وبلاگ مهراز

من و جامعۀ امنیت سایبری ایران

متأسفانه، امروزه اکوسیستم فناوری اطلاعات و امنیت سایبری ایران، درگیر مشکلات عمیقه. (همچون مشکلات فراکتالی بسیاری از اکوسیستم‌های دیگه)
از اون طرف تحریم، از این طرف فیلتر، غرق در انحصارطلبی، کپی‌کاری، رانت، بازارسازی، عدم شفافیت، کم‌توانی اقتصادی و کمبود امکانات، کلاهبرداری، سوءمدیریت، عدم شایسته‌گزینی، مهاجرت گستردۀ متخصصان، ضعف در مشتری‌مداری، وجود دو دستگی و تهدیدات روزافزون غیرفنی1.

با وجود چندین سازمان اطلاعاتی و امنیتی (افتا، پدافند غیرعامل، پلیس فتا، واجا و…) و با اینکه این نهادها، حمایت و اختیارات زیادی برای‌ قانون‌گذاری، نظارت گسترده و… دارن، و همچنین با وجود قراردادهای نجومی که با شرکت‌های مختلف داخلی و حتی خارجی2 بسته شده، دیتای ریز و درشت مردم هنوز مدام توسط گروه‌های هکری غیردولتی افشا میشه، باگ‌بانتی شده باج‌بانتی، ایران شده کشور اوپن‌سورس، کشور کرکی، کشور بات‌نت‌ها، مردم غرق در دریایی موّاج از فیشینگ و کلاهبرداری‌های سایبری، اما با این حال، بسیاری به این افتخار می‌کنن که نام ایران در فهرست بازیگران تهدید امنیت سایبری قرار داره و هکرهای APT ایرانی چقدر حرفه‌ای هستن که FBI دنبالشونه!3

البته در جامعۀ ایرانیان فعال در حوزۀ فناوری اطلاعات، هستن اشخاص مختلف شریف و دغدغه‌مندی که دوست دارن به هر قیمتی که هست، سطح جامعه رو افزایش بدن. از کسانی که در سطح بین‌المللی افتخار می‌آفرینن گرفته، تا توسعه‌دهنده‌ها و مدرس‌های آزاد. و حتی کسانی که کلاهبرداران و رویافروش‌های اون حوزه رو پیدا و افشا می‌کنن.
اما بسیار باعث تأسفه که نه تنها تعداد زیادی هم هستن که با بی‌خیالیشون، این آلودگی مرکب رو در این اکوسیستم بادوام‌تر می‌کنن و حتی (خواسته یا ناخواسته) گسترشش میدن، بلکه بدتر، هستن متخصص‌هایی که علم و فنی که به برکت همون اینترنت آزاد یاد گرفتن رو علیه اعضای همون جامعه استفاده می‌کنن! و اون‌ها کسی نیستن جز فیلترچی‌ها. (همواره باورش برام سخته چنین نمک‌نشناس‌هایی هم می‌تونن وجود داشته باشن.)
فیلترینگی که در عین شکست‌آمیز بودنش، هدر رفت هزینه‌های دو طرف4، در اوضاع نابسامان اقتصادی، با وجود نارضایتی بسیاری از مردم‌، در عین لجبازی (فیلترینگ در یک روز، وعده رفع فیلترینگ در هزار روز)، نه‌تنها متوقف نشده، بلکه باز گسترده‌تر هم داره میشه5. حتی در همین دولت وفاق!، و حتی در عصر هوش مصنوعی.

اینترنت برای همه باید آزاد باشه، اما جدی این ننگ بیشتریه برای ما که حتی فیلترینگ هم برای همه نیست و فقط برای مردم عادیه.‌

اما به نظر من که از ماست که بر ماست.
چون هنوز بسیاری از ما، اندر خم یک کوچه‌ایم و حاشیه میریم.
ما گیاه نیستیم که به شکافتن آسفالت افتخار کنیم. انسان درخت نیست که نتونه حرکتی داشته باشه.

