ضعف سنجش امنیت نرمافزارها در ایران
حملات سایبری یکی از اتفاقات روزمره دنیای مجازی است که هر روزه تحقیقات زیادی روی آن انجام میشود. حملات فیشینگ و خالی شدن حساب بانکی کاربران، از جمله تهاجماتی است که خیلی در مورد آن ...
حملات سایبری یکی از اتفاقات روزمره دنیای مجازی است که هر روزه تحقیقات زیادی روی آن انجام میشود. حملات فیشینگ و خالی شدن حساب بانکی کاربران، از جمله تهاجماتی است که خیلی در مورد آن شنیدهایم اما آمار دقیقی از تعداد و انواع تهدیدات سایبری در ایران منتشر نشده است چراکه علیرغم اهمیت موضوع، هیچ مرجع و موسسهای در ایران به طور تخصصی این موضوع را بررسی نمیکند.
نبود چنین موسساتی در ایران مشکلات دنبالهداری به همراه دارد. برای مثال عدم آگاهی شهروندان از چگونگی حراست از اطلاعات شخصی، مخصوصا اطلاعات بانکی آنها و مسیر حملات، اتفاقات غیر قابل پیش بینی را رقم میزند. ضمن آنکه شناخته نشدن حفرههای امنیتی در پروتالها یا برنامههای موبایلی سازمانهای اداری و مالی نقطه ضعف حیاتی برای آنهاست که مورد بیتوجهی قرار گرفته است.
یکی از موسسات معتبر جهانی که روی حملات سایبری تحقیق میکند «Positive Technologies» است که به تازگی گزارشی با عنوان «آسیب پذیریهای برنامه وب در سال 2017» منتشر کرده و در بخشی از آن آسیب پذیری برنامههای بانکی و مالی تحت وب و موبایلی و تهدید امنیت مشتریان بررسی کرده است.
این تحقیقات نشان میدهد 94 درصد برنامههای کاربری حداقل یک آسیب پذیری شدید دارند و 65 درصد این آسیب پذیریها در سطح متوسط و 27 درصد در سطح خطرناک است.
Positive Technologies لیستی از رایج ترین تهدیدات امنیتی را تهیه کرده است که در آن حمله به کاربران، حملات فیشینگ و تهاجم به پایگاههای اطلاعاتی از اصلی ترین انوع حملات هستند: «87 درصد از برنامههای کاربردی وب بانکی و تمام برنامههای کاربردی دولتی که مورد آزمایش قرار گرفتهاند، امکان حملات هکرها به کاربران را فراهم میکنند. شایعترین آسیب پذیری Cross-Site Scripting است که 82 درصد از برنامههای کاربردی تحت وب را تحت تاثیر قرار میدهد. این حمله اجازه میدهد مهاجمان حملات فیشینگ را علیه کاربران نرم افزار وب و یا کامپیوتر انجام دهند.»
ناظری بر حملات سایبری نیست
شاید «مرکز ماهر» تنها موسسه ایرانی باشد که به صورت عمومی در این زمینه اطلاعاتی منتشر میکند. «محمد مهدی واعظی نژاد» کارشناس امنیت سایبری در گفتگو با دیجیاتو به فقدان اطلاعات و آمار دقیق از تعداد و نوع حملات سایبری در ایران اشاره میکند:
«در ایران شدت و نوع تهدیدات و حملات سایبری متفاوت از آمارهای خارجی است. منتها به طور کلی حملات صورت گرفته در دو شکل انجام شده اند؛ تهدیداتی که پورتالها و سازمانها دارند و تهدیداتی که سمت کاربران نهایی است. متاسفانه در ایران بیشتر تهدیدات به سمت کاربر نهایی است چون کابران عمومی و سازمانی آموزش کمتری دیدهاند. همچنین مهمترین نقطه ضعف ما در مواجه با تهدیدات سایبری کند بودن مکانیزم اطلاع رسانی به کاربران است که تبعات بسیاری برای آنها درپی دارد.»
حمله به سرویسها و اپهایی که توسط شرکتهای معتبر تولید میشوند، برای مهاجمان بسیار دشوارتر است چون این شرکتها سعی میکنند حفرههای امنیتی را رفع کنند تا برنامهشان کمترین آسیب پذیری را داشته باشد. در ایران تعداد اپلیکیشنهایی که دسترسیهای غیر مجاز دارند و با اهداف خاصی طراحی شدهاند و آسیب پذیرتر هستند، نسبت به سایر کشورها بیشتر است. واعظی نژاد که چندین سال در این زمینه پژوهش کرده است، میگوید:
«متاسفانه ما در ایران هیچ مرجعی برای سنجش امنیت اپها و برنامهها نداریم تا مشخص کند کدامیک کاربران را آسیب پذیرتر میکنند. ضمن آنکه کاربرانی که از فیلترشکن استفاده میکنند در برابر حملات بیشتری قرار میگیرند. به عنوان مثال در چند ماه گذشته که تلگرام در مقطعی فیلتر شد و مردم از فیلترشکن استفاده کردند تهدیدات علیه کاربران چند برابر شد.»
جنس تهدیدات در ماه های اخیر عوض شده است، تا آنجاکه هکرها از تهدیدات پول بدست میآورند. به همین دلیل به سمت باگ افزارها یا مسیرهایی میروند که آنها به کاربران نهایی متصل میکند؛ تا هم بتوانند پول بدست آورند و هم با دیتاهایی که از قربانیان دارند به آنها آسیب برسانند. بنابراین همیشه باید در استفاده از برنامهها تحت وب یا موبایلی نهایت احتیاط را به کار برد.
به گفته واعظی نژاد، کاربران باید از اپهایی استفاده کنند که توسط مراکز معتبر ارائه میشوند. مخصوصا در حوزههای مالی و بانکی بهتر است از اپلیکیشنهایی که برای چندین بانک خدماتدهی میکنند، استفاده نشود چون ممکن است آسیب پذیرتر بوده یا برای اهدافی خاص استفاده شوند.
مثال ملموسی که برای حملات به فضای سایبری زیاد شنیده میشود، حمله ویروسها به موجودی زنده است. با همان اهمیت و همان قدرت تخریب. متاسفانه در ایران حملات سایبری به اشکال گوناگونی دیده میشود اما همانطور که گفته شد مرجعی برای بررسی، شناسایی و پیشگیری از آنها وجود ندارد.
دیدگاهها و نظرات خود را بنویسید
برای گفتگو با کاربران ثبت نام کنید یا وارد حساب کاربری خود شوید.
"ناظری بر حملات سایبری نیست"
با کمال احترام، خانم طوسی، متخصص حوزه امنیت و شرکت فعال در کشور وجود دارد. مرکز ماهر و آقای واعظی نژاد هم به این مسئله که مشکل در شیوه مدیریت امنیتی سازمانهاست اذعان دارن. شرایط حاضر نتیجه چیزی جز سوء مدیریت در کشور نیست.