جمعه ۱۳ مرداد ۰۲

computercasino

computercasino

۵ بازديد

در چند روز اخير نرم افزار teamviewer بر روي ايران مسدود شد براي همين موضوع تصميم گرفتيم ۵ نرم افزار ديگر كه مي تواند جايگزين خوبي براي اين نرم افزار باشد را معرفي كنيم اين نرم افزارها كاريشان به همان صورت مي باشد كه دو كامپوتر را به هم توسط رمز و اطلاعات متصل مي نمايد.

Windows Remote Desktop Connection

اين نرم افزار به صورت ديفالت و پيش فرض در خود ويندوز توسط ماكروسافت گذاشته شده است و ديگر نيازي به نصب نرم افزاري نداريد يكي از مشكلاتي كه اين نرم افزار دارد اين است كه شما نمي توانييد هم زمان به چند كامپوتر ريموت بزنيد البته اين خيلي كم پيش مياد و معمولا بين دو كامپوتر اتصال انجام مي شود.

ولي اين خوبي را دارد كه شما مي تولنيد به راحتي با وارد شدن به كنترل پنل اتصال را انجام دهيد.

 

ويژگي‌ها: سريع بودن برنامه، امكان دسترسي كامل به كامپيوتر مقصد و وجود پيش‌فرض آن در نسخه‌هاي مختلف ويندوز

سيستم عامل: ويندوز، مك

براي دسترسي به كنترل پنل برويد يا نام Remote را در استارت منو جستجو كنيد.

Chrome Remote Desktop

نرم افزار بعدي كه مي تواند جاگزين خوبي باشد كروم ريموت است كه نرم افزار سريع كم حجم و كارايي راحتي دارد.

و شما تنها كافي است وارد نرم افزار كروم تان شويد و افزونه ريموت را نصب كنيد تا بتوانيد از اين پس به كامپوتر مورد نطرتان وصل شويد و از مزيت هاي اين روش اين است كه شما حتي با گوشي خود مي توانيد سيستم مورد نظرتان را كنترل نماييد.

ويژگي‌ها: استفاده سريع و آسان، حجم كم، نياز نداشتن به نصب نرم‌افزار جداگانه، امكان استفاده مستقيم از داخل مرورگر و دسترسي به فايل‌ها و …

مرورگر مورد نياز: گوگل كروم

Ammyy Admin

اين نرم افزار هم مثل نرم افزار هاي قبل داردي كارايي آسان است و حجم كمي دارد و كافي اين نرم افزار را روي سيستم مبدا و مقصد نصب كرد و به همان روال قبل اتصال را انجام دهيد از ويژگي هاي اين نرم افزار مي توان به گفت گوي زنده و انتقال فايل اشاره نمود

ويژگي‌ها: حجم بسيار كم، نياز نداشتن به نصب، استفاده آسان و سريع

سيستم عامل: ويندوز

۵ بازديد

ويندوز ۱۰ با همه ي خوبي هايي كه دارد يك موردي كه بسيار بعضي از كاربران را آزار مي دهد بحث آپديت هاي آن است كه هر چند يك بار صورت مي پذيرد البته آپديت ويندوز در كل چيز بدي نيست زيرا باگ ها و حفره هاي امنيت را رفع كرده و امكانات جديدي را به سيستم ما اضافه مي كند ولي استفاده زياذ از حجم اينرنت و ريست كردن سيستم بعد نصب از مشكلات آزار دهنده آن است كه معمولا در زمان روشن شدن و خاموش شدن كامپوتر به وقوع مي پيوندد حال ما در اين مطلب راه هاي خاموش كردن آن را به شما آموزش مي دهيم.
غيرفعال كردن آپديت خودكار ويندوز ۱۰ در اتصالات محدود اينترنت
در صورتي كه در ويندوز ۱۰، يك كانكشن اتصال به اينترنت را در وضعيت metered قرار دهيد، ويندوز از دانلود آپديت‌ها به هنگام اتصال به اين كانكشن، پرهيز مي‌‌كند.ويندوز ۱۰ به طور خودكار برخي كانكشن‌ها (همانند اتصال داده موبايلي) را در وضعيت metered قرار مي‌دهد. اما شما نيز مي‌توانيد كانكشن‌هاي دلخواه خودتان با تغيير وضعيت به metered در حالت محدود قرار دهيد. مادامي كه وضعيت اين اتصال در حالت محدود قرار دارد، آپديت‌هاي ويندوز دانلود نمي‌شوند. همچنين پس از قطع اتصال و اتصال مجدد، وضعيت كانكشن در حالت metered باقي مي‌ماند، مگر آن كه خودتان آن را مجدد از حالت metered بيرون آوريد.

در نتيجه در صورتي كه از يك اينترنت با ترافيك محدود بهره مي‌بريد پيشنهاد مي‌شود وضعيت metered را بر روي آن فعال نماييد. شما مي‌توانيد در ساعات آخر شب كه معمولاً دانلود در حالت رايگان قرار دارد، وضعيت metered را از روي كانكشن غيرفعال كنيد تا آپديت‌‌ها صورت گيرد.

نحوه كار:
براي اين كار، ابتدا به كانكشن اينترنت مورد نظر خود در ويندوز متصل شويد. سپس اپليكيشن Settings را اجرا نماييد.به Network & Internet رفته و در زير ليست شبكه‌هاي واي‌فاي، روي Advanced options كليك كنيد.

اكنون گزينه‌ي Set as metered connection را بر روي On تنظيم كنيد. همان‌طور كه اشاره شد، اين گزينه تنها اتصال كنوني اينترنت شما را تحت تأثير قرار مي‌دهد و ويندوز اين تنظيم را جداگانه براي هر اتصال، به خاطر مي‌سپرد.

۴ راه براي غير فعال كردن آپديت ويندوز

پس از فعال كردن اين گزينه، در صورتي كه كه به Windows Update مراجعه كنيد خواهيد ديد كه ويندوز كانكشن كنوني شما را يك اتصال محدود در نظر گرفته است و از آپديت خودكار جلوگيري مي‌‌كند. اما كماكان دكمه‌ي Download جهت دانلود آپديت‌ها با صلاح‌ديد شما وجود دارد.

۴ راه براي غير فعال كردن آپديت ويندوز

غيرفعال كردن آپديت خودكار ويندوز ۱۰ از طريق Group Policy
اين روش از طريق ويرايش‌گر Group Policy ويندوز انجام مي‌گيرد. لازم به ذكر است Group Policy در تمامي نسخه‌هاي ويندوز ۱۰ به جز نسخه‌ي Home وجود دارد. براي اين كار ابتدا كليدهاي تركيبي Win+R را فشار دهيد.در پنجره‌ي Run عبارت gpedit.msc را وارد كرده و Enter بزنيد.

اكنون در پنجره‌ي Local Group Policy Editor به مسير زير برويد:

Computer ConfigurationAdministrative TemplatesWindows ComponentsWindows Update


۴ راه براي غير فعال كردن آپديت ويندوز

اكنون در محدوده‌ي سمت راست، Configure Automatic Updates را يافته و بر روي آن دوباركليك كنيد. در پنجره‌ي باز شده، گزينه‌ي Enabled را انتخاب نماييد. سپس در ليست آبشاري موجود،‌گزينه‌ي دلخواه خود را انتخاب نماييد:

Notify for download and notify for install: اطلاع‌رساني پيش از دانلود و نصب آپديت‌ها.

Auto download and notify for install: دانلود خودكار دانلودها و اطلاع‌رساني پيش از نصب آن‌ها.

Auto download and schedule the install: دانلود خودكار دانلودها و برنامه‌ريزي جهت نصب آن‌ها.

سپس بر روي دكمه‌ي OK كليك نماييد.

۲۳۶ بازديد

سرويس‌دهندگان كلاود ديوار دفاعي قوي‌تري از يك مركز داده سازماني رده متوسط دارند. البته بايد هم چنين باشد، زيرا كوچك‌ترين خللي مي‌تواند مشتريان بسيار زيادي را تحت تأثير قرار دهد.

سرويس‌دهندگان كلاود ديوار دفاعي قوي‌تري از يك مركز داده سازماني رده متوسط دارند. البته بايد هم چنين باشد، زيرا كوچك‌ترين خللي مي‌تواند مشتريان بسيار زيادي را تحت تأثير قرار دهد. در اين ميان، Cloud Security Alliance، نُه تهديد مهم در اين حوزه را بررسي كرده ‌است كه در ادامه مي‌خوانيد.

