X
تبلیغات
رایتل
یکشنبه 21 خرداد‌ماه سال 1391

آینده حریم خصوصی (فراتر از انگشت نگاری)

انفجار اطلاعات در روزگار مدرن باعث شده خطرات بسیاری، حریم شخصی کاربران را تهدید کند. در این چند شماره، تهدیدهای امنیت کاربران و روش‌های مقابله با این تهدیدها را بررسی خواهیم کرد. در اولین مقاله از این مباحث، به توضیح استفاده از روش‌های بیومتریک برای تشخیص هویت کاربران خواهیم پرداخت.

سیستم‌‌های امنیتی مبتنی بر مشخصه‌های رفتاری و آناتومیک، بهترین حفاظ امنیتی در برابر سرقت هویت محسوب می‌شوند.

احتمالاً شما نیز همانند بسیاری از افراد، هر روز مجبورید از تعداد متنابهی کارت و رمز عبور برای تعیین هویت استفاده کنید. این مسئله دردسرهای زیادی به وجود می‌آورد، مثلاً تنها اگر یک کارت را گم کنید، قادر به دریافت پول از دستگاه خودپرداز بانک نخواهید بود. حتی اگر رمز عبور کامپیوتر را فراموش کنید، این دستگاه هم به درخواست‌های شما پاسخ مثبت نخواهد داد. اگر این کارت‌ها و رمز عبور به دست افراد سودجو بیفتند، آن‌گاه همین ابزارهای امنیتی تبدیل به ابزاری برای کلاهبرداری و سرقت هویت خواهند شد و این افراد با استفاده از این کارت‌ها و رمز عبور خواهند توانست با نام شما دست به اقداماتی مخرب بزنند و البته این شمایید که زیر سؤال خواهید رفت.
علم بیومتریک یا همان زیست‌سنجی، راه حلی برای این مشکل، پیش روی ما نهاده است.

جمعه 19 خرداد‌ماه سال 1391

آینده حریم خصوصی (چگونه اسرار محرمانه را حفظ کنیم )

امروزه، بیشتر کارهای روزمره اعم از پرداخت قبوض، حواله، ارسال نامه و... را به طور الکترونیکی انجام می‌دهیم. بسیاری از کارهایمان آنلاین است، از ملاقات دوستان گرفته تا خرید و فروش کتات و مجله و ...  به همین دلیل جمع‌آوری اطلاعات اغلب افراد از طریق اینترنت کاری بس ساده است.



از طرفی مراکز خدمات‌دهنده سرویس اینترنت نیز به دلایل مختلفی همین حالا مشغول ثبت فعالیت‌های ما در اینترنت هستند. مثلاً این مراکز، سایت‌هایی که ما از آنها بازدید می‌کنیم را ثبت می‌کنند. البته این کل ماجرا نیست. بسیاری از سایت‌ها که با آنها بصورت آنلاین سر و کار داریم ( مانند فروشگاه‌های آنلاین، روزنامه‌ها، سایت‌های شبکه اجتماعی و...) نیز فعالیت‌ها و اطلاعاتمان را ثبت می‌کنند. بنابراین اگر ما به حفظ اطلاعات محرمانه خود اهمیت می‌دهیم، باید به دنبال راهی باشیم تا بدون آنکه اطلاعات محرمانه خود را افشا کنیم، از امکانات اینترنت بهره بگیریم.




یکشنبه 11 مهر‌ماه سال 1389

افسانه های امنیت فناوری

اکثر ما تا زمانی که به اشکال بر نخوریم به اهمیت امنیت ابزارهای دیجیتالی مان بی توجهیم. هر بار که آنتی ویروس جدیدی را بر روی سیستم ها و ابزارهای دیجیتالی مان نصب و راه اندازی می کنیم با اظهارات نا امید کننده متخصصان مواجه می شویم که حفظ امنیت به سادگی و همیشگی امکان پذیر نیست، در اینجا با پنج حقیقت فعلی درباره امنیت دیجیتالی که احتمالا چیزی در مورد آنها نمی دانستید آشنا خواهید شد؛

