انواع تجارت الکترونیک

Business to business

B2B

تجارت فروشنده با فروشنده

B2B اولین خرید و فروش معاملات الکترونیکی است و هنوز هم طبق آخرین آمار بیشترین عایدی را کسب می کند. در B2B تجار نه تنها مجبورند مشتریان خود را بشناسند، بلکه باید واسطه ها را نیز شناسایی کنند. در این مدل همه ی شرکاء و خدمات مرتبط با تجارت بین المللی از قبیل: تأمین کنندگان، خریداران، فرستندگان دریایی کالا، لجستیک (پشتیبانی)، خدمات (سرویس های) بازرسی، اخبار بازاریابی و کاربریهای نرم افزار را که موجب سهولت در امور تولید، خرید و فروش می گردند در یک محل گرد هم می آیند.

B2B در جایی استفاده می گردد که بخواهیم خرید و فروش عمده را به کمک تجارت الکترونیکی انجام و خارج از حیطه خرده فروشان عمل نماییم. چرا که خرده فروشی در اینترنت با خطرات بسیار همراه است زیرا مشتریان تمایل ندارند تا همه چیز را از روی اینترنت خردیداری کنند و فقط روی برخی از اجناس دست می گذارند و سایر موارد برایشان اهمیت چندانی ندارد. شرکت Cisco یکی از اولین شرکت های بزرگی بود که در جولای 1996 سایت تجارت الکترونیکی خود را راه اندازی کرد و بعد از آن تلاش جدی، بقیه ی شرکت ها برای چنین امری آغاز شد. یک ماه بعد شرکت های کامپیوتری عظیمی نظیر Microsoft و IBM نرم افزارهای تجاری خود را که امکان انجام فروش از طریق اینترنت را فراهم می کرد به بازار عرضه نمودند.

Forrester Research که به تجزیه و تحلیل فعل و انفعالات در بخش فناوری مشغول است در 1999 تخمین زد که حجم مبادلات B2B تا سال 2004 در ایالات متحده به یک تریلیون دلار و در سال بعد از آن به 2/7 تریلیون دلار برسد. دولت استرالیا با همکاری شرکت معتبر ITOL قصد دارد در یک برنامه 5 سال مبلغ 6/6 میلیون دلار برای زیر ساخت های تجارت الکترونیک هزینه کند. این مبلغ صرف برنامه B2B  خواهد شد. به صورت طبیعی در B2B فروش مستقیم، منبع اصلی درآمد به حساب می آید، مانند وقتی که یک فروشنده محصول خود را به یک فروشنده دیگر مستقیماً می فروشد. با این وجود وب می تواند روی فروش مستقیم تأثیر بگذارد و این قاعده را بر هم بزند.

در این نظام جدید اقتصاد جهانی که به سمت تداوم ارتباطات الکترونیکی در حال پیش روی است مشکلاتی نیز وجود دارد. از جمله اینکه رو در رو نبودن مشتری و فروشنده باعث می شود تا معامله به صورت گیرد. این مشتریان برای دریافت اطلاعات بیشتر باید به تلفن به مرکز اصلی وصل شوند، اما هیچ تضمینی برای اینکه کسی آن سوی خط باشد وجود ندارد.

 Business to Consumer

B2C

تجارت فروشنده با مصرف کننده

بیشترین سهم در انجام تجارت الکترونیکی از نوع B2C را خرده فروشی تشکیل می دهد. این نوع تجارت با گسترش وب به سرعت افزایش پیدا کرد و اکنون به راحتی می توان انواع و اقسام کالاها از شیرینی گرفته تا اتومبیل و نرم افزارهای کامپیوتری را از طریق اینترنت خریداری کرد. B2C از حدود 5 سال پیش با راه اندازی سایت هایی چون amazon و CDNOW آغاز شد. Jeff Bezor مؤسس شرکت amazon، سایت خود را فقط برای فروش کتاب از طریق اینترنت راه اندازی کرد و این ایده ساده مقدمه ای بود برای یک تحول جهانی.

در تجارت الکترونیکی B2C در یک  طرف معامله، تولید کننده (فروشنده) محصول و در طرف دیگر، خریدار (مصرف کننده نهایی) قرار دارد. موفقیت در این مدل وابسته به تجربیاتی است که به مشتری ارائه می گردد . باید به مشتری سرویس های ارائه گردد که در مدل سنتی به آنها خود خو گرفته است و شرایط مشابه را به وجود آورد. شرکت هایی نظیر amazon و REI روی شهرت خود محیط نیرومند online را تدارک دیده اند که بتوانند رضایت بی چون و چرای مشتری را جلب نمایند. شکل دیگر تجربیات Online مشتری این است که رابطه تصویری با مشتری به درستی انتخاب گردد. متن و گرافیکی که مشتری باید با آن به جای فروشنده تبادل نظر کند باید خوب طراحی شده باشد.

پس از هک شدن بسیاری از وب سایت های خرده فروشان اینترنتی مانند Creditcards و egghead و ... بسیاری از مشتریان نسبت به دزدیده شدن اطلاعات شخصی شان توسط هکرها بسیار حساس شده اند، که این امر باعث کاهش معاملات الکترونیکی در مقاطع و فواصل زمانی زیادی شده، اما معاملات را به نقطه صفر نرسانده است و مردم هنوز از فروشگاه های Online استفاده می کنند.

هم اکنون این روش در کشور ما موجود است و مورد استفاده قرار می گیرد و  در این روش خریدار به طور مستقیم با توزیع کننده از طریق اینترنت وارد معامله می شود. هم اکنون سازمانی هایی مانند شهروند چنین خدماتی را ارائه می کنند، اما این خدمات هنوز به صورت عامله در میان ما جا نیفتاده است. حتی میان کاربران حرفه ای اینترنت در ایران استفاده از این خدمات کمتر مرسوم است.