در گذشته‌اي نه چندان دور، سپردن داده‌هاي حياتي شركت به يك سرويس عمومي كلاود، براي بيش‌تر مديران آي‌تي يك تصور ديوانه‌وار بود.«داده‌هاي من؟ آن بيرون، روي يك پلتفرم مشترك در مركز داده‌اي كه هرگز نديده‌ام؟ اين بيش‌تر شبيه شوخي است!» اما گرايش‌ها تغيير كرده ‌است. دسترس‌پذيري و امنيت سرويس‌دهندگان كلاود افزايش مداومي داشته است. اين افزايش تا به آن‌جا رسيده است كه احتمال وقوع اختلال يا حمله خرابكارانه موفق در مراكز داده معمولي بسيار بيش‌تر از اين احتمال در دژ سترگ سرويس‌دهندگان عظيم كلاود به‌نظر مي‌رسد.
هرچند حسن شهرت سرويس‌دهندگان كلاود در سال 2013 خدشه‌دار شد؛ يعني هنگامي‌كه گزارش‌هايي مبني بر درخواست نهادهاي امنيتي امريكا براي دريافت داده‌هاي مشتري‌ها در كلاود و اجابت اين درخواست به رسانه‌ها درز پيدا كرد. اما حتي آن اتفاق هم ممكن است در نهايت به نفع اين سرويس‌دهندگان تمام شده باشد. برخي از سرويس‌دهندگان، در واكنش به ماجراي مذكور، اكنون رمزنگاري قدرتمندي را به‌صورت پيش‌فرض ارائه مي‌دهند كه به شكلي پياده شده است كه طرف‌هاي بدون مجوز و خارجي، براي رمزگشايي آن با دشواري بسياري مواجه خواهند بود.
حقيقت اين است كه امروزه ارزيابي مخاطرات كلاود بازبيني مي‌شوند. چه بخش‌آي‌تي موافق باشد و چه مخالف، بخش تجاري و مديران بخش‌هاي گوناگون، مشترك سرويس‌هاي كلاود شده‌اند، يك دليل آن دست‌يابي به امكاناتي است كه بخش آي‌تي نمي‌تواند يا نمي‌خواهد فراهم كند و دليل ديگر اين است كه برخي از سرويس‌هاي كليدي كلاود كاملاً بهتر از راهكارهاي پيشين هستند.
كلاود از همه جا سر بر آورده است؛ تا آن‌جا كه مديران فناوري اطلاعات تلاش مي‌كنند كه كلاودهاي فوق كارآمد سرويس‌دهندگان بزرگ را در مراكز داده خود شبيه‌سازي كنند. با وجود اين، استفاده از كلاود بدون آگاهي از خطرهاي احتمالي، در بهترين حالت بي‌ملاحظگي است. خوشبختانه يك سازمان غيرانتفاعي وجود دارد كه به‌طور مستقل فعاليت خود را به اين مشكلات اختصاص داده است.ـ

نُه اصل بدنامِ اتحاد امنيت كلاود
اتحاد امنيت كلاود Cloud Security Alliance) در سال 2008 و با هدف ارتقاي سطح امنيت كلاود شكل گرفت. فهرست اعضاي آن شامل گروه متنوعي از شركت‌هاي شاخص فناوري مي‌شود؛ از فروشندگان سنتي نرم‌افزار همچون مايكروسافت و اوراكل گرفته تا سرويس‌دهندگان كلاود، مانند آمازون و گوگل. اين بنياد در سال 2013 سندي منتشر كرد كه آن را «نُهِ بدنام» ناميد اين سند! شامل9 تهديد اصلي در محاسبات ابري مي‌شود و بر اساس نظرسنجي از متخصصان صنعت نوشته شده است. در ادامه تهديدهاي مذكور را مطالعه خواهيد كرد كه تفسير نگارنده نيز در هر مورد آمده است.

رخنه در داده‌ها
طبيعي است كه امنيت داده در اين فهرست مقام نخست را دارد.  زيرا ترس از افشاي داده‌ها همواره نخستين عامل بازدارنده رواج كلاود بوده است.  در يك سطح، راه‌حل اين مشكل آسان است: آرايه كاملي از گزينه‌هاي رمزنگاري قدرتمند. مقاله راجر گرايمز (Roger Grimes)، با نام «Practical encryption solutions» اين گزينه‌ها را مرور كرده است. حبس كردن داده‌ها در صندوقچه رمزنگاري فقط بخشي از ماجرا است. كليدهاي رمزنگاري ممكن است در دستان نابابي بيفتد. بايد تمهيدات مناسبي براي كنترل دسترسي و مجوزدهي انديشيد تا اطمينان حاصل شود كه فقط افراد مجاز به داده‌ها دسترسي دارند. علاوه بر اين، بايد روش مناسبي براي نظارت بر داده به كار گرفته شود تا چرخه‌اي كه طي مي‌كند به‌خوبي مديريت شود و اين‌كه تحت چه شرايطي داده‌ها مي‌توانند در يك كلاود مشترك ذخيره شوند.
مشكل ديگر، پاك كردن داده‌ها است. در سال‌هاي گذشته گه‌گاه گزارش‌هايي منتشر شده است مبني بر اين‌كه داده مشتري كه قرار بوده پاك شود در كلاودِ سرويس‌دهنده باقي مانده است. رمزنگاري به مقابله با اين خطاي احتمالي نيز كمك مي‌كند.

از دست رفتن داده
از آن‌جا كه سرويس‌هاي كلاود معمولاً بدون اجازه رسمي بخش آي‌تي به‌كار گرفته مي‌شوند، كاربران ممكن است با ذخيره در جاي نامناسب يا پاك كردن اتفاقي، داده‌هاي شركت را از دست بدهند و هنگامي‌كه اين كاربران براي بازيابي داده به بخش آي‌تي مراجعه مي‌كنند، احتمالاً ديگر كار از كار گذشته است. البته وقتي پاي از دست رفتن اتفاقي داده‌ها به ميان مي‌آيد، سرويس‌دهندگان اصلي پيشينه كاملي در دسترس دارند. اما كاربران گاهي بدون ارزيابي واقع‌گرايانه از ميزان توان‌مندي سرويس‌دهندگان، شركت‌هاي رده سوم را انتخاب مي‌كنند. اصولاً در قرارداد، براي چنين مواردي خسارت در نظر گرفته شده است، اما وقتي داده‌ها به علت عملكرد نادرست سرويس‌دهنده ناكارآمد از دست مي‌روند، استرداد حق اشتراك خسارت داده‌ها را جبران نمي‌كند. علاوه‌بر اين، اگر شركت يا سرويس‌دهنده كنترل، دسترسي دقيق را به‌شكل كامل و صحيح اجرا نكند، خرابكاران، كارمندان ناراضي سابق يا بدافزارها مي‌توانند داده‌ها را از بين ببرند.
در يكي از پژوهش‌هاي شركت سيمانتك كه در سال 2013 انجام شد، از 3200 شركت مشاركت‌كننده در نظرسنجي، 43 درصد اعلام كردند داده خود را در كلاود از دست داده‌اند و مجبور به بازيابي از نسخه پشتيبان شده‌اند. داده‌ها در كلاود نيز بايد مانند داده‌ها روي هر سيستم ديگري محافظت شوند.

ربودن ترافيك سرويس
دزدي اطلاعات ورود به شبكه از طريق فيشينگ يا مهندسي اجتماعي مي‌تواند باعث به خطر افتادن داده‌هاي مالي يا سرقت دارايي‌هاي فكري شود. دزدي اطلاعات ورود به محيط كلاود، به خطرهاي خاصي منجر مي‌شود: نخست آن‌كه متخصصان امنيت به‌طور مرتب از مجموعه ابزارهاي خاصي استفاده مي‌كنند تا دريابند كه آيا سازمان به خطر افتاده است يا خير. اما تعداد كمي از اين ابزارها براي بررسي كردن كلاود قابل استفاده است. براي مثال، اگر يك برنامه SaaS در خطر قرار گيرد، مهاجم مي‌تواند بدون اين‌كه شناسايي شود، فعاليت‌ها را زير نظر بگيرد و طي مدتي طولاني داده‌ها را به دقت بررسي كند.
خطرهاي ديگر هنگامي اتفاق مي‌افتد كه يك هكر اعتبارنامه سازماني IaaS كاربر را مي‌دزدد. در گذشته، از كلاودها براي اجراي ماشين‌هاي مجازي براي بات‌نت‌ها، حمله‌هاي DDoS و ديگر فعاليت‌هاي خرابكارانه استفاده مي‌شد؛ اين دليل ديگري است براي نظارت بر كلاود.

رابط‌هاي ناامن
رابط‌هاي كاربري يا رابط‌هاي برنامه كاربردي (API) كلاود، امكان يكپارچه‌سازي با راهكارهاي SSO (سرنام Single Sign-On) را فراهم مي‌كنند، همچنين يكپارچه‌سازي داده يا فرآيند، با ديگر سرويس‌هاي كلاود نيز وجود دارد. اما رابط‌هاي مذكور هدف‌هايي بالقوه براي حمله نيز هستند. سرويس‌دهندگان براي تأمين امنيت API، كليدهاي API يا توكن‌هايي به كاربران مي‌دهند كه براي ايجاد ارتباط بايد تأييد اعتبار شوند. اگر يك API ضعف امنيتي داشته باشد، يك مهاجم مي‌تواند با حمله DoS سرويس كلاود را غير قابل استفاده كند. با وجود اين‌كه API دسترسي به همه توابع كلاود را فراهم مي‌كند، اگر در خطر قرار گيرد، ممكن است حتي مهاجم را قادر سازد داده‌هاي حساس را بربايد.

انكار سرويس
طبيعي است كه سرويس‌هاي عمومي كلاود در دسترس همگان قرار دارند. پيش از اين هكرها سرويس‌هاي كلاود را به دلايل سياسي مورد هدف قرار داده‌اند و باعث استفاده‌ناپذيري آن‌ها به صورت موقت شده‌اند. خوشبختانه، بيش‌تر سرويس‌دهندگان بزرگ به پياده‌سازي ديوار دفاعي كارآمد و خودكار در مقابل حمله‌هاي DDoS پرداخته‌اند. سرويس‌دهندگان كوچك‌تر اما ممكن است چنين تمهيداتي نيانديشند.

