خدمات شبکه و پشتیبانی شبکه

معاون مرکز توسعه تجارت الکترونیکی: کاربران را در سه سطح احراز هویت می‌کنیم

مرداد ۱۵, ۱۳۹۸/در authentication, security, تجارت الکترونیک, فناوری اطلاعات /توسط ادمین

سامانه احراز مشتریان تجارت الکترونیکی در سه سطح کاربران پلتفرم‌های ارائه سرویس‌های تجارت‌الکترونیکی را احراز هویت می‌کند.

معاون مرکز توسعه تجارت الکترونیکی در مورد سطوح احزار هویت کاربران پلتفرم‌های مختلف گفت: «در سطح اول احراز هویت، ثبت نام با نام کاربری و گذرواژه قابل انجام است و در سطح دوم ثبت به صورت دو عاملی و در سطح سوم با امضای الکترونیکی است.»

بهنام امیری با اشاره به اینکه هنوز احراز هویت از طریق امضای الکترونیکی به سامانه اضافه نشده است افزود: «بر اساس زمان‎بندی صورت گرفته این بخش نیز تا یک ماه آینده به این سامانه اضافه خواهد شد.»

مرکز توسعه تجارت الکترونیکی با راه‌اندازی سامانه احراز مشتریان تجارت الکترونیکی سعی کرده دغدغه پلتفرم‌ها را برای احراز هویت کاربرانشان برطرف کند. سال گذشته تعدادی از پلتفرم‌های ارائه خدمات به دلیل عدم احراز هویت کامل مشتریانشان با خطر فیلترینگ مواجه شدند و حتی برخی از آنان چند روزی نیز از سرویس دهی منع شدند. مرکز توسعه تجارت الکترونیکی از ابتدای امسال ایجاد این سامانه را در دستور کار خود قرار داده بود.

معاون مرکز توسعه تجارت الکترونیکی با اشاره به مشکلاتی که در سال‌های اخیر در زمینه احراز هویت برای کسب‌وکارها به وجود آمده گفت: « بسیاری از کسب‌وکارها به دلیل اینکه نمی‌توانستند مشتریان خود را احراز هویت کنند دچار مشکلاتی شده بودند و در زمینه پاسخگویی به دستگاههای نظارتی نیز مشکل داشتند.»

او اضافه کرد: «معمولا وقتی تخلفی در یکی از پلتفرم‌ها رخ می‌دهد اگرچه آن پلتفرم مسول بروز آن تخلف نیست؛ اما به دلیل استفاده از این بسترها برای انجام تخلف، مراجع قضایی سراغ این پلتفرم‌ها می‌روند اما گاهی با هویت‌های جعلی مواجه می‌شوند که همین امر موجب تعطیلی آن پلتفرم‌ها خواهد شد.»

امیری براین باور است که حالا با ساختاری که این مرکز در تلاش برای شکل دادن به آن است، پلتفرم‌ها می‌توانند از این ساختار حداقل‌ امکانات پاسخگویی به مراجع قضایی را به دست آورند.

او در پاسخ به این سوال که سامانه احراز هویت مشتریان تجارت الکترونیکی، داده‌های مورد نیاز خود برای احراز هویت را از طریق چه سامانه‌هایی به دست می‌آورد گفت: «این اطلاعات ممکن است از پایگاه‌های داده‌ای سازمان ثبت احوال و یا سازمان ثبت شرکت‌ها به دست آید یا اینکه براساس ادعای افرادی که مدعی فعالیت صنفی هستند از پایگاه صنفی این اطلاعات استعلام شود و اعتبارات مالی‌شان مورد ارزیابی قرار گیرد.»

امیری افزود: «همچنین امکان اعتبارسنجی شماره تلفن‌همراه و تایید آن از سامانه شاهکار نیز وجود دارد و به طور کلی مجموعه مفصلی از ارتباطات در پشتیبانی برای این سامانه در نظر گرفته شده است.»

او در مورد نحوه ارائه سرویس در این سامانه گفت: « مشتری یک بار در این سامانه در یک فرایند بسیار ساده ثبت نام می‌کند و API استاندارد این سامانه به همه کسب‌وکارها به صورت نامحدود ارائه می‌شود. بنابراین کسب‌وکارها می‌توانند پروتکل API را روی سامانه خود پیاده سازی کنند و در کنار فرایند ثبت نام خود در جایی که نیاز است از این اطلاعات برای احراز هویت مشتریان خود نیز استفاده کنند. به طور مثال اطلاعات مربوط به صلاحیت صنفی، اطلاعات مربوط به اعتبار مالی، سوابق فعالیت و غیره نیز از این دست اطلاعات است. »

امیری در مورد چگونگی اجرای این سامانه گفت: «در مرحله آزمایشی با چند کسب‌وکار این سامانه آغاز به کار کرد که یکی از آنها سایت «رکاب» بود که در زمینه تست و عملیاتی کردن با این سامانه همکاری کردند و در حال حاضر بزرگترین کسب‌وکارهای کشور که در حوزه تجارت الترونیکی فعال هستند می‌توانند از API آزاد این سامانه استفاده کنند و از احراز هویت مشتریان که به صورت سرویسی آزاد در حوزه اینترنت ارائه می‌شود و بر اساس تشخیص و درخواست مشتری است نیز استفاده کنند.»

به گفته او سطح دسترسی کسب‌وکارها به این اطلاعات از سوی مشتری نیز قابل انتخاب است: «طور مثال کسب‌وکارها تنها به تلفن‌همراه یا حوزه اعتبار مالی دسترسی داشته باشد. سامانه امتا با درخواست مشتریان، صحت اطلاعات اظهاری آنان را از طریق وب ‌سرویس‌‌های حاکمیتی استعلام کرده و در صورت احراز، با اجازه آنها در پروفایل کاربری ‌شان ثبت می‌کند.»

امیری با اشاره به اینکه گاهی در بخش خصوصی از سامانه‌های دیگری نیز مشابه احراز هویت استفاده شده است اعلام کرد: «این سامانه‌ها هیچ تعارضی با دیگر سامانه‌ها ندارد و ما به دنبال این هستیم که در فازهای بعدی از تکنولوژی‌های خوب بخش خصوصی در سامانه‌های احراز هویت استفاده کنیم.»

رشد هفت درصدی بدافزارهای مالی در سال ۲۰۱۹

مرداد ۱۳, ۱۳۹۸/در bad ware, security, Security Bug, امنیت, فناوری اطلاعات /توسط ادمین

بررسی‌های موسسه امنیتی کاسپراسکای از قربانی شدن بیش از 430 هزار نفر در سال 2019 به علت عرضه بدافزارهای مالی خبر می‌دهد.

به نقل از آسین ایج، بررسی‌های موسسه امنیتی کاسپراسکای از قربانی شدن بیش از 430 هزار نفر در سال 2019 به علت عرضه بدافزارهای مالی خبر می‌دهد.

این آمار که مربوط به نیمه اول سال 2019 است، در مقایسه با مدت مشابه در سال گذشته میلادی 7 درصد رشد نشان می‌دهد.

بیش از نیمی از کاربرانی که به علت عرضه بدافزارهای مالی قربانی شده اند یا در حدود 30.9 درصد افرادی هستند که در شرکت های مختلف تجاری مشغول فعالیت هستند. این رقم نسبت به رقم 15.3 درصدی در نیمه اول سال 2018 دوبرابر رشد داشته و نگران کننده محسوب می شود.

بدافزارهای مالی که بیشتر به تروجان های بانکی شهرت دارند، اطلاعات مالی و بانکی افراد را سرقت می کنند و لذا تهدیدهایی بسیار جدی و خطرناک محسوب می شوند. این تهدیدها برای بانک‌ها و موسسات مالی و اعتباری نیز بسیار نگران کننده بوده و یافته های کاسپراسکای از افزایش تلاش هکرها و کلاهبرداران اینترنتی برای طراحی بدافزارهای مالی و بانکی خبر می‌دهد.

