از افشای رمزهای عبور تا انتشار تصاویر خصوصی کاربران
چرا iCloud مقصر نیست؟
اسماعیل ذبیحی: پس از گذشت چند روز از انتشار تصاویر خصوصی برخی هنرپیشههایهالیوود و افراد سرشناس دیگر در اینترنت، ابعاد امنیتی و فنی ماجرا نیز رفته رفته مورد توجه قرار میگیرد. حالا بحث بر سر مواردی مثل امنیت iCloud، اعتماد یا عدم اعتماد به سرویسهای ابری یا تردید در ذخیره اطلاعات خصوصی در فضاهای مبتنی برابر، بالا گرفته است.
برخی از کاربران میگویند فناوری ابر و سرویسهای مبتنی بر آن دیگر مطمئن نیست و نباید از آنها استفاده کرد. در مقابل بسیاری دیگر، عملکرد خود کاربران را در امنیت یا عدم امنیت خدمات ابری دخیل میدانند و فناوری ابر را یک فناوری امن و قابل اعتماد میخوانند.
اسماعیل ذبیحی: پس از گذشت چند روز از انتشار تصاویر خصوصی برخی هنرپیشههایهالیوود و افراد سرشناس دیگر در اینترنت، ابعاد امنیتی و فنی ماجرا نیز رفته رفته مورد توجه قرار میگیرد. حالا بحث بر سر مواردی مثل امنیت iCloud، اعتماد یا عدم اعتماد به سرویسهای ابری یا تردید در ذخیره اطلاعات خصوصی در فضاهای مبتنی برابر، بالا گرفته است.
برخی از کاربران میگویند فناوری ابر و سرویسهای مبتنی بر آن دیگر مطمئن نیست و نباید از آنها استفاده کرد. در مقابل بسیاری دیگر، عملکرد خود کاربران را در امنیت یا عدم امنیت خدمات ابری دخیل میدانند و فناوری ابر را یک فناوری امن و قابل اعتماد میخوانند.
شما چه فکر میکنید؟
واقعیت این است که «امنیت» و «کارآمدی» دو جزء مهم استفاده از اینترنت و تکنولوژی اطلاعات هستند که در تضاد کامل با یکدیگر قرار دارند. هر چه شما امنیت یک سیستم را بالاتر ببرید، کار با آن دشوارتر و محدودتر خواهد بود.
برعکس وقتی میخواهید بدون محدودیت وارد اینترنت شوید، با شبکههای مختلف در ارتباط باشید، از حافظههای جانبی متعدد استفاده کنید و تمام نرمافزارهای مورد نیازتان را روی سیستم نصب کنید، باید تا حدود زیادی از مقررات امنیتی و حفاظتی چشمپوشی کنید.
این درست همان چیزی است که بسیاری از شرکتها را با مشکل مواجه کرده و آنها باید یک نقطه تعادل را میان سادگی و کاربردپذیری خدمات خود از یک طرف و امنیت کاربران و یکپارچگی اطلاعات آنها از طرف دیگر پیدا کنند. نکته بسیار مهم دیگری که اغلب نادیده گرفته میشود، این است که تکنولوژی ابر، در دو شکل کلی ابر اشتراکی (Public Cloud) و ابر اختصاصی (Private Cloud) وجود دارد که از لحاظ امنیتی سطوح متفاوتی دارند.
خدمات مبتنی بر ابر اشتراکی (Public Cloud)، هر چند از امنیت بالایی برخوردارند، اما در صورت عدم توجه کاربران آنها، میتوانند آسیبپذیر و قابل نفوذ باشند.
در مورد ابر اختصاصی (Private Cloud)، البته قضیه کاملا متفاوت است؛ چون سطح حفاظتی آن به حدی بالا است که نفوذ و شکستش تقریبا غیرقابل تصور است.
یک نرمافزار ابری مانندCloud Systems Management را در نظر بگیرید. این نرمافزار، مبتنی بر ابر اختصاصی است که یک کنسول مدیریتی تحت وب دارد. شرکت پاندا سکیوریتی، تولیدکننده این نرمافزار، برای مدیرانی که از این برنامه مانیتورینگ شبکه استفاده میکنند، یک فضای ابر اختصاصی در نظر گرفته که امنیت آن به این شکل تامین میشود:
- برای ورود به این فضا و استفاده از نرمافزار تحت وب، شما ملزم هستید رمزهای عبور بسیار قدرتمند و چندمرحلهای تعریف کنید که به صورت دورهای باید تغییر کنند. علاوه بر این، باید یک مدت زمان خاص برای انقضای دسترسیهای غیرفعال تعریف کنید و آن را حتی به چند دقیقه و کمتر کاهش دهید.
