https://virgool.io/feed/@seyf علاقمند به تکنولوژی :) fa 2026-06-10 15:10:07 https://static.virgool.io/images/default-avatar.jpg https://virgool.io/@seyf https://virgool.io/@seyf/espionage-gps-signals-and-v32-numbers-station-etadft8kprs1 شاید تصور کنیم سامانه موقعیت‌یاب جهانی (GPS) صرفاً ابزاری برای ناوبری روزمره است، اما به نظر می‌رسد ارتش آمریکا از تقریباً دو دهه پیش، استفاده دیگری هم از این سامانه کرده: پخش پنهان کدهای رمزنگاری شده برای شبکه ارتباطی خود.به تازگی استیون مرداک (محقق امنیتی و از سلاطین خالق شبکه tor)، کشف کرده که ماهواره‌های GPS عملاً به «ایستگاه‌های اعداد» مخفی تبدیل شده‌اند. این مفهوم در دنیای جاسوسی به فرستنده‌هایی گفته می‌شود که پیام‌های رمز شده را برای عوامل خود پخش می‌کنند بدون آنکه عموم مردم از محتوای آن آگاه شوند.نکته قابل تامل اینجاست: هر دستگاهی که از GPS استفاده می‌کند (از گوشی‌های هوشمند گرفته تا دستگاه‌های ناوبری خودروها) طی سال‌های گذشته، این سیگنال‌های پنهان را دریافت کرده، بدون آنکه کاربران عادی یا حتی کارشناسان غیرنظامی از وجود آن مطلع بوده‌اند.مرداک در تحقیقات خود به یک نمونه مشخص دست یافته: در تاریخ ۲۶ مه ۲۰۱۱، هر ۳۱ ماهواره عملیاتی GPS، ظرف چند ساعت یک پیام خاص و یکسان را ارسال کرده‌اند. او با تطبیق این تاریخ با اسناد غیرمحرمانه شده، از جمله ارائه‌ای مربوط به سال ۲۰۱۵ (در انتهای همین مقاله لینک شده)، متوجه شد که این رویداد دقیقاً با راه‌اندازی دو سامانه نظامی به نام‌های OTAD (Over-the-Air Distribution یا همان توزیع بی‌سیم کلیدهای رمز) و OTAR (Over-the-air rekeying یا همان تعویض بی‌سیم کلیدهای رمز) همزمان بوده است.به گفته خود مرداک: «تطابق کامل میان زمان‌بندی ارائه و نقاط تغییر شناسایی شده از داده‌ها، همان مدرک قاطعی بود که مرا به این نتیجه رساند که هدف این سیگنال‌ها دقیقاً همین بوده است.»این سامانه‌های خودکار، جایگزین روش پیشین و دشوار توزیع دستی کلیدهای رمز شده‌اند. پیش از این، ارتش آمریکا برای به‌روزرسانی رمز دستگاه‌های خود در نقاط مختلف جهان، مجبور به انجام عملیات حضوری و پرهزینه بود. اما اکنون، هر گیرنده GPS نظامی در هر نقطه از کره زمین می‌تواند از طریق همین ماهواره‌ها، بدون نیاز به حضور نیروی انسانی، رمز خود را تغییر دهد.ایستگاه اعداد V۳۲: بازگشت جاسوسی کلاسیک در عصر جنگ‌های مدرندر ادامه همین بحث درباره روش‌های پنهان ارسال پیام‌های جاسوسی، نمی‌توان از پدیده‌ای تازه و مرتبط گذشت که در ماه‌های اخیر توجه بسیاری از کارشناسان و علاقه‌مندان به ارتباطات مخابراتی را به خود جلب کرده است: ایستگاه اعداد فارسی v۳۲.این ایستگاه عجیب و غریب، نخستین بار در نهم اسفندماه ۱۴۰۴ یا همان ۲۸ فوریه ۲۰۲۶، یعنی حدود ۱۲ ساعت پس از آغاز حملات ایالات متحده و اسرائیل به ایران، روی امواج کوتاه ظاهر شد. برنامه پخش آن روزانه دو بار (ساعت‌های ۰۲۰۰ و ۱۸۰۰ به وقت گرینویچ) است. در این پخش، صدای مردی ابتدا سه بار کلمه «توجه» را تکرار می‌کند و سپس رشته‌هایی از اعداد پنج‌رقمی را به زبان فارسی می‌خواند. [نمونه صدای پخش شده از ایستگاه رادیویی اعداد فارسی]ایستگاه‌های اعداد یا Numbers Station یکی از روش‌های کلاسیک برای ارتباط رمزنگاری شده از راه دور برای کاربردهای نظامی/امنیتی استبا وجود تلاش‌های فراوان برای پنهان کردن مبدأ سیگنال، علاقه‌مندان رادیویی با استفاده از روش‌های جهت‌یابی (triangulation) موفق شدند منبع پخش را در ناحیه بادن-وورتمبرگ آلمان، دقیقاً در محدوده پایگاه‌های نظامی آمریکا در اطراف شهر اشتوتگارت (شامل پادگان بوپلینگن و پچ بارَکس) شناسایی کنند. تحلیل‌گران معتقدند که گردان ۵۲ ارتباطات راهبردی ارتش آمریکا که در همین پایگاه مستقر است، احتمالاً مسئول فنی این پخش‌هاست.