چگونه می توان به یک استراتژی امنیتی درست دست پیدا کرده و از آن به عنوان وسیله ای برای پیشرفت در شغل و رسیدن به موفقیت ها و دستاوردهای مثبت استفاده کرد؟

آیا شما به دنبال یافتن فواید راهبری امنیتی هستیدیا اینکه مدیر ساده یک firewall می باشید که مشغله مهم ذهنش خنثی کردن حملات است؟ آیا شما یک کارآفرین هستید؟ اگر پاسخ شما مثبت است عملکرد شما چگونه بوده؛ تاکتیکی یا راهبردی؟در طی این مقاله شما خواهید دانست که هدف استراتژی امنیت صحبت درباره صرف هزینه های بیشتر نیست، بلکه هدف آن عملکرد متمرکز در انجام امور گوناگون می باشد.

برای شروع، تمرکز خود را بر هسته تجاری سازمان خود، اولویت ها و بخش های شلوغ و مرکزی سازمانتان معطوف کنید. برای این کار تمامی نقاط حساس کارتان و به ویژه قسمت هایی که مربوط به امنیت است را در نظر بگیرید. چنانچه کسب و کارتان استراتژی قانونمندی ندارد و یا در برنامه های موجود هیچگونه اشاره ای به امنیت نشده، اصلا نگران نشوید.وظیفه و شغل شما تعریف یک استراتژی امنیتی بر اساس ریسکهای موجود می باشد بطوریکه از تجارت شما پشتبانی کاملی را به عمل آورد.

چگونه امنیت می تواند ارزش کسب و کار شما را بالا ببرد.

ماهیت کسب و کار شما و مجریان حفظ امنیت این کسب و کار، تایید کننده استراتژی های شما هستند:

چرا وجود امنیت در کسب و کارتان لازم است و چرا بابت آن هزینه صرف می کنید؟
مشتریان کسب و کار شما چه کسانی هستند و نقش امنیت در کسب و کارتان چیست؟
آیا شما ویژگی و یا تخصص خاصی دارید که ضامن کار شما باشد. برای مثال آیا شما طراح سخت افزار و یا نرم افزار کامپیوترید؟
خدمات خارجی کسب و کار شما چیست؟ و آیا این خدمات به امنیت کسب و کارتان لطمه ای وارد می کند؟
فروشندگان، تولید کنندگان و شرکای تجاری مهم در کسب و کار شما چه کسانی هستند؟
آیا شما طرفدار بازرسی امنیتی باز هستید؟
آیا سازمان شما نیازمند اقدامات مداوم و منظم است؟
چنانچه شرکت شما یک شرکت بین المللی است، مشکلاتی که به دلیل تقابل فرهنگی برای شما پیش می آید، چه چیز هایی هستند؟
تهدیدات واقعی کسب و کار شما چه چیزهایی هستند؟
نقش شهرت، جریمه های نقدی، فقدان تواناییها و استعدادهای خاص ، زمان تدارک محصول در بازار، ابطال و از دست دادن جواز ها و یا توانایی لازم در تجارت، در کسب و کار شما تا چه اندازه است؟

آنچه که واقعا در کسب و کارتان به آن نیاز دارید و اولویت کاری شما محسوب می شود را به دقت شناسایی کنید.

برآوردی از داشته ها و سرمایه ها، تعیین کننده ملزومات امنیتی

images

در اولین قدم، شما باید سرمایه گذاران، داشته ها و محدودیت های  خود را بشناسید که شامل مقبولیت عام و خاص شما و سرویسی که ارائه می دهید، قانونی بودن فعالیتها، منابع انسانی، بازرسی های داخلی، تکنولوژی اطلاعات و حلقه های مرتبط کننده شما به آن، گزارشات مستقیم  و … می باشد. در این زمینه هیچگاه اصول و بخشهای  مهم کسب و کارتان را از قلم نیندازید. ابتکارات اصلی در پروژه هایی  که کسب و کار شما را پیش می برند در نظر گرفته و مشخص کنید که چگونه امنیتی که تعریف خواهید کرد با مدل فعالیت تجاری شما منطبق می شود.

ارزیابی نفاط قوت، نقاط ضعف، فرصت ها و تهدیدات برنامه های امنیتی (SWOT)

خطرات اصلی و شکاف ها، فرصت های غیر واقعی و فرصت هایی که می توان با صرف وقت و هزینه کم، بیشترین بهره را از آنها برد، شناسایی کنید. از تمام توان کارکنان خود بهره ببرید. به دنبال دستیابی به موفقیت های سریع باشید تا با یک جهش بزرگ، تجارت خود را به پیش برید .

بکار گیری روشهای غیر اصولی،همانطور که بر صنعت و سازمان شما تاثیر می گذارد ، بر امنیت نیز تاثیر خواهد گذاشت

پخش شایعات جعلی، رشد درصد جرایم on-line ای که با فریب افراد صورت می گیرد و همچنین رشد این جرایم در بخشهای wireless و mobility ، مجازی سازی، افزایش مقررات جهانی و نیز نرم افزارهایی که بعنوان سرویس دهنده عمل کرده و با نام نه چندان جدید Cloud Computing یا Shred IT Services شناخته می شوند ،همگی باید مورد توجه قرار گیرند زیرا احتمال آسیب رساندن آنها به کسب و کار و امنیت شما بیشتر است. حال چند مثال دیگر را برایتان مطرح می کنیم:

هجوم دزدان لب تاپ ها: چنانچه تا کنون اطلاعات مهم روی لب تاپتان را کدگذاری نکرده اید، اکنون زمان آن فرا رسیده است. پایگاه داده های کد گذاری شده ، حافظه های قابل انتقال، رمز عبور ها و وسایل سخت افزاری بی سیم ، همگی باید از این استراتژی پیروی کنند. با عمل به این استراتژیها، در صورت دزدیده شدن لوازم سخت افزاریتان کمتر نگران خواهید شد.

امروزه اغلب فعالیت های کامپیوتری از اداره به خانه منتقل شده است. سوالی که در اینجا مطرح خواهد شد این است که چنانچه برخی از کارمندان  شما از خانه کارها را دنبال می کند چگونه می توانید امنیت دسترسیها ها را تضمین کنید در حالیکه نه آن کامپیوتر متعلق به شماست و نه در شبکه شما این  فعالیت انجام شده است؟
امروزه دزدان اطلاعات در همه جا پرسه می زنند.  بنابر اعلام دو شرکت SANS و ISC2 ریسک خطر و نیز تقاضا برای امن کردن برنامه های کاربردی Web-facing و نیز توسعه چرخه های زندگی ، افزایش پیدا کرده است.

چگونه مدل کسب و کار شما با مدل امنیتی لازم برای کارتان منطبق خواهد شد.

برنامه های عملی خود را بر اساس نتایج خروجی ها، باز خورد سرمایه گذاران و سرمایه هایتان و تحلیل های SWOT تعریف کنید.

برای این کار، یک دوره زمانی ۱۲ ماهه را در نظر بگیرید. چنانچه از قبل ، برای این دوره زمانی استراتژی مشخصی داشته اید، مدت زمان آنرا به ۲۴ تا ۳۶ ماه افزایش داده استراتژی و اهداف خود را بر اساس آن ، توسعه داده و سازماندهی کنید.
پیش نویسی از  تحولات اساسی و مبتکرانه ای که باید پیاده سازی شوند و اهدافی که آنها را پشتیبانی می کنند، ارائه دهید.
باز خورد سرمایه گذاران را به دقت مورد بررسی قرار داده و سپس طرحها، برنامه هایتان رابر اساس آن، از بالا به پایین رتبه بندی کنید.

استراتژی های خود را ثبت و مستند کنید.

از قوانین و بندهای موجود طرحهای نوشته شده خود،  استفاده کنید و یا در صورت نیاز قوانین و بندهای جدیدی ایجاد کنید.
بندهای جدید را به صورت خلاصه و اجرایی بنویسید.
اهدافتان را با کلمات کاملا روان، واضح و موجز نوشته و چیزی را در لفافه بیان نکنید.

