ساخت یک محیط امن
بمباران اخبار، اطلاعیه ها و هشدارهای پی در پی در خصوص مشکلات امنیتی موجود در بانکداری و تجارت آنلاین، رسانه های گروهی جهان و مخاطبان آنها را بیش از خود تهدیدهای امنیتی با سردرگمی مواجه کرده است. به نظر می رسد جنگ بین امنیت و ضدامنیت پایانی نخواهد داشت و کاربران نگون بخت خدمات اینترنتی، تنها قربانیان این نبرد محسوب می شوند؛ درست به این دلیل که هم مجرمان اینترنتی تا حد زیادی به اهداف خود می رسند و هم شرکت های امنیتی روز به روز بر تجارت و فروش نرم افزارهای امنیتی خود می افزایند. شرکت های ارائه دهنده خدمات آنلاین نیز آنقدر نقدینگی دارند که حتی ضررهای هنگفت در نظر ما، برای آنها کاملاً قابل اغماض باشد. البته برخلاف بزرگنمایی های رسانه یی و تحلیل های غیرواقعی بسیاری از کارشناسان، تهدیدهای امنیتی معاملات الکترونیک به هیچ وجه فلج کننده و غیرقابل کنترل نیستند؛ چرا که حتی در بدبینانه ترین بررسی ها، از ابتدای تولد جرائم سایبر، مجموع درآمد سالانه مجرمان اینترنتی از چند میلیون دلار فراتر نرفته است که این مبلغ و حتی چند برابر آن نیز در مقایسه با گردش جهانی پول کاملاً ناچیز است. به هر ترتیب اغراق و بزرگنمایی مشکلات امنیتی موجود، بی انصافی است و نباید این گونه فکر کرد که تک تک اعمال، رفتار و فعالیت های ما در اینترنت تحت کنترل تبهکاران و ابزار مخرب آنها قرار دارد. علاوه بر این، ابزار و نرم افزارهای امنیتی هم چندان بی کفایت نیستند و قادر به کنترل و انسداد درصد بسیار بالایی از کدهای مخرب و نفوذهای غیرقانونی هستند و درست به همین دلیل تنها درصد محدودی از اقدامات خرابکارانه با هدف سرقت مستقیم یا غیرمستقیم پول به ثمر می نشینند و اغلب آنها به نحوی خنثی شده و ماهیت مجرمانه خود را از دست می دهند.
آخرین حلقه زنجیر
هیچ دلیلی وجود ندارد که ریسک امنیتی خرید آنلاین از یک فروشگاه معتبر کمتر از استفاده حضوری از کارت اعتباری یا وجه نقد در محوطه فیزیکی آن فروشگاه باشد. احتمال اجرای تهدیدهای اینترنتی آنلاین، درست به اندازه این احتمال است که شخصی در محل خرید حضوری شما و بدون اینکه متوجه شوید، رمز و شماره کارت اعتباری تان را یادداشت کند یا حتی خود آن را برداشته و پا به فرار بگذارد، نه بیشتر. تنها تفاوت موجود، محیط انجام معامله است و عدم حضور تهدیدهای فیزیکی و قابل مشاهده. در مبادلات و معاملات آنلاین احتمال نادیده انگاشتن جوانب امنیتی و عدم رعایت آن، فقط کمی بیشتر از داد و ستدهای حضوری است.
در حقیقت مجرمان اینترنتی معمولاً به صورت مستقیم به شبکه های سازمانی و سرورهای اطلاعاتی حمله نمی کنند؛ بلکه تمام تلاش خود را روی آسیب پذیرترین حلقه زنجیر متمرکز می کنند. و این حلقه شکننده چیزی یا بهتر بگوییم کسی نیست به جز کاربر نهایی. شما هم حتماً تایید می کنید که دسترسی به اطلاعات حساس و با ارزش سازمانی از طریق کاربران خانگی بسیار آسان تر از شکستن لایه های مختلف امنیتی، نفوذ به یک پایگاه اطلاعاتی و دسترسی به اطلاعات رمزگذاری شده است. در اینجا نگاهی می اندازیم به راهکارها و ملزومات حفاظتی که هر کاربری برای افزایش امنیت اطلاعات و دریافت خدمات مطلوب در اینترنت، باید از آنها آگاه باشد. صفحات اینترنتی که در آنها مبادلات آنلاین و خدمات حساس مالی یا تجاری انجام می شود، باید دارای ملزومات زیر باشند؛
- تضمین این مساله که داده های واردشده برای انجام مبادلات یا معاملات الکترونیک، تنها توسط بخش ها یا افراد معینی قابل دسترسی است. این مساله از طریق رمزگذاری انجام می شود.
