نوشته‌ای از يک هکر

توضيح:
چندی پيش (پايان هفته منتهی به 22 آذر) تعدادی از سايت‌های ایرانی مورد حمله قرار گرفته و دچار اختلال شدند. از جمله اين سايت‌ها، پايگاه خبری ITiran.com بود. همزمان با اين اقدام، هکر مزبور ضمن ارسال ايميل به ماهنامه دنيای کامپيوتر و ارتباطات و چند سايت ديگر، خبر هک خود را به اطلاع رسانده بود. اين هکر همچنين نام خود(سايرون) و نيز نشانی ايميل خويش را در ذکر کرده بود.
  با توجه به اهميت موضوع امنيت در سرورها و سايت‌های کشورمان، و نيز آگاهی از انگيزه و اقدام اين عمل هکر، از وی خواستيم که در اين خصوص(ترجيحا به صورت نوشته) توضيح دهد. اکنون اين نوشته بلند از سوی وی به ماهنامه ارسال شده که بدين وسيله (با اندکی ويرايش) در سايت ماهنامه منتشر می‌گردد.
   شايان ذکر است که همان گونه که در متن نامه ذکر شده، در ادامه مطلب، بخشی از سورس سايت‌های موردنظر وی برای توضيح جزئيات و ضعف‌های موجود آمده است که اين قسمت نيز به زودی در همين سايت منتشر می‌گردد. همچنين ماهنامه آمادگی دارد که پاسخ، توضيحات و نظرات شرکت‌های مطرح شده در اين نوشته، و نيز ديگر صاحبنظران را نيز منعکس نمايد.

امنيت، لازمه حضور در اينترنت

سايرون
 Sauronhacker@yahoo.com

بسياری سرورهای ايرانی دارای مشكل امنيتی هستند و هر از چند گاهی هك می‌شوند اما در بسياری اوقات نيازی به نمايش و تغيير صفحات نيست. من (و فكر می‌كنم بسياری از هكرهای ديگر) ترجيح می‌دهند(البته آنهايی كه به دنبال اسم و رسم نيستند ) نفوذی بی‌سروصدا داشته باشند و تنها به ديدن برنامه‌ها و اطلاعات سايت‌ها بسنده می‌كنند. اما گاهی پيش می‌آيد كه نياز به نوعی نمايش است و اين بار و در مورد اين شركت ايرانی دقيقا چنين قضيه اتفاق افتاد. سرور اين شركت چند بار مورد حمله قرار گرفته بود ولی از قرار آقايان توجه چندانی به اين مسئله نداشتند. احتمالا آنها مشورت‌هايی كرده بودند و حتی من ديدم كه در سرور خود نرم‌افزارهايی نيز نصب كرده بودند. اما مطمئنا اينها كافی نبوده چرا كه همچنان اختلال‌ها ادامه داشت. حتی در آخرين حملات آنها به جای رفع مشكل تنها به بازگرداندن پشتيبان از اطلاعات سايت‌ها پرداختند. من البته اولين كسی نبودم كه اين سرور را هك كردم اما مدت‌ها به اطلاعات آن دسترسی داشتم يكی دوبار برای آزمايش كارهايی انجام دادم و می‌ديدم كه آنها تنها به بازگرداندن اطلاعات پشتيبانی پرداختند(بدون آن كه حتی به مشتريان خود خبر دهند) اين برای من بسيار ناراحت كننده است .من خود يك برنامه‌نويس و طراح سايت هستم شايد برای يك سايت چند ساعت اختلال چيز مهمی نباشد اما فكرش را بكنيد برای يك فروشگاه مجازی و يا سايتی كه اطلاعات و يا سورس برنامه‌های آن ارزشمند است يك نفوذ بی سروصدا چقدر مي‌تواند خطرناك باشد.