آیا شما یک مدیر عالی رتبه هستید؟ چنانچه شما مدیر یک شرکت و یا مالک یک سازمان نیستید، می بایستی مهارت های اجتماعی تان را مرور کرده و یاد بگیرید چگونه از کلمات استفاده کنید.
پس از تهیه برنامه هایتان بصورت مستند:

نکات کلیدی آنها را را برای سرمایه گذارانتان ارسال کرده و یا حتی آنها را در وب سایت داخلی سازمانتان قرار دهید. سپس آنها را به اطلاع کلیه کارکنان سازمانتان در تمامی سطوح، برسانید.
هر ساله، یک گزارش مشروح امنیتی از وضعیت سازمانتان تهیه کرده و منتشر کنید و یا آن را در یک جلسه ویژه ارائه دهید.

به خاطر داشته باشید که موفقیت شما بستگی به وسعت دید، پشتیبانی و باز خورد سرمایه گذاران شما دارد و شما باید راهی برای رسیدن به خواسته های آنان ایجاد کنید.
چنانچه شورا و یا کمیته راهبری امنیتی ندارید، با دقت کافی و در کمترین زمان آین کمیته را تشکیل دهید. سرمایه گذاران باید در این کمیته عضو باشند. می توانید مطمئن باشید که تصمیمات این کمیته در سطوح بالایی ارائه خواهد شد.

چنانچه شما می بایستی به سازمان های مسئول در امر فناوری اطلاعات گزارش بدهید، سعی کنید نمایندگانی که این کار ار بر عهده دارند از دو نفر بیشتر نباشند. واحدهای تجارتی،باید در ایده آل ترین حالت اولویت های کاری خود را بر اساس میزان ریسک در تجارت تنظیم کنند که  این امربدلیل ضرورت رعایت اصول کسب و کار و تاکید بر این اصول، از اهمیت بسزایی برخوردار است. سپس باید پشتیبانهایی برای امنیت در نظر گرفت و از بکار بردن شیوه های نادرستی که از میزان امنیت می کاهند، خودداری کرد. این موضوع با تمرکز بر منابعی که از بیشترین اهمیت برخوردارند، ریسک تجاری امنیت شما را متعادل خواهد کرد.

بمنظور مدیریت بهتر دستاوردها، برنامه های خود را مورد ارزیابی و سنجش قرار دهید.

بالا بردن استانداردها، میدان دید و میزان تمرکز شما را بر کسب و کارتان افزایش داده و تغییرات درست رفتاری را در پی خواهد داشت.  شما باید یک دید معقول و منطقی،برای مدیریت امنیتی خود انتخاب کنید. سپس تمامی استانداردهای لازم را با زبان مدیریتی و نه زبان خودتان به کار ببرید

حال تصاویری برای شما ایجاد می شوند که بصورت واضح نشان می دهند چطور برنامه های شما، از بالا به پایین، بر ریسکهای امنیتی تاثیر می گذارند.  حال در این مرحله باید مشخص کنید در کجا و در چه مرحله ای ، ایستاده اید، شکاف ها را شناسایی کنید ومیزان  تغییرات را اندازه گیری کنید. توجه کنید که  تمامی این مباحث را به طور منظم و پیوسته به سرمایه گذاران گزارش کنید.

برنامه هایتان را به روز نگه دارید.

یادداشت کردن برنامه ها نیمی از مبارزه شما در میدان تجارت محسوب می شود. پس از نوشتن حالا نوبت به اجرای آن برنامه هاست. استراتژی های خود را حداقل هر سه ماه یکبار مرور کرده و با همکاری و مشورت سرمایه گذارانتان، آنها را بطور سالیانه، مورد بررسی  و تغییر قرار دهید.

ایجاد استراتژی های امنیتی بطور معمول برای شما هزینه ای در بر نخواهد داشت.

این استراتژی حتی یک ریال هم برای شما هزینه ای به دنبال ندارد، در عوض ارزش دستاوردهای آن در شغل و برنامه های امنیتی شما به میلیون ها دلار هم می تواند برسد. امنیت، تجارت شما را در بر می گیرد نه تکنولوژی شما را. حیاتی ترین نکته در این پروسه، متمرکز ماندن، مدیریت امنیت بعنوان یک تجارت و کسب و کار، و شکستن و از بین بردن بارهایی است که بر دوش کسب و کار شماست.

 منبع: وب سایت موسسه نورانت

در این مقاله قصد داریم تا نگاهی به ۱۰ تکنیک رایج هک وب سایت‌ها در سال ۲۰۱۰ داشته باشیم. در یک نظرسنجی که از گروهی از کارشناسان و نیز با استفاده از رای گیری آزاد انجام شده است، ۱۰ تکنیک جدید و خطرناک هک وب سایت در سال ۲۰۱۰ که می‌تواند معاملات و تراکنش‌های بانکی آنلاین را به مخاطره بیاندازد، انتخاب شده‌اند:

۱- Padding Oracle Crypto Attack

در این روش، از ویژگی‌های Microsoft web framework ASP.NET در از محافظت کوکی‌های رمزگذاری AES استفاده می‌شود. اگر رمزگذاری داده‌های کوکی تغییر پیدا کند، زمانیکه ASP.NET نتایج خود را در برنامه مدیریت می‌کند، برخی از اطلاعات درباره رمزگشایی ترافیک را فاش می‌سازد. با تکرار تغییرات و افشای اطلاعات، هکر می‌تواند نتیجه بگیرد که کدام بایت‌ها را می‌تواند از کلید رمزگذاری حذف کند و حدس زدن کلید را راحت می‌کند.

۲- Evercookie

کوکی‌های سنتی، مقدار کمی داده هستند که توسط مرورگر کاربر ذخیره می‌شوند و اطلاعات کاربر را ذخیره می‌کنند. بخاطر مسائل امنیتی و حریم خصوصی، تمام مرورگرها مکانیزمی برای پاک کردن آنها دارند.

Evercookie، برنامه مبتنی بر جاوا است که در مرورگر کاربران، کوکی‌های zombie تولید می‌کند و خود را در ماشین قربانیان مخفی می‌کند تا پاک کردن آنها دشوار شود. هکر با استفاده از Evercookie می‌تواند کامپیوتر قربانی را بشناسد حتی اگر کوکی‌های سنتی پاک شده باشند.

در واقع این روش برای تولید کوکی‌های دائمی بر روی مرورگر کلاینت استفاده می‌شود و هدف اصلی آن، شناسایی کلاینت‌ها حتی پس از پاک کردن کوکی‌های استاندارد است. برای این منظور، Evercookie، کوکی را در چندین نقطه ذخیره می‌کند و اگر پاک شود، با استفاده از مکانیزم‌های خود، دوباره آن را ایجاد می‌کند. (این روش را Samy Kamkar در سال ۲۰۱۰ ابداع کرد).

۳- Hacking Autocomplete

اگر قابلیت Autocomplete که امکان کامل کردن خودکار فرم‌های وب سایت‌ها را می‌دهد در مرورگر فعال شده باشد، اسکریپتی که در وب سایت هکر قرار دارد می‌تواند مرورگر را مجبور کند که فیلد مربوط به اطلاعات شخصی را با اطلاعات مختلفی که در کامپیوتر قربانی وجود دارد پر کند (این روش توسط Jeremiah Grossman ابداع شده است).

۴- Attacking HTTPS with Cache Injection

هکر می‌تواند با تزریق اسکریپت‌های مخربانه جاوا به داخل کش یک مرورگر، وب سایت‌هایی که با SSL محافظت می‌شوند را به خطر بیاندازد. این روش تا زمانیکه کش پاک شود، کار می‌کند. تقریبا نصف یک میلیون وب سایت برتر از کتابخانه‌های جاوا اسکریپت استفاده می‌کنند بنابراین مستعد این حمله هستند (این روش توسط Elie Bursztein، Baptiste Gourdi، و Dan Boneh ابداغ شده است).

