امنیت وارداتی نیست؟

آری واقعا امنیت وارداتی نیست! شاید شما این جمله را بارها و بارها در محافل امنیت سایبری شنیده باشید اما به راستی  در کشور ما  این جمله بیشتر رنگ و بوی شعار می دهد یا  عمل ؟! از جزئی ترین مسائل تا بزرگترین مسائل امنیتی، از مکانیزم های امنیتی گرفته تا خط مشی ها و استاندارهای این حوزه لزوم توجه به بومی سازی مسائل درگیر در حوزه امنیت شاخصه ای کلیدی است که اهمیت آن امروز بر کمتر کارشناسی در این حوزه پوشیده باشد!حدود سه سال پیش می خواستم مقاله ای در زمینه اهمیت بومی سازی  در امنیت سایبری بنویسم اما هیچگاه موفق به انجام این کار نشدم تا اینکه امروز بالاخره دست به قلم شدم. چندی پیش  در سومین کنفرانس و نمایشگاه فناوری اطلاعات و ارتباطات در صنایع نفت، گاز، پالایش و پتروشیمی غرفه ای از نمایشگاه  توجه من را به خودش جلب کرد! یکی از شعار هایی که در بنرهای تبلیغاتی این شرکت به چشم می خورد همین جمله بود « امنیت وارداتی نیست!» برایم بسیار جالب بود، به سراغ مسئول غرفه که نماینده شرکت x بود رفتم و در مورد محصولات اصلی این شرکت سؤالاتی پرسیدم.در میان صحبت های غرفه دار مدام مضمون این جمله که امنیت وارداتی نیست و شرکت ماهم اساس کاری‌اش را بر همین سیاست استوار کرده است به گوش می خورد. بعدازاین که نماینده این شرکت محصولات شرکت را که بیشتر محصولات ضد بدافزار و تشخیص نفوذ تولید داخلی  بود معرفی کرد از ایشان پرسیدم محصولات ضد بدافزار شما  داخلی است و ایشان در جواب گفت: «خیر! اما زبان واسط کاربری آن فارسی می شود!»

از ایشان در مورد محصول تشخیص نفوذشان سؤال کردم که مدعی بودند تولید داخل است.بعد از یکی دو دقیقه صحبت متوجه شدم که ابزار SNORT را اندکی تغییر داده اند و از آن با عنوان محصول تشخیص نفوذ تولید داخل یاد می کنند.خلاصه آخر ماندم که این امنیت واردی است یا نیست!؟

اینکه امنیت وارداتی نیست کاملاً مشهود است اما اینکه بتوانیم یک شبه امنیت داخلی را به سطح بالایی برسانیم نیز کاری غیرممکنی است.وقتی پای صحبت کارشناسان امنیت می نشینم داخلی سازی امنیت و شاید به تعبیر بومی سازی آن را متأسفانه در سطوح بسیار بالا می بینند مثلاً در سطح تبیین استاندارها و اساس نامه ها تا سطح ابزارهای ضد بدافزار و تشخیص نفوذ! اما متأسفانه امنیت تنها به این سطوح منتهی نمی شود.بلکه بومی سازی امنیت نیازمند اعمال سیاست ها و دانش بومی از بالاترین سطوح تا پایین ترین سطوح کاربردی است.

برای اینکه این پایین ترین سطوح را قدری شفاف بیان کنم یک مثال از مکانیزم امنیتی کدهای تصویری یا به اصلاح  کدهای کپچا  یا ریکپچا می زنم. سه سال پیش بود یعنی سال 90 که این نکته توجه من را به خودش جلب کرد که اگرچه طراحان و کارشناسان امنیتی وب سایت های ایرانی نیز به لزوم داشتن کدهای کپچا در برخی صفحات وبسایت های خود برای داشتن مکانیزم دفاعی در برابر بات های نرم افزاری پی برده اند و از این مکانیزم بهره می برند اما چرا ما ایرانی ها اندکی به خودمان زحمت نمی دهیم و حال که قرار است از یک مکانیزم امنیتی جدید استفاده کنیم حداقل به این فکر نمی کنیم که گاهی بومی سازی یک مکانیزم اتفاقاً باعث می شود که امنیت وب سایت یا سامانه ما در مقابل مهاجمان خارجی که غالباً کمتر به زبان فارسی آشنایی دارند در سطح بالاتری قرار گیرد.

