جدیدترین اخبار و مقالات دنیای بازی و سینما در ویجیاتو

ضعف سنجش امنیت نرم‌افزارها در ایران

ضعف سنجش امنیت نرم‌افزارها در ایران

حملات سایبری یکی از اتفاقات روزمره دنیای مجازی است که هر روزه تحقیقات زیادی روی آن انجام می‌شود. حملات فیشینگ و خالی شدن حساب بانکی کاربران، از جمله تهاجماتی است که خیلی در مورد آن شنیده‌ایم اما آمار دقیقی از تعداد و انواع تهدیدات سایبری در ایران منتشر نشده است چراکه علیرغم اهمیت موضوع، هیچ مرجع و موسسه‌ای در ایران به طور تخصصی این موضوع را بررسی نمی‌کند.

نبود چنین موسساتی در ایران مشکلات دنباله‌داری به همراه دارد. برای مثال عدم آگاهی شهروندان از چگونگی حراست از اطلاعات شخصی، مخصوصا اطلاعات بانکی آنها و مسیر حملات، اتفاقات غیر قابل پیش بینی را رقم می‌زند. ضمن آنکه شناخته نشدن حفره‌های امنیتی در پروتال‌ها یا برنامه‌های موبایلی سازمان‌های اداری و مالی نقطه ضعف حیاتی برای آنهاست که مورد بی‌توجهی قرار گرفته است.

یکی از موسسات معتبر جهانی که روی حملات سایبری تحقیق می‌کند «Positive Technologies» است که به تازگی گزارشی با عنوان «آسیب پذیری‌های برنامه وب در سال 2017» منتشر کرده و در بخشی از آن آسیب پذیری برنامه‌های بانکی و مالی تحت وب و موبایلی و تهدید امنیت مشتریان بررسی کرده است.

این تحقیقات نشان می‌دهد 94 درصد برنامه‌های کاربری حداقل یک آسیب پذیری شدید دارند و 65 درصد این آسیب پذیری‌ها در سطح متوسط و 27 درصد در سطح خطرناک است.

Positive Technologies لیستی از رایج ترین تهدیدات امنیتی را تهیه کرده است که در آن حمله به کاربران، حملات فیشینگ و تهاجم به پایگاه‌های اطلاعاتی از اصلی ترین انوع حملات هستند: «87 درصد از برنامه‌های کاربردی وب بانکی و تمام برنامه‌‍‌های کاربردی دولتی که مورد آزمایش قرار گرفته‌اند، امکان حملات هکرها به کاربران را فراهم می‌کنند. شایع‌ترین آسیب پذیری Cross-Site Scripting است که 82 درصد از برنامه‌های کاربردی تحت وب را تحت تاثیر قرار می‌دهد. این حمله اجازه می‌دهد مهاجمان حملات فیشینگ را علیه کاربران نرم افزار وب و یا کامپیوتر انجام دهند.»

ناظری بر حملات سایبری نیست

شاید «مرکز ماهر» تنها موسسه ایرانی باشد که به صورت عمومی در این زمینه اطلاعاتی منتشر می‌کند. «محمد مهدی واعظی نژاد» کارشناس امنیت سایبری در گفتگو با دیجیاتو به فقدان اطلاعات و آمار دقیق از تعداد و نوع حملات سایبری در ایران اشاره می‌کند:

«در ایران شدت و نوع تهدیدات و حملات سایبری متفاوت از آمارهای خارجی است. منتها به طور کلی حملات صورت گرفته در دو شکل انجام شده اند؛ تهدیداتی که پورتال‌ها و سازمان‌ها دارند و تهدیداتی که سمت کاربران نهایی است. متاسفانه در ایران بیشتر تهدیدات به سمت کاربر نهایی است چون کابران عمومی و سازمانی آموزش کمتری دیده‌اند. همچنین مهمترین نقطه ضعف ما در مواجه با تهدیدات سایبری کند بودن مکانیزم اطلاع رسانی به کاربران است که تبعات بسیاری برای آنها درپی دارد.»

حمله به سرویس‌ها و اپ‌هایی که توسط شرکت‌های معتبر تولید می‌شوند، برای مهاجمان بسیار دشوارتر است چون این شرکت‌ها سعی می‌کنند حفره‌های امنیتی را رفع کنند تا برنامه‌شان کمترین آسیب پذیری را داشته باشد. در ایران تعداد اپلیکیشن‌هایی که دسترسی‌های غیر مجاز دارند و با اهداف خاصی طراحی شده‌اند و آسیب پذیرتر هستند، نسبت به سایر کشورها بیشتر است. واعظی نژاد که چندین سال در  این زمینه پژوهش کرده است، می‌گوید:

«متاسفانه ما در ایران هیچ مرجعی برای سنجش امنیت اپ‌ها و برنامه‌ها نداریم تا مشخص کند کدامیک کاربران را آسیب پذیرتر می‌کنند. ضمن آنکه کاربرانی که از فیلترشکن استفاده می‌کنند در برابر حملات بیشتری قرار می‌گیرند. به عنوان مثال در چند ماه گذشته که تلگرام در مقطعی فیلتر شد و مردم از فیلترشکن استفاده کردند تهدیدات علیه کاربران چند برابر شد.»

