spadanasoft
Member
فرض كنيد شركت رقيب شما يك ابزار بر پايه وب بسيار قوي دارد كه بسياري از مشتري هاي شما از آن استفاده مي كنند. شما در جواب آن چه مي كنيد ؟
1- آن تجارت را فراموش مي كنيد و به دنبار حرفه ديگري مي گرديد ؟
2-يك تيم حرفه اي تشكيل مي دهيد و يك ابزار بهتر از شركت رقيب درست مي كنيد ؟
3- به سايت رقيب خود نفوذ مي كنيد و كد هاي آنها را مي دزديد ؟ يا در حالت بهتر برخي از كارمندان آن را مجاب مي كنيد كه يك وب سايت هم براي شما به همان صورت بسازند ؟
تبريك مي گويم ، به دنياي هك كردن رقبا خوش آمديد!
در 15 اكتبر 2004 طبق فرجامي در دادگاه از ايالات متحده ،در نهين جلسه آن ،قاضي بايد به شكايت دو شركت رسيدگي مي كرد. اين شركت ها در زمينه خدمات به رانندگان كاميون فعاليت مي كردند. يكي از شركت ها ، Creative Computing ، در قالب يك سايت موفق راه اندازي شده بود ، Truckstop.com ، كه رانندگان كاميون را از طريق اينترنت با بار ها ارتباط مي داد. در جاي ديگري از اين دنيا يك شركت ديگري ، Getloaded.com ، تشكيل شد ، براي رقابت با شركت فوق ، اما نه به صورت درست و صادقانه !
Getloaded.com تلاشهاي فراواني را در جهت به دست آوردن اطلاعات از سايت Truckstop.com انجام داد. در ابتدا آنها ليستي از بارها و رانندگاني كه اصلا با هم تطابق نداشتند را تهيه كردند. هنگامي كه Truckstop در سايت خود شروع به گرفتن نام كاربري و پسورد كردند ، Getloaded نيز همين كار را كرد. در نتيجه ، رانندگان كاميوني كه در هر دو سايت عضو بودند ، يك نام كاربري و يك پسورد در هر دو سايت ايجاد مي كردند. در نتيجه اعضاي Getloaded با نام كاربري و پسورد اين دسته از رانندگان به سايت Truckstop رفته و اطلاعات آنها را براي خود ثبت مي كردند.
بنابراين آنها در قالب شركتهاي مرده ! خود را در سايت فوق ثبت مي كردند تا اطلاعات آنها را به دست بياورند.
اما هنوز كار به اينجا ختم نشده بود ، طبق گفته دادگاه ، كاركنان Getloaded همچنين به وب سايت اين شركت نفوذ كردند ، سرور اين وب سايت داراي يك مشكل امنيتي بود ، مايكروسافت براي اين مشكل يك اصلاحيه منتشر كرده بود ولي مديران بخش شبكه هنوز اين اصلاحيه را نصب نكرده بودند. رييس و نايب رييس شركت Getloaded با استفاده از اين آسيب پذيري توانستند به سرور هاي سايت Truckstop نفوذ كنند.
صداي آشنا ؟
ما در بخش امنيت ، موضوعي داريم به عنوان مديريت اصلاحيه هاي ( Patch Management ) و كنترل دسترسي ( Access Control ) . همين مورد نشان مي دهد كه ممكن است نتيجه اينگونه خرابي ها چه مقدار باشد. به صورت فزاينده اي شركت هاي رقيب به دنبال اطلاعات محرمانه و قابل استفاده از سايتهاي تحت وب و پايگاههاي داده مي باشند و يا با استفاده از آسيب پذيري ها موجود در پايگاه داده ، يك دسترسي بدون مجوز با آن برقرار مي كنند و داده هاي حساس و مهم تجاري شركت رقيب را به سرقت مي برند.
بعضي مسايل هم غير قابل اجتناب مي باشد : براي رانندگاني كه بايد به سايت دسترسي داشته باشند لازم است كه به بعضي از اطلاعات سايت دسترسي داشته باشند. حق دسترسي براي اينگونه موارد ، استفاده از نام كاربري و پسورد مي باشد تا حق دسترسي افراد مشخص شود. كاربران معمولا از يك نام كاربري و يك پسورد استفاده مي كنند و همين امر باعث مي شود كه برخي از كساني كه به اين نام كاربري ها دسترس دارند با سوءاستفاده از آنها ، به اطلاعات مهم و حياتي شركت هاي رقيب دسترسي داشته باشند.
جاسوسي اقتصادي
به اين مشكلات مي توان در دو دسته تكنيكي و قانوني پاسخ داد. از ديدگاه تكنيكي ، شركت هاي تجاري بايد قوانين و تكنولوژي هاي بهتري را براي حق دسترسي كاربران و مشتري هاي خود در وب سايت خود ايجاد كنند. اگر شما مشاهده كرديد كه تلاش هاي فراواني براي دسترسي به سايت شما از يك رنج IP مشخص (كه شبيه آدرس هاي رقيب شما مي باشد ) وجود داشته است كه اكثر آنها با شكست مواجهه شده اند بدانيد كه يك اتفاق بدي در حال وقوع است.