پنج‌شنبه 20 فروردین‌ماه سال 1388

مشکلات "هویت‌دزدی" در دنیای مجازی

بودن به جای دیگران چه حسی دارد؟ رفت‌وآمد با نامی "عاریه‌ای" ، بدون این‌که ردپایی باقی بماند؟ این حسی است که شاید برای بسیاری لذت‌بخش باشد. حال اگر در این شرایط جرمی اتفاق بیفتد، مسئولیت با کیست و به سراغ چه کسی باید رفت؟ بسیاری افراد ترجیح می‌دهند بدون نام و نشان خودشان به دنیای مجازی اینترنت وارد شوند، گشت بزنند، چت کنند و به فروم‌ها سربکشند، بدون این‌که ردپایی از هویت واقعی خود بر جای بگذارند. این حس را شاید بسیاری از کاربران اینترنتی تجربه کرده باشند. اولین مشکل همین‌جا بروز می‌کند و آن هم این‌که مشخص نیست چه کسی چه کاری را انجام داده و در واقع نمی‌توان رد کسی را در اینترنت پیگیری کرد. این یکی از موضوعاتی است که در کنفرانس IT در برلین به آن پرداخته خواهد شد. کنفرانسی که روز پنج‌شنبه (۲۰ نوامبر) کار خود را آغاز می‌کند. مشکل همیشگی در اینترنت سوء استفاده از اطلاعات فردی افراد، مشکلی به وسعت خود اینترنت خلافکاران اینترنتی در ارتباط‌های اینترنتی عمومی مانند چت‌روم‌ها، فروم‌ها یا سایت‌های اینترنتی مختلف، نام، مشخصات، شماره حساب‌های بانکی و رمز عبور کاربران را به دست می‌آورند و آنها را به دیگران می‌فروشند یا از حساب بانکی افراد پول برداشت می‌کنند. پلیس آلمان در سال میلادی گذشته (۲۰۰۷) تعداد ۴ هزار و ۲۰۰ مورد از این نوع جرم را ثبت کرده و هشدار می‌دهد که گرایش‌ها به این جرایم در حال افزایش است. کارشناسان این معضل را جدی می‌دانند و خسارات ناشی آن‌را تا میلیون‌ها یورو برآورد می‌کنند. پیامدهای "چندهویتی‌" بودن کسی که در چت‌روم‌ها می‌چرخد، در فروم‌ها شرکت می‌کند یا در پایگاه‌های اینترنتی همسریابی، به دنبال شریک جنسی می‌گردد، از هویت شریک مجازی خود یا کسی که با او در اینترنت آشنا شده اطلاعی ندارد. مثال ملموس این ادعا را می‌توان در چت‌روم های ایرانی جست. در این چت‌روم‌ها، اکثر غریب به اتفاق پسرها – البته کسانی که با آی‌دیِ پسرانه چت می‌کنند – ساکن محلات مرفه‌نشین شهرند و دانشجو یا فارغ‌التحصیلان رشته‌های مهندسی و البته از تمول مالی نیز برخوردارند. بخش قابل توجهی از دخترها – صرف‌نظر از این‌که فرد واقعا خانم است یا خیر - نیز دانشجوی رشته‌های روز هستند و تصادفا ساکن همان محله‌های ممتاز. گویی که چت در ایران تنها در میان افراد یک طبقه خاص جریان دارد. در دنیای مجازی یکی سرمست است از این‌که می‌تواند در هر لحظه با نقشی جدید ظاهر شود و دیگری دلخور از این‌که در دام حقه‌بازی دیگران گرفتار شده است. البته این مشکل مرز جغرافیایی نمی‌شناسد و تنها مختص ایران نیست. کارشناسان در تلاشند با ابزاری هم‌چون کارت‌های شناسایی الکترونیکی، هویت افراد را در روابط اینترنتی ثبت کنند یکی از نکات شگفت‌انگیز، تفاوت گاه بسیار فاحش هویت افراد، در دنیای مجازی و واقعی است. در دنیای واقعی وقتی دو نفر با هم آشنا می‌شوند، برخی حد و حدود را رعایت می‌کنند، وارد برخی مباحث نمی‌شوند یا در برخی حوزه‌ها اغراق می‌کنند. در دنیای مجازی اما قوانین دیگری حاکم است. اگر بتوان به پروفایل یک دوست در اینترنت تصادفا دست یافت و از علاقه‌مندی‌ها و موضوع‌های مطلوب او آگاه شد، باور تفاوت‌های احتمالی با دنیای واقعی شاید مشکل باشد. کارشناسان می‌گویند، کسانی که با نام و نشان واقعی خود در اینترنت ظاهر می‌شوند، بسیار محافظه‌کارتر از کاربرانی هستند که با هویت "عاریه‌ای" پا به دنیای مجازی می‌گذارند. کارت‌های شناسایی الکترونیکی یکی از موفقیت‌هایی که کارشناسان IT به آن دست یافته‌اند، طراحی کارت‌های شناسایی الکترونیکی است که به ادعای طراحان آن می‌توان با استفاده از آن، از جرایم اینترنتی تا حدود زیادی کاست. این کارت‌ها حاوی اطلاعات فردی شخص هستند و کاربر می‌تواند امضای الکترونیکی خود را هم در کارت ذخیره کند. کاربر می‌تواند با استفاده از این کارت خود را در اینترنت معرفی کرده و از آن برای اثبات هویت خود در خریدهای اینترنتی و عملیات بانکی برخط استفاده کند. البته این روش منتقدانی هم دارد. آنان بر این عقیده‌اند که کارت‌های شناسایی تا کنون تنها به پلیس ارائه می‌شدند اما اکنون در اختیار شرکت‌ها هم قرار می‌گیرد. این‌که شرکت‌ها با اطلاعات خصوصی کاربران چه می‌کنند، سؤال مهمی است که همواره در مورد اطلاعات شخصی افراد مطرح بوده است
پنج‌شنبه 20 فروردین‌ماه سال 1388

