ITanalyze

علی کیایی‌فر - در دنیا آنتی ویروس‌های مطرح زیادی وجود دارد که همه آنها دارای آسیب‌پذیری‌هایی هستند. از آنجا که این محصولات در اکثر کشورها مشتری دارند همواره زیر ذره بین متخصصان و NGOهای مستقل و دولتی قرار دارند.

آسیب‌پذیری‌ها کشف و اعلام عمومی‌ و برطرف می‌شوند. به عنوان مثال گوگل، گروهی بنام Project Zero تشکیل داده که کارشان کشف این آسیب‌پذیری‌ها در محصولات مختلف است.

یقینا محصولات ایرانی هم دارای آسیب‌پذیری‌های ناشناخته زیادی هستند اما از آنجا که مشتری آنها فقط داخل ایران قرار دارد آسیب‌پذیری‌های آنها غالبا سربسته و ناشناخته باقی می‌ماند. ما مکررا در مورد برندهای مطرح دنیا مثل Symantec ، Kaspersky  و McAfee و ... گزارش‌های آسیب‌پذیری را می‌شنویم. این آسیب‌پذیری‌ها توسط شرکت‌ها تایید می‌شوند و سپس برطرف می‌شوند اما تاکنون گزارش آسیب‌پذیری و تایید آن را در مورد هیچ محصول امنیتی ایرانی نشنیده‌ایم!

نگرانی بزرگ آنجاست که این آسیب‌پذیری‌ها توسط گروه‌هایی در خارج از کشور کشف شود و به دولت‌های متخاصم فروخته شود. قطعا این آسیب‌پذیری‌ها اعلان عمومی ‌نخواهد شد و توسط گروه‌های سودجو مورد سوء‌استفاده قرار خواهد گرفت. درحالیکه این آسیب‌پذیری‌ها برای محصولات بین‌المللی معمولا پس از کشف، خیلی پشت پرده باقی نمی‌مانند و افشا می‌شوند.

حالا درنظر بگیرید یک آسیب‌پذیری بحرانی در آنتی ویروس بومی ‌پادویش وجود دارد که ما از آن بی‌خبریم اما توسط دشمن کشف شده است. حالا با بخشنامه وزیر محترم ارتباطات، همه دستگاه‌های دولتی علیرغم میل باطنی متخصصانشان مجبور به نصب این آنتی ویروس بومی‌شده‌اند و کلید آسیب‌پذیری آن در اختیار دشمن است. با این اقدام نادرست، زمینه برای سوءاستفاده و حمله همه جانبه علیه دستگاه‌های دولتی به سادگی میسر می‌شود. دشمن اسلحه‌ای در اختیار دارد که ما ناخواسته در اختیارش قرار داده‌ایم و با آن می‌تواند علیه سازمان‌هایی که آنتی ویروس بومی‌نصب کرده‌اند (در واقع همه سازمان‌های دولتی) حمله کند. درحالیکه اگر تنوع در انتخاب آنتی ویروس‌ها و سایر محصولات امنیتی در دستگاه‌های دولتی وجود داشته باشد دشمن در بهترین حالت فقط می‌تواند بخشی از سازمان‌های دولتی را مورد حمله قرار دهد. ضمن اینکه تنوع در آنتی‌ویروس‌ها در سازمان‌های مختلف باعث کاهش ریسک ورود بدافزارها خواهد شد.

با عنایت به توضیحات فوق قطعا دولت‌های متخاصم از بخشنامه وزیر محترم در اجبار سازمان‌ها به خرید پادویش بسیار خوشحال خواهند شد و این محصول را زیر ذره بین خواهند برد تا آسیب‌پذیری‌های آن را کشف کنند و خیالشان راحت است که  گروه‌های حرفه‌ای و متخصصان نخبه امنیتی در دنیا علاقه‌ای ندارند که روی آسیب‌پذیری‌های پادویش تمرکز کنند تا آنها را کشف کنند. به این ترتیب با بخشنامه مذکور، روزنه‌ای برای نفوذ دائمی ‌به شبکه‌های دولت برای متخاصمان باز کرده‌ایم با این تصور اشتباه که امنیت ما بهتر از دیروز شده است!

اجبار دستگاه‌های دولتی به نصب یک محصول خاص آنقدر خطرناک است که در هیچ کشوری سابقه آن دیده نمی‌شود. حتی در آمریکا با اینکه بزرگترین برندهای آنتی ویروس دنیا حضور دارند نصب آنتی ویروس‌ها نه تنها محدود به برند خاصی نیست بلکه  حتی محدود به برندهای آمریکایی هم نیست. حتی کسپرسکی که متعلق به روسیه (دشمن جنگ سرد آمریکا) است تا همین چند ماه پیش در دستگاه‌های دولتی آمریکا نصب می‌شد و بعد از پیدا شدن شواهدی از سوء استفاده آن در لیست سیاه قرار گرفت.

امیدواریم این نقدهای دلسوزانه به گوش جناب وزیر محترم و مشاورانشان برسد و در عواقب این تصمیم، تدبیر بیشتری بکنند که : سرچشمه شاید گرفتن به بیل/  چو پرشد نشاید گرفتن به پیل. (منبع:عصرارتباط)