بخوانید!
27 آبان » کدام یک بدتر است: کالری چربیها یا کربوهیدراتها؟، مجله الکترونیکی فریا
26 آبان » یک دست مصنوعی در لیست بهترین اختراعات سال 2008 قرار گرفت + عکس، شبکه ایران 26 آبان » رونمایی رسمی از گوشی نوکیا E63 + عکس، موبایل کده 26 آبان » کاوشگر هندی بر سطح ماه فرود آمد، همشهری 26 آبان » کودکان مهاجر؛ زبان دوم و لکنت زبان، دویچه وله
پرخواننده ترین ها
» دلیل کینه جویی های رهبری نسبت به خاتمی چیست؟
» 'دارندگان گرین کارت هم مشمول ممنوعیت سفر به آمریکا میشوند' » فرهادی بزودی تصمیماش را برای حضور در مراسم اسکار اعلام میکند » گیتار و آواز گلشیفته فراهانی همراه با رقص بهروز وثوقی » چگونگی انفجار ساختمان پلاسکو را بهتر بشناسیم » گزارشهایی از "دیپورت" مسافران ایرانی در فرودگاههای آمریکا پس از دستور ترامپ » مشاور رفسنجانی: عکس هاشمی را دستکاری کردهاند » تصویری: مانکن های پلاسکو! » تصویری: سرمای 35 درجه زیر صفر در مسکو! گفتگو با رمزنويس مشهور ، بروس اشناير ، جام جم آنلاين
بروس در کتاب جديد خود به نام Beyond fear: Thinking sensibly About Security in an uncertain world به عنوان بت شکن نگاهي غير آي تي آنه (Non IT) به امنيت سيستم ها دارد و چالش هاي امنيت فيزيکي را به عنوان ترمي جديد (New Term) در سيستم ها و شبکه ها بررسي مي کند و از آن شمايي کلي در اختيار خواننده قرار مي دهد. در اين راستا حرکتي بلند پروازانه از infosecurity به دنياي جديدي (که در تخيل خود ساخته) دارد که در اين گفتگو چنين شرح مي دهد: شما از دوران رمزنويسي فاصله بسيار گرفته ايد و حالا در دنياي متکامل تري از امنيت سيستم ها سير مي کنيد. ابتدا با رمزنويسي شروع کردم و بعد براي مقابله با حملات هوشمندانه به امن کردن سيستم ها از طريق رياضيات پرداختم و بعدها که بيشتر روي امنيت رايانه متمرکز شدم ، به «خوب طراحي کردن» نرم افزار و سخت افزارها براي شکست نفوذگران بها دادم و سرمايه گذاري فکري بزرگي روي آن کردم. بعدها در طول تحقيقات و تجربه هاي کاري فهميدم که شبکه هاي امن نيز با خطاهاي انساني دچار شکست و نقض مي شوند و در اين ميان امنيت به عنوان يک زنجيره با توسعه رمزنويسي با حلقه هاي قوي تر، محکم تر مي شود. به اين فکر افتادم که مشابه همين داستان را مي توان در دنياي امنيت غيررايانه اي (معادل همان تکنيک هاي رمزنويسي رايانه اي) ارزش سازي کرد و همان مراحل توسعه و تکامل رمزنويسي را براي امنيت سيستم ها در بعد فيزيکي پياده کرد و اين بود که در کتاب جديدم از آن به عنوان ترمي جديد در امنيت ياد کرده و براي آن تعاريف جديدي ارائه کردم. در واقع انگيزه اي هم که باعث نوشتن کتاب جديد شد ادراک من از چشم انداز جديد درباره «امنيت» است که از لابه لاي موضوعات گيج کننده و پيچيده استنتاج شده است. و حتما شما براي سروسامان دادن به آن هنوز در آشفتگي فکري به سر مي بريد. فرهنگ سازي براي ادغام امنيت فيزيکي و آي تي سخت بنظر مي رسد و قطعا با استثناهاتي در عقايد خود روبه رو مي شويد که شايد نتوان از آن به عنوان ترمي جديد نام برد! گروهي که روي امنيت فيزيکي کار مي کنند وقت بسياري صرف کارتهاي آي دي ملي مي کنند که اگر موفق شوند مي توانند آن را در سطح ملي اجرا کنند اما هرگز نمي توانند آن را در مورد همه خارجيان (خارج از