حسابداری مدیریت بودجه

حسابداری مدیریت بودجه

یونس ولی زاده کارشناس ارشد مدیریت دولتی (مالی)
حسابداری مدیریت بودجه

حسابداری مدیریت بودجه

یونس ولی زاده کارشناس ارشد مدیریت دولتی (مالی)

امنیت در تجارت الکترونیک


امنیت در تجارت الکترونیک

در دنیای رو به رشد امروز نیمی از وقایع زندگی ما در دنیای مجازی صورت می گیرد.داد و ستد اطلاعات، دریافت و ارسال فایل های تصویری و صوتی،اطلاعات محرمانه،کنترل حساب بانکی،خرید و فروش کالا و بسیاری کارهای دیگر در محیط مجازی اینترنت صورت می گیرد.دردنیای امروز شکل قدیمی همه ی کارها تغییر کرده است.تجارت نیز از این قاعده مستثنی نیست.شکل جدید تجارت،تجارت الکترونیک است.به داد وستد الکترونیکی تجارت الکترونیک گویند که این داد و ستد می تواند شامل خرید و فروش کالا یا ارائه ی سرویس خاصی باشد.


  

با وجود تمام مزایایی که تجارت الکترونیک به همراه دارد ، انجام تراکنش ها و ارتباطات آنلاین محملی بزرگتر برای سوء استفاده از فناوری و حتی اعمال مجرمانه فراهم می کند.این مشکلات تنها مختص تجارت الکترونیک نیست و بخشی از مشکلات گسترده ایست که در سراسر جهان گریبانگیر سیستم های اطلاعاتی و کامپیوتری هستند.هر ساله سازمان های بسیاری هدف جرائم مرتبط با امنیت ، از حملات ویروسی گرفته تا کلاه برداری های تجاری از قبیل سرقت اطلاعات حساس تجاری و اطلاعات محرمانه کارت های اعتباری ، قرار می گیرند.چنین حملات امنیتی موجب میلیون ها دلار ضرر و اخلال در فعالیت شرکت ها می شوند.بسیاری از گزارشگران و مشاوران هزینه خسارات مرتبط با نقائص امنیتی را تا میلیاردها دلار برآورد کرده اند.با اینحال آنچه مهمتر از صحت میزان این خسارات است ، این واقعیت است که با افزایش کاربران سیستم های اطلاعاتی ، دسترسی آسان به اطلاعات و رشد فزاینده کاربران مطلع (فنی) می توان به راحتی فرض کرد که تعداد این سوء استفاده ها از فناوری و تهدیدهای امنیتی نیز به همین نسبت افزایش یابد.

در سیستم قدیمی تجارت، امکان تهدیدات بسیاری توسط اشخاص و سازمان ها بود.بدیهی است که در سیستم جدید نیز عوامل بسیاری امنیت تجارت را تهدید می کنند.سازمان ها با انتخاب سیستم های امنیتی متناسب با معماری تجارت خود در صدد مقابله با این مشکل برآمدند.

در سیستم های تجارت قدیم فقط حفظ امنیت به صورت فیزیکی مطرح بود.اما در سیستم های جدید مفهوم امنیت تجارت به شکل گسترده تری مطرح است و سرویس های امنیت اطلاعات باید به گونه ای انتخاب و به کار گرفته شوند که امنیت اطلاعات را در هردو حوزه ی فیزیکی و اطلاعاتی فراهم آورند.

تعریف امنیت:

در واژه نامه ی Webster در تعریف امنیت این گونه آمده است : امنیت به معنای کیفیت یا حالت امن بودن،رهایی از خطر،ترس و احساس نگرانی و تشویش می باشد.این تعریف در دنیای تجارت الکترونیک نیز صادق می باشد و حفظ و بقای آن در چهار اصل خلاصه شده است:

  • محرمانگی : اطلاعات فقط و فقط بایستی توسط افراد مجاز قابل رویت باشد.
  • تمامیت : یک سیستم از عناصری تشکیل شده است که در کنار هم برای رسیدن به هدف مشخصی همکاری می کنند.حفظ تمامیت به معنای پیشگیری از بروز مشکل در این همکاری و پیوسته نگه داشتن عناصر یک سیستم است.در و اقع باید سعی شود که داده ی فرستاده شده در طول راه دچار تغییر نشود و بسته ی فرستاده شده تماما و به درستی به دست گیرنده برسد.
  • دسترس پذیری : اطلاعات بایستی به هنگام نیاز توسط افراد مجاز قابل رویت باشند و سیستم های امنیتی به گونه ای طراحی شده باشند که در صورت نیاز بدون وقفه اطلاعات قابل حصول باشند.
  • عدم انکار : به هنگام انجام کاری و یا دریافت اطلاعات یا سرویسی، شخص انجام دهنده یا گیرنده نتواند آن را انکار کند.

امنیت به طور کلی عبارتست از حفاظت از آنچه برای ما ارزشمند است.در برابر حملات عمدی و غیرعمدی توسط سرویس ها و اشخاص. در واقع امنیت اطلاعات، پاسداری از حریم خصوصی افراد است که که معادل اطلاعات خصوصی، مبادلات تجاری، مبادلات مالی،  ارتباطات شخصی، اقامتگاه شخصی و وضعیت فیزیکی و جسمانی فرد می باشد.

تعریف حریم خصوصی :

مطابق تعریف فنی ارائه شده در سال ۱۹۶۷، حریم خصوصی عبارتست از" خواسته افراد برای تعیین چگونگی، شرایط و میزان افشای داده های شخصی آنها".بعضی حریم خصوصی را به مفاهیمی مانند خلوت، گمنامی، جدایی از گروه و تودار بودن مربوط می دانند و از آنها به نام حالت های حریم خصوصی یاد می کنند. تمایل افراد به حفظ حریم خصوصی خود مطلق نیست و افراد اطلاعات خصوصی خود را پنهان می کنند. از طرفی افراد مجبور به حضور در اجتماع هستند.بنابراین باید تعادلی بوجود بیاید تا حریم خصوصی افراد محفوظ بماند. حریم خصوصی اندیشه ای ایده ال و مفهومی درونی است که آن را نمی توان در یک کلمه خلاصه کرد. با هنجارهای اجتماعی، مسائل قانونی و مسائل فنی رابطه ای تنگاتنگ دارد. به طور کلی حفظ حریم خصوصی به معنای پاسداری از مرزهای قلمرو شخصی افراد است.

تعریف تجارت الکترونیک :

تجارت الکترونیک، فرایند خرید ، فروش یا تبادل محصولات ، خدمات و اطلاعات از طریق شبکه‌های کامپیوتری و اینترنت است. تجارت الکترونیکی را می‌توان انجام هرگونه امور تجاری بصورت آنلاین و ازطریق اینترنت بیان کرد . این تکنیک در سالهای اخیر رشد بسیاری داشته‌است. تجارت الکترونیکی به هرگونه معامله‌ای گفته می‌شود که در آن خرید و فروش کالا و یا خدمات از طریق اینترنت صورت پذیرد و به واردات و یا صادرات کالا ویا خدمات منتهی می‌شود . تجارت الکترونیکی معمولا کاربرد وسیع تری دارد، یعنی نه تنها شامل خرید و فروش از طریق اینترنت است، بلکه سایر جنبه‌های فعالیت تجاری ، مانند خریداری ، صورت بردار ی از کالاها ، مدیریت تولید و تهیه و توزیع و جابه‌جایی کالاها و همچنین خدمات پس از فروش را در بر می‌گیرد . البته مفهوم گسترده‌تر تجارت الکترونیک کسب و کار الکترونیک می‌باشد .

انواع تجارت الکترونیک :

تجارت فروشنده با فروشنده (Business to Business) :B2B  اولین خرید و فروش معاملات الکترونیکی است و هنوز هم طبق آخرین آمار،بیشترین عایدی را کسب می کند.در B2B تجار نه تنها مجبورند مشتریان خود را بشناسند،بلکه باید واسطه ها را نیز شناسایی کنند.در این مدل همه ی شرکا و خدمات مرتبط با تجارت الکترونیکی از قبیل: تامین کنندگان، خریداران ، فرستندگان ، لجستیک (پشتیبانی) ، خدمات ، بازرسی و … درگیرند.

تجارت فروشنده با مصرف کننده (Business to Consumer) : بیشترین سهم در انجام تجارت الکترونیکی از نوع B2C  را خرده فروشی تشکیل می دهد.انواع تجارت با گسترش وب به سرعت افزایش پیدا کرده و اکنون به راحتی می توان انواع و اقسام کالاها از شیرینی گرفته تا اتومبیل و نرم افزارهای کامپیوتری را از طریق اینترنت خریداری کرد.B2C  از حدود پنج سال پیش با راه اندازی سایت هایی چون  amazon و CDNOW آغاز شد.Jeff Bezor موسس شرکت amazon، سایت خود را فقط برای فروش کتاب از طریق اینترنت راه اندازی کرد و این مقدمه ای بود برای یک تحول جهانی.

تجارت مصرف کننده با مصرف کننده (Consumer to Comsumer) : در این مدل تجارت الکترونیکی، مزایده ها و مناقصه های کالا از طریق اینترنت انجام می شود.مدل C2C شبیه نیازمندی های طبقه بندی شده یک روزنامه و یا شبیه به یک دکه در بازار دست دوم یا سمساری است. ایده اصلی این مدل این است که مصرف کنندگان با یکدیگر بدون واسطه به خرید و فروش بپردازند. Ebay غول حراجی آنلاین، بزرگترین نمونه اولیه مدل C2C می باشد. Ebay   خود چیزی نمی فروشد و به عنوان واسطی بین خریداران و فروشندگان به ارائه محصولاتی در حراجی آنلاین می پردازد. فروشنده قیمت اولیه خو را در حراجی قرار می دهد و سپس شرکت کنندگان در حراج قبل از اتمام مدت باید روی کالای به حراج گذاشته شده اظهار نظر کنند.سایت هایی از قبیل autobytel و carsmart از این قبیل می باشند.

تجارت مصرف کننده با فروشنده (Consumer to Business ) : درحالیکه بازار مصرف کننده آنلاین روز به روز در حال گسترش است، بسیاری از خریداران دریافته اند که که شیوه انتخاب محصول بسیار گسترده و ممکن است آنان را غوطه ور سازد. چراکه وقتی مصرف کنندگان، سایت هایی را در ارتباط با فروش محصول مورد نظر خود می یابند، یافتن خود محصول در ان سایت و بدست آوردن قیمت آن دشوار است.

تجارت نقطه به نقطه (Peer to Peer) : مدل تجارت الکترونیکی P2P  برای تسویه حساب کردن شرکت  کنندگان در حراج با فروشنده است که مشهورترین آنها سرویسی است با نام paypall. این تجارت در چارچوبی کار می کند که افراد بتوانند مستقیما با هم پول ردوبدل کنند و در حالیکه سهم اصلی داد وستد پولی را نقل و انتقالات رو در رو به عهده دارد، فناوری تلفن های همراه افراد بیشتری را در داد و ستدهای غیرحضوری سهیم می کند.قبل از paypal  بسیاری از تاجران آنلاین، پرداخت مشتریان را از طریق حساب کارت های اعتباری تجاری دریافت می کردند.

تجارت فروشنده با اداره (Business to Administration ) : این نوع تجارت الکترونیکی شامل تمام مبادلات تجاری- مالی بین شرکت ها و سازمان های دولتی است .تامین نیازهای دولت توسط سازمان ها از جمله مواردی است که می توان در این گروه گنجاند. این تجارت در حال حاضر دوران کودکی خود را طی می کند ولی در آینده ای نه چندان دور زمانی که دولت ها به ارتقای ارتباطات خود توجه نشان دهند، توسعه خواهد یافت.

تجارت مصرف کننده با اداره (Consumer to Administration ) : این مدل تجارت الکترونیکی هنوز پدیدار نشده است. ولی به دنبال رشد انواع  B2C و B2A، دولت ها احتمالا مبادلات الکترونیکی را به حیطه هایی همچون جمع آوری کمک های مردمی، پرداخت مالیات بر درآمد و هرگونه امور تجاری دیگری که بین دولت ها و مردم انجام می شود گسترش خواهد داد.

چرخه ی حفاظت اطلاعات :

سازمان ها می بایست سیستم امنیتی متناسب با نیازهای سازمان را شناسایی کرده و آن را در سازمان بکار گیرند.اگرچه انتخاب سرویس متناسب با جنبه های مختلف سازمان که بتواند حداکثر اطمینان را نیز بدست دهد،سخت است اما متخصصان یعنی کسانی که مسئول  انتخاب،پیاده سازی و سازماندهی سیستم های امنیت اطلاعات در سازمانی هستند، می بایست با دقت گزینه های در دسترس را بررسی کنند و بهترین را برگزینند.چرخه ی حفاظت اطلاعات شش فاز دارد و این شش فاز عبارتند از:

 

  فاز۱ : شروع به کار : در ابتدا سازمان سیستم امنیتی موجود را در صورت وجود بررسی می کند و تصمیم می گیرد که آیا این سیستم باید ارتقا یابد،عوض شود یا نه.

فاز ۲ : ارزیابی : در این فاز سازمان در مورد وضعیت امنیتی خود تصمیم می گیرد.نیازها را بررسی می کند و گزینه های موجود برای ارتقا و تغییر سیستم امنیتی را بررسی می کند.

فاز ۳ : راه حل : تصمیم گیرنده ها راه حل های بالقوه را ارزیابی می کنند و از میان تمامی گزینه های در دسترس موارد قابل قبول را مشخص می کنند و از میان موارد قابل قبول بهترین گزینه را مشخص می کند.

فاز ۴ : پیاده سازی : در این فاز، سازمان حامیان سرویس انتخاب شده در مرحله ی قبل را مشخص و آنها را به استخدام در می آورد.راه حل انتخاب شده در مرحله ی قبل، بسط داده می شود و در سازمان پیاده سازی می شود.

فاز ۵ : عملکرد : سازمان پس از پیاده سازی سیستم باید در مورد عملکرد موفقیت آمیز آن در سازمان مطمئن شود.سازمان با کنترل پیوسته ی سیستم امنیتی و سنجش عملکرد آن در برابر نیازهای از پیش تعیین شده به این مهم دست می یابد.سازمان دائما تغییرات و راه حل های ارائه شده توسط سیستم بکار گرفته شده را بررسی می کند تا اطمینان حاصل کند که این راه حل ها مطابق با نیازها برای بدست آمدن یک وضعیت قابل قبول امنیتی باشد.

فاز ۶ : پایان کار : همانطور که گفته شد سازمان دائما سرویس امنیتی موجود را کنترل می کند تا اطمینان حاصل کند و در صورت عدم حصول این اطمینان سازمان به فکر ارتقا و یا حتی تغییر سیستم موجود می افتد و این پایان کار سیستم امنیتی در دست است.

فاکتورهایی که هنگام انتخاب،پیاده سازی و سازماندهی سیستم های اطلاعاتی در نظر گرفته می شوند عبارتند از: ویژگی های حامیان سرویس، نیازهای سازمان و عملکرد سرویس، تجربه و اعتماد،امکانات حامیان سرویس برای ایجاد اطمینان کافی از عملکرد مناسب سیستم، کارآیی و اطلاعات. این فرضیات بسته به نوع، اندازه، پیچیدگی، هزینه، امکانات سرویس مورد نظر وزن های گوناگون می یابند.

مفهوم امنیت در تجارت الکترونیک :

مفهوم امنیت در تجارت الکترونیک در حوزه های وسیعی مطرح است.در بررسی امنیت هر سیستمی، بنا بر اصول مشخص شده در استانداردها، ابتدا باید دارایی های سیستم مشخص و ارزش گذاری شوند و سپس خطرات متوجه هر دارایی مورد بررسی قرار گیرد و مطابق با هر خطر راهکاری اندیشیده شود.در بررسی هرکدام از این موارد و به منظور ارائه ی راهکارهای مناسب ابتدا باید خطراتی که آنها را تهدید می کنند، خوب بشناسیم و آنها را به دقت مورد بررسی قرار دهیم.

امروزه امنیت شبکه یک مساله مهم برای ادارات و شرکت های دولتی و سازمان های کوچک و بزرگ است. تهدیدهای پیشرفته از سوی تروریست های فضای سایبر، کارمندان ناراضی و هکرها، رویکردی سیستماتیک را برای امنیت شبکه می طلبد. در بسیاری از صنایع، امنیت به شکل پیشرفته یک انتخاب نیست بلکه یک ضرورت است. این رویکرد هم یک راهبرد فنی است که ابزار و امکان مناسبی را در سطوح گوناگون در زیرساختار شبکه قرار می دهد و هم یک راهبرد سازمانی است که مشارکت همه را می طلبد. رویکرد امنیتی لایه بندی شده روی نگهداری ابزارها و سیستم های امنیتی و روال ها در پنج لایه در محیط فناوری اطلاعات متمرکز می گردد. محافظت از اطلاعات اختصاصی به منابع مالی نامحدود و گزاف نیاز ندارد. در یک دنیای ایده آل، بودجه و منابع کافی برای پیاده سازی همه ابزارها و سیستم های مورد بحث وجود دارد. اما متاسفانه ما در چنین دنیایی زندگی نمی کنیم. بدین ترتیب، باید شبکه ها را ارزیابی کنیم (چگونگی استفاده از آن، طبیعت داده های ذخیره شده، کسانی که نیاز به دسترسی دارند، نرخ رشد آن و …) و سپس ترکیبی از سیستم های امنیتی را که بالاترین سطح محافظت را ایجاد می کنند، با توجه به منابع در دسترس پیاده سازی کنیم. یکی از مهم ترین فعالیت های مدیر شبکه، تضمین امنیت منابع شبکه است. دسترسی غیر مجاز به منابع شبکه و یا ایجاد آسیب عمدی یا غیر عمدی به اطلاعات، امنیت شبکه را مختل می کند. از طرف دیگر امنیت شبکه نباید آنچنان باشد که کارکرد عادی کاربران را مشکل سازد.