امضای دیجیتالی

مضای دیجیتالی یا همان قفل کردن اطلاعات، یک روش کاملاً ریاضی است. چیزی که لازم است شماره های رمزی است که یکطرفه عمل می‌کنند. رمزهای یکطرفه رمزهای هستند که فقط از یک جهت خوانده می‌شوند. اگر یک عدد جا به جا شود کل رمز باطل می‌شود. مطمئناً در مورد مسائل شخصی به همین راحتی با کسی صحبت نمی‌‌کنید. در مورد بعضی مسائل که نه تنها صحبت نمی‌‌کنید بلکه محتاط هم هستید، مثلاً در مورد حساب بانکی! شماره کردیت کارت را هم آدم به هر کسی نمی‌ دهد! ولی گاهی اوقات چاره‌ای نیست، در همه شرایط نمی‌توان پول نقد پرداخت کرد. مثلاً خریدهای اینترنتی، مثل بلیط‌های ارزان قیمت برخی شرکتهای هواپیمایی که فقط فروش اینترنتی دارند. در این شرایط باید مطمئن بود که کس دیگری به این اطلاعات دسترسی پیدا نمی‌‌کند. شرکتهای معتبری که خدماتی مثل خریدهای اینترنتی ارائه می‌دهند به سیستم محافظت کننده‌ای مطمئنی هم مجهز هستند، مثلاً امضاهای دیجیتالی. کلاوس پتر اشنور (Claus Peter Schnorr) یکی از طراحان امضاهای دیجیتالی است. می‌گوید:" این امضاها مثل رمزنویسی است. از طریق این امضای دیجیتالی که اطلاعات رو قفل می‌کنید و مطمئن می‌شوید که کس دیگری به آنها دسترسی پیدا نمی‌‌کند. این اطمینان تضمین شده است." وب سایتهای اینترنتی که این قفلهای مطمئن را در اختیار دارند به راحتی قابل تشخیص‌اند. وقتی وارد این سایتها می‌شوید یک کلید زرد رنگ کوچک در سمت چپ صفحه می‌بینید. این یعنی اینکه اطلاعاتی که فرستنده ارسال می‌کند قفل شده به گیرنده می‌رسند، اطلاعات را کس دیگری نمی‌تواند بخواند و یا تغییر بدهد. گیرنده برنامه مخصوصی در اختیار دارد که قفل اطلاعات فرستاده شده را باز می‌کند. برنامه پیچیده‌ای که به راحتی هک شدنی نیستند. اشنور: "ببینید اینطوری است که، امضا کننده نیازی ندارد از اطلاعات پس زمینه نرم افزاری سر در بیاورد، فقط باید بداند روی کدام دکمه باید کلیک کند تا امضا تایید شود. این روزها معمول ترین نوع امضاهای اینترنتی، امضاهایی هستند که شما اصلاً نمی‌دانید امضا کرده‌اید. مثلاً وقتی یک برنامه نرم افزاری را دانلود می‌کنید باید مطمئن باشید که نرم افزاری که دارید دانلود می‌کنید ارژینال است. این هم وقتی شدنی است که این نرم افزار با کلید امضا همراه است که آن هم توسط فرستنده کنترل می‌شود." امضای دیجیتالی یا همان قفل کردن اطلاعات یک روش کاملاً ریاضی است. چیزی که لازم است شماره‌های رمزی است که یکطرفه عمل می‌کنند. رمزهای یکطرفه رمزهای هستند که فقط از یک جهت خوانده می‌شوند. اگر یک عدد جا به جا شود کل رمز باطل می‌شود. اکثر این اعداد هم عددهای فرد هستند. این هم یکی از رازهای دنیای ریاضی برنامه‌نویس‌هاست. از قرار معلوم هک کردن اعداد فرد مشکل‌تر است. هرچه اعداد این رمزهای یکطرفه بیشتر باشند ضریب اطمینان قفل بالاتر می‌رود، چون باز کردنش سخت تر می‌شود، و یا آنطور که اشنور که معتقد است با تکنیک امروزی اصلاً شدنی نیست. اشنور:" در مورد ضریب اطمینان این امضاها باید به این نکته توجه کرد که هر روش مطمئنی دست کم تا مدت زمان مشخصی مطمئن است. تا زمانی که قفل هک نشده، اطلاعات محفوظ می‌مانند. البته هنوز کسی نتوانسته این نوع قفل‌ها را که در خریدهای اینترنتی از آنها استفاده می‌شود باز کند، اما نمی‌توان صددرصد مطمئن بود. " برای اشنور که ریاضدان و برنامه‌نویس است، بعضی از این قفل و امضاها به سادگی باز شدنی هستند. هر چند که شکستن قفل یک برنامه برای کاربرهای اینترنتی که به آن اطمینان کرده‌اند فاجعه است، اما برای یک ریاضی‌دان نکته جالبی است که نشان می‌دهد نقطه ضعف برنامه کجا بوده که هکرها توانسته‌اند آن را باز کنند. اشنور:" هیچ اطمینانی نیست که بتوان صددرصد بودنش را تضمین کرد و گفت در همه شرایط جواب می‌دهد. خوب است که بتوان چیزی را تضمین کرد ولی معنی‌اش این نیست که هک شدنی نیست و راحت و بی‌دردسر می‌توان از آن استفاده کرد. هیمن طور که در زندگی روزمره هم می‌بینیم برای هیچ چیز گارانتی وجود ندارد." کلاوس پتر اشنور یکی از معروفترین برنامه نویسان کامپیوتری، پروفسور ریاضیات و اینفورماتیک دانشگاه گوته در فرانکفورت آلمان است. او طراح امضای دیجیتالی است به نام امضا اشنور که یکی از معروفترین و مطمئن ترین قفلهای اینترنتی است که در تمام دنیا از ان استفاده می‌شود. اشنور پیش از این، برای این طرح جایزه یک ونیم میلیون مارکی لابنیز (Leibniz) را دریافت کرده است. لابنیز یکی از مطرحترین جوایزی است که از سوی جامعه دانشمندان آلمانی به خلاقترین طرحهای علمی اهدا می‌شود.
پنج‌شنبه 25 مهر‌ماه سال 1387

امضای دیجیتالی

امضای دیجیتالی چیه؟

باامضای دیجیتال اصل بودن و صداقت یک پیغام یا سند و یا فایل اطلاعاتی تضمین میشود. به منظور ایجاد امضای دیجیتال از یک الگوریتم ریاضی به منظور ترکیب اطلاعات در یک کلید با اطلاعات پیام ، استفاده می شود . ماحصل عملیات ، تولید رشته ای مشتمل بر مجموعه ای از حروف و اعداد است .

جمعه 26 بهمن‌ماه سال 1386

امنیت در فناوری اطلاعات

نویسنده :مهندس حامد خیابانی

استفاده از رایانه در کسب و کار از زمانی متحول و فراگیر شد که دسترسی به اطلاعات با سرعت بالا و هزینه کم امکان پذیر گردید. این تحول به شرکتهایی که در گذشته از رایانه برای واژه پردازی و یا ذخیره اطلاعات استفاده می کردند، اجازه داد که رایانه های خود را به صورت شبکه درآورند و آن شبکه را به اینترنت متصل کنند. نیروهای رقابتی و شرایط سریع کسب و کار، سازمانها را مجبور ساخته است که برای بقا، شبکه های خود را به روی دیگران باز کنند و تا جایی که ممکن است از راه کارهای الکترونیک برای کسب و کار استفاده کنند درحالی که این تحولات منافع بسیاری در گسترش تجارت امکان کار در خارج از اداره و حمایت نیروهای فروش در خارج از شرکت را برای بسیاری از شرکتها ایجاد می کند. متاسفانه خطراتی مانند ویروس‌های رایانه ای و خرابکاریهای رایانه‌ای را نیز به همراه خود می آورد.