 Consumer to Consume

C2C

تجارت مصرف کننده با مصرف کننده

در این مدل تجارت الکترونیکی، مزایده ها و مناقصه های کالال از طریق اینترنت انجام می گیرد. مدل C2C شبیه نیازمندیهای طبقه بندی شده یک روزنامه و یا شبیه به یک دکه در بازار دست دوم یا سمساری است. ایده اصلی این مدل این است که مصرف کنندگان با یکدیگر بدون واسطه به خرید و فروش بپردازد. ebey غول حراجی Online بزرگ ترین نمونه اولیه مدل C2C می باشد. ebey خود چیزی نمی فروشد و به عنوان واسطی بین خریداران و فروشندگان به ارائه محصولاتتی در حراجی Online عمل می کند. به عنوان مثال ebay اجازه می دهد فروشنده قیمت اولیه خود را در حراجی قرار دهد و سپس شرکت کنندگان در حراج قبل از اتمام مدت باید روی کالای به حراج گذاشته شده اظهار نظر کنند. سایت های اینترنتی دیگر نظیر Autobytel و Carsmart نمونه هایی از مدل C2C می باشد.

به دلیل ناچیز بودن هزینه تبلیغات در اینترنت استفاده از مدل C2C توسط کاربران اینترنتی جهت فروش کالاهای مورد نظر خود توجه قرار گرفته است.

 Consumer to Business

C2B

تجارت مصرف کننده با فروشنده

در حالیکه بازار مصرف کننده Online روز به روز در حال گسترش است، بسیاری از خریداران دریافته اند که شیوه انتخاب محصول بسیار گسترده و ممکن است آنان را غوطه ور سازد. چرا که وقتی مصرف کنندگان، سایت هایی را در ارتباط با فروش محصول مورد نظر خود می یابند، یافتن خود محصول در آن سایت و به دست آوردن قیمت محصول اغلب کار دشوار است.

بنابراین جهت راحت تر نمودن امر خرید، نیاز به روشهای جدید خرید و فروش اینترنتی Online است که در آژانس های فروش به سوددهی منتهی شود بایستی از یک استرتژی فروش استفاده نمایند مانند Priceline که خود را با این استراتژی تطبیق داده است.

 Peer to Peer

P2P

تجارت نقطه به نقطه

مدل تجارت الکترونیکی P2P برای تسویه حساب کردن شرکت کنندگان در حراج با فروشنده است که مشهورترین آنها سرویسی است به نام Paypal. تجارت P2P در چهار چوبی کار می کند که افراد بتوانند مستقیماً باهم پول رد و بدل کنند و در حالیکه سهم اصلی داد و ستد پولی را نقل و انتقالات رو در رو بعهده دارد، فناوری تلفن های همراه تعداد افراد بیشتری را در داد و ستد غیر حضوری سهیم می کند. قبل از Paypal بسیاری از تاجران Online در قد و قواره های متفاوت پرداخت مشتریها را از طریق حساب کارت های اعتباری تجارت دریافت می کردند.

با استفاده از سخت افزار Mondex که زیر مجموعه  Mastercard می باشد، کاربران قادرند نقل و انتقالاات الکترونیکی پولی خود را انجام دهند و پول خود را از یک کارت اعتباری به کارت اعتباری دیگر منتقل نمایند. تحوه استفاده از تلفن همراه بدین صورت است که به جای فناوری GSM که استاندارد معمول ارتباطی تلفن همراه در بسیاری از کشورها به ویژه در اروپاست، فناوری دیگری تحت پروتکل بکارگیری نرم افزار کاربردی از طریق تجهیزات بی سیم (Wireless Application Protocol)که به اختصار WAP نامیده می شود، جایگزین می گردد. در این شیوه جدید، هر تلفن همراه از طریق مرکز تلفن با یک کامپیوتر سرویسگر مرتبط می شود و می تواند نرم افزار مورد نیاز کاربر خود را بر روی کامپیوتر مذکور فعال نماید. بدین ترتیب استفاده کننده می تواند اطلاعات خود را از طریق کامپیوتر سرویسگر که خود از طریق اینترنت و یا شبکه های ارزش افزوده (VAN) به مراکز تجاری و خدماتی متصل است ارسال و یا دریافت نماید.

 Business to Administration

B2A

تجارت فروشنده با اداره

این نوع تجارت الکترونیکی شامل تمامی مبادلات تجاری ــ مالی بین شرکت ها و سازمان های دولتی است. تأمین نیازهای دولت توسط شرکت ها و پرداخت عوارض مالیات ها از جمله مواردی است که می توان در این گروه گنجاند. تجارت B2A در حال حاضر دوران کودکی خود را طی می کند ولی در آینده ای نزدیک زمانی که دولت ها به ارتقاء ارتباطات خود تمایل و توجه نشان دهند، به سرعت رشد خواهد نمود.

Consumer to Administration

C2A

تجارت مصرف کننده با اداره

مدل تجارت الکترونیکی C2A هنوز پدیدار نشده است. ولی به دنبال رشد انواع B2C و B2A، دولت ها احتمالاً مبادلات الکترونیکی را به حیطه هایی همچون جمع آوری کمک های مردمی، پرداخت مالیات بر درآمد و هر گونه امور تجاری دیگری که بین دولت ها و مردم انجام می شود، گسترش خواهند داد.

با تجربه و آزمایش تمام مدل های تجاری Online که تا کنون بیان شد، مشخص است که با وجودی که تجارت الکترونیک که پدیده تقریباً جدید و نوپاست اما بسیار فعال است. دانشمندان صنعتی معتقدند که یافتن منابع درآمد Online مطمئن، با سعی و خطا آزمایش می شود. مدل های B2C و B2B بیشترین توجه را امروزه به خود جلب کرده اند ولی مدل های دیگر هنوز در حال تعدیل استراتژیهایشان هستند و روشهایشان را گسترش می دهند. به هر حال عاقلانه است که ما راجع به 5 سال ابتدای کار تجارت الکترونیک مانند 5 سال ابتدای زندگی یک کودک بیندیشیم.

