ايتنا - شايد بتوان هاست شدن سايت www.ini.ir در امريکا را سهل‌انگاری دانست، اما هيچ توضيحی براي هاست شدن سايت «سيستم مديريت هزينه‌ها»ی سازمان‌های دولتی ايران(www.smh.ir) در تگزاس و با مديريت مديران آمريکايي قابل قبول نيست. متاسفانه وقايع دو هفته گذشته نشان داد که كسی حاضر به قبول اشتباهات نيست و همه ترجيح مي‌دهند که با کتمان واقعيت‌هاي عيني، اشتباهات پيش‌آمده را مخفي کند.

علی مولوی (Molavi @ gmail.com)
اشاره: دو هفته پيش گزارشي درباره هاست شدن سايت «پروژه اینترنت ملی ایران» در تگزاس آمريكا تهيه كردم. انتشار اين گزارش، واكنش سريع وزارت ارتباطات را در بر داشت و بلافاصله وابستگي اين سايت به وزارتخانه و طرح اينترنت ملي تكذيب شد، هرچند اين سايت توسط تيمي كه بر روي پروژ‌ه‌اي به همين نام در مركز تحقيقات مخابرات كشور( زيرمجوعه وزارت ارتباطات و فناوري اطلاعات) كار مي‌كردند ‌طراحي و پياده‌سازي شده بود و تمامي شواهد نشان‌دهنده وابستگي اين سايت به وزارت ارتباطات و طرح اينترنت ملي بود.
قابل ذکر است مهندس عبدالمجيد رياضي معاون فناوري اطلاعات وزارت ارتباطات پيش از اين از ارجاع پروژه اينترنت ملي به مرکز تحقيقات شرکت مخابرات خبر داده بود. اما پس از تكذيب رابطه ini.ir با پروژه اينترنت ملي، بلافاصله سرور اين سايت به چين منتقل شد. اما نكته جالب اينجاست كه چند روز بعد در 18 تير ماه سايت دوباره به سرور قبلي در تگزاس امريكا منتقل شد و در حال حاضر آدرس http://mail.ini.ir فعال است.

بررسي‌هاي هفته گذشته بر روي سروري كه سايت اینترنت ملی در آن قرار داشت، نتايج جالبي به دنبال داشت كه ابهامات بسياري را آشكار ساخت. سايت دولتي ديگري نيز در اين سرور قرار داشت که وابستگي آن به وزارت ارتباطات براي نگارنده کاملا محرز شده است. شايان ذكر است تمامي مطالبي كه در اين گزارش آمده، داراي اسناد و مدارك فني است كه در صورت نياز قابل ارائه است.

پيش درآمد
مطابق دستور رييس جمهور محترم در جلسه 30/9/84 هيئت وزيران، كليه دستگاه‌هاي اجرايي موظف شدند ضمن اعمال صرفه‌جويي در استفاده از نرم‌افزارها و سخت‌افزار‌هاي رايانه‌اي، از هر هزينه‌اي در اين ارتباط بدون هماهنگي با وزارت ارتباطات و فناوري اطلاعات خودداري كنند.(1) پس از ابلاغ اين دستور به تمامي سازمان‌ها و نهاد‌هاي دولتي، وزارت ارتباطات و فناوري اطلاعات اقدام به راه‌اندازي «سيستم مديريت هزينه‌ها» با آدرس سايت www.smh.ir براي تاييد هزينه‌هاي نهادها وسازمان‌هاي دولتي در زمينه فناوري اطلاعات كرد. در حال حاضر تمامي سازمان‌ها و نهاد‌هاي دولتي براي تاييد هزينه‌‌هاي خود در اين سايت داراي شناسه كاربري و رمز عبور هستند و معاونت فناوري اطلاعات وزارت ارتباطات مسئول بررسي و تاييد اين هزينه‌ها مي‌باشد. اطلاعات كليه خريد‌هاي سخت‌افزاري و نرم‌افزاري سازمان‌ها و نهاد‌هاي دولتي در اين سايت قرار دارد. اين سايت توسط «اداره كل امور اجرايي فناوري اطلاعات» كه زيرمجموعه «معاونت فناوري اطلاعات وزارت ارتباطات» است، پشتيباني مي‌شود و تلفن تماسي كه در اين سايت ذكر شده است، مربوط به يكي از زيرمجموعه‌هاي اين اداره كل است.

سايت «سيستم مديريت هزينه‌ها» كجا ميزباني مي‌شود؟
سايت SMH.ir توسط ديتاسنتر theplanet واقع در تگزاس امريكا ميزباني شده است. تمامي آشنايان فناوري اطلاعات، اقدام ديتاسنتر Theplanet كه بدون اطلاع قبلي و هيچ توضيحي سايت خبرگزاري دانشجويان ايران(ايسنا) را مسدود ساخت را به ياد دارند. نكته جالب‌تر اينجاست كه اين سرور، همان سروري است كه به سايت ini.ir سرويس‌دهي مي‌كند! آدرس IP هر دو سايت مربوط به يك سرور مي‌باشد!

