ماجرای تحریم 9 ایرانی توسط اف.بی.آی به اتهام هک کردن مقالات دانشگاهی

به گزارش لیزنا، تاد کارپنتر، رئیس سازمان ملی استاندارد ملی (NISO) ایالات متحده، در مقاله‌ای که در سایت اسکولارلی کیچن (Scholarly Kitchen)منتشر کرده به موضوع تحریم 9 شهروند ایرانی، به گفته آنچه وزارت دادگستری ایالات متحده هک کردن سیستماتیک منابع علمی دانشگاه‌های این کشور و کشورهای دیگر عنوان کرد، پرداخته است. در این مقاله کارپنتر به اهمیت توجه به امنیت سایبری برای دانشگاه‌ها و محتوای علمی توجه می‌کند.

لیزنا تنها این مقاله را برای خواندن عموم به فارسی برگردانده است و نظرات نویسنده به هیچ وجه منعکس کننده نگاه لیزنا نیست. بنا به اخلاق حرفه‌ای عین مطلب آمده در سایت اسکولارلی کیچن به فارسی ترجمه شده است.

همچنین ابراهیم عمرانی، سردبیر خبرگزاری لیزنا در سخن هفته بیستم فروردین ماه امسال با عنوان «معرکه‌گیری‌های هدفمند برای فضاسازی علیه ایران» این ادعای اف.بی.آی را مورد نقد قرار داده است.

 بر اساس این گزارش تاد کارپنتر در این مقاله می‌نویسد: در یک کنفرانس خبری در روز جمعه 16 مارس، دفتر تحقیقات فدرال FBI از محکومیت 9 شهروند ایرانی خبر داد. ذکر این حکم برای شروع یک مقاله در اسکولارلی کیچن شاید عجیب به نظر بیاید. چیزی که باعث جالب شدن این پرونده برای جامعه علمی می‌شود، دلیل محکومیت این 9 نفر است: دزدی‌های عمده مالکیت معنوی از موسسات علمی در یک طرح گستاخانه برای جمع‌آوری و توضیع محتوای علمی. این احکام تلاش‌های چند ساله‌ای که تقریبا از سال 2013 توسط «موسسه مبنا» آغاز شدند را نشان می‌دهند. «مبنا» شرکتی در تهران است که به دانشگاه‌ها و سازمان‌های علمی و پژوهشی ایران در دسترسی غیرقانونی به منابع کمک می‌کند. در متن رسانه‌ای این کیفرخواست تلاش‌های ادعا شده به صورت زیر توضیح داده شده‌اند:

«موسسه مبنا به وسیله فعالیت‌های متهمان پرونده، بیش از 100 هزار حساب کاربری اساتید در دنیا را هدف قرار داده است. آنها با موفقیت، نزدیک به 8 هزار حساب ایمیل اساتید را در 144 دانشگاه ایالات متحده و 176 دانشگاه در 21 کشور دیگر را هک کرده‌اند.»

به علاوه، هدف این طرح به دست آوردن اطلاعات ورود کاربری از 47 شرکت خصوصی آمریکایی و خارجی، وزارت کار ایالات متحده، کمیسیون مدیریت نیروی فدرال آمریکا، ایالت هاوایی، ایالت ایندیانا، سازمان ملل و بنیاد کودکان سازمان ملل بود. محکومیت‌های متهمان تلاش‌های پیچیده و برنامه‌ریزی شده با هدف قرار دادن تمام علوم از جمله علوم فناوری، مهندسی، علوم اجتماعی، پزشکی و دیگر رشته‌های حرفه‌ای است. این گروه، افراد مورد نظر را شناسایی می‌کردند تا از رشته‌ پژوهشی آنها و از مقاله‌های منتشر شده توسط آنان اطلاع حاصل کنند. سپس بر اساس اطلاعات پیشینه افراد به عنوان یک همکار از دیگر موسسات برای آنها ایمیل فیشینگ (phishing) ارسال می‌نمودند. زمانی که اطلاعات ورود کاربری درز شده دست می‌آمد محتوا را که شامل مقاله‌های علمی، پایان‌نامه و کتاب‌های الکترونیکی می‌شد کپی و توزیع می‌کردند. اطلاعات ورود کاربری افراد نیز بعدا برای دسترسی به سیستم دیگر موسسات فروخته می‌شد.

