مگر نه اين كه اساس جست‌وجوي گوگل بر اين مبتني بود كه «مردم بيشتر چه را مي‌پسندند؟» حالا ديگر همه مي‌دانند كه غالب كارها و حركات گوگل، هوشيارانه و فرصت‌طلبانه در واقع ادامه همين فلسفه است...

دنياي كامپيوتر و ارتباطات(ويژه‌نامه گوگ)شما صفحه‌اي را در وب ديده‌ايد، ولي نشاني‌اش را به خاطر نداريد، الآن مجدداً مي‌خواهيد به سراغش برويد؛ چه بايد بكنيد؟

اين سؤالي بود كه در روزهاي نخست پيدايش وب، به تدريج به ذهن كاربران مي‌رسيد. به آرامي سايت‌هايي پيدا شدند كه قصدشان پاسخ به اين سؤال بود. شايد براي خيلي‌ها –مثل من- سايت آلتاويستا نخستين تجربه بود.

ولي همانند نمونه‌هاي تاريخي زيادي كه يك نياز، گاه فقط به يك راه‌حل و جواب ختم نمي‌شود، بلكه موجب پايه‌گذاري يك صنعت مي‌گردد و فناوري جديدي را معرفي مي‌كند، نياز به جست‌وجو نيز فقط سربرآوردن چند سايت را به دنبال نداشت، بلكه يك صنعت تازه را ساخت. حالا ديگر اين تكنولوژي، جاي مهمي را در دنياي فناوري به خود اختصاص داده است، و صحبت از «اقتصاد صنعت جست‌وجو» گزافه نيست.

«گوگل» بي‌ترديد مصداق تام و تمام اين تجارت است؛ و شايد مهم‌ترين ويژگي‌اش اين است كه «فرق دارد!» با همه! و در همه چيز! از جوانان متفاوتي كه نه اتوكشيده و متين، كه در نهايت راحتي و سرخوشي به راهبري آن مشغولند، تا محيط كارشان و تا ابزارها و روش‌هاشان. ولي با اين حال مدعي‌اند كه ما دنيا را بهتر مي‌فهميم. آنچه هم كه در اين عمر كوتاه كرده‌اند، نشان مي‌دهد كه بيراه نمي‌گويند و نمي‌روند. اگر پيدايش گوگل را در همان فرمول كذايي بدانيم كه ابتدا فقط دستاورد يك كار تحقيقي آكادميك بود، و بعد نطفه موتور جست‌وجوي شركت را در دل خود پرورد، مي‌بينيم كه هنوز هم همان فرمول است كه حكومت مي‌كند؛ مگر نه اين كه اساس جست‌وجوي گوگل بر اين مبتني بود كه «مردم بيشتر چه را مي‌پسندند؟» حالا ديگر همه مي‌دانند كه غالب كارها و حركات گوگل، هوشيارانه و فرصت‌طلبانه در واقع ادامه همين فلسفه است؛ از نفوذ به دنياي وبلاگ‌ها و يافتن نبض خيل كاربران خرده‌پا، تا به راه‌انداختن جي‌ميل و سرك كشيدن به مگويه‌هاي هميشگي كاربران، تا تاسيس اوركات و راه‌يافتن به متن شبكه‌هاي متنوع كاربران، و تا... همه و همه براي سردرآوردن از اطلاعات پنهان وب است، كه در حالت عادي، جست‌وجوگرها راهي به آن ندارند. آن وقت است كه اين ماشين عظيم، خواهد توانست هر چيزي را براي شما بيابد و تقديمتان نمايد.

