☑️بسته دورکاری مدبران
🔶از زمان آغاز بحران کرونا در کشور پیش بینی میشد که این بحران بسیاری از کسب و کارها را تحت تاثیر قرار خواهد داد و گرایش به سمت دورکاری افزایش خواهد یافت. شرکت مدبران نیز در جهت کمک به تداوم کسب و کار سازمانها اقدام به طراحی بسته دورکاری نموده است. این بسته دورکاری براساس نیازمندیهای متعدد سازمانها شامل گزینه های متعددی است.

🔶با بسته دورکاری مدبران می توانید:
▪️میزکار کارمندان را در بستری امن به خانه هایشان انتقال دهید.
▫️با سیستم Helpdesk درون این بسته به سیستمهای کاربران در خانه متصل شوید و مشکلات آنها را برطرف کنید.
▪️بر نحوه دورکاری کارمندان از راه دور نظارت کنید.
▫️تلفن سازمانی کارمندان را به یک Soft Phone روی گوشی کارمندان در خانه انتقال دهید.
▪️جلسات مجازی سازمان را بدون نیاز به سرویس دهندگان خارجی و بدون محدودیت در تعداد جلسات و نفرات برگزار کنید.
▫️همراه با آنتی ویروس رایگان برای سیستمهای کاربران در خانه

⬅️ لطفا جهت کسب اطلاعات بیشتر با بخش فروش شرکت مدبران تماس بگیرید و یا به @Kiaeifar پیام ارسال نمایید.

🌐 www.modaberan.ir

🌐گفتگو با باب دیاچنکو که درز اطلاعات ۴۲ میلیون کاربر ایرانی تلگرام را گزارش کرد.
▫️اوایل فروردین‌ ماه امسال و در عرض چند روز، سه بار درز اطلاعاتی بزرگ در ایران رخ داد. در هر کدام این موارد، اشتباه‌های فنی باعث شده بود اطلاعات شخصی میلیون‌ها نفر از شهروندان ایران بدون حفاظت در دسترس عموم قرار بگیرد.
یکی از بزرگترین این موارد یکم فروردین‌ کشف و تقریبا ده روز بعد علنی شد؛ نام کاربری و شماره تلفن ۴۲ میلیون کابر ایرانی تلگرام که از پوسته های غیررسمی تلگرام استفاده می‌کردند، بدون اینکه رمز عبوری از آنها محافظت کند، در دسترس عموم بود. بعدتر تایید شد که این داده‌ها دست‌کم توسط یک هکر در یکی از انجمن‌های اینترنتی فروش اطلاعات قرار داده شده بود. این اطلاعات را گروهی به نام «سامانه شکار» برروی یک سرور قرار داده بود.

▫️بعد از این گزارش، گمانه‌زنی‌های بسیاری درباره منبعی که این اطلاعات را در اختیار داشته و آن را پخش کرده، مطرح شد. از جمله این‌که، اطلاعات را یکی از سازمان‌های دولتی یا امنیتی در ایران در اختیار داشته است. سازمان فناوری اطلاعات ایران درز اطلاعات را تایید کرد و گفت که پیش‌تر درباره نسخه‌های غیررسمی تلگرام هشدار داده است. اما درباره چیستی «سامانه شکار» و جزییات مربوط به این درز اطلاعاتی واکنشی نداشت. ‌

▫️باب دیاچنکو، مدیر بخش تحقیقات امنیت سایبری در Comparitech این موضوع را کشف کرده و آن را گزارش داده بود. او بعد از آرام شدن واکنش‌ها، در گفت‌وگوی اختصاصی با یورونیوز درباره درز اطلاعاتی و داده‌هایی که به آنها دست پیدا کرده،‌ توضیح داد:

◾️درباره این‌که داده‌ها شامل چه اطلاعاتی بوده، گزارش‌هایی منتشر شده اما درباره روش جمع‌آوری آنها کمتر کسی می‌داند. می‌توانید بگویید این داده‌ها را چطور و کجا پیدا کردید؟

🗣یکی از کارهای همیشگی من کندوکاو محیط‌های عمومی اینترنت و بررسی داده‌هایی است که روی این فضاهای عمومی در اینترنت قرار داده می‌شوند.

