امنیت Security

Byadmin

نقش پروتکل SSL یا Secure Socket Layer در امنیت ارتباطات شبکه

نقش پروتکل SSL یا Secure Socket Layer در امنیت ارتباطات شبکه

SSL یا Secure Socket Layer راه حلی جهت برقراری ارتباطات ایمن میان یک سرویس‌دهنده و یک سرویس‌گیرنده است که توسط شرکت Netscape ارائه شده است. درواقع SSL پروتکلی است که پایین‌تر از لایه کاربرد (لایه ۴ از مدل TCP/IP) و بالاتر از لایه انتقال (لایه سوم از مدل TCP/IP) قرار می‌گیرد.

پروتکل SSL بهره‌گیری از موارد امنیتی تعبیه شده آن برای امن کردن پروتکل‌های غیر امن لایه کاربردی نظیر HTTP، LDAP، IMAP و غیره است. الگوریتم‌های رمزنگاری بر اساس پروتکل SSL بر روی داده‌های خام (plain text) که قرار است از یک کانال ارتباطی غیر امن مثل اینترنت عبور کنند، اعمال می‌شود و محرمانه ماندن داده‌ها را در طول کانال انتقال تضمین می‌کند. به‌بیان‌دیگر شرکتی که صلاحیت صدور و اعطای گواهی‌های دیجیتال SSL را دارد برای هرکدام از دو طرفی که قرار است ارتباطات میان شبکه‌ای امن داشته باشند، گواهی‌های مخصوص سرویس‌دهنده و سرویس‌گیرنده را صادر می‌کند و با مکانیسم‌های احراز هویت خاص خود، هویت هرکدام از طرفین را برای طرف مقابل تأیید می‌کند. البته غیر از این کار می‌بایست تضمین کند که اگر اطلاعات حین انتقال مورد سرقت قرار گرفت، برای رباینده قابل‌درک و استفاده نباشد که این کار را با کمک الگوریتم‌های رمزنگاری و کلیدهای رمزنگاری نامتقارن و متقارن انجام می‌دهد.

ملزومات یک ارتباط مبتنی بر پروتکل امنیتی SSL

برای داشتن ارتباطات امن مبتنی بر SSL عموماً به دو نوع گواهی دیجیتال SSL نیاز است. گواهی اول برای سرویس‌دهنده و گواهی دیگر برای سرویس‌گیرنده است. همچنین به یک مرکز صدور و اعطای گواهینامه دیجیتال یا CA نیاز است. وظیفه CA این است که هویت طرفین ارتباط، نشانی‌ها، حساب‌های بانکی و تاریخ انقضای گواهینامه را بداند و بر اساس آن‌ها هویت‌ها را تعیین نماید.

مکانیسم‌های تشکیل‌دهنده SSL

۱– تأیید هویت سرویس‌دهنده

با استفاده از این ویژگی در SSL، یک کاربر از صحت هویت یک سرویس‌دهنده مطمئن می‌شود. نرم‌افزارهای مبتنی بر SSL سمت سرویس‌گیرنده، مثلاً یک مرورگر وب نظیر Internet Explorer می‌تواند از تکنیک‌های استاندارد رمزنگاری مبتنی بر کلید عمومی و مقایسه با کلیدهای عمومی یک سرویس‌دهنده، (مثلاً یک برنامه سرویس‌دهنده وب نظیر IIS) و از هویت آنها مطلع شود و پس از اطمینان کامل، کاربر می‌تواند نسبت به وارد نمودن اطلاعات خود مانند شماره کارت‌های اعتباری و یا گذرواژه‌ها اقدام نماید.

۲- تأیید هویت سرویس‌گیرنده

برعکس حالت قبلی در اینجا سرویس‌دهنده است که می‌بایست از صحت هویت سرویس‌گیرنده اطمینان یابد. طی این مکانیسم، نرم‌افزار مبتنی بر SSL سمت سرویس‌دهنده پس از مقایسه نام سرویس‌گیرنده با نام‌های مجاز موجود در لیست سرویس‌گیرنده‌های مجاز که در داخل سرویس‌دهنده تعریف می‌شود، اجازه استفاده از سرویس‌های مجاز را به او می‌دهد.

۳- ارتباطات رمز شده

کلیه اطلاعات مبادله شده میان سرویس‌دهنده و گیرنده می‌بایست توسط نرم‌افزارهای موجود در سمت سرویس‌دهنده و سرویس‌گیرنده رمزنگاری (Encrypt) شده و در طرف مقابل رمزگشایی (Decrypt) شوند تا حداکثر محرمانگی (Confidentiality) در این‌گونه سیستم‌ها لحاظ شود.

اجزای پروتکل SSL

پروتکل SSL دارای دو زیرپروتکل تحت عناوین زیر است:

۱- SSL Rocord Protocol که نوع قالب‌بندی داده‌های ارسالی را تعیین می‌کند.

۲- SSL Handshake Protocol که بر اساس قالب تعیین‌شده در پروتکل قبلی، مقدمات ارسال داده‌ها میان سرویس‌دهنده‌ها و سرویس‌گیرنده‌های مبتنی بر SSL را تهیه می‌کند.

بخش‌بندی پروتکل SSL به دو زیرپروتکل دارای مزایایی است ازجمله:

اول: در ابتدای کار و طی مراحل اولیه ارتباط (Handshake) هویت سرویس‌دهنده برای سرویس‌گیرنده مشخص می‌گردد.

دوم: در همان ابتدای شروع مبادلات، سرویس‌دهنده و گیرنده بر سر نوع الگوریتم رمزنگاری تبادلی توافق می‌کنند.

سوم: در صورت لزوم، هویت سرویس‌گیرنده نیز برای سرویس‌دهنده احراز می‌گردد.

چهارم: در صورت استفاده از تکنیک‌های رمزنگاری مبتنی بر کلید عمومی، می‌توانند کلیدهای اشتراکی مخفی را ایجاد نمایند.

پنجم: ارتباطات بر مبنای SSL رمزنگاری می‌شود.

الگوریتم‌های رمزنگاری پشتیبانی شده در SSL

در استاندارد SSL، از اغلب الگوریتم‌های عمومی رمزنگاری و مبادلات کلید (Key Exchcenge Algorithm) نظیر RSA، RC4، RC2،MD5، KEA، DSA، DES و RSA Key Exchauge، SHA1، Skipjack و DES3 پشتیبانی می‌شود. بسته به این که نرم‌افزارهای سمت سرویس‌دهنده و سرویس‌گیرنده نیز از موارد مذکور پشتیبانی نمایند، ارتباطات SSL می‌تواند بر اساس هرکدام از این الگوریتم‌ها صورت پذیرد. البته بسته به طول کلید مورد استفاده در الگوریتم و قدرت ذاتی الگوریتم، می‌توان آن‌ها را در رده‌های مختلفی قرار داد که توصیه می‌شود با توجه به سناریوهای موردنظر، از الگوریتم‌های قوی‌تر نظیر DES۳ با طول کلید ۱۶۸ بیت برای رمزنگاری داده‌ها و همچنین الگوریتم SHA-1 برای مکانیسم‌های تأیید پیغام MD5 استفاده شود و یا این که اگر امنیت در این حد مورد نیاز نبود، می‌توان در مواردی خاص از الگوریتم رمزنگاری RC4 با طول کلید ۴۰ بیت و الگوریتم تأیید پیغام MD5 استفاده نمود.

نحوه عملکرد داخلی پروتکل SSL

همان‌طور که می‌دانید SSL می‌تواند از ترکیب رمزنگاری متقارن و نامتقارن استفاده کند. رمزنگاری کلید متقارن سریع‌تر از رمزنگاری کلید عمومی است و از طرف دیگر رمزنگاری کلید عمومی تکنیک‌های احراز هویت قوی‌تری را ارائه می‌کند. یک جلسه (SSL (Session با یک تبادل پیغام ساده تحت عنوان SSL Handshake شروع می‌شود. این پیغام اولیه به سرویس‌دهنده این امکان را می‌دهد تا خودش را به سرویس‌دهنده دارای کلید عمومی معرفی نماید و سپس به سرویس‌گیرنده و سرویس‌دهنده این اجازه را می‌دهد که یک کلید متقارن را ایجاد نمایند که برای رمزنگاری‌ها و رمزگشایی سریع‌تر در جریان ادامه مبادلات مورد استفاده قرار می‌گیرد. گام‌هایی که قبل از برگزاری این جلسه انجام می‌شوند بر اساس الگوریتم RSA Key Exchangeعبارت‌اند از:

۱- سرویس‌گیرنده، نسخه SSL مورد استفاده خود، تنظیمات اولیه درباره نحوه رمزگذاری و یک داده تصادفی را برای شروع درخواست یک ارتباط امن مبتنی بر SSL به سمت سرویس‌دهنده ارسال می‌کند.

۲- سرویس‌دهنده نیز در پاسخ نسخه SSL مورد استفاده خود، تنظیمات رمزگذاری و داده تصادفی تولیدشده توسط خود را به سرویس‌گیرنده می‌فرستد و همچنین سرویس‌دهنده گواهینامه خود را نیز برای سرویس‌گیرنده ارسال می‌کند و اگر سرویس‌گیرنده از سرویس‌دهنده، درخواستی داشت که نیازمند احراز هویت سرویس‌گیرنده بود، آن را نیز از سرویس‌گیرنده درخواست می‌کند.

۳- سپس سرویس‌گیرنده با استفاده از اطلاعاتی که از سرویس‌دهنده مجاز در خود دارد، داده‌ها را بررسی می‌کند و اگر سرویس‌دهنده مذکور تأیید هویت شد، وارد مرحله بعدی می‌شود و در غیر این صورت با پیغام هشداری به کاربر، ادامه عملیات قطع می‌گردد.

نقش پروتکل SSL یا Secure Socket Layer در امنیت ارتباطات شبکه

نقش پروتکل SSL یا Secure Socket Layer در امنیت ارتباطات شبکه

شکل 1 : SSL

۴- سرویس‌گیرنده یک مقدار به نام Secret Premaster را برای شروع جلسه ایجاد می‌کند و آن را با استفاده از کلید عمومی (که اطلاعات آن معمولاً در سرویس‌دهنده موجود است) رمزنگاری می‌کند و این مقدار رمز شده را به سرویس‌دهنده ارسال می‌کند.

۵- اگر سرویس‌دهنده به گواهینامه سرویس‌گیرنده نیاز داشت می‌بایست در این گام برای سرویس‌دهنده ارسال شود و اگر سرویس‌گیرنده نتواند هویت خود را به سرویس‌دهنده اثبات کند، ارتباط در همین‌جا قطع می‌شود.

۶- به‌محض این که هویت سرویس‌گیرنده برای سرویس‌دهنده احراز شد، سرویس‌دهنده با استفاده از کلید اختصاصی خودش مقدار Premaster Secret را رمزگشایی می‌کند و سپس اقدام به تهیه مقداری به نام Master Secret می‌نماید.

۷- هم سرویس‌دهنده و هم سرویس‌گیرنده با استفاده از مقدار Master Secret کلید جلسه (Session Key) را تولید می‌کنند که درواقع کلید متقارن مورد استفاده در عمل رمزنگاری و رمزگشایی داده‌ها حین انتقال اطلاعات است و در این مرحله به‌نوعی جامعیت داده‌ها بررسی می‌شود.

۸- سرویس‌گیرنده پیغامی را به سرویس‌دهنده می‌فرستد تا به او اطلاع دهد، داده بعدی که توسط سرویس‌گیرنده ارسال می‌شود به‌وسیله کلید جلسه رمزنگاری خواهد شد و در ادامه، پیغام رمز شده نیز ارسال می‌شود تا سرویس‌دهنده از پایان یافتن Handshake سمت سرویس‌گیرنده مطلع شود.

۹- سرویس‌دهنده پیغامی را به سرویس‌گیرنده ارسال می‌کند تا او را از پایان Handshake سمت سرویس‌دهنده آگاه نماید و همچنین این که داده بعدی که ارسال خواهد شد توسط کلید جلسه رمز می‌شود.

۱۰- در این مرحلهSSL Handshake  تمام می‌شود و از این به بعد جلسه SSL شروع می‌شود و هر دو عضو سرویس‌دهنده و گیرنده شروع به رمزنگاری و رمزگشایی و ارسال داده‌ها می‌کنند.

Byadmin

آشنایی با دیواره‌ی آتش Firewall

آشنایی با دیواره‌ی آتش Firewall

آشنایی با دیواره‌ی آتش Firewall

آشنایی با دیواره‌ی آتش Firewall

مقدمه :

Firewall در فرهنگ كامپيوتر يعني محافظت از شبكه هاي داخلي در مقابل شبكه هاي خطاكار . معمولا يك شبكه كامپيوتري با تمام دسترسي ها در طرف و در طرف ديگر شما شبكه توليدات شركت را داريد كه بايد در مقابل رفتارهاي مخرب محافظت شود. چند سوال مطرح مي شود كه آيا واقعا نياز به محافظت از يك شبكه داخلي داريم و سوال ديگر اينكه چگونه از طريق يFirewall در فرهنگ كامپيوتر يعني محافظت از شبكه هاي داخلي در مقابل شبكه هاي خطاكار .

 

معمولا يك شبكه كامپيوتري با تمام دسترسي ها در طرف و در طرف ديگر شما شبكه توليدات شركت را داريد كه بايد در مقابل رفتارهاي مخرب محافظت شود. چند سوال مطرح مي شود كه آيا واقعا نياز به محافظت از يك شبكه داخلي داريم و سوال ديگر اينكه چگونه از طريق يك شبكه عمومي مانند اينترنت به آن دسترسي داشته باشيم .

دليل بسيار ساده اي دارد ؟ كه آن نياز به بقاء و رقابت است . اعتبار كمپانيها در اينترنت به تبليغات توليداتشان مي باشد . اينترنت به صورت شگفت انگيزي در حال رشد است .

مانند يك فروشگاه بسيار بزرگ بيشتر مردم به طرف اينترنت مي آيند وهمانطوريكه در يك فروشگاه بايد محصولات سالم باشند و بعد از فروش گارانتي بشوند اطلاعات و داده و انتقالات آنها نيز بايد به صورت امن و گارانتي شده باشد .

حال بايد مكانيزمهايي براي حفاظت از شبكه داخلي يا اينترنت شركت در مقابل دسترسي هاي غير مجاز ارائه دهيم

 

Firewall هاي مختلفي با ساختارهاي مختلف وجود دارد ولي عقيده اصلي كه پشت آنها خوابيده يكسان است . شما به شبكه اي نياز داريد كه به كاربرانتان اجازه دسترسي به شبكه هاي عمومي مانند اينترنت را بدهد و برعكس .

مشكل زماني پيش مي آيد كه كمپاني شما بدون در نظر گرفتن معيارهاي امنيت بخواهد به اينترنت وصل شود و شما در معرض دسترسي از طرف Server هاي ديگر در اينترنت هستيد. نه تنها شبكه داخلي كمپاني در مقابل دسترسي هاي غير مجاز آسيب پذير است بلكه تمام Server هاي موجود در شبكه كمپاني در معرض خطر هستند .

بنابراين به فكر محافظت از شبكه مي افتيد و اينجاست كه نياز به يك Firewall احساس مي شود .

به هر حال قبل از فكر كردن درباره Firewall بايد سرويسها واطلاعاتي كه مي خواهيد روي اينترنت در دسترس عموم قرار دهيد مشخص كنيد .

آشكارست كه در ابتدا شما مي خواهيد مطمئن شويد كه سرور شما امن است شما مي توانيد مجوزهاي دسترسي , انتقال فايل و اجراي راه دور و همچنين منع مجوزهاي ورود دوباره , Telnet , Ftp , SMTP وديگر سرويسها . اگر شما بخواهيد از اين سرويسها استفاده كنيد نياز به Firewall داريد

به هر حال Firewall چيست ؟ اساسا يك فايروال جداكننده شبكه هاي امن از ناامن در اينترنت است . Firewall تمام اتصالاتي كه از اينترنت به شبكه هاي محافظت وارد مي شوند را فيلتر مي كند .

قبل از تعريف اينكه چه نوع از Firewall ها بهترين مجموعه براي نيازهاي ماست , ما بايد توپولوژي شبكه را براي تعيين اجزاي آن مانند Hub ها , Switch ها , Router ها و Cabling آناليز كنيم تا بهترين Firewall كه مخصوص اين توپولوژي باشد را پيدا كنيم .

براي ايجاد امنيت در شبكه ما نياز به بررسي شبكه داخلي از لحاظ مدل لايه بندي ISO آن داريم بطوريكه مي دانيد Reapter ها و Hub ها در لايه اول , Switch ها و Bridge ها در لايه دوم و Router ها در لايه سوم , يك Firewall در تمام لايه هاي شبكه مي تواند عمل كند ( از جمله در هر هفت لايه ) لايه ها مسئول پاسخگويي به كنترل و ايجاد نشستها و بكارگيري آنها مي باشند . بنابراين با يك Firewall ما مي توانيم جريان اطلاعات را در طول ايجاد كنترل كنيم .

Firewall ها به ما امكان مديريت دروازه هاي ورود به Web را مي دهد و امكان تمركز روي پروژه اصلي را مي دهد .

 

The purpose of a Firewall

Firewall ها به تنهايي نمي توانند امنيت شبكه را برقرار كنند آنها فقط يك قسمت از سايت شما را امن مي كنند و به منظور امنيت شبكه بايد محدوده اي از شبكه را مشخص كنيد و نياز به اين داريد كه چيزهايي در شبكه كه بايد محدود شوند را تعيين كنيد ويك سياست امن را گسترش دهيد و مكانيسمهايي براي اعمال سياستهاي مورد نظر روي شبكه را ايجاد كنيد البته مكانيسمهايي پشت Firewall ها هستند كه مي توانيد به صورت عجيبي سطح امنيت را بالا ببريد .

اين مكانيسمها بعد از اعمال سياست امنيت مشخص مي شوند و نه قبل از آن . براي ايجاد يك مكانيسم امن براي محافظت از Web Site شما بايد يك Firewall براي نيازهاي خود مشخص كنيد وآن را پياده سازي كنيد.

ايجاد امنيت از سازماني به سازمان ديگر متفاوت است البته اين بستگي به چيزي كه آنها مخواهند توسعه دهند دارد . مثلا Firewall من اختصاصا روي UNIX , NT , Dos كار مي كند . شما دقيقا به بستر اجرايي مورد نظر خود دقت كنيد همانطور كه اجراي پروژه را مشخص مي كنيم بايد سطوح امنيت را نيز مشخص كنيم تا بتوانيم آن را پياده سازي كنيم . اين يك روش براي موفقيت در پياده سازي مكانيسمهاي امنيت است .

Firewall ها علاوه براين كه امنيت واقعي را برقرار مي كنند يك نقش اساسي در مديريت امنيت را پوشش مي دهند .

 

Firewall Role of Protection The

Firewall ها امنيت در شبكه را برقرار مي كنند و ريسك Server هاي روي شبكه را با فيلتر كردن كاهش مي دهند به عنوان مثال : شببكه داراي ريسك كمتري مي باشد به علت اينكه پروتكلهاي مشخص شده روي Firewall مي توانند روي شبكه اعمال وظيفه كنند .

مشكل فايروالها محدوديت آنها در دسترسي به و از اينترنت است و شما مجبور مي شويد كه از Proxy Server استفاده كنيد .

Firewalls Providing Access Control

سرورها مي توانند از بيرون قابل دسترس باشند مثلا كسي ويروسي را با Mail مي فرستند و بعد از اجرا , فايروال را از كار مي اندازد . بنابراين تا جايي كه امكان دارد از دسترسي مستقيم به سرورها جلوگيري كرد .

 

 

 

 

The Security Role of a Firewall

ما مي توانيم به جاي آنكه Server را محدود كنيم يك سرور را با تمام دسترسيهاي ممكن به اينترنت وصل كنيم و Server ديگر را پشت Firewall به عنوان Backup از سرور قبلي داشته باشيم . با هك شدن يا خرابي سرور اولي ما مي توانيم آن را بازيابي كنيم .

روشهاي ديگر براي اعمال امنيت روي شبكه ممكن است موجب تغييراتي روي هر Server شبكه شود ممكن است تكنيكهاي بهتري نسبت به Firewall ها باشد ولي Firewall ها براي پياده سازي بسيار آسان هستند براي اينكه Firewall ها فقط يك نرم افزار مخصوص هستند .

يكي از مزاياي Firewall ها استفاده آنها براي اينكه بتوانيم با Log كردن دسترسي به سايت آمار دسترسيهاي به سايت خود را مشخص كنيم .

 

Advantages and Disadvantages of Firewalls

Firewall ها داراي مزاياي بسياري مي باشند با اين وجود داراي معايب نيز هستند . بعضي از Firewall در مقابل محدود كردن كاربران و درهاي پشتي (Back door ) كه محل حمله هكرها ست كه امنيت ندارند .

 

Access Restrictions

Firewall ها براي ايجاد امنيت بعضي از سرويسها مانند Telnet , Ftp , Xwindow را از كار مي اندازند و اين تنها محدود به فايروالها نمي شود . بلكه در سطح سايت نيز مي شود اين كار را انجام داد .

Back-Door Challenges: The Modem Threat

تا حالا مشخص شد كه امنيت درهاي پشتي كمپاني به وسيله Firewall تامين نمي شود بنابراين اگر شما هيچ محدوديتي در دسترسي به مودم نداشته باشد اين در بازي براي هكرها ست

SLIP , PPP از راههاي ورودي مي باشند و سئوال پيش مي آيد كه اگر اين سرويسها وجود داشته باشند چرا از Firewall استفاده مي كنيم .

Risk of Insider Attacks

ريسك دسترسي اعضاي داخلي .

Firewall Components

Policy

Advanced Authentication

Packet Filtering

Application gateways

Network Security Policy

تصميم براي برپايي يك Firewall در شبكه دو سطحي مي باشد .

Installation , Use of the System

سياستهاي دسترسي به شبكه محدوديتهايي بر روي شبكه در سطح بالا به ما مي دهد . همچنين چگونگي به كارگيري اين سرويسها را نيز مشخص مي كند .

Flexibility Policy

اگر شما به عنوان گسترش دهنده يك سياست دسترسي به اينترنت يا مدير Web و سرويسهاي الكترونيكي معمولي هستيد اين سياستها به دلايل زير بايد انعطاف پذير باشند

اينترنت هر روز با سرعت غير قابل پيش بيني رشد مي كند . وقتي اينترنت تغيير تغيير مي كند سرويسهاي آن نيز تغيير مي كند . بنابراين سياستهاي كمپاني بايد تغيير كند و شما بايد آماده ويرايش و سازگار كردن اين سياستها بدون تغيير در امنيت اوليه باشد .

كمپاني شما داراي ريسكهاي متغير با زمان است و شما بايد در مقابل اين ريسكها امنيت پردازشها را تامين كنيد .

 

Service-Access Policy

سياستهاي دسترسي بايد روي ورودي كابران متمركز شود .

 

Advanced Authentication

با وجود استفاده از Firewall بسياري از نتايج بد در مورد امنيت از پسوردهاي ضعيف و غير قابل تغيير ناشي مي شوند .

پسوردها در اينترنت از راههاي زيادي شكسته مي شوند بنابراين بهترين پسوردها نيز بي ارزشند .

