بایگانی ماهیانه: اردیبهشت ۱۳۸۶

آیا واقعاً به صنعت امنیت نیازمندیم؟

پروفوسور اشنایر (خالق الگوریتم Blowfish و نویسنده چندین کتاب مرجع امنیتی) اخیراً در مقاله ای این سئوال رو مطرح کرده که اصولاً آیا وجود صنعت امنیت  ذاتاً لازم بوده یا نتیجه نیازهایی بوده که ممکن است در آینده وجود نداشته باشند، و آیا چنین صنعتی اصالتی از خودش داره یا نه؟ در بخشی از مقاله گفته شده:

   The primary reason the IT security industry exists is because IT products and services aren’t naturally secure. If computers were already secure against viruses, there wouldn’t be any need for antivirus products. If bad network traffic couldn’t be used to attack computers, no one would bother buying a firewall. If there were no more buffer overflows, no one would have to buy products to protect against their effects. If the IT products we purchased were secure out of the box, we wouldn’t have to spend billions every year making them secure

در بخش دیگری گفته شده که چنین صنعتی تصادفاً به وجود آمده و اصولاً برای کاربر پایانی فلسفه وجودی محصولاتی مثل فایروال، آنتی ویروس و … مشخص نیست و کمپانی های بزرگی که راه حل جامع IT ارئه میکنند (مثل IBM) در صدد هستند که با خرید شرکتهای امنیتی معتبر، امنیت رو به عنوان یک Feature در داخل راه حل خودشون قرار بدن، تا کاربر بدون اینکه اطلاعی از جزئیات داشته باشه، بتونه به سادگی انتخاب یک check box از اون استفاده کنه.

به نظر میرسه که چنین دیدگاهی بسیار آرمانی باشه و تحقق ناپذیر. اینکه مفهوم امنیت رو فقط در Vulnerability خلاصه کنیم و  بگیم که  ” چون سیستم های نرم افزاری آسیب پذیر هستند، به صنعت امنیت نیاز داریم” یک نگاه تک بعدی و ناقص هست. در حالی که ما به امنیت نیاز داریم چون:
۱- سیستم ها آسیب پذیرند و آسیب پذیر نبودن در دنیای واقع غیر ممکن است.
۲- سیستمها در معرض تهدید (Threat) هستند و نبود تهدید در دنیای واقعی غیر ممکن است.
۳- داراییها (assets) ارزشمند و قیمت دارند و نمیشه فرض کرد که قیمت اونها صفر است.
سه عامل فوق تشکیل دهنده ریسک هستند :

Risk = Threat * Vulnerability * Asset Value

به صنعت امنیت نیاز داریم برای اینکه Risk رو کاهش بدیم و میدونیم که در دنیای واقعی هیچ وقت ریسک به صفر نمیرسه!

اشتراک گذاری

حملات Phishing

نمیدونم ترجمه مناسبی برای phishing و Anti Phishing به فارسی انجام شده یا نه. این نوع حمله به شدت در حال رشد بوده و قطعاً یکی از بزرگترین چالشهای امنیت الکترونیک در آینده خواهد بود، به خصوص در کشوری مثل ایران که در ابتدای راه قرار داره. در این نوع حمله ، نفوذگر از روشهای مختلف مهندسی اجتماعی استفاده کرده و خودش رو به جای یک موجود مورد اعتماد به قربانی معرفی میکنه. هدف این حمله سرقت اطلاعات حیاتی مثل رمز عبور، شماره

حساب، شماره کارت اعتباری و … هست، به طوری که قربانی با پای خودش در دام میافته. معمولاً Phishing به وسیله ایمیل یا نرم افزارهای چت انجام میشه، به طوری که قربانی به یک سایت جعلی که ظاهری شبیه یک سایت معروف داره هدایت شده و در اونجا از او اطلاعات حیاتی دریافت میشه، حتی ممکنه دریافت اطلاعات به صورت تلفنی انجام بشه!
برای مقابله با این نوع حمله بحث آموزش و اطلاع رسانی به کاربران اولین و مهمترین راهکار هستش و در کنارش میشه بعضی تکنولوژیها رو هم استفاده کرد. اینکه یک فایروال یا ابزاری مشابه رو برای مقابله با Phishing به کار ببریم، میتونه کار خیلی جالبی بشه.

پی نوشت (در مورد کامنتها): کتاب Pragmatic CSO رو هنوز پیدا نکردم، اگه کسی پیدا کرد لطفاً ما رو هم خبر کنه.

اشتراک گذاری