فا

‫ اخبار

صفحات: «« « ... 31 32 33 34 35 ... » »»
همه چيز درباره بدافزار - 3
IRCAR200905024

در سري مقاله هاي بدافزار قصد داريم تا شما را با انواع بدافزارهايي كه امروزه وجود دارند، آشنا سازيم. اين مقاله ها شامل دسته بندي انواع بدافزارهاي شناخته شده، تكنيكهاي مورد استفاده بدافزارها، روشهاي انتشار بدافزارها و تهديدات آنها براي سازمانهاي مختلف مي باشد.
به دليل طبيعت تغيير پذير، رو به رشد و گسترده اين مقوله، در اين مجال نمي توان به توضيح همه جزئيات بدافزارها و همه انواع ممكن آنها پرداخت، ولي به هرحال سعي شده است مهمترين عناصر تشكيل دهنده بدافزارها، براي درك و فهم بهتر طبيعت آنها توضيح داده شود. همچنين در اين مقاله ها به بررسي چيزهاي ديگري كه بدافزار نيستند، مانند ابزارهاي جاسوسي، هرزنامه ها و ابزارهاي تبليغاتي نيز خواهيم پرداخت.
در بخشهاي قبلي در مورد سير تكامل ويروسهاي رايانه اي و همچنين دسته بندي بدافزارها و برخي خصوصيات آنها صحبت كرديم. در اين بخش، در مورد ديگر خصوصيات بدافزارها شامل انواع عمليات خرابكارانه اي كه انجام مي دهند، مكانيزم هاي فعال سازي و مكانيزم هاي دفاعي آنها بحث خواهيم كرد.


انواع عمليات خرابكارانه (Payloads)

زماني كه بدافزار از طريق يكي از مكانيزم هاي انتقال به رايانه ميزبان دسترسي پيدا مي كند، معمولاً دست به يك سري اعمال مي زند كه به آن "عمليات خرابكارانه" يا Payload گفته مي شود. عمليات خرابكارانه داراي اشكال مختلفي است كه در زير برخي از رايجترين آنها آورده شده است.

  • باز كردن راههاي نفوذ يا Backdoors
    اين نوع از عمليات خرابكارانه اجازه دسترسي غير مجاز به رايانه را مي دهد. راههاي نفوذ مي توانند يك دسترسي كامل را براي مهاجم فراهم آورند يا مي توانند دسترسي هاي محدودي مانند فعال كردن پروتكل انتقال فايل (FTP) را از طريق پورت 21 ايجاد كنند. اگر حمله موفق به فعال كردن Telnet شود، فرد مهاجم مي تواند از رايانه آلوده به عنوان پايگاهي براي حمله هاي Telnet بر روي ديگر رايانه ها استفاده كند. گاهي اوقات به راههاي نفوذ، تروجان دسترسي از راه دور يا Remote Access Trojan نيز گفته مي شود.
  • خراب كردن يا پاك كردن داده ها
    يكي از بدترين انواع عمليات خرابكارانه، كد خرابكاري است كه مي تواند داده ها را دستكاري كرده و يا پاك كند و به اين ترتيب كاربر را با يك سري اطلاعات بي فايده رها سازد. نويسنده بدافزار در اينجا دو انتخاب دارد: اول اينكه عمليات خرابكارانه را طوري طراحي كند كه به سرعت اجرا شود. اين شيوه علي رغم اينكه براي رايانه آلوده يك كابوس محسوب مي شود، تشخيص سريع بدافزار را موجب مي شود و در نتيجه بدافزار نمي تواند بدون سر و صدا گسترش پيدا كند. انتخاب ديگر رها كردن عمليات خرابكارانه بر روي سيستم آلوده براي مدت زمان مشخصي است مانند كاري كه تروجانها انجام مي دهند. در اين صورت عمليات خرابكارانه منتظر يك اتفاق فعال كننده (trigger) مي ماند كه در ادامه در مورد آنها بيشتر توضيح خواهيم داد. در بازه زماني مذكور و قبل از آگاه شدن كاربر از وجود بدافزار بر روي رايانه، بدافزار وظيفه انتشار خود را به انجام مي رساند.
  • سرقت اطلاعات
    يكي از انواع نگران كننده عمليات خرابكارانه نوعي است كه براي سرقت اطلاعات طراحي شده است. در صورتي كه يك بدافزار بتواند از سد امنيتي رايانه ميزبان عبور كند، قادر است مكانيزمي را نيز جهت فرستادن اطلاعات براي هكر فراهم كند. اين اتفاق مي تواند به چند طريق رخ دهد، براي مثال انتقال اطلاعات مي تواند به صورت اتوماتيك اتفاق بيفتد و بدافزار به راحتي فايلهاي محلي يا اطلاعاتي مانند گزارش ثبت ضربه هاي صفحه كليد را به اميد يافتن نام كاربري يا رمز عبور براي مهاجم ارسال كند. روش ديگر فراهم آوردن محيطي بر روي رايانه ميزبان است تا مهاجم بتواند كنترل از راه دور رايانه قرباني را به دست گيرد يا مستقيماً به فايلهاي آن دسترسي داشته باشد.
  • انكار سرويس (DoS)
    يكي از ساده ترين انواع عمليات خرابكارانه حملات انكار سرويس است. يك حمله DoS در واقع يك يورش كامپيوتري است كه توسط فرد مهاجم با نيت ايجاد سربار بر روي شبكه و يا از كار انداختن برخي سرويسهاي آن مانند سرورهاي فايل يا وب، صورت مي گيرد. هدف از حملات انكار سرويس، غير قابل استفاده ساختن برخي سرويسهاي مشخص در يك بازه زماني است.