درباره شركت Theplanet بايد خاطرنشان كرد اين ديتاسنتر يكي از معروف‌ترين ديتاسنتر‌هاي دنيا است كه سرويس مستقيم هاستينگ ارائه نمي‌كند. اين شركت تنها در زمينه اجاره سرور‌هاي اختصاصي (Dedicated Server) و يا اجاره فضا و پهناي باند براي سرور‌هاي وب(Colocation) فعاليت دارد.
بررسي‌هاي فني نشان مي‌دهد كه سايت SMH.ir داراي سرور اختصاصي در اين ديتاسنتر نيست. چرا كه به غير از smh.ir وini.ir كه بر روي اين سرور هاست شده‌اند، بيش از 1400 دامنه تنها از دامنه‌‌هاي TLD در اين سرور قرار دارند(2). مطمئنا اين سرور با اين حجم بالاي سايت، يك سرور اختصاصي نيست و شواهد نشان‌دهنده اين موضوع است كه اين سايت در يك سرور تجاري متعلق به يك شركت هاستينگ بزرگ هاست شده است.

سرويس دهنده اصلي Smh كيست؟
معمولا در سرور‌هايي كه متعلق به شركت‌هاي بزرگ هاستينگ است، امكان پيدا كردن شركت اصلي دارنده سرور به راحتي امكان‌پذير نيست، چرا كه معمولا اين سرورها تنها توسط اين شركت‌ها پشتيباني و نگهداري مي‌شوند و فروش اين سرورها به عهده نمايندگان فروش(reseller ها) مي‌باشد. شركت‌هاي اصلي براي نامشخص ماندن خود به انواع و اقسام روش‌ها متوسل مي‌شوند و تمامي اطلاعات مربوط به سرور به صورت ناشناس است. درباره سايت ini.ir و همچنين smh.ir نيز وضعيت به همين شكل است.
DNS ‌هاي اين سايت‌ها بر روي دامنه websitewelcome.com تنظيم شده است. اين دامنه يك دامنه با Whois نامشخص براي عدم امكان رديابي دارنده اصلي سرور مي‌باشد.

اما با بررسي‌هاي انجام شده، شركت دارنده اين سرور كاملا مشخص شد. اين سرور با نام beetle متعلق به شركت Hostgator است كه در فلوريداي امريكا ثبت شده است.
اين شركت بيشتر در زمينه نمايندگي فروش هاستينگ (Reseller hosting) فعاليت دارد و سرور beetle مخصوص نمايندگان فروش مي‌باشد. اين نكته كاملا مشخص است كه اين سايت توسط يكي از اين نمايندگان فروش در اختيار اين پروژه قرار گرفته است كه با توجه به قوانين خاص hostgator دسترسي به اين شركت يا شخص امكان‌پذير نيست! اما كاملا مشخص است که كنترل، نگهداري و پشتيباني اين سرور توسط شركت hostgator امريكايي است، نكته‌اي كه بسيار جاي تامل دارد!
دليل اينکه تاکنون سايت «سيستم مديريت هزينه‌ها»ي وزارت ارتباطات به سرنوشت ايسنا دچار نشده است همين موضوع است، چرا که ايسنا برخلاف وزارت ارتباطات، مستقيما از خدمات ديتاسنتر thelanet استفاده مي‌کرد اما سايت smh.ir ازطريق واسطه سرويس خود را خريداري کرده است. در حال حاضر اكثر شركت‌هاي ايراني هاستينگ، سرور‌هايي در امريكا دارند، با اين تفاوت كه نگهداري و پشتيباني اين سرورها به عهده اين شركت‌هاست.

به زبان ساده‌تر با وجودي كه سرور اين شركت‌ها در يك ديتاسنتر امريكايي قرار دارد، در شرايط عادي كاركنان آن ديتاسنتر دسترسي به اين سرورها ندارند و تنها در صورت نياز و درخواست شركت‌هاي ايراني است كه كاركنان ديتاسنتر اجازه دسترسي به سرور را خواهند داشت. همچنين در صورت بروز مشكلات سخت‌افزاري نيز ديتاسنترها موظف به رفع مشكل هستند و معمولا نيازي به دسترسي به نرم‌افزارها و اطلاعات داخلي سرور به وجود نمي‌آيد.
اما درباره وضعيت هاست شدن smh.ir و ini.ir قضيه كاملا متفاوت است. سرور اين سايت توسط hostgator پشتيباني مي‌شود. مدير فني hostgator با دسترسي root هر زمان كه اراده كند مي‌تواند به كل اطلاعات هر سايتي که روي اين سرور تعريف شده است دسترسي داشته باشد! مي‌تواند به راحتي email‌هاي مربوط به هر سايت را مطالعه كند، اين امكان را دارد كه كل پايگاه داده هر سايت را كپي كند و حتي از طريق خود سرور، اطلاعات پايگاه داده را به صورت آنلاين مشاهده كند و در كل هر كاري كه بخواهد مي‌تواند انجام دهد!

