امسال (۲۰۱۴) هکرها به سيستم‌هاي فروشگاه‌ها نفوذ کردند. چه بايد کرد؟ سال بسيار بدي براي سلامت کامپيوترها بود. سارقان سايبري شماره‌ي کارت اعتباري 56 ميليون مشتري را از فروشگاه Home Depot دزديدند. اين تعداد بسيار بيشتر از 40 ميليون سرقت مشابهي است که در سال 2013 از فروشگاه Target  انجام شد.

76 ميليون حساب بانکي در JPMorgan Chase در معرض خطر واقع شدند. باگ Heartbleed يک حفره‌ي بزرگ در نرم‌افزار حفاظت داده‌اي که به طور گسترده استفاده مي‌شد ايجاد کرد و باگ Bash بدافزارهايي را وارد ميليون‌ها رايانه کرد. يک باند اينترنت روسي با حدود يک ميليارد آدرس پست الکترونيکي و رمز عبور و بيش از نيم ميليون وبگاه نيز در معرض حمله قرار گرفت.

چه اتفاقي در حال رخ دادن است و ما چه مي‌توانيم بکنيم؟ مجله‌ي ديسکاور (discover) با يوگن اسپافورد (Eugene Spafford) متخصص با سابقه‌ي امنيت رايانه و مدير مرکز آموزش و تحقيق امنيت و اطمينان رايانه‌ها (CERIAS) در دانشگاه پوردو گفت‌و‌گويي را ترتيب داده‌است:

 
با توجه به اتفاق‌هاي اخير، شما از شرايط امنيت سايبري چه برداشتي داريد؟
ايجاد شکاف در سيستم‌هاي Home Depot و Target نمونه‌هايي هستند که به ما نشان مي‌دهند زيرساخت‌هاي تجاري تا چه حد آسيب پذير هستند. هرچه خرابکاران سايبري روش‌هاي خود را پيشرفته‌تر مي‌کنند، مي‌توانند به سيستم‌هاي جديدتر و پيچيده‌تري نفوذ کنند. انتخاب اهداف آن‌ها بر اساس رقابت‌هاي روشنفکرانه نيست، بلکه مي‌خواهند ببينند هر هدف چه چيزي را به آن‌ها ارائه مي‌دهد. سرقت ميليون‌ها تراکنش کارت اعتباري باعث مي‌شود که دسترسي به حجم وسيعي از اطلاعات ديگر ميسر شود و اين داده‌ها به خرابکاران ديگري فروخته شود. سرقت‌هاي اطلاعات پزشکي، برنامه‌هاي طراحي و تجارت و اطلاعات مالي رو به افزايش است و هنوز گام‌هاي لازم براي جلوگيري از اين سرقت‌ها برداشته نشده‌است.

چند ماه طول کشيد تا وجود شکاف در سيستم‌هاي فروشگاه‌هاي Home Depot و Target تشخيص داده شود و بعد از گذشت چند ماه اين کمپاني‌ها ادعا کردند که اکنون نرم‌افزارشان تعمير شده و براي مشتريان امن است. آيا واقعاً مي‌توانيم به ادعاي اين شرکت‌ها اعتماد کنيم و امنيت کارت‌هاي اعتباري خود را به دست آن‌ها بسپاريم؟

صنعت نرم‌افزار سازوکاري براي براي مقابله با رخنه در برنامه‌ها ايجاد کرده که مي‌تواند نرم‌افزار را تعمير کند و در واقع نرم‌افزار قابليت بازسازي دارد. متأسفانه فرآيند کشف و بررسي هر حفره به زمان زيادي احتياج دارد. چندين سال طول کشيد تا باگ‌هاي Heartbleed و Shellshock شناسايي شوند. مثلاً باگ Shellshock حدود 25 سال فعال بود! همچنين بعضي از حفره‌ها قابل تعمير نيستند. در کنار هم چيدن اين عوامل به اين معني است که زيرساخت‌هاي ما به طور کلي آسيب پذير هستند و امکان وجود حفره‌هاي نرم‌افزاري در آينده هم قابل پيش‌بيني است.

نظرتان درباره‌ي سرقت رمزهاي عبور توسط خرابکاران روسي چيست؟
شناسايي و دستگيري افرادي که اقدام به سرقت رمزهاي عبور کردند به دليل مشکلات بررسي و پيگيري قانوني جرايم رايانه‌اي بعيد به نظر مي‌رسد. اما دسترسي به رمزهاي عبور به معني وجود نقاط ضعف اساسي در سيستم‌هاست که خرابکاران را قادر به بهره‌برداري کرده است. ايجاد حفره‌ي اطلاعاتي در Target،  جمع‌آوري رمزهاي عبور و ساير حوادثي که امسال رخ دادند، نشان مي‌دهند که يک عنصر خرابکار فني با استعداد که از لحاظ مالي به خوبي تأمين مي‌شود، فعالانه در حال حمله به سيستم‌هاي رايانه‌اي است، از کاربران خانگي گرفته تا شرکت‌هاي بزرگ.

اگر شما مسئول امنيت سايبري بوديد، چه راهکارهايي را توصيه مي‌کرديد؟

اين حوزه نياز به پژوهش‌هاي بنيادين دارد. ما بايد ببينيم چطور مي‌توانيم روش‌هاي ساخت و گسترش خود را تغيير دهيم، نه اينکه صرفاً نحوه‌ي تعمير نرم‌افزارها را بيابيم. همه ساله بودجه‌ي عظيمي‌ از طرف فدرال صرف اين مي‌شود که دريابيم چگونه بايد ويندوز را تعمير کنيم، چکونه بايد لينوکس را تعمير کنيم، چگونه مي‌توانيم رايانه‌ي امن‌تري داشته باشيم. اما اين پژوهش‌ها اساسي نيستند و به طور بنيادين کمکي به حل مشکلات موجود نمي‌کنند.  هم اکنون ما در حال استفاده از نرم‌افزارهايي هستيم که با هدف استفاده‌ي عمومي‌ و فروش انبوه ساخته مي‌شوند. اين عموميت اصلاً خوب نيست. هرچه يک نرم‌افزار بيشتر استفاده شود و کاربران بيشتري آن را داشته باشند، احتمال حمله به آن نرم‌افزار بيشتر است. معمولاً نرم‌افزارهاي سفارشي، امنيت بالاتري دارند.

اگر ما سيستم‌هايي را بسازيم که فقط يک يا دو کار انجام مي‌دهند، احتمال حمله به آن‌ها کمتر است. ماکروفرهاي خانگي داراي نرم‌افزاري هستند که آن‌ها را به کار مي‌اندازد. اما هيچ وقت مورد حمله قرار نمي‌گيرند، زيرا نمي‌توانند همزمان ماليات‌هاي شما را محاسبه کنند، رسيدهاي شما را ذخيره کنند و نامه‌هاي الکترونيکي ارسال کنند. شايد هزينه‌ي ساختن يک سيستم جديد و يا حذف بخش‌هايي از سيستم، در ابتدا زياد به نظر برسد، اما شرکت در کسب و کار به اين معني است که شما وظيفه داريد کاري کنيد که امنيت اطلاعات مشتريان و جامعه به واسطه‌ي استفاده از محصول توليدي شما به خطر نيفتد.  همچنين بايد شغل مبارزه با خرابکارهاي سايبري را از ارتش به مراجع قانوني انتقال دهيم. رويکرد فدرال به صورت رتبه‌اي و از بالا به پايين است، يعني در واقع حجم زيادي از اطلاعات به دست تعداد بسيار کمي ‌از آژانس‌هاي فدرال مي‌رسد. اين رويکرد مناسب نيست و چيزي که امروز واقعاً مورد نياز است، رويکردي محلي است.

شما يک سرويس محلي را براي کسب و کارهاي کوچک پيشنهاد مي‌دهيد، چيزي شبيه به خدمات کشاورزي؟
اگر ببينيد که در باغ شما، آفات در حال تکثير يافتن و خوردن محصولات هستند، با خدمات کشاورزي محل زندگي خودتان تماس مي‌گيريد، نه يک شهر ديگر. شما مي‌توانيد يک نمونه از آفات را به کارشناسان کشاورزي محل زندگيتان نشان دهيد و آن‌ها به شما مي‌گويند که اين آفت چيست و شما بايد چه کار کنيد. در مورد فضاي سايبري نيز بايد چنين مدلي پياده شود. بايد يک سرويس پشتيباني در سطح منطقه‌اي وجود داشته باشد تا مردم بتوانند از چنين مراکزي مشاوره بگيرند و با کمک کارشناسان سرويس‌هاي پشتيباني، نرم‌افزارهاي مناسب خود را انتخاب کنند و يا مشکل سيستم خود را شناسايي کنند.

منبع:

A New Path to Better Cybersecurity

منابع مفيد:

Gene Spafford

Software Bug

امنيت شبکه‌هاي کامپيوتري

تاريخچه امنيت شبکه

دام هکرها براي محققان

هکرها

رمزنگاري کوانتمي- قسمت ۱

رمزنگاري کوانتمي-قسمت ۱

رمزنگاري کوانتمي-قسمت ۳

کامپيوترهاي کوانتمي چگونه کار مي‌کنند؟

آشنايي با رمزنگاري

کلاه هاي هکري

ويروس‌هاي کامپيوتري

۵ نکته ي امنيتي در مجازي سازي سرورها

ورود هکرها از طريق حسگر باد خودروها