برای تضمین امنیت اطلاعات و منابع سخت افزاری شبکه، از دو مدل امنیت شبکه استفاده می شود. این مدل ها عبارتند از: امنیت در سطح اشتراک (Share-Level) و امنیت در سطح کاربر (User-Level) در مدل امنیت در سطح اشتراک، این عمل با انتساب اسم رمز یا Password برای هر منبع به اشتراک گذاشته تامین می شود. دسترسی به منابع مشترک فقط هنگامی برقرار می گردد که کاربر اسم رمز صحیح را برای منبع به اشتراک گذاشته شده را به درستی بداند. به عنوان مثال اگر سندی قابل دسترسی برای سه کاربر باشد، می توان با نسبت دادن یک اسم رمز به این سند مدل امنیت در سطح Share-Level را پیاده سازی کرد. منابع شبکه را می توان در سطوح مختلف به اشتراک گذاشت. برای مثال در سیستم عامل ویندوز ۹۵ می توان دایرکتوری ها را بصورت فقط خواندنی (Read Only)، برحسب اسم رمز یا به شکل کامل (Full) به اشتراک گذاشت. از مدل امنیت در سطح Share-Level می توان برای ایجاد بانک های اطلاعاتی ایمن استفاده کرد.در مدل دوم یعنی امنیت در سطح کاربران، دسترسی کاربران به منابع به اشتراک گذاشته شده با دادن اسم رمز به کاربران تامین می شود. در این مدل کاربران در هنگام اتصال به شبکه باید اسم رمز و کلمه عبور را وارد نمایند. در اینجا سرور مسئول تعیین اعتبار اسم رمز و کلمه عبور است. سرور در هنگام دریافت درخواست کاربر برای دسترسی به منبع به اشتراک گذاشته شده، به بانک اطلاعاتی خود مراجعه کرده و درخواست کاربر را رد یا قبول می کند.

تفاوت این دو مدل در آن است که در مدل امنیت در سطح Share-Level، اسم رمز به منبع نسبت داده شده و در مدل دوم اسم رمز و کلمه عبور به کاربر نسبت داده می شود. بدیهی است که مدل امنیت در سطح کاربر بسیار مستحکم تر از مدل امنیت در سطح اشتراک است. بسیاری از کاربران به راحتی می توانند اسم رمز یک منبع را به دیگران بگویند. اما اسم رمز و کلمه عبور شخصی را نمی توان به سادگی به شخص دیگری منتقل کرد.

تجارت الکترونیک که در اینجا بیشتر بحث پیرامون بررسی این امر در دنیای اینترنت می باشد، به منظور شکل گیری و سرویس دهی، نیازمند محیطی است که از طریق آن افراد مختلف بتوانند داد و ستد خود را انجام دهند.این محیط که در اینجا همان برنامه های تحت وب هستند، خود نیازمند بستری جهت قرارگیری می باشد. حال نیاز به ارائه سرویس مطرح می گردد که خود در برگیرنده مباحث نرم افزاری چون سیستم عامل، سرویس دهنده وب و مباحث سخت افزاری چون سرویس دهندگان و ساختار آنها می باشد. اما هنوز این سیستم کامل نیست بحث تولید و ارائه مهیا شده اند، اما چگونگی ارتباط مشتریان با سیستم مشخص نیست.بستر دسترسی که بنابر مطالب مذکور، اینترنت می باشد، در مفهوم انتقال مورد بررسی قرار می گیرد. وجود مشتریان هم که لازمه زنده نگه داشتن این سیستم می باشد، در مفهوم دریافت جای داده شده است.

امنیت در برقرتری تجارت الکترونیک موفق، شامل مراحل زیر می باشد:

  1. امنیت میزبان (Host security)
  2. امنیت سیستم عامل (Os security)
  3. امنیت سرویس دهنده وب (Web server security)
  4. امنیت شبکه (Network security)
  5. ابزارهای ضد ویروس (Antivirus tools)
  6. دیوارهای آتش (Firewalls)
  7. یک خط مشی توام با آموزش (Seurity Policy)

 

در بحث تجارت الکترونیک عواملی از قبیل برنامه های تحت وب ، سرویس دهنده، بستر ارتباطی و دریافت کننده که عمدتا مشتری می باشد، بایستی در کنار هم قرار گیرند تا یک تجارت الکترونیک شکل گیرد و اگر آن را به صورت یک سیستم ترسیم کنیم می توانیم این عوامل را در ۴ مفهوم کلی "تولید، ارائه، انتقال و دریافت" سرویس یا کالا داشته باشیم. برای شفاف شدن هرچه بیشتر این موضوع به توضیح هر کدام می پردازیم :

امنیت در ﺗﻮﻟﯿﺪ :

در ﻣﻔﻬﻮم ﺗﻮﻟﯿﺪ، ﺑﯿﺸﺘﺮ ﺑﺎ ﯾﮑﺴﺮی از ﺑﺮﻧﺎﻣﻪ ﻫﺎی ﺗﺤﺖ وب و ﺑﺎﻧﮑﻬﺎی اﻃﻼﻋﺎت در ارﺗﺒﺎطﻫﺴﺘﯿﻢ. ﻓﺎرغ از اﯾﻦ ﻣﻮﺿﻮع ﮐﻪ اﯾﻦ ﺑﺮﻧﺎﻣﻪ ﻫﺎ ﺗﻮﺳﻂ ﺗﯿﻤﯽ ﻣﺸﺨﺺ ﺑﻪ ﻣﻨﻈﻮر اﻧﺠﺎم ﯾﮏ داد و ﺳﺘﺪ اﯾﻨﺘﺮﻧﺘﯽ ﺑﻪ وﺟﻮد آﻣﺪه اﻧﺪ و ﯾﺎ ﺑﻪﺻﻮرت آﻣﺎده در ﻗﺎﻟﺐ ﺑﺴﺘﻪ ﻫﺎی ﻧﺮم اﻓﺰاری ﺗﻬﯿﻪ ﺷﺪه اﻧﺪ، ﺗﻬﺪﯾﺪاﺗﯽ ﻣﺘﻮﺟﻪآﻧﻬﺎ ﻣﯽ ﺑﺎﺷﺪ.اﯾﻦ ﺗﻬﺪﯾﺪات ﻋﻤﺪﺗﺎً ﺑﻪ ﻣﻨﻈﻮر ﺑﻪ دﺳﺖآوردن اﻃﻼﻋﺎﺗﯽ ﻣﺤﺮﻣﺎﻧﻪ و ﯾﺎ اﯾﺠﺎد ﺗﻐﯿﯿﺮی در ﺳﯿﺴﺘﻢ، ﺑﻪ ﻣﻨﻈﻮر ﺟﻌﻞ ﻫﻮﯾﺖ، دﺳﺘﮑﺎری ﻣﺒﻠﻎ ﮐﻞدر راﺳﺘﺎیﮐﺎﻫﺶ آن و ﯾﺎ ﺣﺘﯽﺗﻐﯿﯿﺮی در ﺻﻔﺤﻪ اﺻﻠﯽ ﺑﻪ ﻣﻨﻈﻮر ﺗﺨﺮﯾﺐ اﻋﺘﺒﺎر آن ﻣﺠﻤﻮﻋﻪ ﻣﯽ ﺑﺎﺷﺪ.ﺑﻪ ﻣﻨﻈﻮر ﺑﺮرﺳﯽ اﺟﺮاﯾﯽ در اداﻣﻪ ﺑﻪﺗﻮﺿﯿﺢ ﭼﻨﺪ ﻧﻤﻮﻧﻪ ازﺗﻬﺪﯾﺪاﺗﯽ ﮐﻪ ﻣﯽ ﺗﻮاﻧﻨﺪ ﻣﺘﻮﺟﻪ ﻋﻮاﻣﻞ ﺗﻮﻟﯿﺪ ﺑﺎﺷﺪ ﻣﯽ ﭘﺮدازﯾﻢ.

 Cross site scripting: ﻋﺒﺎرت اﺳﺖ از ﻓﺮﺳﺘﺎدن  Scriptدر ﻓﯿﻠﺪ ﻫﺎی ورودی ﺑﻪ ﻣﻨﻈﻮر ﺑﻪدﺳﺖ آوردن اﻃﻼﻋﺎت ﻣﻬﻢ و ﯾﺎ اﯾﺠﺎد ﺗﻐﯿﯿﺮ در ﮐﺪﻫﺎی HTML.در روش ذﺧﯿﺮه ﺷﺪه، Script ﻫﺎی ﻫﮑﺮ ﺑﻪ ﺻﻮرت داﺋﻤﯽ در ﺳﺮوﯾﺲ دﻫﻨﺪه ﻣﻮرد ﻧﻈﺮ ﻗﺮار ﻣﯽ ﮔﯿﺮﻧﺪ ﻣﺎﻧﻨﺪ ﺑﺎﻧﮏ اﻃﻼﻋﺎﺗﯽ،ﺻﻔﺤﺎت پیغام و ﯾﺎ ﻧﻈﺮات،و ﻫﻨﮕﺎﻣﯽ ﮐﻪ ﮐﺎرﺑﺮ، درﺧﻮاﺳﺘﯽ را ﺑﻪ اﯾﻦ ﻗﺴﻤﺖ ﻫﺎ ارﺳﺎل ﻧﻤﺎﯾﺪ،  Scriptﻫﮑﺮ ﺑﺮ روی ﺳﯿﺴﺘﻢ ﮐﺎرﺑﺮاﺟﺮا ﻣﯽ ﺷﻮد. ﻫﮑﺮ اﺑﺘﺪا  Script ﻣﻮرد ﻧﻈﺮ ﺧﻮد را ﺑﻪ ﺷﮑﻠﯽ ﺑﺎ ﻗﺴﻤﺖ آﺳﯿﺐ ﭘﺬﯾﺮ ﺳﺎﯾﺖ ﻣﻮرد ﻧﻈﺮﺑﺮای ﮐﺎرﺑﺮ ﻣﯽ ﻓﺮﺳﺘﺪ ﮐﻪﮐﺎرﺑﺮ ﺑﺎ ﮐﻠﯿﮏ ﺑﺮ روی آنURL ، در واﻗﻊ Script ﻫﮑﺮ را اﺟﺮا ﮐﺮده اﺳﺖ. ﺣﺎﺻﻞ اﺟﺮا ﺷﺪن  Script ﻣﯽ ﺗﻮاﻧﺪ ﻣﻨﺠﺮ ﺑﻪ اﯾﻦ ﺷﻮد ﮐﻪ ﻫﮑﺮ ﺑﺘﻮاﻧﺪ اﻃﻼﻋﺎت ﻧﺸﺴت ﮐﺎرﺑﺮ ﺑﺎ وب ﺳﺎﯾﺖ ﻣﻮرد ﻧﻈﺮ را ﺑﻪ دﺳﺖ آورد و ﺑﺘﻮاﻧﺪ از آن اﺳﺘﻔﺎده ﮐﻨﺪ. در واﻗﻊ ﻫﻮﯾﺖ ﺧﻮد را ﺟﻌﻞ وﺧﻮد راﺑﻪ ﻋﻨﻮان ﮐﺎرﺑﺮ ﻗﺮﺑﺎﻧﯽ اﺑﺮاز ﻧﻤﺎﯾﺪ. درﺟﻪ ﺧﻄﺮ اﯾﻦ ﺗﻬﺪﯾﺪ را در ﻣﺜﺎل واﻗﻌﯽ زﯾﺮ می توانیم بیایبم. در روز ۱۶ﻣﺎه ﺟﻮن ﺳﺎل ۲۰۰۶ ﺳﺎﯾﺖ Netcraft اﻋﻼم ﮐﺮد ﮐﻪ ﺑﻪ ﻋﻠﺖ ﺿﻌﻒ اﻣﻨﯿﺘﯽ ﻣﻮﺟﻮددر ﺳﺎﯾﺖ PayPal ﻫﮑﺮﻫﺎ ﺗﻮاﻧﺴﺘﻨﺪ اﻃﻼﻋﺎت ﺷﺨﺼﯽ و ﮐﺎرت ﻫﺎی اﻋﺘﺒﺎری اﻋﻀﺎء اﯾﻦ ﺳﺎﯾﺖ را ﺑﻪ دﺳﺖ آورﻧﺪ.

 SQL Injection: اﯾﻦ روش ﺑﻪ وارد ﮐﺮدن دﺳﺘﻮرﻫﺎ و ﻋﺒﺎراﺗﯽ ﺑﻪ زﺑﺎن ﻗﺎﺑﻞ ﻓﻬﻢ ﺗﻮﺳﻂ SQL در ﻗﺴﻤﺘﻬﺎﯾﯽ از ﯾﮏ وب ﺳﺎﯾﺖ ﮐﻪﻣﯽ ﺗﻮاﻧﻨﺪ ﻣﻘﺎدﯾﺮی را ﺑﻪ ﺻﻮرت ورودی درﯾﺎﻓﺖ ﮐﻨﻨﺪ (ﻣﺎﻧﻨﺪ ﻓﯿﻠﺪﻫﺎی ﻧﺎم ﮐﺎرﺑﺮی و رﻣﺰ ﻋﺒﻮر) اطلاق ﻣﯽ ﺷﻮد. ﺑﻨﺎﺑﺮاﯾﻦ ﻫﮑﺮ ﻣﯽﺗﻮاﻧﺪ ﯾﮏ دﺳﺘﻮر را ﺑﺮ روی ﺳﺮور ﺑﺎﻧﮏ اﻃﻼﻋﺎت اﺟﺮا ﮐﻨﺪ ﮐﻪ ﺣﺎﺻﻞ اﺟﺮای اﯾﻦ دﺳﺘﻮر ﻣﯽ ﺗﻮاﻧﺪ ﺑﻪ دﺳﺖ آوردن اﻃﻼﻋﺎتﮐﺎرﺑﺮان، اﻃﻼﻋﺎت ﮐﺎرت ﻫﺎی اﻋﺘﺒﺎری، ﺟﺰﯾﯿﺎت ﻣﺒﺎدﻻت اﻧﺠﺎم ﺷﺪه و… ﺑﺎﺷﺪ. ﺳﺎﯾﺘﻬﺎی  Guess.comو PetCo.com ﮐﻪ در زﻣﯿﻨﻪ اراﺋﻪ ﺳﺮوﯾﺲ و ﻣﺤﺼﻮﻻت ﺑﻪ ﺻﻮرت اﯾﻨﺘﺮﻧﺘﯽ ﻓﻌﺎﻟﯿﺖ دارﻧﺪ، ﻗﺮﺑﺎﻧﯽ اﯾﻦ ﺗﻬﺪﯾﺪ ﺑﻮده اﻧﺪ ﮐﻪ ﺑﻪ دﻧﺒﺎل آن اﻃﻼﻋﺎت ﺣﺴﺎس و ﻣﻬﻢ ﺑﺴﯿﺎری از ﮐﺎرﺑﺮاﻧﺸﺎن ﺑﻪ دﺳﺖ ﯾﮏ ﻫﮑﺮ ۲۰ ﺳﺎﻟﻪ ﺳﺎﮐﻦ ﮐﺎﻟﯿﻔﺮﻧﯿﺎ اﻓﺘﺎد.

 Price mainpulation: ﻫﻤﺎﻧﻄﻮر ﮐﻪ اﺳﻢ اﯾﻦ روشﻧﺸﺎن ﻣﯽ دﻫﺪ، ﻋﺒﺎرت اﺳﺖ ازدﺳﺘﮑﺎری ﻗﯿﻤﺖ، ﺑﻪ اﯾﻦ ﺻﻮرت ﮐﻪ ﺑﻪ ﻫﻨﮕﺎم ﻣﺤﺎﺳﺒﻪ ﻗﯿﻤﺖ ﮐﻞ ﺑﻪ ﻋﻠﺖ ذﺧﯿﺮه ﺳﺎزی ﯾﮑﺴﺮی از اﻃﻼﻋﺎت ﺧﺮﯾﺪ ﺑﺮ روی ﺳﯿﺴﺘﻢ ﻣﺸﺘﺮی، ﻫﮑﺮ ﺑﺎ اﺳﺘﻔﺎده از ﯾﮏ ﺑﺮﻧﺎﻣﻪ ﮐﻪ ﺑﺘﻮاﻧﺪ ارﺗﺒﺎﻃﺎت ﺧﻮد و ﺳﺮوﯾﺲ دﻫﻨﺪه را ﭘﺮوﮐﺴﯽ ﮐﻨﺪ، ﻣﯽ ﺗﻮاﻧﺪاﻃﻼﻋﺎت ﻣﻬﻤﯽ از ﺟﻤﻠﻪ ﻗﯿﻤﺖ را ﺗﻐﯿﯿﺮ دﻫﺪﮐﻪ اﮔﺮ ﮐﻨﺘﺮل ﻫﺎی ﻻزم در ﺳﻤﺖ ﺑﺮﻧﺎﻣﻪ ﺳﺮوﯾﺲ دﻫﻨﺪه وﺟﻮد ﻧﺪاﺷﺘﻪ ﺑﺎﺷﺪ ﺿﺮر ﻣﺎﻟﯽ اﯾﻦ ﮐﺎر ﻣﺘﻮﺟﻪ ﺷﺮﮐﺖ ﺳﺮوﯾﺲ دﻫﻨﺪه ﻣﯽﺷﻮد. ﯾﮏ ﻧﻤﻮﻧﻪ از اﯾﻦ ﻣﺸﮑﻞ ﮐﻪ ﺑﺎﻋﺚ ﻣﺘﻀﺮر ﺷﺪن ﺷﺮﮐﺖ ﻫﺎی ﺳﺮوﯾﺲ دﻫﻨﺪه ﺷﺪه اﺳﺖ ﺿﻌﻒ ﻣﻮﺟﻮد در ﺑﺮﻧﺎﻣﻪ "3D3 ShopFactory Shopping Cart" ﺑﻮده اﺳﺖ. ﺷﺮﮐﺖ ﻫﺎﯾﯽ ﮐﻪ ﺑﺮای اﻧﺠﺎم ﻣﺤﺎﺳﺒﺎت ﻣﺎﻟﯽ ﺗﺠﺎرت اﯾﻨﺘﺮﻧﺘﯽ ﺧﻮد از اﯾﻦ ﺑﺮﻧﺎﻣﻪ اﺳﺘﻔﺎده ﻣﯽ ﮐﺮدﻧﺪ ﺑﻪ ﻋﻠﺖ اﯾﻨﮑﻪ اﯾﻦ ﺑﺮﻧﺎﻣﻪ ﻗﯿﻤﺖ ﻧﻬﺎﯾﯽ را در ﯾﮏ Cookie ﺳﻤﺖ ﮐﺎرﺑﺮ ذﺧﯿﺮه ﺳﺎزی ﻣﯽ ﮐﺮده و اﻣﮑﺎن ﺗﻐﯿﺮ ﻗﯿﻤﺖ ﻧﻬﺎﯾﯽ ﺗﻮﺳﻂ ﻫﮑﺮﻫﺎ وﺟﻮد داﺷﺘﻪ ،ﻣﺘﻀرر ﺷﺪه اﻧﺪ.

 Buffer overflow: اﯾﻦ ﺿﻌﻒ ﮐﻪ ﻣﺮﺑﻮط ﺑﻪ اﺷﺘﺒﺎه در ﺑﺮﻧﺎﻣﻪ ﻧﻮﯾﺴﯽ ﻣﯽ ﺑﺎﺷﺪ، ﻧﯿﺰ ﻣﯽ ﺗﻮاﻧﺪ ﺑﻪ ﻋﻨﻮان ﺗﻬﺪﯾﺪی ﺑﺮای ﺗﺠﺎرت اﻟﮑﺘﺮوﻧﯿﮏ ﺑﻪ ﺣﺴﺎب آﯾﺪ. اﮔﺮ ﺑﺨﻮاﻫﯿﻢ اﯾﻦ ﺗﻬﺪﯾﺪ را ﻣﻮرد ﺑﺮرﺳﯽ ﻗﺮار دﻫﯿﻢ، ﻣﯽ ﺗﻮاﻧﯿﻢ ﺧﻄﺮ آن را ﺑﻪ دو ﻗﺴﻤﺖ ﺗﻘﺴﯿﻢ ﮐﻨﯿﻢ: ﯾﮑﯽاﻓﺸﺎء ﯾﮑﺴﺮی اﻃﻼﻋﺎت از ﻃﺮﯾﻖ ﭘﯿﻐﺎم ﻫﺎی ﺧﻄﺎﯾﯽ اﺳﺖ ﮐﻪ ﺳﯿﺴﺘﻢ ﺑﻪ ﻋﻠﺖ ﺳﺮﯾﺰ ﺷﺪن ﺑﺎﻓﺮ ﺑﺮ ﻣﯽ ﮔﺮداﻧﺪ ﮐﻪ ﻣﯽ ﺗﻮاﻧﺪ اﻃﻼﻋﺎت ﺑﺴﯿﺎر ﺧﻮﺑﯽ را در اﺧﺘﯿﺎر ﻫﮑﺮ ﻗﺮار دﻫﺪ و از آﻧﺠﺎﯾﯽ ﮐﻪ ﺑﺮاﺳﺎس اﺻﻮل و ﻣﺮاﺗﺐ ﻫﮏ، ﮐﺴﺐ اﻃﻼﻋﺎت از ﻧﺨﺴﺘﯿﻦﮔﺎﻣﻬﺎ ﻣﯽ ﺑﺎﺷﺪ، ﭘﺲ اﯾﻦ اﻣﺮ ﻣﯽ ﺗﻮاﻧﺪ در اﯾﻦ ﻣﺮﺣﻠﻪ ﮐﻤﮏ ﺧﻮﺑﯽ ﺑﺮای ﻫﮑﺮ ﺑﺎﺷﺪ و دوم اﯾﻨﮑﻪ در ﺑﺮﺧﯽ از ﺷﺮاﯾﻂ ﻫﮑﺮ ﻗﺎدر اﺳﺖ ﺑﺎ اﺳﺘﻔﺎده از اﯾﻦﺿﻌﻒ، دﺳﺘﻮری را ﺑﺮ روی ﺳﺮوﯾﺲ دﻫﻨﺪه اﺟﺮا ﮐﻨﺪ. ﺑﻪ ﻋﻨﻮان ﻣﺜﺎﻟﯽ از اﯾﻦ ﺿﻌﻒ، ﻣﯽ ﺗﻮان ﺑﺮﻧﺎﻣه "PDGSoft Shopping Cart" ،ﮐﻪ ﯾﮑﯽ از ﺑﺮﻧﺎﻣﻪﻫﺎی اﻧﺠﺎم ﻣﺤﺎﺳﺒﺎت ﺧﺮﯾﺪ ﻣﯽﺑﺎﺷﺪ را ﻧﺎم ﺑﺮد.ﺿﻌﻒ ﻣﻮﺟﻮد در اﯾﻦ ﺑﺮﻧﺎﻣﻪ اﻣﮑﺎن اﺟﺮای دﺳﺘﻮرات دﻟﺨﻮاه را ﺑﻪ ﻫﮑﺮ ﻣﯽ داد.

Password guessing : ﺑﻪ دﺳﺖ آوردن ﻏﯿﺮ ﻣﺠﺎز رﻣﺰ ﻋﺒﻮر اﻓﺮاد، اﮔﺮﭼﻪ ﯾﮏ ﺧﻄﺮ ﺑﺴﯿﺎر ﮐﻠﯽ ﻣﯽ ﺑﺎﺷﺪ، اﻣﺎ ﻣﺼﺪاق ﻫﺎی ﺑﺴﯿﺎر زیاد آن در ﺗﺠﺎرت اﻟﮑﺘﺮوﻧﯿﮏ، آﻧﺠﺎﮐﻪ اﺣﺘﯿﺎج ﺑﻪ اﺣﺮاز ﻫﻮﯾﺖ است، دﯾﺪه ﻣﯽ ﺷﻮد. اﯾﻦ روش ﺧﻮد ﺑﻪ دو ﻗﺴﻤﺖ ﺣﻤﻠﻪ ﻫﺎی واژه ﻧﺎﻣﻪ ای و ﺣﻤﻠﻪ ﻫﺎی ﻣﺒﺘﻨﯽ ﺑﺮ آزﻣﺎﯾﺶ ﺗﻤﺎﻣﯽ ﻋﺒﺎرات ﻣﻤﮑﻦ ﺗﻘﺴﯿﻢ ﻣﯽ ﺷﻮد.در روش واژه ﻧﺎﻣﻪای، ﻫﮑﺮ ﻟﯿﺴﺘﯽ ازرﻣﺰﻋﺒﻮرﻫﺎی ﻣﺘﺪاول (ﻣﺎﻧﻨﺪ"123456"admin"،"test و… )، را در ﻓﺎﯾﻠﯽ ﻗﺮار ﻣﯽ دﻫﺪ و ﺳﭙﺲ ﺑﺎ اﺳﺘﻔﺎده از ﯾﮏ ﺑﺮﻧﺎﻣﻪ، ﺑﻪ ﺑﺮرسی ﺧﻮدﮐﺎر آن رﻣﺰ ﻋﺒﻮرﻫﺎ ﺑﻪ ﻣﻨﻈﻮر ﯾﺎﻓﺘﻦ رﻣﺰ ﻋﺒﻮر ﺻﺤﯿﺢ ﻣﯽ ﭘﺮدازد. در روش ورود ﺑﻪ زور، ﻫﮑﺮ ﺑﺎ اﺳﺘﻔﺎده از ﺑﺮﻧﺎﻣﻪ ﻫﺎﯾﯽ ﮐﻪ ﺧﺎص اﯾﻦ ﮐﺎر ﻣﯽ ﺑﺎﺷﻨﺪ، ﺷﺮوع ﺑﻪ ﺗﺴﺖ رﻣﺰ ﻋﺒﻮرﻫﺎی ﻣﺨﺘﻠﻔﯽ ﻣﯽ ﮐﻨﺪ ﮐﻪ ﺑﺮ اﺳﺎس ﻗﻮاﻧﯿﻦ از ﭘﯿﺶ ﺗﻌﺮﯾﻒ ﺷﺪه ﺳﺎﺧﺘﻪ ﻣﯽ ﺷﻮﻧﺪ. ﺑﻪ ﻋﻨﻮانﻣﺜﺎل ﺗﻤﺎﻣﯽ رﻣﺰﻋﺒﻮرﻫﺎﯾﯽ ﮐﻪ از ۱ ﺗﺎ ۱۰ﺣﺮف ﻣﯽ ﺑﺎﺷﻨﺪ و ﻓﻘﻂ ﺷﺎﻣﻞ اﻋﺪاد ﻫﺴﺘﻨﺪ. اﯾﻦ روش در ﺳﺎﯾﺘﻬﺎﯾﯽ ﭼﻮن http://www.123greetings.com  و  http://www.register.com ﺑﺎ ﻣﻮﻓﻘﯿﺖ اﻧﺠﺎم ﺷﺪه اﺳﺖ.

امنیت در اراﺋﻪ :

ﻋﻮاﻣﻠﯽ ﮐﻪ در ﻣﻔﻬﻮم اراﺋﻪ ﻧﻘﺶ دارﻧﺪ، ﻋﻤﺪﺗﺎ  ﺑﺴﺘﺮﻫﺎﯾﯽ ﻫﺴﺘﻨﺪ ﮐﻪ ﻋﻮاﻣﻞ ﻣﻔﻬﻮم ﺗﻮﻟﯿﺪ ﺑﻪ ﻣﻨﻈﻮر ﻓﻌﺎﻟﯿﺖ ﺑﺮ روی آن ﺳﻮار ﻣﯽﺷﻮﻧﺪ. ﺳﯿﺴﺘﻢ ﻋﺎﻣﻞ، ﺳﺮوﯾﺲ دﻫﻨﺪه وب، ﺳﺮوﯾﺲ دﻫﻨﺪه ﺑﺎﻧﮏ اﻃﻼﻋﺎﺗﯽ، ﺳﺨﺖ اﻓﺰارﻫﺎی ﻣﻮرد اﺳﺘﻔﺎده و… از ﺟﻤﻠﻪ ﻋﻮاﻣﻠﯽ ﻫﺴﺘﻨﺪ ﮐﻪ ﻣﯽ ﺗﻮاﻧﯿﻢ در اﯾﻦ ﻣﻔﻬﻮم ﻧﺎم ﺑﺒﺮﯾﻢ. ﺑﯿﺸﺘﺮ ﺗﻬﺪﯾﺪﻫﺎﯾﯽ ﮐﻪ ﻋﻮاﻣﻞ اراﺋﻪ را در ﻣﻌﺮض ﺧﻄﺮ ﻗﺮار ﻣﯽدﻫﺪ ﻣﺮﺑﻮط ﺑﻪ ﺿﻌﻒ ﺗﮑﻨﻮﻟﻮژی ﻣﯽ ﺑﺎﺷﺪ و ﻣﻮارد دﯾﮕﺮ در ﺟﺎﯾﮕﺎهﻫﺎی ﺑﻌﺪی ﻗﺮار ﻣﯽ ﮔﯿﺮﻧﺪ. از ﺟﻤﻠﻪ ﺗﻬﺪﯾﺪﻫﺎی اﯾﻦ دﺳﺘﻪ از ﻋﻮاﻣﻞ ﻣﯽ ﺗﻮان ﭼﻨﺪ ﻧﻤﻮﻧﻪ زﯾﺮ را ﻧﺎم ﺑﺮد :

ﮐﺪﻫﺎی ﻣﺨﺮب (…,Worm, Virus) : اﯾﻦ دﺳﺘﻪ از ﺗﻬﺪﯾﺪﻫﺎ ﮐﻪ ﻣﯽ ﺗﻮاﻧﻨﺪ ﺑﺎﻋﺚ از ﮐﺎر اﻓﺘﺎدن ﺳﯿﺴﺘﻢ ﺷﻮﻧﺪ، از اﯾﻦ ﺟﻬﺖ ﮐﻪ در روﻧﺪ ﻋﺎدی ﺳﺮوﯾﺲ دﻫﯽ اﯾﺠﺎد اﺧﺘﻼل می کنند و در ﻧﺘﯿﺠﻪ دﺳﺘﺮس ﭘﺬﯾﺮی را مختل می کنند، ﺑﻪﻋﻨﻮان ﯾﮑﯽ از ﻣﻬﻤﺘﺮﯾﻦ ﺗﻬﺪﯾﺪﻫﺎی ﺳﯿﺴﺘﻢ ﻋﺎﻣﻞ ﺑﻪ ﺣﺴﺎب ﻣﯽ آﯾﻨﺪ.

 DOS (denial of service): اﯾﻦ دﺳﺘﻪ از ﺣﻤﻼت، ﺗﻨﻬﺎ ﻫﺪﻓﺸﺎن از ﮐﺎر اﻧﺪاﺧﺘﻦ ﺳﺮوﯾﺲ دﻫﻨﺪه ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﻣﯽ ﺗﻮاﻧﺪ ﻫﻢ ﺑﻪ ﻋﻠﺖ وﺟﻮد ﯾﮏ ﺿﻌﻒ در ﺳﯿﺴﺘﻢ ﺑﺎﺷﺪ و هم ﺑﻪ ﻋﻠﺖ ﺣﺠﻢ ﺑﺎﻻﯾﯽ از ﺗﻘﺎﺿﺎ ﮐﻪ ﻣﯽ ﺗﻮاﻧﺪ ﻣﻨﺠﺮ ﺑﻪ ﭘﺮ ﺷﺪن ﻇﺮﻓﯿﺖ ﻣﻨﺎﺑﻊ ﺳﯿﺴﺘﻤﯽ از ﻗﺒﯿﻞ ﺣﺎﻓﻈﻪ، ﭘﺮدازﺷﮕﺮ و ﯾﺎ ﭘﻬﻨﺎی ﺑﺎﻧﺪ ﺷﻮد.در حال حاضر بسیاری از سایت های بزرگ توانایی مقابله با این مخرب امنیتی را ندارند. ﺑﻪ ﻋﻨﻮان ﻣﺜﺎﻟﯽ ﺑﺮای اﯾﻦ دﺳﺘﻪ از ﺣﻤﻼت اﯾﻨﺘﺮﻧﺘﯽ در زﻣﯿﻨﻪ ﺗﺠﺎرت اﻟﮑﺘﺮوﻧﯿﮏ ﻣﯽ ﺗﻮان ﺑﻪ از ﮐﺎر اﻓﺘﺎدن ﺳﺮوﯾﺲ دﻫﯽ دو ﺷﺮﮐﺖAuthorize-itو ۲ CheckOut- اشاره کرد.

آﺳﯿﺐ ﭘﺬﯾﺮی ﺳﺮوﯾﺲ دﻫﻨﺪه : از ﺟﻤﻠﻪ ﺑﺰرﮔﺘﺮﯾﻦ ﻣﻌﻀﻼت ﺗﮑﻨﻮﻟﻮژی، وﺟﻮد ﺿﻌﻒ ﻫﺎی اﻣﻨﯿﺘﯽ ﻣﯽ ﺑﺎﺷﺪ. آﺳﯿﺐ ﭘﺬﯾﺮی از ﻃﺮﯾﻖ اﯾﻦ ﺿﻌﻔﻬﺎ از ﭼﻨﺪ ﺟﻬﺖ ﻗﺎﺑﻞ ﺑﺮرﺳﯽ ﻣﯽ ﺑﺎﺷﺪ: ﯾﮑﯽ از اﯾﻦ ﺟﻬﺖ ﮐﻪ ﻣﻌﻤﻮﻻً اﯾﻦ ﺿﻌﻔﻬﺎ، اول ﺗﻮﺳﻂ ﺗﯿﻢ ﻫﺎی ﻫﮑﺮی ﮐﺸﻒ ﻣﯽ ﺷﻮﻧﺪ و در ﺟﻬﺖ ﮐﺎرﻫﺎی ﺧﺮاﺑﮑﺎراﻧﻪ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮﻧﺪ و ﺗﺎ زﻣﺎﻧﯽ ﮐﻪ ﺑﻮﺟﻮد آورﻧﺪه آن ﺗﮑﻨﻮﻟﻮژی ﯾﺎ ﺳﺮوﯾﺲ دﻫﻨﺪه ﺑﺴﺘﻪ ای در ﺟﻬﺖ رﻓﻊ آن ﺿﻌﻒ اراﺋﻪ ﻧﺪﻫﺪ، اﯾﻦ ﺧﻄﺮ ﻫﻤﻮاره ﺗﻤﺎﻣﯽ اﺳﺘﻔﺎده ﮐﻨﻨﺪﮔﺎن را ﻣﻮرد ﺗﻬﺪﯾﺪ ﻗﺮار ﻣﯽ دﻫﺪ. دوم اﯾﻨﮑﻪ در ﺑﺮﺧﯽ از ﻣﻮارد ﻋﻠﯿﺮﻏﻢ اﻧﺘﺸﺎر ﺑﺴﺘﻪ ﻫﺎی اﻣﻨﯿﺘﯽ ﻣﻤﮑﻦ اﺳﺖ ﮐﻪ ﯾﮑﺴﺮی از اﺳﺘﻔﺎده ﮐﻨﻨﺪﮔﺎن آﻧﻬﺎ راﯾﺎ ﺑﻌﻠﺖ ﺳﻬﻞاﻧﮕﺎری و ﯾﺎ ﺑﻪ ﻋﻠﺖ ﻋﺪم آﮔﺎﻫﯽ در ﺳﺮوﯾﺲ دﻫﻨﺪه و ﯾﺎ ﺳﯿﺴﺘﻢ ﻋﺎﻣﻞ اﻋﻤﺎل ﻧﮑﻨﻨﺪ و ﻫﻤﻮاره در ﻣﻌﺮض ﺧﻄﺮ ﺑﺎﻗﯽ ﺑﻤﺎﻧﻨﺪ. ﺑﻪ ﻋﻨﻮان ﻣﺜﺎﻟﯽ ﺑﺮای اﯾﻦ ﺗﻬﺪﯾﺪ، ﻣﯽ ﺗﻮان ﺑﻪ آﺳﯿﺐ ﭘﺬﯾﺮی اﻣﻨﯿﺘﯽ IBM e-commerce Servers اﺷﺎره ﮐﺮد. ﺗﻤﺎﻣﯽ ﻣﺤﺼﻮﻻت زﯾﺮ ﮐﻪ در اﯾﻦ ﻣﺠﻤﻮﻋﻪ ﻗﺮار ﻣﯽ ﮔﯿﺮﻧﺪ، دارای آﺳﯿﺐ ﭘﺬﯾﺮی ﺑﻮده اﻧﺪ ﮐﻪ ﺗﻮﺳﻂ آن اﻃﻼﻋﺎت ﻣﻬﻢ ﺳﯿﺴﺘﻢ از ﺟﻤﻠﻪ رﻣﺰ ﻋﺒﻮر ﻣﺪﯾﺮﺳﯿﺴﺘﻢ ﻣﯽ ﺗﻮاﻧﺴﺖ در اﺧﺘﯿﺎر ﻫﮑﺮ ﻗﺮار ﮔﯿﺮد.

