نگاهی نوین به امنیت در اینترنت

در این مقاله به حفره های بسیار محسوس اما نادیده گرفته توسط سازندگان سرورهای ایمیل و سایت سازها می پردازیم و نکته هایی بسیار محسوس اما نادیده گرفته که سبب هک ایمیل و پروفایل های کاربران می شوند را بیان می کنیم و امیدوارم سازندگان سایت های سرور دهنده ی ایمیل و سایت سازها و پلیس فتا و سایر ارگان ها این موارد را زیر نظر گرفته و بررسی کنند و در رفع این مشکلات امنیت کاربران ایمیل و سایت ها را افزایش بدهند

حفره های امنیتی اینترنتی آشکار اما بی توجه :

امروزه واقعاً امنیت در اینترنت یکی از بزرگترین معزلات جامعه شده است. چرا که به اصطلاح مثل آب خوردن ایمیل ها و پروفایل های کاربران را هک می کنند و با استفاده از نرم افزارهای رمزیاب، رمزهای کاربران را به دست می آورند و پروفایل و ایمیل های آن ها را حذف می کنند و یا خرابکاری در کار آنها ایجاد می کنند و اقدام به تغییر رمز آنها می کنند.

هر چند که پلیس فتا برای امنیت در اینترنت برخی موارد خاص را بررسی می کند و فایروال ها و اینترنت سیکوریتی های فراوانی موجود است، اما اطلاعاتی از کاربران در سایت ها هست که مثل آب خوردن حفره های روشن و آشکاری برای هک ایمیل ها و پروفایل ها شده است.

در این جا سعی داریم تا برخی ضعف های سایت ها را بیان کرده و راه های نفوذی خاص را برایتان شرح دهیم تا شاید سازندگان سایت ها بتوانند این حفره ها را رفع کنند و امنیت کاربران را در سایت ها افزایش بدهند.

نمایش اطلاعات شخصی برای همه کاربران :

وقتی شما می خواهید در یک سایت ثبت نام کنید، از شما یک ایمیل می خواهند. وقتی می خواهید ایمیل بسازید، اطلاعاتی خاصی از شما می خواهند از جمله نام و نام خانوادگی، آی دی ورودی، رمز عبور، تاریخ تولد به ماه و روز و سال، و یک ایمیل بازیابی رمز و یا هم در برخی سرورهای ایمیل ده، از شما شماره تلفنی می خواهند.

سه نکته ی بسیار مهم که در این سرورها وجود دارد، بازیابی رمز توسط ایمیل پشتیبان و یا تاریخ تولد به روز و ماه و سال و یا شماره موبایل می باشد. یعنی شما می توانید با این سه روش رمز فراموش شده یا سرقت شده را به دست آورید.

اما امروزه به دلیل نمایش داده شدن این سه مورد برای کاربران در پوفایل های شخص، همه از تماشای آنها واقف هستند. این نکته بسیار مهم و اساسی به حفره هایی برای نفوذ در پروفایل ها و ایمیل ها تبدیل شده است که حرفه ای ها برای به دست آوردن رمز کاربران از آنها استفاده می کنند و برای بازیابی رمز از این موارد استفاده می کنند و مثل آب خوردن ایمیل شخص را هک می کنند و رمز او را تغییر می دهند و به تمام اطلاعات او در سایت های دیگر دست می یابند و آن ها را هم مورد هجوم خود قرار می دهند.

اما راهکار چیست؟؟؟!؟!!

در این شکی نیست که اگر سرورها ایمیل دهنده و سایت هایی که اشخاص در آنها عضو می شوند، اطلاعات مهم کاربران را از دیدرس کاربران دیگر مخفی کنند و به هیچ عنوان این اطلاعات را در اختیار سایر کاربران حتی اد لیستها قرار ندهند، هیچ شخصی قادر به هک پسوردهای شخص دیگر نمی شود.

متأسفانه تمام این سرورها و سایت ها نه تنها ای دی کاربر را بلکه تاریخ تولد و تلفن و غیره او را برای کار بران به نمایش می گذارند و اشخاص حرفه ای از این اطلاعات برای دزدی اطلاعات شخص و هک رمز شخص و تغییر رمز او اقدام می نمایند.

