کد خبر: ۱۶۳۷۶۵
تاریخ انتشار : ۲۴ تير ۱۳۹۱ - ۱۱:۵۱

هشدار درباره ‌امنیت ‌ایمیل‌های ‌موسوم ‌به 'ملی'+جوابیه چاپار

آفتاب‌‌نیوز : آفتاب: جمعی از متخصصان و نخبگان دانشگاهی حوزه فناوری اطلاعات كشور در اطلاعیه‌ای درباره امنیت سرویس‌های ایمیل موسوم به "ملی" هشدار دادند.

به گزارش جهان، این متخصصان و نخبگان دانشگاهی با اشاره به سوراخ های متعدد امنیتی ایمیل موسوم به "ملی"، تاکید کرده اند، "یقیناً وادار کردن مردم به استفاده از سرویس‌های نامطمئن داخلی علاوه بر اینکه اطلاعات خصوصی کاربران را در معرض تهدید جدی قرار می‌دهد، حاصلی جز سلب اعتماد مردم نسبت به عموم محصولات و خدمات نرم‌افزاری ایرانی نخواهد داشت."

متن کامل این اطلاعیه به این شرح است:

اگرچه در ضرورت راه‌اندازی سرویس‌های ایمیل داخلی تردیدی برای متخصصان وجود ندارد اما دستورالعمل جدید وزارت ارتباطات و فناوری اطلاعات مبنی بر الزامی بودن استفاده از 3 سرویس پست الکترونیک معرفی شده که قطعا نه شایسته عنوان ملی هستند و نه حتی می‌توان آنها را تولید داخلی محسوب کرد، بسیار نگران‌کننده و سوال‌برانگیز است.

بهتر است توضیح داده شود که براساس کدام معیارهای فنی، صلاحیت سرویس‌های دولتی iran.ir، post.ir و chmail.ir (چاپار) بررسی و تائید شده است تا این شائبه در اذهان به وجود نیاید که برخی با علم و آگاهی به مشکلات متعدد کاربری و امنیتی و عدم قابلیت توسعه‌پذیری این 3 سرویس، اصرار دارند دستاوردهای ناقص و فاقد کیفیت خود را با استفاده از تبلیغات سرسام‌آور و بخشنامه‌های الزام‌آور به کاربران ایرانی تحمیل کنند.

یقیناً وادار کردن مردم به استفاده از سرویس‌های نامطمئن داخلی علاوه بر اینکه اطلاعات خصوصی کاربران را در معرض تهدید جدی قرار می‌دهد، حاصلی جز سلب اعتماد مردم نسبت به عموم محصولات و خدمات نرم‌افزاری ایرانی نخواهد داشت.

«گروه بیان» از سیاستگذاران حوزه فناوری اطلاعات و نهادهای نظارتی کشور می‌خواهد اجازه ندهند اقدامات شتابزده و تصمیمات عجولانه، بیش از این به اعتبار متخصصان عرصه فناوری اطلاعات کشور لطمه وارد کند و با اجبار مردم به استفاده از این سرویس‌ها، حریم خصوصی کاربران در معرض خطر قرار گیرد.

در پایان ضمن قدردانی از حسن‌ظن مسئولان وزارت ارتباطات و فناوری اطلاعات و تشکر بابت ابراز تمایل آنها برای مشارکت و همکاری در 2 پروژه موتور جستجوی و ایمیل گروه بیان ضمن تاکید دوباره بر عدم تمایل به این همکاری، امیدواریم هرچه سریعتر امکان دسترسی به سرویس‌های متعدد و متنوع پست الکترونیک امن و کارآمد داخلی برای عموم مردم فراهم و شرایطی مهیا شود تا کاربران فضای مجازی با میل و رغبت خود، ایمیل‌های ایرانی را انتخاب کنند.

همچنین در صورت لزوم، مشروح دلایل عدم تمایل به ارائه موتور جستجو و سامانه پست الکترونیک «هد» به سازمان فناوری اطلاعات، در آینده به اطلاع عموم خواهد رسید. والسلام 

لازم به ذکر است اين جمع از متخصصان و نخبگان دانشگاهی عرصه فناوری اطلاعات، بخشی از مستندات و ایرادات سرویس‌های ایمیل معرفی شده به عنوان ایمیل ملی را نیز از طريق آدرس اينترنتي خود به نشانی bayan.blog.ir منتشر کرده‌اند.

