سرويس مصاحبه ايتنا - گسترش پرشتاب استفاده از شبكههاي كامپيوتري در سطوح و ابعاد مختلف، به تدريج كاربرد و حتي وابستگي به اين شبكهها را ناگزير مينمايد؛ مجموعهاي پرشمار و متنوع از كامپيوترها و سختافزارهاي گوناگون كه به تدريج در حال بدل شدن به "يك مجموعه مشترك جهاني" هستند؛ و اين نكته براي متخصصين، بيش از خوشحالي و ذوقزدگي، هشدار جدي "ناامني" را به همراه دارد. واقعيت نيز اين نگراني را تاييد ميكند؛ موج فراگير ناامني و خطرات گوناگون اين شبكهها، به نوبه خود، گسترش توجه به مقوله "امنيت" را باعث شده، و هستهها، گروهها و برنامههاي فراواني در جهان حول اين موضوع شكل گرفتهاند. در كشور ما نيز با توجه به توسعه اين شبكه، پيدايش و فعاليت چنين مجموعههايي ضروري است. گروه تحقيقاتي امنيتي Hat-Squad، از معدود مجموعههايي است كه به طور تخصصي به اين موضوع پرداخته است، گروهي كه ادعا ميكند در سطح جهاني بيش از داخل كشور شناخته شده است. به مناسبت نخستين سال شكلگيري اين گروه، يكي از مديران آن در گفتوگو با ايتنا شركت نموده است. در ابتدا توضيح اجمالي در مورد شكلگيري گروه تحقيقاتي امنيتي Hat-Squad و فعاليتهاي آن ارائه دهيد. از اوايل سال گذشته تصميم گرفته شد فعاليتهاي غيرمتمركز اعضاي گروه كه تا آن زمان در زمينه شبكههاي رايانهاي و امنيت فناوري اطلاعات فعاليت داشتند به شكل حرفهايتر و سازمان يافتهتر دنبال شود. برنامهريزي فعاليتها در دو بعد موازي تحقيقاتي غيرانتفاعي شامل بررسي ضعفهاي امنيتي نرمافزارها و خدمات مشاورهاي امنيتي انجام شد و كار به طور رسمي در تاريخ 19 ارديبهشت 1382آغاز شد. در حال حاضر سه عضو ثابت و همكاراني نيز از طريق ارتباطات رايانهاي بر روي پروژههاي تحقيقاتي و ارائه خدمات در قالب اين گروه فعاليت ميكنند. با انجام فعاليتهاي تحقيقاتي در اين مدت كوتاه و كشف و ارائه چندين مورد از ضعفهاي امنيتي در بولتنهاي معتبر امنيت اطلاعات در دنيا مانند BugTraqو SANS ، Hat-Squad به عنوان اولين و تنها گروه تحقيقاتي امنيتي ايراني فعال در عرصه بينالمللي شناخته ميشود. فعاليتهاي عمده گروه در طول يك سال گذشته چه بوده است؟ در بخش تحقيقاتي، گروه Hat-squad اقدام به كشف و انتشار عمومي (Full-disclosure) شش مورد ضعف امنيتي مرتبط با سرويسدهندهها و نرمافزارهاي مطرح مورد استفاده در شبكههاي رايانهاي در بولتن BugTraq كرده است. در ارائه خدمات مشاوره امنيتي ارائه سرويس incident response در دو مورد از جرائم رايانهاي مطرح در سال گذشته جزو فعاليتهاي شاخص گروه در داخل كشور بوده، اما با اين وجود متاسفانه به دليل عدم توجه جدي به مقوله امنيت در ساختارهاي فناوري اطلاعات، فعاليتهاي گروه در حد و عرصه بينالمللي بيش از داخل كشور مورد توجه قرار گرفته است! فعاليتهاي نويني درعرصه داخلي در زمينه Security Risk Assessment و نيز پياده سازي استاندارد ISO17799 انجام شده است. در عرصه اطلاعرساني علاوه بر انتشار مقالات آموزشي و تحقيقاتي براي مخاطبين خاص، اخبار و توصيههاي امنيتي براي عموم نيز مورد توجه قرار گرفته است. به عنوان مثال، انتشار مطلبي در مورد پيشبيني ظهور