ITanalyze

علی مولوی - ایتنا - اشاره : دو هفته پیش گزارشی درباره هاست شدن سایت «پروژه اینترنت ملی ایران» در تگزاس آمریکا تهیه کردم. انتشار این گزارش، واکنش سریع وزارت ارتباطات را در بر داشت و بلافاصله وابستگی این سایت به وزارتخانه و طرح اینترنت ملی تکذیب شد، هرچند این سایت توسط تیمی که بر روی پروژ‌ه‌ای به همین نام در مرکز تحقیقات مخابرات کشور( زیرمجوعه وزارت ارتباطات و فناوری اطلاعات) کار می‌کردند ‌طراحی و پیاده‌سازی شده بود و تمامی شواهد نشان‌دهنده وابستگی این سایت به وزارت ارتباطات و طرح اینترنت ملی بود. قابل ذکر است مهندس عبدالمجید ریاضی معاون فناوری اطلاعات وزارت ارتباطات پیش از این از ارجاع پروژه اینترنت ملی به مرکز تحقیقات شرکت مخابرات خبر داده بود.

اما پس از تکذیب رابطه ini.ir با پروژه اینترنت ملی، بلافاصله سرور این سایت به چین منتقل شد. اما نکته جالب اینجاست که چند روز بعد در 18 تیر ماه سایت دوباره به سرور قبلی در تگزاس امریکا منتقل شد و در حال حاضر حاضر آدرس http://mail.ini.ir فعال است.
بررسی‌های هفته گذشته برروی سروری که سایت اینترنت ملی در آن قرار داشت، نتایج جالبی به دنبال داشت که ابهامات بسیاری را آشکار ساخت.

سایت دولتی دیگری نیز در این سرور قرار داشت که وابستگی آن به وزارت ارتباطات برای نگارنده کاملا محرز شده است. شایان ذکر است تمامی مطالبی که در این گزارش آمده، دارای اسناد و مدارک فنی است که در صورت نیاز قابل ارائه است.
پیش درآمد:

مطابق دستور رییس جمهور محترم در جلسه 30/9/84 هیئت وزیران، کلیه دستگاه‌های اجرایی موظف شدند ضمن اعمال صرفه‌جویی در استفاده از نرم‌افزارها و سخت‌افزار‌های رایانه‌ای، از هر هزینه‌ای در این ارتباط بدون هماهنگی با وزارت ارتباطات و فناوری اطلاعات خودداری کنند.(1)

پس از ابلاغ این دستور به تمامی سازمان‌ها و نهاد‌های دولتی، وزارت ارتباطات و فناوری اطلاعات اقدام به راه‌اندازی «سیستم مدیریت هزینه‌ها» با آدرس سایت www.smh.ir برای تایید هزینه‌های نهادها وسازمان‌های دولتی در زمینه فناوری اطلاعات کرد. در حال حاضر تمامی سازمان‌ها و نهاد‌های دولتی برای تایید هزینه‌‌های خود در این سایت دارای شناسه کاربری و رمز عبور هستند و معاونت فناوری اطلاعات وزارت ارتباطات مسئول بررسی و تایید این هزینه‌ها می‌باشد. اطلاعات کلیه خرید‌های سخت‌افزاری و نرم‌افزاری سازمان‌ها و نهاد‌های دولتی در این سایت قرار دارد. این سایت توسط «اداره کل امور اجرایی فناوری اطلاعات» که زیرمجموعه «معاونت فناوری اطلاعات وزارت ارتباطات» است، پشتیبانی می‌شود و تلفن تماسی که در این سایت ذکر شده است، مربوط به یکی از زیرمجموعه‌های این اداره کل است.
سایت «سیستم مدیریت هزینه‌ها» کجا میزبانی می‌شود؟

سایت SMH.ir توسط دیتاسنتر theplanet واقع در تگزاس امریکا میزبانی شده است. تمامی آشنایان فناوری اطلاعات، اقدام دیتاسنتر Theplanet که بدون اطلاع قبلی و هیچ توضیحی سایت خبرگزاری دانشجویان ایران(ایسنا) را مسدود ساخت را به یاد دارند. نکته جالب‌تر اینجاست که این سرور، همان سروری است که به سایت ini.ir سرویس‌دهی می‌کند! آدرس IP هر دو سایت مربوط به یک سرور می‌باشد!