جالب‌ترین نکته این است که ایران از اوایل مارس ۲۰۲۶ (اسفند ماه ۱۴۰۴) تلاش‌های جدی برای پارازیت‌اندازی (jamming) روی فرکانس‌های V۳۲ آغاز کرد. این واکنش تهاجمی از سوی ایران، نشانه غیرمستقیم اما مهمی است مبنی بر اینکه این پخش‌ها تهدیدی جدی برای منافع ایران تلقی می‌شود. در پاسخ، V۳۲ چندین بار فرکانس خود را تغییر داده تا از اختلال فرار کند.در خاتمه باید گفت که این کشف، جنبه دیگری از فناوری به ظاهر غیرنظامی GPS را رو می‌کند؛ فناوری که همزمان در خدمت کاربری روزمره شهروندان و نیز ارتباطات راهبردی ارتش آمریکا قرار دارد. هرچند وجود چنین لایه‌های پنهانی در سیگنال‌های مختلف از GPS گرفته تا امواج رادیویی دیگر، لزوماً به معنای تهدید برای عموم نیست، اما آگاهی از آن، درک ما را از سیستم‌هایی که هر روز به آنها وابسته‌ایم، عمیق‌تر می‌کند.Sources:The U.S. Military Quietly Turned GPS Into a Global ‘Numbers Station,’ Evidence Suggestshttps://archive.gps.gov/multimedia/presentations/2015/04/partnership/tyley.pdf رضاسیف رضاسیف Wed, 10 Jun 2026 00:36:20 +0330 https://virgool.io/@seyf/stuxnet-dvjculgoat66 این نوشتار روایت یک داستان کاملا واقعیست درباره استاکس‌نت. نرم‌افزاری که تاسیسات هسته‌ای مارا از کار انداخت و شروع دور جدیدی از بحث‌های امنیت سایبری در کشور شد که باعث تشکیل یکی از قویترین ارتشهای سایبری جهان شد که نیوزویک از آن بعنوان بزرگترین تهدید برای ایالات متحده نام میبرد. هیچکس درباره ماجرای آن و اتفاقاتی که درتاسیسات رخ داده نوشتار کاملی به فارسی منتشر نکرده. این مقاله، "جامع‌ترین" و "درست‌ترین" نوشتار درباره استاکس‌نت است که برای اولین بار به فارسی و در پلتفرم ویرگول با نام کاربری @seyf منتشر میشود. بعد از گذشت سالها و مشخص شدن بسیاری از جنبه های فنی و سیاسی ماجرا، الان، درست‌ترین زمان برای انتشار این نوشتار است که امیدوارم باعث آگاهی بیشتر همکاران و هموطنان درباره معایب استفاده از سیستم های قدیمی و ناامن و انواع روشهای حمله سایبری شود. پرونده استاکس‌نت: پیچیده‌ترین نرم‌افزار تاریخدر اتاق را ببندید. صحبت خصوصی است.پیچیده‌ترین نرم‌افزار تاریخ بشریت توسط افرادی نوشته شد که هیچگاه اسمشان به رسانه‌ها درز پیدا نکرد.این نرم‌افزار ، یک ورم (worm) کامپیوتری است. تاریخ نوشته شدندش براساس حدس و گمان‌ها بین سالهای ۲۰۰۵ و ۲۰۱۰ اتفاق افتاده. بدلیل پیچیدگی‌های بسیار زیاد این کرم کامپیوتری، از شرح جزئیات فنی در این مقاله اجتناب میکنم.مرحله صفر: ورود فیزیکیاین کرم کامپیوتری در ابتدا برروی یک فلش USB آماده شده بود. کسی این فلش را در کنار دستش پیدا کرده یا از ازطریق ایمیل آنرا دریافت کرده و درباره محتویاتش کنجکاو شده. (سوال: ازکجا؟ چه کسی؟)