امنیتشبکه

۶ خطای امنیتی که باید از آن ها دوری کرد ؛ جوایز داروین

امنیت - مجله اینترنتی آی تی پورت

شما احتمالا در مورد جوایز مسابقات داروین که برای به دست آوردن موفقیت های مشکل در انجام کار ها به خصوص کار های سخت و معمولا پر خطر(مرگبار) که اعطا می شود شنیده اید.ما از چندین مورد رویداد های نا گوار امنیتی مطلع هستیم که منجر به از دست دادن شغل نیز شده اند. اما خوشبختانه هیچکدام از آن ها  مرگبار بودنشان ثابت نشده است. اگر چه ما طرفدار خودکشی امنیتی ( استفاده ی بیش از حد از راهکار های امنیتی ) نیستیم. در انیجا برخی از اشتباهات مسلمی که باید از آن ها دوری شود را بیان نموده ایم.

کلمه عبور نوشته شده

اگر در یک شرکت نسبتا بزرگ قدم بزنید و مقداری به اطراف نگاه کنید، نوشته های چسبانی را از نام های کاربری و کلمات عبور خواهید یافت که نوشته شده اند. یا در دید همه قرار دارند یا اینکه به طور منظم زیر صفحه کلید جا گذاری شده اند.

اطمینان داریم که نیازی نیست که به شما هشدار دهیم که این کار را نکنید. امیدواریم. اما اگر شما جزئی از بخش امنیت یا کارمندان فناوری اطلاعات در سازمانتان هستید، گشت زدن در متعلقات سازمان و نگاه کردن به برگه های یادداشت را برای یافتن کلمات عبور در نظر بگیرید. شما نسبت به چیزی که می یابید شکاک و هوشیار خواهید شد.

رایانه شخصی بدون رمز ورود

لپتاپ ها و نوت بوک ها اختراعات شگفت انگیزی هستند که کارمندان را قادر می سازند تا از فواصل دور از سیستم های مادر، فعال باشند. متاسفانه، گاه گاهی مورد سرقت و یا گم شدن نیز قرار می گیرند. از دست دادن سخت افزار بد است ، ولی معمولا مخرب نیست. ولی از سوی دیگر از دست دادن اطلاعات می تواند مشکلی جدی باشد. حداقل اگر لپتاپ نیازمند رمز باشد ، بنابراین افراد خراب کار و دزدان نمی توانند به اطلاعات آن دست یابند هرچند که لپتاپ را در اختیار داشته باشند. درست است؟

فرقی ندارد که لپتاپ شما از ویندوز، لینوکس، MAC OS OX  استفاده کند یا یکی از سیستم های BSD . هر نوع سیستم OS  ارزش قفل گذاری کردن را در این مرحله داراست. یا حداقل باید محصولات شخص ثالث برای انجام این کار را دارا باشد. اگر شما یا بقیه کارمندان همراه با اطلاعات رمزدار نشده در حال چرخ زدن در اطراف می باشید ، مطمئنا اتفاقی در انتظار شما خواهد بود.

سرویس ها رمزدار نشده

در مورد مشکلات محتمل به وقوع، Firesheep  (سرقت اطلاعات توسط WiFi ) و بسیاری از خطرات دیگر که اطلاعات شما را از طریق WiFi  بیرون می کشند وجود دارند. راه اندازی SSL ( خطوط امن اینترنتی ) و VPN ( فضای شخصی مجازی ) خود می تواند دردسری تلقی شود. مجبور کردن کاربران برای استفاده از VPN  و سرویس های امن می تواند دردسر بزرگتری باشد اما انجام ندادن آن به معنای باز گذاشتن دری بزرگ برای مهاجمین می باشد. هر نوع سرویسی که کارمندان شما به صورت از راه دور به آن متصل می شوند، خواه Webmail ( پست اینترنتی ) یا سیستم مدیریت محتوایی شرکت باشد ، این اتصال باید فقط از طریق SSL ( خطوط امن ) انجام پذیرد. انجام این کار همچنین برای فرستادن و یا دریافت Mail (پست) نیز صدق می کند که هیچ وقت نباید توسط اتصالات رمزدار نشده صورت پذیرد.

کار کردن در مکان های عمومی

شکایتی وجود دارد که شما هیچ وقت آن را نخواهید شنید. “صندلی هواپیما آنقدر جا دار بود که احساس کردم با دیگر مسافران خیلی فاصله دارم”  اگر شما در یک هواپیمای کلاس پایین ( به صورت گله ای ) چپانده شوید ، ممکن است با مسافر کناری خود در تمام طول پرواز بسیار نزدیک و حتی به هم چسبده شده باشید. حتی در تجارت و خطوط هواپیمایی کلاس ۱ ، ایده ی حریم خصوصی نسبت به مسافران همراه خنده آور است. پس چرا بسیاری از مردم، با کار کردن در شرکت های اطلاعاتی محرمانه به صورت مکاتبات دفتری،  پست الکترونیکی و برگه های مالی ، معرفی نامه ها و انواعی که در معرض دید است راحت می باشند.

با کمال میل برای گذراندن وقت به انجام یک بازی هیجان انگیز یا پاکسازی مین بپردازید و ذهنتان را از غذای نا خوشایند خطوط هواپیمایی پاک کنید.هدفون خود را بگذارید و چند قسمت از سریال Family Guy  را با لپتاپ قدیمی Dell خود ببینید. اما کار کردن روی پروژه های حساس شرکتی همراه با مسافران نا آشنا که به روی شانه های شما خیره شده اند، خبر بدی می باشد. ممکن است که آن ها نسبت به کار شما کاملا بی علاقه باشند و توجهی نکنند ، یا اینکه ممکن است شما دقیقا کنار یکی از رقابت کنندگان همان رقابت تجاری که به سمت آنجا در حال حرکت هستید باشد.

