حمله نرم افزارهاي كد باز

واضح آرشیو وب فارسی:تابناک: حمله نرم افزارهاي كد باز
بهروز مهدوي
امروز و بعد از گذشت چندين و چند سال از ورود مبحث IT در ايران هنوز كه هنوز است خدمات الكترونيكي شايسته اي از طريق وب سايتهاي دولتي قابل ارائه به مخاطبين نيستند چرا كه در بيشتر سايتهاي دولتي از خدمات الكترونيك تنها در حد تعريف و يا چند لينك بسيار معمولي به چند فرم عادي چيز ديگري پيدا نميكنيد و در اين ميان خبر روزانه هك شدن سايتهاي دولتي به موضوعي طبيعي تبديل شده كه خود نيز مانعي بزرگ در ابتداي ورود به مباحث خدمات الكترونيكي است!

شايد بعضي به اين سخن خرده بگيرند اما با بررسي دو وب سايت معروف و جنجالي شهرهاي الكترونيك ايران يعني كيش و مشهد اگر دستي در آتش داشته باشيد حتما شما نيز به همين نتيجه ميرسيد.

اين مقاله قصد بررسي اين دوطرح شكست خورده را ندارد بلكه بيشتر مصمم است توجه دولمترادان را به آفتي جلب كند كه جديدا مانند خوره اي به جان بسياري از نهادهاي دولتي و شركتهاي خصوصي افتاده و با پيروي از هم نسبت به راه اندازي پورتالهايي با استفاده از نرم افزارهاي كدباز (Opensource) اقدام كرده اند.

نرم افزار كد باز چيست ؟
به زبان ساده براي عموم نرم افزار هاي كد باز نرم افزارهايي هستند كه هر شخصي به تمامي كدهاي برنامه ، ساختار بانكهاي اطلاعاتي ، معماري نرم افزاري و مسائل امنيتي آن دسترسي كامل داشته و ميتواند به راحتي آن نرم افزار را از اينترنت دانلودكند. در حقيقت اين نوع نرم افزارها حاصل همين دانلودها و ويرايش ها و تبديل ها از سراسر جهان و توسط هزاران برنامه نويس با سلايق و ديدهاي متفاوت است .يكي از علل كد باز شدن يك نرم افزار توسعه و بهينه سازي و گرفتن اشكالات و ايرادات آن و همچنين همكاري برنامه نويسان در يك پروژه است يعني در حقيقت حاصل نوعي كار گروهي بوده و چه بسا داراي حفره هاي امنيتي بسيار زياد و خطرناكي نيز باشد كه براي عموم استفاده كنندگان و يا ويرايشگران آن قابل مشاهده است. به همين دليل است كه اين گونه نرم افزارها به سرعت نسخه هاي جديدي ارائه ميدهند كه معمولا بر طرف كننده حفره هاي امنيتي هستند

از طرفي استفاده بهينه و حرفه اي از اين نوع نرم افزارها كار مشكل و تخصصي بوده و از توان هر كارشناس عادي بر نمي ايد و اينگونه است كه در اين ميان برخي از سايتهاي استفاده كننده از اين نوع كد ها بسيار زيبا و حرفه اي به نظر ميرسند ( Tehran.ir Dotnetnuke) و برخي واقعا اسفناك ! (fa.nr-khr.ir dotnetnuke )

استفاده از نرم افزارهاي كد باز در سايتهاي دولتي
شايد استفاده از نرم افزارهاي كدباز براي سايتهايي كه برنامه توسعه نداشته و اقدام به ارائه سرويسهاي معمولي مانند دانلود , خبر , اطلاع رساني و ... به بازديدكنندگان خود مينمايند و يا براي آگاهي برنامه نويسان از متدها و روشهاي روز برنامه نويسي ميتواند مفيد تلقي شود اما آيا نوع نرم افزارها مناسب نهادهاي دولتي و سايتهاي اداري نيز ميباشند؟

