امنيت و ضد امنيت در داد و ستدهاي الكتروني
امنيت و ضد امنيت در داد و ستدهاي الكتروني
امنيت و ضد امنيت در داد و ستدهاي الكتروني
بمباران اخبار، اطلاعيه ها و هشدارهاي پي در پي در خصوص مشكلات امنيتي موجود در بانكداري و تجارت آنلاين، رسانه هاي گروهي جهان و مخاطبان آن ها را بيش از خود تهديدهاي امنيتي با سردرگمي مواجه كرده است! به نظر مي رسد جنگ بين امنيت و ضد امنيت پاياني نخواهد داشت و كاربران نگون بخت خدمات اينترنتي، تنها قربانيان اين نبرد محسوب مي شوند؛ درست به اين دليل كه هم مجرمان اينترنتي تا حد زيادي به اهداف خود مي رسند و هم شركت هاي امنيتي، روز به روز بر تجارت و فروش نرم افزارهاي امنيتي خود مي افزايند. شركت هاي ارائه دهنده خدمات آنلاين نيز آنقدر نقدينگي دارند كه حتي ضررهاي هنگفت در نظر ما، براي آن ها كاملاً قابل اغماض باشد.
البته برخلاف بزرگنمايي هاي رسانه اي و تحليل هاي غيرواقعي بسياري از كارشناسان، تهديدهاي امنيتي معاملات الكترونيك به هيچ وجه فلج كننده و غيرقابل كنترل نيستند؛ چرا كه حتي در بدبينانه ترين بررسي ها، از ابتداي تولد جرايم سايبر، مجموع درآمد سالانه مجرمان اينترنتي از چندين ميليون دلار فراتر نرفته است، كه اين مبلغ و حتي چند برابر آن نيز، در مقايسه با گردش جهاني پول كاملاً ناچيز است. به هر ترتيب اغراق و بزرگنمايي مشكلات امنيتي موجود، بي انصافي ست. نبايد اين گونه فكر كرد كه تك تك اعمال، رفتار و فعاليت هاي ما در اينترنت تحت كنترل تبه كاران و ابزار مخرب آن ها قرار دارد. علاوه بر اين، ابزار و نرم افزارهاي امنيتي هم چندان بي كفايت نيستند و قادر به كنترل و انسداد درصد بسيار بالايي از كدهاي مخرب و نفوذهاي غيرقانوني مي باشند و درست به همين دليل تنها درصد محدودي از اقدامات خرابكارانه با هدف سرقت مستقيم يا غيرمستقيم پول به ثمر مي نشينند و اغلب آنها به نحوي خنثي شده و ماهيت مجرمانه خود را از دست مي دهند.
در مبادلات و معاملات آنلاين احتمال ناديده انگاشتن جوانب امنيتي و عدم رعايت آن، فقط كمي بيشتر از داد و ستدهاي حضوري ست.
در حقيقت مجرمان اينترنتي معمولاً به صورت مستقيم به شبكه هاي سازماني و سرورهاي اطلاعاتي حمله نميكنند؛ بلكه تمام تمام تلاش خود را بر روي آسيب پذيرترين حلقه زنجير متمركز مي كنند... و اين حلقه شكنده چيزي و يا بهتر بنويسم كسي نيست به جز كاربر نهايي. شما هم حتماً تأييد مي كنيد كه دسترسي به اطلاعات حساس و با ارزش سازماني از طريق كاربران خانگي بسيار آسان تر از شكستن لايه هاي مختلف امنيتي، نفوذ به يك پايگاه اطلاعاتي و دسترسي به اطلاعات رمزگذاري شده است.
در اينجا نگاهي مي اندازيم به راهكارها و ملزومات حفاظتي كه هر كاربري براي افزايش امنيت اطلاعات و دريافت خدمات مطلوب در اينترنت، بايد از آن ها آگاه باشد.
ملزومات امنيتي يك صفحه اينترنتي براي ارائه خدمات پولي و تجاري چيست؟
صفحات اينترنتي كه در آن ها مبادلات آنلاين و خدمات حساس مالي يا تجاري انجام مي شود، بايد داراي ملزومات زير باشند:
- تضمين اين مسئله كه داده هاي وارد شده براي انجام مبادلات و يا معاملات الكترونيك، تنها توسط بخش ها يا افراد معيني قابل دسترسي ست. اين مسئله از طريق رمزگذاري انجام مي شود.
- صحت، درستي و عدم نقص اطلاعات درطول عمليات نقل و انتقال؛ به منظور اطمينان از عدم سوء استفاده از اطلاعات حساس. اين مسئله از طريق استفاده از امضاي ديجيتال انجام مي شود.
- و در نهايت، هويت هر دو طرف رابطه تجاري، يعني ارائه دهنده و دريافت كننده خدمات آنلاين، بايد كاملاً واضح و مشخص بوده و مورد تأييد و تصديق قرار گيرد. مدارك هويت ديجيتالي براي رفع نگراني هاي موجود در اين رابطه مورد استفاده قرار مي گيرند.
براي دسترسي به اين ملزومات كلي، روش هاي ارتباطي استانداردي طراحي شده است كه هر كدام وظايف خاصي را بر عهده دارند:
به اين ترتيب اين پروتكل ها، نقش مهمي در محافظت از كاربران خانگي، شبكه هاي محلي، فروشگاه ها، سازمان ها و مؤسسات مالي تجاري دارند. تهديدهايي چون سرقت اطلاعات، سرقت مستقيم و يا غير مستقيم پول، ايجاد توقف و اختلال در فرآيندهاي تجاري، كلاهبرداري هاي آنلاين و غيره تهديدهايي هستند كه از كوچكترين نقص و اشتباه در كاربرد اين پروتكل ها سود مي برند.