 مزایای تجارت الکترونیکی از نوع B2C

تجارت الکترونیکی یک فناوری برای تغییر است. شرکت هایی که از آن به هدف ارتقاء سیستم فعلی خود استفاده می کنند از مزایای آن بطور کامل بهره نخواهند برد. بیشترین امتیازات تجارت الکترونیکی نصیب سازمان هایی خواهد شد که می خواهند روش و ساختار تجارت خود را تغییر داده و آن با تجارت الکترونیکی همگون سازند.

* از دید خریداران فروشگاههای الکترونیکی، مهمترین امتیازاتی که می توان به تجارت الکترونیکی منسوب کرد که عبارتند از:

1- کاتالوگ و مشخصات کالاها به سهولت قابل دسترسی و مشاهده بوده و مشتری همچنین قادر است براساس ویژگیهای متعدد (همچون نام، نوع، رنگ، وزن، قیمت و ...) کالای مورد نظر خود را جستجو نماید. توضیح کالاها می تواند به همراه تصاویر متعدد بوده و در عین حال می تواند شامل تصاویر سه بعدی نیز باشد که مشتری از زوایای گوناگون کالای مورد نظر را مشاهده نماید.

2- کالاها و خدمات می توانند توسط بقیه خریداران نظر دهی شوند و مشتری قادر است از نظرات بقیه خریداران در مورد کالای مورد نظر خود مطلع شود.

3- خرید از فروشگاه می تواند بصورت 24 ساعته و در تمام روزهای هفته انجام گیرد.

4- بعضی از محصولات (همچون نرم افزار، کتابهای الکترونیکی، موسیقی، فیلم، ...) در همان زمان خرید قابل دریافت از سایت فروشگاه هستند.

5- کالاها معمولاً از فروشگاههای فیزیکی ارزان تر خواهد بود (به علت کم بودن هزینه های سربار فروشگاه و زیاد بودن تعداد خریداران).

6- فشار و استرس معمول در هنگام خرید از یک فروشگاه فیزیکی، به هنگام خرید از یک فروشگاه الکترونیکی وجود نخواهد داشت.

7- مقایسه انواع گوناگون یک کالای خاص در فروشگاههای مختلف می تواند به راحتی انجام گیرد. فاصله بین این فروشگاهها به اندازه یک Click است.

8- خریدار قادر است کلیه فروشگاهها را برای یافتن مناسب ترین قیمت بری کالای مورد نظر خود جستجو کند.

9- خریدار پس از انتخاب کالا، بسادگی و با فشردن چند کلید قاد به انجام سفارش و پرداخت هزینه ها بوده و بعد از مدت معینی کالای خریداری شده را در منزل خود دریافت خواهد کرد.

10- بعد از دریافت کالا، اگر مشکلی در کالای دریافت شده موجود باشد، خریدار می تواند به سایت فروشگاه مراجعه کرده و از امکانات ارجاع کالا استفاده نماید.

از دید فروشندگان و صاحبان فروشگاههای الکترونیکی، موارد زیر نیز بعنوان امتیازات تجارت الکترونیکی محسوب می گردند:

1- هزینه راه اندازی فروشگاه الکترونیکی بسیار کمتر از فروشگاههای فیزیکی است.

2- مشتریان، منحصر به یک منطقه یا کشور خاص نبوده و محیط فروشگاه با مرزهای جغرافیایی محدود نخواهد بود.

3- رقابت برای جذب مشتری سبب ارتقاء کیفیت محصولات و خدمات خواهد شد.

4- مدیریت فروشگاه و تعیین راهکارهای آتی کاملاً ساخت یافته می گردد.

5- فروشگاهها قادر خواهند بود مشتریان خود را براساس سلیقه، علاقه و انتخابهای ایشان شناسایی کرده و آنها را در انتخاب کالای مورد نظر خود راهنمایی کنند.

6- اضافه کردن سرویسهای جدید نظیر پشتیبانی خدمات، جوابگویی به سؤالات مشتریان و غیره می تواند به سهولت انجام پذیرد.

7- رقابت و بازاریابی می تواند با ایجاد یک بازار مناسب و حضور جذاب در شبکه جهانی اینترنت انجام گیرد.

8- ارتباط با مشتریان، تولید کنندگان، و دیگر افراد درگیر، می تواند با استفاده از صفحات WEB، نامه های الکترونیکی و EDI تسهیل شود.

9- سفارشات می توانند بصورت الکترونیکی ارسال و دریافت شوند.

10- تعداد مشتریان و خریداران به سرعت قابل افزایش است.

11- نرخ سود در مقابل هزینه های مصرفی افزایش خواهد یافت.

12- ارتباط با تولیدکنندگان کالاها، با حذف واسطه ها، بهینه می گردد.

 روشهای ایجاد یک تجارت الکترونیکی از نوع B2C

اجزای اصلی یک تجارت الکترونیکی از نوع B2C عبارتند از یک فروشگاه الکترونیکی (که به شکل صفحات متعدد WEB ساخته شده و توسط مرورگرهای مشتریان مورد استفاده قرار می گیرند) و یک سرویس دهنده WEB که کلیه مسائل مدیریتی فروشگاه و هرآنچه که دید مشتریان به دور است بواسطه آن انجام خواهد گرفت.

بجز این دو جزء اصلی، بسیاری از فروشگاههای الکترونیکی نیازمند یک بانک اطلاعاتی نیز می باشند تا مشخصات کالاها، مشتریان و اطلاعات دیگر را در آن ذخیره کنند. همچنین اجزای فرعی دیگری نیز ممکن است بنا به ویژگی های فروشگاه مورد نیاز باشند. از جمله این اجزاء می توان برای ارسال محصولات و خدمات از طریق اینترنت نام برد.

