مناقصه تامل‌برانگیز

پست‌بانک؛ واکاوی نقایص یک مناقصه از منظر امنیت سایبری

بانک‌ها و موسسات مالی و اعتباری کوچک و بزرگ در ایران و جهان، از جذاب‌ترین و رایج‌ترین سوژه‌های هکرهای فضای مجازی هستند و ایجاد اختلالات امنیتی در نهادهای پولی و مالی که علی‌‌رغم فعالیت‌های اقتصادی‌ کلان، بعضا زیرساخت‌های امنیتی‌شان نفوذپذیر است، تبعات زیادی بر اعتماد مشتریان این بانک‌ها اعم از مشتریان خرد تا کسب‌وکارها و شرکت‌های بزرگ دارد. این در حالی است که انتشار اخباری درباره حمله هکرها به سایت سازمان‌هایی مانند ثبت اسناد و املاک، مرکز آمار ایران، بانک‌های بزرگ کشور به‌ویژه سپه و مسکن طی سال‌های گذشته و نیز خبر نشت اطلاعات مشتریان و افشای اطلاعات کارت‌های بانکی در آذرماه 98، التهاب زیادی در فضای جامعه ایجاد کرد. با این همه، تصمیم اخیر یکی از بانک‌های دولتی کشور با مشتریان خاص و گسترده‌‌اش، در قالب آگهی مناقصه نشان می‌دهد رویه کم‌توجهی به حفره‌های امنیتی در وب‌سایت‌های بانکی همچنان ادامه دارد.

پست‌بانک؛ واکاوی نقایص یک مناقصه از منظر امنیت سایبری

• ‌مناقصه تامل‌برانگیز

ماجرا از اینجا آغاز می‌شود که پست‌بانک که شعار خود را «پیشگام در اقتصاد دیجیتال، انتخاب اول مشتریان مناطق روستایی و کمتر توسعه‌یافته» قرار داده، در آگهی مناقصه‌اش با عنوان «استعلام قرارداد طراحی، پیاده‌سازی، برنامه‌نویسی، پشتیبانی و بهینه‌سازی وب‌سایت فارسی پست بانک ایران» در تاریخ 24 شهریورماه امسال، بازطراحی وب‌سایت این بانک دولتی را به مناقصه گذاشته است. نکته جالب توجه در پیوست یک این پروژه، تاکید بر «استفاده از مدیریت محتوا وردپرس به عنوان هسته اصلی سایت» در بخش نیازمندی‌های لازم برای طراحی و پیاده‌سازی وب‌سایت پست‌بانک ایران است. همچنین در بخش شرایط فنی پیمانکار، عبارت «عدم تغییر هسته وردپرس» از شروط لازم برای بازطراحی وب‌سایت این بانک، ذکر شده است.

سابقه 24 ساله پست‌‌بانک، برخورداری از 6500 شعبه و باجه بانکی و روستایی در سراسر کشور و یدک کشیدن عنوان گسترده‌ترین بانک کشور از نظر دسترسی در نقاط دوردست و فعالیت به عنوان یازدهمین بانک دولتی با مجوز بانک مرکزی، به عنوان یکی از شرکت‌های کلیدی و مهم وزارت ارتباطات و فناوری اطلاعات، گویای اهمیت و تاثیرگذاری این نهاد پولی و بانکی در سطح جامعه به‌خصوص در حوزه بانکداری خرد است. از این رو با توجه به وسعت شعب و مشتریان متفاوت این بانک و به‌خصوص وابستگی پست‌بانک به وزارت ارتباطات و فناوری اطلاعات، تاکید بر استفاده از نرم‌افزارهای اپن‌سورس مانند وردپرس که از آن به منبع‌باز یا کدباز نیز تعبیر می‌شود، قابل‌تامل است. اما چرا قابل‌تامل؟

هرچند در فضای سایبری، هیچ نرم‌افزاری نمی‌تواند ادعای امنیت صددرصدی داشته باشد و وجود نرم‌افزارهای تحت‌وب با سیستم مدیریت محتوای کدباز مانند وردپرس، بسیار رایج است و حدود 25 درصد وب‌سایت‌ها در دنیا از آن استفاده می‌کنند اما همین امر، سایت‌های وردپرسی را در معرض نفوذ و هک بیشتر قرار داده است. به همین دلیل، یکی از نگرانی‌های مهم در استفاده از نرم‌افزارهای کدباز مانند وردپرس، مسايل امنیتی است. نکته دیگر عدم دریافت پشتیبانی مستقیم نرم‌افزارهای اپن‌سورس مانند وردپرس از طرف شرکت سازنده است و چنانچه در نرم‌افزار مشکلی ایجاد شود که توسط برنامه‌نویس رفع نشود، استفاده از آن با مشکل مواجه می‌شود.

