جنگ ستارگان: ۵ درس آموزنده برای امنیت سایبری

جدای از این‌که شما دقیقاً در یک سیاره‌ی دور و در بیابان برهوت آن در کهکشانی که بسیار دور است زندگی نمی‌کنید و روزهای خود را با نگاه به افقی که از آن دو خورشید بیرون می‌آیند سپری نمی‌کنید اما حتما زمزمه‌هایی از فیلم جدید جنگ ستارگان را شنیده‌اید.
در واقع جهان به شکل احمقانه‌ای بر هفتمین و آخرین داستان مجموعه‌ی جنگ ستارگان با عنوان «نیرو برمی‌خیزد» تمرکز کرده است.
بدون این‌که بخواهیم چیزی خارج از موضوع بگوییم باید اذعان کنیم که جی جی آبرامز کارگردان فیلم، با نقدهایی که از سوی منتقدان فیلم او شده است، پیروزی چشم‌گیری به دست آورده است. مختصر بگوییم این‌که تا جایی که ما از نظرات این منتقدان متوجه شده‌ایم این قسمت چیزی میانه‌ی ادامه‌ی احترام به سه‌گانه‌ی قبلی این مجموعه و شروع پیروزمندآن‌های برای ادامه‌ی حماسه‌های این مجموعه است.
همچون بسیاری دیگر از طرفداران جنگ ستارگان ما نیز پیش از رفتن به سینما سعی می‌کنیم که دوباره‌ همه‌ی قسمت‌های قبلی را ببینیم نه‌تنها به این خاطر که بهآن‌های برای دیدن قسمت‌های قبلی آن یافته‌ایم بلکه با انجام این کار به شکل تصادفی برخی از اطلاعات جالب توجه برای کسب بینش بهتری از امنیت اطلاعات رایآن‌های، به ویژه در اولین قسمت آن، به نام «یک امید تازه» A New Hope کشف کرده‌ایم. چیزهای جالبی در این میانه رخ می‌دهد، بنابراین با ما بمانید.
بعد از بررسی های بیشتر (با چندین بار دیدن فیلم) کاملاً برای ما روشن شد که چیزهای زیادی برای یادگیری از این فضای جادویی وجود دارد. بنابراین، ما در اینجا به بیان آن‌ها می¬پردازیم، از دیدن ویژگی‌های فضای سایبری الهام گرفته از جنگ‌ ستارگان. لذت ببرید، شاید این نیروها در شما نیز باشند.

۱. قدرت رمزگذاری پایان-پایان را دست کم نگیرید
اگر شما می‌خواهید مطمئن باشید که جزییات ارتباطات شما از چشمان جست‌وجوگر دیگران مخفی هستند و تنها گیرنده و فرستنده توانایی دسترسی به اطلاعات رد و بدل شده را دارند، بنابراین رمزنگاری پایان-پایان به بهترین شکلی به شما کمک می‌کند.
اتحاد شورشیان در رمزنگاری بسیار موفق است. شاهزاده Leia نیاز به دریافت پیامی از تنها امید خود «اوبی وان کنوبی» دارد، و خود را با این واقعیت وفق داده است که امپراطوری را در پشت سر او حرکت دهد، او به موقع پیام خود را رمزنگاری می‌کند (نقشه‌ی ستاره‌ی مرده) و آن را از چشم ربات‌های کوچک R۲-D۲ مخفی نگه می‌دارد.
Leia می دادند که اگر R۲-D۲ دستگیر شود، او دیگر نمی‌تواند مطمئن باشد که اطلاعات حساس در امنیت باقی بماند- به بیان دیگر در این وضعیت حتی اگر این اطلاعات به دست موجودات بد بیفتند باز هم غیر قابل خواندن هستند. تنها Obi-Wan دارای کلیدی است که برای رمزگشایی پیام‌ها لازم است به این معنی که طرح مخفی شاهزاده برای کمک تنها می‌تواند توسط استاد Jedi باز شود.

۲. شما برای ایجاد امنیت لازم است که راه‌های مهندسی اجتماعی را فرا بگیرید
مهندسی اجتماعی نوع مؤثری از دست‌کاری است که به مجرمان سایبری اجازه می‌دهد تا قربانیان خود را فریب دهند. از دیدگاه امنیت اطلاعات در این روش به شکلی مخفیانه اطلاعات حساس جمع‌آوری می‌شود تا به دستگاه‌ها و حساب‌های کاربری برای جعل آن‌ها دسترسی پیدا کنند.
Jedi به نوعی استاد مهندسی اجتماعی است (که از آن البته برای بهبود بیشتر کهکشان استفاده می‌کند). با نگاهی اجمالی به آن، هنگامی که Obi-Wan به همراه Luke Skywalker حرکت می‌کند، توسط سواران توفانی stormtroopers در راه ملاقات باHan Solo و Chewbacca متوقف می‌شود.
هنگامی که آن‌ها از او برای احراز هویت خود سؤال می‌کنند، جدی با ظرافت خاصی با تکان دادن دست درخواست آن‌ها را رد می‌کند. آن‌ها نمی‌توانند بفهمند که چه اتفاقی افتاده است و تصور می‌کنند همه چیز درست است هر چند که در واقع فریب خورده‌اند. آیا آن‌ها از فن‌های مهندسی اجتماعی اطلاع داشته‌اند، همین‌طور Jabba در راه بازگشتJedi ، و در جایی دیگر Obi-Wan که باید به شیوه‌ای دیگر تدابیر امنیتی را دور بزند.