مسئله اين است كه پسوردهايي كه بايد با يك الگوريتم خاصي ساخته شوند مي توان با آناليز سيستم به پسوردها والگوريتم استفاده شده پي برد مگر اينكه پسوردها بسيار پيچيده باشند.يك كركر مي تواند با برنامه خود پسورد تعدادي از كاربران را امتحان كرده و با تركيب نتايج ساختار كلي الگوريتم استفاده شده را بدست آورد و پسورد كاربران مختلف را مشخص كند.

همچنين بايد فراموش نكرد كه بعضي از سرويسهاي TCP , UDP در سطح آدرس سرور هستند و نيازي به كاربران خاص خود ندارند .

به عنوان مثال يك هكر مي تواند آدرس IP خود را با سرور يك كاربر معتبر يكسان كند واز طريق اين كاربر يك مسير آزاد به سرور مورد نظر باز كند و اين كابر به عنوان يك واسط بين دو سرور عمل مي كند .

هكر مي تواند يك درخواست به كابر داده واين كاربر از سرور خود اطلاعات را به سرور هكر انتقال مي دهد.اين پروسه به عنوان IP Spoofing مي باشد.

بيشتر روترها بسته هاي مسير يابي شده منبع را بلاكه مي كنند و حتي مي توانند آنها از فيلتر Firewall بگذرانند.

 

 

Packet Filtering

معمولا IP Packet Filtering در يك روتر را بريا فيلتر كردن بسته هايي كه بين روترها مياني جابجا مي شوند به كار مي برند اين روترها بسته هاي IP را براساس فيلدهاي زير فيلتر مي كنند .

 

Source ip address

Destination ip address

Tcp/Udp source port

Tcp/Udp destination port

 

 

 

 

Byadmin

تکنولوژی نوین کدهای مخرب

تکنولوژی نوین کدهای مخرب

تکنولوژی نوین کدهای مخرب

تکنولوژی نوین کدهای مخرب

شاید 15 سال پیش، هیچ كس گمان نمی‌كرد كه كد‌هاي مخرب تا اين حد در ساده‌ترين كار‌هاي روزمره ما نيز دخالت كنند.

آن روز‌ها وقتي يك ويروس جديد طراحي و خلق مي‌شد، انتشار آن، هفته‌ها و يا حتي ماه‌ها طول مي‌كشيد؛ چرا كه يك فلاپي ديسك مي‌تواند وسيله‌اي سريع براي انتشار ويروس‌ها نباشد!!

فناوري‌هاي مورد استفاده براي حفاظت سيستم‌ها در برابر اين ويروس‌هاي ماقبل تاريخ بسيار ساده و ابتدايي بودند، درست هماهنگ با فناوري‌هاي مورد استفاده براي طراحي، خلق و انتشار اين ويروس‌ها.

بنابراين در آن زمان، تعدادي روش محدود و ابتدايي براي مقابله با تهديدات رايانه اي و قابل قبول بودن سطح شرايط ايمني سيستم‌ها كفايت مي‌نمود.

اما اكنون ساختار و نحوه طراحي ويروس‌ها بسيار پيچيده‌تر شده است. هكر‌ها قدرتمند و توانا شده‌اند و عرصه‌هاي جديدي را فتح كرده‌اند مانند پست الكترونيك و نيز فناوري ويروس‌هايي كه بدون نياز به باز شدن پيغام‌ها از طرف كاربر به طور خودكار منتشر مي‌شوند.

اكنون ويروس‌هايي وجود دارند كه مي‌توانند رايانه‌ها را آلوده كنند فقط به اين دليل ساده كه كاربر به اينترنت متصل شده است.

 

هركدام از اين مراحل طي شده توسط هكر‌ها، نشان دهنده روند رو به رشد آنان در استفاده از فناوري‌هاي جديد براي طراحي، خلق و انتشار ويروس‌ها بوده است.

بنابراين براي حفاظت سيستم‌ها در مقابل اين كد‌هاي مخرب، روش‌هاي نوين منطبق بر فناوري‌هاي جديد لازم است.

براي نمونه اگر نامه‌هاي الكترونيكي منبع بالقوه تهديدات باشد، بررسي و جست‌وجوي مستمر يك برنامه ضدويروس، بايد نقل و انتقالات اطلاعاتي POP3 را نيز دربربگيرد.

اما امسال، سال 2006، واقعاً چه اتفاقاتي در حال رخ دادن است؟ آيا ما شاهد انقلاب‌هاي جديد در فناوري‌هاي مربوط به طراحي وخلق كد‌هاي مخرب خواهيم بود؟

هرگز. شايد بشود گفت كه طراحان كد‌هاي مخرب در خلاقيت و فناوري، حتي يك گام هم به عقب برداشته‌اند. روش‌هاي استفاده شده براي انتقال و انتشار كد‌هاي مخرب در رايانه‌ها، كمي ابتدايي‌تر نيز شده‌اند. مدت زماني است كه از ايده‌هاي خلاق و پي درپي براي نفوذ در سيستم‌ها مانند استفاده از روش‌هاي EPO (Entry Point Obscuring) و آلوده كردن فايل‌هاي PE ويندوز اثري نيست.

پيشرفته ترين روش‌ها در حال حاضر از يك rootkit استفاده مي‌كنند كه چه از نوع تجاري و چه از نوع غيرتجاري، اغلب اوقات توسط يك طراح حرفه‌اي ويروس، خلق نمي‌شوند.

خلاقيت و پيشرفت بسيار دشوار است و نياز به تلاش فراوان و تخيل خلاق دارد كه گمان نمي‌رود طراحان ويروس داراي چنين ويژگي‌هاي مثبتي باشند!!

شركت‌هاي امنيتي نيز به نوبه خود همواره در حال پژوهش، بررسي، طراحي و توليد فناوري‌هاي قدرتمند و مؤثر در مقابله با هكر‌ها هستند و به نظر مي‌رسد كه امنيت و حفاظت گوي سبقت را از طراحان كد‌هاي مخرب ربوده است و از لحاظ تكنولوژي درجايي بالاتر از آن‌ها ايستاده است.

استراتژي جديد هكر‌ها، روي استفاده از فناوري‌ها و خلاقيت‌هاي نوين تمركز نمي‌كند، بلكه جهت‌گيري آن به سمت رشد ارتكاب جرم‌هاي اينترنتي است.

 

تا چند سال قبل طراحان و خالقان ويروس به خود مي‌باليدند از اينكه ويروس‌هاي ساخت آن‌ها تا چه حد درسطح انتشار و تخريب موفق عمل مي‌كردند. اما اكنون در خصوص مبالغي كه از طريق كلاهبرداري‌هاي اينترنتي به سرقت مي‌برند به خود مي‌بالند.

 

براي دستيابي به اين هدف، آنها نيازي به تلاش فراوان و دانش پيشرفته براي تحليل API ها و آشنايي با سيستم‌هاي جديد تخريب ندارند.

يك روش قديمي و نخ نما براي فريب كاربر نيز كافي است كه پول وي به سرقت رود.

در دهه 30 در ايالات متحده آمريكا، فروشنده‌اي اعلام كرد كه روش قطعي مبارزه با آفات سيب زميني را يافته و حاضر است آن را با قيمتي مناسب در اختيار كشاورزان قرار دهد.

بسياري از توليدكنندگان سيب زميني نيز با خريد اين روش موافقت كردند و حتي حاضر شدند مبلغ آن را نيز پيش پرداخت كنند.

پس از پرداخت مبلغ، آنها دو تكه چوب به شكل مكعب مستطيل و به اندازه پاكت سيگار دريافت كردند. در راهنماي روش قاطع دفع آفات سيب زميني ذكر شده بود كه آنها مي‌بايست يك حشره را گرفته، آن را روي يكي از تكه‌هاي چوب گذاشته و با چوب ديگر روي آن ضربه بزنند تا آن حشره از بين برود و آنها بايد تا دفع كامل آفات اين عمل تكرار كنند!!

 

بله؛ اين فقط يك شگرد تبليغاتي فريبكارانه بود.

آيا شباهتي بين اين روش كهنه دهه 30 و روش‌هاي مورد استفاده طراحان كد‌هاي مخرب در سال 2006 ديده نمي‌شود؟

 

با غلبه امنيت و حفاظت بر كد‌هاي مخرب و ويروس‌ها در عرصه تكنولوژي و دانش، اكنون فناوري‌هاي امنيتي حفاظتي مبارزه دوم را آغاز مي‌كنند.

مقابله با كد‌هاي مخربي كه داراي تكنولوژي پيشرفته‌اي نيستند، اما از عملكرد كاربراني كه در دام هكر‌ها گرفتار شده‌اند سوءاستفاده مي‌كنند.

هيچ حفره امنيتي در زمينه امنيت IT از يك كاربر بي‌تجربه و ساده خطرناك‌تر نيست. بنابراين فناوري‌هاي حفاظتي جديد بايد به رفع اين مشكل بپردازند.

از آنجا كه تكنولوژي و دانش هكر‌ها براي مدت زماني است كه متوقف مانده و رو به پيشرفت نمي‌رود، سيستم‌هاي حفاظت جديد يقيناً قادر خواهند بود تا بسادگي حملات هك را دفع كنند.

 

 

 

Byadmin

کوکی (Cookie) چیست؟

کوکی (Cookie) چیست؟

کوکی (Cookie) چیست؟

کوکی (Cookie) چیست؟

تقریبا تمام سایت هایی که بازدید می کنید اطلاعاتی را در قالب یک فایل کوچک متنی (Text) بر روی کامپیوتر شما ذخیره می کنند به این فایل کوکی می گویند محل ذخیره شدن این فایل در فولدر Temporary Internet Files در اینترنت اکسپولرر و در نت اسکیپ در فولدر Cashe است در اپرا و موزیلا و نسخه های قدیمی تر اینترنت اکسپولرر در فولدر جدایی به نام کوکی است.

انواع مختلفی از کوکی ها وجود دارد و شما در نسخه های جدیدتر وب بروسر ها (Web Browsers) این امکان را دارید که انتخاب کنید کدام کوکی ها برروی کامپیوتر شما ذخیره شوند در صورتی که کوکی ها را کاملا غیر فعال کنید ممکن است بعضی سایت های اینترنتی را نتوانید ببیند و یا از بعضی امکانات مثل به یاد داشتن شناسه و رمز عبور شما در آن سایت محروم شوید و یا انتخاب هایی که داشتید مثل ساعت محلی و یا دمای هوای محلی و کلا از تنظیمات شخصی ای که در آن وب سایت انجام داده اید نتوانید استفاده کنید.

کوکی ها چگونه مورد استفاده قرار می گیرند؟

همانطوری که گفتیم کوکی یک فایل است که توسط یک وب سایت برای حفظ اطلاعات بر روی کامپیوتر شما قرار می گیرد یک کوکی می تواند شامل اطلاعاتی باشد که شما در آن سایت وارد کرده اید مانند ای میل – آدرس – شماره تلفن و سایر اطلاعات شخصی – همچنین کوکی ها می توانند صفحات و یا کارهایی را که در آن وب سایت انجام داده اید مثل تعداد کلیک لینک های بازدید شده و مدت بازدیدرا نیز ضبط کنند. این به سایت کمک می کند تا دفعه بعد که به آن سایت بازگشتید اطلاعات شما را به خاطر داشته باشد و از وارد کردن تکراری اطلاعات خودداری کنید نمونه بارز این مطلب لاگ این ماندن شما در آن سایت است و یا پیغام های Welcome Back و یا حفظ تنظیماتی که درآن سایت انجام داده این به عنوان مثال می توان به خصوصی کردن صفحه My MSN اشاره کرد. نکته ای را که باید به خاطر داشته باشید این است که هر وب سایت فقط می تواند از اطلاعاتی که شما وارد کرده اید استفاده کند نه بیشتر مثلا اگر ای میل خود را در آن سایت وارد نکرده اید آن وب سایت نمی تواند ای میل شما را به دست آورد و یا به سایر اطلاعات کامپیوتر شما دست یابد .

مورد دیگر اینکه وب سایت ها فقط می توانند کوکی هایی را که خود ایجاد کرده اند بخوانند و نمی توانند از سایر کوکی های موجود استفاده کنند. وقتی که از یک وب سایت برای بار دوم بازدید می کنید آن وب سایت به دنبال کوکی مربوط به خود می گرد و در صورت وجود از آن استفاده می کند.( البته باز هم با توجه به تنظیماتی که انجام داده اید )

 

انواع کوکی ها:

کوکی های پایا – دائمی (presistent Cookies):

این نوع کوکی ها به عنوان یک فایل بر روی کامپیوتر شما ذخیره می شوند و بعد از بستن مرورگر اینترنتی شما پاک نخواهند شد و همچنان باقی می مانند. این کوکی ها قابلیت به روز شدن توسط سایت ایجاد کننده خود را دارند همچنین سایت اجازه دسترسی مستقیم به این کوکی ها رو نیز دارد حدود 80 درصد کوکی های مورد استفاده از این نوع هستند.

کوکی های موقت (Temporary Cookies):

کوکی هایی هستند که بعد از بستن مرورگر اینترنتی شما و یا خروج از سایت استفاده کننده از کوکی پاک می شوند.

نوع دیگر کوکی های موقت کوکی های زمان دار هستند که زمانی برای کار دارند و بعد از آن اصطلاحا Expire می شوند و از کار می افتند ولی پاک نمی شوند و در صورت بازدید مجدد از سایت ممکن است به روز رسانی شوند و مجددا مورد استفاده قرار بگیرند.

 

کوکی های ناخوشایند؟(Un$$$isfactory cookies)

این کوکی ها اجازه دسترسی به اطلاعات خصوصی شما را برای استفاده دویاره بدون پرسیدن از شما دارند از این کوکی ها بیشتر در خرید های اینترنتی و سایت امن (SSL*) مورد استفاده قرار می گیرند.

مقایسه کوکی های متعلق به سایت اصلی (First Party) و کوکی های متعلق به سایت های دیگر (Third Party)

دوستان قبل از هر چیز اجازه بدین با دو مفهوم First & third party اشنا شویم این مفاهیم در حقیقت مفاهیم بیمه ای هستند :

First Party: عضو اصلی یک خانواده و یا شرکت صاحب حقوق و مزایای اصلی کسی که بیمه نامه اصلی را داراست (Policy Holder)

Second party : شرکت بیمه کننده

Third Party : هر شخص سومی غیر از این دو کلا بقیه افراد

 

و اما این مفاهیم در کوکی ها چه معنایی می دهند؟

First Party : کوکی هایی هستند که فقط اطلاعات آنها به سایت که توسط آنها ایجاد شده اند فرستاده می شود و کار آنها همانطور که اشاره شد یادآوری اطلاعات ماست.

Third Party : کوکی هایی هستند که اطلاعات را به چندین سایت مختلف غیر از آنچه بازدید می کنید می فرستند استفاده این کوکی ها معمولا تجاری است بدینگونه که شما از سایتی بازدید می کنید و آن سایت دارای بنرهای تجاری و تبلیغات از سایت دیگری (Third Party) می باشد در اینجاست که کوکی Third Party وارد عمل شده و اطلاعات شما را ثبت می کند به عنوان مثال صاحب تبلیغ با استفاده از این امکان می تواند ببیند که شما چه نوع تبلیغ هایی را بازدید می کنید و در کدام سایت ها. این نوع کوکی هم می توانند از نوع دائمی و هم موقت باشند. اصولا این نوع کوکی ها استاندارد نیستند و توسط مرورگرهای جدید بلوک می شوند. همچنین این کوکی ها ممکن است به هکر ها کمک کنند تا اطلاعات شخصی شما را بدست بیاورند.( برای جلوگیری از آخرین پچ های مرورگر خود استفاده کنید*) اصولا پیشنهاد می شود تا این کوکی ها را که هیچ استفاده مفیدی برای کاربر ندارند بلوک کنید.

 

 

 

 

Byadmin

Adware و Spyware چیست؟

Adware و Spyware چیست؟

Adware و Spyware چیست؟

Adware و Spyware چیست؟

آيا از صفحات مختلفي که گاه و بيگاه ، نا خواسته روي صفحه مانيتورتان ظاهر مي شود بستوه آمده ايد ؟
آيا مي دانيدکه سيستم شما آلوده به برنامه هاي جاسوسي شده است؟
مي دانيد در هنگام استفاده از سرويس هاي File Sharing مانند Kazza و … سيستم شما آلوده به Spyware و Adware ميگردد؟
Spyware و Adware فايل هائي هستند که روي کامپيوتر شما نصب مي شوند حتي بدون اينکه شما چنين چيزي را درخواست کرده باشيد! اين برنامه ها شرکت هاي بزرگ را قادر مي سازند تمام اعمال شما را در هنگام گشت و گذار در اينترنت رديابي کنند . بدانند چه مي خواهيد ؛ چه مي خريد و حتي به چه چيزهائي علاقه داريد.

 

ابزار جاسوسي Spy ware در حالت کلي به هر تکنولوژي برمي گردد که منجر به جمع آوري اطلاعات درباره يک  شخص يا سازمان بدون اينکه آنها بدانند مي شود.در حيطه اينترنت،نرم افزاري است که طوري برنامه نويسي شده  است که بر روي کامپيوتر يک شخص قرار  مي گيرد  تا درباره کاربر و  مطالب مورد علاقه وي اطلاعاتي را بطور  محرمانه جمع آوري کند.Spyware مي تواند به  صورت يک ويروس نرم افزاري يا در نتيجه نصب يک  برنامه جديد در يافت شود.مثلا کوکي ها از اين نوع هستند و کاربر مي تواند دستيابي به اطلاعات کوکي را غير مجاز کند.مدياهاي مختلفي که رايگان بر روي وب هستند نيز به همين منظور مي  باشند.
متاسفانه در اکثر حالات اين جاسوسي قانوني است زيرا اين شرکت ها موافقت شما را با نصب اين برنامه ها در متن يادداشت License agreement خويش براي اينکه از برنامه هاي آنها (برنامه هائي مانند Kazza و…) استفاده کنيد ؛ دريافت کرده اند و در واقع کاربر از همه جا بي خبر که بدون خواندن متن اين License ها آنها را تائيد مي کند ؛ با دست خويش سيستم خود را به سمت هلاکت سوق داده است.
بنا بر اين اگر در هنگام گشت و گذار در اينترنت ؛ ناگهان صفحات ناخواسته اي روي مونيتور شما ظاهر شد
که اکثر آنها شما را ترغيب به کليک روي لينک خاصي مي نمايند ؛ شک نکنيد که سيستم شما آلوده به Spyware مي باشد .
خوب با اين اوصاف چه بايد کرد؟
نگران نباشيد چون برنامه هاي متعددي جهت پاکسازي سيستم از شر اين مهمان هاي ناخوانده وجود دارد . همچنين سايتهاي متعددي وجود دارند که بصورت Online سيستم شما را از حيث وجود اين برنامه ها بررسي مي کنند. شما با مراجعه به آدرس
http://www.spywareguide.com/txt_onlinescan.html
مي توانيد سيستم خود را پويش کنيد . همچنين در سايت زير نيز برنامه هاي Desktop اي

کامپيوترتان وجود دارد که مي توانيد دانلود نمائيد.
http://www2.palsol.com/spyrem_offer/index.html?hop=cyberw

 

 

 

Byadmin

چالشها و راهكارهای امنيت شبكه

چالشها و راهكارهای امنيت شبكه

چالشها و راهكارهای امنيت شبكه

چالشها و راهكارهای امنيت شبكه

اينترنت يك شبكه عظيم اطلاع‌ رساني و يك بانك وسيع اطلاعاتي است كه در آينده نزديك دسترسي به آن براي تك‌ تك  افراد ممكن خواهد شد. كارشناسان ارتباطات، بهره‌گيري از اين شبكه را يك ضرورت در عصر اطلاعات مي‌دانند.

اين شبكه كه از هزاران شبكه كوچكتر تشكيل شده، فارغ از مرزهاي جغرافيايي، سراسر جهان را به هم مرتبط ساخته است. طبق آخرين آمار بيش از شصت ميليون رايانه از تمام نقاط جهان در اين شبكة گسترده به يكديگر متصل شده‌اند كه اطلاعات بي‌شماري را در تمامي زمينه‌ها از هر سنخ و نوعي به اشتراك گذاشته‌اند. گفته مي‌شود نزديك به يك ميليارد صفحه اطلاعات با موضوعات گوناگون از سوي افراد حقيقي و حقوقي روي اين شبكه قرار داده شده است.

اين اطلاعات با سرعت تمام در بزرگراههاي اطلاعاتي بين كاربران رد و بدل مي‌شود و تقريباً هيچ گونه محدوديت و كنترلي بر وارد كردن يا دريافت كردن داده‌ها اعمال نمي‌شود.

حمايت از جريان آزاد اطلاعات، گسترش روزافزون فنآوري اطلاعات و بسترسازي براي اتصال به شبكه‌هاي اطلاع‌رساني شعار دولتهاست. اين در حالي است كه گستردگي و تنوع اطلاعات آلوده روي اينترنت، موجب بروز نگراني در بين كشورهاي مختلف شده است. انتشار تصاوير مستهجن، ايجاد پايگاههايي با مضامين پورنوگرافي و سايتهاي سوءاستفاده از كودكان و انواع قاچاق در كشورهاي پيشرفته صنعتي بخصوص در خاستگاه اين شبكة جهاني يعني آمريكا، كارشناسان اجتماعي را بشدت نگران كرده، به گونه‌اي كه هيأت حاكمه را مجبور به تصويب قوانيني مبني بر كنترل اين شبكه در سطح آمريكا نموده است. هشدار، جريمه و بازداشت براي برپاكنندگان پايگاههاي مخرب و فسادانگيز تدابيري است كه كشورهاي مختلف جهان براي مقابله با آثار سوء اينترنت اتخاذ كرده‌اند.

ترس و بيم از تخريب مباني اخلاقي و اجتماعي، ناشي از هجوم اطلاعات آلوده و مخرب از طريق اينترنت، واكنشي منطقي است، زيرا هر جامعه‌اي چارچوبهاي اطلاعاتي خاص خود را دارد و طبيعي است كه هر نوع اطلاعاتي كه اين حد و مرزها را بشكند مي‌تواند سلامت و امنيت جامعه را به خطر اندازد. علي‌الرغم وجود جنبه‌اي مثبت شبكه‌‌هاي جهاني، سوء استفاده از اين شبكه‌هاي رايانه‌اي توسط افراد بزهكار، امنيت ملي را در كشورهاي مختلف با خطر روبرو ساخته است. از اين رو بكارگيري فيلترها و فاير وال‌هاي مختلف براي پيشگيري از نفوذ داده‌هاي مخرب و مضر و گزينش اطلاعات سالم در اين شبكه‌ها رو به افزايش است. خوشبختانه با وجود هياهوي بسياري كه شبكة اينترنت را غيرقابل كنترل معرفي مي‌كند، فناوري لازم براي كنترل اين شبكه و انتخاب اطلاعات سالم روبه گسترش و تكامل است.

  1. 2. امنيت شبكه‌هاي اطلاعاتي و ارتباطي

اهميت امنيت شبكه

چنانچه به اهميت شبكه‌هاي اطلاعاتي (الكترونيكي) و نقش اساسي آن دريافت اجتماعي آينده پي برده باشيم، اهميت امنيت اين شبكه‌ها مشخص مي‌گردد. اگر امنيت شبكه برقرار نگردد، مزيتهاي فراوان آن نيز به خوبي حاصل نخواهد شد و پول و تجارت الكترونيك، خدمات به كاربران خاص، اطلاعات شخصي، اطلاعاتي عمومي و نشريات الكترونيك همه و همه در معرض دستكاري و سوءاستفاده‌هاي مادي و معنوي هستند. همچنين دستكاري اطلاعات- به عنوان زيربناي فكري ملت‌ها توسط گروههاي سازماندهي شده بين‌المللي، به نوعي مختل ساختن امنيت ملي و تهاجم عليه دولت‌ها و تهديدي ملي محسوب مي‌شود.

