آشنایی با ۴ زیربنای امنیتی فضای سایبری

امنیت همیشه یکی از بحث های داغ دنیای دیجیتال بوده و در طول زمان و با پیشرفت تکنولوژی، توجه بیشتری به خود جذب کرده است. به منظور پیاده سازی صحیح و اصولی امنیت در فضای سایبری، پیش از هر چیز باید مفهوم درست امنیت را درک کنیم و برای این کار اول باید با اصول اولیه آن یعنی Privacy یا حریم خصوصی، Authentication یا احراز هویت، Integrity یا صحت اطلاعات و Nonrepudiation یا عدم انکار آشنایی بیشتری پیدا کنیم. همه می دانیم که حفظ امنیت کاری ضروری ولی بسیار دشوار است. امنیت بالا همیشه باعث می‌شود تا همه چیز آهسته‌تر، پیچیده‌تر، دست و پاگیرتر، و گاهی اوقات گیج کننده به نظر برسد. به همین دلیل در زبان انگلیسی، اصطلاحا می گویند که حفظ امنیت همراه با PAIN است که برگرفته از کلمات Privacy, Authentication, Integrity, Nonrepudiation است.

حریم خصوصی (Privacy)
همه ما مفهوم حریم خصوصی را درک می‌کنیم ولی حفاظت از اطلاعات شخصی تنها بخشی از تعریف آن در دنیای دیجیتال است. برآورده کردن نعمت ناشناس بودن در دنیایی که همه در تلاش به منظور کنترل کارهایتان هستند نیز بخشی از تعریف این حریم است. با این که هر برنامه و اپلیکیشن دارای نیازهای متفاوتی از حریم خصوصی است، اما این در حالی است که رمزگذاری پایهٔ تمامی آن‌ها مشترک می‌باشد. انسان‌ها چندین هزار سال است که از رمزگذاری استفاده می‌کنند. در جنگ‌های قرون اخیر هم از آن بهره‌های زیادی برده شده است؛ پس با اطمینان می‌توان گفت که یکی از جنبه‌های مهم امنیت به حساب می‌آید. اما در یک مجموعه رمزگذاری باید دنبال چه چیزهایی باشیم؟
۱- الگوریتم‌های رمزنگاری
۲- نرم افزارهای اپن سورس
۳- پروتوکل‌های استاندارد یا اپن سورس

الگوریتم‌های رمزنگاری توسط تحلیل‌گران رمز، جهت یافتن نقاط ضعف، مورد بررسی قرار گرفته تا احتمال هر گونه حمله‌یی را به حد اقل برسانند. در واقع بررسی الگوریتم‌های مرزنگاری یک «باید» است چرا که این احتمال وجود دارد در زمان طراحی الگوریتم، یک Back Door (یا راه‌های نفوذ) توسط توسعه دهنده ایجاد شده که خود ایشان از آن بی‌خبر است! اپن سورس بودن نرم افزار هم اهمیت زیادی جهت بررسی و به روز رسانی و از بین بردن باگ‌ها دارد. نیاز به پروتوکل‌های استاندارد یا اپن سورس هم به دلایل مشابه قابل درک است.

به طور کلی، یکی از نقاط منفی رمزگذاری این است که هرچه قوی‌تر باشد، سرعت محاسبه و پردازش آن توسط سیستم کاهش می‌یابد، پس تاخیر قابل توجهی در خواندن و فرستادن داده‌ها مشاهده می‌شود.

احراز هویت (Authentication)
همان طور که از نامش پیدا است، کار Authentication نشان دادن و ثابت کردن هویت واقعی شما است. همان طور که هر کالا، باید گواهی یا سند رسمی هویت یا محتوا داشته باشد، شما نیز برای تامین امنیت خود، باید ثابت کنید همان کسی هستید که ادعا می‌کنید! احراز هویت هم خالی از مشکل نیست، به ویژه زمانی که دو طرف در بی‌اعتمادی متقابل به سر می‌برند. ما به طور معمول به وسیله یک رمزعبور در کنار یک نام کاربری -که معمولا ایمیل است- هویت خود را تأیید می‌کنیم. در اصل، رمز عبور، همان چیزی است که اصالت شما را ثابت می‌کند. اما مشکل اینجا است که پسوردها را می‌توان حدس زده یا هک کرد و به همین دلیل هم هست که وب سایت‌های مختلف تاکید زیادی روی داشتن کلمات عبور قوی یا تعیین هویت چند مرحله‌ای دارند (تعیین هویت چند مرحله‌ای، ساده‌تر از چیزی است که به نظر می‌رسد. با استفاده از این روش، به جای داشتن یک پسورد، از مراحل متعددی مانند ایمیل -مخصوصا برای ریست کردن پسورد- و ارسال کدهای عددی به موبایل استفاده می‌شود که در واقع با توجه به پروتکل‌های آسیب پذیر SMS، آنقدرها هم امن نیست!)