کافی است همین امروز به سایت ها  و سامانه های دولتی یا غیر دولتی کشور رجوع کنید و در صفحات این مراکز که دارای ورودی کد کپچا هستند اندکی دقیق شوید! 99% این سایت ها از کدهای کپچا که دارای حروف انگلیسی هستند استفاده می کنند از درگاههای مختلف بانکی که این‌قدر به بانکداری امن می نازند گرفته تا انواع پرتال های وزارت خانه ها و مراکز تحقیقاتی کشور. به نظر شما چه دلیلی دارد سایت ها داخلی ما که تنها به مردم کشور خودمان خدمات  می دهند و کل سایت به زبان فارسی است باید از کدکپچا به زبان انگلیسی استفاده کنند که اتفاقاً مهاجمان خارجی هم برای  دور زدن(bypass)  این کدهای کپچا روز به روز ابزارهای مختلفی را در دسترسی عموم قرار می دهد. یک لحظه به این نکته توجه کنید که اگر از کد کپچا با حروف فارسی استفاده کنید چقدر کار مهاجمان برای یافتن اسکریپت ها و ابزاهایی که بتواند این مکانیزم را دور بزند سخت می شود و هکرهای در تهیه ابزار کارشان با محدودیت رو به رو می شوند و نیازمند این خواهند شد که مهارت بالاتری داشته باشند که بتواند این سامانه را دور بزنند!

خوشبختانه علیرغم اینکه در سال های قبل سامانه ها ارائه خدمات کپچای فارسی وجود نداشت امروز در کشور شرکت هایی خدمات کپچای فارسی را ارائه می کنند که این می تواند مورد استفاده  مراکز داخلی قرار گیرد.

به چهار دلیل عمده، بر این باوریم که استفاده از کپچای فارسی برای وب سایت های فارسی سودمند است:.

 

1. تکنولوژی بازشناسی خودکار متون برای زبان لاتین بسیار پیشرفته است به صورتی که هم اکنون بات‌های اینترنتی ای‌ وجود دارند که بر اساس الگوریتم‌های پردازش تصویر و شناسایی الگو میتوانند بسیاری از کپچا‌ها را تشخیص دهند. نمونه‌هایی از عملکرد این بات‌ها را می‌توان روزانه در بخش نظرات سایت‌های پر مخاطب و قدرتمندی‌ همچون یاهو نیز مشاهده کرد. این در حالیست که علاوه بر ساختار زبان و لغات فارسی که امکان ایجاد کپچای فارسی ‌های پیچیده تری را نسبت به زبان لاتین ایجاد می‌کند، تکنولوژی بازشناسی خودکار متون نیز در بستر زبان فارسی بسیار ضعیف و نوپا می باشد.

 

2. برخی از سرویس های کپچای فارسی کاملاً رایگان بوده و شما میتوانید بدون اینکه هیچ هزینه ای پرداخت نمایید سایت، وبلاگ و یا پورتال خود را ایمن سازید.

3. بر خلاف کپچا که به دلیل حملات بات‌های اینترنتی‌ مبتنی‌ بر دیکشنری، مجبور میشود که اغلب از لغات بی‌ معنی‌ استفاده نماید، در کپچای فارسی با تکیه‌ بر سطح بالای امنیت ارائه شده، میتوانیم از لغات معنی‌ دار فارسی استفاده نمائیم. چرا که خطراتی که کپچا را تهدید می‌کنند در حال حاضر برای کپچای فارسی وجود ندارند. نکته ارزنده ای که این ویژگی‌ خاص کپچای فارسی به ارمغان می آورد، همانا راحتی‌ و سهولت خواندن کپچای فارسی برای انسان است. چرا که حتی با وجود ایجاد کجی‌ها و ناواضحی ها، انسان هوشمند با توجه به دایره لغاتی که در ذهن دارد میتواند به راحتی‌ کپچای فارسی را تشخیص دهد. بدین صورت، وضعیت آزار دهنده ای که در بسیاری از اوقات کاربران برای خواندن کپچا‌ها دارند در مورد کپچای فارسی به وقوع نمیپیوندد.

 

4. دلیل  چهارم که بر اساس آن شما را تشویق می کنیم تا از کپچای فارسی استفاده کنید آن است که،" ما پارسی زبان هستیم"، پس بیایید زبان پارسی را گرامی‌ داشته و هرچه بیشتر آنرا در جهان اینترنت نشر و گسترش دهیم.به این فکر کنید که حتی استفاده از کپچاهای فارسی که امیخته با اشعار غنی شعرای فارسی زبان اند چقدر در معرفی فرهنگ فارسی و اشعار قدما می تواند نقش داشته باشد.

به امید اینکه روزی امنیت در کشور ما وارداتی نباشد از بالاترین تا پایین ترین سطوح آن!

 

منبع: چهار دلیل نهایی این مقاله با اندکی تغییر از توضیحات پلاگین کپچافا اقتباس شده است.