گزارش برگزاری همايش آسيب‌پذيری و امنيت در خدمات اينترنتی

IRCRE200908014
روز چهارشنبه 14 مرداد ماه، همايش «آسيب پذيري و امنيت در خدمات اينترنتي» توسط سازمان پدافند غير عامل كشور و مركز پدافند غير عامل فاوا در محل مركز همايشهاي بين المللي صدا و سيما برگزار شد. اين همايش با اهداف «تبيين تهديدات و آسيبهاي گوناگون در استفاده از سرويس هاي اينترنتي» و نيز «آشنائي با اقدامات امنيتي، پيشگيري و مقابله دفاعي در مقابل تهديدات و آسيبها» برگزار گرديد. در اين همايش بيش از 500 نفر از متخصصين حوزه امنيت و فناوري اطلاعات و مديران مرتبط، حضور داشتند.
موضوعات مورد بحث در اين همايش عبارت بودند از:

• آسيب پذيري و امنيت در حوزه ميزباني (Hosting)
• آسيب پذيري و امنيت در حوزه وب
• آسيب پذيري و امنيت در حوزه پست الكترونيكي
• آسيب پذيري و امنيت در حوزه جستجو
• مشروح گزارش اين همايش را در ذيل ارائه مي گردد.

همايش با قرائت كلام الله مجيد و پخش سرود جمهوري اسلامي ايران آغاز شد. سپس مهندس داور، رئيس مركز پدافند غير عامل فاوا و دبير همايش با خير مقدم به حضار، در مورد اهداف همايش به صحبت پرداخته و گزارش مختصري در مورد فعاليتهاي انجام شده در مركر پدافند غير عامل فاوا ارائه كرد. وي با اشاره به اهميت جنگهاي سايبري در حال حاضر به روند گسترش آن اشاره كرد و گفت:" آمار ها نشان مي دهد، كه جنگ هاي سايبري، با روندي سريع در حال گسترش مي باشد، بطوري كه در سال 1998 بالغ بر250 هزار حمله صورت گرفته، در حاليكه اين رقم در سال 2006 به 2 ميليون و در سال 2007 به 4 ميليون حمله افزايش يافته است." در ادامه رئيس مركز پدافند غيرعامل فاوا به اهميت پدافند غيرعامل در اين نوع جنگها پرداخت. وي توجه به اصول و مباني پدافند غيرعامل را، در طراحي و راه‌اندازي پروژه‌ها و طرح‌هاي فناوري اطلاعات و ارتباطات امري ضروري دانست.
مهندس داور به برخي از رئوس سياست هاي كلان در حوزه پدافندغيرعامل فاوا نيز اشاره كرد. اين سياستها عبارتند از:

1. امنيت ، ايمني و پايدارسازي فضاي سايبر، در برابر حملات و اختلالات، بر اساس اصول پدافند غير عامل، و رعايت توازن بين امنيت و توسعه فضاي سايبر
2. ساماندهي و توسعه زيرساختهاي امنيت فناوري اطلاعات، با تكيه بر توانمندي هاي داخلي اعم از بخش هاي دولتي و خصوصي، و با تأكيد بر بومي سازي محصولات.
3. ساماندهي و توسعه ظرفيت هاي علمي، پژوهشي و آموزشي، در حوزه امنيت فناوري اطلاعات و ارتقا سطح دانش و آگاهي و مهارت هاي عمومي مرتبط با آن.
4. پيش بيني تمهيدات و ساز و كارهاي لازم جهت انجام مطالعات و پايش مستمر مخاطرات امنيتي در حوزه سايبري، و بروز رساني راهكارهاي پيشگيري و مقابله با آنها، از جمله راه اندازي مركز عمليات امنيت(SOC ) و تيم امداد و نجات رايانه اي(CERT ) ملي

وي در ادامه در راستاي سياستهاي تعريف شده، به معري تعدادي از اهداف برنامه پرداخت:

