APACS، موظفو جمعية المدفوعات في المملكة المتحدة، يتحدثون عمومًا عن مجموعة لطيفة من الأشخاص ولكن ربما يكونون مفهومين لا يميلون إلى الاعتقاد، علنًا على الأقل، بوجود أي مشكلات كبيرة تتعلق بأمن البنوك عبر الإنترنت. ولم يكن مفاجئًا على الإطلاق أن نتعلم منهم عن العدد المتزايد للأشخاص الذين يقومون بالخدمات المصرفية عبر الإنترنت، وهو ما يصل إلى حد كبير بنسبة 500% في سبع سنوات فقط – كان عددهم حوالي 3.5 مليون شخص، لكنه الآن حوالي 21 مليونًا وفقًا لـ APACS. هذا الرقم لا يفاجئني لأن الأشخاص الذين لديهم حساب مصرفي وإمكانية الوصول إلى الإنترنت ولكنهم لا يجمعون بين الاثنين نادرون جدًا لدرجة أنني لم أقابل أحدهم مطلقًا.
لكن ما لم أكن أتوقعه هو أن هذه الإحصائية المتفائلة ستتبعها إحصائية أكثر تشاؤمًا فيما يتعلق بعدد حوادث التصيد التي تم الإبلاغ عنها، والتي ارتفعت بنسبة 180% في ستة فقط شهور. لقد تم رش القليل من السكر على هذه الأخبار المريرة، حيث انخفضت خسائر الاحتيال المصرفي عبر الإنترنت بنسبة 33٪ بين عامي 2006 و 2007 وتمثل الآن 22 مليون جنيه إسترليني "فقط". بالطبع لم يستغرق الأمر وقتًا طويلاً حتى تتمكن APACS من تحويل هذه الإحصائية إلى ضوء أكثر إيجابية من خلال التفكير المنطقي أن هذا الانخفاض في الخسائر كان دليلاً على مدى جودة أنظمة الأمان المصرفية عبر الإنترنت أيام.
الآن خطرت ببالي نقطتان، الأولى هي أن عدد حوادث التصيد المبلغ عنها لن ينخفض أبدًا ليكون نفس عدد الهجمات التي تحدث بالفعل هنا في العالم الحقيقي، والتي من المحتمل أن تكون عدة مراتب من حيث الحجم أعلى. والثاني هو أنه إذا كانت الأنظمة المصرفية عبر الإنترنت آمنة إلى هذا الحد، فلماذا نشرت جامعة ميشيغان دراسة للتو والتي خلصت إلى أن 75% من المواقع المصرفية التي شملتها الدراسة بها عيب واحد على الأقل يمكن أن يجعل العملاء عرضة له خسارة. قد تكون هذه الخسارة تتعلق بالهوية أو بالمال، على الرغم من أن الأمرين يسيران جنبًا إلى جنب في كثير من الأحيان.
البروفيسور أتول براكاش (www.pcpro.co.uk/links/169online2) من قسم الهندسة الكهربائية وعلوم الكمبيوتر في جامعة ميشيغان، قاد الدراسة التي بحثت في أكثر من 200 مؤسسة مالية عبر الإنترنت. أكثر ما أدهشه (وأنا) أكثر هو أن العيوب التي وجدها من المرجح أن تكون على ما يمكن أن نسميه "مستوى التصميم"، وليس الأشياء التي يمكن إصلاحها عن طريق تصحيح برمجي بسيط. الدراسة بعنوان "تحليل مواقع الويب بحثًا عن عيوب التصميم الأمني المرئية للمستخدم" (www.pcpro.co.uk/links/169online3) اكتشفت، على سبيل المثال، أن ما يقرب من نصف البنوك التي فحصتها لديها مربعات إدخال لتسجيل الدخول موجودة في صفحات غير آمنة، حالة نموذجية لقرار تصميم سيء يترك الباب الأمامي مفتوحًا أمام المتسللين وأنواع المجرمين للدخول إليه.
الأمن الغبي رقم 14 (في سلسلة من الآلاف)
لقد ذكرت من قبل أنه لا أحد يقرأ اتفاقيات ترخيص المستخدم النهائي على الإطلاق، وذلك بسبب نوع القانون بالضبط gobbledegook الذي ظهر مدفونًا في البند رقم 8 من موقع Apple iTunes 7 وQuickTime 7 اتفاقية الترخيص. يتضمن هذا، وأنا أقتبس، تعهدًا بأن "المرخص له يوافق أيضًا على عدم استخدام المرخص له برامج Apple لأي أغراض محظورة بواسطة قانون الولايات المتحدة، بما في ذلك، على سبيل المثال لا الحصر، تطوير أو تصميم أو تصنيع أو إنتاج الأسلحة النووية أو الصواريخ أو المواد الكيميائية أو البيولوجية الأسلحة”.
أعلم الآن أن iPhone قد أطلق عليه اسم "Jesus Phone" من قبل أقسام معينة من وسائل الإعلام، وأنا على دراية تامة بوجود البث الصوتي، بالإضافة إلى القدرة على تشغيل الفيديو في iTunes. ومع ذلك، أظن أن ذلك يدفع بقارب الواقع إلى بحار متلاطمة إلى حد ما للإشارة إلى ذلك سيقوم إرهابي عادي بتوزيع مقطع فيديو "يصنع سترات انتحارية محملة بمادة تي إن تي للدمى" عبر اي تيونز. وحتى لو حدث مثل هذا السيناريو غير المحتمل، ما هي الاحتمالات، في اعتقادك، أن يفقد الإرهابيون أعصابهم ويتوقفون بدلاً من مواجهة خطر انتهاك اتفاقية ترخيص المستخدم النهائي الخاصة بشركة Apple؟