* فروشنده ای که خواهان راه اندازی یک تجارت الکترونیکی از نوع B2C باشد، به روشهای متعدد می تواند این امر را به انجام برساند. سه روش اصلی برای برقراری یک B2C عبارتند از:

1- خرید یک بسته نرم افزاری آماده که شامل یک فروشگاه الکترونیکی و ابزارهای لازم دیگر باشد.

محصولات Easy cart، InterShop، Open Market  و Net Commerce  نمونه هایی از این بسته های آماده به شمار می آیند. این محصولات پس از خرید، مطابق سلیقه صاحب فروشگاه تغییر یافته و آماده استفاده بعنوان یک فروشگاه الکترونیکی بر روی اینترنت خواهند شد. بعضی از انواع این بسته های آماده، فروشگاه را ملزم می کنند که به ازای هر فروش، مبلغی را به ایشان بپردازد.

2- سفارش ساخت سیستم به شرکت هایی که اینگونه امور را به انجام می رسانند. با گسترش تجارت الکترونیکی، اینگونه شرکتها نیز رشد سریعی داشته اند و قادرند با استفاده از فناوریهای جدید، در زمانی کوتاه یک فروشگاه الکترونیکی برای متقاضیان بر روی اینترنت راه اندازی نمایند.

3- اجاره قسمتی از یک فروشگاه موجود.

لینک زیر به خوبی به این سوال جواب میده:

 http://www.tiobe.com/index.php/content/paperinfo/tpci/index.html

 حفره اي در قلب اينترنت

در اوايل سال 2008 ميلادي هنگامي كه دن كامينسكي(Dan Kaminsky) رخنه اي را در هسته اينترنت يافت، بر خلافمعمول به دنبال مشكلات و نقاط ضعف اينترنت نبود. اين محقق امنيت شبكه با استفاده از دانش خود در جستجوي روش بهتري براي پخش فايلهاي ويديويي روي وب بود. تخصص كانينسكي در زمينه سيستم نام گذاري  دامنه اينترنت(DNS) است. پروتكل DNS مسوليت انتباق آدرسهاي URL سايتها و آدرسهاي عددي مربوط به سرور هايي كه اين سايتها را ميزباني مي كنند، بر عهده دارد.

ممكن است يك محتوا توسط چنديد سرور كه هريك داراي آدرس مختص خود است، ميزباني شود و كامينسكي تصور مي كرد روش جالبي را براي ارجاع سريع كاربران به مناسب ترين سرور يافته است. به طور معمول، سرور هاي DNS قابل اطمينان هستند، اما از سرعت كافي برخوردار نيستند. هنگامي كه يك كامپيوتر (به طور فرضي سروري كه ترافيك اطلاعات  را در شبكه Comcast هدايت مي كند) آدرس عددي متناظر يك  آدرس URL را درخواست مي كند، پاسخ درخواست آدرس مذكور را در يك بازه زماني موسوم به «زمان حيات» كه بين چند ثانيه و چندين روز متغير است،‌ذخيره مي كند. اين كار تعداد درخواست هاي ارسالي يك سرور را كاهش ميدهد.ايده كامينسكي  شامل حذف زمان حياط و درنتيجه دسترسي سريع به آدرس سايتها بود. به اين ترتيب ترافيك اطلاعات شبكهComcast به جاي ارسال به آدرس هايي كه از پيش ذخيره شده اند، در هر لحظه به طور مستقيم براي آدرس مطلوب  ارسال مي شد. كامينسكي مطمئن بود اين راهبرد موجب افزايش سرعت انتشار اطلاعات مي شود.

كامينسكي پس از درميان گذاشتن ايده خود در يك مكالمه اتفاقي با يكي از دوستان خود پي برد كه اين تغيير مي تواند موجب بروز يك رخنه امنيتي بزرگ در سيستم نامگذاري حوزه ها و حتي در خود اينترنت شود. به اين ترتيب معلوم شد مفهوم زمان حيات  در حقيقت هسته امنيتي پروتكل DNS است و عبور از اين وي‍‍‍‍ژگي امكان اجراي حمله هاي بسياري را فراهم مي كند. كامينسكي قطعه كد كوچكي را نوشت تا مطمئن شود اوضاع به اندازه تصور وي وخيم است . او مي گويد:«به محض اين كه قطعه كد به درستي اجرا مي شود  دچار دلهره شدم. با خود گفتم . در اين باره چه كاري مي توانم انجام دهم؟ اين نقطه ضعف همه چيز را تحت تاثير قرار مي دهد.» هر مهاجمي با استفاده از تكنيك كامينسكي مي تواند كاربران وب را به هر صفحه دلخواهي راهنمايي كند. واضح ترين كاربرد اين قابليت، روانه كردن كاربران به سايت هاي فيشينگ (سايتهايي كه به منظور فريب دادن كاربران و دريافت كلمه عبور و ساير اطلاعات  شخصي آنها طراحي شده اند و امكان دزدي هويت آنها براي مهاجمان را فراهم مي كنند) يا نسخه هاي جعلي از صفهات وب است، اما خطر بالقوه بسيار بيش از اين است؛ پروتكل هايي مانند نمونه هاي مورد استفاده براي مبادله نامه هاي الكترونيكي يا برقراري ارتباطات ايمن  در اينترنت در نهايت به پروتكا DNS متكي هستند.

يك مهاجم خلاق با استفاده از تكنيك كامينسكي مي تواند نامه هاي الكترونيكي مهم را به دست آورده يا نسخه هاي جعلي اي از مجوزهاي  مورد استفاده براي تاييد تراكنش هاي ايمن براي كاربران و سايت هاي بانكي ايجاد كند.كامينسكي مي گويد:«هر روز حلقه ديگري از زنجيره خطرها را مي يابم.در صورت شكست پروتكل DNS فناوري هاي ديگر كارايي خود را از دست مي دهند. منظور من اين است كه به اطراف خود نگاهي بياندازيد،‌تقريبا هر چيزي كه از شبكه استفاده مي كند، احتمالا از پروتكل DNS نيز بهره مي گيرد.»