انكار سرويس توزيع شده (DDoS)

در اين نوع از حمله ها معمولاً از كلاينت هاي آلوده اي استفاده مي شود كه اغلب هيچگونه اطلاعي از نقش خود در چنين حمله هايي ندارند. يك حمله DDoS نوعي از انكار سرويس است كه در آن مهاجم يك كد خرابكار را بر روي رايانه هاي زيادي به منظور مورد حمله قرار دادن يك هدف مشخص نصب مي كند. معمولاً مهاجمان از اين روش براي ايجاد تأثيراتي بر روي هدف استفاده مي كنند كه با استفاده از يك رايانه مهاجم امكان پذير نيست. چگونگي انجام شدن اينگونه حملات در هر حمله نسبت به حمله ديگر متفاوت است ولي غالباً حملات انكار سرويس توزيع شده با استفاده از ارسال حجم زيادي از داده ها براي يك ميزبان يا وب سايت انجام مي شوند كه منجر به عدم توانايي در پاسخگويي به درخواستهاي قانوني خواهند شد.
مقابله با اين نوع حملات بسيار سخت است زيرا ميزباني كه مسئول حمله است خود يك قرباني ناآگاه محسوب مي شود. حملات DDoS معمولاً توسط رباتهاي نرم افزاري (برنامه هايي كه كارهاي تكراري را اجرا مي كنند) هدايت مي شوند. مثلا يك هكر مي تواند از Internet Relay Chat (IRC) EggDrop براي كنترل رايانه هاي قرباني از طريق كانال IRC استفاده كند. زماني كه كنترل رايانه اي در اختيار هكر قرار مي گيرد، آن رايانه تبديل به يك زامبي مي شود كه مي تواند هدف را از طريق دستور هكر و بدون اطلاع صاحب رايانه مورد حمله قرار دهد.
حملات انكار سرويس (DoS ) و حملات انكار سرويس توزيع شده (DDoS) قادرند از چندين تكنيك حمله مختلف استفاده كنند كه عبارتند از:


