هک ، آخرین ابزار رقابت

فرض كنید شركت رقیب شما یك ابزار بر پایه وب بسیار قوی دارد كه بسیاری از مشتری های شما از آن استفاده می كنند. شما در جواب آن چه می كنید ؟
۱- آن تجارت را فراموش می كنید و به دنبار حرفه دیگری می گردید ؟
۲-یك تیم حرفه ای تشكیل می دهید و یك ابزار بهتر از شركت رقیب درست می كنید ؟
۳- به سایت رقیب خود نفوذ می كنید و كد های آنها را می دزدید ؟ یا در حالت بهتر برخی از كارمندان آن را مجاب می كنید كه یك وب سایت هم برای شما به همان صورت بسازند ؟
تبریك می گویم ، به دنیای هك كردن رقبا خوش آمدید!
در ۱۵ اكتبر ۲۰۰۴ طبق فرجامی در دادگاه از ایالات متحده ،در نهین جلسه آن ،قاضی باید به شكایت دو شركت رسیدگی می كرد. این شركت ها در زمینه خدمات به رانندگان كامیون فعالیت می كردند. یكی از شركت ها ، Creative Computing ، در قالب یك سایت موفق راه اندازی شده بود ، Truckstop.com ، كه رانندگان كامیون را از طریق اینترنت با بار ها ارتباط می داد. در جای دیگری از این دنیا یك شركت دیگری ، Getloaded.com ، تشكیل شد ، برای رقابت با شركت فوق ، اما نه به صورت درست و صادقانه !
Getloaded.com تلاشهای فراوانی را در جهت به دست آوردن اطلاعات از سایت Truckstop.com انجام داد. در ابتدا آنها لیستی از بارها و رانندگانی كه اصلا با هم تطابق نداشتند را تهیه كردند. هنگامی كه Truckstop در سایت خود شروع به گرفتن نام كاربری و پسورد كردند ، Getloaded نیز همین كار را كرد. در نتیجه ، رانندگان كامیونی كه در هر دو سایت عضو بودند ، یك نام كاربری و یك پسورد در هر دو سایت ایجاد می كردند. در نتیجه اعضای Getloaded با نام كاربری و پسورد این دسته از رانندگان به سایت Truckstop رفته و اطلاعات آنها را برای خود ثبت می كردند.بنابراین آنها در قالب شركتهای مرده ! خود را در سایت فوق ثبت می كردند تا اطلاعات آنها را به دست بیاورند.اما هنوز كار به اینجا ختم نشده بود ، طبق گفته دادگاه ، كاركنان Getloaded همچنین به وب سایت این شركت نفوذ كردند ، سرور این وب سایت دارای یك مشكل امنیتی بود ، مایكروسافت برای این مشكل یك اصلاحیه منتشر كرده بود ولی مدیران بخش شبكه هنوز این اصلاحیه را نصب نكرده بودند. رییس و نایب رییس شركت Getloaded با استفاده از این آسیب پذیری توانستند به سرور های سایت Truckstop نفوذ كنند.
صدای آشنا ؟
ما در بخش امنیت ، موضوعی داریم به عنوان مدیریت اصلاحیه های ( Patch Management ) و كنترل دسترسی ( Access Control ) . همین مورد نشان می دهد كه ممكن است نتیجه اینگونه خرابی ها چه مقدار باشد. به صورت فزاینده ای شركت های رقیب به دنبال اطلاعات محرمانه و قابل استفاده از سایتهای تحت وب و پایگاههای داده می باشند و یا با استفاده از آسیب پذیری ها موجود در پایگاه داده ، یك دسترسی بدون مجوز با آن برقرار می كنند و داده های حساس و مهم تجاری شركت رقیب را به سرقت می برند.بعضی مسایل هم غیر قابل اجتناب می باشد : برای رانندگانی كه باید به سایت دسترسی داشته باشند لازم است كه به بعضی از اطلاعات سایت دسترسی داشته باشند. حق دسترسی برای اینگونه موارد ، استفاده از نام كاربری و پسورد می باشد تا حق دسترسی افراد مشخص شود. كاربران معمولا از یك نام كاربری و یك پسورد استفاده می كنند و همین امر باعث می شود كه برخی از كسانی كه به این نام كاربری ها دسترس دارند با سوءاستفاده از آنها ، به اطلاعات مهم و حیاتی شركت های رقیب دسترسی داشته باشند.
جاسوسی اقتصادی
به این مشكلات می توان در دو دسته تكنیكی و قانونی پاسخ داد. از دیدگاه تكنیكی ، شركت های تجاری باید قوانین و تكنولوژی های بهتری را برای حق دسترسی كاربران و مشتری های خود در وب سایت خود ایجاد كنند. اگر شما مشاهده كردید كه تلاش های فراوانی برای دسترسی به سایت شما از یك رنج IP مشخص (كه شبیه آدرس های رقیب شما می باشد ) وجود داشته است كه اكثر آنها با شكست مواجهه شده اند بدانید كه یك اتفاق بدی در حال وقوع است.نصب IDS ، مشاهده روزانه فایل های ثبت وقایع ( Log ) و البته مدیریت نصب اصلاحیه ها جزو موارد ثابتی می باشد كه یك وب سایت برای امنیت خود بدانها نیاز دارد.فقط كافی نیست كه شما اصلاحیه ها را نصب كنید ، باید نرم افزارهایی را استفاده كنید كه در هنگام بروز برخی تغییرات ، كشف آسیب پذیری جدید ، باز شدن یك پورت در سرور و همچنین تایید و تصدیق نصب اصلاحیه ها ، شما را باخبر كنند.از نظر حقوقی وقفه ایجاد كردن و سنگ انداختن در كار رقبا از راههای غیر قانونی جرم محسوب می شود. شما مطمئنا نیاز دارید كه یك مكان عمومی برای امور كاری خود داشته باشید ولی از طرفی هم باید ضوابط مشخصی را برای این مكان در نظر بگیرید تا هر كسی به هر چیزی دسترسی نداشته باشد.بنابراین اولین چیزی كه باید برای دفاع از وب سایت عمومی خود ایجاد كنید ، قرار دادن یك سری شرایط و ضوابط ست كه از داده های سایت شما محافظت می كند تا بدین وسیله از داده های سایت شما علیه شما استفاده نكنند. مثلا از بینندگان سایت همان ابتدای ورود ضمانت بگیرید كه از داده های سایت شما استفاده تجاری نكنند یا از مهندسی معكوس برای نرم افزار های شما خودداری كنند و یا هر چیز دیگری شبیه این موارد كه شما نیاز دارید كه آنها را ممنوع اعلان كنید.واقعا باید گفت كه این موضوعات ، معضلاتی می باشد كه در آینده گریبانگیر صنایع IT خواهد شد و موضوعاتی است كه دادگاههای قضایی در آینده ای نه چندان دور با آن برخورد می كنند.مشكلاتی كه ممكن است سایتهای تجاری وب با آن برخورد كنند. اثبات این موضوع بر عهده دادگاه می باشد كه نشان دهد كاربران سایت شما از قوانین سایت سرپیچی كرده اند یا خیر اما در اینگونه موارد بهتر است كه قوانین دلخواه خود را در همان ابتدا كه كاربران در حال درست كردن نام كاربری و رمز عبور هستند از آنها تایید بگیرید. تا با زیر پا گذاشتن این قوانین دست شما برای شكایت از آنها و اثبات موارد خلاف باز باشد.