1. تدوين برنامه توليد و توسعه فن آوري هاي بومي و اجرايي نمودن آن
2. تدوين برنامه فرهنگ سازي و آموزش پدافند غيرعامل و اجرايي نمودن آن

مهندس داور اعلام كرد كه در اين راستا سازمان پدافندغيرعامل كشور به عنوان سازمان سياستگذار، مركز پدافندغيرعامل فاوا را كه بازوي اجرايي خود در حوزه فناوري اطلاعات و ارتباطات مي باشد، فعال نموده است. رئيس مركز پدافند غير عامل فاوا اشاره كرد كه چهل پروژه ملي در سال 86 توسط اين مركز تعريف، طراحي و انجام شده است. يكي از مهمترين پروژه هايي كه در سال 87 آغاز شده و در دست اجرا است ، طراحي سامانه پست الكترونيكي امن (Mail Server) است. همچنين در سال 88 نيز پروژه هاي امنيتي مهمي با هدف بومي سازي فناوريهاي نوين در دست بررسي و اجرا است. در پايان دبير همايش به موضوعات مورد بحث در اين همايش پرداخت كه عبارتند از: حوزه وب، خدمات ميزباني، ايميل و جستجو.

سخنراني افتتاحيه
سردار دكتر جلالي، رئيس سازمان پدافند غير عامل كشور، به عنوان سخنران افتتاحيه همايش به ضرورت بحث امنيت و توجه جدي به آن در عرصه فناوري اطلاعات پرداخت. وي با مقايسه جنگهاي گذشته و فعلي، توضيحاتي را در مورد جنگهاي نسل چهارم يا جنگهاي تميز (Clean Wars) ارائه داد كه در آن تلاش مي شود تلفات غير نظامي كاهش يابد. در اين جنگها كشورهاي قدرتمند و پيشرفته با در اختيار گرفتن عناصر تخصصي و فناوري به نوعي كشورهاي ضعيف تر يا ياغي را محدود كرده و به خود وابسته مي سازند. به همين جهت در زمان حمله به كشورهاي مذكور، با ايجاد اختلال در روند كار زيرساختهاي حياتي آن كشور كه وابسته به قدرت حمله كننده مي باشد، فشار را به توده هاي مردم وارد مي كنند تا مردم اين فشار را به دولت منتقل كنند. در واقع در استراتژي جديد از تأكيد صرف بر روي حمله نظامي خودداري شده و حمله از طريق فناوريهاي جديد مد نظر است.
به گفته رئيس سازمان پدافند در هر كشور زيرساختهاي حياتي متفاوت است و معمولاً اينگونه زيرساختها هدف حملات بيشتري قرار دارند. تا كنون 21 كشور در دنيا فناوري اطلاعات را زيرساخت حياتي اعلام كرده اند. از آنجايي كه امروزه در كشور ما، حوزه فناوري اطلاعات زيرساخت بسياري از زيرساختهاي ديگر مثل آب و برق و ... است، لذا يك فرازيرساخت به حساب مي آيد. بنا به گفته ايشان زيرساختي حياتي است كه اگر به خطر بيفتد، حيات يك كشور به خطر مي افتد. از طرف ديگر هرگاه زيرساختي حياتي شود، بايد آسيب ناپذير شود. دكتر جلالي اضافه كرد كه در ايران استقلال كشور در حوزه فناوري اطلاعات تهديد مي شود و بايد حدود استقلال در حوزه فناوري اطلاعات تعريف شود. وي در اين راستا بر روي سه محور تأكيد كرد: امنيت، ايمني، پايداري.

