حمله open source ها و عقب گرد برنامه نویسان

بعد چند روز اومدم با آپهای جدید امیدوارم ازشون خوشتون بیاد

آي تي ايران - امروز و بعد از گذشت چندین و چند سال از ورود مبحث IT در ایران هنوز که هنوز است خدمات الکترونیکی شايسته اي از طریق وب سایتهای دولتی قابل ارائه به مخاطبین نیستند چرا که در بيشتر سایتهای دولتی از خدمات الکترونیک تنها در حد تعریف و یا چند لینک بسیار معمولی به چند فرم عادی چیز دیگری پیدا نمیکنید و در این میان خبر روزانه هک شدن سایتهای دولتی به موضوعی طبیعی تبدیل شده که خود نیز مانعی بزرگ در ابتدای ورود به مباحث خدمات الکترونیکی است!

شاید بعضی به این سخن خرده بگیرند اما با بررسی دو وب سایت معروف و جنجالی شهرهای الکترونیک ایران یعنی کیش و مشهد اگر دستی در آتش داشته باشید حتما شما نیز به همین نتیجه میرسید.

این مقاله قصد بررسی این دوطرح شکست خورده را ندارد بلکه بیشتر مصمم است توجه دولمترادان را به آفتی جلب کند که جدیدا مانند خوره ای به جان بسیاری از نهادهای دولتی و شرکتهای خصوصی افتاده و با پیروی از هم نسبت به راه اندازی پورتالهایی با استفاده از نرم افزارهای کدباز (Opensource) اقدام كرده اند.

نرم افزار كد باز چيست ؟
به زبان ساده براي عموم نرم افزار هاي كد باز نرم افزارهايي هستند كه هر شخصي به تمامي كدهاي برنامه ، ساختار بانكهاي اطلاعاتي ، معماري نرم افزاري و مسائل امنيتي آن دسترسي كامل داشته و ميتواند به راحتي آن نرم افزار را از اينترنت دانلودكند. در حقيقت اين نوع نرم افزارها حاصل همين دانلودها و ويرايش ها و تبديل ها از سراسر جهان و توسط هزاران برنامه نويس با سلايق و ديدهاي متفاوت است .یکی از علل كد باز شدن يك نرم افزار توسعه و بهينه سازي و گرفتن اشكالات و ايرادات آن و همچنین همکاری برنامه نویسان در یک پروژه است یعنی در حقیقت حاصل نوعی کار گروهی بوده و چه بسا دارای حفره های امنیتی بسیار زیاد و خطرناکی نیز باشد كه براي عموم استفاده كنندگان و يا ويرايشگران آن قابل مشاهده است. به همين دليل است كه اين گونه نرم افزارها به سرعت نسخه هاي جديدي ارائه ميدهند که معمولا بر طرف کننده حفره های امنیتی هستند

از طرفی استفاده بهینه و حرفه ای از این نوع نرم افزارها کار مشکل و تخصصی بوده و از توان هر کارشناس عادی بر نمی ايد و اینگونه است که در این میان برخی از سایتهای استفاده کننده از این نوع کد ها بسیار زیبا و حرفه ای به نظر میرسند ( Tehran.ir Dotnetnuke) و برخی واقعا اسفناک ! (fa.nr-khr.ir dotnetnuke )

استفاده از نرم افزارهای کد باز در سایتهای دولتی
شاید استفاده از نرم افزارهای کدباز برای سایتهایی که برنامه توسعه نداشته و اقدام به ارائه سرویسهای معمولی مانند دانلود , خبر , اطلاع رسانی و ... به بازدیدکنندگان خود مینمایند و یا برای آگاهی برنامه نویسان از متدها و روشهای روز برنامه نویسی میتواند مفید تلقی شود اما آیا نوع نرم افزارها مناسب نهادهای دولتی و سایتهای اداری نیز میباشند؟

