آشنایی با مهمترین حملات به وبلاگ ها و وب سایت های شخصی

[Sabo3eur]

جدا از اینکه شما در رعایت مسایل امنیتی تا چه حد کوشا باشید و از خدمات امن و مطمئن برای وبلاگ یا سایت شخصی تان بهره ببرید و تمامی نکات پشتیبان گیری و وبلاگ نویسی اصولی را رعایت کنید؛ همیشه هستند افرادی که با شیوه های مختلف و ابزارهای متفاوتی به جنگ وبلاگ شما آمده و سعی در نفوذ به آن و یا از کار انداختنش خواهند داشت.

توجه کنید در این درس به حملاتی می پردازیم که به صورت آنلاین وبلاگ شما را هدف گرفته اند و باید بدانید که این همه حملات را شامل نمی شود. ممکن است یک هکر کامپیوتر یا تلفن هوشمند شما را هدف بگیرد که در این صورت روش های حمله متفاوت خواهد بود. برای جلوگیری از آن حملات نیاز است روی امنیت سیستم عامل، مرورگر و دیگر موارد مرتبط تمرکز کنید.
ممکن است آشنایی با برخی اصطلاحات تخصصی حملات امنیتی چندان کارایی برای شما نداشته باشد و حتی در جلوگیری از برخی از آنها کمکی هم نکند. اما به طور حتم آگاهی از اینکه آلودگی و نفوذ از چه راهی انجام گرفته، در حل سریع تر مشکل توسط مدیران سرور و همچنین تعامل شما با آنها کمک فراوانی خواهد نمود.
فیشینگ (Phishing)
فیشینگ یکی از تکنیک های مهندسی اجتماعی است که فرد حمله کننده از ارتباطات الکترونیک یا شبکه های اجتماعی، برای کلاهبرداری و تطمیع گیرنده استفاده می کند تا موفق به دستیابی به اطلاعات وی شود. شاید این شیوه را بتوان یکی از عمومی ترین و پرکاربردترین راه های نفوذ به اطلاعات شخصی و در دست گرفتن کنترل ایمیل، وبلاگ یا دیگر اکانت های افراد دانست. در بسیاری از مواقع این کار با استفاده از ایمیل انجام می شود و البته گاهی از ارسال پیام در شبکه های اجتماعی و پیامک موبایل هم بهره می برند.
در این حمله، پیام ارسالی قلابی برای شما، معمولا به ظاهر از طرف فرد یا شرکتی ارسال شده که کاملا مورد اطمینان شما است. مثلا به نظر می رسد که ایمیل از طرف شرکت فروشنده هاست و دامنه، بانک یا شرکت خدمات دهنده اینترنت شما است و درون ایمیل از شما درخواست برخی اطلاعات شخصی و حتی گاهی اوقات رمزهای عبور می شود.
در شکل دیگر ماجرا، ایمیل ارسالی حاوی لینک یا لینک هایی است که شما را به صفحاتی بسیار شبیه سایت های معمول مورد استفاده تان می برند و در آنجا شما با ورود رمز عبور و نام کاربری، علاوه بر ورود بدون مشکل به سایت مورد نظر خود، اطلاعات تان را در اختیار ارسال کننده ایمیل هم قرار داده اید.
همیشه مراقب ایمیل های دریافتی باشید و در صورتی که حاوی درخواست غیر عادی یا مهمی بودند، به بررسی بیشتر موضوع بپردازید. در صورت امکان قبل از ارسال هرگونه اطلاعاتی، به صورت تلفنی در خصوص صحت ایمیل سوال کنید. تا حد امکان حتی در صورتی که اطمینان نسبی به ایمیل دارید، اما امکان تایید تلفنی یا حضوری آن را ندارید، از ارسال پاسخ خودداری کنید.
به یاد داشته باشید که معمولا شرکت های خدمات دهنده به شما و مراکزی مانند بانک، هیچ گاه و به هیچ وجه به صورت ایمیلی از شما درخواست رمز عبور، نام کاربری یا اطلاعات خصوصی مهم نمی کنند.
در ایمیل های مشکوک و ناشناس به هیچ وجه بر روی لینک ها کلیک نکنید. در صورتی که می خواهید وارد سایتی شوید، آدرس آن را به صورت دستی در مرورگر تایپ کنید. قبل از ورود نام کاربری و رمز عبور در هر سایتی، ابتدا آدرس بار را کنترل کنید تا نشانی سایت کاملا درست و صحیح باشد. در سایت هایی که از ارتباط امن SSL و آدرس https استفاده می کنند، حتما مراقب این نکته باشید و کنترل کنید که آدرس صفحه ای که باز کرده اید به صورت امن و https باشد.
حمله Brute-force
در این شیوه فرد نفوذگر با استفاده از برنامه های ویژه ای، به صورت خودکار و مداوم ترکیبات مختلف نام کاربری و رمز عبور را امتحان می کند تا بالاخره به ترکیب مناسب برای ورود به سایت دست پیدا کند. در این سیستم معمولا از لغات و عبارت های موجود در دیکشنری و ابزارهایی مانند آن استفاده می شود و برنامه تا جایی به کار خود ادامه می دهد که موفق به پیدا کردن نام کاربری و رمز عبور شما شود.

