هدف اصلی از ارائه این سری مقالات آشنایی و معرفی اولیه امنیت اطلاعات است . در ابتدا ما شما را با مشکلاتی که در حوزه امنیت اطلاعات وجود دارد آشنا خواهیم کرد سپس واژه امنیت اطلاعات و دلایل اهمیت امنیت اطلاعات در دنیای امروزی را توضیح خواهیم داد. شما در این مقاله با انواع مختلف مهاجمین که امروزه بصورت معمول به شبکه ها و یا سیستم های اطلاعاتی حمله می کنند آشنا خواهید شد. برای تنوع گام های مقدماتی که برای انجام یک حمله هکری بایستی از ابتدا برداشته شود را با هم بررسی خواهیم کرد و در نهایت 5 اصل مهم در دفاع از سیستم های اطلاعاتی را برای شما تشریح خواهیم کرد.
سالها پیش از اینکه شبکه های کامپیوتری به شکل امروزی خود در بیایند بحث امنیت اطلاعات چندان مطرح نبود . این موضوع کاملا طبیعی است زیرا تا زمانیکه احساس نیاز به یک فرآیند وجود نداشته باشد کسی درگیر استفاده از آن فرآیند نخواهد شد. برای مثال اگر در سال 1995 وب سایت انجمن تخصصی فناوری اطلاعات ایران در اینترنت برای پرسش و پاسخ به سئوالات کارشناسان وجود داشت ، در آن زمان چندان دغدغه هک شدن و مورد حمله قرار گرفتن را نداشت . با گذشت زمان و فراگیر شدن استفاده از شبکه های کامپیوتری و سیستم های اطلاعاتی به شکل امروزی که دیگر هر شخص برای خود در خانه یا محل کار و یا در دستان خود یک کامپیوتر در اختیار داشت و به شبکه جهانی متصل می شد ، مشکلات بسیاری بوجود آمد که باعث رونق گرفتن بازار کار امنیت اطلاعات در سرتاسر دنیا شد. طبیعی است که وقتی همه چیز بر روی شبکه قرار می گیرد و همگان می توانند به این شبکه متصل شوند امنیت این شبکه نیز بایستی تامین شود ، تا کنون شرکت های بزرگ دنیا به خاظر رعایت نکردن اصول امنیت اطلاعات ضررهای هنگفتی کرده اند و همین موضوع باعث شده است که مبحث امنیت اطلاعات یکی از مهمترین مسائل در قرن 21 ام به شمار می رود. امن سازی اطلاعات یک راهکار ساده نیست ، حملات مختلفی همه روزه به سیستم های اطلاعاتی انجام می شود که شناخته شده نیستند و مقابله در برابر چنین حملاتی اصلا کار ساده ای نیست ، امنیت اطلاعات صرفا محدود به شبکه ها و سیستم های اطلاعاتی نمی باشد و اشخاص و نیروهای انسانی نیز جزئی از این فرآیند محسوب می شوند ، در حوزه امنیت اطلاعات برخی از مسائل فنی است و بسیاری دیگر از مسائل مرتبط غیر فنی و وابسته به درک و آموزش نیروی انسانی می باشد ، ما در این سری مقالات به تمامی جوانب امنیت اطلاعات خواهیم پرداخت و تک بعدی به این فرآیند نگاه نخواهیم کرد.
برای شکستن رمزهای عبور و الگوریتم های رمزنگاری نیار به قدرت پردازشی بالایی می باشد ، خاطرم هست که اولین کامپیوتری که در خانه داشتم دارای یک CPU یا قدرت پردازشی 500 مگاهرتز و RAM 64 مگابایتی بود. با چنین کامپیوتری شکستن یک کلید رمزنگاری شاید سالها طول می کشید . امروزه قدرت پردازشی سیستم های سخت افزاری بسیار بسیار بالا رفته است و غیر قابل مقایسه با قبل است ، هر کس می تواند در خانه خود تلاش برای شکستن رمزهای عبور دیگران را براحتی انجام دهد و دغدغه پردازش توسط CPU را نداشته باشد. امروزه حتی گوشی های تلفن هوشمند از برخی کامپیوترها قدرت پردازشی بیشتری دارند ، بنده با استفاده از گوشی Note II از شرکت سامسونگ براحتی می توانم برخی از الگوریتم های رمزنگاری ساده را کرک کنم که حاصل قدرت پردازشی خوب CPU بکار رفته در این گوشی می باشد. البته از این موضوع هم نگذریم که امروزه همین گوشی های تلفن هوشمند یکی از اهداف اصلی حملات مهاجمین هستند.
