سرويسدهندگان كلاود ديوار دفاعي قويتري از يك مركز داده سازماني رده متوسط دارند. البته بايد هم چنين باشد، زيرا كوچكترين خللي ميتواند مشتريان بسيار زيادي را تحت تأثير قرار دهد.
سرويسدهندگان كلاود ديوار دفاعي قويتري از يك مركز داده سازماني رده متوسط دارند. البته بايد هم چنين باشد، زيرا كوچكترين خللي ميتواند مشتريان بسيار زيادي را تحت تأثير قرار دهد. در اين ميان، Cloud Security Alliance، نُه تهديد مهم در اين حوزه را بررسي كرده است كه در ادامه ميخوانيد.
در گذشتهاي نه چندان دور، سپردن دادههاي حياتي شركت به يك سرويس عمومي كلاود، براي بيشتر مديران آيتي يك تصور ديوانهوار بود.«دادههاي من؟ آن بيرون، روي يك پلتفرم مشترك در مركز دادهاي كه هرگز نديدهام؟ اين بيشتر شبيه شوخي است!» اما گرايشها تغيير كرده است. دسترسپذيري و امنيت سرويسدهندگان كلاود افزايش مداومي داشته است. اين افزايش تا به آنجا رسيده است كه احتمال وقوع اختلال يا حمله خرابكارانه موفق در مراكز داده معمولي بسيار بيشتر از اين احتمال در دژ سترگ سرويسدهندگان عظيم كلاود بهنظر ميرسد.
هرچند حسن شهرت سرويسدهندگان كلاود در سال 2013 خدشهدار شد؛ يعني هنگاميكه گزارشهايي مبني بر درخواست نهادهاي امنيتي امريكا براي دريافت دادههاي مشتريها در كلاود و اجابت اين درخواست به رسانهها درز پيدا كرد. اما حتي آن اتفاق هم ممكن است در نهايت به نفع اين سرويسدهندگان تمام شده باشد. برخي از سرويسدهندگان، در واكنش به ماجراي مذكور، اكنون رمزنگاري قدرتمندي را بهصورت پيشفرض ارائه ميدهند كه به شكلي پياده شده است كه طرفهاي بدون مجوز و خارجي، براي رمزگشايي آن با دشواري بسياري مواجه خواهند بود.
حقيقت اين است كه امروزه ارزيابي مخاطرات كلاود بازبيني ميشوند. چه بخشآيتي موافق باشد و چه مخالف، بخش تجاري و مديران بخشهاي گوناگون، مشترك سرويسهاي كلاود شدهاند، يك دليل آن دستيابي به امكاناتي است كه بخش آيتي نميتواند يا نميخواهد فراهم كند و دليل ديگر اين است كه برخي از سرويسهاي كليدي كلاود كاملاً بهتر از راهكارهاي پيشين هستند.
كلاود از همه جا سر بر آورده است؛ تا آنجا كه مديران فناوري اطلاعات تلاش ميكنند كه كلاودهاي فوق كارآمد سرويسدهندگان بزرگ را در مراكز داده خود شبيهسازي كنند. با وجود اين، استفاده از كلاود بدون آگاهي از خطرهاي احتمالي، در بهترين حالت بيملاحظگي است. خوشبختانه يك سازمان غيرانتفاعي وجود دارد كه بهطور مستقل فعاليت خود را به اين مشكلات اختصاص داده است.ـ
نُه اصل بدنامِ اتحاد امنيت كلاود
اتحاد امنيت كلاود Cloud Security Alliance) در سال 2008 و با هدف ارتقاي سطح امنيت كلاود شكل گرفت. فهرست اعضاي آن شامل گروه متنوعي از شركتهاي شاخص فناوري ميشود؛ از فروشندگان سنتي نرمافزار همچون مايكروسافت و اوراكل گرفته تا سرويسدهندگان كلاود، مانند آمازون و گوگل. اين بنياد در سال 2013 سندي منتشر كرد كه آن را «نُهِ بدنام» ناميد اين سند! شامل9 تهديد اصلي در محاسبات ابري ميشود و بر اساس نظرسنجي از متخصصان صنعت نوشته شده است. در ادامه تهديدهاي مذكور را مطالعه خواهيد كرد كه تفسير نگارنده نيز در هر مورد آمده است.
رخنه در دادهها
طبيعي است كه امنيت داده در اين فهرست مقام نخست را دارد. زيرا ترس از افشاي دادهها همواره نخستين عامل بازدارنده رواج كلاود بوده است. در يك سطح، راهحل اين مشكل آسان است: آرايه كاملي از گزينههاي رمزنگاري قدرتمند. مقاله راجر گرايمز (Roger Grimes)، با نام «Practical encryption solutions» اين گزينهها را مرور كرده است. حبس كردن دادهها در صندوقچه رمزنگاري فقط بخشي از ماجرا است. كليدهاي رمزنگاري ممكن است در دستان نابابي بيفتد. بايد تمهيدات مناسبي براي كنترل دسترسي و مجوزدهي انديشيد تا اطمينان حاصل شود كه فقط افراد مجاز به دادهها دسترسي دارند. علاوه بر اين، بايد روش مناسبي براي نظارت بر داده به كار گرفته شود تا چرخهاي كه طي ميكند بهخوبي مديريت شود و اينكه تحت چه شرايطي دادهها ميتوانند در يك كلاود مشترك ذخيره شوند.
مشكل ديگر، پاك كردن دادهها است. در سالهاي گذشته گهگاه گزارشهايي منتشر شده است مبني بر اينكه داده مشتري كه قرار بوده پاك شود در كلاودِ سرويسدهنده باقي مانده است. رمزنگاري به مقابله با اين خطاي احتمالي نيز كمك ميكند.
از دست رفتن داده
از آنجا كه سرويسهاي كلاود معمولاً بدون اجازه رسمي بخش آيتي بهكار گرفته ميشوند، كاربران ممكن است با ذخيره در جاي نامناسب يا پاك كردن اتفاقي، دادههاي شركت را از دست بدهند و هنگاميكه اين كاربران براي بازيابي داده به بخش آيتي مراجعه ميكنند، احتمالاً ديگر كار از كار گذشته است. البته وقتي پاي از دست رفتن اتفاقي دادهها به ميان ميآيد، سرويسدهندگان اصلي پيشينه كاملي در دسترس دارند. اما كاربران گاهي بدون ارزيابي واقعگرايانه از ميزان توانمندي سرويسدهندگان، شركتهاي رده سوم را انتخاب ميكنند. اصولاً در قرارداد، براي چنين مواردي خسارت در نظر گرفته شده است، اما وقتي دادهها به علت عملكرد نادرست سرويسدهنده ناكارآمد از دست ميروند، استرداد حق اشتراك خسارت دادهها را جبران نميكند. علاوهبر اين، اگر شركت يا سرويسدهنده كنترل، دسترسي دقيق را بهشكل كامل و صحيح اجرا نكند، خرابكاران، كارمندان ناراضي سابق يا بدافزارها ميتوانند دادهها را از بين ببرند.
در يكي از پژوهشهاي شركت سيمانتك كه در سال 2013 انجام شد، از 3200 شركت مشاركتكننده در نظرسنجي، 43 درصد اعلام كردند داده خود را در كلاود از دست دادهاند و مجبور به بازيابي از نسخه پشتيبان شدهاند. دادهها در كلاود نيز بايد مانند دادهها روي هر سيستم ديگري محافظت شوند.
ربودن ترافيك سرويس
دزدي اطلاعات ورود به شبكه از طريق فيشينگ يا مهندسي اجتماعي ميتواند باعث به خطر افتادن دادههاي مالي يا سرقت داراييهاي فكري شود. دزدي اطلاعات ورود به محيط كلاود، به خطرهاي خاصي منجر ميشود: نخست آنكه متخصصان امنيت بهطور مرتب از مجموعه ابزارهاي خاصي استفاده ميكنند تا دريابند كه آيا سازمان به خطر افتاده است يا خير. اما تعداد كمي از اين ابزارها براي بررسي كردن كلاود قابل استفاده است. براي مثال، اگر يك برنامه SaaS در خطر قرار گيرد، مهاجم ميتواند بدون اينكه شناسايي شود، فعاليتها را زير نظر بگيرد و طي مدتي طولاني دادهها را به دقت بررسي كند.
خطرهاي ديگر هنگامي اتفاق ميافتد كه يك هكر اعتبارنامه سازماني IaaS كاربر را ميدزدد. در گذشته، از كلاودها براي اجراي ماشينهاي مجازي براي باتنتها، حملههاي DDoS و ديگر فعاليتهاي خرابكارانه استفاده ميشد؛ اين دليل ديگري است براي نظارت بر كلاود.
رابطهاي ناامن
رابطهاي كاربري يا رابطهاي برنامه كاربردي (API) كلاود، امكان يكپارچهسازي با راهكارهاي SSO (سرنام Single Sign-On) را فراهم ميكنند، همچنين يكپارچهسازي داده يا فرآيند، با ديگر سرويسهاي كلاود نيز وجود دارد. اما رابطهاي مذكور هدفهايي بالقوه براي حمله نيز هستند. سرويسدهندگان براي تأمين امنيت API، كليدهاي API يا توكنهايي به كاربران ميدهند كه براي ايجاد ارتباط بايد تأييد اعتبار شوند. اگر يك API ضعف امنيتي داشته باشد، يك مهاجم ميتواند با حمله DoS سرويس كلاود را غير قابل استفاده كند. با وجود اينكه API دسترسي به همه توابع كلاود را فراهم ميكند، اگر در خطر قرار گيرد، ممكن است حتي مهاجم را قادر سازد دادههاي حساس را بربايد.