صحت اطلاعات (Integrity)
بخش بزرگی از داشتن ارتباطات ایمن، اطلاع داشتن از این است که داده‌های ارسالی شما، پیش از رسیدن به مقصد، دستکاری نشده باشند؛ به عبارت دیگر، صحت اطلاعات شما باید حفظ شود. در فضای سایبری یک چیز را همواره می‌بایست به خاطر داشته باشیم و آن هم این که شما همیشه باید فرض این را داشته باشید که یک کانال ارتباطی تا زمانی که امنیت آن به شما ثابت نشده است، ناامن است، چرا که تشخیص این که یک مهاجم چه مقدار دسترسی به یک کانال را به دست آورده، کاری بس دشوار می‌باشد.

در حالی که ممکن است یک مهاجم قادر به دیدن تمام ارتباطات عبور داده شده از یک کانال نباشد، باز هم می‌تواند تغییراتی در داده‌ها -قبل از آن که به دست شما برسند- اعمال کند. این نوع جرایم سایبری به عنوان اصطلاحا «Man in The Middle» شناخته می شود. با اجرای یک روش به منظور بررسی صحت داده‌ها، شما می‌توانید از هر گونه اطلاعات تغییر یافته اطمینان حاصل کنید و روی آن‌ها خیلی حساب باز نکنید. کنترل صحت داده‌ها معمولا با استفاده از چیزی تحت عنوان Hash صورت می‌گیرد. به عنوان مثال، داده‌های ارسال شده ابتدا هش شده، سپس داده‌های هش شده با استفاده از یک کلید غیر قابل رویت توسط سایرین، رمزگذاری می‌شوند. به این طریق، اگر یک مهاجم قصد مداخله در داده‌های ارسالی ما را داشته باشد و حتی اگر کلید آن را در اختیار داشته باشد، باز هم نخواهد توانست از داده‌های هش شده سر در بیاورد. این یک راه بسیار موثر برای اطمینان حاصل کردن از صحت داده‌ها است، حتی زمانی که از الگوریتم‌های ضعیفی مانند Sha1 استفاده شده باشد.

انکارناپذیری هویت (Nonrepudiation)
در یک محیط امن، هر کاربری که هویت‌اش احراز شده باشد قابل شناسایی است ولی باید توجه داشته باشیم که همیشه نمی‌توانیم به اطرافیان خود اعتماد داشته باشیم. در نتیجه، احتمال وجود یک مهاجم، حتی در محیطی با امنیت بالا دور از ذهن نیست! برای جلوگیری از حملات افراد مخرب که از قبل هویت خود را ثابت کرده‌اند، می‌بایست از پروسهٔ Nonrepudiation یا انکارناپذیری هویت استفاده کنیم. پروسهٔ انکارناپذیری هویت، برخلاف  احراز هویت بوده و در واقع توانایی تشخیص و شناسایی کارهای مخرب انجام شده توسط یک کاربر است، حتی اگر فرد مورد نظر چنین ادعایی را رد کند!  

به طور کلی بایستی توجه داشت که فضای سایبری روز به روز با زندگی تک تک آدم‌ها بیشتر عجین می‌شود و این تعامل بیش از پیش ما با دنیای دیجیتال بدان معنا است که اطلاعات بیشتر و بیشتری از ما در فضای مجازی منتشر می‌شود و بالتبع نیاز داریم تا به نوعی از حضور ایمن خود در فضای مجازی اطمینال حاصل کنیم. این اطمینان حاصل کردن از یک سو می‌بایست توسط وب مسترها تامین شود و از سوی دیگر، با رعایت یکسری نکات ایمنی توسط کاربران ایجاد خواهد شد.

Security Is PAINful — The Four Cornerstones Of Security

0


علی فاتحی

علی فاتحی در حال حاضر دانشجوی رشتهٔ ادبیات انگلیسی است. در کودکی علاقه‌ای به یادگیری زبان نداشت ولی در نوجوانی نظرش کاملا عوض شد و یادگیری انگلیسی را به طور خودآموز شروع کرد. از جمله توانایی های علی می‌توان به توانایی ترجمهٔ متن‌های انگلیسی به فارسی و برعکس و Rephrase کردن متون انگلیسی اشاره کرد؛ در کنار ترجمه به تدریس هم علاقمند است و این چیزی است که از انجامش لذت می‌برد. علاوه بر این، علی به سینما، موسیقی و تکنولوژی هم علاقه زیادی دارد.






از طریق این فرم، می توانید بدون ثبت نام نظر دهید و یا اگر قبلا ثبت نام کرده اید، با ورود ناحیه ی کاربری می توانید علاوه بر ثبت نظر، به مدیریت نظرات خود نیز بپردازید.
(فیلد اجباری)
(فیلد اجباری)
(فیلد اجباری)
(فیلد اجباری)