دوست عزیز، به سایت علمی نخبگان جوان خوش آمدید

مشاهده این پیام به این معنی است که شما در سایت عضو نیستید، لطفا در صورت تمایل جهت عضویت در سایت علمی نخبگان جوان اینجا کلیک کنید.

توجه داشته باشید، در صورتی که عضو سایت نباشید نمی توانید از تمامی امکانات و خدمات سایت استفاده کنید.
نمایش نتایج: از شماره 1 تا 7 , از مجموع 7

موضوع: امنیت اطلاعات

  1. #1
    همکار تالار نیروی نظامی وهوانوردی
    رشته تحصیلی
    تجربی
    نوشته ها
    2,617
    ارسال تشکر
    3,144
    دریافت تشکر: 2,553
    قدرت امتیاز دهی
    871
    Array

    پیش فرض امنیت اطلاعات

    قسمت اول
    هدف اصلی از ارائه این سری مقالات آشنایی و معرفی اولیه امنیت اطلاعات است . در ابتدا ما شما را با مشکلاتی که در حوزه امنیت اطلاعات وجود دارد آشنا خواهیم کرد سپس واژه امنیت اطلاعات و دلایل اهمیت امنیت اطلاعات در دنیای امروزی را توضیح خواهیم داد. شما در این مقاله با انواع مختلف مهاجمین که امروزه بصورت معمول به شبکه ها و یا سیستم های اطلاعاتی حمله می کنند آشنا خواهید شد. برای تنوع گام های مقدماتی که برای انجام یک حمله هکری بایستی از ابتدا برداشته شود را با هم بررسی خواهیم کرد و در نهایت ۵ اصل مهم در دفاع از سیستم های اطلاعاتی را برای شما تشریح خواهیم کرد.

    مشکلات موجود برای امن سازی اطلاعات
    سالها پیش از اینکه شبکه های کامپیوتری به شکل امروزی خود در بیایند بحث امنیت اطلاعات چندان مطرح نبود . این موضوع کاملا طبیعی است زیرا تا زمانیکه احساس نیاز به یک فرآیند وجود نداشته باشد کسی درگیر استفاده از آن فرآیند نخواهد شد.
    با گذشت زمان و فراگیر شدن استفاده از شبکه های کامپیوتری و سیستم های اطلاعاتی به شکل امروزی که دیگر هر شخص برای خود در خانه یا محل کار و یا در دستان خود یک کامپیوتر در اختیار داشت و به شبکه جهانی متصل می شد ، مشکلات بسیاری بوجود آمد که باعث رونق گرفتن بازار کار امنیت اطلاعات در سرتاسر دنیا شد. طبیعی است که وقتی همه چیز بر روی شبکه قرار می گیرد و همگان می توانند به این شبکه متصل شوند امنیت این شبکه نیز بایستی تامین شود ، تا کنون شرکت های بزرگ دنیا به خاظر رعایت نکردن اصول امنیت اطلاعات ضررهای هنگفتی کرده اند و همین موضوع باعث شده است که مبحث امنیت اطلاعات یکی از مهمترین مسائل در قرن ۲۱ ام به شمار می رود.
    امن سازی اطلاعات یک راهکار ساده نیست ، حملات مختلفی همه روزه به سیستم های اطلاعاتی انجام می شود که شناخته شده نیستند و مقابله در برابر چنین حملاتی اصلا کار ساده ای نیست ، امنیت اطلاعات صرفا محدود به شبکه ها و سیستم های اطلاعاتی نمی باشد و اشخاص و نیروهای انسانی نیز جزئی از این فرآیند محسوب می شوند ، در حوزه امنیت اطلاعات برخی از مسائل فنی است و بسیاری دیگر از مسائل مرتبط غیر فنی و وابسته به درک و آموزش نیروی انسانی می باشد ، ما در این سری مقالات به تمامی جوانب امنیت اطلاعات خواهیم پرداخت و تک بعدی به این فرآیند نگاه نخواهیم کرد.
    حملات امنیتی امروزی
    برای شکستن رمزهای عبور و الگوریتم های رمزنگاری نیار به قدرت پردازشی بالایی می باشد ، خاطرم هست که اولین کامپیوتری که در خانه داشتم دارای یک CPU یا قدرت پردازشی ۵۰۰ مگاهرتز و RAM 64 مگابایتی بود. با چنین کامپیوتری شکستن یک کلید رمزنگاری شاید سالها طول می کشید . امروزه قدرت پردازشی سیستم های سخت افزاری بسیار بسیار بالا رفته است و غیر قابل مقایسه با قبل است ، هر کس می تواند در خانه خود تلاش برای شکستن رمزهای عبور دیگران را براحتی انجام دهد و دغدغه پردازش توسط CPU را نداشته باشد.
    امروزه حتی گوشی های تلفن هوشمند از برخی کامپیوترها قدرت پردازشی بیشتری دارند ، بنده با استفاده از گوشی Note II از شرکت سامسونگ براحتی می توانم برخی از الگوریتم های رمزنگاری ساده را کرک کنم که حاصل قدرت پردازشی خوب CPU بکار رفته در این گوشی می باشد. البته از این موضوع هم نگذریم که امروزه همین گوشی های تلفن هوشمند یکی از اهداف اصلی حملات مهاجمین هستند.
    هر نرم افزاری که نوشته می شود بایستی از طریق یک سری استانداردهای امنیتی آزمایش شود تا نقاط ضعف آن مشخص شود . امروزه اکثر برنامه هایی که نوشته می شوند از این آزمون ها استفاده نمی کنند و صرفا بازار فروش خود را در نظر می گیرند ، که همین موضوع می تواند باعث بروز مشکلات امنیت و نقاط ضعفی شود که مهاجمین بتوانند از آن برای نفوذ به نرم افزار استفاده کنند.
    حتی اگر نرم افزاری با این استانداردها ایجاد شود باز هم در طی زمان ممکن است نقاط ضعف امنیتی در آن مشاهده شود کما اینکه شرکت مایکروسافت برای محصولات ویندوز خود همه روزه بسته های امنیتی ارائه می دهد تا نقاط ضعف آنرا پوشش دهند ، اما یکی از مواردی که مهاجمین بیشترین استفاده از آن را می کنند سهل انگاری کاربران و مدیران شبکه در بروز رسانی و نصب این بسته های امنیتی است که در صورت عدم نصب به موقع می تواند باعث ورود مهاجمین به سیستم شوند.
    امروزه حملات به انواع و اقسام روش های مختلف انجام می شود ، برخی از معروف ترین انواع حملات عبارتند از : استفاده از آنتی ویروس های جعلی ، در اینگونه حملات ، در قالب تبلیغات به شما اخطار داده می شود که سیستم شما آلوده است و شخص مورد نظر خود را در قالب یک شرکت جا می زند و ادعا می کند که نرم افزار آنتی ویروسی دارد که آلودگی سیستم شما را از بین می برد ، حال یا برای اینکار از شما طلب پول می کند و یا اینکه بدون دریافت پول نرم افزار را به شما می دهد تا آن را نصب کنید و سیستم شما در این لحظه آلوده و تحت فرمان مهاجم خواهد بود.مهمترین استفاده ای که از این حملات می شود معمولا به سرقت بردن اطلاعات کارت های اعتباری و حساب های بانکی شما است ، روشی که عنوان شد تنها یکی از چندین روش معمول هک کردن اطلاعات شخصی می باشد.
    حسابهای آنلاین بانکی یک از مواردی است که بیشترین میزان حملات را به خود اختصاص می دهد. همانطور که قبلا هم اشاره شده حملات همیشه بصورت نرم افزاری و فنی نیستند بلکه در بسیاری اوقات مهاجمین از حماقت و عدم آگاهی کاربران سوء استفاده می کنند و کلاهبرداری خود را انجام می دهد ، مدت هاست که روش های مختلفی برای هک کردن به روش کلاهبرداری وجود دارد که از برجسته ترین آنها می توانیم به حقه نیجریه ای یا کلک نیجریه ای اشاره کنیم ، در این نوع از کلاهبرداری ها شخصی برای شما ایمیلی می فرستد و می گوید که یا شما برنده یک مسابقه شده اید و یا اینکه در Lottery برنده شده اید و برای اینکه این مبلغ را بتوانیم به حساب شما انتقال دهیم بایستی مبلغی را به حساب آنها واریز کنیم و طبیعی است که پس از باور کردن این موضوع توسط کاربران نا آگاه پول واریز شده دیگر به حساب شما باز نمی گردد. همه روزه تعداد و تنوع این حملات زیادتر می شود ، انواع و اقسام کدهای مخرب وجود دارد که براحتی بر روی حافظه های USB Flash قرار می گیرند و در همه جا تکثیر می شوند.
    سختی ها و مشکلات مقابله با حملات
    شاید با خود بگویید که با وجود چنین مشکلات امنیتی بسیار ، چگونه است که همچنان راهکار مناسبی برای مقابله با چنین حملاتی وجود ندارد و همیشه امنیت اطلاعات ما دچار خطر می باشد ؟ توجه کنید که برقراری امنیت به هیچ عنوان کار ساده ای نیست ، در این روزها هر کسی می تواند براحتی با یک دستگاه ساده به شبکه جهانی یا شبکه داخلی شما متصل شده و به اطلاعات شما دسترسی پیدا کند ، سرعت حملات روز به روز بیشتر می شود ، سالها قبل برای اینکه بتوانیم یک حمله را انجام دهیم ممکن بود زمان زیادی برای برنامه ریزی و اعمال آن با استفاده از سیستم های کامپیوتری آن زمان هدر بدهیم اما امروزه دیگر مشکل سرعت را نداریم .
    دیگر حملات مثل سابق با الگوریتم های شناخته شده حمله معمول انجام نمی شوند و دارای پیچیدگی های زیادی در روش انجام خود هستند ، این روزها یک بچه وقتی از مدرسه به خانه می آید می تواند یک ابزار هک را دانلود کرده و بدون نیاز به دانش فنی زیاد شروع به هک کردن کند زیرا دسترسی و سادگی کار کردن با ابزارهای امروزی هک ، هر روز بیشتر از روز قبل می شود. هر روز و بهتر است بگوییم هر لحظه نقاط ضعف امنیتی بسیاری بر روی سیستم عامل های مختلف از جمله سیستم عامل هایی که ما از آنها استفاده می کنیم شناسایی می شوند و تا زمانیکه شرکت مربوطه بخواهد Patch امنیتی حفره را به ما ارائه دهد ممکن است ما هک شده باشیم ، تاخیر در ارائه Patch های امنیتی از طرف شرکت های سازنده و توزیع نامناسب آنها باعث سوء استفاده مهاجمین از این قضیه می شود. حملات امروزی بصورت توزیع شده بین هزاران سیستم ممکن است انجام شود و شما براحتی نمی توانید تشخیص بدهید که حمله واقعا از کجا انجام می شود ، اشتباهاتی که کاربران در شبکه ها مرتکب می شوند یکی از مهمتری نقاط ضعف یک سازمان است . پس تا اینجا به این موضوع رسیدید که مقابله در برابر حملات کار ساده ای نیست ، ما به عنوان یک کارشناس امنیت فقط می توانیم شدت حمله را کاهش دهیم و هیچوقت نمی توانیم کاملا مصون بمانیم.
    امنیت اطلاعات چیست ؟
    قبل از اینکه در یک جنگ ، حمله یا دفاع کنیم ، بایستی دشمن را خوب بشناسیم ، این قانون هر جنگی است. در حوزه امنیت اطلاعات نیز ما بایستی قبل از اینکه بتوانیم از خودمان و اطلاعاتمان در برابر مهاجمین دفاع کنیم بایستی یک سری مسائل را به خوبی درک کنیم. قبل از هر چیز شما باید بدانید که ماهیت امنیت اطلاعات چیست ؟ چرا امنیت اطلاعات مهم است ؟ مهاجمین چه کسانی هستند و چگونه عمل می کنند ؟ تا شناخت درستی از مهاجمین نداشته باشید نمی توانید از اطلاعات خود در برابر آنها محافظت کنید ، در این راه شما بایستی روش هایی که مهاجمین برای حمله به شما استفاده می کنند را به خوبی شناسایی کرده و نقاط ضعف خود را پوشش دهید ، دقیقا امنیت اطلاعات مانند یک جنگ است ، شما قبل از حمله بایستی یک تیم اطلاعاتی داشته باشید تا در خصوص هدف به شما اطلاعات دهد ، فعالیت های دشمن را زیر نظر بگیرد و نقاط ضعف و قوت آنها را شناسایی و به شما گوشزد کند. پس به جنگ زیبای امنیت اطلاعات خوش آمدید.
    قبل از اینکه به سراغ تعریف امنیت اطلاعات بپردازیم به تعریف واژه امنیت می پردازیم . تعریف امنیت به این صورت است : قدم هایی که شما برای محافظت از اشخاص یا دارایی های خود در برابر صدمات و آسیب ها بر می دارید را امنیت می گویند. توجه کنید که بحث صدمات و آسیب ها هم می تواند عمدی باشد و هم می تواند بصورت غیر عمدی انجام شود ، هدف ما از جمله بیان کلی مفهوم امنیت است.امنیت باعث به وجود آمدن آسودگی و آرامش برای ادامه روند کاری شما می شود. امنیت اطلاعات هم تا حدود زیادی همین مفهوم را در بر می گیرد ، در حوزه امنیت اطلاعات ، اطلاعات به عنوان دارایی یا Property یک سازمان در نظر گرفته می شود ، امنیت اطلاعات یعنی قدم هایی که شما برای محافظت از اطلاعاتی که در قالب دیجیتال ذخیره شده اند در برابر صدمات و آسیب ها بر می دارید می باشد. توجه کنید که این اطلاعات زمانی ارزشمند هستند که برای سازمان شما دارای ازرش یا Value باشند در غیر اینصورت نیازی به حفاظت ندارند.
    معیارهای اطلاعات امن
    چه پارامترهایی وجود دارد که در نهایت باعث می شود تا ما یک سری اطلاعات را امن بدانیم ؟ از کجا باید بدانیم که اطلاعات امنیت دارند یا خیر ؟ اولین معیار در خصوص اطلاعات امن این است که اطلاعات بایستی محرمانه یا Confidential باشند. یعنی اینکه صرفا افرادی که مجاز به استفاده از اطلاعات هستند بتوانند از آنها استفاده کنند و به اطلاعات دسترسی پیدا کنند. دومین معیار این است که اطلاعات بایستی سالم ، کامل و از دستکاری غیر مجاز محافظ شوند که در اصطلاح به تمامیت اطلاعات یا Integrity اطلاعات گفته می شود.
    یعنی اطلاعات بایستی به گونه ای نگهداری شوند که صحیح باشند و دستکاری های غیر مجاز بر روی آنها انجام نشود. سومین معیار این است که اطلاعات بایستی در زمانی که مورد نیاز هستند برای افراد مجاز در دسترس باشند که در اصطلاح فنی به آن Availability گفته می شود. این سه معیار اصلی برای امنیت اطلاعات است که بصورت Confidentiality ، Integrity و Availability شناخته می شوند. اگر قصد برقراری امنیت برای اطلاعات خود را دارید حتما باید مطمئن شوید که اطلاعات شما این سه معیار را درون خود دارد. در اصطلاح امنیت اطلاعات به این معیارها CIA امنیت اطلاعات گفته می شود ، این اسم هیچ ربطی به CIA ای که می شناسیم ندارد. در هنگام بررسی این سه مورد از خودتان این سئوالات را بپرسید :
    آیا اطلاعات من محرمانه است و فقط افراد مجاز می توانند به آن دسترسی پیدا کنند ؟
    آیا اطلاعات من کامل و سالم است و هیچ کس نمی تواند تغییرات غیر مجاز بر روی آنها انجام دهد ؟
    آیا اطلاعات من در مواقع مورد نیاز برای افراد مجاز قابل دسترسی است ؟
    انواع حفاظت های اطلاعاتی
    در خصوص معیارهای اطلاعات امن صحبت کردیم ، اما ما چگونه می توانیم به یک CIA درست از اطلاعات دست پیدا کنیم ؟ برای اینکه بتوانیم اطلاعات خود را امن کنیم یک سری حفاظت ها یا Protection ها وجود دارد که بایستی برای هر سطح از امنیت در نظر بگیریم تا به هدف اصلی که CIA می باشد نزدیک شویم. اولین نکته حفاظتی برای اطلاعات احراز هویت یا Authentication است. احراز هویت یعنی اینکه آیا شخص یا کاربر مورد نظر همان فردی است که ادعا می کند یا ادعای وی تقلبی است ؟ در ساده ترین حالت ممکن شما در وب سایت itpro.ir هر شخص دارای یک نام کاربری و رمز عبور می باشد ، این نام کاربری و رمز عبور وسیله احراز هویت شما در وب سایت انجمن می باشد ، سیستم و سرویس هایی که در شبکه کار می کنند با استفاده از این نام کاربری و رمز عبور شما را شناسایی و احراز هویت می کنند.
    دومین نکته حفاظتی سطح اختیارات یا Authorization است . سطح اختیارات بعد از عملیات احراز هویت اعلام می شود و به کاربر ما می گوید که حق انجام چه کاری را دارد. توجه کنید که همه کاربران در وب سایت انجمن تخصصی فناوری اطلاعات ایران یاitpro.ir دارای نام کاربری و رمز عبور هستند اما فقط عده معدودی دارای دسترسی های مدیریتی هستند. سومین نکته حفاظتی حسابرسی یا Accounting می باشد. به عنوان مدیر وب سایت انجمن تخصصی فناوری اطلاعات ایران بنده بایستی بدانم که کاربران چه فعالیت هایی در وب سایت انجام می دهند ، بیشتر از چه منابعی استفاده می کنند و در هنگام بروز خطا در وب سایت در کجا بوده اند ، این اطلاعات می تواند در بهبود سرویس دهی و همچنین جلوگیری از بوجود آمدن اختلال در وب سایت itpro.ir به مدیران وب سایت کمک کند. بنابراین برای اینکه مطمئن شویم کنترل های حفاظتی درستی پیاده کرده ایم یا خیر از خود این سئوالات را می پرسیم :
    آیا اشخاصی که در شبکه یا وب سایت یا سازمان ما کار می کنند دارای شناسه احراز هویت هستند ؟
    آیا کنترل های دسترسی مناسب با توجه به سمت و فعالیت کاربران تعریف شده است ؟
    آیا به عنوان مدیر سیستم یا سازمان می توانید روند کلی کارکرد و فعالیت های کاربران خود را پایش کنید ؟
    اصطلاحات فنی در امنیت اطلاعات
    در هر حوزه ی فنی ای که کار کرده باشید حتما متوجه شده اید که واژه های تخصصی وجود دارند که با ترجمه فارسی میانه خوبی ندارند و این واژه ها همان اصطلاحات فنی مربوط به تخصص مورد نظر می باشند ، مبحث زیبای امنیت اطلاعات نیز یک سری واژه های معمول تخصصی دارد که ممکن است در تخصص های دیگر معانی دیگری داشته باشند ، به عنوان یک کارشناس امنیت یا یک شخص علاقه مند به حوزه امنیت اطلاعات بایستی با این واژه ها آشنا بشوید ، قصد نداریم کلیه واژه های تخصصی این حوزه را بررسی کنیم و بیشتر به موارد مهم اشاره خواهیم کرد ، پر کاربردترین واژه ها در حوزه امنیت اطلاعات به شرح زیر می باشند :
    Asset یا دارایی : هر چیزی که در سازمان شما دارای ارزش ( مادی یا معنوی ) باشد دارایی شما محسوب می شود.
    Threat یا تهدید : فعالیت ها یا رویدادهایی که می توانند باعث آسیب رساندن به دارایی های شما شوند.
    Threat Agent یا عامل تهدید : شخص یا منبعی که قدرت ایجاد یک تهدید را داشته باشد.
    Vulnerability یا آسیب پذیری : نقطه ضعف ای که می تواند توسط عامل تهدید مورد استفاده قرار گرفته و امنیت را دچار اختلال کند.
    Risk یا خطر : احتمال اینکه عامل تهدید از آسیب پذیری موجود سوء استفاده کند.
    توجه کنید که شما هیچگاه نمی توانید بصورت کامل ریسک های موجود را برطرف و حذف کنید . دلایل بسیاری برای این مسئله وجود دارند که مهمترین های آنها هزینه های زیادی است که برای برطرف کردن ریسک ها باید پرداخت کرد . همچنین معمولا برای اینکه طرح های مقابله با ریسک ها به درستی پیاده سازی شوند زمان زیادی لازم است ، به همین دلیل معمولا ریسک ها اولویت بندی شده و با توجه به همین اولویت ها با آنها برخورد می شود.ITPRO باشید.
    نویسنده : محمد نصیری
    منبع: انجمن تخصصی فناوری اطلاعات ایران--http://www.iritn.com


