی محکوم خواهد شد. ب ـ هر کس به منظور دستیابی اشخاص زیر 18 سال تمام به محتویات مستهجن یا به منظور ارتکاب جرایم، مبادرت به تحریک یا ترغیب یا تهدید یا تطمیع یا فریب آنها کرده و یا شیوه دستیابی یا ارتکاب موارد ذکر شده را برای آنها تسهیل کرده یا آموزش دهد به مجازات مقرر در ماده 640 قانون مجازات اسلامی محکوم خواهد شد.

تبصره ـ مفاد 9 و 10 شامل آن دسته از محتویاتی نخواهد بود که با رعایت موازین شرعی و برای مقاصد علمی یا هر مصلحت حلال عقلایی دیگر تهیه، تولید، نگهداری، ارایه، انتشار یا ذخیره شده یا مورد معامله قرار می‌گیرد.

ماده 11 ـ هر کس به قصد اضرار به غیر یا تشویش اذهان عمومی یا مقامات رسمی به وسیله سیستم رایانه‌ای یا مخابراتی اکاذیبی را منتشر کند یا در دسترس دیگران قرار دهد یا با همان مقاصد اعمالی را بر خلاف حقیقت، راساً یا به عنوان نقل قول، به شخص حقیقی و یا حقوقی یا مقام‌های رسمی به طور صریح یا تحویلی نسبت دهد، اعم از اینکه از طریق یاد شده به نحوی از انحا ضرر مادی یا معنوی به دیگری وارد شود یا نشود، افزون بر اعاده حیثیت در صورت امکان، به مجازات قانونی مقرر برای جرم نشر اکاذیب محکوم خواهد شد.

ماده 12 ـ هر کس به وسیله سیستم رایانه‌ای یا مخابراتی فیلم و یا صوت دیگری را تغییر یا تحریف کند و منتشر سازد یا با علم به تغییر یا تحریف، انتشار دهد به نحوی که منجر به هتک حرمت یا ضرری شود، به مجازات مقرر در ماده 640 قانون مجازات اسلامی محکوم خواهد شد.

تبصره ـ چنانچه عمل مرتکب از مصادیق تعرض به نوامیس مردم باشد به حداکثر هر سه مجازات مقرر در ماده 640 قانون مجازات اسلامی محکوم خواهد شد.

فصل پنجم ـ افشای سر

ماده 13 ـ هر کس به وسیله سیستم رایانه‌ای یا مخابراتی صوت یا تصویر و یا فیلم خصوصی و یا خانوادگی یا اسرار دیگری را، به جز موارد قانونی، بدون رضایت او منتشر کند یا در دسترس دیگران قرار دهد به گونه‌ای که منجر به ضرر وی شود یا به طور عرفی موجب هتک حیثیت او تلقی شود به مجازات مقرر برای افشای سر محکوم خواهد شد.

فصل ششم ـ مسؤولیت کیفری ارائه‌دهندگان خدمت

ماده 14 ـ‌ ایجاد کنندگان نقطه تماس بین‌المللی موظف‌اند با بکارگیری تدبیرها و تجهیزات فنی متعارف محتویات مستهجن موضوع ماده 9 و بند «الف» ماده 10 این قانون را پالایش کنند. در غیر اینصورت فرد متخلف برای بار نخست به جزای نقدی از مبلغ 10 میلیون ریال تا 100 میلیون ریال و در صورت تکرار به تعطیل موقت از یک هفته تا یک ماه و برای بار سوم به لغو دایم مجوز و محرومیت دایم از تصدی این حرفه محکوم خواهد شد. سایر ارایه کنندگان خدمات دسترسی نیز که با علم به تخلف ایجاد کنندگان نقطه تماس بین‌المللی، محتویات مستهجن ذکر شده را به کاربران ارائه دهند به مجازات مقرر در این ماده محکوم خواهند شد.

ماده 15 ـ ارائه کنندگان خدمات میزبانی موظف‌اند پس از اطلاع از وجود محتویات مستهجن موضوع ماده 9 و بند «الف» ماده 10 این قانون در فضای واگذار شده توسط آنها، به سرعت محتویات ذکر شده را غیر قابل دسترس کرده و مراتب را به مراجع قضایی و یا انتظامی محل اعلام و بر اساس دستور مقام قضایی اقدام کنند. در غیر اینصورت فرد متخلف برای بار نخست به پرداخت جزای نقدی از مبلغ 10 میلیون ریال تا 50 میلیون ریال و در صورت تکرار به پرداخت جزای نقدی از مبلغ 50 میلیون ریال تا 100 میلیون ریال و محرومیت دایم از حرفه ذکر شده محکوم خواهد شد.

فصل هفتم ـ سایر جرایم

ماده 16 ـ اشخاص زیر به جزای نقدی از 5 میلیون تا 20 میلیون ریال محکوم خواهند شد: الف ـ هر کس با علم و عمد اقدام به تولید یا انتشار یا توزیع یا معامله داده‌ها یا نرم‌افزارها و یا هر نوع وسایل الکترونیکی که صرفاً برای ارتکاب جرایم رایانه‌ای به‌کار می‌روند، کند. ب ـ هر کس با علم و عمد رمز عبور یا کد دستیابی یا داده‌های رایانه‌ای را بدون مجوز مرجع قانونی به دیگران ارائه کرده یا مورد معامله قرار دهد یا منتشر کند به‌گونه‌ای که امکان دسترسی بدون مجوز مرجع قانونی به داده یا سیستم‌های رایانه‌ای یا مخابراتی دیگری را فراهم آورد.

تبصره ـ در صورتی که مرتکب، اعمال یاد شده را حرفه خود قرار داده باشد، به حداکثر مجازات مذکور محکوم خواهد شد.

فصل هشتم ـ تخفیف و تشدید مجازات و سایر مسائل

ماده 17 ـ اشخاصی که مرتکب جرایم ذکر شده در مواد 2 ، 3 ، 4 و 5 این قانون شده‌اند هرگاه پیش از کشف جرم مأموران تعقیب را از ارتکاب جرم مطلع کنند یا به هنگام تعقیب موجبات تسهیل تعقیب سایر مرتکبان را فراهم کنند یا مأموران دولت را به گونه مؤثری در کشف جرم کمک و راهنمایی کنند یا ضرر و زیان ناشی از جرم را در مرحله تحقیق جبران کنند بنا به پیشنهاد دادستان مربوط و موافقت دادگاه و یا با تشخیص دادگاه در مجازات آنها تخفیف متناسب داده می شود و دادگاه می تواند مجازات مرتکب را معلق و یا او را از مجازات معاف کند.

ماده 18 ـ هریک از کارمندان و کارکنان اداره‌ها و سازمان‌ها یا شوراها و یا شهرداری‌ها و مؤسسه‌هایی که زیر نظر ولی‌فقیه اداره می‌شوند و دیوان محاسبات و مؤسسه‌هایی که با کمک مستمر دولت اداره می‌شوند و یا دارندگان پایه قضایی و به طور کلی اعضا و کارکنان قوای سه‌گانه و همچنین نیروهای مسلح و مأموران به خدمات عمومی اعم از رسمی و غیر رسمی به مناسبت انجام وظیفه مرتکب جرایم رایانه‌ای موضوع این قانون شوند، حسب مورد به بیش از دو سوم حداکثر مجازات مقرر محکوم خواهند شد.

تبصره ـ هرگاه عمل مرتکب مشمول عنوان معاونت در جرم باشد به نصف حداکثر مجازات قانونی محکوم خواهد شد.

ماده 19 ـ چنانچه در اثر ارتکاب جرایم رایانه‌ای ضرر و زیانی متوجه دیگری شود جبران خسارت وارده وفق قوانین و مقررات مربوط صورت خواهد پذیرفت.

بخش سوم ـ آیین‌دادرس

فصل اول ـ صلاحیت:

ماده 20 ـ در هر حوزه قضایی، در صورت ضرورت،‌ به تشخیص رییس قوه قضائیه به تعداد مورد نیاز شعبی از دادسراها و دادگاههای عموی و انقلاب و تجدیدنظر برای رسیدگی به جرایم رایانه‌ای اختصاص می‌یابد.

تبصره ـ قضات دادسراها و دادگاههای ذکر شده از میان قضاتی که آشنایی لازم به امور رایانه دارند، انتخاب خواهند شد.

ماده 21 ـ در صورت بروز اختلاف در صلاحیت، حل اختلاف طبق مقررات قانون آیین‌دادرسی دادگاه‌های عمومی و انقلاب در امور مدنی خواهد بود.

فصل دوم ـ جمع‌آوری ادله الکترونیکی

مبحث اول ـ نگهداری داده‌ها

ماده 22 ـ کلیه ایجادکنندگان نقاط تماس بین‌المللی و ارائه کنندگان خدمات دسترسی موظفند داده‌های حاصل از مبادله داده محتوا را حداقل تا سه ماه پس از ایجاد و اطلاعات کاربران را حداقل تا سه ماه پس از خاتمه اشتراک نگهداری کنند.

تبصره ـ مراجع ذکر شده موظفند آدرس‌های IP خود را به وزارت ارتباطات و فناوری اطلاعات اعلام کنند.

مبحث دوم ـ حفظ فوری داده‌ها

ماده 23 ـ هر گاه حفظ داده‌های ذخیره شده برای تحقیق یا دادرسی لازم باشد مقام قضایی می‌تواند دستور حفاظت از داده‌های ذخیره شده را به اشخاصی که داده‌های ذکر شده به گونه‌ای تحت تصرف یا کنترل آنها قرار دارد، صادر کند و در موارد فوری ضابطان دادگستری می‌توانند دستور حفاظت را صادر کرده مراتب را حداکثر تا 24 ساعت به اطلاع مقام قضایی برسانند.

چنانچه هر یک از کارکنان دولت یا سایر اشخاص از اجرای دستور ذکر شده خودداری کنند کارکنان دولت به مجازات امتناع از اجرای دستور مقام قضایی و سایر اشخاص به جزای نقدی از سه میلیون ریال تا ده میلیون محکوم خواهند شد.

تبصره ـ مدت زمان حفاظت حداکثر سه ماه است و با نظر مقام قضایی قابل تمدید است.

مبحث سوم ـ افشای داده‌ها

ماده 24 ـ مقام‌های قضایی می‌توانند دستور افشای داده‌های حفاظت شده مذکور در موارد 22 و 23 را به اشخاصی که داده‌های یاد شده را در تصرف و یا کنترل دارند صادر کرده تا در اختیار ضابطان قرار گیرد. مستنکف از اجرای دستور به مجازات مقرر در ماده 23 این قانون محکوم خواهد شد.

مبحث چهارم ـ تفتیش و توقیف داده‌ها و سیستم‌ها:

ماده 25 ـ تفتیش و توقیف داده‌ها یا سیستم‌های رایانه‌ای یا مخابراتی در مواردی به عمل می‌آید که ظن‌قوی به کشف جرم یا شناسایی متهم یا ادله جرم در آنها وجود داشته باشد.

ماده 26 ـ دستور مقام قضایی به منظور تفتیش و توقیف در صورت امکان باید شامل اجرای دستور در داخل یا خارج از محل و اطلاعاتی نظیر مکان و محدوده تفتیش و توقیف، نوع داده‌های موردنظر،‌ مشخصات احتمالی فایل‌ها و سخت‌افزارها و نرم‌افزارها، تعداد آنها، مدت زمان موردنیاز، نحوه دستیابی به فایل‌های رمزگذاری شده باشد. تفتیش مشتمل بر موارد زیر خواهد بود.

