ParvanehDesigner
یک شنبه 15 آذر 1383, 15:21 عصر
فرض کنید شرکت رقیب شما یک ابزار بر پایه وب بسیار قوی دارد که بسیاری از مشتری های شما از آن استفاده می کنند. شما در جواب آن چه می کنید ؟
1- آن تجارت را فراموش می کنید و به دنبار حرفه دیگری می گردید ؟
2-یک تیم حرفه ای تشکیل می دهید و یک ابزار بهتر از شرکت رقیب درست می کنید ؟
3- به سایت رقیب خود نفوذ می کنید و کد های آنها را می دزدید ؟ یا در حالت بهتر برخی از کارمندان آن را مجاب می کنید که یک وب سایت هم برای شما به همان صورت بسازند ؟
تبریک می گویم ، به دنیای هک کردن رقبا خوش آمدید!
در 15 اکتبر 2004 طبق فرجامی در دادگاه از ایالات متحده ،در نهین جلسه آن ،قاضی باید به شکایت دو شرکت رسیدگی می کرد. این شرکت ها در زمینه خدمات به رانندگان کامیون فعالیت می کردند. یکی از شرکت ها ، Creative Computing ، در قالب یک سایت موفق راه اندازی شده بود ، Truckstop.com ، که رانندگان کامیون را از طریق اینترنت با بار ها ارتباط می داد. در جای دیگری از این دنیا یک شرکت دیگری ، Getloaded.com ، تشکیل شد ، برای رقابت با شرکت فوق ، اما نه به صورت درست و صادقانه !
Getloaded.com تلاشهای فراوانی را در جهت به دست آوردن اطلاعات از سایت Truckstop.com انجام داد. در ابتدا آنها لیستی از بارها و رانندگانی که اصلا با هم تطابق نداشتند را تهیه کردند. هنگامی که Truckstop در سایت خود شروع به گرفتن نام کاربری و پسورد کردند ، Getloaded نیز همین کار را کرد. در نتیجه ، رانندگان کامیونی که در هر دو سایت عضو بودند ، یک نام کاربری و یک پسورد در هر دو سایت ایجاد می کردند. در نتیجه اعضای Getloaded با نام کاربری و پسورد این دسته از رانندگان به سایت Truckstop رفته و اطلاعات آنها را برای خود ثبت می کردند.
بنابراین آنها در قالب شرکتهای مرده ! خود را در سایت فوق ثبت می کردند تا اطلاعات آنها را به دست بیاورند.
اما هنوز کار به اینجا ختم نشده بود ، طبق گفته دادگاه ، کارکنان Getloaded همچنین به وب سایت این شرکت نفوذ کردند ، سرور این وب سایت دارای یک مشکل امنیتی بود ، مایکروسافت برای این مشکل یک اصلاحیه منتشر کرده بود ولی مدیران بخش شبکه هنوز این اصلاحیه را نصب نکرده بودند. رییس و نایب رییس شرکت Getloaded با استفاده از این آسیب پذیری توانستند به سرور های سایت Truckstop نفوذ کنند.
صدای آشنا ؟
ما در بخش امنیت ، موضوعی داریم به عنوان مدیریت اصلاحیه های ( Patch Management ) و کنترل دسترسی ( Access Control ) . همین مورد نشان می دهد که ممکن است نتیجه اینگونه خرابی ها چه مقدار باشد. به صورت فزاینده ای شرکت های رقیب به دنبال اطلاعات محرمانه و قابل استفاده از سایتهای تحت وب و پایگاههای داده می باشند و یا با استفاده از آسیب پذیری ها موجود در پایگاه داده ، یک دسترسی بدون مجوز با آن برقرار می کنند و داده های حساس و مهم تجاری شرکت رقیب را به سرقت می برند.
بعضی مسایل هم غیر قابل اجتناب می باشد : برای رانندگانی که باید به سایت دسترسی داشته باشند لازم است که به بعضی از اطلاعات سایت دسترسی داشته باشند. حق دسترسی برای اینگونه موارد ، استفاده از نام کاربری و پسورد می باشد تا حق دسترسی افراد مشخص شود. کاربران معمولا از یک نام کاربری و یک پسورد استفاده می کنند و همین امر باعث می شود که برخی از کسانی که به این نام کاربری ها دسترس دارند با سوءاستفاده از آنها ، به اطلاعات مهم و حیاتی شرکت های رقیب دسترسی داشته باشند.
جاسوسی اقتصادی
به این مشکلات می توان در دو دسته تکنیکی و قانونی پاسخ داد. از دیدگاه تکنیکی ، شرکت های تجاری باید قوانین و تکنولوژی های بهتری را برای حق دسترسی کاربران و مشتری های خود در وب سایت خود ایجاد کنند. اگر شما مشاهده کردید که تلاش های فراوانی برای دسترسی به سایت شما از یک رنج IP مشخص (که شبیه آدرس های رقیب شما می باشد ) وجود داشته است که اکثر آنها با شکست مواجهه شده اند بدانید که یک اتفاق بدی در حال وقوع است.
