وبلاگ مهراز

من و جامعۀ امنیت سایبری ایران

متأسفانه، امروزه اکوسیستم فناوری اطلاعات و امنیت سایبری ایران، درگیر فساد عمیقه. (همچون مشکلات فراکتالی بسیاری از اکوسیستم‌های دیگه)
از اون طرف تحریم، از این طرف فیلتر، غرق در انحصارطلبی، کپی‌کاری، رانت، بازارسازی، عدم شفافیت، کم‌توانی اقتصادی، کلاهبرداری، سوءمدیریت، عدم شایسته‌گزینی، مهاجرت گسترده متخصصان، ایجاد دو دستگی و تهدیدات روزافزون غیرفنی1.

با وجود چندین سازمان اطلاعاتی و امنیتی (افتا، پدافند غیرعامل، پلیس فتا، واجا و…) و با اینکه این نهادها، حمایت و اختیارات زیادی برای‌ قانون‌گذاری، نظارت گسترده و… دارن، و همچنین با وجود قراردادهای نجومی که با شرکت‌های مختلف داخلی و حتی خارجی2 بسته شده، دیتای ریز و درشت مردم هنوز مدام توسط گروه‌های هکری غیردولتی افشا میشه، باگ‌بانتی شده باج‌بانتی، ایران شده کشور اوپن‌سورس، کشور کرکی، کشور بات‌نت‌ها، مردم غرق در دریایی موّاج از فیشینگ و کلاهبرداری‌های سایبری، اما با این حال، بسیاری به این افتخار می‌کنن که نام ایران در فهرست بازیگران تهدید امنیت سایبری قرار داره و هکرهای APT ایرانی چقدر حرفه‌ای هستن که FBI دنبالشونه!3

البته در جامعه‌ ایرانیان فعال در حوزه فناوری اطلاعات، هستن اشخاص مختلف شریف و دغدغه‌مندی که دوست دارن به هر قیمتی که هست، سطح جامعه رو افزایش بدن. از کسانی که در سطح بین‌المللی افتخار می‌آفرینن گرفته، تا توسعه‌دهنده‌ها و مدرس‌های آزاد. و حتی کسانی که کلاهبرداران و رویافروش‌های اون حوزه رو پیدا و افشا می‌کنن.
اما بسیار باعث تأسفه که نه تنها تعداد زیادی هم هستن که با بی‌خیالیشون، این آلودگی مرکب رو در این اکوسیستم بادوام‌تر می‌کنن و حتی (خواسته یا ناخواسته) گسترشش میدن، بلکه بدتر، هستن متخصص‌هایی که علم و فنی که به برکت همون اینترنت آزاد یاد گرفتن رو علیه اعضای همون جامعه استفاده می‌کنن! و اون‌ها کسی نیستن جز فیلترچی‌ها. (همواره باورش برام سخته چنین نمک‌نشناس‌هایی هم می‌تونن وجود داشته باشن.)
فیلترینگی که در عین شکست‌آمیز بودنش، هدر رفت هزینه‌های دو طرف4، در اوضاع نابسامان اقتصادی، با وجود نارضایتی بسیاری از مردم‌، در عین لجبازی (فیلترینگ در یک روز، وعده رفع فیلترینگ در هزار روز)، نه‌تنها متوقف نشده، بلکه باز گسترده‌تر هم داره میشه5. حتی در همین دولت وفاق، و حتی در عصر هوش مصنوعی.