البته بهتر است این موضوع را نیز در نظر بگیرید که بسیاری از ادارت دولتی خریدار این نوع نرم افزارها حتی نمیدانند که دارند یک نرم افزار کد باز رایگان را خریداری میکنند و با ترفندهای عجیب و غریب برخی شرکتهای خصوصی مانند نام گذاری بر روی پرتال كد باز , قدری دستکاری در سورس و تغییر رد پاها و ادعای کاملا بومی بودن آن و طراحی شده در شرکت خصوصی نسبت به فروش این نوع پورتالها به ادارت دولتی اقدام مینمایند و بعضا با ارقام گزافی سایتهایی که تنها زحمت ترجمه فایلهای زبان آنرا متحممل شده اند و شاید نهایتا اقدام به طراحی یک قالب گرافیکی برای آن نموده اند را به قیمت یک نرم افزار طراحی شده داخلی و بسا گرانتر از آن به مشتری عرضه میکنند.
این کار چه از لحاظ قانونی و چه از لحاظ شرعی مطمئنا دارای مشکل است اما در این نوشته به بررسی سایر مشکلات ناشی از این پدیده میپردازیم :

از بين رفتن فرصتهاي شغلي براي متخصصين داخلي :
اولین ترکش این موضوع به سمت جمع کثیری از برنامه نویسان و فارغ التحصیلان داخلی روانه میشود

شاید برنامه نویسان در ابتدا از اینکه بدون زحمت یک نرم افزار کد باز را ترجمه و نصب میکنند خوشحال باشند اما در حقیقت و به طور غیر مستقیم ضرر اصلی این موضوع متوجه خود برنامه نویسان داخلی میشود .

با معمول شدن استفاده از اینگونه نرم افزارها به علت پيچيدگي ساختاري اين نوع برنامه ها و عدم امكان بروزرساني نرم افزار در صورت اعمال تغييرات زياد، شركتها تمايلي به توسعه خدمات و کد نویسی های جدید ندارند و طبعا نياز به یک برنامه نویس یا تجزیه گر سیستم در شرکت احساس نمي شود ،حتي اگر برنامه نویسانی باشند که در این سیستم ها باقی بمانند به تدریج قدرت نو آوری و خلاقيتشان را از دست ميدهند. فروشندگان این نوع نرم افزارها نیز با استخدام نیروهای غیر حرفه ای ( برای پرداخت حقوق کمتر و رهایی از بیمه ) کار خود را که تنها طراحی چند قالب گرافیکی برای پورتال است پیش میبرند و به تدریج کد نویسی و توسعه در این شرکتها و به تبع آن مشتریان آنها فراموش شده و باعث کساد شدن بازارمتخصصان واقعی it در کشور میشود.

متاسفانه برخي مدعي هستند كه عدم حضور متخصصين IT داخلي مهمترين عامل روآوري به اين نوع برنامه هاست اگربه فرض محال اين موضوع صحت داشته باشد مطمئنا راه حل آن ناديده گرفتن پتانسيل نيروهاي جوان داخل كشور نيست.

برخي از اساتيد دانشگاه نيز به جاي تشويق دانشحويان به توليد نرم افزار داخلي آنها را در حد ترجمه يك نرم افزار كد بازي خارجي محدود و همين را به عنوان پروژه پايان ترم از دانشجو ميپذيرند.

بروز نبودن نرم افزار و باگهای امنیتی:

همواره يكي از مهمترين ادعاهاي مخالفين استفاده از برنامه هاي رايگان كدباز بالا بودن احتمال هك شدن سايتها به علت دسترسي عموم به كد برنامه است . در اين ميان معمولا خریداران دولتي خبر از كد باز بودن نرم افزار خود نداشته و مطمئنا به دنبال بروز رساني نرم افزار و نصب نسخه هاي جديد آن كه براي مسائل امنيتي ارائه ميشود نيستند و سايت آماده هك و نفوذ ميشود و اينگونه است كه هر ساله شاهد هك شدن ده ها سايت دولتي نيز ميباشيم .

بررسی بر روی یازده نرم‌افزار محبوب اوپن‌سورس این گمان را بوجود آورد که سازمان‌ها و شرکت‌ها ریسک امنیتی استفاده از این برنامه‌ها را دست کم گرفته‌اند.