انكار سرويس
طبيعي است كه سرويسهاي عمومي كلاود در دسترس همگان قرار دارند. پيش از اين هكرها سرويسهاي كلاود را به دلايل سياسي مورد هدف قرار دادهاند و باعث استفادهناپذيري آنها به صورت موقت شدهاند. خوشبختانه، بيشتر سرويسدهندگان بزرگ به پيادهسازي ديوار دفاعي كارآمد و خودكار در مقابل حملههاي DDoS پرداختهاند. سرويسدهندگان كوچكتر اما ممكن است چنين تمهيداتي نيانديشند.
عوامل داخلي
در پژوهش Forrester كه در سال 2013 انجام شد، 25 درصد از شركتكنندگان اظهار داشتند كه سوءاستفاده عوامل داخلي، رايجترين علت به خطر افتادن دادهها بوده. اما هيچ كس نميداند كه حملههاي داخلي خرابكارانه ممكن است از سوي كارمندان ناراضي يا كارمنداني انجام شوند كه به رقيب ميپيوندند. اين حملهها معمولاً كشف نميشوند يا به دلايل سياسي گزارش نميشوند. تهديدهاي داخلي ويژه كلاود دو رو دارند: نخست، خطر مضاعفي وجود دارد كه يكي از كارمندان خطاكار داخل سرويسدهنده كلاود وسوسه شود كه دادههاي مشتري را ببيند، بفروشد يا دستكاري كند و شناسايي هم نشود. دوم اينكه، با توجه به الگوي استفاده غيرمتمركز از كلاود در بسياري از شركتها، گستره ديد بخش آيتي در زمينه مديريت هويت و كنترل دسترسي، ممكن است كل سرويسهاي كلاود را پوشش ندهد. چنين نقصي در كنترل ميتواند باعث شود كه كارمندان غيرمجاز به دادههاي خاص دسترسي كامل پيدا كنند. در بدترين سناريو، كارمندان ممكن است اطلاعات ورود خود را حفظ كنند و فرصتهايي را براي شرارت و سرقت در خارج از سازمان ايجاد كنند.
سوءاستفاده از سرويس
سرويسدهندگاني همچون آمازون (Web Services)خدماتي ارائه ميدهند كه تا پيش از اين وجود نداشت: توانايي بهكارگيري قدرت محاسباتي كلان به صورت بيدرنگ براي هر حجم كاري قابل تصوري، پرداخت فقط براي منابع كلاود مورد نياز و سپس بستن حساب سرويس كلاود. چنين امكاني مثلاً براي محاسبات ايدهآل است. اما اين امكان، فرصتي نيز براي تبهكاران مجازي در جهت انجام كارهاي سنگين ديگر فراهم ميكند: شكستن رمزنگاري. علاوه بر اين، سرويسهاي كلاود ممكن است آشيانه باتنتها، حملههاي DDoS و حملههاي تبهكارانه ديگري شود كه به قدرت كلان احتياج دارند.
تلاش ناكارآمد
كلاود به اعتماد ميان سرويسدهنده و مشتري نياز دارد. نامهاي بزرگ صنعت كلاود به لطف كاهش مستمر خطاها و فجايع، موفق به جذب اعتماد عمومي شدهاند؛ اگرچه رسوايي NSA بسياري از مشتريها (بهويژه اروپاييها) را دچار ترديد كرد، با پديدار شدن سرويسدهندگان كوچكتر و كمتر شناختهشده، ناآگاهي عمومي، نياز به اعتماد را به امري حياتي تبديل كرده است؛ بسياري از مشتريان سازماني در خرج چنين اعتمادي شك دارند. مسئله مهم ديگر، مانايي كسبوكار سرويسدهنده است: يكي از پژوهشهاي اخير گارتنر پيشبيني ميكند كه در ميان صد سرويسدهنده برتر، يكي از هر چهار سرويسدهنده IaaS تا پايان سال 2015 ديگر وجود نخواهند داشت؛ عمدتاً هم به دليل اينكه شركتي بزرگتر آنها را خريداري ميكند.
يكي از بزرگترين عوامل بازدارنده در استفاده از محاسبات ابري، ناتواني مشتريها در زمينه نظارت مستمر بر زيرساختهاي امنيتي و آمادگي سرويسدهنده است. البته معيارها و استانداردهايي وجود دارد؛ معيارهايي از قبيل Security Trust & Assurance Registry (از اتحاد امنيت كلاود)، Trust & Assurance Registry ،Cloud Computing Security Reference Architectur (از بنياد ملي استانداردها و فناوري)، SSAE 16 (از بنياد CPA امريكا) يا استاندارد 27001 (از ISO/IES). هيچ مشترياي نميتواند پيش از خريد از سرويسدهي كامل 24.7 سرويسدهنده اطمينان يابد، اما گاهي به مشتريان امتياز بررسي دقيق و اجازه بازرسي فيزيكي از تجهيزات داده ميشود. مسلم است كه تصريح امكان استرداد و غرامت در قرارداد براي مشتري سودمند است. اما از طرف ديگر، هيچ قراردادي نميتواند دزدي يا از بين رفتن دادههاي حياتي را كاملاً جبران كند.
آسيبپذيري فناوري اشتراكي
كلاود بر اساس اين ايده شكل گرفته است كه چندين مشتري، زيرساخت يكساني را به اشتراك بگذارند؛ مفهومي كه با نام «multitenancy» شناخته ميشود. چنانكه گزارش «نُهِ بدنام» قيد ميكند: «اجزاي شالودهاي كه اين زيرساخت را شكل ميدهند (پردازنده مركزي، پردازنده گرافيكي و ...)، به شكلي طراحي نشدهاند كه داراييهاي اختصاصي و ايزولهشده را در يك معماري چندگانه فراهم كنند.» يك سرويسدهنده بايد امكانات نظارتي و كنترلي را طوري به كار گيرد كه از چنين ضعفهاي بالقوهاي سوءاستفاده نشود و نيز هكرهايي را كه با هدف آسيبرساندن به ديگر مشتريها حساب باز ميكنند، ناكام بگذارد. يكي از موارد مهم در حوزه ضعفهاي بالقوه امنيتي، در سطح هايپروايزر قرار دارد، زيرا چنين ضعفهايي از نظر تئوري ميتوانند يك مهاجم را قادر سازند چندين ماشين مجازي را در ميان چندين حساب در خطر قرار دهد. محققان در سال 2012، تروجانCrisis را كشف كردند كه نسخه تحت ويندوز آن توانايي آلوده كردن ماشينهاي مجازي VMware را داشت. كمي پس از آن، در همان سال، يك مقاله از دانشگاه كاروليناي شمالي توضيح داد كه چگونه يك ماشين مجازي ميتواند با استفاده از اطلاعات side-channel timing كليدهاي خصوصي نهفته را بيرون بكشد، كليدهايي كه مورد استفاده ماشينهاي مجازي ديگر روي همان سرور هستند. در هر حال، تا كنون هيچ رخنهاي منسوب به حملههاي مبتني بر هايپروايزر گزارش نشده است.
همين امر نيز باعث شده است برخي ادعا كنند كه ترس از چنين خطرهايي اغراقشده به شمار ميآيد.
در عرصه كارتهاي اعتباري، برند كارت و شركت صادركننده آن اغلب دو نهاد متفاوت هستند. منظور از شركتهاي كارت اعتباري (credit card company)، صادركنندگان كارت (card issuer) است كه مؤسسههايي مالي (اغلب بانك) هستند و براي مشتريان كارت اعتباري صادر ميكنند و به حسابهايشان خدمات ارائه ميدهند. در سوي ديگر، برندها يا شبكههاي كارت اعتباري (credit card network) قرار دارند كه تعيين ميكنند كارت اعتباري كجا ميتواند مورد استفاده قرار بگيرد و نيز فرآيند پردازش پرداختهاي صورتگرفته ميان كاربران كارت اعتباري، فروشندگان، و صادركنندگان كارت را تسهيل ميكنند. گفتني است دو تا از بزرگترين شبكههاي كارت جهان يعني امريكن اكسپرس و ديسكاور همزمان در هر دو نقش ظاهر شدهاند و هم شبكه كارت و هم صادركننده آن هستند. اما كارتهاي موجود روي شبكههاي ويزا و مستركارد را ممكن است مؤسسههاي ديگري مانند كاپيتال وان، بانك آو امريكا و ولز فارگو صادر كنند. در واقع خود ويزا يا مستركارد كارت صادر نميكنند. براي اين كه بدانيد هر كارت اعتباري را چه شركتي صادر كردهاست، خود كارت را بررسي كنيد. نام صادركننده معمولاً در جلوي كارت، در گوشه راست يا چپ آن، و نيز در بخش زيرين پشت كارت نوشته ميشود (شكل1). مهم است كه هم نام صادركننده كارت و هم شبكه آنرا بدانيد. چون اگر درباره حسابتان پرسشي داشتهباشيد بايد آنرا از شركت صادركننده بپرسيد و شبكه كارت نيز نشان ميدهد كه شما كجاها ميتوانيد از اين كارت استفاده كنيد و سياستهاي مرتبط با مسئوليتها از جمله در صورت وقوع كلاهبرداري را همين شبكهها تعيين ميكنند (شكل1).
شركتهاي كارت اعتباري
بسياري از كارتهاي اعتباري از سوي بانكها و اتحاديههاي اعتباري صادر ميشوند. آنها با برخورداري از منابع درآمد بهنسبت پايدار حاصل از كارمزد حسابها، ديركرد پرداختها، و كارمزد پردازش پرداخت براي فروشندگان، نهادهاي مالي ايجاد ميكنند. سرشت تراكنشي كارتهاي اعتباري اين فرصت را براي صادركنندگان فراهم ميآورد با مشتريان رابطه پيوستهاي ايجاد و آنها را تشويق كنند تا از آنها محصولات و سرويسهاي ديگري نيز بخرند (نمودار 1).