من هکر نیستم. کار من زیر نظر گرفتن جریان داده‌هایی است که دیتابیس‌های باز و بدون حفاظت منتشر می‌شوند. منظورم از این دیتابیس‌ها جاهایی مثل نتایج موتورجست‌وجوست. گاهی در بررسی‌هایم و هنگام جست‌وجو در اینترنت به داده‌هایی برمی‌خورم که نیاز به حفاظت دارند.

داده‌های اخیر را روز ۲۱ ماه مارس (یکم فروردین‌ماه)‌ وقتی در موتور جست‌وجوی «باینری‌اج» BinaryEdge مشغول کار بودم، پیدا کردم. در آن زمان روی یک پروژه درباره «داده‌های متن‌باز» کار می‌کردم. این اطلاعات در یک فضای قابل‌جست‌وجو قرار گرفته بودند و برای دسترسی به داده‌های آنها هیچ رمز عبوری قرار داده نشده بود.

◾️درباره صاحب این داده‌ها و منبع انتشارشان چه اطلاع دیگری دارید؟ درباره منبع این داده‌ها مطالب متفاوتی منتشر شده است. شما دراین‌باره به چه اطلاعاتی برخوردید.

🗣پروژه‌های من به این ترتیب جلو می‌روند: در حین جست‌وجو در فضاهای عمومی اینترنت وقتی به داده‌های عمومی یا هر داده دیگری که بدون هیچ محدودیتی به طور کامل در دسترس عموم است، برمی‌خورم، آنها را برای آنالیزهای بیشتر در آینده جمع‌آوری می‌کنم.
پروژه‌های من به این ترتیب جلو می‌روند: در حین جست‌وجو در فضاهای عمومی اینترنت وقتی به داده‌های عمومی یا هر داده دیگری که بدون هیچ محدودیتی به طور کامل در دسترس عموم است، برمی‌خورم، آنها را برای آنالیزهای بیشتر در آینده جمع‌آوری می‌کنم.
اگر در میان این داده‌ها هر نوع داده خصوصی یا حساسی وجود داشته باشد، من طبق یک سیستم افشای اطلاعات مسوولیت‌پذیر با صاحب داده (شرکت یا سازمانی که اطلاعات را به صورت عمومی در دسترس قرار داده) تماس می‌گیرم. جریان را به آنها اطلاع می‌دهم. دراین تماس، کمک‌شان می‌کنم تا برای محافظت از داده‌های خصوصی‌شان اقدامات امنیتی خاصی را انجام بدهند.
من در روز ۲۴ مارس بعد از این‌که مطمین شدم داده‌های حساسی وجود دارند، با تامین‌کننده خدمات هاستینگ یعنی جایی که اطلاعات روی آن قرار داشت، تماس گرفتم و گزارش را فرستادم. این اطلاعات در نهایت ۲۵ مارس از روی هاست برداشته شد. اما هاست همچنان فعالیت می‌کرد. در روز ۳۱ مارس بعد از مکالمه با مرکز ماهر، این سرور به طور کامل خاموش شد. روشن نیست که چه کسی داده‌ها را در اختیار دارد. چون داده‌ها برروی یک سرور ابری ناشناس قرار داده شده بود. فقط می‌توانم تایید کنم که این داده‌ها را گروهی به نام Hunting System (سامانه شکار) پست کرده بود. این سرور در روز ۳۱ مارس و بعد از صحبت‌ّهایی که در توییتر با سامانه «مرکز ماهر»‌داشتم خاموش شد. تا قبل از آن یعنی از ۲۵ تا ۳۱ مارس،‌ سرور روشن بود اما بانک داده از روی آن برداشته شده بود.

⬅️ ادامه گفتگو


🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

➡️ ادامه گفتگو با باب دیاچنکو که درز اطلاعات ۴۲ میلیون کاربر ایرانی تلگرام را گزارش کرد.
◾️گفتید که اطلاعات را در هنگام جست‌وجو در اینترنت پیدا کرده‌اید. فضایی که در آن داده‌های تلگرام را پیدا کرده‌اید، چقدر برای مردم عادی قابل‌دسترس است؟
🗣این داده‌ها در فضای عمومی اینترنت و برای همه در دسترس هستند. این داده‌ها در یک فضای قانونی قرار داده شده‌اند نه مثلا در جایی که به عنوان دارک‌نت (نت تاریک)‌ معروف شده و برای دسترسی به آن از ابزارهای خاصی باید استفاده کرد. دسترسی به این داده‌ها دانش فنی خاصی نمی‌‌خواهد و برای هرکسی با مرورگرهای عادی امکان پذیر است. موتور جست‌وجویی که من در آن اطلاعات تلگرام را پیدا کردم، چیزی شبیه گوگل است، منتهی با تمرکز روی «اینترنت اشیاء» یا IoT .