البته بهتر است اين موضوع را نيز در نظر بگيريد كه بسياري از ادارت دولتي خريدار اين نوع نرم افزارها حتي نميدانند كه دارند يك نرم افزار كد باز رايگان را خريداري ميكنند و با ترفندهاي عجيب و غريب برخي شركتهاي خصوصي مانند نام گذاري بر روي پرتال كد باز , قدري دستكاري در سورس و تغيير رد پاها و ادعاي كاملا بومي بودن آن و طراحي شده در شركت خصوصي نسبت به فروش اين نوع پورتالها به ادارت دولتي اقدام مينمايند و بعضا با ارقام گزافي سايتهايي كه تنها زحمت ترجمه فايلهاي زبان آنرا متحممل شده اند و شايد نهايتا اقدام به طراحي يك قالب گرافيكي براي آن نموده اند را به قيمت يك نرم افزار طراحي شده داخلي و بسا گرانتر از آن به مشتري عرضه ميكنند.
اين كار چه از لحاظ قانوني و چه از لحاظ شرعي مطمئنا داراي مشكل است اما در اين نوشته به بررسي ساير مشكلات ناشي از اين پديده ميپردازيم :

از بين رفتن فرصتهاي شغلي براي متخصصين داخلي :
اولين تركش اين موضوع به سمت جمع كثيري از برنامه نويسان و فارغ التحصيلان داخلي روانه ميشود

شايد برنامه نويسان در ابتدا از اينكه بدون زحمت يك نرم افزار كد باز را ترجمه و نصب ميكنند خوشحال باشند اما در حقيقت و به طور غير مستقيم ضرر اصلي اين موضوع متوجه خود برنامه نويسان داخلي ميشود .

با معمول شدن استفاده از اينگونه نرم افزارها به علت پيچيدگي ساختاري اين نوع برنامه ها و عدم امكان بروزرساني نرم افزار در صورت اعمال تغييرات زياد، شركتها تمايلي به توسعه خدمات و كد نويسي هاي جديد ندارند و طبعا نياز به يك برنامه نويس يا تجزيه گر سيستم در شركت احساس نمي شود ،حتي اگر برنامه نويساني باشند كه در اين سيستم ها باقي بمانند به تدريج قدرت نو آوري و خلاقيتشان را از دست ميدهند. فروشندگان اين نوع نرم افزارها نيز با استخدام نيروهاي غير حرفه اي ( براي پرداخت حقوق كمتر و رهايي از بيمه ) كار خود را كه تنها طراحي چند قالب گرافيكي براي پورتال است پيش ميبرند و به تدريج كد نويسي و توسعه در اين شركتها و به تبع آن مشتريان آنها فراموش شده و باعث كساد شدن بازارمتخصصان واقعي it در كشور ميشود.

متاسفانه برخي مدعي هستند كه عدم حضور متخصصين IT داخلي مهمترين عامل روآوري به اين نوع برنامه هاست اگربه فرض محال اين موضوع صحت داشته باشد مطمئنا راه حل آن ناديده گرفتن پتانسيل نيروهاي جوان داخل كشور نيست.

برخي از اساتيد دانشگاه نيز به جاي تشويق دانشحويان به توليد نرم افزار داخلي آنها را در حد ترجمه يك نرم افزار كد بازي خارجي محدود و همين را به عنوان پروژه پايان ترم از دانشجو ميپذيرند.

بروز نبودن نرم افزار و باگهاي امنيتي:

همواره يكي از مهمترين ادعاهاي مخالفين استفاده از برنامه هاي رايگان كدباز بالا بودن احتمال هك شدن سايتها به علت دسترسي عموم به كد برنامه است . در اين ميان معمولا خريداران دولتي خبر از كد باز بودن نرم افزار خود نداشته و مطمئنا به دنبال بروز رساني نرم افزار و نصب نسخه هاي جديد آن كه براي مسائل امنيتي ارائه ميشود نيستند و سايت آماده هك و نفوذ ميشود و اينگونه است كه هر ساله شاهد هك شدن ده ها سايت دولتي نيز ميباشيم .

بررسي بر روي يازده نرم‌افزار محبوب اوپن‌سورس اين گمان را بوجود آورد كه سازمان‌ها و شركت‌ها ريسك امنيتي استفاده از اين برنامه‌ها را دست كم گرفته‌اند.