شبكههاي كارت اعتباري (برندهاي كارت)
ويزا، مستركارد، امريكن اكسپرس و ديسكاور چهار شبكه بزرگ كارت اعتباري هستند. كار آنها پردازش تراكنشهاي كارت اعتباري در سراسر جهان است و مانند دروازهاي بين فروشگاهها و شركتهاي كارت اعتباري عمل ميكنند تا تكتك تراكنشها را تأييد و پردازش كنند و نيز مواردي مانند كارمزدهاي مربوطه و مسئوليت در صورت كلاهبرداري را همينها تعيين ميكنند. در نمودار 2 سهم هر يك از اين چهار شبكه نشان داده شدهاست.
پينوشت:
1ـ ميتوان چنين تصور كرد كه هكرها از ميان انبوهي از اطلاعات به سرقت رفته از كارتهاي اعتباري با اطلاعات 1000 نفر از صاحبان واقعي كارتها از فروشگاهها خريد ميكنند. هنگاميكه ماجرا آشكار ميشود، بديهي است كه صاحبان كارت پول خود را ميخواهند و بر اين باورند كه خودشان تقصيري نداشتهاند و بهراستي نيز چنين است.
فروشندگان با اينكه كالا را فروختهاند، اما پول تنها بهصورت اعتبار (و نه نقدي) در حسابشان ثبت شدهاست.
اما چون پولهاي پرداختي در برابر خريد كالا دزدي بودهاست، مبلغ كالاهاي خريداريشده هرگز بهدست فروشنده نميرسد و بديهي است كه فروشنده در اين ميان زيان ميكند.
در عرصه كارتهاي اعتباري، برند كارت و شركت صادركننده آن اغلب دو نهاد متفاوت هستند. منظور از شركتهاي كارت اعتباري (credit card company)، صادركنندگان كارت (card issuer) است كه مؤسسههايي مالي (اغلب بانك) هستند و براي مشتريان كارت اعتباري صادر ميكنند و به حسابهايشان خدمات ارائه ميدهند. در سوي ديگر، برندها يا شبكههاي كارت اعتباري (credit card network) قرار دارند كه تعيين ميكنند كارت اعتباري كجا ميتواند مورد استفاده قرار بگيرد و نيز فرآيند پردازش پرداختهاي صورتگرفته ميان كاربران كارت اعتباري، فروشندگان، و صادركنندگان كارت را تسهيل ميكنند. گفتني است دو تا از بزرگترين شبكههاي كارت جهان يعني امريكن اكسپرس و ديسكاور همزمان در هر دو نقش ظاهر شدهاند و هم شبكه كارت و هم صادركننده آن هستند. اما كارتهاي موجود روي شبكههاي ويزا و مستركارد را ممكن است مؤسسههاي ديگري مانند كاپيتال وان، بانك آو امريكا و ولز فارگو صادر كنند. در واقع خود ويزا يا مستركارد كارت صادر نميكنند. براي اين كه بدانيد هر كارت اعتباري را چه شركتي صادر كردهاست، خود كارت را بررسي كنيد. نام صادركننده معمولاً در جلوي كارت، در گوشه راست يا چپ آن، و نيز در بخش زيرين پشت كارت نوشته ميشود (شكل1). مهم است كه هم نام صادركننده كارت و هم شبكه آنرا بدانيد. چون اگر درباره حسابتان پرسشي داشتهباشيد بايد آنرا از شركت صادركننده بپرسيد و شبكه كارت نيز نشان ميدهد كه شما كجاها ميتوانيد از اين كارت استفاده كنيد و سياستهاي مرتبط با مسئوليتها از جمله در صورت وقوع كلاهبرداري را همين شبكهها تعيين ميكنند (شكل1).
شركتهاي كارت اعتباري
بسياري از كارتهاي اعتباري از سوي بانكها و اتحاديههاي اعتباري صادر ميشوند. آنها با برخورداري از منابع درآمد بهنسبت پايدار حاصل از كارمزد حسابها، ديركرد پرداختها، و كارمزد پردازش پرداخت براي فروشندگان، نهادهاي مالي ايجاد ميكنند. سرشت تراكنشي كارتهاي اعتباري اين فرصت را براي صادركنندگان فراهم ميآورد با مشتريان رابطه پيوستهاي ايجاد و آنها را تشويق كنند تا از آنها محصولات و سرويسهاي ديگري نيز بخرند (نمودار 1).
شبكههاي كارت اعتباري (برندهاي كارت)
ويزا، مستركارد، امريكن اكسپرس و ديسكاور چهار شبكه بزرگ كارت اعتباري هستند. كار آنها پردازش تراكنشهاي كارت اعتباري در سراسر جهان است و مانند دروازهاي بين فروشگاهها و شركتهاي كارت اعتباري عمل ميكنند تا تكتك تراكنشها را تأييد و پردازش كنند و نيز مواردي مانند كارمزدهاي مربوطه و مسئوليت در صورت كلاهبرداري را همينها تعيين ميكنند. در نمودار 2 سهم هر يك از اين چهار شبكه نشان داده شدهاست.
پينوشت:
1ـ ميتوان چنين تصور كرد كه هكرها از ميان انبوهي از اطلاعات به سرقت رفته از كارتهاي اعتباري با اطلاعات 1000 نفر از صاحبان واقعي كارتها از فروشگاهها خريد ميكنند. هنگاميكه ماجرا آشكار ميشود، بديهي است كه صاحبان كارت پول خود را ميخواهند و بر اين باورند كه خودشان تقصيري نداشتهاند و بهراستي نيز چنين است.
فروشندگان با اينكه كالا را فروختهاند، اما پول تنها بهصورت اعتبار (و نه نقدي) در حسابشان ثبت شدهاست.
اما چون پولهاي پرداختي در برابر خريد كالا دزدي بودهاست، مبلغ كالاهاي خريداريشده هرگز بهدست فروشنده نميرسد و بديهي است كه فروشنده در اين ميان زيان ميكند.
پرسش خوبي است كه اين پول چگونه تقسيم ميشود؟ منابع ما ميگويند بخش زيادي از آن نصيب برندها ميشود، يعني همان كساني كه قوانين را وضع ميكنند.
بدتر اينكه معمولاً هزينههاي پرداختي فروشندگان بابت پردازشهاي كارت اعتباري نيز افزايش پيدا ميكند. اگر فرض كنيم اين هزينه تنها 05/0 درصد افزايش يابد (كه البته تا جايي كه ميدانيم، هيچ برندي آنقدر خوشقلب نيست كه به چنين رقمي بسنده كند) ميشود سالانه 50 هزار دلار پول اضافي بهازاي هر فروشنده يا 50 ميليون دلار براي برند مربوطه (زيرا در بالا فرض شد كه تراكنش سالانه فروشنده با كارت اعتبارياش يك ميليون دلار است).
تازه اين بهازاي يك سال است و افزايش هزينهها ميتواند براي چندين سال ديگر نيز ادامه داشتهباشد. در اينجا داريم درباره پول واقعي حرف ميزنيم و چنين پولي براي برندها و بانكهاي صادركننده كارت تقريباً 100 درصد سود خالص است.
مشكل بنيادي نيز همين است. در سناريوي فوق مبني بر هك شدن يك ميليون كارت اعتباري، برندها و صادركنندگان كارت اعتباري 50 ميليون دلار درآمد خالص به علاوه چندده هزار دلار ديگر بهعنوان جبران خسارت به جيب ميزنند. پرسش خوبي است كه اين پول چگونه تقسيم ميشود؟ منابع ما ميگويند بخش زيادي از آن نصيب برندها ميشود، يعني همان كساني كه قوانين را وضع ميكنند. فكر ميكنيد اينها اتفاقي است؟ فروشندگان با انواع ترفندها سردوانده ميشوند و گاهي بايد تا چندين سال همه خسارت را از جيب خودشان جبران كنند. و همهاش بهاين خاطر است كه آنها قربانياني بيگناه هستند.
آن 0.1 درصد از مشتريان بدشانسي كه شمارههايشان مورد سوءاستفاده قرار گرفته بود، حتي ممكن است كمي بيشتر متحمل زحمت شوند. خو.اهشمندم اينرا هم بهياد داشتهباشيد كه در اين سناريو فرض شد از يك ميليون كارت اعتباري هك شده تنها 1000 عدد از آنها مورد سوءاستفاده قرار گرفتهاند. اگر آن تعداد را به 2000 عدد افزايش دهيم، برندها و صادركنندگان كارت سالانه 100 ميليون دلار پول بهعلاوه مبالغ متفرقه حاصل از دريافت جريمه و ديگر مواردي را كه همگان از آن مطلع نميشوند، بهحساب خود واريز ميكنند. مدل تجاري بدي نيست و نشان ميدهد كه چرا از همان سطوح بالا امنيت در كارتهاي اعتباري جايي ندارد. البته مشتري در چنين سوءاستفادههاي بيشرمانه و پستي ميتواند براي دريافت خسارت دادخواهي كند. مشتريان و فروشندگان هيچ كار اشتباهي انجام ندادهاند و با اينحال براي اينكه قرباني نشوند، بايد سالانه دهها تا صدها ميليون دلار پول بپردازند.
خوشبختانه صنعت كارت اعتباري فكر آنجا را هم كردهاست و اقدام پيشگيرانه سريعي را بهاجرا درآوردهاست (!) در اين سناريو هيچ مسئوليت مستقيمي متوجه برند يا بانك صادركننده كارت نيست و در نتيجه آنها به دردسر نميافتند. البته فروشندگاني كه كارتها براي خريد از آنها مورد استفاده قرار گرفتهاند و همچنين مشتريان تقصيري ندارند، اما سرانجام اين آنها هستند كه هزينهها را ميپردازند. در نهايت، اين شركت هك شده است كه وكلاي حقوقي سراغش ميروند. و در اينجا است كه پيسيآي دوباره به بازي برميگردد و ميگويد شركت هك شده، دستكم از نظر قانوني، همه تلاشش را كردهاست تا همهچيز را امن نگاه دارد. و آن (چكليستها)، تاييديهها، اسكنها و مهرهاي تاييدي كه نشان ميدادند شركت مزبور همه تلاشش را بهكار بسته است، رو ميشوند. اين چيزي است كه شركتها كوشيدهاند پديد بياورند تا بدانند كارشان را در دادگاه راه مياندازد.