درباره شرکت Theplanet باید خاطرنشان کرد این دیتاسنتر یکی از معروف‌ترین دیتاسنتر‌های دنیا است که سرویس مستقیم هاستینگ ارائه نمی‌کند. این شرکت تنها در زمینه اجاره سرور‌های اختصاصی (Dedicated Server) و یا اجاره فضا و پهنای باند برای سرور‌های وب(Colocation) فعالیت دارد. بررسی‌های فنی نشان می‌دهد که سایت SMH.ir دارای سرور اختصاصی در این دیتاسنتر نیست. چرا که به غیر از smh.ir وini.ir که بر روی این سرور هاست شده‌اند، بیش از 1400 دامنه تنها از دامنه‌‌های TLD در این سرور قرار دارند(2). مطمئنا این سرور با این حجم بالای سایت، یک سرور اختصاصی نیست و شواهد نشان‌دهنده این موضوع است که این سایت در یک سرور تجاری متعلق به یک شرکت هاستینگ بزرگ هاست شده است.
سرویس دهنده اصلی Smh کیست؟

معمولا در سرور‌هایی که متعلق به شرکت‌های بزرگ هاستینگ است، امکان پیدا کردن شرکت اصلی دارنده سرور به راحتی امکان‌پذیر نیست، چرا که معمولا این سرورها تنها توسط این شرکت‌ها پشتیبانی و نگهداری می‌شوند و فروش این سرورها به عهده نمایندگان فروش(reseller ها) می‌باشد. شرکت‌های اصلی برای نامشخص ماندن خود به انواع و اقسام روش‌ها متوسل می‌شوند و تمامی اطلاعات مربوط به سرور به صورت ناشناس است. درباره سایت ini.ir و همچنین smh.ir نیز وضعیت به همین شکل است. DNS ‌های این سایت‌ا بر روی دامنهwebsitewelcome.com تنظیم شده است. این دامنه یک دامنه با Whois نامشخص برای عدم امکان ردیابی دارنده اصلی سرور می‌باشد.

اما با بررسی‌های انجام شده، شرکت دارنده این سرور کاملا مشخص شد. این سرور با نام beetle متعلق به شرکت Hostgator است که در فلوریدای امریکا ثبت شده است. این شرکت بیشتر در زمینه نمایندگی فروش هاستینگ (Reseller hosting) فعالیت دارد و سرور beetle مخصوص نمایندگان فروش می‌باشد. این نکته کاملا مشخص است که این سایت توسط یکی از این نمایندگان فروش در اختیار این پروژه قرار گرفته است که با توجه به قوانین خاص hostgator دسترسی به این شرکت یا شخص امکان‌پذیر نیست! اما کاملا مشخص است که کنترل، نگهداری و پشتیبانی این سرور توسط شرکت hostgator امریکایی است، نکته‌ای که بسیار جای تامل دارد! دلیل اینکه تاکنون سایت «سیستم مدیریت هزینه‌ها»ی وزارت ارتباطات به سرنوشت ایسنا دچار نشده است همین موضوع است، چرا که ایسنا برخلاف وزارت ارتباطات، مستقیما از خدمات دیتاسنتر thelanet استفاده می‌کرد اما سایت smh.ir ازطریق واسطه سرویس خود را خریداری کرده است.
در حال حاضر اکثر شرکت‌های ایرانی هاستینگ، سرور‌هایی در امریکا دارند، با این تفاوت که نگهداری و پشتیبانی این سرورها به عهده این شرکت‌هاست. به زبان ساده‌تر با وجودی که سرور این شرکت‌ها در یک دیتاسنتر امریکایی قرار دارد، در شرایط عادی کارکنان آن دیتاسنتر دسترسی به این سرورها ندارند و تنها در صورت نیاز و درخواست شرکت‌های ایرانی است که کارکنان دیتاسنتر اجازه دسترسی به سرور را خواهند داشت. همچنین در صورت بروز مشکلات سخت‌افزاری نیز دیتاسنترها موظف به رفع مشکل هستند و معمولا نیازی به دسترسی به نرم‌افزارها و اطلاعات داخلی سرور به وجود نمی‌آید.