شركت امنيتي Fortify با مطالعه بر روي نرم‌افزارهايي همچون JBoss و OpenCMS مشكلات امنيتي متعددي را مشاهده نمودند كه عمدتاً بخاطر اشتباهات برنامه‌نويسان اوپن‌سورس ايجاد گرديده‌اند.
در بخشي از اين گزارش آمده است: «توجه به نكات امنيتي در پروسه‌هاي برنامه‌نويسي اوپن‌سورس از اولويت پائيني برخوردار است.»

«با وجود اين كه برنامه‌هاي اوپن‌سورس در مورد توانائي‌هاي بالقوه خود براي رفع نيازهاي سازماني تبليغات زيادي را انجام مي‌دهند اما تعداد اندكي از آنها به نيازهاي امنيتي سازمان‌ها توجه لازم و كافي را مي‌نمايند.»

از بين رفتن قدرت تجزيه تحليل و خلاقيت :
شركتهاي فروشنده اين نوع پرتالها ترجيح ميدهد طوري قرار داد را تنظيم كند كه تنها با استفاده از ماژولهاي موجود در آن ( مانند خبر ، مقاله ، آلبوم تصاوير ، جداول اطلاعاتي و ... ) بتوان سايت را راه اندازي كرد . در اين بين فاز اصلي پروژه هايIT كه شناخت نيازها و تجزيه و تحليل عملي و علمي براي خدمات رساني به مخاطبان آن سازمان است در گير و دار انعقاد يك قرار داد تك بعدي و يك نرم افزار از پيش تعيين شده فراموش ميشودو هيچ راهكاري براي ورود به مباحث خدمات الكترونيكي در اين نوع سيستمها ديده نمي شود.

ايجاد تغييرات و خصوصي سازي در چينين نرم افزارهاي كد بازي بسيار پيچيده تر و زمان برتر از طراحي يك سايت اختصاصي براي يك اداره و يا نهاد دولتي است و به همين دليل است كه معمولا شركتهاي ارائه دهنده چنين نرم افزار هايي به هيچ وجه پيشنهادي براي توسعه و يا پيشرفت خدمات سايت ندارند و بعد از نصب اين نرم افزار، ارتقاء آن به فراموشي سپرده ميشود.

اگر بخواهيم گشت و گذاري هر چند كوتاه به دنبال چينين سايتهايي بزنيم شايد بيشترين موارد استفاده را بتوان از نرم افزارهاي كد باز mojoportal.net rainbow.net dotnetnuke.com نام برد كه به طرز فراگيري در بسياري از سايتهاي دولتي به چشم ميخورند براي ديدن نمونه هايي ميتوانيد به سايت شهرداري تهران – سايت شبكه رشد – سايت جزيره كيش -استانداري خراسان رضوي - دامپزشكي خراسان رضوي - كانون پرورش كودكان و نوجوانان و صدها نمونه ديگر كه متاسفانه با حمايت نهادهاي دولتي به طور فراگيري در حال رشد هستند مراجعه كنيد.

راهكار :
نويسنده معتقد است استفاده از اين نوع سيستمها را نميتوان كلا نفي كرد و در بعضي موارد استفاده از اين نوع نرم افزارها براي برخي سايتها ( با چشم پوشي از مسائل امنيتي ) به صرفه است

اما به شرط انكه با آگاهي كامل خريدار نسبت به رايگان بودن كد برنامه وذكر نام برنامه كد باز در قرارداد و تعيين قيمت منطقي براي خدماتي مانند نصب ، طراحي قالب و تعيين خدمات اضافه باشد .

علاوه بر اين موارد و در صورت اصرار بر استفاده از اين نوع سيستم ها چرا نبايد پايه و اساس يك نرم افزار داخلي opensource چيده شود اما در خاتمه شايد بتوان با دعوت از نهادهاي نظارتي براي كنترل اينگونه قراردادها قدري اين بازار پرهياهو را آرام كرد تا حداقل شبهه مغبون شدن خريداران دولتي و ضايع شدن حقوق شهروندان در اين ميان برداشته شود.
پنجشنبه 7 شهريور 1387

این صفحه را در گوگل محبوب کنید

[ارسال شده از: تابناک]

[مشاهده در: www.tabnak.ir]

[تعداد بازديد از اين مطلب: 345]