تهديدهاي جديدي كه هويت و اطلاعات كاربر را هدف قرار داده اند،رويكردهاي جديد امنيتي را طلب مي كند.
امروزه، حملات phishing ساده تر و كم خطرتر از تهديدهاي آنلايني كه در حال تجربه شدن هستند، به نظر مي رسند. حملات phishing به آساني شناخته مي شوند و مي توان به سرعت آنها را از كار انداخت. جرائم سازمان يافته از اين حد گذشته و پيچيدگي آنها به طرز چشم گيري افزايش يافته است. امروزه، كاربران با اشكال موذيانه تري از حمله مواجه مي شوند و كشف و مقابله عليه آنها بسيار مشكل تر است.
گونه اي جديد از حمله
اين گونه جديد حمله بعنوان pharming شناخته مي شود. pharming بجاي اينكه كاربر را گول بزند تا به يك ايميل تقلبي پاسخ دهد تا او را به يك وب سايت جعلي هدايت كند، براي فريب دادن كاربر براي تسليم هويت و اطلاعات حساسش، از روش هاي زيركانه تري استفاده مي كند. اين حملات از اسب هاي تروا (تروجان) براي نصب برنامه هاي كليدخوان و برنامه هاي هدايت كننده استفاده مي كنند تا به يك نفوذگر اجازه دهند كلمات عبور و شماره كارت هاي اعتباري را بدست آورد، بدون اينكه كاربر مجبور به انجام كاري غيرعادي باشد. در اينجا دو مثال از نحوه اين حمله آورده شده است:
۱- كاربر يك ايميل ظاهراً صحيح را باز مي كند كه او را تشويق مي كند تا فايل الحاقي به ايميل را باز كند. اين فايل الحاقي بصورت مخفيانه يك «كليدخوان» (برنامه اي است كه كليدهايي را كه توسط كاربر زده مي شود، ثبت مي كند) نصب مي كند. هنگامي كه كاربر به بانك آنلاين خود سر مي زند، كليدخوان اين را تشخيص مي دهد و ورودي هاي صفحه كليد كاربر را هنگامي كه وي اسم و كلمه عبور را تايپ مي كند، ثبت مي كند. سپس اين اطلاعات براي نفوذگر ارسال مي شود تا براي دسترسي به حساب كاربر استفاده شود.
۲- يك كاربر ممكن است با دانلود كردن يك فايل يا مشاهده يك وب سايت كه حاوي ActiveX control است، سهواً يك «هدايت كننده» (redirector) را روي سيستم خود نصب كند. اين كار باعث مي شود كه فايل هاي موجود در سيستم دچار تغييراتي شود و هنگامي كه كاربر به بانك آنلاين خود سر مي زند، به وب سايت نفوذگر هدايت شود. اين عمل مي تواند با مسموم كردن سرور DNS انجام گيرد كه براي آدرس بانك آنلاين كاربر، IP وب سايت نفوذگر را مي فرستد. حملات پيچيده تر مي توانند ارتباط را با بانك كاربر برقرار كنند و هنگامي كه پروسه در حال انجام است، ترافيك عبوري بين كاربر و بانك (شامل كلمات عبور و اطلاعات شخصي) را مشاهده كنند. در اصل نفوذگر خود را بين كاربران و بانك قرار مي دهد.
چه مي توان كرد؟
از نظر تاريخي، رويكرد امنيتي كه براي اين نوع از حملات بكار گرفته شده است، مشابه مفهوم گارد مرزي (Boarder Guard) بوده است. ورود موارد زيان رسان را به كامپيوتر متوقف كنيد و جلوي كاربر را از رفتن به مكان هاي بد بگيريد. ابزارهايي مانند آنتي ويروس، ضدجاسوس، فايروال ها و تشخيص دهندگان نفوذ، همگي چنين رويكردي دارند. به هرحال، همچنانكه حملات به رشد خود ادامه مي دهند و پيچيده تر مي شوند، نمي توان از احتمال نصب شدن موفقيت آميز يك كليدخوان يا هدايت كننده عليرغم اين گاردهاي مرزي، غافل ماند.
براي سروكار داشتن با اين احتمال، رويكرد متفاوت ديگري مورد نياز است. علاوه بر ابزارهايي كه ذكر آنها رفت، نياز است كه هويت و اطلاعات كاربران توسط محافظ شخصي (body guard) مراقبت شود. يعني، نياز است كه هويت و اطلاعات شخص بدون در نظر گرفتن نوع حمله و جايي كه اطلاعات كاربر به آنجا مي رود، همواره امن باقي بماند. اين نوع امنيت قابليت هاي محافظ شخصي را براي هويت كاربر ايجاد مي كند و اهميتي ندارد كه اطلاعات كاربر به كجا فرستاده مي شود و كليدخوان نصب شده است و يا اينكه نفوذگر مي تواند ترافيك اينترنت را نظارت كند.