الف ـ تفتیش تمام یا بخشی از سیستم رایانه یا مخابراتی

ب ـ تفتیش داده‌های رایانه‌ای ذخیره شده،

ج ـ تفتیش حامل‌های داده از قبیل : دیسکت و لوح فشرده

د ـ دستیابی به فایل‌های حذف شده یا رمزنگاری شده

ماده 27 ـ داده‌ها، حامل‌های داده و سیستم‌های رایانه‌ای یا مخابراتی که دلیل یا وسیله ارتکاب جرم بوده و یا از جرم تحصیل شده‌اند، قابل توقیف هستند.

ماده 28 ـ در جمع‌آوری داده‌ها با رعایت، تناسب، نوع، اهمیت و نقش داده‌ها در ارتکاب جرم،‌ به روش‌هایی از قبیل موارد زیر عمل می‌شود:

الف ـ غیرقابل دسترس کردن داده‌ها با روش‌هایی چون تغییرگذر واژه و رمزنگاری

ب ـ تهیه پرینت از فایل‌ها

ج ـ تهیه کپی یا تصویر از تمام یا بخشی از داده‌ها

د ـ ضبط حامل‌های داده‌ها

ماده 29 ـ توقیف سیستم‌های رایانه‌ای یا مخابراتی متناسب با نوع و اهمیت و نقش آنها در ارتکاب جرم با روش‌هایی از قبیل موارد زیر صورت می‌گیرد:

الف ـ تغییر گذر واژه به منظور عدم دسترسی به سیستم

ب ـ خاموش کردن سیستم

ج ـ پلمپ سیستم در محل استقرار ـ ضبط سیستم.

ماده 30 ـ در موارد زیر سیستم‌های رایانه‌ای یا مخابراتی توقیف خواهند شد:

الف ـ داده‌های ذخیره شده به سهولت قابل دسترس نبوده و یا حجم زیادی داشته باشند

ب ـ بهره‌برداری و تجزیه و تحلیل داده‌ها بدون وجود سیستم سخت‌افزاری امکان پذیر نباشد

ج ـ مالک یا مسؤول یا متصرف قانونی سیستم به توقیف رضایت داده باشد.

د ـ تهیه کپی از داده‌ها به لحاظ فنی امکان‌پذیر نباشد

هـ ـ تفتیش در محل سبب ایراد صدمه به داده‌ها شود

و ـ سایر موارد با تصمیم مقام قضایی

ماده 31 ـ توقیف حامل‌های داده غیرمتصل به سیستم رایانه‌ای یا مخابراتی مانند ضبط،‌آلات و ادوات جرم خواهد بود.

ماده 32 ـ چنانچه در حین اجرای دستور تفتیش و توقیف، تفتیش داده‌های مرتبط با جرم ارتکابی در سایر سیستم‌های رایانه‌ای یا مخابراتی که تحت کنترل و یا تصرف متهم قرار دارند ضروری باشد، ضابطان با دستور مقام قضایی دامنه تفتیش و یا توقیف را به سیستم‌های دیگر گسترش داده و داده‌های موردنظر را تفتیش و یا توقیف خواهند کرد.

ماده 33 ـ در موارد توقیف داده‌ها، چنانچه به روند تحقیقات لطمه‌ای وارد نیاید با تقاضا و هزینه مالک یا دارنده حق دسترسی به داده‌ها و دستور مقام قضایی، کپی داده‌های توقیف شده به ایشان تحویل می‌شود، مگر آنکه داده‌ها غیرقانونی باشد.

ماده 34 ـ در مواردی که با تشخیص مقام قضایی توقیف سیستم یا داده‌ها سبب ایراد لطمه‌های جانی یا مالی شدید به افراد یا اخلال در برنامه‌های خدمات عمومی گشته و یا مخل امنیت کشور باشد از روش‌های مناسب‌تری به جای توقیف استفاده خواهد شد.

ماده 35 ـ متضرر می‌تواند در مورد عملیات و اقدام‌های مأموران در توقیف داده‌ها و سیستم‌های رایانه‌ای و مخابراتی، اعتراض کتبی خود را همراه با دلایل ظرف 10 روز به مرجع قضایی دستور دهنده تسلیم کند به درخواست یاد شده خارج از نوبت رسیدگی شده و تصمیم اتخاذ شده قابل اعتراض است.

مبحث پنجم ـ شنود داده‌ها

ماده 36 ـ شنود داده محتوا ممنوع است مگر با رعایت قوانین مربوط.

مبحث ششم ـ سایر موارد

ماده 37 ـ داده‌های رایانه‌ای و مخابراتی در صورتی که مطابق این قانون جمع‌آوری و نگهداری شده باشند می‌توانند در اثبات جرم مورد استفاده قرار گیرند.

ماده 38 ـ به منظور جلوگیری از بروز هر گونه تغییر، تحریف یا آسیب‌ و حفظ وضعیت اصلی داده‌های رایانه‌ای یا مخابراتی جمع‌آوری شده، لازم است تا زمانی که مرجع قضایی مربوط ضروری می‌داند، از آنها نگهداری و مراقبت به عمل آید.

تبصره : آیین‌نامه شیوه جمع‌آوری، نگهداری و مراقبت از داده‌های رایانه‌ای و مخابراتی توسط وزارت دادگستری با همکاری نیروی انتظامی جمهوری اسلامی ایران و وزارت ارتباطات و فناوری اطلاعات ظرف سه ماه از تاریخ تصویب این قانون تهیه شده، به تصویب رییس قوه قضاییه خواهد رسید.

بخش چهارم ـ همکاریهای بین‌المللی

ماده 39 ـ همکاریهای بین‌المللی،‌ هر گونه مبادله اطلاعات و انجام امور اداری و پلیسی و قضایی که دولت ایران و سایر دولتها را قادر به کشف پیگیری، تعقیب، رسیدگی و اجرای حکم کند در بر خواهد گرفت.

تبصره ـ چگونگی پیگیری و انجام امور ذکر شده در این ماده و تشکیلات سازمانی موردنیاز برای اجرای آن به موجب آیین‌نامه‌ای خواهد بود که با کسب نظر از مراجع مربوط تهیه شده، به تصویب رییس قوه قضاییه خواهد رسید.

بخش پنجم ـ سایر مقررات

ماده 40 ـ در مواردی که سیستم رایانه‌ای یا مخابراتی به عنوان وسیله یا ابزار ارتکاب جرم مورد استفاده قرار گیرد و در این قانون مجازاتی تعیین نشده باشد مرتکب مطابق مقررات قانون مربوط مجازات خواهد شد.

ماده 41 ـ میزان جزاهای نقدی موضوع این قانون، ‌متناسب با شرایط اقتصادی هر سه سال یک بار براساس پیشنهاد قوه قضاییه و تأیید هیئت وزیران قابل اصلاح است.

ماده 42 ـ قوانین و مقررات مغایر با این قانون ملغی است.

مدیریت امنیت اطلاعات

پنجشنبه, ۶ مرداد ۱۳۸۴، ۰۱:۳۴ ب.ظ | ۰ نظر

آرش کریم بیگی - ظهور تکنولوژی ارتباطات و اینترنت امکان" اشتراک اطلاعات" و "تبادل آسان اطلاعات" بین سیستم‌های کامپیوتری را به وجود آورده است. این فناوری‌های نوین با غلبه بر فاصله ها و محدودیتهای فیزیکی و کاهش محسوس زمان، معماری و ساختار ارائه خدمات در سیستم‌ها را به شدت تحت تأثر قرار داده‌اند. این فناوری‌های نوین بستری مناسب را برای انجام مبادلات تجاری، ارائه خدمات آنلاین مانند بانکداری الکترونیکی و خدمات دولت الکترونیکی ایجاد کرده اند.

IT یک سکه دوروست: هم فرصت است و هم تهدید ! اگر به همان نسبتی که به توسعه و همه گیری اش توجه و تکیه میکنیم به "امنیت" آن توجه نکنیم میتواند به سادگی و در کسری از ثانیه تبدیل به یک تهدید و مصیبت بزرگ شود. این مصائب را در ذهن خود مجسم کنید:
-شبکه بانکی کشور هک شده و تمام اطلاعات بانکی, کلمات عبور کارتها دزدیده شده و مبالغ کلانی جابه جا شده...

-سیستم مدیریت شبکه برق کشور توسط نفوذگران فلج شده...

-تمام اطلاعات و سوابق شخصیتان به واسطه نفوذ هکرها به بانک اطلاعاتی سازمان ثبت احوال سرقت شده...

-شبکه مخابراتی کشور فلج شده...هیچ تماس تلفنی داخلی،بین شهری و بین المللی ممکن نیست...

-و دهها سناریوی وحشتناک دیگر...

IT میتواند به همان سرعتی که باعث رفاه و بالارفتن توانایی ها می شود، باعث خلق مصائبی این چنینی شود و کشوری را فلج کند
همیشه باید نگران باشید

تا اوایل دهه هفتاد، فعالیت‌های مربوط به دسترسی و محافظت از اطلاعات در سازمانها و شرکت‌ها محدود به محل‌های نگهداری این اطلاعات شامل آرشیو اسناد و شبکه‌های محلی کامپیوتری بود. در چنین محیط‌هایی، روشهای حفاظت فیزیکی، امنیت سیستم‌ها و اطلاعات را تا حد بسیار بالایی تأمین می‌کرد. اگرچه مزایای فضای تبادل اطلاعات غیر قابل انکار است، ولی اتصال سیستم‌های داخلی به شبکه‌های خارجی و بین المللی و ارائه خدمات و مبادله اطلاعات از طریق این شبکه‌ها خطرات و تهدیدات جدیدی را ایجاد کرده‌است. مهمترین نگرانی‌های امنیتی مرتبط با سیستم های اطلاعاتی شامل دستیابی نفوذگران به سیستم‌های اطلاعاتی و سرقت اطلاعات آنها، ایجاد وقفه و اختلال در ارائه سرویس‌های حیاتی و تغییر یا تخریب اطلاعات است و بدیهی است که در این شرایط روشهای حفاظت فیزیکی به تنهایی قادر به تامین امنیت نخواهند بود و شما ناچار از بکارگرفتن روش‌های جدید حفاظت اطلاعات و کنترل دسترسی‌ها به منابع سازمان خواهید شد.

تاریخچه استاندارد امنیت

برای پیشگیری از تهدیدهای امنیتی متدها و استاندارهای مختلفی تا بحال ارائه شده است اما کاملترین و معروف ترین آنها استاندارد BS7799 است که در این مقاله قصد معرفی آن را دارم.

تاریخچه این استاندارد که نام کاملش British Standard 7799 است به زمان تاسیس موسسه Commercial Computer Security Center و بخش UK Department of Trade and Industry به سال 1987 برمیگردد.

این مرکز برای تعیین و تعریف معیارها و استانداردهایی بین المللی برای ارزیابی میزان امنیت تجهیزات تولید شده توسط تولید کنندگان تجهیزات امنیتی و اعطای نشان ها و تاییده های بین المللی و همچنین کمک به کاربران این گونه تجهیزات تاسیس شد.

CCSC در سال 1989 اقدام به انتشار کدهایی برای سنجش میزان امنیت کرد که به Users Code of Practice معروف شد. مدتی بعد کیفیت و کمیت این کدها از سوی مرکز محاسبات بین المللی NCC و یک کنسرسیوم از کاربران مورد بررسی قرار گرفت و درنهایت به صورت نخستین نسخه استاندارد امنیت با عنوان "مستندات راهبری PD 003 " در انگلستان منتشر شد. نسخه بازنگری شده این استاندارد در سال 1995 با عنوان استاندارد ISO ثبت شد.

