دوشنبه 5 آبان 1382   صفحه اول | درباره ما | گویا

بخوانید!
پرخواننده ترین ها

گفتگو با رمزنويس مشهور ، بروس اشناير ، جام جم آنلاين



بروس اشناير رمزنويس بزرگ در گفتگو با اسکات بريناتو (سردبير مجله CSO) نظريات جديد خود را درباره نگاه تاريخي به امنيت سيستم ها از بعد فيزيکي و فني ارائه کرده است.


اين گفتگو حول موضوع رمزنگاري (CRYptographer*) با او انجام شده است وي به عنوان موسس امنيت اينترنت در Counterpane co نسبت به مطبوعات واکنشي مهاجمانه داشته و به سختي با آن کنار مي آيد اما وقتي هم که okدهد، مي توان دنياي تحولات امنيتي در اينترنت و شبکه هاي رايانه اي را از کلامش در مصاحبه اي کوتاه گرفت.

بروس در کتاب جديد خود به نام Beyond fear: Thinking sensibly About Security in an uncertain world به عنوان بت شکن نگاهي غير آي تي آنه (Non IT) به امنيت سيستم ها دارد و چالش هاي امنيت فيزيکي را به عنوان ترمي جديد (New Term) در سيستم ها و شبکه ها بررسي مي کند و از آن شمايي کلي در اختيار خواننده قرار مي دهد. در اين راستا حرکتي بلند پروازانه از infosecurity به دنياي جديدي (که در تخيل خود ساخته) دارد که در اين گفتگو چنين شرح مي دهد:

شما از دوران رمزنويسي فاصله بسيار گرفته ايد و حالا در دنياي متکامل تري از امنيت سيستم ها سير مي کنيد.
«امنيت» يک «سيستم» است و مقوله عمده اي که روي آن کار کرده ام همين موضوع بوده و بيشتر از اين منظر به امنيت نگريسته ام.

ابتدا با رمزنويسي شروع کردم و بعد براي مقابله با حملات هوشمندانه به امن کردن سيستم ها از طريق رياضيات پرداختم و بعدها که بيشتر روي امنيت رايانه متمرکز شدم ، به «خوب طراحي کردن» نرم افزار و سخت افزارها براي شکست نفوذگران بها دادم و سرمايه گذاري فکري بزرگي روي آن کردم.

بعدها در طول تحقيقات و تجربه هاي کاري فهميدم که شبکه هاي امن نيز با خطاهاي انساني دچار شکست و نقض مي شوند و در اين ميان امنيت به عنوان يک زنجيره با توسعه رمزنويسي با حلقه هاي قوي تر، محکم تر مي شود. به اين فکر افتادم که مشابه همين داستان را مي توان در دنياي امنيت غيررايانه اي (معادل همان تکنيک هاي رمزنويسي رايانه اي) ارزش سازي کرد و همان مراحل توسعه و تکامل رمزنويسي را براي امنيت سيستم ها در بعد فيزيکي پياده کرد و اين بود که در کتاب جديدم از آن به عنوان ترمي جديد در امنيت ياد کرده و براي آن تعاريف جديدي ارائه کردم.

در واقع انگيزه اي هم که باعث نوشتن کتاب جديد شد ادراک من از چشم انداز جديد درباره «امنيت» است که از لابه لاي موضوعات گيج کننده و پيچيده استنتاج شده است.

و حتما شما براي سروسامان دادن به آن هنوز در آشفتگي فکري به سر مي بريد. فرهنگ سازي براي ادغام امنيت فيزيکي و آي تي سخت بنظر مي رسد و قطعا با استثناهاتي در عقايد خود روبه رو مي شويد که شايد نتوان از آن به عنوان ترمي جديد نام برد!
انفصال فرهنگي بزرگي در عقايد کساني که به امنيت فيزيکي فکر مي کنند و کساني که به امنيت رايانه اي بها مي دهند ، هست که از امنيت به عنوان ترمي جديد ياد نمي کنند. اما من همه اين عقايد و افکار را يک کاسه کرده و در زير مجموعه اي به نام سيستم هاي امنيتي جمع کرده ام.