امنیت در اﻧﺘﻘﺎل :

در ﺑﺤﺚ اﻧﺘﻘﺎل، ﮐﻪ ﺗﻨﻬﺎ ﺑﺎ ﺑﺴﺘﺮ ارﺗﺒﺎﻃﯽ ﺳﺮوﮐﺎر دارد، از ﺟﻤﻠﻪﻣﻬﻤﺘﺮﯾﻦ ﺧﻄﺮاﺗﯽ ﮐﻪ آن را ﺗﻬﺪﯾﺪ ﻣﯽ ﮐﻨﺪ، ﺷﻨﻮد اﻃﻼﻋﺎت ﻣﻬﻢ ﺗﻮﺳﻂ ﯾﮏ ﻓﺮد ﻏﯿﺮ ﻣﺠﺎز ﻣﯽ ﺑﺎﺷﺪ. ﺣﺎل اﯾﻦ ﺷﻨﻮد ﻣﯽ ﺗﻮاﻧﺪ ﻣﻨﺠﺮ ﺑﻪ اﻓﺸﺎء اﻃﻼﻋﺎت ﮐﺎرت اﻋﺘﺒﺎری و ﯾﺎ ﺷﻨﺎﺳﻪ ﮐﺎرﺑﺮی ﺷﻮد و ﯾﺎ ﻣﯽﺗﻮاﻧﺪ از ﻃﺮﯾﻖ ﺷﻨﻮد ﺷﻨﺎﺳﻪ ﻧﺸﺴﺖ، ﻫﮑﺮ ﺑﺘﻮاﻧﺪ ﮐﻨﺘﺮل ارﺗﺒﺎط را ﺑدﺳﺖ ﮔﯿﺮد و ﺑﺎ ﺟﻌﻞ ﻫﻮﯾﺖ ﺧﻮد ﺷﺮوع ﺑﻪ ﮐﺎر ﮐﻨﺪ. از ﺟﻤﻠﻪ اﺻﻄﻼﺣﺎﺗﯽ ﮐﻪ در ﺧﺼﻮص اﯾﻦ ﺗﻬﺪﯾﺪﻫﺎ وﺟﻮد دارد، ﻣﯽ ﺗﻮان ﺑﻪ Eavesdropping، Session Hijackingو  Reply Attackاﺷﺎره ﻧﻤﻮد.ﺑﺤﺚ ﺷﻨﻮد ارﺗﺒﺎط، در ﺗﻤﺎﻣﯽ آﻧﻬﺎ ﻣﺸﺘﺮک اﺳﺖ و ﺗﻨﻬﺎ ﺗﻔﺎوت در ﺑﺮﺧﻮرد ﺑﺎ اﯾﻦ ﺷﻨﻮد اﺳﺖ ﺑﻪ ﻋﻨﻮان ﻣﺜﺎل در  Man-in-themiddleﻫﮑﺮ دﻗﯿﻘﺎ در ﺑﯿﻦ راه ﻗﺮار ﻣﯽ ﮔﯿﺮد و ﺗﻤﺎﻣﯽ اﻃﻼﻋﺎت ﺑﯿﻦ ﮐﺎرﺑﺮ و ﺳﺮوﯾﺲ دﻫﻨﺪه را ﻫﻤﺎﻧﻨﺪ ﯾﮏ ﭘﺮوﮐﺴﯽ در اﺧﺘﯿﺎر ﻣﯽﮔﯿﺮد. ﺑﻪ ﻃﻮرﯾﮑﻪ از دﯾﺪ ﮐﺎرﺑﺮ ﺳﯿﺴﺘﻢ ﻫﮑﺮ، ﺳﺮوﯾﺲ دﻫﻨﺪه ﺑﻪ ﺣﺴﺎب ﻣﯽ آﯾﺪ و از دﯾﺪ ﺳﺮوﯾﺲ دﻫﻨﺪه،ﻫﮑﺮ ﯾﮏ ﮐﺎرﺑﺮ ﻣﺠﺎز ﻣﯽﺑﺎﺷﺪ. اﻣﺎ در ﺣﻤﻠﻪ  Reply ﻫﮑﺮ اﺑﺘﺪا اﻃﻼﻋﺎت ﻣﺮﺑﻮط ﺑﻪ ﻧﺸﺴﺖ را ﺑﻪ دﺳﺖ ﻣﯽ آورد و ﺳﭙﺲ ﺑﺎ ﻗﻄﻊ ارﺗﺒﺎط ﮐﺎرﺑﺮ ﺑﺎ ﺳﺮوﯾﺲ دﻫﻨﺪه و ﻓﺮﺳﺘﺎدن ﻣﺠﺪد اﻃﻼﻋﺎت ﻧﺸﺴﺖ (اﻟﺒﺘﻪ ﺑﺎ اﻋﻤﺎل ﺗﻐﯿﯿﺮاﺗﯽ در آن) اداﻣﻪ ارﺗﺒﺎط را ﺑﻪ دﺳﺖ ﻣﯽ ﮔﯿﺮد.

امنیت در درﯾﺎﻓﺖ :

در ﻣﻔﻬﻮم درﯾﺎﻓﺖ، ﺑﻪ ﻃﻮر ﮐﻠﯽ ﺑﺎ ﮐﺎرﺑﺮان ﺳﯿﺴﺘﻢ در ارﺗﺒﺎط ﻫﺴﺘﯿﻢ.اﻣﺎ  در اینجا نیز همچون نواحی پیشین، خطرات و معضلاتی  وﺟﻮد دارد :

اﻧﮑﺎر ﺳﻔﺎرش : اﯾﻦ ﺗﻬﺪﯾﺪ ﺷﺎﯾﺪ در دﻧﯿﺎی ﺗﺠﺎرت اﻟﮑﺘﺮوﻧﯿﮏ ﭘﯿﺸﺮﻓﺘﻪ اﻣﺮوز اﻧﺪﮐﯽ ﺑﯽ ﻣﻌﻨﺎ ﺑﺎﺷﺪ. اﻣﺎ در اﯾﺮان در ﺑﺮﺧﯽ از ﺳﯿﺴﺘﻢ ﻫﺎ ﮐﻪ ﺳﻔﺎرش ﺑﻪ ﺻﻮرت اﯾﻨﺘﺮﻧﺘﯽ اﻧﺠﺎم ﻣﯽ ﮔﯿﺮد و درﯾﺎﻓﺖ ﻫﺰﯾﻨﻪ ﻫﻤﺰﻣﺎن ﺑﺎ ﺗﺤﻮﯾﻞ ﮐﺎﻻ در ﻣﺤﻞ ﻣﺸﺘﺮی اﻧﺠﺎم ﻣﯽ ﭘﺬﯾﺮد، ﻣﯽ ﺗﻮاﻧﺪ ﺗﻬﺪﯾﺪی ﺟﺪی ﺑﻪ ﺣﺴﺎب آﯾﺪ، ﭼﺮا ﮐﻪ ﻫﯿﭻ ﺳﯿﺴﺘﻤﯽ ﺑﻪ ﻃﻮر ﭘﯿﺶ ﻓﺮض ﺑﻪ ﻣﻨﻈﻮر اﺛﺒﺎت اﯾﻦ ﻣﻮﺿﻮع ﮐﻪ ﭼﻪ ﺷﺨﺼﯽ ﺳﻔﺎرش دﻫﻨﺪه ﺑﻮده است  وﺟﻮد ﻧﺪارد.

اﻧﮑﺎر درﯾﺎﻓﺖ ﮐﺎﻻ : اﯾﻦ ﺗﻬﺪﯾﺪ ﺑﻪ ﻃﻮر ﻋﻤﺪه ای ﻣﯽ ﺗﻮاﻧﺪ در ﻧﻘﻞ و اﻧﺘﻘﺎﻻت اﯾﻨﺘﺮﻧﺘﯽ وﺟﻮد داﺷﺘﻪ ﺑﺎﺷﺪ ﺑﻪ ﻃﻮرﯾﮑﻪ درﯾﺎﻓﺖ ﮐﻨﻨﺪه ﻫﻤﻮاره اﻧﮑﺎر ﮐﻨﻨﺪه درﯾﺎﻓﺖ ﺳﺮوﯾﺲ و ﯾﺎ ﮐﺎﻻ ﻣﯽ ﺑﺎﺷﺪ.

ﮐﻼه ﺑﺮداری : ﮐﻼه ﺑﺮداری ﻫﺎی اﯾﻨﺘﺮﻧﺘﯽ ﺣﺎﻟﺘﻬﺎی ﺑﺴﯿﺎر زﯾﺎدی دارﻧﺪ، اﻣﺎ آن دﺳﺘﻪ ﮐﻪ در ارﺗﺒﺎط ﺑﺎ ﺗﺠﺎرت اﻟﮑﺘﺮوﻧﯿﮏ ﻣﯽ ﺑﺎﺷﺪ، ﺷﺎﻣﻞ ﻓﺮﯾﺐ دادن ﮐﺎرﺑﺮان و درﯾﺎﻓﺖ اﻃﻼﻋﺎت ﮐﺎرت اﻋﺘﺒﺎری آﻧﻬﺎ و ﯾﺎ درﯾﺎﻓﺖ ﻫﺰﯾﻨﻪ ای ﺑﯿﺸﺘﺮ از ﻗﯿﻤﺖ ﮐﺎﻻ ﯾﺎ ﺳﺮوﯾﺲ ﻣﯽ ﺑﺎﺷﺪ.

ﻣﻬﻨﺪﺳﯽ اﺟﺘﻤﺎﻋﯽ :

ﻣﻬﻨﺪﺳﯽ اﺟﺘﻤﺎﻋﯽ در واﻗﻊ ﻫﮏ ﺷﺪن ذات ﺑﺸﺮ ﻣﯽ ﺑﺎﺷﺪ. ﺑﻪ اﯾﻦ ﻣﻨﻈﻮر ﮐﻪ ﺑﺎ اﺳﺘﻘﺎده از ﺗﺮﻓﻨﺪﻫﺎﯾﯽ ﺧﺎص در ارﺗﺒﺎﻃﺎت ﺑﺸﺮی، ﻫﮑﺮﻣﯽ ﺗﻮاﻧﺪ ﺑﻪ اﻃﻼﻋﺎت ﻣﻄﻠﻮب ﺧﻮد دﺳﺖ ﯾﺎﺑﺪ و ﯾﺎ ﺑﻪ ﻧﻮﻋﯽ آﻧﻬﺎ راﻣﺘﻘﺎﻋﺪ ﺑﻪ اﻧﺠﺎم ﮐﺎری ﺑﮑﻨﺪ.

راﻫﮑﺎرﻫﺎی ﻣﻘﺎﺑﻠﻪ :

ﻗﺒﻞ از ﺷﺮوع ﻫﺮ ﮐﺎری در زﻣﯿﻨﻪ ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺧﻄﺮﻫﺎ، ﺑﺎﯾﺴﺘﯽ ﺑﯿﺎن داﺷﺖ ﮐﻪ ﻫﯿﭽﮕﺎه ﻧﻤﯽ ﺗﻮان ﺗﻤﺎﻣﯽ ﺗﻬﺪﯾﺪﻫﺎ را ﺑﻪ ﻃﻮر ﮐﺎﻣﻞ ﻣﺮﺗﻔﻊ ﺳﺎﺧﺖ. ﭼﺮا ﮐﻪ درآن ﻫﻨﮕﺎم دﯾﮕﺮﺧﻄﺮی ﺑﺎﻗﯽ ﻧﻤﯽ ﻣﺎﻧﺪ و اﯾﻦ ﺑﻪ ﻣﻌﻨﺎی اﻣﻨﯿﺖ صد در صد ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﭼﻨﯿﻦ ﭼﯿﺰی ﺗﻌﺮﯾﻒ ﻧﺸﺪه اﺳﺖ. ﭘﺲ ﺑﺎﯾﺴﺘﯽ ﺑﺪاﻧﯿﻢ ﮐﻪ در ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺗﻬﺪﯾﺪﻫﺎ و ﺧﻄﺮات ﻣﻮﺟﻮد ﭼﻪ ﺑﺎﯾﺪ ﮐﺮد.ﺑراﺳﺎس ﻣﺴﺘﻨﺪات  رﺳﻤﯽ اﻣﻨﯿﺖ، در ﻣﺪﯾﺮﯾﺖ ﺧﻄﺮدر راﺳﺘﺎی ﭘﺎﺳﺨﮕﻮﯾﯽ ﺑﻪ آﻧﻬﺎ، ۴ روﯾﮑﺮد وﺟﻮد دارد :

اﺟﺘﻨﺎب از ﺧﻄﺮ : ﺑﻪ اﯾﻦ ﻣﻌﻨﯽ ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ آن ﮐﺎری را ﮐﻪ ﺑﺮای ﺳﯿﺴﺘﻢ اﯾﺠﺎد ﺧﻄﺮ می ﻧﻤﺎﯾﺪ را اﻧﺠﺎم ﻧﺪﻫﯿﻢ و ﯾﺎ ﺑﺎ اﻧﺠﺎم ﮐﺎری آن ﺧﻄﺮ را دور ﻧﻤﺎﯾﯿﻢ. ﺑﻪ ﻃﻮر ﻣﺜﺎل، ﻫﻨﮕﺎﻣﯽ ﮐﻪ ﺑﺎ ﻗﺮار دادن ﻣﺴﺘﻘﯿﻢ ﺳﺮوﯾﺲ دﻫﻨﺪه ﺑﺎﻧﮏ اﻃﻼﻋﺎت در اﯾﻨﺘﺮﻧﺖ ﺧﻄﺮﻫﺎی ﻣﺮﺑﻮط ﺑﻪ ﺳﯿﺴﺘﻢ ﻋﺎﻣﻞ آن ﻣﺘﻮﺟﻪ ﻣﺎ ﻣﯽ ﺷﻮد، آن را در ﭘﺸﺖ ﺳﺮوﯾﺲ دﻫﻨﺪه وب ﻗﺮارﻣﯽدﻫﯿﻢ ﺗﺎ از ﺳﻤﺖ اﯾﻨﺘﺮﻧﺖ ﺑﻪ آن دﺳﺘﺮﺳﯽ ﻧﺒﺎﺷﺪ. ﺑﻨﺎﺑﺮاﯾﻦ آن ﺧﻄﺮات دﯾﮕﺮ ﻣﺘﻮﺟﻪ ﺳﺮوﯾﺲ ﺑﺎﻧﮏ اﻃﻼﻋﺎﺗﯽ ﻣﺎ ﻧﯿﺴﺘﻨﺪ.

 اﻧﺘﻘﺎل ﺧﻄﺮ : در ﺑﺮﺧﯽ از ﺷﺮاﯾﻂ، ﻣﯽ ﺗﻮاﻧﯿﻢ ﺧﺴﺎرت ﻧﺎﺷﯽ از ﯾﮏ ﺧﻄﺮ را ﺑﻪ ﺳﺎزﻣﺎن و ﯾﺎ ﺷﺮﮐﺖ دﯾﮕﺮی ﻣﻨﺘﻘﻞ ﮐﻨﯿﻢ. ﯾﮑﯽ از ﻣﺘﺪاوﻟﺘﺮﯾﻦ ﮐﺎرﻫﺎ در اﯾﻦ زﻣﯿﻨﻪ ﺑﯿﻤﻪ ﻣﯽ ﺑﺎﺷﺪ .ﺑﻪ ﻃﻮر ﻣﺜﺎل ﺑﺎ اﻧﺠﺎم ﺑﯿﻤﻪ آﺗﺶ ﺳﻮزی ﺧﺴﺎرت ﺧﻄﺮ آﺗﺶ ﮔﺮﻓﺘﻦ ﺳﺎﺧﺘﻤﺎن را ﺑﻪ ﺑﯿﻤﻪ ﻣﻨﺘﻘﻞ ﮐﺮده اﯾﻢ.

 ﮐﺎﻫﺶ ﺧﻄﺮ : در اﮐﺜﺮ ﻣﻮارد ﮐﺎرﻫﺎﯾﯽ ﮐﻪ اﻧﺠﺎم ﻣﯽ دﻫﯿﻢ، در ﺟﻬﺖ ﮐﺎﻫﺶ ﺧﻄﺮ ﻫﺴﺘﻨﺪ. ﺑﻪ ﻃﻮر ﻣﺜﺎل ﺑﺎ ﺑﺮوز ﻧﮕﻪ داﺷﺘﻦ ﺳﯿﺴﺘﻢ ﻋﺎﻣﻞ ﺧﻄﺮ ﻫﮏ ﺷﺪن از ﻃﺮﯾﻖ ﺿﻌﻔﻬﺎی اﻣﻨﯿﺘﯽ ﺳﯿﺴﺘﻢ ﻋﺎﻣﻞ را ﮐﺎﻫﺶ ﻣﯽ دﻫﯿﻢ.