رويههاي حقوقي زيادي وجود دارند كه مقررات مدنظر پيسيآي را پشتيباني ميكنند. كوتاه سخن اين كه اين شركتها مرز مصونيت خود را آنقدر بالا گرفتهاند كه اگر بخواهيد مبلغ ناچيزي از آنها پول بگيريد، بايد ثابت كنيد بهطور موثر و خودخواسته درباره تأمين امنيت بيمبالاتي كردهاند؛
كاري كه انجام آن در دادگاه عملاً ناممكن است و جز درباره هكهاي پرهياهويي كه مستندات خوبي دربارهشان وجود دارد، شدني نيست.
معنياش اين است كه سيستم كارت اعتباري دقيقاً آنگونه كه برنامهريزي شده است، كار ميكند. آنها قوانين را طوري تنظيم كردهاند كه از هر هكي كه اتفاق ميافتد، سود كلاني به جيب بزنند. پس چرا بايد انتظار داشت كه اين قوانين تغيير كنند؟ آنهايي كه هك ميشوند و فهرست كارتهاي مشتريانشان بهسرقت ميرود، تقريباً بهطور كامل از جبران خسارت حتي يك مشتري يا قرباني و در واقع در برابر سيستم قانوني، مصون هستند.
آنهايي كه قرباني ميشوند به دردسر ميافتند و در اينباره هيچ كاري نميتوانند انجام دهند. شايد شما يا هر فروشندهاي در هر جايي يكي از آن قربانيان باشد. از دولت هم انتظار نداشته باشيد كه اين وضع را تغيير دهد.
صنعت كارت اعتباري لابيگران زيادي دارد و شما نداريد. شما را و سرميدوانند. اين صنعت از هر هك سودهاي كلاني عايدش ميشود و چه از نظر قانوني و چه از هر حيث ديگري كسي نميتواند دربارهاش كاري انجام دهد. با در نظر داشتن مبلغ پولي كه در اين كار است، انتظار نداشته باشيد اين وضع تغيير كند. فقط شاد باشيد كه ميتوانيد در فروشگاههاي پيرو پيسيآي با «امنيت» خريد كنيد، مقررات پيسيآي، آنگونه كه برنامهريزي شده است، كار ميكند. متأسفانه اين سيستم براي شما كار نميكند.
چرا اين سيستم هرگز واقعاً تغيير نخواهدكرد؟ كوتاه سخن اينكه، سود زيادي در اين كار است و آنچه از اين پرداختها عايد دريافتكنندگان ميشود، تقريباً 100 درصد سود خالص است.
چرا اين موضوع يك مشكل بهشمار ميآيد؟ قوانين يكسويه را كه از آنها سخن گفتيم، بهياد داريد؟ حدس بزنيد بعضي از آنها براي چه وضع شدهاند؟ اگر كارت شما مورد كلاهبرداري قرار بگيرد و شما هيچ تقصيري نداشتهباشد، فكر ميكنيد خسارت آنرا چه كسي ميپردازد؟ بيشتر بانكها در اين مواقع مشتريان را سپر قرار ميدهند تا خودشان تنها مسئوليت اندكي را بپذيرند يا هيچ مسئوليتي متوجهشان نشود. فروشندگاني كه كارتها برضد آنها مورد استفاده قرار گرفتهاست خيلي خوششانس نيستند (منظور زماني است كه هكرها با اطلاعات ربودهشده كارتهاي اعتباري ديگران، از اين فروشندگان كالا يا سرويس ميخرند). هيچ پولي بهآنها پرداخت نميشود و تازه بابت موارد گوناگوني همچون دريافت كارتهاي بياعتبار خسارت هم ميپردازند، اما بانك صادركننده كارت معمولاً نه تنها يك سنت هم از حساب خودش پولي نميپردازد، بلكه شايد سهمي از غرامتهاي دريافتي هم بهاو برسد. برند كارت اعتباري نيز از راه دريافت غرامت پول كلاني به جيب ميزند.
سپس وضع بدتر ميشود، هزينهاي كه فروشندههاي پذيرنده كارتهاي اعتباري بابت استفاده از آنها به شركتهاي مربوطه ميپردازند، براي مدت زيادي افزايش پيدا ميكند. آنها بهاين علت كه قرباني جرم شدهاند، متحمل رنج ميشوند و اين حتي از پولي كه از دست دادهاند و جريمههايي كه پرداختهاند، ناراحتكنندهتر است.
ميبينيد يك جورهايي چه سيستم انگيزشي كژراهي است؟ ميبينيد چهطور باعث ميشود برندهاي كارت اعتباري و صادركنندگان آن اطمينان يابند كه در واقعيت هيچ امنيتي وجود ندارد يا دستكم صحنه را طوري ميچينند كه عملاً امنيتي در كار نباشد؟ ميبينيد چهطور آنهايي كه آسيب ديدهاند هرگز هيچ قدرتي براي تغيير اين وضع ندارند؟ ميبينيد چرا اين سيستم هرگز واقعاً تغيير نخواهدكرد؟ كوتاه سخن اينكه، سود زيادي در اين كار است و آنچه از اين پرداختها عايد دريافتكنندگان ميشود، تقريباً 100 درصد سود خالص است.
اگرچه كساني كه واقعاً آسيب ديدهاند، ميتوانند براي جبران خسارتهايشان دادخواست ارائه دهند اما آنهايي كه از حملههاي هك سود ميبرند، سپر قانوني تقريباً استواري دارند تا محافظتشان كند. اين سپر طبق برنامهريزيهاي خودشان پديد آمدهاست و تقريباً هر كسي كه در اين صنعت كار ميكند با آن موافق است و خوب ميپنداردش. يكي از علتهايش شايد اين باشد كه اگر با اين قوانين موافق نباشيد و از آنها پيروي نكنيد، نميتوانيد در اين صنعت حضور داشته باشيد. چنين سازوكاري بهاندازه انتخابات در كره شمالي منصفانه و راستين است.
اگرچه پذيرفتن شرايط حاكم بر صنعت كارتهاي اعتباري و پيوستن بهآن براي فروشندگان به اسم اختياري است، اما رسماً چنين نيست و فروشگاهها نميتوانند بدون آن كسبوكار خود را اداره كنند. پس ناچار هستند بهروي آن لبخند بزنند و وانمود كنند كه خرسند هستند.
اكنون اينرا با كلاهبرداريهاي كلاني بسنجيد كه اين اواخر شاهدشان بودهايم. كلاهبرداريهايي كه ضمن آنها ميليونها تا دهها ميليون كارت بهيكباره هك ميشوند. اگر فرض كنيم در حملهاي فرضي، يك ميليون كارت هك شود و هكرها با هزار عدد از آنها از فروشندگان بيگناه خريد كنند، برميگرديم به سر جاي اولمان در آغاز اين داستان. دوباره بياييد فرض كنيم كه روي كارت اعتباري هر فروشنده سالانه يك ميليون دلار تراكنش انجام ميپذيرد و در اين ميان، سهم هر مشتري 50 دلار است. از اينجا به بعد، فروشندگاني كه با كارتهاي سرقتي از ايشان خريد شدهاست بايد تقريباً از كل پولي كه از دستشان رفتهاست، چشم بپوشند و جاي آنرا از جيب خودشان پر كنند. زيرا هرچه از آنها خريداري شده رفته است و آنها عملاً راه چارهاي ندارند. اين آغاز دردسر آنها است. تازه آنها مبالغي را هم بهعنوان خسارت پرداخت ميكنند اما نميدانيم رقمشان چقدر است. آري آنهايي كه قرباني هكرها شده بودند، قرباني برندهاي كارت اعتباري ميشوند. چرا؟ زيرا دست برندها براي غرامتخواهي بهجايي بند است اما دست فروشندگان نه.
مقاله پيشِ روي شما، نوشته(Charlie Demerjian)، با به انتقاد گرفتن سيستم حاكم بر صنعت كارتهاي اعتباري، ادعا كردهاست كه برندهاي كارت اعتباري بهطور خودخواسته و با لابيگري، قوانين را بهگونهاي وضع كردهاند كه در صورت هك شدن كارتها، نه تنها مسئوليتي متوجهشان نباشد بلكه از اينراه و با دريافت مبالغ گوناگون از جمله بهعنوان جبران خسارت، سالانه درآمد كلاني كسب كنند. باتوجه به ماهيت نسبتا پيچيده سازوكارهاي مالي و بهويژه روابط و قوانين حاكم بر عرصه كارتهاي اعتباري، در نوشتار زير ضمن ترجمه اصل مقاله، هرگاه كه لازم مينمود توضيحهاي كوتاهي نيز درون پرانتز و بهصورت پانويس بهآن افزوده شدهاست تا مطلب گوياتر باشد. علاوه بر اين، بخش جداگانهاي نيز با عنوان «نهادهاي موجود در صنعت كارتهاي اعتباري و ارتباط ميان آنها» در نظر گرفته شدهاست كه درباره نهادهاي مرتبط در اين صنعت توضيحهاي كوتاه اما مفيدي را ارائه دادهاست و بهخوانندگان گرامي پيشنهاد ميشود حتماً پيش از خواندن اصل مقاله آنرا مطالعه كنند.