    http://s-gomnam.ir/eslam/showthread....18625#pid18625


  2. کاربرانی که از پست مفید حسنعلی ابراهیمی سعید سپاس کرده اند.


  3. #2
    همکار تالار نیروی نظامی وهوانوردی
    رشته تحصیلی
    تجربی
    نوشته ها
    2,617
    ارسال تشکر
    3,144
    دریافت تشکر: 2,553
    قدرت امتیاز دهی
    871
    Array

    پیش فرض پاسخ : امنیت اطلاعات

    قسمت دوم

    با ریسک های امنیتی چگونه برخورد کنیم ؟
    بصورت کلی در برخورد با ریسک های امنیت اطلاعات سه عمل بایستی انجام شود. در وهله اول ما ریسک را Accept یا قبول می کنیم ، یعنی اینکه می پذیریم که این ریسک در مجموعه ما وجود داشته باشد چون توانایی کاهش دادن یا انتقال این ریسک را نداریم . برای مثال بیشتر سازمان ها ریسک وقوع زلزله و سیل را می پذیرند و در برنامه های امنیتی خود برنامه ای برای مقابله با چنین حوادثی پیشبینی نمی شود. در وهله دوم ما ریسک ها را کاهش یا Diminish می کنیم ، در این حالت ما تا جایی که می توانیم اقدام های پیشگری و احتیاط های لازم برای جلوگیری از بروز خطر را انجام می دهیم .
    در مبحث امنیت اطلاعات و سیستم مدیریت امنیت اطلاعات ، بیشترین کاری که بایستی با ریسک ها انجام شود کاهش دادن یا Diminish کردن ریسک می باشد. در وهله سوم ما ریسک ها را منتقل یا Transfer می کنیم ، بدین معنا که به جای اینکه ریسک را مایه دردسر خودمان قرار دهیم ، مسئولیت پذیرش آن را به یک شخص یا سازمان جانبی واگذار می کنیم و تمامی موارد مرتبط با ریسک را از آنها خواهیم خواست. برای مثال استفاده از مزیت های بیمه و تامین اجتماعی به معنی انتقال یک سری مسئولیت های مراقبتی به ارگانی غیر از ارگان خودمان می باشد.
    درک اهمیت امنیت اطلاعات
    همیشه ما ایرانی ها عادت داریم تا مشکلی به وجود نیاید به فکر پیشگری از آن نیستیم ، زمانی که اتفاقی که نباید بیافتد تازه متوجه اهمیت موضوع می شویم . در بحث امنیت اطلاعات شما بایستی اهمیت موضوع را به خوبی درک کنید تا بتوانید از بوجود آمدن مشکلات آینده جلوگیری کنید. با وجود کنترل های امنیت اطلاعات شما از سرقت اطلاعات سازمانی خود در امان خواهید بود ، اطلاعات سازمانی شما در حوزه امنیت اطلاعات دارایی های شما به حساب می آیند که برای سازمان دارای ارزش می باشند. برای مثال در یک شرکت داروسازی ، اطلاعات مربوط به فرمول ساخت داروها سرمایه شرکت محسوب می شوند و یا در یک شرکت بازاریابی ، اطلاعات مربوط به مشتری ها جزو دارایی های شرکت محسوب می شود. سرقت کارت های اعتباری و سوء استفاده از کارت های شناسایی یکی دیگر از مواردی است ک با پیاده سازی درست کنترل های امنیت اطلاعات از بروزشان جلوگیری می شود.
    امنیت اطلاعات نیز خود دارای یک سری استانداردها می باشد ، در صورتیکه شما به درستی کنترل های مناسب امنیتی را پیاده سازی نکنید قادر نخواهید بود به این قوانین و استانداردها دست پیدا کنید. شاید با خود بپرسید که چه نیازی به این هست که ما یک سری استانداردها یا قوانین امنیت اطلاعاتی را در سازمان خود داشته باشیم ؟ پاسخ در این است که مشتریان شما با مشاهده رعایت شدن این قوانین توسط شما ، اعتماد بیشتری در برقراری همکاری با شما خواهند داشت . برخی از قوانینی که تا کنون در خصوص حفاظت از حریم خصوصی داده های الکترونیکی در دنیا در خصوص تجارت های مختلف وجود دارند به شرح زیر می باشند :
    HIPAA | Health Insurance Portability and Accountability Act : این قانون در خصوص بیمه ها و سازمان هایی مثل تامین اجتماعی می باشد که اطلاعات سلامتی و بیماری مشتریان خود که کاملا محرمانه می باشد را بصورت الکترونیکی رد و بدل می کنند.HIPPA قوانین حفاظتی مربوط به حفظ محرمانگی و امنیت اطلاعات سلامت بیماران از لحاظ حفاظت در مقابل دسترسی های غیرمجاز و افشای اطلاعات را تدوین کرده است. HIPPA به این موضوع اشاره دارد که یک فرآیند مدیریت امنیت بایستی برای محافظت از اطلاعات سلامتی بیماران وجود داشته باشد که بتوان در آن تلاش برای دسترسی غیرمجاز ، دسترسی های غیرمجاز ، استفاده ، افشاء ، دستکاری و مواردی از این قبیل را به درستی بتوان کنترل و مدیریت کرد.
    Act SOX | Sarbanes Oxley : این قانون برای تمامی شرکت های عمومی و حسابرسی تدوین شدن است و در آن به صراحت عنوان شده است که شرکت هایی از این نوع بایستی اطلاعات مالی خود را بصورت گزارش های دقیق و دارای صحت به بازرسان مربوطه ارائه دهند. معمولا در تمامی این قانون ها گزینه ای به نام Act وجود دارد که به معنای انجام می باشد ، در این قانون هم منظور از Act در این است که شرکت های مربوطه بایستی فرآیند ها و کنترل هایی را پیاده ازی کنند که بتوانند اطلاعات مالی مشتریان خود را به درستی حفاظت کنند. تمامی شرکت ها موظف هستند که یک گزارش SOX از شرکت خود داشته باشند که در آن ریز عملیات امنیت انجام شده برای محافظت از اطلاعات مالی مشتریان ذکر شده باشد.
    GLBA | Gramm-Leach-Bliley Act : این قانون نیز برای هر شرکتی که در زمینه مالی فعالیت می کند صادق است و بیانگر این است که ، بایستی هر شرکت که محدوده فعالیت های آن امور مالی می باشد دستورالعمل ها و خط مشی هایی داشته باشد که بتواند اطلاعات غیر عمومی را از تهدیداتی که آنها را در بر گرفته اند محاظفت کند. این موضوع بسیار مهم است که یک فرآیند مدیریت امنیت وجود داشته باشد که بتواند کلیه اقدامات انجام شده مانند تلاش های دسترسی موفق و غیر موفق ، استفاده ، افشاء و دستکاری اطلاعات مشتریان را بررسی کرده و از دسترسی های غیر مجاز حفاظت کند. به زبانی دیگر شما اگر بخواهید این قانون را اجرا کنید بایستی بتوانید تمامی دسترسی های مجاز و غیر مجاز و کلیه فعالیت هایی که بر روی رکوردهای مشتریان شما انجام می شود را مانیتور یا پایش کرده و بتوانید از آنها گزارش تهیه کنید.
    این قوانین در بیشتر نقاط دنیا مرسوم و رایج هستند و مورد استفاده قرار می گیرند ، قوانین دیگری را می توانید به این موارد اضافه کنید که از جمله آنها می توان به FISMA Federal Information Security Management Act و PCI DSS Payment Card Industry – Data Security Standards و همچنین California’s Database Security Breach Notification Act اشاره کرد که فقط در این مقاله قصد معرفی اهداف آنها را داشتیم ، مشابه این قوانین در کشور ما ایران ، نیز وجود دارد و دولت برای هر یک از سازمان های مختلفی که داده های الکترونیکی دارند چنین قوانینی را منظور کرده است. تنها با پیاده سازی راهکارهای درست امنیت اطلاعات است که می توان به این قوانین به درستی عمل کرد .
    یکی دیگر از دلایل اهمیت امنیت اطلاعات این است که باعث ادامه روند کسب و کار شما می شود. زمانی که یک رخداد امنیتی در حوزه امنیت اطلاعات پیش می آید ممکن است باعث از بین رفتن منابع یا سرویس ها شود و همین دلیل باعث از کار افتادن و یا به تعویق افتادن روند کاری شرکت یا سازمان می شود . از کار افتادن سازمان یعنی هدر رفتن منابع و زمان و البته هزینه های زیاد ، بنابراین امنیت اطلاعات باعث صرفه جویی در زمان و منابع مالی شما می شود ، برخلاف تصوری که امنیت اطلاعات هزینه است در واقع یک سرمایه گذاری است . اگر بر اثر وقوع یک رخداد امنیتی شبکه یک بانک دچار اختلال شود قطعا ضررهای هنگفتی هم از نظر اعتباری و هم از نظر مالی به بانک وارد می شود ، اگر دیدگاه امنیتی در حوزه دسترسی پذیری از قبل برای این بانک دیده شود دیگر هدر رفتن منابع را نخواهند دید.
    امنیت اطلاعات را صرفا در سطح سازمان یا شرکت خود نبینید . این موضوع یک اولویت ملی و بین المللی محسوب می شود . با پیشرفت همه روزه حوزه های مختلف فناوری اطلاعات ، تکنولوژی های جدید در عرصه های مختلفی از جمله نیروگاه ها ، سد ها ، ریاکتور های هسته ای ، سیستم های بانکی ، سیستم های نظامی ، سیستم های حمل و نقل و سیستم های آبرسانی مورد استفاده قرار می گیرند. همانطور که قبلا هم اشاره کردیم همین تکنولوژی ها می توانند مورد حملات متععدی قرار بگیرند و باعث بروز فجایع ملی شوند. برخی از گروه های تروریستی هستند که به صورت فیزیکی شخصی را ترور نمی کنند بلکه با تکنولوژی باعث بروز وحشت و ترس در میان مردم می شوند. یکی از حملاتی که بصورت گسترده در بین کشورها وجود دارد به عنوان تروریسم سایبری یا Cyber terrorism شناخته می شود. در این نوع از حملات سازمان ها یا گروه های تروریستی از کارشناسان و نخبگان عملی در حوزه تکنولوژی استفاده کرده و به کشورها و اهداف مورد نظر خود حمله می کنند.
    اینگونه حملات معمولا بسیار پیچیده و بصورت برنامه ریزی شده انجام می شود. در بیشتر اوقات هدف از اینگونه حملات کاملا سیاسی بوده و بیشتر در راستای تخریب اطلاعات و داده های کشور مورد هجوم فعالیت می کنند. ایجاد رعب و وحشت ( Panic ) ، خشمگین کردن و آزار دادن و به وجود آوردن فجایع مالی و اطلاعاتی از دیگر اهداف تروریسم سایبری است ، همانطور که اشاره شد اهداف اصلی اینگونه حملات معمولا بانک ها ، ارگان ها نظامی ، نیروگاه ها ، سیستم های حمل و نقل و سیستم های آبرسانی و اتمی هستند.
    تروریسم سایبری یا Cyber Terrorims چیست
    در سالهای اخیر اینگونه حملات به شدت افزایش یافته است و کشور عزیز ما ایران نیز همه روزه مورد هجوم حملات تروریستی زیادی از این قبیل قرار میگیرد ، نمونه ای از حملاتی که می توان به آنها اشاره کرد ویروس هایی بوده که تا کنون با هدف تخریب منابع اطلاعاتی و تاسیسات اتمی ایران طراحی و ایجاد شده است ، Stuxnet و Wiper فقط نمونه ای از اینگونه حملات سایبری تروریستی بودند که بر روی تاسیسات اتمی ایران و همچنین شرکت ملی نفت ایران به وجود آمدند اما خوشبختانه موفقیت چندانی نداشتند.