- شما برای ورود یا دسترسی به بخشهای مختلف نرمافزار هم میتوانید رمزهای عبور متفاوت داشته باشید
- تمام ارتباطهای میان کاربر و فضای ابر اختصاصی با استفاده از پروتکلهای قدرتمند رمزنگاری محافظت میشود تا از سرقت موفق اطلاعات جلوگیری شود.
- سیستمهای عامل در اغلب سرورهای میزبانیکننده نرمافزار ابری Panda، یک نرم افزار متن باز و سفارشی شده است. برای مثال سرورهایی که نرمافزارهای ابری
Cloud Systems Management را میزبانی میکنند، دارای یک سیستمعامل اختصاصی و امن مبتنی بر یکی از نسخههای کاربردی سیستمعامل لینوکس میباشند.
- فایروالهای قدرتمند مورد استفاده بر روی این سرورها، از ابتدا به نوعی تنظیم شده که هر نوع ورود خارجی به سیستم را غیرمجاز دانسته و مسدود میکند؛ مگر اینکه تمام شرایط سختگیرانه امنیتی، توسط شما از یک طرف و توسط سرورهای پاندا از سمت دیگر تایید شود.
- خدمات مبتنی بر ابر اختصاصی معمولا سریعتر هستند و اختلالات بسیار کمتری نسبت به خدمات ابری اشتراکی دارند. تمام فرآیندها، فایلها، پردازشها و ارتباطها در ابر اختصاصی حتما بر مبنای پروتکل TSL ، SSL و... هستند.
- تمام این موارد را اضافه کنید به محرمانه بودن موقعیت فیزیکی و جغرافیایی سرورهای میزبانیکننده نرمافزار ابری پاندا و امنیت دسترسی فیزیکی به آنها با استفاده از تمام تمهیدات حفاظتی با توجه به تمام این موارد، میتوان نتیجه گرفت که نفوذ مستقیم به درون سرورهای ابری شرکتهای بزرگی مثل Apple به مراتب دشوارتر از سرقت یک رمز عبور ساده است که کاربران برای ورود به فضای ابری خود تعریف میکنند.
بله ... اپل دروغ نگفته! سرویس ابری این شرکت، iCloud، به هیچ عنوان هک نشده و هدف نفوذ قرار نگرفته؛ بلکه این، نام کاربری و رمز عبور کاربران iCloud بوده که به نحوی در اختیار مجرمان اینترنتی قرار گرفته و سرقت اطلاعات خصوصی آنها را رقم زده است.
منطقی است اگر بپذیریم که هکرها به جای نفوذ به سرورهای تحت حفاظت شرکتها، به خود کاربران که حلقه آسیبپذیر زنجیر هستند، حمله میکنند.
فراموش نکنیم که فضای ابری شرکتها و فضای ابر اختصاصی (Private Cloud) موجود در آنها به ترتیب مانند یک بانک معتبر و صندوقهای امانات موجود در آن است که تحت شدیدترین شرایط امنیتی قرار دارد. کدام مشتری حاضر است میلیاردها ریال پول و اسناد و مدارک ارزشمند را به جای صندوق امانات یک بانک خوشنام در گوشهای از اتاق خواب خود پنهان کند؟! ماهیت دسترسی به صندوق امانات بانکها به شکلی است که هیچ فردی به جز مشتری اصلی، حتی در صورت داشتن کلید قادر به ورود نیست. این دقیقا مشابه همان چیزی است که فضای اختصاصی ابر
(Private Cloud) برای ذخیرهسازی اطلاعات و ارائه خدمات به کاربران، انجام میدهد. فضای ابر اشتراکی (Public Cloud) را هم مانند دستگاههای خودپرداز بانکها در نظر بگیرید. اگر کارت اعتباری تان را به همراه رمز آن گم کنید یا آنها را از شما بدزدند و پولی از حساب شما برداشت شود، قطعا بانک را مقصر نمیدانید و امنیت آن را زیر سوال نمیبرید.
بنابراین، حالا میتوانید به این سوال پاسخ دهید که مقصر اصلی نشت اطلاعات خصوصی کاربران از iCloud کیست؟
ارسال نظر