 

عوامل داخلي
در پژوهش Forrester كه در سال 2013 انجام شد، 25 درصد از شركت‌كنندگان اظهار داشتند كه سوءاستفاده عوامل داخلي، رايج‌ترين علت به خطر افتادن داده‌ها بوده. اما هيچ كس نمي‌داند كه حمله‌هاي داخلي خرابكارانه ممكن است از سوي كارمندان ناراضي يا كارمنداني انجام شوند كه به رقيب مي‌پيوندند. اين حمله‌ها معمولاً كشف نمي‌شوند يا به دلايل سياسي گزارش نمي‌شوند. تهديدهاي داخلي ويژه كلاود دو رو دارند: نخست، خطر مضاعفي وجود دارد كه يكي از كارمندان خطاكار داخل سرويس‌دهنده كلاود وسوسه شود كه داده‌هاي مشتري را ببيند، بفروشد يا دستكاري كند و شناسايي هم نشود. دوم اين‌كه، با توجه به الگوي استفاده غيرمتمركز از كلاود در بسياري از شركت‌ها، گستره ديد بخش آي‌تي در زمينه مديريت هويت و كنترل دسترسي، ممكن است كل سرويس‌هاي كلاود را پوشش ندهد. چنين نقصي در كنترل مي‌تواند باعث شود كه كارمندان غيرمجاز به داده‌هاي خاص دسترسي كامل پيدا كنند. در بدترين سناريو، كارمندان ممكن است اطلاعات ورود خود را حفظ كنند و فرصت‌هايي را براي شرارت و سرقت در خارج از سازمان ايجاد كنند.

سوءاستفاده از سرويس
سرويس‌دهندگاني همچون آمازون (Web Services)خدماتي ارائه مي‌دهند كه تا پيش از اين وجود نداشت: توانايي به‌كارگيري قدرت محاسباتي كلان به صورت بي‌درنگ براي هر حجم كاري قابل تصوري، پرداخت فقط براي منابع كلاود مورد نياز و سپس بستن حساب سرويس كلاود. چنين امكاني مثلاً براي محاسبات ايده‌آل است. اما اين امكان، فرصتي نيز براي تبه‌كاران مجازي در جهت انجام كارهاي سنگين ديگر فراهم مي‌كند: شكستن رمزنگاري. علاوه بر اين، سرويس‌هاي كلاود ممكن است آشيانه بات‌نت‌ها، حمله‌هاي DDoS و حمله‌هاي تبه‌كارانه ديگري شود كه به قدرت كلان احتياج دارند.

تلاش ناكارآمد
كلاود به اعتماد ميان سرويس‌دهنده و مشتري نياز دارد. نام‌هاي بزرگ صنعت كلاود به لطف كاهش مستمر خطاها و فجايع، موفق به جذب اعتماد عمومي شده‌اند؛ اگرچه رسوايي NSA بسياري از مشتري‌ها (به‌ويژه اروپايي‌ها) را دچار ترديد كرد، با پديدار شدن سرويس‌دهندگان كوچك‌تر و كم‌تر شناخته‌شده، ناآگاهي عمومي، نياز به اعتماد را به امري حياتي تبديل كرده است؛ بسياري از مشتريان سازماني در خرج چنين اعتمادي شك دارند. مسئله مهم ديگر، مانايي كسب‌وكار سرويس‌دهنده است: يكي از پژوهش‌هاي اخير گارتنر پيش‌بيني مي‌كند كه در ميان صد سرويس‌دهنده برتر، يكي از هر چهار سرويس‌دهنده IaaS تا پايان سال 2015 ديگر وجود نخواهند داشت؛ عمدتاً هم به دليل اين‌كه شركتي بزرگ‌تر آن‌ها را خريداري مي‌كند.
يكي از بزرگ‌ترين عوامل بازدارنده در استفاده از محاسبات ابري، ناتواني مشتري‌ها در زمينه نظارت مستمر بر زيرساخت‌هاي امنيتي و آمادگي سرويس‌دهنده است. البته معيارها و استانداردهايي وجود دارد؛ معيارهايي از قبيل Security Trust & Assurance Registry (از اتحاد امنيت كلاود)، Trust & Assurance Registry ،Cloud Computing Security Reference Architectur (از بنياد ملي استانداردها و فناوري)، SSAE 16 (از بنياد CPA امريكا) يا استاندارد 27001 (از ISO/IES). هيچ مشتري‌اي نمي‌تواند پيش از خريد از سرويس‌دهي كامل 24.7 سرويس‌دهنده اطمينان يابد، اما گاهي به مشتريان امتياز بررسي دقيق و اجازه بازرسي فيزيكي از تجهيزات داده مي‌شود.  مسلم است كه تصريح امكان استرداد و غرامت در قرارداد براي مشتري سودمند است. اما از طرف ديگر، هيچ قراردادي نمي‌تواند دزدي يا از بين رفتن داده‌هاي حياتي را كاملاً جبران كند.

آسيب‌پذيري فناوري اشتراكي
كلاود بر اساس اين ايده شكل گرفته است كه چندين مشتري، زيرساخت يكساني را به اشتراك بگذارند؛ مفهومي كه با نام «multitenancy» شناخته مي‌شود. چنان‌كه گزارش «نُهِ بدنام» قيد مي‌كند: «اجزاي شالوده‌اي كه اين زيرساخت را شكل مي‌دهند (پردازنده مركزي، پردازنده گرافيكي و ...)، به شكلي طراحي نشده‌اند كه دارايي‌هاي اختصاصي و ايزوله‌شده را در يك معماري چندگانه فراهم كنند.» يك سرويس‌دهنده بايد امكانات نظارتي و كنترلي را طوري به كار گيرد كه از چنين ضعف‌هاي بالقوه‌اي سوءاستفاده نشود و نيز هكرهايي را كه با هدف آسيب‌رساندن به ديگر مشتري‌ها حساب باز مي‌كنند، ناكام بگذارد. يكي از موارد مهم در حوزه ضعف‌هاي بالقوه امنيتي، در سطح هايپروايزر قرار دارد، زيرا چنين ضعف‌هايي از نظر تئوري مي‌توانند يك مهاجم را قادر سازند چندين ماشين مجازي را در ميان چندين حساب در خطر قرار دهد. محققان در سال 2012، تروجانCrisis را كشف كردند كه نسخه تحت ويندوز آن توانايي آلوده كردن ماشين‌هاي مجازي VMware را داشت. كمي پس از آن، در همان سال، يك مقاله از دانشگاه كاروليناي شمالي توضيح داد كه چگونه يك ماشين مجازي مي‌تواند با استفاده از اطلاعات side-channel timing كليدهاي خصوصي نهفته را بيرون بكشد، كليدهايي كه مورد استفاده ماشين‌هاي مجازي ديگر روي همان سرور هستند. در هر حال، تا كنون هيچ رخنه‌اي منسوب به حمله‌هاي مبتني بر هايپروايزر گزارش نشده است.
 همين امر نيز باعث شده است برخي ادعا كنند كه ترس از چنين خطرهايي اغراق‌شده به شمار مي‌آيد.

۱۹۸ بازديد

در عرصه كارت‌هاي اعتباري، برند كارت و شركت صادركننده آن اغلب دو نهاد متفاوت هستند. منظور از شركت‌هاي‌ كارت اعتباري (credit card company)، صادركنندگان كارت (card issuer) است كه مؤسسه‌‌هايي مالي‌ (اغلب بانك) هستند و براي مشتريان‌ كارت اعتباري صادر مي‌كنند و به حساب‌هاي‌شان خدمات ارائه مي‌دهند. در سوي ديگر، برندها يا شبكه‌هاي كارت اعتباري (credit card network) قرار دارند كه تعيين مي‌كنند كارت اعتباري كجا مي‌تواند مورد استفاده قرار بگيرد و نيز فرآيند پردازش پرداخت‌هاي صورت‌گرفته ميان كاربران كارت اعتباري، فروشندگان، و صادركنندگان كارت را تسهيل مي‌كنند. گفتني است دو تا از بزرگ‌ترين شبكه‌هاي كارت جهان يعني امريكن اكسپرس و ديسكاور همزمان در هر دو نقش ظاهر شده‌اند و هم شبكه كارت و هم صادركننده آن هستند. اما كارت‌هاي موجود روي شبكه‌هاي ويزا و مستركارد را ممكن است مؤسسه‌هاي ديگري مانند كاپيتال وان، بانك آو امريكا و ولز فارگو صادر كنند. در واقع خود ويزا يا مستركارد كارت صادر نمي‌كنند. براي اين كه بدانيد هر كارت اعتباري را چه شركتي صادر كرده‌است، خود كارت را بررسي كنيد. نام صادركننده معمولاً در جلوي كارت، در گوشه راست يا چپ آن، و نيز در بخش زيرين پشت كارت نوشته مي‌شود (شكل1). مهم است كه هم نام صادركننده كارت و هم شبكه آن‌را بدانيد. چون اگر درباره حساب‌تان پرسشي داشته‌باشيد بايد آن‌را از شركت صادركننده بپرسيد و شبكه كارت نيز نشان مي‌دهد كه شما كجاها مي‌توانيد از اين كارت استفاده كنيد و سياست‌هاي مرتبط با مسئوليت‌ها از جمله در صورت وقوع كلاهبرداري را همين شبكه‌ها تعيين مي‌كنند (شكل1).