مهمترين و پركاربردترين اين استانداردهاي ارتباطي، براي حفاظت از فعاليت هاي تجاري آنلاين، پروتكل مشهوري با عنوان SSL (Secure Socket Layer) است. اين پروتكل مي تواند هرگونه داده و اطلاعات ورودي به سيستم يا شبكه را رمزگذاري كرده و سپس آن ها را در مقصد و براي تحويل گيرنده مجاز، رمز گشايي نمايد. اين بدان معناست كه اگر شخص سومي بخواهد به داده هاي مبادله شده از طريق SSL، دسترسي پيدا كند، بدون در اختيار داشتن كليد رمزگشايي مربوطه كاملاً ناموفق خواهد بود.
در اين پروتكل، تنها فروشنده و ارائه كننده خدمات آنلاين، نياز به مدارك و معرفي نامه هاي ديجيتال دارد تا هويت و اعتبار امنيتي وي مورد تأييد قرار بگيرد. در اين صورت خريدار و دريافت كننده خدمات اينترنتي، هيچ نيازي به ارائه معرفي نامه و هويت سنجي امنيتي نخواهد داشت.
درست به همان نحو كه يك مشتري، اطلاعات شخصي، محرمانه و حساس خود را به صورت رو در رو در اختيار هر فروشنده اي قرار نمي دهد و جوانب امنيتي را به طور كامل حفظ ميكند، در حوزه مبادلات آنلاين نيز نبايد اين اطلاعات را در صفحات، پايگاه ها و نيز سرورهايي كه فاقد مدارك و گواهي نامه هاي خاص امنيتي هستند، وارد كند .
علاوه بر اين، در لايه هاي ارتباطي بالاتر، مدير شبكه خدمات دهنده بايد نهايت دقت و احتياط را در اطمينان از عدم وجود هر گونه كد يا ابزار مخرب (ويروس، تروژان، ابزار هك و ...) و نيز هرگونه آسيب پذيري (حفره ها و نقص هاي امنيتي) به كار برد تا امنيت داده ها و اطلاعات ذخير شده در سرور مورد تهديد قرار نگيرند. همان طور كه بيان شد، بسياري از نرم افزارهاي مخرب مانند تروژان ها با هدف ايجاد آسيب پذيري در سرورها و يا سيستم هاي متصل به آن، تنها از طريق كاربران خانگي و يا ساير شبكه هاي خدمات گيرنده، سازمان هاي ارائه دهنده خدمات آنلاين را تهديد مي كنند. دسترسي هاي غير مجاز در سطوح بالا، سرقت داده هاي حساس و محرمانه و ايجاد خسارت هاي قابل توجه و ... تهديدهاي دائم و شايعي هستند كه از كوچكترين فرصت و باريكترين روزنه استفاده مطلوب مي كنند.
از طرف ديگر، مراجع صدور گواهي نامه هاي ديجيتال، مسئول صدور تأييديه هاي امنيتي براي سرورها و شبكه ها بر اساس پروتكل هاي امنيتي هستند. اين مراكز تصميم گيري مي توانند براي شركت هاي ارائه كننده خدمات الكترونيك، مشتري ها و حتي كاربران عادي اينترنت نيز گواهي نامه هاي ديجيتال صادر كنند.
به عنوان نمونه اي از اين مراجع معتبر مي توان به گروه VeriSign اشاره كرد كه عمده فعاليت هاي امنيتي زيرساخت در اينترنت را به عهده دارد.
در هنگام انجام فعاليت هاي بسيار محرمانه مانند خريد و فروش آنلاين و يا انجام امور بانكي بايد نكات زير را هميشه به خاطر داشته باشيد:
1. از عدم حضور و فعاليت هر نوع كد مخرب در لحظه آغاز و در حين انجام فعاليت تجاري و دريافت هرگونه خدمات اينترنتي حساس، اطمينان حاصل كنيد.
در اين خصوص بايد گفت كه خطرناك ترين و در عين حال شايع ترين تهديد عليه فعاليت هاي مالي اعتباري در اينترنت، نوعي كد مخرب از خانواده تروژان هاي Banker مي باشد. اين تروژان پس از نفوذ در سيستم (اغلب به شكل نامحسوس)، بازديدهاي اينترنتي كاربر را كنترل مي كند و به محض ورود وي به پايگاه هاي مؤسسات مالي اعتبار، سيستم هاي پرداخت آنلاين، مراكز خريد وفروش اينترنتي و ... اطلاعات حساس مبادله شده را پس از سرقت، به مجرمان اينترنتي ارسال مي كنند.
تمايل روزافزون كاربران اينترنت به انجام معاملات آنلاين و گسترش زمينه هاي دسترسي به خدمات الكترونيك نيز دليل ساده اي براي افزايش تعداد و تنوع تروژان هاي Banker بوده است. البته دليل محكم تري نيز وجود دارد و آن انگيزه هاي مالي خرابكاران اينترنتي و لذت دسترسي آسان و در عين حال غيرقانوني آن ها به پول هاي باد آورده اي ست كه به علت ناآگاهي و بي احتياطي ما بين زمين و هوا معلق مانده است!!
و درست به همين خاطر، استفاده از نرم افزارهاي حفاظتي به روز و ايجاد تنظيمات صحيح بر روي آن ها، به تناسب امنيت مورد نيازتان، مهمترين و ضروري ترين ابزار دفاعي شما مي باشد.
متأسفانه آمار و ارقام مربوط به خسارت هاي مالي، اعتباري و اطلاعاتي شركت هاي بزرگ و نيز كاربران خانگي اينترنت و روزهاي سخت و پر مشقت شركت هاي امنيتي، نشان ميدهد كه تنها استفاده از نرم افزارهاي حفاظتي به روز شده، درمان قطعي درد كهنه ناامني در فضاي آنلان نيست.
مجرمان اينترنتي با بهره گيري از فن آوري هاي روز و ابزار مدرن خرابكاري و نيز آگاهي از نحوه عملكرد نرم افزارهاي سنتي ضدويروس، به انتشار هر چه بيشتر كدهاي مخرب مشغول هستند. كميت بدافزارهاي رايانه اي به شكل سرسام آوري رشد داشته و به موازات آن، كيفيت عملكرد تخريبي آن ها نيز ارتقاء چشمگيري يافته است.
