کیوان مساجدی در۲۷ اردیبهشت ۱۳۹۰ - ۱۳:۲۵
علوم
زمانی که یک بازی یا نرم افزار را از یک فروشنده می خرید، هرگز به او اجازه نمی دهید هر وقت خواست به خانه شما بیاید و برنامه ای را که به شما فروخته، با خود ببرد. اما وقتی از فروشگاه های نرم افزاری خرید می کنید، این اجازه را به کمپانی ها می دهید! اما چرا؟
پرطرفدار ترین سیستم عامل های اسمارتفون ها و سایر گجت های الکترونیکی ما، از چیزی بهره می برند که محققان امنیتی به آن سویچ یا دکمه مرگ (Kill Switch) می گویند. این قابلیت شرکت سازنده را قادر می سازد که با ارسال پیامی روی وب یا یک شبکه بی سیم خاص؛ سیستم عامل را وادار به حذف یا مخدوش کردن اپلیکیشن خاصی از دستگاه نماید.
اپل، گوگل و مایکروسافت، این کار را در پلتفرم هایشان انجام می دهند. البته این شرکت ها در قرارداد هایشان چند خطی درباره این سیاست ها توضیح می دهند. مدیران گوگل و اپل می گویند که این قابلیت در امر محافظت کاربر از نرم افزار های مخرب؛ مفید و مهم است.
استیو جابز در سال 2008 و در روزنامه وال استریت ژورنال گفت: "خوشبختانه ما هیچوقت مجبور به استفاده از این اهرم نشده ایم، اما اگر از چنین قابلیتی بهره نبریم، کارمان غیر مسئولانه خواهد بود." او گفت، زمانی که مسئولان اپ استور، برنامه ای مشکل دار را به طور سهوی تایید می کنند؛ این قابلیت یک اهرم خوب برای تامین امنیت کاربر خواهد بود. به هر حال، برای چهار سال -از زمانی که آیفون معرفی شده - اپ استور هیچ گاه از این قابلیت استفاده نکرده است.
اندی رابین، رئیس بخش توسعه اندروید گوگل هم چیزی شبیه به سخنان آقای جابز را گفت. او توضیح داد که سویچ مرگ یک "اهرم امنیتی" یا یک "دستگاه نابودگر بدافزار" است. اگر برنامه ای که از اندروید مارکت دریافت شده، پا را از گلیمش دراز تر کند با این سویچ مرگ مواجه خواهد شد.
اندی رابین همچنین گفت: گوگل تا کنون دوبار از این اهرم استفاده کرده است – یکبار زمانی بود که یک پژوهشگر مستقل امنیتی، بد افزاری بالقوه را عرضه کرد (در تابستان گذشته) – و یک بار دیگر در ماه مارچ و زمانی که یک بدافزار در بین تلفن های اندرویدی شیوع پیدا کرد. در مورد دوم، گوگل پس از گذشته 50 دقیقه از کشف نحوه حل مشکل؛ از سویچ مرگ استفاده کرد.
با توجه به سخنان آقای راببین، گوگل تنها دو بار از این سویچ استفاده کرده است. اما سخن گوی گوگل از اظهار نظر در باره این مساله خودداری کرد.
اجازه دادن به گوگل برای پاک کردن برنامه ها از گجت شما، مشروط به استفاده از مارکت رسمی اندروید برای دانلود کردن اپلیکیشن ها می باشد. اما هنوز واضح نیست که آیا سایر تولید کنندگان تلفن همراه، که گاهی اوقات نرم افزار های ضعیف و سر هم بندی شده ای ارائه می دهند هم؛ می توانند سویچ مرگ را اضافه کنند؟ درباره سامسونگ که بزرگترین تولید کننده ی گوشی های اندرویدی است، باید گفت که به در خواست برای اظهار نظر پاسخی نداد. در تحقیقات درباره سیستم عامل بلک بری از شرکت RIM و سیستم عامل سیمبیان نوکیا هم، چیزی به نام سویچ مرگ پدیدار نشد.
احتمالا یادتان هست که شرکت RIM چند وقت پیش به امارات متحده عربی، اجازه ی دسترسی به داده های کاربران موبایل را نداد. این شرکت در بیانیه ی پارسال خود، هم پاسخ این مورد را داده و هم دلیل نبود سویچ مرگ در سیستم عاملش را عنوان کرده است: در سیستم عامل بلک بری، هیچگونه 'شاه کلید' یا 'در پشتی' وجود ندارد. پسRIM یا هر اپلیکیشن شخص ثالث دیگری، نخواهد توانست که بدون تایید کاربر به چیزی دسترسی پیدا کند.
مانند تمام فروشگاه های اپلیکیشن دیگر نوکیا هم از مقیاس های خاص خودش برای فروشگاه Ovi بهره می برد. و نرم افزار ها را از نظر ریسک های امنیتی بررسی می کند. اما سخنگوی این شرکت گفت که سیستم سیمبیان سویچ مرگ ندارد.
اگر چه، نوکیا که بیشتری حجم تلفن های همراه تولیدی در جهان را دارد، قصد دارد به زودی اسمارتفونهایش را به ویندوز فون 7 مجهز کند. پس سویچ مرگ روی نوکیا هم در دسترس خواهد بود.
هر سیستم عامل اسمارتفونی، از RIM گرفته تا نوکیا، به شرکت ها اجازه می دهد که بتوانند تلفن ها و داده های کارمندانشان را مخدوش یا غیر فعال نمایند. اما تفاوت این دو شرکت، با اپل و گوگل این است که اقدامات حفاظتی را برای کاربران عادی خود انجام نمی دهند.
شرکت مک آفی (که نرم افزار های امنیتی تولید می کند)؛ امنیت شرکت های دنیای موبایل را یک حوزه ی مهم و در حال رشد ارزیابی می کند.
دیوید دیوالت، مدیر عامل شرکت مکافی، ماه گذشته در یک مصاحبه با وبسایت Forbes گفت: در نگاه ما، اولین چیزی که کمپانی ها و شرکت ها به آن نیاز دارند، این است که ما چگونه دستگاه های موبایل را در شبکه های خود مدیریت می کنیم. خواه یا ناخواه، بعضی قابلیت های امنیتی از سوی اپل، و برخی از سوی گوگل در دستگاه ها قرار دارند. پس شما باید دستگاه های خود را مدیریت کنید.
کلید مرگ، فقط به تلفن های همراه اعمال نمی شود. نینتندو، اخیرا به دارندگان کنسول دستی 3DS، یک موزیک ویدئو عرضه کرده که با این اخطار همراه است: " این ویدئو برای مدت زمان محدودی عرضه شده است و ممکن است با آپدیت های بعدی از سیستم شما پاک شود. "
برخلاف هر وسیله ی واقعی ای، اپلیکیشن ها و خیلی فایل های دیجیتال دیگر، هرگز نمی توانند به صورت دست دوم به فروش برسند. بر اساس قانون حقوقی آیتیوز، مشتری ها هرگز نمی توانند مالکیت کامل موزیک یا ویدئوی خاصی را داشته باشند. اما اجازه دارند که آن ها را یک بار خریداری کرده و روی چند دستگاه خاص که متعلق به خود آن هاست، استفاده کنند. پذیرفتن ایده ی کلید مرگ برای مشتریان، مطمئنا به میزان اعتماد آن ها بستگی دارد.
اما وقتی به بحث اعتماد می رسیم، به یاد می آوریم که وبسایت آمازون در یک استفاده ی گسترده از سوییچ مرگ، در سال 2009، به این اعتماد لطمه زد. این کمپانی، کپی های کتاب هایی نظیر "1984" و "Animal Farm" را از کیندل های مشتریانش پاک کرد. درحالی آن ها کتاب هایی بودند که به اشتباه روی فروشگاه E-Book این شرکت به فروش رفتند..
بالاخره، آمازون توانست دعوی های حقوقی این مساله را حل و فصل کند. همچنین تعهد داد که میزان استفاده از قابلیت حذف از راه دور یا همان کلید مرگ را محدود کند. با این همه در آن زمان، جف بزوز (Jeff Bozos) ضمن عذر خواهی بابت استفاده از سویچ مرگ، حکم داد گاه را: "احمقانه، بی ملاحظه و خارج از اصول" دانست.
خب حالا جواب سوال فوق را پیدا کردید. شرکت ها دوست دارند اعتماد شما را جلب کنند. به همین دلیل از سویچ مرگ استفاده می کنند! اما این تنها نکته ای نبود که به آن دست یافتید. فهمیدیم که شرکت های مختلف در استفاده از سویچ های مرگ چگونه عمل کرده اند و چه دفاعی دربرابر استفاده از این امکان دارند. همچنین نکاتی که شرکت های مختلف در امنیت نرم افزاری خود لحاظ می کنند را دریافتیم و فهمیدیم که یک اشتباه برسر استفاده از سویچ مرگ، تا چه حد می تواند به اعتماد کاربران نسبت به یک شرکت لطمه وارد نماید.
The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.