بخش زیادی از این بدافزارها از طریق ایمیل ها و صفحات جعلی فیشینگ ارسال می‌شوند و تعداد صفحات فیشینگ طراحی شده بدین منظور در نیمه اول سال 2019 از مرز 339 هزار صفحه گذشته است.

40 درصد از تروجان‌های بانکی سال 2019 از خانواده آر تی ام و 15 درصد از خانواده اموتت بوده‌اند، هر دو خانواده از جمله خطرناک ترین تروجان‌های بانکی محسوب می‌شوند.

امنیت شبکه ملی اطلاعات در محاصره تجهیزات خارجی

مرداد ۱۲, ۱۳۹۸/در security, shabake meli etelaat, امنیت, فناوری اطلاعات /توسط ادمین

عضو کمیته ارتباطات مجلس گفت: حضور گسترده تجهیزات خارجی در زیرساخت شبکه ملی اطلاعات و وابستگی فنی به تامین کنندگان خارجی، نشان می دهد تا دستیابی به الزامات تعیین شده، فاصله زیاد است.

سیده حمیده زرآبادی در یادداشتی با اشاره به گزارش ارائه‌شده از سوی وزارت ارتباطات مبنی بر پیشرفت ۸۰ درصدی شبکه ملی اطلاعات، معتقد است که حضور گسترده تجهیزات خارجی در زیرساخت این شبکه و وابستگی فنی به تأمین‌کنندگان خارجی در برخی حوزه‌ها نشان می‌دهد، همچنان تا دستیابی به الزامات تعیین‌شده در این حوزه فاصله قابل‌توجهی وجود دارد.

شبکه ملی اطلاعات را می‌توان راهبردی‌ترین پروژه زیرساخت ارتباطی فضای مجازی کشور دانست که در طول یک دهه گذشته اجرای آن همواره دستخوش فراز و نشیب‌ها متعدد بوده است.

شبکه ملی اطلاعات مطابق با تعریف مصوب برنامه پنجم توسعه کشور شبکه‌ای مبتنی بر پروتکل اینترنت (IP) به همراه سوئیچ‌ها و مسیریاب‌ها و مراکز داده،‌ به‌گونه‌ای است که درخواست‌های دسترسی داخلی و اخذ اطلاعاتی که در مراکز داده داخلی نگهداری می‌شوند به‌هیچ‌وجه از طریق خارج کشور مسیریابی نشود و امکان ایجاد شبکه‌های اینترانت و خصوصی و امن داخلی در آن فراهم شود. در واقع اصلی‌ترین کارکرد شبکه ملی اطلاعات تفکیک جریان اطلاعات با مبدأ و مقصد داخلی از شبکه جهانی اینترنت است که تا پیش از ایجاد شبکه ملی اطلاعات، نگهداری و فراخوانی آن‌ها تماماً در خارج از کشور صورت می‌گرفت.

در سال ۹۵ شورای عالی فضای مجازی مصوبه‌ای را با هدف تبیین الزامات فنی شبکه ملی اطلاعات تهیه و ابلاغ کرد و در ۶ محور تکالیفی را بر عهده وزارت ارتباطات قرارداد که سرفصل این محورها شامل مشخصه‌های ارتباطات در فضای مجازی کشور، استقلال شبکه، مدیریت شبکه، خدمات شبکه، امنیت و سالم‌سازی شبکه و درنهایت مدل اقتصادی شبکه ملی اطلاعات می شود.

بررسی تکالیف این سند نشان می‌دهد در مفاد متعددی فراهم کردن الزامات شبکه ملی اطلاعات به‌صورت مستقیم یا غیرمستقیم در گرو استفاده از تجهیزات مخابراتی با سطح امنیتی بالا است که دستیابی به آن جز با تکیه حداکثری بر توان تولیدات داخلی در حوزه تجهیزات راهبردی میسر نخواهد بود.

در همین راستا بیان مدیرعامل شرکت هوآوی به‌عنوان اصلی‌ترین تأمین کننده تجهیزات مخابراتی فعلی کشور قابل‌توجه است، وی در بدو تأسیس این شرکت در رابطه با لزوم توجه به امنیت تجهیزات مخابراتی و استفاده از تجهیزات بومی می‌گوید: «کشوری که از سوئیچ‌های خارجی استفاده می‌کند بخشی از ارتش خود را در اختیار خارجی‌ها قرار داده است.»

با این توصیف وزارت ارتباطات در حالی مدعی است که ۸۰ درصد از تکالیف مربوط به الزامات فنی شبکه ملی اطلاعات به سرانجام رسیده است که فارغ از میزان ادعایی پیشرفت در پیاده‌سازی سایر الزامات، صرف وجود این حجم از تجهیزات خارجی در شبکه ملی اطلاعات نگرانی‌های جدی را در رابطه با رعایت الزامات زیر به وجود آورده است.

۱. الزامات مرتبط با استقلال شبکه ملی اطلاعات

- عدم اتکای شبکه به شبکه‌های غیر از خود در تأمین کلیه زیرساخت‌ها و خدمات ارتباطی مورد نیاز داخل با ظرفیت و کیفیت لازم.

- پیشبرد نظام‌مند بومی‌سازی و حمایت از آن در لایه‌ها و ابعاد مختلف شبکه که به معنای حرکت بر اساس یک نقشه راه جامع است که حداقل مشتمل بر تعیین حوزه‌های بومی‌سازی، اولویت‌ها، نقش‌ها، زمان‌بندی، اعتبارات و آینده‌نگریهای لازم است.

- اختیار کامل فنی در حوزه برنامه‌ریزی، طراحی، پایش و ارزیابی و قابلیت هرگونه توسعه و ارتقای لازم در حوزه سیاست‌ها، معماری‌ها، فرآیندها و زیرساخت‌های فنی، ارتباطی و اطلاعاتی.

۲ . الزامات مرتبط با مدیریت شبکه ملی اطلاعات

- خودگردانی در مدیریت برنامه‌ریزی، طراحی، تأمین منابع، اجرا، پشتیبانی، توسعه و پایش و ارزیابی با استفاده از توابع، فرآیندها و خدمات فنی در داخل کشور و با استفاده از نیروی انسانی متخصص داخلی.

- پشتیبانی از تأمین نیازهای قلمروهای حساس و یا دارای اولویت راهبردی با استفاده از توابع، فرآیندها و خدمات فنی اختصاصی یا دانش و افزارهای بومی‌شده.

۳. الزامات مرتبط با سالم‌سازی و امنیت شبکه ملی اطلاعات

- حفاظت در مقابل تهدیدات بالقوه و بالفعل درونی و بیرونی.

- حفاظت در برابر اِشراف و نفوذ بیگانگان و مقابله با سوءاستفاده آنان از زیرساخت فضای مجازی کشور.

- پایداری و بازگشت‌پذیری در زیرساخت‌ها، خدمات و مدیریت.

موارد فوق نمونه‌هایی از الزامات تعیین‌شده در شبکه ملی اطلاعات هستند که استفاده از تجهیزات خارجی در شبکه ملی اطلاعات به‌صورت بالفعل و بالقوه رعایت آن‌ها را با اخلال مواجه کرده است و صرف جمع‌آوری تجهیزات آمریکایی از شبکه ملی اطلاعات و جایگزین کردن آن‌ها با سایر محصولات خارجی و به‌تبع آن ضرورت استفاده از کارشناسان آن‌ها در بخش‌های پشتیبانی، نگهداری و به‌روزرسانی این تجهیزات، همچنان از موانع تحقق اهداف فنی شبکه ملی اطلاعات به شمار می‌آید.

در نهایت به نظر می‌رسد وزارت ارتباطات و دستگاه‌های زیرمجموعه آن، در زمینه ارتقاء امنیت تجهیزات مورد استفاده در شبکه و همچنین برنامه‌ریزی مناسب برای استفاده از توان بومی صنعت تجهیزات مخابراتی کشور در شبکه ملی اطلاعات به‌سختی بتوانند نمره قابل قبولی بگیرند.

