ایتنا- سرقت هویت افراد در جامعه مجازی، در واقع یک کلاهبرداری مرسوم است.
سه شنبه ۱۶ ارديبهشت ۱۳۹۳ ساعت ۱۷:۰۶
امنیت داراییهای دیجیتال
سیدمحمدرضا موسوی پور
در شمارههای قبل موضوعی با عنوان «شگفتی عصر اطلاعات و یک خبر ناخوشایند» ارائه کردیم و در لابهلای مطالب، مفهومی بهنام داراییهای دیجیتال را بیان نمودیم. بحث و گفتوگوی مجازی با یکی از خوانندگان عزیز در خصوص این مفهوم دستمایهای شد تا بیشتر آن را کنکاش نماییم.
داراییهای دیجیتال از آنجا مورد توجه قرار گرفت که انسان امکان تبدیل داشتهها و دانستهها را به دادههای صفر و یک ایجاد نمود و تا امروز روند تبدیل داراییهای فیزیکی ما به سرمایههای دیجیتالی همچنان ادامه دارد و در همه جا میتوان آنها را مشاهده نمود.
پول الکترونیک، مالکیت معنوی، اسناد، لپتاپ، تلفن همراه، پست الکترونیک، دستنوشتههای بهادار، صفحات وب و حتی این چند سطر پیش رو، همگی از داراییهای دیجیتال قلمداد میشوند. این داشتههای دیجیتال از آنجا نشأت میگیرد که در کنار جامعه انسانی، اجتماعی شکل گرفت که به جامعه دیجیتال موسوم گردید.
جامعه دیجیتالی، اجتماعی پیشرو و مدرن است که در نتیجه اتخاذ یک سلسله قوانین و سیاستها و نیز یکپارچهسازی و تطبیق فنآوریهای اطلاعات و ارتباطات در منزل، محل کار، امور آموزش و بخش تفریح و سرگرمی شکل گرفته است. ویژگیهای متعددی وجود دارند که جامعه دیجیتال را متفاوت از جامعه عادی ما میسازد.
این ویژگیها به شرح زیر است:
جامعه دیجیتالی از بیتها و بایتها ساخته شده است. ایجاد اشیاء در این جامعه بسیار سادهتر از جامعه عادی است.
زمانی که یک شی در جامعه دیجیتال به سرقت میرود، بدان معنی است که به سادگی یک نسخه از آن ایجاد شده است و حتی پس از این سرقت، نمونه اصلی میتواند دستنخورده باقی بماند. این موضوع کمتر در حالت معمول به وجود میآید. بنابراین سرقت داراییها در این جامعه نیازمند تعریف قوانین قضایی متفاوتی است. امروزه این مفهوم منجر به تعریف جرائمی گشته است که آنرا جرائم سایبری یا مجازی مینامند.
در جامعه دیجیتال، سرقت و حملات تکراری ارزانتر و آسانتر از جامعه عادی است و ما بسیار به ندرت از جهت منابع محدود میشویم. اما در جامعه عادی اینچنین نیست. حتی در جامعه دیجیتال، حملهای که امروز بهسختی انجام میگیرد، فردا به آسانی صورت میپذیرد.
ناشناس ماندن در جامعه دیجیتال بسیار ساده است. داستانهای بسیاری شنیدهایم از اینکه چگونه برخی از مردم هویت شخص دیگری را جعل میکنند. سرقت هویت افراد در این جامعه یک کلاهبرداری مرسوم است.
در جامعه دیجیتال هیچ محدودیتی در منابع وجود دارد. یک حمله میتواند بهراحتی در سراسر جهان تکرار گردد. درست برخلاف یک حمله فیزیکی که در آن جغرافیای حمله، فاصله و سلاحها همیشه محدود کنندهاند. این ویژگی سبب شده است تا امروزه دولتها سرمایهگذاریهای پنهان و پیدای بسیاری را در این زمینه انجام دهند. تشکیل ارتشهای سایبری نمونه بارز این رویکرد میباشد.