◾️تقریبا همزمان با درز این داده‌ها،‌ خبر مشابه دیگری هم که مربوط به داده‌های یک شرکت در ایران بود، پخش شد. به نظرتان این همزمانی دلیل خاصی داشت یا این دو مورد، شباهتی به هم داشتند؟
🗣 فکر نمی‌کنم این درز اطلاعاتی که ناشی از پیکربندی غلط بودند، به هم ارتباطی داشتند یا از روی قصد و غرض بوده باشد. به نظرم مشکل فقط ناشی از یک جور ایراد در تنظیمات است. در تمام این موارد که گفتم، رعایت نکردن قواعد پیکربندی باعث شده چنین مشکلی پیش بیاید و ما در اصطلاح فنی به آن «پیکربندی غلط داده» می‌گوییم. به زبان ساده‌تر در تمام این موارد داده‌ها بدون هیچ رمز عبوری در یک فضای عمومی قرار دارند.

◾️این که اطلاعات مهم و حساس بدون پسورد در فضاهای عمومی قرار داشته باشند، چقدر در دنیا معمول است؟
🗣 قراردادن داده‌های حساس در یک دیتابیس در تمام دنیا یک اتفاق معمول است. اما نکته اینجاست که باید ازاین داده با دست‌کم رمز عبور حفاظت کرد و مطمئن شد که این اطلاعات در دامنه‌های عمومی در دسترس نیستند. متاسفانه این اشتباه در تمام دنیا زیاد از حد رخ می‌دهد و مربوط به یک جغرافیای خاص هم نیست. این‌که خیلی‌ها یادشان می‌رود از اطلاعات‌شان محافظت کنند.
حدود یک سال قبل هم یک درز داده بزرگ مربوط به ایران را پیدا کردم و گزارش دادم. در آن زمان اطلاعات مربوط به یک تاکسی اینترنتی در ایران بود که در شرایط حفاظت‌نشده‌ای قرار داشت. آنجا هم داده‌ها پسورد نداشتند.

🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

⚠️در سال 96 این مناقصه برگزار شده بود. این مناقصه اثبات میکنه که Database هایی در داخل کشور بصورت رسمی وجود دارن که با دادن ID تلگرام یک نفر بهتون شماره موبایلش و سایر مشخصاتش رو برمیگردونه.
اینکه اطلاعات منتشر شده تلگرام در نیمه اول فروردین مربوط به این دیتابیس های رسمی بوده یا پوسته های غیررسمی تلگرام الله اعلم!

🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

⚠️توضیح ضروری در خصوص این مناقصه:
▪️سایت ایتنا خبر این مناقصه رو در اینجا منتشر کرده بود.
▪️رگولاتوری هم در اینجا در جوابیه ای به ایتنا توضیح داده که چرا این مناقصه رو برگزار کرده و توضیح داده که مناقصه منتفی شده.

🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

🔘توضیح رئیس سازمان تنظیم‌ مقررات در خصوص مناقصه تشخیص هویت کاربران تلگرام و واتساپ:
✍«این موضوع به قبل از مسئولیت من به عنوان رئیس سازمان مربوط میشه و هیچگاه هم انجام نشده و فراخوان هم لغو شد. به یاد دارم در آغاز مسئولیت که متوجه شدم شدید برخورد کردم و این کارها هم با هر توجیهی برای همیشه متوقف شد. #حق_الناس»

🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

🔶دعوت به همکاری
🔷تعدادی کارشناس نرم افزار با تخصص های زیر بصورت پروژه ای و دورکاری دعوت به همکاری می شود:
1️⃣ برنامه نویس Java Spring با تسلط به Database
2️⃣ برنامه نویس MVC .Net Core مایکروسافت Full-Stack
3️⃣ برنامه نویس C++/C

☑️از متقاضیان درخواست می شود رزومه خود را به آدرس Jobs@modaberan.ir ایمیل کرده و یا به ID تلگرامی @Kiaeifar ارسال نمایند.

⬛️🔘اگر می‌خواهید در بخش پشتیبانی یک ISP استخدام شوید برای وزیر رزومه بفرستید!!!