گروهي که روي امنيت فيزيکي کار مي کنند وقت بسياري صرف کارتهاي آي دي ملي مي کنند که اگر موفق شوند مي توانند آن را در سطح ملي اجرا کنند اما هرگز نمي توانند آن را در مورد همه خارجيان (خارج از امريکا) اعمال کنند. آنها فکر مي کنند توقيف يک چاقو از مادربزرگ موفقيت به شمار مي رود و دقيقا به همين خاطر است که من شکست در اين عقيده را با چشم خود مي بينم.

امنيت ما دچار سردرگمي فراوان در تعاريف است که دائما با حفره ها و آسيب پذيريهاي عمده و غيرعمده دست و پنجه نرم مي کند و به همين خاطر است که تاکيد مي کنم که گروه طرفداران امنيت فيزيکي به موضوع به عنوان يک ترم سيستماتيک نمي انديشند.

به فرضيه تکاملي شما مي توان به عنوان جهاني کمپرس شده (که ما آنرا مي بينيم) نگاه کرد که در آن اطلاعات و امنيت فيزيکي دو تاکتيک (share) شده بوسيله انضباط امنيتي است با اين نوع نگرش آيا مقاومتي از سوي گروه طرفداران امنيت فيزيکي در برابر خود مي بينيد و برعکس ، طرفداران امنيت آي تي ، رمزنويسان و کساني که با اين نوع نگاه کار مي کنند ، به چه فکر مي کنند؟
امنيت فيزيکي بطور سنتي در کشورهاي قديمي رايج است و مقاومت سرسختانه اي هم براي عوض شدنش صورت مي گيرد. در اينجا نيز من کشف کرده ام که بيشتر کارمندان و شاغلان قادر نيستند با راههاي جديد درباره مشکلات سنتي خود فکر کنند (اين موضوع را مي توانيم در ژانويه 2003 زماني که مت بليز درباره نحوه شکستن قفل دربها به طريقه فيزيکي نوشت ، ببينيم). قفل سازان حرفه اي نسبت به کتاب بليز واکنش خشم آلودي نشان دادند و اعتراض کردند که چرا «اسرار مگو» بايد توسط وي فاش شود آنها مي گفتند نبايد اين اسرار در دست عموم بيفتد. من عقيده دارم که اين اسرار مگو هميشه در دست بچه هاي بد است و کمتر افراد خوب سعي مي کنند بدان دسترسي يابند و به همين دليل است که چنين مشکلاتي هنوز حل ناشده باقي مانده است.

در آن طرف ميدان حرفه اي هاي آي تي بيشتر مشتاق هستند تا با متدلوژي و راههاي تفکر در دنياي واقعي امنيت ، با موضوع برخورد کنند (من در بسياري از مواقع از استعاره هاي فيزيکي براي تبيين امنيت رايانه اي بهره برده ام). از اين رو اسلوب شناسان امنيت رايانه مشکلات امنيت فيزيکي را با متدلوژي خودشان نگريسته و دنبال چاره جويي مي روند.
يک طرفدار امنيت فيزيکي استدلال مي کند که دار و دسته امنيت رايانه اي هميشه زماني که وقت مناسب نيست ، در تلاش براي حل مشکلات خود از تکنولوژي مدد مي گيرند و گامهاي برداشته شده کاملا برخلاف گام هايي است که قوم امنيت فيزيکي دنبال آن مي روند.
دوستداران امنيت آي تي هميشه ترجيح داده اند که بوسيله تکنولوژي مشکلاتشان را حل کنند و همين موضوع مي تواند توضيح دهنده بسياري از شکست ها در اين حيطه باشد. و در اينجاست که من از ترم سيستماتيک امنيت دفاع مي کنم ، کمااين که از بي فکري براي اجراي تکنولوژي نيز پرهيز مي کنم.

