دنياي امروز دنياي ارتباطات و اطلاعات است و روز به روز وابستگي بشر به اين تكنولوژي افزايش پيدا مي كند، لذا ايمن سازي كاربران و امداد رساني به آنها در صورت بروز مشكلات امنيتي يكي از دغدغه هاي اصلي عرصه فناوري اطلاعات است. امروزه مقابله با رخدادهاي امنيتي رايانه اي يكي از اركان سازمانها و مؤسسات در هر دو بخش دولتي و خصوصي شده است. از اين رو شركت فناوري اطلاعات ايران در راستاي آشناسازي بيشتر متخصصان IT با مراكزي همچون ماهر و همچنين گروه هاي پاسخگويي به رخدادهاي رايانه اي در سطح جهان، صبح روز شنبه ۱۰ اسفند ماه ۸۷، اولين همايش تخصصي امداد و هماهنگي رخدادهاي امنيتي را با پشتيباني مراكزي همچون دبيرخانه شوراي عالي فناوري اطلاعات كشور، معاونت فناوري اطلاعات وزارت ارتباطات و فناوري اطلاعات، پژوهشكده فناوري اطلاعات و ارتباطات، مركز تحقيقات مخابرات ايران و سازمان پدافند غير عامل كشور و همچنين دانشگاه هاي خواجه نصير و اميركبير برگزار كرد.

اهداف برگزاري همايش به شرح زير عنوان شده است:

• آشنايي مديران و كارشناسان در حوزه امنيت فضاي تبادل اطلاعات در هر دو بخش خصوصي و دولتي و تبادل تجربيات با يكديگر
• تبادل تجربيات در خصوص گروه هاي پاسخگويي به رخدادهاي رايانه اي
• تبادل آمارها و تحليل ها از وضعيت امنيت فضاي تبادل اطلاعات و ارزيابي امنيت
• انتقال دانش با حضور متخصصان بين المللي
• ارائه مشاوره در جهت ايجاد گروه هاي پاسخگويي به رخدادهاي رايانه اي
• تشويق بخش هاي دولتي و غير دولتي مرتبط با فعاليت هاي مركز امداد و هماهنگي رايانه اي (ماهر) جهت عضويت و ارائه خدمات امن ارتباطي براي استفاده اعضاء و عموم در راستاي دستيابي به اطلاعات صحيح و كارا

در اين همايش بيش از ۲۰۰ نفر از مديران و متخصصان عرصه ارتباطات و فناوري اطلاعات كشور حضور به هم رساندند و با هم به تبادل دانش در اين زمينه پرداختند.

دقيقه به دقيقه با همايش

همايش فوق رأس ساعت ۹ با تلاوت آياتي چند از قرآن و پخش سرود ملي آغاز به كار كرد. سپس نماهنگ مخصوص همايش كه به زيبايي و مرتبط با موضوع ساخته شده بود، پخش شد. 

ساعت ۹:۲۵  آقاي مهندس عبدالمجيد رياضي، معاون فناوري اطلاعات وزارت ارتباطات و فناوري اطلاعات، به ايراد سخنراني مختصري در مورد وضعيت فناوري اطلاعات در ايران پرداخت. وي عنوان كرد كه در كشور ما نگاه به فناوري اطلاعات به گستردگي كشورهاي ديگر نيست و سياستگذاران كلان كشور توجه چنداني به اين موضوع ندارند. نه تنها در كشورهاي توسعه يافته، بلكه در كشورهاي در حال توسعه نيز فناوري اطلاعات سهم بسزايي در توليد ناخالص ملي دارد. براي مثال، در دهه ۹۰، سهم فناوري اطلاعات در توليد ناخالص ملي در كشورهايي همچون ويتنام و لهستان ۱۵% و در كشورهاي عربستان، مالزي و اندونزي حدود ۳% بوده است. اين در حالي است كه در سال گذشته، اين رقم در ايران تنها ۱.۰%  بوده است. اين مسئله به دليل عدم سرمايه گذاري ما در حوزه فناوري اطلاعات است. ايشان در ادامه به ارائه آمارهايي در مورد ميزان سرمايه گذاري كشورهاي ديگر در حوزه فناوري اطلاعات و اهميت دادن آنها به بخش R&D پرداخت. 