نصب IDS ، مشاهده روزانه فايل هاي ثبت وقايع ( Log ) و البته مديريت نصب اصلاحيه ها جزو موارد ثابتي مي باشد كه يك وب سايت براي امنيت خود بدانها نياز دارد.
فقط كافي نيست كه شما اصلاحيه ها را نصب كنيد ، بايد نرم افزارهايي را استفاده كنيد كه در هنگام بروز برخي تغييرات ، كشف آسيب پذيري جديد ، باز شدن يك پورت در سرور و همچنين تاييد و تصديق نصب اصلاحيه ها ، شما را باخبر كنند.
از نظر حقوقي وقفه ايجاد كردن و سنگ انداختن در كار رقبا از راههاي غير قانوني جرم محسوب مي شود. شما مطمئنا نياز داريد كه يك مكان عمومي براي امور كاري خود داشته باشيد ولي از طرفي هم بايد ضوابط مشخصي را براي اين مكان در نظر بگيريد تا هر كسي به هر چيزي دسترسي نداشته باشد.
بنابراين اولين چيزي كه بايد براي دفاع از وب سايت عمومي خود ايجاد كنيد ، قرار دادن يك سري شرايط و ضوابط ست كه از داده هاي سايت شما محافظت مي كند تا بدين وسيله از داده هاي سايت شما عليه شما استفاده نكنند. مثلا از بينندگان سايت همان ابتداي ورود ضمانت بگيريد كه از داده هاي سايت شما استفاده تجاري نكنند يا از مهندسي معكوس براي نرم افزار هاي شما خودداري كنند و يا هر چيز ديگري شبيه اين موارد كه شما نياز داريد كه آنها را ممنوع اعلان كنيد.
واقعا بايد گفت كه اين موضوعات ، معضلاتي مي باشد كه در آينده گريبانگير صنايع IT خواهد شد و موضوعاتي است كه دادگاههاي قضايي در آينده اي نه چندان دور با آن برخورد مي كنند.
مشكلاتي كه ممكن است سايتهاي تجاري وب با آن برخورد كنند. اثبات اين موضوع بر عهده دادگاه مي باشد كه نشان دهد كاربران سايت شما از قوانين سايت سرپيچي كرده اند يا خير اما در اينگونه موارد بهتر است كه قوانين دلخواه خود را در همان ابتدا كه كاربران در حال درست كردن نام كاربري و رمز عبور هستند از آنها تاييد بگيريد. تا با زير پا گذاشتن اين قوانين دست شما براي شكايت از آنها و اثبات موارد خلاف باز باشد.
منبع: sgnec.net
1- آن تجارت را فراموش مي كنيد و به دنبار حرفه ديگري مي گرديد ؟
2-يك تيم حرفه اي تشكيل مي دهيد و يك ابزار بهتر از شركت رقيب درست مي كنيد ؟
3- به سايت رقيب خود نفوذ مي كنيد و كد هاي آنها را مي دزديد ؟ يا در حالت بهتر برخي از كارمندان آن را مجاب مي كنيد كه يك وب سايت هم براي شما به همان صورت بسازند ؟
تبريك مي گويم ، به دنياي هك كردن رقبا خوش آمديد!
در 15 اكتبر 2004 طبق فرجامي در دادگاه از ايالات متحده ،در نهين جلسه آن ،قاضي بايد به شكايت دو شركت رسيدگي مي كرد. اين شركت ها در زمينه خدمات به رانندگان كاميون فعاليت مي كردند. يكي از شركت ها ، Creative Computing ، در قالب يك سايت موفق راه اندازي شده بود ، Truckstop.com ، كه رانندگان كاميون را از طريق اينترنت با بار ها ارتباط مي داد. در جاي ديگري از اين دنيا يك شركت ديگري ، Getloaded.com ، تشكيل شد ، براي رقابت با شركت فوق ، اما نه به صورت درست و صادقانه !
Getloaded.com تلاشهاي فراواني را در جهت به دست آوردن اطلاعات از سايت Truckstop.com انجام داد. در ابتدا آنها ليستي از بارها و رانندگاني كه اصلا با هم تطابق نداشتند را تهيه كردند. هنگامي كه Truckstop در سايت خود شروع به گرفتن نام كاربري و پسورد كردند ، Getloaded نيز همين كار را كرد. در نتيجه ، رانندگان كاميوني كه در هر دو سايت عضو بودند ، يك نام كاربري و يك پسورد در هر دو سايت ايجاد مي كردند. در نتيجه اعضاي Getloaded با نام كاربري و پسورد اين دسته از رانندگان به سايت Truckstop رفته و اطلاعات آنها را براي خود ثبت مي كردند.
بنابراين آنها در قالب شركتهاي مرده ! خود را در سايت فوق ثبت مي كردند تا اطلاعات آنها را به دست بياورند.
