کد QR مطلبدریافت صفحه با کد QR

نقص امنیتی در ایمیل ملی

29 دی 1390 ساعت 8:00

استفاده از پست الکترونیکی داخلی برای کارکنان و مسؤولان وزارتخانه‌ها، سازمان‌ها، شرکت‌ها و... اجباری خواهد بود، اما گویا فعلا برای دیگر کاربران اینترنتی اجباری وجود ندارد.


 سال‌هاست که ارائه پروژه‌ها و طرح‌های گوناگون در حوزه فناوری‌اطلاعات و ارتباطات با واژه ملی بودن گره خورده است. انگار باید هر پروژه‌ای ایرانی، صفت ملی بودن را هم به دنبال خود داشته باشد. از اینترنت ملی، دیتاسنترملی، سیستم عامل ملی و.... که بگذریم، طی یک سال اخیر بسیار از ایمیل ملی شنیده‌ایم. پروژه‌ای که توسط سازمان فناوری اطلاعات کلید خورده است. بنا بر اظهارات مسوولان این سازمان، استفاده از پست الکترونیکی داخلی برای کارکنان و مسؤولان وزارتخانه‌ها، سازمان‌ها، شرکت‌ها و... اجباری خواهد بود، اما گویا فعلا برای دیگر کاربران اینترنتی اجباری وجود ندارد.

ایمیلی برای حفظ امنیت
به گزارش افتانا به نقل از پایگاه خبری شهر الکترونیک، ایمیل ملی از تاریخ ۲۸ مهر ماه سال ۱۳۸۶ به مدیران دولتی و افراد واجد شرایط ارائه شد و تا پایان اسفند همان سال، در حدود ۴۵۰۰ کاربر در این سامانه تعریف شده بود. اما این سامانه به صورت رسمی در اواسط شهریور ماه سال جاری رونمایی شد. برای عضویت در این ایمیل، کافی است علاقمندان به سایت iran. Ir مراجعه و با پر کردن فرم اطلاعات اولیه به مانند دیگر سرویس‌دهنده‌های ایمیل عمل کنند.

بنا بر اظهارات سعیدمهدیون، مدیرعامل سازمان فناوری‌ اطلاعات، امینت پست الکترونیکی ملی به مراتب بالا‌تر از سرویس‌های خارجی است؛ چراکه حداقل اطلاعات حیاتی و عمومی کاربران در داخل قرار دارد. او همچنین اعتقاد دارد که حتی اگر سرویس‌ ملی امن نباشد، باید به آن اطمینان کرد تا با گذشت زمان به استاندارد لازم برسد.
گفتنی است در آینده نزدیک برای بهره‌برداری از خدمات دولت الکترونیک استفاده از ایمیل ملی، برای دستگاه‌های خدمات دهنده و نیز خدمات گیرندگان الزامی و برای تمامی مردم داشتن یک آدرس ایمیل بومی ضروری خواهد بود. به باور مسؤولین، این سرویس‌دهنده می‌تواند بدون هیچگونه محدودیتی به هر تعداد تقاضا برای دریافت پست الکترونیکی پاسخ دهد. همچنین ایمیل ملی در داخل کشور میزبانی می‌شود و کاربران اینترنت می‌توانند در کنار تمامی پست‌های الکترونیکی که هم اکنون در اختیار دارند از این سرویس‌دهنده ایمیل ایرانی نیز استفاده کنند.

ایمیل ملی در مقابل یاهو و جی‌میل
از زمان مطرح شدن ایمیل ملی از سوی مقامات سازمان فناوری اطلاعات و ارتباطات، ابهاماتی نیز درباره عدم امنیت لازم و همچنین موفقیت‌آمیز بودن یا کاربردی شدن آن به میان آمده است. از جمله این که در شرایطی که اکثر کاربران در بخش دولتی یا غیردولتی ترجیح می‌دهند از سامانه‌ای مطمئن و قابل اعتماد و معتبر استفاده کنند، آیا درگاه خدمات الکترونیکی ایران به عنوان بستر ایمیل ملی، این قابلیت را دارد تا با توجه به محبوبیت دو پست الکترونیک یاهومیل و جی‌میل، کاربران ایرانی را مجاب به استفاده از این پست‌ ملی کند.

بنا بر اظهارات سعیدمهدیون، مدیرعامل سازمان فناوری‌اطلاعات، امینت پست الکترونیکی ملی به مراتب بالا‌تر از سرویس‌های خارجی است؛ چراکه حداقل اطلاعات حیاتی و عمومی کاربران در داخل قرار دارد. او همچنین اعتقاد دارد که حتی اگر این سرویس‌ ملی امن نباشد، باید به آن اطمینان کرد تا با گذشت زمان به استاندارد لازم برسد.

مهدیون به ویژگی این سرویس ملی اشاره می‌کند و می‌گوید: در صورت استفاده کاربران از این سامانه، اطلاعات موجود در پست الکترونیکی آن‌ها به خارج از کشور منتقل نمی‌شود؛ این سامانه سه گیگابایت فضا در اختیار کاربران قرار می‌دهد و قابلیت دریافت و ارسال نامه از میل سرورهای دیگر نظیر یاهو یا جی‌میل را نیز دارد.