با وجود اینکه هشدارهای بسیاری از سوی متخصصان نرم‌افزاری درباره مشکلات امنیتی وردپرس مطرح شده، با این وجود اصرار پست‌بانک و مشاوران آی‌تی آن برای استفاده از وردپرس در هسته نرم‌افزار و قرار دادن آن جزو شروط مناقصه، سوال‌برانگیز است و تردیدهایی درباره ارتباط این بانک با شرکت‌های نرم‌افزاری که جزو طرفداران پروپا قرص نرم‌افزارهای اپن‌سورس و وردپرس هستند، مطرح می‌سازد. بدیهی است ذکر این موضوع، نافی قابلیت‌ها و مزایای بی‌شمار نرم‌افزارهای کدباز و سایت‌های وردپرسی نیست.

 

• ‌پنج‌گانه ضعف‌های امنیتی

همه این‌ها در حالی است که به گفته متخصصان برنامه‌نویسی، یکی از ضعف‌های امنیتی وردپرس، روش حمله نفوذی بی‌رحمانه با استفاده از صفحه ورود به سیستم وردپرس برای دسترسی به وب‌سایت است. از آنجا که وردپرس به‌طور پیش‌فرض، تلاش‌های مکرر برای ورود به سیستم را محدود نمی‌کند، روبات‌ها می‌توانند با استفاده از این روش، به صفحه ورود، حمله کنند که در صورت ناموفق بودن، باز هم می‌توانند سرور را دچار مشکل كنند. علاوه بر این، آسیب‌پذیری در کد PHP وب‌سایت وردپرس، رایج‌ترین مساله امنیتی است که به اعتقاد متخصصان می‌تواند مورد سوءاستفاده هکرها قرار گیرد. PHP کدی است که وب‌سایت وردپرس را به همراه افزونه‌ها و قالب اجرا می‌کند. سوء‌استفاده از گنجاندن پرونده‌ها هنگامی رخ می‌دهد که از کدهای آسیب‌پذیر برای بارگذاری پرونده‌های از راه دور استفاده می‌شود و این امر امکان دسترسی به وب‌سایت را به هکرها می‌دهد. با این روش، هکر به پرونده wp-config.php وب‌سایت که از مهم‌ترین پرونده‌های نصب وردپرس است، دسترسی می‌یابد.

مشکل امنیتی دیگر از نظر فعالان حوزه نرم‌افزار این است که چون اداره وب‌سایت وردپرس از طریق یک پایگاه داده صورت می‌گیرد، نفوذ به SQL زمانی رخ می‌دهد که مهاجم به پایگاه داده وردپرس و تمام داده‌های وب‌سایت دسترسی پیدا کند. با این روش، هکر می‌تواند یک حساب کاربری جدید در سطح سرپرست ایجاد کند و برای ورود به سیستم و دسترسی کامل به وب‌سایت از آن استفاده كند. این روش برای قرار دادن داده‌های جدید در پایگاه داده مانند پیوند به وب‌سایت‌های مخرب یا اسپم نیز قابل استفاده است.

علاوه بر این، 84 درصد آسیب‌پذیری امنیتی اینترنتی، Cross-Site Scripting  يا حملات XSSهستند که رایج‌ترین آسیب‌پذیری قابل مشاهده در افزونه‌های وردپرس است و به آن، سازوکار کدنویسی متقابل سایت می‌گویند. در این روش، مهاجم به دنبال راهی است که یک قربانی را برای بارگیری صفحات وب با اسکریپت‌های ناامن جاوا اسکریپت پیدا کند. این کدها بدون اطلاع بازدیدکننده بارگیری می‌شوند و سپس برای سرقت داده‌ها از مرورگرهای خود استفاده می‌کنند. به گفته متخصصان برنامه‌نویسی، مشکل امنیتی دیگر وردپرس، به بدافزار یعنی کد مختص به نرم‌افزارهای مخرب برمی‌گردد كه برای دستیابی به اطلاعات غیرمجاز وب‌سایت و جمع‌آوری داده‌های حساس استفاده می‌شود. هک یک سایت وردپرس معمولا به معنای این است که بدافزار به پرونده‌های وب‌سایت تزریق شده است. البته وردپرس در برابر تمام بدافزارها آسیب‌پذیر نیست اما برخی از عفونت‌های بدافزاری می‌توانند این نرم‌افزار و وب‌سایت‌های مرتبط با آن را با مشکل مواجه کنند. درمجموع، طبق گزارشwpscan.org  در سال 2019، از مجموع 3 هزار و 972 آسیب امنیتی وردپرس، 52 درصد به افزونه‌ها، 37 درصد به هسته و 11 درصد به قالب‌های وردپرس مربوط می‌شود.

هرچند برای محافظت از آسیب‌ها و تهدیدهای ذکرشده درخصوص سایت‌های وردپرسی نیز راهکارهای مختلفی مانند استفاده از رمز عبور قوی، نصب افزونه امنیتی وردپرس، داشتن برنامه پشتیبان قابل‌اعتماد، فعال کردن برنامه محافظت از حملات نفوذ بی‌رحمانه، به‌روزرسانی سایت، اجرای اسکن‌های زمانبندی‌شده برای جلوگیری از ورودبدافزارها و نظایر آن مطرح شده اما به همان دلیل مهم یعنی عدم دریافت خدمات پشتیبانی مناسب در داخل کشور و امکان ایجاد حفره‌های امنیتی به مرور زمان، تاکید بر استفاده از وردپرس به عنوان هسته اصلی سایت و عدم تغییر هسته به عنوان یکی از شروط فنی پیمانکار، منطقی به نظر نمی‌رسد.