براي كشور ما كه بسياري از نرم‌افزارهاي پايه از قبيل سيستم عامل و نرم‌افزارهاي كاربردي و اينترنتي، از طريق واسطه‌ها و شركتهاي خارجي تهيه مي‌شود، بيم نفوذ از طريق راههاي مخفي وجود دارد. در آينده كه بانكها و بسياري از نهادها و دستگاههاي ديگر از طريق شبكة به فعاليت مي‌پردازند، جلوگيري از نفوذ عوامل مخرب در شبكه بصورت مسئله‌اي استراتژيك درخواهد آمد كه نپرداختن به آن باعث ايراد خساراتي خواهد شد كه بعضاً جبران‌ناپذير خواهد بود. چنانچه يك پيغام خاص، مثلاً از طرف شركت مايكروسافت، به كليه سايتهاي ايراني ارسال شود و سيستم عاملها در واكنش به اين پيغام سيستمها را خراب كنند و از كار بيندازند، چه ضررهاي هنگفتي به امنيت و اقتصاد مملكت وارد خواهد شد؟

نكته جالب اينكه بزرگترين شركت توليد نرم‌افزارهاي امنيت شبكه، شركت چك پوينت است كه شعبة اصلي آن در اسرائيل مي‌باشد. مسأله امنيت شبكة براي كشورها، مسأله‌اي استراتژيك است؛ بنابراين كشور ما نيز بايد به آخرين تكنولوژيهاي امنيت شبكه مجهز شود و از آنجايي كه اين تكنولوژيها به صورت محصولات نرم‌افزاري قابل خريداري نيستند، پس مي‌بايست محققين كشور اين مهم را بدست بگيرند و در آن فعاليت نمايند.

امروزه اينترنت آنقدر قابل دسترس شده كه هركس بدون توجه به محل زندگي، مليت، شغل و زمان ميتواند به آن راه يابد و از آن بهره ببرد. همين سهولت دسترسي آن را در معرض خطراتي چون گم شدن، ربوده شدن، مخدوش شدن يا سوءاستفاده از اطلاعات موجود در آن قرار مي‌دهد. اگر اطلاعات روي كاغذ چاپ شده بود و در قفسه‌اي از اتاقهاي محفوظ اداره مربوطه نگهداري مي‌شد، براي دسترسي به آنها افراد غيرمجاز مي‌بايست از حصارهاي مختلف عبور مي‌كردند، اما اكنون چند اشاره به كليدهاي رايانه‌اي براي اين منظور كافي است.

 

سابقه امنيت شبكه

اينترنت در سال 1969 بصورت شبكه‌هاي بنام آرپانت كه مربوط به وزارت دفاع آمريكا بود راه‌اندازي شد. هدف اين بود كه با استفاده از رايانه‌هاي متصل به هم، شرايطي ايجاد شود كه حتي اگر، بخشهاي عمده‌اي از سيستم اطلاعاتي به هر دليلي از كار بيفتد، كل شبكه بتواند به كار خود ادامه دهد، تا اين اطلاعات حفظ شود. از همان ابتدا، فكر ايجاد شبكه، براي جلوگيري از اثرات مخرب حملات اطلاعاتي بود.

در سال 1971 تعدادي از رايانه‌هاي دانشگاهها و مراكز دولتي به اين شبكه متصل شدند و محققين از اين طريق شروع به تبادل اطلاعات كردند.

با بروز رخدادهاي غيرمنتظره در اطلاعات، توجه به مسأله امنيت بيش از پيش اوج گرفت. در سال 1988، آرپانت براي اولين بار با يك حادثه امنيتي سراسري در شبكه، مواجه شد كه بعداً، «كرم موريس» نام گرفت. رابرت موريس كه يك دانشجو در نيويورك بود، برنامه‌هايي نوشت كه مي‌توانست به يك رايانه‌اي ديگر راه يابد و در آن تكثير شود و به همين ترتيب به رايانه‌هاي ديگر هم نفوذ كند و بصورت هندسي تكثير شود. آن زمان 88000 رايانه به اين شبكه وصل بود. اين برنامه سبب شد طي مدت كوتاهي ده درصد از رايانه‌هاي متصل به شبكه در آمريكا از كار بيفتد.

به دنبال اين حادثه، بنياد مقابله با حوادث امنيتي (IRST) شكل گرفت كه در هماهنگي فعاليتهاي مقابله با حملات ضد امنيتي، آموزش و تجهيز شبكه‌ها و روشهاي پيشگيرانه نقش مؤثري داشت. با رايج‌تر شدن و استفاده عام از اينترنت، مسأله امنيت خود را بهتر و بيشتر نشان داد. از جمله اين حوادث، اختلال در امنيت شبكه، WINK/OILS WORM در سال 1989، Sniff packet در سال 1994 بود كه مورد اخير از طريق پست الكترونيك منتشر مي‌شد و باعث افشاي اطلاعات مربوط به اسامي شماره رمز كاربران مي‌شد. از آن زمان حملات امنيتي- اطلاعاتي به شبكه‌ها و شبكه جهاني روزبه‌روز افزايش يافته است.

گرچه اينترنت در ابتدا، با هدف آموزشي و تحقيقاتي گسترش يافت، امروزه كاربردهاي تجاري، پزشكي، ارتباطي و شخصي فراواني پيدا كرده است كه ضرورت افزايش ضريب اطمينان آن را بيش از پيش روشن نموده است.

 

جرائم رايانه‌اي و اينترنتي

ويژگي برجسته فناوري اطلاعات، تأثيري است كه بر تكامل فناوري ارتباطات راه دور گذاشته و خواهد گذاشت. ارتباطات كلاسيك همچون انتقال صداي انسان، جاي خود را، به مقادير وسيعي از داده‌ها، صوت، متن، موزيك، تصاوير ثابت و متحرك داده است. اين تبادل و تكامل نه تنها بين انسانها بلكه مابين انسانها و رايانه‌ها، و همچنين بين خود رايانه‌ها نيز وجود دارد. استفاده وسيع از پست الكترونيك، و دستيابي به اطلاعات از طريق وب‌سايتهاي متعدد در اينترنت نمونه‌هايي از اين پيشرفتها مي‌باشد كه جامعه را بطور پيچيده‌اي دگرگون ساخته‌اند.

سهولت در دسترسي و جستجوي اطلاعات موجود در سيستمهاي رايانه‌اي توأم با امكانات عملي نامحدود در مبادله و توزيع اطلاعات، بدون توجه به فواصل جغرافيايي، منجر به رشد سرسام‌آور مقدار اطلاعات موجود در آگاهي كه مي‌توان از آن بدست آورد، شده است.

اين اطلاعات موجب افزايش تغييرات اجتماعي و اقتصادي پيش‌بيني نشده گرديده است. اما پيشرفتهاي مذكور جنبة خطرناكي نيز دارد كه پيدايش انواع جرايم و همچنين بهره‌برداري از فناوري جديد در ارتكاب جرايم بخشي از آن به شمار مي‌رود. بعلاوه عواقب و پيامدهاي رفتار مجرمانه مي‌تواند خيلي بيشتر از قبل و دور از تصور باشد چون كه محدوديتهاي جغرافيايي يا مرزهاي ملي آن را محدود نمي‌كنند. فناوري جديد مفاهيم قانوني موجود را دچار چالشهايي ساخته است. اطلاعات و ارتباطات راه دور به راحت‌ترين وجه در جهان جريان پيدا كرده و مرزها ديگر موانعي بر سر اين جريان به شمار نمي‌روند. جنايتكاران غالباً در مكانهايي به غير از جاههايي كه آثار و نتايج اعمال آنها ظاهر مي‌شود، قرار دارند.

سوءاستفاده گسترده مجرمين، به ويژه گروههاي جنايتكار سازمان نيافته از فناوري اطلاعات سبب گشته است كه سياستگذاران جنايي اغلب كشورهاي جهان با استفاده از ابزارهاي سياست جنايي درصدد مقابله با آنها برآيند. تصويب كنوانسيون جرايم رايانه‌اي در اواخر سال 2001 و امضاي آن توسط 30 كشور پيشرفته، تصويب قوانين مبارزه با اين جرايم توسط قانون‌گذاران داخلي و تشكيل واحدهاي مبارزه با آن در سازمان پليس بيشتر كشورهاي پيشرفته و تجهيز آنها به جديدترين سخت‌افزارها و نرم‌افزارهاي كشف اين گونه جرايم و جذب و بكارگيري بهترين متخصصين در واحدهاي مذكور، بخشي از اقدامات مقابله‌اي را تشكيل مي‌دهد.

 

پيدايش جرايم رايانه‌اي

در مورد زمان دقيق پيدايش جرم رايانه‌اي نمي‌توان اظهارنظر قطعي كرد. اين جرم زائيده تكنولوژي اطلاعاتي و انفورماتيكي است، بنابراين بطور منظم بعد از گذشت مدت كوتاهي از شيوع و كاربرد تكنولوژي اطلاعات، باب سوءاستفاده نيز قابل طرح است. شيوع استعمال اين تكنولوژي و برابري كاربران آن حداقل در چند كشور مطرح جهان بصورت گسترده، امكان بررسي اولين مورد را دشوار مي‌سازد. در نهايت آن چه مبرهن است اينكه در جامعه آمريكا رويس موجب شد براي اولين بار اذهان متوجه سوءاستفاده‌هاي رايانه‌اي شود.

 

قضيه رويس:

آلدون رويس حسابدار يك شركت بود. چون به گمان وي، شركت حق او را پايمال كرده بود، بنابراين با تهيه برنامه‌اي، قسمتي از پولهاي شركت را اختلاس كرد. انگيزه رويس در اين كار انتقام‌گيري بود.

مكانيزم كار بدين گونه بود كه شركت محل كار وي يك عمده‌فروش ميوه وسبزي بود. محصولات متنوعي را از كشاورزان مي‌خريد و با استفاده از تجهيرات خود از قبيل كاميونها، انبار و بسته‌بندي و سرويس‌دهي به گروههاي فروشندگان، آنها را عرضه مي‌كرد. به دليل وضعيت خاص اين شغل، قيمتها در نوسان بود و ارزيابي امور تنها مي‌توانست از عهدة رايانه‌ برآيد تا كنترل محاسبات اين شركت عظيم را عهده‌دار شود.

كليه امور حسابرسي و مميزي اسناد و مدارك و صورت حسابها به صورت اطلاعات مضبوط در نوارهاي الكترونيكي بود.

رويس در برنامه‌ها، دستورالعمل‌هاي اضافي را گنجانده بود و قيمت كالاها را با ظرافت خاصي تغيير مي‌داد. با تنظيم درآمد اجناس وي مبلغي را كاهش مي‌داد و مبالغ حاصله را به حسابهاي مخصوص واريز مي‌كرد. بعد در زمانهاي خاص چكي به نام يكي از هفده شركت جعلي و ساختگي خودش صادر و مقداري از مبالغ را برداشت مي‌كرد. بدين ترتيب وي توانست در مدت 6 سال بيش از يك ميليون دلار برداشت كند. اما او بر سر راه خودش مشكلي داشت و آن اين بود كه مكانيسمي براي توقف عملكرد سيستم نمي‌توانست بينديشد. بنابراين در نهايت خود را به مراجع قضايي معرفي و به جرم خود اعتراض كرد و به مدت ده سال به زندان محكوم شد. از اين جا بود كه مبحث جديدي به نام جرم رايانه‌اي ايجاد شد.

 

تعريف جرم رايانه‌اي

تاكنون تعريفهاي گوناگوني از جرم رايانه‌اي از سوي سازمانها، متخصصان و برخي قوانين ارائه شده كه وجود تفاوت در آنها بيانگر ابهامات موجود در ماهيت و تعريف اين جرائم است.

جرم رايانه‌اي يا جرم در فضاي مجازي (ساير جرايم) داراي دو معني و مفهوم است. در تعريف مضيق، جرم رايانه‌اي صرفاً عبارت از جرايمي است كه در فضاي سايبر رخ مي‌دهد. از اين نظر جرايمي مثل هرزه‌نگاري، افترا، آزار و اذيت سوءاستفاده از پست الكترونيك و ساير جرايمي كه در آنها رايانه به عنوان ابزار و وسيله ارتكاب جرم بكار گرفته مي‌شود، در زمرة جرم رايانه‌اي قرار نمي‌گيرند.

در تعريف موسع از جرم رايانه‌اي هر فعل و ترك فعلي كه در اينترنت يا از طريق آن يا با اينترنت يا از طريق اتصال به اينترنت، چه بطور مستقيم يا غيرمستقيم رخ مي‌دهد و قانون آن را ممنوع كرده و براي آن مجازات در نظر گرفته شده است جرم رايانه‌اي ناميده مي‌شود. براين اساس اينگونه جرايم را مي‌توان به سه دسته تقسيم نمود:

دسته اول: جرايمي هستند كه در آنها رايانه و تجهيزات جانبي آن موضوع جرم واقع مي‌شوند. مانند سرقت، تخريب و غيره

دسته دوم: جرايمي هستند كه در آنها رايانه به عنوان ابزار وسيله توسط مجرم براي ارتكاب جرم بكار گرفته مي‌شود.

دسته سوم: جرايمي هستند كه مي‌توان آنها را جرايم رايانه‌اي محض ناميد. اين نو ع از جرايم كاملاً با جرايم كلاسيك تفاوت دارند و در دنياي مجازي به وقوع مي‌پيوندند اما آثار آنها در دنياي واقعي ظاهر مي‌شود. مانند دسترسي غيرمجاز به سيستم‌هاي رايانه‌اي.

 

 

 

 

 

Byadmin

کاربرد پراکسی در امنیت شبکه

کاربرد پراکسی در امنیت شبکه

کاربرد پراکسی در امنیت شبکه

کاربرد پراکسی در امنیت شبکه

پراکسی چیست؟

در دنیای امنیت شبکه، افراد از عبارت «پراکسی» برای خیلی چیزها استفاده می‌کنند. اما عموماً، پراکسی ابزار است که بسته‌های دیتای اینترنتی را در مسیر دریافت می‌کند، آن دیتا را می‌سنجد و عملیاتی برای سیستم مقصد آن دیتا انجام می‌دهد. در اینجا از پراکسی به معنی پروسه‌ای یاد می‌شود که در راه ترافیک شبکه‌ای قبل از اینکه به شبکه وارد یا از آن خارج شود، قرار می‌گیرد و آن را می‌سنجد تا ببیند با سیاست‌های امنیتی شما مطابقت دارد و سپس مشخص می‌کند که آیا به آن اجازه عبور از فایروال را بدهد یا خیر. بسته‌های مورد قبول به سرور موردنظر ارسال و بسته‌های ردشده دور ریخته می‌شوند.

پراکسی چه چیزی نیست؟

پراکسی‌ها بعضی اوقات با دو نوع فایروال اشتباه می‌شوند«Packet filter  و  Stateful packet filter» که البته هر کدام از روش‌ها مزایا و معایبی دارد، زیرا همیشه یک مصالحه بین کارایی و امنیت وجود دارد.

پراکسی با Packet filter تفاوت دارد

ابتدایی‌ترین روش صدور اجازه عبور به ترافیک بر اساس TCP/IP این نوع فیلتر بود. این نوع فیلتر بین دو یا بیشتر رابط شبکه قرار می‌گیرد و اطلاعات آدرس را در header IP ترافیک دیتایی که بین آنها عبور می‌کند، پیمایش می‌کند. اطلاعاتی که این نوع فیلتر ارزیابی می‌کند عموماً شامل آدرس و پورت منبع و مقصد می‌شود. این فیلتر بسته به پورت و منبع و مقصد دیتا و براساس قوانین ایجادشده توسط مدیر شبکه بسته را می‌پذیرد یا نمی‌پذیرد. مزیت اصلی این نوع فیلتر سریع بودن آن است چرا که header، تمام آن چیزی است که سنجیده می‌شود. و عیب اصلی ان این است که هرگز آنچه را که در بسته وجود دارد، نمی‌بیند و به محتوای آسیبشرسان اجازه عبور از فایروال را می‌دهد. بعلاوه، این نوع فیلتر با هر بسته بعنوان یک واحد مستقل رفتار می‌کند و وضعیت (State) ارتباط را دنبال نمی‌کند.

 

 

 پراکسی با Stateful packet filter تفاوت دارد

این فیلتر اعمال فیلتر نوع قبل را انجام می‌دهد، بعلاوه اینکه بررسی می‌کند کدام کامپیوتر در حال ارسال چه دیتایی است و چه نوع دیتایی باید بیاید. این اطلاعات بعنوان وضعیت (State) شناخته می‌شود.

پروتکل ارتباطی TCP/IP به ترتیبی از ارتباط برای برقراری یک مکالمه بین کامپیوترها نیاز دارد. در آغاز یک ارتباط TCP/IP عادی، کامپیوتر A سعی می‌کند با ارسال یک بسته SYN (synchronize) به کامپیوتر B ارتباط را برقرار کند. کامپیوتر B در جواب یک بسته SYN/ACK (Acknowledgement)  برمی‌گرداند، و کامپیوتر A یک ACK به کامپیوتر ‍B می‌فرستد و به این ترتیب ارتباط برقرار می‌شود. TCP اجازه وضعیتهای دیگر، مثلاً   FIN (finish) برای نشان‌دادن آخرین بسته در یک ارتباط را نیز می‌دهد.

هکرها در مرحله آماده‌سازی برای حمله، به جمع‌آوری اطلاعات در مورد سیستم شما می‌پردازند. یک روش معمول ارسال یک بسته در یک وضعیت غلط به‌منظوری خاص است. برای مثال، یک بسته با عنوان پاسخ (Reply) به سیستمی که تقاضایی نکرده، می‌فرستند. معمولاً، کامپیوتر دریافت‌کننده بیاید پیامی بفرستد و بگوید “I don’t understand”. به‌این ترتیب، به هکر نشان می‌دهد که وجود دارد، و آمادگی برقراری ارتباط دارد. بعلاوه، قالب پاسخ می‌تواند سیستم‌عامل مورد استفاده را نیز مشخص کند، و برای یک هکر گامی به جلو باشد. یک فیلتر Stateful packet منطق یک ارتباط TCP/IP را می‌فهمد و می‌تواند یک “Reply” را که پاسخ به یک تقاضا نیست، مسدود کند ـــ آنچه که یک فیلتر packet ردگیری نمی‌کند و نمی‌تواند انجام دهد. فیلترهای Stateful packet می‌توانند در همان لحظه قواعدی را مبنی بر‌اینکه بسته مورد انتظار در یک ارتباط عادی چگونه باید بنظر رسد، برای پذیرش یا رد بسته بعدی تعیین کنند. فایده این کار امنیت محکم‌تر است. این امنیت محکم‌تر، بهرحال، تا حدی باعث کاستن از کارایی می‌شود.  نگاهداری لیست قواعد ارتباط بصورت پویا برای هر ارتباط و فیلترکردن دیتای بیشتر، حجم پردازشی بیشتری به این نوع فیلتر اضافه می‌کند.

 

پراکسی ها یا Application Gateways

Application Gateways که عموماً پراکسی نامیده می‌شود، پیشرفته‌ترین روش استفاده شده برای کنترل ترافیک عبوری از فایروال‌ها هستند. پراکسی بین کلاینت و سرور قرار می‌گیرد و تمام جوانب گفتگوی بین آنها را برای تایید تبعیت از قوانین برقرارشده، میشسنجد. پراکسی بار واقعی تمام بسته‌های عبوری بین سرور وکلاینت را می‌سنجد، و می‌تواند چیزهایی را که سیاستهای امنیتی را نقض می‌کنند، تغییر دهد یا محروم کند. توجه کنید که فیلترهای بسته‌ها فقط headerها را می‌سنجند، در حالیکه پراکسی‌ها محتوای بسته را با مسدودکردن کدهای آسیب رسان همچون فایلهای اجرایی، اپلت های جاوا، ActiveX و … غربال می‌کنند.

پراکسی‌ها همچنین محتوا را برای اطمینان از اینکه با استانداردهای پروتکل مطابقت دارند، می‌سنجند. برای مثال، بعضی اَشکال حمله کامپیوتری شامل ارسال متاکاراکترها برای فریفتن سیستم قربانی است؛ حمله‌های دیگر شامل تحت تاثیر قراردادن سیستم با دیتای بسیار زیاد است. پراکسی‌ها می‌توانند کاراکترهای غیرقانونی یا رشته‌های خیلی طولانی را مشخص و مسدود کنند. بعلاوه، پراکسی‌ها تمام اعمال فیلترهای ذکرشده را انجام می‌دهند. بدلیل تمام این مزیتها، پراکسی‌ها بعنوان یکی از امن‌ترین روشهای عبور ترافیک شناخته می‌شوند. آنها در پردازش ترافیک از فایروالها کندتر هستند زیرا کل بسته‌ها را پیمایش می‌کنند. بهرحال «کندتر» بودن یک عبارت نسبی است.

آیا واقعاً کند است؟ کارایی پراکسی بمراتب سریعتر از کارایی اتصال اینترنت کاربران خانگی و سازمانهاست. معمولاً خود اتصال اینترنت گلوگاه سرعت هر شبکه‌ای است. پراکسی‌ها باعث کندی سرعت ترافیک در تست‌های آزمایشگاهی می‌شوند اما باعث کندی سرعت دریافت کاربران نمی‌شوند. در شماره بعد بیشتر به پراکسی خواهیم پرداخت.

 

 

 

Byadmin

امنيت نامه های الکترونيکی

امنيت نامه های الکترونيکی

امنيت نامه های الکترونيکی

امنيت نامه های الکترونيکی

الکترونيکی با هر يک از سطوح فوق متفاوت است . اين نوع برنامه ها ، امکان اجرای کدهای موجود در فايل اينترنت چالش های جديدی را در عرصه ارتباطات ايجاد کرده است. کاربران اينترنت با استفاده از روش های متفاوت ،امکان ارتباط با يکديگر را بدست آورده اند .اينترنت زير ساخت مناسب برای ارتباطات نوين را فراهم و زمينه ای مساعد و مطلوب بمنظور بهره برداری از سرويس های ارتباطی  توسط کاربران فراهم شده است .  بدون شک ، پست الکترونيکی در اين زمينه دارای جايگاهی خاص است .

پست الکترونيکی،  يکی از قديمی ترين و پرکاربردترين سرويس موجود در اينترنت است .  شهروندان اينترنت، روزانه ميليون ها نامه الکترونيکی را برای يکديگر ارسال می دارند. ارسال و دريافت  نامه الکترونيکی، روش های سنتی ارسال اطلاعات ( نامه های دستی ) را بشدت دستخوش تحول نموده و حتی در برخی از کشورها ،اغلب مردم تمايل به استفاده از نامه الکترونيکی در مقابل تماس تلفتی با همکاران و خويشاوندان خود دارند . در اين مقاله قصد نداريم به بررسی مزايای سيستم پست الکترونيکی اشاره نمائيم. در صورتيکه بپذيريم که سيستم پست الکترونيکی عرصه جديدی را در ارتباطات افراد ساکن در کره زمين ايجاد کرده است، می بايست بگونه ای حرکت نمائيم که از آسيب های احتمالی تکنولوژی فوق نيز در امان باشيم .