اما درباره وضعیت هاست شدن smh.ir و ini.ir قضیه کاملا متفاوت است. سرور این سایت توسط hostgator پشتیبانی می‌شود. مدیر فنی hostgator با دسترسی root هر زمان که اراده کند می‌تواند به کل اطلاعات هر سایتی که روی این سرور تعریف شده است دسترسی داشته باشد! می‌تواند به راحتی email‌های مربوط به هر سایت را مطالعه کند، این امکان را دارد که کل پایگاه داده هر سایت را کپی کند و حتی از طریق خود سرور، اطلاعات پایگاه داده را به صورت آنلاین مشاهده کند و در کل هر کاری که بخواهد می‌تواند انجام دهد!
جالب اینجاست که سایت ini.ir سرویس email رایگان ارائه می‌دهد و در سایتsmh.ir صورت کل خرید‌های سخت‌افزاری و نرم افزاری همه دستگاه‌های دولتی وجود دارد. بعید است مدیران دولتی ارزش این حجم اطلاعات را ندانند، ولی معلوم نیست از چه رو این ریسک خطرناک را پذیرفته‌اند؟ شاید هنوز شرکت hostgator از وجود چنین اطلاعاتی در سرور خود مطلع نشده باشد، وگرنه احتمالا تا الآن فاجعه‌ای رخ می‌داد!
نتیجه‌گیری:

طی روز‌های گذشته معاون فناوری اطلاعات وزارت ارتباطات، هرگونه ارتباط وزارتخانه با سایت ini.ir را رد کرده است و حتی در مصاحبه با یکی از نشریات IT گفته است: «شیکه اینترنت ملی چیزی نیست که جایی هاست شود، و این ادعا بی‌معنی است. یک نفر مطلبی را عنوان کرده و رسانه‌‌هایی که اسم خبرگزاری بر روی خود می‌گذارند آن را بدون مطالعه و تحقیق عینا کپی کرده‌اند. قضیه به این صورت بوده که یکی از کارشناسان مرکز تحقیقات مخابرات خود‌سرانه و بدون مجوز قانونی سایتی را با عنوان سایت شبکه اینترنت ملی به ثبت رسانده و اطلاعاتی بر روی آن قرار داده است. ما هم پس از اطلاع از این قضیه موضوع را پیگیری و به کارشناسان مربوطه اعتراض کرد‌ه‌ایم، و این سایت نیز بسته شده است. عنوان شبکه اینترنت ملی یک اسم ملی و کشوری است و نباید مورد سو‌ءاستفاده قرار بگیرد.» من هم با نظر آقای ریاضی کاملا موافقم و اعتقاد دارم هیچ کس نبایدحق سوء‌استفاده از واژه «ملی» را داشته باشد.

اما چه باید کرد که ارتباط سایت smh.ir با وزارت ارتباطات، مثل روز روشن است. در این نامه(3) آقای ریاضی به تمامی ارگان‌ها و سازمان‌های دولتی، این سایت را معرفی کرده و همه آنها را ملزم به استفاده از این سایت ساخته‌اند. چطور امکان دارد که هر دوی این سایت‌ها از طریق یک سرور هاست شده باشند و به هم مربوط نباشند؟ بررسی whois دامنه‌های smh.ir و ini.ir نشان می‌دهد که هر دو دامنه توسط مرکز تحقیقات مخابرات ایران ثبت شده است و ثبت کننده هر دو دامنه یک شخص یا سازمان بوده است، حال سوال اینجاست که آیا سایت smh.ir هم توسط یکی از کارشناسان مرکز تحقیقات «به طور خودسرانه» راه‌اندازی شده است؟ آیا کارشناسان مرکز تحقیقات تا به این حد آزادی عمل دارند که شخصا و بطور غیرقانونی سایت‌های دولتی و ملی را راه‌اندازی کنند؟ پس چطور امضای جناب ریاضی در نامه‌‌های مربوط به معرفی سایت «سیستم مدیریت هزینه» برای معرفی دامنهsmh.ir دیده می‌شود؟ چطور تلفن تماس تیم پشتیبانی این سایت متعلق به یکی اداره‌‌های زیرمجموعه معاونت ایشان می‌باشد؟
مهندس ریاضی در تاریخ 18/1/85 در گفت‌وگو با ایسنا(4) گفته است: «دبیرخانه شورای عالی IT ظرف سه ماه آینده تعداد جایگاه‌‌های اینترنتی و سایت‌‌های ایرانی را که از خارج به داخل منتقل شده را به شورا گزارش می‌دهد، همچنین کارگروهی تشکیل شد و با بهره‌گیری از توان بخش خصوصی نرم‌افزار‌های عمومی ‌یکپارچه برای دستگاه‌‌های دولتی را تعریف و استاندارد‌های لازم را با در نظر گرفتن ملاحظات امنیتی نرم‌افزارها تدوین خواهد کرد.» یک هفته بعد و در تاریخ 25 فروردین ماه 85 ایشان در گفت‌وگو با ایسنا(5) سایت SMH.ir را معرفی می‌کند و در تاریخ 28 فروردین ماه نامه مربوط به معرفی این سایت برای کلیه سازمان‌های دولتی ارسال می‌شود. سؤال این است که چرا همین سایت در داخل کشور هاست نشده است؟ همچنین اگر این موضوع به سه ماه زمان نیاز داشت، چرا با گذشت بیش از سه ماه این سایت به داخل کشور منتقل نشده است؟