  4. کاربرانی که از پست مفید حسنعلی ابراهیمی سعید سپاس کرده اند.


  5. #3
    همکار تالار نیروی نظامی وهوانوردی
    رشته تحصیلی
    تجربی
    نوشته ها
    2,617
    ارسال تشکر
    3,144
    دریافت تشکر: 2,553
    قدرت امتیاز دهی
    871
    Array

    پیش فرض پاسخ : امنیت اطلاعات

    قسمت سوم


    مهاجمین یا Attacker ها چه کسانی هستند ؟
    به عنوان یک کارشناس امنیت اطلاعات شما بایستی انواع مهاجمین را از هم تشخیص دهید. در نیروی انتظامی زمانیکه یک زورگیر یا قاتل یا کسی که چک برگشتی دارد را دستگیر می شود ، شیوه برخورد با هر کدام متفاوت است. در حوزه امنیت اطلاعات نیز مجرمان دارای طبقه بندی می باشند و هر کدام بر حسب نوع فعالیتی که انجام می دهند و خلافی که انجام داده اند رده بندی می شوند. برحسب این تنوع ، شما بایستی کنترلهای امنیتی مناسب را پیاده سازی کنید تا بتوانید با تهاجم آنها مقابله کنید. در حوزه امنیت اطلاعات مهاجمین به صورت کلی به شش نوع طبقه بندی می شوند ، در ادامه در خصوص هر یک از این نوع مهاجمین صحبت خواهیم کرد :
    هکر ها یا Hackers :
    تعریفی که در اکثر منابع در اینترنت از هکر وجود دارد این است:
    شخصی که از دانش کامپیوتر برای حمله کردن به کامپیوترها استفاده می کند ، اما این لفظ در حوزه امنیت اطلاعات چندان هم مرسوم نیست ، ما همیشه هکر ها را بصورت کلی به دو دسته خوب و بد تقسیم می کنیم ، به هکر هایی که هدف آنها کمک به پیدا کردن نقاط ضعف و شناسایی آنها می باشد و هدف تخریبی ندارند هکرهای خوب یا هکرهای کلاه سفید ( White hat ) گفته می شود و به هکر هایی که هدف آنها تخریب و سرفت اطلاعات و جاسوسی است در اصطلاح هکرهای بد یا کلاه سیاه ( Black Hat ) گفته می شود.

    جوجه هکر ها یا Script Kiddies :
    اینگونه افراد اصلا دارای مهارت واقعی در هک نیستند و صرفا هدف آنها تخریب است . با توجه به گسترش روز افزون دانش هک و امنیت اینگونه افراد به راحتی می توانند به منابع اطلاعاتی مورد نیاز خود دست پیدا کرده و با استفاده از ابزارهای گرافیکی ساده ای که برای عملیات های هک استفاده می شوند به اهداف خود نفوذ کنند. در بیشتر اوقات این افراد حتی نمیدانند واقعا چه کاری انجام داده اند و هیچ دانش فنی از کاری که انجام می دهند ندارند. امروزه افراد زیادی می توانند به ویدیوهای هک موجود در انواع وب سایت ها دسترسی پیدا کنند ، بر طبق آموزشی که در ویدیو مربوطه داده شده است یک حمله هکری را انجام دهند.
    امروزه اینقدر استفاده از ابزارهای هک راحت شده است که نرم افزارهای موجود با چند کلیک در محیط گرافیکی می توانند عملیات هک را انجام دهند. این موضوع باعث گسترش روز افزون اینگونه جوجه هکر ها شده است. جالب اینجاست بدانید که بیش از ۴۰ درصد حملات هکری که در سالهای اخیر صورت گرفته است توسط اینگونه افراد انجام شده است. هکر واقعی اهداف خود را تعیین می کند اما برای Script Kiddies ها هدف از قبل تعیین شده است . این جمله یعنی اینکه جوجه هکر ها نمی توانند اهدافی را که جدید هستند را مورد حمله قرار دهند ، برای مثال اگر در فیلم آموزشی هک یک وب سایت آموزش داده شده است ، صرفا همان عملیات را می توانند انجام دهند نه بیشتر ، اما یک هکر واقعی هدف را خودش تعیین می کند و برای آن برنامه ریزی و حمله می کند.
    جاسوس ها یا Spies :
    جاسوس های کامپیوتری یا Computer Spies افرادی هستند که استخدام می شوند تا بتوانند اطلاعات کامپیوترها را بصورت غیر مجاز به دست بیاورند. اینگونه افراد اطلاعاتی را به سرقت می برند که برای بدست آوردن آنها پول میگیرند. برای مثال اینگونه افراد اطلاعات حساس سازمانی را به سرقت می برند. هدف اصلی این افراد به سرقت بردن اطلاعات بدون جا گذاشتن رد پا از خودشان می باشد و برای اینکار هم دانش کامپیوتری مورد نیاز را دارند و هم بسیار خوب یاد گرفته اند که چگونه رد پاهای خود را حذف کنند. برای مثال شرکت X برای بدست آوردن اطلاعات مشتریان شرکت Y شخصی را به عنوان جاسوس استخدام کرده و هزینه آن را می پردازد.
    پرسنل و کارکنان خودی یا Insiders :
    کارکنان و پرسنل خودی ، پیمانکاران و شرکای تجاری به عنوان یکی از مهمترین و خطرناک ترین عاملین مهاجم به امنیت اطلاعات شناخته می شوند. جالب اینجاست بدانید که طبق آمار بدست آمده تا سال ۲۰۱۰ بیش از ۴۸ درصد حملات و مشکلات امنیتی از طرف اینگونه افراد صورت گرفته است. برای مثال در یک بیمارستان یک پرستار می تواند به اطلاعات سلامتی بیماران دسترسی داشته باشد و بر خلاف میل و قوانین سازمانی این اطلاعات را به سرقب ببرد و افشاء کند. این روزها در مراکز نظامی نیز چنین مشکلاتی معمول شده است ، افرادی که در سازمان های اطلاعاتی فعالیت می کنند بعد ها می توانند به دلایل مختلفی اطلاعات سازمان خود را افشاء کنند یا آن را به دست افراد فقاد صلاحیت برسانند.
    مثل های مختلفی در این خصوص وجود دارد که از جمله آنها می توانیم به کارکنان در حال اخراج سازمان اشاره کنیم ، این افراد می توانند بسیار خطرناک باشند ، چون چیزی برای از دست دادن ندارند ممکن است دست به هر کاری بزنند. اگر برنامه نویس باشند می توانند در همان وحله زمانی حضور خود در سازمان یک کد مخرب بنویسند که در زمان خاصی اجرا شده و اطلاعات سازمانی را تخریب کند ، اگر مسئول شبکه هستند می توانند اسکریپت هایی تولید کنند که بعد از خروج آنها از سازمان اجرا شده و اطلاعات را تخریب کند و هزاران ترفند دیگر ، در چنین مواقعی وجود خط مشی ها و کنترل های امنیتی مناسب می تواند باعث کاهش آسیب رسانی اینگونه افراد به سازمان شود که در آینده در خصوص آنها بیشتر صحبت خواهیم کرد.
    تبهکاران یا مجرمان سایبری یا Cybercriminal :
    اینگونه افراد معمولا گروهی و شبکه ای تهاجم را انجام می دهند. آنها برای اهداف خود برنامه ریزی می کنند و سپس از تکنیک های مختلف برای انجام حمله خود استفاده می کنند. شاید یک گروه تبهکار سایبری ماه ها برای انجام یک حمله برنامه ریزی کند ، از تکنیک های سرقت هویت ، Spam سازی ، تقلب ها و حیله های مالی و … استفاده کنند تا به هدف خود برسند. اینگونه حملات با حملات معمولی تا حدود زیادی تفاوت می کنند ، اینگونه حملات معمولا با انگیزه های بسیار قوی صورت می پذیرد ، در صورت مواجه شدن با چنین ریسک هایی معمولا صدمات زیادی به هدف حمله وارد می شود ، سرمایه گذاری بسیار زیادی برای اینگونه حملات انجام می شود.
    افرادی که در پس زمینه اینگونه حملات قرار دارند معمولا خیلی محکم بر روی به نتیجه رسیدن عملیات تهاجم خود تاکید می کنند. در بیشتر مواقع بزرگترین هدف این افراد و شبکه ها اهداف مالی است. بررسی ها نشان می دهد که معمولا اینگونه افراد مجموعه ای هدفمند از جوان های متخصص در امور کامپیوتر هستند که با یکدیگر تشکیل یک تیم را می دهند ، بیشتری گروه هایی از این نوع در در دنیا وجود دارد از اروپای شرقی ، آسیا و کشورهای جهان سوم تشکیل شده اند. یکی از معروف ترین کشورهایی که در زمینه هک و امنیت در سطح بالایی قرار دارد کشور هند می باشد ، به خاطر دارم یکی از دوستانم که به انواع حملات هک تسلط داشت ساکن کشور هند بود ، نکته جالب برای من در اینجا بود که وی با یک کامپیوتر پنتیوم II تمام این کارها را انجام می داد ، دانش این فرد در نوع خود مثال زدنی بود.
    تروریست های سایبری یا Cyber terrorists :
    همانطور که قبلا هم اشاره کردیم اینگونه حملات توسط افرادی با اهداف و انگیزه های ایدئولوژیکی ( جهانبینی و طرز نگرش ) انجام می شود. اینگونه مهاجمین بر اساس عقاید و باورهای خود به اهداف خود حمله می کنند و بعضا عملیات های خود را بصورت گروهی و برنامه ریزی شده انجام می دهند. برخی از دولت ها هستند که برای هجوم به کشورهای دیگر از این روش استفاده می کنند. در مقاله قبلی در خصوص این حملات توضیحات کاملی را ارائه دادیم.
    حملات و تدافع در مقابل حملات
    انواع و اقسام مختلفی از روش های حمله وجود دارد که همگی آنها دارای یک اصول اولیه تقریبا یکسان هستند . همانطور که در زمان جنگ هیچ عملیات نظامی بدون داشتن اطلاعات کافی از هدف و در نهایت برنامه ریزی برای حمله انجام نمی شد در حملات هکری و امنیتی نیز همین روال وجود دارد. برای انجام یک حمله هکری درست ابتدا تا جایی که امکان دارد در خصوص هدف اطلاعات بدست می آوریم ، این اطلاعات شامل اطلاعات نرم افزاری و سخت افزاری و یا حتی اطلاعات فردی مورد نیاز جهت حمله به هدف می باشد. در مرحله دوم حمله انجام می شود ، با توجه به اطلاعات به دست آمده حمله انجام می شود و در مرحله سوم هکر راه را برای نفوذ مجدد و بدون دردسر باز می کند ، در این مرحله تنظیمات امنیتی سیستم هدف توسط هکر تغییر می کند و در نهایت هکر آثار بازمانده از خود بر روی سیستم را حذف می کند. برای بدست آوردن اطلاعات بیشتر در این خصوص می توانید به مقاله زیر مراجعه کنید :
    مراحل انجام یک حمله هکری
    اما نکته اصلی در اینجاست که چگونه می توان حملات را کاهش داد یا حداقل تا حدودی در مقابل آن مقابله کرد ؟ ابتدا به یک نکته توجه داشته باشید که امنیت اطلاعات یک درجه بندی ثابت ندارد ، هیچوقت هیچ شبکه یا هیچ سیستم اطلاعاتی نمی تواند بصورت ۱۰۰ درصد ادعای امنیت داشته باشد ، چنین چیزی امکانپذیر نیست ، این جمله را مجددا از محمد نصیری به خاطر داشته باشید : اگر هکری بخواهد به سیستم شما نفوذ کند ، قطعا اینکار را می کند ، شما به عنوان یک کارشناس امنیت اطلاعات صرفا کار وی را دشوارتر می کنید. پنج گام برای برقراری امنیت برای شبکه و سیستم های اطلاعاتی شما وجود دارد که شامل لایه بندی یا Layering ، محدودسازی یا Limiting ، گوناگونی یا Diversity ، مبهم سازی یا Obscurity و ساده سازی یا Simplicity می باشد. در ادامه در خصوص هر یک از این گام ها بصورت مفصل صحبت خواهیم کرد.
    لایه بندی یا Layering
    امنیت اطلاعات بایستی بصورت لایه لایه پیاده سازی شود . امنیت تک لایه ای براحتی قابل نفوذ است و این روش محافظت تقریبا منسوخ شده است. عبور از لایه های امنیتی بیشتر کار مهاجم را سخت تر می کند. این دقیقا مثل امنیت برای یک خانه است ، شما اگر فقط برای خانه خود دیوار داشته باشید سارق می تواند از دیوار عبور کرده و وارد منزل شما شود ، اما اگر چند لایه امنیتی مثل قفل درب ها ، حفاظ درب ها ، سیم خاردار و … را ایجاد کنید برای سارق ورود به منزل شما دشوار تر خواهد شد. با لایه بندی کردن امنیت شما می توانید حملاتی که در لایه های مختلف انجام می شود را پوشش دهید ، استفاده از مدل مرجع OSI می تواند به عنوان یک مدل امنیتی جالب باشد ، اگر حمله ای در لایه نرم افزاری انجام شود و شما در آن لایه محافظتی نداشته باشید مهاجم براحتی نفوذ می کند ، اما فرض کنید شما از لایه فیزیکی امنیت را شروع کرده اید و در تمامی لایه ها مکانیزمهای امنیتی را پیاده سازی کرده اید ، در این حالت نفوذ کردن به هدف بسیار سخت تر خواهد بود. جامعترین روش برقراری امنیت همین لایه بندی امنیت می باشد.
    محدود سازی یا Limiting
    به عنوان کارشناس امنیت اطلاعات بایستی مطمئن باشید که کاربران شما دارای حداقل دسترسی های ممکن برای انجام کارها خود هستند. این یعنی اینکه هر کسی صرفا به اطلاعاتی دسترسی داشته باشد که قرار است دسترسی داشته باشد ، نه بیشتر و نه کمتر. این عمل باعث کاهش چشمگیر تهدیدات موجود در شبکه و سیستم های اطلاعات شما خواهد بود. روش های مختلفی برای به حداقل رساندن و محدود کردن کاربران شبکه وجود دارد ، ایجاد محدودیت برای کاربران کار ساده ای نیست ، شما نمی توانید صرفا از طریق فناوری و روش های فنی موجود این محدودیت ها را اعمال کنید . استفاده از تکنولوژی هایی مانند کنترل های دسترسی می تواند یکی از روش های فنی موجود باشد اما شما بایستی برای محدود کردن کاربران شبکه از موضع قدرت هم استفاده کنید ، استفاده از دستورالعمل ها و خط مشی های که از طرف مدیریت سازمان ارائه می شوند یک ابزار مدیریتی خوب برای اعمال محدودیت می باشد. شما هر چقدر هم که دانش فنی داشته باشید نمی توانید حریف پسرخاله مدیر شوید که خود را مدیر سیستم می داند و اینترنت وایمکس خود را همیشه به دنبال خود به سازمان می آورد.
    گوناگونی ، تنوع یا Diversity
    تنوع یکی از مواردی است که رابطه بسیار نزدیکی با لایه بندی یا Layering دارد. در طراحی لایه های امنیتی بایستی توجه کنید که مکانیزم های امنیتی موجود در هر لایه بایستی متفاوت از لایه های دیگر باشد و از تجهیزات یا نرم افزارهای امنیت مختلفی استفاده شود. این طراحی در کجا به چشم می آید ؟ فرض کنید که شما برای ورود به شبکه داخلی خود از اینترنت دو لایه امنیتی ایجاد کرده اید که در هر لایه یک فایروال قرار دارد ، اگر فرض کنیم که فایروال اول از نوع نرم افزاری و برای مثال TMG شرکت مایکروسافت باشد و فایروال دوم هم از همین نوع باشد ، اگر مهاجمی بتواند از نقطه ضعف بدست آمده در فایروال اول استفاده کند ، در گذر کردن از فایروال دوم مشکلی نخواهد داشت زیرا از همان نقطه ضعف بدست آمده می تواند استفاده کند. اما اگر در لایه اول TMG و در لایه دوم یک دستگاه Checkpoint استفاده شود طبیعتا درجه امنیتی بالاتر خواهد رفت .
    مبهم سازی یا Obscurity
    همانطور که قبلا هم اشاره کردیم مهاجمین برای اینکه بتوانند به درستی حملات خود را انجام دهند بایستی اطلاعات خوبی از هدف خود داشته باشند ، زمانی که صحبت از مبهم سازی یا Obscurity می کنیم بدین معناست که شما کاری می کنید که محیط داخلی شبکه و سرویس های موجود برای مهاجم قابل تشخیص نباشد . در این گام امنیتی شما مهاجم را گمراه می کنید و اجازه نمی دهید که هیچگونه جزئیاتی راجع به شبکه شما بدست بیاورد. فرض کنید که یک هکر قصد حمله به یک وب سایت را دارد ، اولین گام این است که تشخیص دهد وب سرور موجود بر روی وب سایت از چه نوعی است ؟ از چه نوعی سرور نرم افزاری یا سخت افزاری استفاده می شود ؟ از چه سیستم عاملی استفاده می شود و یا اینکه از چه نسخه ای از نرم افزار وب سایت استفاده می شود ، این اطلاعات می تواند به هکر کمک کند که حمله خود را بر اساس نوع هدف برنامه ریزی کند. در مبهم سازی هدف اصلی ما مخفی کردن این اطلاعات از دست مهاجمین است.
    ساده سازی یا Simplicity
    طبیعت امنیت اطلاعات پیچیده است ، سیستم های امنیتی معمولا دارای ساختارهای پیچیده ای هستند و همین موضوع باعث می شود که بسیاری از کاربران آنها دانش لازم برای استفاده درست از آن سیستم را نداشته باشند ، به همین دلیل سیستم امنیتی بصورت بهینه استفاده نمی شود ، توجه کنید که همیشه در طراحی سیستم های امنیتی ساده سازی را در نظر داشته باشید ، مکانیزمهای امنیتی زیاد و پیچیده باعث گنگ شدن و از طرفی کاهش کارایی و قابلیت عملیاتی سیستم می شوند. کاربران و پرسنل داخلی شما بایستی بتوانند به سادگی از ابزار های امنیتی استفاده کنند ، یک جمله از محمد نصیری بشنوید ، اگر استفاده از یک چوب را بهتر از استفاده از یک اسلحه تمام اتوماتیک بلد هستید ، در جنگ چوب کارایی بهتری خواهد داشت. برای خودتان ساختار ساده و برای مهاجمین ساختار را پیچیده جلوه دهید.
    نتیجه گیری
    در این سری از مقالات متوجه شدید که حملاتی که در حوزه امنیت اطلاعات انجام می شوند در سالهای اخیر روز به روز در حال گسترش و زیاد شدن بوده است ، متوجه شدید که دلایل مختلفی وجود دارند که پیاده سازی امنیت اطلاعات در سازمان و سیستم شما را دچار مشکل می کنندو با هم یاد گرفتیم که امنیت اطلاعات محرمانگی ، صحت و دسترسی پذیری منابع اطلاعاتی شما را حفظ می کند ، با استفاده از امنیت اطلاعات شما می توانید دارایی های اطلاعاتی خود را در برابر مهاجمین حفاظت کنید . اهداف امنیت اطلاعات جلوگیری از سرقت اطلاعات ، جلوگیری از افشای اطلاعات و همچنین جعل هویت و بسیاری دیگر از همین موارد عنوان شد. امیدوار هستم در ادامه مقالات بتوانیم مطالب جالبتری را به سمع و نظر شما برسانیم




