سایت شخصی دکتر نوید محسنی دکتری مهندسی نرم افزار
اوایل خرداد ماه، شرکت eBay بهطور رسمی اعلام کرد که از اواخر ماه فوریه سال جاری تا اوایل ماه مارس تحت حملات سایبری قرار گرفته و اطلاعات حساسی در مورد مشتریانش از جمله نام، آدرسهای ایمیل، کلمههای عبور رمزنگاری شده، آدرسهای پستی، شمارههای تلفن و تاریخهای تولد آنها و در یک کلام تمام اطلاعات مورد نیاز برای نابود کردن زندگی آنلاین و آفلاین یک شخص به سرقت رفته است. اگرچه تاکنون این مسئله تأیید نشده است، اما شنیدههای درون سازمانی این شرکت حاکی از آن است که این تهاجم با استفاده از سرقت اطلاعات کاربری کارمندان این شرکت با استفاده از روشی موسوم به فیشینگ (phishing) و پس از آن دسترسی به شبکه داخلی eBay صورت گرفته است. مشکل این نوع تهاجم آن است که ممکن است به راحتی دامنه نفوذ و عمق آن مشخص نشود. زیرا دسترسیها مجاز بوده و نشانهای از تهاجم به شکلی مشخص وجود ندارد.
پس از انتشار این خبر، شرکت eBay اعلام کرد که تمامی کلمههای عبور رمزنگاری شده بودند و در نتیجه لازم نیست کاربران نگران رمزهای عبور خود باشند. این اظهار نظر در حالی رخ داد که این شرکت هیچ توضیحی در مورد نحوه پیادهسازی روش رمزنگاری خود ارائه نکرده است و پر واضح است که برای مثال اگر کلید رمزنگاری کلمههای عبور – که در زمان سرقت برای مدتی مورد استفاده بوده است – توسط متهاجمان سرقت شده باشد، رمزنگاری صورت گرفته دستکم برای بخشی از کلمههای عبور کمترین ارزشی نخواهد داشت. همچنین چنانچه در ذخیرهسازی کلمههای عبور از روشهای رمزنگاری یا درهم ریزی غیراستاندارد استفاده شده باشد، مهاجمان خواهند توانست تا به اصل کلمه عبور دست یابند. اتفاقی که حدود یک ماه قبل برای شرکت ادوبی رخ دارد.
مشابه این واقعه زمانی که شبکه اجتماعی لینکدین بیش از پنج میلیون کلمه عبور کاربران خود را در حمله هکرها از دست داد رخ داد و در کمتر از دو روز بیش از ۶۰ درصد از این کلمههای عبور رمزگشایی شدند. در واقع زمانی که شما میتوانید با استفاده از یک کامپیوتر رومیزی و استفاده از چند ابزار مرسوم یا چند سایت اینترنت بهسادگی رمز عبوری که رشته درهم ریخته شده آن را در اختیار دارید بهدست آورید، میتوان تصور کرد که گروهی از مهاجمان با دسترسی به شبکهای گسترده از کامپیوترهایی که در حال اجرای کد کنترلی از راه دور هستند، در چه زمانی قادر خواهند بود این رمزهای عبور نصف و نیمه را بازگردانند. نمونه واقعی آن شبکه اجتماعی لینکدین است.
اما در این رخداد که نمونههای کوچک و بزرگ آنرا تقریباً هر روز شاهد هستیم، دو جنبه وجود دارد که گویی هرچقدر نیز به آن پرداخته شود کم است. جنبه نخست کاربران و توجه آنها به هویت مجازی خودشان است. در دنیا و بهطور خاصتر در ایران هنوز کاربران آنچنان که باید و شاید به هویت مجازی خود و اهمیت صیانت و حفاظت آن توجه ندارند. مواردی مانند آنچه دوستان دیگرم در باب مراقبت از کلمه عبور و نحوه امنسازی اطلاعات دیجیتال پیش از این بیان داشتهاند همگی نشان از اهمیت این موضوع و داستانهای مختلفی که در مورد از دست رفتن کلمه عبور کاربران به رغم تمامی این هشدارها میشنویم، نشان از عدم توجه به این هویت دارد. حداقل کاری که میتوانید بکنید، انتخاب یک کلمه عبور با طول بیش از ۲۰ کاراکتر، متشکل از ارقام، حروف بزرگ و کوچک لاتین و علایم و عدم افشای آن برای هرشخص دیگری است.
اما جنبه دوم این موضوع، که به اندازه جنبه اول و اغلب بیش از آن اهمیت دارد، بحث توسعه نرمافزارهای امن است. نرمافزار در هر شاخه و حوزهای که توسعه داده میشود باید تا حد امکان امن و بر اساس «بهترین تجربیات» یا همان (Best Practice) امنیتی باشد. توسعه نرمافزارهایی که بهراحتی کاربر را در معرض مخاطرات مختلف قرار میدهد یا شبکههایی که در آنها اصول امنیتی رعایت نشده است، همگی از مواردی هستند که باید از سوی کارفرمایان و توسعهدهندگان مورد توجه قرار گیرد.
استفاده از توسعهدهندگانی که دانش کافی در حوزه نرمافزار نویسی را کسب نکرده یا صرف علاقه به این رشته فعالیت، وارد این بازار میشوند، میتواند منجر به رخدادهایی شود که جبران آن حتی برای کسبوکارهای داخلی نیز ضررهای جبران ناپذیری را بهبار داشته باشد.
برای مثال، یک فروشگاه مانند eBay در مقیاس داخلی را در نظر بگیرید که اطلاعات مشتریان خود را بهشکلی ناامن – کلمات عبور رمزنگاری نشده، شماره کارت بانکی و مانند آن – نگهداری میکند. حال اگر مهاجم یا مهاجمانی موفق به ورود به سیستمهای این فروشگاه شده و اطلاعات مشتریانش را به سرقت ببرند، بسیاری از مشتریان راغب نخواهند بود تا دوباره اطلاعات خود را دراختیار آن کسبوکار قرار دهند. اگرچه این در شرایطی است که مردم از مخاطرات درز کردن اطلاعات شخصیشان آگاه بوده و همچنین آن کسبوکار حمله احتمالی را اعلام کند. بنابراین کاربران در جایگاه خود و کارفرمایان نیز در جایگاه خود باید تمام تلاش شان را برای ایجاد فضایی امن برای خود و کاربرانشان انجام دهند و بهترین راه در این زمینه استفاده از «بهترین تجربیات» و همچنین نیروی کار واقعاً متخصص خواهد بود. اگرچه در نهایت باید توجه داشت که هیچ برنامهای هرگز کاملاً امن نخواهد بود.
