أمن التجارة الإلكترونية
| المؤلف: | تمام خضر | ||
أمن التجارة الإلكترونية
يترافق نقلالنشاط التجاري إلى بيئة إلكترونية موزعة، بالضرورة مع مشاكل متعددة مرتبطة بأمنالمعلومات وثقة الزبائن بمواقع التجارة الإلكترونية، فالأمر الأول الذي يتبادر إلىذهن أي زبون هو كيفية معرفة ما يحدث في مواقع التجارة الإلكترونية؟
إن البنية الأساسية"الآمنة" للوب والمستخدمة حالياً تعالج بعض المشاكل، مثل التحقق منالهوية Authentication وحماية قنوات الاتصال،لكنها لا تعالج المشكلة الرئيسية وهي "الثقة".
مشاكل الثقة:
إن تحرير التجارمن عبء الحواجز والحدود الإقليمية والوسائط التقليدية للتعامل التجاري، يجعل منالوب مجالاً مدهشاً لازدهار التجارة العالمية وتطورها، ومن ثمَ فإن مخزنَ كتب صغيراًيمكن أن يمتلك الوجود الإلكتروني نفسه مثل مخازن الكتب العالمية، ويمكنه الوصولإلى الزبائن المحتملين نفسهم، كما أن بإمكانه الوصول إلى تجار التجزئة نفسهم في الأسواقالمحلية.
لسوء الحظ يبقىعامل الثقة مفقوداً لدى التجار الناشئين، فالتجارة تتطلب نموذجياً أن يثق الزبائنبالتاجر عند إعطائه بيانات حساسة، مثل أرقام بطاقات الاعتماد، وعناوين البريد، والمعلوماتالشخصية. لذلك يميل الزبائن عموماً إلى الثقة بالتجار المعروفين ذوي السمعة الجيدةويفضلونهم على التجار الناشئين. إضافةً إلى ذلك، يؤثر خطر الاحتيال والسرقة سلبياًفي اتساع هذا السوق الجديد واعتماده بالنسبة للزبائن. إن انعدام عامل الثقة يمكنأن يدفع العديد من مديري الأعمال والزبائن إلى إلغاء استخدام الإنترنت، والعودة إلىالطرق التقلدية لإدارة الأعمال. لذلك، ولمقاومة هذا الميل، يجب مراجعة مشاكل أمنالشبكة في التجارة الإلكترونية ومواقع الزبائن، و اتخاذ إجراءات مضادة احتياطية،ويتعزز عامل انعدام الثقة من القصص المتكررة لعمليات الهجوم الناجحة على مواقعالتجارة الإلكترونية والعبث بخصوصية بيانات الزبائن.
يجب أن تنفَّذإجراءات الأمن بحيث لا تمنع أو تعيق عمليات التجارة الإلكترونية. هذه الأخطار تأتيأساسياً من لصوص الشبكة Hackersومن مواقع التجارة الإلكترونية نفسها.
وبإجراء مقارنةمباشرة بين نقاط ضعف الأمن في النظام البريدي العادي ونظام التجارة الإلكترونية،يتضح أن نقاط الاختراق في كلتا الحالتين هي في النهايات الطرفية أي في حواسيب/شبكاتالزبائن ومخدمات/شبكات مواقع التجارة. إن المعلومات التي تنتقل عبر قنوات الاتصال(الطائرات، القطارات والأسلاك) محصنة نسبياً من لمحاولات الاختراق اليومية.
هناك تهديدانأساسيان لخصوصية الزبائن وموثوقية معلوماتهم، وهما يأتيان من مصادر معادية أو"صديقة" ظاهرياً. لقد أدى نجاح بعض عمليات الاختراق لمواقع مثل Yahoo، eBay، ZDNet، BAY.com، Cimazon.com إلى انتشار مقدار كبير من الدعاية.ثم إن السلطات الحكومية تفاعلت تفاعلاً قوياً مع هذه العمليات. هناك تهديد آخر قديصدر عن شركات صديقة مثل DoubleClick، MembersWorks، و شركات مماثلة تقوم بجمع معلومات الزبائن وإرسالها إلى الشركاتالأخرى، لذلك يشكل اختراق مواقع هذه الشركات وسرقة البيانات منها تهديداً حقيقياًلخصوصية الزبائن.