همان‌طور که راد روزنستین معاون دادستان کل ایالات متحده عنوان کرد ابعاد این فعالیت‌ها بسیار بزرگ بوده است. وی گفت: «دزدی بیش از 31 ترابایت اسناد و اطلاعات به این 9 ایرانی نسبت داده شده است.» این میزان از اطلاعات دزدیده شده تقریبا هم‌میزان با فضای مورد نیاز یک دیسک برای نگه‌داری اطلاعات دیجیتالی مجموعه چاپی کتابخانه کنگره است. (اگر کتابخانه کنگره همچنین کاری را بکند). به علاوه، FBI مدعی شده است که این برنامه با دولت ایران و دانشگاه‌های ایرانی نیز هماهنگ بوده است.  روزنتستین ادامه داد: «برای بسیاری از این نفوذها، متهم به درخواست دولت ایران اقدامات را انجام داده، به خصوص سپاه پاسداران انقلاب اسلامی.» این اتهامات بسیار قابل اهمیت هستند و اگر صحت داشته باشند بازی موش و گربه استفاده از اطلاعات ورود کاربری برای به دست آوردن و بازنشر مقالات علمی به سطح جدیدی رسیده است.

با اینکه در این پرونده به آن اشاره نشده‌ است، ادعاها و پرسش‌هایی در مورد اینکه سایت Sci-Hub در دزدی‌ها و فعالیت‌های مشابه دست دارد نیز مطرح شده است. الکساندر الباکیان، موسس Sci-Hub دست داشتتن در اینگونه فعالیت‌های کلاه‌بردارانه را رد می‌کند. پرونده‌ای که توسط FBI مطرح شده، واضح‌ترین محکومیت قانونی این گونه حملات بر روی دانشگاه‌ها با هدف به دست آوردن مالکیت معنوی است که به صورت مداوم و ابعاد عظیم صورت گرفته که بعضی از آنها قابل دیدن بوده و بعضی خیر.

تنها چند ساعت قبل از اینکه این اعلامیه مطرح شود، من یک بحث توییتری با چند فعال دسترسی آزاد به اطلاعات داشتم که باوردارند Sci-Hub و خدمات مشابه آن بر پایه «دسترسی خیریه‌ای» کار می‌کنند. در یک مصاحبه ایمیلی که توسط مایک تیلور، دیرینه‌شناس در دانشگاه بریستول، منتشر شد، الباکیان، موسس وبسایت Sci-Hub می‌گوید که استفاده از اطلاعات ورود کاربری دزدی شده به وسیله فیشینگ علاوه بر «اهدائی‌های خیریه» برای اضافه کردن محتوا به سیستم Sci-Hub ممکن است، زیرا Sci-Hub رمزها را از بسیاری از منابع مختلف به دست می‌آورد. من از طریق توییتر مدعی شدم که ابعاد و تداومی که اطلاعات ورود کاربری درز شده توسط ناشران و کتابخانه‌ها شناسایی می‌شوند نشان می‌دهد که این فعالیت‌ها بسیار سیستماتیک‌تر و وسیع‌تر از چند صد اطلاعات ورود کاربری «خیریه‌ای» است. و حالا، به صورت رسمی ادعایی شده که این فعالیت در حالت فعال، هجومی و با حمایت دولت [خارجی] برای به دست آوردن اطلاعات ورود به سایت‌ها است.

آیا ارتباطی میان این ایرانی‌ها و Sci-Hub وجود دارد؟ اینگونه ارتباطات به صورت مشخص نخواهند بود، ولی کیفرخواست بیان می‌کند که یکی از سایت‌هایی که توسط متهمان اداره می‌شده، Gigabpaper.ir است که «خدماتی به مشتریان در ایران ارائه می‌دهد تا خریداران ‌بتوانند از حساب‌های دزدی شده استادان به صورت مستقیم به سیستم‌های آنلاین کتابخانه‌ای بعضی دانشگاه‌های آمریکایی و خارجی دسترسی داشته باشند.» از نگاه من، در نظر گرفتن هر گونه ارتباط میان Sci-Hub و موسسه مبنا تنها یک حدس و گمان است ولی تنها بررسی میزان استفاده Sci-Hub نشان می‌دهد که  مقدار قابل توجهی از آن از ایران است. (این میزان استفاده‌ها بر اساس اطلاعاتی است که به جان بوهانن برای مقاله سال 2016 در Science ارائه شد.) هیچ دلیلی ندارد که تصور کنیم که ایرانی‌ها تنها منبع اطلاعات کاربری مورد استفاده Sci-Hub هستند ولی اگر ابعاد چند ساله تلاش‌های ایرانی‌ها که در کیفرخواست توضیح داده شده است را در نظر بگیریم، به همراه ادعای حمایت قابل توجه مالی از طرف دولت ایران، عجیب به نظر می‌آید که یک دانشجوی دکترای کم درآمد مانند الباکیان بتواند یک شرکت مشابه را بدون داشتن اینگونه منابع بازسازی کند.