- صحت، درستی و عدم نقص اطلاعات درطول عملیات نقل و انتقال به منظور اطمینان از عدم سوء استفاده از اطلاعات حساس. این مساله از طریق استفاده از امضای دیجیتال انجام می شود و در نهایت، هویت هر دو طرف رابطه تجاری، یعنی ارائه دهنده و دریافت کننده خدمات آنلاین باید کاملاً واضح و مشخص بوده و مورد تایید و تصدیق قرار گیرد. مدارک هویت دیجیتالی برای رفع نگرانی های موجود در این رابطه مورد استفاده قرار می گیرند. برای دسترسی به این ملزومات کلی، روش های ارتباطی استانداردی طراحی شده است که هر کدام وظایف خاصی را برعهده دارند.
پروتکل های امنیتی
پروتکل های امنیتی، قوانین و استانداردهایی هستند که برای محافظت از مبادلات و معاملات اینترنتی در برابر تهدیدهای آنلاین وضع شده اند و دسترسی های غیرمجاز به اطلاعات تبادل شده را محدود می کنند.
به این ترتیب این پروتکل ها، نقش مهمی در محافظت از کاربران خانگی، شبکه های محلی، فروشگاه ها، سازمان ها و موسسات مالی تجاری دارند. تهدیدهایی چون سرقت اطلاعات، سرقت مستقیم یا غیرمستقیم پول، ایجاد توقف و اختلال در فرآیندهای تجاری، کلاهبرداری های آنلاین و غیره تهدیدهایی هستند که از کوچک ترین نقص و اشتباه در کاربرد این پروتکل ها سود می برند. مهم ترین و پرکاربردترین این استانداردهای ارتباطی برای حفاظت از فعالیت های تجاری آنلاین، پروتکل مشهوری با عنوان SSL (Secure Socket Layer)است. این پروتکل می تواند هرگونه داده و اطلاعات ورودی به سیستم یا شبکه را رمزگذاری کرده و سپس آنها را در مقصد و برای تحویل گیرنده مجاز، رمزگشایی کند. این بدان معناست که اگر شخص سومی بخواهد به داده های مبادله شده از طریق SSL، دسترسی پیدا کند، بدون در اختیار داشتن کلید رمزگشایی مربوطه کاملاً ناموفق خواهد بود. در این پروتکل، تنها فروشنده و ارائه کننده خدمات آنلاین نیاز به مدارک و معرفی نامه های دیجیتال دارد تا هویت و اعتبار امنیتی وی مورد تایید قرار بگیرد. در این صورت خریدار و دریافت کننده خدمات اینترنتی، هیچ نیازی به ارائه معرفینامه و هویت سنجی امنیتی نخواهد داشت.
امنیت و تجارت الکترونیک
نکته بسیار مهم اینجاست که روش های خاص امنیتی برای حافظت از معاملات اینترنتی چنان سختگیرانه طراحی شده اند که می توان ادعا کرد«دیگر تفاوت چندانی میان انجام معاملات حضوری و مبادلات الکترونیک باقی نمانده است.»
درست به همان نحو که یک مشتری، اطلاعات شخصی، محرمانه و حساس خود را به صورت رو در رو در اختیار هر فروشنده یی قرار نمی دهد و جوانب امنیتی را به طور کامل حفظ می کند، در حوزه مبادلات آنلاین نیز نباید این اطلاعات را در صفحات، پایگاه ها و نیز سرورهایی که فاقد مدارک و گواهینامه های خاص امنیتی هستند، وارد کند.