به طورمعمول اخبار روز شامل گزارشهایی درباره آخرین کرمها و ویروسهای رایانه‌ای و خرابکاریهای روزافزون رایانه در شرکتها وسازمانهای مختلف است. اینگونه اخبار ممکن است مدیر یک شرکت را بر آن دارد که بگوید استفاده از اینترنت در تجارت به خطراتش نمی‌ارزد. درحالی که خطرات جدی و واقعی، هنگامی که شناخته شوند می توان با آنها برخورد مناسب داشت و جلو بروز آنها را به میزان قابل ملاحظه ای گرفت. استفاده روزافزون از اینترنت توسط شرکتهای کوچک و متوسط، لزوم آگاهی و یادگیری بیشتر درموردامنیت اطلاعات در سیستم‌های رایانه ای را برای مدیران این شرکتها ایجاب می‌کند. در اینجا هدف ما ارائه اطلاعاتی است که بتواند به شرکتها کمک کند تا ضمن استفاده از اینترنت و شبکه‌های رایانه ای در برابر خطرات ناشی از ویروسها و خرابکاریهای رایانه‌ای نیز از خود محافظت کنند.

امنیت اطلاعات

به طورکلی امنیت اطلاعات در سه اصل زیر خلاصه می شود:

  • محرمانه بودن: بدین معنی که فقط افراد مجاز حق دسترسی به اطلاعات را داشته باشند.
  • صحت و استحکام: بدین معنی که اطلاعات دست نخورده بماند و تغییر در آنها فقط توسط افراد مجاز در صورت لزوم به صورت درست و قابل پیگیری انجام شود.
  • دردسترس بودن: بدین معنی که اطلاعات درموقع نیاز به صورت قابل استفاده دردسترس قرار گیرد.

تهدیدها

تهدیدهای امنیتی مربوط به اطلاعات رایانه ای و یا به عبارتی حملات رایانه‌ای شامل مواردی می شود که حداقل یکی از اصول سه گانه امنیت را مخدوش سازد. هدف از یک حمله رایانه ای در کنترل گرفتن یک یا چند رایانه به منظور از کارانداختن، مخدوش کردن یا سوءاستفاده از اطلاعات موجود در آنها ویا به کارگیری آنها برای خرابکاری در رایانه‌های دیگر است.

کسانی که به این حملات دست می‌زنند یا به اصطلاح خرابکارها معمولا" سه دسته هستند:

  • افراد آماتور که اغلب اطلاعات دقیقی از نحوه کار سیستم های عامل و فناوری اطلاعات نداشته و صرفا" برای تفریح از برنامه‌ها و ابزارهای از پیش تهیه شده برای دسترسی به رایانه‌های محافظت نشده استفاده می‌کنند این افراد را SCRIPT KIDDIES یا SREKCARC می‌نامند.
  • خرابکاران حرفه ای که معمولا" در ازای دریافت پول اطلاعات ذیقیمت شرکتها را دراختیار رقبای آنها یا گروههای ذینفع قرار می‌دهند و یا در سیستم شرکتهای رقیب خرابکاری می‌کنند. این افراد در امور فناوری اطلاعات وارد بوده واز آسیب‌پذیریهای سیستم های عامل و برنامه‌های مورداستفاده مطلع بوده و قادرند ردپای خود را ناپدید سازند. این افراد را در اصطلاح هکرها (HACKERS) می‌گویند.
  • کارکنان فعلی شرکتها و یا کارکنان سابق آنها که به نحوی از شرکت مذکور نارضایتی داشته و به قصد انتقامجویی و یا صدمه زدن در سیستم‌های اطلاعاتی شرکت با استفاده از دانش و اطلاعات خود از سیستم‌های موردنظر به خرابکاری دست می زنند.

حملات رایانه ای معمولا" در سه مرحله انجام می شود:

  1. مرحله اول – شناسایی و جمع آوری اطلاعات درمورد رایانه هدف؛
  2. مرحله دوم – یافتن نقاط آسیب پذیر و راههای واردشدن به سیستم به عنوان یک کاربر مجاز؛
  3. مرحله سوم – درصورت امکانپذیر نبودن مرحله دوم تلاش برای دسترسی به رایانه هدف از طریق دیگر و بدون استفاده از مشخصات کاربران مجاز انجام می پذیرد.

انواع تهدیدهای رایانه ای

تهدیدهای رایانه ای به صورت زیر دسته‌بندی می شوند:

  1. ویروسها و کرمها – اینها برنامه‌های کوچکی هستند که ازطریق پست الکترونیک و یا نرم افزارهای آلوده به این ویروسها وارد یک رایانه شده و در آنجا به صدمه زدن و خرابکاری در برنامه ها و یا اطلاعات رایانه مذکور می پردازند.
  2. اسب تروا (TROJAN HORSE) – برنامه‌هایی هستند که ظاهرا" ماهیت خرابکاری نداشته به صورت برنامه‌های بازی و یا کمکی وارد سیستم شده و سپس در خفا به کارهای غیرمجاز و کنترل رایانه و سرقت اطلاعات محرمانه و یا شخصی کاربر می‌پردازند.
  3. از کارانداختن (DENIAL OF SERVICE) – این عمل با ایجاد تعداد زیادی تقاضای سرویس از یک سیستم انجام شده و درنتیجه سیستم مذکور کارایی خود را از دست داده و یا از کار می افتد. درنتیجه سیستم نمی تواند خدمات لازم را به مشتریان واقعی خود ارائه کند. نظیر مشغول کردن یک تلفن.
  4. شنود اطلاعات – در این مورد در مسیر ارتباطات ازطرق گوناگون اطلاعات مبادله شده سرقت و یا شنود می شوند.
  5. وب سایت های تقلبی (PHISHING) – در این مورد یک وب سایت تقلبی با شکل و قیافه و امکانات کاملا" مشابه به یک وب سایت واقعی طراحی و دراختیار کاربران قرار می‌گیرد و بدین‌وسیله اطلاعات شخصی و محرمانه کاربران را به سرقت می برند.

محافظت

برای محافظت از سیستم‌های اطلاعاتی رایانه‌ای شناسایی قسمتهای مختلف سیستم و آسیب پذیریهای موجود در آن ضروری است. پس از شناسایی و رفع آسیب پذیریهای سیستم باید مرتباً مواظب بود که آسیب پذیریهای جدید به وجود نیاید و به طور متناوب سیستم را بررسی کرد تا از امنیت آن مطمئن شد درحالی که هیچگاه نمی‌توان صددرصد از امنیت یک سیستم مطمئن بود ولی با اقدامات زیر می توان تا حد بسیار بالایی امنیت وحفاظت از یک سیستم را فراهم ساخت:

1- تهیه نقشه و راهنمای سیستم: این کار شامل شناسایی رایانه ها و شبکه‌های متصل و غیرمتصل به اینترنت و به خط تلفن و یا بی سیم، نرم افزارها و سیستم های عامل مورداستفاده نرم افزارهای ضدویروس و محافظ و اطلاعات و برنامه های حساس تجاری خواهدشد؛

2- تهیه سیاست امنیتی: این کار شامل تعریف سیاستهای مربوط به استفاده از رایانه‌‌ها توسط کارکنان و روشهای مورداستفاده در امنیت و حفاظت اطلاعات است. این سیاست چارچوبی را برای حفاظت از شبکه‌های رایانه‌ای و منابع اطلاعاتی موجود در آنها تعیین می‌کند. این سیاست باید به سادگی برای مدیران و کارکنان قابل درک بوده و تمامی نکات و موارد مربوط به امنیت را دربرگیرد. ازجمله مطالب مهم این سیاست عبارتند از:

تعریف استفاده مجاز، چگونگی احراز هویت و انتخاب کلمه رمز، مسئولیت به روز کردن نرم افزارهای موجود در هر رایانه اقدامات لازم درهنگام بروز یک حمله و یا ویروس رایانه ای و مسئولیتهای افراد دراین مورد.

معمولاً سیاست امنیتی در دو شکل تهیه می‌گردد. یکی به صورت ساده وکلی که برای عموم کارکنان قابل استفاده باشد و دیگری با جزئیات بیشتر که معمولاً محرمانه است و برای استفاده مدیران و کارشناسان فناوری اطلاعات و امنیت است.

3- محکم کاری در نرم افزارهای مورداستفاده: این قسمت شامل شناسایی نرم افزارهای موجود در سیستم و به روز کردن آنهاست. زیرا معمولا" آخرین مدل یک نرم افزار آسیب پذیریهای کمتری نسبت به مدلهای قدیمی تر آن دارد. ازجمله کارهای دیگر دراین قسمت حذف برنامه های آزمایشی و نمونه و برنامه‌هایی که ازنظر امنیتی مطمئن نیستند از سیستم های مورداستفاده است.

4- کاهش تعداد نقاط دسترسی و کنترل نقاط باقیمانده: این مرحله شامل بررسی نقشه سیستم و شناسایی نقاط اتصال به اینترنت و دسترسی از راه دور به منظور کاهش نقاط دسترسی به حداقل ممکن و کنترل نقاط باقیمانده ازنظر دسترسی و ورود و خروج اطلاعات است.

5- شناسایی نقاط ورود پنهان: شناسایی و حذف مودم ها و نقاط دسترسی غیرمعمول که احتمالا" از نظرها پنهان می ماند ولی بعضی از کارکنان آنها را مورداستفاده قرار می دهند.

6- نصب دیواره آتش (FIREWALL): این سیستم برای جداسازی و محافظت سیستم داخلی از اینترنت و همچنین کنترل دسترسی به سایت های اینترنتی به خصوص سایت‌های غیرمربوط به کار نصب می گردد. در مواردی می‌توان رایانه‌های مشخصی را جهت استفاده از اینترنت اختصاص داد. درصورت نیاز تغییر پورت های اتصال و آموزش کارکنان درمورد راههای درست دسترسی حائزاهمیت است.

7- نصب سیستم‌های تشخیص و جلوگیری از ورود غیرمجاز (INTRUSION DETECTION AND PREVENTION SYSTEMS): این سیستم‌ها به مانند دزدگیر عمل کرده و ورود و دسترسی غیرمجاز به سیستم را ثبت و اطلاع می‌دهد و یا از انجام آن جلوگیری می‌کند. حتی در مواردی که عبور غیرمجاز از دیواره آتش انجام پذیرد با استفاده از این سیستم می توان آن را شناسایی و از بروز مجدد آن جلوگیری کرد. همچنین با بررسی به موقع لیست ثبت شده توسط سیستم IDP وشناسایی تلاشهای انجام شده برای دسترسی غیرمجاز به سیستم می‌توان از خطرات آتی جلوگیری کرد.

8- نصب نرم‌افزارهای ضدویروس: نصب نرم افزارهای ضدویروس در دروازه های ورودی سیستم و در رایانه‌ها برای شناسایی و جلوگیری از ورود ویروس های رایانه های به سیستم و احیاناً مرمت سیستم های آلوده به ویروس ضروری است. این نرم افزارها باید مرتباً به روز درآیند تا همواره از آخرین اطلاعات مربوط به ویروس‌های رایانه‌ای استفاده گردد.

9- بررسی متناوب عملکرد سیستم و رفع اشکالات آن: این بررسی ها به مدیریت این امکان را می دهد تا با درنظر گرفتن خطرات امنیتی موجود و نیاز به انجام عملیات تجاری، ضمن رفع اشکالات شناخته شده سیاست و برنامه امنیتی متناسب و متوازنی را اتخاذ کند.

10- آموزش کارکنان: کارکنان باید باتوجه به نیاز آنها در سطوح مختلف درباره مسائل امنیتی و حفاظت از اطلاعات رایانه ای آموزش دیده و آگاهی های لازم را پیدا کنند. ازجمله آموزش سیاست امنیتی شرکت از ضروریات است.

استانداردهای بین المللی برای امنیت اطلاعات

دررابطه با امنیت اطلاعات و داده ها و حفاظت از اطلاعات حساس، استاندارد انگلیسی BS۷۷۹۹ به وجود آمده که بعداً به صورت استاندارد بین المللی ISO۱۷۷۹۹ درآمد. این استانداردها ایجاد ۱۰ کنترل کلیدی را ملزم ساخته که عبارتنداز:

  1. تهیه یک سیاست امنیتی مدون؛
  2. مشخص کردن مسئولیتهای امنیتی در سازمان؛
  3. آموزش درموارد امنیت اطلاعات؛
  4. گزارش به موقع تهدیدات امنیتی و نحوه برخورد با آنها؛
  5. جلوگیری و کنترل ویروس‌های رایانه‌ای؛
  6. برنامه ادامه تجارت درصورت بروز خطرات امنیتی؛
  7. کنترل تکثیر و کپی کردن نرم‌افزارهای دارای حقوق محفوظ؛
  8. ایجاد فرایند مناسب برای مدیریت ثبت اطلاعات حساس؛
  9. حفاظت از اطلاعات شخصی و خصوصی افراد؛
  10. بررسی متناوب پیروی از استانداردها.

این ۱۰ کنترل، اطلاعات الکترونیک و غیرالکترونیک و همچنین نحوه ذخیره الکترونیک و فیزیکی آنها را شامل می‌شود.

باتوجه به اینکه مقوله امنیت اطلاعات و بخصوص مطابقت با یک استاندارد قابل قبول بین المللی هم ازنظر شرکتها و تولیدکنندگان و هم ازنظر مشتریان و خریداران خدمات این شرکتها حائزاهمیت است و بادرنظر گرفتن اینکه رعایت استانداردهای امنیتی شرکتها را در زمینه مسئولیتهای قانونی آنها حمایت می‌کند توجه به استانداردهای بین‌المللی امنیت اطلاعات و پیروی از آنها در بازار جهانی امروز از اهمیت بیشتری برخوردار گشته است.

نتیجه گیری

اینترنت و شبکه های رایانه ای موجود در سازمانها و شرکتها قابلیت جستجو و مبادله اطلاعات را به صورت بی‌سابقه امکان‌پذیر ساخته است. به وجود آمدن تجارت الکترونیک شرکتهایی را که حتی در گذشته تصور آن را هم نمی کردند قادر ساخته است که به عرضه خدمات و کالاهای خود در سطح جهانی بپردازند.

درحالی که چنین ابزار قدرتمندی در امر تجارت، انقلابی ایجاد کرده است نیاز به داشتن رایانه های امن و دسترسی امن به اینترنت را نیز الزام آور ساخته است. یک شرکت کوچک یا متوسط در مقایسه با یک شرکت بزرگ که سرمایه زیادی را درجهت امن کردن سیستم های رایانه ای خود به کار برده است ممکن است برای یک خرابکار اطلاعاتی هدفی به مراتب ساده تر و بهتر باشد. به عنوان یک مدیر شما باید از چند وچون خطراتی که دسترسی به اینترنت و شبکه رایانه ای شما را تهدید می کند اطلاع داشته باشید. شما نیازمند این هستید که وقتی را به مقوله امنیت اختصاص دهید زیرا ایجاد یک سیستم امن رایانه ای نیازمند صرف وقت و منابع لازم است. دقت کافی توسط مدیریت وکارشناسان فناوری اطلاعات در زمینه امنیت اطلاعات و ایجاد محیط امن رایانه ای به شما امکان می دهد تا از منافع بسیاری که اینترنت و شبکه های رایانه‌ای برای تجارت شما ایجاد می کند بهره‌مند گردید. آگاهی کامل از انواع تهدیدات وچگونگی مقابله با آنها خطرات ناشی از تهدیدات را به مرور کمتر خواهدکرد. درک مسائل امنیتی توسط مدیران و حضور موثر آنها در ایجاد و اجرای یک برنامه امنیت اطلاعات کارامد و متناسب با نیازهای سازمان و با رعایت استانداردهای موجود ضروری است.

منبع :www.aftab.ir

جمعه 26 بهمن‌ماه سال 1386

مروری بر رفتارشناسی هکرها در دنیای سایبر

طبقه بندی موضوعی : مباحث عمومی فناوری اطلاعات
نویسنده : امیر حسین شریفی
ناشر : مهندسی شبکه همکاران سیستم (مشورت)
در گذشته اخبار بسیار زیادی درباره هک شدن سایت های مختلف شنیده می شد که در آن یک مهاجم با استفاده از روش های بعضاً ابتدایی صفحه اول یک سایت را دستکاری می کرد. هدف عمده این دسته از مهاجمان شهرت و اعتبار بود که از این طریق در صدد جذب آن بودند.

