گروه اصلی>
   
   


پرتال رادین - نسخه اطلاع رسانی

  • طراحی سریع وب سایت
  • گزارش گیری از فعالیت کاربران
  • ارسال پیام داخل سیستم
  • سامانه اطلاع رسانی
  • تفکیک گروه های خبری
  • امکان بروز رسانی لحظه ای از طریق گوشی موبایل
  • سامانه خبری
  • امکان تفکیک دسترسی گروه های مختلف خبری
  • مدیریت فایل ها

  •  
       
    تیر 1388
       
    دسترسی رایگان به اینترنت
     

    حمله نرم افزارهاي كد باز - پنج شنبه 11 تیر 1388

     

    امروز و بعد از گذشت چندين و چند سال از ورود مبحث IT در ايران هنوز که هنوز است خدمات الکترونيکي شايسته‌اي از طريق وب سايت‌هاي دولتي قابل ارائه به مخاطبان نيستند، چرا که در بيشتر سايت‌هاي دولتي از خدمات الکترونيک تنها در حد تعريف و يا چند لينک بسيار معمولي به چند فرم عادي چيز ديگري پيدا نمي کنيد و در اين ميان خبر روزانه هک شدن سايت‌هاي دولتي به موضوعي طبيعي تبديل شده که خود نيز مانعي بزرگ در ابتداي ورود به مباحث خدمات الکترونيکي است!

    شايد بعضي به اين سخن خرده بگيرند اما با بررسي دو وب سايت معروف و جنجالي شهرهاي الکترونيک ايران اگر دستي در آتش داشته باشيد حتما شما نيز به همين نتيجه ميرسيد.

    اين مقاله قصد بررسي اين دو طرح شکست خورده را ندارد بلکه بيشتر مصمم است توجه دولت مردان را به آفتي جلب کند که جديدا مانند خوره‌اي به جان بسياري از نهادهاي دولتي و شرکت‌هاي خصوصي افتاده و با پيروي از هم نسبت به راه اندازي پورتال‌هايي با استفاده از نرم‌افزارهاي کدباز (Open source) اقدام كرده اند.

    نرم‌افزار كد باز چيست؟

    به زبان ساده براي عموم نرم‌افزار هاي كد باز نرم‌افزارهايي هستند كه هر شخصي به تمامي كدهاي برنامه ، ساختار بانكهاي اطلاعاتي، معماري نرم‌افزاري و مسائل امنيتي آن دسترسي كامل داشته و مي‌تواند به راحتي آن نرم‌افزار را از اينترنت دانلود كند.

    در حقيقت اين نوع نرم‌افزارها حاصل همين دانلودها و ويرايش‌ها و تبديل‌ها از سراسر جهان و توسط هزاران برنامه نويس با سلايق و ديدهاي متفاوت است .


    يکي از علل كد باز شدن يك نرم‌افزار توسعه و بهينه‌سازي و گرفتن اشكالات و ايرادات آن و همچنين همکاري برنامه‌نويسان در يک پروژه است يعني در حقيقت حاصل نوعي کار گروهي بوده و چه بسا داراي حفره‌هاي امنيتي بسيار زياد و خطرناکي نيز باشد كه براي عموم استفاده كنندگان و يا ويرايشگران آن قابل مشاهده است. به همين دليل است كه اين گونه نرم‌افزارها به سرعت نسخه هاي جديدي ارائه مي‌دهند که معمولا بر طرف کننده حفره‌هاي امنيتي هستند.

    از طرفي استفاده بهينه و حرفه‌اي از اين نوع نرم‌افزارها کار مشکل و تخصصي بوده و از توان هر کارشناس عادي بر نمي‌آيد و اينگونه است که در اين ميان برخي از سايت‌هاي استفاده کننده از اين نوع کد‌ها بسيار زيبا و حرفه‌اي به نظر ميرسند و برخي واقعا اسفناک!