  نكته جالب ديگر اين است كه معمولا اين شركت‌ها مشكلات را فنی دانسته و حتی تقصير را برگردن شركت‌های خارجی ارائه‌كننده سرور مي‌اندازند. نمونه‌ای از همين ادعا هم‌اكنون بر روی سايت يكی از شركت‌های معروف ارائه‌كننده Host همچنان به چشم می‌خورد. آيا اينها دروغ نيست؟ آيا وظيفه يك ارائه‌كننده فضا تامين امنيت سايت‌های خود نيست؟

   شايد بار اول مشكلی وجود داشته است اما اين تعداد دفعات حمله نشان‌دهنده بي‌تدبيری مديران سرور است.
   بنابراين تصميم گرفتم تا تغييراتی بر روی سايت‌ها ايجاد كنم تا شايد مشخص شود كه اشكال از آن سوی آبها نبوده است، و ديگر جايی برای ادعاهای دروغين نباشد. پس تصميم به هك و تغيير چهره سايت‌ها گرفتم. شب اولی كه اين كار را انجام دادم صفحه اول حدود 30 سايت را از جمله سه شركت معروفی كه به شكل نمايندگی با آن كار مي‌كردند را تغيير دادم. اين كار حدودا از ساعت 2 نيمه شب صورت گرفت و تا ساعت 9 كه من چك كردم همچنان باقی بود. مديران سرور پس از شروع ساعات كاری و اطلاع از موضوع تنها صفحات اول سايت‌های هك شده را حذف كردند. بی‌آن كه حتی به صاحبان سايت‌های هك‌شده اطلاع دهند!. خوب پس لازم بود اين كار بار ديگر انجام شود و البته اين بار به چند تن از مديران سايت‌ها و همچنين سايت‌های خبری اطلاع داده شد.

   اين بار هك در مورد سايت‌های كمتری صورت گرفت و البته من سعی كردم تاثير آن بيشتر نيز باشد كه فكر می‌كنم همچنان دارندگان سايت بر روی آن سرور با مشكلاتی مواجه باشند. اين بار اولين هك از ساعت 9 شب آغاز شد و مديران سرور در حدود ساعت 2 بامداد با قرار دادن پشتيبان سايت‌ها تغيير داده شده را درست كردند.

   اما نكته قابل توجه اين كه آنها اين بار برای جلوگيری از هك اقدام به فعاليت‌های كردند كه بيشتر باعث اختلال شد. از قرار سرويس FTP و چند امكان ديگر با مشكلاتی مواجه شدند.البته در اين حمله آخر تغييرات به شكلی بود كه اين بازگرداندن پشتيبان نمي‌تواند همه مشكلات را حل كند.
   اين نفوذها اگرچه باعث اختلالاتی می‌شوند اما نگرانی مديران شركت‌های ميزبان و هاست حداقل برای آبروی خود هم كه شده باعث افزايش امنيت سايت‌های ايرانی می‌شود.

   برخی مديران شركت‌ها مدعی هستند كه افزايش امنيت سرورها نياز به نرم‌افزار و كارشناسانی دارد كه هزينه بالايی را بر آنها تحميل می‌كند و اين در نهايت باعث افزايش قيمت‌های ميزبانی واختصاص فضا و درنتيجه محروم شدن بسياری از داشتن سايت و يا افزايش هزينه برای نگهداری سايت‌ها خواهد شد. من تا حدودی اين حرف ها را می‌پذيرم اما به سه نكته بايد اشاره كنم:

   اول اين كه اين صحبت خود نشان‌دهنده آن است كه آنها مي‌دانند برای رسيدن به امنيت مطلوب بايستی چه هزينه‌هايی بكنند و بنابراين می‌دانند تا رسيدن به امنيت مطلوب چقدر فاصله دارند. پس چرا اين چنين در سايت‌های خود از امنيت بالای سرور خود می‌نويسند! آيا فكر می‌كنيد اگر آنها بنويسند كه چه كارهايی بايستی انجام می‌دادند كه نكردند آيا مشتريان آنها همچنان از آنها سرويس خواهند گرفت؟ و اينجاست كه دارندگان سايت‌ها بايستی تاوان تصميمات مديران شركت‌های هاستينگ را پرداخت كنند.

   نكته دوم اين كه شما اگر نگاهی به قيمت‌های سرورها و شركت‌های معتبر خارجی كنيد در آنها قيمت‌های مناسب حتی با ارزش پولی ما وجود دارد. يك سرور هاستيگ تنها يك ويندوز، IIS و ايميل سرور نيست. شركتی كه قرار است به چندين سايت سرويس دهد، حتما می‌بايست هزينه امنيت آن را نيز پرداخت كند. متاسفانه در ايران رسم شده كه يك شركت يك سرور می‌گيرد و می‌خواهد از طريق همان يك سرور تمام هزينه‌های شركت خود را تامين وحتی سود كلانی نيز ببرد و برای شركتی با اين ديدگاه قطعا غير ممكن است برای تنها سرور خود اين چنين هزينه كند. به نظر من اگر شركت‌ها نمی‌توانند حال چه از نظر مالی و يا چه از نظر تخصص امنيت سرور خود را تامين كنند بهتر است كه به صورت نمايندگی شركت‌های معتبر هاست خارجی كار كنند. اگر افزايش هزينه‌ها تجارت را سخت می‌كند! نداشتن امنيت آنرا غيرممكن می‌كند.