تجربه نشان داده که در بسياري مواقع مشکلات امنيتي ذاتا مبهم هستند و تکنولوژي نمي تواند در اين زمينه کمک نمايد. چک کردن فتو آي دي مثال خوبي در اين باره است.

تکنولوژيست ها مي خواهند اين کيس را اضافه کنند تا بوسيله آن مانع از جعل آي دي شوند اما من ناراحت مي شوم از اين که فردي مي تواند با دادن رشوه يک آي دي جعلي بگيرد (پس مشکلات را اينطور نيز مي توان حل کرد). بنابراين با سخت تر کردن ساخت آي دي نمي توان جلوي جعل را گرفته و مشکلات مردم را حل کرد.
بت شکني که از آن نام بردم در کتاب شما با عنوان «انديشه معقول درباره امنيت در يک دنياي نامعلوم» شروع مي شود با ضربه اي تلويحي مي توان گفت طرز فکرهاي مزخرف زيادي است که نياز به اصلاح دارد برخي از مواردي که شما ديده ايد يا شنيده ايد را بگوييد؟
داستان هاي استاپيدسيکيوريتي مانند يک سکه ده سنتي در ميان يک دوجين سکه درشت است که در سايت www.stupidsecurity.com با جايزه اي بزرگ براي متخلفان خودنمايي مي کند ترس من از اينجا ناشي مي شود که بسياري از اين معيارهاي غلط از نظر مردم نکته هاي مثبت به شمار مي رود. در اين راستا بسياري معتقدند افزايش تقاضا براي Identification باعث ارتقاي امنيت مي شود و بسياري معتقدند که توقيف چاقوي جيبي در هواپيما خطر هواپيماربايي را کاهش مي دهد. اما من مي گويم امنيت هر دو بعد احساس و واقعيت را در بر مي گيرد و انشعاب ميان اين دو باعث بروز مزاحمت ها و رنج هاي بيشتر مي شود.

ثمره 2 سال «سايبر تروريسم» چه بوده است؟
به نظر من اين روزها مقدار زيادي چرنديات درباره اين مقوله به زبان رانده شده و به صورت نوشتاري ضبط و منتشر مي شود. قبل از آن که مردم از شما چشم بپوشند شما مانند گرگ جيغ مي زنيد و حالا پس از 2 سال مردم نسبت به تهديدات بر زبان رانده شده و نوشته شده بي تفاوت شده اند. شخصا عقيده دارم درصد ريسک درباره «سايبر تروريسم» بسيار اغراق آميز است.

شرکت من (counterpane) روزانه هزاران وب سايت و سرور را در دنيا چک مي کند و ما هر روز جنايات الکترونيکي را به وفور مي بينيم اما آنچه تروريسم را تيتر يک روزنامه ها کرده به واقع اتفاق نيفتاده است و اين دقيقا معادل انحراف و عدول از پاسخگويي مثبت به مردم و مخاطبان است که ساعت ها درباره اين خطرها فقط شنيده اند و چيزي نديده اند! اگر مشکل «سايبر تروريسم» است ، حکومت درباره آن اقدامات لازم را انجام دهد ؛ اگر مشکل جنايات سايبر است ، صاحبان شبکه هاي رايانه اي مشکلاتشان را حل کنند تا چنين اتفاقي نيفتد. پس مي بينيم که اين موضوع (سايبر تروريسم) جذابيت خاصي براي انحراف از پاسخگويي مناسب به مردم از سوي مسوولان به شمار مي رود و حکومت نيز به سايبر تروريسم به عنوان مفري براي عدم حل مشکلات دامن مي زند. (به تازگي دانشجوي دانشگاه جورج ميسون تزي درباره در دسترس بودن اطلاعات مردم در ورودي هاي ارتباطاتي امريکا مطرح کرد اما فورا به وي گفته شد با نوت بوکش جلسه را ترک کرده تا با خطر اتهام تروريسم روبه رو نشود). امروز پريشاني ميان رازداري (secrecy) و امنيت (security) کاملا مشهود شده است.