  6. #4
    همکار تالار نیروی نظامی وهوانوردی
    رشته تحصیلی
    تجربی
    نوشته ها
    2,617
    ارسال تشکر
    3,144
    دریافت تشکر: 2,553
    قدرت امتیاز دهی
    871
    Array

    پیش فرض پاسخ : امنیت اطلاعات

    قسمت چهارم

    معرفی بدافزارها یا Malware ها و انواع آنها

    در این سری از مقالات شما با مفهوم بدافزار یا Malware و همچنین انواع بدافزارها و حملات مهندسی اجتماعی یا Social Engineering آشنا خواهید شد. در ادامه تفاوت بین ویروس و کرم ( Virus and Worm ) را متوجه خواهید شد ، کمی در خصوص بدافراهایی که تغییر شکل می دهند و خود را از شکلی به شکل دیگر تبدیل می کنند آشنا خواهید شد ، با انواع بدافزارهایی که برای رسیدن به اهداف مالی خود تلاش می کنند آشنا خواهید شد، با انواع ویروس ها و کرم های اینترنتی معروف آشنا خواهید شد و در نهایت شما می توانید انواع حملات مهندسی اجتماعی یا حملاتی که بدون نیاز به دانش فنی انجام می شوند را شناسایی و روش های مقابله با آنها را یاد بگیرید.
    حمله با استفاده از بدافزار
    در ابتدا بایستی بررسی کنیم که واژه بدافزار به چه معناست ؟ شما با واژه نرم افزار یا Software ، سخت افزار یا Hardware آشنایی دارید اما بد افزار چیست ؟ بدافزارها یا Malware ها در واقع نرم افزارهایی هستند که برعکس یک نرم افزار عادی که نیاز ما را برطرف می کند و به ما در جهت رسیدن به اهدافمان کمک می کند ، جهت تخریب یا سوء استفاده از کاربران نوشته شده است ، قطعا یک بدافزار در زیرمجموعه های یک نرم افزار قرار می گیرد ، با توجه به اینکه بد افزارها با استفاده از روش های معمول برنامه نویسی و با استفاده از کد نویسی ایجاد می شوند بنابراین آنها کدهای مخرب یا سوء استفاده کنند هستند.
    یک بدافزار چه می کند ؟ نرم افزارهای مخرب به نرم افزاری گفته می شود که در وهله اول بدون اینکه کاربر بداند بر روی سیستم قربانی یا هدف نصب و شروع به فعالیت می کنند و ممکن است در بسیاری مواقع کاربر از نصب شدن چنین نرم افزاری بر روی سیستم عامل خود اطلاع نداشته باشد. اینگونه نرم افزارها انواع و اقسام تخریب ها و سوء استفاده هایی را که فکر کنید را می توانند بر روی سیستم شما یا فرد قربانی انجام دهند ، هدف اصلی بدافزارها را می توان به صورت کلی به سه دسته تقسیم کرد : آلوده سازی سیستم ها ، مخفی ماندن و رسیدن به مقاصد یا اهداف از پیش تعیین شده و در نهایت بدست آوردن سود و منفعتی که قصد رسیدن به آن را دارند. بصورت کلی تمامی انواع بدافزارهایی که شناسایی شده اند در سه دسته بندی کلی قرار می گیرند که به ترتیب زیر می باشند :
    بدافزارهایی که تکثیر ( Spread ) می شوند