آسيب پذيري و امنيت در سرويسهاي اينترنتي
سخنران بعدي اين همايش دكتر رسول جليلي، عضو هيات علمي دانشگاه صنعتي شريف و رئيس مركز امنيت شبكه اين دانشگاه، و نيز رئيس هيات علمي اين همايش بود كه به ارائه سخناني در مورد امنيت در سرويسهاي اينترنتي بطور عام پرداخت. وي با اشاره به نفوذ كامپيوتر، شبكه و اينترنت در جنبه هاي مختلف زندگي و خدمات توسعه اي مختلف مانند بانكداري الكترونيكي، هتلداري، خطوط پروازي و غيره، فرصتها و تهديدهاي استفاده از اين فناوريها را مورد بررسي قرار داد. به گفته دكتر جليلي، از مهمترين فرصتهاي ايجاد شده توسط فناوريهاي فوق مي توان به اشتراك منابع پردازشي، ايجاد افقي جديد در توسعه كاربري رايانه ها و سهولت در زندگي اشاره كرد. در مقابل از وابستگي شديد به شبكه، رايانه و برق، دسترسي نامحسوس ديگران به اطلاعات شخصي ما و حضور ديگران در فضاي تبادل اطلاعاتي ما نيز مي­توان بعنوان تهديدات اين فناوريها نام برد.
دكتر رسول جليلي همچنين با اشاره به نوآوريهاي موجود در اينترنت آنها را به سه دسته تقسيم كرد: نوآوري همراه با حسن نيت، نوآوري همراه با سوء نيت احتمالي، و نوآوري همراه با سوء استفاده قطعي. وي از «حذف مرزهاي جغرافيايي»، «بانك بدون شعبه»، «خدمات مستقل از مكان مشتري» و ... بعنوان نوآوريهاي همراه با حسن نيت نام برد. اما در مقابل با ابراز ترديد نسبت به نوآوريهايي مانند «شبكه هاي اجتماعي مجازي»، «سرويسهاي ايميل رايگان با فضا و امكانات زياد»، Google Earth و Wikimapia، نسبت به سوء نيت احتمالي ايجاد كنندگان اين نوآوريها هشدار داد. وي همچنين از نوآوريهايي نام برد كه در آنها سوء نيت فراهم كنندگان آن نوآوري كاملا مشهود و بديهي است. وي «جمع آوري اطلاعات با ارائه اندكي خدمت»، «انتشار مطالب طبقه بندي شده از طريق روباتهاي جستجو» و «ويترينهاي كاذب در تجارت الكترونيك» را از مصاديق اين نوع نوآوريها دانست.

آسيب پذيري و امنيت در وب
در سخنراني بعدي، دكتر حميدرضا شهرياري عضو هيات علمي دانشگاه صنعتي اميركبير، بحث امنيت و آسيب پذيري را بطور خاص در وب مطرح نمود. وي با بيان اينكه متاسفانه آمار نفوذ در سايتهاي داخلي بسيار بالاست، اظهار داشت كه اغلب اين سايتها يا از وقوع نفوذ مطلع نمي­شوند، يا از انعكاس اين خبر خودداري كرده و يا در صورت انتشار خبر، آن را تكذيب مي­كنند. وي تاكيد كرد كه رويكرد به IT اجتناب ناپذير است و امنيت نياز اصلي اين رويكرد است. در مقابل روز به روز پيچيدگيهاي ابزار مهاجمان بيشتر شده و دانش فني مورد نياز براي يك مهاجم كمتر مي­شود، يعني به عبارت بهتر، حملات خطرناكتر و آسانتر مي­گردند. ضمن اينكه متاسفانه در سالهاي اخير هكرها هدف خود را از تفنن و تفريح به سمت سوء استفاده هاي مالي و سياسي تغيير داده اند كه اين امر، به معناي ايجاد خسارتهاي بيشتر است. دكتر شهرياري سپس به ارائه يك گزارش آماري راجع به آسيب پذيريها پرداخت. بر اساس اين آمارها 82 درصد از وب سايتها داراي آسيب پذيريهاي بحراني يا بسيار مهم بوده اند. 65 درصد از آسيب پذيريهاي اين سايتها از نوع CSS، 47 درصد از نوع نشت اطلاعات و 30 درصد از نوع جعل محتوا بوده است كه بسياري از سايتها چندين نوع آسيب پذيري را با هم دارا هستند. در اين ميان، فايلهاي asp و aspx بيشترين درصد آسيب پذيريها را داشته اند. وي همچنين اشاره كرد كه تعداد روزهاي مورد نياز براي رفع انواع آسيب پذيريها مختلف است. براي مثال 58 روز براي رفع آسيب پذيري CSS، 75 روز براي رفع جعل محتوا، 85 روز براي رفع نشت اطلاعات و 125 روز براي رفع اهراز هويت ناكافي مورد نياز است. دكتر شهرياري حملات تزريق SQL، CSS و انكار سرويس را از معمولترين حملات وبي ناميد و در مورد آنها توضيحات مختصري بيان كرد.