اما هنوز كار به اينجا ختم نشده بود ، طبق گفته دادگاه ، كاركنان Getloaded همچنين به وب سايت اين شركت نفوذ كردند ، سرور اين وب سايت داراي يك مشكل امنيتي بود ، مايكروسافت براي اين مشكل يك اصلاحيه منتشر كرده بود ولي مديران بخش شبكه هنوز اين اصلاحيه را نصب نكرده بودند. رييس و نايب رييس شركت Getloaded با استفاده از اين آسيب پذيري توانستند به سرور هاي سايت Truckstop نفوذ كنند.
صداي آشنا ؟
ما در بخش امنيت ، موضوعي داريم به عنوان مديريت اصلاحيه هاي ( Patch Management ) و كنترل دسترسي ( Access Control ) . همين مورد نشان مي دهد كه ممكن است نتيجه اينگونه خرابي ها چه مقدار باشد. به صورت فزاينده اي شركت هاي رقيب به دنبال اطلاعات محرمانه و قابل استفاده از سايتهاي تحت وب و پايگاههاي داده مي باشند و يا با استفاده از آسيب پذيري ها موجود در پايگاه داده ، يك دسترسي بدون مجوز با آن برقرار مي كنند و داده هاي حساس و مهم تجاري شركت رقيب را به سرقت مي برند.
بعضي مسايل هم غير قابل اجتناب مي باشد : براي رانندگاني كه بايد به سايت دسترسي داشته باشند لازم است كه به بعضي از اطلاعات سايت دسترسي داشته باشند. حق دسترسي براي اينگونه موارد ، استفاده از نام كاربري و پسورد مي باشد تا حق دسترسي افراد مشخص شود. كاربران معمولا از يك نام كاربري و يك پسورد استفاده مي كنند و همين امر باعث مي شود كه برخي از كساني كه به اين نام كاربري ها دسترس دارند با سوءاستفاده از آنها ، به اطلاعات مهم و حياتي شركت هاي رقيب دسترسي داشته باشند.
جاسوسي اقتصادي
به اين مشكلات مي توان در دو دسته تكنيكي و قانوني پاسخ داد. از ديدگاه تكنيكي ، شركت هاي تجاري بايد قوانين و تكنولوژي هاي بهتري را براي حق دسترسي كاربران و مشتري هاي خود در وب سايت خود ايجاد كنند. اگر شما مشاهده كرديد كه تلاش هاي فراواني براي دسترسي به سايت شما از يك رنج IP مشخص (كه شبيه آدرس هاي رقيب شما مي باشد ) وجود داشته است كه اكثر آنها با شكست مواجهه شده اند بدانيد كه يك اتفاق بدي در حال وقوع است.
نصب IDS ، مشاهده روزانه فايل هاي ثبت وقايع ( Log ) و البته مديريت نصب اصلاحيه ها جزو موارد ثابتي مي باشد كه يك وب سايت براي امنيت خود بدانها نياز دارد.
فقط كافي نيست كه شما اصلاحيه ها را نصب كنيد ، بايد نرم افزارهايي را استفاده كنيد كه در هنگام بروز برخي تغييرات ، كشف آسيب پذيري جديد ، باز شدن يك پورت در سرور و همچنين تاييد و تصديق نصب اصلاحيه ها ، شما را باخبر كنند.
از نظر حقوقي وقفه ايجاد كردن و سنگ انداختن در كار رقبا از راههاي غير قانوني جرم محسوب مي شود. شما مطمئنا نياز داريد كه يك مكان عمومي براي امور كاري خود داشته باشيد ولي از طرفي هم بايد ضوابط مشخصي را براي اين مكان در نظر بگيريد تا هر كسي به هر چيزي دسترسي نداشته باشد.
بنابراين اولين چيزي كه بايد براي دفاع از وب سايت عمومي خود ايجاد كنيد ، قرار دادن يك سري شرايط و ضوابط ست كه از داده هاي سايت شما محافظت مي كند تا بدين وسيله از داده هاي سايت شما عليه شما استفاده نكنند. مثلا از بينندگان سايت همان ابتداي ورود ضمانت بگيريد كه از داده هاي سايت شما استفاده تجاري نكنند يا از مهندسي معكوس براي نرم افزار هاي شما خودداري كنند و يا هر چيز ديگري شبيه اين موارد كه شما نياز داريد كه آنها را ممنوع اعلان كنيد.
واقعا بايد گفت كه اين موضوعات ، معضلاتي مي باشد كه در آينده گريبانگير صنايع IT خواهد شد و موضوعاتي است كه دادگاههاي قضايي در آينده اي نه چندان دور با آن برخورد مي كنند.
مشكلاتي كه ممكن است سايتهاي تجاري وب با آن برخورد كنند. اثبات اين موضوع بر عهده دادگاه مي باشد كه نشان دهد كاربران سايت شما از قوانين سايت سرپيچي كرده اند يا خير اما در اينگونه موارد بهتر است كه قوانين دلخواه خود را در همان ابتدا كه كاربران در حال درست كردن نام كاربري و رمز عبور هستند از آنها تاييد بگيريد. تا با زير پا گذاشتن اين قوانين دست شما براي شكايت از آنها و اثبات موارد خلاف باز باشد.
منبع: sgnec.net
