سند به‌کارگیری رمزارزها در کشور تدوین می شود

پژوهشگاه ارتباطات و فناوری اطلاعات از نهایی سازی چارچوب تحلیل سناریوهای به‌کارگیری رمزارزها در کشور با تاکید بر اسناد بالادستی و الزامات حاکمیتی و بهره گیری از تجارب ۱۷ کشور، خبر داد.
 
به گزارش پژوهشگاه ارتباطات و فناوری اطلاعات، پژوهشکده امنیت ICT مرکز تحقیقات مخابرات ایران به عنوان بازوی مشاور وزارت ارتباطات و فناوری اطلاعات با همکاری پژوهشکده سیاست پژوهی و مطالعات راهبردی نسبت به تدوین سند تحلیل سناریوهای به‌کارگیری رمز ارزها در کشور اقدام کرده است.
 
این سند به عنوان یک ساختار پشتیبان تصمیم و راهنمایی مفید برای توسعه یا به‌کارگیری انواع مختلف رمز ارزها در کشور تهیه و تدوین شده است و هدف از تدوین آن کمک به سیاست گذاران و تصمیم سازان حاکمیتی و دولتی جهت اتخاذ تصمیم بهینه برای انتخاب سناریوی مناسب برای به‌کارگیری ارز دیجیتال است. این سند، قابل بهره برداری در سطح نهادهای مختلف از جمله شورای عالی امنیت ملی، شورای عالی فضای مجازی، بانک مرکزی، شورای عالی پول و اعتبار و سایر مراجع ذی‌صلاح است.
 
سند به‌کارگیری رمز ارزها با بهره‌گیری از تجارب منتشرشده در ۱۷ کشور از سراسر جهان، ۱۰ بررسی موردی پیرامون رمز ارزهای توسعه داده شده، مطالعه بیش از ۵۰ مقاله معتبر یا سند مرجع در حوزه رمز ارزها و همچنین جلب مشارکت و اخذ نظرات خبرگان دانشگاهی و بخش خصوصی تدوین و ارائه شده است.
 
در این بررسی از تخصص‌های سیاست‌پژوهی، اقتصادسنجی، توسعه فنی و مهندسی، تحلیل‌های امنیتی، تجاری و زیرساختی موجود در گروه‌های پژوهشی چهار پژوهشکده پژوهشگاه ICT استفاده شده است.
 
در نیمه دوم سال ۱۳۹۶ و نیز سال ۱۳۹۷، بیش از ۵۰ طرح پیشنهادی در زمینه سناریوهای مختلف به‌کارگیری یا توسعه رمز ارز در کشور، صنعت و سازمان با رویکردهای متفاوت به مرکز تحقیقات مخابرات ایران ارائه شده است. در این راستا نیز جلسات متعددی جهت ارائه طرح‌ها از طرف پیشنهاددهندگان و ارزیابی آنها از طرف تیم‌های تخصصی این پژوهشگاه برگزار شد که این موارد و تجارب در قالب سند پیشنهادی اعمال شده است.
 
پژوهشگاه ارتباطات و فناوری اطلاعات در نظر دارد تا ضمن هم‌فکری و ارائه مشاوره به ذی‌نفعان حاکمیتی در این حوزه، در قالب یک فراخوان عمومی سند مربوطه را در معرض نقد و بررسی کارشناسان و خبرگان این حوزه قرار دهد. تاریخ این فراخوان به زودی اعلام می‌شود.

پیشنهاد منتقدان الزامات رمزارز بانک مرکزی: محیط آزمایشگاهی تعریف کنید

تدوین پیش‌نویس الزامات رمزارزها از سوی بانک مرکزی هر چند با انتقادات بسیاری مواجه شد و بسیاری این متن را بسیار خام برآورد کردند؛ اما خروج رگولاتوری پولی از انفعال در این بخش را گام موثری در جهت پیش‌برد اهداف این بخش می‌دانند.
منتقدان این پیش‌نویس که به دعوت بانک مرکزی پس از انتشار الزامات رمزارزها گرد هم آمده بودند تا بتوانند در جهت استانداردسازی حرکت در بخش رمزارزها بانک مرکزی را یاری کنند، معتقدند یکی از بهترین اقداماتی که بانک مرکزی برای گذر از این دوره می‌تواند انجام دهد دوری از قانون‌گذاری و ایجاد یک «سندباکس» یا آزمایشگاه در حوزه رمزارزها است. به عقیده آنان قانون‌گذاری اشتباه موجب توقف حوزه رمزارز و مانع رسیدن کشور به استانداردهای بین‌المللی می‌شود.
 
مجتبی انصافی مدیر تحقیق و توسعه شرکت اینتلا ویژن نیز معتقد است در اولین قدم باید یک محیط پایلوت  و در ابعاد بسیار کوچک‌تر از سطح ملی برای آزمون و خطای رمزارزها در نظر گرفت و با مشارکت فعالان مقررات آن تنظیم شود یا حداقل فرصتی بیشتر از یک ماه برای نقد پیش‌نویس در نظر گرفته شود.
حامد صالحی از تنظیم کنندگان نقد و بررسی پیش‌نویس نیز همین دیدگاه را دارد و معتقد است در شرایط فعلی از استانداردهای بین‌المللی عقب نیستیم؛ اما اما با قانون‌گذاری اشتباه ممکن است از استاندارد سازی جهان عقب بمانیم.
 
تعاریف اشتباه
اولین ایرادی که در بررسی پیش‌نویس الزامات و ضوابط حوزه رمزارزها به آن اشاره شده است ایراد فنی به بخش تعاریف است. به عقیده این منتقدان دسته‌بندی رمزارزها به چهار نوع «رمزارز جهان روا»، «رمزارز بانک‌مرکزی(ملی)»، «رمزارز منطقه‌ای» و «رمزارز حاصل از عرضه اولیه سکه/ توکن» از نظر مفهومی و تخصصی صحیح نیست و در صورتی که این تعاریف به درستی و همسو با ادبیات تخصصی حوزه تخصصی مربوطه نباشد در آینده ممکن است پروژه‌های عظیمی همچون رمزارزهای ملی و منطقه‌ای بر پایه این تفاسیر طراحی شوند که نهایتا با صرف هزینه‌های جبران ناپذیری به شکست بیانجامد.
 