شرکت امنیتی Fortify با مطالعه بر روی نرم‌افزارهایی همچون JBoss و OpenCMS مشکلات امنیتی متعددی را مشاهده نمودند که عمدتاً بخاطر اشتباهات برنامه‌نویسان اوپن‌سورس ایجاد گردیده‌اند.
در بخشی از این گزارش آمده است: «توجه به نکات امنیتی در پروسه‌های برنامه‌نویسی اوپن‌سورس از اولویت پائینی برخوردار است.»

«با وجود این که برنامه‌های اوپن‌سورس در مورد توانائی‌های بالقوه خود برای رفع نیازهای سازمانی تبلیغات زیادی را انجام می‌دهند اما تعداد اندکی از آنها به نیازهای امنیتی سازمان‌ها توجه لازم و کافی را می‌نمایند.»

از بین رفتن قدرت تجزیه تحلیل و خلاقیت :
شرکتهاي فروشنده این نوع پرتالها ترجیح میدهد طوری قرار داد را تنظیم کند که تنها با استفاده از ماژولهای موجود در آن ( مانند خبر ، مقاله ، آلبوم تصاوير ، جداول اطلاعاتي و ... ) بتوان سایت را راه اندازي كرد . در این بين فاز اصلي پروژه هايIT كه شناخت نيازها و تجزيه و تحليل عملي و علمي براي خدمات رساني به مخاطبان آن سازمان است در گير و دار انعقاد يك قرار داد تك بعدي و يك نرم افزار از پيش تعيين شده فراموش ميشودو هيچ راهكاري براي ورود به مباحث خدمات الكترونيكي در اين نوع سيستمها ديده نمي شود.

ایجاد تغییرات و خصوصی سازی در چینین نرم افزارهای کد بازی بسیار پیچیده تر و زمان برتر از طراحی یک سایت اختصاصی برای یک اداره و یا نهاد دولتی است و به همين دليل است كه معمولا شركتهاي ارائه دهنده چنين نرم افزار هايي به هيچ وجه پيشنهادي براي توسعه و يا پيشرفت خدمات سايت ندارند و بعد از نصب اين نرم افزار، ارتقاء آن به فراموشي سپرده ميشود.

اگر بخواهیم گشت و گذاری هر چند کوتاه به دنبال چینین سایتهایی بزنیم شاید بیشترین موارد استفاده را بتوان از نرم افزارهای کد باز mojoportal.net rainbow.net dotnetnuke.com نام برد که به طرز فراگیری در بسیاری از سایتهای دولتی به چشم میخورند برای دیدن نمونه هایی میتوانید به سايت شهرداري تهران – سایت شبکه رشد – سایت جزیره کیش -استانداري خراسان رضوي - دامپزشكي خراسان رضوي - كانون پرورش كودكان و نوجوانان و صدها نمونه ديگر كه متاسفانه با حمايت نهادهاي دولتي به طور فراگيري در حال رشد هستند مراجعه کنید .


راهکار :
نویسنده معتقد است استفاده از این نوع سیستمها را نمیتوان کلا نفی کرد و در بعضي موارد استفاده از این نوع نرم افزارها برای برخی سایتها ( با چشم پوشي از مسائل امنيتي ) به صرفه است

اما به شرط انکه با آگاهی کامل خریدار نسبت به رايگان بودن كد برنامه وذكر نام برنامه كد باز در قرارداد و تعیین قيمت منطقي براي خدماتي مانند نصب ، طراحي قالب و تعيين خدمات اضافه باشد .

علاوه بر اين موارد و در صورت اصرار بر استفاده از اين نوع سيستم ها چرا نبايد پايه و اساس يك نرم افزار داخلي opensource چيده شود اما در خاتمه شاید بتوان با دعوت از نهادهای نظارتی براي كنترل اينگونه قراردادها قدری این بازار پرهیاهو را آرام کرد تا حداقل شبهه مغبون شدن خریداران دولتی و ضايع شدن حقوق شهروندان در این میان برداشته شود.