⬛️ پ. ن:
1️⃣ دوربین مخفی نیست! کاملا هم واقعیه. 😎
2️⃣ موضوع فقدان کارشناس متخصص بخصوص در سطوح بالاتر بسیار جدی و یک تهدید برای کشور است. یک آگهی بزنید ۵۰۰ تا رزومه میگیرید از بین آنها ۱۰ تا متخصص هستند. دعوت به مصاحبه میکنید فقط ۴ نفر میان. اون ۴ نفر هم احتمال زیاد مشکلات غیرفنی دارند که توسط واحد منابع انسانی رد می‌شوند!

@PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

🔘توصیه هایی برای دورکاری
☑️برای یک دورکاری موثر، فضایی را در خانه به محل کار اختصاص دهید. بهتر است یک اتاق را به عنوان دفتر کار تعیین کنید. اگر با کمبود فضا مواجه هستید یک میز را به طور خاص برای کار در نظر بگیرید.
➖➖➖➖➖➖➖➖➖➖➖
🔷🔸 شرکت مدبران بسته دورکاری کاملی را برای شرکتها و سازمانها با ویژگی های زیر طراحی کرده است:
▪️میزکار کارمندان را در بستری امن به خانه هایشان انتقال دهید.
▫️با سیستم Helpdesk درون این بسته به سیستمهای کاربران در خانه متصل شوید و مشکلات آنها را برطرف کنید.
▪️بر نحوه دورکاری کارمندان از راه دور نظارت کنید.
▫️تلفن سازمانی کارمندان را به یک Soft Phone روی گوشی کارمندان در خانه انتقال دهید.
▪️جلسات مجازی سازمان را بدون نیاز به سرویس دهندگان خارجی و بدون محدودیت در تعداد جلسات و نفرات برگزار کنید.
▫️همراه با آنتی ویروس رایگان برای سیستمهای کاربران در خانه

📌برای اطلاع از جزئیات بیشتر از ویژگیهای فنی این بسته، لطفا درخواست خود را به @Kiaeifar ارسال کنید.

⛔️ جاویدنیا: پس از راه‌اندازی VPN قانونی، مقابله با VPNهای غیرقانونی تشدید می‌شود!

🔘سرپرست معاونت فضای مجازی دادستانی کل کشور اعلام کرده که طراحی فنی VPN قانونی بر عهده وزارت ارتباطات است و هنوز وضعیت نامشخصی دارد، اما پیش‌نویس مسائل قانونی اعطای این VPNها در قوه قضاییه طراحی شده و بخش عمده آن در کارگروه تعیین مصادیق محتوای مجرمانه (کارگروه فیلترینگ) به تصویب رسیده است.

🔘او همچنین تاکید می‌کند که تمامی VPN های موجود در بازار ایران غیرقانونی هستند و در زمان آغاز به کار رسمی VPN قانونی، مقابله با آن‌ها به صورت جدی‌تری دنبال خواهد شد.

🔳پ. ن:
1⃣ به زبان ساده تر: خودمان فیلتر میکنیم و خودمان هم فیلترشکن می‌دهیم!
2⃣ تلاش برای فیلترینگ و سانسور و محدود کردن دسترسی مردم به جریان آزاد اطلاعات ۲۰ سال است که جواب نداده و باز هم جواب نخواهد داد. هر فیلترشکنی را ببندید ۱۰ فیلترشکن دیگر بوجود خواهد آمد. این تسلسل باطل جز اتلاف وقت و سرمایه مردم و بیت المال و بازی با اعصاب و روان مردم چه حاصلی دارد؟

@PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

بیش از یک سال قبل از این دستاورد بومی (درنشان) توسط اعضای شورای عالی فضای مجازی رونمایی شد و هنگام معرفی این دستاورد تاکید شد: «نشان‌ها دریچه‌های ذهن هستند برای برداشت‌هایی از فرهنگ فناوری که با نشانش ارتقا می‌یابد.»
منبع

◾️پ.ن:
در این یک سال اخیر جایی از این اختراع و دستاورد استفاده شده؟

🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

⛔️وقتی با پشتیبانی پارس آنلاین تماس میگیرید و 70 نفر در صف هستند!
⛔️مهم نیست چقدر برای وقت خود ارزش قائل هستید! اگر نیاز به پشتیبانی داشتید باید 2 ساعت در حالت انتظار پشت خط بمانید! اگر هم تلفن شما قطع شد باید برید ته صف!
⬅️ لطفا برسد به دست آقای وزیر و جذب رزومه برای بخش پشتیبانی پارس آنلاین!

@PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

🎥آشنایی با پروتکلهای شبکه های صنعتی و آسیب پذیری های آنها
🔸آسیب پذیری در یک پروتکل صنعتی می تواند باعث نفوذ به شبکه صنعتی یک کارخانه شده و پیامدهای ناگواری مثل انفجار و آتش سوزی در تاسیسات را موجب شود.
🎥در این ویدئوی آموزشی که بخش کوتاهی از دوره های آموزشی چهار روزه امنیت صنعتی برگزار شده توسط شرکت مدبران است با آسیب پذیریهای پروتکلهای صنعتی آشنا می شوید.
🌐 www.modaberan.ir

✅ کاربرد جالب هوش مصنوعی در تشخیص اشیاء ممنوعه زیر دستگاه X-Ray

🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

⚫️جواد جاویدنیا، سرپرست معاونت فضای مجازی دادستانی کل کشور با انتشار متنی خبر از استعفایش داد و مثل آقای خرم آبادی رفتنی شد. حضور ایشان در این جایگاه در مقایسه با عبدالصمد خرم آبادی که در مجموع میانه خوبی با فناوری اطلاعات نداشت از دیدگاه فعالان فضای مجازی یک اتفاق مثبت بود.
▪️آقای جاویدنیا در متن خود از فیلتر نشدن Instagram انتقاد کرده است.

◾️پ.ن:
1- یکی از عجایب و تناقضات فیلترینگ در کشور این است که Youtube که بیشتر جنبه آموزشی دارد فیلتر است اما اینستاگرام که بیشتر جنبه سرگرمی و تفریح دارد فیلتر نیست!
2- شما چه در چین باشید و چه در ایران فرقی نمیکند. تنها 2 کلیک با محتوای فیلتر شده فاصله دارید. (چین بزرگترین کشور سانسور کننده اینترنت است که حتی گوگل را هم فیلتر کرده است.) بنابراین این همه انرژی و هزینه برای فیلتر کردن شبکه های اجتماعی چه تاثیری داشته است؟ توییتر را فیلتر کردید اما مسئولان از طریق آن با همدیگر صحبت می کنند.

🔷آیا وقت آن نرسیده که این همه تناقضات در سیاستهای فیلترینگ و هزینه های بی ثمر پایان یابد؟!

🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

#علی_کیایی‌فر، مدیر توسعه محصول #شرکت_مدبران، درباره #نشت‌های_پی‌درپی_اطلاعات_شهروندان گفته‌است: #نشت_اطلاعات از #سازمان‌های_دولتی و #استارتاپ‌ها ادامه خواهد داشت و خسارت ناشی از آن می‌تواند تبعات ‏امنیتی ‏ملی داشته‌باشد.‏

🖊اطلاعات موجب تسلط بر مردم و تاثیر در سرنوشت آنها می‌شود و حتی بر حاکمیت کشورها و ‏مدیریت‌ها تاثیر می‌گذارد، بنابراین در سطح ملی باید برای این وضعیت نابه‌سامان امنیتی فکری کرد.‏

#افتانا
#امنیت_سایبری
#امنیت_اطلاعات

متن کامل این گفت‌وگو را در لینک زیر بخوانید:

http://www.aftana.ir/fa/doc/interview/16563
@aftana

🔷پرتاب موفقیت آمیز ماهواره NOOR به لحاظ تکنولوژیکی بعد از شکست های مکرر گذشته یک موفقیت بزرگ در فضایی شدن کشور محسوب می شود. تبریک به همه دست اندرکاران و با آرزوی موفقیت های بیشتر.

◾️پ.ن: انتخاب نام NOOR برای این ماهواره ظاهرا کمی بین متخصصان بین المللی هوافضا حاشیه ساز شده. چون پیش از این آمریکا در سال 2019 دو ماهواره را با نام NOOR به فضا پرتاب کرده است. موقعیت ماهواره NOOR 1A متعلق به آمریکا را بصورت آنلاین می توانید از این لیتک ببینید.

🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

🔴قابل توجه Adminهای سازمانهای دولتی
▪️اگر از هر یک از نرم افزارهای مندرج در تصویر فوق استفاده می کنید آگاه باشید که این آسیب پذیری ها Exploitهاشون روی اینترنت موجوده و به فرد مهاجم این امکان رو میده که به سادگی یک Persistent Backdoor به سیستم شما تزریق کنه.
‼️یک بررسی ساده نشون میده هم اکنون هزاران IP (هم دولتی و هم غیر دولتی) در ایران مستعد Exploit با این آسیب پذیری ها هستن.

🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

🔶بیانیه مرکز ماهر درباره نشت اطلاعات پی‌در‌پی شهروندان:
▪️ارتقای هر سیستمی، ازجمله امنیت و حفاظت از داده‌های شهروندان نیازمند دریافت بازخوردها و تصحیح آن سیستم است. همچنین مطالبه‌گری صحیح، نقطه‌ آغازین بهبود و اصلاح هر سیستمی است. پیرو پرسش‌هایی که در خصوص اخبار مربوط به افشای داده‌های شهروندان از مرکز ماهر طرح می‌شود، این مرکز ضمن استقبال از مطالبه‌گری‌ها و حساسیت‌های شهروندان در خصوص این اخبار، لازم می‌داند تا نکات زیر را یادآوری نماید:

▪️مطابق بند ۵-۱ نظام ملی مقابله با حوادث فضای مجازی کشور: «مسئولیت پیشگیری و مقابله با حوادث فضای مجازی هر دستگاه، برعهده بالاترین مقام آن دستگاه خواهدبود.» به این ترتیب مسئولیت اصلی در پاسخ به سوالات امنیت بانک‌های داده و اطلاعات در وهله اول برعهده بالاترین مسئول دستگاه است.
🔗منبع

▪️مرکز ماهر بر اساس چارچوب‌های قانونی و ماموریت‌های محوله گزارش خود را در خصوص حوادث، صرفا برای مقامات مسئول ارسال می‌کند؛ هرچند پس از اتمام بحران این مرکز این حق را برای خود قائل است تا به تدوین گزارش‌هایی عمومی (با حفظ امنیت و حریم خصوصی داده‌ها) اقدام نماید تا به عنوان وظیفه ذاتی هر جزء از سیستم با ارائه بازخوردهای مناسب گامی جهت ارتقای و بهبود نظام حکم‌رانی داده بردارد.

▪️مرکز ماهر به این اصل اعتقاد دارد که مقابله با آن دسته از حوادث فضای مجازی کشور که منجر به افشای داده‌های شهروندان می‌شود، باید به‌صورت متمرکز و کاملا تخصصی، صرفا به یک مرکز مستقل دولتی واگذار شود تا امکان بررسی مستقل، بدون جانبداری، همراه با واکنش سریع و همچنین ایجاد زمینه مناسب برای اطلاع‌رسانی به‌موقع و باکیفیت همراه با انباشت دانش امنیت داده برای حفظ منافع ملی فراهم آید.

▪️مرکز ماهر بر اساس وظایف ذاتی و قانونی خود موارد متعددی از این دست را همواره کشف و یا از افراد دلسوزی که به‌صورت مسئولانه و صادقانه اطلاع‌رسانی می‌کنند دریافت می‌کند. تمام این موارد پس از بررسی‌های فنی جهت راستی‌آزمایی و استخراج شواهد و راهکار مقابله بر اساس چارچوب‌های قانونی به‌صورت محرمانه به صاحبان سرویس‌ها و داده‌ها اطلاع‌رسانی می‌شود و تلاش دارد تا در صورت نیاز برای مقابله با آن اقدام عملیاتی مناسب انجام دهد.

▪️دعوت همیشگی مرکز ماهر از تمام متخصصان و کارشناسان امنیت سایبری این است که در صورت مشاهده هرگونه افشای غیرمجاز یا آسیب‌پذیری در سامانه‌های بومی آن را از طریق کانال‌های ارتباطی مرکز ماهر اطلاع‌رسانی کنند. طبیعتا اعلام عمومی یک داده افشا شده یا یک آسیب‌پذیری امنیتی از طریق رسانه و شبکه‌های اجتماعی بدون اطلاع قبلی به خود قربانی یا به نهادهای مسئول مانند مرکز ماهر یا مرکز افتا ریاست جمهوری، حرکت سازنده و همراه با مسئولیت اجتماعی محسوب نمی‌شود.