ساعت ۹:۵۰ آقاي مهندس سعيد مهديون، رئيس هيئت مديره و مدير عامل شركت فناوري اطلاعات ايران، كه رياست همايش را نيز به عهده داشت، به ارائه سخنراني در مورد ضرورت ايجاد مراكز امنيت رايانه اي پرداخت. ايشان در ابتدا به نقش دولت جمهوري اسلامي ايران در زمينه فناوري اطلاعات از بعد از انقلاب تا كنون اشاره كرد و عنوان كرد كه دولتها گام به گام در جهت خصوصي سازي اين حوزه پيش رفته اند و در حال حاضر دولت به سمت مديريت توسعه زيرساختهاي فناوري اطلاعات حركت مي كند. وي در ادامه اظهار داشت كه امروزه اطلاعات به نوعي يك دارايي است و وظيفه داريم از دارايي ها محافظت به عمل آوريم. به گفته وي گروه هاي پاسخگويي به رخداد يا  CSIRT ها گروه هايي هستند براي پاسخگويي به رخدادهاي امنيتي رايانه اي و هدف از ايجاد آنها آموزش به افراد در محافظت از خود در دنياي ارتباطات، پاسخگويي مناسب به رخدادهاي امنيتي رايانه اي و كاهش صدمات تا حد ممكن است. آنها به بقاي شركتهاي فعال در زمينه فناوري اطلاعات كمك كرده و موجب بهره وري بيشتر آنها مي شوند. وي همچنين اشاره كرد كه در ايجاد زير ساختهاي امنيتي دو ديدگاه وجود دارد، ديدگاه از پايين به بالا، يعني اول مراكز CSIRT را ايجاد كرده و سپس يك مركز را براي هماهنگي آنها تأسيس كرد و ديدگاه از بالا به پايين يعني ابتدا يك مركز هماهنگي را ايجاد كرده و سپس گروه هاي CSIRT را ايجاد كنيم تا به اين مركز گزارش دهند. شركت فناوري اطلاعات راه ميانه را گرفته و از دو طرف در حال توسعه اين مراكز مي باشد. در اين راستا پروژه ماهر يا ايجاد مركز امداد و هماهنگي رايانه اي كه به نظر آقاي مهندس مهديون عنوان مركز امداد هماهنگ رايانه اي براي آن مناسب تر است، تعريف شده و در حال اجرا مي­باشد. وي عنوان كرد كه ماهر براي موفقيت احتياج به گوهرها (نام معادل پيشنهادي براي CSIRT) دارد. شركت فناوري اطلاعات دو گام مهم را در اين مورد برداشته است، در گام اول حاضر به پشتيباني از شركت هايي است كه مايلند جزء اولين گوهرهاي كشور باشند و به همكاري با آنها مي پردازد. در اين راستا تفاهم نامه هايي تنظيم شده كه در پايان همايش به شركتهاي داوطلب داده خواهد شد. در گام دوم اين شركت در حال شناسايي شركتهاي فعال در اين زمينه و ارزيابي و معرفي آنها به عنوان ISMS ها مي باشد.

آقاي دكتر پورآذين سومين سخنران جلسه افتتاحيه بود كه به نمايندگي از سازمان پدافند غيرعامل حضور يافته بود و ساعت ۱۰:۲۰ سخنراني خود را در مورد چگونگي محاسبه هزينه يك رخداد امنيتي آغاز كرد. وي ابتدا به معرفي CSIRT ها به صورت مختصر و سپس اهميت پاسخگويي سريع و كارآمد آنها پرداخت. وي عنوان كرد يكي از خدمات اين گروه ها خدمات پيشگيرانه است كه از ايجاد صدمات گسترده جلوگيري مي كند. ايشان اظهار داشت كه دولت بايد به عنوان يك كنترل كننده در اين زمينه وارد شود و به جلوگيري از ايجاد بازار حمله و دفاع بپردازد. منظور از بازار حمله و دفاع ايجاد ويروسها براي فروختن آنتي ويروسها است. ايشان فرمولي براي محاسبه حداقل و حداكثر بودجه تخصيصي براي پاسخگويي به رخدادهاي رايانه اي را به حاضران معرفي كرده و آن را شرح داد.

فرمول حداكثر و حداقل بودجه در زير آورده شده است:

در اين فرمولها P_i احتمال وقوع يك رخداد، C_i هزينه اي كه در اثر وقوع رخداد تحميل مي شود، N تعداد رخدادهاي واقع شده در يك بازه زماني و E پارامتري بين 0 و 1 است كه هرچه نيروي انساني ماهرتر باشد اين عدد به 1 نزديكتر شده و هر چه نابلد تر باشد به صفر نزديك مي شود. 

آخرين سخنران جلسه افتتاحيه، آقاي دكتر رسول جليلي، رئيس مركز امنيت شبكه دانشگاه صنعتي شريف بود. وي سخنراني خود در مورد مقايسه مراكز امداد و هماهنگي رايانه اي منطقه اي و فني را ساعت ۱۰:۴۰ آغاز كرد. ايشان عنوان كردند كه هر جا آپا مي گوييم منظور همان CERT است. عنوان CERT يك نام انحصاري مربوط به گروه امداد و امنيت رايانه دانشگاه كارنگي ملون آمريكا است و استفاده از آن بدون اجازه دانشگاه فوق ممنوع است. لذا نام آپا براي گروه هاي امداد و امنيت رايانه اي ايران در دانشگاه ها انتخاب شده است. ايشان به مقايسه افرازهاي منطقه اي و فني آپا پرداختند و عنوان كردند كه منظور از افراز منطقه اي افرازي است كه كاربران يك منطقه جغرافيايي كشور يا حتي كاربران يك سازمان را در بر مي­گيرد و منظور از افراز فني افرازي است كه كاربران يك محصول خاص را شامل مي شود. در مقايسه افرازهاي منطقه اي امكان عملكرد مستقل را داشته و نيازي به هماهنگ كننده ندارند ولي افرازهاي فني از آنجا كه بسياري از رخدادهاي امنيتي حوزه هاي گوناگوني را شامل مي شوند، امكان عملكرد مستقل نداشته و نياز به يك هماهنگ كننده قوي دارند. در مورد خدمات واكنشي به دليل عدم آگاهي كاربران از حوزه فني مربوط به رخداد امنيتي واقع شده و همچنين از آنجا كه رخدادهاي امنيتي چندين حوزه فني را شامل مي شوند، افرازهاي منطقه اي بهتر عمل مي كنند. در مورد خدمات بازدارنده معمولاً افرازهاي فني از آنجا كه حرفه اي تر هستند بهتر عمل مي كنند. وي در ادامه در مورد آپاي فني در حوزه بانك اطلاعات كه در دانشگاه صنعتي شريف و به رياست ايشان در حال فعاليت است توضيحاتي را ارائه داد. آقاي دكتر جليلي در پايان اينگونه نتيجه گيري كرد كه با وجود اينكه در اكثر نقاط دنيا افرازها منطقه­اي هستند ولي تجربه نشان داده است كه اگر يك هماهنگ كننده قوي براي تيم هاي فني وجود داشته باشد، افراز فني نيز به خوبي جواب مي دهد. سخنراني ايشان در ساعت ۱۱ پايان يافت و حاضران حدود نيم ساعت به استراحت و تبادل اطلاعات پرداختند.

بعد از استراحت و پذيرايي، يكي از مؤسسان CERT مالزي كه از تجربيات عملي بسياري در اين زمينه برخوردار است، به موضوع رويدادهاي رايانه اي پرداخت. عنوان ارائه ايشان" Ready, Respond, Review in Computer Incident" بود. سخنراني ايشان به زبان انگليسي ايراد شد، البته ترجمه همزمان نيز براي اين بخش و بخش بعدي فراهم شده بود كه از كيفيت نسبتاً خوبي برخوردار بود. ايشان در بخش اول ارائه خود به معرفي CSIRT ها پرداخت و سپس گامهاي لازم براي ايجاد مراكز CSIRT را توضيح داد. وي در ادامه به بحث در مورد عملكردهاي عمومي CSIRT ها پرداخت. در بخش دوم سخنراني انواع رويدادهاي امنيتي رايانه اي  و  ۷ گام در رسيدگي به اين رويدادها را مورد بررسي قرار گرفت. اين متخصص در بخش سوم به چالشهاي پيش روي CERT ها پرداخت و در مورد نقش CERT هاي ملي نيز توضيحاتي ارائه كرد.

سخنراني ايشان ساعت ۱۲:۳۰ پايان يافت و حاضران حدود يك ساعت به استراحت، صرف ناهار و اقامه نماز پرداختند.

سخنران بعدي جلسه، آقاي مسلم كوثر از شركت NSS كشور هند بود كه سرپرستي فني پروژه CERT ملي كشور هند را نيز به عهده داشته است. وي به ارائه سخنراني در مورد سرويس هاي CSIRT، گامهاي تشكيل يك CSIRT، مهارتهاي لازم براي افراد و مدلهاي سازماني موجود پرداخت. ايشان در ابتدا به تعريف رخدادهاي امنيتي و نتايجي كه به بار مي آورند و ارائه مثالهايي در اين مورد پرداخته و سپس در مورد نحوه پاسخگويي به اين رخدادها و هدف از پاسخگويي ها توضيحاتي را ارائه داد. وي در ادامه در مورد چگونگي تشخيص يك رخداد و اهميت اين موضوع مطالبي را ارائه كرد. آقاي كوثر سپس در مورد CSIRT ها، تعاريف ارائه شده براي آن و انگيزه هاي ايجاد اين مراكز به بحث پرداخت و عنوان كرد كه قالب كاري CSIRT شامل تعريف هدف، حوزه، موقعيت در سازمان و نحوه ارتباط با مراكز مشابه ديگر مي شود. وي در ادامه به توضيح گامهاي لازم براي ايجاد مراكز پاسخگويي به رخدادهاي رايانه اي پرداخت.

سخنراني آقاي كوثر پس از استراحتي كوتاه با ارائه مدلهاي سازماني موجود براي ايجاد اينگونه مراكز و مهارتهاي لازم براي افراد و آموزش هاي لازم ادامه پيدا كرد. در انتها ايشان مدلي را براي ايجاد مراكز CSIRT و ايجاد مركز ماهر در ايران ارائه كرد.

در انتهاي همايش، جلسه پرسش و پاسخ برگزار گرديد. در اين جلسه حضار سؤالاتي را در مورد چگونگي اطلاع رساني به جامعه در اين مورد، ساختار مورد نظر سخنرانان براي ايجاد اين مراكز (فني يا منطقه اي) و امنيت سيستم عاملها و مخصوصاً ويندوز مطرح كردند. اين همايش در ساعت ۱۸ به كار خود پايان داد.

اميدواريم اين همايش آغاز روندي جديد در نگاه به مسئله امنيت در فضاي سايبر كشور بوده و موجب آگاهي و فعاليت بيشتر متخصصان فناوري اطلاعات كشور در اين زمينه شود.

Firefox مقام اول را در تعداد حفره هاي امنيتي از آن خود كرد ، وب سايت Secunia گزارشي را در مورد وضعيت امنيتي مرورگرها در سال گذشته منتشر كرده است.

موسسه معروف امنيتي Secunia گزارشي را در مورد وضعيت امنيت رايانه در سال 2008 منتشر كرده و قسمتي را به بحث امنيتي مرورگرها در سال گذشته اختصاص داده است. بنابر آمارهاي ارائه شده در گزارش مذكور، مرورگر Firefox با 115 آسيب­پذيري چهار برابر ديگر مرورگرها پرخطر بوده است. بعد از Firefox، به ترتيب مرورگرهاي Safari با 32 آسيب­پذيري، IE با 31 آسيب­پذيري و Opera با 30 آسيب­پذيري در مكانهاي بعدي قرار دارند.

علي رغم تعداد زياد آسيب­پذيري­ها در مرورگر Firefox، شركت Mozilla در رفع آنها سريعتر از ديگر سازندگان مرورگر عمل كرده است. در مقايسه اين مرورگر و IE ذكر شده است كه Firefox داراي 3 راهنمايي امنيتي در مورد آسيب­پذيري هايي بوده كه توسط هكرها و قبل از اطلاع سازنده افشا شده اند. هر سه آنها از درجه اهميت پايين برخوردار بوده و اصلاحيه براي آنها ظرف مدت حداكثر 86 روز ارائه شده است. مرورگر IE داراي 6 راهنمايي امنيتي بوده كه تنها سه اصلاحيه براي آنها توسط مايكروسافت منتشر شده است و بعضي از آسيب­پذيري­ها تا 110 روز بعد از افشا نيز اصلاح نشده اند. همچنين سه آسيب­پذيري با درجه اهميت پايين در تمام سال 2008 اصلاح نشده باقي مانده اند. نمودار زير اين آسيب­پذيري ها، درجه اهميت آنها، تاريخ افشا و تاريخ ارائه اصلاحيه را ارائه مي دهد.

بنابر آمارهاي منتشر شده در گزارش Secunia در مورد Plug-in ها، ActiveX پرخطرترين آنها بوده است و 366 مورد آسيب­پذيري در مورد آن گزارش شده است. با وجود اينكه ActiveX همواره داراي بيشترين استفاده و بيشترين سوءاستفاده است ولي تعداد حفره هاي آن نسبت به سال 2006 كه 45 مورد بوده است، رشد چشمگيري پيدا كرده و اين نشان دهنده اقبال بيشتر هكرها به اين تكنولوژي و همچنين بالاتر رفتن قدرت تشخيص آنها از سوي نرم افزارهاي مربوطه است. در مكان دوم Java با 54 آسيب­پذيري قرار دارد و سپس QuickTime با 30 آسيب­پذيري و Flash با 19 آسيب­پذيري كم خطرتر ظاهر شده اند.

دوستان عزیز سلام ؛ در این پست تاریخچه بزرگترین و پیشکسوت ترین شرکت سخت افزاری جهان رو قرار دادم که قدیمی های کامپیوتر به خوبی با محصولات این شرکت آشنایی دارند . شركت بین المللى ماشینهاى تجارى (INTERNATIONAL BUSINESS MACHINES) گرچه به عنوان یك شركت در میان صدها شركت كسب و كار دیگر درجهان وجود دارد اما تاریخچه یك قرن حضور در مراحل مختلف تكامل اندیشه و عمل بشرى از IBM شركتى پدید آورده است كه همواره جایگاه ویژه جهانى خود را در عرصه كسب وكار حفظ كرده است. یك خانواده خلاق و خستگى ناپذیر (توماس واتسون پدر و پسر) در خلق این سازمان و رشد و پویایى آن در دهها سال نقش خاص داشته اند و توانسته اند شركت را از حوزه تولید ماشین تحریر و ماشین حساب در دهها سال پیش، آرام آرام به عرصه فناورى اطلاعات و ارتباطات وارد كنند و آن را به بزرگترین شركت تولید كننده رایانه درجهان با ویژگیهاى منحصر به فرد تبدیل سازند. شركتى كه رهبرى به كارگیرى رایانه هاى شخصى و تجارى را در سازمانهاى آموزشى، علمى، صنعتى و خدماتى براى كمك به حل مهمترین مشكلات صنعتى، اجتماعى و بهداشتى برعهده گرفته است. این تجربه موفق یك سده تلاش ساماندهى شده است كه در دنیاى پررقابت كنونى و درمیان رقیبان جدى باسابقه و مدعیان جوان باانگیزه، شركت را درصدر آورده و از «HP»، «مایكروسافت» و «دل» فراتر نشانده است.
تاریخچه
گرچه آنچه امروزه به نام IBM شناخته مى شود شركتى است كه رسما در ۱۵ ژوئن ۱۹۱۱ در نیویورك به عنوان (COMPUTING TABULATING- RECORDING) شكل گرفت، اما ریشه آن به اواخر قرن نوزدهم برمى گردد. در سال ۱۸۸۰ اولین ثبات دیجیتال توسط الكساندر دى (A.DEY) ابداع شد. مهاجرت فراوان به آمریكا در دهه ۱۸۹۰ مسئولین را واداشت براى انجام محاسبات جمعیتى به دنبال یك ابزار محاسباتى موثر باشند. برنده این مناقصه هرمان هولریت (H. HOLLERITH) بود كه در سال ۱۸۹۶ شركت ماشینهاى محاسبه را تاسیس كرد. در سال ۱۹۱۱ چارلز فلینت (C.FLINT) یك سازماندهنده برجسته، ادغام شركت هولریت را با دو شركت ITR و ESCO را مهندسى كرد و شركتى به نام C.T.R پدید آمد كه در حوزه ساخت و فروش ماشینها در محدوده مقیاس تجارى و ثبات هاى صنعتى زمان و تولید ماشین تحریر و كارتهاى پانچ فعالیت مى كرد. پس از تشكیل شركت جدید، جورج فیرچایلد (FAIRCHILD.G) رئیس شركت جدید شد اما رشد سریع و تنوع محصولات شركت، مدیریت را دشوار كرده بود و فلینت را واداشت تا سه سال بعد، یعنى ،۱۹۱۴ از توماس واتسون۴۰ ساله دعوت به عمل آورد تا به شركت بپیوندد و رهبرى آن را برعهده گیرد. در سالهاى پس از جنگ جهانى اول، مهندسان شركت مكانیسم هاى جدیدى را براى رفع نیاز مشتریان توسعه دادند. رشد فزاینده فعالیتهاى C.T.R، نام شركت را در قیاس با فعالیتهایش محدود مى كرد، به همین جهت در سال ۱۹۲۴ نام شركت رسما از C.T.R به IBM تغییر یافت. از آن پس كسب و كار شركت هم در بعد جغرافیایى و هم وظیفه اى گسترش یافت.
نقش واتسون ها
پیوستن توماس واتسون SR. به شركت، نقطه عطف در تاریخ IBM محسوب مى شود. واتسون دستیار الكساندر گراهام بل بود و با استفاده از تجارب خود در شركت قبلى (NCR) یك سرى تاكتیك هاى موثر در كسب و كار به كار برد. وى به خدمات مشتریان تمركز و به انگیزه هاى فروش و توجه به كاركنان تاكید كرد. واتسون با برنامه هایى مانند تشكیل تیم هاى ورزشى كاركنان و سفرهاى تفریحى خانوادگى، روحیه جدید در شركت دمید. شعار موردعلاقه او یعنى «تفكر» (THINK) نقل زبان كاركنان شد. واتسون خود در این باره مى گوید: «ما باید ازطریق گوش دادن، بحث كردن، مشاهده كردن و فكر كردن یاد بگیریم. نباید هیچ یك از این راههاى یادگیرى را كنار گذاشت. مشكل بیشتر ما این است كه در فكر كردن درنگ نمى كنیم چون كار سختى است.
تمام مسائل دنیا را به آسانى مى توان حل كرد اگر انسانها بخواهند كه فكر كنند». بعداز پیوستن واتسون، شركت بر تولید ماشین هاى محاسبه در مقیاس بزرگ تجارى براى شركتها تمركز و بازار محصولات ادارى كوچك را رها كرد. در چهار سال اول مدیریت او، درآمد بیش از ۲ برابر شد و به ۹ میلیون دلار رسید.وى همچنین حوزه فعالیتهاى شركت را به اروپا، آمریكاى جنوبى، آسیا و استرالیا گسترش داد. ۲۳ سال بعد واتسون مى گفت: «وقتى من به شركت آمدم تعداد كاركنان ۲۳۵ نفر بود و امروز بیش از ۱۰ هزار نفر هستیم. در این مدت من در تك تك كاركنان شركت استعداد رشد فراوانى براى آینده مى دیدم زیرا در آن زمان تنها پنج درصد كار محاسبه و ثبت در دنیا به وسیله ماشین انجام مى شد. [بازتاب]