علاوه بر این، در لایه های ارتباطی بالاتر، مدیر شبکه خدمات دهنده باید نهایت دقت و احتیاط را در اطمینان از عدم وجود هرگونه کد یا ابزار مخرب (ویروس، تروژان، ابزار هک و...) و نیز هرگونه آسیب پذیری (حفره ها و نقص های امنیتی) به کار برد تا امنیت داده ها و اطلاعات ذخیره شده در سرور مورد تهدید قرار نگیرند. همان طور که بیان شد، بسیاری از نرم افزارهای مخرب مانند تروژان ها با هدف ایجاد آسیب پذیری در سرورها یا سیستم های متصل به آن، تنها از طریق کاربران خانگی یا سایر شبکه های خدمات گیرنده، سازمان های ارائه دهنده خدمات آنلاین را تهدید می کنند. دسترسی های غیرمجاز در سطوح بالا، سرقت داده های حساس و محرمانه، ایجاد خسارت های قابل توجه و... تهدیدهای دائم و شایعی هستند که از کوچک ترین فرصت و باریک ترین روزنه استفاده مطلوب می کنند. از طرف دیگر، مراجع صدور گواهینامه های دیجیتال، مسوول صدور تاییدیه های امنیتی برای سرورها و شبکه ها بر اساس پروتکل های امنیتی هستند. این مراکز تصمیم گیری می توانند برای شرکت های ارائه کننده خدمات الکترونیک، مشتری ها و حتی کاربران عادی اینترنت نیز گواهینامه های دیجیتال صادر کنند. به عنوان نمونه یی از این مراجع معتبر می توان به گروه VeriSign اشاره کرد که عمده فعالیت های امنیتی زیرساخت در اینترنت را به عهده دارد.
کاربران و نکات کلیدی
هنگام انجام فعالیت های بسیار محرمانه مانند خرید و فروش آنلاین یا انجام امور بانکی باید نکات زیر را همیشه به خاطر داشته باشید.
1- از عدم حضور و فعالیت هر نوع کد مخرب در لحظه آغاز و حین انجام فعالیت تجاری و دریافت هرگونه خدمات اینترنتی حساس، اطمینان حاصل کنید. در این خصوص باید گفت خطرناک ترین و در عین حال شایع ترین تهدید علیه فعالیت های مالی اعتباری در اینترنت، نوعی کد مخرب از خانواده تروژان های Banker است. این تروژان پس از نفوذ در سیستم (اغلب به شکل نامحسوس)، بازدیدهای اینترنتی کاربر را کنترل می کند و به محض ورود وی به پایگاه های موسسات مالی اعتباری، سیستم های پرداخت آنلاین، مراکز خرید و فروش اینترنتی و... اطلاعات حساس مبادله شده را پس از سرقت، به مجرمان اینترنتی ارسال می کند. تمایل روزافزون کاربران اینترنت به انجام معاملات آنلاین و گسترش زمینه های دسترسی به خدمات الکترونیکی نیز دلیل ساده یی برای افزایش تعداد و تنوع تروژان های Banker بوده است. البته دلیل محکم تری نیز وجود دارد و آن انگیزه های مالی خرابکاران اینترنتی و لذت دسترسی آسان و در عین حال غیرقانونی آنها به پول های باد آورده یی است که به علت ناآگاهی و بی احتیاطی ما بین زمین و هوا معلق مانده است. و درست به همین خاطر، استفاده از نرم افزارهای حفاظتی به روز و ایجاد تنظیمات صحیح روی آنها، به تناسب امنیت مورد نیازتان، مهم ترین و ضروری ترین ابزار دفاعی شما است.