هر نرم افزاری که نوشته می شود بایستی از طریق یک سری استانداردهای امنیتی آزمایش شود تا نقاط ضعف آن مشخص شود . امروزه اکثر برنامه هایی که نوشته می شوند از این آزمون ها استفاده نمی کنند و صرفا بازار فروش خود را در نظر می گیرند ، که همین موضوع می تواند باعث بروز مشکلات امنیت و نقاط ضعفی شود که مهاجمین بتوانند از آن برای نفوذ به نرم افزار استفاده کنند. حتی اگر نرم افزاری با این استانداردها ایجاد شود باز هم در طی زمان ممکن است نقاط ضعف امنیتی در آن مشاهده شود کما اینکه شرکت مایکروسافت برای محصولات ویندوز خود همه روزه بسته های امنیتی ارائه می دهد تا نقاط ضعف آنرا پوشش دهند ، اما یکی از مواردی که مهاجمین بیشترین استفاده از آن را می کنند سهل انگاری کاربران و مدیران شبکه در بروز رسانی و نصب این بسته های امنیتی است که در صورت عدم نصب به موقع می تواند باعث ورود مهاجمین به سیستم شوند. در آینده ای نه چندان دور قرار است که برای وب سایت انجمن تخصصی فناوری اطلاعات ایران نرم افزارهای جانبی نوشته شود که شما دوستان بتوانید براحتی از منابع وب سایت استفاده کنید ، امیدواریم این نرم افزارها دچار چنین مشکلاتی نشوند ، هر چند قانون کرک یک جمله معروف دارد : نرم افزاری کرک نمی شود که نوشته نشده است .
امروزه حملات به انواع و اقسام روش های مختلف انجام می شود ، برخی از معروف ترین انواع حملات عبارتند از : استفاده از آنتی ویروس های جعلی ، در اینگونه حملات ، در قالب تبلیغات به شما اخطار داده می شود که سیستم شما آلوده است و شخص مورد نظر خود را در قالب یک شرکت جا می زند و ادعا می کند که نرم افزار آنتی ویروسی دارد که آلودگی سیستم شما را از بین می برد ، حال یا برای اینکار از شما طلب پول می کند و یا اینکه بدون دریافت پول نرم افزار را به شما می دهد تا آن را نصب کنید و سیستم شما در این لحظه آلوده و تحت فرمان مهاجم خواهد بود.مهمترین استفاده ای که از این حملات می شود معمولا به سرقت بردن اطلاعات کارت های اعتباری و حساب های بانکی شما است ، روشی که عنوان شد تنها یکی از چندین روش معمول هک کردن اطلاعات شخصی می باشد.
حسابهای آنلاین بانکی یک از مواردی است که بیشترین میزان حملات را به خود اختصاص می دهد. همانطور که قبلا هم اشاره شده حملات همیشه بصورت نرم افزاری و فنی نیستند بلکه در بسیاری اوقات مهاجمین از حماقت و عدم آگاهی کاربران سوء استفاده می کنند و کلاهبرداری خود را انجام می دهد ، مدت هاست که روش های مختلفی برای هک کردن به روش کلاهبرداری وجود دارد که از برجسته ترین آنها می توانیم به حقه نیجریه ای یا کلک نیجریه ای اشاره کنیم ، در این نوع از کلاهبرداری ها شخصی برای شما ایمیلی می فرستد و می گوید که یا شما برنده یک مسابقه شده اید و یا اینکه در Lottery برنده شده اید و برای اینکه این مبلغ را بتوانیم به حساب شما انتقال دهیم بایستی مبلغی را به حساب آنها واریز کنیم و طبیعی است که پس از باور کردن این موضوع توسط کاربران نا آگاه پول واریز شده دیگر به حساب شما باز نمی گردد و اینجاست که مثل معروف جا تره و بچه نیست مصداق پیدا می کند. همه روزه تعداد و تنوع این حملات زیادتر می شود ، انواع و اقسام کدهای مخرب وجود دارد که براحتی بر روی حافظه های USB Flash قرار می گیرند و در همه جا تکثیر می شوند.