ضمن آنکه برای بررسی صحت این ادعا کافی است وزارت ارتباطات به جای طرح موضوع خودکفایی ۷۰ درصدی در تولید تجهیزات ثابت شبکه، گزارشی از نسبت استفاده از تولیدات داخلی به تولیدات خارجی در حوزه‌های مختلف شبکه منتشر کند. از سوی دیگر ضروری است شورای عالی فضای مجازی به شکلی جدی‌تر مصوبات مرتبط با جایگزینی و بومی‌سازی تجهیزات راهبردی شبکه ملی اطلاعات را ابلاغ و پیگیری کند.

جریمه سیسکو به خاطر بی توجهی به یک حفره امنیتی

مرداد ۱۱, ۱۳۹۸/در Cisco, security, امنیت, فناوری اطلاعات /توسط ادمین

بعد از آنکه سیسکو سیستمز نتوانست حفره های امنیتی موجود در نرم افزارهایی که به سازمان های آمریکایی فروخته بود را مسدود کند، مجبور به پرداخت جریمه ۸.۶ میلیون دلاری به دولت شد.

نرم افزار مدیریت نظارت ویدیویی سیسکو که پیشتر توسط نهادهای دولتی از جمله فرودگاه لس آنجلس، پلیس واشنگتن دی سی و نیویورک مورد استفاده قرار می گرفت ظاهرا دارای نقص هایی بود که به هکرها امکان می داد کنترل سیستم های مورد استفاده توسط این سازمان ها را در دست بگیرند. البته هیچ شواهدی دال برای حمله موفق با کمک این حفره امنیتی به دست نیامد.

در سال ۲۰۰۸ میلادی جیمز گلن از کارمندان دانمارکی شرکت نت دیزاین (از شرکای سیسکو) هشدار دارد که هکرها میتوانند از حفره امنیتی موجود در این برنامه برای دسترسی مدیریتی به دیگر بخش های شبکه استفاده نمایند. سیسکو اما نتوانست به نگرانی های این فرد پاسخ دهد و به همین خاطر گلن ماجرا را به پلیس و FBI گزارش داد. در سال ۲۰۱۱ دولت پرونده شکایتی علیه سیسکو را تسلیم نهادهای حقوقی کرد و حالا اسناد مربوط به این شکایت تازه منتشر شده اند.

از مجموع مبلغ پرداختی حدود یک میلیون دلار آن به گلن اهدا می شود و مابقی میان شرکت هایی که تحت تاثیر این آسیب پذیری قرار گرفته اند تقسیم خواهد شد. به این ترتیب برای نخستین بار در تاریخ آمریکا و براساس قانون ادعاهای نادرست، یک شرکت مجبور می شود که به خاطر ناتوانی در تامین استانداردهای امنیت سایبری جریمه بدهد. قانون ادعاهای نادرست با هدف جلوگیری از فریب خوردن دولت آمریکا به واسطه معرفی نادرست و ناکامل محصولاتی تدوین شده است که شرکت ها به آن میفروشند.

سیسکو در سال ۲۰۱۳ با انتشار یک به روز رسانی نرم افزاری این مشکل را برطرف کرد و بار دیگر تصریح نمود که تاکنون هیچ حمله ای به واسطه این حفره امنیتی رخ نداده است.

گلن در متنی پیرامون همین پرونده اینطور نوشته است:

این فرهنگ وجود دارد که دیگران سود و اعتبار خود را به انجام کار درست ترجیح می دهند. امیدوارم که دیگر شرکت های فناوری نیز بعد از این تجربه من بار دیگر اخلاقیات کاری شان مرور کنند.

بررسی دلایل عدم موفقیت جویشگر بومی

مرداد ۷, ۱۳۹۸/در amniyat, Application, Mustang, security, vahid yazdanian, اینترنت و شبکه, فناوری اطلاعات /توسط ادمین

رئیس مرکز تحقیقات مخابرات از ارزیابی امنیتی اپلیکیشن های موبایل و بررسی دلایل عدم موفقیت جویشگر بومی خبر داد.

وحید یزدانیان امروز در نشست خبری مرکز تحقیقات مخابرات ایران با اشاره به برنامه های این مرکز بر لزوم توسعه تعامل با دانشگاهیان و مشارکت در پژوهش های تعامل محور و استفاده از پتانسیل و توانمندی محققان تاکید کرد.

وی با اشاره به تسریع فرآیند تصویب طرح های پژوهشی در این مرکز گفت: همکاری مشترک با مراکز تحقیقاتی و دانشگاه ها، اجرای طرح های پژوهشی اپراتورهای ارتباطی و نیز همکاری با شرکت های دانش بنیان از جمله برنامه های در دست انجام پژوهشگاه ارتباطات و فناوری اطلاعات است.

یزدانیان با اشاره به همکاری هایی که این پژوهشگاه با شرکت ارتباطات زیرساخت دارد، گفت: طرح توسعه محصولات بومی در شبکه انتقال زیرساخت کشور با همکاری میان مرکز تحقیقات مخابرات و شرکت ارتباطات زیرساخت انجام می شود. این پروژه صنعتی نیست اما این تحقیقات می تواند به تولید نمونه های نیمه صنعتی منجر شود.

وی با بیان اینکه فرآیند تحقیقاتی این پروژه تا دو سال آینده به انجام خواهد رسید، گفت: در همین حال مرکز تحقیقات مخابرات پروژه تحقیقاتی در حوزه محصولات امنیتی را با سرمایه گذاری شرکت ارتباطات زیرساخت در پژوهشکده امنیت اجرایی می کند.

اتمام نگارش نقشه راه نسل پنجم موبایل

رئیس پژوهشگاه ارتباطات و فناوری اطلاعات با اشاره به اقدامات انجام شده در حوزه نسل پنجم ارتباطات سیار (۵G) گفت: این طرح از حدود سه سال پیش در این پژوهشگاه تعریف شده و هم اکنون نقشه راه آن به اتمام رسیده اما اینکه دستاورد ملموسی از این طرح تحقیقاتی حاصل نشده است عدم حضور تولیدکنندگان و اپراتورهای موبایل در این پروژه بازمی گردد چرا که طرح ۵G با حضور نخبگان دانشگاهی جمع آوری شد اما اپراتورهای ارتباطی و تولیدکنندگان تجهیزات هنوز تعامل مثبتی در این پروژه تحقیقاتی انجام نداده اند.

آخرین وضعیت جویشگرهای بومی

یزدانیان در مورد آخرین وضعیت پروژه جویشگر بومی که در مرکز تحقیقات مخابرات انجام شد، گفت: این پروژه دو محصول عمده شامل پارسی جو و یوز داشت که از دانش مرکز تحقیقات در این پروژه ها استفاده شد. پروژه پارسی جو از حمایت های پژوهشگاه ارتباطات و پروژه یوز از حمایت سازمان فناوری اطلاعات برخوردار است و هم اکنون در حال ارائه خدمات هستند.

وی با بیان اینکه شاید انتظاری که ما از پروژه ها ترسیم کرده بودیم محقق نشد، افزود: در این زمینه وزیر ارتباطات خواسته است دلایل عدم موفقیت پروژه جویشگر بومی توسط پژوهشگاه ارتباطات استخراج شود.

وی با بیان اینکه این پروژه در وظایف حاکمیتی وزارت ارتباطات و ذیل شبکه ملی ارتباطات تعریف شده بود، گفت: نباید به این پروژه به عنوان یک بیزینس نگاه کنیم بلکه حاکمیت به دنبال تحقق تکالیف خود ذیل شبکه ملی اطلاعات است و از این دو موتور جستجو حمایت می کند. در این خصوص جلسات مستمری نیز برگزار کردیم تا مشکلاتی که این جویشگرها به سودآوری نرسیده اند را بررسی کنیم و آن را به وزیر ارتباطات منعکس خواهیم کرد.