۵- Bypassing CSRF protections with ClickJacking and HTTP Parameter Pollution

هکر در این روش، cross site را دور می‌زند و با ارسال درخواست جعلی، قربانیان را گول می‌زند تا آدرس ایمیل آنها را بدست آورد و سپس با استفاده از این‌ها، پسوردهای قربانی را ریست کند و به اکانت‌های آنها دسترسی داشته باشد (این روش توسط Lavakumar Kuppan ابداع شده است).

۶- Universal XSS in IE8

مرورگر Internet Explorer 8 از حملات XSS پیشگیری می‌کند. اما نه تنها می‌توان این قابلیت IE را دور زد بلکه می‌توان از آن سواستفاده کرد. با استفاده این اکسپلویت می‌تواند پیش دستی کند و توسط کاربر شرور صفحات وب را بصورت غیر صحیح درآورد.

۷- HTTP POST DoS

تفاوت این روش DoS با دیگر روش‌ها در این است که برطرف کردن آن بسیار دشوار است برای اینکه این روش بر مبنای روشی است که پروتکل HTTP کار می‌کند. بنابراین، برطرف ساختن آن، به معنای شکستن پروتکل HTTP است.

در این روش هکر تعدادی ارتباط با وب سرور برقرار می‌سازد که هر کدام از این ارتباطات دارای هدری با طول بزرگ (برای مثال ۱۰۰۰۰۰۰۰) است بنابراین وب سرور انتظار ۱۰۰۰۰۰۰۰ بایت را از این ارتباطات دارد. اما این همه داده بصورت یکجا ارسال نمی شود و با فاصله‌های زمانی طولانی (مثلا هر ۱۰ یا ۱۰۰ ثانیه یک بایت) ارسال می‌شوند. بنابراین وب سرور این ارتباطات را برای مدت زمان طولانی باز نگه می‌دارد تا تمام داده‌ها را دریافت کند. بنابراین کلاینت‌های دیگر نمی‌توانند به آن متصل شوند (این روش توسط Wong Onn Chee and Tom Brennan ابداع شده است).

۸- JavaSnoop

java agent که به ماشین هدف متصل می‌شود، با ابزار JavaSnoop ارتباط برقرار می‌کند تا نقاط ضعف و آسیب پذیری‌های برنامه‌های ماشین قربانی را آزمایش کند. این می‌تواند یک ابزار امنیتی یا یک ابزار هک باشد و بستگی به ذهنیت کاربر دارد (این روش توسط Arshan Dabirsigh ابداع شده است).

۹- CSS History Hack in Firefox without JavaScript for Intranet Port Scanning

شیوه ارائه آبشاری (cascading style) که برای نمایش HTML استفاده می‌شود می‌تواند تاریخچه مرورگر قربانیان را بگیرد. سپس با بررسی تاریخچه سایت‌هایی که قربانی مشاهده کرده برای انجام عملیات فیشینگ استفاده شود (این روش توسط Robert ‘RSnake’ Hansen ابداع شده است).

۱۰- Java Applet DNS Rebinding

در سال ۲۰۰۷ کشف شد که اپلت‌های جاوا زمانیکه با پلاگین LiveConnect مرورگر فایرفاکس همراه می‌شود، آسیب پذیر می‌شود و مستعد حمله DNS Rebinding است و از قابلیت‌های جاوا از قبیل ارتباطات TCP و UDP بر روی وب سایت‌های غیرمجاز استفاده می‌کند. اپلت‌های جاوا، مرورگر را به وب سایت هکر هدایت می‌کند و مرورگر را مجبور به دور زدن کش DNS می‌کند در نتیجه برای حمله DNS rebinding آسیب پذیر می‌شود. همانطوریکه ذکر شد این حمله تنها بر روی مرورگر فایرفاکس کار می‌کند. (این روش توسط Stefano Di Paola ابداع شده است).

منابع:

وب سایت شرکت نورا ایمن سیستم

گوشی هوشمند شما ممکن است از خطر مبرا به نظر برسد، اما هنگامی که توسط بدافزارها مورد حمله قرار بگیرد متوجه می‌شوید که اطلاعات شما دیده شده است و جعل می‌شود.

mobile hack

LG Chem که یکی از بازوهای صنعتی کمپانی مادر LG است، با انتشار بیانیه ای خبر از آمادگی برای تولید باتری های نسل جدید داده که در سه دسته، یعنی باتری پله ای، باتری خمیده و باتری کابلی قابل تقسیم هستند.
این بازوی ال جی که در صنایع شیمیایی فعال است، توضیحاتی هم درباره این باتری ها داده که در ادامه می خوانید.
باتری پله ای شامل چندین بلوک ذخیره انرژی است که به صورت پله ای روی هم قرار گرفته اند و امکان استفاده بهتر از فضاهای داخلی دستگاه ها را فراهم می کنند، به شکلی که با استفاده از این نوع باتری در LG G2 عمر باتری ۱۶٪ یا به عبارتی ۳ ساعت افزایش یافته.
باتری خمیده  نیز می تواند در دستگاه هایی با نمایشگر خمیده یا طراحی قابل انعطاف گنجانده شود. با استفاده از تکنولوژی های خاص در زمینه بسته بندی و خمش باتری، ال جی توانسته فشار فیزیکی ناشی از خمیدگی بر سلول های ذخیره انرژی را کاهش دهد و امکان استفاده از این نوع باتری در دستگاه هایی نظیر تلفن، ساعت و عینک هوشمند را فراهم کند.
در آخر، باتری کابلی را داریم که در ابتدای مطلب عکس آن را می بینید و قابل استفاده در گجت های پوشیدنی و تاشو است. به واسطه طراحی شدن برای کار با الکتریسیته خفیف، این باتری به هیچ عنوان گرم نمی شود و در نتیجه کاربر می تواند ساعات زیادی از دستگاه های خود استفاده کند. تصور استفاده از این باتری در ساعت، عینک، مچ بند، و حتی گردنبند های هوشمند، بسیار جذاب است.
به نظر می رسد ال جی در گام اول قصد استفاده حداکثری از فضای داخلی گجت ها به واسطه طراحی باتری هایی با اشکال مختلف و انعطاف پذیری مناسب را دارد و بعید است فعلا در زمینه ترکیب شیمیایی باتری ها پیشرفتی را شاهد باشیم. ولی همین هم جای امیدواری دارد. این طور فکر نمی کنید؟
flaxible_batrii_2

هدفون‌ها برای ۱۰ درصد افراد اختلالات شنوایی ایجاد می‌کنند

کمیته دانشمندان و محققان اتحادیه اروپا بر پایه آخرین مطالعات و بررسی‌های خود اعلام کرد، ۵ تا ۱۰ درصد افرادی که روزانه دست‌کم یک ساعت به وسیله هدفون‌ها موسیقی را با صدای بلند گوش می‌دهند، در معرض اختلالات شنوایی قرار می‌گیرند.

به گزارش بخش خبر شبکه فن آوری اطلاعات ایران،از سایت خبرگزاری فارس، این مسئله بر همگان واضح است که صاحبان دستگاه‌های قابل‌حمل پخش موسیقی، PDAها، تلفن‌های همراه و … معمولا صداها را از طریق هدفون با صدای بلند گوش می‌دهند. زیرا افراد با این کار سعی می‌کنند که تمرکز بیشتری بر موسیقی داشته باشند و توجه بیشتری به اشعار و صدای پخش شده بکنند. این مسئله باعث می‌شود تا آسیب بیشتری به گوش آن‌ها وارد شود.

این کمیته بر مبنای نتایج حاصل از آخرین بررسی‌های خود اعلام کرده‌اند که ۵ تا ۱۰ درصد تمام کسانی که موسیقی را در دستگاه‌های قابل‌حمل پخش موسیقی با صدای بلند گوش می‌دهند و روزانه دست‌کم یک ساعات موسیقی را به این صورت برای خود پخش می‌کنند، خطر ابتلا به نارسایی‌ها و اختلالات شنوایی را بیشتر می‌کنند.