به احتمال قوي دليل اصلي اين موضوع، سردرگم كردن شركت هاي امنيتي از طريق بمباران بي وقفه لابراتوارهاي كشف و تحليل كدهاي مخرب و منحرف كردن آن ها از رديابي حملات اصلي و اساسي خرابكاران، عليه اهداف بزرگتر است.
براي مثال PandaLabs، لابراتوارهاي رديابي و كشف كدهاي مخرب در شركت پاندا، در گزارش هاي جديد خود به اين نكته اشاره كرده است كه در برخي از روزها حتي تا 3000 كد مخرب جديدالانتشار را كشف و در بانك اطلاعات نرم افزارهاي مخرب ثبت نموده است. شك نكنيد كه حداقل 80 درصد از اين ويروس ها، كدهاي بي مصرف و بي آزاري هستند كه تنها هدف آن ها سردرگم كردن شركت هاي امنيتي و نيز مشغول نگاه داشتن آن ها به رديابي ويروس هاي ساده و در پشت پرده فراهم آوردن شرايط مناسب براي انتشار كدهاي مخرب هدفدار و قدرتمند است.
پس دور از انتظار نيست كه در آينده اي بسيار نزديك، ابزار سنتي ضد ويروس، قدرت مؤثر خود را از دست بدهند. بايد اعتراف كرد كه آينده اي در كار نيست؛ همين حالا راهكارهاي ضد ويروس بايد آماده يك پوست اندازي كامل باشند تا بتوانند اقتدار نسبي شركت هاي امنيتي را در دنياي IT حفظ كنند.
به همين منظور، شايد افزودن يك لايه امنيتي مكمل با فن آوري هاي پيشرفته و يا استفاده از روش هاي هوشمند در تشخيص ويروس هاي مخرب و ... ايده هاي خوبي باشند...
2. تقريباً همه كارشناسان امنيتي عقيده دارند كه اكنون مؤثرترين ابزار دفاعي در رايانه ها، بهره گيري از روش هاي پيشگيرانه (Proactive) است. در اين روش رفتار خاص كدها و نرم افزارهاي فعال درموقعيت هاي مختلف، مهمترين عامل شناسايي و تفكيك كدهاي مخرب و مشكوك از كدهاي امن و مفيد است. در اين حالت نياز چنداني به استفاده از پايگاه هاي اطلاعات امنيتي ثبت شده و مشخصات ويروس هاي قديمي تر (البته تا حدي) نيست.
3. راهكار مؤثر ديگر استفاده از يك ابزار مكمل امنيتي در كنار نرم افزارهاي حفاظتي نصب شده در سيستم (يا به عبارتي در كنار همان راهكارهاي سنتي حفاظت از اطلاعات) براي ترميم نقاط ضعف آنهاست. يكي از اين سيستم هاي پيشرفته براي رديابي و كشف ويروس هاي ثبت نشده با نام TruPrevent™، ابزار قدرتمندي براي پيشگيري از نفوذهاي غيرمجاز و نيز افزايش توان بازدارندگي سيستم امنيتي نصب شده در رايانه است.
با توجه به حجم عظيم توليد و انتشار كدهاي مخرب در شبكه جهاني وب، بديهي و منطقي ست كه اغلب شركت هاي امنيتي نتوانند در رديابي، كشف و توليد كد ضد ويروس همه بدافزارهاي پراكنده در اينترنت، موفق باشند. بنابر اين مي توان تصور كرد كه شركت هاي مختلف قادرند به نحوي همپوشاني امنيتي داشته باشند و با همكاري يكديگر و بهره گيري از كمك كاربران، تهديدهاي رايانه اي را به نحو مؤثري كنترل كنند؛ به اين ترتيب حداقل كاري كه مي توان كرد، استفاده از ابزار مكملي ست كه بيشترين سطح و بالاترين نرخ رديابي،كشف و پاكسازي كدهاي مخرب را در اختيار داشته و به محيط داخلي سيستم عامل وابسته نباشد. به عنوان نمونه اي از اين ابزار مكمل نيز مي توان به برنامه مشهور ActiveScan اشاره نمود كه از طريق پايگاه امنيتي www.infectedornot.com قابل دسترسي ست.
4. به هيچ وجه هرزنامه هاي موجود در صندوق پستي خود را جدي نگيريد و به آن ها اعتماد نكنيد؛ هرچند اگر بسيار جذاب و قابل توجه جلوه كنند.
هرزنامه هايي كه از طرف فرستنده ها يا منابع كاملاً نامشخص و مبهم ارسال مي شوند، ريسك تخريبي بسيار بالاتري دارند. در خصوص هرزنامه هاي مربوط به تجارت يا خريد و فروش الكترونيك نيز بايد گفت كه اغلب آن ها از منابع مطمئن و امن ارسال نمي شوند و به احتمال قوي ممكن است تنها، ابزاري براي فريبكاري خرابكاران و نيز سرقت اطلاعات حساس و ارزشمند شما باشند.
هرزنامه ها سهم مهمي در اجراي حملات Phishing (ابزار كلاهبرداري آنلاين) دارند. Phishing، تكنيك بسيار حرفه ايست كه اغلب كاربران غيرحرفه اي خدمات آنلاين را هدف مي گيرد. خرابكاران با استفاده از اين روش پيغام ها و صفحات به ظاهر امن و غيرواقعي را براي كاربر نمايش مي دهند و وي را به ارسال اطلاعات محرمانه و بسيار حساس تحريك مي كنند. اين صفحات ممكن است شامل يك اطلاعيه و يا اعلام مشكل فني از طرف بانك و يا سيستم پرداخت آنلاين باشد.
طبق بررسي هاي انجام شده توسط مراكز امنيتي معتبر، تعداد كلاهبرداري هايي كه فقط از طريق حملات Phishing انجام مي شوند، ساليانه 10 الي 20 درصد رشد را نشان مي هد كه اين ميزان شامل موارد نامحسوس و كشف نشده نمي باشد.