یکی از اصلی‌ترین انتقاداتی که به این پیش‌نویس وارد شده، فنی نبودن آن است. حامد صالحی که یکی از منتقدان و عضو تیم بررسی پیش‌نویس و الزامات رمزارزهای بانک مرکزی به شمار می‌آید با مقایسه این سند رمز ارز با سند رمزارز بحرین می‌گوید: «سند بحرین ۱۳۰ صفحه است و سند ما ۱۳ صفحه همین کاملا مشخص است که این سند فاقد پشتوانه فنی جدی است.»
 
او با اشاره به ۵۳ ایرادی که از سند الزمات رمزارزها گرفته شده است اعلام می‌کند: «متن از نظر فنی ایرادات زیادی دارد شاید اگر این مشکلات فنی وجود نداشت تعداد ایرادات کمتر می‌شد.» او ادامه می‌دهد که اگر بانک مرکزی پیش از منتشر کردن این مستند جلسات منظمی با کارشناسان این حوزه برگزار می‌کرد شاید این میزان تفاوت دیدگاه میان مستند انتشار یافته از سوی بانک مرکزی و کارشناسان این حوزه ایجاد نمی‌شد.
 
در متن بررسی این پیش‌نویس آمده است: «براساس تعریف و الزاماتی که برای رمزارز بانک مرکزی ارائه شده، آن را می‌توان به عنوان یک ابزار کم هزینه برای توسعه خدمات بانکداری الکترونیکی محسوب کرد، و بدین ترتیب نمی‌تواند در  کنار رمزارزهای دیگر دسته‌بندی شود. براساس الزامات مطرح شده در این خصوص این رمزارز(رمزپول) ویژگی‌های انحصارزدایی و فرد به فرد را ندارد. لیکن ابزاری کم هزینه بر پایه دانش رمزنگاری نیست و همچنین متمرکز و انحصاری به شمار می‌آید که بانک مرکزی می‌تواند از آن به عنوان یک ابزار فناورانه استفاده کند و در صورتی که قرار بر نبود امکان تبادل فرد به فرد آن باشد لزومی برای اجرای این پروژه وجود نخواهد داشت.»
 
در بررسی منتشر شده از الزامات رمزارزها به ۹ تناقض درون این متن اشاره شده است که سعی شده با شفاف کردن آنها در متن پیش‌نویس راهکاری برای رفع آن در متن اصلی پیشنهاد شود.
 
نگرانی‌های حقوقی
از اصلی‌ترین نگرانی حقوقی که در این متن انتقادی مطرح شده است جرم‌انگاری‌های مستتر در متن پیش‌نویس است. به عقیده منتقدان الزامات به گونه‌ای تنظیم شده‌اند که هر نوع فعالیت خارج از حیطه مشخص شده را ممنوع و به تبع آن جرم قلمداد می‌کند. در این متن پیشنهاد شده است تا فرصتی در اختیار متخصصان و صاحبنظران اکوسیستم بلاک‌چین و رمزارز ایران قرار گیرد تا راه‌حل‌های فناورانه‌ای را پیشنهاد کنند تا امکان شکل‌گیری جرائم احتمالی کاهش و با حفظ نظارت بانک مرکزی، از حقوق مصرف کننده مراقبت کنند.
 
یکی از کاستی‌های این پیش‌نویس به عقیده منتقدان آن کم‌توجهی به حقوق مصرف کننده است. طبق گفته آنان حقوق مصرف کنندگان و خطرات احتمالی که متوجه کاربران رمزارزهای مختلف تشریح نشده است و اینکه بانک مرکزی به عموم مردم یادآوری کند که در زمان خرید و فروش نگهداری یا معامله رمزارزها از تمامی مخاطرات آگاهی یافته و به هشدارهای بانک مرکزی توجه کنند کافی نیست.
 
در مقابل تمام اتتقادات به این طرح پیش‌نویس اما باز هم بسیاری تدوین آن را قدم مثبتی در این زمینه می‌دانند.  مهدی صالحی این اقدام بانک مرکزی در جهت تدوین پیش‌نویس و در معرض نقد قرار دادن آن را قدمی مثبت به شمار آورد. به عقیده او  از نکات مثبت این سند را واگذاری بخش‌های مختلف آن به وزارت صمت یا بورس برای قانون‌گذاری در این حوزه است. صالحی بر این باور است که  این اقدام می‌تواند موجب تخصصی‌تر شدن قانون‌گذاری در بخش‌های مختلف باشد.

هر آنچه درباره «کریپتوجکینگ و روش‌های مقابله با آن» باید بدانید

هر چه مقوله «ارزهای رمزنگاری شده» یا همان رمزارزها جدی‌تر و فراگیرتر می‌شود، تهدیدات امنیتی مرتبط با آن نیز جدی‌تر، عمیق‌تر و گسترده‌تر می‌شود. کریپتوجکینگ (Cryptojacking) به عنوان شاخص‌ترین تهدید امنیتی مبتنی بر رمزارزها تا به امروز، نخستین بار در اواخر سال 2017 (هم‌زمان با اوج‌گیری ارزش بیت‌کوین و جهش‌های پی‌درپی و دیوانه‌وار قیمت آن در آن مقطع چند ماهه) شناسایی و با این عنوان (Cryptojacking) نامگذاری شد. البته کریپتوجکینگ نه بر پایه بیت‌کوین، که بر مبنای رمزارز دیگری با نام «مونِرو» متولد شد.
 
طی یکی دو سال اخیر موضوع «ارزهای رمزنگاری‌ شده» (Cryptocurrency) همواره به عنوان یکی از موضوعات داغ و بسیار پرمخاطب در دنیای فناوری مطرح بوده است. رمزارزها و روش‌های استخراج آن، از یک سو چالشی مهم و بزرگ برای دولت‌ها و نظام‌های مالی و بانکداری و از سوی دیگر موضوعی جذاب و هیجان‌انگیز برای عموم مردم از طیف‌های مختلف است.
 
اما ماهیت پنهان و ساختار مرموز ارزهای رمزنگاری‌شده در کنار روش استخراج آن، تمام پتانسیل‌ها و انگیزه‌های لازم برای ورود جدی هکرها به دنیای رمزارزها را هم در خود داشت و با اوج‌گیری باورنکردنی و جهش‌های بلندی که به طور خاص «بیت‌کوین» طی 3-ماه پایانی سال 2017 به نام خود ثبت کرد، این انگیزه‌ها به اوج رسید.
 
سرانجام طی سال 2018 چندین بار در خبرها خواندیم که: «هکرها کنترل هزاران وب‌سایت را برای استخراج ارزهای رمزنگاری‌شده به روش «کریپتوجکینگ» در دست گرفتند.»
 
 «کریپتوجکینگ»  چیست؟
کریپتوجکینگ (Cryptojacking) اصطلاحی است که به استفاده‌ غیرمُجاز و مخفیانه هکرها از کامپیوتر، موبایل و دیگر دستگاه‌های متصل به اینترنت قربانیان، برای استخراج  رمزارزها(ماینینگ) اطلاق می‌شود. این روش طی یکی دو سال اخیر میان هکرها محبوبیت و رواج بسیار زیادی کسب کرده است؛ روشی ساده، زودبازده و پرسود برای استخراج پول دیجیتال توسط هکرها با استفاده مخفیانه از سخت‌افزارهای هزاران کاربر قربانی.
 
روش کار آن چگونه است؟
در حالت کلی، هکرها با فریب دادن کاربران به یکی از 2 روش زیر اقدام به نصب بدافزار و نفوذ به دستگاه قربانیان می‌کنند: از طریق کلیک کاربر روی لینک‌هایی با موضوعات جذاب و فریبنده یا دانلودهایی با ظاهر موجه و بی‌خطر که در واقع حاوی بدافزار و کد مخرب هستند.
 
اما روش نفوذ در Cryptojacking کاملا متفاوت است: در «کریپتوجکینگ» هکر یک کامپوننت جاوااسکریپت را درون سورس کُد یک وب‌سایت (یا تعدادی وب‌سایت‌) جاسازی می‌کند. هنگامی‌که بازدیدکننده‌ به این وب‌سایت‌(ها) مراجعه می‌کند، بدافزار (اسکریپت ماینینگ) بلافاصله و بدون درنگ در مرورگرش اجرا می‌شود؛ از این لحظه سخت‌افزار و توان پردازشی دستگاه قربانی به یک نیروی کار اجباری رایگان در خدمت ماینینگ به نفع هکرها تبدیل می‌شود.
 
آیا «کریپتوجکینگ» دستگاه قربانی را آلوده به بدافزار می‌کند؟
خیر. اگر چه Cryptojacking توان پردازشی دستگاه قربانی را برای استخراج رمزارز مورد سواستفاده هکر قرار می‌گیرد اما هیچ کُد یا بدافزاری روی سیستم قربانی ذخیره نمی‌شود و «عموما» با بستن وب‌سایت یا صفحه وب آلوده، ماینینگ متوقف می‌شود.
 
به این دلیل می‌گوییم «عموما» که طبق اعلام شرکت امنیتی Malwarebytes Labs، هکرها امکان ماینینگ از طریق پنجره‌های مخفی مرورگر را نیز فراهم و اجرایی کرده‌اند. (پنجره‌های مخفی مرورگر که در اصطلاح با عنوان pop-unders نامگذاری شده‌اند، در زمان اجرا در زیر نوار وظیفه و در پشت آیکن ساعت قرار می‌گیرند.)
 
 
در این روش، فرآیند استخراج رمزارزها با بستن پنجره مرورگر متوقف نخواهد شد چرا که کامپوننت جاوااسکریپت مربوط به ماینینگ این‌بار نه در صفحات اصلی وب‌سایت، که در سورس کد پنجره‌های مخفی از جنس pop-unders جاسازی شده‌اند. ساده‌ترین راهکار برای اطلاع از حضور و فعالیت pop-unders این است که نوار وظیفه ویندوز را روی «حالت شفاف»(transparent) تنظیم کنید.
 
 
از چه نرم‌افزاری برای Cryptojacking استفاده می‌شود؟
ماینِر جاوااسکریپتی که این روزها بیشتر توجهات را به سمت خود جلب کرده است، «کوین‌هایو»(Coinhive) نام دارد. Coinhive یک ابزار کاملا قانونی است که برای بکارگیری در وب‌سایت‌ها به منظور استخراج یک ارز دیجیتال مُجاز و قانونی با نام «مونِرو»(Monero) طراحی شده است. به این معنا که کوین‌هایو امکان درآمدزایی جدیدی دراختیار صاحبان وب‌سایت‌ها قرار می‌دهد تا بتوانند بدون استفاده از تبلیغات آنلاین از وب‌سایت‌شان کسب درآمد کنند. اما مشکل از آنجا آغاز می‌شود که هکرها، کوین‌هایو را روی وب‌سایت‌های متعلق به دیگران، بدون اطلاع صاحبانِ آنها، برای استخراج ارز دیجیتال به حساب خودشان به خدمت می‌گیرند.
 
ماینر در واقع چه کاری انجام می‌دهد؟
ماینر در حال یک تلاش بی وقفه برای حل مجموعه‌ای از مسائل دشوار و پیچیده ریاضی است. با رسیدن به هر راه‌حل، که یک هش نامیده می‌شود، به کسی که آن ماینینگ را مدیریت می‌کند، سهم یا بخشی از یک رمزارز به عنوان پاداش تعلق می‌گیرد. به این ترتیب هکرها هر چه تعداد دستگاه‌های تحت کنترل‌شان بیشتر می‌شد، پول بیشتری عایدشان می‌شد.
 
آیا Cryptojacking منجر به آسیب و ضرر و زیان می‌شود؟
به این معنا که اطلاعات شخصی یا جزئیات مربوط به حساب‌های بانکی قربانی در معرض خطر قرار گیرند، خیر. در مجموع کریپتوجکینگ در مقایسه با باج‌افزارها، تهدید آنلاین به‌مراتب خفیف‌تر و کم‌خطرتری محسوب می‌شود؛ با این وجود می‌تواند به سخت‌افزار قربانی آسیب و خسارت وارد کند.
 
به عنوان مثال یک تروجان استخراج رمزارز موسوم به Loapi به دنبال دستیابی و دسترسی به مجوزهای اجرایی مورد نظرش در گوشی‌های اندرویدی، دستگاه را زیر چنان فشار پردازشی سنگینی قرار می‌دهد که سخت‌افزار گوشی نابود می‌شود.
 
آیا این مساله، یک معضل رو به رشد و در حال گسترش است؟
بله دقیقا همینطور است. بنا به گفته محققانی که در پروژه مسدودکننده تبلیغات اینترنتی شرکت Adguard مشغول به فعالیت هستند، تنها در ماه نوامبر 2017، اسکریپت کریپتوجکینگ را در بیش از 33،000 وب‌سایت یافته‌اند و این رقم طی ماه دسامبر 31 درصد افزایش داشته است. شرکت امنیتی Sophos هم اعلام کرد که استفاده از Coinhive در ماه دسامبر 2017 افزایش یافته است.
 
هکرها چگونه کد اسکریپت را در وب‌سایت‌ها جاسازی می‌کنند؟
در بسیاری از حملات گسترده و پُردامنه کریپتوجکینگ در نیمه نخست سال 2018، هکرها موفق شدند از طریق یک افزونه به نام BrowseAloud، اسکریپت Coinhive را درون کُد وب‌سایت‌ها جای می‌دهند.
 
(BrowseAloud یک افزونه برای مرورگر وب است که با تبدیل محتوای متنی صفحات وب به صوت سعی دارد به کمک کاربران نابینا و کم‌بینا آمده و وب‌گردی را برای این دسته از کاربران تسهیل کند.)
 
هکرها با بهره‌گیری از آسیب‌پذیری و ضعف امنیتی کشف شده در این ابزار، توانستند بزرگترین حمله از نوع Cryptojacking تا به امروز را رقم بزنند و طی آن هزاران وب‌سایت و حتی سرویس‌های تبلیغات ویدیویی را تحت تاثیر قرار دهند.
 
کدام وب‌سایت‌ها آلوده شده‌اند؟
طی حمله فوق هکرها توانستند از طریق آسیب‌پذیری کشف شده در افزونه BrowseAloud به بیش از 5000 وب سایت نفوذ پیدا کرده و اسکریپت Coinhive را در آنها جاسازی کنند.
 
به عنوان مثال وب‌سایت‌ شرکت Student Loans، مربوز به شوراهای  انگلستان، سرویس‌های مختلف NHS و حتی دفتر کمیساریای اطلاعات بریتانیا (Information Commissioner’s Office) که خود یک نهاد نظارتی در حوزه امنیت اطلاعات است، طی این حمله، به اسکریپت Coinhive آلوده شدند.
 
فهرستی از وب‌سایت‌های هک شده از طریق ضعف امنیتی افزونه BrowseAloud را می‌توانید اینجا مشاهده کنید:
 
در همه موارد هکرها موفق شده بودند از ترافیک این وب‌سایت‌ها برای ماینینگ و استخراج رمزارز به حساب خودشان سواستفاده کنند. البته در این میان وب‌سایت‌هایی هم بودند که با میل، اراده و انتخاب خودشان اسکریپت Coinhive را برای کسب درآمد از وب‌سایت‌شان به خدمت گرفته بودند؛ به عنوان مثال سایت «The Pirate Bay» که یکی از وب‌سایت‌های مشهور و پرمخاطب تورنت است.
 
کدام سایت‌های محتوای ویدیویی مورد هدف قرار گرفته‌اند؟
تعدادی از تبلیغات ویدیویی در YouTube به صورت غیرقانونی توسط اسکریپت  Codejacking هدف نفوذ هکرها قرار گرفتند. به گفته کارشناسان، سایت‌های ویدیویی Openload، RapidVideo، OnlineVideoConverter و Streamango هم حاوی نرم‌افزار ماینینگ بوده‌اند. به این ترتیب تخمین زده می‌شود که طی این مدت بیش از یک میلیارد بازدید‌کننده و کاربر سرویس‌های ویدیویی نامبرده، به طور ناخواسته در تولید و استخراج رمزارز Monero مشارکت داشته‌اند.
 
آیا هکرها فقط به دنبال رمزارز مونِرو هستند؟
خیر. هکرها علاوه بر رمزارز مونِرو به دنبال استخراج سایر ارزهای رمزنگاری‌شده از جمله بیت‌کوین(Bitcoin)، لیتکوین(Litecoin)، یوتا(Iota)، اِتریوم(Ethereum) و رپپل(Ripple) هم بوده و هستند.
 
اما رمزارز «مونِرو» در میان همه ارزهای دیجیتالی امن و غیر‌قابل‌ردیابی، از آن جهت به عنوان محبوب‌ترین و رایج‌ترین گزینه در میان مجرمان سایبری شناخته شده است، که می‌توان آن را به راحتی و به مقدار فراوان، بدون نیاز به خرید هیچ‌ سخت‌افزار یا تجهیزاتی، تنها با سواستفاده از توان پردازشی دستگاه‌های بازدید‌کنندگان از سایت‌های وب استخراج کرد.
 
 مونِرو (Monero)، رایج‌ترین و پرکاربردترین رمزارز در ماینینگ‌های مخفیانه و غیرمُجاز و حملات Cryptojacking است
 
پس از آخرین حمله چه اقداماتی انجام شده است؟
طبق بررسی و تحقیق انجام شده در مرکز ملی امنیت سایبری (National Cyber Security Centre)، شرکت TextHelp سازنده ابزار BrowseAloud، تا زمان حل و فصل مشکل و رفع نقص، خدمات وب‌سایت خود را متوقف کرده است تا حداقل جلوی سواستفاده‌های بیشتر هکرها از دستگاه‌های بازدیدکنندگان از وب‌سایت‌های آلوده به کُد استخراج رمزارزها گرفته شود. با این وجود هنوز تهدید از بین نرفته است.
 
تحقیقات شرکت امنیتی Adguard تصویر گویاتری از وضعیت موجود ارائه می‌دهد؛ این تحقیقات نشان می‌هد که از میان تمام شبکه‌های ماینینگ که طی ماه‌های اکتبر و نوامبر 2017 فعال بوده‌اند اکنون تنها 6 شبکه به صورت فعال باقی مانده است که البته Coinhive به عنوان محبوب‌ترین و مشهورترین نام، در بین 6 شبکه همچنان فعال حضور دارد.
 
آیا نمی‌توان Coinhive را از دنیای کسب و کار بیرون انداخت؟
از لحاظ فنی، Coinhive یک ابزار قانونی است و هیچ کار نادرستی انجام نمی‌دهد. مساله اینجاست که این ابزار مورد سواستفاده قرار می‌گیرد و بازدیدکنندگان وب‌سایت‌های حاوی این اسکریپت، از آنچه در پشت صحنه این وبگردی اتفاق می‌افتد، بی اطلاع هستند.
 
در واقع تعداد بسیار زیادی از کاربران در معرض نفوذ و سواستفاده‌های تهدید سایبری جدیدی قرار گرفته بودند که بدون هیچ دردسر یا مانع بازدارنده‌ای، به راحتی می‌توانست به حجم انبوهی از دستگاه‌ها (موبایل، تبلت، لپ‌تاپ و کامپیوتر شخصی) نفوذ کند. همین مساله باعث شد تا Malwarebytes و بسیاری دیگر از ابزارهای مسدودکننده‌ تبلیغات آنلاین، از اجرای اسکریپت Coinhive  روی وب‌سایت‌ها ممانعت کنند.
 
آیا Coinhive اقدامی در جهت رفع این مشکل انجام داده است؟
Coinhive کُد جدیدی به نام AuthedMine منتشر کرد که به همان شیوه اسکریپت قبلی کار می‌کند، اما یک صفحه «رضایت کاربر» به آن اضافه شده است. در این صفحه به بازدیدکنندگان وب‌سایت‌های حاوی این اسکریپت هشدار داده می‌شود که در این سایت پتانسیل و امکان کریپتوماینینگ وجود دارد و از آنها می‌خواهد که با مراجعه به  این آدرس، در جریان ماهیت کلی اسکریپت AuthedMine قرار گیرند سپس آگاهانه تصمیم بگیرند
 
این شرکت می‌گوید: «ماینر AuthedMine هرگز بدون رضایت کاربر شروع به کار نخواهد کرد» و از توسعه‌دهندگان خواسته شده است که این متد جدید را جایگزین روش قبلی کنند. با این حال، با توجه به ماهیت و ذات کریپتوجکینگ که بیش از هر چیز به یک عملیات و فرآیند کاملا مخفیانه شبیه است، بعید به نظر می‌رسد مساله به این زودی‌ها و با راهکار جدید ارائه شده توسط توسعه‌دهنده Coinhive حل و فصل شود.
 
چگونه از خودمان در برابر «کریپتوجکینگ» محافظت کنیم؟
پس از این آشنایی نسبتا جامع با ماهیت و عملکرد Cryptojacking،مهمترین و اصلی‌ترین سوال این است که «چطور و با کمک چه ابزارها و راهکارهایی می‌توانیم از گرفتار شدن در دام این تهدید جدید دنیای دیجیتال مصون بمانیم؟» در ادامه این نوشتار به معرفی چند راهکار عمومی و توصیه ساده برای محفوظ و مصون ماندن در برابر «کریپتوجکینگ» خواهیم پرداخت.
 
فرآیندهای در حال اجرا روی کامپیوترتان را چک کنید.
برای این منظور با استفاده از کلید ترکیبی «Control+Shift+Esc»، پنجره Windows Task Manager را باز کنید؛ سربرگ Processes را انتخاب کرده و در لیست به دنبال فرآیندهایی بگردید که بیشترین مقدار از توان پردازنده را به خود مشغول کرده‌اند.
 
سایت‌های مشکوک را به یک ابزار مسدودکننده تبلیغات (Ad blocker) معرفی کنید. 
اگر با سایتی مشکوک به ماینینگ برخورد کردید (مثلا وب‌سایتی که هنگام مراجعه و بازدید، سیستم‌تان را به شدت کُند یا برای لحظاتی معطل و متوقف می‌کند)، هنگام مراجعه به آن حتما «Ad blocker‌»‌تان را روشن کنید و اطمینان حاصل کنید که لیست فیلتر NoCoin فعال شده است.
 
به طور مثال Adblock Plus  یکی از بهترین گزینه‌های رایگان برای مسدودسازی تبلیغات آنلاین و مقابله با تهدیدات مختلف امنیتی در این حوزه است. Adblock Plus یک ابزار کاملا رایگان و متن‌باز است که به صورت یک افزونه به مرورگر وب اضافه ‌می‌شود و علاوه بر مرورگرهای رایج و معروف (فایرفاکس، گوگل کروم، مایکروسافت اج، سافاری، اپرا و IE) از برخی مرورگرهای کمتر شناخته شده نیز پشتیبانی می‌کند.
 
تبلیغات آنلاین حتی اگر آلوده به ماینرها نباشند، باز آزاردهنده و مزاحم هستند. Adblock Plus شما را از شرّ گونه‌های مختلف تبلیغات اینترنتی خلاص می‌کند. 
 
