امنيت ، دشوار تر از آنچه می‌پنداريد

سر ريز شدن بافر را (Buffer Overflow) بسياری از نرم افزاری‌ها به عنوان بزرگترين مشکل نرم‌افزار ميدانند و معتقدند که يک راه حل دو مرحله‌ايی برای امن کردن آن وجود دارد: اول، انتقال از زبان سی (C) يا سی++ (++C) به جاوا و دوم، استفاده از اس‌اس‌ال (SSL: Secure Socket Layer) برای حفاظت ارتباطات.
اگر چه جاوا امکان کمتری به برنامه‌نويسان می‌دهد که به خود آسيب برسانند ، اما هنوز همه راه‌ها بسته نيست. نتيجه يک بررسی غير رسمی حاکی از آنست که برنامه‌های زبان سی  حدود 5 تا 10 برابر بيش از جاوا نفوذ پذير هستند.
مايکروسافت در اوايل سال 2002 تمام توليد کنندگان نرم افزار خود را مجبور کرد که حدود دو ماه دست از بقيه کارها بردارند، هيچ چيزی به نرم افزارها اضافه يا کم نکنند و فقط به ارتقای موارد امنيتی سامانه‌ها بپردازند. همه مديران نيز قول دادند که بجای عرضه محصولات نا امن، توليد آنها را به تاخير بياندازند. در ايران، زيادی کار و سود کم نرم افزار باعث ميشود که امنيت در سامانه های مهم مالی و بانکی مهجور بماند.
توصيه ميشود که شرکتهای مطرح در اين زمينه، سالی يکماه را بطور کامل تعطيل کرده و هيچ تغييری در نرم افزارهای توليدی خود ندهند و تمام کارمندان توليد به بررسی مجدد، اصلاح، بهينه سازی و رفع مشکلات امنيتی بپردازند. از ايجاد محيطی آرام ، شاد و بدون فشارهای عصبی غافل نشويد.
مديريت امنيت يعنی مديريت مخاطرات، اين مشکل هيچ وقت بطور کامل بر طرف نميشود. برای مثال ميدانيم که روشها و الگوهای رمز گذاری از جنبه نظری دارای حد ميباشند و هميشه اين امکان وجود دارد که روزی يک دولت يا شخصی بتواند از آن‌ها عبور کند.
در حالی که اکثر اين موارد در بيرون سازمان اتفاق می افتد، گارتنر گزارش می دهد که حدود 70 درصد از حمله‌ها توسط کارمندان داخل سازمان صورت ميگيرد. در ايران با توجه به ناآشنايی بسياری از کاربران و ناآشنايی مردم با فن‌آوری پيچيده رايانه‌اي و به گفته آقای احمد مجتهد رييس پژوهشکده پولی و بانکی، به راحتی ميتوان ادعا نمود که حدود 97 درصد حمله‌ها و اختلاس‌ها، از درون سازمان بانکی انجام ميشود. از کارمندان مستعفی، اخراجی، ناراضی، ترک خدمت و مانند آنها و قطع شدن تمام مجاری اطلاعاتی ، امکانات و ارتباطات سيستمی غافل نشويد.
وقتی که هلپ دسک (Help Desk) در تمام روز با کاربرانی مواجه است که اسم رمز خود را فراموش کرده‌اند، می‌دانيد چه مقدار از مشکلات و حفره‌های امنيتی در آنجا وجود دارد. همانقدر که حواله تلفنی با منشاء جعلی ميتواند رخ دهد، کاربر جعلی نيز ميتواند هلپ ديسک را گول بزند. هلپ دسک نيز ميتواند مايل باشد که گول بخورد. بيشترين حمله‌های هکر معروف کَوين ميتنيک از طريق رفتار شناسی کاربران و جعل ارتباطات کاری بوده است.
يکی از دست کم گرفتن‌های رايج، استفاده از اس‌اس‌ال است. بسياری از توليد کنندگان ميپندارند که با جايگزينی رابط‌های کاربردی (API) معمول با رابط‌های کاربردی اس‌اس‌اس‌ال (SSL-enabled call) به امنيت کافی ميرسند. در حالی که با پيشرفت دانش کاربران و مردم و پيدا شدن روشهای جديد تر برای نفوذ، ديگر اين کار هم چندان امن به نظر نمي‌رسد.
برای ايران هنوز کمی زود است که نگران اين نوع نفوذها باشد. و اگر اتفاق بيافتد، نرخ و درصد آن ناچيز است. اما برای نفوذهای انسانی حتماٌ بايد چاره‌ايی انديشيد. با رشد سامانه‌های مکانيزه در بانکهای کشور و شعبه‌ها، احتمال بسيار دارد که کاربری با کپی کردن نرم افزارهای شعبه يا دانستن اسم و رمز دوستان و ديگر همکاران خود، بتواند از منزل يا مکانی ديگر به سيستم وصل شده و چون دزدی است که با چراغ آمده است، تا مدتها به سوء استفاده خود ادامه می‌دهد. اگر چه اين قبيل مسايل تا کنون کشف و خنثی شده‌اند، اما همه در حال پيشرفت هستيم.
اکنون روشهای زيادی برای بررسی و يافتن نفوذ و اختلاس در سامانه‌ها وجود دارد. کتابهای مفيد زيادی نيز در زمينه های مختلف نوشته شده‌اند. پيشنهاد ميشود که در هر سازمان مهم، يک گروه کوچک خود گردان زير نظر بالاترين مقام اجرايی–فنی سازمان (بهترين شخص CIO است) تشکيل شده و امور امنيتی را راهبری کند.
امنيت ساعتی نيست که يک بار کوک شود و مدتی کار کند. بلکه مانند فرمان ماشين است که با سرعت در حال حرکت است، نه آنرا ميتوان ثابت نگه داشت و نه بيش از حد چرخاند. سرعت و بار سنگينی که حمل ميکند نيز در شدت تصادف تاثير عمده دارد. خدا کند که تصادفهای ما کم و جزئی باشد.