وب نوشت شخصی محمد مهدی احمدیان

از «الف» امنیت تا «ی» فلسفه زندگی - عقل معاش در کنار عقل معاد حقیقت زندگی است.

۵ مطلب با موضوع «امنیت :: امنیت-توصیه ها» ثبت شده است

معرفی جدول معادل واژگان امنیت اطلاعات

نظر به احساس نیاز و در نتیجه ایجاد صفحه جدول معادل واژگان امنیت اطلاعات در وبگاه اینجانب ، مخاطبین گرامی می توانند در صورت نیاز به این صفحه مراجعه کرده و اطلاعات جدول معادل واژگان امنیت اطلاعات که به مرور به روز می شود استفاده نمایند.

۰ نظر موافقین ۰ مخالفین ۰
حریم خصوصی را در فضای مجازی جدی بگیریم!سازمان های محترم هشیار باشید!

حریم خصوصی را در فضای مجازی جدی بگیریم!سازمان های محترم هشیار باشید!

متاسفانه در  فضای مجازی کنونی (مرتبط با کشور)  به واسطه رشد فناوری اطلاعات در سازمان های مختلف کشور و از سویی عدم رشد متوازن امنیت سایبری با آن شاهد چالش هایی متعدد امنیتی در این فضا هستیم. یکی از چالش هایی که این سالها به وفور در سامانه های سازمان ها ،پرتال های وب مختلف به ویژه پرتال های مرتبط با سازمان های دولتی و غیردولتی (از نهادهای دانشگاهی گرفته تا سازمان های بانکی، موسسات تبلیغاتی و غیره)  گاهی شاهد نقض اشکارحریم خصوصی کاربران و افشای اطلاعات خصوصی مردم در این فضاها است.  

حریم خصوصی در حقیقت از میان اصول امنیتی سه گانه(محرمانگی، صحت و دسترس پذیری) زیرمجموعه  اصل محرمانگی قلمداد می شود که در آن این مسئله مورد توجه است که اطلاعاتی را که یک فرد در اختیار یک مرکز قرار می دهد و این مرکز از آن اطلاعات استفاده می کند و یا آنها را معرض عموم(اعلام عمومی) قرار میدهد باید بر اساس توافقنامه ای باشد که با آن فرد داشته است؛ یعنی که اگر یک فرد در برابر افشای برخی اطلاعاتش مثلا در محیط های عمومی رضایت نداشته باشد، این مرکز مجاز نیست که این نوع اطلاعات فرد را افشا کند.

۲ نظر موافقین ۲ مخالفین ۰
یادآوری اصل ساده امنیتی کرکهُفس

یادآوری اصل ساده امنیتی کرکهُفس

در جلسات و  محافل مختلف امنیتی زیادی به  این موضوع برخورد کرده ام که افرادی که  آگاهی عمیقی از امنیت سایبری ندارند  (به ویژه مدیران سازمان ها ) تصور می کنند که امنیت یک سامانه به ویژه یک سامانه رمز (باید) بسیار متکی باشد به پنهان نگاه داشتن ساختار و جزییات طراحی و یا پیاده سازی آن و زمانی که اشتباه بودن این تصور و ضعف های آن صحبت می کنیم و  به اصل کرکهُفس(Kerckhoffs's principle)-که در قرن ۱۹ میلادی در حوزه رمزنگاری مطرح شد- اشاره می کنیم تصور می کنند که چه حرف غریبی می گوییم. اگرچه متخصصین حوزه امنیت به این اصل اشراف کامل دارند اما هدف بنده از نوشتن این پست صرفا ترویج و آگاهی بخشی در مورد این اصل ساده امنیتی است تا در آینده کمتر شاهد این سوء برداشت باشیم.

البته اگر بخواهیم اندکی به کالبد شکافی این موضوع بپردازیم به این نکته پی می بریم که این تصور اشتباه در این گونه افراد -که عموما تحصیلات آکادمیک تخصصی در گرایش امنیت اطلاعات ندارند- می تواند حاصل سوء برداشت آنها از راهبرد امنیتی  امنیت از طریق ایجاد ابهام (Security through Obscurity strategy) باشد.اگرچه ایجاد ابهام و مبهم کردن غالب سامانه ها می تواند به تقویت امنیت در آنها کمک کند اما قرار دادند این راهبرد به عنوان یک اصل امنیتی در طراحی و پیاده سازی یک اشتباه قطعی و مسلم است و تهدیدات امنیتی پرخطری را برای سامانه مورد نظر رقم خواهد زد.