در آن زمان یکی از اموری که باعث می شد اینگونه هکرها در کار خود جدی تر شوند اطلاع رسانی سایت های خبری درباره آنها بود و همین موضوع باعث برافروخته تر شدن آتش شهرت طلبی آنها می گشت و آنها را در اهداف خود جدی تر می کرد.

 

 

 

 

همین حالا شروع کنید!

بعد از گذشت یک دوره تقریباً دو ساله خواسته های مهاجمان تغییر کرد و خواسته های شهرت طلبی به خواسته های اقتصادی و بعضاً سیاسی تبدیل شد. یکی از تبعات این رویکرد باز شدن سایت های خرید و فروش اکسپلویت ها بود. هدف این دسته از سایت های خرید و فروش حفره های پیدا شده توسط محققان امنیتی است. شاید باورکردنی نباشد که ارقامی که برای هر کد اکسپلویت پرداخت می شود تا 20000 دلار نیز بوده است. هر چند در دنیای زیرزمینی هکرها ارقام پیشنهادی بالاتر نیز پیدا خواهید کرد.

کافی است در زمینه فروش کدهای مخرب یک سوال ساده از دکتر گوگل بپرسید تا لینک های فراوانی از

سایت های معروف و غیر معروف و بعضاً زیر زمینی برای شما به نمایش بگذارد.

ZeroDay_.JPG

بسیار خب، برنامه نویس های حرفه ای می توانند از همین الان کار خود را شروع کنند، البته قبل از شروع باید یک سری تخصص های مربوط به این تجارت را داشته باشید و تمرینات زیادی انجام دهید. اما بعد از این سختی ها شما هم می توانید در بازار خرید و فروش کدهای مخرب (اکپسلویت ها) وارد شوید و شانس خود را آزمایش کنید و در کنار کار اصلی خود به سرگرمی آنالیز نرم افزارها بپردازید و پول های هنگفتی را از این طریق به جیب بزنید.

با پیشنهاد این مبالغ هنگفت بسیاری از کارشناسان و محققان امنیتی به سمت اینگونه تحقیقات گسیل شدند و هنوز هم این تجارت به قوت خود باقیست و همه می توانند در آن شرکت کنند.

 

هرزنامه ها؛ خانمان برانداز اما پردرآمد!

اما دنیای هکرهای بداندیش به گونه ای دیگر رقم خورد. آنها از کدهای خود در صدد تجهیز شبکه های Bot بر آمدند. حتما می دانید که شبکه های Bot لشگری از قربانی هایی هستند که به آنها زامبی گفته می شود. خود کلمه زامبی معنای جالبی دارد. زامبی به بدنی گفته می شود که یک روح دیگر در آن رسوخ کرده است و آن را تحت کنترل خود در آورده است.

کامپیوترهای زامبی نیز به سیستم هایی گفته می شود که توسط رییس خود و به صورت متمرکز کنترل می شود. در گذشه از زامبی ها فقط در جهت حملات DDoS استفاده می شد اما امروزه روش کاری فرق کرده است و هکرها ترجیح می دهند از لشگر زامبی های خود درآمد کسب کنند! حتما می پرسید چگونه؟

امروزه هرزنامه ها برای تمامی شبکه ها معضل بزرگی شده اند. دریافت روزانه ده ها هزار هرزنامه باعث شده است که مدیران شبکه در صدد صرف هزینه های زیادی برای خلاصی از آنها برآیند. بررسی ها نشان می دهد که بیش از نیمی از پهنای باند یک سرور ایمیل صرف پردازش هرزنامه ها می گردد. اگر بخواهیم این هزینه را در ایران بررسی کنیم شاید بتوان گفت شرکتهای متوسط به بالا به طور سالانه بیش از 5 میلیون تومان هزینه دریافت هرزنامه می پردازند و این فقط ضرر مالی حاصل از اشغال بیهوده پهنای باند است.

 اما تا به حال از خودتان پرسیده اید که چه آدم های بیکاری با چه روشی این همه ایمیل ارسال می کند؟ در گذشته این کار توسط برخی برنامه های ارسال هرزنامه و به صورت متمرکز انجام می شد که نیاز به یک پهنای باند زیاد جهت ارسال هرزنامه ها داشت. هرچند هکر ها این پهنای باند را از طریق برخی سرورهای هک شده تامین می کردند اما این سرور ها به سرعت شناسایی می شدند و در لیست سیاه ضد هرزنامه ها قرار می گرفتند.

Hacker-.JPG

اما هکر ها همیشه راههای جدیدی را پیدا می کنند که نشان دهنده نبوغ فکری آنهاست. امروزه هکرها فقط با چند دستور ساده ده ها هزار هرزنامه  را در کمتر از چند دقیقه ارسال می کنند! تعجب نکنید زیرا این بار لشگری از زامبی ها نیز آنها را برای رسیدن به این هدف کمک می کنند.

همه چیز به صورت خودکار برای آنها فراهم است. روش کار بسیار ساده است اما مقابله با آن بسیار سخت و ناممکن!

شناسایی اینگونه هرزنامه ها برای برنامه های ضد هرزنامه مشکل و ناممکن است زیرا که این بار ایمیل ها از سمت اشخاص حقیقی (زامبی ها) ارسال می گردد و همه چیز طبیعی و واضح است!

کرمهای آنها که به صورت موروثی رشد می کنند و تمام خصوصیات پدران خود را به ارث می برند قوی تر از روزهای قبل، در خدمت رییس، شبکه Bot را گسترش می دهند و روحهای بیشتری را تسخیر می کنند. رییس فقط پشت سیستم خود و یا هر سیستم دیگر به شبکه (احتمالا IRC ) متصل می شود و دستورات لازم را برای سربازان خود ارسال می کند. آنها نیز بدون چون و چرا گوش به فرمان رییس هستند.