با توجه به تجارب گذشته این گروه در گردآوری اسناد و قوانین و مستندات امنیتی، استاندارد امنیتی BS7799 توسط این گروه منتشر شد و در فوریه 1998 قسمت دوم این استاندارد با عنوان سیستم مدیریت امنیت اطلاعات یا Information Security Management System که حالا دیگر آن را به اختصار ISMS می نامند، منتشر شد.

طی سالهای 1999 تا 2002 بازنگری ها و تغییرات زیادی روی این استاندارد صورت گرفته، در سال 2000 با افزودن الحاقیه هایی به استاندارد BS7799 که به عنوان یک استاندارد ISO ثبت شده بود و این استاندارد تحت عنوان استاندارد امنیتی ISO/IEC17799 به ثبت رسید.

BS7799
BS7799 حفاظت از اطلاعات را در سه مفهوم خاص یعنی قابل اطمینان بودن اطلاعات (Confidentiality) و صحت اطلاعات (Integrity) و در دسترس بودن اطلاعات (Availability) تعریف می کند.

Confidentiality : تنها افراد مجاز به اطلاعات دسترسی خواهند یافت.
Integrity : کامل بودن و صحت اطلاعات و روشهای پردازش اطلاعات مورد نظر هستند.
Availability : اطلاعات در صورت نیاز بطور صحیح در دسترس باید باشد.
استاندارد BS7799 دارای 10 گروه کنترلی است که هرگروه شامل چندین کنترل زیرمجموعه است و بنابراین در کل 127 کنترل برای داشتن سیستم مدیریت امنیت اطلاعات مدنظر قراردارد. این 10 گروه کنترلی عبارتند از :
1- سیاستهای امنیتی

2-امنیت سازمان

3-کنترل و طبقه بندی دارایی ها

4- امنیت فردی

5- امنیت فیزیکی

6- مدیریت ارتباط ها

7- کنترل دسترسی ها

8- روشها و روالهای نگهداری و بهبود اطلاعات

9- مدیریت تداوم کار سازمان

10- سازگاری با موارد قانونی
فوائد استاندارد BS7799 و لزوم پیاده سازی
استاندارد BS7799 قالبی مطمئن برای داشتن یک سیستم مورد اطمینان امنیتی است. در زیر به تعدادی از فوائد پیاده سازی این استاندارد اشاره شده است:
- اطمینان از تداوم تجارت و کاهش صدمات توسط ایمن ساختن اطلاعات و کاهش تهدیدها

- اطمینان از سازگاری با استاندارد امنیت اطلاعات و محافظت از داده ها

- قابل اطمینان کردن تصمیم گیری ها و محک زدن سیستم مدیریت امنیت اطلاعات

- ایجاد اطمینان نزد مشتریان و شرکای تجاری

- امکان رقابت بهتر با سایر شرکت ها

- ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطلاعات

- بخاطر مشکلات امنیتی اطلاعات و ایده های خود را در خارج سازمان پنهان نسازید


ISMS ، سیستم مدیریت امنیت اطلاعات

پاسخ اغلب سازمان‌ها در مواجهه با تهدیدات امنیتی، خرید محصولات امنیتی مانند فایروال و برنامه‌های ضد‌ویروس، و بکارگیری آنها در سیستم‌های کامپیوتری است. اما استفاده از گرانقیمت‌ترین محصولات امنیتی بدون شناخت و تحلیل دقیق نیازهای امنیتی، استفاده از روالهای استاندارد در بکارگیری و کنترل سیستم های امنیتی و بروز رسانی مداوم این سیستم‌ها به تنهائی کارساز نخواهند بود.

ISMS به مدیران این امکان را می دهد تا بتوانند امنیت سیستم های خود را با به حداقل رساندن ریسک های تجاری کنترل کنند.

سیستم مدیریت امنیت اطلاعات ( ISMS ) راهکار حل مشکلات مذکور در سیستم‌های اطلاعاتی است، یک سیستم جامع امنیتی بر سه پایه بنا می‌شود:

سیاستها و دستورالعملهای امنیتی: طرحها و برنامه‌های مرتبط برای نحوه محافظت از سیستم‌های اطلاعاتی و داده‌های آنها در این قسمت مورد توجه قرار می گیرد. استراتژی امنیتی در دو بخش غیر‌فنی و فنی ارائه می‌شود. بخش غیرفنی شامل تعیین سطوح امنیتی مطلوب و انتخاب استانداردهای امنیتی و بخش فنی شامل تهیه دستورالعملهای لازم برای بکارگیری و نظارت بر اجزای سیستم امنیتی جهت نیل به اهداف استراتژیک است.

تکنولوژی و محصولات امنیتی: این قسمت شامل تمام ابزارهای مورد استفاده در بخش‌های مختلف امنیتی برای اعمال دستورالعملها، کنترل و نظارت است. ابزارهای محافظتی و نظارت بر شبکه، سیستم‌های کنترل دسترسی و راهکارهای ضدویروس در این بخش مطرح می‌گردند .

عوامل اجرایی: افراد مرتبط با مدیریت و اجرای سیستم امنیتی شامل مدیران سیستم‌ها و شبکه‌ها، پرسنل و کاربران عادی در این قسمت جای دارند. این عوامل از تکنولوژی و ابزارها در جهت اجرای سیاستها و دستورالعملهای امنیتی استفاده می‌کنند.
مشاور امنیتی بگیرید
با پیشرفت علوم کامپیوتری و همچنین به وجود آمدن ابزارهای جدید Hack و Crack و همچنین وجود صدها مشکل ناخواسته در طراحی نرم افزارهای مختلف و روالهای امنیتی سازمان ها، همیشه خطر حمله و دسترسی افراد غیرمجاز وجود دارد. حتی قوی ترین سایتهای موجود در دنیا در معرض خطر افراد غیرمجاز و سودجو قرار دارند. ولی آیا چون نمی توان امنیت 100 درصد داشت باید به نکات امنیتی و ایجاد سیاستهای مختلف امنیتی بی توجه بود؟
مدیران سازمانها و ادارات دولتی و خصوصی برای خود یک دو جین مشاور و معاون و پیمانکار می تراشتند و دور خود جمع می کنند اما چرا میان آنها یک مشاور امنیتی و پیمانکار پیاده سازی استانداردهای امنیت اطلاعات نیست ؟ شاید به این دلیل باشد که اول باید "بلا" نازل شود و بعد به فکر "درمان"اش باشیم ! اما اگر مدیران ایرانی به این نکته توجه کنند که "ایران در صدر جدول جرایم رایانه ای خاورمیانه قرار دارد" شاید حاضر شوند به خود زحمت توجه به مسائل مرتبط با امنیت اطلاعات و حتی پیاده سازی مبانی مدیریت امنیت اطلاعات را بدهند.
سازماندهی و مدیریت اجزای اطلاعاتی و امنیتی یک سازمان نیاز به یک سیستم مدیریت امنیت اطلاعات خواهد داشت که تمام عوامل اجرایی، رویه ها، دستورالعملها و واحدهای اطلاعاتی را تحت پوشش قرار می‌دهد و با برقراری امکان نظارت و بهبود مستمر، امنیت کل مجموعه را تامین می‌کند. امروزه یک سازمان یا شرکتی که از راه حل های مبتنی بر فناوری اطلاعات و ارتباطات برای انجام امور و خدمات خود استفاده می کند باید همانطور که یک مشاور و پیمان کار سخت افزار و شبکه و نرم افزار دارد مشاور و حتی پیمانکاری اختصاصی برای ارزیابی مداوم ضریب امنیتی مجموعه خود و اعمال راه حل های پیشنهادی از سوی مشاور امنیتی برای جلوگیری از ضرور و زیان احتمالی داشته باشد.
یک مشاور و پیمانکار امنیتی باید خدمات مرتبط با تحلیل، طراحی و اجرای سیستم‌های مدیریت امنیت اطلاعات را به شرح زیر ارائه ‌دهد:

ارائه مشاوره در زمینه تهیه سیاستها و استراتژی‌های امنیتی

طراحی و مستند‌سازی رویه ها و دستورالعملهای امنیتی مطابق با استانداردهای امنیت اطلاعات(BS7799/ISO17799)

ارائه مشاوره و خدمات فنی جهت دریافت گواهی‌نامه امنیت اطلاعات BS7799

ارائه خدمات آموزش امنیتی برای مدیران و پرسنل پیرامون سیستم‌های امنیت اطلاعات
شناسائی و مستند‌سازی ضعف‌های امنیتی و تهدیدات مرتبط برای سیستم‌های اطلاعاتی، شبکه‌های رایانه‌ای و روالهای سازمانی

طراحی و پیاده‌سازی راهکارهای حفاظتی و کنترلی برای سیستم‌های اطلاعاتی و شبکه‌های کامپیوتری

ارائه خدمات سخت‌افزاری و نرم‌افزاری جهت نظارت بر اجزای سیستم مدیریت اطلاعات:

خدمات بررسی آسیب‌پذیری‌های امنیتی

راهکارهای مدیریت آسیب‌پذیری‌های امنیتی
ISMS در ایران
متاسفانه تابه حال هیچ سازمان ایرانی موفق به کسب گواهینامه ISMS نشده است. (شاید حتی تلاشی هم صورت نگرفته باشد!) و این در حالی است که تاکنون یک هزار و سیصد و بیست و هفت سازمان از کشورهای مختلف گواهی مدیریت امنیت اطلاعات را کسب کرده اند.

آخرین آمار منتشر شده در پایگاه اینترنتی http://www.xisec.com که ارگان "گروه کاربران بین امللی مدیریت امنیت اطلاعات ICT " یا IUG است، تعداد سازمانهایی که در جهان موفق به اخذ گواهی مدیریت امنیت اطلاعات شده اند به 1327 سازمان رسیده است که از این میان بیشترین تعداد سازمانهای دارای گواهی ISMS متعلق به کشور ژاپن است. در واقع 621سازمان دارای گواهی ISMS متعلق به کشور ژاپن هستند و کشور انگلستان با 207 سازمان در رتبه بعدی قرار دارد.

این در حالی‌ است که در آخرین امار منتشر شده از پایگاه اینترنتی معتبر ‪ IUGنام کشورهایی مانند قطر، مصر و عربستان نیز به چشم می‌خورد، اما هنوز هیچ سازمانی در ایران موفق به اخذ این گواهی نشده‌است.