در ادامه به بیان اصل کرکهُفس (برخی آن را کرهافس نیز تلفظ می کنند) که برگرفته از ویکی پدیا است می پردازم:

۱ نظر موافقین ۰ مخالفین ۰
توصیه عمومی امنیتی به نویسندگان وب

توصیه عمومی امنیتی به نویسندگان وب

اگر چه این قضیه برای خیلی ها دور از تصور است اما به نویسندگان حوزه وب توصیه می کنم چنانچه تمایل ندارید بات ها در آینده نوشته های موجود در وب را که توسط شما نوشته شده اند (به عنوان مثال در وبنوشت یا وبگاه شما) تحلیل کنند و بتوانند بر اساس الگوهای ثابت موجود در این نوشته ها  طرز بیان، نوع نگارش ، قالب شخصیتی و  ایده‌های شما را یاد بگیرند و از آنها الگو برداری کنند راهکاری دفاعی برای تغییر الگوهای خود که برخی از آنها را در ادامه توضیح می دهم اتخاذ کنید  و به کمک تکنیک هایی نظیر چند الگویی یادگیری بات های آینده را دچار کمی اختلال کنید و اگر با این موضوع مشکلی ندارید به روند کنونی خود ادامه دهید.

البته این مسئله از سال ها قبل به شکل محدود وجود داشته است به عنوان مثال بعد از سال 2012 عده ای جهت شناسایی هویت واقعی ساتوشی ناکاموتو( فرد یا افراد ابداع کننده بیت کوین)  در قالب پروژه هایی سعی نمودند نوشته های موجود در وب آشکار (از جمله مطالب وبنوشت ها، مقالات ، انجمن ها ، شبکه های اجتماعی و غیره ) را تحلیل کنند (از جمله تحلیل معنایی و لغوی) تا شاید از روی متن مقاله منتشر شده از بیت کوین بتوانند مشخص کنند الگوهایی درون این متن در کدام مطالب وب تشابه بالایی دارند.( تا از روی شناسایی نویسندگان این مطالب وب با الگو متشابه بتوانند هویت ساتوشی را فاش کنند.)

۲ نظر موافقین ۱ مخالفین ۰

مواظب اسپمرها و کلاهبردارهای تلفنی هم باشین

به علت اهمیت موضوع و فراگیر شدن کلاهبرداری های موبایل این پست وبنوشت کی بورد آزاد را در وب نوشت خود بازانتشار می دهم:

فاطمه برامون در مورد اسپم‌های تلفنی نوشته. طبق معمول حرف اینه که باید خودمون مواظب باشیم چون اونی که قراره مواظب باشه مشغول کارهای دیگه است. فاطمه می‌گه:

یکی از موضوعات مهمی که دائما در بلاگت در موردش به مردم آگاهی میدی اسپمه و هشدار اینکه گول اسپمرها رو نخورین. اما فکر میکنم در مورد اسپم های تلفنی کمتر صحبت کردی.

امروز یک نفر با موبایل من تماس گرفت و گفت من از موسسه فلان که خیلی شبیه “سازمان بیمه سلامت” بود تماس می‌گیرم. از من پرسید «شما کارت هوشمند بیمه سلامت خودتونو دریافت کردید؟» من پرسیدم از کجا تماس گرفتن و چه اطلاعاتی از من دارن که گفت «به ما اطلاعاتی از شما ندادن فقط شماره تلفن شما رو دادن و وظیفه من اینه که بپرسم شما شما بیمه تامین اجتماعی دارید؟». پرسیدم «اسم من چیه؟» و گفت «عرض کردم فقط شماره تلفن شما رو به ما دادن» جواب من هم مشخص بود: «خوب پس ادامه صحبت فایده ای نداره». اونم گفت «هر جور راحتین» و خداحافظی کرد.

۰ نظر موافقین ۰ مخالفین ۰