چه کارها یا رفتارهایی از سوی کاربران اینترنت، امنیت آن‌ها را به خطر می‌اندازد؟ چه رفتارهای ناامن کاربران در فضای اینترنت یا مرتبط به آن، زمینه‌ی ناامنی را برایشان فراهم می‌کند؟ چه کارهایی را نباید در فضای اینترنت انجام دهیم و لازم است که نسبت به خطر آن‌ها هوشیار باشیم؟

این بلاگ‌پست شامل تجمیع و برداشتی هدفمند از محتوای گپ‌و‌گفت‌هایی با برخی شکارچیان آسیب پذیری، هکرهای کلاه سفید و متخصصین امنیتی ست که قبلا در بلاگ راورو منتشر کرده‌ایم. در گپ‌وگفت‌های قبلی پرسش‌های مشترک و مشابهی را از افراد متفاوت پرسیده بودیم و هر یک از افراد از دیدگاه خود، پاسخ‌هایی منحصربه‌فرد و متفاوت به این سوال‌ها داده‌اند. حالا قرار است که سوال‌های مشترک را از دل گپ‌وگفت‌های گذشته بیرون بکشیم وپاسخ‌های متفاوت افراد به آن‌ها را در کنار هم قرار دهیم. این‌طور فکر می‌کنیم که این جمع‌بندی می‎‌تواند ارزش‌مند، شایسته‌ی توجه، کمک‌کننده، دارای پیامی جدید و نمودی از تنوع دیدگاه‌ها در خرد جمعی باشد.

آن‌چه در این بلاگ‌پست خواهید خواند:

در این بلاگ‌پست گفته‌هایی از محمدحسین آشفته‌یزدی و بهراد احمدپور را خواهید خواند که راجع به رفتارهای ناامن کاربران فضای اینترنت، خطرهای موجود در پشت هر رفتار ناامن کاربر اینترنت و نکاتی که لازم است درراستای امنیت رعایت شوند، گفته‌اند.

داخل پرانتز: ترتیب ارائه‌ی پاسخ‌های افراد در متن، مطابق با ترتیب گپ‌وگفت‌های منتشرشده با آن‌ها در بلاگ راوروست.

_ چه رفتارهای ناامن کاربرهای اینترنت متعجبت می‌کند و حرص می‌خوری؟ چه توصیه‌هایی برای امنیتشان داری؟

محمدحسین آشفته یزدی:

یکی از رفتارهایی که خیلی اذیتم می‌کند، این است که خیلی از کاربران اینترنت، مخصوصا افراد عادی، حواسشان به دسترسی‌ها یا Permissionهایی که به اپلیکیشن‌ها می‌دهند، نیست! مثلا وقتی اپلیکیشنی را از اینترنت نصب می‌کنند، به آن اپلیکیشن دسترسی‌هایی می‌دهند، مثل؛ مخاطبین، لوکیشن یا ... . که این‌ها بیش‌تر برای جاسوسی استفاده می‌شوند و مربوط به مبحث تروجان‌ها هستند. واقعا تعجب می‌کنم از این‌که مثلا چرا یک نرم‌افزار VPN باید دسترسی به رکورد صدا داشته باشد؟ چرا باید دسترسی‌های خاصی داشته باشد؟ مردم خیلی وقت‌ها به این موضوع توجه نمی‌کنند! و این برای من خیلی اذیت‌کننده است. قسمت خوبش این است که نسبت به گذشته، حالا فرهنگ‌سازی بیش‌تری شده و مردم نسبت به این قضایا کمی آگاه‌تر و حساس‌تر شده‌اند. ولی هم‌چنان این قضیه هست. ای کاش که ما در دوران دبیرستان یا دانشگاه، درسی با موضوع "رفتارهای ایمن در اینترنت" را داشتیم.

