امنیت در تلفن های هوشمند

محققان امنیتی طی دو سال گذشته هشدارهای زیادی داده اند, اما هنوز حمله نرم افزاری خاصی در زمینه موبایل مشاهده نشده است بنابراین چرا باید در سال ۲۰۱۲ هشیارتر از سال های قبل بود

محققان امنیتی طی دو سال گذشته هشدارهای زیادی داده‌اند، اما هنوز حمله نرم‌افزاری خاصی در زمینه موبایل مشاهده نشده است. بنابراین چرا باید در سال ۲۰۱۲ هشیارتر از سال‌های قبل بود؟

ریک فرگوسن مدیر موسسه تحقیقاتی Trend Micro در گفت‌وگو با ComputerWeekly عنوان کرد امسال می‌تواند یکی از سال‌های خطرناک برای دنیای موبایل باشد، چرا که بهره‌گیری از گوشی‌های هوشمند در زمینه‌ تراکنش‌های مالی در حال افزایش چشمگیر است.

تحقیقات به‌عمل‌ آمده نشان می‌دهد حدود ۵۱درصد جمعیت اروپا هم‌اکنون گوشی‌‌ هوشمند دارند که ۲۸ درصد آنها از پلتفرم موبایل برای خرید آنلاین استفاده می‌کنند. همچنین ۱۷درصد این جمعیت نیز امور مالی خود از جمله پرداخت قبوض را با استفاده از گوشی‌های خود انجام می‌دهند.

مجرمان همواره کاربران را دنبال می‌کنند؛ این یعنی هر جا کارهای مهم با تعداد بیشتری انجام شود، حملات نیز بیشتر در این نواحی اتفاق خواهد افتاد.

تمام سیستم‌های‌عامل فعلی تلفن‌های هوشمند در مقابله با حملات آسیب‌پذیرند، حتی iOS اپل نیز از این قاعده مستثنا نیست.

بیشتر کاربران تلفن‌های هوشمند حتی انتظار ندارند بدافزار گوشی‌شان را آلوده کند و از این رو حتی نرم‌افزار مقابله با این جور تهدیدها را ندارند.

در نظرسنجی‌ که توسط YouGov از ۲۰۰۰ دارنده تلفن هوشمند انجام شد، تنها ۱۷درصد آنها از هر گونه نرم‌افزار ضدویروس نصب‌شده روی گوشی استفاده می‌کردند. بیش از نیمی از این جمعیت اذعان کردند گوشی‌شان امن است و تنها ۱۵ درصد از آنها اعتقادی به امنیت در تلفن همراه نداشتند.

فرگوسن همچنین گفت: «اما میزان بدافزارها، ویروس‌ها، کرم‌ها و تروجان‌هایی که ترندمایکرو در گوشی‌های همراه کشف می‌کند، روزانه در حال افزایش است.»

● تهدیدهای بدافزاری در تلفن‌های هوشمند

هر چند iOS و گوگل اندروید در مقابل حملات، واکنش‌های یکسانی دارند، اما اندروید هدف بهتری برای بدافزارها خواهد بود.

ترندمایکرو حدود ۱۲۹هزار بدافزار اندرویدی را از اواخر سال گذشته میلادی کنترل می‌کند، اما این میزان در سال اخیر به سه میلیون بدافزار رسیده است.

به‌دلیل نبود هرگونه پژوهشی پیش از انتشار و وجود فروشگاه‌هایی بجز یک فروشگاه گوگل و شیوه‌های مختلف نصب نرم‌افزار در اکوسیستم اندرویدی، این سیستم عامل بیشتر در معرض خطر قرار دارد.

تعداد ورژن‌های مختلف موجود از گوشی‌های اندرویدی خود به یک معضل امنیتی تبدیل شده است، بخصوص نبود یک مکانیسم یکپارچه خودکار در گوشی‌های اندرویدی برای عرضه آپدیت‌های امنیتی، زمینه را بیش از پیش برای خرابکاران آماده می‌کند.

فرگوسن همچنین معتقد است هنوز «طاعون گوشی‌های همراه» از راه نرسیده است و انتظار برای وقوع بیماری گسترده در گوشی‌های اندرویدی چندان دور از انتظار نیست.

تهدید‌های امنیتی منحصر به خرابی گوشی نیست، به‌عنوان مثال نرم‌افزارهایی چون فلیکر، فیس‌بوک و فلیکستر این قابلیت را دارند که بفهمند تلفن همراه کجاست، با چه کسی و چه اندازه مکالمه انجام شده است و اطلاعاتی از این دست.

حدود ۲۰درصد نرم‌افزارهای اندرویدی برای دسترسی به اطلاعات حساس و شخصی درخواست اجازه می‌کنند؛ این در حالی است که در iOS، دفتر تلفن برای همه نرم‌افزارها قابل دسترسی است.

● مدیریت نیاز در IT

به‌دلیل رشد استفاده از گوشی‌های هوشمند و ابزارهای موبایل، دپارتمان‌های آی‌تی بتدریج محو می‌شوند.

نبود استاندارد در این گوشی‌ها و همچنین تفاوت‌های سیستم‌های‌عامل آنها باعث می‌شود مدیریت دستگاه‌های موبایل در سازمان‌ها، چالش‌های جدیدی از جمله حفاظت داده‌ها ایجاد کند؛ چرا که امکان تشخیص زمان و محل مصرف این داده‌ها اغلب وجود ندارد.

در دنیای کسب و کار امروزی، شرکت‌ها باید با سرعت درخواست مشتریانشان حرکت کنند و این شرکت‌ها به‌دنبال رشد تولید نیز هستند. قابلیت حرکت، یکی از نیازهایی است که می‌تواند پاسخ داده شود و استعدادهای جدیدی به صنعت کسب و کار معرفی کند.

اما آی‌تی چطور می‌تواند به این درخواست‌ پاسخ دهد در حالی که در همان لحظه، باید خطر استفاده از فناوری را در حد پایینی نگه دارد؟ دپارتمان‌های آی‌تی باید به استراتژی از پیش تعیین شده‌ای برسند که علاوه بر قبول فناوری موبایل، حضور خود را در این دستگاه‌ها نیز شفاف و پررنگ جلوه دهند و مواظب مسائل امنیتی و فنی این دستگاه‌ها نیز باشند.

البته آی‌تی بدون در نظرگرفتن موارد شغلی و سود و ضرر یک موضوع نمی‌تواند کورکورانه به همه چیز «بله» بگوید و ریسک استفاده از آن را در نظر نگیرد.

قبول فناوری موبایل برای یک شرکت یا سازمان، به‌معنی قبول سیاست‌های جدید، نصب بدافزارهای معتبر، رمزگذاری داده‌های منتقل‌شده به این دستگاه‌ها و پیاده‌سازی ابزارهای از راه دور برای قفل کردن گوشی و پاک کردن داده است.

همچنین این دپارتمان باید بتواند تهدیدات امنیتی را تشخیص داده و در مقابلش عمل مناسب را انجام دهد تا این دستگاه‌ها نیز با سیستم‌های تجاری رایانه‌ای همخوان شود.

درجایی که استفاده از دستگا‌ه‌های موبایل در محل کار ارجحیت دارد، دپارتمان آی‌تی باید تهدیدهای امنیتی را با ارائه نرم‌افزارهایی تجاری که امنیت را در محیط مجازی بالا می‌برند، کاهش دهد.

محیط‌های مجازی موردنظر، محیط‌هایی است که از راه دور کنترل می‌شود و اطمینان می‌دهد هیچ داده‌ای روی گوشی یا دستگاه موبایل کاربر ذخیره نمی‌شود.

نادر هناین، معاون بخش مشاوره امنیتی تولیدکننده گوشی‌های بلک‌بری معتقد است کلید اصلی این‌کار، بهره‌گیری از روش داده‌محور است. این روش باعث می‌شود شرکت‌ها لزوم محافظت از داده‌هایشان را در نظر بگیرند.

● سیاست‌ها و روندها

فناوری‌های امنیتی و کنترل‌کننده‌های فنی تنها زمانی موثر خواهد بود که با سیاست‌های سفت و سخت موبایل همراه شود. به‌عنوان مثال ارتش آمریکا، ناسا، اینتل و Citrix سیاست‌های خاص خود را در این زمینه انتشار داده و می‌توان به‌عنوان مرجع از آنها استفاده کرد.

هریک از این سیاست‌ها به مثابه قراردادی قانونی میان شرکت و کارمندانش بوده و هدف آن، برقراری امنیت داده‌هاست.

کارمندان قبول می‌کنند سیستم شناسایی گوشی‌شان دومرحله‌ای باشد، همچنین نصب فایروال، آنتی‌ویروس و ابزارهای رمرگذاری داده‌ها و قفل از راه دور یکی از شروط بی‌چون و چرای همراه داشتن تلفن همراه هوشمند متصل به شبکه شرکت است.

برخلاف تعداد زیاد بدافزارهای منتشرشده برای تلفن‌های هوشمند، با کنترل صحیح کاربران و دستگاه‌ها می‌توان به حفظ امنیت این دستگاه‌ها، بخصوص در محیط کاری امیدوار بود.

به طور کلی، پیاده‌سازی صحیح امنیت دستگاه‌های موبایل، به زنجیره‌ای از امور وابسته است: ایجاد سیاست‌های امنیتی سفت و سخت، آموزش مدیران شغلی برای درک و پشتیبانی موضوع، آموزش کاربران و آشنایی آنها با حملات امنیتی و در آخر پیاده‌سازی روشی داده‌محور.

سازمان‌ها اگر استراتژی خاص موبایل در برنامه کاری خود دارند، باید کم کم سراغ تالیف سیاست‌های خود بروند. اگر این اقدام بدرستی انجام بشود یا خیر، انتظار می‌رود آنتی‌ویروس‌های موبایل امسال، سال بسیاربهتری از سال‌های قبل داشته باشند.

داشتن یک نقشه امنیتی به شرکت کمک می‌کند شانس بودن در معرض حملات آن شرکت کاهش پیدا کند و همواره در مقابل حملات آماده باشند.

آرمان صالحی