 ﭘﺬﯾﺮش ﺧﻄﺮ : در ﺷﺮاﯾﻄﯽ ﮐﻪ ﻫﯿچ کدام از ﻣﻮارد ﺑﺎﻻ ﺗﺤﻘﻖ ﻧﯿﺎﺑﻨﺪ، ﭼﺎره ای ﺟﺰ ﭘﺬﯾﺮش آن ﺧﻄﺮ ﻧﯿﺴﺖ. ﯾﻌﻨﯽ آﮔﺎﻫﺎﻧﻪ ﻣﯽ ﭘﺬﯾﺮﯾﻢ ﮐﻪ از ﯾﮏ ﺧﻄﺮی ﻣﻤﮑﻦ اﺳﺖ ﻣﺘﻀﺮر ﺷﻮﯾﻢ .ﺑﻪ ﻃﻮر ﻋﻤﺪه اﯾﻦ ﺑﺤﺚ در ﻣﻮاﻗﻌﯽ ﻣﻄﺮح اﺳﺖ ﮐﻪ ﻫﺰﯾﻨﻪ ﺑﺮﻃﺮف ﮐﺮدن و ﯾﺎ ﮐﺎﻫﺶ ﺧﻄﺮ ﺑﺴﯿﺎر ﺑﺎﻻﺳﺖ. ﺑﻪ ﻃﻮر ﻣﺜﺎل ﯾﮏ ﺳﺮوﯾﺲ دﻫﻨﺪه وب ﺑﺎ ﭘﻬﻨﺎی ﺑﺎﻧﺪ ۱۰ Mbps در ﺑﺮاﺑﺮ ﯾﮏﺣﻤﻠﻪ DoS ﮐﻪ ﻣﺠﻤﻮﻋﻪ ﺗﺮاﻓﯿﮏ وارده ﺑﻪ آن از ﺳﻤﺖ ﻫﮑﺮﻫﺎ در ﺣﺪود ۲۰Mbps ﻣﯽ ﺑﺎﺷﺪ، ﺗﻤﺎﻣﯽ ﭘﻬﻨﺎی ﺑﺎﻧﺪ ﺧﻮد رااز دﺳﺖ ﻣﯽ دﻫﺪ و ﻫﺰﯾﻨﻪ ﻣﻘﺎﺑﻠﻪ در ﺑﺮاﺑﺮ اﯾﻦ ﺧﻄﺮ ارﺗﻘﺎء ﭘﻬﻨﺎی ﺑﺎﻧﺪ ﺑﻪ ﺑﯿﺶ از۲۰ Mbps ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﻣﻤﮑﻦ اﺳﺖ اﯾﻦﮐﺎر ﺧﻮد ﺑﺮای ﺷﺮﮐﺖ ﺿﺮر آﻓﺮﯾﻦ ﺑﺎﺷﺪ. ﺑﻨﺎﺑﺮاﯾﻦ آن ﺷﺮﮐﺖ ﺧﻄﺮ ﺣﻤﻼت DoS ﺑﺎ ﭘﻬﻨﺎی ﺑﺎﻧﺪ ﺑﺎﻻﺗﺮ از ۱۰Mbps را ﻣﯽﭘﺬﯾﺮد.

 ﺑﺎ ﺗﻮﺟﻪ ﺑﻪ ﻣﻮارد ذﮐﺮ ﺷﺪه، اﺑﺘﺪا ﺑﻪ ﻃﻮر ﻣﺨﺘﺼﺮ ﺑﻪ ﺑﯿﺎن راﻫﮑﺎرﻫﺎﯾﯽ در ﺧﺼﻮص ﻫﺮ ﯾﮏ از ﻣﻮارد ﻣﯽ ﭘﺮدازﯾﻢ و ﺳﭙﺲ ﺑﺎ دﺳﺘﻪ ﺑﻨﺪیﮐﻠﯽ ﺗﻬﺪﯾﺪﻫﺎ و ﻣﺨﺎﻃﺮات راﻫﮑﺎرﻫﺎﯾﯽ راﺑﻪ ﺻﻮرت ﺟﺎﻣﻊ و ﮐﻠﯽ ﺑﯿﺎن ﻣﯽ ﮐﻨﯿﻢ:

 ﺗﻮﻟﯿﺪ :

 در اﯾﻦ ﻗﺴﻤﺖ ﮐﻪ ﺑﯿﺸﺘﺮ ﺑﺎ ﺑﺮﻧﺎﻣﻪ ای ﺗﺤﺖ وب  و ﯾﺎ ﻣﺮﺗﺒﻂ ﺑﺎ اﯾﻨﺘﺮﻧﺖ در ارﺗﺒﺎط ﻫﺴﺘﯿﻢ، ﯾﮑﯽ از ﻣﻬﻤﺘﺮﯾﻦ راﻫﮑﺎرﻫﺎ، ﻃﺮاﺣﯽ اﯾﻤﻦ و ﺳﭙﺲ ﺑﺮﻧﺎﻣﻪ ﻧﻮﯾﺴﯽ اﯾﻤﻦ آﻧﻬﺎﺳﺖ ﮐﻪ ﺑﺎز اﮔﺮ ﺑﺨﻮاﻫﯿﻢ ﺑﻪ ﻋﻤﻞ ﻧﺰدﯾﮏ ﺗﺮ ﺷﻮﯾﻢ، ﻣﯽ ..ﺗﻮاﻧﯿﻢ ﺑﮕﻮﯾﯿﻢ ﮐﻪ درﺻﺪ ﺑﺴﯿﺎر ﺑﺎﻻﯾﯽ از ﺗﻬﺪﯾﺪﻫﺎی اﯾﻦ ﻋﻮاﻣﻞ ﺑﺎ ﮐﻨﺘﺮل و ﺑﺮرﺳﯽ ﺻﺤﺖ داده ﻫﺎ و ﻣﻘﺎدﯾﺮ ورودی ﺑﺮﻃﺮف ﻣﯽ ﺷﻮﻧﺪ. در ﻣﺮاﺗﺐ ﺑﻌﺪی ﻣﯽ ﺗﻮان ﺑﻪ دﻗﺖ دراﻧﺘﺨﺎب روﺷﻬﺎی ﻣﻨﺎﺳﺐ اﺷﺎره ﻧﻤﻮد. ﺑﻪ ﻃﻮرﻣﺜﺎل اﺳﺘﻔﺎده از روش ذﺧﯿﺮه ﺳﺎزی اﻃﻼﻋﺎت ﺧﺮﯾﺪ در ﺳﯿﺴﺘﻢ ﮐﺎرﺑﺮ و ﺳﭙﺲاﺳﺘﻔﺎده از آﻧﻬﺎ ﺑﺪون ﻫﯿﭽﮕﻮﻧﻪ اﻋﺘﺒﺎر ﺳﻨﺠﯽ ﺑﻪ

ﻣﻨﻈﻮر ﻣﺤﺎﺳﺒﻪ ﻗﯿﻤﺖ ﻧﻬﺎﯾﯽ، روﺷﯽﮐﺎﻣﻼً ﻧﺎ ﻣﻄﻤﺌﻦ ﻣﯽ ﺑﺎﺷﺪ .ﺑﻨﺎﺑﺮاﯾﻦ ﺑﺎﯾﺴﺘﯽ در اﯾﻦ ﺧﺼﻮص دﻗﺖ داﺷﺘﻪ ﺑﺎﺷﯿﻢ ﮐﻪ ﺗﻤﺎﻣﯽ اﻃﻼﻋﺎﺗﯽ را ﮐﻪ در ﺳﻤﺖ ﮐﺎرﺑﺮ ﻗﺮار داده اﯾﻢ ﺑﻪ ﻫﻨﮕﺎم درﯾﺎﻓﺖ، آﻧﻬﺎرا ﺑﺮرﺳﯽ ﮐﻨﯿﻢ و ﯾﺎ اﻃﻼﻋﺎت را ﻃﻮری درﺳﯿﺴﺘﻢ ﮐﺎرﺑﺮ ﻗﺮار دﻫﯿﻢ ﮐﻪ ﮐﺎرﺑﺮ ﻗﺎدر ﺑﻪ ﻓﻬﻢ و ﺗﻐﯿﯿﺮ در آﻧﻬﺎ ﻧﺒﺎﺷﺪ. ﺑﺮایﻣﺜﺎل ﻣﯽ ﺗﻮان از روﺷﻬﺎی رﻣﺰﻧﮕﺎری ﺑﻪ ﻣﻨﻈﻮر ﻣﺨﻔﯽ ﻧﮕﻪ داﺷﺘﻦ اﻃﻼﻋﺎت ﻣﻬﻢ وازﺗﻮاﺑﻊ Hash ﺑﻪ ﻣﻨﻈﻮر ﺑﺮرﺳﯽ ﺻﺤﺖ اﻃﻼﻋﺎت درﯾﺎﻓﺘﯽ اﺳﺘﻔﺎده ﮐﺮد. ﺑﻨﺎﺑﺮاﯾﻦ ﺑﻪ ﻃﻮرﮐﻠﯽ ﻣﯽ ﺗﻮان ﺑﯿﺎن داﺷﺖ ﮐﻪ ﻫﯿﭽﮕﺎه ﻧﺒﺎﯾﺴﺘﯽ ﺑﻪ اﻃﻼﻋﺎت رﺳﯿﺪه از ﺳﻤﺖ ﮐﺎرﺑﺮ اﻃﻤﯿﻨﺎن داﺷﺖ ﻣﮕﺮ اﯾﻨﮑﻪ روﺷﯽ ﺑﺮای اﺛﺒﺎت ﺻﺤﺖ آﻧﻬﺎ ﻣﻮﺟﻮد ﺑﺎﺷﺪ. راﻫﮑﺎر دﯾﮕﺮ آﻧﮑﻪ ﻗﺴﻤﺘﻬﺎﯾﯽ از ﺳﺎﯾﺖ ﮐﻪ ﻣﯽ ﺗﻮاﻧﻨﺪ ﻣﻘﺎدﯾﺮ ورودی را از ﮐﺎرﺑﺮ درﯾﺎﻓﺖ ﮐﻨﻨﺪ و ﺑﻪ ﺳﻤﺖ ﺳﺮوﯾﺲ دﻫﻨﺪه اﻧﺘﻘﺎل دﻫﻨﺪ ﺑﺎﯾﺴﺘﯽ از ﻧﻈﺮ ﺣﺠﻢ ﻧﯿﺰ ﺑﺮرﺳﯽ ﺷﻮﻧﺪ.

ﻧﮑﺘﻪ ﻣﻬﻢ اﯾﻨﮑﻪ در اﻧﺠﺎم اﯾﻦ ﮐﻨﺘﺮل ﻫﺎ ﺑﺎﯾﺴﺘﯽ دﻗﺖ ﺷﻮد ﮐﻪ ﯾﮏ ﮐﺎرﺑﺮ ﻧﺘﻮاﻧﺪ از آن ﮐﻨﺘﺮل ﻫﺎ و ﻣﺤﺪودﯾﺖ ﻫﺎ ﺑﻪ ﻧﻮﻋﯽ ﻏﯿﺮ ﻣﺠﺎز ﻋﺒﻮر ﮐﻨﺪ. ﺑﻪ ﻃﻮر ﻣﺜﺎل ﻫﻨﮕﺎﻣﯽ ﮐﻪ ﺗﻤﺎﻣﯽ ﮐﻨﺘﺮل ﻫﺎ و اﻋﻤﺎل ﻣﺤﺪودﯾﺖ ﻫﺎ در ﺳﻤﺖ ﮐﺎرﺑﺮ اﻧﺠﺎم ﭘﺬﯾﺮد، ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﺑﺎ اﺳﺘﻔﺎده از روﺷﻬﺎی ﻣﺨﺘﻠﻔﯽ در آﻧﻬﺎ ﺗﻐﯿﯿﺮ اﯾﺠﺎد ﮐﻨﺪ و ﯾﺎ ﺣﺘﯽ آن ﻣﺤﺪودﯾﺖ ﻫﺎ را ﺑﻪ ﻃﻮر ﮐﺎﻣﻞ ﺣﺬف ﮐﻨﺪ .راﻫﮑﺎری ﮐﻪ ﺑﺮای ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﭼﻨﯿﻦﮐﺎری ﻣﻮﺟﻮد ﻣﯽ ﺑﺎﺷﺪ اﯾﻦ اﺳﺖ ﮐﻪ ﺗﻤﺎﻣﯽ ﮐﻨﺘﺮل ﻫﺎ و ﻣﺤﺪودﯾﺖ ﻫﺎ در ﺳﻤﺖ ﺳﺮوﯾﺲ دﻫﻨﺪه ﻧﯿﺰ ﺑﺮرﺳﯽ ﺷﻮﻧﺪ و ﺗﻨﻬﺎ ﻣﺘﮑﯽ ﺑﻪ ﺳﻤﺖ ﮐﺎرﺑﺮ ﻧﺒﺎﺷﻨﺪ. از دﯾﮕﺮ راه ﻫﺎی ﻋﺒﻮر از ﻣﺤﺪودﯾﺖ ﻫﺎ ﺑﻪ ﺻﻮرت ﻏﯿﺮﻣﺠﺎز اﺳﺘﻔﺎده از اﺷﮑﺎل دﯾﮕﺮ دﺳﺘﻮرات ﻣﯽ ﺑﺎﺷﺪ ﺑﻪ اﯾﻦ ﺻﻮرت ﮐﻪ اﮔﺮ ﺑﺮﻧﺎﻣﻪﻧﻮﯾﺲ، درﯾﮏ ﺻﻔﺤﻪ اﯾﻨﺘﺮﻧﺘﯽ ﺑﻪ ﻣﻨﻈﻮر ﭘﯿﺸﮕﯿﺮی از SQL Injection ﮐﺎﻣﺎ (') را ﻣﺤﺪود ﮐﺮده اﺳﺖ و آن را در ﻓﯿﻠﺪﻫﺎی ورودی ﺑﺮﻧﺎﻣﻪ ﻧﻤﯽﭘﺬﯾﺮد، ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﺑﺮای ﻋﺒﻮر ازﭼﻨﯿﻦ ﻣﺤﺪودﯾﺘﯽ از ﻋﺒﺎرت ﻣﺘﻨﺎﻇﺮ Unicode آن ﯾﻌﻨﯽ (%۲۷) اﺳﺘﻔﺎده ﮐﻨﺪ. راﻫﮑﺎری ﮐﻪ ﺑﺮای اﯾﻨﮑﺎر ﻣﯽ ﺗﻮان در ﻧﻈﺮ ﮔﺮﻓﺖ ﺷﺎﻣﻞ ﻣﺤﺪود ﮐﺮدن ﺗﻤﺎﻣﯽ ﻋﺒﺎرات و ﮐﺎراﮐﺘﺮﻫﺎ ﺟﺰ ﻣﻮارد ﻣﻮرد ﻧﯿﺎزﻣﯽ ﺑﺎﺷﺪ. اﻣﺎدر ﺷﺮاﯾﻄﯽ ﮐﻪ ﭼﻨﯿﻦ ﮐﺎری اﻣﮑﺎن ﭘﺬﯾﺮ ﻧﻤﯽ ﺑﺎﺷﺪ، ﻣﯽ ﺗﻮان ﻋﻼوه ﺑﺮ ﮐﺎراﮐﺘﺮ ﻫﺎی ﻣﺸﮑﻞ ﺳﺎز اﺷﮑﺎل ﻣﺘﻨﺎﻇﺮ دﯾﮕﺮ آﻧﻬﺎ راﻫﻢ ﻧﯿﺰﻣﺤﺪود ﮐﺮد .ﺑﻪ ﻃﻮر ﻣﺜﺎل ﻣﯽ ﺗﻮان ﺑﻪ ﻣﺸﮑﻞ ﺣﻤﻼت Unicode در ﻧﺴﺨﻪ ﻫﺎی ﻗﺪﯾﻤﯽ ﺳﺮوﯾﺲ دﻫﻨﺪه وب ﻣﺎﯾﮑﺮوﺳﺎﻓت اﺷﺎره ﮐﺮد. در ﻣﻮرد رﻣﺰﻋﺒﻮر در وﺣﻠﻪ اول ﮐﺎرﺑﺮان ﺳﯿﺴﺘﻢ در ﺧﺼﻮص اﻫﻤﯿﺖ رﻣﺰ ﻋﺒﻮرﺷﺎن و اﯾﻦ ﮐﻪ ﭼﮕﻮﻧﻪ آن را اﻧﺘﺨﺎب و ﺑﻪ ﺻﻮرت اﯾﻤﻦ از آن ﻧﮕﻬﺪاری ﮐﻨﻨﺪ، ﺑﺎﯾﺴﺘﯽآﮔﺎه ﺷﻮﻧﺪ .اﻣﺎ از آﻧﺠﺎﯾﯽ ﮐﻪ ﻫﻤﻮاره ﺑﺸﺮ ﺑﻪ ﺳﻤﺖ راﺣﺖ اﻧﺠﺎم دادن ﮐﺎرﻫﺎ ﺗﻤﺎﯾﻞ دارد، ﻣﻤﮑﻦ اﺳﺖ ﻃﯿﻒ وﺳﯿﻌﯽ از ﮐﺎرﺑﺮان ﺳﯿﺴﺘﻢ در اﯾﻦ اﻣﺮ ﺳﻬﻞ اﻧﮕﺎری و رﻣﺰﻋﺒﻮر ﺳﺎده و ﻗﺎﺑﻞ ﺣﺪﺳﯽ را اﻧﺘﺨﺎب ﮐﻨﻨﺪ ﭘﺲ ﺑﻪ ﻣﻨﻈﻮر ﭘﯿﺸﮕﯿﺮی ازاﻧﺠﺎم ﭼﻨﯿﻦ ﮐﺎری در ﮐﻨﺎر آﻣﻮزش ﺑﺎﯾﺴﺘﯽ ﺳﯿﺴﺘﻢ ﻫﺎی ﮐﻨﺘﺮل و ﻣﺤﺪود ﮐﻨﻨﺪه ای ﻣﻮﺟﻮد ﺑﺎﺷﺪ ﺗﺎ ﮐﺎرﺑﺮ را در ﻣﺴﯿﺮ اﯾﻤﻨﯽ درﺧﺼﻮص اﻧﺘﺨﺎب رﻣﺰﻋﺒﻮر ﻗﺮار دﻫﺪ. در ﻫﻤﯿﻦ راﺳﺘﺎ ﻋﻼوه ﺑﺮ رﻋﺎﯾﺖ ﻣﻮارد ﻓﻮق ﻫﻤﭽﻨﺎن اﻣﮑﺎن ﮐﺸﻒ رﻣﺰﻋﺒﻮر از ﻃﺮﯾﻖ ورود ﺑﻪ زور اﻣﮑﺎن ﭘﺬﯾﺮ ﻣﯽ ﺑﺎﺷﺪ. در ﻣﻮرد ﮐﺎﻫﺶ ﺧﻄﺮ اﯾﻦ ﺣﻤﻠﻪ راﻫﮑﺎر ﻣﺮﺳﻮﻣﯽ ﺑﻪ ﻧﺎم Captcha ﻣﻮﺟﻮد ﻣﯽﺑﺎﺷﺪ. اﯾﻦ راﻫﮑﺎر ﺷﺎﻣﻞﺗﻮﻟﯿﺪ ﯾﮏ ﻋﮑﺲ ﺗﺼﺎدﻓﯽاﺳﺖﮐﻪ در ﺑﺮ ﮔﯿﺮﻧﺪه ﻣﺘﻨﯽ ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﮐﺎرﺑﺮ ﺑﺎﯾﺴﺘﯽ ﺑﻪ ﻫﻨﮕﺎم ورود و ﯾﺎ در ﻣﻮاﻗﻌﯽ ﮐﻪ ﻧﻌﺪاد دﻓﻌﺎت ورودﻫﺎی ﻧﺎﻣﻮﻓﻖ از ﺣﺪ ﻣﻌﻤﻮل ﺑﯿﺸﺘﺮ ﻣﯽ ﺑﺎﺷﺪ ﺑﺮای ﺗﻤﯿﯿﺰ ﺧﻮد از ﺑﺮﻧﺎﻣﻪ ﻫﺎی ﺧﻮدﮐﺎر رﻣﺰﻋﺒﻮر وارد ﮐﻨﺪ.

