حدود یک هفته پیش بود که آغاز به کار رسمی ایمیل ایرانی اعلام شد و بنا بر این هنوز گرد کهنگی روی این خبر نشسته است.
اواسط شهریورماه جاری و پس از سپری شدن دوره فعالیت آزمایشی پست الکترونیکی
درگاه ملی ایران، دستاندکاران این درگاه اعلام کردند که ایمیل "ایران" ،
هم اکنون و با حل مشکلات فنی میتواند به صورت عمومی پاسخگوی مراجعه هر
تعداد کاربر باشد.
همچنین مسؤلان این درگاه، در خصوص وجود برخی نواقص در شروع به کار این
سرویس، یادآور شدند: هر سرویس در آغاز به کار، قطعا با مشکلاتی روبرو است؛
ایمیل "ایران"، ممکن است قابل رقابت با دیگر سرویسها نباشد، اما مزایای
رقابتی خود را دارد و به تدریج و با امکانات در دست ارائه به طور قطع قابل
رقابت با دیگر سرویس دهندهها خواهد بود.
*هشدار مرورگرهای اینترنت به نامعتبر بودن مجوزهای امنیتی ایمیل ایران
هماکنون سرویس پست الکترونیک ایران از طریق درگاه iran.ir در دسترس است و
این در حالی است که وجود مشکل امنیتی در این سرویسدهنده ایمیل ایرانی، به
یکی از ابهامات پیش روی این سرویس تبدیل شده است.
بر اساس این گزارش، در درگاه ایران، در صفحه مربوط به پستالکترونیک،
نخستین جمله این پیغام است: "کاربر گرامی جهت ورود به سامانه پست
الکترونیکی ایران در صورت مواجهه با پیغام های ذیل گزینه مربوطه را انتخاب
نمایید تا امکان دسترسی به صفحه ورود ایجاد شود."
سپس دستورالعمل ورود به پست الکترونیکی ایران، به همراه عکس و توضیح برای
سه مرورگر اصلی اینترنت اکسپلورر، فایرفاکس و گوگل کروم، ارائه شده است.
در این دستورالعمل، از کاربران خواسته شده که هشدارهای مرورگر را برای
معتبر نبودن مجوزهای امنیتی نادیده بگیرند و با پذیرش ریسک مربوطه در این
سرویس ثبت نام کنند.
مرورگرها در هشدارهای امنیتی خود به کاربر اعلام میکنند که از نظر آنها
سایت مورد نظر دارای اشکال و ابهام امنیتی است و ورود به این سایت پر ریسک
محسوب میشود.
آنها توصیه میکنند که کاربر به این سایت وارد نشود و اتمام حجت میکنند
که در صورت ورود به این سایت مسئولیت هر نوع دسترسی غیر مجاز و بروز مشکل
امنیتی برای کاربر، به عهده وی خواهد بود.
* در ایمیل ملی از گواهی معتبر جهانی استفاده نشده است
محمد کجباف در توضیح این هشدار امنیتی، اظهار داشت: آنچه در این سایت
اتفاق افتاده این است که مسئولان این سایت، به جای اینکه برای sign کردن
ایمیل از گواهینامه (certification )های بینالمللی استفاده کنند، خودشان
برای خودشان گواهی صادر کردهاند.
این کارشناس امنیت رایانهای افزود: زمانی که شما برای خودتان گواهینامه
(certification ) صادر میکنید، مرورگر کاربران این گواهینامهها را
نمیشناسد و کاربر مجبور است که این گواهینامه را داخل مرورگر خود به صورت
دستی اضافه کند.
این کارشناس امنیت رایانهای تصریح کرد: برای گواهینامه امنیتی یک ساختار
سلسله مراتبی بینالمللی وجود دارد به این صورت که براساس گواهینامه
certification) ) اصلی، مراکز صدور گواهینامه (certification center) های
دیگری وجود دارند که گواهینامه صادر میکنند و این روند به صورت یک ساختار
سلسله مراتبی است.
این کارشناس امنیت رایانهای اضافه کرد: هر متقاضی باید از رأس سلسله مراتب
گواهینامه دریافت کرده باشد که اطمینان داشته باشیم، همانی است که ادعا
میکند.