امن کردن فراساختارهاي ارتباطاتي اقدامي ارتجاعي (جهنده) در برابر امنيت تلقي مي شود. فراساختارها امن نيستند و اين را همگان جار مي زنند بدون اين که از اين صحبت کنند که مطرح کردن همين موضوع براي مخالفان جذابيت دارد. بنابراين رازداري نيست ، امنيت گم شده و شما نيز ديگر نمي توانيد به عقب برگرديد.

چرا بايد روي اين نکته پاي بفشاريم که اگر اطلاعاتمان را مخفي نگه داريم و آن را دور از دسترس قرار دهيم ، بچه هاي بد از به دست آوردن آن منصرف مي شوند؟
اين يک عقيده شايع است که رازداري معادل امنيت است اين تصوري غلط ميان مردم است و بسيار شبيه همان داستان زدن تير به پيام آوري است که خبر بد آورده است.

اين مشکل روحي در بين مردم هست ، رازداري به سوي يک نقطه منعطف است اما امنيت بسيار شکننده است.

چه مفهومي از اصطلاح ترد و شکننده (brittle) داريد؟
من از اين واژه به عنوان ترمي جديد استفاده مي کنم که با آن تعداد و کيفيت شکسته شدن و نقض در سيستم هاي امنيتي را توضيح مي دهم.

سيستم هاي بريتل (ترد و شکننده) سيستم هايي هستند که به آساني ، به طور کامل و مصيبت بار نقض و شکسته مي شوند. خانه اي ساخته شده از کارتها يک بريتل است که وقتي يکي از کارتها را که به صورت قطاري چيده شده اند برداريم ، کل ساختار مي شکند. اکنون بيشتر سيستم هاي رايانه اي بريتل هستند و وقتي امنيت در آنها نقض مي شود به طور کامل از بين مي رود. در اين ميان سيستم هاي جهنده (Resilient) امن مي مانند و نقض کوچک باعث نقض بزرگ در کل سيستم نمي شود. در فصل نهم کتاب جديدم درباره تردي و ارتجاعي بودن سيستم ها بحث کرده ام (يعني سيستم هاي بريتل و جهنده). راههاي وصول به سيستم جهنده را نيز شرح داده ام که دفاع در عمق ، قسمت قسمت کردن سيستم و انعطاف پذيري سيستم از جمله آنها است آنها همه مشخصات يک سيستم امن به طور طبيعي است که اغلب در سيستم هاي رايانه اي کنوني يافت نمي شوند.
نظريات کنگره درباره امنيت چگونه است؟
من چندين بار در جلسات آنها به عنوان صاحب کلام حرف زده ام آنها هر تصميمي که مي گيرند با رضايت عمومي است اما امنيت واقعي انتخاب ها را بسيار سخت مي کند چرا که به منافع شرکت ها و صنايع آسيب وارد مي کند. امنيت واقعي مي گويد چه چيز درست است نه اين که بگويد چيزي که سياستمداران مي گويند ، صحيح است!.

نظرات مردم درباره ريسکهاي امنيتي چگونه است؟

من فکر مي کنم سوال اصلي را اين طور مطرح کنيم که چرا مردم در ارزيابي ها و پيش بيني ها و پذيرش ريسک اينقدر (Lousy) هستند. اين سوال پيچيده اي است که من در فصل دوم کتابم بدان پرداخته ام.

ارزيابي ريسک يکي از فانکسيون هاي داخل مغز است که از مفتولي سخت در يک پروسه جا مي گيرد. انديشه هاي ما خطرساز است و مبتني بر آزمايش اما همچنان 2 فاکتور احساس و شهود نيز بدان افزوده مي شود. علوم مدرن چيزهايي را مي سازد که توضيحش براي يک فرد متوسط نيز دشوار است.


