سرويس مصاحبه ایتنا - گسترش پرشتاب استفاده از شبكه‌هاي كامپيوتري در سطوح و ابعاد مختلف، به تدريج كاربرد و حتي وابستگي به اين شبكه‌ها را ناگزير مي‌نمايد؛ مجموعه‌اي پرشمار و متنوع از كامپيوترها و سخت‌افزارهاي گوناگون كه به تدريج در حال بدل شدن به "يك مجموعه مشترك جهاني" هستند؛ و اين نكته براي متخصصين، بيش از خوشحالي و ذوق‌زدگي، هشدار جدي "ناامني" را به همراه دارد. واقعيت نيز اين نگراني را تاييد مي‌كند؛ موج فراگير ناامني و خطرات گوناگون اين شبكه‌ها، به نوبه خود، گسترش توجه به مقوله "امنيت" را باعث شده، و هسته‌ها، گروه‌ها و برنامه‌هاي فراواني در جهان حول اين موضوع شكل گرفته‌اند. در كشور ما نيز با توجه به توسعه اين شبكه، پيدايش و فعاليت چنين مجموعه‌هايي ضروري است. گروه تحقيقاتي امنيتي Hat-Squad، از معدود مجموعه‌هايي است كه به طور تخصصي به اين موضوع پرداخته است، گروهي كه ادعا مي‌كند در سطح جهاني بيش از داخل كشور شناخته شده است. به مناسبت نخستين سال شكل‌گيري اين گروه، يكي از مديران آن در گفت‌وگو با ایتنا شركت نموده است. در ابتدا توضيح اجمالي در مورد شكل‌گيري گروه تحقيقاتي امنيتي Hat-Squad و فعاليت‌هاي آن ارائه دهيد. از اوايل سال گذشته تصميم گرفته شد فعاليت‌هاي غيرمتمركز اعضاي گروه كه تا آن زمان در زمينه شبكه‌هاي رايانه‌اي و امنيت فناوري اطلاعات فعاليت داشتند به شكل حرفه‌اي‌تر و سازمان يافته‌تر دنبال شود. برنامه‌ريزي فعاليت‌ها در دو بعد موازي تحقيقاتي غيرانتفاعي شامل بررسي ضعف‌هاي امنيتي نرم‌افزارها و خدمات مشاوره‌اي امنيتي انجام شد و كار به طور رسمي در تاريخ 19 ارديبهشت 1382آغاز شد. در حال حاضر سه عضو ثابت و همكاراني نيز از طريق ارتباطات رايانه‌اي بر روي پروژه‌هاي تحقيقاتي و ارائه خدمات در قالب اين گروه فعاليت مي‌كنند. با انجام فعاليت‌هاي تحقيقاتي در اين مدت كوتاه و كشف و ارائه چندين مورد از ضعف‌هاي امنيتي در بولتن‌هاي معتبر امنيت اطلاعات در دنيا مانند BugTraqو SANS ، Hat-Squad به عنوان اولين و تنها گروه تحقيقاتي امنيتي ايراني فعال در عرصه بين‌المللي شناخته مي‌شود. فعاليت‌هاي عمده گروه در طول يك سال گذشته چه بوده است؟ در بخش تحقيقاتي، گروه Hat-squad اقدام به كشف و انتشار عمومي (Full-disclosure) شش مورد ضعف امنيتي مرتبط با سرويس‌دهنده‌ها و نرم‌افزارهاي مطرح مورد استفاده در شبكه‌هاي رايانه‌اي در بولتن BugTraq كرده است. در ارائه خدمات مشاوره امنيتي ارائه سرويس incident response در دو مورد از جرائم رايانه‌اي مطرح در سال گذشته جزو فعاليت‌هاي شاخص گروه در داخل كشور بوده، اما با اين وجود متاسفانه به دليل عدم توجه جدي به مقوله امنيت در ساختارهاي فناوري اطلاعات، فعاليت‌هاي گروه در حد و عرصه بين‌المللي بيش از داخل كشور مورد توجه قرار گرفته است! فعاليت‌هاي نويني درعرصه داخلي در زمينه Security Risk Assessment و نيز پياده سازي استاندارد ISO17799 انجام شده است. در عرصه اطلاع‌رساني علاوه بر انتشار مقالات آموزشي و تحقيقاتي براي مخاطبين خاص، اخبار و توصيه‌هاي امنيتي براي عموم نيز مورد توجه قرار گرفته است. به عنوان مثال، انتشار مطلبي در مورد پيش‌بيني ظهور Worm رايانه كه بعدها Blaster نام گرفت، درست يك ماه قبل از ظهور اين كرم و صدمه هنگفتي كه به شبكه‌هاي رايانه‌اي وارد كرد. در اين مطلب روش‌هاي ايمن‌سازي سرويس دهنده و رايانه‌هاي شخصي در مقابل اين ويروس احتمالي توضيح داده شده بود. همچنين ارائه مشاوره امنيتي گروه به سايت دومين دوره مسابقه وبلاگ‌هاي برتر فارسي براي اجراي امن مسابقه، از نخستين تجربه‌هاي توجه جدي به امنيت در برنامه‌هاي رسمي و فراگير بود. تحليل شما از شرايط فعلي امنيت فناوري اطلاعات دركشور چيست؟ از دو سال پيش با اعلام طرح حمايت از بخش خصوصي در قالب طرح تكفا اميدهايي پيرامون تقويت و پيشبرد پروژه‌هاي تحقيقاتي و حياتي جهت بسترسازي توسعه IT در كشور زنده شد اما متاسفانه با گذشت زمان و خرج بودجه‌هاي هنگفت هنوز به برنامه‌هاي ادعا شده از سوي حمايت كنندگان حداقل در بخش امنيت اطلاعات نرسيده‌ايم. عمده بحث پيرامون علل عدم موفقيت از حوصله اين مصاحبه خارج است اما بارزترين مانع و نقيصه كه به راحتي با بررسي سابقه پروژه‌هاي امنيت اطلاعات در طول اين مدت مشخص مي شود، نشان از انحصار انجام اين پروژه‌ها به دو يا سه شركت مشخص است كه متاسفانه حضور افرادي از مسئولين طرح تكفا در اين شركت‌ها شائبه اعمال نفوذ را نيز تقويت مي‌كند. از اين گذشته مطالعه كارنامه اين شركت‌ها نيز پيش‌زمينه مطرحي در مورد امر تخصصي مانند امنيت فناوري اطلاعات نشان نمي‌دهد و به صرف تجاربي كه اكثراً در زمينه پياده‌سازي شبكه‌هاي كامپيوتري با بعضاً پروژه‌هاي نرم‌افزازي داشته‌اند مدعي اجراي اين پروژه‌ها شده‌اند. از اين گذشته در بحث تعريف پروژه‌ها و جهت دهي كلي آنها در كميته‌هاي مربوطه عدم توجه به نيازهاي واقعي و راهبردي كاملا مشخص مي‌باشد به عنوان مثال اجراي طرحي با عنوان سيستم عامل ملي(كه مدت نسبتاً طولاني نيز از شروع آن سپري مي شود) تعريف مشخصي از اهداف و مزاياي آن تا به حال از تعريف پروژه استباط نمي‌شود اگر ادعا بر طراحي و اجراي يك سيستم عامل مبتني بر محصول Open Source لينوكس بوده و توجيه تعربف كنندگان، امنيت محصولات كد باز نسيت به ساير محصولات نرم‌افزاري باشد، نظر واحدي از سوي كارشناسان امنيتي در اين مورد وجود ندارد؛ در صورتي هم كه توجيه به بومي‌سازي رابط كاربر سيستم عامل لينوكس بوده، مسلماً اين كار در حد انجام پروژه‌هاي تهيه Language Pack بوده كه بسيار ساده‌تر از ادعاهاي فعلي مجريان پروژه مذكور مي‌باشد، رجوع به سايت رسمي اين پروژه و بررسي اجمالي عناوين آن كمتر نشاني از اجراي تمهيدات ويژه امنيتي در هسته سيستم عامل يا موارد ديگر را نشان مي‌دهد. در حال حاضر در كشورهاي پيشرفته دنيا چه اروپا و چه امريكا به جاي طرح‌هاي نامفهومي مانند سيستم عامل ملي، تاكيد روي تهيه Bastion operating system مانند (نسخه bastion بر پايه Linux توسط NSA آمريكا ارائه شده است) مطرح مي‌باشد. در زمينه برنامه‌هاي آموزشي و سمينارها نيز بدون توجه به محتواي مطالب و مباحث تنها نفس برگزاري و يا نمايش برگزاري! سمينار يا برنامه مطرح بوده است. به عنوان مثال در سال جاري دو سمينار مطرح با عناوين امنيت فناوري اطلاعات توسط يكي از دانشگاه‌هاي كشور با حمايت مالي سازمان‌هاي دولتي و ديگري توسط يك شركت خصوصي كه به يكباره مجري طرح‌هاي امنيتي شده است، برگزار گرديد. در مورد اول صرفنظر از پراكندگي موضوعات انتخاب شده (بررسي sun clustering از يك طرف و sniffing از سوي ديگر!) حاصل كار همايش و كارگاه‌ها پس از اتمام همايش به صورت كالاي تجاري در وب سايت همايش به فروش مي‌رسد و اين در حالي است كه كمي آن سوتر در سنگاپور بعد از برگزاري كنفرانس جهاني و معتبر BlackHat 2003 , قسمت اعظم سمينارها, سخنراني‌ها و مقالات به صورت رايگان در وب سايت همايش قابل دسترسي است! در بحث شرايط امنيتي شبكه‌ها و ساختارهاي IT در كشور متاسفانه عليرغم طرح‌هاي موحود در زمينه دولت الكترونيك و بانكداري الكترونيك با فقدان سياست‌ها و پيش‌بيني‌هاي درست در اين زمينه‌ها روبرو هستيم. دورنماي امنيت اطلاعات در كشور را چگونه مي‌بينيد؟ در حال حاضر به سبب نفوذ كم خدمات رايانه‌اي در زندگي روزمره مردم و درصد نسبتاً پايين استفاده كنندگان از شبكه‌هاي رايانه‌اي، نگاه به مقوله امنيت در سطوح مياني در حد هراس از لو رفتن كلمات عبور پست الكترونيكي يا deface شدن وب‌سايت‌ها است، به همين جهت موردي مانند نفوذ به شبكه بانكي كشور در سال گذشته بيش از آن كه از بعد ضعف‌هاي امنيتي بررسي شود، در ميان هياهوي مطبوعاتي و مسائل حاشيه‌اي به فراموشي سپرده شد، در حالي كه پيش‌بيني مي‌شود حداكثر تا سال آينده با آماده شدن بستر ECommerce در كشور و فعال شدن ساختارهاي مخابراتي لازم، به يكباره شاهد تحولي عظيم در عجين شدن خدمات رايانه‌اي با بخش‌هاي مختلف اقتصادي و سنتي باشيم. در اين زمان متاسفانه اين طور استنباط مي‌شود كه ديدگاه مديريتي در سطوح بالا بر اين باور است كه در زمان احساس نياز مي‌تواند همانند خريدهاي سخت‌افزاري و نرم‌افزاري تكنولوژي امنيتي را نيز (صرفنظر از محدوديت‌ها و تحريم‌هاي خاص در اين زمينه) وارد كشور كند غافل از اين كه مقوله فناوري اطلاعات فرايندي است كه بايد از ابتداي شكل‌گيري مجموعه بر پايه ساختارهاي آن مجموعه به شكل صحيح دخالت داده شود از اين رو از ديدگاه ما بسترسازي صحيح و مناسب بايد از هم اكنون انجام پذيرد. برنامه‌هاي آينده گروه شما چيست؟ اولويت آتي گروه به موازات پيشبر امور تحقيقاتي مطالعه در زمينه استانداردها و دستورالعمل‌هاي فناوري اطلاعات و پياده‌سازي دوره‌هاي آموزشي حرفه‌اي مي‌باشد در همين راستا دو تن از اعضاي گروه موفق به دريافت اولين گواهينامه Security+ در ايران شده‌اند. از آنجايي كه پيشنهادهايي از سوي شركت‌هاي خارجي فعال و معتبر در زمينه امنيت فناوري اطلاعات جهت برگزاري سمينار و برنامه‌هاي مشترك دريافت شده است، در صورت دريافت حمايت و پشتيباني لازم و مهيا شدن شرايط برگزاري سمينار كارگاه آموزشي و كمپينگ‌هاي مرتبط با امنيت فناوري اطلاعات در سطح برنامه‌هاي مشابه بين المللي و با ديد برآورد نيازهاي بومي برگزار خواهد شد. همچنين در حال بررسي و طرح‌ريزي پروژه‌هاي نرم‌افزاري و دستورالعمل‌هاي اجرايي مرتبط با امنيت فناوري اطلاعات مي‌باشيم. گروه Hat-Squad همواره از همكاري و مشاركت با افراد علاقه‌مند و صاحب‌نظراستقبال مي‌نمايد. - سايت گروه امنيتي Hat-Squad