امريکا) اعمال کنند. آنها فکر مي کنند توقيف يک چاقو از مادربزرگ موفقيت به شمار مي رود و دقيقا به همين خاطر است که من شکست در اين عقيده را با چشم خود مي بينم. امنيت ما دچار سردرگمي فراوان در تعاريف است که دائما با حفره ها و آسيب پذيريهاي عمده و غيرعمده دست و پنجه نرم مي کند و به همين خاطر است که تاکيد مي کنم که گروه طرفداران امنيت فيزيکي به موضوع به عنوان يک ترم سيستماتيک نمي انديشند. به فرضيه تکاملي شما مي توان به عنوان جهاني کمپرس شده (که ما آنرا مي بينيم) نگاه کرد که در آن اطلاعات و امنيت فيزيکي دو تاکتيک (share) شده بوسيله انضباط امنيتي است با اين نوع نگرش آيا مقاومتي از سوي گروه طرفداران امنيت فيزيکي در برابر خود مي بينيد و برعکس ، طرفداران امنيت آي تي ، رمزنويسان و کساني که با اين نوع نگاه کار مي کنند ، به چه فکر مي کنند؟ در آن طرف ميدان حرفه اي هاي آي تي بيشتر مشتاق هستند تا با متدلوژي و راههاي تفکر در دنياي واقعي امنيت ، با موضوع برخورد کنند (من در بسياري از مواقع از استعاره هاي فيزيکي براي تبيين امنيت رايانه اي بهره برده ام). از اين رو اسلوب شناسان امنيت رايانه مشکلات امنيت فيزيکي را با متدلوژي خودشان نگريسته و دنبال چاره جويي مي روند. تجربه نشان داده که در بسياري مواقع مشکلات امنيتي ذاتا مبهم هستند و تکنولوژي نمي تواند در اين زمينه کمک نمايد. چک کردن فتو آي دي مثال خوبي در اين باره است. تکنولوژيست ها مي خواهند اين کيس را اضافه کنند تا بوسيله آن مانع از جعل آي دي شوند اما من ناراحت مي شوم از اين که فردي مي تواند با دادن رشوه يک آي دي جعلي بگيرد (پس مشکلات را اينطور نيز مي توان حل کرد). بنابراين با سخت تر کردن ساخت آي دي نمي توان جلوي جعل را گرفته و مشکلات مردم را حل کرد. ثمره 2 سال «سايبر تروريسم» چه بوده است؟ شرکت من (counterpane) روزانه هزاران وب سايت و سرور را در دنيا چک مي کند و ما هر روز جنايات الکترونيکي را به وفور مي بينيم اما آنچه تروريسم را تيتر يک روزنامه ها کرده به واقع اتفاق نيفتاده است و اين دقيقا معادل انحراف و عدول از پاسخگويي مثبت به مردم و مخاطبان است که ساعت ها درباره اين خطرها فقط شنيده اند و چيزي نديده اند! اگر مشکل «سايبر تروريسم» است ، حکومت درباره آن اقدامات لازم را انجام دهد ؛ اگر مشکل جنايات سايبر است ، صاحبان شبکه هاي رايانه اي مشکلاتشان را حل کنند تا چنين اتفاقي نيفتد. پس مي بينيم که اين موضوع (سايبر تروريسم) جذابيت خاصي براي انحراف از پاسخگويي مناسب به مردم از سوي مسوولان به شمار مي رود و حکومت نيز به سايبر تروريسم به عنوان مفري براي عدم حل مشکلات دامن مي زند. (به تازگي دانشجوي دانشگاه جورج ميسون تزي درباره در دسترس بودن اطلاعات مردم در ورودي هاي ارتباطاتي امريکا مطرح کرد اما فورا به وي گفته شد با نوت بوکش جلسه را ترک کرده تا با خطر اتهام تروريسم روبه رو نشود). امروز پريشاني ميان رازداري (secrecy) و امنيت (security) کاملا مشهود شده است. امن کردن فراساختارهاي ارتباطاتي اقدامي ارتجاعي (جهنده) در برابر امنيت تلقي مي شود. فراساختارها امن نيستند و اين را همگان جار مي زنند بدون اين که از اين صحبت کنند که مطرح کردن همين موضوع براي مخالفان جذابيت دارد. بنابراين رازداري نيست ، امنيت گم شده و شما نيز ديگر نمي توانيد به عقب برگرديد. چرا بايد روي اين نکته پاي بفشاريم که اگر اطلاعاتمان را مخفي نگه داريم و آن را دور از دسترس قرار دهيم ، بچه هاي بد از به دست آوردن آن منصرف مي شوند؟ اين مشکل روحي در بين مردم هست ، رازداري به سوي يک نقطه منعطف است اما امنيت بسيار شکننده است. چه مفهومي از اصطلاح ترد و شکننده (brittle) داريد؟ سيستم هاي بريتل (ترد و شکننده) سيستم هايي هستند که به آساني ، به طور کامل و مصيبت بار نقض و شکسته مي شوند. خانه اي ساخته شده از کارتها يک بريتل است که وقتي يکي از کارتها را که به صورت قطاري چيده شده اند برداريم ، کل ساختار مي شکند. اکنون بيشتر سيستم هاي رايانه اي بريتل هستند و وقتي امنيت در آنها نقض مي شود به طور کامل از بين مي رود. در اين ميان سيستم هاي جهنده (Resilient) امن مي مانند و نقض کوچک باعث نقض بزرگ در کل سيستم نمي شود. در فصل نهم کتاب جديدم درباره تردي و ارتجاعي بودن سيستم ها بحث کرده ام (يعني سيستم هاي بريتل و جهنده). راههاي وصول به سيستم جهنده را نيز شرح داده ام که دفاع در عمق ، قسمت قسمت کردن سيستم و انعطاف پذيري سيستم از جمله آنها است آنها همه مشخصات يک سيستم امن به طور طبيعي است که اغلب در سيستم هاي رايانه اي کنوني يافت نمي شوند. ارزيابي ريسک يکي از فانکسيون هاي داخل مغز است که از مفتولي سخت در يک پروسه جا مي گيرد. انديشه هاي ما خطرساز است و مبتني بر آزمايش اما همچنان 2 فاکتور احساس و شهود نيز بدان افزوده مي شود. علوم مدرن چيزهايي را مي سازد که توضيحش براي يک فرد متوسط نيز دشوار است.
همچنين نظارت غيرقانوني حکومت بر شهروندان افزايش يافته که اين موضوع چندان جذاب نيست. اتفاقاتي نظير فروختن اطلاعات به سرويس هاي خصوصي چيزي نيست که امنيت را بالا ببرد و بنابراين مي بينم که به اين راحتي چنين سيستم هاي پرهزينه اي آسيب پذير مي شوند و اگر اين گونه سيستم ها واقعا خطر را کاهش مي دهند من حاضرم آنها را بپذيرم اما متاسفانه سيستم هاي مذکور دردي را دوا نکرده و حتي بر مشکلات امنيتي نيز افزوده اند. در اين راستا مي توان گفت که سيستم طوري ارائه شده که اصل را بر گناه کار بودن همه مي گذارد مگر اين که خلافش ثابت شود. از نظر امنيت مضحکي که در حال حاضر هست همه مردم گناهکارند مگر اين که کاري کنند که عکسش ثابت شود. براي مثال يک بانک هيچ وقت سيستم امنيتي نمي سازد که همه مشتريان خود را دزد فرض کند حتي صرف نظر از اين که اين کار باعث بالا رفتن امنيت بانک نيز شود. امنيت فرودگاه اجازه نمي دهد يک چاقوي بسيار ريز توسط مسافر جابجا شود و فورا آن را مي گيرند اما به همان مسافر اجازه حمل کبريت و فندک را مي دهند (که موادي آتش زا هستند و بگذريم از اين که پس از فشار از سوي لابي تنباکو کنگره مانع از اين شد که فندک و سيگار را در رده چاقو تعريف کند) بيزينس ها به همين راحتي شبکه ها را ناامن کرده اند و آن وقت مي توانيم بفهميم که با امنيت واقعي چقدر فاصله داريم. *(cryptography) کريپتوگرافي يا رمزنويسي : متد رمزنويسي است که ديتا در آن انکريپت (پنهان شدن يا مخفي کردن) مي شود ، بدين معني که متن اصلي به فرمتي غيرقابل خواندن تبديل مي شود و سپس decrypt يا آشکارسازي مي شود ، يعني به فرمت قابل خواندن مثل گذشته تبديل مي شود. Copyright: gooya.com 2016
|