کمیسیون اروپا هم‌اکنون همایشی ترتیب داده است تا از این طریق بتوانند کاربران را در جریان آخرین خطرات ناشی از گوش دادن به موسیقی با صدای بلند بگذارد.
این کمیته اعلام کرده است که به صورت کلی، صحبت‌ کردن، گوش دادن به موسیقی و … با صدای کمتر از ۸۰ دسیبل برای گوش‌ها ایمن است و بیشتر از آن می‌تواند خطرآفرین باشد.

طبق اعلام شرکت SplashData که سازنده برنامه مدیریت رمزهای عبور است، متاسفانه هنوز رده های بالای بدترین رمزهای عبور در اختیار عبارت password و ۱۲۳۴۵۶ است. با استفاده از اطلاعات شخصی میلیون ها کاربر که بعد از هک سرورهای مختلف مانند سونی و CIA، توسط هکرها منتشر شده، این شرکت لیستی از ۲۵ رمزعبور ضعیف امسال را منتشر کرده است.
رمزعبور شماره ۹ (trustno1) جالب و کنایه آمیز است و عجیب اینکه این همه پرکاربرد شده و رمزعبور شماره ۱۸ (passwOrd) نشان می دهد که اکثر افراد برعکس آنکه سعی می کنند باهوش و زرنگ جلوه کنند، اینچنین نیستند.

۱٫ password
۲٫ ۱۲۳۴۵۶
۳٫ ۱۲۳۴۵۶۷۸
۴٫ qwerty
۵٫ abc123
۶٫ monkey
۷٫ ۱۲۳۴۵۶۷
۸٫ letmein
۹٫ trustno1
۱۰٫ dragon
۱۱٫ baseball
۱۲٫ ۱۱۱۱۱۱
۱۳٫ iloveyou
۱۴٫ master
۱۵٫ sunshine
۱۶٫ ashley
۱۷٫ bailey
۱۸٫ passw0rd
۱۹٫ shadow
۲۰٫ ۱۲۳۱۲۳
۲۱٫ ۶۵۴۳۲۱
۲۲٫ superman
۲۳٫ qazwsx
۲۴٫ michael
۲۵٫ football

۹ نکته پنهان از چشمان مدیران امنیت شبکه
اینکه کاربر به دسترسی به اینترنت و تمام وسایل ارتباطی نیاز دارد و انتظار دارد در هر زمان این دسترسی فراهم باشد پذیرفتنی است. در عین حال خواسته‌های کسب و کار برای وسایل ارتباطی نیز، روز به روز در حال افزایش است. روند رو به رشد اطلاعات کارکنان و شرکت‌ها چالش مضاعفی را ایجاد می‌کند و نگهداری از این اطلاعات با توجه به رشد تهدیدات سایبری کاری دلهره‌آور است.

به گزارش روابط عمومی شرکت کسپرسکی، حتی در برخی موارد بدون آگاهی و ناخواسته، بسیاری از حوزه های IT به همدستان مجرمان اینترنتی تبدیل شده‌اند. این مقاله روش‌های متعددی که حوزه‌های IT جرایم اینترنتی را فعال می‌سازند را توضیح می‌دهد و راه‌حل‌هایی برای جلوگیری از این خطر ارایه می‌کند.
مقاله ارایه شده درباره ۹ راهکاری است که امروزه در ایجاد جرایم اینترنتی نقش دارند و بر اساس تحقیقاتی که توسط متخصصان و محققان کسپرسکی انجام شده، راه‌حل‌هایی برای توقف این جرایم پیشنهاد می‌کند.

networkadministrator_17450375-655x280

۱-فرض اینکه اطلاعات در مرکزداده (data center) هستند
در نظر بگیرید که مدیران شرکت یک کپی از ایمیل‌هایشان را روی تلفن‌های همراه خود، کپی دوم را در لپ‌تاپ و نسخه سوم را در سرور ایمیل سازمان ذخیره می‌کنند. این موضوع به وضوح نشان می‌دهد که اطلاعات بیرون مرکز داده دو برابر اطلاعاتی است که داخل آن ذخیره می‌شود. علاوه بر اینها، اطلاعات داخل حافظه‌های فلش، CDها، نوارهای پشتیبان، راهکارهای مبتنی بر فناوری ابر(cloud) و همچنین اطلاعاتی که بین سازمان و شرکاء مبادله می‌شود نیز وجود دارد، و اندازه این اطلاعات بیش از آنچه تصور می‌کنیم در حال رشد است.
چه لزومی دارد که برای تقویت مرکز داده با پرداخت هزینه و زمان زیاد از فناوری‌هایی مانند Authentication، مدیریت دسترسی، فایروال، جلوگیری از نفوذ شبکه و غیره استفاده شود؟ بیان این مطلب به معنی بی اهمیت بودن این فناوری‌ها نیست، به طور قطع آنها از اهمیت بالایی برخوردارند، اما ما احتیاج داریم که بر بخشی که اطلاعات در آن مترکز شده است تمرکز کنیم؛ و این یعنی کاربر نهایی.
داده‌ها در سیلو نگهداری نمی‌شوند! بلکه به طور آزادانه خارج از مرکز داده در حال انتقال هستند.در واقع، تحقیقات IDC نشان می‌دهد که رایانه‌های شخصی و لپ‌تاپ‌ها بیشترین نگرانی را در زمینه پیشگیری از نشت داده‌ها (Data Leakage Prevention) به وجود می‌آورند. کاربر نهایی یک تهدید جدی در زمینه از دست دادن داده‌هاست. تحقیقات IDC نیز نشانگر این است که در جهان نوین سایبری، بیشترین هزینه‌ها بابت جابه‌جا شدن اطلاعات (Mobility) پرداخته می‌شود که نشانگر این است که میزان داده‌های بیرون از پایگاه‌های داده سازمان‌ها، بسیار زیاد شده است.

۲-عدم به رسمیت شناختن ارزش داده‌های گوشی تلفن همراه
وقت شما گرانبهاست. ساعت‌های بی‌شماری را برای ساخت گزارش‌ها و تحلیل آنها برای اخذ تصمیمات برای سازمان می‌گذاریم. تعطیلات خود را صرف نگارش یک ایمیل یا ارایه آن می‌کنیم و یا تلاش و کوشش فراوانی برای نتیجه گرفتن از یک فرصت تجاری حساس انجام می‌دهیم؛ تمام این موارد مقادیر زیادی از اطلاعات را در سیستم های قابل‌حمل بارگذاری می‌کند.
حوزه‌های IT با لپ‌تاپ مانند یک بطری نوشابه برخورد می‌کنند. زمانی که یک دستگاه گم می‌شود یا به سرقت میرود، شرکت بیمه تنها بهای بطری خالی را می‌پردازد نه محتویات آن را، بدون توجه به اینکه این محتویات چه حد اهمیت دارند.
به همین دلیل، راهکارهای حفاظتی روی گوشی بیشتر هم تراز قیمت گوشی است تا ارزش داده‌های داخل آن. در حالی که واقعیت این است که در اغلب مواقع ارزش اطلاعات داخل تلفن همراه از ارزش خود تلفن بسیار بیشتر است.
بنابراین استفاده از برنامه‌های ضد سرقت، ضد بدافزار و فناوری‌های حفظ حریم خصوصی برای دستگاه‌های موبایل شروع خوبی برای حفاظت از اطلاعات داخل این دستگاههاست.
یک روند تجاری در میان شرکت‌های تولیدکننده سامانه‌های رایانه‌ای به کاربران اجازه می‌دهدکه هنگام خرید، مدل دستگاه دلخواه خود مانند لپ‌تاپ یا تلفن‌های هوشمند را انتخاب کنند. رشد تعداد گوشی های iPhone که از شبکه شرکت‌ها پشتیبانی می‌کند، مثال واضح این مطلب است.
متاسفانه، نگرانی بیشتر مردم و فروشگاه‌های IT از هزینه و زمانی است که صرف جایگزینی یک دستگاه می‌کنند بدون اینکه توجهی به ارزش اطلاعات داخل آن دستگاه بکنند.
کارمندان مجهز به دستگاه‌هایی به انتخاب خود هستند به جای اینکه به دستگاه‌هایی با برنامه های ضد بدافزار، ضد سرقت و فناوری حریم خصوصی مجهز باشند. در نتیجه، شاهد تنوع درحال گسترش دستگاه‌ها، سیستم‌عامل‌ها، پروفایل‌های امنیتی و دیگر فناوری‌های داخل شبکه سازمان‌ها هستیم. برای سازمان با اعضاء امنیتی محدود، تقاضا برای تضمین امنیت یک پلات‌فورم می‌تواند بیش از ظرفیت پشتیبانی کارکنان واحد امنیت باشد.

