پاسخ چاپار به هشدار درباره ‌امنیت ‌ایمیل‌های‌ موسوم‌ به ملی

به گزارش ایسنا، مجري پروژه “چاپار” شوراي عالي اطلاع‌رساني با ارسال جوابيه‌اي خطاب به بيانيه گروهي با نام “بيان” كه با تيتر “هشدار درباره ‌امنیت ‌ای‌میل‌های‌ موسوم‌ به ملی” منتشر شده بود، اعلام كرد: «شرایط کنونی که کشورمان مواجه با انواع تحریم‌هاست، بیش از هر زمان دیگر نیازمند وحدت و همدلی میان متخصصین و مسئولین دلسوز هستیم تا در سایه این وحدت و همدلی با تولید و ارایه خدمات به ملت شریف ایران از مشکلات این حوزه گره بسته‌ای باز کنیم. در همین راستا چندی است که آستین همت بالا زده و با همکاری جمعی از جوانان فعال برای حل یکی از این مشکلات چاره‌ای اندیشیده‌ایم. سخن از پست الکترونیک یا همان رایانامه چاپار است. این سرویس زمانی متولد شد که 3 سال پیش شرکت‌های معظم خارجی از ارایه تکنولوژی برای ارایه سرویس رایانامه در کشور به بهانه تحریم سر باز زدند.

ایمیل چاپار

در چنین شرایطی جمعی از سرآمدترین متخصصان داخلی پروژه‌های فناوری اطلاعات به صورت مستقیم و غیرمستقیم دست به دست هم دادند تا با نگاهی واقع‌بینانه و البته با هزینه‌ای نه چندان زیاد به ارایه سرویس رایانامه به مردم بپردازند؛ سرویسی که مبتنی بر برنامه‌ریزی‌های انجام شده، قرار است در آینده‌ای نزدیک اکثر قریب به اتفاق دانشگاه‌های کشور را در کنار خود داشته باشد و با نگاهی علمی و البته تجاری نیازهای داخلی این حوزه را برآورده سازد. مجموعه سرویس‌های چاپار از ایجاد رقابت در میان شرکت‌های داخلی همواره حمایت کرده است و تنها راه ارایه سرویس با کیفیت را در رقابتی عالمانه می‌داند.

به هر صورت در متن حاضر ضمن ارایه پاسخ به بیانیه منتشر شده در برخی رسانه‌‌ها تحت عنوان “هشدار درباره ‌امنیت ‌ایمیل‌های‌ موسوم‌ به ملی” از طرف شرکتی موسوم به “بیان” که ذکر موارد فنی بیانیه را به سایت خود ارجاع داده است، به تشریح مطالب مختصری پیرامون نکات فنی و مهندسی پرداخته و همچنین اعلام می‌شود به زودی طی نشستی تخصصی با حضور اصحاب رسانه، تمامی مباحث علمی و فنی غیر محرمانه به استحضار عموم و متخصصان خواهد رسید.

نگاه کلان مجموعه سرویس های چاپار به سرویس رایانامه

سرویس رایانامه (پست الکترونیک) یکی از پیچیده‌ترین سرویس‌های فناوری اطلاعات محسوب می‌شود که ساختاری کاملاً میان بخشی دارد و در ارایه سرویس بیش از 20 تخصص مختلف را به کار می‌گیرد. این سرویس به دلیل ارتباط جدی با زیرساخت‌های فناوری اطلاعات اعم از سیستم‌عامل، فایل سیستم، پایگاه داده و غیره، در دنیا بسیار پیچیده ارزیابی می‌شود. لذا آنچه در این حوزه مهم به نظر می‌رسد تولید دانش مورد نیاز در بخش‌های مختلف در سال‌های متمادی با مشارکت تمام بخش‌های علمی کشور است. لیکن این دانش باید مبتنی بر نیازمندی‌ها در ارایه سرویس و در طول زمان، ایجاد و گسترش یابد.