    استفاده از نرم‌افزارهاي کد باز در سايت‌هاي دولتي

    شايد استفاده از نرم‌افزارهاي کدباز براي سايت‌هايي که برنامه توسعه نداشته و اقدام به ارائه سرويسهاي معمولي مانند دانلود، خبر، اطلاع رساني و... به بازديدکنندگان خود مي‌نمايند و يا براي آگاهي برنامه‌نويسان از متدها و روشهاي روز برنامه‌نويسي مي‌تواند مفيد تلقي شود اما آيا نوع نرم‌افزارها مناسب نهادهاي دولتي و سايت‌هاي اداري نيز هستند؟

    البته بهتر است اين موضوع را نيز در نظر بگيريد که بسياري از ادارت دولتي خريدار اين نوع نرم‌افزارها حتي نمي‌دانند که دارند يک نرم‌افزار کد باز رايگان را خريداري مي‌کنند و با ترفندهاي عجيب و غريب برخي شرکتهاي خصوصي مانند نام گذاري بر روي پورتال كد باز، قدري دستکاري در سورس و تغيير رد پاها و ادعاي کاملا بومي بودن آن و طراحي شده در شرکت خصوصي نسبت به فروش اين نوع پورتالها به ادارت دولتي اقدام مي نمايند و بعضا با ارقام گزافي سايت‌هايي که تنها زحمت ترجمه فايلهاي زبان آنرا متحمل شده اند و شايد نهايتا اقدام به طراحي يک قالب گرافيکي براي آن نموده اند را به قيمت يک نرم‌افزار طراحي شده داخلي و بسا گرانتر از آن به مشتري عرضه مي‌کنند.

    اين کار چه از لحاظ قانوني و چه از لحاظ شرعي مطمئنا داراي مشکل است اما در اين نوشته به بررسي ساير مشکلات ناشي از اين پديده مي‌پردازيم:

    از بين رفتن فرصتهاي شغلي براي متخصصين داخلي:

    اولين ترکش اين موضوع به سمت جمع کثيري از برنامه‌نويسان و فارغ‌التحصيلان داخلي روانه مي‌شود .

    شايد برنامه‌نويسان در ابتدا از اينکه بدون زحمت يک نرم‌افزار کد باز را ترجمه و نصب مي‌کنند خوشحال باشند اما در حقيقت و به طور غير مستقيم ضرر اصلي اين موضوع متوجه خود برنامه‌نويسان داخلي مي‌شود.

    با معمول شدن استفاده از اينگونه نرم‌افزارها به علت پيچيدگي ساختاري اين نوع برنامه‌ها و عدم امكان به‌روز رساني نرم‌افزار در صورت اعمال تغييرات زياد، شركت‌ها تمايلي به توسعه خدمات و کدنويسي‌هاي جديد ندارند و طبعا نياز به يک برنامه‌نويس يا تجزيه‌گر سيستم در شرکت احساس نمي‌شود، حتي اگر برنامه‌نويساني باشند که در اين سيستم‌ها باقي بمانند به تدريج قدرت نوآوري و خلاقيتشان را از دست مي‌دهند. فروشندگان اين نوع نرم‌افزارها نيز با استخدام نيروهاي غير حرفه‌اي ( براي پرداخت حقوق کمتر و رهايي از بيمه ) کار خود را که تنها طراحي چند قالب گرافيکي براي پورتال است پيش ميبرند و به تدريج کد نويسي و توسعه در اين شرکت‌ها و به تبع آن مشتريان آنها فراموش شده و باعث کساد شدن بازار متخصصان واقعي IT در کشور مي‌شود.

    متاسفانه برخي مدعي هستند كه عدم حضور متخصصين IT داخلي مهمترين عامل روآوري به اين نوع برنامه‌هاست، اگر به فرض محال اين موضوع صحت داشته باشد، مطمئنا راه حل آن ناديده گرفتن پتانسيل نيروهاي جوان داخل كشور نيست.

    به‌روز نبودن نرم‌افزار و باگهاي امنيتي:

    همواره يكي از مهمترين ادعاهاي مخالفين استفاده از برنامه هاي رايگان كدباز بالا بودن احتمال هك شدن سايتها به علت دسترسي عموم به كد برنامه است. در اين ميان معمولا خريداران دولتي خبر از كد باز بودن نرم‌افزار خود نداشته و مطمئنا به دنبال بروز رساني نرم‌افزار و نصب نسخه هاي جديد آن كه براي مسائل امنيتي ارائه ميشود نيستند و سايت آماده هك و نفوذ مي‌شود و اينگونه است كه هر ساله شاهد هك شدن ده‌ها سايت دولتي نيز مي‌باشيم.

    بررسي بر روي يازده نرم‌افزار محبوب اوپن‌سورس اين گمان را بوجود آورد که سازمان‌ها و شرکت‌ها ريسک امنيتي استفاده از اين برنامه‌ها را دست کم گرفته‌اند.

