نگرانی از امنیت 'ایمیل ملی' ایران

حق نشر عکس Getty

روز گذشته محمدحسن نامی، وزیر ارتباطات و فناوری اطلاعات ایران، آغاز به کار رسمی "ایمیل ملی" ایران را اعلام کرد. سرویس ایمیلی که "امنیت و حفظ اطلاعات" مهمترین دلیل راه‌اندازی آن عنوان شده است.

بخش قابل توجهی از کاربران ایرانی اینترنت دید مثبتی به سرویس‌های "ملی" اینترنتی که دولت آنها را کنترل می‌کند ندارند و نگران سوء استفاده دولت از اطلاعات به دست‌آمده از این طریق علیه خودشان هستند.

اما عزیز آشفته، برنامه‌نویس وب و از موسسان سایت بالاترین، می‌گوید که نگرانی درباره این ایمیل نه از "سوءاستفاده دستگاه‌های امنیتی" بلکه از امنیت خود این سرویس است.

آقای آشفته می‌گوید که امنیت این سرویس به طور نگران‌کننده‌ای پایین است.

حق نشر عکس non
Image caption هر کسی می‌تواند ساختار دیتابیس 'ایمیل ملی' را ببیند

کدهای نرم‌افزاری مدیریت این سرویس ایمیل در دسترس عموم است؛ به طوری که هرکسی می‌تواند در اینترنت چگونگی نصب و همچنین ساختار دیتابیس این سرویس را ببیند.

به گفته آقای آشفته، اولین مشکل این سرویس این است که یک بسته نرم‌افزار آزاد (open source) برای طراحی آن به کار رفته است. به این ترتیب افراد زیادی به طور عمومی راجع به مشکلات این نرم‌افزار و سوراخ‌های امنیتی آن بحث کرده‌اند و اگر کسی قصد نفوذ و سوءاستفاده از اطلاعات آن را داشته باشد به راحتی می‌تواند با مرور این بحث‌ها راه‌های نفوذ به آن را بیابد.

به نظر می‌رسد که سرویس ایمیل راندکیوب (Roundcube) که نرم‌افزاری آزاد است مبنای طراحی ایمیل ملی ایران بوده است. آقای آشفته می‌گوید آنچه که برای طراحی این سرویس به کار رفته نسخه آزمایشی سه سال پیش راندکیوب است که تاکنون چندین مشکل آن عنوان شده و برای رفعشان بیش از ۵۰۰۰ تغییر در آن داده شده است.

امنیتی یا ناامن؟

محمدحسن نامی، وزیر ارتباطات دیروز درباره ایمیل ملی ایران گفت: "ما هدفمان به خطر انداختن داده‌های دیگران و ربایش اطلاعات دیگران نیست."

اما عزیز آشفته می‌گوید: "می‌شود به تمام دیتابیس این ایمیل دسترسی داشت. می‌گویند این سرویس را برای امنیت بالاتر ارائه کرده‌اند، در صورتی که با استفاده از آن به وضوح امنیت پایین‌تر می‌آید."

"حتی برای آن SSL هم نخریده‌اند. بعنی همه مبادلات اطلاعاتی قابل شنود است و هر کسی خود را در مسیر تبادل داده‌ها قرار دهد می‌تواند آنها را شنود کند."

رمزنگاری SSL (لایه سوکت‌های امن) شیوه‌ای برای نقل و انتقال امن اطلاعات است که مانع از دسترسی طرف ثالث به اطلاعات می‌شود. عدم استفاده ایمیل ملی ایران از این شیوه رمزنگاری باعث می‌شود که دسترسی به اطلاعات خصوصی کسانی که از این ایمیل استفاده می‌کنند فراهم شود.

با همه این ایرادات، آقای آشفته می‌گوید که اصل به راه انداختن یک سرویس ایمیل ملی پدیده مثبتی است. او می‌‎گوید: "این معمول است و دولت می‌تواند بخشی از مکاتبات خود با شهروندان را از طریق ایمیل انجام دهد. یا درباره برخی خدمات، مثل خدمات بانکی اینترنتی که باید ثابت شده باشد آدرس ایمیل متعلق به خود فرد است، خوب است که چنین سرویس ایمیلی وجود داشته باشد."

"اما ساختار اداری و فساد دولتی باعث می‌شود کسی که، با هر عقیده و مرامی، یک ایده خوب این چنینی دارد، در عمل چیزی درست کند که حالت یک نرم‌افزار آماتوری را دارد که برای کاربردی محدود درست شده است."

او می‌گوید: "چرا یک سرویس که ملی است، رایگان نیست و پول هم می‌گیرد، پشتیبانی و بازخورد (فیدبک) ندارد؟ چرا مشخص نیست سیاست حفظ اسرار آن چیست؟"

عزیز آشفته با اشاره به شنود آژانس امنیت ملی آمریکا، که توسط ادوارد اسنودن افشا شده، می‌گوید: "حالا که روشن شده بسیاری به دنبال جمع‌آوری اطلاعات آنلاین هستند، دولت ایران باید درایت به خرج بدهد و سرویسی با امنیت بالاتر ارائه کند."