شركت‌هاي كارت اعتباري
بسياري از كارت‌هاي اعتباري از سوي بانك‌ها و اتحاديه‌هاي اعتباري صادر مي‌شوند. آن‌ها با برخورداري از منابع درآمد به‌نسبت پايدار حاصل از كارمزد حساب‌ها، ديركرد پرداخت‌ها، و كارمزد پردازش پرداخت‌ براي فروشندگان، نهادهاي مالي ايجاد مي‌كنند. سرشت تراكنشي كارت‌هاي اعتباري اين فرصت را براي ‌صادركنندگان فراهم مي‌آورد با مشتريان‌ رابطه پيوسته‌اي ايجاد و آن‌ها را تشويق ‌كنند تا از آن‌ها محصولات و سرويس‌هاي ديگري نيز بخرند (نمودار 1).

شبكه‌هاي كارت اعتباري (برندهاي كارت)
ويزا، مستركارد، امريكن اكسپرس و ديسكاور چهار شبكه بزرگ كارت اعتباري هستند. كار آن‌ها پردازش‌ تراكنش‌هاي كارت اعتباري در سراسر جهان است و مانند دروازه‌اي بين فروشگاه‌ها و شركت‌هاي كارت اعتباري عمل مي‌كنند تا تك‌تك تراكنش‌ها را تأييد و پردازش كنند و نيز مواردي مانند كارمزدهاي مربوطه و مسئوليت در صورت كلاهبرداري را همين‌ها تعيين مي‌كنند. در نمودار 2 سهم هر يك از اين چهار شبكه نشان داده شده‌است.

پي‌نوشت:
1ـ مي‌توان چنين تصور كرد كه هكرها از ميان انبوهي از اطلاعات به سرقت رفته از كارت‌هاي اعتباري با اطلاعات 1000 نفر از صاحبان واقعي كارت‌ها از فروشگاه‌ها خريد مي‌كنند. هنگامي‌كه ماجرا آشكار مي‌شود، بديهي است كه صاحبان كارت پول خود را مي‌خواهند و بر اين باورند كه خودشان تقصيري نداشته‌اند و به‌راستي نيز چنين است.
فروشندگان با اين‌كه كالا را فروخته‌اند، اما پول تنها به‌صورت اعتبار (و نه نقدي)  در حساب‌شان ثبت شده‌است.
اما چون پول‌هاي پرداختي در برابر خريد كالا دزدي بوده‌است، مبلغ كالاهاي خريداري‌شده هرگز به‌دست فروشنده نمي‌رسد و بديهي است كه فروشنده در اين ميان زيان مي‌‌كند.

۲۱۶ بازديد

در عرصه كارت‌هاي اعتباري، برند كارت و شركت صادركننده آن اغلب دو نهاد متفاوت هستند. منظور از شركت‌هاي‌ كارت اعتباري (credit card company)، صادركنندگان كارت (card issuer) است كه مؤسسه‌‌هايي مالي‌ (اغلب بانك) هستند و براي مشتريان‌ كارت اعتباري صادر مي‌كنند و به حساب‌هاي‌شان خدمات ارائه مي‌دهند. در سوي ديگر، برندها يا شبكه‌هاي كارت اعتباري (credit card network) قرار دارند كه تعيين مي‌كنند كارت اعتباري كجا مي‌تواند مورد استفاده قرار بگيرد و نيز فرآيند پردازش پرداخت‌هاي صورت‌گرفته ميان كاربران كارت اعتباري، فروشندگان، و صادركنندگان كارت را تسهيل مي‌كنند. گفتني است دو تا از بزرگ‌ترين شبكه‌هاي كارت جهان يعني امريكن اكسپرس و ديسكاور همزمان در هر دو نقش ظاهر شده‌اند و هم شبكه كارت و هم صادركننده آن هستند. اما كارت‌هاي موجود روي شبكه‌هاي ويزا و مستركارد را ممكن است مؤسسه‌هاي ديگري مانند كاپيتال وان، بانك آو امريكا و ولز فارگو صادر كنند. در واقع خود ويزا يا مستركارد كارت صادر نمي‌كنند. براي اين كه بدانيد هر كارت اعتباري را چه شركتي صادر كرده‌است، خود كارت را بررسي كنيد. نام صادركننده معمولاً در جلوي كارت، در گوشه راست يا چپ آن، و نيز در بخش زيرين پشت كارت نوشته مي‌شود (شكل1). مهم است كه هم نام صادركننده كارت و هم شبكه آن‌را بدانيد. چون اگر درباره حساب‌تان پرسشي داشته‌باشيد بايد آن‌را از شركت صادركننده بپرسيد و شبكه كارت نيز نشان مي‌دهد كه شما كجاها مي‌توانيد از اين كارت استفاده كنيد و سياست‌هاي مرتبط با مسئوليت‌ها از جمله در صورت وقوع كلاهبرداري را همين شبكه‌ها تعيين مي‌كنند (شكل1).

شركت‌هاي كارت اعتباري
بسياري از كارت‌هاي اعتباري از سوي بانك‌ها و اتحاديه‌هاي اعتباري صادر مي‌شوند. آن‌ها با برخورداري از منابع درآمد به‌نسبت پايدار حاصل از كارمزد حساب‌ها، ديركرد پرداخت‌ها، و كارمزد پردازش پرداخت‌ براي فروشندگان، نهادهاي مالي ايجاد مي‌كنند. سرشت تراكنشي كارت‌هاي اعتباري اين فرصت را براي ‌صادركنندگان فراهم مي‌آورد با مشتريان‌ رابطه پيوسته‌اي ايجاد و آن‌ها را تشويق ‌كنند تا از آن‌ها محصولات و سرويس‌هاي ديگري نيز بخرند (نمودار 1).

شبكه‌هاي كارت اعتباري (برندهاي كارت)
ويزا، مستركارد، امريكن اكسپرس و ديسكاور چهار شبكه بزرگ كارت اعتباري هستند. كار آن‌ها پردازش‌ تراكنش‌هاي كارت اعتباري در سراسر جهان است و مانند دروازه‌اي بين فروشگاه‌ها و شركت‌هاي كارت اعتباري عمل مي‌كنند تا تك‌تك تراكنش‌ها را تأييد و پردازش كنند و نيز مواردي مانند كارمزدهاي مربوطه و مسئوليت در صورت كلاهبرداري را همين‌ها تعيين مي‌كنند. در نمودار 2 سهم هر يك از اين چهار شبكه نشان داده شده‌است.

پي‌نوشت:
1ـ مي‌توان چنين تصور كرد كه هكرها از ميان انبوهي از اطلاعات به سرقت رفته از كارت‌هاي اعتباري با اطلاعات 1000 نفر از صاحبان واقعي كارت‌ها از فروشگاه‌ها خريد مي‌كنند. هنگامي‌كه ماجرا آشكار مي‌شود، بديهي است كه صاحبان كارت پول خود را مي‌خواهند و بر اين باورند كه خودشان تقصيري نداشته‌اند و به‌راستي نيز چنين است.
فروشندگان با اين‌كه كالا را فروخته‌اند، اما پول تنها به‌صورت اعتبار (و نه نقدي)  در حساب‌شان ثبت شده‌است.
اما چون پول‌هاي پرداختي در برابر خريد كالا دزدي بوده‌است، مبلغ كالاهاي خريداري‌شده هرگز به‌دست فروشنده نمي‌رسد و بديهي است كه فروشنده در اين ميان زيان مي‌‌كند.

۲۲۷ بازديد

    پرسش خوبي است كه اين پول چگونه تقسيم مي‌شود؟ منابع ما مي‌گويند بخش زيادي از آن نصيب برندها مي‌شود، يعني همان كساني كه قوانين را وضع مي‌كنند.