۳-با لپ‌تاپ‌ها و دستگاه‌های موبایل مانند دارایی‌های از شرکت برخورد کنید که هرگز نباید از آنها برای موارد شخصی استفاده شود،

اعتقاد داشته باشید که اطلاعات شرکت هیچ راهی برای ورود به سیستم‌های شخصی نخواهند یافت.
چند سال پیش، شبکه‌های حوزه IT به عنوان یک محیط جامد تعریف می‌شد. فناوری‌های محافظتی تعیین می‌کردند که کدام دستگاها خارجی و و کدام داخلی هستند. دستگاه‌های خارجی به عنوان دستگاه‌های غیرقابل اعتماد شناخته می‌شدند و دستگاه‌های داخلی از حفاظت فایروال شرکت‌ها بهره‌مند می‌شدند.
تجارت‌ها در سراسر دنیا شاهد افزایش مزایای استفاده از دستگاه‌های ارتباط از راه دور و یا تلفن همراه بودند. پیشرفت در تکنولوژی موبایل به شرکت‌ها اجازه ایجاد کاربران «همیشه متصل» را داد که این کاربران اجازه دسترسی به تمام اطلاعات شرکت اعم از نرم‌افزارها، مدارک و ایمیل‌ها از سراسر دنیا، حتی در زمان سفر را داشتند. این دسترسی شامل دستگاه‌های دستی است. کارکنان موبایل، می‌توانستند به شبکه شرکت‌ها و داده‌ها ازسالن‌های فرودگاه، هتل‌ها و در طول پرواز دسترسی داشته باشند که این ارتباطات بسیار نا امن بود. همچنین، ساعت کاری مشترک که محدود به ۹ تا ۵ است و در این ساعت‌ها بیشتر کارمندان در حال استفاده از اطلاعات روز، پاسخگویی به مشتریان و انجام وظایف روزمره خود هستند. حال این محیط یک آسیب‌پذیری جدید شرکت های بزرگ را ایجاد کرده است که این محیط‌ها را به هدفی برای تهدیدات نوظهور تبدیل می‌کند. سیاست قدرتمند برای مدیریت لپ‌تاپ‌ها با رایانه‌های شخصی متفاوت است. در اغلب مواقع به دلیل اینکه رایانه‌های شخصی تنها در محیط شرکت استفاده می‌شوند نیاز به استفاده از فناوری خاصی، مانند فایروال مجزا ندارند در حالی که لپ‌تاپ‌ها نیاز دارند.
هنگامی که آنها محیط داخل شبکه شرکت با امنیت نسبی را ترک می‌کنند، نرم افزارهای امنیتی باید به طور خود کار برنامه‌ریزی شده فعال شوند. اقدامات امنیتی مانند فعال کردن فایروال، غیرفعال کردن ارتباطات بی‌سیم و بلوتوث بدون درخواست رمز عبور و افزایش بررسی دستگاه‌های USB، باید بلافاصله پس از خروج لپ‌تاپ از شبکه شرکت تغییر کنند.

۴-قبول رسانه‌های اجتماعی بدون محافظت
شبکه‌های اجتماعی آمده‌اند که بمانند! زمانی که از این شبکه‌ها به درستی استفاده شود به طور فوق‌العاده‌ای می‌توانند یاری رسان باشند. ۱۰ سال پیش، بیشترین فشار بر حوزه IT مدیریت بر دسترسی کاربران به اینترنت بود. مدتی بعد از آن دغدغه دسترسی به ایمیل و بعد از آن نرم‌افزارهای مربوط به چت پیش آمد. هر کدام از این موارد به یک ماموریت حساس در تجارت تبدیل شد. رسانه‌های اجتماعی قدم بعدی خواهند بود و ما باید آماده باشیم.
برای بسیاری از سازمان‌ها این سوال مطرح است که چگونه به کاربران خود اجازه دسترسی به ابزار وب بدهند بدون اینکه امنیت به خطر بیافتد و یا قوانین سازمان نقض شود؟ رسانه‌های اجتماعی و فناوری‌های وب، اگر به صورت ایمن استفاده شود می‌تواند به بالا بردن بهره‌وری سازمان کمک کند و سازمان را به سمت بازدهی بیشتر سوق دهد. تمرکز ما باید بر روی این موضوع باشد که چگونه می‌توان سازمان‌ها را به استفاده از رسانه‌های اجتماعی با رویکردی امن تشویق کرد؟ زیرا ثابت شده است که جز چند مورد استثناء، ممنوعیت آشکار رسانه‌های اجتماعی کاری نشدنی است.
یک سیاست رسمی برای کنترل دسترسی و مدیریت استفاده از رسانه‌های اجتماعی ضرورری است. به عنوان مثال، اگر یک شرکت مجموعه خود را در مقابل حمله بدافزارها ایمن ساخته باشد، ولی کنترل کافی بر دسترسی کاربران به شبکه‌های اجتماعی نداشته باشد، یک کارمند به طور غیر عمد می‌تواند شبکه را آلوده کند و مسبب زیان‌هایی به آن شرکت شود. شبکه‌های اجتماعی نیز به عنوان راهی برای نشت اطلاعات محسوب می‌شود، زمانی که کارمندی به طور ارادی اطلاعات خود را با شخص ثالثی در این محیط به اشتراک می‌گذارد می‌تواند خطر ایجاد کند.
جز موارد اندکی، مانند محیط‌های دانشگاهی که به میزان زیادی تحت کنترل هستند، ممنوعیت رسانه‌های اجتماعی غیر عملی است. یک روش عملی به کارگیری فناوری‌هایی است که ترافیک شبکه و میزان استفاده از این رسانه‌ها را دقیقا بررسی می‌کند و سایت‌های مخرب شناخته شده را مسدود می‌کند.