یکی از مهم ترین شیوه های مقابله با چنین حملاتی، استفاده از پلاگین های امنیتی است که پس از دفعات مشخص ورود نام کاربری و رمز عبور اشتباه، جلوی دسترسی کامپیوتر وارد کننده نام های کاربری را بگیرد و به وی اجازه کار ندهد. این جلوگیری معمولا با بلاک کردن آی پی آن سیستم انجام می شود. شما می توانید با افزونه ها و برخی کدها و دستورات برنامه نویسی، این امکان را فراهم آورید که مثلا فرد یا کامپیوتر مشکوک، با ورود سه رمز عبور اشتباه دیگر دسترسی این کار را نداشته باشد. و یا اینکه دسترسی به بخش لاگین را تنها برای آی پی های ویژه ای باز بگذارید و دیگران امکان ورود به این بخش را نداشته باشند.
نکته دیگر در مقابله با این حمله، استفاده از رمز عبور امن است که به اندازه ای طولانی باشد تا حدس زدن آن چندان ساده نباشد. همچنین عدم استفاده از نام کاربری پیش فرض برنامه مدیریت محتوا و یا استفاده از نام کاربری های شناخته شده ای چون Admin و administrator و user1 و moderator و… می تواند کار را برای نفوذگران دو چندان سخت تر کند.
علاوه بر این در برخی برنامه های مدیریت محتوا، می توانید آدرس صفحات مدیریتی سایت و وبلاگ را هم به طور کامل تغییر دهید. با این کار فرد حمله کننده قبل از اینکه امکان آزمون- خطا برای یافتن رمز عبورتان را داشته باشد، باید ابتدا صفحه مدیریت را برای ورود نام کاربری و رمز عبور پیدا کند. استفاده از نام های عجیب می تواند کمک خوبی در این زمینه باشد. چرا نام صفحه ورود به بخش مدیریت وبلاگ تان به جای Admin یا administrator و مانند آن، چیزی شبیه نام یک گیاه یا غذای مورد علاقه تان نباشد؟

[Sabo3eur]

مهندسی اجتماعی

این شیوه به روش های بسیار متفاوت و پیچیده ای انجام می شود که یکی از آنها را در بخش فیشینگ توضیح دادیم. به شکل ساده، مهندسی اجتماعی عبارت است از تکنیک های روانشناسی اجتماعی که فرد مهاجم سناریویی را آماده می کند و با استفاده از آن، شما را ترغیب به انجام کاری یا در اختیار قرار دادن اطلاعاتی می کند. این کار گاهی با تطمیع یا تهدید و بسیاری اوقات با جعل و حقه انجام می شود.