تكمن المشكلة الأساسية في تحقيق توازن بينالإجراءات الأمنية في مواقع التجارة الإلكترونية على الوب من جهة، وبين سهولة استخدامهاوملاءمتها من جهة أخرى، وعموماً يُكسر هذا التوازن لمصلحة الطرف الثاني. على كلحال، أدى نجاح عمليات هجوم الفيروسات على أوتلوك Outlook (منها مثلاً:Nimda، الديدان الحمراء وفيروس” I Love you” ) إلى إثبات أن تحقيق الملاءمةوسهولة الاستخدام يسمحان باختراق الفيروسات والديدان بسهولة، وهو ما دعا مايكروسوفتإلى إصدار حزمة تصحيح ألْغَتْ بها تفعيل ميزة كاملة، وكانت هذه هي المرة الأولىالتي يقوم بها البائع بإصدار تصحيح لإلغاء تفعيل ميزة كاملة.
إضافةً إلى ذلك،فإن نجاح عمليات هجوم رفض الخدمات الموزع Distributed Denial Of Service(DDOS) على مواقعالتجارة الإلكترونية الأساسية أعطى أهمية كبرى للحفاظ على مستوى أمن مناسب علىالمواقع المقترنة مع مواقع التجارة الإلكترونية.
وإذا كانت معظماختراقات الأمن تحصل عند النهايات الطرفية أي الشبكة المحلية، وليس ضمن الهيكلالأساسي للإنترنت، يمكننا إجراء مقارنة بين نقاط الضعف في الأمن بين نظام البريدوالإنترنت. إن أضعف النقاط في البنية الأساسية لنظام البريد هي عند النهاياتالطرفية، أي صناديق البريد في مواقع المرسل والمستقبل، حيث كانت السرقات تحْدث علىالفواتير، والشيكات ومعلومات الزبائن الأخرى المرتبطة بالبريد من صناديق البريدالمنزلية أو صناديق البريد الرسمية.
تم تطوير مقاييسالأمن والتحكم والإجراءات المضادة ضمن البنية الأساسية للبريد لمنع اعتراض البريدأو تحريفه عندما تكون الرسالة في النظام، وقد وُضعت أنظمة مماثلة على مستوى شبكةالإنترنت. يختلف مستوى الأمن في أنظمة التحكم عند النهايات الطرفية اختلافاً كبيراً،فهي تكون قوية جداً عادةً في مراكزالأعمال، وشبه معدومة في الحواسيب المنزلية.
لقد أصبحت ضرورةحماية خصوصية الزبائن من أكثر مشاكل الأمن انتشاراً، فَحَلَّت بذلك محلَّ السرقةوالاحتيال لتكون موضوعاً أساسياً في التجارة الإلكترونية. لقد برهن هجوم DDOS على أن معظم مواقع الأعمال لمتوفر حماية أمنية مناسبة وإجراءات كشف مضادة مناسبة، فبعض هذه المواقع لم يكتشف الاختراقالذي كان يحصل قبل عدة أشهر من هجوم الـDDOS، ويمتلك المهاجمون الذين اخترقوا هذه المواقع القدرة على تنفيذهجوم على هذه المواقع المخترقة بالمقدار نفسه من الوقت.