   اما نكته آخر آن كه واقعيت اين است كه مديران بسياری از سرورها حتی از مبانی نگهداری سرور بی‌اطلاعند.
  من متاسفانه با برخی مسئولان سرورهايی در تماس بودم كه توانايی رجيستر كردن يك Server Object را نداشتند مطمئن هستم بسياری حتی از ويزاردهای امنيتی ويندوز كه به صورت رايگان در تمام ويندوز ها است بی‌اطلاعند.
  برای بسياری مديريت يعنی تنظيمات IIS ، DNS و اجازه Read/Write به برخی شاخه‌ها! و اين مشكلی نيست كه نتوان آن را با هزينه كم حل كرد.

   من نمونه‌ای از اطلاعات چند سايت در اين سرور را به شما ارائه می‌كنم. نمونه اول قسمت‌هايی از برنامه‌های سايت Itiran.com است كه مدتی قبل از تغيير سرور ITiran و هك شدن اخير سرور برداشتم. اينها شايد نشان‌دهنده عمق خطری است كه می‌تواند سايت‌های ايرانی را تهديد كند.
   فكرش را بكنيد من مي‌توانستم به راحتی اخبار سايت Itiran را شايد برای چند ساعت تغيير دهم ويا به راحتی از فايل‌های اطلاعات مشتريان شامل نام كاربری و كلمه عبور آنها استفاده كنم و با ديدن منطق برنامه‌های سايت‌ها از آن سوءاستفاده كنم. و چه بسا كه هنوز هم می‌توانم.
   خوب اينجا ديگر گرفتن يك پشتيبان از سايت كفايت نمی‌كند. اگر كسی با استفاده از كلمه عبور مشتريان  يكی از سايت‌های فروشگاه مجازی به مشتری يا صاحب سايت ضربه مالی بزند راهی برای جبران آن نيست.

   باز بايد تاكيد كنم و به خصوص به مديران سرورهای هاستينگ ديگر كه اين نفوذ تنها به سرور زير محدود نيست. در واقع همان طور كه گفتم بسياری از سرورهای ديگر دارای ضعف امنيت هستند. همچنين نفوذها الزاما به يك شيوه خاص نيستند حتی هك ايميل‌ها نيز می‌تواند نتايج خطرناكی به همراه داشته باشد برای نمونه من چندی پيش ايميل مدير فنی يكی از همين شركت‌ها را هك كردم و فكر می‌كنيد در آن چه بود؟ بله ! پسورد چندين دامين ثبت شده! و دوستان آگاه می‌دانند كه اين تقريبا به معنای در اختيار گرفتن اين دامين هاست. و يا مدير ديگری كلمه عبور برخی مشتريان خود را در يك فايل متنی در يك شاخه سايت خود قرار داده و تنها كافيست يك نفر URL آنرا بزند تا كلمه عبور FTP بيش از 30 سايت را دريافت كند!

   من از حركتی كه انجام دادم ناراحت هستم. من نمی‌خواهم با آبروی كسی بازی كنم، صدمه زدن به سايت‌های اشاره شده هدف نهايی من نبوده است. من اميدوارم مديران سرورها به جای تهديد هكرها و يا به جای خوشحالی از هك شدن سرور رقيب به فكر افزايش امنيت سرورهای خود باشند. همچنين اين شايد باعث شود كه صاحبان سايت‌ها در انتخاب سرور هاست دقت بيشتری كنند.

توصيه ای نيز به دوستداران هك و هكر بودن دارم. به جای اين كه وقت خود برای ياد گرفتن چنين كارهايی بگذارند و يا حتی برای آن هزينه كنند، آن را برای ياد گرفتن بخشی مفيد از علم كامپيوتر بگذارند. مطمئن باشند كه ارزش يك برنامه‌نويس از يك هكر بيشتر است. يك هكر موفق در طول عمر خود تعداد معدودی هك موفق خواهد داشت و درحالی كه يك برنامه‌نويس يا يك طراح سايت می‌تواند در تمام لحظه‌های كاری خود فردی موفق باشد.

با سپاس
سايرون