    بدافزارهایی که مخفی ( Conceal) می شوند

    بدافزارهایی که برای سازنده خود منفعت ( Profits ) دارند

    بدافزارهایی که تکثیر می شوند !
    منظور از منتشر شدن یعنی تکثیر شدن ، این نوع از بدافزارها به خودی می توانند از کدهای خود استفاده کرده و مثل یک ویروس همه جا را مبتلا کنند. معروفترین نوع از این نوع بدافزارها به نام ویروس یا بهتر بگوییم Computer Virus شناخته می شود. ویروس های کامپیوتری کدهای مخربی هستند که خودشان را بر روی همان کامپیوتری که بر روی آن قرار گرفته اند تکثیر می کنند. این نوع از کدهای مخرب روش های متنوعی برای آلوده کردن فایل ها و سیستم دارند که هر کدام را می توان بصورت جداگانه طبقه بندی کرد ، مهمترین روش های تکثیر ویروس ها به شکل زیر می باشد :
    روش اضافه کردن یا Appender : در این روش ویروس خود را به انتهای فایل ها می چسباند یا در اصطلاح فنی خود را در انتهای فایل مورد نظر Append می کند.فایل اجرایی ویروس همانطور که گفته شد در انتهای فایل طعمه قرار می گیرد . اما همین مقدار کفایت نمی کند ، ویروس با استفاده از تکنیک خاصی سه بایت ابتدای فایل آلوده را تغییر می دهد و در آن یک دستور پرش یا Jump به کد اصلی ویروس که در انتهای فایل قرار دارد ، قرار می دهد . حال با اجرا شدن فایل مورد نظر ابتدا ویروس اجرا می شود و سپس فایل آلوده اجرا می شود.
    روش آلوده سازی پنیر سوئیسی یا Swiss Cheese : حتما شما هم با کارتون های تام و جری زندگی کرده اید ، اگر دقت کرده باشید پنیرهایی که در این کارتون معروف استفاده می شد دارای سوراخ هایی زیادی بود که برخی اوقات به قدری زیاد می شدند که جری به راحتی می توانست در داخل این سوراخ ها مخفی شود. به این نوع پنیر در اصطلاح پنیر سوئیسی گفته می شود. در روش آلوده سازی پنیر سوئیسی ، ویروس ها کد خود را در درون کدهای فایل اجرایی تزریق می کنند . کد اصلی نرم افزار موجود در درون کدهای ویروس قرار می گیرد و بعد از اجرای فایل آلوده ابتدا ویروس اجرا شده و سپس فایل را اجرا خواهد کرد.
    روش آلوده سازی شکافته شدن یا Split : در این روش ویروس کدهای اجرایی خود را به چندین بخش تقسیم می کند و این قطعه کد ها را بصورت تصادفی در قسمت های مختلف کد اجرایی نرم افزار کاربردی مخفی می کند.نقطه شروع فایل اجرایی ویروس در ابتدای فایل قرار می گیرد و برای کنترل کردن سایر قسمت های کد مخربی استفاده می شود که در فایل تقسیم شده اند ، با اجرا شدن فایل ، ابتدا کد کنترلری ویروس اجرا شده و قطعات را به هم می چسباند و کد مخرب اجرا می شود.
    زمانی که نرم افزار آلوده شده با کد ویروس اجرا می شود ، ویروس خود را با چسباندن و گسترش دادن به سایر فایل های موجود بر روی همان کامپیوتر تکثیر می کند و سپس کد مخرب خود را به سرعت فعال می کند . معمولا ویروس ها بعد از اجرا شدن بر روی سیستم ها اثراتی از خود نشان می دهند برای مثال یک پیام تهدید آمیز یا اطلاع رسانی برای کاربر نمایش می دهند. البته این موضوع کاملا به نوع ویروسی که بر روی کامپیوتر اجرا می شود وابستگی دارد و هر کدام از آنها تخریبی از نوع خود را انجام می دهند. برخی از ویروس ها باعث Crash کردن یا هنگ گردن سیستم می شوند ، برخی هارد درایو شما را فرمت می کنند و یا فایل های شما را حذف می کنند ، برخی دیگر تنظیمات و تهمیدات امنیتی انجام شده بر روی سیستم عامل شما را عوض می کنند و بسیاری از موارد مشابه دیگر. نکته بسیار مهم در خصوص ویروس ها این است که آنها نمی توانند بصورت خودکار از کامپیوتری به کامپیوتری دیگر تکثیر شوند ، انتشار ویروس کاملا به فعالیت هایی دارد که کاربر با آن انجام می دهد ، ویروس ها به فایل ها متصل می شوندو تنها با استفاده از انتقال فایل آلوده است که کامپیوتر دیگری نیز آلوده می شود.
    ویروس ها از نظر نوع کاری که بر روی سیستم عامل انجام می دهند به انواع و اقسام مختلفی طبقه بندی می شوند که از آن جمله می توان به ویروس های نرم افزاری که به فایل اجرایی نرم افزارها متصل می شوند ، ویروس های ماکرو که یک اسکریپت را اجرا می کنند ، ویروس های رزیدنت که با باز کردن فایل ها و یا سیستم عامل شروع به فعالیت می کنند ، ویروسهای بوت که قسمت Master Boot Record یا MBR سیستم را دچار اختلال می کنند ، ویروس های رترو که دیتابیس آنتی ویروس ها را مورد هجوم قرار می دهند اشاره کرد ، در صورت نیاز به اطلاعات بیشتر می توانید به مقاله زیر مراجعه کنید :
    معرفی انواع ویروس های کامپیوتری
    اما نوع دیگری از کدهای مخرب تکثیر شونده وجود دارد که به نام کرم یا Worm شناخته می شود. تفاوت این نوع برنامه مخرب با ویروس ها در این است که این نوع کد مخرب می تواند از نقاط ضعف موجود بر روی نرم افزارهای کاربردی و سیستم عامل ها برای سوء استفاده و رسیدن به اهداف خود استفاده کند. این نوع کد مخرب می تواند بدون نیاز به فایل میزبان خود را توسط شبکه تکثیر کرده و در یک شبکه بزرگ تکثیر شود. Worm ها می توانند منابع سیستم را تا حد زیادی استفاده کنند و از ترافیک زیادی را در شبکه شما ایجاد کنند ، Worm ها نیز می توانند همانند ویروس ها هر گونه تخریبی که نویسنده آن مد نظر داشته باشد را بر روی سیستم شما انجام دهند ، از جمله اینکه می توانند فایل های شما را حذف کرده و یا اینکه دسترسی از راه دور را برای مهاجم به کامپیوتر شما فراهم کنند.
    بدافزارهایی که مخفی می شوند !
    ویروس ها هم ممکن است سعی کنند خود را از دید کاربر پنهان کنند اما برخی از بدافزارها وجود دارند که بصورت ویژه ای طراحی شده اند تا کارهای خود را بصورت مخفی انجام دهند. تروجان ها یا اسب های ترو ا ، Rootkit ها ، Backdoor ها و Logic Bomb ها از انواع این نوع کدهای مخرب هستند. تروجان یا اسب تروا نرم افزار مخربی است که خود را به جای یک نرم افزار سالم و کاربردی جا می زند و کاربر فریب خورده و آن را اجرا و نصب می کند. اینگونه کدهای مخرب به نرم افزارهای کاربردی مفید متصل می شوند و کدهای خود را مخفی می کنند ، به محض اجرا نرم افزار مربوطه این کد مخرب نیز خود را اجرا کرده و به سیستم عامل حمله می کند. برخی اوقات تروجان ها می توانند خود را به عنوان فایل داده یا فایل اطلاعات نیز معرفی کنند. تروجان ها معمولا خود را به عنوان نرم افزارهای کاربردی رایگان در اینترنت معرفی می کنند ، نمونه بارزی از تبلیغات در اینترنت را می توانید به این روش مشاهده کنید ، برای مثال تبلیغی مثل نرم افزار دانلود رایگان می تواند مستعد وجود یک تروجان در این نرم افزار باشد. معمولا کاربرد تروجان ها معمولا اسکن کردن سیستم برای بدست آوردن اطلاعات شخصی و شماره کارت های اعتباری و رمزهای عبور و انتقال این اطلاعات به مهاجم می باشد.
    RootKit چیست ؟
    Rootkit ها از انوع دیگر کدهای مخرب مخفی شونده هستند ، این نوع از کدهای مخرب تا حدود زیادی ساختار کاریشان مشابه ساختار کاری تروجان ها و Backdoor ها می باشد با این تفاوت که کدهای خود را با کدهای سیستم عامل ترکیب می کنند و در برخی اوقات فایل های خود را جایگزین فایل های سیستم عامل می کنند ، این نرم افزارها می توانند فعالیت هایی که هکر انجام می دهد را براحتی مخفی کرده و عملیات های تخریبی خود را انجام دهند زیرا سیستم عامل به آنها شکی نمی برد. این نوع بدافزار تمامی لاگ های سیستم و یا رکوردهای مورد نظر مهاجم را می تواند حذف کند و بصورت ویژه برای مخفی نگاه داشتن فعالیت های یک هکر مورد استفاده قرار می گیرد. با توجه به اینکه این نوع بدافزارها می توانند خود را جایگزین فایل های سیستمی کنند بنابراین شناسایی آنها بسیار بسیار دشوار است و همیشه برای راه درمان پیشنهاد می شود که از راهکارهای SIV استفاده شود. Rootkit ها در درجه اول مخفی کاری در میان بدافزارها قرار می گیرند. سریعتری راهکار برای از بین بردن Rootkit ها نصب مجدد سیستم عامل یا فرمت کردن کامل هارد دیسک کامپیوتر می باشد.
    Logic Bomb و Backdoor ها چه هستند ؟
    Logic Bomb یا بمب های منطقی بدافزارهایی هستند که ممکن است چندین ماه یا حتی سال بدون انجام هیچگونه عملیات خاصی بر روی سیستم عامل هدف وجود داشته باشند و ساکت باقی بمانند. اینگونه بدافزارها به انجام شدن عملیات یا حرکت خاصی بر روی سیستم عامل توسط کاربر یا خود سیستم حساس هستند و به محض وقوع آن اتفاق شروع به فعالیت و اجرا خواهند کرد. شناسایی اینگونه بدافزارها قبل از اجرا بسیار سخت است زیرا عملی انجام نداده اند که بتوان از طریق آن ، آنها را شناسایی کرد. نوع دیگری از بدافزارها وجود دارد که بنام درب پشتی یا Backdoor شناخته می شوند ، این نوع از بدافزارها معمولا از نقاط ضعفی استفاده می کنند که برنامه نویس ها برای وارد کردن یا بروز کردن نرم افزارهای خود از آنها استفاده می کنند. برای مثلا یک برنامه نویس تا عرضه کردن نسخه نهایی نرم افزار خود چندین نسخه آزمایش ارائه می کند که در هر کدام از آنها برای اینکه بتواند در مراحل بعدی کد جدید را براحتی وارد کند و نرم افزار را بروز کند یک راه مخفی تعبیه می کند ، همین راه مخفی دقیقا چیزی است که مهاجم به آن نیاز دارد و به آن Backdoor گفته می شود. Backdoor ها تمهیدات امنیتی اصلی نرم افزارها را دور می زنند. توجه کنید که برنامه نویس قصد دارد تا در نسخه نهایی این Backdoor را حذف کند اما …
    بدافزارهایی که برای سازنده خود سود دارند !
    برخی از بدافزارها وجود دارد که بصورت ویژه برای سود رسانی به مهاجمین ایجاد شده اند. از انواع این بدافزارها می توان به Botnet ها ، Spywareها ، Adware ها و KeyLogger ها اشاره کرد.شاید در این میان ساختار Botnet ها از همه چیز جالبتر باشد ، در ساختار Botnet ها یک یا چند کامپیوتر توسط یک نرم افزار مخرب یا همان بدافزار آلوده می شود به گونه ای که این سیستم در آینده تابع دستوراتی خواهد بود که از طرف کامپیوتر مهاجمین صادر می شود. معمولا کاربرد Botnet ها در انتشار ویروس ها ، Worm ها و Trojan ها بسیار محسوس است ، به کامپیوتر آلوده شده در این شبکه در اصطلاح فنی مرده متحرک یا Zombie گفته می شود. در واقع مجموعه ای از Zombie ها هستند که تشکیل یک Botnet را می دهند.
    در گذشته مهاجمینی که از Botnet ها استفاده می کردند از شبکه های چت آنلاینت یا همان IM ها استفاده زیادی می کردند و براحتی می توانستند Zombie ها را کنترل کنند.اما امروزه از پروتکل های دیگری مانند HTTP هم استفاده می شود. اما ممکن است از خود سئوال کنیم که کاربرد یا مزیت وجود Botnet ها برای هکرها یا مهاجمین چیست ؟ در ابتدا توجه کنید که این شبکه در پس زمینه یا Background وجود دارد و Zombie ها از وجود چنین شبکه هایی بی خبر هستند و این بزرگترین مزیت برای مهاجمین می باشد تا به اهداف بعدی خود برسند . این شبکه ها می توانند تا چندین سال بر روی سیستم کلاینت فعالیت کنند بدون اینکه ردی از خودشان به جای بگذارند ، مهاجم می تواند از این شبکه برای بالا بردن آمار بازدید وب سایت ها ، ارسال اسپم و ایمیل های تبلیغاتی ، انجام حملات DDOS بر روی سرورهای قربانی و بسیاری دیگر از اینگونه اهداف استفاده کند.
    Spyware یا جاسوس افزار چیست ؟
    Spyware مخفف کلمه Spy و Software می باشد و همانطور که از معنی کلمات پیدا است به معنای نرم افزار جاسوسی می باشد. اینگونه نرم افزارها بدون اطلاع کاربر اطلاعاتی در خصوص کاربر یا هر چیزی که می توانند را بدست آورده و برای مهاجم ارسال می کنند. کاربرد Spyware ها معمولا در زمینه های تبلیغات ، جمع آوری اطلاعات شخصی و اعمال تغییرات بر روی کامپیوترها می باشد . Spyware ها علاوه بر موارد ذکر شده یک سری تاثیرات منفی نیز بر روی سیستم قربانی دارند که از آن جمله می توان به پایین آمدن کارایی سیستم ، کم شدن ثبات نرم افزار ها ، اضافه شدن و نصب شدن Toolbar های عجیب و غریب بر روی مرورگرها ، ایجاد شدن Shortcut های عجیب بر روی سیستم ، عوض شدن صفحه Home Page مرورگرها و باز شدن صفحات Pop-up اشاره کرد.
    Adware یا تبلیغات افزار چیست ؟
    Adware مخفف کلمات Advertisement یا تبلیغات و Software یا نرم افزار می باشد . اینگونه بدافزارها بر روی سیستم های هدف تبلیغات ناخواسته ایجاد می کنند. معمولا تبلیغات این بدافزار به شکل نمایش بنر ها و یا صفحات Pop-Up می باشد و در برخی اوقات صفحات اینترنتی را مرتب و پشت سر هم باز می کنند ، یکی از کارهایی که Adware ها می توانند انجام دهند دنبال کردن فعالیت هایی است که کاربر بر روی سیستم انجام می دهد ، به ویژه فعالیت های آنلاینی که توسط شخص انجام می شود. اینگونه بدافزارها واقعا می تواند کاربران را عصبی و ناراحت کند و همچنین می توانند سیستم کاربر را به اندازه زیادی کند کنند و از فعالیت عادی کاربر جلوگیری کنند.
    Keylogger چیست ؟
    Keyloggey از دو کلمه Keyboard و Logger تشکیل شدن است و بدافزاری است که کلیه کلید هایی که کاربر بر روی کیبورد خود فشار می دهد را در قالب یک فایل ذخیره می کند. این اطلاعات بعد ها می تواند برای مهاجم ارسال شود و توسط وی مورد استفاده قرار بگیرد ، در استفاده از این نوع بدافزارها معمولا مهاجم به دنبال اطلاعات قابل استفاده و مفیدی از جمله رمزهای عبور ، اطلاعات و شماره های کارت های اعتباری ، اطلاعات شخصی و … می باشد. توجه کنید که Keylogger ها می توانند در قالب سخت افزار نیز وجود داشته باشند که در انتهای کیبورد شما متصل شده و اطلاعات را ثبت و ضبط می کنند ، این اطلاعات بعد ها می تواند توسط هکر مورد استفاده قرار بگیرد.
    نتیجه گیری
    در این مقاله شما با واژه بدافزار و انواع آن از لحاظ روش های تکثیر و عملکرد آشنا شدید ، با مهمترین تکنیک هایی که بدافزارها برای سوء استفاده از کاربران استفاده می کنند آشنا شدید و در این لحظه دیگر قادر هستید بین بدافزارهای مختلف تفکیک قائل شوید ، شاید قبل از خواندن این مقاله همه انواع بدافزار را به عنوان ویروس می شناختید اما از این به بعد تفاوت هرکدام را به درستی درک می کنید ، در ادامه این سری مقالات شما در مقاله بعدی با مبحث حملات مهندسی اجتماعی یا Social Engineering آشنا خواهید شد.


  7. کاربرانی که از پست مفید حسنعلی ابراهیمی سعید سپاس کرده اند.