زماني بيل گيتس به فراست دريافت كه دنياي آينده، دنياي كامپيوترهاي شخصي است، و دير نيست كه اين دستگاه، روي ميز كار و منزل همه جاخوش كند؛ البته گيتس در اين ميان، فقط ناظر نبود، شايد منصفانه‌تر اين است كه بگوييم خود مصمم در تحقق اين ايده كوشيد، رؤيايي كه البته به سرعت عملي شد، و كسب و كار عظيمي را براي صاحبش به ارمغان آورد، كه مجموعه محصولات و خدمات، و بلكه حكومت مايكروسافت است.
حالا ديگر گروهي متخصص خيرخواه در مايكروسافت نشسته، و مترصدند كه احساس كنند بازار، محصولي را طلب مي‌كند، يا اين كه شما ممكن است به زودي به چيزي نياز داشته باشيد، تا به طرفه‌العيني برايتان بسازند و خودشان برايتان بفرستند؛ از ويرايشگر و برنامه حساب و كتاب و گرافيك و بانك اطلاعاتي و سرگرمي و پخش موزيك و ويدئو و طراحي سايت و... و مرورگر وب؛ نگران نباشيد و جاي ديگري نرويد.
به لطف همين تسلط درازمدت تجارت گيتس است كه حالا كامپيوتر روي ميز همه‌مان، همه چيز دارد، و ملالي نيست.

شايد همين نبوغ در يافتن مسير آينده بود كه همواره او را با فاصله‌اي قابل توجه از ديگران -و به ويژه رقبا- نگاه مي‌داشت. چه بسيار تجارت‌ها، شركت‌ها و محصولات ريز و درشتي كه در برابر امپراتوري گيتس دوام نياوردند، و بنا به قانون صنعت و سرمايه، الآن حتا نامي از آنها باقي نمانده است.

ولي خيلي عجيب است، مايكروسافت با آن شامه افسانه‌اي، و با آن تيزبيني مثال زدني‌اش، چطور اين حوزه را نديد؟ اين خطاي تاريخي را بايد به حساب چه گذاشت؟ غرور اقتصادي يا فني؟ دست‌كم گرفتن دنياي شبكه و اينترنت، و تمركز بيش از حد بر كامپيوترهاي شخصي و ملزومات آن؟ افول خلاقيت؟ يا اين كه بايد آن را به پاي سن و سال او نوشت!؟

حالا غول ردموند، هرچند با تاخير، ولي مي‌خواهد وارد اين عرصه نيز شود، و هر از چند گاهي نشانه‌هاي شتاب گرفتنش را در اين زمينه بروز مي‌دهد. طبعاً تحليلگراني هم كه معمولاً در اين مواقع، تكليفشان لحظه‌شماري براي فرارسيدن زمان جنگ رقيبان است فعال شده‌اند، و پيشاپيش به گمانه‌زني براي نتيجه سرگرمند. ولي هر چه هست، نمي‌توان از اين موضوع گذشت كه گسترش كاربرد اينترنت در زندگي مردم جهان، هر چه بيشتر بر اهميت نقش موتورها و استانداردهاي جست‌وجو، و نيز شركت‌هاي مهم اين عرصه به عنوان سكانداران آينده نه چندان دور شبكه، مي‌افزايد، پس نمي‌توان نسبت به اخبار اين رقابت و خط و نشان كشيدن ها، و شايد هم جنگ، بي‌اعتنا بود.

اما پيش از آكه شاهد يك جنگ تاريخي و استيلاي يكي بر ديگري باشيم، اصل مهم ديگري در دنياي دانش و صنعت و سرمايه، به ما يادآور مي‌شود كه بهتر است چنين تصويري را از ذهن بزداييم، و اميدوار باشيم كه اين رقابت ادامه يابد، و حتا ديگراني هم وارد ميدان شوند.

شركت مايكروسافت روز سه‌شنبه اعلام كرد طي يك هفته آينده، وصله اصلاح كننده حفره امنيتي خطرناك تازه شناسايي شده در سيستم‌عامل ويندوز خود را منتشر خواهد كرد.

شركت مايكروسافت هم‌اكنون وصله ترميم اين حفره امنيتي را آماده كرده و پس از آزمايشهاي لازم، آن را هفته آينده در برنامه ماهيانه انتشار نرم‌فزارهاي اصلاحي خود در دومين سه‌شنبه هر ماه، منتشر خواهد كرد.