متاسفانه آمار و ارقام مربوط به خسارت های مالی، اعتباری و اطلاعاتی شرکت های بزرگ و نیز کاربران خانگی اینترنت و روزهای سخت و پر مشقت شرکت های امنیتی نشان می دهد تنها استفاده از نرم افزارهای حفاظتی به روز شده، درمان قطعی درد کهنه ناامنی در فضای آنلاین نیست. مجرمان اینترنتی با بهره گیری از فناوری های روز و ابزار مدرن خرابکاری و نیز آگاهی از نحوه عملکرد نرم افزارهای سنتی ضدویروس، به انتشار هر چه بیشتر کدهای مخرب مشغول هستند. کمیت بدافزارهای رایانه یی به شکل سرسام آوری رشد داشته و به موازات آن، کیفیت عملکرد تخریبی آنها نیز ارتقای چشمگیری یافته است. به احتمال قوی دلیل اصلی این موضوع، سردرگم کردن شرکت های امنیتی از طریق بمباران بی وقفه لابراتوارهای کشف و تحلیل کدهای مخرب و منحرف کردن آنها از ردیابی حملات اصلی و اساسی خرابکاران علیه اهداف بزرگ تر است. برای مثال PandaLabs، لابراتوارهای ردیابی و کشف کدهای مخرب در شرکت پاندا، در گزارش های جدید خود به این نکته اشاره کرده است که در برخی از روزها حتی تا 3هزار کد مخرب جدیدالانتشار را کشف و در بانک اطلاعات نرم افزارهای مخرب ثبت کرده است. شک نکنید حداقل 80 درصد از این ویروس ها، کدهای بی مصرف و بی آزاری هستند که تنها هدف آنها سردرگم کردن شرکت های امنیتی و نیز مشغول نگه داشتن آنها به ردیابی ویروس های ساده و در پشت پرده فراهم آوردن شرایط مناسب برای انتشار کدهای مخرب هدفدار و قدرتمند است.
پس دور از انتظار نیست که در آینده یی بسیار نزدیک، ابزار سنتی ضد ویروس، قدرت موثر خود را از دست بدهد. باید اعتراف کرد آینده یی در کار نیست؛ همین حالا راهکارهای ضد ویروس باید آماده یک پوست اندازی کامل باشند تا بتوانند اقتدار نسبی شرکت های امنیتی را در دنیای IT حفظ کنند. به همین منظور، شاید افزودن یک لایه امنیتی مکمل با فناوری های پیشرفته یا استفاده از روش های هوشمند در تشخیص ویروس های مخرب و... ایده های خوبی باشند.
2- تقریباً همه کارشناسان امنیتی عقیده دارند اکنون موثرترین ابزار دفاعی در رایانه ها، بهره گیری از روش های پیشگیرانه است. در این روش رفتار خاص کدها و نرم افزارهای فعال در موقعیت های مختلف، مهم ترین عامل شناسایی و تفکیک کدهای مخرب و مشکوک از کدهای امن و مفید است. در این حالت نیاز چندانی به استفاده از پایگاه های اطلاعات امنیتی ثبت شده و مشخصات ویروس های قدیمی تر (البته تا حدی) نیست.
3- راهکار موثر دیگر استفاده از یک ابزار مکمل امنیتی در کنار نرم افزارهای حفاظتی نصب شده در سیستم (یا به عبارتی در کنار همان راهکارهای سنتی حفاظت از اطلاعات) برای ترمیم نقاط ضعف آنهاست. یکی از این سیستم های پیشرفته برای ردیابی و کشف ویروس های ثبت نشده با نام TruPrevent، ابزار قدرتمندی برای پیشگیری از نفوذهای غیرمجاز و نیز افزایش توان بازدارندگی سیستم امنیتی نصب شده در رایانه است.
با توجه به حجم عظیم تولید و انتشار کدهای مخرب در شبکه جهانی وب، بدیهی و منطقی است که اغلب شرکت های امنیتی نتوانند در ردیابی، کشف و تولید کد ضدویروس همه بدافزارهای پراکنده در اینترنت موفق باشند. بنابراین می توان تصور کرد شرکت های مختلف قادرند به نحوی همپوشانی امنیتی داشته باشند و با همکاری یکدیگر و بهره گیری از کمک کاربران، تهدیدهای رایانه یی را به نحو موثری کنترل کنند؛ به این ترتیب حداقل کاری که می توان کرد، استفاده از ابزار مکملی است که بیشترین سطح و بالاترین نرخ ردیابی، کشف و پاکسازی کدهای مخرب را در اختیار داشته و به محیط داخلی سیستم عامل وابسته نباشد. به عنوان نمونه یی از این ابزار مکمل نیز می توان به برنامه مشهور ActiveScan اشاره کرد که از طریق پایگاه امنیتی www. infectedornot. com قابل دسترسی است.
