مروری بر هشت سال تحقیقات در مورد جرایم کامپیوتری
على شمیرانى - شرق - جرایم کامپیوترى و امنیتى» عنوان تحقیقى است که با همکارى مشترک انستیتوى جرایم کامپیوترى و FBI سانفرانسیسکو در آمریکا در حال انجام است. این تحقیق هم اکنون هشتمین سال خود را پشت سر مى گذارد و به این ترتیب لقب طولانى ترین تحقیق دنیا در زمینه امنیت اطلاعات را به خود اختصاص داده است.
این تحقیق که از ۸ سال پیش آغاز شده بیانگر حساسیت ها و اهمیت حفظ حریم مجازى در آمریکا است، چرا که در حال حاضر بخش عمده اى از شریان اقتصاد کلان آمریکا با دنیاى مجازى درهم آمیخته و پلیس و نیروهاى امنیتى این کشور از حریم مجازى خود، همچون مرزهاى واقعى آمریکا محافظت مى کنند.
این گزارش نیز بخش هایى از نتایج به دست آمده از تحقیق جرایم کامپیوترى و امنیتى در کشور آمریکا است.تحقیق مذکور در سال ۲۰۰۳ نیز همچون سال قبل از آن به شناسایى و ترسیم چگونگى رخ دادن جرایم در شبکه هاى کامپیوترى و میزان خسارات به بار آمده پرداخته است.یافته هاى این تحقیق در سال ۲۰۰۳ که بر مبناى پاسخ هاى دریافتى از ۵۳۰ فرد شاغل در بخش امنیت کامپیوتر دستگاه هاى دولتى، موسسات مالى، انستیتوها، مراکز بهداشتى و دانشگاه هاى آمریکا به دست آمده بار دیگر نشان داد که هیچ اثرى از کاهش میزان حملات اینترنتى در دست نیست ولى در عین حال و براى نخستین بار از سال ۱۹۹۹ میزان و شدت خسارات به بار آمده در سال ۲۰۰۳ کاهش یافته است.
با این وجود و گذشته از پاسخ به دست آمده از تحقیق، مبنى بر کاهش خسارت هاى مالى، مهم ترین نتیجه باقى مانده در پایان این تحقیق در سال ۲۰۰۳ نشان مى دهد که تهدید ناشى از حملات مجازى همچنان رشدى صعودى دارد.در این میان حتى سازمان هایى که از فناورى هاى گسترده امنیتى هم استفاده کرده اند باز هم قربانى خسارت هاى مالى قابل توجه شده اند. به علاوه درصد گزارش کردن حملات انجام شده به مقامات امنیتى از سوى بخش هاى مختلف آمریکا همچنان در حد پایینى مانده است.
علت این امر نیز نگرانى صنایع، شرکت ها و موسسات مالى از درج اخبار مربوط به رسوایى ضعف هاى امنیتى در سیستم هایشان است چرا که این گزارش ها موجب سلب اطمینان مشتریان موسسات مربوطه مى شود. به همین خاطر اکثر حملات مجازى انجام شده به شرکت هاى مختلف به مقامات امنیتى گزارش نمى شود.به این ترتیب مهاجمان و هکرها نیز به این مسئله یعنى لطف شرکت ها و عدم گزارش حملات به مقامات دولتى، اشراف کامل داشته و به میزان حملات خود مى افزایند.
• درباره پاسخ دهندگان
پاسخ دهندگان به پرسش هاى این تحقیق عمدتاً از شرکت ها و سازمان هاى مدرن و پیشرفته آمریکا بودند. در تحقیق مذکور ۱۷ درصد از شرکت هاى صنایع پیشرفته و ۱۵ درصد از بخش هاى مالى آمریکا حضور داشتند. دستگاه هاى دولتى نیز با افزایش میزان حضور در مجموع ۱۵ درصد از پاسخ دهندگان را تشکیل مى دادند. حدود نیم دیگرى از پاسخ دهندگان به پرسش ها را نیز کسانى تشکیل مى دادند که بر این تصور بودند، امنیت کامپیوترى مسئله مهمى تلقى نمى شود. بخش سایر پاسخ دهندگان نیز از ۵ درصد در سال ۲۰۰۲ به ۱۷ درصد در سال ۲۰۰۳ افزایش یافته بود.