  8. #5
    همکار تالار نیروی نظامی وهوانوردی
    رشته تحصیلی
    تجربی
    نوشته ها
    2,617
    ارسال تشکر
    3,144
    دریافت تشکر: 2,553
    قدرت امتیاز دهی
    871
    Array

    پیش فرض پاسخ : امنیت اطلاعات

    قسمت پنجم
    حملات مهندسی اجتماعی و انواع آنها
    تا این قسمت از سری مقالات امنیت اطلاعات در خصوص انواع حملات صحبت کردیم اما همانطور که خود می دانید برای انجام چنین حملاتی به سیستم قربانیان نیاز به داشتن دانش فنی نسبتا خوبی در زمینه کامپیوتر و فناوری اطلاعات می باشد. با این اوضاع کسی که دانشی در زمینه فناوری اطلاعات نداشته باشد نمی تواند به عنوان یک مهاجم یا هکر شناخته شود ، اما در این مقاله می خواهیم در خصوص یکی از رایج ترین روش های هک صحبت کنیم که بدون نیاز به داشتن هرگونه دانش فنی در خصوص فناوری اطلاعات قابل اجرا می باشد. به اینگونه حملات در اصطلاح فنی Social Engineering یا مهندسی اجتماعی گفته می شود. مبانی اینگونه حملات بسیار ساده است ، در اینگونه حملات به جای اینکه سیستم ها مورد هدف قرار بگیرند ، افراد بصورت مستقیم مورد هدف قرار می گیرند.
    منطق این حملات بسیار ساده است : اگر در خصوص چیزی اطلاعاتی می خواهید ، سئوال کنید …. انجام اینگونه حملات در اثر بعد روانشناسی به نام اعتماد است که پرسنل یا افراد به دیگران می کنند. در اینگونه حملات مهاجمین از طریق ایجاد روابط صمیمی و دوستانه خود را به هدف خود نزدیک می کنند ، آنها سعی بر آن دارند که اعتماد قربانی را جلب کنند. بعد از اینکه اعتماد قربانی جلب شد از وی درخواست اطلاعات یا کاری را می کنند که به آن نیاز دارند ، معمولا افرادی که با چاپلوسی و لاس زنی و زبان بازی میانه خوبی دارند می توانند در انجام اینگونه حملات موفق باشند. اینگونه مهاجمین ابتدا سعی می کنند خود را به شما از لحاظ فکری و کلامی نزدیک کنند و در ادامه با شما دوست شوند ، سپس از شما درخواست اطلاعات می کنند هر چند در وهله اول این اطلاعات ممکن است کم و بی ارزش به نظر برسد ، اینگونه مهاجمین معمولا به یک فرد اکتفا نمی کنند و همین عملیات روانی را با چندین نفر مختلف انجام می دهند تا در نهایت بتوانند اطلاعات بیشتری بدست بیاورند ، معمولا درخواستشان را به گونه ای به شما ارائه می دهند که برای شما قابل باور باشد.
    برای اینکه درک بهتری از انواع حملات مهندسی اجتماعی داشته باشید به سراغ یک مثال عملی می رویم ، شخصی به درب سازمان شما مراجعه می کند و از نگهبان می خواهد که با مدیر سازمان ملاقات کند ، یا اینکه نامه ای دارد که برای مدیر سازمان می باشد و بایستی شخصا توسط وی مفتوح شود ، نگهبان به وی می گوید که آقای X امروز در سازمان نمی باشد و برای ماموریت به فلان شهرستان رفته است ، مهاجم این خبر را به همکاران خود می دهد ، آنها با شماره داخلی سازمان به ویژه شما واحد فناوری اطلاعات تماس می گیرند و خود را به عنوان مدیر عامل سازمان معرفی می کنند ، بعد از معرفی به مسئول مربوط می گویند که قصد ورود به ایمیل سازمانی خود را دارند و ظاهرا رمز را فراموش کرده اند و هر چه سریعتر بایستی به یک نامه حساس سازمانی دسترسی پیدا کنند ، مسئول مربوطه برای وی رمز را ریست می کند و رمز را به مهاجم اعلام می کند …. آیا در این حمله نیازی به داشتن دانش فنی بود ؟ روش های متعددی برای انجام حملات مهندسی اجتماعی وجود دارد که شما فقط با یکی از آنها در این مورد آشنایی پیدا کردید ، انواع روش های حمله به روش مهندسی اجتماعی به شرح زیر می باشند :
    جعل هویت یا Impersonation
    در این نوع حمله مهاجم هویت شخصی که شما از وی شناخت دارید را جعل کرده و خود را به جای وی جا می زند . مثالی که در پاراگراف قبلی عنوان شد نمونه ای از جعل هویت بود . موارد بسیاری از این نوع را می توان در فعالیت های روزمره کاربران مشاهده کرد ، کسانی که خود را به عنوان پشتیبان شبکه سازمان معرفی می کنند و از شما می خواهند که نام کاربری و رمز عبورتان را در اختیارشان قرار دهید تا آن را برای شما ریست کنند ، کسانی که خود را به عنوان تعمیرکار ساختمان یا سیستم معرفی می کنند و با این روش می توانند از بسیاری از پارامترهای امنیتی شما عبور کنند ، کسانی که خود را از دوستان شخصی معرفی می کنند که شما وی را می شناسید یا به او اعتماد دارید و بسیاری دیگر از موارد مشابه … در این مواقع به کاربران خود همواره آموزش دهید که تا در خصوص فرد مورد نظر اطلاعات دقیق بدست نیاورده اند ، اطلاعاتی در اختیار آنها قرار نداده و یا اینکه به درخواست های آنها توجه نکنند.
    فیشینگ یا Phishing
    در اینگونه حملات که بیشتر توسط ایمیل انجام می شود ، برای شما ایمیلی ارسال می شود که در آن از طرف بانکی که شما در آن حساب سپرده دارید درخواست شده است که نام کاربری و رمز عبور خود را در کادر مشخص شده وارد کنید تا حساب شما فعال شود و یا اینکه هر درخواستی مبنی بر وارد کردن اطلاعات شخصی کاربران را از طریق ایمیل از شما می خواهند. اینگونه ایمیل ها معمولا به گونه ای طراحی می شود که به ظاهر از طرف سایت معتبر و قانونی ارسال شده است و دارای محتوای قانونی نیز می باشد ، برای مثال لوگوی بانک مربوطه را در ایمیل قرار می دهند و یا اینکه از ادبیاتی استفاده می کنند که برای کاربر به عنوان ادبیات مرسوم ارتباطات بانکی شناخته می شود و بدین ترتیب از کاربران غیر مطلع می توانند اخاذی کنند. در خصوص این نوع از حملات توجه کنید که ایمیل هایی که از شما درخواست اطلاعات فردی یا بانکی یا هرگونه اطلاعات مشابه را می خواهند را حتما توسط سایت مرجع اصلی بررسی کنید و از وارد کردن اطلاعات شخصی در چنین ایمیل هایی خودداری کنید ، البته راهکارهای دیگری نیز وجود دارد که در ادامه در خصوص آنها صحبت خواهیم کرد. حملات Phishing انواع و اقسام مختلفی دارند که در ادامه به معرفی برخی از آنها می پردازیم.
    فارمینگ یا Pharming
    در حملات فیشینگ عادی ، مهاجم برای شما یک فرم ارسال اطلاعات می فرستد که شما اطلاعات را در آن وارد کنید و به نوعی می توان گفت حملات نوع فیشینگ حملاتی غیر فعال یا Passive هستند ، اما در برخی از این حملات مهاجم با استفاده از یک لینک وب سایت که به ظاهر به وب سایت اصلی بانک یا مرجع مورد نظر متصل است شما را فریب می دهد و یک وب سایت جعلی مشابه وب سایت اصلی طراحی و به شما برای وارد کردن اطلاعات معرفی می کند ، اینگونه حملات معمولا از تکنیک های هکینگ سرویس DNS برای جعل آدرس وب سایت استفاده می کنند که معمولا با استفاده از دستکاری فایل Hosts موجود بر روی سیستم شما و یا نقاط ضعفی که بر روی سرور DNS وجود دارد انجام می شود. شناسایی اینگونه حملات برای افراد عادی کمی دشوار است اما همیشه توجه کنید که ضمن توجه به آدرس دقیق وب سایت مراجعه شده ، آدرس IP آن نیز مورد تایید و درست باشد.
    فیشینگ هدفمند یا Spear Phishing
    فیشینگ ها اغلب بصورت تصادفی و همگانی انجام می شوند اما در نوع خاصی از حملات فیشینگ که فیشینگ هدفمند یا Spear Phishing نامیده می شود ، مهاجم ابتدا در خصوص افراد هدفی که می خواهد به آنها حمله کند اطلاعاتی بدست آورده و با استفاده از این اطلاعات بدست آمده حمله خود را انجام می دهد ، معمولا اینگونه حملات با توجه به اینکه شناخت بهتری از هدف وجود دارد بیشتر جواب می دهند.
    Whaling Phishing
    این نوع حمله تا حدود زیادی مشابه حملات فیشینگ هدفمند است با این تفاوت که به جای اینکه اهداف عادی را در نظر بگیرد افراد ثروتمند و پرنفوذ را مورد حمله قرار می دهد ، برای مثال شخصی می خواهد از رئیس جمهور یک کشور یا مدیر عامل یک سازمان دولتی اطلاعات اعتباری یا مالی بدست بیاورد ، به این نوع حملات Whaling گفته می شود ، منظور از Whale در اینجا همان وال یا نهنگ می باشد و استعاره از این است که در این نوع حملات طعمه ها افراد بزرگ و پر نفوذ هستند . اگر شخص پر نفوذ و ثروتمندی نیستید پس چندان نگران اینگونه حملات نباشید ، جیب خالی از این حملات در امان است .
    Vishing
    واژه این نوع حمله از دو کلمه تشکیل شده است Voice و Phishing ، در این نوع حمله مهاجم با استفاده از تلفن با قربانی تماس گرفته و از وی می خواهد که برای تکمیل اطلاعات بانکی خود با یک شماره تلفن تماس بگیرد ، بعد از پایان یافتن تماس ، قربانی با شماره مورد نظر تماس می گیرد و شخص مهاجم یا همدست وی از قربانی شماره و مشخصات مورد نیاز را دریافت می کند ، توجه کنید که ممکن است در طرف مقابل برای جلب اعتماد شما یک دستگاه خودکار پاسخگوی تلفن راه اندازی شده باشد ، بدین ترتیب اطلاعات حساس بانکی افراد دچار مشکل خواهد شد. این نوع حملات از طریق سامانه های پیامک نیز امروزه در کشور ها بسیار رایج شده اند ، توجه کنید هیچوقت اطلاعات حساس اعتباری و مالی خود را در اختیار افرادی که خود را مجاز معرفی می کنند قرار ندهید مگر اینکه از هویت شخص اطمینان حاصل کرده باشید.
    روش های شناسایی انواع فیشینگ
    تا اینجا با چند نوع از این حملات آشنا شدیم ، بهتر است کمی هم در مورد روش های شناسایی آنها صحبت کنیم ، بیشتر مد نظر ما مقابله در خصوص حملات فیشینگ است . توجه کنید که لینک هایی که در این نوع ایمیل ها استفاده می شود به شکلی جالب فریبنده و شبیه به لینک های قانونی وب سایت اصلی هستند ، اما معمولا در این میان از علامت @ بسیار استفاده می شود که می تواند باعث شناسایی این لینک های جعلی باشد. توجه کنید که معمولا لوگوهای سایت های معتبر که از طریق ایمیل برای شما ارسال می شوند به سایت اصلی لینک شده اند ، این موضوع قطعی نیست اما می تواند باعث شناسایی ایمیل جعلی بشود ، به آدرس های ایمیل فرستنده توجه کنید ، معمولا ایمیل هایی که از طرف وب سایت معتبری ارسال می شوند دارای ساختار مرتب و منظمی می باشند ، برای مثال اگر شما ایمیلی از طرف وب سایت انجمن تخصصی فناوری اطلاعات ایران دریافت کردید که به این شکل بود ( notification-reporing@itproo.ir ) ابتدا این موضوع رو بررسی کنید که آیا لینک وب سایت دقیقا همانی است که اشاره شده است ؟ در این مثال آدرس اصلی itpro.ir است و ایمیل itproo.ir که با اضافه شدن یک حرف o توانسه کاربر را گول بزند ، از طرفی ایمیل های اطلاع رسانی معمولا یک کلمه ای و خلاصه هستند برای مثال notify@itpro.ir یک ایمیل درست اطلاع رسانی است. توجه کنید که اینگونه ایمیل ها از شما درخواست های آنی می کنند ، یعنی تلاش دارند در کمترین زمان ممکن از شما اطلاعات دریافت کنند بنابراین از کلماتی مثل آخرین مهلت ، به سرعت اقدام شود ، در سریعترین زمان ممکن و …. استفاده می کنند که روش شناسایی اینگونه ایمیل ها نیز می باشد.
    اسپم یا Spam
    اسپم ها ایمیل های ناخواسته ای هستند که برای شما ارسال می شوند و می توانند واقعا در نقش یک ابزار تخریبی برای قربانی نقش آفرینی کنند. اولویت کاری و هدف اصلی یک اسپم انتشار بدافزارها و کدهای مخرب می باشد اما امروزه ارسال ایمیل های تبلیغاتی به عنوان یک تجارت رایگان در جهان گسترش یافته است که به اینگونه تجارت نیز Spamming گفته می شود ، در خصوص اسپم و تکنیک های مورد استفاده در آن می توانید به نکته ای که خودم در قسمت نکات انجمن تخصصی فناوری اطلاعات ایران قرار داده ام به این آدرس مراجعه کنید و اطلاعات بیشتری بدست بیاورید. اسپمر یا Spammer ها کسانی هستند که اسپم ارسال می کنند ، آنها هر روشی که بتوانند را استفاده می کنند تا بتوانند پیام ها و کدهای مخرب خود را گسترش دهند ، یکی از روش های دیگری که در اسپم ها استفاده می شود استفاده از سرویس های Instant Messaging مانند Yahoo Messenger و امثال نها می باشد که در اصطلاح فنی به آن اسپیم یا Spim گفته می شود.
    روش های متنوعی برای ارسال اسپم وجود دارد که برخی از این روش ها بسیار مرسوم هستند که از آن جمله می توان به اسپم های تصویری یا Image Spam’s اشاره کرد ، در این نوع اسپم تصویری حاوی متن های زیاد برای افراد ارسال می شود که هر کدام از این متن ها می توانند سیستم های فیلترینگ اسپم را دچار ابهام کنند ، این کد ها به محض اینکه کاربر مورد نظر بر روی آنها کلیک کند فعال شده و کاربر را فریب می دهند. برخی اوقات پیش می آید که محتوای متنی اینگونه ایمیل ها کاملا بی معنی و چرت و پرت است و از این حالت متن می توان به مخرب بودن آن پی برد. تکنیک GIF Layering یکی از تکنیکهای رایج در ارسال ایمیل های حاوی تصاویر و اسپم می باشد ، تصاویر GIF می توانند حالت متحرک داشته باشند و در لایه های مختلف خود چندین تصویر را ذخیره کنند ، مجموع تمامی لایه ها در نهایت باعث نمایش یک تصویر واحد می شود ، اسپمر ها از این ترکیب لایه ها برای مخفی کردن کدها یا لینک های خود استفاده می کنند. یکی دیگر از تکنیکهای مورد استفاده توسط اسپمرها شکستن کلمات بصورت افقی یا Word Splitting می باشد که کلمات از وسط به دو نمی تقسیم می شوند اما همچنان توسط چشم انسان قابل تشخصی می باشند ، این روشی دیگر برای جلوگیری از تشخیص داده شدن توسط سیستم های فیلترینگ اسپم می باشد. آخرین روش مورد استفاده به نام مغایرت هندسی یا Geometric Variance شناخته می شود ، در این نوع تکنیک اسپمر هر بار شکل و ظاهر متن یا تصاویر را بصورت تصادفی عوض می کند تا از شناسایی توسط سیستم های تشخیص اسپم در امان بماند. روش های دیگری نیز وجود دارند که به امید خدا در مقاله ای جداگانه به آنها خواهیم پرداخت.
    هوکس یا Hoax
    اینگونه مهندسی های اجتماعی را بیشتر در رده بندی آزار و اذیت قرار می دهند تا انتشار کدهای مخرب و تخریب سیستم ها ، در این نوع از حملات معمولا برای شما نامه ای ارسال می شود که در خصوص موضوعی جعلی اطلاع رسانی کرده است و از شما می خواهد که این موضوع را به دیگران و تمام کسانی که می شناسید اطلاع رسانی کنید ، در برخی موارد ممکن است از Hoax ها برای انجام مراحل اولیه حملات هکری استفاده شود اما اینکار چندان مرسوم نیست ، برای مثال برای شما ایمیلی می آید که شخصی در فلان کشور قصد دارد تمامی ثروت خود را به متخصصان شبکه اختصاص دهد و از شما می خواهد که این پیام را به تمامی دوستان خود که متخصص شبکه هستند ارسال کنید ، یا اینکه نامه ای می فرستد که سرو ته آن مشخص نیست و فقط در آن عنوان می شود که این نامه را به دوستانتان ارسال کنید ، فلانی بی توجهی کرد فلان شد ، البته من هر چقدر سعی کردم اصل این نامه را بدست بیاورم موفق نشدم ، اما هدف کسانی که Hoax ارسال می کنند بیشتر ایجد ترافیک بی هدف برای سرویس های ایمیل است ، فراموش نکنید ، پیام های بی هویت را به دوستان خود Forward نکنید. از محمد نصیری بشنوید اگر در ایمیلی یا نامه ای یا اس ام اسی پیامی مبنی بر مشکلات نامعلومی از شخص نامعلومی دریافت کردید و به شما گفته شده بود که در صورت ارسال این اس ام اس یا ایمیل به ۱۰ نفر مشکلات فرد حل می شود اگر بی توجهی کنید بلای آسمانی بر سر شما فرود می آید ، پیشاپیش این بلای آسمانی شما را خریداریم … به اینگونه موارد توجه نکنید.
    روش های فیزیکی
    غیر از روش های تکنیکی مهندسی اجتماعی روش های دیگری هم وجود دارند که اصلا ارتباطی به حوزه فناوری اطلاعات ، ایمیل و چت و … ندارند و دستورالعمل های آنها بصورت فیزیکی اجرا می شود . سه مورد از مهمترین این روش ها به نام جستجو در زباله های سازمانی یا Dumpster Diving است ، در این نوع حمله مهاجم با جستجو در زباله های سازمانی شما سعی در بدست آوردن اطلاعات مفید در خصوص هدف حمله می کند ، در بسیاری از مواقع کاربران و پرسنل شرکت ها و سازمان ها برگه هایی را به درون سطل زباله می اندازند که دارای اطلاعات سازمان می باشد ، برگه های رسید ، فاکتورها ، رمزهای عبور ، آدرس های IP و نامه ها و … ممکن است در این سطح ها وجود داشته باشد به همین دلیل است که در سازمان های دولتی مدارک و مستنداتی که بلا استفاده می مانند بایستی با استفاده از دستگاه خردکن از بین بروند.
    روش بعدی به نام Tailgating معروف است ، این نوع حمله معمولا برای عبور از حفاظ های فیزیکی مانند درب ها و دروازه های عبور مورد استفاده قرار می گیرد ، در این روش ابتدا فرد مهاجم یک فرد مجاز را شناسایی کرده ، وی را تعقیب می کند و به محض اینکه شخص مورد نظر از درب ورود مورد نظر عبور کرد از فاصله زمانی که بین رد شدن فرد تا بسته شدن درب وجود دارد استفاده کرده و وارد محدوده غیر مجاز می شود ، این روش را دزدهای ساختمان هم استفاده می کنند ، اگر توجه کرده باشید همیشه پیشنهاد می شود که در هنگام استفاده از درب های پارکینگ اتوماتیک حتما منتظر بمانید تا درب بصورت کامل بسته شود سپس به ادامه کار خود بپردازید ، این دقیقا راهکار مقابله با Tailgating است. البته در روش های دیگر شخصی ممکن است بدون اینکه چهره خود را نمایش بدهد کارتن بزرگی را با خود به نزدیک درب بیاورد و از شما خواهش کند که درب را باز نگه دارید تا بتواند رد شود ، این روش ها برای عبور از درب های حفاظتی کاربردی هستند.