چرا شمار بسيار زيادي از شركتهاي بزرگ «هك» ميشوند و فهرست اطلاعات كارتهاي اعتباري آنها بهسرقت ميرود؟ معلوم است، زيرا صنعت كارتهاي اعتباري از هر سرقتي كه روي ميدهد پول به جيب ميزند و براي پيشگيري از اين هكها هيچ كاري انجام نميدهد. ميدانم مسخره بهنظر ميرسد، اما اين دقيقاً همان چيزي است كه اتفاق ميافتد.سرقتهاي گسترده از كارتهاي اعتباري بهوسيله رخنهگري، هك، كارشكني خوديها، يا موارد ديگر براي برندهاي كارت اعتباري عوايد مالي خيلي خوبي دارد. بههمين علت، آنها با لابيگري قوانيني را وضع كردهاند كه آنها را از هرگونه مسئوليتي مصون ميدارد و در اين ميان، همه سختيها را صادركننده كارت، فروشنده يا مشتري بهجان ميخرد. اين سيستم نقص دارد.
نخست بياييد به ريشه اين ماجرا، يعني همان مجموعه استانداردهايي كه آنرا پيسيآي PCI، (سرنام Payment Card Industry) مينامند، نگاهي بياندازيم. پيسيآي توسط شبكهها يا همان برندهاي بزرگ كارت اعتباري توسعه داده شده است و بيشتر مردم فكر ميكنند اين قوانين وضع شدهاند تا اطمينان دهند يك فروشنده در عمل امنيت را جدي ميگيرد. اين شبيه همان ترفندهايي است كه حزبها بهكار ميبندند تا مردم باورشان كنند. متاسفانه پيسيآي درباره امنيت واقعاً كاري انجام نميدهد يا دستكم فقط بهصورت جزيي بهآن ميپردازد.
اگر در اينباره وبسايتها و ديگر مطالب مرتبط را مطالعه كنيد، ميبينيد نوشتهاند كه پيسيآي با برقراري صحيح امنيت سروكار دارد؛ اين استانداردها شامل گزارش كارها، كنشهاي پيشنهادي و چيزهايي است كه ميتوانيد انجام دهيد تا عمليات پردازش كارت اعتباري خود را «امن» كنيد. بهطور خلاصه چيزي در مايههاي بهترين رهنمودهاي صنعتي كه در شكل ابتدايياش اينگونه است. ريشه مشكل همين است.
آنچه كه رهنمودها يا دستورهاي مندرج در پيسيآي انجام ميدهد اين است كه از هر كسي كه با كارتهاي اعتباري سروكار دارد، ميخواهد تا يكسري راهكارهاي پيشنهادي را رعايت كند. اين رهنمودها بسته به وسعت كار، مشكلات پيشين و بسياري موارد ديگر ميتواند بهصورت گستردهتري طبقهبندي شود و هرچه كسبوكارتان بزرگتر باشد، بايد كارهاي بيشتري انجام دهيد (موارد بيشتري را رعايت كنيد). اين چيزها تا وقتي كه روي كاغذ هستند عالي بهنظر ميرسند، هر چه ميزان ريسك بالاتر باشد، شما هم بايد كارهاي بيشتري انجام دهيد، و آنها حتي يك چكليست هم بهشما ميدهند تا طبق آن سازوكارهاي خود را تنظيم و كنترل كنيد.
اما متأسفانه اين فهرست راهنما چنان گنگ و سست است كه شركتها ميتوانند تقريباً هر كاري انجام دهند و همچنان از آنها تأييد بگيرند. ما چندين نفر را ميشناسيم كه مدتها براساس استانداردهاي پيسيآي كارهاي خود را اداره ميكردهاند و همه آنها فرآيند يادشده را، دستكم تا جايي كه به امنيت واقعي مربوط ميشود، يك شوخي دانستهاند. تنها كاري كه پيسيآي انجام ميدهد اين است كه يك چكليست در اختيار شركتها ميگذارد. شركتها نيز ميتوانند آنرا مدنظر قرار دهند و سپس ادعا كنند قوانين، يعني همان «بهترين رهنمودهاي صنعتي»، را رعايت كردهاند. يعني مجموعه رهنمودهاي پيسيآي به امنيت واقعي تقريباً هيچ ربطي ندارد.
در اين صنعت قدرت در يكجا متمركز شدهاست و آن برندها يا همان شبكههاي كارت اعتباري و شركتهاي مربوطهشان است. آنها ميتوانند قوانين يكسويه و دلخواه خودشان را وضع كنند تا در برابر هيچچيز پاسخگو نباشند.
اگر موضوع تا اين اندازه مسخره است، پس چرا صنعت كارتهاي اعتباري هنوز آنرا دنبال ميكند؟ اگر پيسيآي هيچ كاري انجام نميدهد، پس چرا اصلاً بهآن اهميت ميدهند؟ پاسخ اين پرسش نخستين كليد تمام اين داستان است. پيسيآي براي كساني كه از آن پيروي كنند خيلي كارها انجام ميدهد، اما آنچه انجام ميدهد به امنيت هيچ ارتباطي ندارد. مزيت پيسيآي اين است كه يكسري مقررات ارائه ميكند، چيزيكه ارزش آن در جهان مدرن خيلي بيشتر از امنيت واقعي است.
اين مجموعه مقررات، به زبان ساده راهي را فراروي شركتها قرار ميدهند تا آنها با بهكار بردن اصطلاحهاي حقوقي بگويند: «هرآنچه ميتوانستيم، انجام داديم تا امنيت را تضمين كنيم»، درحاليكه شايد تمام كاري كه انجام دادهاند، رعايت حداقلهاي لازم براي گذر از تستها و گرفتن تاييديه باشد. گفتني است، كسي كه وضعيت پيسيآي اين شركتها را تست ميكند، يك نهاد حسابرس طرف سوم (third party) است كه هزينه و دستمزدش از جيب فروشندگان پرداخت ميشود (منظور از فروشندگان، همان فروشگاههاي كوچك و بزرگي است كه پول كالاها و سرويسهاي فروختهشده به مشتريان را توسط كارتهاي اعتباري دريافت ميكنند). يك لحظه دربارهاش فكر كنيد، حدس ميزنيد پولي كه بايد به اين حسابرسها دادهشود كجا است؟ ضمن اينكه اين تاييدها فقط رعايت يا عدم رعايت مقررات گفتهشده را بررسي ميكنند و نه امنيت واقعي را.
پس پيسيآي چيزي جز يك سپر قانوني (براي شبكههاي كارت اعتباري) نيست؛ گواهينامهاي در قاب طلايي كه (بهآنها) ميگويد اگر كلاهبرداري رخ داد، ميتوانيد خودتان را كنار بكشيد. بهطور خلاصه، مهر تأييدي است كه اين صنعت قبولش دارد و با اتكا بهآن خود را در برابر دادخواستهايي كه ممكن است پس از حملههاي هك مطرح شوند، مصون نگاه ميدارد. پيسيآي راه گريز اين شركتها از دادخواهيهاي پس از وقوع هك است. در مواردي هم كه نتوانند از زير بار مسئوليت شانه خالي كنند، كاري ميكنند كه اين دادخواستها ارزش مطرح شدن پيدا نكنند. پيسيآي براي امنيت كاري انجام نميدهد. مگر اينكه سود خالص شركتهاي بيعرضه و بيمبالات را امنيت واقعي قلمداد كنيد. البته كه اين رويه، برنامهريزيشده است و هدفش اين است كه چارهجوييهاي قانوني مشتريان را خنثي كند و اين كار را خيلي هم خوب انجام ميدهد.
اگر چنين است، چرا شركتهاي كارت اعتباري اقدامي نميكنند تا سازوكارها واقعاً امن شود؟ اينهمان مشكل بعدي است و بستگي دارد منظورتان از شركتهاي كارت اعتباري چه كسي باشد؟ عبارت «شركت كارت اعتباري» ممكن است به چند نهاد متفاوت اشاره داشتهباشد. ممكن است منظور يك نفر از شركت كارت اعتباري، برند كارت مانند ويزا و امريكن اكسپرس باشد، يا منظورش بانك صادركنندهاي باشد كه در واقع ميتوانيد كارت را از آن دريافت كنيد، يا منظور آن فروشندگاني باشد كه آن كارتها را دريافت ميكنند. در پايينترين سطح اين تل نيز مشتري قرار دارد كه كارتي را كه برايش صادر شدهاست ميگيرد. (پيكان اين مقاله، مورد نخست را نشانه رفتهاست؛ يعني برندهاي كارت اعتباري مانند ويزا، مستركارد و...)
در اين صنعت قدرت در يكجا متمركز شدهاست و آن برندها يا همان شبكههاي كارت اعتباري و شركتهاي مربوطهشان است. آنها ميتوانند قوانين يكسويه و دلخواه خودشان را وضع كنند تا در برابر هيچچيز پاسخگو نباشند. ميتوانند هرگاه كه خواستند دوشاخه را از پريز شركتهاي صادركننده كارت بكشند و اين بخش بزرگي از كسبوكار آنها است. فروشندهاي كه عضو اين زنجيره باشد و بخواهد با شبكههاي كارت اعتباري مبارزه كند، بايد خيلي خوششانس باشد كه بتواند پيروز شود، او هيچ شانسي ندارد. و مشتريان؟ خب، آنها مثل قربانيان جادهاي اين ماجرا هستند. آنها جز در چند ايالت معدود كه قوانين نصفه و نيمهاي بهتصويب رسيده است، هيچ حق و حقوقي ندارند. تازه لابيگران آن قوانين نصفه و نيمه را هم تا اندازه زيادي بياثر كردهاند و درنتيجه آن قوانين هم بيارزش هستند. در اين زنجيره فقط حلقه بالانشين است كه قدرت را در دست دارد.
مهمترين بخشِ امنيت يك سيستم، تقويت و پيشگيري پيش از حمله است، چرا كه غالباً دفاع پس از حمله نميتواند چندان ثمربخش و مؤثر واقع شود. آنچه در دنياي امنيت مهم است، توجه به «چگونگي»ها است، نه صرفاً فقط «چه كساني». به زبان سادهتر، مهمتر اين است چگونه يك سرقت سايبري اتفاق ميافتد، نه آنكه چه كساني آن را انجام ميدهند.
