آيا داده‌هاي شما رمزنگاري شده است؟(قسمت دوم)

استيون الفنت، مدير ارشد اجرايي در شركت Heartland Payment Systems، به امنيت از طريق نرم‌افزار اعتقادي ندارد. او مي‌گويد: «هيچ چيزي به نام نرم‌افزار كاملاً امن وجود ندارد و احتمالاً هيچ وقت چنين چيزي وجود نخواهد داشت.»
سه‌شنبه، 19 مهر 1390
تخمین زمان مطالعه:
موارد بیشتر برای شما
آيا داده‌هاي شما رمزنگاري شده است؟(قسمت دوم)

آيا داده‌هاي شما رمزنگاري شده است؟(قسمت دوم)
آيا داده‌هاي شما رمزنگاري شده است؟(قسمت دوم)


 





 
استيون الفنت، مدير ارشد اجرايي در شركت Heartland Payment Systems، به امنيت از طريق نرم‌افزار اعتقادي ندارد. او مي‌گويد: «هيچ چيزي به نام نرم‌افزار كاملاً امن وجود ندارد و احتمالاً هيچ وقت چنين چيزي وجود نخواهد داشت.»
الفنت با اين مسئله به دشواري كنار مي‌آيد و مشكل تعداد جرائم كامپيوتري را كه در آن تبهكاران سعي در دسترسي به داده‌هاي مالي ارزشمند دارند، بهترين مصداق براي طرز فكر خود مي‌داند. او در ماه ژانويه به گروه هارتلند كه يكي از بزرگ‌ترين سيستم‌هاي پردازش مالي در امريكا است، پيوست. اين شركت در همان ماه گزارش داد كه داده‌هاي اين شركت ماه‌ها توسط بدافزارهاي سرقت داده مورد سوء استفاده قرار مي‌گرفت. هرچند تعداد دقيق ركوردهايي كه اطلاعات آن‌ها افشا شده‌است، اعلام نمي‌شود، اما با توجه به آن‌كه هارتلند در هر ماه صد ميليون تراكنش را كه مربوط به بيش از 250هزار كسب‌وكار مختلف مي‌شود، پردازش مي‌كند، در نتيجه به احتمال زياد اين نفوذ و افشاي اطلاعات بزرگ‌ترين مورد در تاريخ خواهد بود.
شركت هارتلند به واسطه اين مشكل، بيش از سه‌چهارم سرمايه‌گذاري خود را در بازار، يعني پانصد ميليون دلار از دست داد. بعد از پشت سر گذاشتن اين ماجرا هارتلند در حال حاضر به دنبال رعايت بسياري از اصول امنيتي است و در اين راه بيش از هر چيزي بر استفاده از رمزنگاري تأكيد دارد.
برنامه اصلي شركت، استفاده تركيبي از نرم‌افزار و سخت‌افزار براي پياده‌سازي رمزنگاري در دو انتهاي خطوط ارتباطي است تا به اين ترتيب بتواند داده‌هاي مالي را در هر پنج منطقه مرتبط با مبادله اطلاعات محافظت كند، مناطقي كه از ترمينال دارندگان تجهيزات پردازش كارت‌هاي اعتباري آغاز مي‌شود،‌ وارد شبكه پردازش و احراز هويت پرداخت شده، سپس به واحد پردازش مركزي يا واحد امنيتي ميزبان وارد مي‌شود. در مرحله بعد، وارد يك ابزار دسترسي مستقيم به رسانه ذخيره‌سازي مي‌شود و درنهايت به سيستم صدور مجوز در سمت ميزبان صادركننده كارت مي‌رسد. ايده محافظت از داده‌هاي كارت‌هاي اعتباري كاملاً واضح است، زيرا ارزش اين كار به واسطه تلاش‌هاي مجرمانه براي سرقت داده‌هاي اين نوع كارت‌ها، كاملاً مشخص شده‌است. اما صنعت پردازش و ثبت تراكنش‌هاي مالي بيشتر از آن‌كه روي امنيت تمركز كند، روي شبكه و ارتباطات تمركز داشته‌است. الفنت مي‌گويد: «اين صنعت ماهيتاً در جهتي پيش مي‌رود كه ارتباطات دائمي بين تجهيزات برقرار باشد و شركت‌هاي مختلف در ايجاد ارتباطات دائم بين همه تجهيزات مرتبط با اين صنعت، عملكرد بسيار خوبي داشته‌اند.» در حال حاضر، اين رويكرد تغيير كرده و بيشتر تمركز سازمان‌ها روي ارتقاي امنيت سيستم‌ها متمركز شده‌است، زيرا هر روز بيشتر مشخص مي‌شود كه راهكارهاي قديمي پاسخ‌گو نيستند. اويوا ليتان معاون ارشد واحد تحقيقات مؤسسه گارتنر مي‌گويد: «مجرمان تلاش دارند تا به داده‌هاي در حال تبادل در سطح شبكه نفوذ كنند و هيچ يك از كنترل‌ها، عملكرد قابل‌قبول ندارند.»
کرگ تيکن، معاون ارشد مديريت بخش عمده فروشي در بزرگ‌ترين شركت پردازش پرداخت‌هاي مالي با نام First Data مي‌گويد: «رمزنگاري بين لايه مبدأ و مقصد به دليل هزينه بالا سال‌ها است كه در بسياري از كاربردهاي قابل تصور براي آن استفاده نمي‌شود. زيرساخت شبكه‌هاي مبادله تراكنش‌هاي مالي، تركيبي از تجهيزات جديد و سخت‌افزارهايي است كه سال‌ها قدمت دارند و در نتيجه نمي‌توانند فناوري رمزنگاري پيچيده را كه امروزه در اختيار داريم، عملياتي كنند.» او ادامه مي‌دهد: «مجبور كردن يك شركت عمده براي جايگزين‌كردن سخت‌افزارهاي خود مي‌تواند نتايج ناخوشايندي ايجاد كند.» اما در اين فرآيند با مانع ديگري نيز روبه‌رو هستيم. شركت‌هاي توليد كننده كارت‌هاي هوشمند نظير ويزا و مسترکارت نيز به اجباري شدن رمزنگاري و مبادله داده‌ها بين دو سر مسير ارتباطي به صورت رمزشده تمايلي ندارند. گروه PCI تدوين كننده استاندارد براي صادركنندگان كارت‌هاي هوشمند، با وضع استانداردهايي، مبادله داده رمزشده را در سطح شبكه‌هاي عمومي اجباري كرده‌است. اما براي تبادل داده در سطح شبكه‌هاي خصوصي شامل پايانه‌هاي فروش و زنجيره پرداخت، شامل پردازنده تراكنش‌هاي مالي و صادركننده كارت، هيچ اجباري براي رمزنگاري كردن داده‌ها وجود ندارد. تغيير اين روش و مبادله داده به صورت رمزنگاري شده در بين ترمينال‌هاي مبدأ و مقصد حتي در شبكه‌هاي خصوصي بين پايانه فروش و پردازنده و صادر‌كننده كارت به گفته ليتان، به تحولات اساسي در زيرساختار ارتباطي شبكه‌هاي تبادل تراكنش‌هاي مالي، نيازمند است.
اما افشاي داده از شبكه خصوصي TJX در سال 2006 و حادثه مشابه در سال گذشته براي شركت هارتلند، باعث شده تا اين صنعت به مبادله داده به صورت رمزنگاري‌شده بين ترمينال‌هاي مبدأ و مقصد توجه بيشتري نشان دهد. اتفاقي كه براي TJX رخ داد، شامل سرقت شماره بيش از 45ميليون كارت‌اعتباري و نقدي از سيستم‌هاي IT بود كه به 118 ميليون دلار ضرر در سال 2007 منجر شد. بعدها مشخص شد كه يك گروه خرابکار بين‌المللي بيشتر سرقت‌هاي اطلاعاتي كارت‌هاي اعتباري را رهبري مي‌كند كه نفوذ به TJX از جمله آن‌ها بوده‌است. آلبرتو گنزالس، سردسته امريکايي اين گروه، در سپتامبر امسال براي بيست مورد جرم فدرال مقصر شناخته‌شد.
رمزنگاري لازمه كسب‌وكار هوشمند است
براي هارتلند استفاده از فناوري روشي است تا به كمك آن بتواند از يك وضعيت كنوني خود رهايي يافته و فرصت‌هاي جديد را در بازار به دست آورد. به گفته ليتان شركت هارتلند ما سعي مي‌كنيم تا به مشتريان خود و به دنيا ثابت كنيم كه در باره مسئله امنيت جدي هستيم و در مقايسه با ساير شركت‌هاي فعال، شرايط رقابتي بهتري را ايجاد خواهيم كرد.
براي شركت Verifone كه ترمينال‌هاي ايجاد تراكنش مالي توليد مي‌كند، اين رقابت به ايجاد حق اختراع (patent) و اقامه دعواي قانوني در مورد آن منجرشده‌است. Verifone ادعا مي‌كند، ترمينال نسل چهارم شركت هارتلند با نام E3 حق اختراع اين شرکت را كه در سال 2005 ثبت‌شده‌بود، نقض‌مي‌كند. هارتلند نيز با يك دادخواست متقابل، به اين مسئله پاسخ داد و Verifone را متهم به «ادعاي غلط و تلاش غيراخلاقي براي ترساندن مشتريان» كرد.
اين رقابت همچنين در همكاري جديد بين First Data و سيستم RSA Security شركت EMC نيز مشاهده مي‌شود. در ماه سپتامبر 2009، اين دو شركت اعلام كردند آن‌ها در حال همكاري براي ارائه سرويسي به نام First Data Secure Transaction Management هستند كه امكان رمزنگاري در ترمينال‌هاي مبدأ و مقصد و استفاده از توكن را فراهم مي‌كند. اين فرآيند داده‌هاي حساس روي كارت را با شماره‌هاي ارجاع توكن جايگزين مي‌كند كه مي‌توان آن‌ها را با امنيت بالايي نگهداري كرد، زيرا اين توكن‌ها براي سارقان هيچ ارزشي ندارد. راب مک‌ميلان مدير بخش توسعه برنامه‌هاي شركت RSA مي‌گويد: «مهم است كه شركت‌هاي ارائه دهنده خدمات كارت هوشمند بتوانند داده‌ها را با امنيت بالايي مبادله كنند، اما فرآيندهاي بعد از صدور مجوز نيازي به نگهداري داده‌هاي كارت در محيط خود ندارند.»
استفاده از توكن به شركت‌هاي ارائه‌دهنده خدمات مبتني بر كارت‌هاي هوشمند اجازه مي‌دهد تا تحليل‌هاي لازم را روي اطلاعات فروش انجام دهند، بدون آن‌كه خطر نگهداري اطلاعات محرمانه مربوط به شماره كارت را بپذيرند. گرچه اين شركت‌ها روزبه‌روز بيشتر به شركت‌هاي توليدكننده فناوري‌هاي امنيتي وابسته مي‌شوند، اما تيکن مي‌گويد: «قرارداد شركت First Data داده‌هاي رمزنگاري‌نشده را در هر زمان كه خواسته شود به شركت‌هاي عمده طرف قرارداد عرضه مي‌كند و آن‌ها مي‌توانند هر زمان كه اراده كنند، كسب‌وكار خود را در هر جاي ديگر كه بخواهند ادامه دهند.»
مک‌ميلان مي‌گويد: «رمزنگاري پيوسته يا رمزنگاري داده بين ترمينال‌هاي مبدأ و مقصد، تعهدي است كه خيلي قبل از اين‌ها بايد عملي مي‌شد. بيشتر شركت‌هاي عمده يا در حال ارائه راهكارهايي در اين زمينه هستند يا در آستانه ارائه اولين نمونه‌هاي عملي هستند.» بنابراين، به زودي همگي ما مي‌توانيم با خيال راحت نظاره‌گر باشيم و بدانيم كه كلاهبردارها ديگر نمي‌توانند داده‌ها را به سرقت برند. بسياري از فروشندگان خرد و كساني كه از كارت‌هاي اعتباري استفاده مي‌كنند، به احتمال زياد اين موضوع را دنبال نمي‌كنند و اهميتي براي آن‌ها ندارد. ليتان مي‌گويد: «اين كار هزينه بالايي دارد و درنهايت نيز نتيجه‌اي ايجاد نمي‌كند كه بتوان كاملاً به آن اطمينان كرد.» او مثالي را مطرح كرد كه در آن يك خرده‌فروش مكانيزم رمزنگاري انتها به انتها را پياده‌سازي كرد و يك متخصص توانست فقط به واسطه پيدا كردن كليد رمزنگاري كه از آن محافظت نشده‌بود، كل تمهيدات اتخاذشده را بي‌اثر كند. او همچنين موردي را مطرح كرد كه يك شركت مطرح پياده‌سازي رمزنگاري را پذيرفته بود، اما نتوانست هيچ دورنمايي از دوره بازگشت سرمايه (ROI) ارائه دهد.
داده‌هاي رمزنگاري شده هنوز حساس هستند. در يك كيفرخواست كه به تازگي عليه چهار نفر ارائه شده آن‌ها متهم شدند كه سال 2008 تلاش كردند تا سيستم RBS WorldPay را هك كنند. دو نفر از اعضاي اين گروه توانسته‌بودند روشي پيدا كنند كه همدستان آن‌ها با استفاده از آن روش مي‌توانستند اطلاعات و شماره‌هاي شناسايي و هويتي را به روش مهندسي معكوس از روي داده‌هاي رمزنگاري شده در شبكه كامپيوترهاي RBS WorldPay استخراج كنند. البته ليتان شك دارد كه بتوان داده رمزنگاري شده را رمزگشايي كرد و حدس مي‌زند كه همدستان آن‌ها در يك سناريوي مشابه با در اختيار گرفتن اختيارات و مزاياي ويژه در تجهيزات سخت‌افزاري امنيتي شركت RBS WorldPay توانستند از سد رمزنگاري عبور كنند.
ليتان مي‌گويد: «در حالي‌كه شركت‌هاي پردازش تراكنش‌هاي‌مالي به دنبال امنيت بيشتر هستند، اما شركت‌هاي توليدكننده كارت هنوز به دنبال استاندارد مشتركي هستند كه در سراسر زنجيره ترمينال‌هاي آن‌ها قابل پياده‌سازي باشد. البته هيچ عجله‌اي در اين مورد مشاهده نمي‌شود، به جز شركت‌هاي پردازش اطلاعات كارت كه به اين ترتيب مي‌توانند امکان ارائه يك امكان رقابتي مهم را در اختيار داشته‌باشند.
منبع:http://www.shabakeh-mag.com
ارسال توسط کاربر محترم سایت : hasantaleb




 



ارسال نظر
با تشکر، نظر شما پس از بررسی و تایید در سایت قرار خواهد گرفت.
متاسفانه در برقراری ارتباط خطایی رخ داده. لطفاً دوباره تلاش کنید.
مقالات مرتبط