لا يوجد أي زبونيرغب في استخدام موقع عمل يوزع بياناته الحساسة مثل معلومات بطاقة الاعتماد، أورقم الضمان الاجتماعي، أو حدود استعمال البطاقات المصرفية بدون معرفة أو موافقةالزبون. هل يختلف هذا الوضع عن إساءة استخدام نموذج عمل الهاتف أو البريد؟ إنهمماثل، لكن الفرق الوحيد هو أنه يَحْدث بسرعة خارقة هي سرعة الوصول إلى البياناتالحساسة وينتشر بالسرعة نفسها.
لقد أصبحت معرفةالمستخدم ومدير النظام وموافقتهما أمراً في غاية الأهمية لِمقاومة أي هجوم علىمواقع التجارة الإلكترونية. لقد أدى هذا الوضع إلى جعل الزبائن يدركون ببطء بعضمزايا الأمن، مثل العمليات المالية المشفرة على الوب وعبارات الخصوصية بواسطةالشركات، كما أصبح مزودو خدمة الإنترنت أكثر تجاوباً مع الشكاوى من اختراقاتالإنترنت التي تأتي من بعض مواقعهم.
يجب معالجة احتياجاتأمن التجارة الإلكترونية ليس فقط في مواقع التجارة الإلكترونية من خلال شبكاتهاومخدماتها، لكن أيضاً من خلال الحواسيب المنزلية الموصولة مباشرة إلى هذه المواقع.هذه الحواسيب هي أكثر النقاط احتمالاً لحصول أي هجوم أو اختراق، لأن مستوى تدريب المستخدمعلى تأمين حاسوبه أو وعيه ليس عالياً.
2- التهديداتالتي تواجه التجارة الإلكترونية:
يمتلك نموذجمخدم الزبون القياسي ثلاثة مكونات أساسية: نظام المخدم، والشبكة ونظام الزبون. فيالماضي، كانت أنظمة المخدمات هي أنظمة تعتمد اعتماداً أساسياً أنظمة تشغيل مثل MVS، VM، VMS، أو UNIX. الآن بدأت Windows و Linuxتدخل هذا المجال.
يتألف مكونالشبكة من شبكة العمل الداخلية والمسار بين موقع العمل والزبون عبر مزودات الخدمةالمختلفة ISPsوشبكة الزبون الداخلية. تتضمن أنظمة الزبائن عادةً أنظمة حواسيب شخصية تشغل أنظمةتشغيل مثل Windows 9X، Windows NT، Windows 2000 أو Mac OS ويمكن أن تستخدم أنظمة تشغيل Unix و Linux كذلك.
2-1 مكونات أمنالتجارة الإلكترونية:
تتعامل استراتيجياتأمن التجارة الإلكترونية مع مشكلتين أساسيتين: حماية التكامل بين شبكة العمل وأنظمتهاالداخلية، وتحقيق أمن المعاملات المالية بين الزبائن ومواقع التجارة. الأداةالأساسية التي تستخدمها مراكز الأعمال لحماية شبكاتها الداخلية هي جدار النار Firewall.
إن جدار النارهو نظام عتاد وبرمجيات يسمح فقط للمستخدمين الخارجيين الذين يمتلكون مواصفات محددةبالوصول إلى الشبكة المحمية. جرى بناء التصميم الأساسي لجدار النار للسماح فقط ببعضالخدمات المحددة بين الإنترنت والشبكة الداخلية، مثل البريد الإلكتروني والوصولإلى الوب.
لقد أصبح جدارالنار الآن النقطة الأساسية للدفاع في بنية أنظمة أمن التجارة الإلكترونية. على كلحال، تشكل جدران النار جزءاً صغيراً في البنية الأساسية لأنظمة أمن التجارةالإلكترونية. هناك أدوات اختراق مثل SMTP Tunnel و ICMP Tunnel تسمح للمهاجمين بتمرير المعلومات عبر البوابات المفتوحة. لقد اخترقفيروس “I Love You” بنجاح شبكات محمية بجدران النار لأن البريدالإلكتروني يعبر جدران النار، كما عبرت الديدان CodeRedو NIMDA عبر جدران النار من خلال بواباتمخدم الوب القياسية.
إن تحقيق أمنالمعاملات المالية أمر حتمي للحصول على ثقة الزبائن بمواقع التجارة الإلكترونية.يعتمد أمن المعاملات المالية على قدرة المؤسسة على ضمان الخصوصية، والتحقق من هويةالمستخدم، ومنع الاختراقات غير المرغوبة.
هناك عدة أنواعمن وسائل الدفاع المضادّة لِهذا التهديد، مثل استخدام التشفير وبنية الشبكاتالمبدلة Switched Network Topology . إن سرية المعاملات المالية تتطلب إزالة أي أثر لبيانات المعاملاتالمالية من المواقع الوسيطة. تُستخدم هذه العقد الوسيطة لمعالجة بيانات المعاملاتالمالية، لذلك يجب ألّا تحفظ هذه المواقع البيانات إلا خلال المعاملات المالية.
التشفير هو أكثرالطرق استخداماً لمنع تغيير المعاملات المالية بأي طريقة خلال عبورها قنوات الاتصالالمختلفة مع الزبائن. إن رِماز التدقيق في الأخطاءErrorChecking Code (ECC)هو مثال على استخدام مثل هذه الطريقة، وبالطبع فإن تقنيات التشفير الأخرى، مثلالمفتاح السري والمفتاح العام والتواقيع الإلكترونية، هي أكثر الطرق استخداماًلضمان خصوصية المعاملات المالية وموثوقيتها وتكاملها .
نقطة الضعف الأساسيةفي هذه الطرق هي اعتمادها على أمن الأنظمة الطرفية لحماية المفاتيح من التعديل أوسوء الاستخدام.
2-2 الفيروسات
تشكل الفيروساتالتهديد الأكثر انتشاراً على أنظمة الزبائن. تأتي فعالية الفيروسات بسبب الضعفالطبيعي لمستوى الأمان في أنظمة تشغيل الزبائن(PC/MAC) ،إذ لا يتطلب تدمير أو إفساد نظام PC/MACسوى الوصول إلى نظام التشغيل، باعتبار أنه ليس هناك أي امتيازاتمحددة لازمة لكتابة نص برمجي أو بيانات ضمن مناطق النظام الحساسة.
تبدو مشكلةالتصميم الأساسية هذه واضحة في أنظمة التشغيل التي تستخدم الإصدارات القديمة لويندوزمثل Windows 9X أو أنظمة Mac Os 8.x، أما أنظمة التشغيل الأخرى مثل WindowsNT أو Windows2000 فإضافةً إلى كونهامحمية من هذا النوع من الهجوم، فإنها تمتلك القدرة على حصر من يستطيع تنشيطالفيروس. بالمقابل فإن أشهر أنواع الفيروسات مثل: Melissa، I LoveYou ، Resume، KAK و IROK لا تمتلك أي تأثير في أنظمةUNIX أو Linux.
تحتاج الفيروساتإلى امتياز نظام لكي تكون فعالة. في الحالة العامة، يؤدي وجود عدة مستويات وصول فيUnix،VMSوأنظمة التشغيل الأخرى المتعددة المستخدمين، إلى منع الفيروسات من إلحاق الضرربالنظام في جملته، وأقصى ما تستطيع فعله هو إتلاف ملفات مستخدم محدد.
2-3 أحصنةطروادة Trojan Horses:
تسمح أدوات الاحتيالBackOrifice، Netbus،BO2Kلمستخدم بعيد بالتحكم وفحص ومراقبة أية معلومات على الحاسوبالهدف.
إن ما يجعل هذهالأدوات مميزة بوجهٍ خاص هو أنها قادرة على استخدام الحاسوب الهدف أيضاً لإرسالمعلومات إلى الشبكة كما لو أن المستخدم الشرعي للحاسوب يقوم بذلك.
هناك أدواتتجارية مثل CUCme،NVCviewerتقوم بالعمل نفسه، و هناك العديد من اللصوص على الشبكة يستثمرون مواقع وب مثلwww.portwolf.com/trojans.html ،www.cultdeadcow.com، www.rootshelf.com، http://the.pimmel.com،www.insecure.orgحيث يستطيع أي شخص تحميل نسخة من برامج طروادة المذكورة سابقاً.الجانب الجيد في هذه البرمجيات هو أنها تسمح لمديري النظام بالتحكم عن بعد بعددكبير من محطات العمل، وهي تشكل أداة الدعم الإدارية النموذجية، باعتبار أن عددمحطات العمل يكون عادةً أكبر بكثير من عدد مديري النظام. وعلى كل حال فإن الجانبالسيّئ لمثل هذه البرمجيات هو أنه يمكن لمستخدمين سيئين أن يقوموا بتنصيبها لأغراضمؤذية مثل تزوير أو تعديل البيانات والسرقة.
2-4 ما هوالتهديد الأكبر للتجارة الإلكترونية:
الفيروسات هي التهديدالأكبر في عالم التجارة الإلكترونية، لأنها تقوم بتعطيل وإتلاف عمليات التجارةالإلكترونية، ويجب تصنيفها كأدوات لمنع الخدمةDenialOf Service (DOS). بالمقابل، تشكلبرامج أحصنة طروادة للتحكم عن بعد ومثيلاتها التجارية تهديداً حقيقياً للتجارةالإلكترونية، لأنها تسمح بأن يحْدث الهجوم على البيانات والاحتيال بالانطلاق من أنظمةزبائن حقيقيين. ويمكن أن تكون معالجة مثل هذه الأنواع من الهجوم صعبة جداً، لأن المهاجميستطيع أن يبدأ عملياته من نظام زبون حقيقي، ولن يستطيع مخدم التجارة الإلكترونية أنيعرف: أصحيحٌ الطلب القادم أم لا. في هذه الحالة، كل وسائل أمن المعلومات (مثل حمايةكلمات المرور، الاتصالات المشفرة مخدم- زبون، تشفير المفتاح العام والمفتاح الخاص)لاتبدو مجدية أمام الحقيقة البسيطة التي تقول بأن برنامج حصان طروادة يسمح للمهاجمبرؤية كل شئ كنص واضح قبل تشفيره.
يمكن سرد بعضالأسباب الأساسية لنجاح عمليات اختراق مواقع التجارة الإلكترونية:
3- الخلاصة:
لقد أصبح اختراقخصوصية الزبائن مشكلة على مستوى الزبون ومراكز العمل والحكومة، إذ بدون ضمان حمايةالخصوصية وموثوقية التعاملات على الوب، ستتولد مقاومة طبيعية لاستخدام بعض أنواعمعاملات التجارة الإلكترونية، ولم تعد المؤسسات الحكومية تشكل التهديد الأكبرلخصوصية الزبائن وأمن المعلومات بل مراكز الأعمال. لن تكون مواقع التجارةالإلكترونية حصينة مالم يقم مديرو هذه المواقع بإجراء صيانة وإصلاح دوريينلمواقعهم، وتنصيب حزم تصحيح الأمن ومراقبة كل محاولات الاختراق. لذلك فإن مواقعالتجارة الإلكترونية تحتاج إلى تصميم بنية أمن المعلومات لديها بدقةٍ تضمن تحقيقاحتياجات الزبائن في حفظ خصوصية بياناتهم، وعدم استخدام موارد الموقع لمهاجمةمواقع الإنترنت الأخرى. وإضافةً إلى ذلك فإن برامج تدريب الزبائن على معالجة مشاكلأمن المعلومات لديهم تشكل عاملاً أساسياً لنجاح التجارة الإلكترونية وتَطَوُّرها .
| |||
ليست هناك تعليقات:
إرسال تعليق