۵-تمرکز بر محافظت مقابل شناسایی و پاسخ
در نظر گرفتن طرح‌های جامع امنیتی قابلیت‌های متعددی را درگیر می‌کند. این قابلیت‌های بنیادی محافظت، شناسایی و پاسخ است. محصولات آنتی‌ویروس اغلب نادیده گرفته می‌شوند و با آنها تنها به عنوان یک کالا که هر سال تمدید می‌شود برخورد می‌شود و در نتیجه قابلیت‌های شناسایی و پاسخ نیز نادیده گرفته می‌شود. همانطور که ذکر شد، این سه مورد عناصر ضروری در ایجاد امنیت برای سازمان شما هستند. همچنین در صنعت طیف گسترده‌ای از ابزارها برای امنیت، مدیریت، کارایی و پشتیبانی وجود دارد.
تمرکز بسیاری از سازمان‌ها بر انتقال به فناوری‌های امنیت مدرن مانند DLP، رمزگذاری و غیره است. و این در حالی است که با وجود استفاده از این ابزارها، میزان حوادث مربوط به بدافزارها و آلودگی حاصل شده از این بدافزارها رو به افزایش است. بررسی‌های که توسط IDC انجام شده نشانگر این است که ۴۶ درصد سازمان‌ها شاهد افزایش این حوادث بوده‌اند و این در حالی است که تنها ۱۶ درصد سازمان‌ها کاهش این حوادث را داشته‌اند. این آمار در محیط‌های SMB (که تعداد کاربران بین ۵۰۰ تا ۲۵۰۰ است) با محیط‌های دیگر تفاوت چشمگیری داشته است. در محیط SMB 44 درصد افزایش و تنها ۷ درصد کاهش این حوادث را شاهد بودیم.
این آمار به این معنی است که با وجود این همه ابزار پیشگیری، باز هم بدافزارها در حال انتشار هستند و این روند رو به رشد تاکید دارد که برای قابلیت‌های شناسایی و پاسخ باید هزینه‌های بیشتری شود. حوزه‌های IT در بخش مکانیسم‌های محافظت در gateway سرمایه‌گذاری کرده‌اند و این درحالی است که هنوز برای کارمندان درهای گشت و گذار در وب بدون مکانیسم امنیتی مناسب باز است و مجرمان شناسایی نمی‌شوند و به طور موثر فعالیت‌های مخرب آنها مسدود نمی‌شود.
امروزه به دلیل اینکه مجرمان کاربر نهایی را هدف خود قرار می‌دهند روی سیستم کاربران نهایی نیاز به فناوری تشخیص و پاسخ قوی است که آنها را در مقابل بدافزارهایی که مجرمان اینترنتی برای سرقت اطلاعات مهم طراحی می‌کنند، محافظت کند.

۶-عدم ترویج فرهنگ آگاهی
آگاهی و آموزش به کاربر نهایی در تمام مراحل و سطوح امنیت داده‌ها امری ضروری است. به عنوان مثال، کاربر باید از نحوه دفاع از خود در مقابل کدهای مخرب، گشت و گذار امن، جلوگیری از نرم افزارهای جاسوسی و قوانین الصاق آگاه باشد. سیاست‌های مربوط به رمز عبور باید اجرا شده و سیاست‌های استفاده از وب باید به وضوح طراحی، اجرا و بررسی شود.
آگاهی از تهدیدات، اثر و روش تکثیر آنها، به هوشیاری کاربران کمک می‌کند و از اتخاذ تصمیمات نادرست توسط کاربر که باعث آلودگی سیستم می‌شود جلوگیری می‌کند. مطمئنا به کارکنان حوزه IT نیز باید مبارزه با تهدیدات مدرن آموزش داده شود تا بتوانند تصمیمات درستی در استفاده از فناوری‌های محافظت و تشخیص اخذ کنند.

۷-گزارش‌های نقض امنیت
گرچه جرایم نقض امنیت بیش از ۲۳ درصد افزایش یافته است و هزینه این جرایم نیز بیش از ۲ برابر شده است، ولی این تنها نوک یک کوه یخ است! این آمار، که توسط FBI منتشر شده، ناقص است. زیرا بسیاری از شرکت‌ها گزارشی درباره به سرقت رفتن اطلاعاتشان نمی‌دهند. شرکت‌ها به دلیل ترس از کاهش سهام، ارزش، شهرت و تاثیرات منفی آنها، از ارایه این گزارش‌ها جلوگیری می‌کنند. در حالی که این امر کاملا طبیعی است، اما تاثیر منفی آنرا می‌توانیم در نتایج نادرست به دست آمده در زمینه رشد تهدیدات در اینترنت شاهد باشیم.
گزارش‌های نادرست به شرکت‌ها این باور غلط را می‌دهد که تهدیدات ناشی از نرم‌افزارهای مخرب و رشد مجرمان اینترنتی کاهش یافته است. اما واقعیت این است که تهدیدات بیش از ۲۳ درصد افزایش یافته‌اند، ولی به دلیل کامل گزارش نشدن سرقت اطلاعات که در هر روز اتفاق می‌افتد، FBI قادر به ارایه گزارش دقیق نیست. این در حالی است که شرکت‌ها از آگاهی درباره این سرقت‌ها، چگونگی انجام آنها و راه‌های مقابله با آنها در موارد مشابه، سود بیشتری خواهند برد.

۸-الگوهای امنیتی
پیروی از مقررات و امنیت IT همیشه هم معنی نیستند. شما همیشه می‌توانید از یکسری مقررات وضع شده پیروی کنید و در عین حال همیشه در مقابل تهدیدات ایمن نباشید. بسیاری از سازمان‌ها به محافظت در مقابل بدافزارها تنها به چشم یک بخش برای چک کردن نگاه می‌کنند. صرف پیروی از مقررات، اغلب یک روش «بالا به پایین» است. قالب برش بیسکوئیت این مطلب را به سادگی توصیف می‌کند. یک کارخانه باید به محصولات خود نگاه کند و بیابد که چگونه می‌تواند آنها را با این قالب تطابق دهد.

امنیت زمانی که به درستی پیاده‌سازی شود یک رویکرد «پایین به بالا» است. زمانی که شما در حال طراحی یک نرم‌افزار و یا معماری جدید برای شبکه سازمان خود هستید باید عناصر امنیتی را در نظر بگیرید. همانطور که زمانی که در حال طراحی یک نرم‌افزار تغییرات احتمالی بعدی را در نظر می‌گیرید، در استفاده از عناصر امنیت نیز باید این نکته را در نظر بگیرید که شبکه در طول مدت گسترش، باید مودر بازبینی مداوم قرار گیرد.

۹-فرض اینکه همه چیز خوب است
اگرچه ممکن است که سیستم‌ها ضد گلوله باشند، اما در نهایت انسان‌ها از این سیستم‌ها استفاده می‌کنند. در بسیاری از موارد مشکلات در نتیجه همین عنصر انسانی به وجود می‌آید، بر اساس اشتباهات ساده، فقدان دانش لازم و آموزش کافی، و مانند اینها. کارکنان یک شرکت باید درباره مدیریت اطلاعات، مانند چگونه رفتار درست در شرایط خاص، چگونگی پیروی از سیاست‌های شرکت و چگونگی جلوگیری از بدافزارها را آموزش ببینند. همچنین آگاه باشند زمانی که یک بدافزار به شبکه نفوذ کرده است، چه عملی باید انجام دهند تا از اطلاعات محافظت کنند و جلوی خسارت بیشتر را بگیرند.
نگاهی دقیق بر رویدادهای امنیتی احتمالی در شرکت خود داشته باشید. همه چیز خوب نیست. همه ما می‌توانیم راه‌های بیشتری برای جلوگیری از سرقت اطلاعات مهم خود پیدا کنیم.

خلاصه هر روز مجرمان اینترنتی راه‌های جدیدی برای نفوذ به سیستم کاربران نهایی شرکت‌ها می‌یابند تا به این وسیله اطلاعات مهم و دارایی آنها را به سرقت ببرند. طبق گزارش «The Top Cyber Security Risks» که توسط SANS.org ارایه شده، شرکت‌ها روزانه هزاران دلار خسارت می‌دهند در حالی که فکر می‌کنند در برابر تهدیدات ایمن هستند.

استفاده از دستگاه های تلفن همراه برای گرفتن پرینت با پرینترهای شرکت امری بدیهی است. Hewlett-Packard سعی کرده است از طریق ویژگی پرینت مستقیم بی سیم با خطرات امنیتی این روش مقابله نماید.
شرکت HP دو ویژگی NFC و وای فای مستقیم را به پرینترهای رنگی لیزری جدید اضافه کرده است در نتیجه دستگاه های تلفن همراه می توانند بدون اتصال به شبکه سازمان و به طور مستقیم یک ارتباط بی سیم را با پرینتر برقرار نمایند. این پرینترها می توانند یک ارتباط نظیر به نظیر را با تبلت ها یا گوشی های هوشمند برقرار نمایند و کاربران می توانند به راحتی و به طور مستقیم درخواست های پرینت خود را برای یک پرینتر ارسال نمایند.