جوابیه چاپار

در شرایط کنونی که کشورمان مواجه با انواع تحریم‌هاست، بیش از هر زمان دیگر نیازمند وحدت و همدلی میان متخصصین و مسئولین دلسوز هستیم تا در سایه این وحدت و همدلی با تولید و ارایه خدمات به ملت شریف ایران از مشکلات این حوزه گره بسته‌ای باز کنیم. در همین راستا چندی است که آستین همت بالا زده و با همکاری جمعی از جوانان فعال برای حل یکی از این مشکلات چاره‌ای اندیشیده‌ایم. سخن از پست الکترونیک یا همان رایانامه چاپار است. این سرویس زمانی متولد شد که 3 سال پیش شرکت‌های معظم خارجی از ارایه تکنولوژی برای ارایه سرویس رایانامه در کشور به بهانه تحریم سر باز زدند. در چنین شرایطی جمعی از سرآمدترین متخصصان داخلی پروژه‌های فناوری اطلاعات به صورت مستقیم و غیرمستقیم دست به دست هم دادند تا با نگاهی واقع‌بینانه و البته با هزینه‌ای نه چندان زیاد به ارایه سرویس رایانامه به مردم بپردازند؛ سرویسی که مبتنی بر برنامه‌ریزی‌های انجام شده، قرار است در آینده‌ای نزدیک اکثر قریب به اتفاق دانشگاه‌های کشور را در کنار خود داشته باشد و با نگاهی علمی و البته تجاری نیازهای داخلی این حوزه را برآورده سازد. مجموعه سرویس‌های چاپار از ایجاد رقابت در میان شرکت‌های داخلی همواره حمایت کرده است و تنها راه ارایه سرویس با کیفیت را در رقابتی عالمانه می‌داند. به هر صورت در متن حاضر ضمن ارایه پاسخ به بیانیه منتشر شده در برخی رسانه‌‌ها تحت عنوان "هشدار درباره ‌امنیت ‌ایمیل‌های‌ موسوم‌ به ملی" از طرف شرکتی موسوم به "بیان" که ذکر موارد فنی بیانیه را به سایت خود ارجاع داده است، به تشریح مطالب مختصری پیرامون نکات فنی و مهندسی پرداخته و همچنین اعلام می‌شود به زودی طی نشستی تخصصی با حضور اصحاب رسانه، تمامی مباحث علمی و فنی غیر محرمانه به استحضار عموم و متخصصان خواهد رسید .

نگاه کلان مجموعه سرویس های چاپار به سرویس رایانامه

سرویس رایانامه (پست الکترونیک) یکی از پیچیده‌ترین سرویس‌های فناوری اطلاعات محسوب می‌شود که ساختاری کاملاً میان بخشی دارد و در ارایه سرویس بیش از 20 تخصص مختلف را به کار می‌گیرد. این سرویس به دلیل ارتباط جدی با زیرساخت‌های فناوری اطلاعات اعم از سیستم‌عامل، فایل سیستم، پایگاه داده و غیره، در دنیا بسیار پیچیده ارزیابی می‌شود. لذا آنچه در این حوزه مهم به نظر می‌رسد تولید دانش مورد نیاز در بخش‌های مختلف در سال‌های متمادی با مشارکت تمام بخش‌های علمی کشور است. لیکن این دانش باید مبتنی بر نیازمندی‌ها در ارایه سرویس و در طول زمان، ایجاد و گسترش یابد.