جالب اينجاست كه سايت ini.ir سرويس email رايگان ارائه مي‌دهد و در سايتsmh.ir صورت كل خريد‌هاي سخت‌افزاري و نرم افزاري همه دستگاه‌هاي دولتي وجود دارد. بعيد است مديران دولتي ارزش اين حجم اطلاعات را ندانند، ولي معلوم نيست از چه رو اين ريسك خطرناك را پذيرفته‌اند؟ شايد هنوز شركت hostgator از وجود چنين اطلاعاتي در سرور خود مطلع نشده باشد، وگرنه احتمالا تا الآن فاجعه‌اي رخ مي‌داد!

نتيجه‌گيری
طي روز‌هاي گذشته معاون فناوري اطلاعات وزارت ارتباطات، هرگونه ارتباط وزارتخانه با سايت ini.ir را رد کرده است و حتي در مصاحبه با يکي از نشريات IT گفته است: «شيكه اينترنت ملي چيزي نيست كه جايي هاست شود، و اين ادعا بي‌معني است. يك نفر مطلبي را عنوان كرده و رسانه‌‌هايي كه اسم خبرگزاري بر روي خود مي‌گذارند آن را بدون مطالعه و تحقيق عينا كپي كرده‌اند. قضيه به اين صورت بوده كه يكي از كارشناسان مركز تحقيقات مخابرات خود‌سرانه و بدون مجوز قانوني سايتي را با عنوان سايت شبكه اينترنت ملي به ثبت رسانده و اطلاعاتي بر روي آن قرار داده است. ما هم پس از اطلاع از اين قضيه موضوع را پيگيري و به كارشناسان مربوطه اعتراض كرد‌ه‌ايم، و اين سايت نيز بسته شده است. عنوان شبكه اينترنت ملي يك اسم ملي و كشوري است و نبايد مورد سو‌ءاستفاده قرار بگيرد.»

من هم با نظر آقاي رياضي کاملا موافقم و اعتقاد دارم هيچ کس نبايدحق سوء‌استفاده از واژه «ملي» را داشته باشد. اما چه بايد كرد كه ارتباط سايت smh.ir با وزارت ارتباطات، مثل روز روشن است. در اين نامه(3) آقاي رياضي به تمامي ارگان‌ها و سازمان‌هاي دولتي، اين سايت را معرفي کرده و همه آنها را ملزم به استفاده از اين سايت ساخته‌اند. چطور امکان دارد که هر دوي اين سايت‌ها از طريق يک سرور هاست شده باشند و به هم مربوط نباشند؟
بررسي whois دامنه‌هاي smh.ir و ini.ir نشان مي‌دهد که هر دو دامنه توسط مرکز تحقيقات مخابرات ايران ثبت شده است و ثبت کننده هر دو دامنه يک شخص يا سازمان بوده است، حال سوال اينجاست که آيا سايت smh.ir هم توسط يکي از کارشناسان مرکز تحقيقات «به طور خودسرانه» راه‌اندازي شده است؟ آيا کارشناسان مرکز تحقيقات تا به اين حد آزادي عمل دارند که شخصا و بطور غيرقانوني سايت‌هاي دولتي و ملي را راه‌اندازي کنند؟ پس چطور امضاي جناب رياضي در نامه‌‌هاي مربوط به معرفي سايت «سيستم مديريت هزينه» براي معرفي دامنه smh.ir ديده مي‌شود؟ چطور تلفن تماس تيم پشتيباني اين سايت متعلق به يکي اداره‌‌هاي زيرمجموعه معاونت ايشان مي‌باشد؟