یزدانیان با بیان اینکه نگاه ما این نیست که پروژه جویشگر بومی شکست خورده است، افزود: بلکه هم اکنون این پروژه که دولت در آن سرمایه گذاری انجام داده منجر به کسب و کاری که درآمد زا باشد نشده است و کاربرانش قابل مقایسه با جویشگرهای غیربومی نیستند اما از نظر ما آنچه در مورد جویشگر بومی اتفاق افتاده تجربه موفقی بوده و این بستر فراهم شده تا بخش خصوصی در ادامه راه آن را تبدیل به یک بیزینس خوب کند مشابه این پروژه را برای پروژه ترجمه فارسی ترگمان داشتیم و هم اکنون محصولات تجاری روی این بستر راه افتاده اند که موفق هستند.

ارزیابی امنیتی اپلیکیشن های بومی

رئیس مرکز تحقیقات مخابرات ایران با اشاره به اقدامات انجام شده در پژوهشکده امنیت این مرکز تحقیقاتی نیز گفت: تدوین چارچوب و الزامات امنیتی اپلیکیشن های موبایل در پژوهشکده امنیت به زودی به اتمام می رسد.

وی بر لزوم ارزیابی امنیتی اپلیکیشن های موبایل تاکید کرد و گفت به مدت یک سال است که خدمات ارزیابی امنیت و ارائه گواهینامه امنیتی به اپلیکیشن ها انجام می شود و این ارزیابی در آزمایشگاه های امنیت مرکز تحقیقات مخابرات در حال انجام است اما برای آنکه خروجی مشخصی از این ارزیابی ها داشته باشیم در حال تدوین چارچوب ها و الزامات امنیتی این اپلیکیشن ها هستیم تا فروشگاه های اپلیکیشن و اپ استورها بر مبنای آن این اپ ها را برای کاربران عرضه کنند البته ما قصد از رونق انداختن این صنعت را نداریم بلکه قصدمان کمک به امنیت کاربران است.

بازدید گروه های علمی از مراکز تحقیقاتی آلمان

رئیس پژوهشگاه ارتباطات و فناوری اطلاعات همچنین در مورد همکاری های بین المللی توسط این پژوهشگاه نیز گفت: زیرساخت های همکاری میان پژوهشگاه ارتباطات با اتحادیه جهانی مخابرات و سایر مراکز تحقیقاتی بین المللی فراهم است و ما محدودیتی در انجام پروژه های مشترک نداریم هم اکنون نیز با وزارت علوم در حال تعامل هستیم تا با چند کشور اروپایی تفاهم همکاری های علمی فناوری داشته باشیم.

وی گفت: برنامه ای نیز از سوی وزارت علوم ساماندهی شده است تا طی دو ماه آینده برای بازدید از چند موسسه تحقیقاتی در آلمان و عقد تفاهم نامه فناورانه با این مراکز به آلمان سفر کنیم.

یزدانیان گفت: هدف از اعزام این هیات علمی را انتقال دانش فنی در حوزه های فناوری ها مانند بیگ دیتا، اینترنت اشیا، ۵G و بلاکچین عنوان کرد تا از تجارب سایر کشورها استفاده شود.

ترسیم نقشه راه گام دوم انقلاب در حوزه فاوا

رئیس مرکز تحقیقات مخابرات در مورد اقدامات انجام شده در خصوص بیانیه رهبری مربوط به گام دوم انقلاب نیز گفت: در این بیانیه رهبری بر اهمیت فضای مجازی صحه گذاشتند بر این اساس موضوع ترسیم و تدوین نقشه راه گام دوم انقلاب در حوزه فاوا و اجرای آن در دستور کار مرکز مخابرات قرار گرفته است. بر این اساس طی ماه های آینده این نقشه راه تدوین می شود و به دنبال حضور نظر صاحبنظران در این حوزه هستیم.

وی گفت: در حوزه پدافند سایبری نیز سرفصل مشترکی را در پژوهشکده امنیت با همکاری مجموعه پدافند غیرعامل تدوین کردیم و نتایج آن تا یک سال آینده که منجر به پروژه های طولانی مدتی شده است اطلاع رسانی می شود.

یزدانیان گفت: در همین حال امکان دسترسی دانشگاه ها و مراکز تحقیقاتی را به اسناد و مدارک و پروژه های پژوهشگاه ارتباطات و فناوری اطلاعات فراهم می کنیم و خدمات آزمایشگاهی را با بیشترین سطح همکاری در اختیار مراکز دانشگاهی قرار می دهیم.

نقشه راه اینترنت اشیا ویژگی پیاده سازی صددرصدی را ندارد

وی در مورد آخرین وضعیت پروژه اینترنت اشیا در پاسخ به مهر گفت: نقطه عطف پژوهشگاه ارتباطات تدوین نقشه راه اینترنت اشیا بود که تعریف مشخصی از پلتفرم این فناوری، نحوه تعامل و بازیگران آن ارائه کرد اما نقشه راهی که طراحی شده ویژگی پیاده سازی صددرصدی را ندارد چرا که اجماع نظر نخبگان در آن صورت نگرفته است بر این اساس ما از NGO ها و دانشگاه ها تقاضا کردیم که در این پروژه به ما کمک کنند.

همکاری مرکز تحقیقات مخابرات در محموله مخابراتی ناهید ۲

رئیس پژوهشگاه ارتباطات و فناوری اطلاعات در مورد نحوه همکاری با پژوهشگاه فضایی ایران در زمینه پروژه های فضایی و ماهواره ای در پاسخ به سوال مهر گفت: هیچ تداخل وظایفی در این زمینه با پژوهشگاه فضایی نداریم و گروه ارتباطات ماهواره ای این مرکز، پروژه هایی را که از سوی پژوهشگاه فضایی و سازمان فضایی به ما محول شده است را اجرایی می کند.

وی گفت: هم اکنون یکسری پروژ ه ها با همکاری پژوهشگاه فضایی در زمینه ماهواره در حال انجام است. برای مثال ما در پروژه محموله مخابراتی ناهید ۲ در حال همکاری هستیم و همچنین نمونه ساخت تقویت ماهواره های مدار ژئو نیز از دیگر موضوعات همکاری است.

وی گفت: آزمون و تحویل مدل مهندسی ترانسکندری مخابرات و همچنین امکان سنجی بهره برداری از ماهواره مخابراتی از دیگر پروژه های مشترک در این حوزه است.

اطلاعات ۱۳ هزار دانشجو به سرقت رفت!

مرداد ۴, ۱۳۹۸/در hack, security, امنیت, فناوری اطلاعات /توسط ادمین

به تازگی هکرها به وسیله حملات فیشینگ و سایبری توانسته‌اند به بخش زیادی از اطلاعات شخصی دانشجویان دانشگاه لنکَستر دسترسی پیدا کرده و آنها را به سرقت ببرند.

به گزارش ایسنا، واژه فیشینگ یا Phishing که مختصرا از عبارت Password Harvesting Fishing به معنای "بدست آوردن رمز عبور از طریق طعمه" به دست آمده و ساخته شده است، یکی از حملات سایبری شناخته شده مبتنی بر مهندسی اجتماعی است که با فریب دادن کاربران موردنظر اطلاعات محرمانه و خصوصی آن‌ها از جمله رمز عبور، اطلاعات حساب بانکی، اطلاعات شخصی و محتوای به اشتراک گذاشته شده آن‌ها در شبکه‌های اجتماعی را بدست می‌آورند.

بر اساس گزارشی که در وب سایت زد دی نت آمده است، هکرها و مجرمان سایبری موفق شده‌اند با استفاده از ترفندهای مربوط به حملات فیشینگ و سایبری به حجم زیادی از اطلاعات شخصی و حریم خصوصی دانشجویان دانشگاه لنکستر دسترسی و نفوذ پیدا کرده و آنها را به سرقت برده‌اند.