مدیر شرکت HP اظهار داشت: هدف از افزودن این دو ویژگی آن است که کاربران شرکت ها به راحتی بتوانند به پرینتر دسترسی داشته باشند و هم چنین به راحتی بتوان با تبلت ها و گوشی های هوشمند تقلبی مبارزه کرد.

پرینترهای سازمان به طور فزاینده ای برای گرفتن پرینت اسناد شخصی مورد استفاده قرار می گیرند و در محیط هایی که از دستگاه های شخصی استفاده می شود، دستگاه های تقلبی می توانند یک مشکل امنیتی محسوب شوند. ویژگی های جدید نظیر به نظیر برای پرینت گرفتن می تواند باعث شود تا محیط های BYOD راحت تر مدیریت شود.

بسیاری از پرینترها اغلب بواسطه دیوار آتش به سیستم متصل می شوند و برای کاربران مجوزهای خاصی برای پیرنت گرفتن درنظر گرفته می شود و بر روی سیستم اعمال می گردد. اما اتصال مستقیم به پرینترها از طریق ویژگی های NFC و وای فای مستقیم مستقل از دیوار آتش عمل می کند و هم چنین دیگیر نیازی نیست تا مدیر شبکه مجوزهای خاص را برای کاربران BYOD نمایند.

شرکت HP به همراه انتشار پرنترهای لیزری جدید خود، نرم افزاری را برای امنیت بیشتر پرینترها پیشنهاد می دهد. نرم افزار مربوطه برای دستگاه های تلفن همراه برنامه ePrint Enterprise 3.2 می باشد که قبل از اتصال کاربر به پرینتر لایه های امنیتی را ارائه می دهد.

در چند سال اخیر آن قدر از رسانه های مختلف در باب فواید بانکداری الکترونیک دیده و شنیده اید که نیازی به تکرار مکررات و واضحات نیست. اما طبیعتاً هر دست-ساخته بشری در کنار مزایا،مضررات و همراه با ساده کردن ها، خطراتی هم در پی دارد. فناوری های نوین هم از این قاعده کلی مستثنی نیستند.

بانکداری الکترونیک نیز با مخاطراتی همراه است، کما اینکه بانکداری سنتی هم خطراتی داشت و دارد. حتماً زیاد شنیده اید که پول افراد را پس از خروج از بانک زده اند یا کارت بانک کسی را دزدیده و از آن سوء استفاده کرده اند. پس مسئله بود و نبود خطر نیست؛ آنچه مهم است نحوه مواجهه با آن و آموزش استفاده صحیح از یک فناوری است. در این نوشتار قصد داریم به ۸ نکته ابتدایی برای به حداقل رساندن مخاطرات پیش رو در بانکداری الکترونیک بپردازیم.

dr_pc

۱- حسابی با دو مرحله تایید انتخاب کنید

تلاش اول تان این باشد که بانکی را برای حساب باز کردن انتخاب کنید که در زمینه بانکداری الکترونیک پیشرو باشد، سامانه اینترنتی مجهز و امنی داشته و حتماُ از «تایید دو مرحله ای» برای ورود به سامانه خود برخوردار باشد.

مدتی است که بسیاری از بانک ها، اما نه همه شان، یک دستگاه کوچک (نمونه آن را Token می نامند) به مشتریان خود می دهند که برای ورود به حساب اینترنتی هر بار یک رمز منحصر به فرد تولید می کند. این رمز فقط برای مدت کوتاهی معتبر است و در کنار اطلاعات حساب آنلاین خود برای ورود به سامانه، به آن هم نیاز دارید.

۲- یک رمز عبور قوی انتخاب کنید

اگر بانک تان دستگاه تولید رمز ارائه نمی کند و به جای آن هر مشتری رمز خودش را می تواند داشته باشد حتماً مطمئن شوید که رمز انتخابی شما به اندازه کافی قوی است . بهترین راه برای دست یابی به این هدف، این است که یک رمز طولانی با حروف لاتین بزرگ و کوچک، اعداد و علائم خاص (مثل @ و $) درست کنید.

همیشه از استفاده از واژه ها و عبارات پر کاربرد احتراز کنید و هرگز رمزی شامل اسم خود، سال تولد یا هر چیز شبیه به اینها نسازید. اگر بانک تان اجازه می دهد، هر دو الیٔ سه ماه، رمز ورود را عوض کنید.

اگر حساب بانکی شما این امکان را دارد که در صورت فراموش کردنِ رمز تعیین شده، با پاسخ به چند سوال پیش فرض، وارد حساب آنلاین خود شوید یادتان باشد قرار نیست این سوال ها راستی آزمایی برای شما باشند و پاسخ های حقیقی دریافت کنند.

یعنی مجبور نیستید به سوالِ اسم عموی مورد علاقه تان چیست، پاسخ دهید «عمو مهدی». چیز دیگری انتخاب کنید و با آن به مثابه یک رمز عبور برخورد کنید. اگر فکر می کنید آن قدر حافظه خوبی ندارید که همه این رمزها را به خاطر بسپارید از نرم افزارهای مدیریت گذر واژه استفاده کنید.

secure_lock

۳- مسائل امنیتی را در مورد رایانه تان رعایت کنید و همیشه به روز نگه ش دارید

این روزها فارغ از اینکه از رایانه خود برای چه کاری استفاده می کنید، داشتن یک نرم افزار امنیتی قدرتمند، ضروری است.

حداقل کار این است که مطمئن شوید بازوی (Firewall) سیستم عامل تان فعال است و یک ضد ویروس به روز شده روی آن نصب دارید. این دو تا حدی شما را در برابر جاسوس افزارها، کی لاگرها و انواع دیگر بدافزار که می توانند اطلاعات حساب بانکی شما را بدزدند، محافظت می کنند.

در ضمن خیلی مهم است که سیستم عامل، مرورگر و نرم افزارهای دیگر خود را همیشه به روز نگه دارید تا مطمئن شوید حفره امنیتی در آنها وجود ندارد.

۴- از کلیک کردن روی لینک هایی که به صورت ایمیل برای تان ارسال شده خودداری کنید

هیچ موسسه مالی امکان ندارد که به شما ایمیلی ارسال کند و ازتان مشخصات ورود به حساب بانکی را طلب نماید.

اگر ایمیلی (یا پیامک یا تماس تلفنی) دریافت کردید که در ظاهر از بانک تان ارسال شده بود و چنین مشخصاتی را می خواست حتماً به آن شک کنید که ممکن است یک حقه فیشینگ باشد و قصد به دست آوردن مشخصات حساب شما را دارد.

همچنین از لینک هایی که در ایمیل برای تان ارسال شده و به نظر می رسد از سوی بانک تان هم باشند به شدت بر حذر باشید؛ این حقه ای است که توسط خلاف کاران به کار گرفته می شود تا شما را به وبگاهی درست شبیه بانک تان هدایت کند؛ وقتی به خیال خود وارد حساب بانکی تان شدید در واقع مشخصات ورود به آن را در اختیار دزدها قرار داده اید تا به سادگی حساب تان را خالی کنند.

همیشه برای ورود به وبگاه بانک، نشانی آن را مستقیماً در نوار نشانی مرورگر وارد کنید.

علاوه بر این، مراقب تماس های تلفنی ناخواسته ای که ادعا می کنند از طرف بانک تان هستند باشید. هیچ وقت، هیچ وقت، هیچ بانکی با شما تماس نمی گیرد تا مثلاً رمز حساب بانکی آنلاین تان را بپرسد! حتی اگر احساس کردید مورد خواست تماس گیرنده (چیزی غیر از مسائل شخصی حساب تان) ممکن است درست هم باشد، تلفن را قطع کنید و خودتان با شعبه ای که در آن حساب دارید تماس گرفته و در صورت نیاز به سوالات آنها پاسخ دهید.

۵- از یک مکان امن وارد حساب تان شوید

همواره از رایانه و شبکه ای به سامانه بانک تان وصل شوید که از امنیت آن مطمئن هستید.