متاسفانه مقوله امنیت در ایران چندان جدی گرفته نشده و حداکثر محدود به فروش و نصب فایروال و آنتی ویروس است. اما در یکی دو سال اخیر چند شرکت خصوصی ادعاهایی را در زمینه مدیریت امنیت اطلاعات و پیاده سازی راه کارهای امنیتی مطرح کرده اند که از آن میان میتوان به شرکتهایی نظیر امن افزارگستر شریف, داده بان آریا و آشنا ایمن اشاره کرد.با این حال اخیرا مناقصاتی در شرکتهای تابعه وزارت ارتباطات و فن آوری اطلاعات مانند شرکت داده، شرکت ارتیاطات سیار و شرکت مخابرات استان تهران در زمینه پیاده‌سازی ‪ISMSدر حال اجراست که امیدواریم استاندارد ‪BS۷۷۹۹ نیز حداقل در بخشی از شرکتهای مرتبط با زیرساختهای فن‌آوری اطلاعات کشور جهت برقراری سطح قابل قبولی از امنیت اطلاعات در انها طراحی و پیاده‌سازی شود.
خبرگزاری سینا

راهبردهای کلان امنیت اطلاعات کشور

چهارشنبه, ۸ تیر ۱۳۸۴، ۱۱:۵۶ ق.ظ | ۱ نظر

علی مقامی - راهبردهای کلان کشور وابسته به میزان اهمیت و ارتباط آنها با امنیت اطلاعات به عنوان یک موضوع بالادستی قابل توجه هستند. در مسیر توسعه کشورها، راهبردهای کلان، افقهای درازمدت و قابل دسترسی را ترسیم می‌نمایند که به واسطه آن قدمهای سنجیده‌ای برای رسیدن به اهداف برداشته می‌شود تا نهایتاً به افقهای مورد نظر دست یابند. به عبارت دیگر راهبردهای کلان کشور را می‌توان ثمره اندیشیده شده و برآمده از روند توسعه جهانی و اصول و محکمات پذیرفته شده داخلی (قانون اساسی یا قوانین لایتغیر) به حساب آورد.

در کشور ما پس از پیروزی انقلاب و در سالهای آغازین، اکثر توان کشور صرف تثبیت، تهیه قوانین اولیه، شکل‌گیری نظام و تغییرات بنیادین شد و جنگ تحمیلی نیز مزید بر علت شد و بالاجبار توان کشور در طی هشت سال به این امر مهم مشغول گردید و عملاً در طی دهه اول پس از پیروزی انقلاب از مقوله توسعه غفلت شد. در سالهای بعد و پیرو رسیدن به این مهم که کشور فراتر از برنامه‌های سالیانه، نیازمند به برنامه‌های توسعه دراز مدت است سه برنامه توسعه پنج‌ساله به مرحله اجرا درآمده و اخیراً نیز برنامه چهارم توسعه به مجلس شورای اسلامی ارایه شده است. از نقاط برجسته برنامه اخیر می‌توان به توجه جدی به فناوری اطلاعات در این برنامه یاد کرد. در کنار برنامه‌های توسعه پنج‌ساله کشور، اخیراً با توجه جدی به راهبردهای توسعه در سطح کلان "چشم‌انداز توسعه بیست‌ساله کشور" توسط مقام رهبری ابلاغ گردیده و قرار است برنامه‌های توسعه و راهبردهای کلان کشور مبتنی بر آن تهیه شده و به مرحله اجرا درآیند. بنابراین راهبرد امنیت اطلاعات کشور نیز علی‌الاصول باید در چارچوب این چشم‌انداز تهیه گردد. در چشم‌انداز توسعه بیست‌ساله کشور، اگرچه به طور مشخص به امنیت اطلاعات پرداخته نشده است ولی از ماهیت موارد بیان شده می‌توان نکات مهم و کلیدی تأثیرگذاری را استخراج نمود. موارد زیر گزیده‌ای ازاین سند می‌باشد :

*توسعه یافتگی با جایگاه اول اقتصادی، علمی و فناوری در سطح منطقه

*الهام بخش در جهان اسلام و با تعامل سازنده و موثر در روابط بین‌الملل

*بهره‌مندی از امنیت اجتماعی و قضایی

*برخوردار از دانش پیشرفته، توانا در تولید علم و فناوری

*متکی بر سهم برتر منابع انسانی و سرمایه اجتماعی در تولید ملی

*امن، مستقل و مقتدر با سامان دفاعی مبتنی بر بازدارندگی همه جانبه

*تاکید بر جنبش نرم‌افزاری و تولید علم

*رشد فرهنگی و آموزش و پژوهش و تواناییهای دفاعی و امنیتی

همانطور که ملاحظه می‌گردد، اگرچه سرفصلهای مذکور، اشاره مستقیمی به موضوع امنیت اطلاعات ندارد، اما با توجه به روند توسعه جهانی، مباحث مربوط به فناوری اطلاعات و توجه جدی به امنیت اطلاعات به عنوان یک رکن اساسی در این عرصه، می‌توان ارتباط معنی‌داری را بین کلیه سرفصلهای مطرح شده و موضوع امنیت اطلاعات درک نمود. در این مقوله قصد ارزیابی و نقد "چشم‌انداز بیست‌ساله" را نداریم و هدف این بررسی، بیان موضوعات تأثیرگذار می‌باشد. لذا فرض ما بر این است که در راهبردهای کلان خصوصاً در چشم‌انداز بیست‌ساله کشور تمامی مراحل برنامه‌ریزی استراتژیک به صورت علمی و کارشناسانه انجام شده است و لذا راهبرد امنیت اطلاعات کشور نیز به عنوان یکی از راهبردهای مورد نیاز کشور باید سازگار با آنها باشد. طبیعی است که اگر "چشم‌انداز بیست‌ساله" و راهبردهای کلان کشور، به ایده‌آل گرایی و خیال‌پردازی صِرف پرداخته باشند و خط‌مشی‌ها و اقدامات روشنی جهت اجرایی شدن آنها پیش‌بینی نشده باشد، راهبردهای تدوین شده ذیل یا مرتبط با آنها نیز در معرض تهدید جدی خواهند بود.

از آنجا که راهبردهای دیگری نظیر "چشم‌انداز بیست ساله" را نمی‌توان یافت که امنیت اطلاعات ذیل آن قرار گیرد (در واقع راهبردهای کلان دیگر که به نوعی در کشور طرح شده‌اند، یا از جامعیت برخوردار نیستند و یا اگر در سطح کلان طرح شده‌اند، به مسأله امنیت اطلاعات به طور جدی نپرداخته‌اند) به همین خاطر، "چشم‌انداز بیست ساله" مورد تاکید قرار گرفت. در هر صورت مهم این است که در این مرحله باید راهبردهای کلان دیگر (نظیر ICT ملی، طرح تکفا و...) نیز مورد بررسی قرار گیرند و نحوه تأثیرگذاری آنها بر امنیت اطلاعات به عنوان یک موضوع بالادستی مورد توجه قرار گرفته و در صورت وجود تعارض امنیت اطلاعات با برخی مباحث طرح شده در آنها، راهکارها و اقدامات لازم در راهبرد امنیت اطلاعات پیش‌بینی گردد تا اصلاحات مورد نظر به مرحله اجرا درآید. لازم به ذکر است از آنجا که راهبردهای کلان دیگر به مقوله امنیت اطلاعات یا پرداخته نشده و یا در هاله‌ای از ابهام این مسأله طرح شده است لذا راهبرد امنیت اطلاعات کشور می‌تواند مکمل و روشن کننده این بخش از راهبردهای کلان دیگر باشد.

شرکت سیمانتک، که یکی از معتبرترین شرکتهای تولید کننده سیستمهای امنیتی رایانه‌ای و اینترنتی در دنیا است، بر اساس تازه ترین تحقیقات خود اعلام کرد که ایران در صدر کشورهای خاورمیانه از لحاظ آسیب پذیری در برابر حملات هکرهای اینترنتی قرار دارد.

به گزارش خبرگزاری فارس شرکت سیمانتک اعلام کرد که در بین کشورهای دارای تعداد نسبتا پایین کاربران اینترنت، پنج کشور خاورمیانه جزو 10 کشور آسیب پذیر در برابر حملات هکرها در دنیا قرار دارند.

بر اساس این گزارش، این پنج کشور عبارتند از: ایران، کویت، امارات متحده عربی، عربستان سعودی، و مصر.

این گزارش می افزاید: در بین کشورهای خاورمیانه نیز ایران از لحاظ آسیب پذیری در برابر حملات هکرهای اینترنتی در رتبه نخست قرار دارد.

بنابراین گزارش در سال 2004 تعداد ویروسهای اینترنتی در سطح جهان بیش از 50 درصد و سرقت هویت نیز بیش از 30 درصد افزایش یافت.

بر اساس این گزارش، دو علت عمده ضعف سیستمهای امنیت اینترنتی در خاورمیانه، یکی ضعف قانون در کشورهای خاورمیانه در برابر هکرها است و دیگری، سرمایه گذاریهای ناچیزی است که در منطقه بر روی سیستمهای امنیتی رایانه‌ها انجام می‌گیرد.

این گزارش حاکی است بر اساس تحقیقات شرکت گارتنرگروپ، در سه سال گذشته در منطقه خاورمیانه فقط 20 میلیون دلار برای مبارزه با جرائم اینترنتی صرف شده است.

