اجبار خطرناک به خرید آنتیویروس بومی
علی کیاییفر - در دنیا آنتی ویروسهای مطرح زیادی وجود دارد که همه آنها دارای آسیبپذیریهایی هستند. از آنجا که این محصولات در اکثر کشورها مشتری دارند همواره زیر ذره بین متخصصان و NGOهای مستقل و دولتی قرار دارند.
آسیبپذیریها کشف و اعلام عمومی و برطرف میشوند. به عنوان مثال گوگل، گروهی بنام Project Zero تشکیل داده که کارشان کشف این آسیبپذیریها در محصولات مختلف است.
یقینا محصولات ایرانی هم دارای آسیبپذیریهای ناشناخته زیادی هستند اما از آنجا که مشتری آنها فقط داخل ایران قرار دارد آسیبپذیریهای آنها غالبا سربسته و ناشناخته باقی میماند. ما مکررا در مورد برندهای مطرح دنیا مثل Symantec ، Kaspersky و McAfee و ... گزارشهای آسیبپذیری را میشنویم. این آسیبپذیریها توسط شرکتها تایید میشوند و سپس برطرف میشوند اما تاکنون گزارش آسیبپذیری و تایید آن را در مورد هیچ محصول امنیتی ایرانی نشنیدهایم!
نگرانی بزرگ آنجاست که این آسیبپذیریها توسط گروههایی در خارج از کشور کشف شود و به دولتهای متخاصم فروخته شود. قطعا این آسیبپذیریها اعلان عمومی نخواهد شد و توسط گروههای سودجو مورد سوءاستفاده قرار خواهد گرفت. درحالیکه این آسیبپذیریها برای محصولات بینالمللی معمولا پس از کشف، خیلی پشت پرده باقی نمیمانند و افشا میشوند.
حالا درنظر بگیرید یک آسیبپذیری بحرانی در آنتی ویروس بومی پادویش وجود دارد که ما از آن بیخبریم اما توسط دشمن کشف شده است. حالا با بخشنامه وزیر محترم ارتباطات، همه دستگاههای دولتی علیرغم میل باطنی متخصصانشان مجبور به نصب این آنتی ویروس بومیشدهاند و کلید آسیبپذیری آن در اختیار دشمن است. با این اقدام نادرست، زمینه برای سوءاستفاده و حمله همه جانبه علیه دستگاههای دولتی به سادگی میسر میشود. دشمن اسلحهای در اختیار دارد که ما ناخواسته در اختیارش قرار دادهایم و با آن میتواند علیه سازمانهایی که آنتی ویروس بومینصب کردهاند (در واقع همه سازمانهای دولتی) حمله کند. درحالیکه اگر تنوع در انتخاب آنتی ویروسها و سایر محصولات امنیتی در دستگاههای دولتی وجود داشته باشد دشمن در بهترین حالت فقط میتواند بخشی از سازمانهای دولتی را مورد حمله قرار دهد. ضمن اینکه تنوع در آنتیویروسها در سازمانهای مختلف باعث کاهش ریسک ورود بدافزارها خواهد شد.
با عنایت به توضیحات فوق قطعا دولتهای متخاصم از بخشنامه وزیر محترم در اجبار سازمانها به خرید پادویش بسیار خوشحال خواهند شد و این محصول را زیر ذره بین خواهند برد تا آسیبپذیریهای آن را کشف کنند و خیالشان راحت است که گروههای حرفهای و متخصصان نخبه امنیتی در دنیا علاقهای ندارند که روی آسیبپذیریهای پادویش تمرکز کنند تا آنها را کشف کنند. به این ترتیب با بخشنامه مذکور، روزنهای برای نفوذ دائمی به شبکههای دولت برای متخاصمان باز کردهایم با این تصور اشتباه که امنیت ما بهتر از دیروز شده است!
اجبار دستگاههای دولتی به نصب یک محصول خاص آنقدر خطرناک است که در هیچ کشوری سابقه آن دیده نمیشود. حتی در آمریکا با اینکه بزرگترین برندهای آنتی ویروس دنیا حضور دارند نصب آنتی ویروسها نه تنها محدود به برند خاصی نیست بلکه حتی محدود به برندهای آمریکایی هم نیست. حتی کسپرسکی که متعلق به روسیه (دشمن جنگ سرد آمریکا) است تا همین چند ماه پیش در دستگاههای دولتی آمریکا نصب میشد و بعد از پیدا شدن شواهدی از سوء استفاده آن در لیست سیاه قرار گرفت.
امیدواریم این نقدهای دلسوزانه به گوش جناب وزیر محترم و مشاورانشان برسد و در عواقب این تصمیم، تدبیر بیشتری بکنند که : سرچشمه شاید گرفتن به بیل/ چو پرشد نشاید گرفتن به پیل. (منبع:عصرارتباط)