خدمات ميزباني، آسيب شناسي و امنيت
آقاي دكتر پورابراهيمي، عضو كميته علمي مركز پدافند غير عامل و عضو هيئت علمي دانشگاه آزاد، در مورد خدمات ميزباني، آسيب شناسي و امنيت در آن به صحبت پرداخت. به گفته وي خدمت ميزباني خدمتي است كه به افراد و سازمانها اجازه مي دهد، مطالب و فعاليتهاي خود را در اينترنت عرضه كنند. دكتر پور ابراهيمي اشاره كرد كه هر سيستمي بايد داراي سه ويژگي امنيت، ايمني و پايداري باشد. سپس وي به تعريف هريك از اين سه ويژگي پرداخت. به گفته ايشان منظور از امنيت، حفظ محرمانگي، دسترس پذيري و يكپارچگي اطلاعات است و ايمني به مقاومت در برابر تهديدات و اقدامات مخرب فيزيكي سخت و نيمه سخت گفته مي شود. پايداري نيز تداوم ارائه توليد و خدمات در هر شرايط است. در ادامه دكتر پور ابراهيمي در مورد انواع ميزباني به صحبت پرداخت و گفت كه ميزباني مي تواند با امكانات كامل و يا با امكانات خاص مانند، وب، ايميل، DNS، بازي و غيره باشد. از طرف ديگر ميزباني مي تواند به صورت داخلي و يا برون سپاري باشد كه برون سپاري خدمات ميزباني داراي مزايا و معايبي است . از مزاياي آن مي توان به پشتيباني فني، رعايت ملاحظات امنيتي و فيزيكي، سرشكن شدن هزينه هاي فني و پشتيباني و مسئوليت پذيري در قبال حوادث اشاره كرد و از معايب آن مخاطرات در مورد اطلاعات طبقه بندي شده، ارتباط با پيمانكار و اعتماد به پيمانكار را ذكر كرد. مبحث ديگري كه اين عضو كميته علمي مركز پدافند مطرح كرد مربوط به مديريت مخاطرات است كه پدافند غير عامل نقش اساسي در آن دارد. وي مخاطرات ناشي از ميزباني اينترنتي را به سه دسته تهديدها، آسيب پذيري ها و داراييها تقسيم كرد. به گفته دكتر پورابراهيمي پدافند غير عامل بايد در برابر تهديدها به صورت پويا عمل كرده و به اندازه آنها گسترده و متنوع باشد. آسيب پذيري ها مربوط به ضعفهاي داخلي هر وب سايت است و منظور از دارايي ها همان اطلاعات است. وي همچنين ميزباني هاي داخل كشور را با ميزبانهاي خارجي مقايسه كرده و عنوان كرد كه در گرفتن ميزباني از خارج بايد محتاط تر عمل كنيم زيرا فضاي اينترنت مرز مشخصي ندارد و هر كسي ممكن است به اطلاعات دسترسي پيدا كند. از طرف ديگر قوانين آنها با ما متفاوت است همچنين امكان تحريم و لغو قرارداد وجود داشته و ممكن است دچار عدم دسترسي فيزيكي شويم.
دكتر پورابراهيمي راهكاري را براي جلوگيري از مشكلات مزبور پيشنهاد كرد كه عبارت است از:

• بستر سيستم هاي حياتي نبايد اينترنت باشد.
• بستر سيستم هاي حساس و مهم ترجيحاً اينترنت نباشد و در صورت ضرورت ميزبان داخلي به كار گرفته شود.