یکی از رفتارهای مخاطره‌آمیز مردم در فضای اینترنت، که بیش‌ترین معضل را در این زمینه داریم، این است که افراد معمولا نرم‌افزاهایی را نصب می‌کنند، که ممکن است بدافزار باشند! یا روی لینک‌هایی کلیک می‌کنند که آن لینک‌ها نرم‌افزارهایی دانلود می‌کنند که ممکن است آلوده باشند. به نظر من بزرگ‌ترین مشکل در حال حاضر، همین مسائل است. اگر مردم، نرم‌افزارها را از منابع مورداطمینان مثل Play Store ، App Store یا مارکت‌های معتبر دانلود و نصب کنند، و از سایت‌های مختلف به‌صورت مستقیم نصب نکنند، روی هر لینکی کلیک نکنند و به‌طور کلی به این مسائل ریز کوچک توجه کنند، خیلی خوب می‌شود و خیلی از مشکلات حل می‌شود. پلیس فتا هم گاهی همین تذکر را در اس‌ام‌اس‌ها ارسال می‌کند. چون بیش‌تر حملاتی که اتفاق می‌افتند، به‌خاطر همین مسائل اند. البته که تحریم‌ها هم در این مورد بی‌تاثیر نیستند. به‌‌هرحال خیلی از اپلیکیشن‌ها برروی مارکت‌های بین‌المللی و رسمی قابل‌دسترسی نیستند.

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی؛ محمدحسین آشفته‌یزدی (sec_zone64)

بهراد احمدپور:

من در اینستاگرام اکانت ندارم، ولی در توییتر هستم و معمولا می‌بینم که کاربرها یک‌سری رفتارهایی می‌کنند که یک ذره عجیب است! مواردی که می‌خواهم بگویم در مورد رفتار کاربرانی ست که در سازمان‌ها کار می‌کنند و در مورد اطلاعات و خبرهای سازمان، حساسیت امنیتی به خرج نمی‌دهند. مثلا؛ یک‌ نفر که عضو یک تیم فنی بوده، آمده و در توییتش اطلاعات خیلی‌حساسی را در مورد اکانت‌های شرکتشان گفته! خب،اگر یک‌نفر یک ذره تیز باشد و مثلا بفهمد که آقای X دارد در شرکت Y کار می‌کند، و از توضیحاتش در توییتش هم بفهمد که یک SubDomain جدید به اسم Z راه انداخته و بالا آورده‌اند که از آن حفاظت هم نمی‌کنند، خب به راحتی می‌تواند همان روز حمله بکند!

موردی که تعریف کردم یک سطح بود. بعضی‌وقت‌ها کارمندهای یک شرکت، برخی اسرار و خلل‌های امنیتی شرکتشان را در فضای مجازی می‌گویند.منظورم این نیست که مستقیم آن خلل امنیتی را می‌گویند، ولی وقتی در مورد روزشان صحبت می‌کنند انگار می‌شود آن شکلی آن موارد را برداشت کرد و ازشان سواستفاده کرد.

یک مسئله که خیلی‌بیشتر در اینترنت مشاهده می‌شود، مسئله‌ی Over Sharing است؛ این‌که آدم‌ها چقدر اطلاعات از خودشان به اشتراک می‌گذارند! خب یک مهاجم باتوجه به دیتابیس‌هایی قبلی که لو رفته و اطلاعاتی از یک فرد هم در آن هست، با ترکیب این عکس و اطلاعات و این‌جور چیزهایی که کاربر خودش در اینترنت منتشر می‌کند، به‌راحتی می‌تواند یک نفر را کپی کند! مثلا من می‌توانم من با استفاده از اطلاعاتی که از خانم x یا آقای Y در توییتر، اینستاگرام، فیسبوک و سایر جاها از خودش گذاشته و باتوجه به اطلاعاتی که قبلا ازش لو رفته است، دقیقا از رویش یک شخصیت کامل را درست کنم. چون من وقتی اسم و اطلاعاتش را که پیدا کنم، روی یک‌سری دیتابیس‌های لورفته‌ی کسب‌وکارها می‌شود کدملی، شماره‌موبایل، آدرس خانه و خیلی موارد جزئی‌تر را نیز پیدا کرد. از روی عکس‌هایی که خودش دارد Share می‌کند نیز می‌شود LifeStyle روزانه‌اش را هم به‌دست آورد. خب این خطرناک است. چون خب، نقطه‌ی خلل هر سیستمی، حتی امن‌ترین سیستم‌ها هم، آدم‌هایش هستند. و خب وقتی به این راحتی می‌شود یک آدم را تکرار کرد، یا حالا شبیه‌سازیش کرد، خب یک‌ذره خطرناک‌تر است‌! اگر این‌ Over Sharing بخواهد ادامه پیدا کند و بشود هی از روی آدم‌ها هی تکرار کرد و شبیه‌سازیش کرد، خب یک‌ذره سخت می‌شود! آن‌وقت اعتماد و امنیت در فضای مجازی خیلی سخت می‌شود.