نابودی اعتماد عمومی به کدام قیمت

بیانيه منتشر شده خارج از آن که به هیچ وجه دارای بار علمی و مهندسی علی رغم جوسازی رسانه‌ای ايجاد شده، نیست، ضرر بزرگی به کشور می‌زند و در كنار نابودي اعتماد عمومی در سال تولید ملی، اعتمادی که براساس اسناد موجود در مجموعه سرویس‌های چاپار و کاربران آن به وجود آمده را خدشه‌دار كرده و کاربراني كه به شدت در حال تغییر رویکرد به سرویس‌های داخلی هستند را دچار نگراني كرده است. آیا شرکت بیانیه‌دهنده، می‌تواند پاسخ‌گوی خسارت وارده در خصوص افراد عمومی جامعه باشد که در حال استفاده از سرویس‌های رایانامه داخلی هستند؟ آیا سئوالاتي که جواب‌های مهندسی و متقن داشته را بايد بافضاسازي رسانه‌اي و نابود كردن اعتماد عمومي مطرح كرد؟

روش‌شناسی بیانیه منتشر شده

بیانیه منتشر شده روش‌شناسی علمی ندارد و قصد دارد بر اساس یک سری اطلاعات، هدف نهایی که معرفی خود است را پیش بگیرد. اطلاعات ارایه شده کاملاً عمومی و براساس لایه نرم افزار است که اکثریت متخصصان بدان دسترسی دارند (آنچنان که این احساس ایجاد می‌شود، که تصور بیانیه دهنده از یک سرویس پیچیده تنها لایه نرم‌افزار است)، در کل بیانیه مشخص نیست از نظر مؤلفان، آیا استفاده از نرم‌افزارهای متن باز و گسترش آن بر حسب نیاز، ضعف محسوب می‌شود یا قوت؟! آیا برای مثال شرکت فیس‌بوک که از پایگاه داده متن باز خاصی استفاده کرده و در طول سال‌ها به صورت کاملاً خاص آن را گسترش داده است، دارای ضعف است؟! آیا شرکت بیانیه دهنده که سایت خود را بر اساس سیستم عامل متن باز مهیا کرده است، نشانه ضعف ایشان است ؟! آیا در صورتی که گروه بیانیه‌دهنده از نرم‌افزار متن باز QMail در آینده استفاده نماید، این نشانه ضعف وی می‌باشد؟ یا قوت؟

بیانیه دهنده چه کرده است

با جستجوی انجام شده در فضای اینترنت، اثری از نرم‌افزار رایانامه شرکت بیانیه دهنده یافت نشد تا بررسی شود آیا دوستان برای مثال در بخش ارسال و دریافت ای‌میل (MTA) چرخ را از ابتدا اختراع کرده‌اند و یا از نرم‌افزارهای رایج در دنیا استفاده می‌كنند و بر اساس نیازمندی در بخش طراحی و توسعه آن را تغییر داده‌اند؟! آیا روزی که نرم‌افزاری از طرف ایشان ارایه شود، پایگاه داده آن توسط ايشان طراحی و توسعه داده‌ مي‌شود؟! به هر صورت به دلیل آنکه بیانیه دهنده دارای سرویس رایانامه نیست، به قول معروف دیکته نوشته نشده غلط ندارد. شرکت بیانیه دهنده دارای چند صفحه سایت و یک سرویس وبلاگ است که سرویس ایشان براساس چارچوب Django توسعه یافته است! پس هدف از متهم کردن دیگران چیست ؟

اطلاعات عمومی ضعیف

به نظر می‌رسد گروه بیانیه دهنده در حیطه اطلاعات خود پارامترهای عمومی و نه چندان علمی، تخصصی و همه‌جانبه را بیان داشته‌اند. بدان معنا که مشخص نیست چرا برای مثال از بررسی پارامترهای DKIM ,SPF حذر کرده‌اند و یا در خصوص تعادل بار، تنها در لایه نرم‌افزار صحبت کرده‌اند. حال آنکه مجموعه سرویس‌های چاپار در چندین لایه از فناوری‌های مختلف به منظور تعادل بار استفاده می‌کند. برای مثال مشخص نیست چرا در خصوص SSL Termination و ارتباط آن با تعادل بار در لایه نرم‌افزار صحبتی نشده و یا در خصوص طراحی منابع ذخیره‌سازی صحبتی به میان نیامده است. همچنین چرا در خصوص ساختار BCP و ارتباط آن با لایه نرم‌افزار و کنترل‌های استانداردهای امنیتی برای مثال ISO 27034 صحبتی به میان نیامده است. همچنین نوع نگارش و محاسبه حجم ایمیل و پارامترهای ذخیره‌سازی نشان می‌دهد ایشان هیچ‌گونه دانش و تجربه‌ای در حوزه منابع ذخیره‌سازی در سرویس رایانامه گسترده نداشته‌اند.