همان طور که در بخش فیشینگ گفتیم، مهم ترین و بهترین دفاع در برابر این حملات، عدم اطمینان کاذب به افراد آنلاین است. زیرا به راحتی امکان جعل آدرس های سایت ها، اکانت شبکه های اجتماعی و ایمیل ها وجود دارد. هنگام مواجه با هرگونه درخواست اطلاعات حساس، تا حصول اطمینان ۱۰۰ درصد از راه های مختلف، هیچ گونه اطلاعاتی را در اختیار کسی قرار ندهید. اگر درخواست ایمیلی برای دریافت اطلاعات دارید، حتما تلفنی و در صورت امکان حضوری، از صحت آن مطمئن شوید. اگر از طریق تلفن هم نمی توانید از هویت درخواست دهنده اطمینان حاصل کنید، حتما نیاز به مراجعه حضوری و تحویل آن اطلاعات دارید.
Packet Sniffer
در این شیوه حمله که می توان آن را نوعی شنود نامید، فرد نفوذگر به نوعی به یکی از کامپیوترهای اصلی درون شبکه بی سیم یا کل شبکه ISP شما دسترسی پیدا می کند و آنگاه با نصب برخی نرم افزارها، تمام پاکت های (Pockets) اطلاعاتی رد و بدل شده توسط افراد را کنترل و ضبط می کند. با این کار وی می تواند به هر چیزی اعم از محتوای ایمیل ها، سایت های وارد شده و حتی نام کاربری و رمز عبور وارد شده درون سایت های مختلف دست پیدا کند. زیرا تمامی این داده ها به صورت بسته های اطلاعاتی در شبکه ارسال می شوند و در صورتی که رمزگذاری نباشند، به راحتی قابل ردگیری و خوانده شدن هستند
اولین قدم در راه مقابله با چنین حملاتی، عدم استفاده از شبکه های بی سیم عمومی و ناشناس، و همچنین رمزگذاری و حفظ امنیت شبکه بی سیم خصوصی تان است. در صورتی که شبکه وایرلس شما توسط رمز عبور قدرتمندی محافظت شود و تنها دستگاه هایی که مک آدرس آنها درون شبکه ثبت شده، قادر به ارتباط با آن باشند، تا حد زیادی جلوی اسنیف شدن اطلاعات گرفته می شود.
مرحله بعد ارسال رمزنگاری شده اطلاعات درون شبکه و اینترنت است. در این حالت، حتی در صورتی که کسی بتواند بین راه اطلاعات را خوانده و ضبط کند، چیزی از آنها دستگیرش نمی شود. اینجا است که اهمیت بالای استفاده از SSL مشخص می شود. چرا که در این صورت هکری که به شبکه بی سیم شما نفوذ کرده امکان بازکردن و خواندن اطلاعات ارسالی و دریافتی را نخواهد داشت.
حملات تزریق کد (SQL Injection)
در این نوع از حمله فرد مهاجم از تکنیک هایی استفاده می کند تا با نفوذ و در اختیار گرفتن دیتابیس یا پایگاه داده های سایت، کنترل آن را در دست گرفته و به تخریب بپردازد. در این شیوه فرد نفوذگر معمولا از طریق راه های نفوذ مختلفی که ممکن است در وبلاگ شما باز باشد، دستورات دیتابیس (Quary) یا فرمان های برنامه نویسی خاصی را برای سایت ارسال و دیتابیس را مجبور به انجام آنها می کند.
در نتیجه این حملات در حالت ساده، فرد مهاجم قادر به پاک کردن و نابودی اطلاعات است و در حالت های پیچیده تر، وی بدون اطلاع شما و از طریق دسترسی به دیتابیس، امکان ورود به بخش مدیریت سایت را هم پیدا می کند. یکی از معمول ترین راه هایی که افراد می توانند کدهای مخرب را وارد دیتابیس وبلاگ کرده و آنها را اجرا کنند، فرم های موجود از قبیل تماس با ما، بخش نظرات و صفحات عضویت است. البته گاهی از طریق دستورات Get/Post هم انجام چنین کاری امکان پذیر است. به همین دلیل باید در تنظیمات برنامه مدیریت محتوا کاملا مراقب چنین حملاتی باشید و فرم ها به گونه ای ساخته شوند که قبل از ارسال و ذخیره هرگونه اطلاعاتی در دیتابیس، آنها را کنترل کرده و جلوی اجرای هرگونه دستور و کد برنامه ای را بگیرند.
حمله عدم پذیرش سرویس (DOS)