 اراﺋﻪ :

 در اﯾﻦ ﻗﺴﻤﺖ راﻫﮑﺎرﻫﺎی ﻣﻘﺎﺑﻠﻪ را در ﺳﻪ ﻗﺴﻤﺖ ﺑﯿﺎن ﻣﯽ ﮐﻨﯿﻢ:

  1. ﯾﮑﯽ از ﻣﻬﻤﺘﺮﯾﻦ ﮐﺎرﻫﺎ، ﺑﺮوز ﻧﮕﻪ داﺷﺘﻦ ﻫﻤﯿﺸﮕﯽ و ﺑﻪ ﻣﻮﻗﻊ ﻣﺤﺼﻮﻻت ﻣﯽ ﺑﺎﺷﺪ .زﯾﺮا ﺑﺴﯿﺎری از ﻣﺸﮑﻼت در اﯾﻦ ﻗﺴﻤﺖ ﻣﺮﺑﻮط ﺑﻪ آﺳﯿﺐ ﭘﺬﯾﺮی ﻫﺎی ﻣﺤﺼﻮﻻت ﻣﻮرد اﺳﺘﻔﺎده ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﺷﺮﮐﺘﻬﺎی اﯾﺠﺎد ﮐﻨﻨﺪه آن ﻫﻤﻮاره ﺑﻪ ﻣﻨﻈﻮر ﺑﺮ ﻃﺮفﮐﺮدن ﺿﻌﻒ ﻫﺎی ﻣﻮﺟﻮد، ﻣﺤﺼﻮﻻت ﺧﻮد را ﺑﺎ ﺑﺴﺘﻪ ﻫﺎی اﻣﻨﯿﺘﯽ ﺑﺮوز رﺳﺎﻧﯽ ﻣﯽ ﮐﻨﻨﺪ.
  1. ﺗﻨﻈﯿﻢ ﺻﺤﯿﺢ و اﯾﻤﻦ ﺑﺮﻧﺎﻣﻪ ﻫﺎ، ﺳﯿﺴﺘﻢ ﻋﺎﻣﻞ و ﺳﺮوﯾﺲ دﻫﻨﺪﮔﺎن،زﯾﺮا ﮐﻪ ﺑﻪ ﻃﻮر ﭘﯿﺶ ﻓﺮض ﺗﻨﻈﯿﻤﺎت اوﻟﯿﻪ ﯾﺎ ﺑﻪ دﻻﯾﻞﺳﺎزﮔﺎری ﺑﺎ ﻧﺴﺨﻪ ﻫﺎی ﻗﺒﻠﯽ و ﯾﺎ اﺳﺘﻔﺎده آﺳﺎن ﺗﺮ از اﻣﻨﯿﺖ ﮐﺎﻓﯽ ﺑﺮﺧﻮردار ﻧﯿﺴﺘﻨﺪ.
  1. ﺣﺬف ﺗﻤﺎﻣﯽ ﻣﻮارد ﻏﯿﺮ ﻧﯿﺎز و ﻏﯿﺮ ﺿﺮوری، ﻫﺮ ﺳﺮوﯾﺲ اﺿﺎﻓﻪ ای ﮐﻪ در ﺳﯿﺴﺘﻢ ﻣﺎ وﺟﻮد داﺷﺘﻪ ﺑﺎﺷﺪ، ﺧﻮد ﻣﯽ ﺗﻮاﻧﺪ دارای ﺿﻌﻒ ﻫﺎی اﻣﻨﯿﺘﯽ ﺑﺎﺷﺪ و ﻣﺸﮑﻼﺗﯽ را ﺑﺮای ﻣﺎ به همراه ﺑﯿﺎورد. ﺑﻨﺎﺑﺮاﯾﻦ ﻫﺮﮔﻮﻧﻪ ﺳﺮوﯾﺲ، ﻗﺎﺑﻠﯿﺖ، ﭘﺮوﺗﮑﻞ و…ﮐﻪ ﻣﻮرد ﻧﯿﺎز ﻧﻤﯽ ﺑﺎﺷﻨﺪ، ﺑﺎﯾﺴﺘﯽ از ﺳﯿﺴﺘﻢ ﺣﺬف ﺷﻮﻧﺪ.

اﻧﺘﻘﺎ ل :

در اﯾﻦﺑﺨﺶ در ﺧﺼﻮص ﺧﻄﺮات ﻣﺮﺑﻮط ﺑﻪ ﺷﻨﻮد ارﺗﺒﺎط ﻣﯽ ﺗﻮان از راﻫﮑﺎرﻫﺎی رﻣﺰﻧﮕﺎری و ﺑﺮرﺳﯽ ﺻﺤﺖ اﻃﻼﻋﺎت ارﺗﺒﺎط اﺳﺘﻔﺎده ﻧﻤﻮد. اﻣﺮوزه ﺷﺮﮐﺖ ﻫﺎی ﺑﺴﯿﺎری در اﯾﻦ ﺧﺼﻮص ﻣﺸﻐﻮل ﺑﻪ ﻓﻌﺎﻟﯿﺖ ﻣﯽ ﺑﺎﺷﻨﺪ. زﯾﺮﺳﺎﺧﺖ ﮐﻠﯿﺪ ﻋﻤﻮﻣﯽ و ﺗﻤﺎﻣﯽ ﻣﺒﺎﺣﺚ ﻣﺮﺑﻮط ﺑﻪ اﻣﻀﺎی دﯾﺠﯿﺘﺎل از ﺟﻤﻠﻪ راﻫﮑﺎرﻫﺎی ﻣﻨﺎﺳﺒﯽ ﻫﺴﺘﻨﺪ ﮐﻪ از ﭘﺎﯾﻪ ﻫﺎی اﻣﻨﯿﺖ در ﺗﻤﺎﻣﯽ ﺳﯿﺴﺘﻢ ﻫﺎی ﺗﺠﺎرت اﻟﮑﺘﺮوﻧﯿﮑﯽ اﯾﻤﻦ ﻣﯽ ﺑﺎﺷﻨﺪ.در ﺧﺼﻮص ﺧﻄﺮ آﺳﯿﺐ دﯾﺪﮔﯽ ﮐﺎﻻ ﺑﻪ ﻫﻨﮕﺎم ارﺳﺎل، ﻣﯽ ﺗﻮان ﻋﻮاﻗﺐ ﻧﺎﺷﯽ از اﯾﻦ ﺧﻄﺮ را ﺑﻪ ﺑﯿﻤﻪ اﻧﺘﻘﺎل داد .اﯾﻦ ﻫﻤﺎن اﻣﺮی اﺳﺖﮐﻪ اﺷﺨﺎص ﻋﺎدی ﻧﯿﺰ در ﻫﻨﮕﺎم اﺳﺘﻔﺎده از ﺳﺮوﯾﺲ ﻫﺎی ﭘﺴﺖ ﺑﺎ آن روﺑﻪ روﺷﺪه اﻧﺪ.

درﯾﺎﻓﺖ :

 در اﯾﻦ ﻗﺴﻤﺖ ﺑﻪ ﻣﻨﻈﻮر ﭘﻮﺷﺶ ﺧﻄﺮات ﻣﺮﺑﻮط ﺑﻪ اﻧﮑﺎر، ﻣﯽ ﺗﻮان از ﺷﺨﺺ ﺳﻮم ﻣﻮرد ﺗﺎﯾﯿﺪی در ﺟﻬﺖ اﺛﺒﺎت اﻧﺠﺎم ﮐﺎر ﮐﻤﮏ ﮔﺮﻓﺖ. ﺑﻪ ﻃﻮر ﻣﺜﺎل ﺗﻠﻔﯿﻘﯽ از زﯾﺮ ﺳﺎﺧﺖ ﮐﻠﯿﺪ ﻋﻤﻮﻣﯽ و اﻣﻀﺎی دﯾﺠﯿﺘﺎل اﯾﻦ اﻣﺮ را ﻣﺤﻘﻖ ﻣﯽ ﺳﺎزد. آﻧﺠﺎﯾﯽ ﮐﻪ درﯾﺎﻓﺖ و ﭘﺮداﺧﺖ در دﻧﯿﺎی واﻗﻌﯽ اﻧﺠﺎم ﻣﯽ ﭘﺬﯾﺮد، ﯾﻌﻨﯽ ﻫﺰﯾﻨﻪ ﺑﻪ ﻫﻨﮕﺎم درﯾﺎﻓﺖ ﮐﺎﻻ ﭘﺮداﺧﺖ ﻣﯽ ﺷﻮد، ﻣﯽ ﺗﻮان ﺑﺎاﺳﺘﻔﺎده از روﺷﻬﺎی ﻋﻀﻮﮔﯿﺮی و ﺷﻨﺎﺳﺎﯾﯽ ﮐﺎﻣﻞ اﻓﺮاد ﺑﻪ اﯾﻦ ﻣﺸﮑﻞ ﭘﺎﺳﺦ داد. ﻫﻤﭽﻨﯿﻦ ﺑﻪ ﻣﻨﻈﻮر ﭘﯿﺸﮕﯿﺮی از ﮐﻼﻫﺒﺮداری اﯾﻨﺘﺮﻧﺘﯽ ﻧﯿﺰ ﻣﯽ ﺗﻮان از ﺷﺨﺺ ﺳﻮم ﻣﻮرد ﺗﺎﯾﯿﺪی در ﺟﻬﺖ اﺣﺮاز ﻫﻮﯾﺖ دوﮔﺎﻧﻪ اﺳﺘﻔﺎده ﻧﻤﻮد. ﺑﻪ اﯾﻦ ﺻﻮرت ﮐﻪ ﻫﻢ ﺳﺮوﯾﺲ ﮔﯿﺮﻧﺪه ﻫﻮﯾﺘﺶ ﺑﺮای ﺳﺮوﯾﺲ دﻫﻨﺪه اﺣﺮاز ﺷﻮد و ﻫﻢ ﺳﺮوﯾﺲدﻫﻨﺪه ﻫﻮﯾﺘﺶ را ﺑﺮای ﺳﺮوﯾﺲﮔﯿﺮﻧﺪه اﺣﺮاز ﮐﻨﺪ.

در ﺧﺼﻮص ﺧﻄﺮ ﻣﻬﻨﺪﺳﯽ اﺟﺘﻤﺎﻋﯽ ﻧﯿﺰ ﺗﻨﻬﺎ راه ﻣﻤﮑﻦآﻣﻮزش و آﮔﺎﻫﯽ رﺳﺎﻧﯽﻣﯽ ﺑﺎﺷﺪ.

راﻫﮑﺎرﻫﺎی ﮐﻼن :

ﺑﺎ ﺑﺮرﺳﯽ ﻣﻄالب ﺑﯿﺎن ﺷﺪه در ﻗﺴﻤﺖ ﺧﻄﺮﻫﺎ و ﺗﻬﺪﯾﺪﻫﺎ، ﻣﯽ ﺗﻮاﻧﯿﻢ ﻣﻨﺒﻊ ﺗﻤﺎﻣﯽ اﯾﻦ ﺧﻄﺮات را در ﺳﻪ ﺣﻮزه ﻣﻮرد ﺑﺮرﺳﯽ ﻗﺮاردﻫﯿﻢ و راهکارها را در این سه حوزه ارائه دهیم :

  1. ﺿﻌﻒ ﺗﮑﻨﻮﻟﻮژی : در ﺧﺼﻮص ﺿﻌﻒ ﺗﮑﻨﻮﻟﻮژی، اﺑﺘﺪا ﺑﺎﯾﺴﺘﯽ ﻧﯿﺮوی اﻧﺴﺎﻧﯽ ﺑﺎ داﻧﺶ وﻫﻤﭽﻨﯿﻦ ﻫﺰﯾﻨﻪ ﻣﻨﺎﺳﺒﯽ ﺟﻬﺖ اﻧﺠﺎم ﮐﺎرﻫﺎی ﺗﺤﻘﯿﻘﺎﺗﯽ و ﻣﻄﺎﻟﻌﺎﺗﯽ ﻗﺮار ﺑﮕﯿﺮد. ﺗﺎ ﺑﺘﻮاﻧﯿﻢ ﺑﺎ ﺗﻮﺟﻪ ﺑﻪ ﺗﺤﻠﯿﻞ ﻫﺎی ﺻﺤﯿﺢ ﻣﺠﻤﻮﻋﻪ ﺑﻪ ﻃﺮﺣﯽ ﻣﻨﺎﺳﺐ دﺳﺖ ﯾﺎﺑﯿﻢ و ﺳﭙﺲ ﺗﻮﺳﻂ ﺗﯿﻤﯽ ﻣﺠﺮب وﻧﻈﺎرﺗﯽ ﻣﻨﺎﺳﺐ آﻧﻬﺎ را ﭘﯿﺎده ﺳﺎزی ﮐﻨﯿﻢ و در ﻧﻬﺎﯾﺖ ﺑﺎ اﻧﺠﺎم ﺗﺴﺘﻬﺎی ﻣﺨﺘﻠﻒ ﺑﺘﻮاﻧﯿﻢ ﻣﺸﮑﻼت ﺳﯿﺴﺘﻢ را ﭘﯿﺪا و در ﺟﻬﺖ رﻓﻊ آﻧﻬﺎ اﻗﺪام ﮐﻨﯿﻢ. اﮔﺮﭼﻪ اﯾﻦ ﻣﻮاردی ﮐﻪ ﺑﯿﺎن ﺷﺪه ﻫﻤﮕﯽ روﺷﻦ و واﺿﺢ ﻣﯽ ﺑﺎﺷﻨﺪ، اﻣﺎ ﺑﻪ ﮐﺎرﮔﯿﺮی ﺻﺤﯿﺢ آﻧﻬﺎ ﻣﯽ ﺗﻮاﻧﺪ ﺗﺎ ﺣﺪ ﺑﺴﯿﺎر زﯾﺎدی ﻣﻔﯿﺪ واﻗﻊ ﺷﻮد. ﻧﮑﺘﻪ ای ﮐﻪ در اﯾﻨﺠﺎ ﻣﻬﻢ اﺳﺖ، اﺳﺘﻔﺎده از ﺗﺠﺎرب ﻗﺒﻠﯽ و ﺗﻔﮑﺮ Proactive  ﻣﯽ ﺑﺎﺷﺪ. ﺑﻪ اﯾﻦ ﻣﻨﻈﻮر ﮐﻪ ﺑﺎ دﯾﺪن ﯾﮏ ﺧﻄﺮ ﻋﻼوه ﺑﺮ ﻓﮑﺮ ﮐﺮدن ﺑﻪ ﻣﺮﺗﻔﻊ ﻧﻤﻮدن و ﯾﺎ ﮐﺎﻫﺶ آن، ﺑﻪ ﻣﻮارد ﻣﺸﺎﺑﻪ دﯾﮕﺮی ﻫﻢ ﮐﻪ ﻣﻤﮑﻦ اﺳﺖ در ﺳﯿﺴﺘﻢ رخ دﻫﻨﺪ، ﺑﺎﯾﺴﺘﯽ ﻓﮑﺮ ﺷﻮد.
  1. ﺿﻌﻒ داﻧﺶ اﻓﺮاد اﺳﺘﻔﺎده ﮐﻨﻨﺪه : در ﺧﺼﻮص ﺿﻌﻒ داﻧﺶ اﻓﺮاد ﻧﯿﺰ ﺗﻨﻬﺎ راه ﻣﻤﮑﻦ آﻣﻮزش ﻣﯽ ﺑﺎﺷﺪ. ﺑﺤﺚ ﮐﺴﺐ داﻧﺶ ﻣﻮرد ﻧﯿﺎز ﺑﻪ ﺳﻪ ﻗﺴﻤﺖ ﺗﺤﺼﯿﻞ، آﻣﻮزش و آﮔﺎﻫﯽ رﺳﺎﻧﯽ ﺗﻘﺴﯿﻢ ﻣﯽ ﺷﻮد و ﻫﺮﮐﺪام در ﺣﻮزه ای ﺧﺎص ﻣﻄﺮح ﻣﯽ ﮔﺮدﻧﺪ ﺑﻪ ﻃﻮر ﻣﺜﺎل در ﯾﮏ ﺳﯿﺴﺘﻢ ﮐﺎﻣﻞ ﺗﺠﺎرت

اﻟﮑﺘﺮوﻧﯿﮏ، اﻓﺮادی ﮐﻪ ﺑﺮ روی اﻣﻨﯿﺖ آن ﺳﯿﺴﺘﻢ ﮐﺎر ﻣﯽ ﮐﻨﻨﺪ، ﺑﺎﯾﺴﺘﯽ ﺗﺤﺼﯿﻼت ﮐﺎﻣﻠﯽ در زﻣﯿﻨﻪ اﻣﻨﯿﺖ داﺷﺘﻪ ﺑﺎﺷﻨﺪ. ﺑﻪ اﯾﻦ ﻣﻨﻈﻮرﮐﻪ ﺑﺎ ﮔﺬراﻧﺪن دورهﻫﺎی ﻣﺨﺘﻠﻒ آﻣﻮزﺷﯽ ﺑﻪ ﻣﻬﺎرﺗﯽ وﯾﮋه در زمینه ﺗﺨﺼﺼﯽ ﺧﻮدﺷﺎن دﺳﺖ ﯾﺎﺑﻨﺪ، اﻓﺮاد دﺧﯿﻞ در ﺣﻮزه ﺗﻮﻟﯿﺪ، اراﺋﻪ و اﻧﺘﻘﺎل ﺑﺎﯾﺴﺘﯽ آﻣﻮزش ﻫﺎی اﻣﻨﯿﺘﯽ ﻻزم را دﯾﺪه ﺑﺎﺷﻨﺪ و ﻣﻔﺎﻫﯿﻢ ﮐﻠﯽ آن را ﺑﺪاﻧﻨﺪ و ﺗﻤﺎﻣﯽ اﻓﺮاد ﺣﻮزه درﯾﺎﻓﺖ ﯾﻌﻨﯽ اﺳﺘﻔﺎدهﮐﻨﻨﺪﮔﺎن ﺳﯿﺴﺘﻢ ﺑﺎﯾﺴﺘﯽ در ﺧﺼﻮص ﻣﻮارد ﭘﺎﯾﻪ اﻣﻨﯿﺖ آﮔﺎﻫﯽ داﺷﺘﻪ ﺑﺎﺷﻨﺪ.

