ایمیل‌های ملی

دی ۱۷, ۱۳۹۶

در دولت محمود احمدی‌نژاد سه سرویس ایمیل به نام‌های چاپار،‌ شرکت پست و ایران دات آی‌آر به عنوان ایمیل‌های ملی اعلام شد. این سرویس ها قبل از آغاز به کار دولت حسن روحانی در سال ۱۳۹۲ راه اندازی شد.

در دولت حسن روحانی، موضوع ای‌میل به بخشی از یک پروژه کلی‌تر به نام «کارپوشه ملی ایرانیان» تغییر کرد که ای‌میل ملی، تنها یک بخش از آن بود. رضا باقری‌‌اصل معاون سازمان فناوری اطلاعات ایران در آبان ماه ۱۳۹۴ با اعلام این خبر که «کار‌پوشه ملی ایرانیان» جایگزین ارتباطات‌‌های ایمیلی خواهد شد گفت:‌ «هم‌اکنون در حال راه‌اندازی کار‌پوشه ملی ایرانیان و پورتال ملی دولت ایران هستیم تا بتواند جایگزینی برای ارتباط ایمیلی باشد.»

پروژه کارپوشه ایرانیان سرویسی آنلاین خواهد بود که قرار است مجموعه خدماتی که دولت به شهروندان ارایه می‌دهد را به صورت آنلاین انجام دهد که یک بخش آن ارایه سرویس ایمیل ملی از طریق نشانی mail.iran.Ir خواهد بود که تحت کنترل و نظارت وزارت ارتباطات و فن‌آوری اطلاعات خواهد بود.

نصرالله جهانگرد رییس سازمان فناوری اطلاعات در آذر ۱۳۹۶ در مورد این پروژه گفت: «تلاش ما بر این است که مجموعه تراکنش‌های که در خصوص نظام اطلاعات ملی است در پهنه مدیریت و امنیت ملی باشد و در این راستا کارپوشه برای کلیه شهروندان وجود آمده است که مردم بتوانند تمام کلیه تعاملات اداری خود با نظام اداری را از طریق این کارپوشه مدیریت و کنترل کنند و مدارک و اطلاعات هویتی مورد نیاز از طریق این کارپوشه در اختیار دستگاه‌ها قرار گیرد.»

تحقیقات کمپین حقوق بشر در ایران نشان می‌دهد که سرویس ایمیل چاپار که در دولت محمود احمدی‌نژاد به عنوان ایمیل ملی راه اندازی شد همچنان زیر نظر بخش خصوصی فعال است.

ای‌میل ملی ایران دات‌آی‌آر دولتی و ای میل ملی چاپار وابسته به بخش خصوصی و هر دو فعال هستند. اگر چه بررسی‌های کمپین نشان می‌دهد که ایمیل ملی ایران دات آی‌آر  دقیقا از همان نرم‌افزار ایمیل چاپار استفاده می‌کند به‌گونه‌ای که در سمت سرور و کد‌های کلاینت (Server Side and Client Side) ایمیل ملی ایران دات‌ آی‌آر، همان کد‌های چاپار را می‌توان مشاهده کرد. حتی در مواردی نشانی‌های عمومی هر دو سایت هم دقیقا مانند یکدیگر هستند. به عنوان نمونه نشانی تغییر رمز هر دو ایمیل www.domain/Chmail/repassword است و همچنین ایمیل ایران دات آی‌ار از کلید عمومی (Public Key) چاپار استفاده می‌کند. این بدان معناست که شرکت چاپار، عملا به محتوای ردوبدل شده در ای میل ملی ایران‌آی‌آر دسترسی دارد.

نتیجه آزمایش‌های کمپین بر روی گواهینامه‌های امنیتی اس‌اس‌ال هر دو سرویس ایمیل چاپار و ایران دات آی‌آر نشان می‌دهد که در زمان دریافت اطلاعات(Incoming) هر دو سرویس فاقد سرویس PFS که  یک مرحله امنیت رمزنگاری را افزایش می‌دهد. در صورتی که کلید‌های رمزنگاری به سرقت رود PFS این امکان را فراهم می‌کند که امکان رمزگشایی اطلاعات قبلی وجود نداشته باشد. در مورد ارسال ایمیل(Outgoing) اما از گواهینامه غیرمعتبر استفاده شده است که به معنی عدم انجام رمزنگاری اتصال خروجی ایمیل‌ها است که در نتیجه ترافیک ایمیل‌های ارسالی از این سرورها رمز نخواهند شد و در میانه راه قابل شنود هستند.

هر دو سرویس ایمیل چاپار و ایرانی دات ‌آی‌آر، تا فروردین ۱۳۹۶، از نسخه GA 6.0.9 برنامه‌ای غیر ایرانی استفاده می‌کنند که برای ایجاد و مدیریت یک میل‌سرور است. تحقیقات کمپین نشان می‌دهد که این برنامه  نسبت به آخرین به روز رسانی‌های نسخه اصلی  بسیار عقب است. آخرین نسخه منتشر شده توسط این شرکت ۸٫۷٫۶ GA است. استفاده نکردن از نسخه‌های به روز شده برنامه‌های کامپیوتری باعث می‌شود تا دست هکر‌ها برای حمله‌های سایبری به آنها باز بماند. به عنوان نمونه در خرداد ۱۳۹۵ به دلیل آنکه سازمان‌ها و نهاد‌های دولتی از نسخه قدیمی برنامه DNN، که برنامه‌ای شبیه وردپرس برای طراحی و مدیریت وب‌سایت است، استفاده می‌کردند که داری یک حفره امینتی بود، هکرها موفق شدند بسیاری از سایت‌های دولتی از جمله سایت مرکز آمار ایران را هک کنند.

مطالب مرتبط

Share this
Send this to a friend