 

• ‌انتظارات از وزارت ارتباطات

از آنجا که تحول دیجیتال با امنیت سایبری در بانک‌ها گره خورده است، در عصر گذار از بانکداری الکترونیکي به بانکداری دیجیتال توجه به این نکات امنیتی، برای یک بانک دولتی مانند پست‌بانک که بنا به معرفی آن در وب‌سایت وزارت ارتباطات و فناوری اطلاعات، یکی از اعضای مهم و تاثیرگذار در موسسه بانک‌های پس‌انداز جهانی (WSBI) است و نقش مهمی در معرفی و توسعه بانکداری اسلامی دارد، بسیار حائز اهمیت است. در این خصوص، با وجود اینکه پست‌بانک، در بخشی از بیانیه ماموریت خود بر «یکپارچگی کانال‌های ارايه خدمات بانکی، سفارشی‌سازی و هوشمندسازی خدمات و توسعه همکاری با شرکای کلیدی» برای پیشگامی در پیاده‌سازی بانکداری دیجیتال تاکید کرده، آگهی مناقصه بانک درخصوص طراحی، پیاده سازی، برنامه‌نویسی، پشتیبانی و بهینه‌سازی وب سایت فارسی و مشروط کردن به نرم‌افزار وردپرس، با ماموریت آن، همخوانی چندانی ندارد.

پست‌بانک، فارغ از اینکه همانند بانک‌های دیگر مجوز بانک مرکزی را داراست، از حمایت وزارت ارتباطات و فناوری اطلاعات برخوردار است؛ وزارتخانه‌ای که با توجه به ماهیت، زمینه تخصصی و رسالت خود باید مراقبت‌ و حساسیت بیشتری در برابر نفوذ هکرها و اختلال‌های امنیتی به‌ویژه در حوزه نهادهای مالی زیرمجموعه خود داشته باشد و با تذکر به‌موقع از بروز خطاهای جبران‌ناپذیر در آینده پیشگیری كند. همچنین با توجه به اینکه حضور در مناطق روستایی و کمتر توسعه‌یافته از مهم‌ترین رسالت‌های این بانک است، هرگونه کم‌توجهی درخصوص استفاده از نرم‌افزارهای اپن‌سورس و تهدیدهای امنیتی ناشی از آن، در شرایط تحریم‌ها و مشکلات اقتصادی که مشتریان این بانک را تحت‌تاثیر قرار دهد، در آینده محکوم به شکست خواهد بود.

 

• ‌برون‌سپاری؛ از آسیب‌ تا راهکار

در همین خصوص، داوود معظمی گودرزی، ريیس‌پلیس فتا تهران، در میزگرد آنلاین «رویکرد مدیریت امنیت در تحول دیجیتال»، طی ماه‌های گذشته، شش آسیب برون‌سپاری موضوعات امنیتی بانک‌ها که وب‌سایت‌های بانکی هم جزيی از آن محسوب می‌شوند، به شرکت‌ها را برشمرده است. به گفته او، عدم چابکی در بهینه‌سازی سیستم‌های شرکت‌های برون‌سپاری، نشت اطلاعات در برون‌سپاری آن، عدم توجه به حقوق فناوری بانک‌ها در قراردادهای منعقدشده، قرار گرفتن امنیت زیرنظر واحد فناوری (به جای آنکه مستقیما زیرنظر مدیرعامل باشد) و در نتیجه عدم گزارش حملات سایبری در برخی اوقات، سوءاستفاده کارمندان ناراضی شرکت و در نهایت تبانی برخی بانک‌ها با بعضی از پیمانکاران و شرکت‌های نرم‌افزاری، آسیب‌های این برون‌سپاری هستند. آسیب‌شناسی پلیس فتا نشان می‌دهد بعضا افرادی که در شرکت‌های برون‌سپاری فعال هستند، قبلا به‌گونه‌ای در بانک‌ها فعالیت داشته‌اند و همین امر، می‌تواند موجب ایجاد حفره‌های امنیتی در نهادهای پولی و بانکی شود. از پست‌بانک به عنوان یک بانک دولتی با گستره مخاطبان وسیع خود، انتظار می‌رود آسیب‌های یادشده را مدنظر قرار داده تا در دام آنها گرفتار نشود.

با این همه، به نظر می‌رسد برای مقابله بهتر با حملات نرم‌افزاری هکرها به سایت‌های وردپرسی، و با رعایت ملاحظات برون‌سپاری، نرم‌افزارهای داخلی که توسط متخصصان طراز اول آی‌تی کشور، طراحی و برنامه‌نویسی می‌شوند و از پشتیبانی شرکت‌های معتبر و قابل‌اعتماد داخلی در مقایسه با نرم‌افزارهای اپن‌سورس برخوردار هستند، به عنوان جایگزین نرم‌افزارهای کدباز استفاده شود.