ملزومات امنیت در فضای سایبر

شنبه, ۳۱ ارديبهشت ۱۳۸۴، ۰۸:۳۴ ب.ظ | ۰ نظر

پلیس سایبر ضرورت عصر اطلاعات

شنبه, ۳۱ ارديبهشت ۱۳۸۴، ۰۸:۳۱ ب.ظ | ۰ نظر

کاربران بی دفاع ایرانی

پنجشنبه, ۱۵ ارديبهشت ۱۳۸۴، ۰۵:۴۶ ب.ظ | ۰ نظر

على شمیرانى - شرق - آیا از ISP خود که با آن به اینترنت متصل مى شوید رضایت دارید؟ چه سئوال مضحکى! چطور مى توان از یک ISP که انواع آگهى هاى تبلیغاتى، تروجان، تصاویر غیراخلاقى، نرم افزار هاى مخصوص هک، برنامه هاى آزاردهنده، سارقان اینترنتى، نرم افزار هاى جاسوسى و از همه مهم تر انواع و اقسام ویروس ها و کرم ها را به سمت شما سرازیر مى کند رضایت داشت؟ یک ISP یا همان ارائه دهنده خدمات اینترنتى، همانگونه که مجرا و نقطه اتصال کاربران به دنیاى مجازى اینترنت محسوب مى شود به همان ترتیب عامل انتقال انواع تهدید هاى اینترنتى همچون ویروس ها و کرم ها نیز به شمار مى رود. این موضوعى است که در مورد بیشتر ISP هاى کشور صدق مى کند. اگرچه تلاش براى یافتن هرگونه آمار در این خصوص بى نتیجه است ولى اظهارات کارشناسان و میزان آلودگى کاربران ایرانى پس از حمله هر کرم یا ویروس اینترنتى مى تواند گویاى وضعیت خطرناک حریم مجازى کشور باشد.
• نقش ISP ها در حفاظت از کاربران
در حال حاضر بسیارى از ISPها به علت عدم استفاده از نرم افزار هاى فیلترینگ، فایروال ها و نرم افزار هاى امنیتى، مراقبتى و ضدویروس بسیار آسیب پذیر بوده و براى کاربران تهدید جدى به حساب مى آیند. این در حالى است که گاه برخى از ISP ها حتى در صورت اطلاع از وجود یک ویروس در سیستم هاى خود نیز قادر به انجام کارى نیستند، چه رسد به زمانى که... براساس جدیدترین تحقیقات Message labs (یکى از شرکت هاى بزرگ ارائه کننده راهکار هاى امنیتى) ISP ها نقش بسیار تعیین کننده اى در تامین امنیت کاربران نهایى دارند. مسئولان این موسسه مى گویند: تهدید هاى امنیتى در جهان و به ویژه در خصوص کشور هایى که نفوذ اینترنت در آنها رو به رشد است افزایش داشته و علاوه بر لزوم افزایش میزان آگاهى کاربران، ISP ها نیز نباید حفاظت از آنها را رها کنند. این موسسه مى افزاید: ISP ها مى توانند با سرمایه گذارى و ارتقاى امنیت خود تهدید هاى اینترنتى را کاهش داده و حتى متوقف کنند.
• دسترسى پاک به اینترنت
نتایج یک تحقیق جدید در آمریکا نشان مى دهد که میزان امنیت ISP ها رشد متناسبى با افزایش جهشى تهدید هاى مجازى نداشته است. این در حالى است که هم اکنون بسیارى از ISP هاى بزرگ دنیا تدابیر فورى و خاصى براى مقابله با این تهدید ها اندیشیده اند. پس از افزایش میزان تخریب ویروس ها و سایر کد هاى مخرب دو سال گذشته بود که موضوع «امنیت» در کنار قیمت و سرعت اتصال به اینترنت در تبلیغات ISP هاى آمریکایى به یک عامل مهم و تعیین کننده براى کاربران مطرح شد. اما اهمیت تامین امنیت کاربران تا آنجا پیش رفت که موضوع مسئولیت و پرداخت هزینه خسارت کاربران از سوى ISP ها طرح شد.
• وضعیت امنیت ISP ها در ایران
محمدجواد صمدى راد کارشناس امنیت شبکه مى گوید: ISP هاى زیادى هم اکنون در کشور مشغول ارائه خدمات هستند که با حداقل هاى ساده و ابتدایى امنیت شبکه نیز آشنایى ندارند. وى به تجربه خود در زمان حمله کرم بلستر به کاربران ایرانى اشاره مى کند و مى افزاید: در آن زمان حدود شانزده ISP که آلوده و سردرگم شده بودند با ما تماس گرفتند که چه باید بکنند. در حالى که مشکل با یک خط (Configuration) تغییر ساده حل مى شد.
وى حتى با ISP هایى برخورد کرده که با استفاده از ابزار ساده، موثر و بدون هزینه Access Control نیز در شبکه خود آشنا نبوده اند. به گفته این کارشناس ISP ها با صرف حدود ۲ میلیون تومان مى توانند از سطح امنیتى قابل قبولى برخوردار شوند اگرچه موضوع آموزش آنها نیز باید به طورى جدى پیگیرى شود. وى با اشاره به لزوم توجه زیاد ISP ها به موضوع Caching مى گوید: حتى در حال حاضر نرم افزارهاى امنیتى قفل شکسته زیادى در بازار وجود دارد که تنها با حدود ۲ هزار تومان قابل خرید و استفاده در ISP ها است.
• مسئولیت ما مشخص نیست
رضا پارسا دبیر انجمن کارفرمایان شبکه هاى اینترنتى نیز این موضوع را قبول دارد که یک ISP هم به عنوان نقطه اتصال کاربر به اینترنت عمل مى کند و هم مى تواند مجرایى براى ورود انواع کد هاى مخرب از اینترنت به کاربر باشد. او از جمله افرادى است که وجود ضعف هاى امنیتى متعدد در بسیارى از ISP ها را مى پذیرد و اعتقاد دارد که در تمام دنیا حداقل استاندارد هایى براى امنیت ISP ها تمهید شده که در ایران چنین چیزى را نداریم.وى مى افزاید: در این خصوص شرکت ارتباطات دیتا مخابرات مسئول است، اگرچه خلاء قانونى نیز در این مورد داریم و به هر حال باید آ ئین نامه و قانونى تدوین شود تا معلوم شود یک ISP تا کجا مسئول است و یک ICP (ارائه کننده ارتباط اینترنتى) که در سطح بالاتر از ISPها قرار دارد نیز تا کجا مسئول است؟
دبیر انجمن صنفى ISP ها در پاسخ به این سئوال که اصلاً ISP ها چه تعهدى نسبت به یک کاربرد دارند مى گوید: در این خصوص چیز مشخص و شسته رفته اى نداریم و باید نظارت دقیق ترى صورت بگیرد. در این جا این سئوال پیش مى آید، در شرایطى که یک کاربر کم تجربه براى مثال یک کارت اینترنتى ده ساعته مى خرد که تنها ۲ ساعت عذاب دهنده مى تواند از آن استفاده کند و احتمالاً آلوده هم مى شود، این کاربر چگونه و با صرف چه میزان هزینه مى تواند طرح دعوى کند. اگرچه این را نیز مى دانیم که قبل از ISP ها در اتصال به اینترنت ICP ها وجود دارند و قبل از ICP ها نیز یک طرف چشم آبى وجود دارد ولى در این گزارش از نگاه یک کاربر که نقطه اتصال وى به اینترنت، یک ISP محسوب مى شود به موضوع امنیت پرداخته شده و قطعاً موضوع ناامن بودن ICP ها نیز از سوى ISP ها قابل طرح و بررسى است. کما این که یک ISP قطعاً در انتخاب یک ICP ایمن، تصمیم گیر نهایى محسوب مى شود.
• حداقل اجبارى استاندارد
محمد حسن دزیانى حقوقدان متخصص جرایم سایبر در مورد نقش و مسئولیت ISP ها در سایر کشور هاى دنیا مى گوید: برخى از کشور ها قانون و کد هاى رفتارى مشخص دارند. براى مثال در قانون کیفرى سوئیس و در خصوص مطالب غیر اخلاقى و پورنوگرافى کودکان، براى ناشر، توزیع کننده و ISP ها مسئولیت در نظر گرفته شده و به ویژه در مورد پورنوگرافى کودکان یک ISP بلافاصله پس از شناسایى چنین محتوایى باید آن را حذف کرده و مراتب را به پلیس گزارش کند.
وى مى افزاید: در دنیاى ISP یا ICP بسته به نوع فعالیتى که دارند مسئول شناخته مى شوند و در برخى از کشور ها از آنها خواسته شده که حتماً از فیلترینگ استفاده کرده و با پلیس همکارى کنند و در مورد پورنوگرافى کودکان به شدت حساس باشند. این حقوقدان اعتقاد دارد: در برخى کشورها و در آئین نامه صنفى ISP ها و در صورت احراز قصور ارائه کننده خدمات اینترنتى در وارد آمدن خسارت به کاربر ضمانت اجرایى در نظر گرفته شده است. به گفته وى، امروزه در بسیارى از کشور هاى دنیا رعایت حداقل استاندارد هاى امنیتى به یک اجبار تبدیل شده است.
• خلاء قانونى داریم
براساس قانون مسئولیت مدنى هر اقدامى حتى مباح و قانونى که موجب ورود خسارت مادى و معنوى به کسى شود، امکان شکایت فرد آسیب دیده را بازمى گذارد. رضا پرویزى دبیر کمیته مبارزه با جرایم اینترنتى ضمن بیان این مطلب مى افزاید: در آئین نامه شوراى عالى انقلاب فرهنگى و همچنین در قرارداد دیتا با ISP ها خواسته شده تا تمهیدات لازم براى حفاظت از کاربران انجام دهند. ولى موضوع اینجا است که چه در آئین نامه شوراى عالى انقلاب فرهنگى و چه در قرارداد واگذارى مجوز ISP از سوى شرکت ارتباطات دیتا مخابرات این مهم به شکل کلى مطرح شده و جزئیات دقیقى در این خصوص وجود ندارد.
دبیرکمیته مبارزه با جرایم اینترنتى نیز با این مسئله هم نظر بوده و معتقد است بایستى در این مورد قانونى وجود داشته باشد. اما وى به طرح استفاده از شبکه هاى اطلاع رسانى رایانه اى که یک فوریت آن در مجلس ششم تصویب شد اشاره کرده و مى گوید: در آنجا مواردى پیش بینى شده و گفتیم که شرایط تاسیس یک ISP و یا یک ICP مشخصاً چیست، ولى باید در آئین نامه اى استاندارد هاى سخت افزار، نرم افزار، راهبرد هاى امنیتى و حتى مشخصات پرسنل یک ISP تعیین شوند. وى معتقد است که باید روى دوش ISP ها مسئولیت گذاشته شود و براى مثال حتى مى توان مجازات صنفى همچون کاهش پهناى باند و یا روش هایى از این دست نیز در نظر گرفت. پرویزى مى گوید: ما به انجمن حمایت از کاربران نیز نیاز داریم تا در چنین مواردى و به نمایندگى از طرف کاربران پیگیر حقوق آنها از نهاد هاى مختلف باشند.
• پیگیرى طرح یکپارچه سازى امنیت در دیتا
اما بسیارى از کارشناسان حمایت از کاربران و نظارت به موضوع امنیت ISPها را متوجه وزارت فناورى اطلاعات و ارتباطات، شرکت مخابرات و مشخصاً دیتا مى دانند. این کارشناسان مى گویند: چگونه است که شرکتى همچون دیتا و سایر نهادهاى ذیربط در خصوص مسئله اى همچون مسدودسازى سایت هاى اینترنتى و یا موضوع ارائه خدمات ترمینیشن (تلفن اینترنتى خارج به داخل) آن گونه که شاهد آن بودیم برخورد و نظارت کردند ولى در مورد هجوم انواع کرم، ویروس و کدهاى مخرب به سمت کاربران این گونه و با حساسیت عمل نمى کنند. در این خصوص یک کارشناس مسئول در شرکت مخابرات که خواستار عدم ذکر نام خود شد مى گوید: در تمام دنیا تعداد ISPهاى فعال در یک کشور بسیار محدود و مشخص هستند ولى در کشور ما بیش از پانصد ISP در حال ارائه خدمات هستند که این موضوع کنترل آنها را با مشکل مواجه مى کند.وى مى افزاید: ما به مشکل موردى (رندم) مسئله امنیت در ISPها را چک مى کنیم.
ولى این در حالى است که هیچ خبرى مبنى بر اخطار و یا جلوگیرى از ادامه فعالیت یک ISP به علت عدم رعایت مسائل امنیتى از سوى شرکت مخابرات منتشر نشده است. اما این کارشناس از اجراى طرح پایلوت (آزمایشى) در شرکت دیتاى مخابرات خبر مى دهد که طى این طرح موضوع یکپارچه سازى امنیت در ISPها مورد بررسى و آزمایش قرار مى گیرد. وى مى گوید: با اجراى کامل این طرح آزمایشى که مراحل پایانى خود را پشت سر مى گذارد، کلیه ISPها موظف به خرید تجهیزات امنیتى و کنترل کامل سیستم هاى خود مى شوند. قیمت این تجهیزات نیز چیزى در حدود ۳ تا ۴ میلیون تومان خواهد بود که با اتکا به توانمندى داخلى طراحى و تولید مى شوند. وى مى افزاید: با استفاده از این تجهیزات، ISPهاى کشور از ضریب امنیتى بسیار بالایى برخوردار مى شوند. با تمامى این تفاسیر کارشناس مسئول شرکت مخابرات نیز این موضوع را مى پذیرد که هنوز قانون مدونى در خصوص تعیین حیطه مسئولیت یک ISP در تامین امنیت یک کاربر در کشور وجود ندارد. این در حالى است که سال گذشته و در جریان قطعى ارتباطات دیتاى کشور وزیر ICT طى یک مصاحبه مطبوعاتى وعده تدوین آئین نامه اى جهت حمایت از کاربران را داد که تاکنون خبرى از تدوین آئین نامه مذکور نشده است.

مروری بر هشت سال تحقیقات در مورد جرایم کامپیوتری

پنجشنبه, ۱۵ ارديبهشت ۱۳۸۴، ۰۵:۳۸ ب.ظ | ۰ نظر

على شمیرانى - شرق - جرایم کامپیوترى و امنیتى» عنوان تحقیقى است که با همکارى مشترک انستیتوى جرایم کامپیوترى و FBI سانفرانسیسکو در آمریکا در حال انجام است. این تحقیق هم اکنون هشتمین سال خود را پشت سر مى گذارد و به این ترتیب لقب طولانى ترین تحقیق دنیا در زمینه امنیت اطلاعات را به خود اختصاص داده است.