بیش از نیمى از حاضران در این تحقیق را سازمان هایى با بیش از هزار کارمند تشکیل مى دادند. این در حالى بود که حدود ۲۸ درصد نیز شرکت هایى با بیش از ده هزار کارمند بودند. بر این اساس ۳۴ درصد از حاضران در این تحقیق را سازمان هایى تشکیل مى دادند که درآمد سالانه آنها بیش از یک میلیارد دلار در سال بود.
• نکات برجسته تحقیق
در حالى که گزارش هاى دریافتى مبنى بر استفاده غیرمجاز از کامپیوتر تقریباً در حد سال قبل باقى مانده بود ولى میزان خسارت هاى وارده سیر نزولى داشت.
بر این اساس ۵۶ درصد استفاده غیرمجاز از کامپیوتر را گزارش دادند که این رقم در سال گذشته ۶۰ درصد و به طور میانگین در ۷ سال گذشته تحقیق ۵۹ درصد بود. میزان کل خسارت گزارش شده در سال ۲۰۰۳ معادل ۲۰۱ میلیون و ۷۹۷ هزار و ۳۴۰ دلار بود که این رقم در قیاس با ۴۵۵ میلیون دلار سال ۲۰۰۲ حدود ۵۶ درصد کاهش نشان مى دهد.
• یافته هاى کلیدى دیگر
•میزان کلى حملات با وجود کاهش خسارات همچنان رو به بالا مشاهده شد.
•درست مثل سال هاى گذشته سرقت انواع اطلاعات بزرگ ترین زیان هاى مالى را بر جا گذاشت. بر این اساس ۷۰ میلیون و ۱۹۵ هزار و ۹۰۰ دلار خسارت بر اثر سرقت اطلاعات در سال گذشته بر جاى ماند.
•اما با تغییرى نسبت به سال هاى قبل و براساس پاسخ هاى دریافتى دومین جرم کامپیوترى خسارت آور به حملاتdenial of service (بازدارنده ارائه خدمات) اختصاص یافت. این جرم ۶۵ میلیون و ۶۴۳ هزار و ۳۰۰ دلار خسارت به بار آورد.
•در این میان گزارش خسارت هاى به بار آمده از کلاهبردارى هاى مالى در اینترنت با کاهش بسیار زیاد به ۱۰ میلیون و ۱۸۶ هزار و ۴۰۰ دلار رسید. اما براساس گزارش سال گذشته این رقم حدود ۱۱۶ میلیون دلار بود.
•در این میان و درست مانند سال هاى قبل حملات ویروس ها (۸۲ درصد) و سوءاستفاده هاى داخلى در استفاده از شبکه ها (۸۰ درصد) از جمله موارد قابل توجه از انواع حملات و سوءاستفاده ها بودند.
• با وجود تمام مشکلات امنیتى در سازمان ها، حاضران در این تحقیق همچنان قویاً مخالف ایده استفاده از هکرهاى اصلاح شده در کار خود هستند. بر این اساس ۶۸ درصد پاسخ دهندگان گفته اند که به هیچ وجه مایل به استفاده از هکرهاى سابق براى شناسایى نقاط ضعف خود نیستند.
•اما میزان گزارش حملات انجام شده از سوى سازمان ها و شرکت ها به مقامات قضایى آمریکا مثل سال هاى گذشته، همچنان در حد پایینى قرار دارد. در سال ۲۰۰۳ تنها ۳۰ درصد حملات مجازى به مقامات دولتى گزارش شد.
• فناورى هاى امنیتى
به مدت ۶ سال متوالى از کلیه حاضران در تحقیق این سئوال شد که از چه نوع فناورى هاى امنیتى براى حفاظت از سازمان هاى خود بهره بردارى مى کنند. اگر چه تمام حاضران در این تحقیق حاضر به افشاى انواع روش هاى حفاظتى خود نشدند ولى ۹۹ درصد از پاسخ دهندگان اعلام کردند که از روش هاى بسیار متعددى براى حفاظت از سازمان خود استفاده مى کنند.
بر این اساس ۹۹ درصد از سازمان ها از نرم افزارهاى ضدویروس و ۹۸ درصد از فایروال ها استفاده مى کنند. ۹۱ درصد از پاسخ دهندگان از انواع تجهیزات سخت افزارى امنیتى و ۹۲ درصد نیز از روش هاى کنترل دسترسى در حفاظت از سازمان خود استفاده کرده اند.
در این میان یکى از اصلى ترین دلایل عدم پاسخ به برخى از سئوالات به تمایل نداشتن شرکت ها در افشاى نام محصول امنیتى مورد استفاده مربوط مى شد.اما در بخشى از این تحقیق از حاضران خواسته شد تا به تعریف و ارائه درک خود از مفهوم امنیت و صنعت امنیت بپردازند. در عین حال برخى از پرسش ها به گونه اى طراحى شده بود که شکى در پاسخ آن وجود نداشت. براى مثال زمانى که پرسیده شد آیا از فایروال استفاده مى کنید، همه پاسخ ها مثبت بود.اما در مورد امنیت فیزیکى (سخت افزارى) گرچه مفهومى گسترده دارد، نیز پرسش هاى مشخصى پرسیده شد. مثلاً این که آیا تمامى درهاى سازمان در مواقع تعطیل و یا بدون استفاده قفل مى شوند؟ یا مثلاً آیا هشدارهاى مشخص و یا محدوده هاى ورود غیرمجاز براى حفاظت از کامپیوترها و شبکه هاى کامپیوترى در سازمان طراحى کرده اید؟یکى از جالب ترین یافته هاى این بخش از تحقیق نشان داد که تقریباً از هر ده سازمان، یک سازمان از ادوات فیزیکى بازدارنده براى حفاظت از محدوده هاى کامپیوترى خود استفاده مى کنند.
به این ترتیب این احتمال بسیار قوى به نظر مى رسد که سازمان هاى مذکور سرورهاى خود را در اتاق هاى قفل شده نگهدارى نکرده و یا ادوات سیار همچون نوت بوک ها را با کابل هاى قفل شونده ثابت نگاه ندارند.اما در حالى که کنترل سطح دسترسى مفهومى است که به خوبى درک شده، محققان سئوال دیگرى طرح کردند. آنها پیش بینى مى کردند که هر سازمانى از کاربران خود خواسته باشد تا براى کنترل دسترسى از کلمات رمز (Passwords) استفاده کنند و پاسخ آنها با استفاده از Password کاملاً مثبت باشد.اما نتیجه جالب دیگرى به دست آمد و ۸ درصد از پاسخ دهندگان اعلام کردند از روش کنترل میزان دسترسى استفاده نمى کنند.از دیگر آمار به دست آمده، ۶۹ درصد از پاسخ دهندگان اعلام کردند که از فایل هاى رمزگذار استفاده مى کنند که این رقم به نسبت ۵۸ درصد در سال گذشته افزایش یافته بود. میانگین پاسخ به این پرسش نیز طى سال هاى گذشته ۵۹ درصد بود.اما بدون توجه به ابزار مورد استفاده براى تامین امنیت، موضوعى که در تحقیق به دست آمد این بود که بسیارى از پاسخ دهندگان به درستى نمى دانند که درون شبکه هایشان چه مى گذرد.
پنجاه درصد از پاسخ دهندگان در سال ۲۰۰۳ اعلام کرده اند که متوجه استفاده غیرمجاز از سیستم هاى کامپیوترى سازمان خود نمى شوند.
• اطلاعات اختصاصى
در سراسر تاریخ این تحقیق، سرقت اطلاعات، گرانترین نوع جرایم کامپیوترى به شمار رفته است. در حقیقت از سال ۱۹۹۹ بیشترین خسارات از این طریق به صنایع و سازمان ها وارد شده است.اگر در دنیاى اینترنت قوانین زیادى براى حفاظت از مالکیت هاى معنوى وضع شد اما در عین حال اخبار مهم حکایت از سرقت اسرار تجارى شرکت ها که از اهمیت بالایى نیز برخوردار است نداشت، بلکه در این میان تلاش براى نقض کپى رایت نیز افزایش یافته بود.در حال حاضر یکى از عمده ترین چالش هاى دنیاى مجازى سرقت اطلاعات و نقض مالکیت فکرى محسوب مى شود لذا این مسئله موجب شده تا بسیارى از شرکت ها، صنایع و انجمن ها خود وارد عمل شده و به شکایت از ناقضان بپردازند.در این خصوص انجمن صنعت ثبت موسیقى آمریکا (RIAA) طى دو سال گذشته تلاش هاى زیادى را براى مبارزه با نقض کپى رایت به عمل آورده است.
این انجمن به منظور مبارزه با کپى غیر مجاز فایل هاى MP3 از شرکت ها و ارائه کنندگان خدمات متعددى همچون IIS، Napster، Audiogalaxyو بسیارى از کاربران شکایت کرد.اما مسئله سرقت اطلاعات و داده در دنیاى اینترنت اکثر کارشناسان امنیتى را وادار به تفکر بیشتر و یافتن راه هاى جدید امنیتى کرده است. در سال ۲۰۰۲ تولید کنندگان تراشه و شرکت مایکروسافت به طور مشترک و به صورت سخت افزارى و نرم افزارى تلاش کردند تا به این مشکل غلبه کنند، آنها سرگرم کار روى ایده اى هستند که به موجب آن تا زمانى که کاربر اجازه استفاده از چیزى را پیدا نکند موفق به استفاده و اجراى آن روى کامپیوتر خود نشود.
• به دنبال کارشناس
یکى از مهم ترین بحث ها در صنعت امنیت اطلاعات به استخدام هکر هایى مربوط مى شود که ادعا مى کنند اصلاح شده اند. سال ۲۰۰۲ یکى از جالب ترین سال هایى بود که این بحث به اوج خود رسید. چرا که یکى از مشهورترین هکر هاى دنیا به نام «کوین میتنیک» اعلام کرد که قصد دارد دوباره دست به کار شود ولى این بار دست به فعالیت هاى قانونى خواهد زد. بعد از دستگیرى وى در سال ۱۹۹۵ و محکومیت به چندین جرم کامپیوترى، میتنیک در سال ۲۰۰۰ از زندان آزاد شد. اما در عین حال وى مجبور به پذیرش انواع محدودیت ها بود که او را از مسائل زیادى به دور نگاه مى داشت. اما در سال ۲۰۰۲ میتنیک کتابى با عنوان «هنر نیرنگ» منتشر کرد و در همان حال نیز یک شرکت مشاوره راه اندازى کرد با این وجود برخى از حاضران در تحقیق، بهترین راه حفاظت از سیستم هاى خود را استخدام هکر هاى اصلاح شده مى دانند.
اما علت اصلى بخش عمده مخالفان با استفاده از هکر هاى اصلاح شده این است که آنها هیچ تضمینى براى حرف هکر ها نمى یابند. در نتیجه این تحقیق، ۱۵ درصد از حاضران اعلام کرده اند که از ex هکر ها استفاده خواهند کرد.منظور از ex هکر ها نیز به هکر هایى مربوط مى شود که به اطلاعات فوق العاده حساس دسترسى نداشته باشند.
• گزارش ها همچنان مخفى
هدف اصلى تحقیق امنیتى سالانهFBI و انستیتوى امنیت کامپیوترى تنها جمع آورى اطلاعات قسمت تاریک فضاى مجازى نیست، آنها به دنبال گسترش و یافتن راه هایى براى همکارى بیشتر بخش خصوصى با سیستم قضایى آمریکا هستند تا به این ترتیب از میزان جرایم کامپیوترى تا حد امکان کاسته شود.
در سه سال اول این تحقیق، تنها ۱۷ درصد از بخش هایى که بر اثر حملات مجازى آسیب مى دیدند گزارش مربوطه را به مجریان قانون اعلام مى کردند اما در سال هاى بعد این رقم تقریباً دو برابر شد و رقم گزارش هاى اعلام شده به دولت در سال ۲۰۰۳ به ۳۰ درصد رسید.
اما چرا این رقم بزرگ تر نیست؟ تنها از ۴۵ درصد از کل حاضران در این تحقیق پرسیده شد که چرا گزارش مربوط به حملات اینترنتى را به دولت ارائه نمى کنند که ۵۳ درصد از این تعداد در پاسخ گفته اند که نمى دانستند مى توانند این اطلاعات را در اختیار دولت گذاشته و از آنها کمک بگیرند. بقیه نیز علت این امر را ترس از بى اعتمادى اعلام کردند.
- ۸۴/۰۲/۱۵