بروزآوري خودكار، بايدها و نبايدها

آيا روش‌هاي بروزآوري خودكارِ تعبيه شده در نرم‌‏افزارها و محصولات امروزي(Auto Update)، روش‌هايي مطمئن هستند؟ مقوله آزادي و حريم فردي(Privacy) در تمامي عرصه‌‏ها و اعصار، خصوصا در قرن فن‌آوري اطلاعات، منشا بحث‏‌ها و موضع‏گيري‌هاي متفاوتي بوده است. با رشد سرسام‏‌آور تکنولوژي، اين سئوال جديد مطرح شده است که آزادي فردي را تا کجا ميتوان حفظ نمود؟ آيا با اين‌وجود، هنوز هم آزادي فردي قابل احترام است؟

وقتي در عصر انفجار اطلاعات، همه سعي ميکنند تا از طرف مقابل اطلاعات کامل‏تري داشته باشند و به راحتي با قرار دادن کدهاي مخرب (Malicious Codes) درون فايل‌هاي HTML سايت خود تلاش مي‌کنند تا راهي به درون سيستم شما باز نموده و اطلاعات شخصي شما را به مرکز خود ارسال نمايند(Spywares) و به اين منظور حتي خدمات مجاني نيز به شما هديه!! ميکنند، آيا هنوز هم ميتوان به صادق بودن طرف مقابل اطمينان کرد و حريم خود را امن انگاشت؟

همه ما داستان کد سريال درون پردازنده‌‏هاي سري پنتيوم را که توسط اينتل انجام گرفت و سر وصداي زيادي را بپا کرد، بخاطر داريم. به کمک اين سريال منحصر بفرد، شرکت اينتل قادر بود تا هنگام اتصال شما به اينترنت، درون PC شما شده و اطلاعات شما را وارسي نمايد و از پراکندگي محصولات خود در سراسر جهان کسب اطلاع کند. البته اينتل با فشار افکار عمومي، در نسخه‏‌هاي بعدي خود اجازه ناتوان کردن داوطلبانه اين سرويس را به کاربران داد!؟

در مورد ديگر، به روالي مخفي که شرکت ميکروسافت درون پويشگر نسخه 6 خود يعني IEV6.0 قرار داده بود اشاره ميکنيم تا شركت به کنترل کاربران اينترنتي از راه دور بپردازد. البته ميکروسافت بعدا اعلام داشت که اين عمل را جهت کنترل رعايت Licensing نرم‏‌افزارهاي شرکت خود در کل جهان انجام داده است! که بعدها و با اعتراض گسترده کاربران و تهديد آنها به تحريم IE جديد، با ارسال يک Patch روي سايت خود، اين روال را بگفته خود از کار انداخت!! بعنوان آخرين مثال (از دهها مثال)، ويندوز XP را مطرح ميکنيم. اين سيستم‏ عامل در روزهاي نخست تولد خود، در انتهاي نصب، داري کد فعال سازي بود(Activation Code) که ميبايست با اتصال به اينترنت اين کد را دريافت ميداشتيد و در غير اينصورت، پس از سپري شدن يکماه سيستم ‏عامل شما از کار مي‌‏افتاد.

حال با در نظر گرفتن مثال‌هاي فوق، چگونه ميتوان به روش جديد به‌روز رساني خودکار سيستم عامل‌‏ها، برنامه‌هاي کاربردي، بيوز سخت‌‏افزارها و .... اعتماد کرد؟ مثلا فرض کنيم که شما يک ديوار آتش(Firewall) از شرکت Watchguard براي امن نمودن ارتباطات اينترنتي خود خريداري کرده‌ايد. حتما اين شرط را هم پذيرفته‌ا‏يد که براي به‌‏روز نمودن آن براي مقابله با کدهاي مخرب جديد، بايد در هر حال يک پورت آنرا مستقيم به اينترنت متصل نگهداريد تا OS اين دستگاه با برقراري ارتباط با شرکت سازنده، نسخه‌‏هاي جديد را دريافت نمايد. آيا بدين ترتيب ميتوانيد مطمئن باشيد که با وجود روشهاي Cracking جديد از قبيل Man-in-the-Middle و ARP Poison Reverse و ... عمل ديگري از طرف افراد و شرکتهاي ديگر (ثالث و غيره)، روي دستگاه شما انجام نميگيرد؟ آيا مطمئن هستيد که فقط شما مالک و مدير اصلي اين دستگاه هستيد؟ يا به طرز عمل آن و پيغام‌هاي ارسالي دستگاه خود در اين روش ايمان داريد؟

حال فرض کنيد که تمامي سازمان‌ها و شرکت‌هاي دولتي و خصوصي ما هم از اين روش پيروي نمايند(تسليم به‌‏روز رساني Online شده باشند). يعني همگي از طريق اينترنت نرم‏‌افزارها و سخت‌‏افزارهاي خارجي مورد استفاده خود را اينگونه به اشتراک گذاشته باشند!!! آيا در يک حمله فرضي و احتمالي، حريم فردي، اطلاعاتي، ... ما مورد احترام خواهند بود؟؟ البته شايد رعايت کردن اين نکته را، هنگاميکه بدانيم اغلب مسئولان ما (براي حفظ امنيت اطلاعات خود) روي سايت‌هاي مجاني(از قبيل Yahoo و ...) داراي صندوق الکترونيکي بوده و نامه‌‏هاي خصوصي خود و شرکت خود را از طريق آنها رد و بدل مينمايند! بسيار افراطي بناميد!!

در هر حال اين مقاله تهيه شد تا هشداري بر عطش خريد نرم‌‏افزار و محصولات خارجي و مد روزي باشد که مناقصه خريد آنها هر از چند گاه در روزنامه‌هاي مختلف بچاپ رسيده، بدون اينکه نکات امنيتي مستتر در آنها رعايت شوند.

آيا وقت آن نرسيده تا انجمني از نخبگان وطني(انجمن خبرگان!) تشکيل شود تا مسئوليت کنترل، وارسي و سياست‌گذاري در بهره‌برداري از اينگونه Patchها، محصولات و ... را بعهده گرفته و بدين ترتيب چهارچوبي امن براي يک محيط امن انفورماتيکي را تعيين و تبيين نمايد؟ در غير اينصورت در امنيت کاذبي غوطه‌‏ور خواهيم بود که با وارد شدن کوچکترين ناملايمت، به طرز بدي درهم شکسته خواهد شد.

راه راست: مقاله فوق توسط آقاي حسين فرماني farmany@behsazan.com  مدير بخش شبكه شركت بهسازان ملت نگارش يافته است.