دو قابليت امنيتي وجود دارد كه مي تواند توانايي اين محافظ شخصي را پياده كند. اولي تصديق هويت قوي (strong authentication) است. امروزه، كاربران عموماً براي محافظت از هويتشان به يك كلمه عبور اطمينان مي كنند، اما احتمال زيادي وجود دارد كه كلمه عبور توسط كسي كه نظاره گر login است، دزديده شود. داشتن يك عامل اضافي براي تصديق هويت، يعني چيزي كه كاربر بايد بصورت فيزيكي داشته باشد علاوه بر آنچه كه مي داند، مي تواند يك هويت آنلاين را در برابر حمله محافظت كند. اين كار قابل مقايسه با چگونگي تأييد هويت كاربران در ماشين هاي خودپرداز بانك است. كاربران هم كارت بانكي دارند و هم PIN را مي دانند. با تصديق هويت قوي، اگر كليدخوان هم نصب شده باشد، مي تواند تنها كلمه عبور را بگيرد و نه عامل فيزيكي استفاده شده در پروسه تصديق هويت را. كلمه عبور به تنهايي و بدون فاكتور فيزيكي نمي تواند توسط نفوذگر براي دسترسي به حساب كاربر مورد استفاده قرار گيرد.
توانايي مهم دوم رمزنگاري مداوم است. امروزه، SSL (Secure Socket Layer) از اطلاعات ارسال شده توسط كاربران بگونه اي محافظت مي كند كه انگار تنها به سرور هدف ارسال مي شوند. براي مثال، اگر يك كاربر كلمه عبور خود را وارد كند، به راحتي تا زمان رسيدن به و ب سرور در طرف ديگر، قابل مشاهده است. در مورد يك حمله هدايت كننده، ارتباط امن در سايت نفوذگر پايان مي پذيرد و قبل از اينكه به سازمان آنلاين قانوني ارسال شود، ديتاي كاربر در معرض افشاء قرار مي گيرد. رمزنگاري مستمر مي تواند از ديتا ،بدون در نظر گرفتن امنيت ارتباط، محافظت كند. ورودي هاي كاربر قبل از ترك كامپيوتر كاربر رمز مي شوند و مي توانند تنها توسط سازمان قانوني كه به سرورهاي طرف ديگر دسترسي دارد، رمزگشايي شوند. حتي اگر ديتا به اين سرور نرسد، رمزشده باقي خواهد ماند و براي يك نفوذگر قابل استفاده نيست.
اين دو قابليت به همراه هم، مي توانند نقش محافظ شخصي را براي محافظت از هويت و اطلاعات كاربر در دنياي خصمانه! اينترنت ايفاء كنند.
بررسي دنياي واقعي
چند انتخاب وجود دارند كه مي توانند امنيت محافظ شخصي را فراهم كنند اما بايد با استفاده از نيازهاي دنياي واقعي اينترنت ارزيابي شوند. چنانچه كاربر با يك تكنولوژي احساس راحتي نكند، آن را نخواهد پذيرفت. اگر تكنولوژي خيلي گران باشد، نه براي كاربر انتهايي قابل تهيه خواهد بود و نه براي سازمان مربوطه.
چندين عامل وجود دارد كه بايد به هنگام تشويق كاربران به پذيرش تكنولوژي مورد نظر مورد توجه قرار گيرند:
· نرم افزار كلاينت ـ هر نيازي به دانلود و نصب نرم افزار به عنوان يك مانع است...
· واسط نرم افزار ـ خطرات و پيچيدگي كه كاربر براي پياده سازي تجربه مي كند...
· راحتي استفاده ـ مخصوصاً براي تصديق هويت دو عامله! ، راحتي استفاده شامل قابليت حمل، دوام است. سهولت كار با واسط كاربر نيز مورد توجه جدي است.
مشخصاً زماني كه از اين نوع فناوري با مقياس بالا بكارگرفته شود، هزينه اين رويكرد مي تواند در امكانپذيري آن موثر باشد. اگر هزينه كل سيستم خيلي بالا باشد، سازمان ها براي برقراري اين امنيت اضافي براي يك مورد تجاري مورد قبول، نياز به مطالبات مالي از كاربران دارند. در اين موارد كاربران به راحتي راضي به پرداخت هاي اضافي براي برقراري اين امنيت بيشتر نمي شوند.