    شرکت امنيتي Fortify با مطالعه بر روي نرم‌افزارهايي همچون JBoss و OpenCMS مشکلات امنيتي متعددي را مشاهده نمودند که عمدتاً بخاطر اشتباهات برنامه‌نويسان اوپن‌سورس ايجاد گرديده‌اند.

    در بخشي از اين گزارش آمده است: «توجه به نکات امنيتي در پروسه‌هاي برنامه‌نويسي اوپن‌سورس از اولويت پائيني برخوردار است.»

    «با وجود اين که برنامه‌هاي اوپن‌سورس در مورد توانايي‌هاي بالقوه خود براي رفع نيازهاي سازماني تبليغات زيادي را انجام مي‌دهند اما تعداد اندکي از آنها به نيازهاي امنيتي سازمان‌ها توجه لازم و کافي را مي‌نمايند.»

    از بين رفتن قدرت تجزيه تحليل و خلاقيت:

    شرکتهاي فروشنده اين نوع پرتال‌ها ترجيح مي‌دهد طوري قرار داد را تنظيم کند که تنها با استفاده از ماژولهاي موجود در آن (مانند خبر، مقاله، آلبوم تصاوير، جداول اطلاعاتي و...) بتوان سايت را راه اندازي كرد. در اين بين فاز اصلي پروژه‌هايIT كه شناخت نيازها و تجزيه و تحليل عملي و علمي براي خدمات رساني به مخاطبان آن سازمان است در گير و دار انعقاد يك قرار داد تك بعدي و يك نرم‌افزار از پيش تعيين شده فراموش مي‌شود و هيچ راهكاري براي ورود به مباحث خدمات الكترونيكي در اين نوع سيستم‌ها ديده نمي‌شود.

    ايجاد تغييرات و خصوصي سازي در چينين نرم‌افزارهاي کد بازي بسيار پيچيده تر و زمان برتر از طراحي يک سايت اختصاصي براي يک اداره و يا نهاد دولتي است و به همين دليل است كه معمولا شركتهاي ارائه دهنده چنين نرم‌افزار هايي به هيچ وجه پيشنهادي براي توسعه و يا پيشرفت خدمات سايت ندارند و بعد از نصب اين نرم‌افزار، ارتقاء آن به فراموشي سپرده ميشود.

    اگر بخواهيم گشت و گذاري هر چند کوتاه به دنبال چينين سايت‌هايي بزنيم شايد بيشترين موارد استفاده را بتوان از نرم افزارهاي كد بازي مانند پورتال rainbow به آدرس اينترنتي http://rainbowportal.net پورتال dotnetnuke به آدرس اينترنتي http://www.dotnetnuke.com همچنين پورتال كد باز mojoportal به آدرس اينترنتي http://www.mojoportal.com نام برد که به طرز فراگيري در بسياري از سايت‌هاي دولتي به چشم می خورند كه متاسفانه با حمايت نهادهاي دولتي به طور فراگيري در حال رشد هستند.

    راهکار:

    نويسنده معتقد است استفاده از اين نوع سيستمها را نميتوان کلا نفي کرد و در بعضي موارد استفاده از اين نوع نرم‌افزارها براي برخي سايت‌ها ( با چشم پوشي از مسائل امنيتي ) به صرفه است.

    اما به شرط آنکه با آگاهي کامل خريدار نسبت به رايگان بودن كد برنامه و ذكر نام برنامه كد باز در قرار داد و تعيين قيمت منطقي براي خدماتي مانند نصب ، طراحي قالب و تعيين خدمات اضافه باشد.

    علاوه بر اين موارد و در صورت اصرار بر استفاده از اين نوع سيستم‌ها چرا نبايد پايه و اساس يك نرم‌افزار داخلي open source چيده شود، اما در پايان شايد بتوان با دعوت از نهادهاي نظارتي براي كنترل اينگونه قراردادها قدري اين بازار پر هياهو را آرام کرد تا حداقل شبهه مغبون شدن خريداران دولتي و ضايع شدن حقوق شهروندان در اين ميان برداشته شود.

    منبع : وب سایت IRITN


    تهران - قائم مقام فراهانی ، پایین تر از میدان شعاع ، بن بست ممتاز پلاک 7 واحد 8
    66462066-021 66968529-021 فاکس 88343269-021