تست­های امنیتی:

تست­های امنیتی به منظور بررسی اثربخشی زیرساخت‌های امنیتی، عملکرد مکانیزم کنترل دسترسی، زمینۀ عملیاتی مشخص شده و وجود آسیب پذیری‌های شناخته شده در زیرساخت‌ها انجام می‌گیرد و به سازمان‌ها، در شناسایی نقاط ضعف سیستم تجارت الکترونیک خود کمک می­نمایند تا از این طریق ضعف‌های خود را برطرف و به مزیت رقابتی

 

بیشتری در این حوزه دست یابند. اما کشل و همکاران (2004)، مطرح کردند که سازمان‌ها معمولاً به دلایلی مانند: ترس از تأثیر برروی بازارمالی، آسیب دیدن شهرت و پس از آن ریسک اختلافات حقوقی، ریسک بدست آوردن اطلاعات توسط هکرها که می‌تواند در حملات مورد استفاده قرار گیرد و در نهایت نگرانی پرسنل IT در زمینۀ از دست دادن کار خود، از انجام دادن تست‌های امنیتی اجتناب می‌کنند (کشل و همکاران، 2004، به نقل از هاگن و دیگران،2008). نیاز در زمینۀ تست کردن امنیت یک سازمان با توجه به دو عامل اصلی مطرح می­شود: نخستین عامل به اهمیت اندازه­­گیری مربوط می­شود؛ به این­که پیاده­سازی زیرساخت­های امنیتی تا چه اندازه­ای سیاست­های امنیتی و نیازهای امنیتی یک سازمان را اجرا می­کند. همان­طور که پیاده­­سازی زیرساخت­های امنیتی، نیازمند مداخلات بشر است، یک تست مناسب امنیتی، برای بررسی هرگونه خطای انسانی نیاز است. عامل دیگر از آسیب­پذیری زیرساخت­های امنیتی موجود، تهدیدات و سوء استفاده­های جدید ناشی می­شود. با توجه به این­که در سال­های اخیر، نرخ ورود انواع جدیدی از تهدید و سوء استفاده در حوزۀ تجارت الکترونیک، هشدار دهنده بوده است، بنابراین اهداف اصلی تست­های امنیتی شامل موارد زیر است:

  • تأیید مشخصات امنیتی مورد نیاز از قبیل محل دارایی­ها، مکانیزم­های کنترل دسترسی برای دارایی، مفاهیم عملیاتی سازمان، خدمات موجود سیستم و مکانیزم­های کنترل دسترسی آنها، اتصال درون سازمان و اتصال سازمان با محیط بیرون
  • تأیید پیکربندی ابزارهای امنیتی مشخص شده در زیرساخت­های امنیتی، برای مثال آیا ابزارهای امنیتی برای حفظ امنیت دارایی­ها، به درستی نصب و پیکربندی شده­اند یا خیر؟
  • تأیید وجود هرگونه شکافی بین زیرساخت­های امنیتی پیشنهاد و اجرا شده
  • تأیید محدودیت زیرساخت­های امنیتی پیشنهاد شده، با توجه به آسیب پذیری­های شناخته شده

به طور کلی می­توان دونوع تست را در زمینۀ امنیتی نام برد: تست پذیرش[1] و تست نفوذ[2]؛ در تست پذیرش بررسی می­شود که زیرساخت­های امنیتی به اجرا در آمده، با سیاست­های امنیتی سازمان انطباق دارد یا خیر و در تست نفوذ، به این موضوع پرداخته می­شود که زیرساخت­های امنیتی موجود برای دفع تمام تهدیدات امنیتی ممکن تا چه اندازه کافی است (سنگوپتا و همکاران، 2005).

 

  • فیشینگ[3]:

در دنیای تجاری امروزی بسیاری از ارائه دهندگان خدمات اینترنتی، از کاهش اعتماد کاربران نسبت به تجارت الکترونیک، احساس نگرانی می­کنند و یکی از مشکلاتی که اخیراً  در حوزۀ کامپیوتر مطرح شده است بحث فیشینگ می­باشد که در واقع نوعی سرقت هویت اینترنتی است که هدف آن سرقت اطلاعات حساس از قبیل کلمات عبور بانکداری آنلاین و اطلاعات کارت اعتباری کاربران می­باشد. استفاده از حملات فیشینگ، ترکیبی از مهندسی اجتماعی و تکنیک­های فنی  جاسوسی است که به منظور متقاعد کردن کاربران، برای ارائۀ اطلاعات حساسشان به کار برده می­شود و مهاجم پس از

 

آن می­تواند از آنها برای ایجاد منافع مالی استفاده کند (کردا و کروگل[4]، 2005).

از این رو یک ایمیل، می­تواند باعث فریب قربانیان برای دادن اطلاعات نام کاربری، رمزعبور، یا اطلاعات حساب پس از این­که آنها را به وب سایت جعلی تجارت الکترونیک بانک لینک نمودند، ­شود. به این ترتیب فیشینگ از پیام­های یک ایمیل جعلی به منظور فریب کاربران برای افشای اطلاعاتشان استفاده می­کند (فرنل و ذکری[5]، 2006).