Worm رايانه كه بعدها Blaster نام گرفت، درست يك ماه قبل از ظهور اين كرم و صدمه هنگفتي كه به شبكههاي رايانهاي وارد كرد. در اين مطلب روشهاي ايمنسازي سرويس دهنده و رايانههاي شخصي در مقابل اين ويروس احتمالي توضيح داده شده بود. همچنين ارائه مشاوره امنيتي گروه به سايت دومين دوره مسابقه وبلاگهاي برتر فارسي براي اجراي امن مسابقه، از نخستين تجربههاي توجه جدي به امنيت در برنامههاي رسمي و فراگير بود. تحليل شما از شرايط فعلي امنيت فناوري اطلاعات دركشور چيست؟ از دو سال پيش با اعلام طرح حمايت از بخش خصوصي در قالب طرح تكفا اميدهايي پيرامون تقويت و پيشبرد پروژههاي تحقيقاتي و حياتي جهت بسترسازي توسعه IT در كشور زنده شد اما متاسفانه با گذشت زمان و خرج بودجههاي هنگفت هنوز به برنامههاي ادعا شده از سوي حمايت كنندگان حداقل در بخش امنيت اطلاعات نرسيدهايم. عمده بحث پيرامون علل عدم موفقيت از حوصله اين مصاحبه خارج است اما بارزترين مانع و نقيصه كه به راحتي با بررسي سابقه پروژههاي امنيت اطلاعات در طول اين مدت مشخص مي شود، نشان از انحصار انجام اين پروژهها به دو يا سه شركت مشخص است كه متاسفانه حضور افرادي از مسئولين طرح تكفا در اين شركتها شائبه اعمال نفوذ را نيز تقويت ميكند. از اين گذشته مطالعه كارنامه اين شركتها نيز پيشزمينه مطرحي در مورد امر تخصصي مانند امنيت فناوري اطلاعات نشان نميدهد و به صرف تجاربي كه اكثراً در زمينه پيادهسازي شبكههاي كامپيوتري با بعضاً پروژههاي نرمافزازي داشتهاند مدعي اجراي اين پروژهها شدهاند. از اين گذشته در بحث تعريف پروژهها و جهت دهي كلي آنها در كميتههاي مربوطه عدم توجه به نيازهاي واقعي و راهبردي كاملا مشخص ميباشد به عنوان مثال اجراي طرحي با عنوان سيستم عامل ملي(كه مدت نسبتاً طولاني نيز از شروع آن سپري مي شود) تعريف مشخصي از اهداف و مزاياي آن تا به حال از تعريف پروژه استباط نميشود اگر ادعا بر طراحي و اجراي يك سيستم عامل مبتني بر محصول Open Source لينوكس بوده و توجيه تعربف كنندگان، امنيت محصولات كد باز نسيت به ساير محصولات نرمافزاري باشد، نظر واحدي از سوي كارشناسان امنيتي در اين مورد وجود ندارد؛ در صورتي هم كه توجيه به بوميسازي رابط كاربر سيستم عامل لينوكس بوده، مسلماً اين كار در حد انجام پروژههاي تهيه Language Pack بوده كه بسيار سادهتر از ادعاهاي فعلي مجريان پروژه مذكور ميباشد، رجوع به سايت رسمي اين پروژه و بررسي اجمالي عناوين آن كمتر نشاني از اجراي تمهيدات ويژه امنيتي در هسته سيستم عامل يا موارد ديگر را نشان ميدهد. در حال حاضر در كشورهاي پيشرفته دنيا چه اروپا و چه امريكا به جاي طرحهاي نامفهومي مانند سيستم عامل ملي، تاكيد روي تهيه Bastion operating system مانند (نسخه bastion بر پايه Linux توسط NSA آمريكا ارائه شده است) مطرح ميباشد. در زمينه برنامههاي آموزشي و سمينارها نيز بدون توجه به محتواي مطالب و مباحث تنها نفس برگزاري و يا نمايش برگزاري! سمينار يا برنامه مطرح بوده است. به عنوان مثال در سال جاري دو سمينار مطرح با عناوين امنيت فناوري اطلاعات توسط يكي از دانشگاههاي كشور با حمايت