بسیاری از ما، هنوز نرمال نبودن این مشکلات رو کتمان می‌کنیم. مثلاً، مدام CTF می‌زاریم، لاگ، نمایشگاه، سمینار و وبینار برگزار می‌کنیم و هر سال هم میریم الکامپ و با هم رقابت می‌کنیم که توی همون اینترشیپ همراه اول استخدام بشیم، یا برای ابر آروان برای بانتی، باگ گزارش بدیم.
یا امیدوارانه و کیلوبایتی، هر طور که شده فیلترینگ رو دور می‌زنیم تا بیایم درمورد اینکه ایالت‌های آمریکا، پروسه تلاش برای تصویب قانون «حق تعمیر» رو شروع کردن، بحث کنیم.6
در صورتی که به شخصه دارم خودم می‌بینم، چه بسیار هم‌وطن‌های دیگه که علاقه‌مند به فعالیت در حوزه فناوری اطلاعات هستن، که داشتن یک لپتاپ نهایت آرزوشونه. چه بسیار کسانی که این‌قدر دوست دارن که برنامه‌نویسی یاد بگیرن، که با قرض گرفتن موبایل خونواده‌شون دارن آموزش می‌بینن.

گیمینگ که برای جوان ایرانی راهکاری مصنوعی بود تا کمی برای خودش خوش باشه، با وجود بی‌کیفیتی اینترنت، فیلترینگ، تحریم و ناچار شدن به نصب باز‌ی‌های ناامن کرکی، الان دیگه تبدیل به یک سرگرمی لاکچری هم شده، چون أکثر مردم توانایی تهیه یک سیستم یا کنسول مناسب برای فرزندانشون رو هم دیگه ندارن.

من برای خودم معتقدم که وظیفۀ تلاش برای حل مشکلات موجود در هر جامعه کوچک و بزرگی، و تلاش برای پیشرفت و بهبود اوضاع اون جامعه، بیشتر بر عهدۀ اعضای همون جامعه هست. و من به عنوان کسی که خودم رو به هر حال عضوی (هر چند کوچک) از جامعه IT و امنیت سایبری ایران می‌دونم، بر خودم می‌بینم که نسبت به گذاشتن تأثیری مثبت (هر چند کم) در این جامعه، تا وقتی که عضوش هستم قدمی بردارم.

حتی اگه به تنهایی نمی‌تونم کاری اساسی کنم، حدأقل می‌تونم بفهمم چه کارهایی می‌تونم نکنم.

مثلاً تا جای ممکن با سازمان‌ها و شرکت‌هایی همکاری نکنم که بخشی از سودشون از انحصار ایجاد شده از تحریم و فیلترینگه و تقریباً مزیت رقابتی با جهان آزاد رو ندارن.
شرکت‌ها و سازمان‌هایی که درگیر زد و بندن، پارتی‌بازن، رانتی هستن، ریاکارن، کپی‌کارن، شفاف نیستن و پنهان‌کاری و دروغ‌گویی رو نه‌تنها بد، بلکه سیاست مدیریتیشون می‌دونن، در رقابت به هیچ مرامی پایبند نیستن و توی ذهنیت خرچنگی موندن، ناکارآمدن، بی‌دغدغه‌ن، قدرنشناسن و مثل برخی شرکت‌ها، به فیلترینگ و… (مستقیم یا غیرمستقیم، خواسته یا از ندونم‌کاری) کمک هم می‌کنن.

مثلاً شرکت‌ها و سازمان‌هایی که از Tier 1های SOC انتظار دارن با فقط ۳۰۰ دلار حقوق، ۲۴ در ۱۲ ولی اندازه Tier 2 اما با سیستم‌های ضعیف، ناکافی و حتی کرکی در برابر هکرهای جهانِ آزاد وایسن و اگه اتفاقی هم افتاد، حاضر باشن برن دادگاه. یا در مثال دیگه، شرکت‌هایی که فکر می‌کنن امنیت سیستم‌هاشون فقط با داشتن برنامۀ باگ بانتی تأمین میشه. همون هم ریالی و با منّت به هانترها.