جنس تهدیدات در ماه های اخیر عوض شده است، تا آنجاکه هکرها از تهدیدات پول بدست می‌آورند. به همین دلیل به سمت باگ افزارها یا مسیرهایی می‌روند که آنها به کاربران نهایی متصل می‌کند؛ تا هم بتوانند پول بدست آورند و هم با دیتاهایی که از قربانیان دارند به آنها آسیب برسانند. بنابراین همیشه باید در استفاده از برنامه‌ها تحت وب یا موبایلی نهایت احتیاط را به کار برد.

به گفته واعظی نژاد، کاربران باید از اپ‌هایی استفاده کنند که توسط مراکز معتبر ارائه می‌شوند. مخصوصا در حوزه‌های مالی و بانکی بهتر است از اپلیکیشن‌هایی که برای چندین بانک خدمات‌دهی می‌کنند، استفاده نشود چون ممکن است آسیب پذیرتر بوده یا برای اهدافی خاص استفاده شوند.

مثال ملموسی که برای حملات به فضای سایبری زیاد شنیده می‌شود، حمله ویروس‌ها به موجودی زنده است. با همان اهمیت و همان قدرت تخریب. متاسفانه در ایران حملات سایبری به اشکال گوناگونی دیده می‌شود اما همانطور که گفته شد مرجعی برای بررسی، شناسایی و پیشگیری از آنها وجود ندارد.

مطالب مرتبط

همکاری ایران و تایلند در زمینه فناوری اطلاعات، امنیت سایبری و استارتاپ ها

محمود واعظی در دیدار با «پیچت دورونگ کاوروج» وزیر اقتصاد، دیجیتال و جامعه تایلند، ضمن اشاره به قدمت 400 ساله روابط میان ایران و تایلند، حوزه های فناوری اطلاعات، امنیت سایبری و استارتاپ ها را برای همکاری میان دو کشور مناسب ارزیابی کرد. وزیر ارتباطات در این باره گفت:در سفر به تایلند مذاکراتی انجام شد... ادامه مطلب

شغل های تکنولوژیک آینده چه هستند و برای ورود به آنها باید در پی چه دانش هایی باشیم؟

دنیایی را در آینده تصور کنید که در آن بتوان همه چیز را با کمک تکنولوژی کنترل کرد. پیتزاها با Drone به دست مشتریان برسند، چربی های اضافه با نانوربات ها به طور مستقیم از رگ های شما جمع آوری شوند و یا با فکر کردن به دمای خانه، آن را در حد مطلوب افزایش... ادامه مطلب

اعتراف عجیب وزیر امنیت سایبری ژاپن: هرگز از کامپیوتر استفاده نکرده ام

معمولاً انتظار می رود فردی که پست مهمی در وزارت خانه ای را عهده دار می شود علاوه بر دانش سیاسی کافی، در حوزه کاری خود هم خبره باشد با این حال ظاهراً در ژاپن شرایط فرق می کند چرا که نخست وزیر امنیت سایبری این کشور اعتراف کرده که هرگز از کامپیوتر استفاده نکرده... ادامه مطلب

قطعی 12 ساعته ی برق در بزرگترین شهرک نظامی آمریکا

«فورت برگ»، بزرگترین مقر نظامی ارتش آمریکا این هفته مانوری اعلام نشده برای بررسی تاثیرات حمله های سایبری بر زیرساخت های این پایگاه به انجام رساند. این مانور که بین روزهای چهارشنبه و پنجشنبه انجام گرفت مجموعا 12 ساعت طول کشید و به حدی باعث سردرگمی افراد شده بود که ارتش نهایتا بیانیه ای برای... ادامه مطلب

رییس سازمان فناوری اطلاعات: آینده امنیت سایبری به هیچ وجه مشخص نیست

سومین کنفرانس دستاوردهای نوین نفوذ و امنیت سایبری در ایران امروز صبح در دانشگاه شهید بهشتی برگزار شد و «امیر ناظمی» سخنران اولیه این مراسم درباره سناریوهای پیش رو در حوزه امنیت اطلاعات گفت. به گفته ناظمی؛ هیچکس نمی تواند آینده را دقیق پیشبینی کند اما می توان سناریوها را بررسی کرد.رییس سازمان فناوری اطلاعات... ادامه مطلب

رتبه نخست سنگاپور در انجام حملات سایبری در سطح دنیا

به تازگی شرکت نرم افزاری «Check point» که تعداد حملات سایبری در سطح دنیا را بررسی می کند، گزارش کرده که سنگاپور در زمینه تعداد حملات سایبری انجام شده، از روسیه، چین و آمریکا نیز سبقت گرفته و در صدر دنیا قرار گرفته است.بر اساس گفته های سخنگوی شرکت چک پوینت، این مسئله با توجه... ادامه مطلب

نظرات ۲

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود
x