مهمترين چيزي كه از يك كاربر خدمات بانكي آنلاين و يا يك خريد و فروش كننده اينترنتي انتظار مي رود اين است كه بداند هيچ مؤسسه مالي و يا هيچ بانكي با او در خصوص دريافت و يا تأييد اطلاعات فوق محرمانه و شخصي وي مكاتبه نمي كند. در هر حال اگر باز هم گمان مي كنيد كه نامه مورد نظر شما كه اطلاعات محرمانه تان را درخواست كرده، از طرف بانك يا بخش فروش يك سازمان بزرگ تجاري براي شما ارسال شده است، قبل از انجام هركاري در صفحه مقابل خود، با بخش ارسال كننده نامه شخصاً تماس بگيريد و در خصوص صحت و امنيت نامه مورد نظر، اطمينان حاصل كنيد. در خاطر داشته باشيد كه در خصوص داده هاي حساس و ارزشمند هيچ گونه سهل انگاري پذيرفته نيست.
علاوه بر اين، لينك هاي موجود در هرزنامه ها نيز مي توانند بسيار خطرناك باشند؛زيرا قادرند براحتي شما را به صفحات مخرب و غيرواقعي در وب هدايت كنند كه هدف آن ها ايجاد تخريب و اختلال در سيستم و نيز دسترسي غيرقانوني به اطلاعات و داده هاي مهم شماست. بنابر اين به شما توصيه مي شود كه به جاي كليك بر روي هر لينكي، آدرس آن را به طور مستقيم در نوار آدرس مرورگر خود تايپ كرده و كليد جستجو را فشار دهيد.
اگر "حتي فقط يكبار" قصد تجربه لذت بخش خريد الكترونيك و يا انجام فعاليت هاي بانكي آنلاين را داريد، موارد زير را فراموش نكنيد:
- قبل از انجام خريد از فروشگاه هاي آنلاين و يا از طريق پايگاه هاي الكترونيك، و نيز دريافت هرگونه خدمات اينترنتي، يكي از بهترين تدابير امنيتي، اطمينان از قانوني بودن، ميزان شهرت و سطح اعتبار اين مركز مالي تجاري ست. يك جستجوي ساده در اينترنت، شايد راهنماي خوبي در اين زمينه باشد.
- سيستم هاي رايانه اي خود را همواره به روز نگاه داريد...
سيستم هاي عامل و نيز بسياري از برنامه هاي كاربردي نصب شده در رايانه شما يقيناً داراي نقص ها و حفره هاي امنيتي بي شماري هستند كه مي توانند توسط خرابكاران اينترنتي براي نفوذهاي نامحسوس و انجام فعاليت هاي غيرقانوني مورد استفاده قرار بگيرند. تنها يك اشكال كوچك امنيتي در برنامه هاي به ظاهر ساده و پركاربرد مانند Media Player، Yahoo Messenger و يا ACDSee، نقش خود را به نحو احسن ايفا مي كند.
- هيچ گاه فايل ها و نرم افزارهاي نامطمئن را داونلود و اجرا نكنيد؛ به خصوص اگر آن ها در منابع و پايگاه هاي اينترنتي نامشخص و بي نام و نشان وجود داشته باشند. اين فايل ها مي توانند ضميمه نامه هاي الكترونيك و يا برگرفته از صفحات اينترنتي مشكوك باشند.. به خاطر داشته باشيد كه احتمال آلوده بودن اين فايل ها آنقدر زياد است كه با اجراي آن، بطور مستقيم كدهاي مخرب را در رايانه خود نصب مي كنيد.
- هيچ گاه قبل از اطمينان كامل از شرايط امنيتي موجود، اقدام به پرداخت و يا نقل و انتقال پول نكنيد (درست به همان گونه كه معاملات حضوري و فيزيكي را انجام مي دهيد). به خاطر داشته باشيد كه احتمال كلاهبرداري و فعاليت غيرقانوني در اينترنت هميشه بيش از آن است كه فكر مي كنيد. شما نخستين فردي نيستيد كه شايد در ازاي سفارش آخرين و مدرن ترين نسل تلفن هاي همراه، جعبه اي پر از سنگ و ماسه دريافت كرده باشد!!
- امروزه انجام مزايده هاي آنلاين در اينترنت به طور چشمگيري رواج يافته است. قبل از آغاز پيشنهاد قيمت و شروع مزايده، از شخصيت حقيقي و حقوقي مسئول مزايده اطلاع كامل پيدا كنيد و فريب تكنيك هاي حرفه اي فروش وي را نخوريد.
- هيچ گاه اطلاعات حساس و محرمانه خود را از طريق نامه هاي الكترونيك ارسال نكنيد. كاربران عادي و حتي برخي از كاربران حرفه اي اينترنت گمان مي كنند كه اين روش بسيار امن تر از پركردن فرم هاي الكترونيكي ست. اما متآسفانه اين حقيقت ندارد. نامه هاي الكترونيك از لحاظ امنيتي بسيار آسيب پذيرند.
- از تيزهوشي و حس شكاك خود بهره بگيريد. ظاهر و ساختار يك صفحه وب اغلب مي تواند نشان دهنده غيرواقعي بودن و يا امن نبودن آن باشد. به خاطر داشته باشيد كه در بسياري از موارد خرابكاران اينترنتي صفحات موقتي در اينترنت ايجاد مي كنند كه تنها كاربرد آن ها، كلاهبرداري از كاربران اينترنت است.
و... در نهايت اين عبارت را از دايره باورهاي خود حذف كنيد كه "من به هيچ وجه در معرض خطر نيستم، چرا كه من تنها يك كاربر معمولي و عادي اينترنت هستم." به ياد داشته باشيد كه اين همان چيزي ست كه مجرمان از شما انتظار دارند. يك خرابكار اينترنتي تنها با اعداد، ارقام و شماره هاي IP شما سروكار دارند و نه با شخصيت، شغل، ميزان درآمد و يا سطح دسترسي شما به اينترنت...