كارشناسان مايكروسافت پيش از اين هشدار داده بودند كه هكرها تلاش براي سوء‌استفاده از حفره امنيتي شناسايي شده در يك فن‌آوري ويژه مديريت عكسهاي ديجيتالي در ويندوز را آغاز كرده‌اند.

تبهكاران رايانه‌اي مي‌توانند با قرار دادن عكسهاي ديجيتالي دست كاري شده در وب سايتها و يا با ارسال عكسهاي آلوده از طريق هرزنامه‌ها، كاربران را به مشاهده آنها ترغيب كنند كه اين عمل سبب راه‌يافتن كدهاي مخرب به رايانه و آسيب‌پذيري شديد آن در برابر نفوذ هكرها مي‌شود.

به گفته مسئولان شركت ارائه‌دهنده خدمات امنيتي يي آي ديجيتالي سكيوريتي، هم‌اكنون كدهاي مخربي در اينترنت مشاهده شده كه با استفاده از حفره تازه شناسايي شده در ويندوز، از نرم‌افزارهاي محافظ فاير وال عبور كرده و نرم‌افزارهاي امنيتي موجود در رايانه را فريب مي‌دهند و به همين علت، انتشار هرچه سريعتر وصله اصلاح‌كننده حفره مذكور از سوي مايكروسافت، داراي اهميت زيادي است.

حفره امنيتي ياد شده در نگارشهاي مختلف سيستم‌عامل ويندوز، از جمله ويندوز ايكس پي، ويندوز ‪ ۲۰۰۰‬و ويندوز ‪ ۹۸‬موجود است.

كارشناسان امنيتي با خطرناك شمردن ايراد امنيتي مذكور، به كاربران اينترنت هشدار دادند تا زمان انتشار وصله اصلاحي از سوي مايكروسافت، از باز كردن عكسهاي موجود در ايميل‌هاي ناشناس خودداري كرده و از ورود به وب سايتهاي نامطمئن، پرهيز كنند.


دانلود: Windows XP
دانلود: Windows 2000
دانلود: Windows 2003

تهديدهاي جديدي كه هويت و اطلاعات كاربر را هدف قرار داده اند،‌رويكردهاي جديد امنيتي را طلب مي كند.

امروزه، حملات phishing ساده تر و كم خطرتر از تهديدهاي آنلايني كه در حال تجربه شدن هستند، به نظر مي رسند. حملات phishing به آساني شناخته مي شوند و مي توان به سرعت آنها را از كار انداخت. جرائم سازمان يافته از اين حد گذشته و پيچيدگي آنها به طرز چشم گيري افزايش يافته است. امروزه، كاربران با اشكال موذيانه تري از حمله مواجه مي شوند و كشف و مقابله عليه آنها بسيار مشكل تر است.

 

گونه اي جديد از حمله

اين گونه جديد حمله بعنوان pharming شناخته مي شود. pharming بجاي اينكه كاربر را گول بزند تا به يك ايميل تقلبي پاسخ دهد تا او را به يك وب سايت جعلي هدايت  كند، براي فريب دادن كاربر براي تسليم هويت و اطلاعات حساسش، از روش هاي زيركانه تري استفاده مي كند. اين حملات از اسب هاي تروا (تروجان) براي نصب برنامه هاي كليدخوان و برنامه هاي هدايت كننده استفاده مي كنند تا به يك نفوذگر اجازه دهند كلمات عبور و شماره  كارت هاي اعتباري را بدست آورد، بدون اينكه كاربر مجبور به انجام كاري غيرعادي باشد. در اينجا دو مثال از نحوه اين حمله آورده شده است:

۱- كاربر يك ايميل ظاهراً صحيح را باز مي كند كه او را تشويق مي كند تا فايل الحاقي به ايميل را باز كند. اين فايل الحاقي بصورت مخفيانه يك «كليدخوان» (برنامه اي است كه كليدهايي را كه توسط كاربر زده مي شود، ثبت مي كند) نصب مي كند. هنگامي كه كاربر به بانك آنلاين خود سر مي زند، كليدخوان اين را تشخيص مي دهد و ورودي هاي صفحه كليد كاربر را هنگامي كه وي اسم و كلمه عبور را تايپ مي كند،  ثبت مي كند. سپس اين اطلاعات براي نفوذگر ارسال مي شود تا براي دسترسي به حساب كاربر استفاده شود.

 

۲- يك كاربر ممكن است با دانلود كردن يك فايل يا مشاهده يك وب سايت كه حاوي ActiveX control است، سهواً يك «هدايت كننده» (redirector) را روي سيستم خود نصب كند. اين كار باعث مي شود كه فايل هاي موجود در سيستم دچار تغييراتي شود و هنگامي كه كاربر به بانك آنلاين خود سر مي زند، به وب سايت نفوذگر هدايت شود. اين عمل مي تواند با مسموم كردن سرور DNS انجام گيرد كه براي آدرس بانك آنلاين كاربر، IP وب سايت نفوذگر را مي فرستد. حملات پيچيده تر مي توانند ارتباط را با بانك كاربر برقرار كنند و هنگامي كه پروسه در حال انجام است، ترافيك عبوري بين كاربر و بانك (شامل كلمات عبور و اطلاعات شخصي) را مشاهده كنند. در اصل نفوذگر خود را بين كاربران و بانك قرار مي دهد.

 

چه مي توان كرد؟

از نظر تاريخي، رويكرد امنيتي كه براي اين نوع از حملات بكار گرفته شده است، مشابه مفهوم گارد مرزي (Boarder Guard) بوده است. ورود موارد زيان رسان را به كامپيوتر متوقف كنيد و جلوي كاربر را از رفتن به مكان هاي بد بگيريد. ابزارهايي مانند آنتي ويروس، ضدجاسوس، فايروال ها و تشخيص دهندگان نفوذ، همگي چنين رويكردي دارند. به هرحال، همچنانكه حملات به رشد خود ادامه مي دهند و پيچيده تر مي شوند، نمي توان از احتمال نصب شدن موفقيت آميز يك كليدخوان يا هدايت كننده عليرغم اين گاردهاي مرزي، غافل ماند.

براي سروكار داشتن با اين احتمال، رويكرد متفاوت ديگري مورد نياز است. علاوه بر ابزارهايي كه ذكر آنها رفت، نياز است كه هويت و اطلاعات كاربران توسط  محافظ شخصي (body guard) مراقبت شود. يعني، نياز است كه هويت و اطلاعات شخص بدون در نظر گرفتن نوع حمله و جايي كه اطلاعات كاربر به آنجا مي رود، همواره امن باقي بماند. اين نوع امنيت قابليت هاي محافظ شخصي را براي هويت كاربر ايجاد مي كند و اهميتي ندارد كه اطلاعات كاربر به كجا فرستاده مي شود و كليدخوان نصب شده است و يا اينكه نفوذگر مي تواند ترافيك اينترنت را نظارت كند.

دو قابليت امنيتي وجود دارد كه مي تواند توانايي اين محافظ شخصي را پياده كند. اولي تصديق هويت قوي (strong authentication) است. امروزه، كاربران عموماً براي محافظت از هويتشان به يك كلمه عبور اطمينان مي كنند، اما احتمال زيادي وجود دارد كه كلمه عبور توسط كسي كه نظاره گر login است، دزديده شود. داشتن يك عامل اضافي براي تصديق هويت، يعني چيزي كه كاربر بايد بصورت فيزيكي داشته باشد علاوه بر آنچه كه مي داند، مي تواند يك هويت آنلاين را در برابر حمله محافظت كند. اين كار قابل مقايسه با چگونگي تأييد هويت كاربران در ماشين هاي خودپرداز بانك است. كاربران هم كارت بانكي دارند و هم PIN را مي دانند. با تصديق هويت قوي، اگر كليدخوان هم نصب شده باشد، مي تواند تنها كلمه عبور را بگيرد و نه عامل فيزيكي استفاده شده در پروسه تصديق هويت را. كلمه عبور به تنهايي و بدون فاكتور فيزيكي نمي تواند توسط نفوذگر براي دسترسي به حساب كاربر مورد استفاده قرار گيرد.