بعضی‌وقت‌ها می‌بینم که یک‌سری موارد در توییتر ترند می‌شوند. مثلا کاربرها می‌آیند و به یک‌ سری ربات‌ها یک‌ سری دسترسی‌هایی می‌دهند تا برایشان یک‌سری روابط منطقی را از اکانت‌شان استخراج کنند، مثلا؛ توییتی که بیشترین لایک شده، اکانت افرادی که بیش‌ترین اینتراکشن را با آن‌ها داشته‌اند و از این‌جور موارد. خب درواقع دسترسی‌هایی که دارد به آن ربات داده می‌شود، شاید در ظاهر یک‌ چیز خیلی عادی و بدون ترسی به نظر بیاید. ولی خب ممکن است این رباتی که دسترسی گرفته، به‌جایشان توییت بزند، افرادی را فالو کند، توییت‌هایشان را پاک کند و بعد هم بلاک کند و از این‌جور چیزها. و همه را هم با سرعت زیادی انجام دهد، چون ربات است و برایش مثل ما محدودیت وجود ندارد. اگر کاربران قبل از دادن دسترسی به چنین ربات‌هایی، این امکان و خطر را هم درنظر داشتند، احتمالا هیچ‌وقت این‌کار را نمی‌کردند! به‌خاطر همین‌ توصیه‌ای که می‌کنم این است که راه‌اندازی Two Factor Authentication برای خیلی مواقع می‌تواند مفید باشد. کنترل دسترسی‌ها و Deviceهایی که به اکانت‌هایمان وصل هستند، هم کمک‌کننده است. باز هم می‌گویم که اگر با آگاهی کاربر جلوی مسئله‌ی Over Sharing گرفته شود، خب خیلی می‌تواند مقدار سواستفاده‌هایی که در فضای مجازی می‌شود، را کاهش بدهد.

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی جوان راورو؛ بهراد احمدپور (behrad_amp)

سخن آخر:

اگر بخواهیم آن‌چه که به تفصیل گفته شد را به‌طور خلاصه و چک‌لیست وار بیان کنیم، از این قرار خواهد بود:

۱. وقتی نرم‌افزاری را از اینترنت دانلود می‌کنید، نسبت به دسترسی (Permission) هایی که به نرم‌افزار می‌دهید، حساس باشید. از دسترسی‌دادن به موارد غیرمرتبط به نرم‌افزار خودداری کنید.

۲. نرم‌افزارهای موردنیاز خود را از منابع غیرمعتبر و ناشناخته دانلود نکنید تا از خطر آلوده‌شدن دستگاه خود به بدافزار خودداری کنید. منابع و سایت‌های معتبر، مکان‌های امن‌تری برای دانلود هستند.

۳. در انتشار پست‌های روزمره در شبکه‌های اجتماعی، نسبت به انتشار اطلاعات و دیتا راجع به موضوعات کسب‌وکاری که در آن مشغول هستید، حساسیت به خرج دهید و هشیار باشید.

۴. در انتشار پست‌های روزمره در شبکه‌های اجتماعی، نسبت به مقدار و موضوع پست‌هایی که از خود منتشر می‌کنید، هوشیار باشید.

۵. در مواقعی که پاسخ‌گویی به برخی سوال‌های خاص در شبکه‌های اجتماعی ترند می‌شود، نسبت به پاسخ‌گویی به سوال‌ها هوشیار باشید.

۶. نسبت به ربات‌هایی که هرازگاهی در فضای مجازی باب می‌شوند و درصورت درخواست شما آماری را درباره‌ی حساب کاربری شما در اختیارتان قرار می‌دهند، و به همین بهانه دسترسی‌هایی را از حساب کاربری‌تان را در اختیار می‌گیرند، هوشیار باشید.

بلاگ‌پست‌های مرتبط:

رفتارهای ناامنی که برای مراقبت از امنیت مجازی‌مان، نباید بکنیم. (قسمت اول)

۷ نکته برای انتخاب پسورد امن‌تر

چک‌لیست مراقبت از گذرواژه؛ گاهی زود، دیر می‌شود...

چک‌لیست اصول امنیتی دورکاری