این تحقیق که از ۸ سال پیش آغاز شده بیانگر حساسیت ها و اهمیت حفظ حریم مجازى در آمریکا است، چرا که در حال حاضر بخش عمده اى از شریان اقتصاد کلان آمریکا با دنیاى مجازى درهم آمیخته و پلیس و نیروهاى امنیتى این کشور از حریم مجازى خود، همچون مرزهاى واقعى آمریکا محافظت مى کنند.

این گزارش نیز بخش هایى از نتایج به دست آمده از تحقیق جرایم کامپیوترى و امنیتى در کشور آمریکا است.تحقیق مذکور در سال ۲۰۰۳ نیز همچون سال قبل از آن به شناسایى و ترسیم چگونگى رخ دادن جرایم در شبکه هاى کامپیوترى و میزان خسارات به بار آمده پرداخته است.یافته هاى این تحقیق در سال ۲۰۰۳ که بر مبناى پاسخ هاى دریافتى از ۵۳۰ فرد شاغل در بخش امنیت کامپیوتر دستگاه هاى دولتى، موسسات مالى، انستیتوها، مراکز بهداشتى و دانشگاه هاى آمریکا به دست آمده بار دیگر نشان داد که هیچ اثرى از کاهش میزان حملات اینترنتى در دست نیست ولى در عین حال و براى نخستین بار از سال ۱۹۹۹ میزان و شدت خسارات به بار آمده در سال ۲۰۰۳ کاهش یافته است.

با این وجود و گذشته از پاسخ به دست آمده از تحقیق، مبنى بر کاهش خسارت هاى مالى، مهم ترین نتیجه باقى مانده در پایان این تحقیق در سال ۲۰۰۳ نشان مى دهد که تهدید ناشى از حملات مجازى همچنان رشدى صعودى دارد.در این میان حتى سازمان هایى که از فناورى هاى گسترده امنیتى هم استفاده کرده اند باز هم قربانى خسارت هاى مالى قابل توجه شده اند. به علاوه درصد گزارش کردن حملات انجام شده به مقامات امنیتى از سوى بخش هاى مختلف آمریکا همچنان در حد پایینى مانده است.

علت این امر نیز نگرانى صنایع، شرکت ها و موسسات مالى از درج اخبار مربوط به رسوایى ضعف هاى امنیتى در سیستم هایشان است چرا که این گزارش ها موجب سلب اطمینان مشتریان موسسات مربوطه مى شود. به همین خاطر اکثر حملات مجازى انجام شده به شرکت هاى مختلف به مقامات امنیتى گزارش نمى شود.به این ترتیب مهاجمان و هکرها نیز به این مسئله یعنى لطف شرکت ها و عدم گزارش حملات به مقامات دولتى، اشراف کامل داشته و به میزان حملات خود مى افزایند.
• درباره پاسخ دهندگان
پاسخ دهندگان به پرسش هاى این تحقیق عمدتاً از شرکت ها و سازمان هاى مدرن و پیشرفته آمریکا بودند. در تحقیق مذکور ۱۷ درصد از شرکت هاى صنایع پیشرفته و ۱۵ درصد از بخش هاى مالى آمریکا حضور داشتند. دستگاه هاى دولتى نیز با افزایش میزان حضور در مجموع ۱۵ درصد از پاسخ دهندگان را تشکیل مى دادند. حدود نیم دیگرى از پاسخ دهندگان به پرسش ها را نیز کسانى تشکیل مى دادند که بر این تصور بودند، امنیت کامپیوترى مسئله مهمى تلقى نمى شود. بخش سایر پاسخ دهندگان نیز از ۵ درصد در سال ۲۰۰۲ به ۱۷ درصد در سال ۲۰۰۳ افزایش یافته بود.

بیش از نیمى از حاضران در این تحقیق را سازمان هایى با بیش از هزار کارمند تشکیل مى دادند. این در حالى بود که حدود ۲۸ درصد نیز شرکت هایى با بیش از ده هزار کارمند بودند. بر این اساس ۳۴ درصد از حاضران در این تحقیق را سازمان هایى تشکیل مى دادند که درآمد سالانه آنها بیش از یک میلیارد دلار در سال بود.
• نکات برجسته تحقیق
در حالى که گزارش هاى دریافتى مبنى بر استفاده غیرمجاز از کامپیوتر تقریباً در حد سال قبل باقى مانده بود ولى میزان خسارت هاى وارده سیر نزولى داشت.

بر این اساس ۵۶ درصد استفاده غیرمجاز از کامپیوتر را گزارش دادند که این رقم در سال گذشته ۶۰ درصد و به طور میانگین در ۷ سال گذشته تحقیق ۵۹ درصد بود. میزان کل خسارت گزارش شده در سال ۲۰۰۳ معادل ۲۰۱ میلیون و ۷۹۷ هزار و ۳۴۰ دلار بود که این رقم در قیاس با ۴۵۵ میلیون دلار سال ۲۰۰۲ حدود ۵۶ درصد کاهش نشان مى دهد.
• یافته هاى کلیدى دیگر
•میزان کلى حملات با وجود کاهش خسارات همچنان رو به بالا مشاهده شد.

•درست مثل سال هاى گذشته سرقت انواع اطلاعات بزرگ ترین زیان هاى مالى را بر جا گذاشت. بر این اساس ۷۰ میلیون و ۱۹۵ هزار و ۹۰۰ دلار خسارت بر اثر سرقت اطلاعات در سال گذشته بر جاى ماند.

•اما با تغییرى نسبت به سال هاى قبل و براساس پاسخ هاى دریافتى دومین جرم کامپیوترى خسارت آور به حملاتdenial of service (بازدارنده ارائه خدمات) اختصاص یافت. این جرم ۶۵ میلیون و ۶۴۳ هزار و ۳۰۰ دلار خسارت به بار آورد.
•در این میان گزارش خسارت هاى به بار آمده از کلاهبردارى هاى مالى در اینترنت با کاهش بسیار زیاد به ۱۰ میلیون و ۱۸۶ هزار و ۴۰۰ دلار رسید. اما براساس گزارش سال گذشته این رقم حدود ۱۱۶ میلیون دلار بود.

•در این میان و درست مانند سال هاى قبل حملات ویروس ها (۸۲ درصد) و سوءاستفاده هاى داخلى در استفاده از شبکه ها (۸۰ درصد) از جمله موارد قابل توجه از انواع حملات و سوءاستفاده ها بودند.

• با وجود تمام مشکلات امنیتى در سازمان ها، حاضران در این تحقیق همچنان قویاً مخالف ایده استفاده از هکرهاى اصلاح شده در کار خود هستند. بر این اساس ۶۸ درصد پاسخ دهندگان گفته اند که به هیچ وجه مایل به استفاده از هکرهاى سابق براى شناسایى نقاط ضعف خود نیستند.

•اما میزان گزارش حملات انجام شده از سوى سازمان ها و شرکت ها به مقامات قضایى آمریکا مثل سال هاى گذشته، همچنان در حد پایینى قرار دارد. در سال ۲۰۰۳ تنها ۳۰ درصد حملات مجازى به مقامات دولتى گزارش شد.
• فناورى هاى امنیتى
به مدت ۶ سال متوالى از کلیه حاضران در تحقیق این سئوال شد که از چه نوع فناورى هاى امنیتى براى حفاظت از سازمان هاى خود بهره بردارى مى کنند. اگر چه تمام حاضران در این تحقیق حاضر به افشاى انواع روش هاى حفاظتى خود نشدند ولى ۹۹ درصد از پاسخ دهندگان اعلام کردند که از روش هاى بسیار متعددى براى حفاظت از سازمان خود استفاده مى کنند.

بر این اساس ۹۹ درصد از سازمان ها از نرم افزارهاى ضدویروس و ۹۸ درصد از فایروال ها استفاده مى کنند. ۹۱ درصد از پاسخ دهندگان از انواع تجهیزات سخت افزارى امنیتى و ۹۲ درصد نیز از روش هاى کنترل دسترسى در حفاظت از سازمان خود استفاده کرده اند.

در این میان یکى از اصلى ترین دلایل عدم پاسخ به برخى از سئوالات به تمایل نداشتن شرکت ها در افشاى نام محصول امنیتى مورد استفاده مربوط مى شد.اما در بخشى از این تحقیق از حاضران خواسته شد تا به تعریف و ارائه درک خود از مفهوم امنیت و صنعت امنیت بپردازند. در عین حال برخى از پرسش ها به گونه اى طراحى شده بود که شکى در پاسخ آن وجود نداشت. براى مثال زمانى که پرسیده شد آیا از فایروال استفاده مى کنید، همه پاسخ ها مثبت بود.اما در مورد امنیت فیزیکى (سخت افزارى) گرچه مفهومى گسترده دارد، نیز پرسش هاى مشخصى پرسیده شد. مثلاً این که آیا تمامى درهاى سازمان در مواقع تعطیل و یا بدون استفاده قفل مى شوند؟ یا مثلاً آیا هشدارهاى مشخص و یا محدوده هاى ورود غیرمجاز براى حفاظت از کامپیوترها و شبکه هاى کامپیوترى در سازمان طراحى کرده اید؟یکى از جالب ترین یافته هاى این بخش از تحقیق نشان داد که تقریباً از هر ده سازمان، یک سازمان از ادوات فیزیکى بازدارنده براى حفاظت از محدوده هاى کامپیوترى خود استفاده مى کنند.

به این ترتیب این احتمال بسیار قوى به نظر مى رسد که سازمان هاى مذکور سرورهاى خود را در اتاق هاى قفل شده نگهدارى نکرده و یا ادوات سیار همچون نوت بوک ها را با کابل هاى قفل شونده ثابت نگاه ندارند.اما در حالى که کنترل سطح دسترسى مفهومى است که به خوبى درک شده، محققان سئوال دیگرى طرح کردند. آنها پیش بینى مى کردند که هر سازمانى از کاربران خود خواسته باشد تا براى کنترل دسترسى از کلمات رمز (Passwords) استفاده کنند و پاسخ آنها با استفاده از Password کاملاً مثبت باشد.اما نتیجه جالب دیگرى به دست آمد و ۸ درصد از پاسخ دهندگان اعلام کردند از روش کنترل میزان دسترسى استفاده نمى کنند.از دیگر آمار به دست آمده، ۶۹ درصد از پاسخ دهندگان اعلام کردند که از فایل هاى رمزگذار استفاده مى کنند که این رقم به نسبت ۵۸ درصد در سال گذشته افزایش یافته بود. میانگین پاسخ به این پرسش نیز طى سال هاى گذشته ۵۹ درصد بود.اما بدون توجه به ابزار مورد استفاده براى تامین امنیت، موضوعى که در تحقیق به دست آمد این بود که بسیارى از پاسخ دهندگان به درستى نمى دانند که درون شبکه هایشان چه مى گذرد.