زمانیکه این فلش وارد کامپیوتر ویندوزی شده، بدون اینکه کاربر متوجه شود ، سریع خودش را اجرا کرده و یک کپی از خود را روی سیستم موردنظر نصب کرده. متاسفانه تقریبا تمامی شرکت های دولتی و خصوصی کشورمان از ویندوز بجای لینوکس در محیط های حساس استفاده میکنند و زمانیکه شرکت زیمنس درحال راه اندازی تاسیسات هسته ای ما بود، بنا به دلایل نامشخصی (شاید خیانت داخلی‌ها یا دسیسه خارجیها) ویندوز را بعنوان سیستم عامل اصلی انتخاب کردند. در کمترین حالات ممکن ، سه روش برای اجرای خود برروی سیستم مذکور پیش‌روی این کرم کامپیوتری بوده، که مطمئن شود درصورتیکه اولین تلاش برای اجرای خود بی‌ثمر ماند، راه‌های بعدی را امتحان کند. درزمانی که این کرم کامپیوتری نوشته شده حداقل دو روش از این سه، کاملا جدید بودند و هیچ نرم افزار امنیتی قادر به کشف آنها نبوده است. چون آن دو روش جدید، برروی آسیب پذیریهای کاملا جدید ویندوز ساخته شده بودند که در اصطلاح امنیتی به آنها Zero-Day Exploit میگویند. این دو روش بعد از حمله این کرم کامپیوتری به اطلاع اذهان عمومی و جامعه امنیتی رسید. (سوال: چرا؟)مرحله اول: استقرار بعد از استقرار روی اولین سیستم قربانی، نرم افزار تلاش کرده که دسترسی Administrator (کاربر مدیرسیستم) را بدست گیرد. قسمت جالب اینجاست که برای این کرم کامپیوتری اصلا مهم نبوده نرم‌افزار امنیتی نظیر آنتی‌ویروس روی سیستم نصب بوده یا خیر: کرم کامپیوتری براحتی نرم افزار امنیتی را از کار انداخته ویا بدور از چشم آن فعالیت میکرده. (سوال: چطور از نرم‌افزار امنیتی نصب شده اطلاع داشته که برای دور زدنش نقشه کشیده باشد؟) برحسب نسخه ویندوز نصب شده روی سیستم قربانی اول، یک روش مخفیانه برای گرفتن دسترسی کامل مدیریتی سیستم که تا آن زمان ناشناخته بوده اجرا کرده و کنترل کامل اولین قربانی را بدست گرفته. تا زمانیکه این کرم کامپیوتری انتشار نیافته بود، هیچکس از وجود چنین خطاهایی (باگ هایی) در سیستم عامل ویندوز باخبر نبوده است.در این مرحله ، این کرم کامپیوتری قادر بوده زیر لباس سیستم عامل مذکور به بقاء خویش ادامه دهد و بدون اینکه هیچ نرم افزار امنیتی متوجه وجود آن شود ، برای مرحله بعدی منتظر بماند. این نرم افزار، بسیار مخفیانه و امن خود را به سیستم عامل وصله کرده بصورتیکه حتی اگر شما بصورت فیزیکی دنبال فایل این ویروس میبودید، چیزی پیدا نمیکردید. تنها دلیلی که این نرم افزار بمدت یکسال بدور از چشم تمامی شرکت های امنیتی جهان مخفی بماند: چون از لحاظ فیزیکی این کرم اصلا "وجود خارجی نداشت!!".مرحله دوم: اطلاع رسانی به مرکز فرماندهیبعد از استقرار امن روی اولین قربانی، نرم‌افزار شروع به پیدا کردن روش‌هایی برای اتصال به شبکه جهانی اینترنت کرده. جالب است بدانید که درصورتیکه سیستم اولین قربانی ، به اینترنت متصل نبوده، این کرم شروع به پیدا کردن و مسیریابی پیچیده (routing) بین کامپیوترهای موجود در شبکه مینموده تا دسترسی به اینترنت پیدا کند. بعد از برقراری ارتباط با اینترنت، شروع به برقراری یک ارتباط امن با آدرس های زیر میکند: http://www.mypremierfutbol.com و http://www.todaysfutbol.com .در زمان حمله سرورهای میزبان این دو آدرس اینترنتی، بترتیب در مالزی و دانمارک مستقر بوده‌اند. بعد از ارتباط با یکی از این دو آدرس ، یک ارتباط رمزنگاری شده (encrypted) ایجاد میکند و از طریق یک پیغام رمزنگاری شده ، به فرماندهی (C&C) اطلاع میدهد که موفق به استقرار روی یک سیستم جدید ویندوزی شده. سپس نسخه جدیدتر خود را بصورت اتوماتیک دریافت کرده و خود را بروزرسانی میکند.