۹ نکته‌ امنیتی که هر کاربری باید آن‌ها را بداند بخش دوم | یولا استار

۹ نکته‌ امنیتی که هر کاربری باید آن‌ها را بداند بخش دوم

۳. حتی بهترین نرم‌افزارها هم آسیب‌پذیری‌های امنیتی دارند

خیلی از ما باور داریم که نرم‌افزارها یا سرویس‌های خوب و مشهور کاملاً ایمن هستند. به همین دلیل است که بسیاری از کاربران وقتی متوجه می‌شوند محصول یا سرویس آن‌ها آسیب‌پذیر است عصبانی می‌شوند. آن‌ها اینطور فکر می‌کنند که وقتی می‌توان یک خودروی ایمن ساخت، چرا نمی‌توان یک تلفن ایمن ساخت؟

پریسا تبریز رئیس تیم امنیتی گوگل کروم می‌گوید نباید به امنیت اطلاعات اینگونه نگاه کرد. تبریز عقیده دارد امنیت اطلاعات بیشتر شبیه پزشکی است؛ اندکی هنر و مقداری علم، نه علم خالص. او دلیل این شباهت را این واقعیت می‌داند که تکنولوژی ما ساخته‌ی دست انسان‌ها است و توسط انسان‌ها و با اهداف بسیار غیر علمی مورد استفاده قرار می‌گیرد. او می‌گوید:

“من فکر می‌کنم امنیت اطلاعات بسیار شبیه پزشکی است. هم علم است و هم هنر. شاید به این دلیل باشد که ما انسان‌ها تکنولوژی و اینترنت را ساخته‌ایم. ما فرض می‌کنیم که باید بتوانیم این‌ها را کامل و بی نقص بسازیم، اما پیچیدگیِ چیزی که ساخته‌ایم و حالا امیدواریم که بتوانیم امنیت آن را تامین کنیم، تقریباً غیر ممکن به نظر می‌رسد. امنیت آن احتیاج به نبود حتی یک باگ دارد. این شرایط را که در نظر بگیرید متوجه خواهید شد که بخت با سمت “مدافع” نیست. مدافع باید مطمئن باشد نرم‌افزاری که می‌نویسد هیچ باگی ندارد (که در مورد سیستم عامل‌ها چندین میلیون خط کد باید کاملاً عاری از کوچکترین باگی باشند) در حالی که “مهاجم” تنها کافی است تا یک باگ پیدا کند.
همیشه در نرم‌افزارها باگ وجود دارد و برخی از این باگ‌ها تاثیرات امنیتی دارند. چالش اصلی این است که منابع خود را صرف برطرف کردن کدام باگ‌ها کنیم و این کار بر اساس مدل‌های فرضیِ تهدید است. این مدل‌ها به ما می‌گویند که افراد با چه انگیزه‌هایی (مانند جرم و جنایت، سرقت، نظارت و …) دست به حمله می‌زنند.”

۴. هر وبسایت یا اپلیکیشن باید از HTTPS استفاده کند

حتماً شما هم شایعات زیادی درباره‌ی HTTPS شنیده‌اید. اینکه کند است، فقط برا سایت‌هایی که باید فوق امن باشند لازم است، واقعاً کار نمی‌کند و مواردی از این دست. همه‌ی این‌ها نادرست هستند. پیتر اکرسلی از بنیاد مرز الکترونیک (Electronic Frontier Foundation) چندین سال است که روی استفاده از HTTPS تحقیق می‌کند. او می‌گوید باور نادرست و خطرناکی بین عموم رواج دارد که بسیاری از سایت‌ها و اپلیکیشن‌ها به HTTPS نیاز ندارند. او می‌گوید:

“یکی دیگر از تصورات غلط این است که اپراتورهای وبسایت‌هایی مثل روزنامه‌ها و شبکه‌های تبلیغاتی فکر می‌کنند که چون با پرداخت الکترونیکی سر و کار ندارند، وبسایت یا اپلیکیشن‌شان هم نیازی به HTTPS ندارد. همه‌ی وبسایت‌ها به HTTPS نیاز دارند، چرا که بدون آن هکرها، استراق سمع کنندگان یا آژانس‌های جاسوسی دولتی به راحتی می‌توانند بفهمند که چه کسانی مشغول خواندن مطالب سایت هستند، چه اطلاعاتی در اپلیکیشن در حال پردازش است، یا حتی می‌توانند اطلاعات را به روش‌های مخربی تغییر دهند.”

اکرسلی وابستگی به هیچ شرکتی ندارد (بنیاد مرز الکترونیک یک سازمان غیر انتفاعی است) پس اگر می‌بینید برای HTTPS تبلیغ می‌کند مطمئن باشید انگیزه‌ی مالی پشت آن نیست و به او نفعی نمی‌رسد. او تنها به ایمنی کاربران اهمیت می‌دهد.

۵. فضای ابری (کلاود) امن نیست و تنها موجب بروز مشکلات امنیتی جدید می‌شود

امروزه همه چیز به سمت ابری شدن پیش می‌رود. ایمیل‌های شما آنجا است، عکس‌ها، پیام‌ها، سوابق پزشکی، مدارک بانکی، و حتی جزئیاتی از زندگی خصوصی‌تان. در حقیقت فضای ابری از آن چه فکر می‌کنید امن‌تر است؛ اما ممکن است موجب بروز مشکلات امنیتی جدیدی شود که تا به حال آن‌ها را در نظر نگرفته‌اید.لی هانیول مهندس ایمنی است که برای یک شرکت بزرگ پردازش ابری کار می‌کند. او در ادامه توضیح می‌دهد که پردازش ابری دقیقاً چگونه کار می‌کند. هانیول پیشنهاد می‌کند برای درک بهتر تفاوت فضای ابری با فضای ذخیره سازی محلی، مثال ملموس و فیزیکی زیر را در نظر بگیرید:

به بیان دیگر بعضی روش‌های حملات خودکار در سیستم‌های ابری واضح و آشکار هستند؛ اما مخفی شدن در این سیستم‌ها هم آسان‌تر است. هانیول توضیح می‌دهد که کاربران باید حتماً خطراتی که به طور جدی نگرانش هستند را هنگام انتخاب بین یک سرویس ابری و یک سرور خانگی در نظر بگیرند.

“خدمات ابری سیستم‌های بسیار پیچیده‌تری نسبت به یک هارد دیسک متصل به کامپیوترتان، یا سرویس ایمیلی که خودتان توسط سرور خانگی راه‌اندازی کرده‌اید هستند. در نتیجه موارد احتمال بروز خطا بسیار بیشتر است، اما در عین حال افراد بیشتری هم در حال حفاظت از آن هستند. سوال اصلی که باید از خودتان بپرسید این است: آیا خود من بهتر می‌توانم چنین سیستمی را اداره کنم یا بهتر است این وظیفه را به افرادی با وقت، سرمایه و تخصص بیشتر از خودم بسپارم؟ فکر می‌کنید چه کسی قرار است شما را هک کند؟ یک بچه دبیرستانی مشتاق یا NSA؟ من خودم به مدت چندین سال سرور ایمیل خودم را داشتم و بالاخره به یک سرویس میزبانی ایمیل مهاجرت کردم. من کسانی که برای Gmail و Outlook کار می‌کنند را می‌شناسم و می‌دانم که آن‌ها در اداره‌ی سرور ایمیل از من بسیار بهتر عمل می‌کنند. همچنین بحث زمان و هزینه هم در میان است. راه اندازی یک سرور ایمیل کاری مشقت بار است، اما برای کسی که نگران جاسوس‌های NSA است ارزشش را دارد.