پنجاه درصد از پاسخ دهندگان در سال ۲۰۰۳ اعلام کرده اند که متوجه استفاده غیرمجاز از سیستم هاى کامپیوترى سازمان خود نمى شوند.
• اطلاعات اختصاصى
در سراسر تاریخ این تحقیق، سرقت اطلاعات، گرانترین نوع جرایم کامپیوترى به شمار رفته است. در حقیقت از سال ۱۹۹۹ بیشترین خسارات از این طریق به صنایع و سازمان ها وارد شده است.اگر در دنیاى اینترنت قوانین زیادى براى حفاظت از مالکیت هاى معنوى وضع شد اما در عین حال اخبار مهم حکایت از سرقت اسرار تجارى شرکت ها که از اهمیت بالایى نیز برخوردار است نداشت، بلکه در این میان تلاش براى نقض کپى رایت نیز افزایش یافته بود.در حال حاضر یکى از عمده ترین چالش هاى دنیاى مجازى سرقت اطلاعات و نقض مالکیت فکرى محسوب مى شود لذا این مسئله موجب شده تا بسیارى از شرکت ها، صنایع و انجمن ها خود وارد عمل شده و به شکایت از ناقضان بپردازند.در این خصوص انجمن صنعت ثبت موسیقى آمریکا (RIAA) طى دو سال گذشته تلاش هاى زیادى را براى مبارزه با نقض کپى رایت به عمل آورده است.

این انجمن به منظور مبارزه با کپى غیر مجاز فایل هاى MP3 از شرکت ها و ارائه کنندگان خدمات متعددى همچون IIS، Napster، Audiogalaxyو بسیارى از کاربران شکایت کرد.اما مسئله سرقت اطلاعات و داده در دنیاى اینترنت اکثر کارشناسان امنیتى را وادار به تفکر بیشتر و یافتن راه هاى جدید امنیتى کرده است. در سال ۲۰۰۲ تولید کنندگان تراشه و شرکت مایکروسافت به طور مشترک و به صورت سخت افزارى و نرم افزارى تلاش کردند تا به این مشکل غلبه کنند، آنها سرگرم کار روى ایده اى هستند که به موجب آن تا زمانى که کاربر اجازه استفاده از چیزى را پیدا نکند موفق به استفاده و اجراى آن روى کامپیوتر خود نشود.
• به دنبال کارشناس
یکى از مهم ترین بحث ها در صنعت امنیت اطلاعات به استخدام هکر هایى مربوط مى شود که ادعا مى کنند اصلاح شده اند. سال ۲۰۰۲ یکى از جالب ترین سال هایى بود که این بحث به اوج خود رسید. چرا که یکى از مشهورترین هکر هاى دنیا به نام «کوین میتنیک» اعلام کرد که قصد دارد دوباره دست به کار شود ولى این بار دست به فعالیت هاى قانونى خواهد زد. بعد از دستگیرى وى در سال ۱۹۹۵ و محکومیت به چندین جرم کامپیوترى، میتنیک در سال ۲۰۰۰ از زندان آزاد شد. اما در عین حال وى مجبور به پذیرش انواع محدودیت ها بود که او را از مسائل زیادى به دور نگاه مى داشت. اما در سال ۲۰۰۲ میتنیک کتابى با عنوان «هنر نیرنگ» منتشر کرد و در همان حال نیز یک شرکت مشاوره راه اندازى کرد با این وجود برخى از حاضران در تحقیق، بهترین راه حفاظت از سیستم هاى خود را استخدام هکر هاى اصلاح شده مى دانند.

اما علت اصلى بخش عمده مخالفان با استفاده از هکر هاى اصلاح شده این است که آنها هیچ تضمینى براى حرف هکر ها نمى یابند. در نتیجه این تحقیق، ۱۵ درصد از حاضران اعلام کرده اند که از ex هکر ها استفاده خواهند کرد.منظور از ex هکر ها نیز به هکر هایى مربوط مى شود که به اطلاعات فوق العاده حساس دسترسى نداشته باشند.
• گزارش ها همچنان مخفى
هدف اصلى تحقیق امنیتى سالانهFBI و انستیتوى امنیت کامپیوترى تنها جمع آورى اطلاعات قسمت تاریک فضاى مجازى نیست، آنها به دنبال گسترش و یافتن راه هایى براى همکارى بیشتر بخش خصوصى با سیستم قضایى آمریکا هستند تا به این ترتیب از میزان جرایم کامپیوترى تا حد امکان کاسته شود.

در سه سال اول این تحقیق، تنها ۱۷ درصد از بخش هایى که بر اثر حملات مجازى آسیب مى دیدند گزارش مربوطه را به مجریان قانون اعلام مى کردند اما در سال هاى بعد این رقم تقریباً دو برابر شد و رقم گزارش هاى اعلام شده به دولت در سال ۲۰۰۳ به ۳۰ درصد رسید.

اما چرا این رقم بزرگ تر نیست؟ تنها از ۴۵ درصد از کل حاضران در این تحقیق پرسیده شد که چرا گزارش مربوط به حملات اینترنتى را به دولت ارائه نمى کنند که ۵۳ درصد از این تعداد در پاسخ گفته اند که نمى دانستند مى توانند این اطلاعات را در اختیار دولت گذاشته و از آنها کمک بگیرند. بقیه نیز علت این امر را ترس از بى اعتمادى اعلام کردند.

مرورى بر نرم افزارهاى جاسوسى: سرطان در اینترنت

پنجشنبه, ۱۵ ارديبهشت ۱۳۸۴، ۰۵:۳۷ ب.ظ | ۰ نظر

على شمیرانى- شرق - طى سال هاى اخیر گسترش انواع کرم، ویرو س هاى کامپیوترى، هرزنامه ها (Spams) امان کاربران اینترنت را بریده و از این بابت سالانه خسارت هاى زیادى به بار مى آید. اما گذشته از این مشکلات که همچنان نیز تقریباً لاینحل مانده، دنیاى مجازى اینترنت با یک پدیده بسیار مخرب جدید نیز روبه رو شده که کارشناسان از آن با عنوان «سرطان در اینترنت» یاد مى کنند. اگر در زمان استفاده از کامپیوتر احساس کردید کسى به شما نگاه مى کند، احتمالاً دچار اشتباه نشده اید به خصوص زمانى که online هستید. بله، سراسر اینترنت را معضلى جدید که رشدى سرطانى نیز داشته فرا گرفته که به نرم افزارهاى جاسوسى (spyware) معروف هستند. این نرم افزارها که به شکلى کاملاً مخفى و بدون آگاهى کاربر روى کامپیوترها نصب مى شود، مى تواند کلیه رفتارهاى شما را کنترل کرده و به منبع مورد نظر منتقل کند. اما این پایان ماجرا نیست.

یک نرم افزار جاسوسى مى تواند کامپیوتر را زیرورو کرده به حدى که آن را از کار انداخته و کلیه اطلاعات شخصى، کلمات رمز و هر آنچه که فکر کنید در امان است را به سرقت ببرد.به همین منظور نرم افزارهاى جاسوسى به سرعت در رده چالش هاى مهم اینترنت همچون هرزنامه ها قرار گرفته است. لذا یک عضو کمیته اتاق بازرگانى و انرژى آمریکا نرم افزارهاى جاسوسى را به سرطان در اینترنت تشبیه کرده است. وى مى گوید: اگر به اینترنت متصل شده اید به احتمال زیاد هم اکنون به یک نرم افزار جاسوسى آلوده هستید. از این رو درست مثل هرزنامه ها (spam) که به علت گسترش بیش از حد منجر به تصویب چند قانون ضداسپم شد، افزایش تهدید نرم افزارهاى جاسوسى نیز کنگره آمریکا را وادار کرد تا در اسرع وقت سه لایحه بر ضد گسترش آنها به تصویب برساند.

این در حالى است که آلودگى کاربران به انواع نرم افزارهاى جاسوسى به راحتى هرچه تمام رخ مى دهد. اکثر این نوع نرم افزارها در قالب و شکل ظاهرى نرم افزارهاى سرگرمى رایگان به دست کاربران مى رسد. البته این تنها راه نفوذ نرم افزارهاى جاسوسى محسوب نمى شود. این نرم افزارها گذشته از انتقال توسط mail - e ها، در برخى از وب سایت ها نیز نهفته اند و منتظر قربانى هاى جدید و کم تجربه خود هستند. «مایک مارسیلبر» قائم مقام یک شرکت امنیتى مى گوید: بسیارى از مردم زمانى که نرم افزارهاى جاسوسى را از اینترنت Download (برداشت) مى کنند اصلاً متوجه نیستند. این در حالى است که اگر کاربر تنها بخش کوچکى از این نرم افزارها را به شکلى ناخواسته روى کامپیوتر خود نصب کند، امکان از دست رفتن انبوهى از اطلاعات وجود خواهد داشت.
• چالش قانونگذارى

اما در عین حال تلاش براى قانونمندى استفاده از نرم افزارهاى جاسوسى با پیچیدگى هایى نیز همراه است. موضوع اینجاست که استفاده از این نرم افزارها بسیار متنوع بوده و معلوم نیست که وضع قانون در مقابله با آنها نیز چندان کارساز باشد. «آرى شوارتز» مدیر مرکز تکنولوژى و دموکراسى آمریکا مى گوید: بخشى از مشکل کنترل نرم افزارهاى جاسوسى این است که باید دید آیا آنها واقعاً مضر هستند. براى مثال برخى از نرم افزارهاى جاسوسى به عنوان ابزارى جهت تبلیغات موثر اینترنتى شناخته مى شوند. در این مورد نرم افزار جاسوسى به کنترل کلیه گشت و گذارهاى یک کاربر در اینترنت پرداخته و پس از شناسایى نوع رفتار، علاقه مندى ها و مکان هایى که توسط وى دیده شده، اطلاعات لازم را به یک پایگاه داده منتقل مى کند. در این پایگاه هاى اطلاعاتى که عمدتاً در اختیار شرکت هاى تبلیغاتى است، تحلیل هاى لازم جهت ارسال بهترین آگهى هاى تبلیغاتى مطابق با سلیقه هر کاربر انجام مى شود.

«اسکات ایگل» مدیرعامل شرکت تبلیغاتى کلاریا مى گوید: گذشتن از نرم افزارهاى جاسوسى براى استفاده از آنها در تبلیغات موثر، غیرمنطقى است. چرا که شما به راحتى نمى توانید از کنار بازار ۹/۶ میلیارد دلارى تبلیغات در اینترنت بگذرید.

حالا بازار تبلیغات online بیش از گذشته در حال رشد است. اما آرى شوارتز معتقد است: زمانى که به یک کاربر نرم افزار رایگانى پیشنهاد مى شود که در پس آن یک نرم افزار جاسوسى وجود دارد و کاربر نیز از وجود آن آگاهى ندارد، این عمل غیراخلاقى و غیرقانونى محسوب مى شود. در این خصوص نیز تفاوتى نمى کند که از اطلاعات یک کاربر جهت صحیح کارى استفاده خواهد شد. یکى از دلایلى که موضوع نرم افزارهاى جاسوسى را به بحث روز محافل امنیتى و کارشناسى کشورهاى پیشرفته، به خصوص آمریکا تبدیل کرده، گسترش بیش از حد این گونه نرم افزارها است.نتایج تحقیق مشترک دو شرکت «Earthlink» و «Webroot» طى یک دوره سه ماهه نشان داد که حدود یک میلیون کامپیوتر (به عنوان نمونه) به ۵/۲۹ میلیون انواع نرم افزارهاى جاسوسى آلوده شده اند. با این وجود ظاهراً باید پذیرفت که نرم افزارهاى جاسوسى حالا دیگر در تمام اینترنت پراکنده شده اند. مشکل بزرگ تر آن است که هیچ نرم افزارى براى جلوگیرى از نفوذ حجم بالاى spyware در اینترنت وجود ندارد. اگرچه بازار ادعا در این خصوص بسیار گرم است.