 

  • حمله به شرکت­ها و نه مشتریان

بعضی از برنامه­های فیشینگ به جای هدف قرار دادن اطلاعات شخصی قربانی، در جهت بدست آوردن اطلاعات باارزش در پایگاه دادۀ شرکت، از افراد استفاده می­کنند. در این حالت فیشرها، برنامه­های مشابهی را برای هدف قراردادن کارکنان یک شرکت و دزدیدن اطلاعات لاگین اینترانت شرکت به کارمی­برند. این موضوع به حمله کنندگان اجازه می­دهد تا وارد شبکۀ اینترانت شرکت شده و اطلاعات محرمانه را سرقت کنند و مشکلات دیگر را پدید آورند.

  • درخواست فاکتورهای تصدیق هویت
این مطلب رو هم توصیه می کنم بخونین:   تئوری زیست شناسی اجتماعی چیست

بانک­ها می­توانند حملات فیشینگ را از طریق خواستن دو فاکتور، تصدیق هویت نمایند؛ فاکتور اول نام کاربری و رمزعبور کاربر می­باشد و دیگری، یک تصویر و یا عبارت تصدیق هویت است که شرکت کننده؛ با یک بانک یا یک فروشندۀ آنلاین، از قبل انتخاب می­نمایند (گی­یر[6]، 2005).

 

  • انواع حملات فیشینگ

حملات فیشینگ به چندین دسته تقسیم می­شوند؛ اولین شکل حملات فیشینگ مبتنی بر ایمیل است که به اواسط دهه 90 میلادی مربوط می­شود. این نوع حملات شامل یک ایمیل جعلی است که حمله کننده، آن را برای کاربرانی می­فرستد که درصدد متقاعد کردن آنها برای ارسال کلمه عبور و اطلاعات حساب کاربری آنها است. اگرچه امروزه امکان موفقیت این حملات وجود دارد، اما نرخ موفقیت آنها از نقطه نظر حمله کنندگان، به دلیل آگاهی کاربران از عدم ارسال اطلاعات حساس از طریق ایمیل، کاهش یافته است و به دلیل افزایش آگاهی، بسیاری از سازمان­های حساس امنیتی، از قبیل بانک­ها، دیگر خدمات تعاملی از طریق اینترنت را به این دلیل که کاربران باید رمزعبور خود را ارائه نمایند، فراهم نمی­کنند. بر این اساس، امروزه بسیاری از حملات فیشینگ، ترکیب پیچیده­تری از ایمیل­ها و وب سایت­های جعلی برای سرقت اطلاعات قربانیان هستند و چنین حملاتی رایج­ترین شکل حملات فیشینگ می­باشند. در این حمله، مهاجمان ایمیل­های جعلی زیادی که به نظر می­رسد از یک سازمان مشروع مثل  بانک باشد را، به طور تصادفی برای کاربران ارسال می­کنند و مصرانه خواستار به روز رسانی اطلاعات شخصی آنها می­شوند؛ سپس قربانیان مستقیماً به وب سایتی شبیه سایت­های بانکداری الکترونیک، مراجعه می­کنند و از کاربران خواسته می­شود که اطلاعات شخصی خود را وارد نمایند.

 

بعضی از حملات فیشینگ از لحاظ فنی پیچیده­تر بوده و از آسیب پذیری شناخته شده در مرورگرهای رایج وب از قبیل اینترنت اکسپلورر، برای نصب نرم­افزارهای مخرب در جهت جمع آوری اطلاعات، استفاده می­کنند. امکان دیگر برای مهاجم، تغییر تنظیمات پروکسی کاربران مرورگر است، به طوری که تمام ترافیک وب کاربر از سرور حمله کننده عبور می­کند (کردا و کروگل، 2005).

در این راستا برای جلوگیری ازفیشینگ، آنتی فیشینگ مطرح شده است که چندین تکنیک آن در حال رواج است، اما بیشتر شرکت­ها برروی یک یا دو تکنیک آنتی فیشینگ تمرکز دارند. یک کلید برای بیشتر این روش­ها، داشتن ارائه دهندگان خدمات اینترنت[7] نزدیک به وب سایت­های فیشینگ می­باشد؛ با این حال این روش می­تواند وقت­گیر و پرهزینه باشد و حتی در کشورهایی که قوانین ضد هک ندارند، تلاش برای بستن سایت­ها می­تواند بی­فایده باشد. با این وجود چندین شرکت آنتی فیشینگ[8]، خدمات تلافی جویانه­ای را ارائه می­دهند؛ بعضی از این شرکت­های امنیتی، با فرستادن اطلاعات جعلی مالی، به طوری که سایت نمی­تواند بپذیرد که ممکن است قربانی این اطلاعات باشد، واکنش نشان می­دهند (گی­یر، 2005).

پس از بررسی ادبیات مربوط به مؤلفه­ها و ساختار ارائه شده در زمینۀ امنیت تجارت الکترونیک، لازم است ادبیات مرتبط با روش به کار رفته در پژوهش حاضر را مورد بررسی قرار دهیم؛ لذا مباحث مرتبط با روش شناسی از جمله عدم­قطعیت در تصمیم­گیری، آنتروپی شانون، فازی، تئوری دمپستر _ شیفر و تعارض در تصمیمات را به طور مختصر مورد بررسی قرار می­دهیم.

[1] Compliance Testing

[2] Penetration Testing

[3] Phishing

[4] Kirda & Kruegel

[5] Furnell & Zekri

[6] Geer

[7] Internet Service Providers (ISPs)

[8] Anti Phishing