طی ساليان اخير، بدفعات شنيده ايم که شبکه های کامپيوتری از طريق يک نامه الکترونيکی آلوده و دچار مشکل و تخريب اطلاعاتی  شده اند. صرفنظر از وجود نواقص امنيتی در برخی از محصولات نرم افزاری که در جای خود توليد کنندگان اين نوع نرم افزارها بمنظور استمرار حضور موفقيت آميز خود در عرصه بازار رقابتی موجود، می بايست مشکلات و حفره های امنيتی محصولات خود را برطرف نمايند ، ما نيز بعنوان استفاده کنندگان از اين نوع نرم افزارها در سطوح متفاوت ، لازم است با ايجاد يک سيستم موثر پيشگيرانه ضريب بروز و گسترش اين نوع حوادث را به حداقل مقدار خود برسانيم . عدم وجود سيستمی مناسب جهت مقابله با اين نوع حوادث ، می تواند مسائلی بزرگ را در يک سازمان بدنبال داشته که گرچه ممکن است توليدکننده نرم افزار در اين زمينه مقصر باشد ولی سهل انگاری و عدم توجه به ايجاد يک سيستم امنيتی مناسب ، توسط استفاده کنندگان مزيد بر علت خواهد بود ( دقيقا” مشابه عدم بستن کمربند ايمنی توسط سرنشين يک خودرو با نواقص امنيتی ) . در اين مقاله ، به بررسی روش های پيشگيری از تخريب  اطلاعات در شبکه های کامپيوتری از طريق پست الکترونيکی پرداخته و با ارائه راهکارهای مناسب ، يک سيستم حفاظتی مطلوب پيشنهاد می گردد . در اين راستا ، عمدتا” بر روی برنامه سرويس گيرنده پست الکترونيکی ماکروسافت (Outlook) متمرکز خواهيم شد( بدليل نقش بارز و مشهود اين نوع از برنامه ها در جملات اينترنتی اخير) .

سيل ناگهانی حملات اينترنتی مبتنی بر کدهای مخرب،  با ظهور کرم ILOVEYOU  ، وارد عرصه جديدی شده است . سيتسم های مدرن پست الکترونيکی بمنظور مقابله با اين نوع از تهديدات ، تدابير لازم را در جهت ايجاد يک حفاظ امنيتی مناسب برای  مقابله با عرضه و توزيع کدهای مخرب آغاز نموده اند .برنامه های سرويس گيرنده پست الکترونيکی متعلق به شرکت ماکروسافت ، هدفی جذاب برای اغلب نويسندگان کدهای مخرب می باشند . شايد يکی از دلايل آن ،  گستردگی و مدل برنامه نويسی خاص  بکارگرفته شده در آنان باشد . تاکنون  کدهای مخرب فراوانی ، محصولات ماکروسافت را هدف قرار داده اند . عملکرد قدرتمند سه نوع ويروس ( و يا کرم ) در زمينه تخريب اطلاعات از طريق اينترنت ، شرکت ماکروسافت را وادار به اتخاذ  تصميمات امنيتی خاص در اينگونه موارد نمود . اين ويروس ها عبارتند از :

ويروس Melissa  ، هدف خود را بر اساس  يک فايل ضميمه Word مورد حمله ويرانگر قرار می دهد . بمحض باز نمودن فايل ضميمه ،  کد مخرب بصورت اتوماتيک فعال می گردد .

ويروس BubbleBoy ، همزمان با مشاهده ( پيش نمايش ) يک پيام ، اجراء می گردد . در اين رابطه ضرورتی به باز نمودن فايل ضميمه بمنظور فعال شدن و اجرای کدهای مخرب وجود ندارد . در  ويروس فوق ، کدهای نوشته شده  در بدنه نامه الکترونيکی قرار می گيرند . بدين ترتيب، بمحض نمايش پيام توسط برنامه مربوطه ، زمينه اجرای کدهای مخرب فراهم می گردد .

کرم ILOVEYOU  از لحاظ مفهومی شباهت زيادی با ويروس Mellisa داشته و بصورت  يک فايل ضميمه همراه يک نامه الکترونيکی جابجا می گردد . در اين مورد خاص،  فايل ضميمه خود را بشکل يک سند Word تبديل نکرده و در مقابل فايل ضميمه از نوع يک اسکريپت ويژوال بيسيک (vbs . ) بوده و بمحض فعال شدن، توسط ميزبان اسکريپت ويندوز (Windows Scripting Host :WSH) تفسير و اجراء می گردد .

 

 

پيشگيری ها

در اين بخش به ارائه پيشنهادات لازم در خصوص پيشگيری از حملات اطلاعاتی مبتنی بر سرويس گيرندگان پست الکترونيکی خواهيم پرداخت.رعايت موارديکه در ادامه بيان می گردد، بمنزله حذف کامل تهاجمات اطلاعاتی از اين نوع نبوده بلکه زمينه تحقق اين نوع حوادث را کاهش خواهد داد .

پيشگيری اول  : Patch های برنامه پست الکترونيکی ماکروسافت

بدنبال ظهور کرم ILOVEYOU  و ساير وقايع امنيتی در رابطه با امنيت کامپيوترها در شبکه اينترنت،  شرکت ماکروسافت يک Patch امنيتی برای برنامه های outlook 98  و outlook 2000 عرضه نموده است . Patch فوق، با ايجاد محدوديت در رابطه با  برخی از انواع فايل های ضميمه ، زمينه اجرای کدهای مخرب را حذف می نمايد . با توجه به احتمال وجود کدهای مخرب در فايل های ضميمه  و ميزان مخرب بودن آنان،  تقسيمات خاصی توسط ماکروسافت انجام گرفته است .فايل های ضميمه ای که دارای بيشترين احتمال تهديد برای سيستم های کامپيوتری می باشند ،  سطح يک و فايل هائی با احتمال تخريب اطلاعاتی کمتر  سطح دو ، ناميده شده اند. نحوه برخورد برنامه های سرويس گيرنده پست های ضميمه از نوع سطح يک را بلاک می نمايند. جدول زير انواع فايل ها ی موجود در سطح يک را نشان می دهد .

 

انشعاب شرح
ade Microsoft Access project extension
adp Microsoft Access project
bas Visual Basic class module
bat Batch file
chm Compiled HTML Help file
cmd Windows NT Command script
com MS-DOS program
cpl Control Panel extension
crt Security certificate
exe Program
hlp Help file
hta HTML
inf Setup Information
ins Internet Naming Service
isp Internet Communication settings
js JScript Script file
jse JScript Encoded Script file
lnk Shortcut
mdb Microsoft Access program
mde Microsoft Access MDE database
msc Microsoft Common Console document
msi Windows Installer package
msp Windows Installer patch
mst Visual Test source files
pcd Photo CD image
pif Shortcut to MS-DOS program
reg Registration entries
scr Screen saver
sct Windows Script Component
shs Shell Scrap Object
url Internet shortcut
vb VBScript file
vbe VBScript encoded script file

 

Patch فوق،  در رابطه با ضمائمی که با نام سطح دو( مثلا” فايل هائی از نوع zip )  ، شناخته می شوند از رويکردی ديگر استفاده می نمايد . اين نوع ضمائم بلاک نمی گردند ولی لازم است که کاربر قبل از اجراء آنان را بر روی کامپيوتر خود ذخيره نمايد . بدين ترتيب در روند اجراء يک توقف ناخواسته بوجود آمده و زمينه فعال شدن ناگهانی آنان بدليل سهل انگاری ، حذف می گردد. در رابطه با اين نوع از فايل ها ، پيامی مشابه زير ارائه می گردد .

فايل هائی بصورت پيش فرض درسطح دو ،  وجود نداشته و مديرسيستم می تواند فايل هائی با نوع خاص را اضافه نمايد (در رابطه با فايل های سطح يک نيز امکان حذف و يا افزودن فايل هائی وجود دارد ) . در زمان تغيير نوع فايل های سطح يک و دو، می بايست به دو نکته مهم توجه گردد : عمليات فوق،  صرفا” برای کاربرانی که به سرويس دهنده پست الکترونيکی Exchange متصل هستند امکان پذير بوده و کاربرانی که از فايل ها ی pst . برای ذخيره سازی پيام های الکترونيکی خود استفاده می نمايند را شامل نمی شود. قابليت تغيير تعاريف ارائه شده سطح يک و دو،  می تواند بعنوان يک رويکرد مضاعف در رابطه با سياست های امنيتی محلی، مورد استفاده قرار گيرد . مثلا” می توان با استفاده از ويژگی فوق،  فايل های با انشعاب doc . ( فايل های word) را به ليست فايل های سطح يک اضافه کرد. برای انجام تغييرات مورد نظر در نوع فايل ضميمه تعريف شده در سطح يک ، می بايست مراحل زير را دنبال نمود :

برنامه Regedit.exe را اجراء نمائيد .

کليد HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Security key را انتخاب نمائيد . ( در صورتيکه کليد فوق وجود ندارد می بايست آن را ايجاد کرد) .

از طريق منوی Edit  دستور New  و در ادامه String Value انتخاب گردد .

نام جديد را Level1AttachmentAdd  منظور نمائيد.

گزينه new Level1AttachmentAdd value را انتخاب و دکمه Enter را فعال نمائيد .

يک رشته شامل انشعاب فايل های مورد نظر را که قصد اضافه کردن آنها را داريم ، وارد نمائيد ( هر يک از انشعاب فايل ها توسط  “;” از يکديگر تفکيک می گردند )

Example:
Name: Level1AttachmentAdd
Type: REG_SZ
Data: doc;xls

در زمان بازنمودن فايل های ضميمه ای که از نوع سطح يک و يا دو نمی باشند( فايل های آفيس نظير  Word ,Powerpoint بجزء فايل های مربوط به Access  )  ، پيامی مطابق شکل زير ارائه و کاربران دارای حق انتخاب بمنظور فعال نمودن ( مشاهده ) فايل ضميمه و يا ذخيره آن بر روی کامپيوتر را دارند . پيشنهاد می گردد که در چنين مواردی فايل ذخيره و پس از اطمينان از عدم وجود کدهای مخرب ، فعال و مشاهده گردد . در اين رابطه می توان از ابزارهای موجود استفاده کرد .

 

Patch فوق، همچنين امکان دستيابی به دفترچه آدرس Outlook را از طريق مدل شی گراء Outlook و  CDO)Collaborative Data Objects)   ، توسط کدهای برنامه نويسی کنترل  می نمايد .بدين ترتيب، پيشگيری لازم در مقابل کدهای مخربی که بصورت خودکار و تکراری اقدام به تکثير نسخه هائی از خود  برای ليست افراد موجود در دفترچه آدرس می نمايند ، انجام خواهد يافت . Patch فوق، صرفا” برای نسخه  های Outlook 98 و outlook 2000 ارائه شده است ( برای نسخه های قبلی و يا Outlook Express  نسخه مشابهی ارائه نشده است ) .

 

پيشگيری دوم  : استفاده از نواحی امنيتی Internet Explorer

سرويس گيرندگان Outlook 98/2000  و Outlook Express 4.0/5.0  امکان استفاده از مزايای نواحی (Zones) امنيتی مرورگر IE را بمنظور حفاظت در مقابل کدهای مخرب ( کنترل های ActiveX ، جاوا  و يا اسکريپت ها ) موجود در بدنه پيام ها ،خواهند داشت . مرورگر IE ، امکان اعمال محدوديت در اجرای کدها را بر اساس چهار ناحيه فراهم می نمايد . قبل از پرداختن به نحوه استفاده از تنظيمات فوق توسط برنامه outlook ، لازم است که به کاربرد هر يک ازنواحی در مرورگر IE ، اشاره گردد :

 

Local Intranet zone :ناحيه فوق، شامل آدرس هائی است که قبل  از فايروال سازمان و يا سرويس دهنده Proxy قرار می گيرند . سطح امنيتی پيش فرض برای ناحيه فوق ، ” medium -low” است .

Trusted Sites zone : ناحيه فوق، شامل سايت هائی است که مورد اعتماد می باشند . ( سايت هائی که  شامل فايل هائی بمنظور تخريب اطلاعاتی نمی باشند )  . سطح امنيتی پيش فرض برای ناحيه فوق،  ” low” است .

Restricted Sites zone :  ناحيه فوق، شامل ليست سايت هائی است که مورد اعتماد و تائيد نمی باشند . ( سايت هائی که ممکن است دارای محتوياتی باشند که در صورت دريافت و اجرای آنها ، تخريب اطلاعات را بدنبال داشته باشد ) .سطح امنيتی پيش فرض برای ناحيه فوق ،” high” است .

Internet zone  : ناحيه فوق ، بصورت پيش فرض شامل هرچيزی که بر روی کامپيوتر و يا اينترانت موجود نمی باشد ، خواهد بود . سطح امنيتی پيش فرض برای ناحيه فوق، ” medium ” است .

برای هر يک از نواحی فوق، می توان يک سطح  امنيتی بالاتر را نيز تعريف نمود. ماکروسافت در اين راستا سياست هائی با نام : low , medium-low , medium  و high را تعريف کرده است . کاربران می توانند هر يک از پيش فرض های فوق را انتخاب و متناسب با نياز خود آنان را تغيير نمايند .

برنامه outlook می تواند از نواحی فوق استفاده نمايد . در اين حالت کاربر قادر به انتخاب دو ناحيه ( Internet zone و Restricted Zone ) خواهد بود .

 

 

تنظيمات تعريف شده برای ناحيه انتخاب شده در رابطه با تمام پيام های outlook اعمال خواهد شد . پيشنهاد می گردد ناحيه restricted انتخاب گردد . بدين منظور گزينه Tools/Options  و در ادامه گزينه Security را انتخاب نموده و از ليست مربوطه ناحيه Restricted sites را انتخاب نمائيد.  در ادامه و بمنظور انجام تنظيمات مورد نظر ، دکمه Zone Settings را فعال و گزينه Custom Level  را انتخاب نمائيد . تغييرات اعمال شده در زمان استفاده  از برنامه مرورگر برای دستيابی به وب سايت ها  نيز مورد توجه قرار خواهند گرفت . پيشنهادات ارائه شده مختص برنامه IE 5.5 بوده و در نسخه های 5 و 4 نيز از امکانات مشابه با اندکی تغييرات استفاده می گردد. در اين رابطه تتظيمات زير پيشنهاد می گردد :

گزينه وضعيت
Download signed ActiveX controls DISABLE
Download unsigned ActiveX controls DISABLE
Initialize and script ActiveX controls not marked as safe DISABLE
Run ActiveX controls and plug-ins DISABLE
Script ActiveX controls marked safe for scripting DISABLE
Allow per-session cookies (not stored) DISABLE
File download DISABLE
Font download DISABLE
Java permissions DISABLE  JAVA
Access data sources across domains DISABLE
Don�t prompt for client certificate selection when no certificates or only one certificate exists DISABLE
Drag and drop or copy and paste files DISABLE
Installation of desktop items DISABLE
Launching programs within an IFRAME DISABLE
Navigate sub-frames across different domains DISABLE
Software channel permissions HIGH SAFETY
Submit nonencrypted form data DISABLE
Userdata persistence DISABLE
Active scripting DISABLE
Allow paste operations via script DISABLE
Scripting of Java Applets DISABLE
Logon Anonymous logon

 

با غير فعال نمودن گزينه های فوق، امکانات پيشرفته ای از کاربر سلب می گردد. امکانات فوق برای تعداد زيادی از کاربران پست الکترونيکی ،  دارای کاربردی  خاص نخواهند بود . اکثر نامه های الکترونيکی ، پيام های ساده متنی بهمراه ضمائم مربوطه می باشند. گزينه های فوق، عموما” به غير فعال نمودن اسکريپت ها و کنترل های موجود در بدنه يک پيام الکترونيکی اشاره داشته و برای کاربران معمولی سيستم پست الکترونيکی دارای کاربردی خاص نمی باشند. تنظيمات فوق، بصورت مشترک توسط مرورگر IE نيز استفاده خواهند شد (صفحات وبی که از برخی از ويژگی های فوق استفاده می نمايند) . در اين رابطه لازم است مجددا” به اين موضوع اشاره گردد که  ناحيه Restricted  صرفا” شامل سايت هائی است که مورد اعتماد نبوده و مشکلی ( عدم فعال بودن برخی از پتانسيل های مرورگر ) را در رابطه با  مشاهده صفحات وب از سايت های تائيد شده ،نخواهيم داشت.مهمترين دستاورد تنظيمات فوق،پيشگيری از حملاتی است که سياست تخريبی خود را بر اساس درج  محتويات فعال در بدنه نامه های  الکترونيکی،  تبين نموده اند . ( نظير ويروس BubbleBoy  ) .

 

پيشگيری سوم :  تغيير فايل مرتبط و يا غير فعال نمودن WSH

patch امنيتی ارائه شده در پيشگيری اول، باعث حفاظت سيستم در مقابل ويروس هائی نظير ILOVEYOU ،  در outlook 98 و outlook 2000 می گردد . متاسفانه روش مشابهی بمنظور استفاده در outlook Express ، وجود ندارد. بمنظور حفاظت سيستم در مقابل نامه های الکترونيکی که دارای عملکردی نظير ILOVEYOU  می باشند ، می توان از روشی ديگر در outlook express استفاده کرد. بدين منظورمی توان تغييراتی را در سطح  برنامه هائی که مسئول فعال نمودن فايل مورد نظر( File Associations ) می باشند ، اعمال نمود.  کرم ILOVEYOU ، از طريق يک فايل اسکريپت ويژوال بيسيک ( vbs .) ، که توسط ميزبان اسکريپت ويندوز (Windows Scripting Host :WSH ) تفسير می گردد ، فعال خواهد شد. در حقيقت WSH محيط ( شرايط)  لازم برای ILOVEYOU  را فراهم می نمايد. اعمال محدوديت در رابطه با WSH و يا تغيير در فايل پيش فرض مربوطه ای که مسئول برخورد( نمايش ، ايجاد شرايط اجراء)  با فايل مورد نظر می باشد ، می تواند يک سطح مناسب امنيتی را در رابطه با ضمائم نامه های الکترونيکی که حاوی کدهای مخرب می باشند ، فراهم می نمايد.  در اين رابطه از راهکارهای متفاوتی می توان استفاده کرد .

روش اول : يکی از روش های پيشگيری موثر در مقابل اين نوع  از حملات ، تغيير واکنش پيش فرض در زمانی است که کاربر باعث فعال شدن اينچنين فايل های می گردد ( double click بر روی فايلی با انشعاب vbs . )  .در ويندوز NT ، اين عمليات از طريق  Windows Explorer  و بصورت زير انجام می شود.

 

View | Folder Options  ==>
Select VBScript Script File ==> Click Edit ==> Highlight Edit ==> Click Set Default

پس از اعمال تغييرات فوق ، در صورتيکه کاربری  فايلی ضميمه با انشعاب vbs . را فعال نمايد ، فايل مورد نظر توسط WSH اجراء نخواهد شد ، در مقابل ، فايل فوق ، بدون نگرانی توسط اديتور پيش فرض ( معمولا” notepad ) ، فعال و نمايش داده خواهد شد. فرآيند فوق را می توان به فايل های ديگر نيز تعميم داد. فايل هائی  که دارای يکی از انشعابات زير باشند ، توسط WSH فعال خواهند شد . بنابراين می توان تغييرات لازم را مطابق آنچه اشاره گرديد ، در رابطه با آنها نيز اعمال نمود.

WSC , WSH ,WS ,WSF,VBS,VBE,JS,JSE

روش ارائه شده در رابطه با  outlook Express  بخوبی کار خواهد کرد . در اين راستا ، لازم است به اين مسئله مهم اشاره گردد که تضمينی وجود ندارد که سرويس گيرندگان پست الکترونيکی از تنظيمات پيش فرض، زمانيکه کاربر يک فايل ضميمه را فعال می نمايد،  استفاده نمايند . مثلا” زمانيکه يک فايل ضميمه vbs. ، توسط Netscape messenger فعال می گردد ، کاربر دارای گزينه های open  و يا Save خواهد بود. در صورتيکه کاربر گزينه open را انتخاب نمايد ،  کد مورد نظر صرفنظر از تنظيمات پيش فرض فعال خواهد شد.( ناديده گرفتن تنظيمات پيش فرض )

روش دوم : راهکار ديگری که می توان بکمک آن باعث پيشگيری از بروز چنين مسائلی گرديد ، غير فعال نمودن WSH است .  برای انجام عمليات فوق ( غير فعال نمودن WSH ) می بايست برنامه های ويندوز را که باعث حمايت و پشتيبانی از اجراء اسکريپت ها می گردند ( برنامه های wscript.exe و csscript ) را تغيير نام داد .در سيستم هائی شامل ويندوزNT ، اين فايل ها  در مسير %System%\System32 ، قرار دارند( معمولا” C:\Winnt\System32 ) .  بمنظور تغيير نام فايل های  فوق ، بهتر است از طريق خط دستور ( command prompt) اين کار انجام شود. در برخی از نسخه های سيستم عامل، بموازات تغيير نام فايل مرتبط با يک نوع حاص از فايل ها ،  بصورت اتوماتيک برنامه مرتبط با  آنان  به نام جديد تغيير داده خواهد شد. بدين ترتيب تغيير اعمال شده هيچگونه تاثير مثبتی را از لحاظ امنيتی بدنبال نخواهد داشت .

روش سوم : گزينه سوم در خصوص غير فعال نمودن WSH ، تغيير مجوز فايل ( File Permission ) در رابطه با فايل های Wscript.exe  و CSscript.exe است . روش فوق ، نسبت به دو روش اشاره شده ، ترجيح داده می شود. در چنين مواردی امکان استفاده از پتانسيل های WSH برای مديران سيستم  وجود داشته در حاليکه  امکان استفاده از پتانسيل فوق از کاربران  معمولی سلب می گردد .

لازم است به اين نکته مهم اشاره گردد که با اينکه پيشگيری فوق ، در رابطه با کرم هائی نظير ILOVEYOU و موارد مشابه موثرخواهد بود ، ولی نمی تواند تمام ريسک های مربوط در اين خصوص و در رابطه با ساير  فايل ها ئی که ممکن است شامل کدهای اسکريپت باشند را  حذف نمايد. در اين رابطه می توان به فايل های با انشعاب exe .  ،  اشاره نمود. اين نوع فايل ها دارای نقشی حياتی در رابطه با انجام عمليات بر روی يک کامپيوتر بوده  و نمی توان آنها را غير فعال نمود . بدين ترتيب متجاوزان اطلاعاتی می توانند از اين نوع فايل ها ، بعنوان مکانيزمی جهت توزيع کدهای مخرب ، استفاده  نمايند .