این در حالى است که برخى کارشناسان نرم افزارى همچون spybot را براى مقابله و شناسایى نرم افزارهاى جاسوسى مفید مى دانند ولى این نرم افزار هم کامل نیست.
• استفاده اقتصادى از نرم افزارهاى جاسوسى

اما گذشته از شرکت هاى تبلیغاتى برخى از شرکت هاى اقتصادى نیز اعلام کرده اند که از نرم افزارهاى جاسوسى استفاده هاى خوبى مى کنند. به گفته صاحبان این شرکت ها، کنترل مشتریان چندان هم بد نیست زیرا آنها از این نرم افزارها استفاده قانونى و تجارى مى کنند. براى مثال شرکت «دیجیتال ریور» که به فروش نرم افزار از طریق اینترنت مى پردازد، با استفاده از نرم افزارهاى جاسوسى و کنترل مشتریان، از فروش مجدد و غیرقانونى آنها، اطمینان حاصل مى کند.

مدیرعامل این شرکت مى گوید: براى مثال ما طبق برنامه اى که داریم، نرم افزارهایمان را با توجه به توان خرید مردم در هر کشور به قیمت خاصى مى فروشیم. در این مورد گاهى قیمت نرم افزارى که به فردى در چین فروخته مى شود، یک پنجم قیمتى است که به یک آمریکایى فروخته مى شود و درست اینجاست که ما قصد داریم مطمئن شویم که کسى در این میان دلالى نمى کند. به همین منظور کلیه کسانى که از این شرکت خرید کرده و یا مى کنند، مى توانند مطمئن باشند که به همراه محصول خود و به صورت مخفیانه یک نرم افزار جاسوسى نیز مى خرند. مدیرعامل این کمپانى مى گوید: البته ما سعى داریم تا در این خصوص کاملاً شفاف و باز عمل کنیم، ولى با این وجود کارشناسان نگران سوءاستفاده هاى احتمالى و نقض حریم خصوصى کاربران هستند.
• آمارى که هرکس را مى ترساند

گاهى اوقات پذیرش آمار مربوط به رشد نرم افزارهاى جاسوسى بسیار نگران کننده و در عین حال غیرقابل باور هستند. براساس جدیدترین تحقیقات انجام شده توسط موسسه websense web، حدود ۹۲ درصد از مدیران فناورى اطلاعات (IT) صنایع و شرکت هاى مختلف اعلام کرده اند که سازمان آنها به نرم افزارهاى جاسوسى آلوده شده اند. این تحقیق نشان داد که قریب به یک سوم کارمندان به هیچ وجه در خصوص نصب ناخواسته نرم افزارهاى جاسوسى روى کامپیوترهاى محل کار خود اطمینان ندارند. «گراهام کانولى» یکى از مدیران websense مى گوید: بسیار بعید مى دانم که مشکل این گونه نرم افزارها به این زودى ها حل شود. براساس تحقیق مذکور مدیران IT شرکت ها اعلام کرده اند که حدود ۲۹ درصد از کامپیوترهاى شرکت متبوعشان به نرم افزارهاى جاسوسى آلوده شده اند. این در حالى است که تنها ۶ درصد از کارکنان این شرکت ها گفته اند که از وجود نرم افزارهاى جاسوسى در سایت هایى که از طریق محل کار مشاهده کرده اند، اطلاع داشته اند.

اما یک نمونه گیرى تصادفى از کاربران اینترنت پرسرعت توسط بخش امنیت مجازى ملى آمریکا نشان داد که ۹۱ درصد کامپیوترهاى این کاربران به نرم افزارهاى جاسوسى آلوده شده اند. «پائول فروتن» یک مهندس کامپیوتر مى گوید وى در طول یک هفته و با کلیک روى انواع آگهى هاى اینترنتى جهنده (pop-upads) به ۳۰ تا ۴۰ نرم افزار جاسوسى برخورد کرده است. «راجر تامپسون» مدیر شرکت تحقیقاتى pestpatrol نیز معتقد است که حدود ۶۰ تا ۷۰ درصد از کلیه کامپیوترهاى سراسر جهان، حالا به لانه انواع و اقسام این ویروس ها تبدیل شده اند.

در حال حاضر حدود ۱۵ هزار نوع نرم افزار جاسوسى در سراسر دنیا شناسایى شده است که این امر موجب شده برخى از ISPها (ارائه دهندگان خدمات اینترنتى)، در آمریکا پشتیبانى فنى در خصوص پیشگیرى از نفوذ نرم افزارهاى جاسوسى را به لیست خدمات جدید خود اضافه کنند. آنها به این منظور باید از برنامه هاى مختلفى همچون Ad-awar، spyremover ، pestpatrol، mcAfee و نورتون استفاده کنند. اما در این وضعیت نگران کننده، شرکت هایى همچون webroot ادعا مى کنندکه با تشکیل یک تیم شش نفره نرم افزار ضدجاسوسى به نام spysweeper طراحى کرده اند که به صورت هفتگى به روز (update) مى شود.

آنها دائماً و در طول روز به دنبال شکار نرم افزارهاى جاسوسى جدید هستند تا ضمن شناسایى منبع ارسال کننده، راه از کار انداختن آن را یافته و از کامپیوتر کاربر پاک کنند. اما کاربران براى نگه داشتن به روز این نرم افزار باید سالانه ۴۰ دلار پرداخت کنند. اما از سوى دیگر و با وجود تمام این تلاش ها، نویسندگان و طراحان نرم افزارهاى جاسوسى روزبه روز نرم افزارهاى بسیار پیچیده تر از گذشته روانه اینترنت مى کنند.
• کاهش سرعت و عملکرد

اما نرم افزارهاى جاسوسى گذشته از کنترل کاربران در اینترنت، شناسایى علاقه مندى آنها، سرقت اطلاعات شخصى و کلمات رمز، تخریب کامپیوتر و حتى هدایت ناخواسته کاربران به مکان ها و سایت هاى خاص، موجب بروز اختلال هاى مختلفى در شبکه هاى کامپیوترى نیز مى شوند. براساس جدیدترین تحقیقات این کدهاى مخرب سرعت شبکه هاى کامپیوترى را به ویژه در صنایع کوچک تا حد زیادى پایین مى آورند و به این ترتیب موقعیت هاى زیادى را از آنها مى ربایند. دنیس کینگ مدیر IT یک شرکت کوچک مى گوید: در موارد بسیارى شاهد کاهش سرعت و قابلیت ۱۰ تا ۴۰ درصدى عملکرد شبکه شرکت خود بوده که پس از تلاش زیاد در یافتن علت متوجه وجود نرم افزارهاى جاسوسى شده است.
• نرم افزارهاى جاسوسى چگونه حمله مى کنند

نرم افزارهاى جاسوسى بدون اطلاع کاربر به مشاهده عملکرد وى مى پردازند. در عین حال نرم افزارهاى تبلیغاتى (Adware) نیز وجود دارند که نوعى از نرم افزارهاى جاسوسى محسوب مى شوند. هدف این نرم افزارها نیز ارسال آگهى هاى هدفمند براى کاربران است. اما یک کامپیوتر چگونه به نرم افزار جاسوسى آلوده مى شود: مرحله ۱- شما به یک سایت سر مى زنید (به خصوص سایت هایى که در آن نرم افزارهاى رایگان، نرم افزارهاى کاربردى، داده هاى آب و هوایى ، تصاویر و مطالب غیراخلاقى وجود دارد) این مکان ها تقریباً بهشت نرم افزارهاى جاسوسى محسوب مى شوند. در چنین شرایطى و بدون آنکه کاربر متوجه باشد، نرم افزار جاسوسى روى کامپیوتر نصب مى شود.

مرحله ۲ _ زمانى که عملیات انتقال انجام شد، نرم افزار جاسوسى در فایل هاى سیستم که دسترسى به آنها نیز آسان نیست مخفى مى شوند. بعضى از این نرم افزارها نیز با هر بار روشن شدن کامپیوتر به صورت خودکار Relood مى شوند. مرحله ۳ _ در این مرحله کار نرم افزار آغاز مى شود. در این مرحله کار جمع آورى اطلاعات و ارسال آنها به مقصد آغاز مى شود که گاه این اطلاعات مى تواند، در جهت منافع اقتصادى، عقیدتى، سیاسى و یا تبلیغاتى باشد. مرحله ۴ _ یکى از سخت ترین کارهاى یک کاربر شناسایى و از بین بردن یک نرم افزار جاسوسى است. به همین منظور کاربر باید تمامى فایل هایى را که از اینترنت و احتمالاً از محل هایى که ذکر شد، برداشت کرده شناسایى و به طور کامل پاک کند. این کار نیز بسیار مشکل است چرا که نرم افزار مذکور دائماً خود را مخفى کرده و در مقابل پاک شدن مقاومت مى کند.
• پیشگیرى از حمله نرم افزارهاى جاسوسى

اما براى رهایى از شر این کدهاى مخرب چه اقداماتى مى توان کرد؟ ۱- به صورت رایگان Download نکنید. یکى از اصلى ترین مکان هاى اختفاى نرم افزارهاى جاسوسى در میان ابزارهاى رایگان و اشتراکى (shareware) است. در این خصوص استفاده از نرم افزارى همچون کازا (Kazaa) بسیار مضر است. لذا همواره و پیش از آنکه چیزى را از اینترنت برداشت (Download) کنید مراقب باشید. ۲- گشت وگذار امنى در اینترنت داشته باشید، از بالا بودن تنظیمات امنیت مرورگر (browser) خود به هنگام ورود به اینترنت، اطمینان کسب کنید چرا که در این صورت از نصب خودکار و ناخواسته نرم افزارهاى جاسوسى تا حد امکان جلوگیرى مى شود. با این وجود از ورود به سایت هاى ناشناخته به خصوص سایت هایى که در آگهى هاى جهنده مى بینید حتماً خوددارى کنید.۳- هرزنامه ها (spams) را پاک کنید. حتماً با خطر اسپم ها و اسب هاى تروجان و ویروس ها آشنا هستید.

در حال حاضر بسیارى از نرم افزارهاى جاسوسى از طریق mail - e به دست کاربران مى رسند. لذا زمانى که ارسال کننده نامه اى را نمى شناسید در خصوص باز کردن آن به هیچ وجه ریسک نکنید.
•کم تجربه ها در معرض خطر بیشتر

طبق اظهارات کارشناسان و آمار، با وجود احتمال به آلودگى ۶۰ تا ۷۰ درصد کامپیوترها به نرم افزارهاى جاسوسى، عمده قربانیان کاربرانى هستند که آموزش و تجربه لازم براى حضور در اینترنت را ندارند. در این خصوص کاربرانى که با زبان انگلیسى نیز آشنایى زیادى ندارند در معرض خطر بیشترى قرار دارند. با این وجود در بسیارى از کشورهاى دنیا و به خصوص آمریکا تدابیر آموزشى و فرهنگى زیادى براى کاربران اینترنت در نظر گرفته شده تا احتمال بروز هر نوع مشکل در محیط مجازى را به حداقل ممکن برسانند. این در حالى است که در کشور ما هنوز مرجع مشخصى براى امنیت مجازى و اطلاع رسانى جهت ارتقاى سطح دانش و اطلاعات کاربران کامپیوتر وجود ندارد. این مسئله به خصوص در زمان گسترش و حمله انواع کرم و ویروس کامپیوترى به کشور نمود بیشترى پیدا مى کند.