4- به هیچ وجه هرزنامه های موجود در صندوق پستی خود را جدی نگیرید و به آنها اعتماد نکنید؛ هرچند اگر بسیار جذاب و قابل توجه جلوه کنند. هرزنامه هایی که از طرف فرستنده ها یا منابع کاملاً نامشخص و مبهم ارسال می شوند، ریسک تخریبی بسیار بالاتری دارند. در خصوص هرزنامه های مربوط به تجارت یا خرید و فروش الکترونیک نیز باید گفت اغلب آنها از منابع مطمئن و امن ارسال نمی شوند و به احتمال قوی ممکن است تنها، ابزاری برای فریبکاری خرابکاران و نیز سرقت اطلاعات حساس و ارزشمند شما باشند. هرزنامه ها سهم مهمی در اجرای حملات Phishing (ابزار کلاهبرداری آنلاین) دارند. Phishing، تکنیک بسیار حرفه یی است که اغلب کاربران غیرحرفه یی خدمات آنلاین را هدف می گیرد. خرابکاران با استفاده از این روش پیغام ها و صفحات به ظاهر امن و غیرواقعی را برای کاربر نمایش می دهند و وی را به ارسال اطلاعات محرمانه و بسیار حساس تحریک می کنند. این صفحات ممکن است شامل یک اطلاعیه یا اعلام مشکل فنی از طرف بانک یا سیستم پرداخت آنلاین باشد. طبق بررسی های انجام شده توسط مراکز امنیتی معتبر، تعداد کلاهبرداری هایی که فقط از طریق حملات Phishing انجام می شود، سالانه 10 الی 20 درصد رشد را نشان می هد که این میزان شامل موارد نامحسوس و کشف نشده است. مهم ترین چیزی که از یک کاربر خدمات بانکی آنلاین یا یک خرید و فروش کننده اینترنتی انتظار می رود این است که بداند هیچ موسسه مالی یا هیچ بانکی با او در خصوص دریافت یا تایید اطلاعات فوق محرمانه و شخصی وی مکاتبه نمی کند. در هر حال اگر باز هم گمان می کنید نامه مورد نظر شما که اطلاعات محرمانه تان را درخواست کرده، از طرف بانک یا بخش فروش یک سازمان بزرگ تجاری برای شما ارسال شده است، قبل از انجام هرکاری در صفحه مقابل خود، با بخش ارسال کننده نامه شخصاً تماس بگیرید و در خصوص صحت و امنیت نامه مورد نظر، اطمینان حاصل کنید. در خاطر داشته باشید در خصوص داده های حساس و ارزشمند هیچ گونه سهل انگاری پذیرفته نیست. علاوه بر این، لینک های موجود در هرزنامه ها نیز می توانند بسیار خطرناک باشند؛ زیرا قادرند به راحتی شما را به صفحات مخرب و غیرواقعی در وب هدایت کنند که هدف آنها ایجاد تخریب و اختلال در سیستم و نیز دسترسی غیرقانونی به اطلاعات و داده های مهم شماست. بنابراین به شما توصیه می شود به جای کلیک روی هر لینکی، آدرس آن را به طور مستقیم در نوار آدرس مرورگر خود تایپ کرده و کلید جست وجو را فشار دهید.
اگر«حتی فقط یک بار» قصد تجربه لذت بخش خرید الکترونیک یا انجام فعالیت های بانکی آنلاین را دارید، موارد زیر را فراموش نکنید.