نصب IDS ، مشاهده روزانه فایل های ثبت وقایع ( Log ) و البته مدیریت نصب اصلاحیه ها جزو موارد ثابتی می باشد که یک وب سایت برای امنیت خود بدانها نیاز دارد.
فقط کافی نیست که شما اصلاحیه ها را نصب کنید ، باید نرم افزارهایی را استفاده کنید که در هنگام بروز برخی تغییرات ، کشف آسیب پذیری جدید ، باز شدن یک پورت در سرور و همچنین تایید و تصدیق نصب اصلاحیه ها ، شما را باخبر کنند.
از نظر حقوقی وقفه ایجاد کردن و سنگ انداختن در کار رقبا از راههای غیر قانونی جرم محسوب می شود. شما مطمئنا نیاز دارید که یک مکان عمومی برای امور کاری خود داشته باشید ولی از طرفی هم باید ضوابط مشخصی را برای این مکان در نظر بگیرید تا هر کسی به هر چیزی دسترسی نداشته باشد.
بنابراین اولین چیزی که باید برای دفاع از وب سایت عمومی خود ایجاد کنید ، قرار دادن یک سری شرایط و ضوابط ست که از داده های سایت شما محافظت می کند تا بدین وسیله از داده های سایت شما علیه شما استفاده نکنند. مثلا از بینندگان سایت همان ابتدای ورود ضمانت بگیرید که از داده های سایت شما استفاده تجاری نکنند یا از مهندسی معکوس برای نرم افزار های شما خودداری کنند و یا هر چیز دیگری شبیه این موارد که شما نیاز دارید که آنها را ممنوع اعلان کنید.
واقعا باید گفت که این موضوعات ، معضلاتی می باشد که در آینده گریبانگیر صنایع IT خواهد شد و موضوعاتی است که دادگاههای قضایی در آینده ای نه چندان دور با آن برخورد می کنند.
مشکلاتی که ممکن است سایتهای تجاری وب با آن برخورد کنند. اثبات این موضوع بر عهده دادگاه می باشد که نشان دهد کاربران سایت شما از قوانین سایت سرپیچی کرده اند یا خیر اما در اینگونه موارد بهتر است که قوانین دلخواه خود را در همان ابتدا که کاربران در حال درست کردن نام کاربری و رمز عبور هستند از آنها تایید بگیرید. تا با زیر پا گذاشتن این قوانین دست شما برای شکایت از آنها و اثبات موارد خلاف باز باشد.
نویسنده : امیر حسین شریفی
ناشر : مهندسی شبکه همکاران سیستم
http://www.sgnec.net/admin/images/arts/amir.jpg
1- آن تجارت را فراموش می کنید و به دنبار حرفه دیگری می گردید ؟
2-یک تیم حرفه ای تشکیل می دهید و یک ابزار بهتر از شرکت رقیب درست می کنید ؟
3- به سایت رقیب خود نفوذ می کنید و کد های آنها را می دزدید ؟ یا در حالت بهتر برخی از کارمندان آن را مجاب می کنید که یک وب سایت هم برای شما به همان صورت بسازند ؟
تبریک می گویم ، به دنیای هک کردن رقبا خوش آمدید!
در 15 اکتبر 2004 طبق فرجامی در دادگاه از ایالات متحده ،در نهین جلسه آن ،قاضی باید به شکایت دو شرکت رسیدگی می کرد. این شرکت ها در زمینه خدمات به رانندگان کامیون فعالیت می کردند. یکی از شرکت ها ، Creative Computing ، در قالب یک سایت موفق راه اندازی شده بود ، Truckstop.com ، که رانندگان کامیون را از طریق اینترنت با بار ها ارتباط می داد. در جای دیگری از این دنیا یک شرکت دیگری ، Getloaded.com ، تشکیل شد ، برای رقابت با شرکت فوق ، اما نه به صورت درست و صادقانه !
Getloaded.com تلاشهای فراوانی را در جهت به دست آوردن اطلاعات از سایت Truckstop.com انجام داد. در ابتدا آنها لیستی از بارها و رانندگانی که اصلا با هم تطابق نداشتند را تهیه کردند. هنگامی که Truckstop در سایت خود شروع به گرفتن نام کاربری و پسورد کردند ، Getloaded نیز همین کار را کرد. در نتیجه ، رانندگان کامیونی که در هر دو سایت عضو بودند ، یک نام کاربری و یک پسورد در هر دو سایت ایجاد می کردند. در نتیجه اعضای Getloaded با نام کاربری و پسورد این دسته از رانندگان به سایت Truckstop رفته و اطلاعات آنها را برای خود ثبت می کردند.
بنابراین آنها در قالب شرکتهای مرده ! خود را در سایت فوق ثبت می کردند تا اطلاعات آنها را به دست بیاورند.