  1. اﺷﺘﺒﺎﻫﺎت اﻧﺴﺎﻧﯽ : در ﺧﺼﻮص اﺷﺘﺒﺎﻫﺎت اﻧﺴﺎﻧﯽ دو راﻫﮑﺎر ﻣﻮﺟﻮد ﻣﯽ ﺑﺎﺷﺪ. ﯾﮑﯽ ﻧﻈﺎرت ﺑﺮ اﺟﺮا و دﯾﮕﺮی ﺑﺮرﺳﯽ ﮐﺎر اﺟﺮا ﺷﺪه ﮐﻪ اﮔﺮ ﻧﻈﺎرت ﻣﻨﺎﺳﺒﯽ ﺑﺮ ﮐﺎر ﺑﺎﺷﺪ و ﭘﺲ از اﻧﺠﺎم آن ﻧﯿﺰ ﺑﻪ دﻗﺖ ﻣﻮرد ﺑﺮرﺳﯽ ﻗﺮار ﮔﯿﺮد، ﺗﺎ ﺣﺪ ﺑﺴﯿﺎر زﯾﺎدی ﺧﻄﺮاﺗﯽ ﮐﻪ از اﯾﻦ ﺣﻮزه ﻧﺎﺷﯽ ﻣﯽﺷﻮﻧﺪ ﮐﺎﻫﺶ ﻣﯽ ﯾﺎﺑﻨﺪ. ﺷﺮوع ﮐﺎر اﻣﻨﯿﺖ ﻣﻄﺎﺑﻖ ﺟﻤﻠﻪ ﻣﻌﺮوف "امنیت ﯾﮏ ﻫﺪف ﻧﯿﺴﺖ ﺑﻠﮑﻪ ﯾﮏ ﺳﻔﺮ اﺳﺖ" ﺑﻪ ﻣﻨﺰﻟﻪ آﻏﺎز ﺳﻔﺮی ﺑﻪ اﻧﺪازه ﻋﻤﺮ ﺗﺠﺎرﺗﯽ اﺳﺖ ﮐﻪ ﺧﻮاﻫﯿﻢ داﺷﺖ. ﭘﺲ ﻫﻤﻮاره ﺗﻤﺎﻣﯽ ﮐﺎرﻫﺎی اﻧﺠﺎم ﺷﺪه ﺑﺎﯾﺴﺘﯽ ﻣﻮرد ﺑﺮرﺳﯽ ﻗﺮار ﮔﯿﺮﻧﺪ و ﻫﺮروز در ﺟﻬﺖ ﺑﻬﺒﻮد آن ﺑﺎﯾﺪﺗﻼش ﺷﻮد .در ﻫﻤﯿﻦ راﺳﺘﺎ، ﺷﺮﮐﺖ ﻫﺎﯾﯽ ﺷﺮوع ﺑﻪ ﮐﺎر ﮐﺮده اﻧﺪ ﮐﻪ وﻇﯿﻔﻪآﻧﻬﺎ ﺑﺮرﺳﯽ ﻣﻨﺴﺠﻢ و دوره ای اﻣﻨﯿﺖ ﺳﺎﯾﺖ ﻫﺎ ﻣﯽ ﺑﺎﺷﺪ.

ﺑﺎ ﺗﻮﺟﻪ ﺑﻪ ﻣﻄﺎﻟﺐ ﮔﻔﺘﻪ ﺷﺪه، ﻣﯽ ﺗﻮاﻧﯿﻢ ﺗﻤﺎﻣﯽ ﻋﻮاﻣﻞ دﺧﯿﻞ در ﺗﺠﺎرت اﻟﮑﺘﺮوﻧﯿﮏ را در ﭼﻬﺎر ﺣﻮزه ﺗﻮﻟﯿﺪ، اراﺋﻪ، اﻧﺘﻘﺎل ودرﯾﺎﻓﺖ ﻣﻮرد ﺑﺮرﺳﯽ ﻗﺮار دﻫﯿﻢ و ﺑﻪ ﻣﻨﻈﻮر ﺑﺮرﺳﯽ ﮐﺮدن اﻣﻨﯿﺖ در اﯾﻦ ﺣﻮزه ﻫﺎ ﻣﯽ ﺗﻮاﻧﯿﻢ ﺑﻪ ﻃﻮر ﮐﻠﯽ ﺑﻪ ﺑﺮرﺳﯽ و اﻧﻄﺒﺎق ﻣﻨﺎﺑﻊ ﺧﻄﺮﻫﺎ ﺑﺎ ﭼﻬﺎر ﺣﻮزه ﯾﺎد ﺷﺪه ﺑﭙﺮدازﯾﻢ .ﺗﻤﺎﻣﯽ ﺧﻄﺮات ﻋﻤﺪﺗﺎ از ﺳﻪ ﺣﻮزه ﺿﻌﻒ ﺗﮑﻨﻮﻟﻮژی، ﺿﻌﻒ داﻧﺶ اﻓﺮاد اﺳﺘﻔﺎده ﮐﻨﻨﺪه و اﺷﺘﺒﺎﻫﺎت اﻧﺴﺎﻧﯽ ﻧﺎﺷﯽ ﻣﯽ ﺷﻮﻧﺪ. ﮐﻪ اﮔﺮﻣﺮاﺗﺐ ﺗﺤﻠﯿﻞ ﺳﯿﺴﺘﻢ، ﺗﻮﺟﻪ ﺑﻪ اﻣﻨﯿﺖ در ﻫﻨﮕﺎم ﻃﺮاﺣﯽ و ﭘﯿﺎده ﺳﺎزی، ﺑﺮرﺳﯽ دﻗﯿﻖ و ﮐﻨﺘﺮل ﻧﻬﺎﯾﯽ ﮐﺎر ﺑﻪ ﻫﻨﮕﺎم ﭘﺎﯾﺎن ﭘﯿﺎده ﺳﺎزی وﻫﻤﭽﯿﻦ آﻣﻮزش ﺻﺤﯿﺢ و آﮔﺎﻫﯽ رﺳﺎﻧﯽ ﻣﻨﺎﺳﺐ اﻣﻨﯿﺘﯽ را در ﻧﻈﺮ داﺷﺘﻪ ﺑﺎﺷﯿﻢ، ﻣﯽ ﺗﻮاﻧﯿﻢ ﺗﺎ ﺣﺪ ﺑﺴﯿﺎر ﺧﻮﺑﯽ ﺧﻄﺮﻫﺎی اﻣﻨﯿﺘﯽ راﮐﺎﻫﺶ دﻫﯿﻢ.

انواع حملات بر حسب نحوه عملکرد :

وقفه (Interruption) : اختلال در شبکه و سرویس

شنود (Interception) : استراق سمع ارتباطات شخصی یا مخفی سایرین

دستکاری داده‌ها (Modification)  : تغییر غیرمجاز داده‌های سیستم یا شبکه

جعل اطلاعات (Fabrication) : ارسال داده توسط کاربران غیرمجاز با نام کاربران مجاز

انواع حملات از نظر  تاثیر در ارتباط :

حملات غیرفعال :

  • شنود :

          افشاء پیام (release of message content) :

          تحلیل ترافیک :

حملات فعال :

  • جعل هویت (Masquerade) :
  • ارسال دوباره پیغام (Replay) :
  • تغییر (Modification of message) :
  • منع سرویس(Denial of Service – DoS) :

تهدیدات امنیتی فضای مجازی:

سرقت هویت در اینترنت و انجام انواع کلاهبرداری ها در فضای مجازی اعم از phishing و pharming و دیگر انواع مخرب ویروس ها، کرم های اینترنتی و تروژان یکی از بزرگترین مشکلاتی است که کاربران رایانه و اینترنت در سراسر جهان با آن مواجه هستند. هکرهای باهوش می توانند با دستیابی به اطلاعات حساس و محرمانه اشخاص مانند شماره کارت اعتباری یا اطلاعات مربوط به حساب بانکی آنها، خود را به جای شخص دیگری جا زده و دست به انواع فعالیت های تبهکارانه بزنند، بدون آن که کسی از هویت واقعی آنها مطلع شود.

بررسی ها نشان داده که پس از شناسایی این تبهکاران، جبران خسارت هایی که آنان به بار آورده اند بین ۴ تا ۵ سال به طول می انجامد.

در گزارش شبکه فن آوری اطلاعات ایران، اعلام شده است که بیشترین حملات اینترنتی صورت گرفته به حملات ویژه براندازی وب سایتهای اینترنتی مربوط می شود . پس از این حملات نیز اقدامات هکرها برای تبدیل رایانه های کاربران به ماشین های ارسال انبوه ایمیلهای تبلیغاتی(هرزنامه) بدون اطلاع خود کاربران، دومین نوع از اقدامات تبهکارانه شایع در اینترنت است. سومین حملات اینترنتی شایع به تلاش هکرها برای سوء استفاده از حفره های امنیتی شناسایی شده در برخی نرم افزارهای پرکاربر شرکت مایکروسافت از جمله مجموعه نرم افزاری "آفیس" و نرم افزار "آرپی سی" مربوط می شود . پس از این سه مورد، شایع ترین تهدیدات اینترنتی مربوط به ویروسهای اینترنتی است.

از سوی دیگر، درصد زیادی از ایمیلهای رد و بدل شده در اینترنت از نوع ایمیلهای تبلیغاتی موسوم به هرزنامه یا "اسپم" هستند که حامل حملات فیشینگ برای کاربران ارسال شده است . بعضی از انواع مخرب حملات اینترنتی شایع در زیر آمده است.

Phishing :

کارشناسان معتقدند که متداول ترین نوع حملات اینترنتی و سرقت هویت در فضای مجازی phishing است که تعداد و پیچیدگی آنها هم روز به روز در حال افزایش است. آنان می گویند که به علت وجود نقص های امنیتی در بسیاری از پروتکل های email، امکان طرح ریزی این حملات به سادگی امکانپذیر است. در این نوع حملات، شخص کلاهبردار با ارسال نامه هایی با سربرگ و ظاهری مشابه با موسسات مالی و اعتباری مشهور از مشترکان خدمات آنها می خواهد تا با کلیک کردن روی لینکی که در نامه موجود است، اطلاعات مربوط به حساب های بانکی خود را در بخش های مختلف آن وارد کنند. البته برای ترغیب کاربران به چنین کاری معمولا از ترفندهای مختلفی استفاده می شود. در صورتی که کاربران چنین کاری انجام دهند، حساس ترین اطلاعات خود را مفت و مجانی در اختیار افراد خطرناکی قرار داده اند. تحلیلگران معتقدند که کاربران آمریکایی اینترنت در سال ۲۰۰۳ به خاطر چنین حملاتی مبلغی معادل با ۴/۲ میلیارد دلار ضرر کرده اند.جالب آن که در اکثر موارد خود کاربران کلمات عبورشان را در اختیار مهاجمان قرار داده اند که به شیوه این کار در بالا اشاره شد. یکی از موسسات مالی اعتباری مشهور اعلام کرده که تنها در ژوئن سال ۲۰۰۴ بیش از ۱۴۰۰ بار با انواع حملات phishing مواجه شده است. دیگر پژوهش ها هم حاکی است که بیش از ۵۷ میلیون آمریکایی بر این باورند که در سال ۲۰۰۴ میلادی emailهایی دریافت کرده اند که با هدف فریب و سرقت اطلاعات محرمانه آنان ارسال شده بود. تداوم چنین حملات خطرناکی موجب شده که تاکید بر توجه به الزامات امنیتی روز به روز افزایش یابد. صاحبنظران معتقدند که انجام حملات phishing مبتنی بر اشکال بسیار پیشرفته مهندسی اجتماعی است. در اکثر این حملات از قالب های مشابه با قالب های شرکت های واقعی و خوش نام تجاری استفاده می شود و حتی آدرس فرستنده email دقیقا مشابه با آدرس همان شرکت است. در اکثر موارد طراحان حملات مذکور از وب سایت های معیوب برای دریافت اطلاعات شخصی و مالی کاربران بهره می برند.

Pharming :

در حملات pharming معمولا کاربران به طور ناآگاهانه و بدون آن که خودشان بفهمند به سوی سایت های آلوده هدایت می شوند. در این نوع از حمله برخلاف phishing، قربانیان نباید روی لینک موجود در email کلیک کنند تا حمله آغاز شود. قربانیان pharming حتی متوجه نمی شوند که مرورگر آنها در حال باز کردن یک url غلط ولی مشابه url واقعی شرکت های مالی و اعتباری است. حمله pharming در صورتی موفقیت آمیز خواهد بود که مهاجمان بتوانند به درون دامنه نام سرور یا  DNSنفوذ کنند و آن را تحت کنترل بگیرند. DNS اعدادی را که معادل با آدرس وب سایت است، در خود ذخیره می کند. به عنوان مثال هنگامی که کاربر دامنه www.CDNOW.com را در مرورگر اینترنتی خود وارد می کند،  DNSآن را به اسم متداول ثبت شده برای سایت ترجمه کرده و آن را به آدرس واقعی IP تغییر می دهد. طراحان حملات pharming در واقع این فرآیند را کنترل کرده و اطلاعات عددی مربوط به وب سایت خود را به جای  DNSواقعی به ثبت می رسانند. جالب آن که میزان این حملات تا بدان حد افزایش یافته که بسیاری از کارشناسان امنیت اینترنت دیگر هرزنامه ها را خطر اصلی فراروی کاربران فضای مجازی نمی دانند. بلکه در مقابل سرقت هویت کاربران با انواع حقه ها را بسیار خطرناک تر می دانند.

 آنها معتقدند که بهترین راه برای دفاع از خود در برابر این حملات استفاده از امکانات و تمهیدات امنیتی چند لایه است. دفاع چند لایه معمولا در ۵ مرحله صورت می گیرد. برخی دیگر از صاحبنظران معتقدند که در انواع جدید سرقت هویت از دو منبع استفاده می شود. یکی از آنها آسیب پذیری های آشکار موجود در رایانه و نرم افزارهای کامپیوتری است. این نوع حملات معمولا با استفاده از نرم افزارهایی استفاده می شود که فاقد وصله های امنیتی جدید و به روز هستند. به طور قطع تا زمانی که کاربران اینترنت به نصب این وصله ها، بخصوص در مورد سیستم عامل ویندوز بی اعتنایی کنند، خطر موفقیت آمیز بودن این حملات وجود دارد.

ویروس ها و کرم ها :

موج پایان ناپذیر ویروس ها و کرم های اینترنتی، دیگر منبع حملات اینترنتی است. کاربران رایانه هایی که به مسائل امنیتی بی توجهی می کنند، معمولا به این ویروس ها و کرم ها امکان می دهند تا در سیستم های شخصی آنها لانه کنند و همین امر زمینه را برای حملات دیگری از نوع phishing و pharming آماده می سازد. کرم ها، کدهای مخربی هستند که خود را در شبکه ها و حافظه های جانبی جابجا و تکثیر می کنند. بسیاری از نسخه های جدید کرم های اینترنتی با هدف طرح ریزی حملات دیگری طراحی می شوند که اثرات تخریبی بسیار گسترده ای دارند. ولی بسیاری از کاربران به این مسئله بی اعتنا هستند و به نظر می رسد که اطلاع رسانی گسترده به کاربران وب تا حدی از افزایش چنین خطراتی جلوگیری کند.