به اين منظور تكنولوژي هاي محافظ شخصي بايد سطح بالايي از امنيت را در حالي كه هزينه كمي در بردارند و براي استفاده آسان هستند، فراهم كنند
امروزه، حملات phishing ساده تر و كم خطرتر از تهديدهاي آنلايني كه در حال تجربه شدن هستند، به نظر مي رسند. حملات phishing به آساني شناخته مي شوند و مي توان به سرعت آنها را از كار انداخت. جرائم سازمان يافته از اين حد گذشته و پيچيدگي آنها به طرز چشم گيري افزايش يافته است. امروزه، كاربران با اشكال موذيانه تري از حمله مواجه مي شوند و كشف و مقابله عليه آنها بسيار مشكل تر است.
گونه اي جديد از حمله
اين گونه جديد حمله بعنوان pharming شناخته مي شود. pharming بجاي اينكه كاربر را گول بزند تا به يك ايميل تقلبي پاسخ دهد تا او را به يك وب سايت جعلي هدايت كند، براي فريب دادن كاربر براي تسليم هويت و اطلاعات حساسش، از روش هاي زيركانه تري استفاده مي كند. اين حملات از اسب هاي تروا (تروجان) براي نصب برنامه هاي كليدخوان و برنامه هاي هدايت كننده استفاده مي كنند تا به يك نفوذگر اجازه دهند كلمات عبور و شماره كارت هاي اعتباري را بدست آورد، بدون اينكه كاربر مجبور به انجام كاري غيرعادي باشد. در اينجا دو مثال از نحوه اين حمله آورده شده است:
۱- كاربر يك ايميل ظاهراً صحيح را باز مي كند كه او را تشويق مي كند تا فايل الحاقي به ايميل را باز كند. اين فايل الحاقي بصورت مخفيانه يك «كليدخوان» (برنامه اي است كه كليدهايي را كه توسط كاربر زده مي شود، ثبت مي كند) نصب مي كند. هنگامي كه كاربر به بانك آنلاين خود سر مي زند، كليدخوان اين را تشخيص مي دهد و ورودي هاي صفحه كليد كاربر را هنگامي كه وي اسم و كلمه عبور را تايپ مي كند، ثبت مي كند. سپس اين اطلاعات براي نفوذگر ارسال مي شود تا براي دسترسي به حساب كاربر استفاده شود.
۲- يك كاربر ممكن است با دانلود كردن يك فايل يا مشاهده يك وب سايت كه حاوي ActiveX control است، سهواً يك «هدايت كننده» (redirector) را روي سيستم خود نصب كند. اين كار باعث مي شود كه فايل هاي موجود در سيستم دچار تغييراتي شود و هنگامي كه كاربر به بانك آنلاين خود سر مي زند، به وب سايت نفوذگر هدايت شود. اين عمل مي تواند با مسموم كردن سرور DNS انجام گيرد كه براي آدرس بانك آنلاين كاربر، IP وب سايت نفوذگر را مي فرستد. حملات پيچيده تر مي توانند ارتباط را با بانك كاربر برقرار كنند و هنگامي كه پروسه در حال انجام است، ترافيك عبوري بين كاربر و بانك (شامل كلمات عبور و اطلاعات شخصي) را مشاهده كنند. در اصل نفوذگر خود را بين كاربران و بانك قرار مي دهد.
چه مي توان كرد؟
از نظر تاريخي، رويكرد امنيتي كه براي اين نوع از حملات بكار گرفته شده است، مشابه مفهوم گارد مرزي (Boarder Guard) بوده است. ورود موارد زيان رسان را به كامپيوتر متوقف كنيد و جلوي كاربر را از رفتن به مكان هاي بد بگيريد. ابزارهايي مانند آنتي ويروس، ضدجاسوس، فايروال ها و تشخيص دهندگان نفوذ، همگي چنين رويكردي دارند. به هرحال، همچنانكه حملات به رشد خود ادامه مي دهند و پيچيده تر مي شوند، نمي توان از احتمال نصب شدن موفقيت آميز يك كليدخوان يا هدايت كننده عليرغم اين گاردهاي مرزي، غافل ماند.
براي سروكار داشتن با اين احتمال، رويكرد متفاوت ديگري مورد نياز است. علاوه بر ابزارهايي كه ذكر آنها رفت، نياز است كه هويت و اطلاعات كاربران توسط محافظ شخصي (body guard) مراقبت شود. يعني، نياز است كه هويت و اطلاعات شخص بدون در نظر گرفتن نوع حمله و جايي كه اطلاعات كاربر به آنجا مي رود، همواره امن باقي بماند. اين نوع امنيت قابليت هاي محافظ شخصي را براي هويت كاربر ايجاد مي كند و اهميتي ندارد كه اطلاعات كاربر به كجا فرستاده مي شود و كليدخوان نصب شده است و يا اينكه نفوذگر مي تواند ترافيك اينترنت را نظارت كند.