پس در حیطه ی امنیت این قبیل موارد، این سرورها و سایت ها باید نه تنها اطلاعات شخص را به هیچ عنوان در اختیار دیگران قرار ندهد، بلکه به جای نمایش ای دی کاربر، اسم مستعار او را به نمایش بگذارد و حتی ای دی کاربر را از سایرین مخفی نماید و تنها اسم مستعار او را نمایش بگذارد.

وجود حفره در جعبه های گفتگو :

اما مطلب دوم که حفره ای نامحسوس برای هک شدن می باشد، جعبه گفتگو هایی است که در سایت ها قرار می دهند. من از سیستم کامل جعبه های گفتگو خبری و اطلاعی ندارم اما بنا بر تجربیات شخصی به من ثابت شد که وقتی جعبهخ های گفتگو ر ابرای گفتگو باز می کنیم، صفحه ها برای مدتی قفل می شوند و یا سرعت به شدت کاهش پیدا می کند و مطمئن هستم حفره ای در انی گفتگوها وجود دارد که سایر کاربران حرفه ای از طریق این گفتگوها به برخی اطلاعات شخص دسترسی پیدا میکنند و اقدام به خرابکاری در کامپیوتر شخص و حتی هک رمز ها و یوزرهای او می کنند.

من یقین دارم اگر سایت های سرور ایمیل و سایت های شبکه های اجتماعی اطلاعات شخصی شخص را از دید دیگر کاربرها مخفی کنند و اجازه ندهند که تحت هیچ شرایطی شخص دیگری اطلاعات شخصی شخص دیگری را ببیند، اطلاعاتی مانند شماره تلفن، تاریخ تولد، ای دی و ... هیچ ششخصی قادر به هک ایمیل و پروفایل شخص دیگری نیست.

یکی از بزرگترین معزلات سایت ها و سرورها همین است که این اطلاعات در اختیار همگان قرار می گیرد و افراد حرفه ای به راحتی اقدام به هک ایمیل ها و رمزها و سایر اطلاعات کاربران می کنند.

نبودن رمز تأیید اطلاعات تلفن های پاسخ گوی سرورهای اینترنت ده :

برخی از نمایندگی های رسمی سرویس دهنده ی اینترنت که پاسخگوی رفع نقص اینترنت کاربران هستند، از جمله تغییر رمز، قطعی اینترنت و ... با بزرگترین مشکل تأیید هویتی مواجهه هستند که بیان خواهد شد.

در این رابطه شما کافی است شماره تلفن اینترنت شخصی را داشته باشید بعد زنگ بزنید به نماینده ی رسمی سرویس دهنده ی اینترنت و با بیان شماره تلفن از آنها بخواهید رمز را به بهانه ی فراموشی یا هک شدن در اختیار شما قرار بدهند و یا تغییر دهند و به شما بدهند و یا شما از آنها بخواهید که فلان رمز را بگذارند. در این صورت می توانید از اینترنت شخص استفاده کنید.

به همین راحتی مثل آب خوردن رمز آدم را تغییر می دهند.

اما اگر برای تأیید صحت اطلاعات کاربر مثلاً ارسال کد امنیتی روی گوشی که شخص هنگام ثبت نام ارائه داده است، می توان از این قبیل دزدی های رمزی جلوگیری کرد. به این ترتیب اگر کسی درخواست رمز داشت، کد امنیتی روی گوشی او ارسال می شود که برای اپراتور آن را می خواند و اگر کد صحیح بود، بعدا اقدام به تغییر رمز و حل مشکل کاربر بکنند. نه اینکه هر کس زنگ بزند رمز را برای او تغییر بدهند و یا رمز را برای او ارسال کننند.

یک نمونه ی بارز این سرویس ها، سرویس آسیاتک است که قریب به دو سال از آن استفاده کرده ام و به یقین به این مسئله پی بردم و اشخاصی را دیده ام که اقدام به این کارها کرده اند و به راحتی رمز کاربر دیگری را دزدیده و از اینترنت او استفاده کرده اند.

امیدوارم تمام سایت ها و سرورهای سرویس دهنده و حتی پلیس فتا و سایر ارگان هایی که در امنیت اینترنت دخالت دارند، این موارد را در ایمیل ها و پروفایل های اشخاص لحاظ کنند تا ما کمتر شاهد هک ایمیل ها و پروفایل ها و خرابکاری توی زندگی مردم باشیم.

سید احسان راستگو سوق