مرحله سوم: انتشار بزرگدر این مرحله، این کرم شروع به تجسس و انتشار خود میکند. از فلش مموری‌های USB گرفته تا ایمیل و سایر روش‌های انتقال دیتا. نرم افزار اینکار را با نصب یک درایور جعلی سخت‌افزاری که به دقت طراحی شده انجام میداد. این درایور که بصورت دیجیتال با برند Realtek امضاء شده بود که بدین‌معنا بود که نرم‌افزار (یا سازندگان آن) توانسته بود به امن‌ترین قسمت شرکت تایوانی Realtek نفوذ کنند و ظاهرا بدون آنکه این شرکت مطلع شود محرمانه ترین اطلاعات آنرا بدزدند: کلید امنیتی که realtek با آن درایورهایش را امضا و منتشر میکند. بعد از مدتی کسانیکه این درایور را نوشته بودند شروع به امضا کردن این درایور با کلیدهای محرمانه یک شرکت تایوانی دیگر کردند: شرکت JMicron. شرکت دیگری که محرمانه ترین اطلاعاتش به غارت رفته بود.همانطور که گفتیم ، این نرم‌افزار پیچیده‌ترین نرم‌افزار قرن ماست. واقعا پیچیده. چرا که بعد از اینهمه مراحلی که طی کرده هنوز "کارش رو شروع نکرده"!در مرحله اول که نرم‌افزار از دو آسیب‌پذیری جدید ویندوز برای انتشار خود استفاده کرده بود، یکی از آنها متعلق به پرینترهای تحت شبکه بود و دیگری مربوط به فایلهای تحت شبکه (NFS). در این مرحله شروع به تجسس کل شبکه داخلی کرده، پرینترهای تحت شبکه را پیدا و با آلوده کردن پرینترها ، دسترسی کامل تمامی سیستم های متصل به آن پرینترها را نیز بدست آورده است. مرحله چهارم: تسخیر هدف اصلیحالا این کرم، به جستجوی اطراف خود برای یک هدف و دستگاه بسیار خاص ادامه میدهد. با داشتن شبکه ای از کامپیوترهای آلوده، پیدا کردن هدف برایش بسیار آسانتر شده. چون الان در تمامی کامپیوترها، پرینترها و کل شبکه حضور دارد. این هدف چیزی نیست جز نرم افزار کنترل صنعتی که توسط شرکت زیمنس برای اتوماسیون وسیع ماشین‌آلات صنعتی توسعه داده شده. بعد از پیدا کردن این نرم‌افزار ، از یک باگ امنیتی ناشناخته و جدید دیگر برای کپی‌کردن خودش در کنترلر ماشین‌های صنعتی میکند. زمانیکه نرم‌افزار این کنترلر را تحت اختیار میگیرد ، دیگر خلاص شدن از این نرم‌افزار با عوض کردن کامل سیستم های ویندوزی هم امکان‌پذیر نیست: این کرم حالا در سخت افزارهای غیرمتعارف که به ذهن هیچکسی خطور نمیکند هم حضور دارد و میتواند از آنها بجای پی سی ویندوزی استفاده کند.نرم‌افزار باز به جستجویش در هدف ادامه میدهد: به دنبال موتور الکتریکی صنعتی که نرم افزار کنترل آنرا در اختیار دارد میگردد آنهم از دو نوع خاص: یکی که شرکت سازنده اش در فنلاند مستقر است و دیگری که ایرانیست.این دو موتور صنعتی که بدنبالش میگردد ، در صنعت به آنها درایو فرکانس متغیر میگویند. از آنها برای سانتریفیوژهای غنی سازی اورانیوم استفاده میشود. برای غنی سازی اورانیوم، دانشمندان هسته ای این موتورها را بین ۸۰۰ تا ۱۲۰۰ هرتز تنظیم کرده بودند، نرم افزار این موضوع را میفهمد و بدنبال موتورهایی با این فرکانس میگردد.مرحله پنجم: خواب!خواب؟؟ بعد از تسخیر همه سانتریفیوژها ؟؟ جواب مثبت است چون اسم پیچیده‌ترین نرم‌افزار تاریخ را یدک میکشد. حالا دقیقا چه اتفاقی بعد از مرحله چهارم در تاسیسات هسته ای ما رخ داد؟ بخوانید:در این نقطه که کرم کنترل کامل سانتریفیوژها را در دست داشت میتوانست هرکاری انجام دهد . میتوانست همه آنها را خاموش کند، یا همه سانتریفیوژها را در یک لحظه با افزایش سرعت موتورها تبدیل به بمب ترکش‌دار کند و دانشمندهایی که در نزدیکی دستگاه ها بودند را بقتل برساند و کل ماجرا را تمام کند، اما هیچ کدام از این کارها را نکرد و راه سختتری برای بهم ریختن تاسیسات انتخاب کرد: راهی بدون قربانی کردن انسان و روشی به مراتب پیچیده‌تر.و نرم افزار به مدت و دلایل نامشخصی بخواب میرود: حدس و گمان ها از چند ثانیه تا چند هفته بوده (کمتر از یکماه کامل).