Cloud Computing چيست؟

 

عبارت Cloud Computing به معنى توسعه و به كارگيرى فناورى كامپيوتر (Computing) بر مبناى اينترنت (Cloud) است. اين عبارت شيوه اى از محاسبات كامپيوترى در فضايى است كه قابليت هاى مرتبط با فناورى اطلاعات به عنوان سرويس يا خدمات براى كاربر عرضه مى شود و به او امكان مى دهد به سرويس هاى مبتنى بر فناورى در اينترنت (Cloud) دسترسى داشته باشد؛ بدون آنكه اطلاعات تخصصى در مورد اين فناورى ها داشته باشد و يا بخواهد كنترل زيرساخت هاى فناورى كه از آن ها پشتيبانى مى كند را در دست بگيرد. اين عبارت در اصل يك مفهوم كلى است كه براى يكپارچه كردن فناورى هاى نوينى مثل نرم افزار به عنوان سرويس، وب ۲ و ديگر ترفند هاى جديدى كه به تازگى عرضه شده اند، به كار مى رود تا با موضوعات معمول و روزمره بتوان به كليه نيازهاى كاربران در فضاى اينترنت پاسخ گفت. براى مثال، سرويس Google Apps ابزارهاى عمومى تجارى را به صورت آنلاين عرضه مى كند تا كاربران بتوانند در حالتى كه اطلاعات و نرم افزارهاى آن ها روى سرور موجود است، از طريق يك مرورگر اينترنتى به آن ها دسترسى داشته باشند.عبارت Cloud Computing معمولا با واژه هايى مثل Grid Computing كه حالتى است از عمليات كامپيوترى توزيع شده كه در آن مجموعه اى از كامپيوترهاى مرتبط به يكديگر در يك شبكه كار يك ابركامپيوتر مجازى را براى انجام كارهاى عظيم بر عهده مى گيرند، Utility Computing كه مجموعه اى است از منابع كامپيوترى، نظير خدمات محاسبات و ذخيره سازى اطلاعات به عنوان يك سرويس قابل اندازه گيرى، همانند آنچه در خدمات عمومى مثل آب و برق دريافت مى شود و بالاخره Autonomic Computing يا سيستم هاى كامپيوترى خودگردان،اشتباه گرفته مى شود. در واقع بايد توجه داشت كه بسيارى از توسعه و به كارگيرى فناورى هاى اينترنتى كنونى با شبكه ها (Grid) راه اندازى مى شوند، مشخصه هاى خودگردانى را دارند و مانند ابزارهاى سودمند و كاربردى عمومى در اختيار كاربران قرار مى گيرند، اما بايد توجه داشت كه Cloud Computing يك گام جلوتر از ابزارهاى كاربردى شبكه اى است. در حال حاضر برخى از معمارى هاى موفق اينترنتى زيرساخت هاى مركزى و سيستم هاى شبكه اى ندارند و يا از سيستم هاى شبكه اى Peer to Peer نظير BitTorrentand Skype و Volunteer Computing استفاده نمى كنند. بخش اعظم زيرساخت هاى كنونى توسعه و به كارگيرى فناورى هاى كامپيوترى مبتنى بر اينترنت كه در حال حاضر موجود هستند، شامل سرويس هاى قابل اطمينانى مى شوند كه از طريق نسل آتى مراكز داده (Data center) بر مبناى فناورى هاى مجازى سازى محاسبات و ذخيره سازى اطلاعات ساخته شده است، در اختيار كاربران قرار مى گيرند. اين سرويس ها با استفاده از اينترنت به عنوان تنها راه موجود، در سراسر دنيا قابل دسترس هستند و به كليه نيازهاى كامپيوترى كاربران پاسخ مى دهند. سرويس هاى تجارى و بازرگانى در چنين نظامى بايد از كيفيت مطلوب برخوردار باشند. در اين ميان بايد توجه داشت كه استانداردهاى باز و نرم افزارهاى متن باز به عنوان يك نقطه بحرانى و مشكل ساز براى توسعه Cloud Computing محسوب مى شوند.با توجه به اينكه كاربران هيچ مالكيتى بر زيرساخت هاى اين فناورى ها ندارد، آن ها تنها مى توانند به اين سرويس ها دسترسى داشته باشند و يا اين زيرساخت ها را اجاره كنند. آن ها مى توانند بر هزينه هاى قابل ملاحظه خود فائق آيند و از منابع موجود به عنوان سرويس استفاده كنند و در عوض، هزينه آنچه را كه در اين زمينه استفاده كرده اند پرداخت كنند. از نظر محاسبه هزينه، بسيارى از سرويس هاى مبتنى بر Cloud Computing با مدل هاى ارايه خدمات عمومى مثل برق، آب و تلفن، مشابهت دارد اما برخى ديگر از سرويس هاى مبتنى بر Cloud Computing به گونه اى هستند كه كاربر بايد در آن مشترك شود و به اين صورت از خدمات آن استفاده كند. با به اشتراك گذارى فناورى هاى كامپيوترى «غير ملموس» بين مشتركين اينترنتى، ميزان استفاده از اين ابزارها افزايش مى يابد و سرورها بى استفاده نمى مانند و با افزايش سرعت در توسعه نرم افزارها، هزينه اين كار تا اندازه زيادى كاهش مى يابد. يكى از تاثيرات اين رهيافت افزايش قابل ملاحظه ظرفيت هاى كامپيوتر است و كاربران مجبور به ارتقاى كامپيوتر خود نيستند. اين به اشتراك گذارى با گسترش خطوط پهن باند پرسرعت اتفاق مى افتد كه به كاربران امكان مى دهد در يك زمان پاسخ زيرساخت هاى متمركز كامپيوترى كه در فضاى ديگر قرار گرفته اند را دريافت كنند. انقلاب Cloud Computing به وسيله شركت هايى نظير گوگل، Amazon، Salesforce و ياهو به همراه شركت هاى قديمى ترى نظير Hewlett Packard، IBM، Intel و مايكروسافت دنبال مى شود و از سوى شركت هاى بزرگى مثل General Electric، D&B، L'Oreal، Procter & Gamble و Valeo پذيرفته شده است.

 

 

 

Small Business Server 2008 مايکروسافت آماده شد

 

مايکروسافت کار توسعه و تکميل Small Business Server 2008 را به اتمام رسانده و اعلام کرد: اين محصول از دوازدهم ماه نوامبر به بازار عرضه مي‌شود.

اين سرور که مدت‌ها است همه منتظر آن بودند، بر اساس Windows Server 2008 ساخته شده و شامل Exchange Server 2007، SharePoint Server 3.0، Windows Server Update Services 3.0، Forefront Security for Exchange Server، Windows Live OneCare for Server و Live Small Business است.

Small Business Server 2008 (SBS 2008)، که تحت نام Cougar است، براي شرکت‌هايي تنظيم شده است که بيش از 50 رايانه (PC) دارند.

مايکروسافت همچنين Internet Security and Acceleration server (ISA) را از بسته فوق حذف کرده و يک بخش آزمايشي يک ساله را جايگزين آن کرده است. بدين ترتيب که Forefront security بجاي Exchange Server Small Business Editionو Windows Live OneCare بجاي Server آمده است.

ظرفيت هاي موجود در Office Live Small Business ابزار و قابليت هايي را ايجاد مي کند که مي توان با آنها سايت هاي اينترنتي پايه(basic websites) ،اشتراک گذاري آنلاين مستندات از طريق SharePoint و ...ايجاد کرد.

و بالاخره اين که، نسخه SBS براي نخستين بار به کاربران اجازه خواهد داد تا اين نرم افزار را در دو سِرور اجرا کنند. سِرور دوم با استفاده از Windows Server 2008 و SQL Server 2005 يا 2008 مي تواند کاربري هاي تجاري را پشتيباني کند.

 

هک شدن Red Hat

پس از آنکه سرورهای شرکت Red Hat یکی از توزیع‌کنندگان عمده سیستم‌عامل لینوکس در هفته گذشته هک شدند، این شرکت یک آپدیت امنیتی را با درجه critical منتشر نمود.
بنا بر اعلام این شرکت حملات هفته گذشته بر روی سیستم‌عامل فدورا صورت گرفتند.
Red Hat اعلام کرد درحال بررسی موضوع بوده و تحقیقاتی را درخصوص سرقت احتمالی اطلاعات و یا آلوده شدن سرورهایش به بدافزارها آغاز نموده است.

در اعلامیه‌ای که به همین مناسبت از سوی این شرکت انتشار یافته آمده است: «فرد یا افراد مهاجم توانستند به چند پکیج معدود OpenSSH مربوط به نسخه ویندوزی 64 بیتی Red Hat Enterprise Linux 4 و Red Hat Enterprise Linux 5 دست پیدا کند.»

ظاهراً این حمله بیشتر با هدف دستیابی به مجوزهای لینوکس بوده تا مهاجمين بعداً با استفاده از اطلاعات بدست آمده بتوانند در توزیع‌های آینده بدافزارهای خود را بدون شناسائی و ردیابی وارد فدورا نمایند.
در این اعلامیه همچنین آمده است: «تاکنون هیچ مدرک و دلیل قاطعی مبنی بر بخطر افتادن کلیدهای فدورا بدست نیامده و از آنجائیکه توزیع‌های این سیستم‌عامل از طریق چندین mirror واقع بر روی تعداد زيادي از سایت‌های معتبر طرف سوم در دسترس کاربران قرار می‌گیرند لذا بنظر نمی‌رسد که خطر جدی کاربران فدورا را تهدید نماید.»
با این وجود هک شدن فدورا بنظر جدی می‌آید زیرا Red Hat از مدیران سیستم خواسته است تا شبکه‌های خود را با کلیدهای جدید بروزرسانی کنند.
Red Hat تاکنون نقطه ضعفی که مهاجمین با استفاده از آن به سرورهای این شرکت نفوذ کرده‌اند را اعلام ننموده است.

 

حمله به Wi-Fi کار دشواري نيست

 

مايک پري (Mike Perry) کارشناس مهندسي معکوس و يکي از متخصصان Riverbend Technology عقيده دارد که هکرها خيلي راحت مي توانند به ارتباطات وبي در شبکه هاي بي سيم ناامن، نفوذ کنند.

وي که به تحقيق در حوزه امنيت مي پردازد، برنامه اي نوشته که به هکرها اجازه مي دهد اطلاعات خصوصي آن دسته از کاربران سايت هايي همچون Yahoo Mail، Facebook و Hotmail را هنگامي که از يک شبکه Wi-Fi ناامن استفاده مي کنند، به چنگ آورند.

کوکي ها و پروتکل هاي SSL عامل بروز اين اشکال معرفي شده اند.

به گزارش WiredPRNews بسياري از سايت ها به گونه اي طراحي شده اند که پس از صفحه login، از SSL استفاده نمي کنند. اين مطلب در مقاله 22 آگوست 2008 به قلم Elinor Mills که در CNET درج شد، شرح داده شده است.

مشکل دوم مربوط مي شود به وضعيت امن و ناامن کوکي ها. کوکي ها اين وظيفه را دارند که ببينند آيا نام-کاربري و کلمه عبور وارد شده، با آنچه که در حافظه موجود مي باشد، يکسان است يا خير. مشکل همين جا خودش را نشان مي دهد يعني اگر SSL به کوکي ها صفت (flag) ايمن نداده باشد، يک هکر مي تواند نام-کاربري و کلمه عبور را به دست آورد. به اين طريق هکر خيلي راحت مي تواند به جاي کاربر به گشتزني در وب پرداخته و اطلاعات بانکي و ايميلي او را بربايد.

طبق گفته مقاله CNET کاربران جيميل گوگل (Gmail)مي توانند به جاي اينکه آدرس را به صورت https://mail.google.com تايپ کنند، گزينه رمزنگاري خودکار را فعال سازند.

مايک پري عقيده دارد که خطر اين نوع حملات سايبري جدي است و سايت هاي مهم اينترنتي بايد راه حلي براي آن بيانديشند.

براي کسب اطلاعات بيشتر، به وبلاگ اين کارشناس به آدرس http://fscked.org/blog/3 مراجعه نماييد.