بدتر اين‌كه معمولاً هزينه‌هاي پرداختي فروشندگان بابت پردازش‌هاي كارت اعتباري نيز افزايش پيدا مي‌كند. اگر فرض كنيم اين هزينه تنها 05/0 درصد افزايش ‌يابد (كه البته تا جايي كه مي‌دانيم، هيچ برندي آ‌ن‌قدر خوش‌قلب نيست كه به چنين رقمي بسنده كند) مي‌شود سالانه 50 هزار دلار پول اضافي به‌ازاي هر فروشنده يا 50 ميليون دلار براي برند مربوطه (زيرا در بالا فرض شد كه تراكنش سالانه فروشنده با كارت اعتباري‌اش يك ميليون دلار است).
تازه اين‌ به‌ازاي يك سال است و افزايش‌ هزينه‌ها مي‌تواند براي چندين سال ديگر نيز ادامه داشته‌باشد. در اين‌جا داريم درباره پول واقعي حرف مي‌زنيم و چنين پولي براي برندها و بانك‌هاي صادركننده كارت تقريباً 100 درصد سود خالص است.
مشكل بنيادي نيز همين است. در سناريوي فوق مبني بر هك شدن يك ميليون كارت اعتباري، برندها و صادركنندگان كارت اعتباري 50 ميليون دلار درآمد خالص به علاوه چندده هزار دلار ديگر به‌عنوان جبران خسارت به جيب مي‌زنند. پرسش خوبي است كه اين پول چگونه تقسيم مي‌شود؟ منابع ما مي‌گويند بخش زيادي از آن نصيب برندها مي‌شود، يعني همان كساني كه قوانين را وضع مي‌كنند. فكر مي‌كنيد اين‌ها اتفاقي است؟ فروشندگان با انواع ترفند‌ها سردوانده مي‌شوند و گاهي بايد تا چندين سال همه خسارت را از جيب خودشان جبران كنند. و همه‌اش به‌اين خاطر است كه آن‌ها قربانياني بي‌گناه هستند.
آن 0.1 درصد از مشتريان بدشانسي كه شماره‌هاي‌شان مورد سوء‌استفاده قرار گرفته‌ بود، حتي ممكن است كمي بيش‌تر متحمل زحمت شوند. خو.اهشمندم اين‌را هم به‌ياد داشته‌باشيد كه در اين سناريو فرض شد از يك ميليون كارت اعتباري هك شده تنها 1000 عدد از آن‌ها مورد سوء‌استفاده قرار گرفته‌اند. اگر آن تعداد را به 2000 عدد افزايش دهيم، برندها و صادركنندگان كارت سالانه 100 ميليون دلار پول به‌علاوه مبالغ متفرقه حاصل از دريافت جريمه و ديگر مواردي را كه همگان از آن مطلع نمي‌شوند، به‌حساب خود واريز مي‌كنند. مدل تجاري بدي نيست و نشان مي‌دهد كه چرا از همان سطوح بالا امنيت در كارت‌هاي اعتباري جايي ندارد. البته مشتري در چنين سوء‌استفاده‌هاي بي‌شرمانه و پستي مي‌تواند براي دريافت خسارت دادخواهي كند. مشتريان و فروشندگان هيچ كار اشتباهي انجام نداده‌اند و با اين‌حال براي اين‌كه قرباني نشوند، بايد سالانه ده‌ها تا صدها ميليون دلار پول بپردازند.
خوشبختانه صنعت كارت اعتباري فكر آنجا را هم كرده‌است و اقدام پيش‌گيرانه سريعي را به‌اجرا درآورده‌است (!) در اين سناريو هيچ مسئوليت مستقيمي متوجه برند يا بانك صادركننده كارت نيست و در نتيجه آن‌ها به دردسر نمي‌افتند. البته فروشندگاني كه كارت‌ها براي خريد از آن‌ها مورد استفاده قرار گرفته‌اند و همچنين مشتريان تقصيري ندارند، اما سرانجام اين آن‌ها هستند كه هزينه‌ها را مي‌پردازند. در نهايت، اين شركت هك ‌شده‌ است كه وكلاي حقوقي سراغش مي‌روند. و در اين‌جا است كه پي‌سي‌آي دوباره به بازي برمي‌گردد و مي‌گويد شركت هك ‌شده، دست‌كم از نظر قانوني، همه تلاشش را كرده‌‌است تا همه‌چيز را امن نگاه دارد. و آن‌ (چك‌ليست‌ها)، تاييديه‌ها، اسكن‌ها و مهرهاي تاييدي كه نشان مي‌دادند شركت مزبور همه تلاشش را به‌كار بسته ‌است، رو مي‌شوند. اين چيزي است كه شركت‌ها كوشيده‌اند پديد بياورند تا بدانند كارشان را در دادگاه راه مي‌اندازد.
رويه‌هاي حقوقي زيادي وجود دارند كه مقررات مدنظر پي‌سي‌آي را پشتيباني مي‌كنند. كوتاه سخن اين كه اين شركت‌ها مرز مصونيت خود را آن‌قدر بالا گرفته‌اند كه اگر بخواهيد مبلغ نا‌چيزي از آن‌ها پول بگيريد، بايد ثابت كنيد به‌طور موثر و خودخواسته درباره تأمين امنيت بي‌مبالاتي كرده‌اند؛
كاري كه انجام آن در دادگاه عملاً ناممكن است و جز درباره هك‌هاي پرهياهويي كه مستندات خوبي درباره‌شان وجود دارد، شدني نيست.
معني‌اش اين است كه سيستم كارت اعتباري دقيقاً آن‌گونه كه برنامه‌ريزي‌ شده ‌است، كار مي‌كند. آن‌ها قوانين را طوري تنظيم كرده‌اند كه از هر هكي كه اتفاق مي‌افتد، سود كلاني به جيب بزنند. پس چرا بايد انتظار داشت كه اين قوانين تغيير كنند؟ آن‌هايي كه هك مي‌شوند و فهرست كارت‌هاي مشتريان‌شان به‌سرقت مي‌رود، تقريباً به‌طور كامل از جبران خسارت حتي يك مشتري يا قرباني و در واقع در برابر سيستم قانوني، مصون هستند.
آن‌هايي كه قرباني مي‌شوند به دردسر مي‌افتند و در اين‌باره هيچ كاري نمي‌توانند انجام دهند. شايد شما يا هر فروشنده‌اي در هر جايي يكي از آن قربانيان باشد. از دولت هم انتظار نداشته ‌باشيد كه اين وضع را تغيير دهد.
صنعت كارت اعتباري لابي‌گران زيادي دارد و شما نداريد. شما را و سرمي‌دوانند. اين صنعت از هر هك سودهاي كلاني عايدش مي‌شود و چه از نظر قانوني و چه از هر حيث ديگري كسي نمي‌تواند درباره‌اش كاري انجام دهد. با در نظر داشتن مبلغ پولي كه در اين كار است، انتظار نداشته ‌باشيد اين وضع تغيير كند. فقط شاد باشيد كه مي‌توانيد در فروشگاه‌هاي پيرو پي‌سي‌آي با «امنيت» خريد كنيد، مقررات پي‌سي‌آي، آن‌گونه كه برنامه‌ريزي شده ‌است، كار مي‌كند. متأسفانه اين سيستم براي شما كار نمي‌كند.

۲۲۷ بازديد

    چرا اين سيستم هرگز واقعاً تغيير نخواهدكرد؟ كوتاه سخن اين‌كه، سود زيادي در اين كار است و آن‌چه از اين پرداخت‌ها عايد دريافت‌كنندگان مي‌شود، تقريباً 100 درصد سود خالص است.

چرا اين موضوع يك مشكل به‌شمار مي‌آيد؟ قوانين يك‌سويه را كه از آن‌ها سخن گفتيم، به‌ياد داريد؟ حدس بزنيد بعضي از آن‌ها براي چه وضع شده‌اند؟ اگر كارت شما مورد كلاه‌برداري قرار بگيرد و شما هيچ تقصيري نداشته‌باشد، فكر مي‌كنيد خسارت آن‌را چه كسي مي‌پردازد؟ بيش‌تر بانك‌ها در اين مواقع مشتريان را سپر قرار مي‌دهند تا خودشان تنها مسئوليت اندكي را بپذيرند يا هيچ مسئوليتي متوجه‌شان نشود. فروشندگاني كه كارت‌ها برضد آن‌ها مورد ‌استفاده قرار گرفته‌است خيلي خوش‌شانس نيستند (منظور زماني است كه هكرها با اطلاعات ربوده‌شده كارت‌هاي اعتباري ديگران، از اين فروشندگان كالا يا سرويس مي‌خرند). هيچ پولي به‌آن‌ها پرداخت نمي‌شود و تازه بابت موارد گوناگوني همچون دريافت كارت‌هاي بي‌اعتبار خسارت هم مي‌پردازند، اما بانك صادركننده كارت معمولاً نه تنها يك سنت هم از حساب خودش پولي نمي‌پردازد، بلكه شايد سهمي از غرامت‌هاي دريافتي هم به‌او برسد. برند كارت اعتباري نيز از راه دريافت غرامت پول كلاني به جيب مي‌زند.
سپس وضع بدتر مي‌شود، هزينه‌اي كه فروشنده‌هاي پذيرنده كارت‌هاي اعتباري بابت استفاده از آن‌ها به شركت‌هاي مربوطه مي‌پردازند، براي مدت زيادي افزايش پيدا مي‌كند. آن‌ها به‌اين علت كه قرباني جرم شده‌اند، متحمل رنج مي‌شوند و اين حتي از پولي كه از دست داده‌اند و جريمه‌هايي كه پرداخته‌اند، ناراحت‌كننده‌تر است.
مي‌بينيد يك جورهايي چه سيستم انگيزشي كژراهي است؟ مي‌بينيد چه‌طور باعث مي‌شود برندهاي كارت اعتباري و صادركنندگان آن اطمينان يابند كه در واقعيت هيچ امنيتي وجود ندارد يا دست‌كم صحنه را طوري مي‌چينند كه عملاً امنيتي در كار نباشد؟ مي‌بينيد چه‌طور آن‌هايي كه آسيب ديده‌اند هرگز هيچ قدرتي براي تغيير اين وضع ندارند؟ مي‌بينيد چرا اين سيستم هرگز واقعاً تغيير نخواهدكرد؟ كوتاه سخن اين‌كه، سود زيادي در اين كار است و آن‌چه از اين پرداخت‌ها عايد دريافت‌كنندگان مي‌شود، تقريباً 100 درصد سود خالص است.
اگرچه كساني كه واقعاً آسيب ديده‌اند، مي‌توانند براي جبران خسارت‌هاي‌شان دادخواست ارائه دهند اما آن‌هايي كه از حمله‌هاي هك‌ سود مي‌برند، سپر قانوني تقريباً استواري دارند تا محافظت‌شان كند. اين سپر طبق برنامه‌ريزي‌هاي خودشان پديد آمده‌است و تقريباً هر كسي كه در اين صنعت كار مي‌كند با آن موافق است و خوب مي‌پنداردش. يكي از علت‌هايش شايد اين باشد كه اگر با اين قوانين موافق نباشيد و از آن‌ها پيروي نكنيد، نمي‌توانيد در اين صنعت حضور داشته‌ باشيد. چنين سازوكاري به‌اندازه انتخابات در كره‌ شمالي منصفانه و راستين است.
اگرچه پذيرفتن شرايط حاكم بر صنعت كارت‌هاي اعتباري و پيوستن به‌آن براي فروشندگان به اسم اختياري است، اما رسماً چنين نيست و فروشگاه‌ها نمي‌توانند بدون آن كسب‌وكار خود را اداره كنند. پس ناچار هستند به‌روي آن لبخند بزنند و وانمود كنند كه خرسند هستند. 
اكنون اين‌را با كلاهبرداري‌هاي كلاني بسنجيد كه اين اواخر شاهدشان بوده‌ايم. كلاهبرداري‌هايي كه ضمن آن‌ها ميليون‌ها تا ده‌ها ميليون كارت به‌‌يك‌باره هك مي‌شوند. اگر فرض كنيم در حمله‌اي فرضي، يك ميليون كارت هك شود و هكرها با هزار عدد از آن‌ها از فروشندگان بي‌گناه خريد كنند، برمي‌گرديم به سر جاي اول‌مان در آغاز اين داستان. دوباره بياييد فرض كنيم كه روي كارت اعتباري هر فروشنده سالانه يك ميليون دلار تراكنش انجام مي‌‌پذيرد و در اين ميان، سهم هر مشتري 50 دلار است. از اين‌جا به بعد، فروشندگاني كه با كارت‌هاي سرقتي از ايشان خريد شده‌است بايد تقريباً از كل پولي كه از دست‌شان رفته‌است، چشم بپوشند و جاي آن‌را از جيب خودشان پر كنند. زيرا هرچه از آن‌ها خريداري شده رفته ‌است و آن‌ها عملاً راه چاره‌اي ندارند. اين آغاز دردسر آن‌ها است. تازه آن‌ها مبالغي را هم به‌عنوان خسارت پرداخت مي‌كنند اما نمي‌دانيم رقم‌شان چقدر است. آري آن‌هايي كه قرباني هكرها شده‌ بودند، قرباني‌ برندهاي كارت اعتباري مي‌شوند. چرا؟ زيرا دست برندها براي غرامت‌خواهي به‌جايي بند است اما دست فروشندگان نه.