این شیوه در واقع یک حمله برای نفوذ به سایت و یا در اختیار گرفت آن نیست، بلکه تنها هدف از چنین حمله ای، هدر دادن منابع سیستمی سایت یا وبلاگ مورد نظر و از کار انداخت آن است. به گونه ای که در یک حمله سازمان یافته و کلاسیک DOS سایت هدف برای مدت زمانی به صورت کامل از دسترس کاربران خارج می گردد.
در این روش فرد مهاجم از طریق تعداد زیادی کامپیوتر آلوده که در اختیار وی هستند، یا یک کامپیوتر با پهنای باند بالا به ارسال درخواست های مداوم و تکراری به سایت هدف می پردازد. این درخواست می تواند تنها نمایش صفحه ای از سایت و یا سعی برای ارسال نظر یا پیشنهادی باشد و یا در مراحل پیشرفته، می تواند اجرای کد یا فرمانی بر روی سرور و ایجاد مشکل برای آن باشد.
از آنجایی که هر سایت و وبلاگ، بسته به سرور خدمات دهنده اش، میزان محدودی از منابع (همچون پهنای باند، قدرت پردازشگر مرکزی، ترافیک ماهیانه و…) را در اختیار دارد، این درخواست های پرشمار و بی پایان تا آنجا ادامه می یابند که دیگر سرویس دهنده وبلاگ پاسخگوی آنها نبوده و از دسترس خارج گردد. متاسفانه در حملات این چنینی کار زیادی از دست شما بر نمی آید و باید تمام امیدتان به مدیر و تیم فنی خبره شرکت سرویس دهنده هاست تان باشد. آنها می توانند با اقداماتی همچون بلاک کردن آی پی کامپیوترهای مهاجم و جلوگیری از دسترسی آنها به سایت، تا حد زیادی در نجات به موقع وبلاگ شما موثر باشند.
البته گاهی هم چنین حملاتی موجب تحمیل هزینه های ناخواسته برای شما خواهند بود، برای مثال در صورت محدود بودن ترافیک ماهیانه وبلاگ شما، بعد از یک حمله DOS یا باید تا شروع ماه جدید وبلاگ تان در دسترس نباشد و یا اینکه با پرداخت هزینه ای، میزان ترافیک آن را افزایش دهید.
حملات تزریق اسکریپت (XSS)
در این شیوه فرد مهاجم با استفاده از کامپیوتر آلوده دیگری به جنگ کامپیوتر شما یا سرور وبلاگ تان آمده و با تزریق برخی کدهای خاص درون مرورگر وب تان، اطلاعاتی را که در مرورگر دریافت کرده یا ارسال می کنید، سرقت می کند و یا مسیر آنها را تغییر می دهد. این حمله معمولا از طریق ارسال یک آدرس خاص اینترنتی برای قربانی (با استفاده از شیوه هایی همچون فیشینگ) آغاز می گردد.
در صورتی که فرد مهاجم موفق به نفوذ شود، می تواند اطلاعات اشتباهی را به شما نشان دهد و یا به صورت کامل کنترل صفحه اصلی سایت را به دست گیرد. علاوه بر این می تواند به کلیه اطلاعات مورد استفاده شما در اینترنت دست یافته یا شما را بدون آگاهی خودتان، به آدرس و محل دیگری در اینترنت منتقل سازد. همچنین با تزریق اسکریپت در مرورگر، فرد مهاجم امکان سرقت Sessionها و نفوذ به بخش مدیریت سایت و یا تغییر چهره کامل سایت و حذف اطلاعات صفحه آن را در اختیار دارد.
بخش مهمی از جلوگیری از حملات تزریق اسکریپت به بخش فنی و کدنویسی سایت و وبلاگ شما بر می گردد. به گونه ای که به هیچ وجه به کاربران تان امکان استفاده از کاراکترها و کدهای ویژه را در فرم ها یا آدرس های ارسالی شان ندهید. راحت ترین کار این است که تا حد امکان، کاربران امکان استفاده از HTML و CSS را در هیچ بخشی نداشته باشند.
به طور کلی، بهترین دفاع در این حملات، کمترین امکان دسترسی کاربر است. سعی کنید که کاربران تنها و تنها به موارد مورد نیاز و ضروری دسترسی داشته باشند، تا نتوانند به چنین تخریب هایی بپردازند.
همانطور که گفتیم ممکن است شما نتوانید برای مقابله با برخی از این حملات شخصا کاری انجام بدهید. اما آگاهی داشتن خودش نیمی از مسیر است.