 

پيشگيری چهارم : حفاظت ماکروهای آفيس و آموزش کاربران

ماکروسافت در رابطه با حفاظت در مقابل فايل های ضميمه حاوی کدهای مخرب از طريق ساير برنامه های جانبی، نيز تدابيری انديشيده است . مثلا” با اينکه  patch امنيتی ارائه شده در پيشگيری اول ، بصورت پيش فرض در رابطه با ماکروهای word موثر واقع نمی شود ، ولی در بطن اين نوع نرم افزارها امکانات خاصی قرار گرفته شده است که می توان بکمک آنان ، يک سطح امنيتی اوليه در رابطه با فعال شدن ماکروها را اعمال نمود. مثلا” آفيس 97 ، گزينه اختياری  حفاظت ماکرو را ارائه  که می توان بکمک آن يک لايه حفاظتی را در رابطه با عملکرد ماکروها ، ايجاد نمود. در چنين مواردی به کاربران پيامی ارائه و کاربران می توانند قبل از فعال شدن ماکرو در رابطه با آن تصميم گيری نمايند ( ارائه پاسخ مناسب توسط کاربران ) . لازم است در اين خصوص به کاربران آموزش های ضروری و مستمر  در رابطه با خطرات احتمالی عدم رعايت اصول اوليه امنيتی خصوصا” در رابطه با دريافت نامه های الکترونيکی از منابع غيرمطمئن داده شود . گزينه فوق را می توان از طريق Tools|options|General| Enable macro virus protection ، فعال نمود. آفيس 2000 و XP وضعيت فوق را بهبود و می توان تنظيمات لازم در خصوص اجرای ماکروهای دريافتی از يک منبع موثق و همراه با امضاء ديجيتالی  را انجام داد . در word , Powerpoint .Excel  می توان ، گزينه فوق را از طريق Tools|macro|Security ، استفاده و تنظيمات لازم را انجام داد. با انتخاب گزينه High ،  حداکثر ميزان حفاظت ، در نظر گرفته خواهد شد.

 

پيشگيری پنجم : نمايش و انشعاب فايل 

يکی از روش متداول بمنظور ايجاد مصونيت در مقابل فايل های حاوی کدهای مخرب ، تبديل فايل فوق به فايلی بی خاصيت ( عدم امکان اجراء) است . بدين منظور می توان از يک انشعاب فايل اضافه استفاده نمود .(مثلا” فايل :  ILOVYOU.TXT.VBS) .  در صورتيکه ويندوز برای  نمايش اين نوع فايل ها ( با در نظر گرفتن انشعاب فايل ها ) ، پيکربندی نشده باشد ، فايل فوق بصورت يک فايل متن تفسير خواهد شد. ( ILOVEYOU.TXT )  . بمنظور پياده سازی روش فوق می بايست دو فاز عملياتی را دنبال نمود : در اولين مرحله می بايست به ويندوز اعلام گردد که انشعاب فايل ها را از طريق   Windows Explorer ، نمايش دهد . ( انتخاب  Options|View  و غير فعال نمودن Hide file extensions for known file types ) . متاسفانه برای برخی فايل های خاص  که می توانند شامل عناصر اجرائی و يا اشاره گری به آنان باشند ، تنظيم فوق ، تاثيری را بدنبال نداشته و در اين رابطه لازم است کليد های ريجستری زير ، بمنظور پيکربندی ويندوز برای نمايش انشعاب اين نوع از فايل ها ، حذف گردد ( مرحله دوم.)

 

انشعاب فايل کليد ريجستری توضيحات
.lnk HKEY_CLASSES_ROOT\lnkfile\NeverShowExt Shortcut
.pif HKEY_CLASSES_ROOT\piffile\NeverShowExt Program information file
(shortcut to a DOS program)
.scf HKEY_CLASSES_ROOT\SHCmdFile\NeverShowExt Windows Explorer
Command file
.shb HKEY_CLASSES_ROOT\DocShortcut\NeverShowExt Shortcut into a document
.shs HKEY_CLASSES_ROOT\ShellScrap Shell Scrap Object
.xnk HKEY_CLASSES_ROOT\xnkfile\NeverShowExt Shortcut to an Exchange
folder
.url HKEY_CLASSES_ROOT\InternetShortcut\NeverShowExt Internet shortcut
.maw HKEY_CLASSES_ROOT\Access.Shortcut.DataAccessPage.1\NeverShowExt Shortcuts to elements of an MS Access database.
Most components of an Access database can containan executable component.
.mag HKEY_CLASSES_ROOT\Access.Shortcut.Diagram.1\NeverShowExt
.maf HKEY_CLASSES_ROOT\Access.Shortcut.Form.1\NeverShowExt
.mam HKEY_CLASSES_ROOT\Access.Shortcut.Macro.1\NeverShowExt
.mad HKEY_CLASSES_ROOT\Access.Shortcut.Module.1\NeverShowExt
.maq HKEY_CLASSES_ROOT\Access.Shortcut.Query.1\NeverShowExt
.mar HKEY_CLASSES_ROOT\Access.Shortcut.Report.1\NeverShowExt
.mas HKEY_CLASSES_ROOT\Access.Shortcut.StoredProcedure.1\NeverShowExt
.mat HKEY_CLASSES_ROOT\Access.Shortcut.Table.1\NeverShowExt
.mav HKEY_CLASSES_ROOT\Access.Shortcut.View.1\NeverShowExt

پيشگيری ششم : از Patch های بهنگام شده، استفاده گردد

اغلب حملات  مبتنی بر اينترنت  از  نقاط آسيب پذير يکسانی بمنظور نيل به اهداف خود استفاده می نمايند . ويروس Bubbleboy ، نمونه ای مناسب در اين زمينه بوده که تهيه کننده آن از نفاط آسيب پذير شناخته شده در مرورگر اينترنت ( IE  ) ، استفاده کرده است . ماکروسافت بمنظور حل مشکل اين نوع از نقاط آسيب پذير در محصولات خود خصوصا” برنامه مرورگر اينترنت ، patch های امنيتی خاصی را ارائه نموده است . با توجه به امکان بروز حوادث مشابه و بهره برداری از نقاط آسيب پذير در محصولات نرم افزاری استفاده شده ، خصوصا” نرم افزارهائی که بعنوان ابزار ارتباطی در اينترنت محسوب می گردند ، پيشنهاد می گردد که patch های ارائه شده را بر روی سيستم خود نصب تا حداقل از بروز حوادث مشابه قبلی بر روی سيستم خود جلوگيری نمائيم .

پيشگيری هفتم : محصولات آنتی ويروس

اغلب محصولات تشخيص ويروس های کامپيوتری، عمليات تشخيص خود را بر اساس  ويروس های شناخته شده  ، انجام خواهند داد . بنابراين  اينگونه محصولات همواره در مقابل حملات جديد و نامشخص ، غيرموثر خواهند بود. محصولات فوق ، قادر به برخورد و پيشگيری از تکرار مجدد ، حملات مشابه تهاجمات سابق می باشند. برخی از محصولات آنتی ويروس ، امکان بلاک نمودن ضمائم نامه های الکترونيکی را در سطح سرويس دهنده پست الکترونيکی فراهم می نمايند. پتانسيل فوق می تواند عاملی مهم بمنظور بلاک نمودن ضمائم نامه های الکترونيکی حاوی کدهای مخرب قبل از اشاعه آنان باشد .

پيشگيری هشتم : رعايت و پايبندی به اصل ” کمترين امتياز

” کمترين امتياز ” ، يک رويکرد پايه در رابطه با اعمال امنيت در کامپيوتر است . بر اين اساس توصيه می شود  که  به کاربران صرفا” امتيازاتی واگذار گردد که  قادر به انجام عمليات  خود باشند . کدهای مخرب بمنظور تحقق اهداف خود به يک محيط ، نياز خواهند داشت . محيط فوق ، می تواند از طريق اجرای يک برنامه توسط يک کاربر خاص بصورت ناآگاهانه ايجاد گردد. در اين رابطه پيشنهاد می گردد ، پس از آناليز نوع فعاليت هائی که هر کاربر می بايست انجام دهد ، مجوزها ی لازم برای وی تعريف و از بذل و بخشش مجوز در اين رابطه می بايست جدا” اجتناب ورزيد.

 

پيشگيری نهم : امنيت سيستم عامل

حفاظت در مقابل کدهای مخرب می تواند به ميزان قابل محسوسی از طريق کليدهای اساسی سيستم ، کنترل و بهبود يابد. در اين راستا از سه  رويکرد خاص استفاده می گردد : حفاظت عناصر کليدی در ريجستری سيستم ،  ايمن سازی اشياء پايه  و محدوديت در دستيابی به دايرکتوری سيستم ويندوز NT . در ادامه به بررسی هر يک از رويکردهای فوق ، خواهيم پرداخت .

 

پيشگيری نهم – رويکرد  اول : ايمن سازی ريجستری سيستم

کرم ILOVEYOU از مجوزهای ضعيف نسبت داده شده  به کليدهای ريجستری  RUN و RUNSERVICES ، استفاده  و اهداف خود را تامين نموده است . مجوزهای دستيابی پيش فرض در رابطه با کليدهای فوق ،  امکان تغيير محتويات و يا حتی ايجاد محتويات جديد را در اختيار کاربران قرار می دهد.مثلا” می توان با  اعمال تغييراتی خاص در رابطه با کليدهای فوق ، زمينه اجرای اسکريپت های خاصی را پس از ورود کاربران به شبکه و اتصال به سرويس دهنده بصورت  تکراری فراهم نمود . ( پس  از ورود کاربران به شبکه ، اسکريپت ها بصورت اتوماتيک اجراء خواهند شد ) . بدين منظور پيشنهاد می گردد که مجوزهای مربوط به کليدهای فوق بصورت جدول زير تنظيم گردد : ( پيشنهادات ارائه شده شامل کليدهای اساسی و مشخصی است که توسط ILOVEYOU  استفاده و علاوه بر آن کليدهای اضافه ديگر را نيز شامل می شود) :

 

مجوزهای پيشنهادی User / Groups کليد ريجستری
Full Control
Read, Write, Execute
Full Control
Full Control
Administrators
Authenticated Users
CREATOR OWNER
SYSTEM
MACHINE\SOFTWARE\Microsoft\Windows

کليدها و زير کليدها
پارامترهای استفاده شده توسط زير سيستم های win32

Full Control
Read, Execute
Full Control
Administrators
Authenticated Users
SYSTEM
\MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Runکليدها و زير کليدها
شامل اسامی امورد نظر که در هر مرتبه راه اندازی سيستم ، اجراء خواهند شد.
Full Control
Read, Execute
Full Control
Administrators
Authenticated Users
SYSTEM
\MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunOnceکليدها و زير کليدها
شامل نام برنامه ای که در اولين مرتبه ورود به شبکه کاربر ، اجراء می گردد.
Full Control
Read, Execute
Full Control
Administrators
Authenticated Users
SYSTEM
\MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunOnceExکليدها و زير کليدها
شامل اطلاعات پيکربندی برای برخی از عناصر سيستم و مرورگر. عملکرد آنان مشابه کليد RunOnce است.
Full Control
Read, Execute
Full Control
Full Control
Administrators
Authenticated Users
CREATOR OWNER
SYSTEM
\MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Shell Extensionsکليدها و زير کليدها
شامل تمام تنظيمات Shell Extebsion که از آنان بمنظور توسعه اينترفيس ويندوز NT استفاده می گردد.

 

بمنظور اعمال محدوديت در دستيابی به ريجستری ويندوز از راه دور ، پيشنهاد می گردد  يک کليد ريجستری ايجاد و مقدار آن مطابق زير تنظيم گردد :

 

Hive: HKEY_LOCAL_MACHINE
Key: \System\CurrentControlSet\Control\SecurePipeServers\winreg
Name: RestrictGuestAccess
Type: REG_DWORD
Value: 1

 

 

پيشگيری نهم – رويکرد دوم : ايمن سازی اشياء پايه

ايمن سازی اشياء پايه باعث ممانعت کدهای مخرب در ابطه با اخذ مجوزها و امتيازات مديريتی توسط يک ( DLL(Dynamic lonk Library می گردد . بدون پياده سازی سياست امنيتی فوق ، کدها ی مخرب قادر به استقرار در حافظه و لود نمودن فايلی با نام مشابه بعنوان يک DLL سيستم و هدايت برنامه به آن خواهند بود. در اين راستا لازم است ، با استفاده از برنامه ويرايشگر ريجستری ، يک کليد ريجستری ايجاد و مقدار آن مطابق زير  تنظيم گردد :

 

Hive: HKEY_LOCAL_MACHINE
Key: \System\CurrentControlSet\Control\Session Manager
Name: AdditionalBaseNamedObjectsProtectionMode
Type: REG_DWORD
Value: 1

 

پيشگيری نهم – رويکرد سوم : ايمن سازی دايرکتوری های سيستم 

کاربران دارای مجوز لازم در خصوص نوشتن در دايرکتوری های سيستم  ( winnt/system32 و winnt/system )  می باشند . کرم ILOVEYOU از وضعيت فوق ، استفاده و اهداف خود را دنبال نموده است . پيشنهاد می گردد ، کاربران تائيد شده  صرفا” دارای  مجوز Read دررابطه با دايرکتوری های و فايل ها ی مربوطه بوده  و امکان ايجاد و يا نوشتن در دايرکتوری های  سيستم، از آنها سلب گردد. در اين رابطه ، تنظيمات زير پيشنهاد می گردد :

مجوزهای پيشنهادی User / Groups فايل / فولدر
Full Control
Read, Execute
Full Control
Full Control
Administrators
Authenticated Users
CREATOR OWNER
SYSTEM
%WINNT%

فايل ها ، فولدرها
شامل تعداد زيادی از فايل های اجرائی سيستم عامل

Full Control
Read, Execute
Full Control
Full Control
Administrators
Authenticated Users
CREATOR OWNER
SYSTEM
%WINNT/SYSTEM%

فايل ها ، فولدرها
شامل تعداد زيادی از فايل های DLL ، درايور و برنامه های اجرائی

Full Control
Read, Execute
Full Control
Full Control
Administrators
Authenticated Users
CREATOR OWNER
SYSTEM
%WINNT/SYSTEM32%

فايل ها ، فولدرها
شامل تعداد زيادی از فايل های DLL ، درايور و برنامه های اجرائی  ( برنامه های سی و دو بيتی )

 

 

رمزنگاری

 

۱معرفی و اصطلاحات

رمزنگاری علم کدها و رمزهاست. یک هنر قدیمی است و برای قرنها بمنظور محافظت از پیغامهایی که بین فرماندهان، جاسوسان،‌ عشاق و دیگران ردوبدل می‌شده، استفاده شده است تا پیغامهای آنها محرمانه بماند.

هنگامی که با امنیت دیتا سروکار داریم، نیاز به اثبات هویت فرستنده و گیرنده پیغام داریم و در ضمن باید از عدم تغییر محتوای پیغام مطمئن شویم. این سه موضوع یعنی محرمانگی، تصدیق هویت و جامعیت در قلب امنیت ارتباطات دیتای مدرن قرار دارند و می‌توانند از رمزنگاری استفاده کنند.

اغلب این مساله باید تضمین شود که یک پیغام فقط میتواند توسط کسانی خوانده شود که پیغام برای آنها ارسال شده است و دیگران این اجازه را ندارند. روشی که تامین کننده این مساله باشد “رمزنگاری” نام دارد. رمزنگاری هنر نوشتن بصورت رمز است بطوریکه هیچکس بغیر از دریافت کننده موردنظر نتواند محتوای پیغام را بخواند.

رمزنگاری مخفف‌ها و اصطلاحات مخصوص به خود را دارد. برای درک عمیق‌تر به مقداری از دانش ریاضیات نیاز است. برای محافظت از دیتای اصلی ( که بعنوان plaintext شناخته می‌شود)، آنرا با استفاده از یک کلید (رشته‌ای محدود از بیتها) بصورت رمز در می‌آوریم تا کسی که دیتای حاصله را می‌خواند قادر به درک آن نباشد. دیتای رمزشده (که بعنوان ciphertext شناخته می‌شود) بصورت یک سری بی‌معنی از بیتها بدون داشتن رابطه مشخصی با دیتای اصلی بنظر می‌رسد. برای حصول متن اولیه دریافت‌کننده آنرا رمزگشایی می‌کند. یک شخص ثالت (مثلا یک هکر) می‌تواند برای اینکه بدون دانستن کلید به دیتای اصلی دست یابد، کشف رمز‌نوشته (cryptanalysis) کند. بخاطرداشتن وجود این شخص ثالث بسیار مهم است.

رمزنگاری دو جزء اصلی دارد، یک الگوریتم و یک کلید. الگوریتم یک مبدل یا فرمول ریاضی است. تعداد کمی الگوریتم قدرتمند وجود دارد که بیشتر آنها بعنوان استانداردها یا مقالات ریاضی منتشر شده‌اند. کلید، یک رشته از ارقام دودویی (صفر و یک) است که بخودی‌خود بی‌معنی است. رمزنگاری مدرن فرض می‌کند که الگوریتم شناخته شده است یا می‌تواند کشف شود. کلید است که باید مخفی نگاه داشته شود و کلید است که در هر مرحله پیاده‌سازی تغییر می‌کند. رمزگشایی ممکن است از همان جفت الگوریتم و کلید یا جفت متفاوتی استفاده کند.

دیتای اولیه اغلب قبل از رمزشدن بازچینی می‌شود؛  این عمل عموما بعنوان scrambling شناخته می‌شود. بصورت مشخص‌تر، hash functionها بلوکی از دیتا را (که می‌تواند هر اندازه‌ای داشته باشد) به طول از پیش مشخص‌شده کاهش می‌دهد. البته دیتای اولیه نمی‌تواند از hashed value بازسازی شود. Hash functionها اغلب بعنوان بخشی از یک سیستم تایید هویت مورد نیاز هستند؛ خلاصه‌ای از پیام (شامل مهم‌ترین قسمتها مانند شماره پیام، تاریخ و ساعت، و نواحی مهم دیتا) قبل از رمزنگاری خود پیام، ساخته ‌و hash می‌شود.

یک چک تایید پیام (Message Authentication Check) یا MAC یک الگوریتم ثابت با تولید یک امضاء برروی پیام با استفاده از یک کلید متقارن است. هدف آن نشان دادن این مطلب است که پیام بین ارسال و دریافت تغییر نکرده است. هنگامی که رمزنگاری توسط کلید عمومی برای تایید هویت فرستنده پیام استفاده می‌شود، منجر به ایجاد امضای دیجیتال (digital signature) می‌شود.

۲الگوریتم‌ها

طراحی الگوریتمهای رمزنگاری مقوله‌ای برای متخصصان ریاضی است. طراحان سیستمهایی که در آنها از رمزنگاری استفاده می‌شود، باید از نقاط قوت و ضعف الگوریتمهای موجود مطلع باشند و برای تعیین الگوریتم مناسب قدرت تصمیم‌گیری داشته باشند. اگرچه رمزنگاری از اولین کارهای شانون (Shannon) در اواخر دهه ۴۰ و اوایل دهه ۵۰ بشدت پیشرفت کرده است، اما کشف رمز نیز پابه‌پای رمزنگاری به پیش آمده است و الگوریتمهای کمی هنوز با گذشت زمان ارزش خود را حفظ کرده‌اند. بنابراین تعداد الگوریتمهای استفاده شده در سیستمهای کامپیوتری عملی و در سیستمهای برپایه کارت هوشمند بسیار کم است.

 

 

۱-۲ سیستمهای کلید متقارن

یک الگوریتم متقارن از یک کلید برای رمزنگاری و رمزگشایی استفاده می‌کند. بیشترین شکل استفاده از رمزنگاری که در کارتهای هوشمند و البته در بیشتر سیستمهای امنیت اطلاعات وجود دارد data encryption algorithm یا DEA  است که بیشتر بعنوان DES‌ شناخته می‌شود. DES یک محصول دولت ایالات متحده است که امروزه بطور وسیعی بعنوان یک استاندارد بین‌المللی شناخته ‌می‌شود. بلوکهای ۶۴بیتی دیتا توسط یک کلید تنها که معمولا ۵۶بیت طول دارد، رمزنگاری و رمزگشایی می‌شوند. DES‌ از نظر محاسباتی ساده است و براحتی می‌تواند توسط پردازنده‌های کند (بخصوص آنهایی که در کارتهای هوشمند وجود دارند) انجام گیرد.

 

این روش بستگی به مخفی‌بودن کلید دارد. بنابراین برای استفاده در دو موقعیت مناسب است: هنگامی که کلیدها می‌توانند به یک روش قابل اعتماد و امن توزیع و ذخیره شوند یا جایی که کلید بین دو سیستم مبادله می‌شوند که قبلا هویت یکدیگر را تایید کرده‌اند عمر کلیدها بیشتر از مدت تراکنش طول نمی‌کشد. رمزنگاری DES عموما برای حفاظت دیتا از شنود در طول انتقال استفاده می‌شود.

کلیدهای DES ۴۰بیتی امروزه در عرض چندین ساعت توسط کامپیوترهای معمولی شکسته می‌شوند و بنابراین نباید برای محافظت از اطلاعات مهم و با مدت طولانی اعتبار استفاده شود. کلید ۵۶بیتی عموما توسط سخت‌افزار یا شبکه‌های بخصوصی شکسته می‌شوند. رمزنگاری DES سه‌تایی عبارتست از کدکردن دیتای اصلی با استفاده از الگوریتم DES‌ که در سه مرتبه انجام می‌گیرد. (دو مرتبه با استفاده از یک کلید به سمت جلو (رمزنگاری)  و یک مرتبه به سمت عقب (رمزگشایی) با یک کلید دیگر) مطابق شکل زیر:

این عمل تاثیر دوبرابر کردن طول مؤثر کلید را دارد؛ بعدا خواهیم دید که این یک عامل مهم در قدرت رمزکنندگی است.

الگوریتمهای استاندارد جدیدتر مختلفی پیشنهاد شده‌اند. الگوریتمهایی مانند Blowfish و IDEA برای زمانی مورد استفاده قرار گرفته‌اند اما هیچکدام پیاده‌سازی سخت‌افزاری نشدند بنابراین بعنوان رقیبی برای DES  برای استفاده در کاربردهای میکروکنترلی مطرح نبوده‌اند. پروژه استاندارد رمزنگاری پیشرفته دولتی ایالات متحده (AES) الگوریتم Rijndael را برای جایگزیتی DES بعنوان الگوریتم رمزنگاری اولیه انتخاب کرده است. الگوریتم Twofish مشخصا برای پیاده‌سازی در پردازنده‌های توان‌ـ‌پایین مثلا در کارتهای هوشمند طراحی شد.

در ۱۹۹۸ وزارت دفاع ایالات متحده تصمیم گرفت که الگوریتمها Skipjack و مبادله کلید را که در کارتهای Fortezza استفاده شده بود، از محرمانگی خارج سازد. یکی از دلایل این امر تشویق برای پیاده‌سازی بیشتر کارتهای هوشمند برپایه این الگوریتمها بود.

برای رمزنگاری جریانی (streaming encryption) (که رمزنگاری دیتا در حین ارسال صورت می‌گیرد بجای اینکه دیتای کدشده در یک فایل مجزا قرار گیرد) الگوریتم RC4‌ سرعت بالا و دامنه‌ای از طول کلیدها از ۴۰ تا ۲۵۶ بیت فراهم می‌کند. RC4 که متعلق به امنیت دیتای RSA‌ است، بصورت عادی برای رمزنگاری ارتباطات دوطرفه امن در اینترنت استفاده می‌شود.

 

۲-۲ سیستمهای کلید نامتقارن

سیستمهای کلید نامتقارن از کلید مختلفی برای رمزنگاری و رمزگشایی استفاده می‌کنند. بسیاری از سیستمها اجازه می‌دهند که یک جزء (کلید عمومی یا public key) منتشر شود در حالیکه دیگری (کلید اختصاصی یا private key) توسط صاحبش حفظ شود. فرستنده پیام، متن را با کلید عمومی گیرنده کد می‌کند و گیرنده آن را با کلید اختصاصی خودش رمزنگاری میکند. بعبارتی تنها با کلید اختصاصی گیرنده می‌توان متن کد شده را به متن اولیه صحیح تبدیل کرد. یعنی حتی فرستنده نیز اگرچه از محتوای اصلی پیام مطلع است اما نمی‌تواند از متن کدشده به متن اصلی دست یابد، بنابراین پیام کدشده برای هرگیرنده‌ای بجز گیرنده مورد نظر فرستنده بی‌معنی خواهد بود. معمولترین سیستم نامتقارن بعنوان RSA‌ شناخته می‌شود (حروف اول پدیدآورندگان آن یعنی Rivest ، Shamir و Adlemen است). اگرچه چندین طرح دیگر وجود دارند. می‌توان از یک سیستم نامتقارن برای نشاندادن اینکه فرستنده پیام همان شخصی است که ادعا می‌کند استفاده کرد که این عمل اصطلاحا امضاء نام دارد.  RSA شامل دو تبدیل است که هرکدام احتیاج به بتوان‌رسانی ماجولار با توانهای خیلی طولانی دارد:

امضاء، متن اصلی را با استفاده از کلید اختصاصی رمز می‌کند؛

  • رمزگشایی عملیات مشابه‌ای روی متن رمزشده اما با استفاده از کلید عمومی است. برای تایید امضاء بررسی می‌کنیم که آیا این نتیجه با دیتای اولیه یکسان است؛ اگر اینگونه است، امضاء توسط کلید اختصاصی متناظر رمزشده است.

به بیان ساده‌تر چنانچه متنی از شخصی برای دیگران منتشر شود، این متن شامل متن اصلی و همان متن اما رمز شده توسط کلید اختصاصی همان شخص است. حال اگر متن رمزشده توسط کلید عمومی آن شخص که شما از آن مطلعید رمزگشایی شود، مطابقت متن حاصل و متن اصلی نشاندهنده صحت فرد فرستنده آن است، به این ترتیب امضای فرد تصدیق می‌شود. افرادی که از کلید اختصاصی این فرد اطلاع ندارند قادر به ایجاد متن رمز‌شده‌ نیستند بطوریکه با رمزگشایی توسط کلید عمومی این فرد به متن اولیه تبدیل شود.

 

اساس سیستم RSA  این فرمول است: X = Yk (mod r)

که X متن کد شده، Y متن اصلی، k کلید اختصاصی و r حاصلضرب دو عدد اولیه بزرگ است که با دقت انتخاب شده‌اند. برای اطلاع از جزئیات بیشتر می‌توان به مراجعی که در این زمینه وجود دارد رجوع کرد. این شکل محاسبات روی پردازنده‌های بایتی بخصوص روی ۸ بیتی‌ها که در کارتهای هوشمند استفاده می‌شود بسیار کند است. بنابراین، اگرچه RSA هم تصدیق هویت و هم رمزنگاری را ممکن می‌سازد، در اصل برای تایید هویت منبع پیام از این الگوریتم در کارتهای هوشمند استفاده می‌شود و برای نشاندادن عدم تغییر پیام در طول ارسال و رمزنگاری کلیدهای آتی استفاده می‌شود.

سایر سیستمهای کلید نامتقارن شامل سیستمهای لگاریتم گسسته می‌شوند مانند Diffie-Hellman، ElGamal و سایر طرحهای چندجمله‌ای و منحنی‌های بیضوی. بسیاری از این طرحها عملکردهای یک‌ـ‌طرفه‌ای دارند که اجازه تاییدهویت را می‌دهند اما رمزنگاری ندارند. یک رقیب جدیدتر الگوریتم RPK‌ است که از یک تولیدکننده مرکب برای تنظیم ترکیبی از کلیدها با مشخصات مورد نیاز استفاده می‌کند. RPK یک پروسه دو مرحله‌ای است: بعد از فاز آماده‌سازی در رمزنگاری و رمزگشایی (برای یک طرح کلید عمومی) رشته‌هایی از دیتا بطور استثنایی کاراست و می‌تواند براحتی در سخت‌افزارهای رایج پیاده‌سازی شود. بنابراین بخوبی با رمزنگاری و تصدیق‌هویت در ارتباطات سازگار است.

طولهای کلیدها برای این طرحهای جایگزین بسیار کوتاهتر از کلیدهای مورد استفاده در RSA‌ است که آنها برای استفاده در چیپ‌کارتها مناسب‌تر است. اما ‌RSA‌ محکی برای ارزیابی سایر الگوریتمها باقی مانده است؛ حضور و بقای نزدیک به سه‌دهه از این الگوریتم، تضمینی در برابر ضعفهای عمده بشمار می‌رود.

 

 

 

 

Byadmin

ویروس ها و بدافزارها

ویروس ها و بدافزارها

ویروس ها و بدافزارها

ویروس ها و بدافزارها

 

توصیف نام
خود را به یک برنامه متصل کرده و کپی های از خود را به برنامه های دیگر منتقل می کند. Virus
برنامه ای که کپی های خود را به کامپیوتر های دیگر منتقل می کند. Worm
وقتی فعال می شود که پیشامد خاصی روی دهد. Logic bomb
برنامه ای که شامل قابلیت های اضافی غیر منتظره است. Trojan horse
دستکاری یک برنامه به طوری که دست یابی غیر مجاز به عملیاتی را امکان پذیر نماید. Backdoor(trapdoor)
کد مختص به یک آسیب پذیری منفرد یا مجموعه ای از آسیب پذیری ها. Exploits
برنامه ای که اقلام جدیدی را روی ماشین مورد تهاجم نصب می کند. یک downloader معمولا با یک برنامه ی الکترونیک ارسال می شود. Downloaders
ابزارهای یک نفوذگر بداندیش که از آنها برای ورود به ماشین های جدید از راه دور استفاده میکند. Auto-rooter
مجموعه ای از ابزارها برای تولید ویروس های جدید به صورت خودکار. Kit (virus generator)
برای ارسال حجم زیادی از هرزنامه های الکترونیک به کار می رود. Spammer programs
برای حمله به شبکه های کامپیوتری از طریق ایجاد حجم بالایی از ترافیک به کار می رود تا یک حمله ی انکار سرویس (dos) را سازمان دهد. Flooders
حرکات صفحه کلید در یک کامپیوتر مورد حمله را می یابد. Keyloggers
مجموعه ای از ابزارهای نفوذگری که پس از این که نفوذگر به سیستم راه یافت از آن ها برای دسترسی به root-level استفاده می کند. Rootkit
برنامه ای که روی یک سیستم آلوده شده فعال می شود تا حملات بر روی ماشین های دیگر را سازمان دهد. Zombie

 

 ويروس كامپيوتري چيست؟

ويروس كامپيوتر برنامه‌اي است كه مي‌تواند نسخه‌هاي اجرايي خود را در برنامه‌هاي ديگر قرار دهد. هر برنامه آلوده مي‌تواند به نوبه خود نسخه‌هاي ديگري از ويروس را در برنامه‌هاي ديگر قرار دهد. برنامه‌اي را برنامه ويروس می نامیم كه  همه ويژگيهاي زير را داراباشد:

1) تغيير نرم افزارهايي كه به برنامه ويروس متعلق نيستند با چسباندن قسمتهايي از این برنامه به برنامه‌هاي ديگر

2) قابليت انجام تغيير در بعضي از برنامه‌ها.

3) قابليت تشخيص این نکته که برنامه قبلاً دچار تغيير شده است يا خير.

4) قابليت جلوگيري از تغيير بيشتر يك برنامه در صورت تغییراتی در آن بواسطه ی ویروس .

5) نرم افزارهاي تغيير یافته ويژگيهاي 1 الي 4 را دارا هستند . اگر برنامه‌اي فاقد يك يا چند ویژگی از ویژگیهای فوق باشد،  نمی توان به طور قاطع آنرا ویروس نامید .

 

آشنايي با انواع مختلف برنامه‌هاي مخرب :

 

E-mail virus –

ويروسهايي كه از طريق E-mail وارد سيستم مي‌شوند معمولاً به صورت مخفيانه درون يك فايل ضميمه شده قرار دارند  که با گشودن يك صفحه ی HTML يا يك فايل قابل اجراي برنامه‌اي (يك فايل كد شده قابل اجرا) و يا يك word document  می توانند فعال‌ شوند.

 

 

 

Marco virus –

اين نوع ويروسها معمولاً به شکل ماکرو در فايلهايي قرار می گیرند كه حاوي صفحات متني (word document) نظير فايلهاي برنامه‌هاي Ms office ( همچون Microsoft word و Excel )هستند .

توضيح ماكرو: نرم افزارهايي مانند Microsoft word و Excel اين امکان را برای كاربر بوجود می آورند كه در صفحه متن خود ماكرويي ايجاد نماید،اين ماكرو حاوي يكسري دستور العملها، عمليات‌ و يا keystroke ها است كه تماماً توسط خود كاربر تعيين ميگردند.

ماكرو ويروسها معمولاً طوري تنظيم شده‌اند كه به راحتي خود را در همه صفحات متني ساخته شده با همان نرم افزار (Excel , ms word) جاي مي‌‌دهند.

 

  • اسب تروآ:

اين برنامه حداقل به اندازه خود اسب تروآي اصلي قدمت دارد . عملكرد اين برنامه‌ها ساده و در عین حال خطرناك است.

در حاليكه كاربر متوجه نیست و با تصاویر گرافیکی زیبا و شاید همراه با موسیقی محسور شده ، برنامه عملیات مخرب خود را آغاز می کند.

براي مثال به خيال خودتان بازي جديد و مهيجي را از اينترنت Download كرده‌ايد ولي وقتي آنرا اجرا مي‌كنيد متوجه خواهيد شد که تمامی فايلهاي روي هارد ديسك پاك شده و يا به طور كلي فرمت گرديده است.

 

  • كرمها (worm)

برنامه كرم برنامه‌اي است كه با كپي كردن خود توليد مثل مي‌كند. تفاوت اساسي ميان كرم و ويروس اين است كه كرمها براي توليد مثل نياز به برنامة ميزبان ندارند. كرمها بدون استفاده از يك برنامة حامل به تمامي سطوح سيستم كامپيوتري «خزيده» و نفوذ مي‌كنند.

 

  • ويروسهاي بوت سكتور و پارتيشن

Boot sector قسمتی از ديسك سخت و فلاپي ديسك است كه هنگام راه اندازی سيستم از روي آن به وسيله كامپيوتر خوانده مي‌شود. Boot Sector یا ديسك سيستم ، شامل كدي است كه براي بار كردن فايلهاي سيستم ضروري است. این ديسكها داده هایی در خود دارند و همچنین حاوي كدي هستند كه براي نمايش پيغام راه اندازی شدن کامپیوتر بوسیلهی آن لازم است .

سكتور پارتيشن اولين بخش يك ديسك سخت است كه پس از راه‌اندازي سيستم خوانده مي‌شود. اين سكتور راجع به دیسک اطلاعاتي نظیر تعداد سكتورها در هر پارتيشن و نیز موقعيت همه ی پارتيشن‌ها را در خود دارد.

سكتور پارتيشن، ركورد اصلي راه‌اندازي يا Master Boot Record -MBR نيز ناميده مي‌شود.

بسياري ازكامپيوترها به گونه ای پيكربندي شده‌‌اند كه ابتدا از روي درايو: A راه‌اندازي میشوند. (اين قسمت در بخش Setup سيستم قابل تغيير و دسترسي است) اگر بوت سكتور يك فلاپي ديسك آلوده باشد، و شما سیستم را از روي آن راه‌اندازي كنيد، ويروس نيز اجرا شده و ديسك سخت را آلوده مي‌كند.

اگر ديسكی حاوي فايلهاي سيستمي هم نبوده باشد ولي‌ به يك ويروس بوت سكتوري آلوده باشد وقتی اشتباهاً ديسكت را درون فلاپي درايو قرار دهيد و كامپيوتر را دوباره‌ راه‌اندازي كنيد پيغام زير مشاهده مي‌شود. ولي به هر حال ويروس بوت سكتوري پيش از اين اجرا شده و ممكن است كامپيوتر شما را نيز آلوده كرده باشد.

Non-system disk or disk error

Replace and press any key when ready

 

كامپيوترهاي بر پايه Intel در برابر ويروسهاي Boot Sector و Partition Table آسيب پذير هستند.

تا قبل از اینکه سیستم بالا بیاید و بتواند اجرا شود صرفنظر از نوع سیستم عامل می تواند هر کامپیوتری را آلوده سازد.

 

 

HOAX –  (گول زنك‌ها)

اين نوع ويروسها در قالب پيغامهاي فريب آميزي ، كاربران اينترنت را گول زده و به كام خود مي‌كشد. اين نوع ويروسها معمولاً به همراه يك نامه ضميمه شده از طريق پست الكترونيك وارد سيستم مي‌شوند. متن نامه مسلماً متن مشخصي نیست و تا حدودي به روحيات شخصي نويسنده ويروس بستگی دارد، پیغامها می توانند مضمونی تحدید آمیز یا محبت آمیز داشته باشند و یا در قالب هشداری ، مبنی بر شیوع یک ویروس جدید ئر اینترنت ، یا درخواستی در قبال یک مبلغ قابل توجه و یا هر موضوع وسوسه انگیز دیگر باشد . لازم به ذکر است كه همه اين نامه‌ها اصل نمي‌باشند يعني ممكن است بسیاری از آنها پيغام شخص سازنده ويروس نباشند بلكه شاید پيغام ويرايش شده يا تغيير یافته از يك كاربر معمولي و يا شخص ديگري باشد كه قبلا اين نامه‌ها را دريافت كرده و بدينوسيله ويروس را با پيغامي كاملاً جديد مجدداً ارسال مي‌كند.

نحوه تغيير پيغام و ارسال مجدد آن بسيار ساده بوده ، همين امر باعث گسترش سريع Hoax‌ها شده،‌ با يك دستور Forward مي‌توان ويروس و متن تغيير داده شده را براي شخص ديگري ارسال كرد. اما خود ويروس چه شكلي دارد؟ ويروسي كه در پشت اين پيغامهاي فريب آميز مخفي شده مي‌تواند به صورت يك بمب منطقي ، يك اسب تروا و يا يكي از فايلهاي سيستمي ويندوز باشد. شيوه‌اي كه ويروس Magistre-A از آن استفاده کرده و خود را منتشر مي‌كند.

 

SULFNBK –  يك ويروس، يك شوخي و يا هردو ؟!

سايت خبري سافس چندي پيش خبري مبني بر شناخته شدن يك ويروس جديد منتشر كرد، ويروسي با مشخصه SULFNBK (SULFNBK.EXE)که ممکن است نام آن اغلب برای شما آشنا باشد .

SULFNBK.EXE نام فايلي در سيستم عامل ويندوز 98می باشد كه وظيفه بازيابي اسامي طولاني فايلها را به عهده دارد و در سيستم عامل ويندوز 98 فایلی سودمند می باشد .

اینجاست که می توان به مفهوم واقی HOAX ها پی برد ، فایل SULFNBK.EXE که معمولا از طریق پست الکترونیکی به همراه یک نامه ی فریب آمیز و شاید تهدید آمیز به زبان پروتکلی وارد سیستمها می شود دقیقا در جایی ساکن می شود که فایل سالم SULFNBK.EXEدر آنجاست به بیان بهتر اینکه جایگزین آن فایل سالم می شود. فايل SULFNBK.EXE آلوده در شاخه Command ويندوز 98 ساكن شده و چون به همان شکل و سايز مي‌باشد به همين منظور كاربر متوجه حضور يك ويروس جديد در سيستم خود نخواهد شد ، اينجاست كه فریب خورده، ويروس خطرناك Magistre-A كه در هسته اين فايل وجود دارد در اول ماه ژوين فعال شده و سازنده خود را به مقصودش مي‌رساند. نسخه‌اي ديگر از اين ويروس را مي‌توان يافت كه در 25 ماه مي فعال می شود. تفاوتي كه این ویروس نسخه قبلي خود دارد آنست كه روي فايل SULFNBK.EXE آلوده در درايو C ساكن مي‌شود. لازم به ذكر است اين ويروس در سيستم عامل ويندوز 98فعال شده و حوزه فعاليتش در درايو C مي‌باشد.

تشخيص اينكه فايل SULFNBK.EXE واقعاً آلوده است يا خير دشوار می باشد . البته شايد بعد از ماه ژوئن 2002 از طریق ویروس یابهای جدید مانند Norton Mcafee بتوان آنها را تشخیص داد ، اما در صورت در سترس نبودن ویروس یابهای مذکور ، حداقل می توان SULFNBK.EXE را چه آلوده و چه غیر آلوده پاک کرد ، البته از آنجايي كه فايل SULFNBK.EXE يك فايل سيستمي ويندوز به شمار مي‌رود ممكن است پاك كردن آن به سيستم عامل لطمه وارد كند، از اينرو بد نيست قبل از پاك كردن، نسخه‌اي از آن را بر روي يك فلاپي كپي كرده و نگه داريم. حقيقت آنست كه كمتر كسي ریسک می کند و این قبیل فایلها را اجرا می کند .

پيغامي كه ضميمه اين فايل ارسال مي‌شود نيز در چندین نسخه وجود دارد. همانطور كه قبلا ذکر شد نسخه ی اصل پیغام به زبان پرتغالي است اما ترجمه ی انگليسي و اسپانيولي آن میز یافت شده است .

به هرحال هر ويروس چه از نوع HOAX باشد و چه از انواع ديگر، مدتی چه طولانی و چه کوتاه روي بورس است و معمولاً لطمه‌هاي جبران ناپذیر خود را در همان بدو تولد به جاي گذاشته و بعد از مدتي مهار مي‌شود . نكته ی قابل توجه اینست كه با داشتن خداقل آشنایی از این ویروسها در همان شروع کار به راحتی مي‌توان با نسخه‌هاي جديدتر آن ويروس و يا ويروسهاي مشابه مبارزه كرد.

 

تروجان چیست ؟ چگونه کار می کند ؟

يك تروجان يك برنامه كامپيوتری می باشد كه جاسوس كامپيوتری نيز ناميده ميشود . يك تروجان وقتی در كامپيوتری اجرا می شود  در آن كامپيوتر ماندگار می شود ﴿ مانند ويروسها كه در كامپيوتر می مانند ﴾ .  با نصب فايروال و آنتی ويروسها می توانيم جلوی ورود بعضی از آنها را به سيستم خود بگيريم . البته همه تروجانها را آنتی ويروسها نميتوانند تشخيص دهند .

 

تروجانها  اطلاعاتی از كامپيوتر را ﴿ كامپيوتری كه فايل سرور در آن اجرا شده ﴾ به شخصی كه ﴿ هكرها ﴾ آن تروجان را به كامپوتر قربانی فرستاده , می فرستد . اين اطلاعات ميتواند پسوردهای كامپيوتر مانند پسورد Admin و يا پسوردهای اينترنتی مانند      Yahoo Password و Internet Connection Password و يا  آدرس IP باشد.

اين اطلاعات می توانند در قالب يك ايميل ﴿ E-Mail ﴾ به شخص هكر فرستاده شوند .

بعضی از تروجان ها توانايی سرويس دهی برای هكرها را نيز دارند ; يعنی اگر تروجانی در كامپيوتری اجرا شود فرستنده آن تروجان ميتواند كامپيوتر قربانی را با استفاده از كامپيوتر خود و از راه دور كنترل كند و عملياتی بر روی كامپيوتر ﴿ مانند : حذف فايل , مشاهده  درايوها , فرمت كردن درايوها و … ﴾ انجام دهد . البته بايد سرور ﴿ فايل اجرا شده در  كامپيوتر قربانی ﴾ اين سرويس دهی ها را دارا باشد .

 

CELLSAVER –  يك اسب تروا

a.k.a CellSaver- Celcom Screen Saver نير ويروسي از نوع HOAX مي‌باشد و علیرغم مدت زیادی که از اولین انتشار آن می گذرد کاربران زیادی را دچار مشکل ساخته است . اين ويروس برای کاربران اینترنت ارسال شده است . نسخه نخست آن در سال 1998 و نسخه جديدتر آن كمي بعد در آوريل 1999 به همراه يك پيغام دروغين منتشر شد.

هرگاه نامه‌اي با عنوان CELLSAVER.EXE به همراه فايلي با همين نام دريافت كرديد سریعا آنرا پاك کرده و از Forward كردن براي شخصی ديگر بپرهيزبد ،اينكار هيچ گونه لذتي نداشته ، فقط به انتشار و بقای بيشتر آن كمك می کند .

اين فايل يك اسب تروا كامل مي‌باشد ، يك فايل Screen Saver زيبا براي ويندوز که به محض اجرا شدن هر كسي را مجذوب و مسحور مي‌گرداند.

احتياط كنيد! CELLSAVER.EXE به محض اجرا شدن ، يك گوشي تلفن بي‌سيم Nokia را بصورت یک Screen Saver بر روی صفحه نمايش نشان مي دهد . در صفحه نمايش اين گوشي، می توان زمان و پيغامهارا ديد. بعد از يكبار اجرا شدن، ويروس فعال شده و شما خيلي زود متوجه خواهيد شد كه سيستم بسيار كند عمل کرده ، قادر به بوت شدن نخواهد بود و اطلاعات رود هارد ديسك نيز پاكسازي مي‌شوند .در نتیجه مجبور به نصب مجددكليه برنامه‌ها خواهيد بود.

در آخر باز هم يادآور مي‌شويم كه هرگز نامه های دريافتي كه كمي ناشناخته و مشكوك به نظر مي‌رسند را باز نكنيد.

 

  • ويروسهاي چند جزئي Multipartite virus

بعضي از ويروسها، تركيبي از تكنيكها را براي انتشار استفاده کرده ، فايلهاي اجرائي، بوت سكتور و پارتيشن را آلوده می سازند. اينگونه ويروسها معمولاً تحت windows 98يا Win.Nt انتشار نمي‌يابند.

 

چگونه ويروسها گسترش مي‌يابند؟

زماني كه يك كد برنامة آلوده به ويروس را اجرا مي‌كنيد، كد ويروس هم پس از اجرا به همراه كد برنامه اصلي ، در وهله اول تلاش مي‌كند برنامه‌هاي ديگر را آلوده كند. اين برنامه ممكن است روي همان كامپيوتر ميزان یا برنامه‌اي بر روي كامپيوتر ديگر واقع در يك شبكه باشد. حال برنامه تازه آلوده شده نيز پس از اجرا دقيقاً عمليات مشابه قبل را به اجرا درمي‌اورد. هنگامیکه بصورت اشتراکی یک کپی از فایل آلوده را در دسترس کاربران دیگر کامپیوترها قرار می دهید ، با اجراي فايل كامپيوترهاي ديگر نيز آلوده خواهند شد. همچنين طبيعي است با اجراي هرچه بيشتر فايلهاي آلوده فايلهاي بيشتري آلوده خواهند شد.

اگر كامپيوتري آلوده به يك ويروس بوت سكتور باشد، ويروس تلاش مي‌كند در فضاهاي سيستمي فلاپي ديسكها و هارد ديسك از خود کپی هایی بجا بگذارد . سپس فلاپي آلوده مي‌تواند كامپيوترهايي را كه از روي‌آن بوت مي‌شوند و نيز يك نسخه از ويروسي كه قبلاً روي فضاي بوت يك هارد ديسك نوشته شده نيز مي‌تواند فلاپي‌هاي جديد ديگري را نيز آلوده نمايد.

به ويروسهايي كه هم قادر به آلوده كردن فايلها و هم آلوده نمودن فضاهاي بوت مي‌باشند اصطلاحاً ويروسهاي چند جزئي (multipartite) می گویند.

فايلهايي كه به توزيع ويروسها كمك مي‌كنند حاوي يك نوع عامل بالقوه مي‌باشند كه می توانند هر نوع كد اجرائي را آلوده ‌كنند. براي مثال بعضي ويروسها كدهاي را آلوده مي‌كنند كه در بوت سكتور فلاپي ديسكها و فضای سيستمي هارد ديسكها وجود دارند.

نوع ديگر این ويروس ها كه به ويروسهاي ماكرو شناخته می شوند ، مي‌توانند عمليات پردازش كلمه‌اي (word processing) يا صفحه‌هاي حاوي متن را كه از این ماكروها استفاده مي‌كنند ، آلوده می کنند. اين امر براي صفحه‌هايي با فرمت HTMl نيز صادق است.

از آنجائيكه يك كد ويروس بايد حتماً قابل اجرا شدن باشد تا اثري از خود به جاي بگذارد از اينرو فايلهايي كه كامپيوتر به عنوان داده‌هاي خالص و تميز با آنها سرو كار دارد امن هستند.

فايلهاي گرافيكي و صدا مانند فايلهايي با پسوند gif . ، jpg ، mp3، wav،…هستند .

براي مثال زماني كه يك فايل با فرمت picture را تماشا مي‌كنيد كامپيوتر شما آلوده نخواهد شد.

يك كد ويروس مجبور است كه در قالب يك فرم خاص مانند يك فايل برنامه‌اي .exe يا يك فايل متني doc كه كامپيوتر واقعاً آن را اجرا مي‌كند ، قرار گیرد .

 

عمليات مخفيانه ويروس در كامپيوتر

همانطور كه مي‌دانيد ويروسها برنامه‌هاي نرم افزاري هستند .آنها مي‌‌توانند مشابه برنامه‌هايي باشند كه به صورت عمومي در يك كامپيوتر اجرا می گردند .

اثر واقعي يك ويروس بستگي به نويسنده آن دارد. بعضي از ويروسها با هدف خاص ضربه زدن به فايلها طراحي می شوند و يا اینکه در عمليات مختلف كامپيوتر دخالت کرده و ايجاد مشکل مي‌كنند.

ویروسها براحتي بدون آنكه متوجه شويد خود را تكثير کرده ، گسترش مي‌يابند ، در حين گسترش يافتن به فايلها صدمه رسانده و يا ممكن است باعث مشكلات ديگری شوند.

نكته: ويروسها قادر نيستند به سخت افزار كامپيوتر صدمه ای وارد کنند . مثلاً نمی توانند باعث ذوب شدن CPU ، سوختن هارد دیسک و یا انفجار مانیتور و غیره شوند .

 

 

ويروسها و E-mail

 

شما صرفا با خواندن يك متن سادة e-mail يا استفاده از netpost ، ويروسي دريافت نخواهيد كرد. بلكه بايد مراقب پيغامهاي رمز دار حاوي كدهاي اجرائي و يا پيغامهایی بود كه حاوي فايل اجرائي ضميمه شده (يك فايل برنامه‌اي كد شده و يا يك word document كه حاوي ماكروهايي باشد) می باشند. از اين رو براي به كار افتادن يك ويروس يا يك برنامه اسب تروا ، كامپيوتر مجبور به اجرای كدهایی است مي‌توانند يك برنامه ضميمه شده به e-mail ، يك word document دانلود شده از اينترنت و يا حتي مواردی از روي يك فلاپي ديسك باشند.

 

نكاتي جهت جلوگيري از آلوده شدن سيستم

 

اول از هرچيزي به خاطر داشته باشيد اگر برنامه ای درست کار نکند یا کلا کامپیوتر در بعضی از عملیات سریع نباشد بدان معنا نيست كه به ویروس آلوده شده است .

اگر از يك نرم افزار آنتي ويروس شناخته شده و جديد استفاده نمي‌كنيد در قدم اول ابتدا اين نرم افزار را به همراه كليه امكاناتش بر روي سيستم نصب كرده و سعي كنيد آنرا به روز نگه داريد.

اگر فكر مي‌كنيد سيستمتان آلوده است سعي كنيد قبل از انجام هر كاري از برنامه آنتي ويروس خود استفاده كنيد.( البته اگر قبل از استفاده از آن، آنرا بروز كرده باشيد بهتر است). سعي كنيد بيشتر نرم افزارهاي آنتي ويروس را محك زده و مطمئن ترین آنها را برگزينيد.

البته بعضي وقتها اگر از نرم افزارهاي آنتي ويروس قديمي هم استفاده كنيد، بد نيست. زيرا تجربه ثابت كرده که ویروس یابهای قدیمی بهتر می توانند ویروسهایی را که برای مدتی فعال بوده و به مرور زمان بدست فراموشی سپرده شده اند را شناسایی و پاکسازی کنند .

ولي اگر جزء افرادي هستيد كه به صورت مداوم با اينترنت سروكار داريد حتماً به يك آنتي ويروس جديد و به روز شده نیاز خواهید داشت .

براي درك بهتر و داشتن آمادگي در هر لحظه براي مقابله با نفوذ ويروسها به نكات ساده ی زیر توجه کنید :

1- همانطور كه در بالا ذکر شد از يك كمپاني مشهور و شناخته شده‌ بر روي سيستم تان یک نرم افزار آنتی ویروس نصب كرده و سعي كنيد هميشه آنرا به روز نگه داريد.

2- همیشه احتمال ورود ويروسهاي جديد به سيستم وجود دارد . پس يك برنامه آنتي ويروس كه چند ماه به روز نشده نمي‌تواند در مقابل جريان ويروسها مقابله كند.

3-توصیه می شود براي آنكه سيستم امنيتي كامپيوتر از نظم و سازماندهي برخوردار باشد برنامه a.v (آنتي ويروس) خود را سازماندهي نمائيد ، مثلاً قسمت configuration نرم افزار a.v. خود را طوري تنظيم كنيد كه به صورت اتوماتيك هر دفعه كه سيستم بوت مي‌شود آن را چك نمايد، اين امر باعث مي‌شود سيستم شما در هر لحظه در مقابل ورود ويروس و يا هنگام اجراي يك فايل اجرائي ايمن شود.

4- برنامه‌هاي آنتي ويروس در يافتن برنامه‌هاي اسب تروآ خيلي خوب عمل نمي‌كنند از اين رو در باز كردن فايلهاي باينري و فايلهاي برنامه‌هاي excel و Word كه از منابع ناشناخته و احياناً مشكوك مي‌باشند محتاط عمل كنيد.

5-اگر براي ايميل و يا اخبار اينترنتي بر روي سيستم خود نرم افزار كمكي خاصي داريد كه قادر است به صورت اتوماتيك صفحات Java script و word macro ها و يا هر گونه كد اجرائي موجود و يا ضميمه شده به يك پيغام را اجرا نمايد توصيه مي‌شود اين گزينه را غير فعال (disable) نمائيد.

6-از باز کردن فایلهایی که از طریق چت برایتان فرستاده می شوند ، پرهیز کنید.

7- اگر احياناً بر روي هارد ديسك خوداطلاعات مهمي داريد حتماً از همه آنها نسخه پشتيبان تهيه كنيد تا اگر اطلاعات شما آلوده شده اند يا از بين رفتند بتوانيد جايگزين كنيد.

 

نكاتي براي جلوگيري از ورود كرمها به سيستم :

از آنجائيكه اين نوع برنامه‌ها (worms) امروزه گسترش بيشتري يافته و بايد بيشتر از ساير برنامه‌هاي مخرب از آنها دوري كنيم، از اين رو به اين نوع برنامه هاي مخرب بيشتر مي‌پردازيم.

كرمها برنامه‌هاي كوچكي هستند كه با رفتاري بسيار موذيانه به درون سيستم رسوخ كرده، بدون واسطه خود را تكثير كرده و خيلي زود سراسر سيستم را فرا مي‌گيرند. در زير نكاتي براي جلوگيري از ورود كرمها آورده شده است.

1) بيشتر كرمهايي كه از طريق E-mail گسترش پيدا مي‌كنند از طريق نرم افزارهاي microsoft outlook و يا out look express وارد سيستم مي‌شوند. اگر شما از اين نرم افزار استفاده مي‌كنيد پيشنهاد می شود هميشه آخرين نسخه security patch اين نرم افزار را از سايت microsoft دريافت و به روز كنيد.

همچنين بهتر است علاوه بر به روز كردن اين قسمت از نرم افزار outlook سعي كنيد ساير نرم افزارها و حتي سيستم عامل خود را نيز در صورت امكان هميشه به روز نگه داريد، و يا حداقل بعضي از تكه‌هاي آنها را كه به صورت بروز درآمده قابل دسترسي است.

اگر از روي اينترنت بروز مي‌كنيد و یا از cd ها و بسته‌هاي نرم افزاري آماده در بازار ،از اصل بودن آنها اطمينان حاصل كنيد.

2) تا جاي ممكن در مورد e-mail attachment ها محتاط باشيد. چه در دريافت e-mail و چه در ارسال آنها.

3) هميشه ويندوز خود را در حالت show file extensions قرار دهيد.

اين گزينه در منوي Tools/folder option/view با عنوان “Hide file extensions for known file Types” قرار داردكه به صورت پيش فرض اين گزينه تيك خورده است، تيك آنرا برداريد.

4) فايلهاي attach شده با پسوندهاي SHS و VBS و يا PIF را هرگز باز نكنيد. اين نوع فايلها در اكثر موارد نرمال نيستند و ممكن است حامل يك ويروس و يا كرم باشند.

5) هرگز ضمائم دو پسوندي را باز نكنيد.

email attachment هايي با پسوندهایی مانند Neme.BMP.EXE و يا Name.TxT.VBS و …

6) پوشه‌هاي موجود بر روي سيستم خود رابجز در مواقع ضروري با ديگر كاربران به اشتراك نگذاريد . اگر مجبور به اين كار هستيد، اطمينان حاصل كنيد كه كل درايو و يا شاخه ويندوز خود را به اشتراك نگذاشته اید.

7) زماني كه از كامپيوتر استفاده نمي‌كنيد كابل شبكه و يا مودم را جدا كرده و يا آنها را خاموش كنيد.

8) اگر از دوستي كه به نظر می رسد ناشناس است ایمیلی دريافت كرديد قبل از باز كردن ضمائم آن حتماً متن را چند بار خوانده و زماني كه مطمئن شدید از طرف يك دوست است ، آنگاه سراغ ضمائم آن برويد.

9)توصیه می شود فايلهاي ضميمه شده به ايميل‌هاي تبليغاتي و يا احياناً weblink هاي موجود در آن‌ها را حتي الامكان باز نكنيد.

10) از فايلهاي ضميمه شده‌اي كه به هر نحوي از طريق تصاوير و يا عناوين خاص، به تبلیغ مسائل جنسي و مانند آن می پردازند ، دوري كنيد. عناويني مانند porno.exe و يا pamela-Nude.VBS كه باعث گول خوردن كاربران مي‌شود.

11) به آيكون فايلهاي ضميمه شده نيز به هيچ عنوان اعتماد نكنيد. چرا که ممكن است كرمهايي در قالب فايل عكس و يا یک فایل متني فرستاده شود ولي در حقيقت اين فايل يك فايل اجرائي بوده و باعث فريب خوردن كاربر مي‌شود.

12)در massenger هايي مانند IRC، ICQ و يا AOL به هيچ عنوان فايلهاي ارسالي از جانب كاربران ناشناس on-line درchat system ها را قبول (accept) نكنيد.

13) از Download كردن فايل از گروه‌هاي خبري همگاني نیز پرهيز كنيد.(usenet news) زيرا اغلب گروه‌هاي خبري خود يكي از علل پخش ويروس می باشند .

 

 

CODERED يك نوع كرم اينترنتي

مركز تطبيق و هماهنگي Cert در پتيسبورگ كه مركزي براي بررسي اطلاعات سري كامپيوتري است، اذعان مي‌دارد كه ويروس CODERED احتمالاً به درون بيش از 280000 دستگاه متصل به اينترنت كه از سيستم عاملهاي NT4.0 و ويندوز 2000 استفاده مي‌كنند نفوذ كرده است. حال آنكه اين سيستم عاملها ، داراي مزيت محافظتی به وسيلة نرم افزارهاي خطاياب IIS5 و IIS4 می باشند .

هنگامي كه هر دو گونه اين ويروس (نسخه‌هاي 29.A و codered II ) تلاش مي‌كنند تا روي سرورهايي كه به وسيله سرويس‌هاي شاخص نرم افزارهاييكه IIS از لحاظ ضعفهاي عبوري يا مقاومت در برابر ويروسهاي جديد اصلاح نشده‌اند ، نفوذ و منتشر شوند،‌ يكي از دو نسخه قديمي اين ويروس طوري تنظيم شده است كه صفحات اوليه اتصال اينترنتي معروف به Homepage و يا start page مربوط به وب سرور آلوده شده را از حالت طبيعي خارج سازد.

اين ويروس طوري تنظيم شده است كه تا بيستمين روز ماه منتشر مي‌شود ،آنگاه با حالتي كه cert آن را مرحله ويرانگر ناميده است، چنان عمل مي‌كند كه خود سرويس محافظ شخصي را بر عليه آدرس اينترنتي داده شده وادار به خرابكاري مي‌كند. جالب است بدانيد اولين آدرس اينترنتي داده شده به ويروس وب سرور كاخ سفيد بوده است.

به نظر می رسد که این ویروس در آخرين ساعت بيست و هفتيمن روز ماه، بمباران و انتشارهاي خود را متوقف كرده ، وارد مرحله خواب موقتي شده و خود را غير فعال مي‌كند. حال آیا ويروس قدرت اين را دارد كه در اولين روز ماه بعد ، خود را براي فعاليتي دوباره بيدار كند.

يك مركز تحقيقات تخصصي كه در اوهايو ايالات كلمبيا شركتي مشاوره‌اي و فني است، به بررسي و تست ويروس Codered پرداخته و به اين نتيجه رسيده است كه اين مزاحم خواب آلود مي‌تواند دوباره خود را فعال کرده و فرآيند جستجوی ميزبانان جديد را از سر بگيرد.

بررسيها و نتايج به دست آمده نشان مي دهند كه codered براي شروع فعاليت مجدد، فايل مخصوصي را جستجو کرده و تا زمان پيدا كردن آن فايل و ساختن درايو مجازي خاصي به نام تروآ (Trojan) در حالت خواب باقي مي‌ماند.

كارشناسان فني بر اين عقيده‌اند كه اين ويروس مجبور نيست خود را بيدار و فعال كند تا برای سیستمها تحديدی جدي به حساب آید. در حال حاضر سيستم‌هاي آلوده ی بسیاری وجود دارند كه ناخودآگاه براي انتشار و سرايت ويروس به سيستم‌هاي ديگر تلاش مي‌كنند. يكي از كارشناسان SARC يكي از مراكز تحقيقاتي مي‌گويد : از آنجا كه كامپيوترهاي زيادي هستند که ساعتها درست تنظيم نشده ، شاهد انتشار مجدد اين ويروس خواهيم بود. تنها يكي از سيستم‌هاي آلوده، براي انتشار موج جديدي از اختلالات كافي خواهد بود.

محاسبات مركز تطبيق و هماهنگي CERT نشان مي‌دهد كه ويروس Codered 250000 ، سرور ويندوزهايي كه در خلال 9 ساعت اول فعاليت زود هنگام خود، سرور ویندوزهایی که آسیب پذیر بوده اند را آلوده ساخته است. بولتن خبري CERT تخمين مي‌زند كه با شروع فعاليت ويروس از يك ميزبان آلوده، زمان لازم براي آلوده شدن تمام سيستم‌هايي كه عليرغم استفاده از نرم افزارهاي IIS (البته نسخه‌هاي قديمي آن) همچنان آسيب پذير مانده‌اند، كمتر از 18 ساعت است! اين رخدادها، اين سوال را تداعی می کنند كه چه تعداد از كامپيوترهاي آلوده شده قبلي، تاكنون اصلاح و پاكسازي شده‌اند؟ اگرچه سرور كاخ سفيد، هدف اصلي حملات خرابكارانه Codered بوده است،‌ با اين حال اين كرم كينه جو هنوز مشكلات بسیاری را براي ميزبانان به وجود مي‌آورد.

 

ویروس ها چگونه کار می کنند ؟

ویروس های رایانه ای بسیار اسرار آمیز هستند و توجه بسیاری از برنامه ویسان مشاوران امنیتی شبکه های اینترنتی و حتی افراد عادی که از رایانه برای کارهای معمولی خود استفاده میکنند را به خود جلب کرده اند و سالانه هزینه هنگفتی برای جلوگیری ازانتشار و بالا بردن امنیت شبکه ها و رایانه ها د رمقابل ویروس ها صرف می شود. اگر بخواهیم از دید دیگری به ویروس ها نگاه کنیم نقاط آسیب پذیری و میزان آسیب پذیر بودن سیستم رایانه ای خود و یا اکنیت شبکه ای که ما د رحال کار با آن هستیم به ما نشان می دهند که البته ممکن است این کار کمی برایمان گران تمام شود!

یک ویروس که از طراحی و زیر ساخت پیچیده و سازمان یافته ای بهره مند باشد می تواند تاثیرات شگفت انگیز و در بعضی موارد مخرب بر روی شبکه اینترنت بگذارد. اثراتی که این ویروس ها بر اینترنت میگذارند و تعداد رایانه ها یی که آلوده می کنند خود گواه ارتباطات پیچیده و عظیم انسان ها و رایانه ها و شبکه های اطلاع زسانی در اینترنت می باشد.

برای مثال ویروس جدید مایدمMydoom worm)) تخمین زده شده که در یک روز حدود 255 هزار رایانه را آلوده کرده باشد. ویروس ملیسا( Melissa virus ) در سال 99 و من شما را دوست دارم I LOVE YOU در سال 2000 که ویروس های قدرتمندی که مایکروسافت و بسیاری از شرکت های ارائه دهنده سرویس ایمیل را مجبور کرد تا زمان پاک سازی و رفع مشکلات بوجود آمده توسط ویروس سرورهای خود را خاموش کنند . شاید وقتی کمی تحقیق کنید و عملکرد این ویروس ها را مورد مطالعه قرار دهید بسیار شگفت زده خواهید شد وقتی بفهمید که این ویروس ها بطرز بسیار ساده ای این کار ها را انجام می دهند. اگر در زمینه برنامه نویسی اطلاعات مختصر و یا حتی زبان برنامه نویسی بلد باشید با دیدن کد های برنامه این ویروس ها به ساده بودن و طرز کار ساده آن ها پی خواهید برد و از آن شگفت زده می شوید.

  • کرمهای اینترنتی مفید

خبرگزاری BBC در می ۲۰۰۱ خبر از ظهور و گسترش کرمی به نام کرم پنیر (Cheese worm) داد. محتوای خبر نشان از فعالیت این کرم علیه هکرها میداد، نه به نفع آنان!

«یک ویروس مفید در حال گشت در اینترنت است و شکاف امنیتی کامپیوترها را بررسی و در صورت یافتن، آنها را می‌بندد. هدف این کرم، کامپیوترهای با سیستم عامل لینوکس است که توسط یک برنامه مشابه اما زیان‌رسان قبلا مورد حمله قرار گرفته‌اند.»

اما این کرم توسط شرکت‌های تولید آنتی‌ویروس تحویل گرفته نشد! چراکه آنان معتقد بودند هر نرم‌افزاری که تغییراتی را بدون اجازه در یک کامپیوتر ایجاد کند، بالقوه خطرناک است.

در مارس همین سال یک برنامه زیان‌رسان با عنوان Lion worm (کرم شیر) سرویس‌دهندگان تحت لینوکس بسیاری را آلوده و درهای پشتی روی آنها نصب کرده بود تا ایجادکنندگان آن بتوانند از سرورها بهره‌برداری کنند. کرم همچنین کلمات عبور را می‌دزدید و به هکرهایی که از این ابزار برای ورود غیرمجاز استفاده می‌کردند، می‌فرستاد. این درهای پشتی می‌توانستند برای حملات DoS نیز استفاده شوند.

کرم پنیر تلاش می‌کرد بعضی از خسارات وارده توسط کرم شیر را بازسازی کند. در حقیقت کرم پنیر شبکه‌هایی با آدرسهای مشخص را پیمایش می‌کرد تا آنکه درهای پشتی ایجاد شده توسط کرم شیر را بیابد،‌ سپس برای بستن سوراخ، وصله آنرا بکار می‌گرفت و خود را در کامپیوتر ترمیم‌شده کپی می‌کرد تا برای پیمایش شبکه‌های دیگر با همان شکاف امنیتی از این کامپیوتر استفاده کند.

مدیران سیستمها که متوجه تلاشهای بسیاری برای پیمایش سیستمهایشان شده بودند، دنبال علت گشتند و کرم پنیر را مقصر شناختند. ارسال گزارشهای آنها به CERT باعث اعلام یک هشدار امنیتی گردید.

این برنامه با مقاصد بدخواهانه نوشته نشده بود و برای جلوگیری از فعالیت هکرهای مزاحم ایجاد گشته بود. اما بهرحال یک «کرم» بود. چرا که یک شبکه را می‌پیمایید و هرجا که میرفت خود را کپی ‌می‌کرد.

زمانیکه بحث کرم پنیر مطرح شد، بعضی متخصصان امنیت شبکه‌های کامپیوتری احساس کردند که ممکن است راهی برای مبارزه با شکافهای امنیتی و هکرهای آسیب‌رسان پیدا شده باشد. یکی از بزرگترین علتهای وجود رخنه‌های امنیتی و حملات در اینترنت غفلت یا تنبلی بسیاری از مدیران سیستمهاست. بسیاری از مردم سیستمهای خود را با شکافهای امنیتی به امان خدا! رها می‌کنند و تعداد کمی زحمت نصب وصله‌های موجود را می‌دهند.

بسیاری از مدیران شبکه‌ها از ورود برنامه‌ها و بارگذاری وصله‌ها ابراز نارضایتی می‌کنند. این نکته‌ای صحیح است که یک وصله ممکن است با برنامه‌های موجود در کامپیوتر ناسازگار باشد. اما در مورد یک کرم مفید که وجود شکافهای امنیتی در سیستمها را اعلام می‌کند، چه؟ این روش مشکل مدیرانی را که نمی‌توانند تمام شکافهای امنیتی را ردیابی کنند، حل می‌کند.  بعضی می‌گویند که برنامه‌های ناخواسته را روی سیستم خود نمی‌خواهند. در پاسخ به آنها گفته می‌شود «اگر شکاف امنیتی در سیستم شما وجود نداشت که این برنامه‌ها نمی‌توانستند وارد شوند. یک برنامه را که سعی می‌کند به شما کمک کند، ترجیح می‌دهید یا آنهایی را که به سیستم شما آسیب می‌رسانند و ممکن است از سیستم شما برای حمله به سایرین استفاده کنند؟ »

این آخری، یک نکته مهم است. رخنه‌های امنیتی کامپیوتر شما فقط مشکل شما نیستند؛ بلکه ممکن است برای سایر شبکه‌ها نیز مساله‌ساز شوند. ممکن است فردی نخواهد علیه بیماریهای مسری واکسینه شود، اما بهرحال بخشی از جامعه‌ای است که در آن همزیستی وجود دارد.

آنچه که در این میان آزاردهنده است این است که هرساله برای امنیت اتفاقات بدی رخ میدهد، و هرچند تلاشهایی برای بهبود زیرساختهای امنیتی انجام می‌گیرد، اما برای هر گام به جلو، دو گام باید به عقب بازگشت. چرا که هکرها باهوش‌تر و در نتیجه تهدیدها خطرناکتر شده‌اند. و شاید بدلیل تنبلی یا بار کاری زیاد مدیران شبکه باشد.

در بیشتر موارد، مشکلات بزرگ امنیتی که هر روزه درباره آنها می‌خوانید، بخاطر وجود حملاتی است که برروی سیستمهایی صورت می‌گیرد که به علت عدم اعمال وصله‌ها، هنوز مشکلات قدیمی را درخود دارند.

بنابه عقیده بعضی، اکنون زمان استفاده از تدبیر براساس کرم! و ساختن کرمهای مفید برای ترمیم مشکلات است. درباره این روش قبلا در مجامع مربوط به امنیت بحث شده است و البته هنوز اعتراضات محکمی علیه استفاده از آنها وجود دارد. اما در مواجهه با شبکه های zombie (کامپیوترهای آلوده ای که برای حملات DoS گسترده، مورد استفاده قرار می گیرند) که تعداد آنها به دههاهزار کامپیوتر میرسد، می توانند یک شبه! توسط کرمهای مفید از کار انداخته شوند.

البته،  یک کرم مفید هنوز یک کرم است و بحث دیگری که در اینجا مطرح می شود این است که کرمها ذاتا غیرقابل کنترل هستند، به این معنی که کرمهای مفید هم باعث بروز مشکلات ترافیک می شوند و بصورت غیرقابل کنترلی گسترده می گردند. این مساله در مورد بیشتر کرمها صدق می کند، اما دلیل آن این است که تاکنون هیچ کس یک کرم قانونی! و بدرستی برنامه نویسی شده ایجاد نکرده است. می توان براحتی کنترلهای ساده ای همچون انقضاء در زمان مناسب و مدیریت پهنای باند را که این تاثیرات ناخوشایند را محدود یا حذف کند، برای یک کرم مفید تصور کرد.

اشکال وارده به ایجاد یک کرم قانونی و مناسب این است که زمان زیادی می طلبد، بسیار بیشتر از زمانی که یک کرم گسترش پیدا می کند. در پاسخ می توان گفت بیشتر کرمها از مسائل تازه کشف شده بهره نمی برند. بیشتر آنها از شکافهای امنیتی استفاده می کنند که مدتهاست شناخته شده اند.

تعدادی پرسش وجود دارد که باید پاسخ داده شوند. چه کسی این کرمها را طراحی و مدیریت می کند؟ دولت، CERT، فروشندگان یا اینکه باید تشکل هایی براه انداخت؟ برای ترمیم چه ایراداتی باید مورد استفاده قرار گیرند؟ روند اخطار برای سیستمهایی که توسط یک کرم مفید وصله شده اند، چیست؟ آیا پیامی برای مدیر شبکه بگذارد؟ که البته هیچ کدام موانع غیرقابل حلی نیستند.

بهرحال، بهترین کار مدیریت صحیح سیستمهایتان است، بنحوی که با آخرین ابزار و وصله های امنیتی بروز شده باشند. در این صورت دیگر چندان نگران وجود کرمها در سیستمهایتان نخواهید بود.

آنچه که نمی توان در مورد آن با اطمنیان صحبت کرد، امن و موثر بودن یک کرم مفید است، که این مطلب مطالعات و تحقیقات جدی را می طلبد. بعلاوه اینکه، اگر برنامه نوشته شده در دنیای بیرون متفاوت از آزمایشگاه رفتار کند، چه کسی مسوولیت آنرا می پذیرد؟ مساله بعدی اینست که تحت قانون جزایی بعضی کشورها، هک کردن یک سیستم و تغییر دیتای آن بدون اجازه زیان محسوب می شود و چنانچه این زیان به حد مشخصی مثلا ۵هزار دلار برسد، تبهکاری بحساب می آید، حتی اگر قانون جنایی حمایتی برای نویسندگان کرمهای مفید درنظر بگیرد. ایده اصلی در این بین، اجازه و اختیار برای دستیابی به کامپیوتر و تغییر دیتای آن یا انجام عملیاتی بر روی آن است. از منظر قانونی، این اجازه می تواند از طرقی اعطاء شود. بعلاوه اینکه سیستمهایی که امنیت در آنها رعایت نشود، اساسا به هر کس اجازه تغییر دیتا را می دهند.

خوشبختانه، روشهای محدودی برای اخذ اجازه وجود دارد. برای مثال، ISPها از پیش بواسطه شرایط خدمات رسانی به مشتریانشان اجازه تغییر دیتا را دارند. یک ISP معتبر ممکن است حتی سرویس بروز رسانی رایگان یک برنامه ضدویروس را نیز به مشتریانش ارائه کند.

راه دیگر اخذ اجازه از طریق پروانه های دولتی است. مثلا در بعضی کشورها، افسران پلیس این قدرت را دارند که بتوانند تحت قوانین محدود و شرایط خاصی وارد فضای خصوصی افراد شوند. مثال دیگر در مورد سارس است. افراد می توانند بخاطر سلامت عمومی قرنطینه شوند، اما فقط توسط افرادی که اختیارات دولتی دارند.

در آخر توجه شما را به یک مساله جلب می کنیم: اجرای قوانین سلامت بیشتر بصورت محلی است، در حالیکه اینترنت ماهیت دیگری دارد. ممکن است بتوان در بعضی کشورها به سوالات مربوط در مورد نوشتن و گسترش کرمهای مفید جواب داد، اما کاربران کشورهای دیگر را شامل نمی شود.

 

 

 

Byadmin

مراحل اوليه ايجاد امنيت در شبکه

مراحل اوليه ايجاد امنيت در شبکه

مراحل اوليه ايجاد امنيت در شبکه

مراحل اوليه ايجاد امنيت در شبکه

شبکه های کامپيوتری زير ساخت لازم برای عرضه اطلاعات در يک سازمان را فراهم می نمايند . بموازات رشد و گسترش تکنولوژی اطلاعات، مقوله امنيت در شبکه های کامپيوتری ، بطور چشمگيری  مورد توجه قرار گرفته و همه روزه بر تعداد افرادی که علاقه مند به آشنائی با اصول سيستم های امنيتی در اين زمينه می باشند ، افزوده می گردد . در اين مقاله ، پيشنهاداتی در رابطه با ايجاد يک محيط ايمن در شبکه ، ارائه می گردد .

سياست امنيتی

يک سياست امنيتی، اعلاميه ای رسمی مشتمل بر مجموعه ای از قوانين است که می بايست توسط افراديکه به يک تکنولوژی سازمان و يا سرمايه های اطلاعاتی دستيابی دارند،  رعايت و به آن پايبند باشند . بمنظور تحقق اهداف امنيتی ، می بايست سياست های تدوين شده  در رابطه با تمام کاربران ، مديران شبکه و مديران عملياتی سازمان، اعمال  گردد . اهداف مورد نظر عموما”  با تاکيد بر گزينه های  اساسی زير مشخص  می گردند .

” سرويس های عرضه شده  در مقابل امنيت ارائه شده   ، استفاده ساده در مقابل امنيت  و هزينه ايمن سازی در مقابل ريسک از دست دادن اطلاعات ”

مهمترين هدف يک سياست امنيتی ، دادن آگاهی لازم به کاربران،  مديران شبکه و مديران عملياتی يک سازمان در رابطه با امکانات و تجهيزات لازم ، بمنظور حفظ و صيانت از تکنولوژی و سرمايه های اطلاعاتی است . سياست امنيتی ، می بايست مکانيزم و راهکارهای مربوطه را با تاکيد بر امکانات موجود تبين نمايد . از ديگر اهداف يک سياست امنيتی ،  ارائه يک خط اصولی برای  پيکربندی و مميزی سيستم های کامپيوتری و شبکه ها ،  بمنظور تبعيت از سياست ها است . يک سياست امنيتی مناسب و موثر ، می بايست رضايت و حمايت تمام پرسنل موجود در يک سازمان را بدنبال داشته باشد .

يک سياست امنيتی خوب دارای ويژگی های زير است :

امکان  پياده سازی عملی آن بکمک روش های متعددی نظير رويه های مديريتی،  وجود داشته باشد .

 

امکان تقويت آن توسط ابزارهای امنيتی ويا  دستورات مديريتی  در موارديکه پيشگيری واقعی از لحاظ فنی امکان پذير نيست ، وجود داشته باشد .

محدوده مسئوليت  کاربران ، مديران شبکه  و مديران عملياتی بصورت  شفاف مشخص گردد .

پس از استقرار، قابليت برقرای ارتباط با منابع متفاوت انسانی را دارا باشد . ( يک بار گفتن و همواره در گوش داشتن )

دارای انعطاف لازم بمنظور برخورد با  تغييرات درشبکه  باشد .(  سياست های تدوين شده ،  نمونه ای بارز از مستندات زنده تلقی می گردنند . )

سيستم های  عامل و برنامه های کاربردی : نسخه ها و بهنگام سازی

در صورت امکان، می بايست از آخرين نسخه  سيستم های عامل و برنامه های کاربردی بر روی تمامی کامپيوترهای  موجود در شبکه ( سرويس گيرنده ، سرويس دهنده ، سوئيچ، روتر، فايروال و سيستم های تشخيص مزاحمين ) استفاده شود . سيستم های عامل و برنامه های کاربردی می بايست بهنگام بوده و همواره از آخرين امکانات موجود بهنگام سازی ( patches , service pack , hotfixes) استفاده گردد . در اين راستا می بايست حساسيت بيشتری نسبت به برنامه های آسيب پذير که زمينه لازم برای متجاوزان اطلاعاتی را فراهم می نمايند ، وجود داشته باشد  .

برنامه های  : IIS ,OutLook , Internet Explorer , BIND و sendmail  بدليل وجود نقاط آسيب پذير می بايست مورد توجه جدی قرار گيرند . متجاوزان اطلاعاتی ،  بدفعات از نقاط آسيب پذير برنامه های فوق برای خواسته های خود استفاده کرده اند .

شناخت شبکه موجود

بمنظور پياده سازی و پشتيبانی سيستم امنيتی ، لازم است ليستی از تمام دستگاههای  سخت افزاری و برنامه های نصب شده ، تهيه گردد . آگاهی از برنامه هائی که بصورت پيش فرض نصب شده اند،  نيز دارای اهميت خاص خود است ( مثلا” برنامه IIS بصورت پيش فرض توسط SMS و يا سرويس دهنده SQL در شبکه های مبتنی بر ويندوز نصب می گردد ) . فهرست برداری از سرويس هائی که بر روی شبکه در حا ل اچراء می باشند، زمينه را برای پيمايش و تشخيص مسائل مربوطه ،  هموار خواهد کرد .

 

سرويس دهندگان TCP/UDP و سرويس های موجود در شبکه

تمامی سرويس دهندگان TCP/UDP در شبکه بهمراه سرويس های موجود بر روی هر کامپيوتر در شبکه ، می بايست شناسائی و مستند گردند . در صورت امکان، سرويس دهندگان و سرويس های غير ضروری،  غير فعال گردند . برای سرويس دهندگانی که وجود آنان ضروری تشخيص داده می شود،  دستيابی به آنان محدود به کامپيوترهائی گردد که به خدمات آنان نيازمند می باشند . امکانات عملياتی را که بندرت از آنان استفاده و دارای  آسيب پذيری بيشتری می باشند ، غير فعال تا زمينه بهره برداری آنان توسط متجاوزان اطلاعاتی  سلب گردد. توصيه می گردد ،  برنامه های نمونه (Sample)  تحت هيچ شرايطی بر روی سيستم های توليدی ( سيستم هائی که محيط لازم برای توليد نرم افزار بر روی آنها ايجاد و با استفاده از آنان محصولات نرم افزاری توليد می گردند )  نصب نگردند .

 

رمزعبور

انتخاب رمزعبور ضعيف ،  همواره يکی از مسائل اصلی در رابطه با هر نوع  سيستم امنيتی است . کاربران،  می بايست متعهد و مجبور به تغيير رمز عبور خود بصورت ادواری گردند . تنظيم مشخصه های رمز عبور در سيستم های مبتنی بر ويندوز،  بکمک Account Policy صورت می پذيرد . مديران شبکه،  می بايست برنامه های مربوط به تشخيص رمز عبور را تهيه و آنها را اجراء تا آسيب پذيری سيستم  در بوته نقد و آزمايش قرار گيرد .

برنامه های john the Ripper   ، LOphtcrack و Crack ،  نمونه هائی در اين زمينه می باشند . به کاربرانی که رمز عبور آنان ضعيف تعريف شده است ، مراتب اعلام و در صورت تکرار  اخطار داده شود ( عمليات فوق،  می بايست بصورت متناوب انجام گيرد ) . با توجه به اينکه برنامه های تشخيص رمزعبور،زمان زيادی از پردازنده را بخود اختصاص خواهند  داد،  توصيه می گردد،  رمز عبورهای کد شده ( ليست SAM بانک اطلاعاتی در ويندوز ) را بر روی  سيستمی ديگر که در شبکه نمی باشد،  منتقل  تا زمينه بررسی رمزهای عبور ضعيف ،  فراهم گردد . با انجام عمليات فوق برروی يک کامپيوتر غير شبکه ای ،  نتايج بدست آمده برای هيچکس قابل استفاده نخواهد بود( مگراينکه افراد بصورت فيزيکی به سيستم دستيابی پيدا نمايند) .

برای تعريف رمز عبور،  موارد زير پيشنهاد می گردد :

حداقل طول رمز عبور، دوازده و يا بيشتر باشد .

دررمز عبور از حروف کوچک، اعداد، کاراکترهای خاص و Underline استفاده شود .

از کلمات موجود در ديکشنری استفاده نگردد .

رمز های عبور ، در فواصل زمانی مشخصی ( سی و يا نود روز)  بصورت ادواری تغيير داده شوند .

کاربرانی  که رمزهای عبور ساده و قابل حدسی را برای خود تعريف نموده اند، تشخيص و به آنها تذکر داده شود .( عمليات فوق بصورت متناوب و در فواصل زمانی  يک ماه انجام گردد).

عدم اجرای برنامه ها ئی  که  منابع  آنها تاييد نشده است .

در اغلب حالات ، برنامه های کامپيوتری در يک چارچوب امنيتی خاص مربوط به  کاربری که آنها را فعال می نمايد ،  اجراء می گردند.دراين زمينه ممکن است،  هيچگونه توجه ای  به ماهيت منبع ارائه دهنده  برنامه  توسط کاربران انجام نگردد . وجود يک زير ساخت PKI ) Public key infrastructure ) ، در اين زمينه می تواند مفيد باشد . در صورت عدم وجود زيرساخت امنيتی فوق ،می بايست مراقبت های لازم در رابطه با طرفندهای استفاده شده توسط برخی از متجاوران اطلاعاتی را انجام داد. مثلا” ممکن است برخی آسيب ها  در ظاهری کاملا” موجه از طريق يک پيام الکترونيکی جلوه نمايند . هرگز يک ضميمه پيام الکترونيکی و يا برنامه ای را که از منبع ارسال کننده آن مطمئن نشده ايد ، فعال و يا اجراء ننمائيد . همواره از برنامه ای نظير Outlook بمنظور دريافت پيام های الکترونيکی استفاده گردد . برنامه فوق در يک ناحيه محدوده شده اجراء و می بايست امکان اجرای  تمام اسکريپت ها و محتويات فعال  برای ناحيه فوق ، غير فعال گردد.

ايجاد محدوديت در برخی از  ضمائم پست الکترونيکی

ضرورت توزيع و عرضه تعداد زيادی از انواع فايل های ضميمه ، بصورت روزمره در يک سازمان وجود ندارد .بمنظور پيشگيری از اجرای کدهای مخرب ، پيشنهاد می گردد اين نوع فايل ها ،غير فعال گردند . سازمان هائی که از Outlook استفاده می نمايند،  می توانند با استفاده از نسخه 2002 اقدام به بلاک نمودن آنها نمايند .
( برای ساير نسخه های Outlook می توان از Patch  امنيتی مربوطه استفاده کرد .)

فايل های زير را می توان  بلاک کرد :

نوع فايل هائی که می توان آنها را بلاک نمود .
.bas  .hta  .msp  .url  .bat  .inf  .mst  .vb  .chm  .ins  .pif  .vbe
.cmd .isp  .pl  .vbs .com .js .reg .ws  .cpl  .jse  .scr  .wsc  .crt
.lnk .sct  .wsf  .exe .msi  .shs  .wsh

در صورت ضرورت می توان ، به ليست فوق برخی از فايل ها را اضافه و يا  حذف کرد. مثلا” با توجه به وجود عناصر اجرائی در برنامه های آفيس ، ميتوان امکان اجرای برنامه ها را در آنان بلاک نمود . مهمترين نکته در اين راستا به برنامه  Access بر می گردد که برخلاف ساير اعضاء خانواده آفيس ،  دارای امکانات حفاظتی ذاتی  در مقابل ماکروهای آسيب رسان  نمی باشد .

 

پايبندی به  مفهوم کمترين امتياز 

اختصاص حداقل امتياز به کاربران، محور اساسی درپياده سازی يک سيتم امنيتی است. رويکرد فوق بر اين اصل مهم استوار است که  کاربران می بايست صرفا”  دارای حقوق و امتيازات لازم بمنظور انجام کارهای مربوطه باشند ( بذل و بخشش امتيازات در اين زمينه شايسته نمی باشد!) .  رخنه در سيستم امنيتی از طريق کدهای مخربی که توسط کاربران اجراء می گردند، تحقق می يابد .  در صورتيکه کاربر، دارای حقوق و امتيازات  بيشتری باشد ، آسيب پذيری اطلاعات در اثر اجرای کدها ی مخرب ، بيشتر خواهد شد . موارد زير برای اختصاص حقوق کاربران ،  پيشنهاد می گردد :

تعداد account مربوط به مديران شبکه،  می بايست  حداقل باشد .

مديران شبکه ، می بايست بمنظور انجام فعاليت های روزمره نظير خواندن پيام های پست الکترونيکی ، از يک account روزمره در مقابل ورود به شبکه  بعنوان administrator ،استفاده نمايند .

 

مجوزهای لازم برای منابع بدرستی تنظيم و پيکربندی گردد . در اين راستا  می بايست حساسيت بيشتری نسبت به برخی از برنامه ها که همواره مورد استفاده  متجاوزان اطلاعاتی است ، وجود داشته باشد . اين نوع برنامه ها ، شرايط مناسبی برای متجاوزان اطلاعاتی را فراهم  می نمايند. جدول زير برخی از اين نوع برنامه ها را نشان می دهد .

 

برنامه های  مورد توجه متجاوزان اطلاعاتی
explorer.exe, regedit.exe, poledit.exe, taskman.exe, at.exe,
cacls.exe,cmd.exe, finger.exe, ftp.exe, nbstat.exe, net.exe,
net1.exe,netsh.exe, rcp.exe, regedt32.exe, regini.exe,
regsvr32.exe,rexec.exe, rsh.exe, runas.exe, runonce.exe,
svrmgr.exe,sysedit.exe, telnet.exe, tftp.exe, tracert.exe,
usrmgr.exe,wscript.exe,xcopy.exe

رويکرد حداقل امتياز ، می تواند به برنامه های سرويس دهنده نيز تعميم يابد . در اين راستا می بايست حتی المقدور،  سرويس ها و برنامه ها  توسط يک account که حداقل امتياز را دارد ،اجراء گردند .

مميزی برنامه ها

اغلب برنامه های سرويس دهنده ،  دارای قابليت های مميزی گسترده ای  می باشند . مميزی می تواند شامل دنبال نمودن حرکات مشکوک و يا برخورد با آسيب های واقعی باشد . با فعال نمودن مميزی برای برنامه های سرويس دهنده و کنترل دستيابی به برنامه های کليدی نظير برنامه هائی که ليست آنها در جدول قبل ارائه گرديد،  شرايط مناسبی بمنظور حفاظت از اطلاعات  فراهم می گردد .

 

چاپگر شبکه

امروزه اغلب چاپگرهای شبکه دارای قابليت های از قبل ساخته شده برای  سرويس های  FTP,WEB و Telnet بعنوان بخشی از سيستم عامل مربوطه ،  می باشند . منابع فوق پس از فعال شدن ، مورد استفاده قرار خواهند گرفت . امکان استفاده از  چاپگرهای شبکه بصورت  FTP Bound servers  ، Telnet  و يا  سرويس های مديريتی وب ، وجود خواهد داشت . رمز عبور پيش فرض را به يک رمز عبور پيچيده تغيير  و با  صراحت پورت های چاپگر را در محدوده روتر / فايروال بلاک نموده و  در صورت عدم نياز  به  سرويس های  فوق ، آنها را غير فعال نمائيد .

 

پروتکل  SNMP (Simple Network Management Protocol  )

پروتکل SNMP ،  در مقياس گسترده ای توسط مديران شبکه بمنظور مشاهده و مديريت تمام کامپيوترهای موجود در شبکه ( سرويس گيرنده ، سرويس دهنده،  سوئيچ ، روتر،  فايروال ) استفاده می گردد .SNMP ،  بمنظور تاييد اعتبار کاربران ،  از روشی غير رمز شده استفاده می نمايد . متجاوزان اطلاعاتی ، می توانند از نفطه ضعف فوق در جهت اهداف سوء خود استفاده نمايند . در چنين حالتی، آنان قادر به اخذ اطلاعات متنوعی در رابطه با عناصر موجود در شبکه بوده و حتی امکان  غير فعال نمودن يک سيستم از راه دور  و يا تغيير پيکربندی سيستم ها  وجود خواهد داشت . در صورتيکه يک متجاوز اطلاعاتی قادر به جمع آوری ترافيک SNMP دريک شبکه گردد، از اطلاعات مربوط به  ساختار شبکه موجود بهمراه سيستم ها و دستگاههای متصل شده به آن ، نيز آگاهی خواهد يافت . سرويس دهندگان SNMP  موجود بر روی هر کامپيوتری را که ضرورتی به وجود آنان نمی باشد ، غير فعال نمائيد . در صورتيکه بهر دليلی استفاده از  SNMP ضروری باشد ،  می بايست امکان دستيابی بصورت فقط خواندنی در نظر گرفته شود . در صورت امکان،  صرفا” به تعداد اندکی از کامپيوترها امتياز استفاده از سرويس دهنده SNMP  اعطاء گردد .

تست امنيت شبکه

مديران شبکه های کامپيوترهای می بايست، بصورت ادواری اقدام به تست امنيتی تمام کامپيوترهای موجود در شبکه (سرويس گيرندگان، سرويس دهندگان، سوئيچ ها ، روترها ، فايروال ها و سيتستم های تشخيص مزاحمين)  نمايند. تست امنيت شبکه ،  پس از اعمال هر گونه تغيير اساسی  در پيکربندی شبکه ، نيز می بايست انجام شود .