همه چیز برای کسب درآمد چند میلیون دلاری مهیاست. فقط کافی است سفارش های بیشماری را جهت ارسال هرزنامه بگیرند و فقط با چند دستور ساده پولهای هنگفتی را به جیب بزنند!

 

وب سایت های آلوده، معضل جدی

بد نیست کمی هم به روش های جدید نفوذ به سیستم ها و بزرگ کردن شبکه های Bot بپردازیم.

راههای سنتی روش های نفوذ به سیستم ها و بزرگ کردن شبکه های Bot، ایجاد کرم های اینترنتی مختلف و موروثی می باشد که در بالا بخشی از آن ذکر شد.

اما هکر ها این بار نیز روش های جدیدی را به کار برده اند.

در گذشته وقتی یک سایت اینترنتی تحت کنترل یک هکر قرار می گرفت، با تغییر صفحه اول سایت و فقط جهت کسب شهرت آن را در بوق و کرنا می کرد که این سایت توسط گروه و یا شخص من هک شد. هر چند هنوز این فرهنگ در ایران پا برجاست اما در دنیای حرفه ای سایبر، با تغییر اهداف هکر ها اینگونه روش ها نیز منسوخ شده است و آنها ترجیح می دهند از بازدید کنندگان این سایت ها در جهت اهداف اقتصادی خود بهرمند شوند!

Hacker1.JPG

امروزه عمده کاربران برای جستو و مرور اینترنت از دو مرورگر IE متعلق به مایکروسافت و Firefox متعلق به موزیلا، استفاده می کنند. از این رو تیر تحقیقات هکر ها جهت یافتن حفره های امنیتی به سمت این دو مرورگر شلیک شده است. به گونه ای که ابزارهای خودکار زیادی برای یافتن کدهای مخرب در این دو مرورگر منتشر شده است و پدیده هایی همچون "یک ماه حفره در مرورگر... " به وجود آمدند.

بسیار خب، همه چیر مهیاست برای نفوذ و تجهیز شبکه های Bot با لشگری از سیستم های آسیب پذیر بی گناه! کافی است ابتدا یک سایت (یا یک سرور میزبان) تحت کنترل یک مهاجم قرار گیرد. هکر، کدهای مخرب خود را که اغلب ناشناس و به اصطلاح 0-day است را به طور گسترده در لابه لای سایت های اصلی اضافه می کند. کدهای مخرب بی سرو صدا و بدون هیچ پیغام خاصی روی سیستم های بازدیدکنندگان نصب می شوند و فاجعه ای را شروع می کنند.

کم کم وب سایت های آلوده در حال تبدیل شدن به یک معضل بزرگ برای مدیران شبکه ها و کاربران است. این مشکل آنقدر حاد است که محققان امنیتی اعتراف کردند که اینگونه حملات از پوشش رادارهای امنیتی آنها خارج شده اند و کنترل آنها در بعضی مواقع ناممکن است.

بنا بر تحقیقات برخی شرکت های امنیتی، بیش از 50 درصد کدهای مخربی که توسط هکرها در این سایت ها استفاده می شوند ناشناس است و آنتی ویروس ها توانایی شناسایی آنها را ندارند و این یعنی فاجعه!!

ابعاد این فاجعه زمانی بزرگ تر می شود که سایت های جستجو نیز به کمک هکر ها بیایند و کدهای مخرب آنها را در پشت سرور های خود پنهان کنند. بنا بر تحقیقاتی که توسط یک شرکت امنیتی صورت گرفته است نشان می دهد هفته ها و ماهها طول می کشد تا سایت ها و صفحات آلوده ای که در موتورهای جستجو ذخیره شده اند با نسخه های پاک و غیر الوده جایگزین شوند. این مشکلی است که در سال گذشته شرکت فینجان نیز به آن اشاره کرده بود و اسم آن را cache Poisoning گذاشته بود.

 

جنگ سرد دولت ها روی تارهای عنکبوت

اما دنیای سایبر فقط به هکرهایی ختم نمی شود که اهداف اقتصادی را دنبال می کنند. اجازه بدهید سری هم به دنیای سیاست بزنیم. جایی که میلیون ها دلار صرف می شود تا اطلاعات مختصری از دشمن جمع آوریگردد‍!

Hacker2.JPG

در خبرهای چند ماه قبل خواندیم که چگونه هکرهای چینی سیستم های پنتاگون را مورد حمله قرار دادند و اطلاعات محرمانه ای را به سرقت بردند. چند هفته بعد نیز برخی سیستم های دولت بریتانیا نیز مورد نفوذ قرار گرفت این بار هم چینی ها در این نفوذ دست داشتند. هر چند دولت چین دخالت خود را در این حملات به شدت انکار کرده است اما وقتی این حمله به سیستم های بانکی و دولتی کشور آلمان در زمان ملاقات مرکل و جیانگ زمین نیز سرایت کرد همگان باور کردند که جریانی در راه است!

شاید هکرهای چینی اولین کسی نباشند که قصد نفوذ به سیستم های دولتی رقبای خود را داشته باشند. دولت ایالات متحده و دولت بریتانیا هر کدام به صورت رسمی نیز اعلان کرده اند سایتهایی را جهت انجام امور جاسوسی از کشورهای دیگر ایجاد کرده اند. این سایتها در زمینه جاسوسی از طریق دنیای سایبر فعالیت می کنند.

با این روالی که کشورهای قدرتمند دنیا در پیش گرفته اند حتما در سال آینده شاهد جنگی سرد در پهنه کابلهای مسی و فیبر های نوری خواهیم بود. جنگی که امروز از آزمایشگاههای حساس وزارت دفاع امریکا شروع شده است، اما پایان آن نامشخص است!

در این میان ما در کجا قرار داریم؟ این سوالی است که همه باید به آن فکر کنیم.