در مدلسازي تهديد نيز تمركزِ اصلي بر روي «چگونگي» وقوع و به نتيجه رسيدن حمله است. در واقع، مدلسازي تهديد، روشي براي بهينهسازي امنيت سيستم است كه از طريقِ شناساييِ اهداف، روشهاي نفوذ و نقاط آسيبپذير ممكنپذير ميشود. در مدلسازي تهديد، اولين و مهمترين گام مشخص كردن همه آن چيزهايي است كه قصد حفاظت از آنها را داريم. در اينجا بايد به اين نكته نيز توجه كرد كه مشخص كردن ارزشِ آنچه قصد حفاظت از آن را داريم صرفاً يك مسئله يك طرفه نيست، به اين معنا كه در شناساييِ داراييهاي ارزشمند سيستم، تنها نبايد به آنچه از ديد خود (به عنوان توسعهدهنده يا مصرفكننده) ارزشمند است توجه كنيم، بلكه بايد آنچه براي يك مهاجم احتمالي نيز ارزشمند است را شناسايي و ارزيابي كنيم.
در گامِ بعد، نياز است تا گروههاي حمله كننده احتمالي به سيستم را شناسايي و ارزيابي كرد. اين گروهها بايد شاملِ خوديها و غريبهها و همچنين دربرگيرندهي اشتباهات غيرعمدي (مانند ضعفهاي عملكرد سيستم) و حملههاي مخرب باشد.
سطح حمله
سطح حمله (Attack Surface) مجموعهاي از نقاط ضعفي است كه نفوذ از طريقِ آنها براي مهاجمان امكانپذير است. در حقيقت سطحِ حمله همان نقاط آسيبپذيري سيستم است كه مهاجم قادر خواهد بود از اين طريق آنها به سيستم نفوذ كند و اطلاعات را خارج كند در مدلسازي تهديد، ارزيابي و تحليلِ سطحِ حمله اهميت بالايي دارد، چرا كه با اين روش، توسعهدهندگان و مسئولان امنيت ميتوانند از مناطقِ خطر و همينطور از شدت خطر اطلاع پيدا كنند، و بخشهاي بازِ سيستم براي مهاجمان را شناسايي كنند.
به طورِ كلي تحليلِ سطحِ حمله در ۳ مورد كلي به توسعهدهندگان كمك شاياني ميكند:
۱- شناساييِ بخشها و عملكردهاي آسيبپذير سيستم.
۲- شناسايي مناطقِ در معرضِ خطر كه نيازمند دفاعِ عميقتر هستند و به طورِ كلي شناساييِ مناطقي كه نيازمند دفاع در برابر مهاجمين احتمالي هستند.
۳- شناساييِ زماني كه سطحِ حمله تغيير داده شده است، و نياز به ارزيابي تهديد ميباشند.
سطحِ حمله بسته به نوع سيستم و عملكرد آن نيز ميتواند متفاوت باشد، همانطور كه دشمنان احتماليِ آن هم متفاوت هستند.
اما به طور جامع سطحِ حمله را ميتوان در ۴ بخشِ زير دستهبندي كرد:
۱- مجموعهي مسيرهاي ورودي و خروجي براي اطلاعات و دستورها.
۲- كدهايي كه از اين مسيرهاي ورودي و خروجي محافظت ميكنند، از جمله؛ ارتباطات منابع و احرازِ هويت، اجازهنامهها و اعتبار سنجيِ دادهها.
۳- تماميِ اطلاعات با ارزشِ سيستم مانند؛ كليدها، مالكيت معنوي، اطلاعات كسب و كار و اطلاعات شخصي.
۴- كدهايي كه از اين اطلاعات محافظت ميكنند، از جمله؛ رمزنگاريها، دسترسي حسابرسي و كنترل عمليات امنيت.
براي مثال: اگر در يك سيستم، تنها نگراني، مهاجمان از راه دور باشند، و سيستم تنها از طريقِ اينترنت با دنياي خارج ارتباط داشته باشد، سطحِ حمله بخشي از سيستم است كه با بخشهايي ديگر در اينترنت تعامل دارد، و همينطور بخشي كه وروديهاي اينترنت را قبول ميكند نيز ميتواند به عنوان سطحِ حمله نيز تعريف شود. در نتيجه، يك ديوار آتشين در اين سيستم ميتواند با فيلتر كردن بخشي از ترافيك شبكه سطح حمله را محدودتر كند
نمودار حمله
نمودار حمله (Attack Tree) مدلسازي گرافيكيِ حمله عليه سيستم است كه در واقع هدف حمله و مراحل نفوذ و حمله را نشان ميدهد. با ترسيم نمودارِ حمله ميتوان چگونگيِ يك حمله را از ابتداي نفوذ به سيستم تا به اتمام رساندن مأموريت خرابكارانه را رديابي و بررسي كرد. در ترسيم نمودارِ حمله ابتدا نياز است تا هرگونه هدف ممكن را شناسايي كرد و در گام بعد هرگونه حمله عليه هدفها را متصور شد، و آنها را به بدنه درخت اضافه كرد
براي مثال، نمودارِ حمله يك ويروسِ كامپيوتري را تصور كنيد. هدف ويروس در واقع آلوده كردن مركزِ سيستم است، و براي رسيدن به اين هدف ابتدا بايد از طريقِ يك فايلِ آلوده به سيستم نفوذ كند، و در مرحله بعدي اجراي فايل توسط كاربران يا مدير سيستم است. در نهايت پس از اجرا شدن فايلِ آلوده سيستم نيز آلوده خواهد شد، كه همان هدف نهايي حمله است.
آنچه در رسم نمودارِ حمله مهم است، در نظر گرفتنِ تماميِ راههاي محتمل براي نفوذ به سيستم و رسيدن به هدف است. شايد گاهي اوقات راههاي نفوذ و حتي اهداف نهايي بسيار غير قابلِ تصور به نظر برسند، اما در واقع، هدف از ترسيم نمودار حمله و تحليل آن، شناسايي تمامي راههاي ممكن، و حتي غيرممكن است
با انجام دقيقِ اين كار ميتوان حملههاي احتمالي را پيش از وقوع خنثي كرد، و هرگونه شانسِ مهاجم براي نفوذ به سيستم را از باز پس گرفت.
همانطور كه پيش از اين نيز اشاره شد، هدف اصلي از مدلسازي امنيت، شناساييِ نقاط آسيبپذير، دشمنان، و تهديدهاي سيستم و ارزيابي شدت خطري است كه سيستم با آن روبرو است. آنچه توسعهدهندگان و مسئولان امنيت از اين مدلسازيها به دست ميآورند، مشخصات و روشهاي حملههاي احتمالي است كه در صورت شناسايي و تقويت به موقع، سطح حمله و شانس موفقيت مهاجمان را به مراتب محدودتر ميكند.
بايد در نظر داشت، كه مدلسازي امنيت، در مرحله نخست اقدامي پيشگيرانه است، و در مرحله بعد، مقدمهاي است براي پايهريزي تدابير مناسب دفاعي در برابر حملات احتمالي.
بيش از 23 هزار سرور آلوده به درپشتي (Backdoor) به نام CryptoPHP كشف شدند. اين بدافزار از طريق اتصال و همراه شدن با تمها و پلاگينهاي سيستمهاي مديريت محتواي وب محبوب به سرورها نفوذ و دربردارنده كدهاي اسكريپت مخربي است كه امكان حملات از راه دور و اجراي كدهاي خوداجرا روي وبسرور را فراهم ميكند.
بيش از 23 هزار سرور آلوده به درپشتي (Backdoor) به نام CryptoPHP كشف شدند. اين بدافزار از طريق اتصال و همراه شدن با تمها و پلاگينهاي سيستمهاي مديريت محتواي وب محبوب به سرورها نفوذ و دربردارنده كدهاي اسكريپت مخربي است كه امكان حملات از راه دور و اجراي كدهاي خوداجرا روي وبسرور را فراهم ميكند.
در گام بعدي، محتواي آلوده و مخرب را روي سايتهايي ميفرستد كه ميزباني ميشوند. براساس گزارش شركت امنيتي Fox-IT، اين بدافزار بيشتر توسط هكرهاي كلاه سياهي مورد استفاده قرار ميگيرد كه مشغول بهينهسازي موتورهاي جستوجو هستند. عملياتي كه اين هكرها انجام ميدهند به اين صورت است كه كلمات كليدي و صفحات آلوده و خوداجرايي را روي سايتهاي ميزبان در معرض خطر تزريق ميكنند تا نتايج جستوجو و رتبهبندي آنها بالاتر رود و سيستمهاي مديريت محتواي آلوده شامل محتوا و اطلاعات مورد نظر آنها باشند. برخلاف بيشتر بدافزارهاي درپشتي كه از طريق آسيبپذيريهايي در سرور و سيستمعامل نصب ميشوند، هكرهاي كلاه سياه بدافزار CryptoPHP را از طريق پوستهها و پلاگينهاي سرقت شده سيستمهاي مديريت محتوايي مانند جوملا، وردپرس و دروپال توزيع ميكنند. اين نفوذگران پلاگينها و پوستهها را از سايتهاي مختلف سرقت ميكنند و منتظر ميمانند تا مديران سايت يا توسعهدهندگان به سراغ اين پلاگينها و پوستههاي آلوده بروند و آنها را دانلود و نصب كنند. بدافزار CryptoPHP درون اين پلاگينها و پوستهها جاسازي شده است.