تروژان ها :

تروژان به عبارت ساده یک فایل مخرب و جاسوسی است که توسط یک هکر به کامپیوتر قربانی ارسال و در کامپیوتر تعبیه می شود ، تروجان وظیفه جمع آوری، گردآوری و ارسال کلیه اطلاعات مورد نیاز نفوذگر از کامپیوتر کاربر قربانی را برعهده دارد. تروژان ها که اکنون به مهم ترین ابزار ایجاد آلودگی و انجام حملات مخرب در اینترنت تبدیل شده اند، مناسب ترین گزینه برای نفوذهای نامحسوس و در اختیار گرفتن کنترل کامل سیستم های رایانه ای توسط مجرمان و تبهکاران اینترنتی محسوب می شوند. . تروجانها به دو قسمت کلاینت و سرورتقسیم می شوند .یک تروجان می تواند خود را به شکلهای: عکس،یک فایل صوتی،یک فایل نقاشی،یک فایل Setup و….در بیاورد. این مساله به ویژه در زمینه سرقت اطلاعات حساس و محرمانه، توجه فزاینده شبکه های مخفی خرابکاران را به خود جلب کرده است. در سه ماه گذشته، ۷۵ درصد از کل حملات مخرب و فعالیت های غیرقانونی از طریق وب با استفاده از نرم افزارهای تروژان صورت گرفته است.کارشناسان با اذعان به روند افزایش چشمگیر کشف و ردیابی تروژان ها، هدف نهایی مجرمان در استفاده از این ابزار را سرقت پول و کسب درآمدهای غیرقانونی عنوان کرده اند. با توجه به تغییر جهت گیری و روند فعالیت های مجرمانه در اینترنت، کاربران این شبکه جهانی به جای مواجهه با صدمات محسوس، مشخص و واضح در سیستم های خود، رفته رفته توسط حملات نامحسوس و پنهانی تهدید خواهند شد که کلیه اطلاعات، فایل ها و داده های محرمانه آنها را در معرض استفاده سودجویانه قرار می دهند. این مساله، به ویژه با کاهش تدریجی شیوع کرم های رایانه ای و برخی از انواع بدافزارها با قابلیت ایجاد تخریب و صدمات محسوس و نیز افزایش روزافزون تروژان ها و botها، به وضوح قابل مشاهده است.

DOS (Denial of Service Attack) :

حملات موسوم به DOS حملاتی هستند که باعث جلوگیری از کار یک سرویس یا مانع دسترسی به منابعی می شوند. به عنوان مثال حملات D.O.S بر روی ماشینهای سرویس دهنده وب ممکن است منجر به این شود که سرویس دهنده قادر به سرویس‏دهی به مشتریان نباشد. یا پر کردن پهنای باند یک ماشین باعث قطع ارتباط یک ماشین با شبکه اصلی می‏شود. بسیاری از سایت‏های بزرگ در حال حاضر قادر به مقابله با حملات DOS نیستند. زیرا این حملات به نوع متفاوتی سازماندهی می شوند و در بیشتر اوقات با ایجاد ترافیکی بالا لشکری از Packet های TCP را به سمت سرویسهای خدمات دهنده سرازیر می‏کنند. به عنوان مثال در هنگام بوجود آمدن و شناسایی ویروس Blaster پس از آلوده شدن صدها هزار کامپیوتر در سراسر دنیا بوسیله این کرم کامپیوتری که از یک ضعف در سیستم عامل های ویندوز مایکروسافت استفاده می کرد، شروع به فرستادن پاکت هایی به سمت سایت Windowsupdate.com  می نماید که در پی آن مسئولان امنیتی چاره ای جز حذف این سایت از وب سایت های جهانی نیافتند. با اینکه آنها تا آخرین لحظه از کار خود یعنی حذف این وب سایت از DNS  های جهانی چیزی عنوان نکردند، اما قابل پیش بینی بود که به هیچ وجه سرویس های خدمات دهنده ی مایکروسافت نیز قادر به مبارزه با این حجم بالای ترافیک نخواهند بود و دیر یا زود از کار خواهند افتاد.

امروزه نوع جدیدی از حملات DOS بوجود آمده اند که DDOS  نام گرفته اند. این حملات نوع گسترش یافته ی حملات DDOS هستند که از اواخر سال ۱۹۹۹ مورد استفاده قرار گرفته اند. در سال ۲۰۰۰، حملات نفوذگران برای از کار انداختن به سایت های بزرگی چون CNN ، amazon و ebay مورد استفاده قرار گرفته است.

۱۱ سپتامبر، بستری برای خرابکاری اینترنتی :

خرابکاران اینترنتی به مناسبت سالگرد حملات ۱۱ سپتامبر و با سوءاستفاده از این رویداد، بدافزارها و ویروس های متعددی را طراحی کرده و در فضای مجازی اینترنت منتشر کردند. نویسندگان نرم افزارهای مخرب با ایجاد صفحات جدید و پر کردن آن ها با واژه های مربوط به حادثه ۱۱ سپتامبر و همچنین نفوذ به وب سایت ها و افزودن این واژه ها به آن ها به دستکاری رتبه بندی موضوعات پرجست وجو پرداختند تا آن ها را در بالای نتایج جست وجو قرار دهند.  این افراد با طراحی هزاران صفحه وب حاوی کدهای مخرب اینترنتی که در ظاهر حاوی اطلاعاتی در مورد واقعه ۱۱ سپتامبر بود، تلاش کردند کاربران را به روش های مختلف به بازدید از این صفحات ترغیب کرده و از این طریق رایانه های آنها را آلوده کنند. برخی از آنها هم صفحات وبی را طراحی کردند که در آنها ادعا شده بود رایانه کاربر آلوده به ویروس است و برای پاکسازی آن ضروری است کاربر نرم افزار پیشنهاد شده را خریداری کند. این نرم افزارها حاوی ویروس ها و بدافزارهای مخرب هستند. خلافکاران اینترنتی از این صفحات برای میزبانی هشدارهای آنتی ویروس ساختگی استفاده کردند که در آن ها به کاربران پنجره جداگانه ای نمایش داده شده و به دروغ به آن ها اعلام می شود سیستمشان آلوده شده و راهکاری برای برطرف کردن مشکل عرضه می شود.  نرم افزار آنتی ویروس فروخته شده از نظر امنیتی بدون استفاده بوده و همچنین حاوی نرم افزار مخرب است

سال ۲۰۰۹، سال سلطه بیرحمانه مخرب های اینترنتی :

شرکت های امنیتی، سال ۲۰۰۹ میلادی را شگفت انگیزترین دوره در تاریخ امنیت فناوری اطلاعات لقب دادند. سال ۲۰۰۹ شاهد تولید دست کم ۲۵ میلیون گونه کاملا جدید از انواع کدهای مخرب رایانه ای بود. این در حالیست که مجموع کل ویروس های رایانه ای منتشر شده از آغاز تاریخ فناوری اطلاعات تا پایان سال ۲۰۰۸ میلادی بیش از ۱۵ میلیون مورد ثبت شده است. . شرکت های امنیتی، سال ۲۰۰۹ میلادی را شگفت انگیزترین دوره در تاریخ امنیت فناوری اطلاعات لقب دادند. براساس گزارش سالانه شرکت امنیتیpanda security از وضعیت جهانی امنیت اطلاعات، سال ۲۰۰۹ شاهد تولید دست کم ۲۵ میلیون گونه کاملا جدید از انواع کدهای مخرب رایانه ای بود. این در حالیست که مجموع کل ویروس های رایانه ای منتشر شده از آغاز تاریخ فناوری اطلاعات تا پایان سال ۲۰۰۸ میلادی بیش از ۱۵ میلیون مورد ثبت شده است. بنابر اعلام پاندا، دست کم ۶۶ درصد از کل ویروس های منتشر شده در سال ۲۰۰۹، تنها به نرم افزارهای تروژان و ضدویروس های تقلبی اختصاص داشته است. تروژان ها بهترین ابزار برای انجام نفوذهای غیرمجاز و آسیب پذیر ساختن رایانه ها به منظور اجرای حملات نهایی یا سرقت های نامحسوس محسوب می شوند. کرم ها و ویروس های کلاسیک نیز با وجود کاهش تعداد گونه ها در سال های اخیر، کیفیت پیچیده تر و مخرب تری پیدا کردند که با توجه به ناآگاهی و عدم توجه کاربران به هشدارهای امنیتی، مشکلات و خسارت های بسیار زیادی را در سال گذشته میلادی به بار آوردند conficker , sality و virutas که از پیشکسوتان دنیای بدافزارها محسوب می شوند، با ظهور مجدد خود سال ۲۰۰۹ را آماج حملات وسیع خود قرار دادند. بررسی های پاندا نشان می دهد که در طول سال ۲۰۰۹، انتشار وسیع و فعالیت شدید هرزنامه ها موجب شد تا حجم این نامه های ناخواسته و گاه آلوده به ۹۲ درصد کل پیغام های مبادله شده از طریق اینترنت برسد. اغلب این هرزنامه ها از یک روش قدیمی اما کارآمد به نام "روانشناسی اجتماعی" استفاده می کنند تا با ترغیب کاربران به بازکردن نامه ها و کلیک بر روی لینک های جذاب در آنها، زمینه را برای انجام انواع فرآیندهای تخریبی و ضدامنیتی فراهم کنند. علاوه بر این، در سال گذشته میلادی شبکه های اجتماعی (و به طور خاص پایگاه هایی نظیر فیس بوک، توییتر و یوتیوب) و نیز هدایت کاربران به پایگاه ها و صفحات مخرب در وب، مهمترین بسترهای ترتیب و اجرای حملات مخرب رایانه ای بوده اند، ضمن این که پررنگ تر شدن نقش حافظه های جانبی در نقل و انتقال و پراکندگی وسیع و سریع ویروس ها را نباید نادیده گرفت. بنا بر اعلام پاندا، سال ۲۰۰۹ به عنوان مقدمه ای برای گسترش وسیع تصفیه حساب های سیاسی در فضای اینترنت محسوب می شود. کارشناسان امنیتی هشدار داده اند که سال ۲۰۱۰ و سال های پس از آن، عرصه حملات و ضدحملات خرابکاران اینترنتی علیه گروه هایی با نظرات سیاسی مخالف خواهد بود.

بزرگترین حمله اینترنتی در جهان :

خبر به اندازه کافی حیرت انگیز و ناگهانی بود.کشف و تعطیلی بزرگ ترین شبکه تبهکاری اینترنتی جهان و دستگیری مغزهای متفکر بزرگ ترین جنایت رایانه ای دنیا، انهدام بزرگ ترین شبکه تولید و انتشار ویروس های رایانه ای. آنقدر که پس از مدت کوتاهی، بسیاری از خبرگزاری های مهم داخل و خارج کشور، آن را در میان سرخط خبرهای روز قرار دادند. اما اصل ماجرا چه بود؟ در اواسط ماه می ۲۰۰۹، گزارش محرمانه ای توسط سازمان امنیتیdefence intelligence در اختیار پلیس اسپانیا و پلیس فدرال ایالات متحده قرار داده شد مبنی بر کشف شبکه ای عظیم از رایانه های آلوده و تحت فرمان که احتمالا از کشور اسپانیا هدایت می شوند. در این بین شرکت امنیتی panda security نیز به عنوان مشاور اجرایی و فنی، تحقیقات روی این مسئله را آغاز کرد. در نهایت، پس از گذشت ۶ماه تلاش شبانه روزی توسط این سازمان های امنیتی، شبکه ای بسیار بزرگ از رایانه های آلوده و تحت فرمان، که برای اجرای انواع حملات مخرب اینترنتی مورد استفاده قرار می گرفت، کشف و در تاریخ ۲۳ دسامبر ۲۰۰۹، به طور کامل تعطیل شد. انجام تحقیقات دقیق تر، اعلام رسمی این اتفاق بزرگ را اندکی به تعویق انداخت تا اینکه سرانجام در تاریخ ۳ مارس ۲۰۱۰ میلادی، نمایندگانی از پلیس اسپانیا، اف بی آی و نیز شرکت امنیتی پاندا طی یک کنفرانس مطبوعاتی در مادرید اسپانیا، خبر تعطیلی بزرگ ترین شبکه تبهکاری اینترنتی جهان با عنوان mariposa را تأیید کردند. انتشار جزئیات بیشتر پس از دستگیری ۳تن از رهبران اصلی این شبکه مخرب در یکی از شهرهای کوچک اسپانیا، جزئیات بیشتری در رابطه با نحوه شکل گیری و عملکرد این شبکه عظیم خرابکاری بزرگ منتشر شد. براساس تحقیقات انجام شده توسط شرکت امنیتی پاندا، اطلاعات مربوط به حساب های کاربری و خدمات پست الکترونیک، رمزهای عبور، حساب های بانکی، کارت های اعتباری و داده های حساس سازمانی، نزدیک به ۱۳ میلیون رایانه از ۱۹۰ کشور جهان مورد دستبرد و سوءاستفاده دائمی گردانندگان شبکه mariposa قرار گرفته بود. نکته قابل توجه اینجاست که تمام این ۱۳ میلیون رایانه آلوده که ۵۰ درصد از ایستگاه های کاری فعال در ۱۰۰۰ شرکت بزرگ و پردرآمد دنیا را نیز شامل می شدند، عضوی مؤثر و فعال از این شبکه بزرگ خرابکاری بوده اند. بررسی های موجود نشان می دهد که بیشتر این قربانیان به جامعه کاربران خانگی، سازمان های تجاری و اداری، بخش دولتی و نیز مراکز آموزشی تعلق داشته اند. وسعت حملات و آلودگی های ایجادشده توسط شبکه mariposa به حدی بود که به گفته کریستوفر دیویس، مدیر اجرایی شرکت defence intelligence، فهرست کردن شرکت های بزرگی که توسط حملات این شبکه آلوده نشده اند، کاری به مراتب ساده تر از نام بردن از شرکت هایی است که به نحوی هدف حملات ویروسی این شبکه مخرب قرار گرفته اند. مطالعه سیر تحول شبکه mariposa، نشان می دهد که این شبکه تبهکاری، به تدریج و با آلوده کردن رایانه های مختلف به کدهایbot وسعت یافته است. رهبران mariposa پس از تزریق bot به رایانه های سراسر دنیا و تبدیل آنها به عضوی جدید از شبکه مخرب خود، آنها را به بدافزارهای دیگری مثل کدهای پیشرفته کلید خوان، تروژان های سارق اطلاعات بانکی وتروژان های نفوذگرآلوده می کردند تا قابلیت تخریبی این رایانه ها افزایش یابد. همچنین آنها از طریق فروش بخش هایی از این شبکه تحت فرمان به خرابکاران دیگر، علاوه بر کسب درآمدهای کلان، موجب افزایش بیشتر آلودگی و افزایش میزان سرقت مستقیم یا غیرمستقیم پول از حساب های بانکی کاربران اینترنت می شدند. مجموع خسارت های ناشی از فعالیت های تخریبی mariposa تا کنون غیرقابل برآورد اعلام شده اما منابع اطلاعاتی اعلام کرده اند که صرف نظر از خسارت های مستقیم، نظیر سرقت پول و اطلاعات ارزشمند، خسارت های غیرمستقیم این حملات به ده ها میلیون دلار بالغ می شود. نکته نگران کننده اینجاست که براساس اظهارات پدرو بوستامنته، مدیر تحقیقات شرکت پاندا، رهبران شبکه mariposa هکرهای بسیار حرفه ای نبوده اند و دانش رایانه ای بالایی نیز نداشته اند و این هشداری است جدی درخصوص پیشرفته تر شدن نرم افزارهای تولید و انتشار ویروس که حتی کاربران عادی تر اینترنت را نیز به نفوذ گرهای حرفه ای تبدیل می کنند. با استفاده از این نرم افزارها می توان کدهای مخربی را طراحی و تولید کرد که نه تنها رایانه ها را از طریق مواجهه مستقیم با آلودگی در اینترنت قربانی کنند، بلکه آنها را از طریق یک اتصال ساده به شبکه های اشتراک فایل یا حتی استفاده از حافظه های جانبی آلوده، به یک رایانه تحت فرمان تبدیل کنند.

 وضعیت آلودگی درایران، نشان می دهد که شبکه ویروسی mariposa، در بیش از ۱۹۰ کشور و ۳۱۹۰۰ شهر دنیا فعال بوده است. بنا بر آمارهای منتشر شده، هند، مکزیک و برزیل در مجموع ۴۰ درصد از رایانه های آلوده و تحت فرمان در این شبکه را در برگرفته بودند. این در حالی است که ایران با ۲۹۳ هزار و ۶۷۳ رایانه آلوده، بیش از ۲ درصد کل وسعت این شبکه خرابکاری را به خود اختصاص داده و در رتبه دوازدهمین کشور آلوده به ویروس قرار گرفت. شهر تهران نیز با در برگرفتن بیش از ۲۳/۱درصد از کل رایانه های تحت فرمان mariposa، دهمین شهر آلوده جهان بوده است.سئول، پایتخت کره جنوبی و پس از آن شهرهای بمبئی، دهلی و مکزیکوسیتی، با تشکیل ۱۸ درصد از کل آلودگی، بزرگ ترین بخش های جغرافیایی در پراکندگی جهانی mariposa، محسوب می شدند.

منابع :

IT Solutions Series: E-Commerce Security: Advice from Experts. ترجمه ی پروفسور مهدی خسروپور.انتشارات Idea Group .۲۰۰۴

http://www.pandasecurity.com/img/enc/annual_report_pandalabs_2009.pdf

http://daneshnameh.roshd.ir/mavara/mavara-index.php

http://security.iranscience.net/archive2.htm 

http://www.iritn.com/ITshow-news-12700.htm

http://www.takmahfel.com/news-16545.html

http://www.google.com/search

http://new-hacker.persianblog.ir/post/472

ابوالفضل محمدی

نظرات 0 + ارسال نظر
برای نمایش آواتار خود در این وبلاگ در سایت Gravatar.com ثبت نام کنید. (راهنما)
ایمیل شما بعد از ثبت نمایش داده نخواهد شد