شاید با خود بگویید که با وجود چنین مشکلات امنیتی بسیار ، چگونه است که همچنان راهکار مناسبی برای مقابله با چنین حملاتی وجود ندارد و همیشه امنیت اطلاعات ما دچار خطر می باشد ؟ توجه کنید که برقراری امنیت به هیچ عنوان کار ساده ای نیست ، در این روزها هر کسی می تواند براحتی با یک دستگاه ساده به شبکه جهانی یا شبکه داخلی شما متصل شده و به اطلاعات شما دسترسی پیدا کند ، سرعت حملات روز به روز بیشتر می شود ، سالها قبل برای اینکه بتوانیم یک حمله را انجام دهیم ممکن بود زمان زیادی برای برنامه ریزی و اعمال آن با استفاده از سیستم های کامپیوتری آن زمان هدر بدهیم اما امروزه دیگر مشکل سرعت را نداریم . دیگر حملات مثل سابق با الگوریتم های شناخته شده حمله معمول انجام نمی شوند و دارای پیچیدگی های زیادی در روش انجام خود هستند ، این روزها یک بچه وقتی از مدرسه به خانه می آید می تواند یک ابزار هک را دانلود کرده و بدون نیاز به دانش فنی زیاد شروع به هک کردن کند زیرا دسترسی و سادگی کار کردن با ابزارهای امروزی هک ، هر روز بیشتر از روی قبل می شود. هر روز و یه بهتر بگوییم هر لحظه نقاط ضعف امنیتی بسیاری بر روی سیستم عامل های مختلف از جمله سیستم عامل هایی که ما از آنها استفاده می کنیم شناسایی می شوند و تا زمانیکه شرکت مربوطه بخواهد Patch امنیتی حفره را به ما ارائه دهد ممکن است ما هک شده باشیم ، تاخیر در ارائه Patch های امنیتی از طرف شرکت های سازنده و توزیع نامناسب آنها باعث سوء استفاده مهاجمین از این قضیه می شود. حملات امروزی بصورت توزیع شده بین هزاران سیستم ممکن است انجام شود و شما براحتی نمی توانید تشخیص بدهید که حمله واقعا از کجا انجام می شود ، اشتباهاتی که کاربران در شبکه ها مرتکب می شوند یکی از مهمتری نقاط ضعف یک سازمان است . پس تا اینجا به این موضوع رسیدید که مقابله در برابر حملات کار ساده ای نیست ، ما به عنوان یک کارشناس امنیت فقط می توانیم شدت حمله را کاهش دهیم و هیچوقت نمی توانیم کاملا مصون بمانیم.
قبل از اینکه در یک جنگ ، حمله یا دفاع کنیم ، بایستی دشمن را خوب بشناسیم ، این قانون هر جنگی است. در حوزه امنیت اطلاعات نیز ما بایستی قبل از اینکه بتوانیم از خودمان و اطلاعاتمان در برابر مهاجمین دفاع کنیم بایستی یک سری مسائل را به خوبی درک کنیم. قبل از هر چیز شما باید بدانید که ماهیت امنیت اطلاعات چیست ؟ چرا امنیت اطلاعات مهم است ؟ مهاجمین چه کسانی هستند و چگونه عمل می کنند ؟ تا شناخت درستی از مهاجمین نداشته باشید نمی توانید از اطلاعات خود در برابر آنها محافظت کنید ، در این راه شما بایستی روش هایی که مهاجمین برای حمله به شما استفاده می کنند را به خوبی شناسایی کرده و نقاط ضعف خود را پوشش دهید ، دقیقا امنیت اطلاعات مانند یک جنگ است ، شما قبل از حمله بایستی یک تیم اطلاعاتی داشته باشید تا در خصوص هدف به شما اطلاعات دهد ، فعالیت های دشمن را زیر نظر بگیرد و نقاط ضعف و قوت آنها را شناسایی و به شما گوشزد کند. پس به جنگ زیبای امنیت اطلاعات خوش آمدید.
اما تعریف امنیت اطلاعات چیست ؟ در اولین جلسه از دوره های امنیت اطلاعاتی که برگزار می کنم از دانشجویان این سئوال را می پرسم که تعریف شما از امنیت اطلاعات چیست ؟ چه تصوری از امنیت اطلاعات داشته اید که در این کلاس شرکت کرده اید ؟ جالب اینجاست که به جز برخی از دانشجویان که قبل از کلاس مطالعه کرده اند و به سر کلاس می آیند اکثر دانشجویان پاسخ درستی به این سئوال نمی دهند ، بلافاصله تا اسمی از امنیت اطلاعات برده می شود دیدگاه ها به سمت استفاده از رمز عبور و ... می رود. البته این دیدگاه نادرست نیست اما دیدگاه جامعی در خصوص مبحث امنیت اطلاعات نیست.
قبل از اینکه به سراغ تعریف امنیت اطلاعات بپردازیم به تعریف واژه امنیت می پردازیم . تعریف امنیت به این صورت است : قدم هایی که شما برای محافظت از اشخاص یا دارایی های خود در برابر صدمات و آسیب ها بر می دارید را امنیت می گویند. توجه کنید که بحث صدمات و آسیب ها هم می تواند عمدی باشد و هم می تواند بصورت غیر عمدی انجام شود ، هدف ما از جمله بیان کلی مفهوم امنیت است.امنیت باعث به وجود آمدن آسودگی و آرامش برای ادامه روند کاری شما می شود. امنیت اطلاعات هم تا حدود زیادی همین مفهوم را در بر می گیرد ، در حوزه امنیت اطلاعات ، اطلاعات به عنوان دارایی یا Property یک سازمان در نظر گرفته می شود ، امنیت اطلاعات یعنی قدم هایی که شما برای محافظت از اطلاعاتی که در قالب دیجیتال ذخیره شده اند در برابر صدمات و آسیب ها بر می دارید می باشد. توجه کنید که این اطلاعات زمانی ارزشمند هستند که برای سازمان شما دارای ازرش یا Value باشند در غیر اینصورت نیازی به حفاظت ندارند.
چه پارامترهایی وجود دارد که در نهایت باعث می شود تا ما یک سری اطلاعات را امن بدانیم ؟ از کجا باید بدانیم که اطلاعات امنیت دارند یا خیر ؟ اولین معیار در خصوص اطلاعات امن این است که اطلاعات بایستی محرمانه یا Confidential باشند. یعنی اینکه صرفا افرادی که مجاز به استفاده از اطلاعات هستند بتوانند از آنها استفاده کنند و به اطلاعات دسترسی پیدا کنند. دومین معیار این است که اطلاعات بایستی سالم ، کامل و از دستکاری غیر مجاز محافظ شوند که در اصطلاح به تمامیت اطلاعات یا Integrity اطلاعات گفته می شود. یعنی اطلاعات بایستی به گونه ای نگهداری شوند که صحیح باشند و دستکاری های غیر مجاز بر روی آنها انجام نشود. سومین معیار این است که اطلاعات بایستی در زمانی که مورد نیاز هستند برای افراد مجاز در دسترس باشند که در اصطلاح فنی به آن Availability گفته می شود. این سه معیار اصلی برای امنیت اطلاعات است که بصورت Confidentiality ، Integrity و Availability شناخته می شوند. اگر قصد برقراری امنیت برای اطلاعات خود را دارید حتما باید مطمئن شوید که اطلاعات شما این سه معیار را درون خود دارد. در اصطلاح امنیت اطلاعات به این معیارها CIA امنیت اطلاعات گفته می شود ، این اسم هیچ ربطی به CIA ای که می شناسیم ندارد. در هنگام بررسی این سه مورد از خودتان این سئوالات را بپرسید :
در خصوص معیارهای اطلاعات امن صحبت کردیم ، اما ما چگونه می توانیم به یک CIA درست از اطلاعات دست پیدا کنیم ؟ برای اینکه بتوانیم اطلاعات خود را امن کنیم یک سری حفاظت ها یا Protection ها وجود دارد که بایستی برای هر سطح از امنیت در نظر بگیریم تا به هدف اصلی که CIA می باشد نزدیک شویم. اولین نکته حفاظتی برای اطلاعات احراز هویت یا Authentication است. احراز هویت یعنی اینکه آیا شخص یا کاربر مورد نظر همان فردی است که ادعا می کند یا ادعای وب تقلبی است ؟ در ساده ترین حالت ممکن شما در وب سایت itpro.ir هر شخص دارای یک نام کاربری و رمز عبور می باشد ، این نام کاربری و رمز عبور وسیله احراز هویت شما در وب سایت انجمن می باشد ، سیستم و سرویس هایی که در شبکه کار می کنند با استفاده از این نام کاربری و رمز عبور شما را شناسایی و احراز هویت می کنند. دومین نکته حفاظتی سطح اختیارات یا Authorization است . سطح اختیارات بعد از عملیات احراز هویت اعلام می شود و به کاربر ما می گوید که حق انجام چه کاری را دارد. توجه کنید که همه کاربران در وب سایت انجمن تخصصی فناوری اطلاعات ایران یاitpro.ir دارای نام کاربری و رمز عبور هستند اما فقط عده معدودی دارای دسترسی های مدیریتی هستند. سومین نکته حفاظتی حسابرسی یا Accounting می باشد. به عنوان مدیر وب سایت انجمن تخصصی فناوری اطلاعات ایران بنده بایستی بدانم که کاربران چه فعالیت هایی در وب سایت انجام می دهند ، بیشتر از چه منابعی استفاده می کنند و در هنگام بروز خطا در وب سایت در کجا بوده اند ، این اطلاعات می تواند در بهبود سرویس دهی و همچنین جلوگیری از بوجود آمدن اختلال در وب سایت itpro.ir به مدیران وب سایت کمک کند. بنابراین برای اینکه مطمئن شویم کنترل های حفاظتی درستی پیاده کرده ایم یا خیر از خود این سئوالات را می پرسیم :
در هر حوزه ی فنی ای که کار کرده باشید حتما متوجه شده اید که واژه های تخصصی وجود دارند که با ترجمه فارسی میانه خوبی ندارند و این واژه ها همان اصطلاحات فنی مربوط به تخصص مورد نظر می باشند ، مبحث زیبای امنیت اطلاعات نیز یک سری واژه های معمول تخصصی دارد که ممکن است در تخصص های دیگر معانی دیگری داشته باشند ، به عنوان یک کارشناس امنیت یا یک شخص علاقه مند به حوزه امنیت اطلاعات بایستی با این واژه ها آشنا بشوید ، قصد نداریم کلیه واژه های تخصصی این حوزه را بررسی کنیم و بیشتر به موارد مهم اشاره خواهیم کرد ، پر کاربردترین واژه ها در حوزه امنیت اطلاعات به شرح زیر می باشند :
توجه کنید که شما هیچگاه نمی توانید بصورت کامل ریسک های موجود را برطرف و حذف کنید . دلایل بسیاری برای این مسئله وجود دارند که مهمترین های آنها هزینه های زیادی است که برای برطرف کردن ریسک ها باید پرداخت کرد . همچنین معمولا برای اینکه طرح های مقابله با ریسک ها به درستی پیاده سازی شوند زمان زیادی لازم است ، به همین دلیل معمولا ریسک ها اولویت بندی شده و با توجه به همین اولویت ها با آنها برخورد می شود.