۳. عدم اعتقاد به وجود آسیب‌پذیری‌ها نگران‌کننده است
حتی جامع‌ترین سامانه‌های امنیتی نیز آسیب‌پذیری‌های خود را دارند و بنابراین بسیار مهم است که شما همواره به بررسی ابزارهایی بپردازید که به وسیله‌ی آن‌ها می‌توانید نقاط پنهان و نقص‌های سامانه‌ی خود را کشف کنید.
ژنرال تاگی Tagge از همه بیشتر از این موضوع آگاه بود. او در جلسه‌ای با همکاران و مافوقان خود هشدار داد که نفوذ به داده‌ها توسط امپراتوری ممکن است راه را برای حمله باز کند.
او هشدار می‌دهد: «ممکن است آن‌ها نقطه‌ضعفی پیدا کرده و از آن‌ها بهره‌برداری کنند.» و ارزیابی می‌کند که چون اطلاعاتی که به آن‌ها دسترسی پیدا می‌شود بسیار حساس هستند، خطری جدی ما را تهدید می‌کند..
اگر چه چنین تحلیلی از وضعیت را همه‌ی همراهان او ندارند. برای مثال ژنرال Motti تهدید را دست کم می‌گیرد: «حمله از سوی شورشیان به این ایستگاه نمایشی بیهوده است، مهم نیست که آن‌ها چه نوع اطلاعات فنی را کسب کرده باشند.»
در حالی‌که ستاره‌ی مرده کاملاً حفاظت می‌شود، یک آسیب‌پذیری کوچک که به وسیله‌ی امپراتوری نادیده گرفته شده است کشف می‌شود، یکی از درگاه‌های خروجی حرارتی که به هسته‌ی ایستگاه فضایی متصل است مورد سوء‌استفاده قرار می‌گیرد. اگر شما بتوانید از طریق این حفره وارد شوید، بازی تمام است.

۴. من حضور چیزی را حس می‌کنم ولی نمی‌توانم آن را بشناسم (اسب تروجان یا ترویا)
اسب تروجان نوعی نرم‌افزار مخرب است که ممکن است خود را به هر شکلی نشان می‌دهد جز آن چیزی که واقعاً هست. به بیان دیگر همان‌طور که در اساطیر یونانی آمده و این بدافزار نام خود را از آن گرفته است، این بدافزار به ظاهر سطحی و بی‌خطر به نظر می‌رسد ولی در پس این ظاهر بسته‌ای ویران‌گر و خطرناک قرار دارد که در کمین نشسته است تا به سطح بالاتر نفوذ کند.
خدمه‌ی شاهین هزاره یا همان Millennium Falcon هنگامی که گرفتار کشش ستاره‌ی مرده شدند- بعد از این‌که کشف کردند سیاره‌ی Alderaan از بین رفته است- دارای همه‌ی ویژگی‌های مخرب یک تروجان هستند.
اگر چه امپراتوری در ابتدا نسبت به خطر ورود آن‌ها به ایستگاه نبرد آگاه بود – معادل بارگیری یک پیوند مخرب- اما بررسی آن‌ها چیز مخربی را نشان نداد و بنابراین آن‌ها متوجه نشدند که آلوده شده‌اند.

«شلیکی عالی بود پسر! یک در یک میلیون !»
در صورتی که Darth Vade ، اوبی وان را بکشد- و حتی اگر آن‌ها در نهایت نرم‌افزار مخرب را پیدا کرده و تلاش کنند تا آن را از بین ببرند –دیگر خیلی دیر شده است. پرتوی کششی غیرفعال شده و شاهین هزاره فرار کرده است، اتحاد شورشیان برنامه‌ی ستاره‌ی مرده را در اختیار گرفته‌اند … و شما باقی قضیه را می‌دانید: «شلیکی عالی بود پسر! یک در یک میلیون!»

۵. حفاظت از رمزهای عبور و ۲FA با این سامانه چندان قوی نیست
اگر شما بر حفاظت قوی از رمزهای عبور و احراز صلاحیت دومرحله‌ای تکیه نکنید آن‌گاه با سیاست دسترسی باز با شبکه برخورد کرده‌اید- که در برابر دسترسی محدود تنها از سوی کارکنان ارشد قرار دارد- و بنابراین خود را در معرض نفوذ به داده‌ها چه در مقیاس کوچک و چه وسیع، چه اکنون و چه در آینده قرار داده‌اید.
R۲-D۲ که – رقابت سختی را با BB-۸ در این زمان تجربه می‌کند- کار را برای فقدان حفاظت از رمزهای عبور در ستاره مرده آسان می‌کند. او نه‌تنها قادر است که خود را به رایانه‌ی مرکزی ایستگاه نبرد متصل کند، بلکه می‌تواند به اطلاعات خاص با کمترین تلاش دسترسی داشته باشد (به خصوص در مورد مکان Leia)
علاوه بر این در مراحل بعدی هنگامی که قهرمانان در دستگاه زباله خردکن به دام افتاده‌اند، R۲-D۲ باز هم می‌تواند بدون تلاش خاصی نوع داده‌ها و کنترل‌ها را برای ایجاد اختلال شناسایی کند. در مجموع هیچ اقدام امنیتی وجود ندارد که بتواند او را در کارهای خود متوقف کند.
با این حال، امپراتوری تهدید یک کارشناس فضای سایبری را پیش‌بینی کرده بود و بنابراین یک رمزعبور قوی با تأیید دو مرحله‌ای تولید کرده است بنابراین پایان «امید تازه New Hope» به شکل جالب توجهی متفاوت می‌شود.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.