    روش دیگری به نام Shoulder Surfing وجود دارد که برای بدست آوردن اطلاعاتی است که شما بر روی کیبورد خود وارد می کنید در این روش همانطور که از نامش نیز پیداست شخص مهاجم در بالای سر قربانی قرار گرفته و زیر چشمی به کلید هایی که وی بر روی کیبورد خود وارد می کند نگاه می کند و از این طریق می تواند رمز عبور وی را حدس بزند.

    خلاصه
    در این دو مقاله یاد گرفتیم که بدافزارهای یا Malware ها نرم افزارهایی هستند که بدون آگاهی و اطلاع کاربر به سیستم وی وارد می شوند . ویروس ها و ورم ها از انواع بدافزارهایی هستند که تکثیر می شوند ، برخی از بدافزارها مانند تروجان ها ، Logic Bomb ها ، Rootkit ها و Backdoor ها هستند که خود را مخفی می کنند. برخی از بدافزارها مانند Botnet ها ، Spyware ها ، Adware ها و Keylogger ها برای اهداف مهاجمین و سود رساندن به آنها طراحی شده اند . مهندسی اجتماعی یعنی بدست آوردن اطلاعات بدون نیاز به دانش فنی از طریق سئوال پرسیدن و تکنیک های روانشناسی ، انواع مهندسی های اجتماعی را می توان به Phishing ، جعل هویت ، زباله گردی و Tailgating تقسیم بندی کرد. در سری مقاله های بعدی در خصوص حملاتی که بر روی شبکه و نرم افزارهای کاربردی انجام می شود صحبت خواهیم کرد.



  9. کاربرانی که از پست مفید حسنعلی ابراهیمی سعید سپاس کرده اند.


  10. #6
    همکار تالار نیروی نظامی وهوانوردی
    رشته تحصیلی
    تجربی
    نوشته ها
    2,617
    ارسال تشکر
    3,144
    دریافت تشکر: 2,553
    قدرت امتیاز دهی
    871
    Array

    پیش فرض پاسخ : امنیت اطلاعات

    قسمت ششم
    انواع حملات به وب سایت ها و نرم افزارهای تحت وب

    در این سری از مقالات ابتدا شما را با انواع حملاتی که می توان به نرم افزارهای کاربردی انجام داد آشنا می کنیم و سپس به بررسی انواع حملات به شبکه های کامپیوتری خواهیم پرداخت . در انتهای این سری از مقالات شما قادر خواهید بود انواع حملاتی که به نرم افزارهای کاربردی تحت وب انجام می شود را شناسایی کنید ، شما با حملات client-Side یا حملاتی که بر روی کامپیوترهای کلاینت یا سرویس گیرنده انجام می شود آشنا خواهید شد و سپس یاد می گیرید که چگونه یک حمله از نوع سر ریز بافر یا Buffer Overflow انجام می شود. در بخش حملات شبکه شما با انواع حملات خارج از سرویس کردن یا DOS آشنا خواهید شد و در کنار آن انواع حملات شنود و استراق سمع و Poisoning را در شبکه مشاهده خواهید کرد . امیدواریم اگر ابهامی در کلمات بکار رفته وجود دارد با ما تا انتهای مقاله باشید و ابهام های خود را برطرف کنید.
    سالها پیش زمانیکه صحبت از یک نرم افزار کاربردی در یک شبکه می شد ، به سراغ استفاده از نرم افزارهایی می رفتیم که دارای دو قسمت بود ، یک قسمت بر روی سرور نصب می شدو قسمت دیگر بر روی کامپیوتری که قصد استفاده از آن سرویس را داشت نصب می شد ، با گذشت زمان و رواج یافتن نرم افزار های کاربردی تحت وب این تفکر رواج یافت که اینگونه نرم افزارهای تحت وب دارای امنیت و کاربرد ساده تری نسبت به نرم افزاهای گذشته هستند و به شدت شروع به رشد کردند ، به گونه ای که امروزه اکثر نرم افزارهایی که برای شبکه نوشته می شود در قالب نرم افزارهای کاربردی تحت وب می باشد.
    تحت وب بودن یک نرم افزار هم مزیت است و هم دارای عیب های زیادی می باشد، مزیت استفاده از این نرم افزارها این است که شما دیگر نیازی به استفاده از یک نرم افزار Agent برای متصل شدن به سرور اصلی خود ندارید و صرفا با وارد کردن آدرس URL سرور نرم افزار کاربردی تحت وب می توانید به آن وصل شده و از سرویس های آن استفاده کنید ، اما همین موضوع می تواند نقطه ضعف بزرگی برای اینگونه سیستم ها باشد ، یک هکر یا مهاجم نیز به همان سادگی که شما می توانید به نرم افزار خود متصل شوید می تواند به سیستم شما متصل شود ، در ساختار های قدیمی همین وجود Agent تا حدودی کار را برای هکرها سخت تر می کرد. یکی از مواردی که تحت وب بودن نرم افزارها خطر آفرین است این است که شما هر اندازه شبکه خود را امن کنید در نهایت به دلیل استفاده از نرم افزارهای تحت وب منتشر شده به بیرون از سازمان می توان به شبکه شما دسترسی و نفوذ کرد ، به شکل زیر دقت کنید.
    حملات نوع خاصی وجود دارند که به Web Application Attacks یا حملات به نرم افزارهای کاربردی مشهور هستند ، اینگونه حملات با توجه به گسترش روز افزون وب سایت ها و نرم افزارهای تحت وب بصورت فزاینده ای در حال زیاد شدن هستند. در بهترین شرایط ممکن اگر کسی بخواهد جلوی اینگونه حملات را بگیردمدت زمانی طول می کشد که در همین زمان می توان از نقاط ضعف بوجود آمده استفاده کرده و به هدف حمله کرد. به نقاط ضعفی که هنوز شناسایی نشده اند و بروز رسانی امنیتی برای آنها ارائه نشده است در اصطلاح Zero Day گفته می شود ، در zero-day مدافع زمانی برای آماده شدن برای دفاع در مقابل حمله ندارد. معروف ترین حملات Web Application به عنوان Cross Site Scripting ، SQL Injection ، XML Injection ، Command Injection و Directory Traversal شناخته می شوند که در ادامه در خصوص هر یک از اینگونه حملات با هم صحبت خواهیم کرد.
    یا XSS چیست ؟
    این نوع حمله که همانطور که از نامش پیداست از ساختار اسکریپت نویسی استفاده می کند ، به نرم افزارهای تحت وب از طریق اسکریپت نویسی حمله می کند. هدف اصلی این نوع حمله بدست آودن اطلاعات از کاربران و کلاینت هایی است که به سرور متصل می شود . اگر نرم افزار تحت وبی دارای مشکل باشد و هکر بتواند اسکریپت مخرب خود را در فرم های نرم افزار وارد کند ، کاربر یا کلاینت ها به محض متصل شدن به سرور آلوده کد مخرب مورد نظر هکر را از طریق مرورگر اجرا کرده و سیستم خود را آلوده می کنند ، مرورگرها توانایی تشخیص این را ندارند که اسکریپتی که بر روی کامپیوتر آنها اجرا می شود آلوده است یا خیر ؟ بعد از اینکه اسکریپت مخرب بر روی کامپیوتر هدف اجرا شد ، مرورگر کلاینت آلوده تابع دستوراتی خواهد بود که هکر صادر می کند بنابراین هر دستوری که هکر بخواهد را می تواند به مرورگر آلوده ارسال و اطلاعات مورد نیاز خود را دریافت کند.
    مخفف کلمه Cross-Site Scripting بصورت CSS می باشد اما این مخفف به دلیل اینکه با ساختاری به نام CSS که در طراحی وب وجود دارد شباهت دارد به XSS تغییر داده شد. اکثر کدهایی که توسط هکر ها در نرم افزارهای تحت وب وارد می شود که در سمت کلاینت اجرا شود معمولا به زبان جاوا اسکریپت نوشته می شود. و سپس به سرور تزریق یا Inject می شود. اگر کمی با ساختار طراحی صفحات وب پویا یا داینامیک آشنایی داشته باشید متوجه می شوید که درخواست ها در سرور اجرا می شوند و نتیجه به سمت کلاینت ارسال می شود . همیشه در هر جا نامی از Inject کردن شنیدید ، به این معناست که حمله از طریق وارد کردن اطلاعات به درون یک فیلد اطلاعاتی انجام می شود. XSS که به نام XSS Injection نیز معروف است نیز از این مورد استثناء نیست ، در این نوع حمله هکر به دنبال فیلد های ورود اطلاعاتی می گردد که در وب سایت مورد نظر قرار دارد و در صورت عدم رعایت موارد امنیتی مناسب در وب سرور می تواند به آن وب سایت حمله کند. بیشتر اطلاعاتی که از طریق XSS بدست می آید از طریق Cookie هایی است که کلاینت بر روی مرورگر خود بر جای می گذارد.
    در صورتیکه برنامه نویس وب سایت شما در فیلد های ورودی اطلاعات خود اعتبارسنجی یا Validation را انجام ندهد ، آن وب سایت مستعد بروز حملات XSS خواهد بود. حملات XSS خود به دو دسته بندی تقسیم می شوند که به عنوان انعکاس و ذخیره شناخته می شوند ، در حملات از نوع انعاکاس هکر یک حفره امنیتی و راهی برای استفاده از آن پیدا می نماید تا کاربر ناشناس را به یک برنامه وب دارای آسیب پذیری XSS هدایت کند. در این هنگام حمله انجام شده است. این حمله به وسیله یک سری از پارامترهای URL که با URL ارسال می شوند، انجام می شود. هکر URL مخرب را با پارامترهای موجود در URL برای کاربر ارسال می کند. این URL معمولا از طریق ایمیل، وبلاگ ها یا انجمن ها و یا هر روش ممکن دیگری برای کاربر فرستاده می شود.
    شاید تصور شود که کاربر بر روی لینک های ناشناس کلیک نمی کند، بنابراین مشکلی برای او پیش نمی آید. اما باید توجه نمود که با استفاده از JavaScript حتی با بازنمودن یک ایمیل و حتی مشاهده یک سایت، حمله XSS انجام می شود. به علاوه در این نوع حمله معمولا URL ها با متدهایی مثل Hex و یا هر متد کدگذاری دیگری که URL ها را بصورت معتبر نمایش می دهد، کدگذاری می شوند. در حملات از نوع ذخیره ، هکر کدهای مخربی را که یک کاربر در آینده آنها را فراخوانی می کند ذخیره می نماید. در واقع یک کاربر ندانسته به کدهای مخرب برخورد می نماید و کدهای مخرب اجرا می شوند. مسئله اینجاست که هنگام ذخیره سازی کدها و همچنین هنگام واکشی آنها اعتبارسنجی ورودی ها و خروجی ها انجام نشده است. نکته حائز اهمیت این است که حتی درصورت اعتبارسنجی یا Validation کدها در هنگام ذخیره نمودن آنها، چک نمودن خروجی ها و اعتبار سنجی آنها نیز لازم است. چراکه به این ترتیب کدهای مخرب ناشناخته در طی فرایند اعتبار سنجی ورودی، کشف خواهند شد. یک کاربر معمولا از راه های مختلفی مورد حملات XSS قرار می گیرد که از آن جمله می توانیم به باز کردن یک صفحه وب سایت ، کلیک کردن بر روی یک لینک و همچنین حتی باز کردن یک ایمیل ساده اشاره کنیم.
    SQL Injection یا تزریق SQL چیست ؟
    همانطور که می دانید واژه SQL مخفف کلمه Structured Query Language می باشد که زبانی برای برقرار ارتباط با پایگاه های داده می باشد ، این زبان می تواند برای انجام پرسش و پاسخ یا Query گرفتن از پایگاه های داده ای مانند MSSQL یا MySQL یا Oracle یا هر پایگاه داده مشابهی مورد استفاده قرار بگیرد. همانطور که قبلا هم اشاره کردیم هرگاه نامی از Injection یا تزریق به گوشمان خورد بلافاصله باید به این فکر بیوفتیم که می توانیم دستورات تعریف نشده ای را به سمت سرور مقصد ارسال و پاسخ دلخواه خود را بدست بیاوریم. ساختار کاری حملات SQL Injection به این صورت است که هرگاه فیلد ورود و خروج اطلاعاتی وجود داشته باشد که در پس زمینه آن یک پایگاه داده باشد ، می توانیم با وارد کردن دستورات غیرمعمول زبان SQL در این فیلد ها پاسخ هایی از سرور مورد نظر دریافت کنیم که حاوی اطلاعات حساس می باشند. در خصوص حملات SQL Injection در مقاله ای بصورت جداگانه و مفصل بحث خواهیم کرد و هدف در اینجا صرفا شناسایی این نوع حمله است.
    یکی از فیلدهایی که در وب سایت ها بسیار مورد حملات SQL Injection قرار می گیرد ، فیلد Forgot Password یا فراموشی رمز عبور است. از این فیلد زمانی استفاده می شود که کاربر رمز عبور خود را فراموش کرده است و می خواهد با وارد کردن ایمیل خود ، رمز عبور را بازیابی کند تا بتواند مجددا وارد وب سایت بشود. فرض را بر این بگیرید که یک هکر در این فیلد یک ایمیل با قالب نادرست را وارد می کند ، پاسخی که از پایگاه داده یا سرور بازگردانده می شود ممکن است حاوی اطلاعاتی باشد که چگونگی اعتبارسنجی درخواست داده شده را بررسی می کند ، در این لحظه هکر فیلد ایمیل را با دستورات SQL ای که بر اساس داده های بدست آمده است پر می کند و برای سرور ارسال می کند ، سرور این دستورات را پردازش کرده و خروجی را اعلام می کند ، فرص کنید که دستور زیر در یک پایگاه داده دارای نقطه ضعف امنیتی وارد شده باشد :
    کد:

    SELECT fieldlist FROM table WHERE field = ‘whatever’ or ‘a’=‘a’


    در این حالت و با وارد کردن دستور بالا توسط هکر ، کلیه ایمیل هایی که در پایگاه داده وجود دارد به نمایش در می آیند. برای انجام چنین حملاتی هکر می بایست دارای دانش فنی نسبتا خوبی در خصوص پایگاه های داده و به ویژه زبان SQL داشته باشد ، این نوع حمله از خطرناکترین نوع حملاتی است که امروزه به وب سایت ها و نرم افزارهای تحت وب انجام می شود. برای جلوگیری از انجام شدن چنین حملاتی نیز می توان از روش های اعتبارسنجی یا Input Validation در فرم ها استفاده کرد. در خصوص دستور بالا می توانید اطلاعاتی را در جدول زیر پیدا کنید هر چند این بحث بسیار فراتر از مبحث این مقاله می باشد.
    کد:

    [align=center]whatever’ AND email IS NULL;- شناسایی فیلدهای مختلف موجود در دیتابیس[/align]
    [align=center]whatever’ AND 1=(SELECT COUNT FROM tabname);- شناسایی نام جدول های دیتابیس[/align]
    [align=center]whatever’ OR full_name LIKE ‘%itpro.ir%’ پیدا کردن کاربرانی با مشخصات تعیین شده[/align]
    [align=center]whatever’; DROP TABLE members;- تمامی اطلاعات موجود در جدول حذف می شوند[/align]



    حملات XML Injection و XPath Injection
    قبل از اینکه در خصوص این نوع حملات صحبت کنیم بهتر است بدانیم که منظور از Markup Language چیست ؟ کلماتی مثل XML مخفف Extensible Markup Language و HTML مخفف Hypertext Markup Language می باشند. Markup Language زبانی است که شیوه نمایش اطلاعات در صفحات وب را نشان می دهد . به این معنی که شما با استفاده از این زبان می توانید به متن های خود یادداشت یا حاشیه اضافه کنید. در این میان معروف ترین زبان های Markup به نام HTML و XML شناخته می شوند. اکثر وب سایت ها و نرم افزارهای تحت وبی که امروزه مشاهده می کنید با استفاده از یک روش داده های خود را ذخیره می کنند ، معمولترین روش استفاده از یک پایگاه داده مانند SQL سرور می باشد.
    شما در HTML در قالب برچسب ها یا Tag ها صرفا به صفحه وب می گویید که متون را چگونه نمایش دهد ، اما در XML شما داده ها را می توانید نگهداری کنید و قالب بندی چندان مد نظر نیست . برخی از وب سایت ها از XML برای ذخیره سازی داده ها استفاده می کنند ، توجه کنید که زمانیکه نام ذخیره داده در ذهن شما آمد باید به این نتیجه برسید که می توان از این داده Query گرفت ، بنابراین می توان به آن حمله از نوع Injection انجام داد. یکی از معروف ترین روش های حمله به دیتاهای ذخیره شده در XML به نام Xpath می باشد یا XPath Injection . زمانیکه یک وب سایت از پایگاه داده SQL استفاده می کند قطعا باید به فکر حملات SQL Injection ای که به این پایگاه داده می شود نیز باشد ، وب سایت هایی که از XML استفاده می کنند نیز بایستی انتظار این را داشته باشند که مورد حمله حملات XML Injection یا XPath Injection قرار بگیرند. همیشه توجه کنید که اگر از XML به عنوان دیتابیس استفاد می کنید در طراحی فرم های ورودی و خروجی اطلاعات و پاسخ هایی که به Query ها داده می شود دفت کنید. هرگاه وب سایتی که داده های خود را که در قالب XML ذخیره شده اند را به درستی در مقابل ورودی اطلاعات کاربران فیلتر نکرده باشد ، آن وب سایت مستعد حملات XML Injection می باشد. فرض کنید که یک وب سایت دارید که از کدهای XML برای ذخیره سازی داده های خود استفاده می کند و قالب XML مورد استفاده در آن به شکل زیر می باشد :
    کد:

    [align=center][/align]
    [align=center][size=medium]
    [/align]

    [align=center][size=medium][/size][/align]

    [align=center]Admin[/align][/SIZE]


    کد:

    [align=center][size=medium]MyPassw0rd admin[/align]
    [align=center][/align]
    [align=center][size=medium][/size][/align][/SIZE]


    به کد وارد شده در بالا توجه کنید ، زمانیکه کاربر با استفاده از کد بالا می خواهد اطلاعاتی برای ورود به وب سایت را وارد کند ، بعد از اینکه کاربر نام کاربری و رمز عبور خود را در فرم وارد کرد یک XPath Query در PHP بصورت خودکار ایجاد می شود که حاوی نام کاربری و رمز عبور کاربر است ، این Query شبیه چیزی است که در پایین مشاهده می کنید :
    کد:

    [align=center]$login = simplexml_load_file("users.xml");[/align]
    [align=center]$result=$login->xpath("//User[username/test()='".$_POST['user']." AND password/text()='".$_POST['pass']."'";[/align]



    مشکل اصلی در قسمت بالا این است که داده هایی که از کاربر دریافت شده اند اعتبارسنجی نشده اند ، متغیر POST به گونه ای نوشته شده است که می تواند داده ها را مستقیما از جانب کادر ورود یا Login دریافت کند و آن را در XPath Query ایجاد شده قرار دهد ، در اینجا هکر می تواند کد یا Query مخربی که خود مد نظر دارد را وارد کرده و به جای رشته های نام کاربردی و رمز عبور ، رشته یا نام کاربری مورد نظر خود را وارد می کند. به Query وارد شده در زیر دقت کنید :
    کد:

    [align=center][/align]
    [align=center][size=medium]' or 1=1 or '
    [/align][/SIZE]


    با استفاده از این Query هکر می تواند نام اولین کاربر و رمز آن را بدست بیاورد ، با توجه به اینکه اولین کاربر در اینجا Administrator می باشد ، اکنون هکر می تواند با کاربر Administrator وارد وب سایت شود. نکته اخلاقی : همیشه برای فیلدهای ورودی اطلاعات خود Validation ایجاد کنید.
    تزریق دستورات یا Command Injection ، Directory Traversal و Code Injection
    وب سرورها نیز مانند ساختار فایلی که در سیستم عامل وجود دارد دارای سلسله مراتب می باشند ، وب سرورها معمولا دسترسی به ریشه یا root دایرکتوری های خود را محدود می کنند ، کاربران در این حالت می توانند به دایرکتوری های زیر مجموعه دسترسی پیدا کنند اما نمی توانند به مرحله بالاتر که ریشه است دسترسی پیدا کنند ، همچنین نمی توانند بصورت موازی از پوشه های کنار دستی نیز استفاده کنند و صرفا به محلی ارجاع داده می شوند که به آن دسترسی دارند. برخی اوقات به علل مختلف که بارزترین آنها سهل انگاری مدیر وب سرور است ، دسترسی های مناسب برای پوشه ریشه در نظر گرفته نمی شود و همین امر می تواند باعث شود مهاجم به دایرکتوری ریشه وب سرور دسترسی پیدا کند. Directory Traversal یا Path Traversal سوء استفاده از همین نقاط ضعفی است که در سطوح دسترسی یا عدم اعتبارسنجی داده های ورودی کاربر به ویژه نام فایل ها در وب سرور است که در نهاید می تواند باعث شود مهاجم با وارد کردن کاراکترهای مشخصی به Parent Directory یا پوشه بالاسری دسترسی پیدا کند. هدف اینگونه حملات دسترسی پیدا کردن به فایل هایی است که نبایستی بصورت عمومی در دسترس قرار بگیرند ، در این حمله در نهایت هکر می تواند فایل های موجود در قسمت محدود شده یا Restricted را دستکاری کند و نتیجه لازم را بگیرد. حملات نوع Directory Traversal به حملات /.. یا dot dot slash ، Directory Climbing و Backtracking نیز معروف می باشند. برخی از انواع این نوع حملات به نام canonicalization attacks نیز معروف می باشند.
    تزریق دستورات یا Command Injection که به Shell Injection و Code Injection نیز معروف است یکی دیگر از حملاتی است که می توان به وب سرورها و نرم افزارهای کاربردی تحت وب انجام داد. هدف اصلی Command Injection وارد کردن و اجرا کردن کدها و دستورات مد نظر مهاجم در نرم افزار دارای نقطه ضعف امنیتی است . در چنین مواقعی نرم افزاری که کدها و دستورات وارد شده ناخواسته را اجرا می کند درکی از این ندارد که کد وارد شده مخرب است یا نیست و هر دستور ورودی از Shell را به عنوان یک دستور مجاز از طرف کاربر سیستم برداشت می کند. دستورات در محیطی وارد می شوند که سطح دسترسی برابر سطح دسترسی نرم افزار کاربردی دارد . این نوع حمله در مواقعی که شما اعتبارسنجی ورود اطلاعات را در برنامه نویسی خود ندیده اید که در اصطلاح به آن Input Validation می گویند انجام می شود و می تواند از پارامترهایی مثل فرمهای ورود و خروج اطلاعات ، کوکی ها ، Http Header ها و غیره استفاده کند.در اصطلاح هک به دسترسی پیدا کردن به خط فرمان سیستم قربانی Shell گرفتن نیز می گویند.
    در Command Injection مهاجم دستورات مورد نظر خود را در خط فرمان سیستم قربانی اجرا می کند ، اما در Code Injection مهاجم کدهای مد نظر خود را در نرم افزار کاربردی که وجود دارد قرار می دهد که به جای کد اصلی نرم افزار اجرا شود ، در این حالت بدون نیاز به اجرا دستور خاصی با اجرا شدن اصل نرم افزار کدهای مخرب مورد نظر هکر اجرا خواهند شد ، سطح دسترسی کدهای اجرایی در اینجا برابر سطح دسترسی نرم افزار کاربردی خواهد بود. اکثر کرم های اینترنتی از این حالت برای انتشار و اجرا شدن استفاده می کنند . آنها از نقاط ضعف سیستم عامل استفاده می کنند و خود را به نرم افزارهای مختلف می چسبانند.
    خلاصه

    تا اینجا با انواع حملاتی که به سمت سرور های اینترنتی و به ویژه وب سرورها انجام می شود آشنا شدید . توجه کنید که هرگاه فرمی برای ورود اطلاعات در یک وب سایت وجود داشته باشد آن وب سایت مستعد بروز حملات تزریق می باشد. SQL Injection ، XML Injection ، XSS Injection و code Injection را در اینجا با هم بررسی کردیم اما واقعا دنیای اینگونه حملات بسیار پیچیده و بزرگ است ، هر گونه پایگاه داده ای که بتوان از آن Query گرفت مستعد انجام Injection است ، چه بسا این روزها LDAP Injection نیز که بر روی پایگاه های داده Directory Service انجام می شود بسیار مرسوم شده است. در مقاله بعدی به امید خدا در خصوص حملات سمت client یا Client-Side Attacks صحبت خواهیم کرد ، امیدوارم مورد توجه شما قرار گرفته باشد. ITPRO باشید.






  11. کاربرانی که از پست مفید حسنعلی ابراهیمی سعید سپاس کرده اند.


  12. #7
    همکار تالار نیروی نظامی وهوانوردی
    رشته تحصیلی
    تجربی
    نوشته ها
    2,617
    ارسال تشکر
    3,144
    دریافت تشکر: 2,553
    قدرت امتیاز دهی
    871
    Array

    پیش فرض پاسخ : امنیت اطلاعات

    مطلب جالبی هست


اطلاعات موضوع

کاربرانی که در حال مشاهده این موضوع هستند

در حال حاضر 1 کاربر در حال مشاهده این موضوع است. (0 کاربران و 1 مهمان ها)

موضوعات مشابه

  1. پاسخ ها: 0
    آخرين نوشته: 24th July 2015, 03:18 PM
  2. اصول بهینه سازی سایت که باید در محتوای سایت رعایت کنید
    توسط sonia69azad در انجمن آموزش وب و اینترنت
    پاسخ ها: 0
    آخرين نوشته: 27th January 2015, 04:16 PM
  3. پاسخ ها: 0
    آخرين نوشته: 29th December 2009, 05:51 PM

مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست کنید.
  • شما نمیتوانید پست های خود را ویرایش کنید
  •