۲۳۴ بازديد

مقاله‌ پيشِ روي شما، نوشته(Charlie Demerjian)، با به انتقاد گرفتن سيستم حاكم بر صنعت كارت‌هاي اعتباري، ادعا كرده‌است كه برندهاي كارت اعتباري به‌طور خودخواسته و با لابي‌گري، قوانين را به‌گونه‌اي وضع كرده‌اند كه در صورت هك شدن كارت‌ها، نه تنها مسئوليتي متوجه‌شان نباشد بلكه از اين‌راه و با دريافت مبالغ گوناگون از جمله به‌عنوان جبران خسارت، سالانه درآمد كلاني كسب كنند. باتوجه به ماهيت نسبتا پيچيده سازوكارهاي مالي و به‌ويژه روابط و قوانين حاكم بر عرصه كارت‌هاي اعتباري، در نوشتار زير ضمن ترجمه اصل مقاله، هرگاه كه لازم مي‌نمود توضيح‌هاي كوتاهي نيز درون پرانتز و به‌صورت پانويس به‌آن افزوده شده‌است تا مطلب گوياتر باشد. علاوه بر اين، بخش جداگانه‌اي نيز با عنوان «نهادهاي موجود در صنعت كارت‌هاي اعتباري و ارتباط ميان آن‌ها» در نظر گرفته شده‌است كه درباره نهادهاي مرتبط در اين صنعت توضيح‌هاي كوتاه اما مفيدي را ارائه داده‌است و به‌خوانندگان گرامي پيشنهاد مي‌شود حتماً پيش از خواندن اصل مقاله آن‌را مطالعه كنند.

چرا شمار بسيار زيادي از شركت‌هاي بزرگ «هك» مي‌شوند و فهرست اطلاعات كارت‌هاي اعتباري‌ آن‌ها به‌سرقت مي‌رود؟ معلوم است، زيرا صنعت كارت‌هاي اعتباري از هر سرقتي كه روي مي‌دهد پول به جيب مي‌زند و براي پيش‌گيري از اين هك‌ها هيچ كاري انجام نمي‌دهد. مي‌دانم مسخره به‌نظر مي‌رسد، اما اين دقيقاً همان چيزي است كه اتفاق مي‌افتد.سرقت‌هاي گسترده از كارت‌هاي اعتباري به‌وسيله رخنه‌گري، هك، كارشكني خودي‌ها، يا موارد ديگر براي برندهاي كارت اعتباري عوايد مالي خيلي خوبي دارد. به‌همين علت، آن‌ها با لابي‌گري قوانيني را وضع كرده‌اند كه آن‌ها را از هرگونه مسئوليتي مصون مي‌دارد و در اين ميان، همه سختي‌ها را صادركننده كارت، فروشنده يا مشتري به‌جان مي‌خرد. اين سيستم نقص دارد.

نخست بياييد به ريشه اين ماجرا، يعني همان مجموعه استانداردهايي كه آن‌را پي‌سي‌آي PCI، (سرنام Payment Card Industry) مي‌نامند، نگاهي بياندازيم. پي‌سي‌آي توسط شبكه‌ها يا همان برندهاي بزرگ كارت اعتباري توسعه داده‌ شده ‌است و بيشتر مردم فكر مي‌كنند اين قوانين وضع شده‌اند تا اطمينان دهند يك فروشنده در عمل امنيت را جدي مي‌گيرد. اين شبيه همان ترفندهايي است كه حزب‌ها به‌كار مي‌بندند تا مردم باورشان كنند. متاسفانه پي‌سي‌آي درباره امنيت واقعاً كاري انجام نمي‌دهد يا دست‌كم فقط به‌صورت جزيي به‌آن مي‌پردازد.
اگر در اين‌باره وب‌سايت‌ها و ديگر مطالب مرتبط را مطالعه كنيد، مي‌بينيد نوشته‌اند كه پي‌سي‌آي با برقراري صحيح امنيت سروكار دارد؛ اين استانداردها شامل گزارش‌ كار‌ها، كنش‌هاي پيشنهادي و چيزهايي است كه مي‌توانيد انجام دهيد تا عمليات پردازش كارت اعتباري خود را «امن» كنيد. به‌طور خلاصه چيزي در مايه‌هاي بهترين رهنمودهاي صنعتي كه در شكل ابتدايي‌اش اين‌گونه است. ريشه مشكل همين است.
آن‌چه كه رهنمودها يا دستورهاي مندرج در پي‌سي‌آي انجام مي‌دهد اين است كه از هر كسي كه با كارت‌هاي اعتباري سروكار دارد، مي‌خواهد تا يك‌سري راه‌كارهاي پيشنهادي را رعايت كند. اين رهنمودها بسته به وسعت كار، مشكلات پيشين و بسياري موارد ديگر مي‌تواند به‌صورت گسترده‌تري طبقه‌بندي شود و هرچه كسب‌وكارتان بزرگ‌تر باشد، بايد كارهاي بيش‌تري انجام دهيد (موارد بيش‌تري را رعايت كنيد). اين چيزها تا وقتي كه روي كاغذ هستند عالي به‌نظر مي‌رسند، هر چه ميزان ريسك بالاتر باشد، شما هم بايد كارهاي بيش‌تري انجام دهيد، و آن‌ها حتي يك چك‌ليست هم به‌شما مي‌دهند تا طبق آن سازوكارهاي خود را تنظيم و كنترل كنيد.
اما متأسفانه اين فهرست راهنما چنان گنگ و سست است كه شركت‌ها مي‌توانند تقريباً هر كاري انجام دهند و همچنان از آن‌ها تأييد بگيرند. ما چندين نفر را مي‌شناسيم كه مدت‌ها براساس استانداردهاي پي‌سي‌آي كارهاي خود را اداره مي‌كرده‌اند و همه آن‌ها فرآيند يادشده را، دست‌كم تا جايي كه به امنيت واقعي مربوط مي‌شود، يك شوخي دانسته‌اند. تنها كاري كه پي‌سي‌آي انجام مي‌دهد اين است كه يك چك‌ليست در اختيار شركت‌ها مي‌گذارد. شركت‌ها نيز مي‌توانند آن‌را مدنظر قرار دهند و سپس ادعا كنند قوانين، يعني همان «بهترين رهنمودهاي صنعتي»، را رعايت كرده‌اند. يعني مجموعه رهنمودهاي پي‌سي‌آي به امنيت واقعي تقريباً هيچ ربطي ندارد.

     در اين صنعت قدرت در يك‌جا متمركز شده‌است و آن برندها يا همان شبكه‌هاي كارت اعتباري و شركت‌هاي مربوطه‌شان است. آن‌ها مي‌توانند قوانين يك‌سويه و دلخواه خودشان را وضع كنند تا در برابر هيچ‌چيز پاسخ‌گو نباشند.