نابودی اعتماد عمومی به کدام قیمت

بیانه منتشر شده خارج از آن که به هیچ وجه دارای بار علمی و مهندسی علی رغم جوسازی رسانه‌ای ايجاد شده، نیست، ضرر بزرگی به کشور می‌زند و در كنار نابودي اعتماد عمومی در سال تولید ملی، اعتمادی که براساس اسناد موجود در مجموعه سرویس‌های چاپار و کاربران آن به وجود آمده را خدشه‌دار كرده و کاربراني كه به شدت در حال تغییر رویکرد به سرویس‌های داخلی هستند را دچار نگراني نموده است. آیا شرکت بیانیه‌دهنده، می‌تواند پاسخ‌گوی خسارت وارده در خصوص افراد عمومی جامعه باشد که در حال استفاده از سرویس‌های رایانامه داخلی هستند؟ آیا سئوالاتي که جواب‌های مهندسی و متقن داشته را بايد بافضاسازي رسانه‌اي و نابود كردن اعتماد عمومي مطرح نمود؟

روش‌شناسی بیانیه منتشر شده

بیانیه منتشر شده روش‌شناسی علمی ندارد و قصد دارد بر اساس یک سری اطلاعات، هدف نهایی که معرفی خود است را پیش بگیرد. اطلاعات ارایه شده کاملاً عمومی و براساس لایه نرم افزار است که اکثریت متخصصان بدان دسترسی دارند(آنچنان که این احساس ایجاد می‌شود، که تصور بیانیه دهنده از یک سرویس پیچیده تنها لایه نرم‌افزار است)، در کل بیانیه مشخص نیست از نظر مؤلفان، آیا استفاده از نرم‌افزارهای متن باز و گسترش آن بر حسب نیاز، ضعف محسوب می‌شود یا قوت؟! آیا برای مثال شرکت فیسبوک که از پایگاه داده متن باز خاصی استفاده کرده و در طول سال‌ها به صورت کاملاً خاص آن را گسترش داده است ,دارای ضعف است؟! آیا شرکت بیانیه دهنده که سایت خود را بر اساس سیستم عامل متن باز مهیا کرده است، نشانه ضعف ایشان است ؟! آیا در صورتی که گروه بیانیه‌دهنده از نرم‌افزار متن باز QMail در آینده استفاده نماید، این نشانه ضعف وی می‌باشد؟ یا قوت؟

بیانیه‌دهنده چه کرده است

با جستجوی انجام شده در فضای اینترنت، اثری از نرم‌افزار رایانامه شرکت بیانیه دهنده یافت نشد تا بررسی شود آیا دوستان برای مثال در بخش ارسال و دریافت ایمیل (MTA) چرخ را از ابتدا اختراع کرده‌اند و یا از نرم‌افزارهای رایج در دنیا استفاده می‌كنند و بر اساس نیازمندی در بخش طراحی و توسعه آن را تغییر داده‌اند؟! آیا روزی که نرم‌افزاری از طرف ایشان ارایه شود، پایگاه داده آن توسط ايشان طراحی و توسعه داده‌ مي‌شود؟! به هر صورت به دلیل آنکه بیانیه دهنده دارای سرویس رایانامه

نیست، به قول معروف دیکته نوشته نشده غلط ندارد. شرکت بیانیه دهنده دارای چند صفحه سایت و یک سرویس وبلاگ است که سرویس ایشان براساس چارچوب Django توسعه یافته است! پس هدف از متهم کردن دیگران چیست؟

اطلاعات عمومی ضعیف

به نظر می‌رسد گروه بیانیه دهنده در حیطه اطلاعات خود پارامترهای عمومی و نه چندان علمی، تخصصی و همه‌جانبه را بیان داشته‌اند. بدان معنا که مشخص نیست چرا برای مثال از بررسی پارامترهایDKIM ,SPF حذر کرده‌اند و یا در خصوص تعادل بار، تنها در لایه نرم‌افزار صحبت کرده‌اند. حال آنکه مجموعه سرویس‌های چاپار در چندین لایه از فناوری‌های مختلف به منظور تعادل بار استفاده می‌کند. برای مثال مشخص نیست چرا در خصوص SSL Termination و ارتباط آن با تعادل بار در لایه نرم‌افزار صحبتی نشده و یا در خصوص طراحی منابع ذخیره‌سازی صحبتی به میان نیامده است. همچنین چرا در خصوص ساختار BCP و ارتباط آن با لایه نرم‌افزار و کنترل‌های استانداردهای امنیتی برای مثال ISO 27034 صحبتی به میان نیامده است. همچنین نوع نگارش و محاسبه حجم ایمیل و پارامترهای ذخیره‌سازی نشان می‌دهد ایشان هیچ‌گونه دانش و تجربه‌ای در حوزه منابع ذخیره‌سازی در سرویس رایانامه گسترده نداشته‌اند.