حتماً می‌دونید که دفاع سایبری مثل دفاع سرزمینی نیست که مدافع ممکنه از فرصت‌هایی مثل موانع طبیعی بهره‌مند باشه. فرقی نمی‌کنه سرورهاتون کجای جهان باشه. زیر کوه یا کره ماه. در دهکدۀ جهانی، با سیم‌ها و امواج، دست هر کسی به هر شبکه‌ای در کیهان و هر کارمندی از شرکت و سازمانی می‌تونه برسه. هیچ جایی برای مخفی‌شدن نیست. (APTها رو که بی‌خیال…) اما باج‌افزار هم که کنتور نمیندازه. چه موسسه خیریه باشید یا حتی بیمارستان، هر دیتایی با استفاده از پردازنده‌های خودتون رمز میشه، باج دادی شاید رمزگشایی کنن، ندادی کل دیتاهاتون رو (حتی شاید رایگان) در سطح اینترنت منتشر می‌کنن که درس عبرتی بشید برای دیگران که فکر نکنید فقط بک‌آپ داشتن یعنی پیروزی مطلق. اون وقت دیگه باید بشینید و تراژدی‌ای رو تماشا کنید با صحنه‌های سقوط سهام شرکتتون، شکایت مشتری‌هاتون، اعتبار خدشه‌دار شده برندتون، دانلود رایگان اطلاعات مشتری‌ها و کارمندانتون توسط رقیب‌هاتون و عواقب بعدش…
زمانه دیگه داره به سمتی میره که هر شرکت و سازمانی بخواد این فرصت رو داشته باشه که بتونه از برند و اطلاعات دیجیتالش محافظت کنه، باید به همه تکنولوژی‌های به‌روز جهانی، دسترسی آزاد داشته باشه. باید بتونه کارکنان بخش امنیتیش رو در حد جهانی حمایت کنه. دیگه حتی یک روز عقب‌موندن از روند جهان، ممکنه همون روزی باشه که هیچ مدیری دوست نداره ببینه.
شرکت‌ها و سازمان‌هایی که از تکنولوژی به‌روز جهانی به دلیل تحریم و کم‌توانی تخصصی و اقتصادی محروم باشن، به دو دسته تقسیم میشن: اون‌هایی که هک شدن، و اون‌هایی که هک خواهند شد.‌‌‌
چون تا حالا هک نشدید، به این معنی نیست که هک نخواهید شد. داشتن هرگونه دیتا یعنی انگیزه برای هک.
(کسی فکرش رو می‌کنه حتی سازمان حج و زیارت بتونه هدف هکرهای خصوصی باشه؟ پلتفرم اجاره اقامتگاه (اتاقک) چطور؟!)
کلاً به نظرم اگه رقیب دارید (چه تجاری، سیاسی و…)، پس مطمئن باشید انگیزه هک می‌تونه وجود داشته باشه.
دفاع سایبری قابل تکیه، خیلی هزینه‌برتر میشه اگه هر شرکت بخواد مستقل و بدون حمایت اطلاعاتی دولت عمل کنه. هر دولتی اگه در مدیریت اطلاعاتی کم‌کاری کنه، به همه شرکت‌های دولتی و خصوصی پیشاپیش ضرر مضاعف زده. فقط دولت می‌تونه برای سازمان‌ها و شرکت‌های حوزه‌های مختلف، Threat Intelligence sharing and analysis centers رو به خوبی مدیریت و پشتیبانی کنه. فقط دولت‌ها می‌تونن علیه گروه‌های باج‌افزاری همکاری کنن تا بهترین دفاع، (یعنی حمله) هم اجرا بشه.

خلاصه که تا فاندامنتالی نباشه، تکنیکالی هم وجود نداره. مطرح کردن «امنیت» که یک موضوع «رقابتیه»، بدون داشتن بنیان، سابیدن کشکه. حدأقل من اینطور فکر می‌کنم. که مثلاً نمیشه با تجهیزاتی که امکان هزینه کردن برای به‌روزرسانی مداوم سخت‌افزاری و نرم‌افزاریشون وجود نداره، در دنیایی که هر روز آسیب‌پذیری zero-day منتشر میشه، به تأمین امنیت سیستم‌ها فکر کرد. وقتی مثلاً حتی گوشی هوشمند و لپتاپ شخصی خود کارمندان امنیتی هم همیشه به اندازۀ دسترسی کامل گرفتن آسیب‌پذیری داره، چرا که دیر به دیر میشه مدل جدیدشون رو خرید. این موضوع فقط یکی از مشکلاته. که به تنهایی هم زیاده.