البته این قانون در ارتفاع سطح دریا (روی زمین) نیز کاربرد دارد نه فقط در ارتفاع ۳۰۰۰۰ پایی (در هواپیما). در مورد جایی که اطلاعات حساس شرکت را بروز می دهید هوشیار باشد. به خصوص زمانی که هر نگاه دزدی امکان دارد که مانند یک متقلب در سر جلسه امتحان نهایی برگه شما را نگاه کند، در حال نگاه کردن به لپتاپتان باشد.

این مطلب در مورد تماس های تلفنی نیز صدق می کند. در فضاهای عمومی که در محدوده ی شنیداری افراد غریبه می باشد، از برقراری تماس های تجاری ( فناوری اطلاعات و یا … ) خودداری کنید. اگر که چیزی در مکالماتتان باید محرمانه باشد، قبل از اینکه تماس بگیرید، تا زمانی که در یک مکان امن قرار نگرفته اید صبر نمایید.

خرد کن عزیزم، خرد کن

همان جامعه ای که گفته می شد رایانه ها قادر به انجامش هستند؟ ما هنوز همراه با اختراعاتی مانند جت پک ها (کوله های جت) و ماشین های پرنده همراه آن مانده ایم. رایانه ها ایجاد نسخه های کپی را از بودجه های شرکت گرفته تا برگه های حواله یا نمودار های شبکه ای را از هر زمانی آسان تر نموده اند. همه چیز ممکن است آسان تر از نگاه کردن به درختان مرده (جهت تولید کاغذ) باشد جز، فراهم آوردن شیوه ای سریع حول سیستم امنیتی رایانه در صورت استفاده های نا مناسب.

البته دفع اطلاعات محدود به کاغذ نمی باشد. شرکت شما چگونه به تجهیزات از کار افتاده رسیدگی می کند؟ آیا هارد درایو ها زمانی که دستگاه های اجاره ای باز گردانده می شوند ، به طور مناسب پاک شده اند؟

اگر شما رایانه های شرکت را به طور کلی بفروشید و یا اینکه آن ها را اهدا نمایید، آیا آن ها اطلاعات ارزشمند را همراه با خود خواهند برد؟

سیاست شرکت باید نابود ساختن اسناد و مدارک شامل اطلاعات محرمانه ای باشند که قرار است از شر آن ها خلاص شد. خواه اطلاعات مشتری و یا برنامه ها و اطلاعات شرکت باشد ، جستجو در اطلاعات دور انداخته شده مزایایی بیش از آنچه شما انتظار دارید را همراه خواهد داشت. آیا اینگونه حملات کم اتفاق می افتد؟ حتما. احساس خوش شانسی می کنید؟ اگر به جای سیاست های مسئولیت دفع اطلاعات به شانس تکیه کرده اید، سخت در اشتباه هستید.

همچنین دفع کردن ذخایر رسانه ای و تجهیزات به توجه نیاز دارد.از اینکه CD/DVD-ROM ها خرد شده باشند اطمینان حاصل کنید، نه اینکه فقط دور انداخته شده باشند. هارد درایو ها باید به طور کلی پاک شوند.در این قسمت DBAN (راه انداز داریک – یکی از برنامه‌های مجانی که توسط حوضه حفاظتی آمریکاه تایید شده برنامه Darik’s Boot and Nuke است. این برنامه یک فایل Boot برای شما می سازد که تمام اطلاعات شما را پاک می کند. این برنامه حتی به وسیله  Floppy Disk ، USB Flash Drive، DVD، CD جواب می دهد. ) انتخاب مناسبی است. گوشی های تلفن همراه از کار افتاده نیز باید پاک شوند و…..

پنهان کردن ، امن بودن نیست

یکی از چیز هایی که کارمندان فناوری اطلاعات باید بدانند این است که پنهان کردن همان امن بودن نیست. قطعا شما می خواهید برخی چیز های خاص را (مانند جا نمایی شبکه، نام کاربری ، کلمه عبور و نام میزبان و…..) را به عنوان یک اقدام امنیتی اضافی پنهان نگه دارید. اما بدانید که این جایگزین امنیت واقعی نمی شود.

یکی از احمقانه ترین چیز هایی که دیده ایم، زمانی است که شرکت ها به جای امن کردن اطلاعات آن ها را در مکانی پنهان جای گذاری می نمایند. شما درباره ی چیزی که از آن صحبت می کنیم آگاه هستید. استفاده کردن از یک سایت موقت و آزمایشی که از دیدرس دزدان در امان است به این دلیل که URL (آدرس سایت) عمومی نمی باشد.

گرچه چنین سایتی امکان دارد که بر روی موتور های جستجو ظاهر شوند یا اینکه توسط مهاجمین ، رقبا و یا ناظرین کاردان پیدا شود.

نکته مهم و قابل توجه! اگر شما یک سایت جدید را  آزمایش می کنید و یا برای استقرار اطلاعات قرار می دهید، به خصوص اگر شامل اطلاعات منتشر نشده محصولات و یا اطلاعات آماده نشده برای زمان مناسب می باشد، قفلی بر روی آن قرار دهید.خواستار یک کلمه عبور برای دسترسی شوید. امنیت داشتن همیشه بهتر از نامزد جایزه ی داروین بودن است.

منبع: linux

گفتگو ها
    امین

    به موارد بسیار خوبی اشاره کردید.

    استفاده کردیم خیلی ممنون

    موفق باشید.

    Arghavan

    عالی بود

    موفق باشید.