اگر موضوع تا اين اندازه مسخره است، پس چرا صنعت كارت‌هاي اعتباري هنوز آن‌را دنبال مي‌كند؟ اگر پي‌سي‌آي هيچ كاري انجام نمي‌دهد، پس چرا اصلاً به‌آن اهميت مي‌دهند؟ پاسخ اين پرسش نخستين كليد تمام اين داستان است. پي‌سي‌آي براي كساني كه از آن پيروي كنند خيلي‌ كارها انجام مي‌دهد، اما آن‌چه انجام مي‌دهد به امنيت هيچ ارتباطي ندارد. مزيت پي‌سي‌آي اين است كه يك‌سري مقررات ارائه مي‌كند، چيزي‌كه ارزش آن در جهان مدرن خيلي بيشتر از امنيت واقعي است.
اين مجموعه مقررات، به زبان ساده راهي را فراروي شركت‌ها قرار مي‌دهند تا آن‌ها با به‌كار بردن اصطلاح‌هاي حقوقي بگويند: «هرآن‌چه مي‌توانستيم، انجام داديم تا امنيت را تضمين كنيم»، درحالي‌كه شايد تمام كاري كه انجام داده‌اند، رعايت حداقل‌هاي لازم براي گذر از تست‌ها و گرفتن تاييديه ‌باشد. گفتني است، كسي كه وضعيت پي‌سي‌آي اين شركت‌ها را تست مي‌كند، يك نهاد حسابرس طرف سوم (third party) است كه هزينه و دستمزدش از جيب فروشندگان پرداخت مي‌شود (منظور از فروشندگان، همان فروشگاه‌هاي كوچك و بزرگي است كه پول كالاها و سرويس‌هاي فروخته‌شده به مشتريان را توسط كارت‌هاي اعتباري دريافت مي‌كنند). يك لحظه درباره‌اش فكر كنيد، حدس مي‌زنيد پولي كه بايد به اين حسابرس‌ها داده‌شود كجا است؟ ضمن اين‌كه اين تاييدها فقط رعايت يا عدم رعايت مقررات گفته‌شده را بررسي مي‌كنند و نه امنيت واقعي را.
پس پي‌سي‌آي چيزي جز يك سپر قانوني (براي شبكه‌هاي كارت اعتباري) نيست؛ گواهي‌‌نامه‌اي در قاب طلايي كه (به‌آن‌ها) مي‌گويد اگر كلاه‌برداري رخ داد، مي‌توانيد خودتان را كنار بكشيد. به‌طور خلاصه، مهر تأييدي است كه اين صنعت قبولش دارد و با اتكا به‌آن خود را در برابر دادخواست‌هايي كه ممكن است پس از حمله‌هاي هك مطرح شوند، مصون نگاه مي‌دارد. پي‌سي‌آي راه گريز اين شركت‌ها از دادخواهي‌هاي پس از وقوع هك است. در مواردي هم كه نتوانند از زير بار مسئوليت شانه خالي كنند، كاري مي‌كنند كه اين دادخواست‌ها ارزش مطرح شدن پيدا نكنند. پي‌سي‌آي براي امنيت كاري انجام نمي‌دهد. مگر اين‌كه سود خالص شركت‌هاي بي‌عرضه و بي‌مبالات را امنيت واقعي قلمداد كنيد. البته كه اين رويه، برنامه‌ريزي‌شده است و هدفش اين است كه چاره‌جويي‌هاي قانوني مشتريان را خنثي كند و اين كار را خيلي هم خوب انجام مي‌دهد.
اگر چنين است، چرا شركت‌هاي كارت اعتباري اقدامي نمي‌كنند تا سازوكارها واقعاً امن شود؟ اين‌همان مشكل بعدي است و بستگي دارد منظورتان از شركت‌هاي كارت اعتباري چه كسي باشد؟ عبارت «شركت كارت اعتباري» ممكن است به چند نهاد متفاوت اشاره داشته‌باشد. ممكن است منظور يك نفر از شركت كارت اعتباري، برند كارت مانند ويزا و امريكن اكسپرس باشد، يا منظورش بانك صادركننده‌اي باشد كه در واقع مي‌توانيد كارت را از آن‌ دريافت ‌كنيد، يا منظور آن فروشندگاني باشد كه آن كارت‌ها را دريافت مي‌كنند. در پايين‌ترين سطح اين تل نيز مشتري قرار دارد كه كارتي را كه برايش صادر شده‌است مي‌گيرد. (پيكان اين مقاله، مورد نخست را نشانه رفته‌است؛ يعني برندهاي كارت اعتباري مانند ويزا، مستركارد و...)
 در اين صنعت قدرت در يك‌جا متمركز شده‌است و آن برندها يا همان شبكه‌هاي كارت اعتباري و شركت‌هاي مربوطه‌شان است. آن‌ها مي‌توانند قوانين يك‌سويه و دلخواه خودشان را وضع كنند تا در برابر هيچ‌چيز پاسخ‌گو نباشند. مي‌توانند هرگاه كه خواستند دوشاخه را از پريز شركت‌هاي صادركننده كارت بكشند و اين بخش بزرگي از كسب‌وكار آن‌ها است. فروشنده‌اي كه عضو اين زنجيره باشد و بخواهد با شبكه‌هاي كارت اعتباري مبارزه كند، بايد خيلي خوش‌شانس باشد كه بتواند پيروز شود، او هيچ شانسي ندارد. و مشتريان؟ خب، آن‌ها مثل قربانيان جاده‌اي اين ماجرا هستند. آن‌ها جز در چند ايالت معدود كه قوانين نصفه و نيمه‌اي به‌تصويب رسيده ‌است، هيچ حق و حقوقي ندارند. تازه لابي‌گران آن قوانين نصفه و نيمه را هم تا اندازه زيادي بي‌اثر كرده‌اند و درنتيجه آن‌ قوانين هم بي‌ارزش هستند. در اين زنجيره فقط حلقه بالانشين است كه قدرت را در دست دارد.

۲۰۷ بازديد

مهم‌ترين بخشِ امنيت يك سيستم، تقويت و پيشگيري پيش از حمله است، چرا كه غالباً دفاع پس از حمله نمي‌تواند چندان ثمربخش و مؤثر واقع شود. آنچه در دنياي امنيت مهم است، توجه به «چگونگي»ها است، نه صرفاً فقط «چه كساني». به زبان ساده‌تر، مهم‌تر اين است چگونه يك سرقت سايبري اتفاق مي‌افتد، نه آنكه چه كساني آن را انجام مي‌دهند.

در مدل‌سازي تهديد نيز تمركزِ اصلي بر روي «چگونگي» وقوع و به نتيجه رسيدن حمله است. در واقع، مدل‌سازي تهديد، روشي براي بهينه‌سازي امنيت سيستم است كه از طريقِ شناساييِ اهداف، روش‌هاي نفوذ و نقاط آسيب‌پذير ممكن‌پذير مي‌شود. در مدل‌سازي تهديد، اولين و مهم‌ترين گام مشخص كردن همه‌ آن چيزهايي است كه قصد حفاظت از آنها را داريم. در اينجا بايد به اين نكته نيز توجه كرد كه مشخص كردن ارزشِ آنچه قصد حفاظت از آن را داريم صرفاً يك مسئله‌ يك طرفه نيست، به اين معنا كه در شناساييِ دارايي‌هاي ارزشمند سيستم، تنها نبايد به آنچه از ديد خود (به عنوان توسعه‌دهنده يا مصرف‌كننده) ارزشمند است توجه كنيم، بلكه بايد آنچه براي يك مهاجم احتمالي نيز ارزشمند است را شناسايي و ارزيابي كنيم.

در گامِ بعد، نياز است تا گروه‌هاي حمله كننده‌ احتمالي به سيستم را شناسايي و ارزيابي كرد. اين گروه‌ها بايد شاملِ خودي‌ها و غريبه‌ها و همچنين دربرگيرنده‌ي اشتباهات غيرعمدي (مانند ضعف‌هاي عملكرد سيستم) و حمله‌هاي مخرب باشد.

سطح حمله

سطح حمله (Attack Surface) مجموعه‌اي از نقاط ضعفي است كه نفوذ از طريقِ آنها براي مهاجمان امكان‌پذير است. در حقيقت سطحِ حمله همان نقاط آسيب‌پذيري سيستم است كه مهاجم قادر خواهد بود از اين طريق آنها به سيستم نفوذ كند و اطلاعات را خارج كند در مدل‌سازي تهديد، ارزيابي و تحليلِ سطحِ حمله اهميت بالايي دارد، چرا كه با اين روش، توسعه‌دهندگان و مسئولان امنيت مي‌توانند از مناطقِ خطر و همين‌طور از شدت خطر اطلاع پيدا كنند، و بخش‌هاي بازِ سيستم براي مهاجمان را شناسايي كنند.

به طورِ كلي تحليلِ سطحِ حمله در ۳ مورد كلي به توسعه‌دهندگان كمك شاياني مي‌كند:

۱- شناساييِ بخش‌ها و عملكردهاي آسيب‌پذير سيستم.

۲- شناسايي مناطقِ در معرضِ خطر كه نيازمند دفاعِ عميق‌تر هستند و به طورِ كلي شناساييِ مناطقي كه نيازمند دفاع در برابر مهاجمين احتمالي هستند.

۳- شناساييِ زماني كه سطحِ حمله تغيير داده شده است، و نياز به ارزيابي تهديد مي‌باشند.

سطحِ حمله بسته به نوع سيستم و عملكرد آن نيز مي‌تواند متفاوت باشد، همان‌طور كه دشمنان احتماليِ آن هم متفاوت هستند.

اما به طور جامع سطحِ حمله را مي‌توان در ۴ بخشِ زير دسته‌بندي كرد:

۱- مجموعه‌ي مسيرهاي ورودي و خروجي براي اطلاعات و دستورها.

۲- كدهايي كه از اين مسيرهاي ورودي و خروجي محافظت مي‌كنند، از جمله؛ ارتباطات منابع و احرازِ هويت، اجازه‌نامه‌ها و اعتبار سنجيِ داده‌ها.