به اميد درك و بينش صحيح كاربران اينترنت در استفاده امن از خدمات الكترونيك ...
منبع:http://www.pandasecurity.ir
ارسال توسط کاربر محترم سایت :hasantaleb
البته برخلاف بزرگنمايي هاي رسانه اي و تحليل هاي غيرواقعي بسياري از كارشناسان، تهديدهاي امنيتي معاملات الكترونيك به هيچ وجه فلج كننده و غيرقابل كنترل نيستند؛ چرا كه حتي در بدبينانه ترين بررسي ها، از ابتداي تولد جرايم سايبر، مجموع درآمد سالانه مجرمان اينترنتي از چندين ميليون دلار فراتر نرفته است، كه اين مبلغ و حتي چند برابر آن نيز، در مقايسه با گردش جهاني پول كاملاً ناچيز است. به هر ترتيب اغراق و بزرگنمايي مشكلات امنيتي موجود، بي انصافي ست. نبايد اين گونه فكر كرد كه تك تك اعمال، رفتار و فعاليت هاي ما در اينترنت تحت كنترل تبه كاران و ابزار مخرب آن ها قرار دارد. علاوه بر اين، ابزار و نرم افزارهاي امنيتي هم چندان بي كفايت نيستند و قادر به كنترل و انسداد درصد بسيار بالايي از كدهاي مخرب و نفوذهاي غيرقانوني مي باشند و درست به همين دليل تنها درصد محدودي از اقدامات خرابكارانه با هدف سرقت مستقيم يا غيرمستقيم پول به ثمر مي نشينند و اغلب آنها به نحوي خنثي شده و ماهيت مجرمانه خود را از دست مي دهند.
آخرين حلقه زنجير
در مبادلات و معاملات آنلاين احتمال ناديده انگاشتن جوانب امنيتي و عدم رعايت آن، فقط كمي بيشتر از داد و ستدهاي حضوري ست.
در حقيقت مجرمان اينترنتي معمولاً به صورت مستقيم به شبكه هاي سازماني و سرورهاي اطلاعاتي حمله نميكنند؛ بلكه تمام تمام تلاش خود را بر روي آسيب پذيرترين حلقه زنجير متمركز مي كنند... و اين حلقه شكنده چيزي و يا بهتر بنويسم كسي نيست به جز كاربر نهايي. شما هم حتماً تأييد مي كنيد كه دسترسي به اطلاعات حساس و با ارزش سازماني از طريق كاربران خانگي بسيار آسان تر از شكستن لايه هاي مختلف امنيتي، نفوذ به يك پايگاه اطلاعاتي و دسترسي به اطلاعات رمزگذاري شده است.
در اينجا نگاهي مي اندازيم به راهكارها و ملزومات حفاظتي كه هر كاربري براي افزايش امنيت اطلاعات و دريافت خدمات مطلوب در اينترنت، بايد از آن ها آگاه باشد.
ملزومات امنيتي يك صفحه اينترنتي براي ارائه خدمات پولي و تجاري چيست؟
صفحات اينترنتي كه در آن ها مبادلات آنلاين و خدمات حساس مالي يا تجاري انجام مي شود، بايد داراي ملزومات زير باشند:
- تضمين اين مسئله كه داده هاي وارد شده براي انجام مبادلات و يا معاملات الكترونيك، تنها توسط بخش ها يا افراد معيني قابل دسترسي ست. اين مسئله از طريق رمزگذاري انجام مي شود.
- صحت، درستي و عدم نقص اطلاعات درطول عمليات نقل و انتقال؛ به منظور اطمينان از عدم سوء استفاده از اطلاعات حساس. اين مسئله از طريق استفاده از امضاي ديجيتال انجام مي شود.
- و در نهايت، هويت هر دو طرف رابطه تجاري، يعني ارائه دهنده و دريافت كننده خدمات آنلاين، بايد كاملاً واضح و مشخص بوده و مورد تأييد و تصديق قرار گيرد. مدارك هويت ديجيتالي براي رفع نگراني هاي موجود در اين رابطه مورد استفاده قرار مي گيرند.
براي دسترسي به اين ملزومات كلي، روش هاي ارتباطي استانداردي طراحي شده است كه هر كدام وظايف خاصي را بر عهده دارند:
پروتكل هاي امنيتي
به اين ترتيب اين پروتكل ها، نقش مهمي در محافظت از كاربران خانگي، شبكه هاي محلي، فروشگاه ها، سازمان ها و مؤسسات مالي تجاري دارند. تهديدهايي چون سرقت اطلاعات، سرقت مستقيم و يا غير مستقيم پول، ايجاد توقف و اختلال در فرآيندهاي تجاري، كلاهبرداري هاي آنلاين و غيره تهديدهايي هستند كه از كوچكترين نقص و اشتباه در كاربرد اين پروتكل ها سود مي برند.
مهمترين و پركاربردترين اين استانداردهاي ارتباطي، براي حفاظت از فعاليت هاي تجاري آنلاين، پروتكل مشهوري با عنوان SSL (Secure Socket Layer) است. اين پروتكل مي تواند هرگونه داده و اطلاعات ورودي به سيستم يا شبكه را رمزگذاري كرده و سپس آن ها را در مقصد و براي تحويل گيرنده مجاز، رمز گشايي نمايد. اين بدان معناست كه اگر شخص سومي بخواهد به داده هاي مبادله شده از طريق SSL، دسترسي پيدا كند، بدون در اختيار داشتن كليد رمزگشايي مربوطه كاملاً ناموفق خواهد بود.
در اين پروتكل، تنها فروشنده و ارائه كننده خدمات آنلاين، نياز به مدارك و معرفي نامه هاي ديجيتال دارد تا هويت و اعتبار امنيتي وي مورد تأييد قرار بگيرد. در اين صورت خريدار و دريافت كننده خدمات اينترنتي، هيچ نيازي به ارائه معرفي نامه و هويت سنجي امنيتي نخواهد داشت.