کجباف اضافه کرد: دستاندرکاران سایت iran.ir به جای اینکه از گواهینامه
بینالمللی استفاده کنند (احتمالا با این استدلال که در گواهینامه
بینالمللی امکان تقلب وجود دارد و امکان اعتماد کامل به مراجع صدور
گواهینامه بینالمللی به دلیل خارجی بودن وجود ندارد)، خودشان برای خودشان
گواهینامه صادر کردهاند.
کجباف ادامه داد: اما اشکال این گواهینامهها در این است که مرورگرهایی
از جمله fire fox ، ie و کروم (که اغلب کاربران از آنها استفاده میکنند)،
این گواهینامه داخلی را نمیشناسند و نامعتبر تشخیص میدهند.
وی ادامه داد: به همین دلیل در هنگام ورود به پست الکترونیکی ایران، در یک
راهنمایی توضیح داده شده که چگونه کاربر گواهینامه iran.ir را به عنوان
گواهینامه مورد اطمینان نصب کند تا به این طریق مرورگر کاربر دیگر مشکل
امنیتی را از این سرویس دهنده ایمیل نگیرد.
این کارشناس امنیت رایانهای تاکید کرد: این کار اصلا منطقی نیست؛ مشکل
بزرگ زمانی حادث میشود که اگر گروهی این سایت را هک کنند، کاربر متوجه
نخواهد شد که این گواهینامه برای گروه هکر است و یا برای سایت اصلی iran.ir
که این ضعف بسیار بزرگی در استفاده از گواهینامههای غیرمعتبر است.
کجباف تصریح کرد: اگر هکرها این سایت را به وبسایت جعلی دیگری ارجاع دهد،
سایت تقلبی نیز میتواند گواهینامه خود را به عنوان گواهینامه اصلی جا زند
و این کار، اقدامی غیراستاندارد است.
کجباف اضافه کرد: اما در صورت استفاده از گواهینامههای معتبر، این مشکل پیش نخواهد آمد.
وی ادامه داد: مگر در صورت هک شدن اخیر چند سرویس دهنده بزرگ دنیا که شرکت
صادر کننده گواهینامه هک شده بود و هکرها توانسته بودند گواهینامه جعلی
اصلی بدست آورند ( مانند دزیدن دستگاه چاپ اسکنانس از بانک).
کجباف گفت: در این صورت است که هکرها میتوانند خود را به جای سایتهای
اصلی جا بزنند؛ در غیر این صورت اگر کسی به صورت معمولی خود را به جای
سایت اصلی معرفی کند، کاربر زمانی که بخواهد به قسمتهای امن سایت وارد
شود، https مرورگر به کاربر هشدار میدهد که این گواهینامه اصلی نیست
(مانند هشداری که هماکنون برای ایمیل درگاه ایران میدهد).
این کارشناس امنیت رایانهای خاطرنشان کرد: اگر دستاندارکاران پست
الکترونیکی ایران، قصد داشتند که خودشان برای خودشان گواهینامه صادر کنند
راهی برای این منظور نیز وجود دارد.
وی توضیح داد: به این صورت که باید از نظام گواهینامه جهانی، یک گواهینامه
ملی تاسیس کنند (که این کار هر چه سریعتر باید انجام شود)، سپس از نظام
گواهینامه ملی که جزیی از سلسله مراتب بینالمللی است، برای سایتهای داخلی
از جمله سایتهای دولتی، نظامی، قضایی و امنیتی گواهینامه ملی معتبر
صادر کنند.
وی گفت: در این صورت گواهینامه ملی جزیی از گواهینامه جهانی است و دیگر این هشدار توسط مرورگرها داده نمیشود.
وی گفت: بنابراین برای این کار یک راهحل درست وجود دارد؛ اما راه فعلی اتخاذ شده، راه غیرمنطقی است.
این کارشناس امنیت رایانهای تصریح کرد: در حال حاضر سایتهای ایرانی که
گواهینامه دارند، گواهینامههای خود را از نظام بینالمللی و مراکز صدور
گواهینامههای خارجی اخذ میکنند.
کجباف ادامه داد: هنوز در داخل کشور مرکز صدور گواهینامه که جزیی از نظام
جهانی باشد وجود ندارد، اما اطلاع دارم که در کشور پروژههایی برای این
منظور تعریف شده که فعلا به نتیجه نرسیده است.