مجموعه سرویس‌های چاپار به دلیل آنکه از لحاظ امنیتی تحت حملات خارجی و داخلی است، نمی‌تواند اطلاعات محرمانه خود را به صورت عمومی انتشار دهد، لیکن به برخی موارد غیرمحرمانه می‌پردازیم :

آیا نرم‌افزار متن باز ذکر شده دارای ماژول آرشیو، مدیریت سلسله مراتبی، تهیه نسخه پشتیبان در لایه نرم‌افزار و..... است؟
آیا نرم‌افزار متن باز ذکر شده در بیانیه، قابلیت‌های کنونی سرویس رایانامه چاپار برای مثال، ایمیل به پیامک، ادیتور فارسی و ... داراست؟
آیا نرم‌افزار متن باز ذکر شده می‌تواند در خصوص تعداد رایانامه ارسال و دریافتی تصمیم‌گیری كند؟

تصورات ساده‌انگارانه

مجموعه سرویس‌های چاپار با گسترش بیش از 20 بخش متن باز در حوزه سرویس رایانامه (پست الکترونیک) و تولیدات دانش محور نرم‌افزاری در طول 3 سال گسترش داده شده است که بخشی از این قابلیت‌ها و امکانات در لایه تست است و به زودی به عموم مردم ارایه می‌شود. این مجموعه سرویس، دارای مرکز داده‌ي‌ خاص منظوره است که بر اساس روش‌شناسی Service Oriented با صدها سرویس‌دهنده در لایه‌های مختلف در حال ارایه سرویس به مردم است و ده‌ها تجهیز سخت‌افزاری و نرم‌افزاری وظایف گوناگونی را در لایه‌های مختلف بر عهده دارند. بنابراین مشخص نیست با حجم عظیم کار صورت گرفته چگونه فرض شده است که سرویسی با چنین گستردگی تنها در حد نصب نرم‌افزاری متن باز بوده است ؟

و اما امنیت اطلاعات

در چند روز گذشته خبرهای متعددی از هک شدن و سرقت اطلاعات بزرگان دنیای فناوری مانند Yahoo ، Apple، و غیره در تمام رسانه‌ها منتشر شده است. لذا صحبت از سطح امنیت، صحبت از پارامترهای مختلفی است که بصورت تخصصی، بحث و تجزیه و تحلیل می‌شود. بنابراین فضاسازی رسانه‌ای و حرف‌های کلی در این حوزه تنها به خدشه‌دار کردن اعتماد عمومی مردم می‌انجامد. مجموعه سرویس‌های چاپار، با داشتن بخش امنیت اطلاعات متشکل از نخبه‌ترین و سرآمدترین افراد دانشگاهی و باتجربه در این حوزه اقدامات جدی و چشمگیری را انجام داده است. اما به دلیل شکل و وضعیت پارامترهای امنیتی انتشار آن در رسانه‌های عمومی امکان‌پذیر نيست. برای این منظور، با توجه به سطح آمادگی مجموعه سرویس‌های چاپار، بزودی جشنواره نفوذ به مجموعه سرویس‌های چاپار به صورت عمومی فراخوان و برگزار خواهد شد.

موارد نگارش شده تنها قابلیت‌های کنونی سرویس رایانامه چاپار است و تا پایان تابستان بسیاری از قابلیت‌های خاص و متفاوت مجموعه سرویس‌های چاپار به ترتیب ارایه می‌شود که می‌تواند نوید فصلی نوین در ارایه سرویس‌های اینترنتی برای کاربران ایرانی باشد. امید است در پایان با هم‌افزایی و تبادل دانش به توسعه و گسترش فناوری اطلاعات در کشور کمک کنیم و نقد سازنده و کارشناسانه را جایگزین تخریب‌های غیرکارشناسانه نماییم.
بازدید از صفحه اول
ارسال به دوستان
نسخه چاپی
ذخیره
عضویت در خبرنامه
نظر شما
پرطرفدار ترین عناوین