با دقت بیشتر به بیانیه معاون دادستان کل ایالات متحده که می‌گوید «این پرونده مهم است زیرا عملیات هک کردن متهمان را مختل و از وقوع جرائم مشابه بازداری می‌کند»، به نظر عجیب می‌آید که دو سایت نسبتا کوچک بازنشر در ایران را مورد هدف قرار دهیم و از کنار بزرگ‌ترین مجرم در بازار بگذریم، با اینکه ممکن است با ثابت کردن ارتباطات ممکن ذکر شده با دیگران در کیفرخواست این کار ساده‌تر می‌شد. قطعا، ما نمی‌دانیم FBI بر روی چه موضوع دیگری در حال کار کردن است، و آیا کیفرخواست‌های غیرعلنی دیگری وجود دارند که به زودی اعلام شوند. شاید FBI به صورت شدیدتری به دنبال منبع اطلاعات کاربری دزدیده شده است و نه توضیع محتوایی که به دست آمده‌اند. همان‌طور که الباکیان در مقاله منتشر شده درScience  عنوان کرد: «من نمی‌توانم منابع دقیق اطلاعات کاربری را تایید کنم ولی می‌توانم تایید کنم که من شخصا هیچ گونه ایمیل فیشینگ نفرستادم.» اگر ایرانی‌ها زیرساخت لازم برای به دست‌ آوردن این اطلاعات کاربری را ساخته‌ بودند، پس چرا Sci-Hub تنها از آنچه موجود بود استفاده کرده و به دنبال ساخت زیرساخت خود نرفته است؟

من مطمئن هستم که بعضی از اعضای جامعه علمی به اندازه کافی ساده‌لوح هستند تا اطلاعات کاربری خود را «اهدا» کنند. این امر اکنون روشن است که ابعاد و میزان تخطی‌ها در سیستم‌های آکادمیک برای به دست‌ آوردن غیرقانونی مالکیت معنوی به بیش از چند صد احمق و نادان می‌رسد که حاضراند امنیت دانشگاه خود را با خیالی راحت به باد دهند. مالکیت معنوی به دست آمده بیش از میلیون‌ها دلار ارزش دارد – نه میلیاردها دلار. و مالکیت معنوی دزدی شده تنها مقالات و کتاب‌ها نیستند، بلکه ممکن است مقاله بعدی یک فرد، اکتشافات علمی یا پژوهش‌های شرکت‌ها باشند. همچنین باید توجه داشت که دزدی این اطلاعات کاربری اهمیت دارد زیرا آنها نه تنها دسترسی به منابع کتابخانه‌ها را ارائه می‌دهند بلکه همچنین دسترسی به سیستم‌های مدیریتی، سیستم‌های ایمیل و دیگر منابع پژوهشی ارزشمند که حاوی اطلاعات شخصی هستند را ایجاد می‌کنند.

وینت سرف، یکی از اولین موسسان اینترنت، در اظهار نظری یکی از بزرگترین قدم‌های اشتباه در ساختن اینترنت را عدم طراحی و ساختن موارد امنیتی در ساختار این شبکه دانست. این بعد، ضمیمه‌ای بی‌اهمیت به یک کوشش پیچیده بود، پس زیاد عجیب نیست که مورد خطاب قرار نگرفت. در یک مقاله سال 2015 در واشنگتون پست، دیوید کلارک، مهندس کامپیوتر دانشگاه MIT نقل قولی از یکی دیگر از موسسان اینترنت آورد: «اینگونه نیست که ما به امنیت فکر نکرده باشیم. ما می‌دانستیم که انسان‌های غیرقابل اعتمادی در دنیا وجود دارند، ولی ما فکر کردیم می‌توانیم آنها را کنار بگذاریم.» این نکته اصلا مطلب جدیدی نیست، مخصوصا برای کلارک و آنهایی که به شدت در حوزه تکنولوژی‌های اینترنی از زمان توسعه سیستم‌های شبکه‌ای کامپیوتر فعال بودند. کلارک برای یک مقاله حدود 9 سال پیش در سال 2016 مصاحبه‌ای داشت درباره مشکلات امنیت اینترنت که او حتی این مطالب را در یک سخنرانی در مورد موضوع فقدان نصب امنیت در پروتوکول‌های اینترنت، منعکس کرد. مطلب جالب و نگران‌کننده این است که چگونه بعضی از این «انسان‌های غیرقابل‌ اعتماد» اکنون در واقع حمایت دولت [خارجی] را برای فعالیت‌های شرورانه خود به همراه دارند.