- قبل از انجام خرید از فروشگاه های آنلاین یا از طریق پایگاه های الکترونیک، و نیز دریافت هرگونه خدمات اینترنتی، یکی از بهترین تدابیر امنیتی، اطمینان از قانونی بودن، میزان شهرت و سطح اعتبار این مرکز مالی تجاری است. یک جست وجوی ساده در اینترنت شاید راهنمای خوبی در این زمینه باشد.
- سیستم های رایانه یی خود را همواره به روز نگه دارید.
سیستم های عامل و نیز بسیاری از برنامه های کاربردی نصب شده در رایانه شما یقیناً دارای نقص ها و حفره های امنیتی بی شماری هستند که می توانند توسط خرابکاران اینترنتی برای نفوذهای نامحسوس و انجام فعالیت های غیرقانونی مورد استفاده قرار بگیرند. تنها یک اشکال کوچک امنیتی در برنامه های به ظاهر ساده و پرکاربرد مانند Media Player، Yahoo Messenger یا ACDSee، نقش خود را به نحو احسن ایفا می کند.
- هیچ گاه فایل ها و نرم افزارهای نامطمئن را دانلود و اجرا نکنید؛ به خصوص اگر آنها در منابع و پایگاه های اینترنتی نامشخص و بی نام و نشان وجود داشته باشند. این فایل ها می توانند ضمیمه نامه های الکترونیک یا برگرفته از صفحات اینترنتی مشکوک باشند. به خاطر داشته باشید احتمال آلوده بودن این فایل ها آنقدر زیاد است که با اجرای آن، به طور مستقیم کدهای مخرب را در رایانه خود نصب می کنید.
- هیچ گاه قبل از اطمینان کامل از شرایط امنیتی موجود، اقدام به پرداخت یا نقل و انتقال پول نکنید (درست به همان گونه که معاملات حضوری و فیزیکی را انجام می دهید). به خاطر داشته باشید احتمال کلاهبرداری و فعالیت غیرقانونی در اینترنت همیشه بیش از آن است که فکر می کنید. شما نخستین فردی نیستید که شاید در ازای سفارش آخرین و مدرن ترین نسل تلفن های همراه، جعبه یی پر از سنگ و ماسه دریافت کرده باشد.
- امروزه انجام مزایده های آنلاین در اینترنت به طور چشمگیری رواج یافته است. قبل از آغاز پیشنهاد قیمت و شروع مزایده، از شخصیت حقیقی و حقوقی مسوول مزایده اطلاع کامل پیدا کنید و فریب تکنیک های حرفه یی فروش وی را نخورید.
- هیچ گاه اطلاعات حساس و محرمانه خود را از طریق نامه های الکترونیک ارسال نکنید. کاربران عادی و حتی برخی از کاربران حرفه یی اینترنت گمان می کنند این روش بسیار امن تر از پرکردن فرم های الکترونیکی است اما متاسفانه این حقیقت ندارد. نامه های الکترونیک از لحاظ امنیتی بسیار آسیب پذیرند.
- از تیزهوشی و حس شکاک خود بهره بگیرید. ظاهر و ساختار یک صفحه وب اغلب می تواند نشان دهنده غیرواقعی بودن یا امن نبودن آن باشد. به خاطر داشته باشید در بسیاری از موارد خرابکاران اینترنتی صفحات موقتی در اینترنت ایجاد می کنند که تنها کاربرد آنها، کلاهبرداری از کاربران اینترنت است.
و در نهایت این عبارت را از دایره باورهای خود حذف کنید که«من به هیچ وجه در معرض خطر نیستم، چرا که من تنها یک کاربر معمولی و عادی اینترنت هستم.» به یاد داشته باشید این همان چیزی است که مجرمان از شما انتظار دارند. یک خرابکار اینترنتی تنها با اعداد، ارقام و شماره های IP شما سروکار دارد و نه با شخصیت، شغل، میزان درآمد یا سطح دسترسی شما به اینترنت.
منبع: / روزنامه / اعتماد ۱۳۸۷/۰۵/۰۲
نویسنده : اسماعیل ذبیحی
نظر شما