مرحله ششم: تخریببعد از ثانیه‌ها، روزها و شاید هفته ها،باز به دلایل و مبناء نامشخصی، نرم افزار زمان را مناسب تشخیص داده و بدون جلب توجه و به صدا درآوردن آلارم خاصی به آرامی از خواب برمیخیزد. چند سانتریفیوژ که درحال غنی سازی اورانیوم هستند را به صورت تصادفی انتخاب میکند، آنها را قفل میکند تا اگر انسانی متوجه نقص عملکرد دستگاه شد ، نتواند سیستم را خاموش کند. سپس مخفیانه شروع به دستکاری سرعت آنها میکند: نه آنقدر زیاد که دستگاه منفجر شود و نه آنقدر کم که کسی متوجه خرابی آن شود، کمی بیشتر یا کمی کمتر از میزان استاندارد تا اورانیوم داخل سانتریفیوژها را با افزایش فشار گاز UF6 تبدیل به تفاله کند.از طرفی دیگر، مقدار فشار گاز UF6 داخل سانتریفیوژ که به شدت کشنده است را از حد استاندارد بالاتر میبرد نه به حدی که سانتریفیوژ ، اورانیوم هارا تبدیل به سنگ کند و دستگاه منفجر شود. "سانتریفیوژها با سرعت خیلی کم ، سرعت خیلی زیاد و اجسام سخت داخل آن، منفجر میشوند. "درباره آخرین ایده واقعا شیطانی این کرم نرم‌افزاری، هنوز چیزی ننوشته ام.همزمان با همه اینکارها ، حین حمله به تاسیسات و دستکاری کردن سرعت سانتریفیوژها،برای پرسنلی که وظیفه پایش و مانیتورینگ سیستم را دارند، دیتای ۲۱ ثانیه‌ای ضبط شده از صفحه نمایش مانیتورینگ تاسیسات را پخش میکند که همه چیز را "نرمال" نشان میدهد! چون سانتریفیوژها را در حالت قفل (lock) گذاشته و تنها سیستم مانیتورینگ میتواند آنها را متوقف کند. این فیلم ۲۱ ثانیه ای زمانی توسط ویروس ضبط شده که همه چیز درحال کار عادی بوده اند! و حالا موقع حمله در حالت تکرار بصورت لوپ بازپخش میشوند.همانطور که میشود حدس زد، تمامی اطلاعات مربوط به سانتریفیوژها در پنل مانیتورینگ برای پرسنل مربوطه عادی و نرمال بودند.در حالیکه درحال نمایش فیلم ضبط شده صفحه توسط کرم بودند!آنچه در تاسیسات اتفاق افتادبیایید فرض کنیم که شما مسئول غنی‌سازی اورانیوم توسط این تاسیسات هسته ای هستید و همه چیز بنظر عادی و خوب بنظر میرسند. شاید بعضی از موتورها صدایشان کمی بیشتر یا کمتر از حالت معمولیست اما تمامی اعداد و ارقام در صفحه نمایش سیستم مانیتورینگ ، اعداد درست و منطقی هستند که باید باشند.سپس سانتریفیوژها یکی پس از دیگری شروع به خراب شدن میکنند. بصورت کامل تصادفی بدون هیچ الگو و منطقی ، پشت سرهم و بدون هیچ عارضه‌ای. و اورانیوم شما که میبایست خالص باشد ، دیگر خالص ، قابل استفاده و یا قابل بازیابی هم نیست.اگر شما مسئول چنین تاسیسات مهم و استراتژیک و خطرناکی بودید چکار میکردید؟ مطمئنا همه چیز را بارها و بارها چک میکردید اما دلیل این ازکارافتادن‌هارا متوجه نمیشدید. شما میتوانستید تک تک کامپیوترها و دستگاه های تاسیسات خود را جایگزین کنید اما باز مشکل حل نشده باقی میماند و سانتریفیوژ بلافاصله از کار میافتاد.جلوی چشم شما حدود ۱۰۰۰ سانتریفیوژ از کار می‌افتاد و یا آفلاین میشدند بدون آنکه دلیلش را بفهمید.این داستان کامل استاکس‌نت بود و چیزی که در صحنه اتفاق افتاد.شما هیچوقت نمیتوانستید تصور کنید که تمامی این مشکلات توسط یک نرم افزار کرم کامپیوتری رقم خورده باشند. پیچیده‌ترین و باهوش‌ترین نرم افزار مخربی که دنیا به خود دیده. نوشته شده توسط تیمی از نوابغ ناشناس با بودجه و منابع نامحدود. فقط با یک هدف: "پشت سر گذاشتن کل تجهیزات امنیتی و دفاعی دیجیتال، نفوذ و تخریب زیرساخت تاسیسات هسته‌ای کشورمان، ایران، حالا چه برای مقاصد صلح آمیز چه برای مصارف نظامی، بدون از دست دادن یا بازداشت یک نفر"داشتن یک نرم‌افزار که یکی از کارهای بالا را بصورت سیستماتیک انجام دهد ، معجزه کوچکی حساب میشود اما داشتن یک نرم افزار با کل تواناییهای استاکس‌نت، بزرگترین معجزه قرن را رقم میزند.