مالي سازمانهاي دولتي و ديگري توسط يك شركت خصوصي كه به يكباره مجري طرحهاي امنيتي شده است، برگزار گرديد. در مورد اول صرفنظر از پراكندگي موضوعات انتخاب شده (بررسي sun clustering از يك طرف و sniffing از سوي ديگر!) حاصل كار همايش و كارگاهها پس از اتمام همايش به صورت كالاي تجاري در وب سايت همايش به فروش ميرسد و اين در حالي است كه كمي آن سوتر در سنگاپور بعد از برگزاري كنفرانس جهاني و معتبر BlackHat 2003 , قسمت اعظم سمينارها, سخنرانيها و مقالات به صورت رايگان در وب سايت همايش قابل دسترسي است! در بحث شرايط امنيتي شبكهها و ساختارهاي IT در كشور متاسفانه عليرغم طرحهاي موحود در زمينه دولت الكترونيك و بانكداري الكترونيك با فقدان سياستها و پيشبينيهاي درست در اين زمينهها روبرو هستيم. دورنماي امنيت اطلاعات در كشور را چگونه ميبينيد؟ در حال حاضر به سبب نفوذ كم خدمات رايانهاي در زندگي روزمره مردم و درصد نسبتاً پايين استفاده كنندگان از شبكههاي رايانهاي، نگاه به مقوله امنيت در سطوح مياني در حد هراس از لو رفتن كلمات عبور پست الكترونيكي يا deface شدن وبسايتها است، به همين جهت موردي مانند نفوذ به شبكه بانكي كشور در سال گذشته بيش از آن كه از بعد ضعفهاي امنيتي بررسي شود، در ميان هياهوي مطبوعاتي و مسائل حاشيهاي به فراموشي سپرده شد، در حالي كه پيشبيني ميشود حداكثر تا سال آينده با آماده شدن بستر ECommerce در كشور و فعال شدن ساختارهاي مخابراتي لازم، به يكباره شاهد تحولي عظيم در عجين شدن خدمات رايانهاي با بخشهاي مختلف اقتصادي و سنتي باشيم. در اين زمان متاسفانه اين طور استنباط ميشود كه ديدگاه مديريتي در سطوح بالا بر اين باور است كه در زمان احساس نياز ميتواند همانند خريدهاي سختافزاري و نرمافزاري تكنولوژي امنيتي را نيز (صرفنظر از محدوديتها و تحريمهاي خاص در اين زمينه) وارد كشور كند غافل از اين كه مقوله فناوري اطلاعات فرايندي است كه بايد از ابتداي شكلگيري مجموعه بر پايه ساختارهاي آن مجموعه به شكل صحيح دخالت داده شود از اين رو از ديدگاه ما بسترسازي صحيح و مناسب بايد از هم اكنون انجام پذيرد. برنامههاي آينده گروه شما چيست؟ اولويت آتي گروه به موازات پيشبر امور تحقيقاتي مطالعه در زمينه استانداردها و دستورالعملهاي فناوري اطلاعات و پيادهسازي دورههاي آموزشي حرفهاي ميباشد در همين راستا دو تن از اعضاي گروه موفق به دريافت اولين گواهينامه Security+ در ايران شدهاند. از آنجايي كه پيشنهادهايي از سوي شركتهاي خارجي فعال و معتبر در زمينه امنيت فناوري اطلاعات جهت برگزاري سمينار و برنامههاي مشترك دريافت شده است، در صورت دريافت حمايت و پشتيباني لازم و مهيا شدن شرايط برگزاري سمينار كارگاه آموزشي و كمپينگهاي مرتبط با امنيت فناوري اطلاعات در سطح برنامههاي مشابه بين المللي و با ديد برآورد نيازهاي بومي برگزار خواهد شد. همچنين در حال بررسي و طرحريزي پروژههاي نرمافزاري و دستورالعملهاي اجرايي مرتبط با امنيت فناوري اطلاعات ميباشيم. گروه Hat-Squad همواره از همكاري و مشاركت با افراد علاقهمند و صاحبنظراستقبال مينمايد. - سايت گروه امنيتي Hat-Squad