بدون تغییر سیاست‌های کلان کشور، همۀ ما بیشتر از چیزی که باید، تحت تهدیدیم.‌‌

من به خودم اجازه نمیدم که به کارفرماها و مدیران این شرکت‌ها و سازمان‌ها، این وضع رو بیشتر عادت بدم و ارزش کل اعضای ‌جامعه IT و امنیت سایبری ایران رو بیشتر بیارم پایین.

می‌نویسم، شاید که فراموش نکنم، که چه سختی‌های اضافی، مشکلات غیرطبیعی، عمدی و انسان‌ساخته‌ای رو تحمل کردم(کردیم).


https://librespeed.org/results/?id=1sdczna 7

هیچ‌وقت نباید یادم بره، حتی به قیمت از دست رفتن فرصت‌های طلایی، به قیمت رنج بیشتر، یا در صورت رفع شدن کامل تحریم‌ها و فیلترینگ (که حالاحالاها بعیده)، و اصلاً حتی برآورده‌شدن یک‌بارۀ همه آرزوهام، نباید رفتارشون رو فراموش کنم و تا جای ممکن با هیچ سازمان و شرکت‌های وابسته به دولت همکاری نکنم.

و همچنین به خودم قول دادم، تا برطرف‌نشدن همۀ این مشکلات صنف من (که در این صفحه بهش اشاره کردم)، در هیچ رویداد، گفتگو، همایش، نمایشگاه و هرگونه مسابقه‌ای (حتی CTF) شرکت نخواهم کرد، مگه اینکه اونجا فرصتی اختصاصی داشته باشم تا وجود تمام این مشکلات و دلیلش یعنی «انفعال و دست کم گرفتن خودمون» رو باز یادآوری کنم.

مطلب مرتبط:

Footnotes

  1. وقتی دیگه تهدیدات سایبری در ایران رسماً از حیطه تکنیکالی خارج شده (با توجه به ماجرای دزدی اطلاعات از بانک سپه (1403/12/24) (و اتفاقات قبلی که در اون عوامل داخلی هم دخیل بودن (مثل صدا و سیما و…) و تعدیلی‌های ناگهانی که حس انتقام رو در کارکنان بر‌انگیخته می‌کنه)، به نظر من دیگه هیچ متخصص امنیت سایبری (حتی با به‌روزترین امکانات، نظارت گسترده‌تر و سیاست‌های محدودکننده‌تر از ZTA (از حد قوۀ‌قضاییه، واجا و ساس که دیگه بیشتر نمیشه…))، باز نمی‌تونه امنیت یه شرکت ایرانی رو بیشتر از %50 تضمین کنه، وقتی کشور به خاطر شرایط نابسامان اقتصادی و سیاسیش تبدیل شده به بازی amogus، که هر کارمندی از هر شرکتی می‌تونه به سرش بزنه قبل از مهاجرت، دارایی‌های اطلاعاتی شرکتش رو هم برداره و با خودش ببره (برای خرابکاری، باج‌گیری، پیشنهاد فروش به شرکت‌های رقیب و…) (یعنی واقعاً هر کدوم از کارمندان شما دیگه می‌تونن ناگهانی ایمپاستر بشن (چه بسا همکاران حوزه امنیت!)).

  2. برای مثال، موافقت‌نامۀ همکاری در حوزه امنیت اطلاعات بین دولت جمهوری اسلامی ایران و دولت فدراسیون روسیه در تیرماه ۱۴۰۳ رو ببینید.

  3. اما متأسفانه خیلیامون نمی‌دونیم که همین موضوع باعث شده بسیاری از علاقه‌مندان به حوزه Red teaming، قیدش رو بزنن، چون علاوه بر اینکه پتانسیل لازم در داخل کشور برای کار و یادگیری خودآموز در سطح جهانی، گرونه، کافی نیست و حتی عمداً هم محدوده (مثل ‌ممنوعیت خرید و فروش گجت‌ها که أکثرشون مجبور میشن خودشون دستی بسازن)، بلکه برای جهان آزاد، ردتیمر ایرانی بودن، أکثراً پیش‌فرض یه امتیاز منفیه برای مهاجرت، حتی تحصیلی.