جنبه‌های فنیبرای مطالعه جنبه های فنی میتوانید از پرونده گزارش شرکت سیمانتک درباره استاکس‌نت دیدن کنید. مطالعه مقاله ویکی‌پدیا درباره استاکس‌نت و گزارش شرکت لانگنر خالی از لطف نیست.پی‌نوشت: از اینکه این مطلب را به اشتراک میگذارید متشکرم :) رضاسیف رضاسیف Mon, 09 Jul 2018 20:24:35 +0430 https://virgool.io/@seyf/gdpr-ta0k1x22nwdn تابحال درباره "قانون حفاظت عمومی داده" (General Data Protection Regulation یا به اختصار GDPR) که از ۴ خرداد ۱۳۹۷ در اروپا لازم-الاجرا خواهد شد شنیده‌اید؟!آیا برای GDPR آماده هستید؟بعد از رسوائی که فیسبوک با افشاء اطلاعات کاربرانش به بار آورد ، کمیسیون اروپا برای هماهنگ کردن قوانین مربوط به حفاظت از اطلاعات و حریم خصوصی شهروندانش در محدوده اروپا ، این قانون را از ۴ خرداد ۱۳۹۷ (۲۵ می ۲۰۱۸) لازم-الاجرا کرد. لذا اگر شما صاحب استارتاپ هستید و ممکن است شهروندان اروپایی از سرویس و خدمات شما استفاده کنند بهتر است زیرساخت خود را برای حفاظت از اطلاعاتشان آماده کنید.قانون حفاظت عمومی داده (GDPR) ، بر حفاظت اطلاعات کاربران بر اساس اصول پایه‌ای که در اینجا قید شده تاکید میکند تا دنیا بطور امن به سمت داده محور شدن حرکت کند.بر اساس این قانون ، در صورت نشت دیتا از سازمانی که اطلاعات شهروندان اروپائی را نگه‌داری میکند، رویه های خاصی برای پاسخگویی آن سازمان/شرکت به کمیسیون اروپا ویا سازمان های مربوطه طراحی شده که دانستن این رویه‌ها و مراحل ، به کسانی نظیر ما که توسعه‌دهندگان و طراحان سیستم‌های نرم‌افزاری و داده-محور هستیم ، کمک میکند در صورت جهانی شدن این فرآیند -که چیزی دور از ذهن نیست- به خوبی به استقبال آن برویم.در این پست ، باهم به سراغ بررسی چارچوب های حفاظت از داده که GDPR مشخص کرده میرویم و چگونگی پیاده سازی پلتفرم‌های نرم‌افزاریتان با این قوانین را بررسی میکنیم.فقط مربوط به اروپا نیست.همه ما اخبار مهیجی درباره جریمه‌های بزرگ نشت اطلاعات کاربران در شرکت‌های خارجی شنیده‌ایم. هرچند کشور ما با این استانداردها ، چند میلیون سال نوری فاصله دارد ولی قانون جدید حفاظت عمومی داده (GDPR) ، تمامی نهادها، موسسات ،شرکت‌ها و حتی آژانس‌های دولتی سرتاسر جهان را که اطلاعات شهروندان اروپا را جمع‌آوری و نگه‌داری میکنند (حتی درصورتیکه حضور فیزیکی در خاک اروپا ندارند) را شامل میشود که ایران نیز از این قاعده مستثنی نخواهد بود.همچنین طبق این قانون هر مجموعه و نهادی که نتواند مفاد این قانون جدید را در زیرساختش بگنجاند ، بیشترین جریمه را پرداخت خواهد کرد که معادل ۴٪ درآمد آن مجموعه یا ۲۰ میلیون یورو خواهد بود و همچنین اجازه دسترسی به کاربران اروپایی خود را از دست خواهد داد.هرچند طبق این نظرسنجی که گارتنر انجام داده ، بیش از ۵۰ درصد موسسات، حتی ۷ ماه بعد از لازم-الاجرا شدن این قانون یعنی تا آخر سال ۲۰۱۸ از نظر فنی نخواهند توانست این قانون را بطور کامل در زیرساخت‌هایشان لحاظ کنند ، با اینحال هر شرکتی که کامل قانون عمومی حفاظت داده (GDPR) را پیاده سازی کند ، مطمئنا اروپاییان بیشتری به وی اعتماد خواهند کرد.آماده سازی زیرساخت برای قانون عمومی حفاظت داده (GDPR)این قانون ، چندین پالیسی (سیاست) مختلف دارد که بطور کامل روش دریافت ، ذخیره سازی و دسترسی به دیتا را محدود میکند. باهم این پالیسی‌هارا مرور کنیم.پالیسی‌های (Policy) مرتبط با دیتاقانون عمومی حفاظت داده (GDPR) ، بطور مستقیم به روش‌های دسترسی ، ذخیره‌سازی و حفاظت از اطلاعات در لایه داده (Data Model) در دیتابیس اشاره میکند که میبایست هنگام طراحی و ذخیره‌سازی لایه دیتا نرم‌افزارتان آنها را مد نظر داشته باشید:حفظ حریم خصوصی در طراحی (Privacy by Design)به این مورد اشاره میکند که Best Practiceهای مربوط به امنیت اطلاعات کاربران ، در نرم‌افزارها پیاده سازی شده باشند. تمامی موسسات و شرکت‌ها از همان روزهای اول شروع طراحی سیستم‌های نرم‌افزاری و اطلاعاتیشان ، حریم خصوصی کاربران را مدنظر داشته باشند و بعد از اتمام مراحل طراحی و توسعه سیستم‌های نرم‌افزاری مربوطه ، بر حفاظت درست اطلاعات کاربران محصولاتشان نظارت داشته باشند.حق دسترسی (Right to Access)حق دسترسی به این موضوع اشاره میکند که موسسات و شرکت‌ها، بطور کامل یک کپی از اطلاعاتی که در سیستم‌هایشان ذخیره شده ، به کاربر صاحب اطلاعات بدهند. برای مثال ، ویرگول امکان دانلود یک کپی کامل از دیتایی که از شما ذخیره کرده (از پست های وبلاگ و آنالیتیکس گرفته تا حتی پسورد هش شده‌تان با sha256) را میبایست به شما بدهد.انتقال-پذیری دیتا (Data Portability)در صورتیکه کاربر براساس حق دسترسی که در بالا ذکر شد، درخواست کپی از اطلاعاتش را بدهند ، موسسه و شرکتی که مبادرت به ذخیره دیتا کرده، این دیتا را را در قالب های متداول ذخیره سازی (نظیر XML ، JSON, YAML و...) در اختیار شخص صاحب دیتا قرار دهد.انطباق پایگاه‌داده (Database)اجرای کامل مفاد قانون عمومی حفاظت داده (GDPR) تنها با تغییر زیرساخت امکان‌پذیر نیست، بلکه یک پروسه سنگین‌ایست که تغییرات زیادی را در حوزه زیرساخت فناوری اطلاعات ، نرم افزارها و اتوماسیون تمام مفاد این قانون در تک تک رگ و ریشه‌های سازمان و کسب و کار است. یکی از لایه‌های مهم در این پروسه ، لایه پایگاه داده است که بطور خلاصه به برخی از پیاده سازی های GDPR که شامل حال دیتابیس‌ها میشود میپردازم:دانستن مکان داده‌هایتانشما ممکن است دیتای مربوط به نرم‌افزار را در چندین جا ذخیره کنید، ممکن است چندین دیتابیس باشد ، یه کلاستر و ریپلیکیت پخش شده از نظر جغرافیایی. ممکن است در سیستم های قدیمی هنوز یک کپی از داده‌های کاربرانتان وجود داشته باشد و یا حتی نسخه های بکاپ روی سی‌دی یا Tape که روحتان هم خبردار نیست مکان فیزیکیشان کجاست ! همه‌ی اینها باید سازماندهی شده و در اولین قدم برای اجرای GDPR ، یک طرح یا نقشه از دیتابیس‌هایتان،مکان‌های ذخیره‌سازی آنها، فایل‌سیستم‌هایی که دیتای اشخاص در آن قراردارد و کسانیکه که مجاز به دسترسی به آنها هستند رسم کنید. در هنگام ایجاد چنین طرحی ، میبایست به سوالاتی امثال سوالات زیر پاسخ دهید:- چه اطلاعات شخصی پردازش میشوند؟- داده‌ها چطور جمع‌آوری و ذخیره‌سازی میشوند؟- آیا داده بصورت لوکال روی سرورهای شما ذخیره میشوند یا روی کلاود؟ یا هردو؟- آیا نسخه پشتیبانی از داده‌ها تهیه میشود؟ اگر تهیه میشود، کجاست و چه کسانی دسترسی دارند؟- آیا داده‌ها ، توسط یک میزبان شخص سومی نگه‌داری میشوند؟ مثلا روی سرور یا VPS اجاره‌ای؟- آیا فقط به اندازه ضروری از کاربر اطلاعات میگیرید یا همه اطلاعات جزئی و غیرضروری را هم از وی طلب میکنید؟