اینترنت برای همه باید آزاد باشه، اما جدی این ننگ بیشتریه برای ما که حتی فیلترینگ هم برای همه نیست و فقط برای مردم عادیه.‌

اما به نظر من که از ماست که بر ماست.
چون هنوز بسیاری از ما، اندر خم یک کوچه‌ایم و حاشیه میریم.
ما گیاه نیستیم که به شکافتن آسفالت افتخار کنیم. انسان درخت نیست که نتونه حرکتی داشته باشه.
بسیاری از ما، هنوز نرمال نبودن این مشکلات رو کتمان می‌کنیم. مثلاً، مدام CTF می‌زاریم، لاگ، نمایشگاه، سمینار و وبینار برگزار می‌کنیم و هر سال هم میریم الکامپ و با هم رقابت می‌کنیم که توی همون اینترشیپ همراه اول استخدام بشیم، یا برای ابر آروان برای بانتی، باگ گزارش بدیم.
یا امیدوارانه و کیلوبایتی، هر طور که شده فیلترینگ رو دور می‌زنیم تا بیایم درمورد اینکه ایالت‌های آمریکا، پروسه تلاش برای تصویب قانون «حق تعمیر» رو شروع کردن، بحث کنیم.6

در صورتی که به شخصه دارم خودم می‌بینم، چه بسیار هم‌وطن‌های دیگه که علاقه‌مند به فعالیت در حوزه فناوری اطلاعات هستن، که که داشتن یک لپتاپ نهایت آرزوشونه… چه بسیار کسانی که این‌قدر دوست دارن که برنامه‌نویسی یاد بگیرن، که با قرض گرفتن موبایل خونواده‌شون دارن آموزش می‌بینن.

گیمینگ که برای جوان ایرانی راهکاری مصنوعی بود تا کمی برای خودش خوش باشه، با وجود بی‌کیفیتی اینترانت، فیلترینگ، تحریم و ناچار شدن به نصب باز‌ی‌های ناامن کرکی، الان دیگه تبدیل به یک سرگرمی لاکچری شده، چون أکثر مردم توانایی تهیه یک سیستم یا کنسول مناسب برای فرزندانشون رو هم دیگه ندارن.

من برای خودم معتقدم که وظیفه تلاش برای حل مشکلات موجود در هر جامعه کوچک و بزرگی، و تلاش برای پیشرفت و بهبود اوضاع اون جامعه، بیشتر بر عهده اعضای همون جامعه هست. و من به عنوان کسی که خودم رو به هر حال عضوی (هر چند کوچک) از جامعه IT و امنیت سایبری ایران می‌دونم، بر خودم می‌بینم که نسبت به گذاشتن تأثیری مثبت (هر چند کم) در این جامعه، تا وقتی که عضوش هستم قدمی بردارم.

حتی اگه کاری هم نمی‌تونم کنم، حدأقل می‌تونم بفهمم چه کارهایی می‌تونم نکنم.

مثلاً تا جای ممکن با سازمان‌ها و شرکت‌هایی همکاری نکنم که بخشی از سودشون از انحصار ایجاد شده از تحریم و فیلترینگه و تقریباً هیچ مزیت رقابتی برای جهان آزاد ندارن.
شرکت‌ها و سازمان‌هایی که درگیر زد و بندن، پارتی‌بازن، رانتی هستن، ریاکارن، کپی‌کارن، شفاف نیستن و پنهان‌کاری و دروغ‌گویی رو نه‌تنها بد، بلکه سیاست مدیریتیشون می‌دونن، در رقابت به هیچ مرامی پایبند نیستن و توی ذهنیت خرچنگی موندن، ناکارآمدن، بی‌دغدغه‌ن، قدرنشناسن و مثل برخی شرکت‌ها، به فیلترینگ و… (مستقیم یا غیرمستقیم، خواسته یا از ندونم‌کاری) کمک هم می‌کنن.

مثلاً شرکت‌ها و سازمان‌هایی که از Tier 1های SOC انتظار دارن با فقط ۳۰۰ دلار حقوق، ۲۴ در ۱۲ و اندازه Tier 2 اما با سیستم‌های ضعیف، ناکافی و حتی کرکی در برابر هکرهای جهانِ آزاد وایسن و اگه اتفاقی هم افتاد، حاضر باشن برن دادگاه.

من به خودم اجازه نمیدم که به کارفرماها و مدیران این شرکت‌ها و سازمان‌ها، این وضع رو بیشتر عادت بدم و ارزش کل اعضای ‌جامعه IT و امنیت سایبری ایران رو بیشتر بیارم پایین.