هنوز معلوم و مشخص نشده است که هکرها با چه هدفی اطلاعات دانشجویان را به سرقت برده‌اند اما بر اساس آخرین آمار و گزارش‌ها، ۱۳ هزار دانشجو در این حمله سایبری مورد حمله و هجوم هکرها قرار گرفته‌اند که خود رقم بسیار بالا و قابل توجهی به شمار می رود.

هکرها با استفاده از این حمله فیشینگ به نام و گذرواژه حساب کاربری تمامی دانشجویان دانشگاه مذکور در طول تمام سالیان گذشته دسترسی و نفوذ پیدا کرده اند تا بتوانند تمامی اطلاعات دانشجویی، کاربری و تحصیلی آنها را رصد کرده و به دست بیاورند.

گفته می‌شود از جمله اطلاعاتی که در این حمله فیشینگی به سرقت رفته است، نام، آدرس پستی، شماره تلفن و تماس، پست الکترونیکی و ایمیل کاربران و دانشجویان بوده است تا به اطلاعات مهم‌تری همچون فرم‌های تحصیلی و اپلیکیشن دانشجویان مقطع کارشناسی و کارشناسی ارشد دسترسی پیدا کنند.

در سال‌های اخیر که حملات سایبری به شدت رشد کرده است، مؤسسه‌های تحقیقاتی و تحلیلی بسیاری در جهان هشدار داده بودند که سال ۲۰۱۸، سال حملات سایبری و بدافزاری به سازمان‌های بزرگ، شرکت‌ها و نهادهای دولتی در جهان نام خواهد گرفت؛ چراکه تعداد سرقت‌های اطلاعاتی در این سال به اوج خود خواهد رسید و سال های بعد از آن نیز هرروز نامی از حملات سایبری و بدافزاری خواهیم شنید.

از طرفی دیگر این کارشناسان امنیتی بارها خطاب به تمامی شرکت‌های فعال در زمینه‌های مختلف در جهان هشدار داده بودند که به ارتقای امنیت سایبری زیرساخت‌ها و سرورهای مربوط به خود اقدام کنند تا اطلاعات محرمانه و فوق سری خود را در برابر نفوذ هکرها و مجرمان سایبری مصون نگه دارند.

نتایج تحقیقات و نظرسنجی‌های صورت گرفته در نیمه دوم سال گذشته حاکی از آن است که بسیاری از صاحبان شرکت‌ها و کارخانه‌های فعال در مناطق مختلف جهان اذعان کرده‌اند حداقل یک بار مورد حمله باج افزاری و سایبری هکرها قرار گرفته‌اند. بر اساس این تحقیقات، نیمی از آنها مجبور به پرداخت مبالغ و پول‌های هنگفتی به هکرها شده‌اند و نیمی دیگر نیز به خاطر عدم پرداخت وجه به آنها، تمامی اطلاعات ارزشمند و حیاتی خود را از دست داده‌اند.

فیس‌اپ خطرناک‌تر است یا فیس‌بوک؟

مرداد ۲, ۱۳۹۸/در FaceApp, Facebook, hack, security, امنیت, رسانه‌های اجتماعی, فناوری اطلاعات /توسط ادمین

همشهری آنلاین: از هفته گذشته یک اپلیکیشن در ایران و دنیا بار دیگر جنجالی شده است. با هر کسی که حرف بزنید احتمالا عکس از پیری و آینده خودش و اطرافیانش را با لبخندی نشان‌تان خواهد داد. هر چند اپلیکیشن فیس‌اپ مدتهاست وجود دارد اما مثل خیلی از موارد دیگر بار دیگر در شبکه‌های اجتماعی و میان مردم موجش به‌راه افتاده و همین قضیه باعث نگرانی‌هایی هم شده.

واقعیت این است که فیس‌اپ هفته گذشته ناگهان خیلی محبوب شد و شبکه‌های اجتماعی پر شده‌اند از تصاویری که مردم در آنها به کمک فیس‌اپ خودشان، دوستان و اعضای خانواده و یا افراد مشهور و سلبریتی‌ها را پیر کرده‌اند. پیش‌بینی شده که این اپلیکیشن در همین چند روز ۱۵۰میلیون عکس جدید دریافت کرده و با استفاده از الگوریتم هوش مصنوعی خود آنها را به‌صورت‌های مختلف ویرایش کرده است. فیس‌اپ پیش از این هم محبوب بود. در سال۲۰۱۷ این اپلیکیشن ۸۰میلیون بار دانلود شد، اما موج چالش جدید، این اپلیکیشن را محبوب‌تر از هر زمان دیگری کرده است. اگر تاکنون از این اپلیکیشن استفاده نکرده‌اید باید بدانید فیس‌اپ در حقیقت یک اپلیکیشن ویرایش تصویر است که با گرفتن دسترسی به گالری تصاویر کاربر آنها را به شکل‌های مختلف ادیت می‌کند. یکی از مشهورترین‌ موارد هم دیدن قیافه آینده افراد است. اما همین دسترسی گسترده به تصاویر و در نتیجه موقعیت‌های مکانی و مشخصات عکس‌های گرفته شده باعث شده تا خیلی‌ها درباره استفاده از آن هشدار دهند.

هیچ‌کس هنوز اطلاعات فنی دقیقی درباره میزان امنیت و حفظ حریم خصوصی توسط این اپلیکیشن ندارد. رسانه‌های غربی مهم‌ترین دلیل‌شان برای متهم کردن این اپلیکیشن روسی بودن آن است. این رسانه‌ها اعتقاد دارند که روسیه با استفاده از این اپلیکیشن می‌تواند به‌صورت ناگهانی به اطلاعات شخصی میلیون‌ها نفر دسترسی پیدا کند. یکی از مهم‌ترین کاربردهای این ماجرا استفاده از تصاویر برای سیستم‌های تشخیص چهره و افزایش توانایی آنهاست. در واقع در یادگیری ماشینی شما هر چقدر میزان اطلاعات وسیع‌تری داشته باشید نرم‌افزار هوش مصنوعی نتایج مطمئن‌تری خواهد داشت. وقتی شما تصاویر جوانی و مثلا پیری میلیون‌ها نفر را داشته باشید عملا عبور از سیستم‌های تشخیص چهره با سخت‌ترین گریم‌ها هم غیرممکن می‌شود. این موج باعث شده تا اعضای کنگره آمریکا مانند چاک شومر خواستار تحقیقات سریع اف‌بی‌آی در این رابطه شوند. یکی از دلایل متهم شدن فیس‌اپ این است که دولوپرهای اپلیکیشن به‌صورت واضح و آشکار به کاربران نمی‌گوید که پردازش عکس‌های آنها در سطح کلاود یا ابر صورت می‌گیرد. بیشتر کاربران فکر می‌کنند که عکس در گوشی آنها پردازش می‌شود. درصورتی‌که اپلیکیشن عکس‌ها را وارد فضای ابری می‌کند و به‌صورت ابری هم پردازش می‌کند و بعد از تحویل عکس به شما، همچنان عکس شما را خواهد داشت.