۳- تماميِ اطلاعات با ارزشِ سيستم مانند؛ كليدها، مالكيت معنوي، اطلاعات كسب و كار و اطلاعات شخصي.

۴- كدهايي كه از اين اطلاعات محافظت مي‌كنند، از جمله؛ رمزنگاري‌ها، دسترسي حسابرسي و كنترل عمليات امنيت.

براي مثال: اگر در يك سيستم، تنها نگراني، مهاجمان از راه دور باشند، و سيستم تنها از طريقِ اينترنت با دنياي خارج ارتباط داشته باشد، سطحِ حمله بخشي از سيستم است كه با بخش‌هايي ديگر در اينترنت تعامل دارد، و همين‌طور بخشي كه ورودي‌هاي اينترنت را قبول مي‌كند نيز مي‌تواند به عنوان سطحِ حمله نيز تعريف شود. در نتيجه، يك ديوار آتشين در اين سيستم مي‌تواند با فيلتر كردن بخشي از ترافيك شبكه سطح حمله را محدودتر كند

نمودار حمله

نمودار حمله (Attack Tree) مدل‌سازي گرافيكيِ حمله عليه سيستم است كه در واقع هدف حمله و مراحل نفوذ و حمله را نشان مي‌دهد. با ترسيم نمودارِ حمله مي‌توان چگونگيِ يك حمله را از ابتداي نفوذ به سيستم تا به اتمام رساندن مأموريت خرابكارانه‌ را رديابي و بررسي كرد. در ترسيم نمودارِ حمله ابتدا نياز است تا هرگونه هدف ممكن را شناسايي كرد و در گام بعد هرگونه حمله عليه هدف‌ها را متصور شد، و آنها را به بدنه درخت اضافه كرد

براي مثال، نمودارِ حمله‌ يك ويروسِ كامپيوتري را تصور كنيد. هدف ويروس در واقع آلوده كردن مركزِ سيستم است، و براي رسيدن به اين هدف ابتدا بايد از طريقِ يك فايلِ آلوده به سيستم نفوذ كند، و در مرحله‌ بعدي اجراي فايل توسط كاربران يا مدير سيستم است. در نهايت پس از اجرا شدن فايلِ آلوده سيستم نيز آلوده خواهد شد، كه همان هدف نهايي حمله است.

آنچه در رسم نمودارِ حمله مهم است، در نظر گرفتنِ تماميِ راه‌هاي محتمل براي نفوذ به سيستم و رسيدن به هدف است. شايد گاهي اوقات راه‌هاي نفوذ و حتي اهداف نهايي بسيار غير قابلِ تصور به نظر برسند، اما در واقع، هدف از ترسيم نمودار حمله و تحليل آن، شناسايي تمامي راه‌هاي ممكن، و حتي غيرممكن است

با انجام دقيقِ اين كار مي‌توان حمله‌هاي احتمالي را پيش از وقوع خنثي كرد، و هرگونه شانسِ مهاجم براي نفوذ به سيستم را از باز پس گرفت.

همان‌طور كه پيش از اين نيز اشاره شد، هدف اصلي از مدل‌سازي امنيت، شناساييِ نقاط آسيب‌پذير، دشمنان، و تهديدهاي سيستم و ارزيابي شدت خطري است كه سيستم با آن روبرو است. آنچه توسعه‌دهندگان و مسئولان امنيت از اين مدل‌سازي‌ها به دست مي‌آورند، مشخصات و روش‌هاي حمله‌هاي احتمالي است كه در صورت شناسايي و تقويت به موقع، سطح حمله و شانس موفقيت مهاجمان را به مراتب محدودتر مي‌كند.

بايد در نظر داشت، كه مدل‌سازي امنيت، در مرحله‌ نخست اقدامي پيشگيرانه است، و در مرحله‌ بعد، مقدمه‌اي است براي پايه‌ريزي تدابير مناسب دفاعي در برابر حملات احتمالي.

۲۱۳ بازديد

بيش از 23 هزار سرور آلوده به در‌پشتي (Backdoor) به نام CryptoPHP كشف شدند. اين بدافزار از طريق اتصال و همراه شدن با تم‌ها و پلاگين‌هاي سيستم‌هاي مديريت محتواي وب محبوب به سرورها نفوذ و دربردارنده كدهاي اسكريپت مخربي است كه امكان حملات از راه دور و اجراي كدهاي خوداجرا روي وب‌سرور را فراهم مي‌كند.

بيش از 23 هزار سرور آلوده به در‌پشتي (Backdoor) به نام CryptoPHP كشف شدند. اين بدافزار از طريق اتصال و همراه شدن با تم‌ها و پلاگين‌هاي سيستم‌هاي مديريت محتواي وب محبوب به سرورها نفوذ و دربردارنده كدهاي اسكريپت مخربي است كه امكان حملات از راه دور و اجراي كدهاي خوداجرا روي وب‌سرور را فراهم مي‌كند.

در گام بعدي، محتواي آلوده و مخرب را روي سايت‌هايي مي‌فرستد كه ميزباني مي‌شوند. براساس گزارش شركت امنيتي Fox-IT، اين بدافزار بيش‌تر توسط هكرهاي كلاه سياهي مورد استفاده قرار مي‌گيرد كه مشغول بهينه‌سازي موتورهاي جست‌وجو هستند. عملياتي كه اين هكرها انجام مي‌دهند به اين صورت است كه كلمات كليدي و صفحات آلوده و خوداجرايي را روي سايت‌هاي ميزبان در معرض خطر تزريق مي‌كنند تا نتايج جست‌وجو و رتبه‌بندي آن‌ها بالاتر رود و سيستم‌هاي مديريت محتواي آلوده شامل محتوا و اطلاعات مورد نظر آن‌ها باشند.  برخلاف بيش‌تر بدافزارهاي در‌پشتي كه از طريق آسيب‌پذيري‌هايي در سرور و سيستم‌عامل نصب مي‌شوند، هكرهاي كلاه سياه بدافزار CryptoPHP را از طريق پوسته‌ها و پلاگين‌هاي سرقت شده سيستم‌هاي مديريت محتوايي ‌مانند جوملا، وردپرس و دروپال توزيع مي‌كنند. اين نفوذگران پلاگين‌ها و پوسته‌ها را از سايت‌هاي مختلف سرقت مي‌كنند و منتظر مي‌مانند تا مديران سايت يا توسعه‌دهند‌گان به سراغ اين پلاگين‌ها و پوسته‌هاي آلوده بروند و آن‌ها را دانلود و نصب كنند. بدافزار CryptoPHP درون اين پلاگين‌ها و پوسته‌ها جاسازي شده است.

سرورهاي آلوده به CryptoPHP همانند يك بات‌نت عمل مي‌كنند و از طريق يك كانال ارتباطي رمزنگاري شده فرامين و دستورات را از سرور اصلي دريافت و اجرا مي‌كنند. اين بدافزار كه در كشور هلند شناسايي شده است، با كمك مركز بين‌المللي امنيت سايبر اين كشور و چند شركت تحقيقاتي و امنيتي ديگر مانند Abuse.ch، Shadowserver، Spamhaus و مؤسسه Fox-IT مهار شده‌ و سرورهاي آن‌ها تحت كنترل درآمدند. همچنين، ارتباط سرورهاي آلوده در سراسر جهان با سرورهاي اصلي قطع شده است تا امكان برقراري ارتباط مجدد و اجراي دستورات جديد وجود نداشته باشد.

محققان مؤسسه امنيتي Fox-IT مي‌گويند: «در مجموع، 23693 آدرس IP يكتا متصل به سرورهاي آلوده هكرها شناسايي شده است.» اين محققان اعتقاد دارند تعداد سرورهاي آلوده به بدافزار CryptoPHP بيش‌تر از اين تعداد است؛ زيرا برخي آدرس‌هاي IP يكتا ميان چند سرور به اشتراك گذاشته شده است. طبق گزارش اعلام شده، پنج كشوري كه بيش‌ترين آلود‌گي را دارند، به ترتيب امريكا (8657 آدرس IP)، آلمان (2877 آدرس IP)، فرانسه (1231 آدرس IP)، هلند (1008 آدرس IP) و تركيه (749 آدرس IP يكتا) معرفي شدند. همچنين، در گزارش مؤسسه Fox-IT آمده است هكرها هنگامي كه سرورها بار ترافيكي پاييني دارند، حملات خود را ترتيب مي‌دهند كه امكان نصب پلاگين‌ها و پوسته‌ها وجود داشته باشد و بتوانند امكانات جديد را راه‌اندازي كنند.

به علاوه، تلاش‌هايي ردگيري شده است كه اين هكرها در تلاش‌اند نسخه جديدي از اين بدافزار را بسازند و توزيع كنند تا از تشخيص و شناسايي و قطع ارتباط سرورهاي آلوده با سرور مركزي در امان باشند. اين محققان دو اسكريپت پايتون در برنامه GitHub منتشر كردند تا مديران و وب‌مسترهاي سايت‌ها با استفاده از آن‌ها بتوانند سرورهاي ميزباني سايت خود را اسكن و بدافزار CryptoPHP را شناسايي كنند. به‌علاوه، آن‌ها دستورالعمل پاك‌سازي سيستم و حذف اين بدافزار را در وبلاگ خود منتشر كردند، اما توصيه كردند بهتر است سيستم مديريت محتوايي كه آلوده شده است دوباره نصب شود تا امنيت كامل به‌دست آيد و كم‌ترين خطري متوجه سرور نباشد.