امنیت اطلاعاتی نسبتا سستی که در دسترسی به منابع به اشتراک گذاشته شده در یک سیستم وجود دارد یکی از دلایل حمایت از پروژه دسترسی منابع در قرن 21 #RA21 است که توسط NISO و انجمن STM هدایت می‌شود. می‌توان گفت جامعه نشر و دانش در 25 سال گذشته کارهای قلیلی برای نوآوری و بهبود سیستم‌های کنترل دسترسی موجود برای ارائه دسترسی آسان به محتوای به اشتراک گذاشته شده در سیستم‌ها به کاربران انجام داده است، مخصوصا زمانی که دسترسی به محتوا قابلیت جابه‌جایی بیشتری به دست آورده‌اند. آیا RA21 به جلوگیری از انواع طرح‌های فیشینگ که دلیل اصلی این موضوع هستند کمک می‌کند؟ احتمالا نه، ولی زمانی که راه‌حل‌هایش به بهره‌برداری برسند پتانسیل صدمه زدن از طرف اطلاعات درز شده یک کاربر با امکان هدف قرار دادن منبع آن سریع‌تر و دقیق‌تر می‌شود. همچنین، متصل بودن دسترسی محتوا به حساب کاربری که کاربران دانشگاه دارند و از آنها به طور معمول برای دسترسی به انواع دیگر سیستم‌ها استفاده می‌کنند، توجه بیشتر به نیاز به امنیت را امری عادی می‌سازد. همچنین برای اینکه تایید هویت کاربران برای دسترسی به محتوا را رایج‌تر کنیم. نیازی نیست که این پروسه کاری سنگین باشد، همانطور که هر کسی که به صورت روزانه در Facebook, Twitter, Google و Amazon تایید هویت می‌کند انجام می‌دهد. چیزی که RA21 می‌خواهد به آن برسد این است که هر تجربه ورود به تنهایی برای محتوای به اشتراک‌ گذاشته شده مشابه آن باشد که ما همگی به صورت روزانه بدون تامل کردن انجام می‌دهیم؛ ترجیحا در یک محیط امن‌تر برای حریم خصوصی از آنچه دیگر سایت‌ها ارائه می‌دهند.

ضمیمه متن: در ادامه گزارش درباره این موضوع توسط پاول بسکین در Chronicle of Higher Education آمده است که تقریبا هیچ واکنشی از طرف جامعه مدیریتی دانشگاه‌ها مانند انجمن دانشگاه‌های آمریکا نسبت به این موضوع نشده و اگر هم بوده بسیار ضعیف است. این موضوع بسیار نگران‌کننده است. نمی‌توان بعد سیاسی و ملاحظات ژئوپولتیکی هر گونه اقدام فدرالی بر علیه ایران یا شهروندان ایران را در نظر نگرفت، مخصوصا از دولت حاضر امریکا که در صدد برهم زدن برجام با ایران است، ولی این امر برای من خیلی مد نظر نیست. ایرانی بودن اهداف و منابع این حمله متمرکز بر روی سیستم‌های اطلاعاتی دانشگاه‌ها، از واقعیت حمله کمتر اهمیت دارد که هدف آن استفاده از سیستم‌های درز شده دانشگاه‌ها است. طبیعت این حمله‌ها به این معناست که دانشگاه‌ها باید به شدت پروتوکل‌‌های امنیت اطلاعات خود را ارتقاء دهند زیرا تلاش‌ها برای وارد شدن به سیستم‌های آنها تنها کار یک جوان در زیرزمین خانه‌اش، یا یک استاد ساده‌لوح که اطلاعات ورود کاربری‌اش را با دیدگاه ارائه دسترسی آزاد به محتوای ناشران دراختیار دیگران قرار می‌دهند، نیست. این یک حمله جدی با هدف دسترسی به منابع ارزشمند است. دانشگاه‌ها مسئولیت قراردادی دارند تا از امنیت مالکیت معنوی که در اختیار کاربران قرار می‌گیرند، حفاظت کنند. روشن است که دانشگاه‌ها، کتابخانه‌ها و ناشران نیاز دارند تا توانایی‌های امنیت اطلاعاتی خود را با توجه به این واقعیت که دشمنانشان بسیار از آنچه آنها تصور می‌کردند جلوتر هستند، بالا ببرند. 

مترجم: ونداد ذوقی