سرورهاي آلوده به CryptoPHP همانند يك باتنت عمل ميكنند و از طريق يك كانال ارتباطي رمزنگاري شده فرامين و دستورات را از سرور اصلي دريافت و اجرا ميكنند. اين بدافزار كه در كشور هلند شناسايي شده است، با كمك مركز بينالمللي امنيت سايبر اين كشور و چند شركت تحقيقاتي و امنيتي ديگر مانند Abuse.ch، Shadowserver، Spamhaus و مؤسسه Fox-IT مهار شده و سرورهاي آنها تحت كنترل درآمدند. همچنين، ارتباط سرورهاي آلوده در سراسر جهان با سرورهاي اصلي قطع شده است تا امكان برقراري ارتباط مجدد و اجراي دستورات جديد وجود نداشته باشد.
محققان مؤسسه امنيتي Fox-IT ميگويند: «در مجموع، 23693 آدرس IP يكتا متصل به سرورهاي آلوده هكرها شناسايي شده است.» اين محققان اعتقاد دارند تعداد سرورهاي آلوده به بدافزار CryptoPHP بيشتر از اين تعداد است؛ زيرا برخي آدرسهاي IP يكتا ميان چند سرور به اشتراك گذاشته شده است. طبق گزارش اعلام شده، پنج كشوري كه بيشترين آلودگي را دارند، به ترتيب امريكا (8657 آدرس IP)، آلمان (2877 آدرس IP)، فرانسه (1231 آدرس IP)، هلند (1008 آدرس IP) و تركيه (749 آدرس IP يكتا) معرفي شدند. همچنين، در گزارش مؤسسه Fox-IT آمده است هكرها هنگامي كه سرورها بار ترافيكي پاييني دارند، حملات خود را ترتيب ميدهند كه امكان نصب پلاگينها و پوستهها وجود داشته باشد و بتوانند امكانات جديد را راهاندازي كنند.
به علاوه، تلاشهايي ردگيري شده است كه اين هكرها در تلاشاند نسخه جديدي از اين بدافزار را بسازند و توزيع كنند تا از تشخيص و شناسايي و قطع ارتباط سرورهاي آلوده با سرور مركزي در امان باشند. اين محققان دو اسكريپت پايتون در برنامه GitHub منتشر كردند تا مديران و وبمسترهاي سايتها با استفاده از آنها بتوانند سرورهاي ميزباني سايت خود را اسكن و بدافزار CryptoPHP را شناسايي كنند. بهعلاوه، آنها دستورالعمل پاكسازي سيستم و حذف اين بدافزار را در وبلاگ خود منتشر كردند، اما توصيه كردند بهتر است سيستم مديريت محتوايي كه آلوده شده است دوباره نصب شود تا امنيت كامل بهدست آيد و كمترين خطري متوجه سرور نباشد.
شايد كمتر كسي فكر ميكرد روزي رقابت بر سر طيف فركانسي تا اين حد جدي شود. در حال حاضر، فركانس در شبكههاي بيسيم حكم طلا را دارد و همه بر سر آن از هم پيشي ميگيرند. از زماني كه صحبت از فناوري LTE-U شد، برخي آن را به منزله نابودي وايفاي و برخي پيشرفت در شبكههاي سلولي تلقي كردند.
طيفهاي فركانسي به دو دسته مجوزدار (Licensed) و آزاد (Unlicensed) تقسيم ميشوند. طيفهاي مجوزدار در انحصار اپراتورها و سازمانهاي ديگر هستند و ديگران حق استفاده از آن فركانسها را ندارند. در مقابل، استفاده از طيفهاي آزاد رايگان است و به مجوز نياز ندارد. فناوري وايفاي از جمله فناوريهايي است كه از طيفهاي آزاد براي انتقال دادهها استفاده ميكند.
در سراسر دنيا، تنظيمكنندگان مقررات و همچنين صنايع در تلاش هستند تا از يك طيف فركانسي مشخص در شبكههاي گوناگون استفاده كنند. سياستها و فناوريهاي جديد احتمالاً كارايي را افزايش ميدهند، اما به تبع آن تداخل و مشكلات ديگري هم به وجود ميآورند.
فناوري كه اخيراً سر و صداي زيادي به پا كرده است، فناوري «LTE در طيف آزاد» يا همان LTE-U است كه قصد دارد باند فركانسي 5 گيگاهرتز را نيز به محدوده فركانسي LTE اضافه كند. LTE-U چالشهاي بسياري را به همراه دارد، زيرا اگرچه پهناي باندي كه از آن استفاده ميكند جزء پهناي باند آزاد است، اما فناوري وايفاي (كه حدود 60 تا 80 درصد ترافيك دستگاهها را منتقل ميكند) نيز از اين باند استفاده ميكند. بعد از ارائه اين فناوري از طرف كوالكام و برخي شركتهاي ارائهدهنده خدمات ارتباطي (Carrier)، حاميان وايفاي انتقادات بسياري كردند و اين انتقادات آنقدر ادامه داشت تا اينكه سرانجام تفاهمنامهاي بين دو طرف به امضا رسيد. با توجه به نتايج تحقيقاتي كه درباره تأثيرات دو فناوري وايفاي و LTE-U در كنار يكديگر انجام گرفت، احتمالاً بهزودي شاهد ورود LTE-U به بازار خواهيم بود.
اخيراً مذاكراتي بين نمايندگان گروهها و شركتهاي مختلف درباره LTE-U برگزار شد. هارولد فِلد (Harold Feld) معاون ارشد گروه Public Knowledge كه مدافع حقوق مصرفكننده است ميگويد: «دنياي شلوغي است. بايد ببينيم چگونه فناوريهاي مختلف ميتوانند در كنار هم قرار بگيرند و با هم سازگار باشند. در گذشته مسائل مربوط به تداخل فركانسي چندان مشكلساز نبودند، ولي در حال حاضر اين گونه نيست. اگر يك اپراتور بخواهد مجوز بگيرد، بايد فركانس از ديگري گرفته شود. اگر استفاده از طيف آزاد بود، همه مجبور بودند تداخل فركانسي را بپذيرند و چيزي در انحصار كسي نبود.»
پاتريك وِلش (Patrick Welsh) نماينده شركت Verizon اشاره داشت كه اين شركت قصد دارد براي افزايش ظرفيت شبكههاي LTE از پهناي باند 5.8 گيگاهرتز استفاده كند. اما اگر بخواهيم از همان LTE در پهناي باند آزاد استفاده كنيم، تأثير آن ويرانگر خواهد بود؛ بنابراين، مهندسان اين شركت دست به كار شدند تا تغييرات متناسب را به وجود آورند. اكنون LTE-U در ايالات متحده، چين، هند و كره جنوبي در دسترس است. در كشورهاي ديگر نيز فناوري مشابهي به نام LAA توسط سازمان 3GPP استاندارد شد. اين فناوري از تكنيكهاي بيشتري براي سازگاري با ديگر فناوريها استفاده ميكند و حاميان وايفاي اعتقاد دارند از LTE-U امنتر است. برخي خدمات دهندگان ارتباطي در ايالات متحده نيز در نظر دارند در نهايت روي LAA سرمايهگذاري كنند. اما اين پايان كار نيست.
افزايش روزافزون تقاضا براي ظرفيت بيسيم به علاوه بينيازي به كنترل در باندهاي فركانسي آزاد، بازيگران جديدي را به سوي اين باندهاي فركانسي ميكشاند و رقابت بين شبكههاي LTE و وايفاي آغاز رقابتي جديد بين سازندگان دستگاهها و ارائهدهندگان خدمات اينترنتي (ISP) است. آنها بهدنبال اين هستند كه بهجز باند 5.8 گيگاهرتز از باندهاي فركانسي ديگري نيز استفاده كنند. باند 3.5 گيگاهرتز: تحليلگر شركت Tolaga Research درباره اين باند كه بيشتر استفاده نظامي دارد اظهار داشت: «ايالات متحده، بريتانيا، استراليا و برخي كشورهاي ديگر در نظر دارند از فركانسهاي باند 3.5 گيگاهرتز براي دستگاههاي گوشي همراه استفاده كنند. اما اين كار بهراحتي امكانپذير نيست. زيرا فركانس موجود اين باند در همه كشورها يكسان نيست.» در صورت استفاده از اين فركانسها بايد نوعي اولويتبندي وجود داشته باشد كه كاربران نظامي بر كاربران معمولي در اولويت باشند. باندهاي موج ميليمتري: اين باندها كه فركانسي بين 30 تا 300 گيگاهرتز را شامل ميشوند، هدف شبكههاي نسل پنجم (5G) در آينده هستند. بنابراين، نقش مهمي را در آينده شبكههاي سلولي ايفا ميكنند، هرچند ممكن است تا چند سال آينده نحوه استفاده از آنها مشخص نباشد.
باند DSRC: سيستمهاي DSRC از باند 5.9 گيگاهرتز استفاده ميكنند و براي ارتباط خودروها با يكديگر و همچنين ارتباط با سيستمهاي ديگري كه در نزديكي آنها است (مثل باجههاي پرداخت عوارض) بهكار ميروند. تنظيمكنندگان مقررات هم در اروپا و هم در ايالات متحده بر سر استفاده همزمان وايفاي و DSRC در باند 5.9 گيگاهرتز با يكديگر اختلافاتي دارند و برخي اعتقاد دارند سيستمهاي وايفاي به عملكرد DSRC لطمه ميزنند.
هارول فلد اظهار داشت كه وقتي فناوريهاي مختلف در يك طيف فركانسي كار ميكنند بايد روشي استاندارد براي مشخص كردن تأثيرات آنها بر يكديگر وجود داشته باشد كه اكنون چنين روشي وجود ندارد. همچنين، او تأكيد كرد به يك چارچوب استاندارد نياز است تا تخصيص طيفها مطابق آن انجام شود و كميسيون ارتباطات فدرال (FCC) كه وظيفه تخصيص پهناي باند در ايالات متحده را برعهده دارد، با ورود هر فناوري با اين قضيه درگير نشود.
افزايش روزافزون تقاضا براي ظرفيت بيسيم به علاوه بينيازي به كنترل در باندهاي فركانسي آزاد، بازيگران جديدي را به سوي اين باندهاي فركانسي ميكشاند و رقابت بين شبكههاي LTE و وايفاي آغاز رقابتي جديد بين سازندگان دستگاهها و ارائهدهندگان خدمات اينترنتي (ISP) است.
قطعاً كاربران به استفاده از فركانسهاي ديگر براي اينترنت گوشي همراه واكنش مثبت نشان ميدهند و از آن استقبال ميكنند، اما آنها تأثيرات LTE-U بر وايفاي را در نظر نميگيرند. تعداد فناوريهاي مختلفي كه از يك طيف فركانسي مشخص استفاده ميكنند در حال افزايش است. با اين روند در آينده شاهد اين خواهيم بود كه هر طيف فركانسي فقط به صورت موقت توسط ديگر فناوريها در اختيار ما قرار ميگيرد. در نهايت بايد گفت، اگر بخواهيم به ظرفيت بالا در شبكههاي بيسيم دست پيدا كنيم، بايد به اندازه كافي طيف فركانسي در اختيار داشته باشيم، وگرنه رسيدن به اين هدف امكانپذير نخواهد بود.
اين روزها دسترسي نداشتن به اينترنت در محل كار يك فاجعه بزرگ محسوب ميشود. از طرفي دوره اتصال كامپيوترهاي دسكتاپ در دفاتر تجاري توسط سيم به يك ديگر نيز به سر آمده است. حالا ديگر ارتباط بين كارمندان و ارباب رجوع در محيط كار توسط اتصال بيسيم يا همان وايفاي انجام ميشود كه ميتواند به ميزان قابل ملاحظهاي فشار به شبكه بيسيم دفتر كار شما وارد كند. اما در اين بين عوامل كمتر شناخته شده ديگري نيز هستند كه باعث بروز مشكلات بزرگي در راه رسيدن اينترنت به كارمندان شما ميشوند.
حتما متعجب خواهيد شد، وقتي بدانيد همه روزه چه عوامل و شرايطي شبكه شما را تحت فشار و ازدحام قرار ميدهد. در ادامه به 12 مشكل رايج كه هر دفتر كاري (چه بزرگ چه كوچك) در مورد مديريت و اداره شبكه وايفاي خود با آن مواجه ميشود خواهيم پرداخت.
ممكن است تصور كنيد امواج وايفاي شما از هر راهي مسير خود را طي ميكند، اما اينگونه نيست. شيشههاي رنگي اغلب از افزودنيهاي فلزي تشكيل شدهاند كه ميتواند به شدت امواج وايفاي را جذب كند. بنابراين اگر دفتر كار شما از تعداد زيادي پنجره يا شيشههاي بزرگ رنگي براي جداسازي بخشهاي مختلف تشكيل شده است، مطمئنا روي ارسال امواج تاثير منفي خواهد گذاشت.
2. آينهها
يكي از قاتلين بزرگ امواج وايفاي آينهها هستند كه به دليل انعكاس امواج ميتوانند قدرت سيگنال شما را تا 50 درصد كاهش دهند. اگر بين روتر و ميز شما سرويس بهداشتي قرار دارد، اين خود بخشي از مشكل شما است.
3. آب
اگر محل كار خود را با يك آكواريوم بزرگ تزئين كردهايد، بايد بدانيد كه آب هم مثل شيشه به دليل چگالي خاص خود يك مانع بزرگ براي عبور امواج وايفاي است. آب ميتواند امواج را جذب كرده و به دام بياندازد. اگر ميبينيد وقتي كنار ساحل يا مقدار زيادي آب قرار داريد، سيگنال شما قطع شده يا به شدت كم ميشود، دليل آن همين خاصيت آب است.
4. توريهاي فلزي
توريهاي فلزي از جمله مصالح رايج به كار رفته در ساختمانها هستند و اين به معنا است كه احتمالا ديوارهاي شما با فلز محصور شده است. فلز هم ميتواند امواج را جذب كرده و هم مسير آن را منحرف كند. براي جلوگيري از اثرات مخرب اين پديده بايد محل كار خود را به تجهيزات لازم مجهز كنيد. معمولا براي تقويت امواج روتر شما به دستگاههاي گسترش دهنده سيگنال يا اكسس پونت نياز خواهيد داشت. جديدترين شيوه براي تقويت و ارسال سراسري امواج وايفاي نيز شبكههاي زنجيرهاي يا مش هستند.
5. BYOD
Bring Your Own Device يا به اصطلاح فارسي «هر نفر يك دستگاه اختصاصي» به شيوهاي مرسوم در محيطهاي كاري تبديل شده است. اغلب روترها 10 تا 20 دستگاه مختلف را ميزباني ميكنند. اين روزها با ازدياد تلفنهاي هوشمند، تبلتها، لپتاپها و تجهيزات اداري بيسيم مثل چاپگر و اپل تيوي نصب شده در اتاق كنفرانس، پهناي باند به سرعت اشغال ميشود و بايد فكري به حال آن كرد.
6. جلسات كاري
شما هم حتما از زبان كارمندان بخش ايتي يك سازمان شنيدهايد كه در زمان جلسات كاري به دليل دانلود كردن همزمان يك فايل كوچك 20 مگابيتي دستور كار جلسه توسط تمام اعضا چه مشكلاتي براي شبكه پيش آمده است. براي جلوگيري از به زحمت افتادن كارمندان خود قبل از شروع جلسات مطمئن شويد كه شبكه شما از پهناي باند كافي برخوردار است. بهترين كار اين است كه به هر كدام از اين جلسات يك كانال مجزا اختصاص دهيد.
7. تعداد بيش از اندازه از شبكههاي وايفاي مجزا
استفاده از چند روتر مختلف روي كانالهاي يكسان با كلمات عبور مختلف براي افزايش سطح پوشش شبكه در برخي محيطهاي اداري كه اغلب خبري از متصديان حرفهاي حوزه ايتي هم در آنها نيست، چندان دور از انتظار نيست. مشكل اينجا است كه شبكههاي وايفايي كه در مجاورت هم قرار دارند، ميتوانند روي يك ديگر اختلال ايجاد كنند. اگر قصد داريد از چند روتر استفاده كنيد، سيستم شبكه خود را به گونهاي تنظيم كنيد تا هر روتر يا اكسس پوينت روي يك كانال مناسب و مجزا تنظيم شود تا احتمال تداخل به حداقل ممكن برسد.
8. فضاي نامناسب
براي بهرهمندي از حداكثر توان سيگنال شبكه در سراسر دفتر كار خود بسيار مهم است كه نيازها و فضاي تجهيزات مورد نياز را پيشبيني كنيد. به بيان ديگر، تنها روتري كه براي كل دفتر كار خود در نظر گرفتهايد را پشت قفسه و ساير تجهيزات ايجاد اختلال در امواج قرار ندهيد.
9. تجهيزات بيكيفيت
بعضي از دفاتر تجاري از همان تجهيزاتي استفاده ميكنند كه توسط خدمات دهنده اينترنت به آنها ارائه شده است يا براي صرفهجويي در هزينهها روترهاي ارزان قيمت (در اغلب موارد بيكيفيت) را خريداري ميكنند كه باعث بروز مشكلاتي در عملكرد شبكه ميشود. وقتي يك شبكه وايفاي را براي يك دفتر تجاري كوچك (1 تا 3 كارمند) راهاندازي ميكنيد، كوچكترين كار اين است كه از يك روتر خانگي رده بالاي باكيفيت استفاده كنيد. با افزايش تعداد كارمندان نيز بهتر است روتر خود را با يك نمونه تجاري تعويض كنيد. صرف كمي هزينه بيشتر براي خريد يك روتر حرفهاي ارزش جلوگيري از مشكلات متعدد نياز به اينترنت در يك جلسه كاري را دارد.
10. قفسه پوشهها
امواج بيسيم بعد از گذشتن از بين فلزات بسيار ضعيف ميشوند، بنابراين روتر يا اكسسپوينت خود را در اتاقي كه با قفسه پوشهها پر شده قرار ندهيد. شايد در ظاهر چنين اشتباهي كاملا محرز باشد، اما متعجب خواهيد شد اگر بدانيد اين كار چقدر اتفاق ميافتد.
11. آشپزخانه شما
داخل آشپزخانهها تعداد زيادي لوازم وجود دارد كه قدرت سيگنال وايفاي را كم ميكند. يخچالها و به ويژه اجاقهاي مايكرويو به شدت روي امواج بيسيم اختلال ايجاد ميكنند، بنابراين، سعي كنيد تجهيزات شبكه خود را تا حد ممكن دور از محيط آشپزخانه نگهداري كنيد.
12. جمعيت
بله درست شنيديد، بدن انسان از 50 تا 65 درصد آب تشكيل شده است و اگر تعداد افرادي كه در يك دفتر تجاري رفت و آمد ميكنند، زياد باشد؛ ميتواند روي ارسال امواج وايفاي تاثير منفي بگذارد. براي جلوگيري از اختلال امواج توسط جمعيت حاضر در دفتر كار خود سعي كنيد روتر را تا حد ممكن در ارتفاع بالا نصب كنيد.
حالا كه با عوامل ايجاد اختلال در شبكه وايفاي دفتر كار خود آشنا شديد، ميتوانيد تا حد ممكن از آن جلوگيري كنيد. در خيلي از مواقع بسياري از اين مشكلات مربوط به عدم توجه به تجهيزات به كار رفته بر اساس شرايط و نياز كسب و كار شما ميشود. اگر بيشتر از سه نفر در يك محيط مشغول به كار هستند يا شبكه وايفاي شما براي استفاده عموم باز است، حتما از تجهيزات با كيفيت تجاري استفاده كنيد. كمك گرفتن از افراد متخصص را نيز فراموش نكنيد.