وي در پايان سخنان خود تاكيد كرد كه براي جايگزيني ميزبانهاي خارجي با داخلي لازم است زيرساختهاي لازم تأمين شده و از بخش خصوصي حمايتهاي كافي به عمل آيد. همچنين بايد استانداردهاي مورد لزوم تعريف شده و در اين زمينه فرهنگ سازي مناسب انجام شود.

آسيب پذيري و امنيت در حوزه ايميل
مهندس فولادگر و مهندس حميدي فعالان بخش خصوصي در حوزه امنيت، به بررسي مسائلي در مورد آسيب پذيريها و امنيت در حوزه پست الكترونيك پرداختند. ابتدا مهندس فولادگر مدل تبادل نامه در اينترنت را بطور مفصل شرح داده و در مورد پروتكلهاي انتقال ايميل يعني SMTP، POP3 و IMAP توضيحات كاملي ارائه داد. سپس مهندس حميدي به بيان برخي سناريوهاي حمله در حوزه ايميل پرداخت كه از آن ميان مي­توان به شنود، دستكاري در ايميل، آنتي ويروسهاي تقلبي، بمباران ايميلي، و جعل هويت در ايميل اشاره كرد. وي سپس به بيان برخي راههاي دفاع در برابر اين حملات پرداخت. به گفته وي، استفاده از ميزباني داخلي در مورد سرويس دهنده هاي ايميل به جاي ميزبان خارجي از دو جهت دسترسي راحتتر به سرور و پرسنل و نيز امكان پيگيري حقوقي وقايع، مي­تواند يكي از اين راهكارها باشد. همچنين لحاظ كردن پايداري در طراحي معماري، هويت شناسي كاربران، اعتبار سنجي فرستنده، كشف و پيشگيري بمباران ايميلي، دفاع در نقطه نهايي و دفاع در لبه از راههاي ديگر مقابله با حملات ايميلي است.

آسيب پذيري و امنيت در حوزه جستجو
در آخرين سخنراني اين همايش، آقاي دكتر پورآذين، عضو هيات علمي دانشگاه صنعتي اميركبير، به بررسي آسيب پذيريها و امنيت در حوزه جستجو (Search) پرداخت. وي با اشاره به عوارض شاخص دهي كردن اطلاعات توسط روباتهاي موتورهاي جستجو به چندين مورد نشتي اطلاعات در كشورهاي مختلف اشاره كرد. در واقع در اين نمونه ها شاخص دهي اطلاعات باعث ارائه برخي اطلاعات محرمانه در نتايج حاصل از جستجو شده بود. وي كه در سخنراني خود به مقاله ارائه شده در مؤسسه استاندارد اروپا استناد مي كرد، به مخاطرات استفاده از نوار ابزارهاي موتورهاي جستجو جهت شاخص دهي اطلاعات هارد ديسك ها نيز اشاره كرد.

ميزگرد: «براي مقابله با آسيب پذيريهاي مطرح شده، در سطح ملي چه بايد كرد؟»
در پايان اين همايش، آقايان دكتر جليلي، دكتر پورآذين، دكتر شهرياري، مهندس مهديون، مهندس جلائي، مهندس حميدي و مهندس افراسيابي در يك ميزگرد به بررسي راهكارهاي مبارزه و مقابله با آسيب پذيريهاي مطرح شده در سخنرانيها و پاسخ به پرسشهاي حضار پرداختند.