۹ نکته امنیتی که هر کاربری باید آنها را بداند بخش دوم
۳. حتی بهترین نرمافزارها هم آسیبپذیریهای امنیتی دارند
خیلی از ما باور داریم که نرمافزارها یا سرویسهای خوب و مشهور کاملاً ایمن هستند. به همین دلیل است که بسیاری از کاربران وقتی متوجه میشوند محصول یا سرویس آنها آسیبپذیر است عصبانی میشوند. آنها اینطور فکر میکنند که وقتی میتوان یک خودروی ایمن ساخت، چرا نمیتوان یک تلفن ایمن ساخت؟
پریسا تبریز رئیس تیم امنیتی گوگل کروم میگوید نباید به امنیت اطلاعات اینگونه نگاه کرد. تبریز عقیده دارد امنیت اطلاعات بیشتر شبیه پزشکی است؛ اندکی هنر و مقداری علم، نه علم خالص. او دلیل این شباهت را این واقعیت میداند که تکنولوژی ما ساختهی دست انسانها است و توسط انسانها و با اهداف بسیار غیر علمی مورد استفاده قرار میگیرد. او میگوید:
“من فکر میکنم امنیت اطلاعات بسیار شبیه پزشکی است. هم علم است و هم هنر. شاید به این دلیل باشد که ما انسانها تکنولوژی و اینترنت را ساختهایم. ما فرض میکنیم که باید بتوانیم اینها را کامل و بی نقص بسازیم، اما پیچیدگیِ چیزی که ساختهایم و حالا امیدواریم که بتوانیم امنیت آن را تامین کنیم، تقریباً غیر ممکن به نظر میرسد. امنیت آن احتیاج به نبود حتی یک باگ دارد. این شرایط را که در نظر بگیرید متوجه خواهید شد که بخت با سمت “مدافع” نیست. مدافع باید مطمئن باشد نرمافزاری که مینویسد هیچ باگی ندارد (که در مورد سیستم عاملها چندین میلیون خط کد باید کاملاً عاری از کوچکترین باگی باشند) در حالی که “مهاجم” تنها کافی است تا یک باگ پیدا کند.
همیشه در نرمافزارها باگ وجود دارد و برخی از این باگها تاثیرات امنیتی دارند. چالش اصلی این است که منابع خود را صرف برطرف کردن کدام باگها کنیم و این کار بر اساس مدلهای فرضیِ تهدید است. این مدلها به ما میگویند که افراد با چه انگیزههایی (مانند جرم و جنایت، سرقت، نظارت و …) دست به حمله میزنند.”
۴. هر وبسایت یا اپلیکیشن باید از HTTPS استفاده کند
حتماً شما هم شایعات زیادی دربارهی HTTPS شنیدهاید. اینکه کند است، فقط برا سایتهایی که باید فوق امن باشند لازم است، واقعاً کار نمیکند و مواردی از این دست. همهی اینها نادرست هستند. پیتر اکرسلی از بنیاد مرز الکترونیک (Electronic Frontier Foundation) چندین سال است که روی استفاده از HTTPS تحقیق میکند. او میگوید باور نادرست و خطرناکی بین عموم رواج دارد که بسیاری از سایتها و اپلیکیشنها به HTTPS نیاز ندارند. او میگوید:
“یکی دیگر از تصورات غلط این است که اپراتورهای وبسایتهایی مثل روزنامهها و شبکههای تبلیغاتی فکر میکنند که چون با پرداخت الکترونیکی سر و کار ندارند، وبسایت یا اپلیکیشنشان هم نیازی به HTTPS ندارد. همهی وبسایتها به HTTPS نیاز دارند، چرا که بدون آن هکرها، استراق سمع کنندگان یا آژانسهای جاسوسی دولتی به راحتی میتوانند بفهمند که چه کسانی مشغول خواندن مطالب سایت هستند، چه اطلاعاتی در اپلیکیشن در حال پردازش است، یا حتی میتوانند اطلاعات را به روشهای مخربی تغییر دهند.”
اکرسلی وابستگی به هیچ شرکتی ندارد (بنیاد مرز الکترونیک یک سازمان غیر انتفاعی است) پس اگر میبینید برای HTTPS تبلیغ میکند مطمئن باشید انگیزهی مالی پشت آن نیست و به او نفعی نمیرسد. او تنها به ایمنی کاربران اهمیت میدهد.
۵. فضای ابری (کلاود) امن نیست و تنها موجب بروز مشکلات امنیتی جدید میشود
امروزه همه چیز به سمت ابری شدن پیش میرود. ایمیلهای شما آنجا است، عکسها، پیامها، سوابق پزشکی، مدارک بانکی، و حتی جزئیاتی از زندگی خصوصیتان. در حقیقت فضای ابری از آن چه فکر میکنید امنتر است؛ اما ممکن است موجب بروز مشکلات امنیتی جدیدی شود که تا به حال آنها را در نظر نگرفتهاید.لی هانیول مهندس ایمنی است که برای یک شرکت بزرگ پردازش ابری کار میکند. او در ادامه توضیح میدهد که پردازش ابری دقیقاً چگونه کار میکند. هانیول پیشنهاد میکند برای درک بهتر تفاوت فضای ابری با فضای ذخیره سازی محلی، مثال ملموس و فیزیکی زیر را در نظر بگیرید:
به بیان دیگر بعضی روشهای حملات خودکار در سیستمهای ابری واضح و آشکار هستند؛ اما مخفی شدن در این سیستمها هم آسانتر است. هانیول توضیح میدهد که کاربران باید حتماً خطراتی که به طور جدی نگرانش هستند را هنگام انتخاب بین یک سرویس ابری و یک سرور خانگی در نظر بگیرند.
“خدمات ابری سیستمهای بسیار پیچیدهتری نسبت به یک هارد دیسک متصل به کامپیوترتان، یا سرویس ایمیلی که خودتان توسط سرور خانگی راهاندازی کردهاید هستند. در نتیجه موارد احتمال بروز خطا بسیار بیشتر است، اما در عین حال افراد بیشتری هم در حال حفاظت از آن هستند. سوال اصلی که باید از خودتان بپرسید این است: آیا خود من بهتر میتوانم چنین سیستمی را اداره کنم یا بهتر است این وظیفه را به افرادی با وقت، سرمایه و تخصص بیشتر از خودم بسپارم؟ فکر میکنید چه کسی قرار است شما را هک کند؟ یک بچه دبیرستانی مشتاق یا NSA؟ من خودم به مدت چندین سال سرور ایمیل خودم را داشتم و بالاخره به یک سرویس میزبانی ایمیل مهاجرت کردم. من کسانی که برای Gmail و Outlook کار میکنند را میشناسم و میدانم که آنها در ادارهی سرور ایمیل از من بسیار بهتر عمل میکنند. همچنین بحث زمان و هزینه هم در میان است. راه اندازی یک سرور ایمیل کاری مشقت بار است، اما برای کسی که نگران جاسوسهای NSA است ارزشش را دارد.