دو قابليت امنيتي وجود دارد كه مي تواند توانايي اين محافظ شخصي را پياده كند. اولي تصديق هويت قوي (strong authentication) است. امروزه، كاربران عموماً براي محافظت از هويتشان به يك كلمه عبور اطمينان مي كنند، اما احتمال زيادي وجود دارد كه كلمه عبور توسط كسي كه نظاره گر login است، دزديده شود. داشتن يك عامل اضافي براي تصديق هويت، يعني چيزي كه كاربر بايد بصورت فيزيكي داشته باشد علاوه بر آنچه كه مي داند، مي تواند يك هويت آنلاين را در برابر حمله محافظت كند. اين كار قابل مقايسه با چگونگي تأييد هويت كاربران در ماشين هاي خودپرداز بانك است. كاربران هم كارت بانكي دارند و هم PIN را مي دانند. با تصديق هويت قوي، اگر كليدخوان هم نصب شده باشد، مي تواند تنها كلمه عبور را بگيرد و نه عامل فيزيكي استفاده شده در پروسه تصديق هويت را. كلمه عبور به تنهايي و بدون فاكتور فيزيكي نمي تواند توسط نفوذگر براي دسترسي به حساب كاربر مورد استفاده قرار گيرد.
توانايي مهم دوم رمزنگاري مداوم است. امروزه، SSL (Secure Socket Layer) از اطلاعات ارسال شده توسط كاربران بگونه اي محافظت مي كند كه انگار تنها به سرور هدف ارسال مي شوند. براي مثال، اگر يك كاربر كلمه عبور خود را وارد كند، به راحتي تا زمان رسيدن به و ب سرور در طرف ديگر، قابل مشاهده است. در مورد يك حمله هدايت كننده، ارتباط امن در سايت نفوذگر پايان مي پذيرد و قبل از اينكه به سازمان آنلاين قانوني ارسال شود، ديتاي كاربر در معرض افشاء قرار مي گيرد. رمزنگاري مستمر مي تواند از ديتا ،بدون در نظر گرفتن امنيت ارتباط، محافظت كند. ورودي هاي كاربر قبل از ترك كامپيوتر كاربر رمز مي شوند و مي توانند تنها توسط سازمان قانوني كه به سرورهاي طرف ديگر دسترسي دارد، رمزگشايي شوند. حتي اگر ديتا به اين سرور نرسد، رمزشده باقي خواهد ماند و براي يك نفوذگر قابل استفاده نيست.
اين دو قابليت به همراه هم، مي توانند نقش محافظ شخصي را براي محافظت از هويت و اطلاعات كاربر در دنياي خصمانه! اينترنت ايفاء كنند.
بررسي دنياي واقعي
چند انتخاب وجود دارند كه مي توانند امنيت محافظ شخصي را فراهم كنند اما بايد با استفاده از نيازهاي دنياي واقعي اينترنت ارزيابي شوند. چنانچه كاربر با يك تكنولوژي احساس راحتي نكند، آن را نخواهد پذيرفت. اگر تكنولوژي خيلي گران باشد، نه براي كاربر انتهايي قابل تهيه خواهد بود و نه براي سازمان مربوطه.
چندين عامل وجود دارد كه بايد به هنگام تشويق كاربران به پذيرش تكنولوژي مورد نظر مورد توجه قرار گيرند:
· نرم افزار كلاينت ـ هر نيازي به دانلود و نصب نرم افزار به عنوان يك مانع است...
· واسط نرم افزار ـ خطرات و پيچيدگي كه كاربر براي پياده سازي تجربه مي كند...
· راحتي استفاده ـ مخصوصاً براي تصديق هويت دو عامله! ، راحتي استفاده شامل قابليت حمل، دوام است. سهولت كار با واسط كاربر نيز مورد توجه جدي است.
مشخصاً زماني كه از اين نوع فناوري با مقياس بالا بكارگرفته شود، هزينه اين رويكرد مي تواند در امكانپذيري آن موثر باشد. اگر هزينه كل سيستم خيلي بالا باشد، سازمان ها براي برقراري اين امنيت اضافي براي يك مورد تجاري مورد قبول، نياز به مطالبات مالي از كاربران دارند. در اين موارد كاربران به راحتي راضي به پرداخت هاي اضافي براي برقراري اين امنيت بيشتر نمي شوند.
به اين منظور تكنولوژي هاي محافظ شخصي بايد سطح بالايي از امنيت را در حالي كه هزينه كمي در بردارند و براي استفاده آسان هستند، فراهم كنند