اما هنوز کار به اینجا ختم نشده بود ، طبق گفته دادگاه ، کارکنان Getloaded همچنین به وب سایت این شرکت نفوذ کردند ، سرور این وب سایت دارای یک مشکل امنیتی بود ، مایکروسافت برای این مشکل یک اصلاحیه منتشر کرده بود ولی مدیران بخش شبکه هنوز این اصلاحیه را نصب نکرده بودند. رییس و نایب رییس شرکت Getloaded با استفاده از این آسیب پذیری توانستند به سرور های سایت Truckstop نفوذ کنند.
صدای آشنا ؟
ما در بخش امنیت ، موضوعی داریم به عنوان مدیریت اصلاحیه های ( Patch Management ) و کنترل دسترسی ( Access Control ) . همین مورد نشان می دهد که ممکن است نتیجه اینگونه خرابی ها چه مقدار باشد. به صورت فزاینده ای شرکت های رقیب به دنبال اطلاعات محرمانه و قابل استفاده از سایتهای تحت وب و پایگاههای داده می باشند و یا با استفاده از آسیب پذیری ها موجود در پایگاه داده ، یک دسترسی بدون مجوز با آن برقرار می کنند و داده های حساس و مهم تجاری شرکت رقیب را به سرقت می برند.
بعضی مسایل هم غیر قابل اجتناب می باشد : برای رانندگانی که باید به سایت دسترسی داشته باشند لازم است که به بعضی از اطلاعات سایت دسترسی داشته باشند. حق دسترسی برای اینگونه موارد ، استفاده از نام کاربری و پسورد می باشد تا حق دسترسی افراد مشخص شود. کاربران معمولا از یک نام کاربری و یک پسورد استفاده می کنند و همین امر باعث می شود که برخی از کسانی که به این نام کاربری ها دسترس دارند با سوءاستفاده از آنها ، به اطلاعات مهم و حیاتی شرکت های رقیب دسترسی داشته باشند.
جاسوسی اقتصادی
به این مشکلات می توان در دو دسته تکنیکی و قانونی پاسخ داد. از دیدگاه تکنیکی ، شرکت های تجاری باید قوانین و تکنولوژی های بهتری را برای حق دسترسی کاربران و مشتری های خود در وب سایت خود ایجاد کنند. اگر شما مشاهده کردید که تلاش های فراوانی برای دسترسی به سایت شما از یک رنج IP مشخص (که شبیه آدرس های رقیب شما می باشد ) وجود داشته است که اکثر آنها با شکست مواجهه شده اند بدانید که یک اتفاق بدی در حال وقوع است.
نصب IDS ، مشاهده روزانه فایل های ثبت وقایع ( Log ) و البته مدیریت نصب اصلاحیه ها جزو موارد ثابتی می باشد که یک وب سایت برای امنیت خود بدانها نیاز دارد.
فقط کافی نیست که شما اصلاحیه ها را نصب کنید ، باید نرم افزارهایی را استفاده کنید که در هنگام بروز برخی تغییرات ، کشف آسیب پذیری جدید ، باز شدن یک پورت در سرور و همچنین تایید و تصدیق نصب اصلاحیه ها ، شما را باخبر کنند.
از نظر حقوقی وقفه ایجاد کردن و سنگ انداختن در کار رقبا از راههای غیر قانونی جرم محسوب می شود. شما مطمئنا نیاز دارید که یک مکان عمومی برای امور کاری خود داشته باشید ولی از طرفی هم باید ضوابط مشخصی را برای این مکان در نظر بگیرید تا هر کسی به هر چیزی دسترسی نداشته باشد.
بنابراین اولین چیزی که باید برای دفاع از وب سایت عمومی خود ایجاد کنید ، قرار دادن یک سری شرایط و ضوابط ست که از داده های سایت شما محافظت می کند تا بدین وسیله از داده های سایت شما علیه شما استفاده نکنند. مثلا از بینندگان سایت همان ابتدای ورود ضمانت بگیرید که از داده های سایت شما استفاده تجاری نکنند یا از مهندسی معکوس برای نرم افزار های شما خودداری کنند و یا هر چیز دیگری شبیه این موارد که شما نیاز دارید که آنها را ممنوع اعلان کنید.
واقعا باید گفت که این موضوعات ، معضلاتی می باشد که در آینده گریبانگیر صنایع IT خواهد شد و موضوعاتی است که دادگاههای قضایی در آینده ای نه چندان دور با آن برخورد می کنند.
مشکلاتی که ممکن است سایتهای تجاری وب با آن برخورد کنند. اثبات این موضوع بر عهده دادگاه می باشد که نشان دهد کاربران سایت شما از قوانین سایت سرپیچی کرده اند یا خیر اما در اینگونه موارد بهتر است که قوانین دلخواه خود را در همان ابتدا که کاربران در حال درست کردن نام کاربری و رمز عبور هستند از آنها تایید بگیرید. تا با زیر پا گذاشتن این قوانین دست شما برای شکایت از آنها و اثبات موارد خلاف باز باشد.
نویسنده : امیر حسین شریفی
ناشر : مهندسی شبکه همکاران سیستم
http://www.sgnec.net/admin/images/arts/amir.jpg