مهندس رياضي در تاريخ 18/1/85 در گفت‌وگو با ايسنا(4) گفته است: «دبيرخانه شوراي عالي IT ظرف سه ماه آينده تعداد جايگاه‌‌هاي اينترنتي و سايت‌‌هاي ايراني را كه از خارج به داخل منتقل شده را به شورا گزارش مي‌دهد، همچنين كارگروهي تشكيل شد و با بهره‌گيري از توان بخش خصوصي نرم‌افزار‌هاي عمومي ‌يكپارچه براي دستگاه‌‌هاي دولتي را تعريف و استاندارد‌هاي لازم را با در نظر گرفتن ملاحظات امنيتي نرم‌افزارها تدوين خواهد کرد.» يک هفته بعد و در تاريخ 25 فروردين ماه 85 ايشان در گفت‌وگو با ايسنا(5) سايت SMH.ir را معرفي مي‌کند و در تاريخ 28 فروردين ماه نامه مربوط به معرفي اين سايت براي کليه سازمان‌هاي دولتي ارسال مي‌شود. سؤال اين است كه چرا همين سايت در داخل کشور هاست نشده است؟ همچنين اگر اين موضوع به سه ماه زمان نياز داشت، چرا با گذشت بيش از سه ماه اين سايت به داخل کشور منتقل نشده است؟
ايشان بارها و بارها از معايب سرور‌هاي خارجي صحبت کرده و تنها راه حل اين مشکل را «اينترنت ملي» دانسته‌اند. دبير محترم شوراي عالي فناوري اطلاعات حتي در مصاحبه‌‌هاي خود مكررا از اين که ايميل‌ها و متن چت‌هاي کاربران به سرور‌هاي خارجي مي‌رود، اظهار نگراني کرده‌اند، ولي عجيب است كه اطلاعات فراوان و دقيق سايت «سيستم مديريت هزينه‌ها» به راحتي در يک سرور امريکايي و توسط يک شرکت امريکايي ميزباني شود. دامنه smh.ir در تاريخ 7 فروردين 85 ثبت شده است و همچنين تاريخ اين نامه(3) نشان مي‌دهد كه بخشنامه استفاده از سايت www.smh.ir از تاريخ 28/1 /85 به ارگان‌هاي دولتي ابلاغ شده است، پيش از اين تاريخ، دو ديتاسنتر ايراني «فن‌آوا» و «پارس‌آنلاين» (با مجوز رسمي همين وزارتخانه) در مرحله پايلوت خود قرار داشتند و به سايت‌هاي زيادي سرويس‌دهي مي‌کردند، اما چطور از امکانات اين دو شرکت داخلي استفاده نشده است؟ حتي اگر مجموعه وزارتخانه به اين دو شرکت اعتماد نکرده است، چرا از ديتاسنتر ملي شارع 2 که ميلياردها تومان هزينه براي بيت‌المال داشته، استفاده نکرده است؟ اگر تمام سرور‌هاي داخلي غيرقابل اطمينان هستند، چرا از خدمات يک شرکت اروپايي يا آسيايي استفاده نشده است؟ اگر مديران وزارت ارتباطات، تنها سرور‌هاي آمريكايي را از لحاظ امنيت تاييد مي‌کنند، حداقل چرا از يک سرور اختصاصي استفاده نکردند که دسترسي به اطلاعات سايت را محدودتر کنند؟ و اگر توانايي پرداخت هزينه سرور اختصاصي را نداشتند، چرا از خدمات شرکت‌هاي ايراني ارائه دهنده خدمات هاستينگ استفاده نکرده‌اند؟

با افزايش تعداد سايت‌هاي يک سرور، امنيت و ضريب اطمينان آن سرور کاهش پيدا مي‌کند. چطور است که اين موضوع مهم در هاست شدن اين سايت در نظر گرفته نشده است و سايتي با اطلاعات دقيق مربوط به دستگاه‌هاي دولتي بر روي يک سرور با بيش از 1400 سايت ديگر قرار گرفته است؟ مهم‌تر اين که چطور با حساسيتي که در دو هفته گذشته درباره سايتini.ir به وجود آمده بود، سايت www.smh.ir را به سرور‌هاي داخلي يا حداقل يک سرور امريکايي(!) مطمئن‌تر منتقل نکرده‌اند؟
گفتني است که انتقال کامل اين سايت به يک سرور ديگر براي يک مدير فني مجرب، حداکثر 12 ساعت زمان مي‌برد. شايد بتوان هاست شدن سايت www.ini.ir در امريکا را سهل‌انگاري دانست، اما هيچ توضيحي براي هاست شدن سايت «سيستم مديريت هزينه‌ها»ي سازمان‌هاي دولتي ايران(www.smh.ir) در تگزاس و با مديريت مديران آمريکايي قابل قبول نيست.

متاسفانه وقايع دو هفته گذشته نشان داد که كسي حاضر به قبول اشتباهات نيست و همه ترجيح مي‌دهند که با کتمان واقعيت‌هاي عيني، اشتباهات پيش‌آمده را مخفي کند.
بررسي ابعاد مختلف پروژه «اينترنت ملي»، نامگذاري اين پروژه و اهداف آن، بحثي است که در حوصله اين مطلب نمي‌گنجد و مطمئنا در روز‌هاي آينده به آن خواهم پرداخت. در پايان اميدوارم هرچه سريع‌تر کليه اطلاعات smh.ir از سرور امريکايي حذف و به يک سرور امن داخلي منتقل شود تا بيش از اين شاهد خروج اطلاعات مهم سازمان‌هاي دولتي به امريکا نباشيم!


تصاوير: