الجمعة، فبراير 10، 2012

Security bugالثغرات الأمنيه

أثبتت تقارير ودراسات المواقع المتخصصة بأمن المعلومات أن هناك تطور يوازي نمو المجتمعات الرقمية في اساليب الاحتيال واستغلال مناطق الضعف في الانظمة والتقنيات الحديثة بغرض تدميرها أو للتجسس على بيانات المستخدم، بعدة طرائق ابسطها الثغرة الأمنية (Security bug) وهو مصطلح شاع مع انتشار الانظمة وخاصة الضعيفة وآليات التعامل مع البيانات ويمكن مستغليها من التسلل عبر الأنظمة و السيطرة عليها.
لا بد أن ندرك أن أي تقنية حديثة او نظام معرّض للاستغلال مهما كنت قوته، فالثغرات الأمنية ليست حكراً على الانظمة بل تكمن في طرائق وأساليب التعامل مع تلك الانظمة، لذا اصبح من الضرورة أن نهتم بآليات تدفق البيانات بين المستخدم والنظام.
قبل اشهر اطلق موقع فيسبوك Facebook صفحة باسمSecurity Bug Bounty مكافئة لمكتشفي الثغرات الأمنية تمنح لمن يكتشف ثغرات أمنية بالموقع، وخصص مبالغ مالية تبدأ من 500$ دولار أمريكي، بهدف تقويم آليات تدفق البيانات بين المستخدمين حتى تصبح معلومات المستخدمين أكثر أماناً، وهي خطوة ليست جديدة بل سبقها شركات تقنية عديدة أنشئت اقسام تهتم بتدقيق الانظمة من مختصين و مطورين قبل اطلاقها، قوقل بلس مثال أخر في الوقت الحالي.
إن مواكبة خطى التقنية ضرورة يفرضها العصر سواء للأفراد أو المؤسسات المدينة و خاصة التجارية، لتجنب الاحتيال الإلكتروني، فالأمن الإلكتروني مطلب عصري لا يحتمل النقاش، وتجاهل تلك الخطى التقنية يزيد من فرص مستغلي الثغرة الأمنية (Security bug) وخاصة مع ظهور تقنيات حديثة كالهواتف الذكية، وتطبيقاتها العديدة، أصبح من السهولة انشاء تطبيقات إلكترونية تخص مؤسسات مدنية كالبنوك والشركات و مؤسسات حكومية ونشرها بعدة طرائق وبسيطة، لضعف البنية التحتية لقواعد آمن المعلومات واختلاف تطبيقها بين الدول المصدرة للتقنية والمستخدمة لها، وهنا يبرز الخطر التقني القادم فإذا تجاهلت تلك المؤسسات متطلبات العملاء التقنية الحديثة سوف تتنشر تطبيقات تستغل بيانات العملاء وتتفوق على جميع اساليب تدقيق البيانات السابقة كأرسال رسائل الى جوال العميل برقم سري مؤقت لان يجدي نفعاً عند السيطرة على أجهزة العملاء الذكية.
يجب أن يدرك المستخدم للتقنية الحديثة أن هناك قاعدة أمنية عامة تجبره على عدم استخدام أي تطبيقات او برامج من طرف آخر، فانتشار تلك التطبيقات المساندة ماهي إلا تطور لمصطلح الثغرة الأمنية (Security bug)، فيجب الحذر وعدم قبول أي طرف مساند بين المستخدم و مقدم الخدمة، فعند تحليل هذه التطبيقات تكون بدايتها تكاملية وتقدم مزايا جيدة ولكن تتحول وبشكل تدريجي للسيطرة على المستخدم واستغلاله بشكل كامل وعلى سبيل المثال تطبيقات IPhone التي يستطيع أي شخص يملك القدرة على برمجة تطبيقات نشر آلاف التطبيقات في iTunes وبشكل مجاني و تحديثها، كتطبيقات البنوك  ومؤسسات مدنية عديدة قد تستغل المستخدمين في ظل استمرار تجاهل مؤسساتنا المدنية للتقنيات الحديثة، ويقع عملاؤها ضحايا لهذه الاخطار المتجددة مع ضرورة أن تكون accounts حسابات مطور البرامج Apple Developer ملك للجهة وليس للأفراد الذين يعملون بها.