اعتبار بخشي امنيتي
امنيت تجارت الكترونيك؛ قابل دسترس، قابل اجرا
درست به همان نحو كه يك مشتري، اطلاعات شخصي، محرمانه و حساس خود را به صورت رو در رو در اختيار هر فروشنده اي قرار نمي دهد و جوانب امنيتي را به طور كامل حفظ ميكند، در حوزه مبادلات آنلاين نيز نبايد اين اطلاعات را در صفحات، پايگاه ها و نيز سرورهايي كه فاقد مدارك و گواهي نامه هاي خاص امنيتي هستند، وارد كند .
علاوه بر اين، در لايه هاي ارتباطي بالاتر، مدير شبكه خدمات دهنده بايد نهايت دقت و احتياط را در اطمينان از عدم وجود هر گونه كد يا ابزار مخرب (ويروس، تروژان، ابزار هك و ...) و نيز هرگونه آسيب پذيري (حفره ها و نقص هاي امنيتي) به كار برد تا امنيت داده ها و اطلاعات ذخير شده در سرور مورد تهديد قرار نگيرند. همان طور كه بيان شد، بسياري از نرم افزارهاي مخرب مانند تروژان ها با هدف ايجاد آسيب پذيري در سرورها و يا سيستم هاي متصل به آن، تنها از طريق كاربران خانگي و يا ساير شبكه هاي خدمات گيرنده، سازمان هاي ارائه دهنده خدمات آنلاين را تهديد مي كنند. دسترسي هاي غير مجاز در سطوح بالا، سرقت داده هاي حساس و محرمانه و ايجاد خسارت هاي قابل توجه و ... تهديدهاي دائم و شايعي هستند كه از كوچكترين فرصت و باريكترين روزنه استفاده مطلوب مي كنند.
از طرف ديگر، مراجع صدور گواهي نامه هاي ديجيتال، مسئول صدور تأييديه هاي امنيتي براي سرورها و شبكه ها بر اساس پروتكل هاي امنيتي هستند. اين مراكز تصميم گيري مي توانند براي شركت هاي ارائه كننده خدمات الكترونيك، مشتري ها و حتي كاربران عادي اينترنت نيز گواهي نامه هاي ديجيتال صادر كنند.
به عنوان نمونه اي از اين مراجع معتبر مي توان به گروه VeriSign اشاره كرد كه عمده فعاليت هاي امنيتي زيرساخت در اينترنت را به عهده دارد.
در هنگام انجام فعاليت هاي بسيار محرمانه مانند خريد و فروش آنلاين و يا انجام امور بانكي بايد نكات زير را هميشه به خاطر داشته باشيد:
1. از عدم حضور و فعاليت هر نوع كد مخرب در لحظه آغاز و در حين انجام فعاليت تجاري و دريافت هرگونه خدمات اينترنتي حساس، اطمينان حاصل كنيد.
در اين خصوص بايد گفت كه خطرناك ترين و در عين حال شايع ترين تهديد عليه فعاليت هاي مالي اعتباري در اينترنت، نوعي كد مخرب از خانواده تروژان هاي Banker مي باشد. اين تروژان پس از نفوذ در سيستم (اغلب به شكل نامحسوس)، بازديدهاي اينترنتي كاربر را كنترل مي كند و به محض ورود وي به پايگاه هاي مؤسسات مالي اعتبار، سيستم هاي پرداخت آنلاين، مراكز خريد وفروش اينترنتي و ... اطلاعات حساس مبادله شده را پس از سرقت، به مجرمان اينترنتي ارسال مي كنند.
تمايل روزافزون كاربران اينترنت به انجام معاملات آنلاين و گسترش زمينه هاي دسترسي به خدمات الكترونيك نيز دليل ساده اي براي افزايش تعداد و تنوع تروژان هاي Banker بوده است. البته دليل محكم تري نيز وجود دارد و آن انگيزه هاي مالي خرابكاران اينترنتي و لذت دسترسي آسان و در عين حال غيرقانوني آن ها به پول هاي باد آورده اي ست كه به علت ناآگاهي و بي احتياطي ما بين زمين و هوا معلق مانده است!!
و درست به همين خاطر، استفاده از نرم افزارهاي حفاظتي به روز و ايجاد تنظيمات صحيح بر روي آن ها، به تناسب امنيت مورد نيازتان، مهمترين و ضروري ترين ابزار دفاعي شما مي باشد.
متأسفانه آمار و ارقام مربوط به خسارت هاي مالي، اعتباري و اطلاعاتي شركت هاي بزرگ و نيز كاربران خانگي اينترنت و روزهاي سخت و پر مشقت شركت هاي امنيتي، نشان ميدهد كه تنها استفاده از نرم افزارهاي حفاظتي به روز شده، درمان قطعي درد كهنه ناامني در فضاي آنلان نيست.
مجرمان اينترنتي با بهره گيري از فن آوري هاي روز و ابزار مدرن خرابكاري و نيز آگاهي از نحوه عملكرد نرم افزارهاي سنتي ضدويروس، به انتشار هر چه بيشتر كدهاي مخرب مشغول هستند. كميت بدافزارهاي رايانه اي به شكل سرسام آوري رشد داشته و به موازات آن، كيفيت عملكرد تخريبي آن ها نيز ارتقاء چشمگيري يافته است.
به احتمال قوي دليل اصلي اين موضوع، سردرگم كردن شركت هاي امنيتي از طريق بمباران بي وقفه لابراتوارهاي كشف و تحليل كدهاي مخرب و منحرف كردن آن ها از رديابي حملات اصلي و اساسي خرابكاران، عليه اهداف بزرگتر است.
براي مثال PandaLabs، لابراتوارهاي رديابي و كشف كدهاي مخرب در شركت پاندا، در گزارش هاي جديد خود به اين نكته اشاره كرده است كه در برخي از روزها حتي تا 3000 كد مخرب جديدالانتشار را كشف و در بانك اطلاعات نرم افزارهاي مخرب ثبت نموده است. شك نكنيد كه حداقل 80 درصد از اين ويروس ها، كدهاي بي مصرف و بي آزاري هستند كه تنها هدف آن ها سردرگم كردن شركت هاي امنيتي و نيز مشغول نگاه داشتن آن ها به رديابي ويروس هاي ساده و در پشت پرده فراهم آوردن شرايط مناسب براي انتشار كدهاي مخرب هدفدار و قدرتمند است.
پس دور از انتظار نيست كه در آينده اي بسيار نزديك، ابزار سنتي ضد ويروس، قدرت مؤثر خود را از دست بدهند. بايد اعتراف كرد كه آينده اي در كار نيست؛ همين حالا راهكارهاي ضد ويروس بايد آماده يك پوست اندازي كامل باشند تا بتوانند اقتدار نسبي شركت هاي امنيتي را در دنياي IT حفظ كنند.
به همين منظور، شايد افزودن يك لايه امنيتي مكمل با فن آوري هاي پيشرفته و يا استفاده از روش هاي هوشمند در تشخيص ويروس هاي مخرب و ... ايده هاي خوبي باشند...
2. تقريباً همه كارشناسان امنيتي عقيده دارند كه اكنون مؤثرترين ابزار دفاعي در رايانه ها، بهره گيري از روش هاي پيشگيرانه (Proactive) است. در اين روش رفتار خاص كدها و نرم افزارهاي فعال درموقعيت هاي مختلف، مهمترين عامل شناسايي و تفكيك كدهاي مخرب و مشكوك از كدهاي امن و مفيد است. در اين حالت نياز چنداني به استفاده از پايگاه هاي اطلاعات امنيتي ثبت شده و مشخصات ويروس هاي قديمي تر (البته تا حدي) نيست.
3. راهكار مؤثر ديگر استفاده از يك ابزار مكمل امنيتي در كنار نرم افزارهاي حفاظتي نصب شده در سيستم (يا به عبارتي در كنار همان راهكارهاي سنتي حفاظت از اطلاعات) براي ترميم نقاط ضعف آنهاست. يكي از اين سيستم هاي پيشرفته براي رديابي و كشف ويروس هاي ثبت نشده با نام TruPrevent™، ابزار قدرتمندي براي پيشگيري از نفوذهاي غيرمجاز و نيز افزايش توان بازدارندگي سيستم امنيتي نصب شده در رايانه است.
با توجه به حجم عظيم توليد و انتشار كدهاي مخرب در شبكه جهاني وب، بديهي و منطقي ست كه اغلب شركت هاي امنيتي نتوانند در رديابي، كشف و توليد كد ضد ويروس همه بدافزارهاي پراكنده در اينترنت، موفق باشند. بنابر اين مي توان تصور كرد كه شركت هاي مختلف قادرند به نحوي همپوشاني امنيتي داشته باشند و با همكاري يكديگر و بهره گيري از كمك كاربران، تهديدهاي رايانه اي را به نحو مؤثري كنترل كنند؛ به اين ترتيب حداقل كاري كه مي توان كرد، استفاده از ابزار مكملي ست كه بيشترين سطح و بالاترين نرخ رديابي،كشف و پاكسازي كدهاي مخرب را در اختيار داشته و به محيط داخلي سيستم عامل وابسته نباشد. به عنوان نمونه اي از اين ابزار مكمل نيز مي توان به برنامه مشهور ActiveScan اشاره نمود كه از طريق پايگاه امنيتي www.infectedornot.com قابل دسترسي ست.
4. به هيچ وجه هرزنامه هاي موجود در صندوق پستي خود را جدي نگيريد و به آن ها اعتماد نكنيد؛ هرچند اگر بسيار جذاب و قابل توجه جلوه كنند.
هرزنامه هايي كه از طرف فرستنده ها يا منابع كاملاً نامشخص و مبهم ارسال مي شوند، ريسك تخريبي بسيار بالاتري دارند. در خصوص هرزنامه هاي مربوط به تجارت يا خريد و فروش الكترونيك نيز بايد گفت كه اغلب آن ها از منابع مطمئن و امن ارسال نمي شوند و به احتمال قوي ممكن است تنها، ابزاري براي فريبكاري خرابكاران و نيز سرقت اطلاعات حساس و ارزشمند شما باشند.
هرزنامه ها سهم مهمي در اجراي حملات Phishing (ابزار كلاهبرداري آنلاين) دارند. Phishing، تكنيك بسيار حرفه ايست كه اغلب كاربران غيرحرفه اي خدمات آنلاين را هدف مي گيرد. خرابكاران با استفاده از اين روش پيغام ها و صفحات به ظاهر امن و غيرواقعي را براي كاربر نمايش مي دهند و وي را به ارسال اطلاعات محرمانه و بسيار حساس تحريك مي كنند. اين صفحات ممكن است شامل يك اطلاعيه و يا اعلام مشكل فني از طرف بانك و يا سيستم پرداخت آنلاين باشد.
طبق بررسي هاي انجام شده توسط مراكز امنيتي معتبر، تعداد كلاهبرداري هايي كه فقط از طريق حملات Phishing انجام مي شوند، ساليانه 10 الي 20 درصد رشد را نشان مي هد كه اين ميزان شامل موارد نامحسوس و كشف نشده نمي باشد.
مهمترين چيزي كه از يك كاربر خدمات بانكي آنلاين و يا يك خريد و فروش كننده اينترنتي انتظار مي رود اين است كه بداند هيچ مؤسسه مالي و يا هيچ بانكي با او در خصوص دريافت و يا تأييد اطلاعات فوق محرمانه و شخصي وي مكاتبه نمي كند. در هر حال اگر باز هم گمان مي كنيد كه نامه مورد نظر شما كه اطلاعات محرمانه تان را درخواست كرده، از طرف بانك يا بخش فروش يك سازمان بزرگ تجاري براي شما ارسال شده است، قبل از انجام هركاري در صفحه مقابل خود، با بخش ارسال كننده نامه شخصاً تماس بگيريد و در خصوص صحت و امنيت نامه مورد نظر، اطمينان حاصل كنيد. در خاطر داشته باشيد كه در خصوص داده هاي حساس و ارزشمند هيچ گونه سهل انگاري پذيرفته نيست.
علاوه بر اين، لينك هاي موجود در هرزنامه ها نيز مي توانند بسيار خطرناك باشند؛زيرا قادرند براحتي شما را به صفحات مخرب و غيرواقعي در وب هدايت كنند كه هدف آن ها ايجاد تخريب و اختلال در سيستم و نيز دسترسي غيرقانوني به اطلاعات و داده هاي مهم شماست. بنابر اين به شما توصيه مي شود كه به جاي كليك بر روي هر لينكي، آدرس آن را به طور مستقيم در نوار آدرس مرورگر خود تايپ كرده و كليد جستجو را فشار دهيد.
اگر "حتي فقط يكبار" قصد تجربه لذت بخش خريد الكترونيك و يا انجام فعاليت هاي بانكي آنلاين را داريد، موارد زير را فراموش نكنيد:
- قبل از انجام خريد از فروشگاه هاي آنلاين و يا از طريق پايگاه هاي الكترونيك، و نيز دريافت هرگونه خدمات اينترنتي، يكي از بهترين تدابير امنيتي، اطمينان از قانوني بودن، ميزان شهرت و سطح اعتبار اين مركز مالي تجاري ست. يك جستجوي ساده در اينترنت، شايد راهنماي خوبي در اين زمينه باشد.
- سيستم هاي رايانه اي خود را همواره به روز نگاه داريد...
سيستم هاي عامل و نيز بسياري از برنامه هاي كاربردي نصب شده در رايانه شما يقيناً داراي نقص ها و حفره هاي امنيتي بي شماري هستند كه مي توانند توسط خرابكاران اينترنتي براي نفوذهاي نامحسوس و انجام فعاليت هاي غيرقانوني مورد استفاده قرار بگيرند. تنها يك اشكال كوچك امنيتي در برنامه هاي به ظاهر ساده و پركاربرد مانند Media Player، Yahoo Messenger و يا ACDSee، نقش خود را به نحو احسن ايفا مي كند.
- هيچ گاه فايل ها و نرم افزارهاي نامطمئن را داونلود و اجرا نكنيد؛ به خصوص اگر آن ها در منابع و پايگاه هاي اينترنتي نامشخص و بي نام و نشان وجود داشته باشند. اين فايل ها مي توانند ضميمه نامه هاي الكترونيك و يا برگرفته از صفحات اينترنتي مشكوك باشند.. به خاطر داشته باشيد كه احتمال آلوده بودن اين فايل ها آنقدر زياد است كه با اجراي آن، بطور مستقيم كدهاي مخرب را در رايانه خود نصب مي كنيد.
- هيچ گاه قبل از اطمينان كامل از شرايط امنيتي موجود، اقدام به پرداخت و يا نقل و انتقال پول نكنيد (درست به همان گونه كه معاملات حضوري و فيزيكي را انجام مي دهيد). به خاطر داشته باشيد كه احتمال كلاهبرداري و فعاليت غيرقانوني در اينترنت هميشه بيش از آن است كه فكر مي كنيد. شما نخستين فردي نيستيد كه شايد در ازاي سفارش آخرين و مدرن ترين نسل تلفن هاي همراه، جعبه اي پر از سنگ و ماسه دريافت كرده باشد!!
- امروزه انجام مزايده هاي آنلاين در اينترنت به طور چشمگيري رواج يافته است. قبل از آغاز پيشنهاد قيمت و شروع مزايده، از شخصيت حقيقي و حقوقي مسئول مزايده اطلاع كامل پيدا كنيد و فريب تكنيك هاي حرفه اي فروش وي را نخوريد.
- هيچ گاه اطلاعات حساس و محرمانه خود را از طريق نامه هاي الكترونيك ارسال نكنيد. كاربران عادي و حتي برخي از كاربران حرفه اي اينترنت گمان مي كنند كه اين روش بسيار امن تر از پركردن فرم هاي الكترونيكي ست. اما متآسفانه اين حقيقت ندارد. نامه هاي الكترونيك از لحاظ امنيتي بسيار آسيب پذيرند.
- از تيزهوشي و حس شكاك خود بهره بگيريد. ظاهر و ساختار يك صفحه وب اغلب مي تواند نشان دهنده غيرواقعي بودن و يا امن نبودن آن باشد. به خاطر داشته باشيد كه در بسياري از موارد خرابكاران اينترنتي صفحات موقتي در اينترنت ايجاد مي كنند كه تنها كاربرد آن ها، كلاهبرداري از كاربران اينترنت است.
و... در نهايت اين عبارت را از دايره باورهاي خود حذف كنيد كه "من به هيچ وجه در معرض خطر نيستم، چرا كه من تنها يك كاربر معمولي و عادي اينترنت هستم." به ياد داشته باشيد كه اين همان چيزي ست كه مجرمان از شما انتظار دارند. يك خرابكار اينترنتي تنها با اعداد، ارقام و شماره هاي IP شما سروكار دارند و نه با شخصيت، شغل، ميزان درآمد و يا سطح دسترسي شما به اينترنت...
به اميد درك و بينش صحيح كاربران اينترنت در استفاده امن از خدمات الكترونيك ...
منبع:http://www.pandasecurity.ir
ارسال توسط کاربر محترم سایت :hasantaleb
/ج
مقالات مرتبط
تازه های مقالات
ارسال نظر
در ارسال نظر شما خطایی رخ داده است
کاربر گرامی، ضمن تشکر از شما نظر شما با موفقیت ثبت گردید. و پس از تائید در فهرست نظرات نمایش داده می شود
نام :
ایمیل :
نظرات کاربران
{{Fullname}} {{Creationdate}}
{{Body}}