مجموعه سرویس‌های چاپار به دلیل آنکه از لحاظ امنیتی تحت حملات خارجی و داخلی است، نمی‌تواند اطلاعات محرمانه خود را به صورت عمومی انتشار دهد، لیکن به برخی موارد غیرمحرمانه می‌پردازیم:

1. آیا نرم‌افزار متن باز ذکر شده دارای ماژول آرشیو، مدیریت سلسله مراتبی، تهیه نسخه پشتیبان در لایه نرم‌افزار و… است ؟

2. آیا نرم‌افزار متن باز ذکر شده در بیانیه، قابلیت‌های کنونی سرویس رایانامه چاپار برای مثال، ایمیل به پیامک، ادیتور فارسی و … داراست؟

3. آیا نرم‌افزار متن باز ذکر شده می‌تواند در خصوص تعداد رایانامه ارسال و دریافتی تصمیم‌گیری كند ؟

تصورات ساده‌انگارانه

مجموعه سرویس‌های چاپار با گسترش بیش از 20 بخش متن باز در حوزه سرویس رایانامه (پست الکترونیک) و تولیدات دانش محور نرم‌افزاری در طول 3 سال گسترش داده شده است که بخشی از این قابلیت‌ها و امکانات در لایه تست است و به زودی به عموم مردم ارایه می‌شود. این مجموعه سرویس، دارای مرکز داده‌ي‌ خاص منظوره است که بر اساس روش‌شناسی Service Oriented با صدها سرویس‌دهنده در لایه‌های مختلف در حال ارایه سرویس به مردم است و ده‌ها تجهیز سخت‌افزاری و نرم‌افزاری وظایف گوناگونی را در لایه‌های مختلف بر عهده دارند. بنابراین مشخص نیست با حجم عظیم کار صورت گرفته چگونه فرض شده است که سرویسی با چنین گستردگی تنها در حد نصب نرم‌افزاری متن باز بوده است ؟

و اما امنیت اطلاعات

در چند روز گذشته خبرهای متعددی از هک شدن و سرقت اطلاعات بزرگان دنیای فناوری مانند Yahoo ، Apple و غیره در تمام رسانه‌ها منتشر شده است. لذا صحبت از سطح امنیت، صحبت از پارامترهای مختلفی است که بصورت تخصصی، بحث و تجزیه و تحلیل می‌شود. بنابراین فضاسازی رسانه‌يی و حرف‌های کلی در این حوزه تنها به خدشه‌دار کردن اعتماد عمومی مردم می‌انجامد. مجموعه سرویس‌های چاپار، با داشتن بخش امنیت اطلاعات متشکل از نخبه‌ترین و سرآمدترین افراد دانشگاهی و باتجربه در این حوزه اقدامات جدی و چشمگیری را انجام داده است. اما به دلیل شکل و وضعیت پارامترهای امنیتی انتشار آن در رسانه‌های عمومی امکان‌پذیر نيست. برای این منظور، با توجه به سطح آمادگی مجموعه سرویس‌های چاپار، بزودی جشنواره نفوذ به مجموعه سرویس‌های چاپار به صورت عمومی فراخوان و برگزار خواهد شد.

موارد نگارش شده تنها قابلیت‌های کنونی سرویس رایانامه چاپار است و تا پایان تابستان بسیاری از قابلیت‌های خاص و متفاوت مجموعه سرویس‌های چاپار به ترتیب ارایه می‌شود که می‌تواند نوید فصلی نوین در ارایه سرویس‌های اینترنتی برای کاربران ایرانی باشد. امید است در پایان با هم‌افزایی و تبادل دانش به توسعه و گسترش فناوری اطلاعات در کشور کمک کنیم و نقد سازنده و کارشناسانه را جایگزین تخریب‌های غیرکارشناسانه كنيم».

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *