در پی انتشار خبری با عنوان "هشدار درباره امنیت ایمیلهای موسوم به ملی" در عصرایران ، روابط عمومی شركت توسعه مديريت راهبردي امين جوابیهای به عصرایران ارسال کرد که عیناً در ادامه می آید:
در شرایط کنونی که کشورمان مواجه با انواع تحریمهاست، بیش از هر زمان دیگر نیازمند وحدت و همدلی میان متخصصین و مسئولین دلسوز هستیم تا در سایه این وحدت و همدلی با تولید و ارایه خدمات به ملت شریف ایران از مشکلات این حوزه گره بستهای باز کنیم.
در همین راستا چندی است که آستین همت بالا زده و با همکاری جمعی از جوانان فعال برای حل یکی از این مشکلات چارهای اندیشیدهایم. سخن از پست الکترونیک یا همان رایانامه چاپار است. این سرویس زمانی متولد شد که 3 سال پیش شرکتهای معظم خارجی از ارایه تکنولوژی برای ارایه سرویس رایانامه در کشور به بهانه تحریم سر باز زدند.
در چنین شرایطی جمعی از سرآمدترین متخصصان داخلی پروژههای فناوری اطلاعات به صورت مستقیم و غیرمستقیم دست به دست هم دادند تا با نگاهی واقعبینانه و البته با هزینهای نه چندان زیاد به ارایه سرویس رایانامه به مردم بپردازند؛ سرویسی که مبتنی بر برنامهریزیهای انجام شده، قرار است در آیندهای نزدیک اکثر قریب به اتفاق دانشگاههای کشور را در کنار خود داشته باشد و با نگاهی علمی و البته تجاری نیازهای داخلی این حوزه را برآورده سازد.
مجموعه سرویسهای چاپار از ایجاد رقابت در میان شرکتهای داخلی همواره حمایت کرده است و تنها راه ارایه سرویس با کیفیت را در رقابتی عالمانه میداند. به هر صورت در متن حاضر ضمن ارایه پاسخ به بیانیه منتشر شده در برخی رسانهها تحت عنوان "هشدار درباره امنیت ایمیلهای موسوم به ملی" از طرف شرکتی موسوم به "بیان" که ذکر موارد فنی بیانیه را به سایت خود ارجاع داده است، به تشریح مطالب مختصری پیرامون نکات فنی و مهندسی پرداخته و همچنین اعلام میشود به زودی طی نشستی تخصصی با حضور اصحاب رسانه، تمامی مباحث علمی و فنی غیر محرمانه به استحضار عموم و متخصصان خواهد رسید.
نگاه کلان مجموعه سرویس های چاپار به سرویس رایانامه
سرویس رایانامه (پست الکترونیک) یکی از پیچیدهترین سرویسهای فناوری اطلاعات محسوب میشود که ساختاری کاملاً میان بخشی دارد و در ارایه سرویس بیش از 20 تخصص مختلف را به کار میگیرد. این سرویس به دلیل ارتباط جدی با زیرساختهای فناوری اطلاعات اعم از سیستمعامل، فایل سیستم، پایگاه داده و غیره، در دنیا بسیار پیچیده ارزیابی میشود. لذا آنچه در این حوزه مهم به نظر میرسد تولید دانش مورد نیاز در بخشهای مختلف در سالهای متمادی با مشارکت تمام بخشهای علمی کشور است. لیکن این دانش باید مبتنی بر نیازمندیها در ارایه سرویس و در طول زمان، ایجاد و گسترش یابد.
نابودی اعتماد عمومی به کدام قیمت
بیانیه منتشر شده خارج از آن که به هیچ وجه دارای بار علمی و مهندسی علی رغم جوسازی رسانهای ايجاد شده، نیست، ضرر بزرگی به کشور میزند و در كنار نابودي اعتماد عمومی در سال تولید ملی، اعتمادی که براساس اسناد موجود در مجموعه سرویسهای چاپار و کاربران آن به وجود آمده را خدشهدار كرده و کاربراني كه به شدت در حال تغییر رویکرد به سرویسهای داخلی هستند را دچار نگراني نموده است. آیا شرکت بیانیهدهنده، میتواند پاسخگوی خسارت وارده در خصوص افراد عمومی جامعه باشد که در حال استفاده از سرویسهای رایانامه داخلی هستند؟ آیا سئوالاتي که جوابهای مهندسی و متقن داشته را بايد بافضاسازي رسانهاي و نابود كردن اعتماد عمومي مطرح نمود؟
روششناسی بیانیه منتشرشده
بیانیه منتشر شده روششناسی علمی ندارد و قصد دارد بر اساس یک سری اطلاعات، هدف نهایی که معرفی خود است را پیش بگیرد. اطلاعات ارایه شده کاملاً عمومی و براساس لایه نرم افزار است که اکثریت متخصصان بدان دسترسی دارند(آنچنان که این احساس ایجاد میشود، که تصور بیانیه دهنده از یک سرویس پیچیده تنها لایه نرمافزار است)، در کل بیانیه مشخص نیست از نظر مؤلفان، آیا استفاده از نرمافزارهای متن باز و گسترش آن بر حسب نیاز، ضعف محسوب میشود یا قوت؟! آیا برای مثال شرکت فیسبوک که از پایگاه داده متن باز خاصی استفاده کرده و در طول سالها به صورت کاملاً خاص آن را گسترش داده است ,دارای ضعف است؟! آیا شرکت بیانیه دهنده که سایت خود را بر اساس سیستم عامل متن باز مهیا کرده است، نشانه ضعف ایشان است ؟! آیا در صورتی که گروه بیانیهدهنده از نرمافزار متن باز QMail در آینده استفاده نماید، این نشانه ضعف وی میباشد؟ یا قوت؟
بیانیه دهنده چه کرده است
با جستجوی انجام شده در فضای اینترنت، اثری از نرمافزار رایانامه شرکت بیانیه دهنده یافت نشد تا بررسی شود آیا دوستان برای مثال در بخش ارسال و دریافت ایمیل (MTA) چرخ را از ابتدا اختراع کردهاند و یا از نرمافزارهای رایج در دنیا استفاده میكنند و بر اساس نیازمندی در بخش طراحی و توسعه آن را تغییر دادهاند؟! آیا روزی که نرمافزاری از طرف ایشان ارایه شود، پایگاه داده آن توسط ايشان طراحی و توسعه داده ميشود؟! به هر صورت به دلیل آنکه بیانیه دهنده دارای سرویس رایانامه نیست، به قول معروف دیکته نوشته نشده غلط ندارد. شرکت بیانیه دهنده دارای چند صفحه سایت و یک سرویس وبلاگ است که سرویس ایشان براساس چارچوب Django توسعه یافته است! پس هدف از متهم کردن دیگران چیست ؟
اطلاعات عمومی ضعیف
به نظر میرسد گروه بیانیه دهنده در حیطه اطلاعات خود پارامترهای عمومی و نه چندان علمی، تخصصی و همهجانبه را بیان داشتهاند. بدان معنا که مشخص نیست چرا برای مثال از بررسی پارامترهایDKIM ,SPF حذر کردهاند و یا در خصوص تعادل بار، تنها در لایه نرمافزار صحبت کردهاند. حال آنکه مجموعه سرویسهای چاپار در چندین لایه از فناوریهای مختلف به منظور تعادل بار استفاده میکند. برای مثال مشخص نیست چرا در خصوص SSL Termination و ارتباط آن با تعادل بار در لایه نرمافزار صحبتی نشده و یا در خصوص طراحی منابع ذخیرهسازی صحبتی به میان نیامده است. همچنین چرا در خصوص ساختار BCP و ارتباط آن با لایه نرمافزار و کنترلهای استانداردهای امنیتی برای مثال ISO 27034 صحبتی به میان نیامده است. همچنین نوع نگارش و محاسبه حجم ایمیل و پارامترهای ذخیرهسازی نشان میدهد ایشان هیچگونه دانش و تجربهای در حوزه منابع ذخیرهسازی در سرویس رایانامه گسترده نداشتهاند .
مجموعه سرویسهای چاپار به دلیل آنکه از لحاظ امنیتی تحت حملات خارجی و داخلی است، نمیتواند اطلاعات محرمانه خود را به صورت عمومی انتشار دهد، لیکن به برخی موارد غیرمحرمانه میپردازیم :
1- آیا نرمافزار متن باز ذکر شده دارای ماژول آرشیو، مدیریت سلسله مراتبی، تهیه نسخه پشتیبان در لایه نرمافزار و... است ؟
2- آیا نرمافزار متن باز ذکر شده در بیانیه، قابلیتهای کنونی سرویس رایانامه چاپار برای مثال، ایمیل به پیامک، ادیتور فارسی و ... داراست؟
3- آیا نرمافزار متن باز ذکر شده میتواند در خصوص تعداد رایانامه ارسال و دریافتی تصمیمگیری كند ؟
تصورات سادهانگارانه
مجموعه سرویسهای چاپار با گسترش بیش از 20 بخش متن باز در حوزه سرویس رایانامه (پست الکترونیک) و تولیدات دانش محور نرمافزاری در طول 3 سال گسترش داده شده است که بخشی از این قابلیتها و امکانات در لایه تست است و به زودی به عموم مردم ارایه میشود. این مجموعه سرویس، دارای مرکز دادهي خاص منظوره است که بر اساس روششناسی Service Oriented با صدها سرویسدهنده در لایههای مختلف در حال ارایه سرویس به مردم است و دهها تجهیز سختافزاری و نرمافزاری وظایف گوناگونی را در لایههای مختلف بر عهده دارند. بنابراین مشخص نیست با حجم عظیم کار صورت گرفته چگونه فرض شده است که سرویسی با چنین گستردگی تنها در حد نصب نرمافزاری متن باز بوده است ؟
و اما امنیت اطلاعات
در چند روز گذشته خبرهای متعددی از هک شدن و سرقت اطلاعات بزرگان دنیای فناوری مانند Yahoo ، Apple، و غیره در تمام رسانهها منتشر شده است. لذا صحبت از سطح امنیت، صحبت از پارامترهای مختلفی است که بصورت تخصصی، بحث و تجزیه و تحلیل میشود. بنابراین فضاسازی رسانهای و حرفهای کلی در این حوزه تنها به خدشهدار کردن اعتماد عمومی مردم میانجامد. مجموعه سرویسهای چاپار، با داشتن بخش امنیت اطلاعات متشکل از نخبهترین و سرآمدترین افراد دانشگاهی و باتجربه در این حوزه اقدامات جدی و چشمگیری را انجام داده است. اما به دلیل شکل و وضعیت پارامترهای امنیتی انتشار آن در رسانههای عمومی امکانپذیر نيست. برای این منظور، با توجه به سطح آمادگی مجموعه سرویسهای چاپار، بزودی جشنواره نفوذ به مجموعه سرویسهای چاپار به صورت عمومی فراخوان و برگزار خواهد شد.
موارد نگارش شده تنها قابلیتهای کنونی سرویس رایانامه چاپار است و تا پایان تابستان بسیاری از قابلیتهای خاص و متفاوت مجموعه سرویسهای چاپار به ترتیب ارایه میشود که میتواند نوید فصلی نوین در ارایه سرویسهای اینترنتی برای کاربران ایرانی باشد. امید است در پایان با همافزایی و تبادل دانش به توسعه و گسترش فناوری اطلاعات در کشور کمک کنیم و نقد سازنده و کارشناسانه را جایگزین تخریبهای غیرکارشناسانه نماییم.