كامينسكي براي حل مشكل با پل ويكسي مدير موسسه  Internet System Consortiom كه يك سازمان غير انتفاعي براي پيشتيباني از اجزاي مختلف زير ساخت اينترنت شامل نرم افزارهاي متداول در سيستم نامگذاري حوزه ها است، تماس گرفت. ويكسي مي گويد:«معمولا زماني كه شخصي قصد دارد مشكلي را مطرح كند، انتظار داريد تشريح ان مدتي به طول انجامد و احتمالا مشكل را روي يك وايت برد يا در قالب يك يا چند سند Word نمايش دهند. در اين مورد تنها بيست ثانيه طول كشيد تا كامينسكي مشكل را مطرح كند و ظرف بيست ثانيه بعدي تمام اعتراض هاي من را پاسخ دهد. پس از آن گفتم، دن من با استفاده از يك تلفن ناامن با شما صحبت مي كنم. هرگز مطالبي را كه با استفاده از اين خط تلفن ناامن مطرح كرديد براي هيچ كس ديگري بازگو نكنيد.»

احتمالا بدترين بخش ماجرا اين بود كه نقاط  آسيب پذير، روي يك سخت افزار يا نرم افزار مجزا قرار نداشته و درون طراحي پرتكل DNS بودند، به همين دليل نحوه اصلاح آسييب پذيري  مشخص نبود. كامينسكي و ويكسي به طور مخفيانه گروهي از بهترين متخصصان DNS را از سراسر جهان گرد هم آوردند. اين گروه منشكل از كارشناسان دولتي و مهندسان بلندپايه از بزرگترين توليد كنندگان سخت افزار و نرم افزارDNS در جهان شامل سيسكو و مايكروسافت بودند. آنها جلسه اي را در ماه مارس 2008 واقع در محوطه شركت مايكروسافت مستقر در ردموندتشكيل دادند. اين ملاقات به قدري محرمانه و با عجله برگزار شد  كه كامينسكي در باره آن مي گويد: «گروهي از افراد كه با هواپيماي جت راهي جايگاه مايكروسافت در ردموند شده بودند حتي نمي دانستند مشكل چيست.»

گروه متخصصان به محض برگزاري جلسه در ردموند  براي تعيين انازه رخنه امنيتي و راه حلهاي ممكن اقدام كردند. آن ها ابتدا تدابير موقتي را به كار گرفتند كه اغلب مشكلات را حل مي كرد، به كار گيري آنها آسان بود و ماهيت اصلي رخنه امنيتي را مخفي مي كرد. از انجا كه معمولا مهاجمان  براي يافتن رخنه هاي امنيتي ، اصلاحيه هاي نرم افزاري مربوط  را با استفاده از اعضاي مهندسي معكوس بررسي مي كنند، تمام اعضاي گروه تصميم گرفتند، اصلاحيه ها را به طور هم زمان  عرضه كنند (تاريخ رضه اين نرم افزار ها هشتم جولاي بود). به علاوه كامينسكي به منظور تامين زمان مورد نياز براي ايمن سازي سرورها از محققان امنيتي درخواست كرد جزئيات مربوط به اين رخنه امنيتي را به مدت سي روز پس از انتشار نرم افزارهاي ترميمي افشا نكنند. كامينسكي قصد داشت، در روز ششم اگوست در همايش سالانه متخصصان امنيتي جهان موسوم به كنفراس Black Hat وجود رخنه امنيتي مذكور و نحوه اصلاح آن را اعلام كند.

در حقيقت كامينسكي حمله جديدي را كشف نكرد. بلكه با شيوه اي هوشمندانه توانست راهكاري را براي زنده كردن يك حمله قديمي بيابد. البته بايد تصديق كرد كه در ابتدا رخنه امنيتي مورد بحثٍ امكان حمله خود اينترنت را فراهم مي كرد.

 پروتكل  DNS در سال 1982 توسط پل مكاپتريس بنيانگذاري شد،‌سپس در دانشگاه South California و در روزگار ARPAnet به منظور متصل كردن سيستم هاي كامپيوتري در چندين دانشگاه و مركز تحقيقاتي مورد استفاده قرار گرفت و در نهايت اينترنت پايه ريزي شد. اين سيستم به گونه اي طراحي شده كه عملكردي همچون سرويس 411 شركت تلفن داشه باشد. اين سرويس با دريافت يك نام، به جستجوي اعداد پرداخته و شماره مربوط به آن را مي يابد. با رشد آرپانت و عدم توانايي يك شخص در ردگيري آدرس هاي عددي ف وجود سيستم DNS ضرورت يافت. مكاژتريس كه اكنون مدير و دانشمند ارشد موسسه Nominum(يكي از تامين كنندگان نرم افزارهاي زير ساختي اينترنت واقع در منطقه  Redwood ايالت كاليفرنيا) است، سيستم DNS را قالب يك سلسله مراتب طراحي كرد. هنگامي كه كاربر آدرس URL صفحه وب را در مرورگر تايپ كرده و يا روي يك هايپرلينك كليك مي كند، مرورگر درخواستي را براي سرور نامها كه توسط ارائه دهنده خدمات اينترنتي به كاربر(ISP) نگهداري مي شود، ارسال مي كند. سرور ISP آدرسهاي عددي مربوط به آن دسته از آدرسهاي URL را كه به طور متناوب مورد دسترسي قرار مي دهد (حداقل تا پايان زمان حيات آنها)، ذخيره مي كند، اما در صورتي كه آدرس مورد نظر درون اين سرور ذخيره نشده باشد، سرور مذكور نيز به نوبه خود يكي از سيزده سرور DNS اصلي را مورد درخواست قرار مي دهد. به اين ترتيب، درخواست سرورISP براي يك سرور نام كه مسوليت نگهداري يكي از حوزه هاي سطح بالا مانند .com ياedu . را بر عهده دارد، ارسال مي شود. اين سرور، درخواست را براي سرور ديگري كه مختص به نام يك حوزه مانند google.com يا mit.edu است، ارسال مي كند. ارسال درخواست بين سرورها ادامه مي يابد تا به سرورهايي به مسوليت محدودتر(مانند mit.google.com يا liberaries.mit.edu ) برسد و در نهايت براي سروري ارسال شود كه بتواند آدرس عددي متناظر را در اختيار گذاشته يا عدم وجود چنين آدرسي را اعلام كند. با توسعه اينترنت مشخص شد سيستم  DNS از امنيت كافي برخوردار نيست، فرايند ارسال درخواست از يك سرور به ديگري فرصت هاي بسياري را در اختيار مهاجمان قرار مي دهد تا هنگام بروز عكس العمل هاي نادرست وارد جريان ارسال درخواست شوند و سيستم DNS هيچ گونه تضمين امنيتي  اي براي حصول اطمينان از اعتبار سروري كه به درخواست پاسخ مي دهد، در اختيار ندارد.

مكاپتريس مي گويد:« از سال 1989 نمونه هايي از ذخيره سازي اطلاعات اشتباه در مورد آدرس عددي مربوط به يك وب سايت وجود داشت. به اين نوع حمله ها در اصطلاح "مسموميت حافظه" (Cache Poisoning) گفته مي شود.»

در دهه 1990 پياده سازي حمله هاي مسموميت  حافظه به سادگي انجام مي شد. سرورهاي نام سطح پايين معمولا توسط موسسه هاي خصوصي نگهداري ميشوند. به عنوان مثال سايت amazon.com آدرسهايي را كه سرور آمازون توليد مي كند،‌تحت كنترل دارد. اگر يك سرور نام سطح پايين قادر به يافتن آدرس درخواستي نباشد،‌درخواست مذكور را به يك سرور ديگر ارسال كرده يا پيغامي را مبني بر عدم وجود صفحه درخواستي براي كاربر نمايش مي دهد، اما در دهه 1990 سرور هاي سطح پايين علاوه بر امور مذكور مي توانستند درخواست كاربران را با آدرسهاي سرورهاي سطح پايين منطبق كنند.

براي مسموم كردن حافظه يك سرور كافي بود،‌مهاجمان اطلاعات اخير را غلط در اختيار سرور قرار دهند. اگر يك مهاجم به طور فرضي سرور نام يك ISP را به منظور ذخيره آدرسهاي اشتباه در سرور .com فريب مي داد، مي توانست بخش اعظمي از ترافيك اطلاعاتي ISP را مورد دسترسي قرار دهد. به گفته مكاپتريس ويژگي هاي متعددي به سيستم  DNS  اضافه شد تا در مقابل اين حمله ها مصونيت يابد. به اين ترتيب، سرورهاي درخواست كننده از دريافت آدرس هاي عددي سطح بالا كه توسط سرورهاي نام سطح پايين ارسال مي شد، امتناع كردند، اما مهاجمان روش جديدي را براي عبور از اين محدوديت يافتند.

آنان مانند گذشته درخواست كنندگان را به طور فرض به يك سرور .com ارجاع مي دادند، اما درخواست كنندگان بايد به طور مستقيم آدرس هاي سرور .com را جست و جو مي كردند. مهاجم به اين ترتيب، پس از درخواست آدرس مورد نظر، مدت زماني در اختيار داشت تا پيش از سرور مربوطه يك آدرس جعلي را در اختيار در خواست كننده قرار دهد.

براي مقابله با اين رويكرد، معيارهاي امنيتي ad hoc نيز در سيستم DNS به كار گرفته شدند. اكنون هر درخواست ارسالي  براي سرور DNS حاوي شناسه اي است كه به طور اتفاقي از بين 65 هزار عدد، به منظور ايمن سازي تراكنش اطلاعات توليد شده و همراه پاسخ نهايي براي درخواست كننده ارسال مي شود. به اين ترتيب، مهاجمان براي ارسال اطلاعات جعلي بايد اين شناسه را حدس بزنند.

متاسفانه يك كامپيوتر مي تواند تعداد بسيار زيادي پاسخ جعلي را در مدت زمان اندك توليد و ارسال كرده و به احتمال شناسه صحيح را بيابد. مفهوم زمان حيات كه در اصل به منظور حفاظت سرورها در مقابل تعداد بسيار زياد درخواست ها ايجاد شد، اكنون به يكي از نقاط ضعف امنيتي تبديل شده است. از آنجا كه پاسخ هر درخواست در يم بازه زماني روي سرور ذخيره مي شود، مهاجم شانس بسيار كمي براي جعل اطلاعات در اختيار دارد. در اغلب موارد، هنگامي كه سرور به دنبال يك آدرس .com است، پيش از ارجاع درخواست به سرور .com ابتدا حافظه توكار خود را جستجو مي كند. كامينسكي روش جديدي براي عبور از اين ويژگي شبكه هاي ad hoc (و از همه مهمتر زمان حيات) يافت. به اين ترتيب، سيستم DNS به اندازه زماني كه حمله هاي مسموميت حافظه براي اولين بار كشف شدند، آسيب پذير است. يك مهاجم با استفاده از تكنيك كامينسكي تقريبا تعداد نا محدودي حافظه براي جعل ازلاهات در اختيار مي گيرد. فرض كنيد مهاجمي قصد دارد تعداد نامه هاي الكترونيكي ارسال شده توسط يك شبكه اجتماعي آنلاين را كه براي صندوق هاي پستي Gmail ارسال شده، بربايد. اين مهاجم ابتدا يك حساب كاربري جديد  در شبكه اجتماعي ايجاد كرده  و هنگامي كه از او درخواست مي شود تا آدرس پست الكترونيكي خود را وارد كند، آدرسي را در اختيار سيستم مي گذارد كه در واقع مربوط به حوزه تحت كنترل وي است. هنگامي كه سيستم اقدام به ارسال كلمه عبور جديد مي كند،‌سيستم DNS را مورد جستجو قرار داده و در نهايت به حوزه تحت اختيار مهاجم مي رسد، اما سرور مهاجم اعلام مي كند كه آدرس مورد نظر وي وجود خارجي ندارد. در اين زمان مهاجم مي توانددرخواست كننده را به سرور نام google.com ارجاع داده و پاسخ سرور مذكور آن را شبيه سازي كند، اما در اين شرايط تنها يك بار مي تواند براي كشف شناسه تراكنش اقدام كند.

بنابراين درخواست كننده را به حوزه هاي غير واقعي 1.google.com سپس 2.google.com و سپس 3.google.com و... ارجاع داده و پس از هر ارجاع يك پاسخ جعلي همراه يك شناسه تراكنش براي آن ارسال مي كند. در هر ارجاع سرور درخواست كننده به جاي جستجوي حافظه توكار، سرورهاي نام گوگل را مورد درخواست قرار مي دهد و از آنجا كه هيچ يك از آدرس هاي URL جعلي درون آن ذخيره نشده اند، مهاجم به راحتي از محدوديت هاي اعمال شده توسط ويژگي زمان حيات عبور ميكند. بخش اصلي كار مهاجم وارد شدن به سيستم است، از آنجا كه مهاجم مجوز دسترسي به آن دسته از آدرسهاي URL را كه با عبارت google.com به پايان مي رسند، در اختيار دارد، ارجاع سرور درخواست كننده از گوگل به سرورهاي متعلق به وي كاري بسيار ساده است.كامينسكي مي گويد، در طول ده ثانيه مي تواند يك حمله آزمايشي را به انجام برساند.

در تاريكي

روز هشتم جولاي، كامينسكي در كنفرانس مطبوعاتي حاضر شد و انتشار اصلاحيه را اعلام كرد و از ساير تحليل گران در خواست كرد اطلاعات فني مربوط به رخنه امنيتي اينترنت را فاش نكنند. توليد كنندگان نرم افزار و سخت افزار، اصلاحيه جديدي را عرضه كردند كه مهاجمان را وتدار مي كرد براي اجراي حمله هاي شناسه تراكنش اطلاعات  طولاني تري را كشف كنند. كامينسكي مي گويد:«پيش از انتشار اصلاحيه مهاجمان بايد ده ها هزار بار تلاش مي كردند تا شناسه تراكنش را بيابند، اما پس از عرضه اصلاحيه مزكور بايد ميلياردها بار تلاش خود را تكرار كنند.» اخبار مربوط به رخنه اينترنت از طريق روزنامه نيويورك تايمز، سايت خبري بي بي سي و تقريبا تمام ناشران فني منتشر شد. مديران سيستم براي تهيه اصلاحيه هجوم بردند تا پيش از اينكه مورد حمله مهاجمان قرار گيرند، آن را نصب و اجرا كنند. با وجود اين، به دليل عدم موفقيت كامينسكي در جمع آوري جزئيات كافي از رخنه امنيتي برخي از اعضاي اعضاي انجمن امنيتي در موفقيت اين تدابير ترديد داشتند.

توماس تيسك يكي از محققان موسسه Matasano Security ، طي يادداشتي در سايت Twitter  نوشت:«برخي مي گويند، در مورد ماهيت رخنه امنيتي در سيستم DNS ترديدهايي وجود دارد.» دينو داي زواي يكي از محققان امنيتي كه به دليل يافتن راههايي برا ايمن سازي Macbook Pro در مقابل بدافزارها مشهور است، مي گويد:« من قطعا در مورد ماهيت آسيب پذيري اينترنت ترديد داشتم. به خصوص به اين دليل كه ميزان وسواس و توجه به آن به هيچ وجه با  جزئيات منتشر شده متناسب نبود. هر بار كه با شرايطي شبيه با اين موضوع روبرو مي شوم، در مورد آن ترديد مي كنم، زيرا به نظر مي رسد مسولان به جاي رفع مشكل در پي منافع شخصي خود هستند.» داي زواي و ديگران يادآوري مي كنند، زمان بندي اعلام اين رخنه امنيتي براي معرفي كامينسكي در اجتماعBlack Hat بسيار مناسب بود. به علاوه آنها در مقابل درخواست كامينسكي مبني بر عدم انتشار اطلاعات فني در مورد رخنه امنيتي جبه گيري كردند. كمبود جزئيات فني نيز موضوع بحث برانگيزي بود. زيرا معمولان مديران سيستم مسول ارزيابي اصلاحيه و تصميم گيري در مورد نصب آنها و همچنين مقايسه خطرهاي رخنه امنيتي اينترنت با مشكلات احتمالي حاصل از نصب اصلاحيه هستند. از آنجاكه سيستم DNS در هسته مركزي هر سازمان اينترنت محور قرار دارد، جايگزيني آن به سادگي امكان پذير نيست. عدم سازگاري اصلاحيه با برخي از ديواره هاي آتش سازماني بر مشكلات قبلي مي افزايد. بسياري از متخصصان IT با اضهار نارضايتي از كمبود اطلاعات اعلام كردند،‌به دليل مخفي ماندن بخش زيادي از جزئيات قادر به ارزيابي صحيح اصلاحيه نيستند. كامينسكي در پاسخ به ترديدهاي موجود، كنفرانسي را با حضور تيسك و داي زواي برگزار كرد تا خطرهاي ناشي از رخنه امنيتي را براي نها تشريح كند. پس از كنفرانس نظر هردو تغيير كرد. داي زواي عقيده دارد،‌از آن زمان كه توليد كنندگتن سخت افزار و نرم افزار محققاني را كه مشكلات امنيتي واقعي را كشف مي كردند، ناديده مي گرفتند و به كار خود ادامه مي دادند، مدت زيادي سپري شده است.

او مي گويد:« هنگامي كه نقاط آسيب پذيري در سيستم هاي بزرگي مانند  DNS آشكار مي شوند، نمي دانيم چه اقداماتي را بايد انجام دهيم.» وي ادامه مي دهد:«محققان با وضع دشواري روبرو هستند.» آنها معمولان به منظور بيان اهميت رخنه هاي امنيتي به انتشار اطلاعات مربوط به آن اقدام مي كنند. اما در مورد شكاف كه توسط كامينسكي كشف شد،‌مشكل به اندازه اي جدي است كه با انتشار جزئيات مشكل ممكن است تمام كاربران اينترنت در معرض خطر جدي قرار گيرند. هالوار فليك يك محقق امنيتي آلماني يكي از ناظران بود. او معتقد بود، سكوت در مورد اين رخنه امنيتي خطرهاي بيشتري را در پي دارد و براي كمك به كاربران به منظور آگاهي آنها از خطرهاي احتمالي،‌اعلام عمومي اين مشكل ضروري است. فليك مطالب اوليه اي مانند صفحه مربوط به DNS در دايره المعارف Wikipedia را به زبان آلماني مطالعه كرد و در وبلاگ خود در مورد كشف كامينسكي مطالبي را نوشت. وي با اشاره به اينكه احتمالا در مورد اين موضوع اشتباه كرده است، ساير محققان را دعوت كرد تا اشتباههاي او را تصحيح كنند. در بين اغتشاشي كه يادداشت وي در جامعه امنيتي ايجاد كرد، توضيح دقيقي از رخنه امنيتي اينترنت در سايتي كه توسط موسسه تسيك موسوم به Matasano Security ميزباني مي شود، منتشر شد. اين توصيف به سرعت از روي سايت برداشته شد، اما از طرفي در تمام اينترنت انتشار يافت. اين رخداد به اغتشاش و هرج و مرج منجر شد. كامينسكي در Twitter نوشت:« مشكل سيستم DNS همه گير است، يا بايد از اصلاحيه استفاده كنيد يا هم اكنون بايد از سيستم وب محور OpenDNS بهره بگيريد.» پس از چند روز يك پرو‍ژه امنيتي كامپيوتري كه به منظور بررسي وضعيت به اجراي حمله هاي آزمايشي اقدام مي كرد، دو نوع از حمله ها را كه از رخنه كشف شده توسط كامينسكي استفاده مي كردند، معرفي كرد. كمي بعد از آن يكي از اولين حمله هاي امنيتي واقعي كه بر اساس رخنه DNS طراحي شده بود، شناسايي شد. اين حمله روي بر خي از سرورهاي موسسه AT&T پياده سازي شد تا صفحه اصلي گوگل را گمراه كرده و تبليغات مهاجم را نمايش دهد.

سي دقيق پيش از سخنراني كامينسكي در كنفرانس Black Hat به منظور انتشار اخبار مربوط به رخنه امنيتي، حاظران تمام فضاي سالن Caesar's Palace را اشغال كردند. سخنران پيش از كامينسكي سعي كرد مطالب خود را خلاصه تر بيان كند. تمام صندلي ها پر شدند و حاضران روي فرش موجود در سالن نشستند. مادر بزرگ كامينسكي براي اين رخداد 250 عدد كلوچه آماده كرده بود، اما اين كلوچه ها به هيچ وجه كافي نبودند!!! كامينسكي بالاي سكورفت و گفت:«افراد زيادي به اين مراسم آمده اند. خداي من!» كامينسكي مردي بلند قد و حركات او كمي ناشيانه است. وي گفت:«از اوايل ماه اگوست با نصب اصلاحيه توسط ارائه دهندگان خدمات اينترنتي بيش از 120 ميليون كاربر اينترنت باند پهن مورد حفاظت قرار گرفته اند. حدود هفتاد درصد از شركتهاي موجود در فهرست Fortune 500 اصلاحيه را روي سيستم خود نصب كرده و پانزده درصد ديگر از اين شركتها در حال نصب آن هستند.» كامينسكي در ادامه اضافه كرد، سي تا چهل درصد از سرورهاي نام موجود در اينترنت هنوز از اين اصلاحيه استفاده نكرده اند و در مقابل حمله مسموميت حافظه كه وي در عرض ده ثانيه اجرا كرد، آسيب پذير هستند. كامينسكي روي صحنه توضيحاتي را در مورد كاربرد هاي نا مطلوب كشف خود بيان كرده و تلاش مي كرد اهميت جدي گرفتن اين كشف ها را بيان كند.

او به مدت 75 دقيق سخن گفت و به واسطه بازگو كردن اسراري كه به مدت هفت ماه در سينه خود نگهداري كرده بود، آرامش يافت. پس از اتمام سخنان او، حاضران كنفرانس به سمت وي هجوم بردند و او رد محاصره خبر نگاران قرار گرفت. حتي آن دسته از متخصصان امنيتي  كه با نظر كامينسكي در مورد جدي بودن آسيب پذيري اينترنت موافق بودند،‌از اشتياق كامينسكي براي مصاحبه با رسانه ها و تلاش بي وقفه وي براي اعلام عمومي خبر وجود رخنه امنيتي در اينترنت متحير شدند.

كامينسكي اواخر همان روز به دليل كشف خطرناك ترين رخنه امنيتي جايزه Pwnie را از گروهي متشكل از محققان امنيتي دريافت كرد(حروف pwn كه بر وزن own تلفظ مي شوند، در عرف اينترنت به معني «حكمراني مطلق» هستند روي جايزه كامينسكي چنين نوشته شده است:"جايزه Pwnie براي حكمراني مطلق در رسانه ها".) داي زواي با نمايش اين جايزه سعي كرد فهرستي از ناشراني كه داستان كامينسكي را منتشر كرده اند، تهيه كند.

ادامه دارد...