عکس‌های ما مهم است؟

به گزارش همشهری، شاید خیلی‌ها بگویند مثلا چه اهمیتی دارد یک عکس سلفی ما به سرورهای این اپلیکیشن فرستاده شود. شاید یک عکس اهمیتی نداشته باشد اما فرض کنید این اپلیکیشن یا پلتفرم‌های مشابه به میلیون‌ها عکس شهروندان یک کشور دسترسی داشته باشد. این عکس‌ها تبدیل به یک بیگ‌دیتای مهم می‌شود. عکس‌های گوشی‌های جدید اکثرا عکس‌های با کیفیت بالا هستند و علاوه بر این هر عکس حاوی متادیتا یا اطلاعات جانبی است که شامل اطلاعات مهمی مثل تاریخ گرفته شدن عکس، نوع دوربین و موقعیت عکس خواهد بود. از این اطلاعات می‌توان برای فناوری تشخیص هویت به کمک چهره استفاده کرد، آنها را تقویت یا اصلا با هک دوربین‌های امنیتی یک شهر خارجی، مسیر حرکت یک شخص را دنبال کرد. البته فیس‌اپ به‌دنبال گزارش‌های مختلف در این رابطه اتهام علیه خودش را رد کرده و گفته است: عکس‌ها را به‌صورت محدودی در فضای ابری خود نگهداری می‌کند. به‌گفته شرکت تولیدکننده اپلیکیشن در مدت ۴۸ساعت عکس‌ها از سرورها پاک می‌شود.

فیسبوک‌ خطرناک‌تر نیست؟

شاید خیلی از نگرانی‌های مطرح شده درباره فیس‌اپ منطقی هم باشد اما آیا این اپلیکیشن تنهاست؟ بدون شک بزرگ‌ترین مرکز جمع‌آوری اطلاعات کاربران در جهان فیسبوک است! درحالی‌که رسانه‌های غربی فیس‌اپ را مطرح می‌کنند. فیسبوک یکی از مهم‌ترین منابع جمع‌آوری لحظه به لحظه تصاویر کاربران در جهان است. در واقع اگر قرار به نگرانی باشد می‌توان درباره تمام پلتفرم‌های مشابه به‌صورت منطقی این نگرانی را داشت. پلتفرم‌هایی مانند فیسبوک روزانه میلیون‌ها تصویر ازمردم جهان را جمع‌آوری می‌کنند. فیسبوک نمونه‌ای است که در حفظ حریم خصوصی ۲.۳۸ میلیارد کاربر فعال خود اصلا کارنامه درخشانی ندارد. این شرکت پرونده‌ای قطور در افشای اطلاعات کاربرانش دارد و اخیرا برای عبور از این ماجرا برای پرداخت ۵میلیارد دلار جریمه توافق کرده است. واقعیت این است که در دنیای مجازی امروز حریم شخصی ما با هر پلتفرم و اپلیکیشنی می‌تواند در خطر باشد و بیشتر از هرکسی باید خود کاربران دقت بیشتری در اشتراک‌گذاری اطلاعات زندگی شخصی خود داشته باشند.

بدافزار ATMJaDi، دشمن جان دستگاه‌های خودپرداز

مرداد ۲, ۱۳۹۸/در hack, security, امنیت, فناوری اطلاعات /توسط ادمین

بهار 2019 بود که به نمونه‌ای از بدافزار جدیدِ ATM برخوردیم. این بدافزار درقالب جاوا نوشته و در یک سرویس اسکنر چندگانه آپلود شده بود. خاستگاه این بدافزار ابتدا مکزیک بود و بعد در کلمبیا نیز دیده شد. بعد از تحلیلی کوتاه پی بردیم نام این بدافزار ATMJaDi است و می‌تواند دخل دستگاه‌های خودپرداز را دربیاورد و همه‌ی نقدینگی‌اش را غارت کند. با این حال برای این کار از آرشیوهای استاندارد XFS، JXFS یا CSC استفاده نمی‌کند؛ بلکه در عوض این بدافزار تنها با زیر مجموعه‌ی کوچکی از دستگاه‌های خودپرداز سازگاری خواهد داشت. از همین روست که می‌گوییم این بدافزار بسیار هدف‌دار عمل کرده و حلقه‌ی قربانیانش بسیار محدود و خاص است.

یکی از محصولات ما در کسپرسکی توانست این نمونه تروجان را مورد شناسایی قرار دهد.

جزئیات فنی

نخست اینکه، درست مانند هر بدافزار دستگاه خودپردازی، مهاجمین باید راهی پیدا کنند تا بتوانند بدافزار خود را روی ATMها نصب کنند. این بدافزار را نمی‌توان از طریق کیبورد یا تاچ‌اسکرین ATM کنترل کرد زیرا برای اهدافی که دارد در خود رابط وبِ سرور HTTP درون‌سازه‌ای اجرا می‌کند. بنابراین مجرمین باید به منظور دسترسی به دستگاه خودپرداز مورد هدف خود شبکه‌ی اینترنتی داشته باشند. این باعث شده تا فکر کنیم مجرمان زیرساخت بانک را برای دسترسی پیدا کردن به شبکه‌ای که دستگاه‌های خودپرداز بدان وصلند دستکاری کرده‌اند.

وقتی بدافزار نصب و اجرا شد (در قالب فایل آرشیو جاوا موسوم به INJX_PURE.jar) آنوقت به دنبال پروسه‌ای خواهد گشت که ATM را بتوان با آن تحت کنترل درآورد و به داخل آن رخنه کرد؛ بطوریکه انگار این فرآیند دارد کاملاً قانونی عمل می‌کند. بعد از این تزریق، بدافزار به طور همزمان پیامی را به چند زبان روی پایانه پرینت می‌کند: روسی، پرتغالی، اسپانیایی و چینی. با این وجود، تمام پیام‌ها یا رشته‌های دیگر که توسط این بدافزار استفاده شده‌اند به زبان انگلیسی است. تمام این عبارات که به زبان‌های مختلف نمایش داده شده‌اند به انگلیسی «آزادی و شکوه» ترجمه می‌شوند. این عبارت در ادامه‌اش یک پیام اضافی به زبان روسی هم دارد و آن این است: «отдельный» به معنای «جداگانه». گمان داریم این یک‌ عملیات پرچم دروغین[1] باشد؛ زیرا روسی‌زبانانِ بومی هیچوقت در این شرایط از این واژه‌ی بخصوص استفاده نمی‌کنند.

Свобода и слава

Liberdade e glória

Libertad y Gloria

自由与荣耀

Отдельный

سپس، یک سرور HTTP با استفاده از مسیرهای از پیش تعریف‌شده‌ی URL شروع می‌کند به پذیرش فرمان‌ها. آن‌ها از قرار زیر می‌باشند:

/d برای دریافت کاستِ دستگاه خودپرداز به منظور انجام اقدامات (اقدام درست را پارامترهای موفقیت‌آمیز رقم می‌زند)

/eva برای ارزیابی (اجرای) کد تأمین‌شده توسط کاربر روی خودپردازِ قربانی

/mgr برای مدیر که اجازه می‌دهد مجرمان به فهرستی از دسته‌های در حال اجرا (برای ماشین مجازی جاوای مربوطه) دسترسی پیدا کنند تا بدین‌ترتیب بتوانند هر کارکردی را از آن طلب کرده و درصورت نیاز نیز هر نوع استدلالی را به نفع خود تمام کنند.

/core به مجرمین اجازه می‌دهد تا از فایل سیستم قربانی یک فایل بخصوصِ .jar لود کنند

/root این مسیر، بدنه‌ی درخواست POST را قبول می‌کند و آن را در قالب یک فرمان Shell به cmd.exe تحویل می‌دهد (که خروجی نهایی را بازمی‌گرداند).

این مسیر run a shell و توزیع از هیچ صفحه‌ی رابط (با فرم و دکمه) برخوردار نیستند اما در عوض تنها درخواست‌های از پیش آماده‌شده‌ی HTTP POST را قبول و نتایج خامی را به صورت متنی در پیج پرینت می‌کنند (بدین‌ترتیب تگ‌های HTML نیز حذف می‌شود). بنابراین، اگر مورد، درخواست توزیع بود پاسخ بدافزار، این رشته خواهد بود: «ok». درخواست get cash units information نیز در ادامه با خود رشته‌ای دارد که شرایط واحدهای نقدینگیِ دستگاه‌های خودپرداز را شرح می‌دهد (همانطور که در نمونه‌ی زیر مشاهده می‌کنید).

; 20:30; 10:100; 5:700; 1:1000

این رشته عبارت است از چهار گروه که هر یک بواسطه‌ی نقطه ویرگول از هم جدا شده‌اند. این فهرستی است که به کاست نقدینگی دستگاه خودپرداز مربوط می‌شود و متشکل است از دو ارزش؛ که هر یک با دو نقطه از هم جدا شده‌اند: یکی واحد پول و دیگری تعداد دقیق و واقعی اسکناس‌های داخل کاست. در نمونه‌ی بالا اولین کاست در خود 1000 یادداشت بانکی از واحد 1 و 700 یادداشت بانکی از واحد 5 و غیره.

جدا از مسیرهای “run a shell”، “dispense” و “get cash unit”، مسیرهای “eva”، “mgr” و “core” از صفحات رابط برخورداند. در زیر اسکرین‌شاتی از پیج ارزیابی را خدمتتان ارائه داده‌ایم:

بدین‌ترتیب، به مجرمان اجازه داده می‌شود تا هر کد جاوااسکریپتی را روی دستگاه خودپرداز قربانی اجرا کنند و ببینند آیا جواب می‌دهد یا خیر. حالا چرا جاوااسکریپت؟ چون جاوا استفاده از موتورهای خارجی را برای مجرمان آزاد گذاشته. در زیر، قابلیتی را مشاهده می‌کنید که بدافزار از آن برای اجرای کد پذیرفته‌شده‌ی جاوااسکریپت استفاده می‌کند.

نتیجه‌گیری

طبیعت هدف‌دارِ بدافزار ATMJaDi نشان می‌دهد مجرمان پیش از نوشتن بدافزارشان، قربانی را به خوبی می‌شناسند. پر واضح است که حتماً به ATM -که در آن دسته‌های سفارشی جاوا و تازه به احتمال قوی کد منبع برنامه‌ی جاوا اجرا می‌شود- دسترسی داشته‌اند. همچنین اینکه، روشی که بدافزار تحت کنترل قرار می‌گیرد نشان می‌دهد مجرمین در نظر داشتند برای دسترسی به دستگاه خودپردازِ آلوده، شبکه‌ی اینترنتی آن را نشانه روند (احتمالاً از طریق شبکه‌ی اینترنتی داخلی بانک).

بانک‌ها برای جلوگیری از این نوع حملات باید چه اقداماتی را انجام دهند؟

بکارگیریِ راه‌حل‌های ضد حملاتِ هدف‌دار (نظیر KATA[2]) به منظور محافظت از شبکه‌ی اینترنتی بانک و سایر راه‌حل‌ها جهت محفظت از دستگاه‌های خودپرداز خود در مقابل این بدافزار.

تهیه‌ی لیست سفید از ATM

شبکه‌ی بانکی ATM باید جداگانه و دسترسی به آن نیز می‌بایست به شدت محدود باشد.

البته این موارد را گلچین کردیم و البته که فهرست راهکارهای پیشگیرانه بلند بالاتر از اینهاست. این را به یاد داشته باشید که امنیت اطلاعات نیازمند واکنش‌دهیِ به موقع و توجه توأمان دارد.

[1] false flag، به عملیاتهایی گفته می‌شود که توسط نهادهای نظامی، شبه نظامی، اطلاعاتی یا سیاسی به گونه‌ای انجام می‌شود که این تصور به وجود آید که گروه‌ها یا کشورهای دیگری این عملیاتها را انجام داده‌اند.

[2] Kaspersky Anti Targeted Attack Platform

منبع: کسپرسکی آنلاین

معضل امنیت سایبری: عدم تعادل در کار و زندگی

مرداد ۲, ۱۳۹۸/در hack, kasspersky, security, امنیت, فناوری اطلاعات /توسط ادمین

این روزها دیگر تفکیک مرز بین زندگی کاری و زندگی شخصی بسیار سخت شده و این مرز دارد روز به روز کمرنگ‌تر نیز می‌شود. اکنون دیگر افراد بیشتر ساعات عمر خود را به جای اینکه در خانه باشند پشت میز کار، در دفتر یا اداره‌ی خود سپری می‌کنند. با این حال، هنوز هم حدود یک‌چهارم از کارهای سازمانی خارج از محل کار انجام می‌شود. می‌گویند در چنین جامعه‌ی مدرنی دیگر محال است بتوان بین زندگی شخصی و کاری تعادل برقرار کرد و مرز این دو دیگر برای همیشه غیرقابل تفکیک خواهد بود.

شاید دلیلش رشد فزاینده‌ی حجم اطلاعات دیجیتال طی چند سال اخیر باشد. با این میزان فناوری که در اختیارمان گذاشته شده است خیلی سخت بتوان وظایف محل کار را از وظایف خانگی تمییز داد. زندگی کاری و شخصی‌مان اکنون به داده‌هایی وابسته است که در رسانه‌های اجتماعی، اکانت‌های ایمیل، داکیومنت‌های دیجیتال و فولدرهای به اشتراک گذاشته‌شده ذخیره شده‌اند. تحقیقات اخیر نشان‌دهنده‌ی حجم بالایی از بهم‌ریختگی در پرونده‌های کاری و مدیریتی است.

مرزهای تفکیک‌کننده‌ی کارو زندگی از هم پاشیده شده است

کار تمام وقت در یک اداره (از ساعت 9 صبح تا 5 بعد از ظهر) مزایای مشخصی دارد: شغلی ثابت، درآمدی ثابت، ساعات کاری مشخص. همه‌چیز خوب است اما آخر دوره‌ی کاری که سر زمان مشخصی شروع و تمام شود نیز کم‌کم دارد به سر می‌رسد. این روزها همه خیلی بیشتر از ساعات مشخص کاری خود دارند کار می‌کنند؛ فرقی ندارد جلسه‌ی مهمی در میان است یا برای یک پروژه ضرب الاجل تعیین کرده‌اند. میلیون‌ها کارمند هستند که خارج از ساعات کاری خود تا پاسی از شب را بیدار می‌مانند و کار می‌کنند. در حقیقت، بر اساس برآوردها، کارمندان مکزیک به طور متوسط 43 ساعت در هفته کار می‌کنند و البته کارمندان کاستاریکا، یونان و کره‌ی جنوبی هم کمی از ایشان ندارند.

گرچه نمی‌شود خرده‌ای هم بر آن‌ها گرفت (خیلی‌ها این شرایط را پذیرفته‌اند) اما به هر حال رفته‌رفته همین مسائل است که باعث شده زندگی شخصی و کاری یک‌جورهایی به هم گره خورده و در هم تنیده شود. حالا دیگر شرایط طوری شده که افراد، متعلقات شخصی خود را در محل کار نگه می‌دارند و یا کارهای خانه را پشت میز در محل کار خود انجام می‌دهند. هیچ غیرمعمول به نظر نمی‌رسد اگر کارمندی در محل کار خود لباس راحت‌تر بپوشد و حتماً وقتی چنین بستری فراهم شود، دیگر حساسیتی هم -بر همین اساس- در مورد اطلاعات دیجیتال نخواهد بود. امروزه خیلی‌ها اطلاعات دیجیتال خود را (بدون هیچ مرز نفکیک‌کننده‌ای) در خانه و محل کار استفاده می‌کنند.

مشکل اساسی از جایی شروع می‌شود که توجه و حساسیت کارمندان یک شرکت نسبت به اطلاعات سازمانی که ذخیره می‌کنند کم می‌شود. کارمندانی که اطلاعات شرکت خود را روی دستگاه‌های شخصی خود ذخیره می‌کنند همیشه به به فکر ابعاد امنیتی آن نیستند؛ خیلی وقت‌ها می‌شود که سهل‌انگاری می‌کنند و آینده و نام یک سازمان را به باد می‌دهند. اطلاعات دیجیتال براحتی مورد دستبرد و دستکاری قرار می‌گیرد و درست همینجاست که خطر جولان دادن سارقین سایبری، کل سازمان را تهدید خواهد کرد.

شرکت‌ها باید اطلاعات‌شان- و البته نیروی کارشان را-مدیریت کنند

همینطور که کارمندان برای مدیریت اطلاعات شخصی و کاری‌شان تقلا می‌کنند، شرکت‌ها هم کارشان سخت‌تر خواهد شد زیرا باید نظارت و امنیت‌دهی‌شان را به فراخور تعداد رو به رشد اطلاعات و فایل‌ها ارتقا دهند. مطالعات ما نشان داده است که 80 درصد از کارمندان فکر می‌کنند مسئول امنیت‌دهی به ایمیل‌ها، فایل‌ها و داکیومنت‌ها بر گردنشان نیست.

اطلاعات حساس و شخصی، جزئیات پرداخت و کدهای مجوز تنها نمونه‌های کوچکی هستند از اطلاعاتی که سازمان‌ها به طور روزانه برای بهبود راندمان اجرایی خود بدان‌ها نیازمند بوده و وابسته‌اند. اما کارمندان این اطلاعات را در امنیت کامل یا به طرز صحیحی ذخیره نمی‌کنند. شاید بیش از نیمی از کارمندان (56 درصد) مرتباً آیتم‌های تاریخ‌گذشته‌ی خود را از اینباکس ایمیل‌شان پاک می‌کنند و حدود یک‌سوم آن‌ها (34 درصد) نیز از شر فایل‌های قدیمی خود روی هارد درایوهایشان خلاص می‌شوند.

این آشفتگیِ دیجیتالی وقتی اطلاعات در مکان‌هایی غیرقابل کنترل ذخیره می‌شود تازه تشدید نیز می‌شود (مثل فضای کلود یا فولدرهای به اشتراک گذاشته‌شده، یا حتی وقتی فایل‌ها در حال انتقال هستند). حالا رشد سریع تعداد فایل‌هایی که در حال تولیدند را هم به این موارد اضافه کنید. تعداد فایل‌ها دارد به سمتی می‌رود که دیگر نمی‌شود اطلاعات سازمانی را به این سادگی‌ها مدیریت کرد. حال حساب کنید کار سازمان‌ها چقدر سخت خواهد بود در چنین شرایطی سعی کنند مسئولیت همه‌ی اطلاعات حساس و محرمانه را گردن بگیرند و نگذارند نامحرمان (یا حتی خود کارمندان آن شرکت) بدان‌ها دستبرد بزنند. وقتی شرایط طوریست که کارمند از روی کنجکاوی می‌خواهد بداند حقوق همکارش چقدر است آنوقت دیگر چه انتظاری می‌شود از یک هکر تشنه‌ی پول داشت؟ سازمان‌ها و کارمندان به هم نیاز دارند از این جهت که در راستای مدیریت امن اطلاعات باید با هم مشایعت کنند. اگر کارمندان و سازمان‌ها بتوانند دست در دست هم از پس چالش امنیت اطلاعات بر بیایند؛ آنوقت خیلی راحت‌تر می‌شود فضای سازمانی‌ای ایجاد کرد که در آن فرهنگ و اخلاق حرف اول را می‌زند. در چنین بستری است که تک تک اعضای سازمان وظیفه‌ی خود می‌دانند از شرکت خود حفظ و حراست کنند. درست در همین نقطه است که مبحث تعلیم و آموزش کارمندان اهمیت پیدا می‌کند. اگر آن‌ها را در بخش امنیت اطلاعات آموزش دهیم دیگر از نقش خود در سازمان سرسری گذر نمی‌کنند و تمام تلاششان را خواهند کرد تا امنیت همه‌ی جانبه‌ی شرکت حفظ گردد. تنها با رسیدن به این مهم است که کارمندان قادر به مدیریت بهتر اطلاعات شخصی و کاری خود خواهند بود.

کاهش فشار

تجربه به ما نشان می‌دهد (و البته نظرمان هم بر این است که) آشفتگی دیجیتال را نمی‌توان یک معضل خواند (فرقی ندارد شخصی باشد یا کاری). مشکل بی‌مسئولیتی افراد است و اینکه نمی‌توانند کارهای مخصوص یک محیط را درست در همان محیط انجام دهند (این ادغام شرایط، کار را سخت کرده است).

هر کسی تجربه‌ی مختلفی دارد. افراد پیرتر (در بسیاری از موارد) با تکنولوژی چندان حس راحتی نمی‌کنند و همیشه وقتی حرف فناوری به میان می‌آید معذب می‌شوند. از طرفی همه‌مان افرادی را سراغ داریم که وقتی خبری از گوشی و اینترنت و لپ‌تاپ نباشد روزشان روز نمی‌شود. برخی افراد تمام زندگی کاری و شخصی‌شان وابسته به تکنولوژیست. بنابراین، به جای تمرکز روی ارائه‌ی راه‌حل‌های سازمانی روی دستگاه‌های شخصی (هم کاری سخت است و هم چنین راهکاری ممکن است روی خیلی از شرکت‌ها در کشورهای جهان اجراشدنی نباشد) یا تلاش برای تغییر عادات مردم، باید محیط‌هایی را ایجاد کنیم که در آن‌ها بین امنیت و راحتی تعادل برقرار می‌شود (هم انواع مختلف فرایندهای اطلاعاتی و سازمانی). مهم‌تر اینکه باید فرقی قائل شد بین فضای تمام سازمانی (که تنها کارمندان همان شرکت فعالیت دارند) و محیط‌هایی که کارمندان با افراد خارج از شرکت نیز ارتباط دارند. درست است که مهره‌های سازمان باید تمام دقت خود را روی موارد مذکور بگذارند؛ اما به هر حال بستر هم باید به حد کافی مهیا باشد. رسیدن به این هدف هم تنها در گروی وضع مجموعه قوانینی رایج و البته ایجاد درکی دو طرفه از سوی سازمان و کارمندان است. البته، قوانین باید طوری اجرایی شود که عادات کارمندان با نیازهای سازمانی و نیازهای خود کارمندان تداخل پیدا نکند.

منبع: کسپرسکی آنلاین

بیمارستان های انگلیس هنوز در معرض خطر باج افزار واناکرای

تیر ۱۶, ۱۳۹۸/در baj afzar, security, امنیت, فناوری اطلاعات /توسط ادمین

مقامات انگلیسی هشدار داده اند که این کشور هنوز در برابر خطر حملات سایبری ناشی از باج افزار وانا کرای آسیب پذیر است و برای جلوگیری از سوءاستفاده‌های آن باید تدابیری اتخاذ شود.

به گزارش زددی نت، مقامات انگلیسی هشدار داده اند که این کشور هنوز در برابر خطر حملات سایبری ناشی از باج افزار وانا کرای آسیب پذیر است و برای جلوگیری از سوءاستفاده های آن باید تدابیری اتخاذ شود.گزارشی که در این زمینه توسط کالج سلطنتی لندن تهیه شده نشان می دهد که به علت عدم به روزرسانی سیستم های رایانه ای مورد استفاده در شبکه بهداشت و درمان انگلیس و ناآشنایی کارکنان بیمارستان ها و مراکز درمانی با مهارت های امنیت سایبری، خطرات جدی در این زمینه بیماران و پزشکان را تهدید می کند.

وانا کرای در صورت حمله به بیمارستان ها و مراکز درمان انگلیس جلوی دسترسی به اطلاعات درمانی بیماران را می گیرد یا حتی ممکن است تجهیزات پزشکی حیاتی مورد استفاده را از کار بیندازد و موجب مرگ بیماران شود. همچنین باج افزار یادشده برای سرقت اطلاعات بیماران قابل استفاده است.

پیش از این و در سال 2017 حمله باج افزار وانا کرای به شبکه بهداشت و درمان انگلیس باعث لغو هزاران قرار ملاقات پزشکان و بیماران شده و بالغ بر 92 میلیون پوند خسارت به بار آورده بود.