می‌نویسم، شاید که فراموش نکنم، که چه سختی‌های اضافی، مشکلات غیرطبیعی، عمدی و انسان‌ساخته‌ای رو تحمل کردم(کردیم).


https://librespeed.org/results/?id=1sdczna 7

هیچ‌وقت نباید یادم بره، حتی به قیمت از دست رفتن فرصت‌های طلایی، به قیمت رنج بیشتر، یا در صورت رفع شدن کامل تحریم‌ها و فیلترینگ (که حالاحالاها بعیده)، و حتی برآورده‌شدن یک‌باره همه آرزوهام، رفتارشون رو فراموش نکنم و تا جای ممکن با هیچ سازمان و شرکت‌های وابسته به دولت همکاری مستقیم و غیرمستقیم نکنم.

و همچنین به خودم قول دادم، تا برطرف‌نشدن همه مشکلات صنف من (که در این صفحه بهش اشاره کردم)، در هیچ رویداد، همایش، نمایشگاه و هرگونه مسابقه‌ای (حتی CTF) شرکت نخواهم کرد، مگه اینکه اونجا فرصتی اختصاصی داشته باشم تا وجود تمام این مشکلات و دلیلش یعنی «انفعال و دست کم گرفتن خودمون» رو یادآوری کنم.

نوشتم، به امید اینکه انسان ناسی نباشم.

Footnotes

  1. وقتی دیگه تهدیدات سایبری در ایران رسماً از حیطه تکنیکالی خارج شده (با توجه به ماجرای دزدی اطلاعات از بانک سپه (1403/12/24) (و اتفاقات قبلی که در اون عوامل داخلی هم دخیل بودن (مثل صدا و سیما و…))، که به نظر من دیگه هیچ متخصص امنیت سایبری (حتی با به‌روزترین امکانات، نظارت گسترده‌تر و سیاست‌های محدودکننده‌تر از ZTA (از حد واجا و ساس که دیگه بیشتر نمیشه))، نمی‌تونه امنیت یه شرکت ایرانی رو بیشتر از %50 تضمین کنه، وقتی کشور به خاطر شرایط نابسامان اقتصادی و سیاسی تبدیل شده به بازی amogus، که هر کارمندی از هر شرکتی می‌تونه به سرش بزنه قبل از مهاجرت، دارایی‌های اطلاعاتی شرکتش رو هم برداره و با خودش ببره (برای خرابکاری، باج‌گیری، پیشنهاد فروش به شرکت‌های رقیب و…) (یعنی واقعاً هر کدوم از کارمندان شما دیگه می‌تونن ناگهانی ایمپاستر بشن (چه بسا همکاران حوزه امنیت)).

  2. برای مثال، موافقت‌نامه همکاری در حوزه امنیت اطلاعات بین دولت جمهوری اسلامی ایران و دولت فدراسیون روسیه در تیرماه ۱۴۰۳ رو ببینید.

  3. اما متأسفانه خیلیامون نمی‌دونیم که همین موضوع باعث شده بسیاری از علاقه‌مندان به حوزه Red teaming، قیدش رو بزنن، چون علاوه بر اینکه پتانسیل لازم در داخل کشور برای کار و یادگیری خودآموز در سطح جهانی، گرونه، کافی نیست و حتی عمداً هم محدوده (مثل ‌ممنوعیت خرید و فروش گجت‌ها که أکثرشون مجبور میشن خودشون دستی بسازن)، بلکه برای جهان آزاد، ردتیمر ایرانی بودن، أکثراً پیش‌فرض یه امتیاز منفیه برای مهاجرت، حتی تحصیلی.