اما اگر به هر دلیلی ناچارید از جای ناامن و ناشناسی مثل کافی نت وارد حساب آنلاین تان شوید کار درست این است که یک شبکه خصوصی مجازی (VPN) بسازید و بین رایانه مطمئن خود در منزل با رایانه کافی نت یک ارتباط رمز گذاری شده ایجاد کنید و از آنجا به حساب تان متصل شوید. اگر چنین امکانی ندارید بهتر است از خیرش بگذرید.

حواس تان باشد قبل از وارد کردن اطلاعات حساب به نوار نشانی مرورگر نگاه کنید: بررسی نمایید که نشانی درست باشد، علامت قفل را کنار نشانی اینترنتی بانک ببینید و قبل از آن عبارت Https و نه Http نوشته شده باشد. این دو نشان می دهند که ارتباط شما با حساب تان رمز گذاری شده.

۶- همیشه وقتی کارتان تمام شد از حساب خود خارج شوید

به خود عادت دهید که همیشه بعد از اتمام کار از هر حسابی به طور کامل خرج شده و از خروج صحیح اطمینان حاصل کنید؛ خواه حساب ایمیل، خواه حساب مهمی مثل حساب بانکی.

با این کار احتمال سرقت اطلاعات حساب خود را کاهش می دهید. خوب است یک مرورگر را فقط و فقط به این کار اختصاص دهید و تنظیم کنید که بعد از هر بار بسته شدن، کل کش، کوکی ها و تاریخچه مرورگر پاک شود.

۷- حتماً سامانه های آگاه سازی را برای حساب تان فعال کنید

الان دیگر همه بانک ها امکان آگاه سازی از تراکنش ها توسط پیامک یا ایمیل را دارند؛ مثلاً هر موقع مبلغی از حساب تان برداشت شود اطلاع داده می شود؛ حتماً این امکانات را درخواست و فعال کنید. بهتر است تنظیم کنید که پایان هر روز خلاصه وضعیت حساب برای تان ارسال شود.

۸- به طور دائم حساب تان را زیر نظر داشته باشید

وقتی ندانید چقدر موجودی داشته اید و الان چقدر موجوی دارید، چطور می خواهید از بروز تغییر در آن باخبر شوید. باید حتماً حساب بانکی خود را حداقل به طور هفتگی کاملاً بررسی کنید و از صحت تراکنش های طول هفته مطمئن شوید.

یادتان باشد ناسلامتی شما صاحب یک حساب آنلاین هستید و هر لحظه می توانید به حساب تان دسترسی داشته باشید، پس هر موقع که وقت آزاد داشتید این کار را انجام دهید و هرگز پشت گوش نیندازید.

FTP و SSH هر دو پروتکل هایی تحت شبکه هستند که درست مانند HTTP بالای لایه TCP/IP اجرا می گردند. به زبان ساده این یک راه شناخته شده برای ابزارها است، تا درون شبکه با یکدیگر تماس برقرار کنند.

شیوه های مختلف برقراری تماس، ویژگی ها و شرایط استفاده متفاوت و ویژه ای دارند. کاربردهای مختلف و توانایی های گوناگونی در هر کدام گنجانده شده است. اما اینکه FTP و SSH دقیقا چه تفاوت ها و کارکردهایی دارند، برای بسیاری هنوز مبهم و گنگ است. در این مقاله قصد داریم به شرح و توضیح تکنولوژی های به کار رفته در این دو پروتکل و تفاوت های میان آنها بپردازیم.

برنامه واسط (Shell) و اکانت های برنامه واسط
بگذارید ابتدا به اصطلاحات فنی پایه و زیرساخت ها بپردازیم. برای فهمیدن هدف SSH، نیاز دارید با برخی عناصر اصولی و زیرساخت آن آشنا شوید.
Shell کامپیوتر، یک قطعه نرم افزاری است که به کاربر اجازه می دهد مستقیما با کرنل یا هسته اصلی سیستم عامل ارتباط برقرار کند. Shell می تواند دارای رابط گرافیکی یا محیط خط فرمان باشد و یا اینکه هر دو را با هم داشته باشد.

اکانت Shell یک اکانت شخصی است که به کاربر اجازه دسترسی به Shell را از طریق کامپیوترهای مختلف و راه دور می دهد. از این اکانت ها معمولا می توان برای کار با فایل های ذخیره شده، اکانت های ایمیل، گروه های خبری و مانند آن استفاده کرد. نقطه مشترک همه کاربردهای Shell هم در این است که معمولا برای استفاده از اکانت Shell دستورات را از راه دور و توسط خط فرمان ارسال می کنیم.

پروتکل برنامه واسط امن (Secure Shell Protocol – SSH)
همانطور که مرورگرهای وب از پروتکل HTTP برای صحبت و ارتباط با سایت ها استفاده می کنند، اکانت شل هم نیاز دارد تا از یک پروتکل مشخص برای ممکن ساختن انتقال اطلاعات (یا همان ارتباطات) میان دو ابزار درون شبکه استفاده کند. افتخار دارم SSH یا پروتکل برنامه واسط امن (Secure Shell Protocol) را خدمت تان معرفی کنم.
SSH از یک کلید رمزنگاری عمومی استفاده می کند و هدف اولیه توسعه آن، خلق جایگزینی به جای ارتباطات ناامن و حفاظت نشده ای همچون Telnet بود. این پروتکل دارای دو نسخه اصلی SSH-1 و SSH-2 است که هم اکنون پروتکل های عمده و حاکم بر دنیای دسترسی اکانت های شل هستند.

امروزه از SSH برای لاگین و اجرای کدها از طریق کامپیوترهای راه دور، جستجوی وب با استفاده از کلاینت های پروکسی رمزنگاری شده و انتقال فایل استفاده می شود. همچنین برای تنظیم و آماده سازی شبکه خصوصی مجازی یا همان VPN هم می توان از SSH بهره برد.

کلاینت های SSH یا برنامه های دسکتاپ اس اس اچ برای همه سیستم عامل های اصلی در دسترس هستند. سیستم های بر پایه یونیکس، مانند لینوکس و مک او اس ایکس، می توانند از OpenSSH استفاده کنند. همچنین در سایت OpenSSH می توانید برنامه های SSH مناسبی برای مک و ویندوز پیدا کنید. PuTTY هم یکی از برجسته ترین کلاینت های ویژه تحت ویندوز است.

پروتکل انتقال فایل امن یا SFTP در برابر FTP
انتقال فایل واجرای VPN به صورت پیش فرض بر روی SSH فعال نیستند. به یاد داشته باشید که SFTP پروتکل اف تی پی قابل اجرا بر روی SSH نیست. بلکه یک پروتکل متفاوت انتقال فایل (file transfer protocol) است که به عنوان یک اکستنشن یا افزونه برای SSH-2 توسعه یافته است. SFTP همیشه برای انتقال فایل روی اس اس اچ استفاده می شود، اما در حقیقت به گونه ای طراحی شده که می تواند توسط دیگر پروتکل ها هم مورد استفاده قرار گیرد.
البته جدای از صحبت های فنی، SFTP برای کاربر نهایی می تواند یک جایگزین امن و مطمئن برای FTP باشد. اف تی پی تمامی اطلاعات را به صورت متن ساده و بدون رمزنگاری انتقال می دهد. بنابرین سرقت بسته های اطلاعاتی می تواند باعث بروز مشکلات وخیمی برای اطلاعات شخصی شما از قبیل نام کاربری و رمزهای عبورتان گردد.

SFTP که تبدیل به یک افزونه برای SSH-2 شده، از شیوه امنیتی کلید رمز عمومی برای انتقال اطلاعات استفاده می کند. این بدان معنی است که اطلاعات به صورت رمزنگاری شده ارسال می گردند و خطر بالقوه نفوذ بین مسیر به اطلاعات تقریبا منتفی می گردد.
SFTP معمولا در بسیاری از برنامه های مشهور FTP قابل استفاده است. البته در این حالت، دیگر قابلیت های SSH در این حالت غیر فعال خواهند بود.