▪️در انتها به سازمان‌ها و دستگاه‌های مختلف یادآور می‌شود که «سکوت، پاسخ‌گویی مناسب نیست؛ بلکه تنها سرمایه اجتماعی را کاهش می‌دهد»؛ هرچند شهروندان و مطالبه‌گران از مرجع پاسخ‌گویی آگاهی نداشته‌باشند. امید می‌رود صاحبان بانک‌های اطلاعاتی که داده‌ها و اطلاعات شخصی مردم به صورت امانت در اختیار آنهاست، نه‌تنها نسبت به حفظ این امانت و حریم خصوصی شهروندان، هم بر اساس قانون و هم بر اساس مسئولیت اجتماعی، حساسیت لازم را داشته‌باشند؛ بلکه با پاسخ‌گویی مناسب بتوانند امنیت روانی عمومی را نیز فراهم‌آورند.

◾️پانوشتی بر اطلاعیه مرکز ماهر:
1️⃣هنگام نگارش این متن، سایت مرکز ماهر در دسترس نبود! لذا منبع این اطلاعیه یکی از خبرگزاری ها معرفی شده است.
2️⃣دعوت مرکز ماهر از متخصصان برای گزارش کردن آسیب پذیری ها به این مرکز قابل تقدیر است. اما آیا نباید بستری وجود داشته باشد تا شأن متخصصان خیرخواهی که آسیب پذیری ها را گزارش می کنند حفظ شود؟
چندی پیش یک DB بدون Password با بیش از 300 گیگابایت اطلاعات روی IPهای سازمان فناوری اطلاعات کشف شد (توسط یکی از مخاطبین کانال) و بلافاصله به مرکز ماهر اطلاع رسانی شد. بعد از چند روز تاخیر مشکل برطرف شد. اما گفته شد چیز مهمی نبوده است! همزمان حداقل 5 مورد آسیب پذیری قطعی در سازمانهای دیگر به مرکز ماهر اعلام شد اما کسی مستندات را مطالبه نکرد. آیا با این رویه مرکز ماهر، انگیزه ای برای گزارش مشکلات توسط متخصصان دلسوز و هکرهای کلاه سفید باقی می ماند؟
3️⃣مرکز ماهر باید خانه امن همه متخصصان امنیت و هکرهای کلاه سفید باشد. این همکاری بدون تخصیص پاداش نه مفهومی دارد و نه دوامی. مرکز ماهر باید برای کسب موفقیت در جلب مشارکت هکرهای کلاه سفید ساز و کار مالی و بودجه در نظر بگیرد و به گزارشات Bugها پاداش متناسب بدهد. Bugها می توانند از گزارش یک آسیب پذیری کوچک در یک استارتاپ باشند تا گزارش Access level 15 به Router یک وزارتخانه!
4️⃣مجددا تاکید می شود مشکل اصلی ما ضعفهای انبوه قانونی در صیانت از حقوق شهروندان است. ما نیاز مبرم به نسخه بومی سازی شده GDPR داریم. در GDPR فقط بحث جرائم مطرح نیست. GDPR کمک می کند که سازمانها الزاماتی را در پیاده سازی رعایت کنند تا امنیت کاربران کمتر به خطر بیفتد. علاوه بر این، هیچ قانونی وجود ندارد که از هکرهای کلاه سفید محافظت کند. آیا مرکز ماهر می تواند تضمین بدهد که علیه هکرهای کلاه سفید که مشکلات امنیتی را به مرکز ماهر گزارش می دهند پرونده قضایی به جرم تلاش برای ورود غیرمجاز به سیستم های اطلاعاتی دولتی تشکیل نخواهد شد؟
5️⃣ مرکز ماهر زیر مجموعه دولت محسوب میشود. اما نباید لختی سیستم های دولتی در مرکز ماهر دیده شود. مرکز ماهر باید چابک و سریع و وسط میدان باشد و بطور موثر به موضوعات رسیدگی کرده و یا اطلاع رسانی کند.
6️⃣ امیدواریم این نقدها که صرفا از سر دلسوزی است و درد دلهای بسیاری از متخصصان دلسوز کشور است به گوش دوستان عزیز ما در مرکز ماهر و سازمان فناوری اطلاعات برسد و مرکز ماهر کمی از پشت پرده بیرون بیاید و زمینه را برای جلب مشارکت عمومی کارشناسان و متخصصان فراهم کند. آسیب پذیری ها بسیار زیاد است. خیلی فراتر از آنچه که خبرهایش منتشر می شود. مرکز ماهر نمی تواند به تنهایی از عهده این حجم از آسیب پذیری ها و رخنه ها برآید. همه ما باید به هم کمک کنیم.

🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات