موضوع : پژوهش | مقاله

در انتظار آینده


در طول چند سال گذشته، تعدادی از سیستمهای ارتباطی تلفن همراه توسعه یافته اند و ارائه دهندگان خدمات متعدد و فروشندگان تجهیزات در حال به بازار آوردن فناوریهای جدید هستند. وقتی که به تجارت الکترونیک سنتی نگاه می شود، عدم امنیت و سطح بالایی از تقلب به عنوان مانع اصلی برای مردم، در استقبال از امکانات و مزایای تجارت الکترونیک، دیده می شود. بنابراین تلاش قابل ملاحظه ای برای توسعه امنیت برای تجارت الکترونیک، صورت گرفته است. مقدار اطلاعات ذخیره شده بر روی تلفنهای همراه در حال افزایش است. در واقع، پیشنهاد شده است که در سناریوهای کسب و کار، بیش از 80 درصد از داده های جدید و بحرانی در حال ذخیره شدن در این زمینه است. به رغم تفاوت اساسی آنها را در عامل شکل فیزیکی، دستگاه های تلفن همراه می توانند دسترسی به بسیاری از داده های یکسان و بسیاری از خدمات و برنامه های کاربردی مشابه را همانند رایانه ها، آسان کنند. دستگاه های تلفن همراه، بدلیل ماهیتشان، در مقابل تهدیدهایی از قبیل دزدی و از دست دادن اتفاقی، نسبت به سیستمهای بزرگتر با موقعیت ثابت، بیشتر آسیب پذیر هستند. از دیدگاه امنیتی، خسارت قابل ملاحظه در اینجا این است که این وسایل ممکن است شامل اطلاعات حساس یا ارزشمندی باشد. البته ممکن است بسیاری از این دزدی ها به منظور به دست آوردن دستگاه ها انجام شوند تا بدست آوردن اطلاعات آنها. در حالی که با توجه به نقش روز افزون این دستگاه ها به عنوان منبع حساس اطلاعات، فرصت بهره برداری از داده ها ممکن است برای مدت طولانی چشم پوشی نشود. با توجه به این تهدیدات، امنیت یک مساله بسیار مهم است انعطاف پذیری و کارآیی، عوامل کلیدی برای ایجاد موفقیت آمیز برنامه های کاربردی تجارت الکترونیکی می باشد. چیزی که اغلب نادیده گرفته می شود این است که یک مبادله بین کارآیی و امنیت وجود دارد. هنگامی که توسعه دهندگان نرم افزار و کاربران مجبور به انتخاب هستند، آنها بیشتر به سمت قابلیت می روند تا امنیت. در مورد تجارت تلفن همراه هم، مشکلات مشابهی برای ایجاد امنیت وجود دارد. در تجارت تلفن همراه، اندازه محدود و رابط کاربری ضعیف دستگاه های تلفن همراه، مشکلات خاصی را برای پیاده سازی برنامه های کاربردی کاربر دوستانه به طور کلی و حتی بیشتر برای مساله امنیت، در برخواهد داشت. از سوی دیگر، ویژگیهای ساختاری تلفن همراه، به عنوان مثال به دلیل اینکه شبکه های تلفن همراه اغلب به شدت کنترل می شوند، می تواند آن را برای دستیابی به امنیت رضایت بخش، راحت تر بسازد. بنابراین، برخی از جنبه های شبکه های تلفن همراه، طراحی امنیت را سخت می سازد، درحالیکه جنبه های دیگر، بلوکهای ساختمان محکمی را برای امنیت عرضه می کنند که به طور معمول در شبکه های دیگر یافت نمی شوند.

جنبه های امنیتی در تلفن همراه
امنیت در تلفن همراه، اغلب با شرایط محرمانه بودن، جامعیت، تصدیق هویت، توصیف می شود. این خدمات امنیتی، توسط مکانیزم های گوناگون پیاده سازی می شوند که معمولا بطور طبیعی به رمز در می آیند. علاوه بر این، محرمانه بودن ترافیک (به عنوان مثال آیا ارتباط انجام گرفته یا نه)، محرمانه بودن محل (دو طرف ارتباط در کجا قرار دارند) و محرمانه بودن آدرس دو طرف وجود دارد، که همه آنها برای حریم خصوصی مهم هستند. مساله امنیتی در شبکه تلفن همراه، همیشه بکارگیری پروتکل هایی برای انجام این کارها و سپس ارسال کلید های صحیح به مکان صحیح در زمان صحیح است. معماری شبکه، مبتنی بر لایه های پروتکل است که انتقال داده بین طرفهای ارتباط را ارائه می کند. برنامه های کاربردی تلفن همراه معمولا بر روی چندین شبکه بکارگیری می شوند از قبیل یک شبکه رادیویی و یک شبکه ثابت با نیاز به دروازه هایی بر روی لایه های نقل و انتقال و پروتکل برنامه کاربردی که مساله پیاده سازی خدمات امنیتی را پیچیده می کند. روش های امنیتی قابل استفاده برای تصدیق هویت، گمنامی و محرمانگی، با وجود برخی ضعف ها، برای استفاده های عادی مناسب است. موفقیت امنیت GSM در دنیا بیشتر به این دلیل است که امنیت از ابتدای گسترش آن در نظر گرفته شده بود و در استانداردها نیز مشخص شده و ذکر گردیده است. از سوی دیگر رمزنگاری، امکان طراحی خدمات امنیت قوی را می دهد اما اغلب در هنگام استفاده از نرم افزار ایجاد ناراحتی می کند. محرمانه بودن داده های منتقل شده می تواند با رمزگذاری جریان اطلاعات بین طرفین ارتباط، فراهم شود و رمزگذاری می تواند بطور پیوسته یا متناوب بین طرفین ارتباط، در بخشهای جداگانه ای در مسیر برقراری ارتباط واقع شود. به عنوان مثال در شبکه های GSM ، فقط لینکهای رادیویی بین ترمینال تلفن همراه و ایستگاه، رمزنگاری می شود در حالی که بقیه شبکه، داده ها را به صورت کشف انتقال می دهند، اما از دیدگاه کاربر محرمانه بودن لینک رادیویی در GSM کاملا روشن بنظر می رسد. مکانیزم های پیاده سازی محرمانه بودن ترافیک، محل و آدرس به فناوری مورد استفاده در شبکه خاص تلفن همراه بستگی دارد. نوع تصدیق هویت در دسترس، به پروتکل امنیتی استفاده شده بستگی دارد طرفهای مختلف، منافع متفاوتی مربوط به خدمات تصدیق هویت را خواهند داشت. اپراتورهای شبکه به تصدیق هویت کاربران، برای اهداف صدور صورت حساب و برای جلوگیری از تقلب، علاقه مند می شوند. کاربران و ارائه دهندگان خدمات محتوا به تصدیق هویت یکدیگر علاقه مند هستند و ممکن است برای تصدیق هویت ارائه دهنده خدمات شبکه نیز علاقه مند باشد.

مقایسه امنیت در تلفن همراه و رایانه
در ماه ها و یا شاید روزهای آتی، استفاده از تلفن همراه، به مراتب خطرناک تر از رایانه های رومیزی و حتی رایانه های همراه خواهد بود. درست به این دلیل ساده که کاربران تلفنهای همراه به مراتب ناآگاه تر، بی تجربه تر و نیز بیشتر از کاربران رایانه هستند. دستگاه تلفن همراه به علت سادگی کاربرد، حجم کوچک و قابل حمل، ویژگیهای جذاب، تنوع عملکرد و همچنین سهولت دسترسی به خدمات ارتباطی، به راحتی در میان تمامی اقشار مردم پذیرفته شده است و این نشان می دهد که تهدیدهای امنیتی مربوط به آن نیز اثرات وسیع تر و پررنگ تری بر روی شبکه های ارتباطی و مخابراتی خواهد داشت. اغلب کاربران رایانه ، حتی کاربران غیر حرفه ای، امنیت را بسیار جدی می گیرند و نصب یک نرم افزار امنیتی هرچند به شکل تشریفاتی و غیر مؤثر، یکی از نخستین و پراهمیت ترین عملکردهای آنان پس از نصب سیستم عامل است. نسخه های نرم افزار تلفن همراه ممکن است از ویژگی های امنیتی در سطح نرم افزار که در همتایان رایانه آنها یافت می شود، پشتیبانی نکنند. از وقتی که بحث امنیت آنها بر روی محافظت ورود از طریق یک شماره شناسایی شخصی (PIN) تکیه کرده است، ماهیت تصدیق هویت کاربر روی دستگاه های تلفن همراه تا درجه زیادی عوض نشده باقی مانده است در صورتیکه در اکثر سیستمهای رایانه، بر روی روشهای شناسایی رمز تکیه می کند. وقتی از دستگاه ها با پشتیبانی تلفن استفاده می شود، گوشی های دارای ویندوز تلفن همراه، دو مکانیزم تصدیق هویت مشخص را پشتیبانی می کنند: یکی برای محافظت از دستگاه تلفن همراه، و دیگری برای محافظت از سیم کارت کاربر (ماژول شناسایی مشترک). تصدیق هویت سطح دستگاه محافظت وهله اول را وقتی که گوشی روشن است فراهم می کند، بنابراین، دسترسی به برنامه ها و اکثریت داده های ذخیره شده کاربر را تنظیم می کند (به استثناء هر گونه داده ای از قبیل جزئیات تماس، که کاربر ممکن است در سیم کارت ذخیره کرده باشد). استفاده از تصدیق هویت در سطح سیم کارت برای حفاظت در مقابل استفاده غیر مجاز از اکانت (account) شبکه سلولی بکارگیری می شود، با تشخیص اینکه سیم کارت می تواند بسادگی از یک دستگاه محافظت شده بیرون آورده شود و در یک دستگاه محافظت نشده دیگر مورد استفاده قرار گیرد. در صورت فعال بودن کد PIN در سطح سیم کارت، به طور موثر توانایی برقراری تماسهای صوتی و استفاده از خدمات شبکه از طریق ارتباطات داده سلولی کنترل می شود. علاوه بر آن، ممکن است سطح بیشتری از حفاظت به صورت کد PIN2 ، وجود داشته باشد، که قادر است در برابر تغییر غیر مجاز تنظیمات شبکه، نظیر شماره گیری ثابت یا محدودیت تماس حفاظت کند. برای محافظت در سطح دستگاه، رمز عبور به روشنی گزینه قوی تر را نشان می دهد و مشابه مکانیزم تصدیق هویت استفاده شده در رایانه است. به هر حال، تفاوتهای قابل توجه در این است که چگونه رایانه و دستگاههای تلفن همراه ممکن است مورد استفاده قرار بگیرند. در حالی که یک کاربر در پشت یک رایانه نشسته است به احتمال زیاد وارد کردن رمز عبور را تحمل می کند (به خاطر اینکه آنها به احتمال زیاد از سیستم برای مدت طولانی استفاده می کنند) اما کاربران تلفن همراه، می توانند بفهمند که وارد کردن رمز عبور بیش از کار اصلی خودشان طول می کشد. به این ترتیب، روش تصدیق هویت نیاز دارد تا با تناوب و طول مدت استفاده از دستگاه سازگار بشود. مشکل این است که پیش بینی در دستگاه تلفن همراه سخت است. در نتیجه، تصدیق هویت به همان گسترده ای که در رایانه می باشد، در دستگاه های تلفن همراه ظاهر نمی شود. دستگاه های تلفن همراه، مانند یک رایانه، ممکن است اطلاعات با ارزش را ذخیره کنند. با این حال، ریسک بالاتر از دست دادن فیزیکی و استفاده از حافظه های جداشدنی ممکن است اولویت بالاتری را نسبت به محافظت از مطالب، غیر از کنترل دسترسی به دستگاه، ایجاد کند. در مجموع، علی رغم تشابه ذاتی و اساسی میان تهدیدهای رایانه ای و تهدیدهای مخابراتی، امنیت تلفنهای موبایل به علت همه گیر بودن، عمومی بودن و ضریب نفوذ بالا در جامعه از حساسیت بیشتری برخوردار است. در شرایط کنونی، تهدیدهای مربوط به تلفن همراه، چند بخش عمده حوزه شخصی و خصوصی، حریم اخلاقی، اطلاعات محرمانه و ارزشمند، عملکردهای نرم افزاری و سخت افزاری در تجهیزت مخابراتی، هزینه مکالمات و کیفیت خدمات مخابراتی و میزان رضایت کاربران از اپراتورهای تلفن همراه را هدف قرار گرفته است.

مشکلات امنیتی در تلفن همراه
سیستم GSM رایج ترین سیستم تلفن همراه در جهان است. با وجود اینکه امنیت از ابتدای طراحی شبکه GSM مدنظر طراحان بوده است، اما امنیت ایده آل توسط آن فراهم نمی شود.
به طور خلاصه مشکلات امنیتی GSM از دید تکنولوژیکی عبارتند از:
• فقط تایید هویت و محرمانگی در شبکه تضمین شده و ضمانتی برای صحت و عدم تغییر اطلاعات در مسیر ارتباطی وجود ندارد.
• رمزنگاری فقط میان دستگاه تلفن همراه (گوشی) و ایستگاه انجام می شود.
• الگوریتم رمزنگاری A5 منتشرنشده و صرفاً وابسته به کلید رمز نیست.
• امکان کپی سیم کارت و کارهایی همچون شنود مکالمات، مکالمه به حساب دیگری و... از این طریق وجود دارد.
• تایید هویت یک طرفه است و مکانیزمی برای تصدیق هویت شبکه توسط دستگاه کاربر نیست.
• یکی دیگر از ضعفهای بالقوه در زمینه تلفن همراه، تصدیق هویت مجدد است. اگرچه تصدیق هویت مجدد بعد از یک دوره عدم فعالیت به طور گسترده ای توسط کاربران در سیستمهای رایانه پذیرفته شده است، اما استفاده از چنین ویژگی در دستگاه های تلفن همراه، گسترده نیست، در صورتیکه، ضروری است که هویت کاربر در فواصل معین تایید شود. رشد انفجاری شبکه ها و سرویس های بی سیم در چند سال اخیر نیز منجر به کاهش امنیت شده است. در بلوتوث نیز اقدامات امنیتی کافی انجام نشده و اکنون به عنوان یکی از راه های عمده نفوذ ویروس های تلفن همراه محسوب می شود. آسیب پذیری این فناوری ها امکان استراق سمع، دزدیدن ارتباط، تغییر و دستکاری اطلاعات و در کل، لطمه به حریم خصوصی را ایجاد کرده است.
محدودیت ها و آسیب پذیری های ذاتی امنیت بی سیم عبارتند از:
• نقاط اتصال به راحتی در دسترس کاربران خارج از محل فیزیکی قرار می گیرد؛
• استراق سمع نسبتاً آسان است، تایید هویت آن مشکل است و می تواند از راه دور انجام شود؛
• در بیشتر فناوری های تلفن همراه/بی سیم معیارهای تایید هویت پیش بینی نشده است؛
• روش های رمزکردن اطلاعات و مدیریت کلید، بارها افشا شده است. علیرغم وجود راه حل های امنیت تلفن همراه، معمولاً به طور کامل از این راه ها استفاده نمی شود؛ گاهی امنیت شبکه اعمال نمی شود و یا از یک زیر مجموعه ای از آن استفاده می گردد.
دلایل دیگر ضعف امنیت در شبکه تلفن همراه عبارتند از:
• گسترش سریع فناوری تلفن همراه برای ارضای خواسته های کاربران؛
• تاکید نداشتن بسیاری از صنایع و فناوری ها در گذشته بر امنیت؛
• اهمیت ندادن بیشتر کاربران امروزی به امنیت ؛
• قابلیت پردازش و ذخیره سازی محدود دستگاه های تلفن همراه؛
• پیاده سازی امنیت مناسب به منزله کار بسیار زیاد در یک زمان فشرده تلقی می شود؛
• ساخت یک نرم افزار امن کار پیچیده ای است و نیز نصب و نگهداری نرم افزارها بدون دقت لازم صورت می پذیرد.
• مدیریت رمزعبور بسیار مشکل به نظر می رسد؛ در نتیجه بیشتر رمز های عبور یکی بوده، کمتر تغییر داده می شوند؛
• عدم آگاهی مردم در مورد تهدیدها و عواقب احتمالی ضعف امنیت و نبود آموزش درباره خطرات آن؛ با توجه به موارد فوق، واضح است که معمولاً ترکیبی از عوامل فنی، انسانی، اجتماعی، اقتصادی و قانونی است که باعث استفاده نادرست از امنیت می شود.

تهدیدات امنیتی در تلفن همراه
دستگاه تلفن همراه با افزایش بیشتر نسبت به چند سال گذشته، استفاده شده است. امروز، بسیاری از مردم نسبت به استفاده از تجهیزات بی سیم گرایش پیدا کرده اند. از آنجا که ارتباط از هوا به عنوان ابزار انتقال استفاده می کند، پتانسیلی برای داده های منتقل شده وجود دارد که بوسیله متجاوزان دیگر مورد استراق سمع قرار گیرند. دستگاه تلفن همراه تبدیل به ابزار ضروری برای ارتباط و تبادل اطلاعات در دو دهه گذشته شده است. اکثر کاربران دستگاه تلفن همراه اطلاعات بسیار حساس و خصوصی را با استفاده از دستگاه تلفن همراه خود انتقال می دهند با فرض اینکه که شبکه تلفن همراه قابل اعتماد و امن است. کاربران تلفن همراه درست برخلاف تصور خود با انبوهی از حملات و اقدامات ضد امنیتی مواجهند که آنها را در هر جاییکه باشند، تهدید می کنند. این تهدیدها تنها شامل کاربران تلفن همراه نمی شود؛ بلکه اپراتورهای تلفن همراه و سازمانهای وابسته به آنها نیز از این تهدیدات بی نصیب نخواهند ماند و گاه با مشکلات جبران ناپذیری مواجه خواهند شد. به طور کلی می توان اغلب تهدیدهای مخابراتی را در اختلال در عملکرد نرم افزاری و سخت افزاری دستگاه های تلفن همراه و تجهیزات ارزشمند سازمانهای ارائه کننده خدمات ارتباط سیار، از دست دادن اطلاعات حساس و با ارزش کاربران و نیز سازمانها، سرقت اطلاعات شخصی و محرمانه، اختلال در ارائه و دریافت سرویسهای مخابراتی، افزایش ناخواسته هزینه مکالمات برای کاربران تلفن همراه، کاهش سود و درآمد شرکتهای مخابراتی، اشغال پهنای باند و افزایش بی مورد ترافیک اطلاعاتی، ارسال و دریافت محتویات و پیغامهای ناخواسته، ارسال و دریافت پیغامهای آلوده به کدهای مخرب، ارسال و دریافت محتویات یا پیامهای غیر اخلاقی و مستهجن، تهدید حریم خصوصی و بی اعتمادی کاربران خدمات مخابراتی نسبت به اپراتورها و حتی تغییر آن به منظور دریافت خدمات بهتر برشمرد. با توجه به ماهیت این تهدیدها، اثرات و خسارتهای قابل تصور، بیش از آن چیزی که کاربران تلفن همراه را با مشکل مواجه کند، اپراتورهای مخابراتی را در معرض آسیبهای جدی قرار می دهد بنابراین بهترین راهکار امنیتی در برابر تهدیدهای تلفن همراه، استفاده از ابزار و نرم افزارهای ویژه در تجهیزات ارائه کننده خدمات ارتباط سیار و در محل اپراتورهای تلفن همراه خواهد بود. این موضوع، استفاده از برخی مسائل امنیتی در یکپارچگی داده های منتقل شده و تصدیق هویت منبع را افزایش می دهد. برای ارتباط با استفاده از تلفن همراه، یک احتمال وجود دارد که برخی افراد استراق سمع و جعل هویت کنند. بنابراین، ارتباط با دستگاه تلفن همراه قابل اعتماد نمی باشد. امنیت ارتباطات تلفن همراه بر پیاده سازی سیستم و پروتکلهایی که سیستم استفاده می کند، تکیه می کند. تهدید های مختلفی که برای تلفن همراه وجود دارد، عبارتند از:

1. استراق سمع سیگنال:
تهدیدهای مهم برای حریم خصوصی کاربران تلفن همراه استراق سمع سیگنال است. سیگنال می تواند در شبکه های رادیویی در دسترس یا در شبکه اصلی، مورد استراق سمع قرار گیرد. حالت اول می تواند با شناسایی سیگنالهای بی سیم انجام شود اما این به شکستن سیگنال رمز شده (اگر رمزگذاری شده باشد) نیاز دارد، در حالی که مورد دومی می تواند با بهره برداری از سیگنال در سوئیچ یا وسایل انتقال اجرا شود (فیبر نوری، کابلهای کواکسیال و یا لینک مایکروویو)، اما این امر مستلزم دسترسی به شبکه زیر ساخت اصلی است. با وجودی که این دو گزینه به نظر می رسد چالش انگیز باشد، هر دو گزینه به خصوص برای اپراتورها، ماموران اجرای قانون و یا حتی افراد با تخصص کافی و ابزار محتمل است.

2.دسترسی به متن پیامها:
SMS که نوعی سرویس ذخیره و ارسال پیام است، ذاتا ناامن می باشد، چراکه در آن تمام پیامها بصورت متن ساده و رمز نشده تبادل می شوند و ذخیره سازی آنها در مرکز SMS پیش از ارسال به مقصد نیز بصورت رمز نشده است. از طرفی نرم افزارهای رایگان زیادی وجود دارند که می توان بوسیله آنها SMS جعلی ساخت، به گوشی ها و مراکز SMS سیلی از بمبهای SMS فرستاد، و یا بسته های SMS را بگونه ای طراحی کرد که منجر به خرابی نرم افزارها در بیشتر گوشی ها شوند. هنگامی که یک کاربر تلفن همراه پیامهای متنی را با استفاده از دستگاه تلفن همراه می فرستد. این پیام می تواند به همان روش سیگنالهای صوتی استراق سمع شود. علاوه بر این، بسیاری از اپراتورها پیامهای متنی را در سرویس دهنده های خود، برای مدت معینی از چند روز تا سال ذخیره می کنند. وقتی که پیامهای متنی در سرورهای اپراتورها قابل دسترس هستند، این پیامها می توانند توسط اپراتور یا ماموران اجرای قانون در دسترس باشد. فناوری جعبه ابزار SMS می تواند برای رمزنگاری SMS بکار رود. با اینحال یک ساز و کار امنیتی لایه انتقال است و نمی تواند محرمانگی پایانه به پایانه را تضمین کند. یک روال دیگر بهبود امنیت SMS می تواند بررسی شخصی مشتریان برای قطعه پیام قراردادی بمنظور تضمین کل پیام و ارائه کننده خدمات و در نتیجه بررسی شماره تلفنهای ثبت شده مشتریان باشد.

3.دسترسی به سوابق کاربر:
سوابق کاربران تلفن همراه در سرورهای اپراتورها، شامل اطلاعات خصوصی از جمله فعالیتهای تماس (به نام و شماره تماس، زمان و مدت زمان مکالمات تلفنی و غیره)، محل کاربر، اطلاعات و حسابداری، ذخیره می شوند. این اطلاعات به طور عمده توسط اپراتور به کار گرفته می شوند. شبیه به مورد متن پیام، داشتن دسترسی به سوابق کاربر (به خودی)، بسیار بعید است که رخ دهد اما باید به عنوان یک تهدید امکان پذیر حذف نشود.

4. دسترسی به اطلاعات ذخیره شده در دستگاه تلفن همراه:
هنگامی که یک دستگاه تلفن همراه گم می شود (و یا سرقت می شود)، همه اطلاعات ذخیره شده در دستگاه برای کسانی که به آن دسترسی دارند قابل دسترس می شود، حتی اگر این اطلاعات ذخیره شده با رمز عبور محافظت شوند. بسیاری از مردم، اطلاعات ذخیره شده را قبل از فروش یا دور انداختن دستگاه های قدیمی پاک می کنند. انجام این کار لزوما حریم خصوصی اطلاعات ذخیره شده را تضمین نمی کند و با استفاده از برنامه های نرم افزاری خاص، این اطلاعات بازگردانده می شود. دسترسی به اطلاعات ذخیره شده در دستگاه تلفن همراه توسط متجاوز، حتی اگر کاربر دستگاه تلفن همراه خود را گم نکرده باشد یا نفروخته باشد، رخ می دهد. این می تواند توسط یک متجاوز از طریق دستگاه هایی (دستگاه تلفن همراه، کامپیوتر، و غیره) مجهز به اتصال بلوتوث می باشد، انجام شود. نسلهای اولیه تلفن همراه نسبتا قابلیت ذخیره کمی داشتند، در نتیجه توان آنها را برای ذخیره داده های حساس محدود بود. امروزه وضعیت به طرز چشمگیری متفاوت است، با افزایش احتمال اینکه داده با دستگاه های تلفن همراه ایجاد خواهد شد، یا بر روی آن منتقل خواهد شد. خطر بیشتر مرتبط با مطالب در دستگاه تلفن همراه، این است که فایلها اغلب در حافظه های جداشدنی بیشتر از حافظه دستگاه ذخیره خواهند شد (مانند SD کارتها). مهاجم می تواند به سادگی کارت را در بیاورد و آن را در دستگاه دیگر بخواند (مگر اینکه اقدامات بیشتر اعمال شود). در نتیجه، دستگاه ها گزینه ای برای ذخیره فایلها بر روی کارتها بصورت رمزگذاری شده عرضه می کنند– به لطف ویژگی های اضافی در ویندوز تلفن همراه نسخه 6 در مقایسه با نسخه های قدیمی تر سیستم عامل (مایکروسافت ، 2007). این، حداقل تضمین می کند که حافظه های جداشدنی را نمی توان در دستگاه های دیگر خواند.

5.فایلهای اجرایی و ویروسها
توسعه ای در بازار برای دانلود فایلهای اجرایی در ترمینالهای تلفن همراه رخ داده است، اما رشد این تکنولوژی هنوز هم از وب عقب مانده است و با توجه به محدودیتهای فنی به احتمال زیاد به دنبال یک مسیر کمی متفاوت تر است. در حال حاضر هیچ پروتکل استانداردی برای دانلود فایلهای اجرایی در ترمینالهای تلفن همراه مانند http در وب، وجود ندارد. و همچنین یک محیط اجرایی استاندارد برای فایل اجرایی در ترمینالهای تلفن همراه مانند ماشین مجازی جاوا در مرورگرهای وب وجود ندارد. کاربران راه حل هایی را می خواهند که انعطاف پذیری بیشتری داشته باشد و اجازه اجرای هرگونه فایل اجرایی را در صورت تمایل آنها بدهد، که لزوما آسیب پذیری های امنیتی را ایجاد خواهد کرد. در واقع دستگاه های تلفن همراه قبلا مورد هدف انواع مختلفی از محتوای پویای مخرب قرار گرفته اند. در نتیجه مکانیزم های امنیتی اضافی برای حفاظت در مقابل فایلهای اجرایی مورد نیاز هستند. دستگاه های تلفن همراه کنونی، حافظه کافی برای اجرای نرم افزارهای ضد ویروس سنتی را ندارند. یک راه حل، اجرای نرم افزار ضد ویروس در سطح شبکه است به طوری که اپراتورهای شبکه و ISPها بتوانند مانع شیوع ویروس شوند و در نتیجه از گسترش آنها جلوگیری کنند. همچنین اپراتورهای شبکه باید تعهد به تلاش در جهت آگاهی بیشتر کاربران در خصوص امنیت تلفن همراه داشته باشد.

6.خطرات اتصال بلوتوث
هر دستگاه تلفن همراه با قابلیت بلوتوث شامل یک آدرس منحصر بفرد است که به کاربر امکان می دهد به نوعی به شخصی که در طرف دیگر ارتباط است نوعی اعتماد پیدا کند. در ابزارهای مبتنی بر بلوتوث برای برقراری ارتباط، یک فرآیند مقداردهی اولیه آغاز می شود که برای تصدیق هویت از یک PIN استفاده می کند. رمزهای غالب PINها اعداد چهار رقمی هستند و شاید نیمی از موارد این عدد 0000 باشد. امنیت بلوتوث در گرو نگهداری از کلید رمزنگاری بصورت یک راز مشترک میان اعضای شبکه است. اما بلوتوث، تنها ابزار را تصدیق هویت می کند نه کاربران را. استفاده از این گزینه اتصال، به مشاهده مربوط در مورد قابل روئت بودن اطلاعات برای کاربر منجر می شود؛ مخصوصا، که هیچ نشانه ای در نوار عنوان برای نمایش اینکه اتصال بلوتوث فعال می باشد، وجود ندارد (اگرچه این تا حدی به گوشی وابسته است، در برخی از آنها ممکن است یک نور برای نشان دادن اینکه بلوتوث فعال می باشد، بدرخشد).

7.خطرات اتصال به شبکه و اینترنت
GPRS نیز نوعی خدمات مبتنی بر IP است که برقراری اتصال دائمی به اینترنت را تضمین می کند. مشکل عمده این مکانیزم این است که هنوز برای تقاضاهای WAP به SMS وابستگی دارد. یک بسته SMS تقلبی می تواند به یک تلفن فرستاده شود و یک پایگاه وب جعلی را باز کند و کاربران را طوری فریب دهد که اطلاعات خود را در یک فرم که گمان می کند از ایمنی برخوردار است اما در حقیقت تقلبی است وارد کنند. در سطح شبکه محلی، اکثر دستگاه ها در حال حاضر اتصال را از طریق شبکه های بی سیم فراهم می کنند. معلوم است که کاربران تلفن همراه ممکن است غالبا خود را در محیط ناآشنا پیدا کنند، و در مورد شبکه هایی که ممکن است بطور قانونی برای آنها در دسترس باشند، مردد باشند، یک توجه بسیار مهم این است که چه تعداد از دستگاه ها در مورد شبکه هایی که در مجاورتشان هستند به آنها می گویند (به عنوان مثال به منظور حفاظت در مقابل ورود بدون اجازه غیرعمدی به شبکه های خصوصی محافظت نشده، یا واقعا سوء قصد اشتباهی برای اتصال به شبکه اشتباه). با ملاحظه امنیت در رابطه با فناوریهای شبکه ها، یکی از برنامه های کاربردی اولیه، مرورگر اینترنت اکسپلورر است. در حالی که اینترنت اکسپلورر 7 شامل بیش از 45 گزینه قابل تنظیم می باشد (از طریق تنظیمات امنیتی سفارشی) ، مرورگر تلفن همراه تنها 3 مورد تنظیمات مربوطه را عرضه می کند. البته، به این واقعیت مربوط می شود که خود مرورگر تلفن همراه بسیاری از ویژگیها را پشتیبانی نمی کند که در غیر این صورت خطرات امنیتی را مطرح می کند.

8. تعیین مکان کاربر
اگر فردی با دستگاه تلفن همراه مسافرت کند، دستگاه به فرستنده های شبکه در مورد تغییر مکان فرد اطلاع می دهد. با تجزیه و تحلیل سرعتی که در آن امواج رادیویی حرکت می کنند و با استفاده از تکنیک مثلث بندی، تعیین مکان دقیق یک شخص با استفاده از دستگاه تلفن همراه او، با دقت و صحت قابل توجهی که سیستمهای ناوبری ماهواره ای GPS دارند، امکان دارد.

9.کپی برداری از سیم کارت
کپی برداری از سیم کارت زمانی اتفاق می افتد که اکانت شماره یک کاربر تلفن همراه به سرقت می رود و بر روی یک سیم کارت دیگر مجددا برنامه ریزی می شود. بعد از کپی برداری، هم سیم کارت اصلی و هم سیم کارت کپی بردرای شده دارای اکانت قانونی خواهند بود.

راهکارهای پیاده سازی امنیت در تلفن همراه
راهکارهای ارائه شده برای انواع تهدیدات امکان پذیر نظیر استراق سمع سیگنال، دسترسی به پیام متنی، دسترسی به سوابق ذخیره شده کاربران و دسترسی به اطلاعات و ... عبارتند از:

1. تصدیق هویت شبکه:
برخی از دستگاهها مانند گیرنده IMSI و ایستگاه پایه می تواند به صورت جعلی استفاده شود و اجازه دهد تا دیگران امکان دسترسی به اطلاعات کاربران تلفن همراه را داشته باشند. راه حل این مشکل معرفی تصدیق هویت شبکه برای دستگاه تلفن همراه به عنوان دستگاه های تلفن همراه تصدیق هویت شده توسط شبکه است. این می تواند مشکل ایستگاه جعلی را از بین ببرد اما نیاز به پروتکلها و نرم افزارهای جدید توسط اپراتور شبکه تلفن همراه دارد و در دستگاه های تلفن همراه نیز نیاز است. تصدیق هویت، موجودیت برقرارکننده ارتباط را تضمین می کند که آیا همان کسی است که ادعا می کند. سیستم می تواند یک کاربر را برای تشخیص اینکه کاربر برای انجام معامله الکترونیکی یا دسترسی به اطلاعات یا سیستم، مجاز است، تصدیق هویت کند. برای توانایی تصدیق هویت کاربر از طریق یک دستگاه تلفن همراه، برخی از اجزای اصلی باید در جای خود باشد.

2. رمزگذاری تکمیلی:
به منظور اینکه برای کاربران تلفن همراه امنیت و حفظ حریم شخصی بالاتر تضمین شود، کاربران می توانند در تماسهای تلفنی خود، همیشه دستگاه های رمزنگاری صوتی خارجی استفاده کنند. چنین دستگاه هایی اطمینان می دهند که رمزگذاری قوی تری بر روی رمزنگاری ارائه شده توسط سیستمهای بی سیم ایجاد شود. رمزگذاری اضافی می تواند به عنوان یک دستگاه جداگانه که می تواند به دستگاه تلفن همراه وصل شوند، با استفاده از تکنولوژی بلوتوث و یا دستگاههای رمزگذاری خارجی استفاده شود.

3.رمز عبور/حسگر اثر انگشت:
اکثریت کاربران دستگاه های تلفن همراه، رمز عبور را برای حفاظت از اطلاعات ذخیره شده بر روی دستگاه خود استفاده نمی کنند، با وجود این واقعیت که درصد قابل توجهی از کاربران اطلاعات شخصی و محرمانه خود را در دستگاه تلفن همراه خود ذخیره می کنند. آنچه که حتی موثرتر (از کلمه عبور) است حسگر اثرانگشت است (در برخی از مدلهای جدید دستگاه های تلفن همراه در دسترس است). کاربرانی که اطلاعات حساس را در دستگاه تلفن همراه خود ذخیره می کنند باید چنین اقدامات حفاظتی را در نظر بگیرند.

4.حفاظت در مقابل ویروسها جاسوس افزار:
ویروسهای دستگاه تلفن همراه و یا جاسوس افزار می تواند برای کاربران دستگاه تلفن همراه بسیار زیان آور باشند. نرم افزارهای آنتی ویروس و آگاه کننده جاسوس افزار، به زودی برای محافظت از کاربران تلفن همراه در بسیاری از مشکلات جدی از جمله تهدید حریم خصوصی، ضروری خواهد شد. همچنین، کاربران تلفن همراه تشویق می شوند تا قبل از دانلود هر فایل و یا نرم افزاری بر روی دستگاه تلفن همراه خود محتاط باشد، مگر آنکه از منبع صحیح و موثق به دست آمده باشد.

5.آزمایشهای منظم توسط اپراتور:
اپراتورهای شبکه تلفن همراه باید آزمایشهای منظم خود را برای تجهیزات (سوئیچ ها، سرورها، کامپیوترها، و غیره) و نرم افزار (اعم از جاسازی شده و یا برنامه) برای اطمینان از عملکرد تمامیت و امنیت، انجام دهند.

6. شناسایی سیم کارت کپی برداری شده:
همانطوری که کپی برداری از سیم کارت یک مشکل عمده ای برای دستگاه تلفن همراه است، چندین اقدامات متقابل اجرا می شود تا از کپی برداری جلوگیری گردد. در اینجا روشهای مختلفی برای تشخیص سیم کارت کپی برداری شده در شبکه وجود دارد.

. تشخیص کپی برداری:
تشخیص کپی برداری وقتی که شماره تلفنهای یکسان در یک زمان در مکانهای مختلف ارتباط برقرار می کنند، اتفاق می افتد. وقتی که شبکه شماره کپی برداری شده را در شبکه تشخیص می دهد، از تمام تماسهای انجام شده توسط این شماره جلوگیری می کند.

. دام سرعت:
شبکه از زمان و مکان تلفن برای تشخیص کپی برداری استفاده می کند. برای مثال، اگر تفاوت زمان تماس اول و دوم کوچک باشد، اما فاصله جغرافیایی زیاد باشد، غیر ممکن است برای یک فرد که در این زمان کوتاه از یک محل به محل دیگر حرکت کند، در نتیجه شماره کپی برداری شده تشخیص داده می شود.

. انگشت نگاری فرکانس رادیویی:
شبکه ردیابی، اثرانگشت همه دستگاه های تلفن همراه را در بانک اطلاعاتی خود نگه می دارد و سپس شبکه، اثرانگشت تلفن را در زمانی که درخواست تماس می کند، مقایسه می کند. اگر اثر انگشت، نامعتبر تشخیص داده شود، شماره کپی برداری شده نیز تشخیص داده می شود.

. شکل دهی طریقه استفاده:
طریقه استفاده از دستگاه تلفن همراه توسط اپراتورها ذخیره و نگه داشته می شوند و هنگامی که اختلافات شناسایی شود، با مشتری تماس گرفته می شود. برای مثال، اگر مشتری به طور معمول تنها تماس محلی می گیرد اما ناگهان با خارج از کشور برای ساعتهای طولانی تماس گرفته می شود، امکان تشخیص کپی برداری وجود دارد.[4]

7. تعیین اپراتور شبکه، به عنوان طرف سوم مورد اعتماد
یکی از مشکلات عمده در تجارت الکترونیک، عدم تصدیق هویت مشتری است. واقعیت این است که اپراتورهای شبکه از قبل، تصدیق هویت قوی از مشترک دارند، که آنها را در یک موقعیت طبیعی برای تبدیل شدن به یک واسطه میان مشتریان و فروشندگان، قرار می دهد. در صورت اشتراک مبتنی بر شبکه های تلفن همراه، یک ارتباط رسمی بین کاربران/مشترکین از یک سو و اپراتور شبکه از سوی دیگر وجود دارد. لذا طبیعی است که به اپراتور شبکه اجازه داده شود که نقش مراکز صدور گواهی (Certification Authorities=CA) را بازی کند. در واقعCA یک طرف سوم مورداعتماد است و اپراتورهای شبکه تلفن همراه، در موقعیت بسیار قوی هستند برای اینکه خودشان را به عنوان CAها بگمارند.

قابل استفاده بودن امنیت در تلفن همراه برای کاربر
جزییات مکانیزم ها و خدمات امنیت اغلب پیچیده هستند و کاربران به سرعت با اطلاعات زیاد درگیر می شوند. بنابراین فلسفه طراحی مشترک ایجاد مکانیزم ها و خدمات امنیت شفاف می باشد. اگر امنیت کاملا از کاربر پنهان باشد او نمی تواند قادر باشد که بگوید آیا در حال کار با روشی است که در نظر گرفته شده بود، که به نوبه خود می تواند اجازه دهد حملات موفق، کشف نشده باقی بمانند. بدیهی است مدارک ارائه شده امنیت، نمی تواند بیشتر از چیزی باشد که توسط کاربر درک می شود ولی باید برای سطح امنیت مورد نیاز نرم افزار کاربردی کافی باشد. در اصطلاحات شبکه ها، گاهی اوقات فراموش می شود که در نهایت ارتباط، بین کاربران انسانی و سازمانها می رود، و بعضی از خدمات امنیتی فقط وقتی معنی دار هستند که برای کاربران انسانی طراحی شده باشند. یک رابط کاربر خوب، ترکیب پیچیده ای از طراحی ترمینال بهینه و چند رسانه ای تطبیق یافته با توانایی های جسمی و روحی انسان، می باشد. مطالعه در مورد چگونگی امنیت اطلاعات باید در بخش قابلیت استفاده امنیتی رابط کاربر به کار گرفته می شود. این زمینه پژوهشی عمدتا توسط محققان و همچنین توسعه دهندگان نرم افزار و سخت افزار نادیده گرفته شده است.

نتیجه گیری
با وجود اینکه امنیت از ابتدای طراحی شبکه GSM ، مدنظر طراحان بوده است، اما امنیت ایده آل توسط آن فراهم نمی شود. رشد انفجاری شبکه ها و سرویس های بی سیم در چند سال اخیر نیز منجر به کاهش امنیت شده است. کاربران تلفن همراه برخلاف تصورشان، با انبوهی از حملات و اقدامات ضد امنیتی مواجهند که آنها را در هرجاییکه باشند، تهدید می کنند. از دیدگاه اتصال، دستگاه های تلفن همراه به طور معمول از طیف وسیعی از گزینه ها پشتیبانی می کنند، که بعضی از آنها ممکن است به طور مستقیم برای کاربر در محیط رایانه آشنا نباشند. واقعیت این است که هر نوع اتصال، مسائل امنیتی خاص خود را دارد و گزینه های پیکربندی متمایز می تواند یک چالش مفهومی را نمایان کند، کاربر نیاز دارد که بداند چه شبکه هایی چه خدماتی را تسهیل می کنند و چه سطحی از امنیت در دسترس است. از نظر حفاظت از محتوا، اغلب دستگاه های تلفن همراه سطح کاهش یافته کارکردهای امنیتی را پشتیبانی می کنند. در موارد دیگر، از قبیل حفاظت سند، قابلیت مورد نظر به سادگی ممکن است موجود نباشد و در نتیجه کاربران ملزم هستند که انتظارات امنیتی خود را تغییر دهند. نکته کلیدی در هر دو مورد این است که کاربران نیاز دارند که از محدودیتها آگاه باشند. با توجه به موارد بالا، انواع تهدیداتی که برای دستگاه تلفن همراه و شبکه تلفن همراه متصور است عبارتند از: استراق سمع، دسترسی به پیامها، دسترسی به اطلاعات ذخیره شده در دستگاه، ویروسها و نرم افزارهای مخرب، خطرات اتصال بلوتوث، خطرات اتصال به شبکه و اینترنت، تعیین مکان کاربر و کپی برداری از سیم کارت. با توجه به این تهدیدات، امنیت یک مساله بسیار مهم است. برخی از جنبه های شبکه های تلفن همراه، طراحی امنیت را سخت می سازد، درحالیکه جنبه های دیگر، بلوکهای ساختمان محکمی را برای امنیت عرضه می کنند که به طور معمول در شبکه های دیگر یافت نمی شوند. ارتباط بین شبکه تلفن همراه و شبکه ثابت، مشکلات ویژه ای در مورد طراحی پروتکل امنیتی ایجاد می کند. دستگاه های تلفن همراه معمولا یک رابط کاربر ضعیف دارند در نتیجه برای قابلیت استفاده بودن امنیت ایجاد مشکلاتی می کنند. از جنبه مثبت، اپراتورهای شبکه تلفن همراه در جای خوبی برای تبدیل شدن به طرف سوم مورد اعتماد قرار گرفته اند و در نتیجه قادر به پشتیبانی از برنامه های امنیتی هستند. بعنوان یک قاعده عمومی در توسعه فناوری تجارت الکترونیکی، قابلیت کارکردی و قابلیت انعطاف پذیری همیشه بالاترین اولویت را دارند، زیرا آنها اساس مدلهای کسب و کار جدید را شکل می دهند. چیزی که اغلب نادیده گرفته می شود این است که یک مبادله بین کارآیی و امنیت وجود دارد. هنگامی که توسعه دهندگان نرم افزار و کاربران مجبور به انتخاب هستند، آنها بیشتر به سمت قابلیت می روند تا امنیت. تحقیقات نشان داده است که اگر چه عناصر امنیت در دستگاه تلفن همراه فراهم می شود، اما وسعت قابلیت استفاده پیاده سازی، اغلب کم هستند. مخصوصا این مساله برای دستگاه هایی که به طور مداوم خارج از محیط های کنترل شده فیزیکی کار می کنند، نگران کننده است و بنابراین بیشتر در معرض خطر قرار می گیرند. بنابراین، براساس مشخصات خاص تلفن همراه، راهکارهای ارائه شده برای مقابله با تهدیدات و تامین امنیت، عبارتند از: تصدیق هویت، رمزگذاری، استفاده از رمز عبور، آزمایشهای منظم توسط اپراتور شبکه، شناسایی سیم کارت کپی برداری شده و تعیین اپراتور شبکه به عنوان یک طرف مورد اعتماد سوم.

* کلیه مراجع مربوط به مقاله در نشریه موجود است.
* داوود وحدت: عضو هیئت علمی گروه فناوری اطلاعات، دانشگاه پیام نور حسین بابایی دانشجوی کارشناسی ارشد رشته مدیریت فناوری اطلاعات دانشگاه پیام نور.


منبع: / ماهنامه / تحلیلگران عصر اطلاعات / 1388 / شماره 30، اسفند ۱۳۸۸/۱۲/۰۰
نویسنده : داوود وحدت

نظر شما