توانايي مهم دوم رمزنگاري مداوم است. امروزه، SSL (Secure Socket Layer) از اطلاعات ارسال شده توسط كاربران بگونه اي محافظت مي كند كه انگار تنها به سرور هدف ارسال مي شوند. براي مثال، اگر يك كاربر كلمه عبور خود را وارد كند، به راحتي تا زمان رسيدن به و ب سرور در طرف ديگر، قابل مشاهده است. در مورد يك حمله هدايت كننده، ارتباط امن در سايت نفوذگر پايان مي پذيرد و قبل از اينكه به سازمان آنلاين قانوني ارسال شود، ديتاي كاربر در معرض افشاء قرار مي گيرد. رمزنگاري مستمر مي تواند از ديتا ،بدون در نظر گرفتن امنيت ارتباط، محافظت كند. ورودي هاي كاربر قبل از ترك كامپيوتر كاربر رمز مي شوند و مي توانند تنها توسط سازمان قانوني كه به سرورهاي طرف ديگر دسترسي دارد، رمزگشايي شوند. حتي اگر ديتا به اين سرور نرسد، رمزشده باقي خواهد ماند و براي يك نفوذگر قابل استفاده نيست.

اين دو قابليت به همراه هم، مي توانند نقش محافظ شخصي را براي محافظت از هويت و اطلاعات كاربر در دنياي خصمانه! اينترنت ايفاء كنند.

 

بررسي دنياي واقعي

چند انتخاب وجود دارند كه مي توانند امنيت محافظ شخصي را فراهم كنند اما بايد با استفاده از نيازهاي دنياي واقعي اينترنت ارزيابي شوند. چنانچه كاربر با يك تكنولوژي احساس راحتي نكند،  آن را نخواهد پذيرفت. اگر تكنولوژي خيلي گران باشد، نه براي كاربر انتهايي قابل تهيه خواهد بود و نه براي سازمان مربوطه.

چندين عامل وجود دارد كه بايد به هنگام تشويق كاربران به پذيرش تكنولوژي مورد نظر مورد توجه قرار گيرند:

·            نرم افزار كلاينت ـ هر نيازي به دانلود و نصب نرم افزار به عنوان يك مانع است...

·            واسط نرم افزار ـ خطرات و پيچيدگي كه كاربر براي پياده سازي تجربه مي كند...

·            راحتي استفاده ـ مخصوصاً براي تصديق هويت دو عامله! ، راحتي استفاده شامل قابليت حمل، دوام است. سهولت كار با واسط كاربر نيز مورد توجه جدي است.

 

مشخصاً زماني كه از اين نوع فناوري با مقياس بالا بكارگرفته شود، هزينه اين رويكرد مي تواند در امكانپذيري آن موثر باشد. اگر هزينه كل سيستم خيلي بالا باشد،  سازمان ها براي برقراري اين امنيت اضافي براي يك مورد تجاري مورد قبول، نياز به مطالبات مالي از كاربران دارند. در اين موارد كاربران به راحتي راضي به پرداخت هاي اضافي براي برقراري اين امنيت بيشتر نمي شوند.

به اين منظور تكنولوژي هاي محافظ شخصي بايد سطح بالايي از امنيت را در حالي كه هزينه كمي در بردارند و براي استفاده آسان هستند، فراهم كنند.