  4. هر دو طرف که در اصل جیب ماست. اجازه دادیم از پول نفت، دیگر منابع و پتانسیل‌های سرزمینی، انسانی و از مالیات ما بردارن تا بیان دیوار پوشالی فیلترینگ رو بسازن و نگه‌دارن، بعد باز باید هی از جیب خودمون پول بدیم تا این دیواری که از پول خودمون ساخته‌شده رو دور بزنیم. پولی که روز به روز ارزشش رکورد می‌زنه… البته این هم نباید فراموش کنیم که دیواریه فقط برای مردم عادیه. (هزینه دیوار پوشالی فیلترینگ، به گفته خودشون سالانه حدود ۱,۰۰۰,۰۰۰,۰۰۰ دلاره! که البته باید هزینه‌ای که مردم هم براش سالانه پرداخت می‌کنن رو هم لحاظ کرد: ۶۰,۰۰۰,۰۰۰,۰۰۰,۰۰۰ تومان (۶۰ همّت…) (با قیمت اون موقع (۱۴۰۳/۰۸/۱۲) که دلار حدود ۶۸,۰۰۰ تومان بود))

  5. برای مثال، ویکی‌تجربه، وبسایت ثبت تجربیات کاری، ۲۵ اسفندماه ۱۴۰۳، در بحبوحۀ (جعلی) رفع شدن پله‌ای فیلترینگ، فیلتر شد. (برای هر شرکتی، دریافت هرگونه بازخورد انسانی (حتی به صورت طنز، میم یا حتی ناسزا) ارزشمنده. چون به هر حال دیتاست اون هم رایگان و می‌تونه دید جدیدی بده. اما اینجا برعکسه. به مذاق بعضی از شرکت‌ها و سازمان‌های ایرانی خوش نمیاد کسی درمورد شرکتشون یه گوشه اصلاً حرفی بخواد بزنه! ضمناً هنوز که هنوزه این رو هم نمی‌دونن که تلاش برای سانسور یک چیز، نه تنها نمایان‌گر ترسه، بلکه در اینترنت، ممکنه بیشتر باعث شناخته‌تر شدن اون چیز بشه. همچنین با این کار ضایع و بی‌فایده‌شون، خودجوش اعتراف کردن که سودشون از عدم شفافیته و افزایش آگاهی مردم براشون ضرر داره.

  6. هرگز نباید ایرادی به آزادی بیان گرفت، ولی اینگونه فعالیت‌ها، دو جنبه‌ش تأسف‌برانگیزه، جنبۀ ناگوار اول، «انکار واقعیته». انکار این واقعیت که بسیاری از ما، در حال حاضر تا وقتی در ایرانِ کنونی باشیم، متأسفانه تقریباً عضو مجموعه مردمان جهان به حساب نمیایم. حتی لحظه‌ای آرزو برای انکار این واقعیت، نشون میده مردم ضعیف و کُندی هستیم. و کند بودن، معمولاً عواقب چندان خوبی نداره. همون‌طور که برای نوازنده‌های تایتانیک نداشت. جنبۀ غمناک و ترحم‌برانگیز دوم، نشون میده که بسیاری از مردم ایران، از بودن در مشکلات چندین‌ساله و بحث‌های تکراری خسته شدن، دوست دارن با موضوعات جدید روبه‌رو بشن و خودشون رو هم هم‌مسیر جهانِ آزاد بدونن. اما نمی‌خوان بهای داشتن آزادی رو بپردازن.

  7. این میانگین سرعت واقعی من بدون VPN یا دانلود همزمان هست. نه فقط کندی اینترنت، بلکه قطعی‌های مکرر از سمت ISP (که معمولاً بدون اطلاع‌رسانی قبلی هم هست)، از مشکلاتی بوده و هست که در این سال‌ها تقریباً هر روز بارها تجربه کردم و می‌کنم. (البته که حتی اگه شخصاً شرایط نسبتاً خوبی داشتم، که ندارم، باز نباید بی‌خیال این مشکلات انسان‌ساخته‌ای می‌شدم که أکثر هم‌نوع‌های من باهاش درگیرن.)

ویرایش این صفحه در گیت‌هاب