به اعتقاد مسؤولان سازمان فناوری اطلاعات، جذابیت‌های سرویس‌هایی همچون جی‌میل و یاهو باعث شده است که مردم به طرف استفاده از این سرویس‌ها بروند، بدون این که از خطرات آن اطلاع داشته باشند. در واقع هر کاربر ایرانی با استفاده از این سرویس‌ها به گردانندگان آن‌ها که آمریکایی هستند، اجازه می‌دهند که از اطلاعات آن‌ها استفاده کنند و سازمان فناوری اطلاعات قصد دارد با در اختیار گذاشتن ایمیل مجانی ایرانی از خروج اطلاعات از کشور و سوءاستفاده از آن جلوگیری کند.

هشدارها را جدی نگیرید

یک کارشناس امنیت کامپیوتری: مشکل بزرگ ایمیل ملی این است که اگر گروهی این سایت را هک کنند، کاربر متوجه نخواهد شد که این گواهینامه برای گروه هکر است یا برای سایت اصلی. iran. ir و این ضعف بسیار بزرگی در استفاده از گواهینامه‌های غیرمعتبر است. در حالی مسوولان سازمان فناوری اطلاعات درباره امن بودن ایمیل ملی نسبت به ایمیل‌های خارجی تاکید دارند، باید گفت که این پست الکترونیکی فاقد گواهینامه امنیتی بین‌المللی است. اگر شما اقدام به ثبت‌نام برای دریافت یک ایمیل ملی داشته باشید. حتما با صفحه هشداری از طرف سایت IRAN. IR روبه‌رو می‌شوید. این هشدار شما را به نادیده گرفتن هشدارهای امنیتی از سوی مرورگر‌ها تشویق می‌کند.

در واقع در صفحه نخست این سایت پیش از ثبت نام با عکس و توضیح از کاربران درخواست می‌کند که هشدار مرورگر‌هایی همچون اکسپلورر، فایرفاکس و گوگل کروم برای معتبر نبودن مجوزهای امنیتی را نادیده بگیرند و با پذیرش ریسک به ثبت نام بپردازند. این اتفاق در حالی رخ می‌دهد که مقامات وزارت ارتباطات مرتبا کاربران را به ثبت نام در ایمیل ملی تشویق می‌کنند و در کنار آن اعلام می‌کنند که این ایمیل از امنیت بالایی برخوردار است. اما هر کاربری با دیدن این هشدارها دچار شک می‌شود که آیا واقعا ایمیل ملی ایمن است.

محمد کج‌باف، کار‌شناس امنیت کامپیوتری در توضیح این هشدار امنیتی، می‌گوید: آنچه در این سایت اتفاق افتاده این است که مسؤولان‌، به جای اینکه برای sign کردن ایمیل از گواهینامه‌ ‌(certification)‌های بین‌المللی استفاده کنند، خودشان برای خودشان گواهی صادر کرده‌اند و وقتی شما برای خودتان گواهینامه (certification) صادر می‌کنید، مرورگر کاربران این گواهینامه‌ها را نمی‌شناسد و کاربر مجبور است که این گواهینامه را داخل مرورگر خود به صورت دستی اضافه کند.

براساس اظهارات کج‌باف، برای گواهینامه امنیتی یک سلسله مراتب بین‌المللی وجود دارد. به این صورت که براساس گواهینامه اصلی (certification)، مراکز صدور گواهینامه‌ ‌(certification center)‌های دیگری وجود دارند که گواهینامه صادر می‌کنند. این روند به صورت یک ساختار سلسله مراتبی صورت می‌گیرد. بنابراین هر متقاضی باید از رأس این سلسله مراتب، گواهینامه دریافت کرده باشد تا اطمینان داشته باشیم، این گواهینامه همانی است که ادعا می‌کند.

این کار‌شناس امنیت کامپیوتری به اشکالات گواهینامه ایمیل ملی اشاره و تصریح می‌کند که اشکال این گواهینامه‌ها در این است که مرورگرهایی از جمله فایرفاکس، اینترنت اکسپلورر و کروم (که اغلب کاربران از آن‌ها استفاده می‌کنند)، این گواهینامه داخلی را نمی‌شناسند و نامعتبر تشخیص می‌دهند. به همین دلیل در هنگام ورود به پست الکترونیکی ایران، در یک راهنمایی توضیح داده شده که چگونه کاربر گواهینامه iran. ir را به عنوان گواهینامه مورد اطمینان نصب کند.

کج باف می‌افزاید: این کار اصلا منطقی نیست و مشکل بزرگ زمانی حادث می‌شود که اگر گروهی این سایت را هک کنند، کاربر متوجه نخواهد شد که این گواهینامه برای گروه هکر است و یا برای سایت اصلی. iran. ir و این ضعف بسیار بزرگی در استفاده از گواهینامه‌های غیرمعتبر است.

اما علی‌اصغر انصاری، معاون سازمان فناوری اطلاعات، در خصوص هشدارهایی که کاربران هنگام ثبت‌نام پست الکترونیکی ملی دریافت می‌کنند می‌گوید: هشدار امنیتی که به کاربران داده می‌شود، به خاطر نبود گواهی‌های امنیتی تضمین سایت است. دلیل نبود این گواهی در کشور هم به تحریم‌هایی که با آن روبه‌رو هستیم باز می‌گردد. به همین علت ما به دنبال راه حل‌های فنی هستیم تا بتوانیم مشکلات اخطار و ایمنی این سایت را حل کنیم.


کد مطلب: 310

آدرس مطلب :
https://www.aftana.ir/news/310/نقص-امنیتی-ایمیل-ملی

افتانا
  https://www.aftana.ir