راجع به سيستم Terrorism information Awareness که بعد از يازدهم سپتامبر به اجرا گذاشته شد توضيح دهيد که آيا اين شما را نگران مي کند؟

تروريسم پديده اي نادر و کمياب است در حالي که جنايت حالت عام و گسترده دارد. سيستم هاي امنيتي براي واکنش نياز به ديتاهاي قوي دارند اما سيستم هايي نظير TIA و CAPPS2 در عمل راه را براي کارهاي غيرقانوني و سرقت هويتي افزايش داده و نتيجه اي عکس داده است.

همچنين نظارت غيرقانوني حکومت بر شهروندان افزايش يافته که اين موضوع چندان جذاب نيست.

اتفاقاتي نظير فروختن اطلاعات به سرويس هاي خصوصي چيزي نيست که امنيت را بالا ببرد و بنابراين مي بينم که به اين راحتي چنين سيستم هاي پرهزينه اي آسيب پذير مي شوند و اگر اين گونه سيستم ها واقعا خطر را کاهش مي دهند من حاضرم آنها را بپذيرم اما متاسفانه سيستم هاي مذکور دردي را دوا نکرده و حتي بر مشکلات امنيتي نيز افزوده اند.
در قلمرو امنيت چه چيزهايي کمتر گزارش شده و به آنها پرداخته شد؟ که شما مي توانيد راجع به آن توضيح دهيد؟
تعجب آورترين موضوع درباره امنيت اين است که «امنيت واقعي» برعکس ظاهرش فراموش شده و به آن کمتر بها داده مي شود. همه مسائل امنيتي سازش پذير شده و حالت بده بستان پيدا کرده اند و جنبه هاي غيرامنيتي سازشها بسيار مهمتر از مشخصات امنيتي است.

در اين راستا مي توان گفت که سيستم طوري ارائه شده که اصل را بر گناه کار بودن همه مي گذارد مگر اين که خلافش ثابت شود. از نظر امنيت مضحکي که در حال حاضر هست همه مردم گناهکارند مگر اين که کاري کنند که عکسش ثابت شود. براي مثال يک بانک هيچ وقت سيستم امنيتي نمي سازد که همه مشتريان خود را دزد فرض کند حتي صرف نظر از اين که اين کار باعث بالا رفتن امنيت بانک نيز شود. امنيت فرودگاه اجازه نمي دهد يک چاقوي بسيار ريز توسط مسافر جابجا شود و فورا آن را مي گيرند اما به همان مسافر اجازه حمل کبريت و فندک را مي دهند (که موادي آتش زا هستند و بگذريم از اين که پس از فشار از سوي لابي تنباکو کنگره مانع از اين شد که فندک و سيگار را در رده چاقو تعريف کند) بيزينس ها به همين راحتي شبکه ها را ناامن کرده اند و آن وقت مي توانيم بفهميم که با امنيت واقعي چقدر فاصله داريم.

*(cryptography) کريپتوگرافي يا رمزنويسي : متد رمزنويسي است که ديتا در آن انکريپت (پنهان شدن يا مخفي کردن) مي شود ، بدين معني که متن اصلي به فرمتي غيرقابل خواندن تبديل مي شود و سپس decrypt يا آشکارسازي مي شود ، يعني به فرمت قابل خواندن مثل گذشته تبديل مي شود.
اين عمل توسط يک فرد يا برنامه با يک کليد مخصوص با استفاده از يک الگوريتم صورت مي گيرد. کريپتوگرافي يا رمزنويسي همچنين براي ارسال اطلاعات يا ذخيره اطلاعات به طريقه امن استفاده مي شود.

[لينک مطلب اصلي]




تبليغات خبرنامه گويا

[email protected] 
























Copyright: gooya.com 2016