  4. هر دو طرف که در اصل جیب ماست. اجازه دادیم از پول نفت، دیگر منابع و پتانسیل‌های سرزمینی، انسانی و از مالیات ما بردارن تا بیان دیوار پوشالی فیلترینگ رو بسازن و نگه‌دارن، بعد باز باید هی از جیب خودمون پول بدیم تا این دیواری که از پول خودمون ساخته‌شده رو دور بزنیم. پولی که روز به روز ارزشش رکورد می‌زنه… البته این هم نباید فراموش کنیم که دیواریه فقط برای مردم عادیه. (هزینه دیوار پوشالی فیلترینگ، به گفته خودشون سالانه حدود ۱,۰۰۰,۰۰۰,۰۰۰ دلاره! که البته باید هزینه‌ای که مردم هم براش سالانه پرداخت می‌کنن رو هم لحاظ کرد: ۶۰,۰۰۰,۰۰۰,۰۰۰,۰۰۰ تومان (۶۰ همّت…) (با قیمت اون موقع (۱۴۰۳/۰۸/۱۲) که دلار حدود ۶۸,۰۰۰ تومان بود))

  5. برای مثال، ویکی‌تجربه، وبسایت ثبت تجربیات کاری، ۲۵ اسفندماه ۱۴۰۳، در بحبوحۀ (جعلی) رفع شدن پله‌ای فیلترینگ، فیلتر شد. (برای هر شرکتی، دریافت هرگونه بازخورد انسانی (حتی به صورت طنز، میم یا حتی ناسزا) ارزشمنده. چون به هر حال دیتاست اون هم رایگان و می‌تونه دید جدیدی بده. اما اینجا برعکسه. به مذاق بعضی از شرکت‌ها و سازمان‌های ایرانی خوش نمیاد کسی درمورد شرکتشون یه گوشه اصلاً حرفی بخواد بزنه! اون هم وقتی که به لطف تلاش همون اندک توسعه‌دهنده‌های آزاد و حامیان (و ناتوانی فیلترچی)، خوشبختانه فیلترینگی از نظر فنی در ایران وجود نداره. ضمناً هنوز که هنوزه این رو هم نمی‌دونن که تلاش برای سانسور یک چیز، نه تنها نمایان‌گر ترسه، بلکه در اینترنت، ممکنه بیشتر باعث شناخته‌تر شدن اون چیز بشه. و همچنین با این کار ضایع و بی‌فایده‌شون، خودجوش اعتراف کردن که سودشون از عدم شفافیته و افزایش آگاهی مردم براشون ضرر داره.

  6. هرگز نباید ایرادی به آزادی بیان گرفت، ولی اینگونه فعالیت‌ها، دو جنبه‌ش تأسف‌برانگیزه، جنبۀ ناگوار اول، «انکار واقعیته». انکار این واقعیت که بسیاری از ما، در حال حاضر تا وقتی در ایرانِ کنونی باشیم، متأسفانه تقریباً عضو مجموعه مردمان جهان به حساب نمیایم. حتی لحظه‌ای آرزو برای انکار این واقعیت، نشون میده مردم ضعیف و کُندی هستیم. و کند بودن، معمولاً عواقب چندان خوبی نداره. همون‌طور که برای نوازنده‌های تایتانیک نداشت. جنبۀ غمناک دوم نشون میده که بسیاری از مردم ایران، از بودن در مشکلات چندین‌ساله و بحث‌های تکراری خسته شدن، دوست دارن با موضوعات جدید روبه‌رو بشن و خودشون رو هم هم‌مسیر جهانِ آزاد بدونن.

  7. نه فقط سرعت کم اینترنت، بلکه قطعی‌های مکرر از سمت ISP (که معمولاً بدون اطلاع‌رسانی قبلی هم هست)، از مشکلاتی بوده و هست که در این سال‌ها تقریباً هر روز بارها تجربه کردم و می‌کنم. (البته که حتی اگه شخصاً شرایط نسبتاً خوبی داشتم، که ندارم، باز نباید بی‌خیال این مشکلات انسان‌ساخته‌ای می‌شدم که أکثر صنف من باهاش درگیرن.)

ویرایش این صفحه در گیت‌هاب