مطمئن شدن از کامل پاک شدن دیتاهرچقدر سیستم‌های جدیدتری به مجموعه آی تی شما اضافه میشود، جزیره‌ای شدن اطلاعات بیشتر میشود. بدین صورت که دیگر همه اطلاعات در یکجا و یک سرور ذخیره نمیشوند. شما میبایست اطلاعات خصوصی افراد را در سازمانتان شناسایی کنید و مطمئن شوید وقتی که دیگر آن اطلاعات لازم نیست یا به درخواست شخص صاحب اطلاعات نیازمند پاک شدن است ، بطور کامل از سیستم پاک شوند. (بقول دولوپرها: هارد-دیلیت کنید نه سافت-دیلیت!) پس باید بگیم خداحافظ فلگ deleted.در این مرحله برای طراحی چنین سیستمی، باید به سوالاتی مثل سوالات زیر پاسخ دهید: - برای چه‌مدتی داده‌ها در سیستم ذخیره خواهند شد و تاریخ انقضاء آنها برای پاک شدن کامل چه زمانیست؟ - چه زمانی داده جمع‌آوری شده ، هدف اولیه جمع‌آوریش را برآورده نمیکند؟ آیا لازم است در سیستم نگه‌داری شود؟ - آیا داده موجود در دیتابیس، دقیق و بروز است؟- آیا وقتی داده‌ای از سیستم پاک میشود ، واقعا پاک شده یا قابل بازیابیست؟ (باید کامل غیرقابل بازیابی باشد)تصمیم‌گیری برای کسانیکه اجازه دسترسی به دیتا دارندهرکسی نیاز به دسترسی کامل به داده‌ها را ندارد. شما میبایست در سیستم ذخیره‌سازیتان ، تعداد نفراتی که به داده‌ها دسترسی دارند را به کمترین تعداد نفرات ممکن برسانید. کنترل دسترسی‌ها اجازه میدهد که مشخص کنید چه کسی به چه داده‌ای دسترسی دارد. سوالاتی مثل سوالات زیر برای طراحی این مرحله مطرح کنید: - کارمندان و کاربران چه اختیاراتی برای ذخیره‌سازی و نگه‌داری داده‌ها دارند؟ - چه دوره‌های آموزشی برای حفاظت از اطلاعات برای کارمندان و کاربران برگزار شده است؟ - معیارهای امنیتی این دو دسته برای سنجش امنیت اطلاعات و جلوگیری از نشت آن چیست؟ - چه سیستم‌هایی برای ناتیفیکیشن و اعلام خطر نشت اطلاعات در مراکز ذخیره‌سازی داده نصب شده؟حفاظت از دیتارمزنگاری داده‌ها میتواند به حفاظت داده‌ها کمک کند. موارد زیر را در نظر بگیرید: - آیا داده‌ها رمزنگاری شده اند؟ - آیا برای ذخیره‌سازی آنها از اسم‌مستعار برای مخفی‌سازی آنها استفاده شده؟ - چه سیستم‌هایی برای اعلان و جلوگیری سریع از نشت اطلاعات در مکان دسترسی دارید؟امنیت تمام‌عیارسیستم‌های امنیتی خود را در امن‌ترین حالت ممکن برای حفاظت از دیتابیس‌هایتان راه‌اندازی کنید. در صورتیکه داده‌های کاربران بصورت فیزیکی در حال جابجایی در شرکت است نه تنها لازم است که بطور کامل آنرا پیگیری کنید و بهتر است چند لایه امنیتی برای اینکار در نظر بگیرید. برای مثال یکی از حراست شرکت را همراه با کسی که دیتا را حمل میکند همراه شود.اگر به خارج از کشور قرار است داده‌های کاربران منتقل شود مطمئن شوید که به همان خوبی که شما از داده‌های کاربران حراست میکنید ، آنها نیز به همان صورت مراقب دیتای کاربران باشند.یکی از دلایلی که در گزارش گارتنر برای زمانبر بودن پروسه پیاده سازی چنین پروتکل‌های امنیتی برای همه سازمان‌های اتحادیه اروپا و تمامی سازمان‌ها و شرکت‌هایی که از دیتای کاربران اروپایی نگه‌داری میکنند قید شده ، این است که بسیاری از سیستم‌های سازمان‌ها نمیتوانند همزمان با کارهای روزانه‌ای که انجام میدهند اقدام به پیاده‌سازی موازی این قانون در زیرساختشان نمایند.شما چه فکر میکنید؟ آیا این قوانین خوب است یا دست و پا گیر؟!اصلا امکان حرکت کشور ما که هنوز ای-نماد ، نماد امنیتش است به چنین سمت و سویی امکان‌پذیر است؟واقعا چه بلایی سر اطلاعاتی که ما روی سرورها و سایت های ایرانی داریم میاورند؟شاید ترس مردم و عدم اعتمادشان به سرویس های داخل کشور ، بخاطر نداشتن چنین قوانین محکم و سرسختانه‌ایست. رضاسیف رضاسیف Thu, 29 Mar 2018 10:41:38 +0430