امکان ماینینگ و استخراج ارزهای رمزنگاری شده را روی دستگاه‌تان مسدود کنید.
چند عنوان افزونه مرورگر برای مسدودسازی و توقف فعالیت ماینینگ Coinhive و سایر رمزارزها، بدون رضایت و موافقت کاربر وجود دارد. مثلا افزونه No Coin برای مرورگرهای کروم، فایرفاکس و مرورگر ویوالدی و افزونه Mining Blocker برای مرورگرهای فایرفاکس و اپرا در دسترس است.
 
کاربران مرورگرهای کروم، فایرفاکس و ویوالدی برای مسدودسازی و مصون ماندن از خطرات ماینرهای جاسازی شده در وب‌سایت‌ها (از جمله Coinhive) می‌توانند به افزونه No Coin اعتماد کنند.
 
 افزونه Mining Blocker که از مرورگرهای فایرفاکس و اپرا پشتیبانی می‌کند، یک ابزار ضد ماینینگ رایگان و کارآمد برای مسدودسازی و مقابله اثربخش در برابر انواع کُدها و اسکریپت‌های ماینینگ جاسازی شده در سایت‌های وب است.
 
آنتی‌ویروس‌تان را همیشه به روز نگه دارید.
ماهیت مکار و حیله‌گر «کریپتوجکینگ» سبب می‌شود آنتی ویروس‌ها همیشه موفق به تشخیص و شناسایی آن نشوند، اما به روز نگهداشتن ابزارهای محافظتی، همواره شانس و احتمال غلبه بر تهدیدات شناخته شده را به میزان زیادی افزایش می‌دهد.
 

علی میزانی: رمز ارز ملی قرار نیست جای بیت کوین را بگیرد

علی میزانی اسکویی مدیرعامل شرکت سیتکس عصر امروز در میزگرد چرا انقلاب؟ چرا بلاک‌چین؟ گفت: در سال ۲۰۳۰ ابرکامپیوترها وارد چرخه زندگی انسان‌ها با ظرفیت پردازشی بالایی می‌شوند، زمانی که ساتوشی ناکاماتو بلاک‌چین را معرفی کرد، پاسخ مطلق سوالات را نداد و بسیاری ابهامات در خصوص آن وجود دارد.
 
به گزارش روابط عمومی پژوهشکده پولی و بانکی، وی ادامه داد: فناوری بلاک‌چین مقدمه‌ای برای توزیع قدرت است و صرفا در حوزه مالی و بانکی کاربرد ندارد و در سایر حوزه‌ها می‌تواند یک راهکار زیرساختی باشد. مدیرعامل سیتکس تاکید کرد: بلاک‌چین یک شروع زیرساختی است که ایده ای مبتنی بر این فناوری ایجاد خواهند شد و همه این مسئله باعث می‌شود تا بلاک‌چین یک انقلاب باشد.
 
میزانی خاطر نشان کرد: تمامی انقلاب‌ها بر علیه کسانی است که قصد ندارند تا تغییر کنند؛ همانطور که دکتر دیواندری تاکید کردند بلاک‌ چین یک فرصت بسیار خوب است.
 
وی تاکید کرد: رمز ارز ملی قرار نیست جای بیت کوین را بگیرد یا تحریم‌ها را دور بزند و تمامی مشکلات کشور را حل کند، اما اجرای درست آن به نفع کشور خواهد بود.

ایجاد کیف پول آفلاین همراه با رمز ارز ملی

نوش آفرین مومن واقفی، معاون امنیت شرکت خدمات انفورماتیک نیز در میزگرد چرا انقلاب؟ چرا بلاک چین؟ با اشاره به انقلاب بلاک‌چین و نگاه‌ها به این فناوری گفت: انقلاب‌ها می‌توانند دستاوردهای بد یا خوبی داشته باشند و از سویی می‌تواند دستاوردهای خوب را از بین ببرند و انقلاب بلاک‌چین نیز از همین دسته از انقلاب‌هاست که می‌تواند ضربه‌ای وارد کند یا چالش ها را برطرف کند.
 
وی افزود: فناوری بلاک‌چین، انقلاب اشیا است که از ترکیب اینترنت اشیا و هوش مصنوعی ایجاد می‌شود و در هوشمند سازی تحولی بزرگ را به دنبال دارد. معاون امنیت شرکت خدمات انفورماتیک خاطر نشان کرد: اگر بتوانیم واقع بینانه با بلاک‌چین برخورد کنیم، می‌توانیم از مزایای فناوری زنجیره بلوک استفاده کنیم و امیدوارم ما بتوانیم از آن استفاده کنیم.
 
وی تاکید کرد: هاروارد معتقد است در ۱۰ سال آینده، فناوری بلاک‌چین دستاوردهای خوبی را به دنبال داشته باشد؛ بانک‌های مرکزی، غول‌های فناوری و شرکت‌های نوپا به دنبال بهره‌گیری از این فناوری هستند که نشان می‌دهد تا علاقه‌ای فراگیر از سوی کسب و کارها و رگولاتورها به این فناوری وجود دارد.
 
مومن واقفی با بیان اینکه احراز هویت از دستاوردهای اصلی فناوری بلاک‌چین است، اظهار داشت: ایجاد پروتوتایپ برای بررسی رمز ارزها است و بسیاری از بانک‌های مرکزی از جمله بانک مرکزی ایران برای تحقیق و بررسی درباره کاربردهای آن اقداماتی انجام داده است.
 
وی با اشاره به رمز ارز ملی افزود: رمز ارز ملی با پشتوانه ریال می‌تواند در نهایت به ایجاد یک کیف پول آفلاین منجر شود تا مشکلات چاپ اسکناس با توجه به محدودیت‌ها را خنثی کرد.

دولت تکلیف استخراج رمز‌ ارزها را مشخص می‌کند

کمیسیون اقتصادی دولت در حال بررسی طرحی است که در آن شرایط چگونگی استخراج رمزارزها (Mining) و تعرفه برق اختصاص یافته به آن مشخص می‌شود.
 
براساس این طرح که به  پیشنهاد کارگروه تخصصی فناوری زنجیره ‌بلوکی به کمیسیون اقتصادی دولت ارجاع ارائه شده، تعرفه برق متقاضیان استخراج رمزارزها با نرخ توافقی بین توانیر و متقاضیان استخراج حداکثر تا قیمت متوسط برق صادراتی، محاسبه و اعمال می‌شود.
 
پیش از این پیشنهاد شده بود که نرخ برق اختصاص یافته به متقاضیان استخراج رمزارز بر اساس قیمت برق صنعتی محاسبه شود؛ اما به نظر می‌رسد این پیشنهاد مورد موافقت وزارت نیرو قرار نگرفته است. در طرح جدید پیش‌بینی شده است متقاضیان استخراج چنانچه در احداث نیروگاه‌ جدید سرمایه‌گذاری و مشارکت کنند از نرخ تعرفه ترجیحی و مزایای ویژه در این زمینه برخوردار خواهند شد.
 
متقاضیان استخراج رمزارز برای تامین برق خود باید از وزارت صنعت معدن و تجارت مجوز فعالیت بگیرند. این وزارتخانه نیز موظف شده تا مقررات صدور مجوز فعالیت و واردات یا ترانزیت تجهیزات به مناطق آزاد و ویژه تجاری در حوزه استخراج رمزارزها را حداکثر ظرف یک ماه پس از تصویب این قانون تنظیم و ابلاغ کند. در این طرح پیش‌بینی شده مزایای در نظر گرفته شده برای واحدهای تولیدی به این مجوزهای فعالیت نیز تعلق گیرد.
 
استفاده از زنجیره بلوکی در تسهیل خدمات مالی و تجاری
در بخش دیگری از این طرح که در دستور کار کمیسیون اقتصادی دولت قرار گرفته است بانک مرکزی موظف شده‌است ظرف ۳ ماه با همکاری وزارتخانه‌های اقتصاد و خارجه سازوکار اجرایی لازم برای راه‌اندازی رمزارزها با پشتوانه هر یک از ارزهای جهان‌روا، به منظور تسهیل صادرات کالا بر مبنای فناوری زنجیره بلوکی فراهم کند.
 
همچنین در این طرح پیش‌بینی شده است که صادرکنندگان، وارد کنندگان و سرمایه‌گذارن خارجی مجازند از طریق بانک‌ها و صرافی‌های دارای مجوز از بانک مرکزی ایران جهت انجام تبادلات پولی و تسویه تعهدات بین‌المللی از رمزارزها استفاده کنند.
 
اوایل سال جاری ادراه پولشویی بانک مرکزی در دستورالعملی تمامی بانک‌ها و صرافی‌ها را از معاملات رمزارزها منع کرده بود. حال به نظر می‌رسد در صورت تصویب این مصوبه دولت این دستورالعمل بانک مرکزی کن‌لم یکن تلقی خواهد شد.
 
همچنین سازمان بورس و اوراق بهادار نیز باید ظرف مدت ۳ ماه معاملات ابزارهای مشتقه مبتنی بر ابزارهای تسویه و عرضه عمومی رمزارزها را در کمیته تخصصی فقهی سازمان مطرح و در صورت تصویب، زیرساخت‌های لازم برای انجام معاملات رمزارزها را فراهم کند. در صورت تصویب این طرح، فناوری زنجیره بلوکی در ایران وارد فاز جدیدی از اجرا در کشور خواهد شد.
 
استخراج یا Mining در دنیای رمز‌ارزهایی مانند بیت‌کوین به معنی تولید و تأیید تراکنش ارز رمزنگاری شده از طریق حل مسائل کامپیوتری است.

رئیس مرکز ملی فضای مجازی: باید به فکر استفاده از رمزارز باشیم

رئیس مرکز ملی فضای مجازی در چهارمین همایش تراکنش، مدیران تصمیم‌ساز را به استفاده و بهره‌برداری از بلاک‌چین و رمزارز دعوت کرد.
 
ابولحسن فیروزآبادی در مراسم افتتاحیه این همایش با اشاره به اینکه موضوع بلاک‌چین در دنیا موضوع مهمی است و ما نمی‌توانیم نسبت به آن بی‌اعتنا باشیم گفت: «باید به فکر استفاده از فرصت‌های بهره‌گیری از بلاک‌چین و رمزارز باشیم.»
 
او با اشاره به نقدهایی که به استفاده از رمزارز می‌شود گفت: «برخی معتقدند استفاده از رمزارز موجب تضعیف حاکمیت ملی می‌شود؛ اما باید در نظر گرفت که ملت‌ها را فقط دولت‌ها نمایندگی نمی‌کنند بخش خصوصی و جامعه مدنی نیز نمایندگان ملت‌ها به‌شمار می‌آیند، ما باید این بسترها را تقویت کنیم تا وارد این فضا شوند.»
 
فیروزآبادی با مقایسه شبکه بانکی ایران و کشورهای توسعه‌یافته گفت: «به نظر می‌رسد فاصله شبکه بانکی ایران با کشورهای توسعه‌یافته در مقایسه با دو دهه گذشته بسیار بیشتر شده و شکاف عمیق‌تری ایجاد شده است. اگر بانک‌ها ما نتوانند وارد موضوعات جدید شوند سایزشان هر روز کاهش می‌یابد و این شکاف با غفلت از توسعه فناوری اطلاعات هر روز بیشتر می‌شود.»
 
رئیس مرکز ملی فضای مجازی تاکید کرد که ما نباید در ایجاد یک پول بین‌المللی مانند گذشته توقف کنیم چرا که با روش‌های کلاسیک نمی‌توان مشکلات را رفع کرد. او ادامه داد: «هر چند کشور را ما با روش‌های کلاسیک اداره می‌کنیم اما برای رفع مشکلات باید نگاهی به روش‌های جدیدتر داشته باشیم.»
 
او گفت: «ما باید در ترکیب تکنولوژی و حوزه‌های ملی بیش از پیش تلاش کنیم. بانک‌های ما باید بتوانند از تکنولوژی‌های جدید و فین‌تک‌ها بهره گیرند تا برخی از خدمات را گسترش دهند و شکاف ایجاد شده میان شبکه بانکی ایران و دنیا را جبران کنند.»
 
او با اشاره به تحریم‌های اعمال شده علیه ایران گفت: «حتما تحریم‌های ایجاد شده به کشور ضربه می‌زند و این تحریم‌ها بسیار برای کشور ما تلخ است؛ اما این تحریم‌ها به کل دنیا نیز ضربه می‌زند چرا که مغایر با اقتصاد آزاد و جهانی شدن است.»
 
او به نقش شرکت‌های بزرگ در پیش‌روی دولت‌ها و کشور اشاره کرد و گفت: «همانطور که SMEها در توسعه صنعتی کشور نقش قابل توجهی دارند شرکت‌ها و کمپانی‌های بزرگ پیشران کشورها به شمار می‌آیند. ما تا زمانی‌که که شرکت‌‌های بزرگ خدماتی نداشته باشیم نمی‌توانیم بازیگر و حکمرانی ICT را برعهده گیریم. در شرایط فعلی بزرگترین شرکت‌های فناوری اطلاعات در اختیار آمریکاست.»
 
فیروزآبادی افزود: «نباید توسعه ارتباطات، توسعه تراکنش‌ها و توسعه فرهنگی تحت یک میدان قوی متمرکز آمریکا قرار گیرد. شکل‌گیری استارت‌آپ‌ها و نوآوری می‌تواند در رشد اقتصادی موثر باشد در اصل ما باید عامل نوآوری را وارد اقتصاد کنیم.»
 
او تاکید کرد که دیگر صنعت به صورت مجزا نمی‌تواند پاسخگوی نیازهای کشور باشد.
 
رئیس سازمان فناوری اطلاعات و ارتباطات نیز در بخش دیگری از این مراسم اعلام کرد: «الگوی رفتار مردم تغییر کرده است از همین رو بازیگران قدیم باید بازیگران جدید را بپذیرند.»
 
امیر ناظمی با اشاره به حضور بازیگران جدیدی مانند تامین کنندگان مالی سرمایه‌گذاران جسور و جمع‌سپاران مالی گفت: «این افراد بازیگران جدیدی هستند که در جای‌جای فعالیت بانکی وارد شده‌اند و تغییراتی را در این حوزه ایجاد کرد‌ه‌اند.»
 
او به لزوم تغییر نگرش در بخش دولت و حاکمیت اشاره کرد و گفت: «دولت و کل حاکمیت باید در تغییر قوانین و پذیرش بازیگران جدید بیش از پیش تلاش کنند.»
 
محمدمراد بیات، مدیرعامل مرکز فابا، نیز در این مراسم گفت: «آویزان شدن به بخش دولتی در این شرایط ما را به هیچ‌جا نمی‌رساند بلکه بخش خصوصی خودش باید قدمی موثر بردارد.»

بررسی استفاده از «رمز ارزها» در جلسه شورای عالی فضای مجازی

در جلسه شورای عالی فضای مجازی، استفاده از «رمز ارزها در اقتصاد ملی» بررسی شد.
 
به گزارش پایگاه اطلاع رسانی ریاست جمهوری، جلسه شورای عالی فضای مجازی روز شنبه به ریاست حجت‌الاسلام حسن روحانی رئیس جمهور، تشکیل شد.
 
در این جلسه موضوع استفاده از «رمز ارزها در اقتصاد ملی» مورد بحث و بررسی قرار گرفت و مقرر شد نسبت به فرصت‌های توسعه «رمز ارز ملی» و همچنین امکان بکارگیری رمز ارزهای خارجی در جلسه آتی شورای عالی فضای مجازی بررسی‌های بیشتری انجام شود.
 
همچنین در جلسه شورای عالی فضای مجازی به منظور تقویت شبکه ملی اطلاعات مقرر شد در راستای کاهش وابستگی به برنامه‌های خارجی پر کاربرد در شبکه فعلی، تدابیر لازم اتخاذ شود.

نشست هم اندیشی انجمن رمز ایران‌با موضوع رمزارزها برگزار می شود

اولین نشست هم اندیشی انجمن رمز ایران ۵ اردیبهشت ماه در دانشگاه صنعتی شریف برگزار می شود.
اولین نشست هم اندیشی انجمن رمز ایران با موضوع رمز ارزها، امنیت و آینده کسب وکار، چهارشنبه ۵ اردیبهشت ۹۷ در سالن اجتماعات سازمان جهاد دانشگاهی صنعتی شریف برگزار می شود.

پدیده رمزارزها و کاربردهای مختلف و متنوع آن در بانکداری، پرداخت‌های بین‌المللی، تسهیل گردشگری و تجارت الکترونیک منجر شده که به عنوان یک پدیده جدید و متفاوت با گذشته، در سال های اخیر مورد توجه قرار گرفته است.

قدرت و پتانسیل چشم‌گیر این پدیده در ایجاد تحولات اقتصادی عظیم، باعث شده بسیاری از کشورها، با هدف همراهی و همگامی با تحولات آتی اقتصاد جهانی و بهره‌گیری حداکثری از مزایای متعدد این پدیده، با ایجاد کارگروه‌های ویژه و گردآوری نظرات خبرگان حوزه، زیرساخت‌های قانونی و فنی موردنیاز را آماده و مهیا سازند.

در این راستا، انجمن رمز ایران به منظور بررسی مسائل فناورانه و تبعات مالی و اقتصادی رمزارزها، نشست هم اندیشی با موضوع « رمزارزها، امنیت و آینده کسب وکار » را برگزار می کند.