ایشان بارها و بارها از معایب سرور‌های خارجی صحبت کرده و تنها راه حل این مشکل را «اینترنت ملی» دانسته‌اند. دبیر محترم شورای عالی فناوری اطلاعات حتی در مصاحبه‌‌های خود مکررا از این که ایمیل‌ها و متن چت‌های کاربران به سرور‌های خارجی می‌رود، اظهار نگرانی کرده‌اند، ولی عجیب است که اطلاعات فراوان و دقیق سایت «سیستم مدیریت هزینه‌ها» به راحتی در یک سرور امریکایی و توسط یک شرکت امریکایی میزبانی شود.
دامنه smh.ir در تاریخ 7 فروردین 85 ثبت شده است و همچنین تاریخ این نامه(3) نشان می‌دهد که بخشنامه استفاده از سایت www.smh.ir از تاریخ 28/1 /85 به ارگان‌های دولتی ابلاغ شده است، پیش از این تاریخ ، دو دیتاسنتر ایرانی «فن‌آوا» و «پارس‌آنلاین» (با مجوز رسمی همین وزارتخانه) در مرحله پایلوت خود قرار داشتند و به سایت‌های زیادی سرویس‌دهی می‌کردند، اما چطور از امکانات این دو شرکت داخلی استفاده نشده است؟ حتی اگر مجموعه وزارتخانه به این دو شرکت اعتماد نکرده است، چرا از دیتاسنتر ملی شارع 2 که میلیاردها تومان هزینه برای بیت‌المال داشته، استفاده نکرده است؟ اگر تمام سرور‌های داخلی غیرقابل اطمینان هستند، چرا از خدمات یک شرکت اروپایی یا آسیایی استفاده نشده است؟ اگر مدیران وزارت ارتباطات، تنها سرور‌های آمریکایی را از لحاظ امنیت تایید می‌کنند، حداقل چرا از یک سرور اختصاصی استفاده نکردند که دسترسی به اطلاعات سایت را محدودتر کنند؟ و اگر توانایی پرداخت هزینه سرور اختصاصی را نداشتند، چرا از خدمات شرکت‌های ایرانی ارائه دهنده خدمات هاستینگ استفاده نکرده‌اند؟ با افزایش تعداد سایت‌های یک سرور، امنیت و ضریب اطمینان آن سرور کاهش پیدا می‌کند. چطور است که این موضوع مهم در هاست شدن این سایت در نظر گرفته نشده است و سایتی با اطلاعات دقیق مربوط به دستگاه‌های دولتی بر روی یک سرور با بیش از 1400 سایت دیگر قرار گرفته است؟
مهم‌تر این که چطور با حساسیتی که در دو هفته گذشته درباره سایتini.ir به وجود آمده بود، سایت www.smh.ir را به سرور‌های داخلی یا حداقل یک سرور امریکایی(!) مطمئن‌تر منتقل نکرده‌اند؟ گفتنی است که انتقال کامل این سایت به یک سرور دیگر برای یک مدیر فنی مجرب، حداکثر 12 ساعت زمان می‌برد. شاید بتوان هاست شدن سایت www.ini.ir در امریکا را سهل‌انگاری دانست، اما هیچ توضیحی برای هاست شدن سایت «سیستم مدیریت هزینه‌ها»ی سازمان‌های دولتی ایران(www.smh.ir) در تگزاس و با مدیریت مدیران آمریکایی قابل قبول نیست. متاسفانه وقایع دو هفته گذشته نشان داد که کسی حاضر به قبول اشتباهات نیست و همه ترجیح می‌دهند که با کتمان واقعیت‌های عینی، اشتباهات پیش‌آمده را مخفی کند.
بررسی ابعاد مختلف پروژه «اینترنت ملی»، نامگذاری این پروژه و اهداف آن، بحثی است که در حوصله این مطلب نمی‌گنجد و مطمئنا در روز‌های آینده به آن خواهم پرداخت.

در پایان امیدوارم هرچه سریع‌تر کلیه اطلاعات smh.ir از سرور امریکایی حذف و به یک سرور امن داخلی منتقل شود تا بیش از این شاهد خروج اطلاعات مهم سازمان‌های دولتی به امریکا نباشیم!

ادامه