پشتیبانی از متنباز، شروع یک حرکت جدید در جامعه دیجیتال است و مفهوم مشخصی را در این فضای دیجیتالی به خود اختصاص داده است. این امر منجر به توسعه بسیاری از نرمافزارهای کاربردی مفید گردیده است.
هرچند یک دستاورد این حرکت آن است که به سادگی و بدون هزینه، مهمات برای حملاتی که ممکن است به آنها سلاحهای دیجیتالی گفته شود، فراهم شده است.
در جامعه اطلاعاتی و مخابراتی، همه دستگاههای ارتباطی به هم متصل هستند. خواه آنها رایانهها و تلفنهای همراه و یا تلفنهای دارای خط ثابت باشند. بنابراین ویروسها، کرمها و یا اسبهای تروآ بهسرعت در سراسر جهان میتوانند منتشر شوند. این موضوع میتواند در نتیجه یک بیماری همهگیر جهانی در دنیای دیجیتال باشد.
ورود یک اسب تروآ به یک سیستم رایانهای مساوی است با شریک شدن اختیار آن سیستم با فرد مهاجم.
امنیت دیجیتالی
از رایانهها در مدیریت بسیاری از امور، از حسابهای بانکی ما تا پروندههای پزشکی استفاده میشود. ما از کارتهای اعتباریمان بهنحوی مراقبت میکنیم که هیچکس نتواند آن را به سرقت ببرد.
بااینحال، با پیدایش تجارت الکترونیک، میتوان کالایی را بدون استفاده از کارت اعتباری، بهصورت غیرحضوری نیز خریداری نمود. امروزه یک تبهکار نیاز چندانی به دزدیدن کارت اعتباری ما ندارد.
بلکه تنها دانستن جزئیات کارت اعتباری برای او کافی خواهد بود. به همین دلیل ما نیاز داریم تا اطمینان حاصل کنیم که رایانهای که اطلاعات کارت اعتباری ما در آن ذخیره میشود، امن باشد.
رایانهها تمامی اطلاعات ما را مدیریت میکنند. از سرگرمیها تا اطلاعات محل کار و از حسابهای بانکی تا انواع گواهینامهها، همگی را میتوان بهوسیله رایانه نگهداری نمود. درصورتیکه ما قادر به تامین امنیت و حفاظت از رایانهمان نباشیم، آنها میتوانند به خطرناکترین دشمن ما تبدیل شوند.
داراییهای دیجیتال
در جامعه دیجیتال داراییهای مختلفی وجود دارند. این اموال میتوانند شخصی، عمومی و یا شرکتهای بزرگی باشند که به شکلهای مختلفی از دادهها، فایلها و برنامههای کاربردی وجود دارند.
نمونههایی از داراییهای شخصی، پستهای الکترونیک، اسناد، دفترچه آدرس، عکسهای دیجیتال و موسیقی دانلود شده از اینترنت و یا ذخیرهشده در یک رایانه، تلفن همراه و یا یک آیپاد باشد. امروزه اسناد مالکیت و حقوقی بهصورت دیجیتال در دفاتر وکالت و یا مکانهای دولتی ذخیره میشوند.
حتی ایمیل ارسالشده توسط یک مشتری کسبوکار نیز از داراییهای یک شرکت است. اسناد و مدارک، گزارش پروژههایی که به طور مرتب تهیه میشوند و مالکیت معنوی نیز نمونههایی از کسبوکار و یا داراییهای یک شرکت هستند.
اطلاعات حساب مشتریان، اطلاعات شغلی حساس و دیگر اطلاعات محرمانه نیز در رایانهها ذخیره میشوند. همه اینها انواع مختلفی از دارایی هستند و نیاز به محافظت دارند.
گرچه داراییهای دیجیتال نیز همچون داراییهای معمول، به نوعی از امنیت فیزیکی نیازمند هستند، اما روشهای امنیتی برای محافظت از اشیاء ملموس گرانبها مانند طلا و جواهر، با اشیاء دیجیتال مانند دادهها متفاوتاند. یک کارت اعتباری را بهعنوان نمونه در نظر بگیرید.
از حدود بیست سال پیش تاکنون، این کارتها برای خرید کالا بهصورت فیزیکی ارائهشدهاند. در حال حاضر ما میتوانیم از طریق اینترنت و بدون همراه داشتن این کارت فیزیکی اقدام به خرید کالا نماییم. برای این کار نیاز به دانستن شماره کارت، رمز عبور، تاریخ انقضا و کد امنیتی کارت داریم.
در مورد اشیاء ملموس میتوان گفت که آنها میتوانند در هر لحظه از زمان تنها در یک مکان حضور فیزیکی داشته باشند. بنابراین واضح است که وقتی یک جسم فیزیکی به سرقت میرود، دیگر در اختیار مالک قانونی خود نخواهد بود.
بااینحال، برای داراییهای دیجیتال موضوع به این شکل نیست.
شخصی میتواند داراییهای شما را به سرقت ببرد، هر چند شما هنوز هم آن را در اختیار داشته باشید.
مثالی را در نظر بگیرید. فرض کنید برای صرف شام به یک رستوران رفتهاید. پس از صرف شام برای پرداخت صورتحساب، کارت اعتباری خود را به پیشخدمت میدهید. او تمـام اطلاعات کارت اعتباری شما را از شما طلب کرده، صورتحساب را تسویه نموده و سپس کارت را به شما برمیگرداند.
در اینجا پیشخدمت به اینترنت رفته و با استفاده از یک سایت تجارت الکترونیک، کالایی را با استفاده از اطلاعات کارت شما خریداری میکند. در این مثال کارت اعتباری شما دزدیده شده است. هرچند هنوز هم آن را با خود به همراه دارید.
داراییهای ایستا
بسیاری از اموال دیجیتال در واقع ثابت بوده و اغلب در زمان انجام کسبوکار جابجایی چندانی ندارند. نمونههایی از این داراییها، اسناد طبقهبندیشده، حسابهای مالی شخصی، اسلایدهای ارائه و یا اسناد ذخیرهشده در رایانههای خانگی ما میباشد.
پایگاههای داده نیز میتوانند بهعنوان اموال ایستا دستهبندی شوند. این داراییها به طور کلی در رسانههای مغناطیسی ذخیره میشود. زمانی که آنها نیاز به جابجایی دارند، بر روی رسانههای مغناطیسی مانند نوار، لوح فشرده، درایوهای نیمههادی و یا دیسک سخت جابجا میشوند.
این وسایل در محفظههای قابللمس نگهداری میشوند. آنها میتوانند مورد سرقت قرارگرفته، به بیرون درز نموده و یا نابود شوند. بنابراین مشخص است که باید آنها را امن نگاه داشت. امنیت فیزیکی در مورد این نوع از سرمایهها کاملا موثر است.
این داراییها در مکانهای محافظتشدهای ذخیره میگردند که در آن هیچ کس از لحاظ فیزیکی نمیتواند بدون عبور از کنترلهای امنیتی به آن وارد شود. همچنین هیچ شیئی اجازه ترک این ناحیه دسترسی محدود را بدون انجام کنترلهای فیزیکی ندارد.
این داراییها باید به گونهای امن بمانند که حتی اگر آنها را از دست داده و یا به سرقت رفت، هیچ کس نتواند به دادهها دسترسی پیدا کند. از اینرو رمزیسازی اطلاعات جهت حفاظت اطلاعات با ارزش مورد استفاده قرار میگیرد.
داراییهای پویا
این داراییها متحرک هستند. آنها از یک مکان به مکان دیگر بهعنوان بخشی از فرآیند کسبوکار حرکت میکنند. هنگامی که شما وارد یک رایانه واقع در مکانی دیگر میشوید، نیاز است تا نام کاربری و رمز عبور را از طریق یک رایانه محلی به آن رایانه ارسال نمایید.
درصورتیکه قصد دارید تعدادی کالا، کتاب و یا بلیت تئاتر را از طریق اینترنت خریداری نمایید، باید آن را بهصورت یک دادوستد آنلاین پرداخت کنید. این اطلاعات از رایانه شما بهواسطه اینترنت به سرور شرکت ارائهدهنده کارت اعتباری، بانک و سپس بانک طرف حساب تجاری میرود.
هنگامی که یک ایمیل ارسال میکنید، این ایمیل از نقاط مختلف ناامنی گذر میکند. همه این داراییها را میتوان بهعنوان داراییهای پویا و در حال حملونقل طبقهبندی نمود.
این داراییها از یک موقعیت به موقعیت دیگر جابجا میشوند. بطوریکه با استفاده از ارتباطات دادهها و یا شبکههای مخابراتی، بهجای رسانههای مغناطیسی و بهکمک وسایل الکترونیک که بهجای وسایل فیزیکی بکار گرفته شدهاند، جابجایی اطلاعات انجام میشود.
اما این داراییها میتواند در حین انتقال به سرقت رفته و یا آسیب ببینند. برای دستبرد زدن به اینگونه از سرمایهها، دیدن پیام توسط مهاجم میتواند به تنهایی کافی باشد. گوشدادن و یا بوکشیدن اطلاعات امروزه نمونهای رایجی از حملات مهاجمان است.
بنابراین باتوجه به گستردگی بسیار وسیع شبکههای امروزی، برای محافظت از چنین داراییهایی، ایجاد امنیت در شبکههای رایانهای بسیار ضروری بوده و امروزه بخش مهمی از چرخه امنیت در جامعه دیجیتال مرتبط با شبکههای رایانهای میباشد.
تامین امنیت دارایی دیجیتال
شگردهای امنیتی برای داراییهای ایستا متفاوت از داراییهای پویا میباشند. رمزنگاری اطلاعات، امضای دیجیتال، کنترل دسترسی، استفاده از گواهی نفر سوم و انواع سازوکارهای احراز اصالت تنها بخشی از سازوکارهای ایمنی دادههای دیجیتال هستند.
بهعنوان مثال، هنگامی که ما اطلاعات مربوط به کارتهای اعتباری را از طریق اینترنت ارسال مینماییم، رمزگذاریِ جزئیات کارت، همراه با یک کد احراز اصالت پیام، ممکن است بهقدر کافی آن را از سرقت و یا آسیب محافظت نماید.
ما میتوانیم یک سند یا داده ایستا را با رمزی سازی در رایانهمان حفظ نماییم. بطوریکه سند رمزگذاری شده از سوءاستفاده ایمن بماند. بااینحال، یک ویروس ممکن است رایانه شما را آلوده نموده و باوجود آنکه تمامی فایلهای شما رمزگذاری شدهاند، همگی را پاک نماید.
بنابراین ویروس میتواند داراییتان را نابود نماید. از اینرو علاوه بر رمزگذاری شما نیاز به عملیات پشتیبانگیری در مکان مناسبی دارید.
از سویی دیگر سیستمهای امن بکار گرفتهشده به برنامههای امنی نیاز دارند که علاوه بر توانایی حفاظت از داراییهای دیجیتال، قادر به محافظت از خود نیز باشند. این موضوع بهواسطه برنامهنویسی ایمن قابل دستیابی است. بطور نمونه برنامهنویسی و طراحی هسته سیستمهای ایمن باید تا حد امکان کوچک و ساده باشند.
چرا که طراحیهای پیچیده حفرههای بیشتری نیز به دنبال خواهد داشت. بطورکلی لازم است تا استانداردهای امنیتی پیش از طراحی نرم افزار بررسی گردند و آنها را به بعد واگذار ننمود. توجه به استانداردهای كدنویسی و عبور نکردن از کدهای خطای هرچند ساده، یک اصل مهم در برنامهنویسی سیستمهای امن میباشد است.
نکته دیگر لزوم امنیت پایگاه داده است. چرا که داده اساس داراییها در رایانه است و این داراییها اغلب در پایگاههای داده ذخیره میشوند. از اینرو امنیت پایگاه داده بعنوان موضوعی تخصصی در عرصه امنیت اطلاعات مورد توجه بوده و درحالیکه شبکهها به منظور دسترسی گستردهتر، بازتر میشوند، بر اهمیت امنیت پایگاه داده نیز افزوده میشود.
اقدامات امنیتی نظیر دیوارههای آتش، سیستمهای تشخیص نفوذ و کنترل دسترسی در پایگاه داده از بحثهای همیشگی دنیای دیجیتال بوده است که بخش وسیعی از سرمایههای دیجیتالی را ایمن میسازد. اما ساخت یک سیستم امن نیز به تنهایی کافی نیست. بلکه محیطی که سیستم در آن قرار میگیرد نیز میبایست امن شود.
بنابراین انجام ارزیابیهای لازم و آگاه شدن از تهدیدات فیزیکی احتمالی که سیستم و رایانهای شما را تهدید میکند نیز قابل توجه است. در دیدگاه کلان استفاده از استانداردهای تدوین شده، ایجاد فهرست کنترلی و نیز بازبینی دورهای این دستورالعملها در بهبود شرایط امنیتی کاملا موثر است. درنهایت هدف از امنیت فیزیکی، جلوگيري از دسترسی غيرمجاز فيزيكی، تخريب و سركشی بدون اجازه به داراییهای دیجیتال میباشد.
جمـع بندی
مردمانی در دنیای شبکهای ما وجود دارند که برای ساخت سیستمهایی با اهداف گوناگون تجاری و اجتماعی در تلاش هستند و برخی نیز بهقصد سرگرمی و یا سودجویی و کسب منفعت سعی در شکستن و اختلال در این سیستمها دارند.
ساخت سیستمهای نرمافزاری امن و ساختارهای ایمن جهت حفاظت از داراییهای دیجیتال یک چالش مهم برای مدیران، برنامهنویسان و توسعهدهندگان این صنعت بوجود آورده است و روزانه با افزایش نرخ تبدیل داراییهای معمول ما به دیجیتال و نیز تولید روزافزون آن، بر اهمیت آن به شدت افزوده میشود.
پیش از آن باید بدانیم، چه چیزی را و به چه دلیل باید امن نماییم و یا از چه کسی و سرانجام چگونه آن را باید ایمن نگاه داریم. بنابراین باید امنیت را بهعنوان یک مفهوم کل درک و توجه نمود.
به طور کلی روزانه راهکارهای مختلفی جهت امنیت در سطوح مختلف برای استفاده از اینترنت و محافظت از داراییهای دیجیتال ارائه میگردد. بااینوجود همواره شاهد بروز ضعفها و نقاط آسیبپذیر متعددی در سایتها، رایانهها، بانکهای اطلاعاتی و حتی کاربران هستیم.
اما آنچه روشن است این است که هرچه دانش بیشتری از فضای موجود و نیز آنچه در اختیار داریم، داشته باشیم، ضریب امنیت افزایش یافته و میزان خطرپذیری ما کاهش مییابد. به یاد داشته باشیم که امنیت با افزایش دانش و البته صرف هزینه و زمان میسر میگردد و هرگاه در ورطه بیتوجهی و روزمرگی قرار گیرد، ناخودآگاه خود را آماده آسیبپذیری مهاجمان نمودهایم.
این چند کلمه پایانی از کلیلهودمنه، به بیانی زیبا آنچه را که در پی آن بودیم به خوبی بیان میکند:
درکار خصم خفته نباشی بههیچحال
زیـرا چـراغِ دزد بُـود خواب پاسبـان
کد مطلب: 30429