  • خاموش كردن سيستم
    در صورتي كه بدافزار بتواند رايانه ميزبان را خاموش كند يا از كار بيندازد در متوقف كردن حداقل يك يا دو سرويس موفق خواهد بود. حمله به سيستم ميزبان از اين طريق نيازمند وجود يك آسيب پذيري يا نقص امنيتي در رايانه ميزبان است كه بدافزار از آن طريق بتواند سيستم را خاموش سازد.
  • سيل داده ها در پهناي باند
    بيشتر خدماتي كه در اينترنت ارائه مي شوند از طريق اتصالات شبكه اي با پهناي باند محدود است كه ارائه دهندگان سرويس را به مشتريان متصل مي كند. در صورتي كه نويسند بدافزار بتواند دست به يك عمليات خرابكارانه بزند كه در آن پهناي باند توسط داده هاي نادرست اشغال شود، در اين صورت به راحتي يك حمله انكار سرويس رخ داده است چرا كه مشتريان نمي توانند از سرويس مورد نظرشان بر روي منبع مربوطه استفاده كنند.
  • انكار سرويس شبكه
    اين نوع از عمليات خرابكارانه سعي دارد منابع ميزبان را سرريز كند. منابعي مانند ريزپردازنده ها و حافظه ها از طريق حملات SYN flood سرريز مي شوند. در حملات مذكور، مهاجم از برنامه اي براي ارسال سيلي از درخواستهاي TCP SYN، جهت مختل كردن ترافيك قانوني شبكه بر روي سرور ميزبان استفاده مي كند. در حملات بمباران ايميلي نيز منابع ذخيره سازي طوري از ايميل سرريز مي شوند كه يك حمله انكار سرويس به وقوع مي پيوندد. اين حملات به منظور خراب كردن برنامه ايميل يا ممانعت از دريافت ايميل هاي واقعي توسط دريافت كننده صورت مي گيرد.
  • خراب كردن سرويس
    اين نوع از عمليات خرابكارانه نيز مي تواند منجر به حملات انكار سرويس شود. براي مثال حمله به سرورهاي نام دامنه DNS مي تواند سرويس آن را از كار بيندازد و منجر به يك انكار سرويس شود. البته در اين صورت معمولاً ديگر سرويسهاي سيستم آسيب نمي بينند.

مكانيزمهاي فعال سازي

مكانيزم فعال سازي خصوصيتي از بدافزار است كه از آن براي شروع تكرار يا شروع عمليات خرابكارانه استفاده مي شود. مكانيزم هاي فعال سازي متداول به شرح زير مي باشند:

  • اجراي دستي
    در اين نوع از مكانيزم فعال سازي اجراي بدافزار به راحتي به عهده قرباني گذاشته مي شود.
    • مهندسي اجتماعي
      بدافزارها اغلب از چندين روش مهندسي اجتماعي كمك مي گيرند تا كاربران را به سمت اجراي دستي كد بدافزار هدايت كنند. اين روشها مي توانند ساده باشند، مثلا در ارسال تعداد زيادي ايميل آلوده به كرم از موضوعات جذاب و به روز براي ايميل استفاده مي شود تا كاربران را به باز كردن ايميل آلوده ترغيب كند. همچنين نويسندگان بدافزار ممكن است از ايميلهاي جعلي (email spoofing) براي فريب كاربران استفاده كنند تا آنها باور كنند كه ايميل را از يكي از آشنايان دريافت كرده اند. عمل Spoofing در واقع جعل هويت يك وب سايت يا يك جريان انتقال داده به منظور فريب كاربر در تشخيص منبع واقعي است. براي مثال كرم Dumaro اولين بار در سال 2003 در ايميلي ديده شد كه در قسمت فرستنده ايميل آدرس security@microsoft.com قرار گرفته بود.
  • اجراي نيمه اتوماتيك
    اين نوع از مكانيزم فعال سازي در ابتدا توسط قرباني شروع مي شود و از آن به بعد به صورت اتوماتيك به اجراي خود ادامه مي دهد.
  • اجراي اتوماتيك
    اين نوع از مكانيزم فعال سازي نيازي به هيچگونه اجراي دستي ندارد. در اين حالت بدافزار حمله خود را بدون هيچگونه نيازي به اجراي يك كد خرابكار توسط قرباني بر روي رايانه هدف به انجام مي رساند.
  • بمب زماني
    اين نوع از مكانيزم فعال سازي عمليات را بعد از يك مدت زمان مشخص به انجام مي رساند. اين بازه زماني مي تواند يك تأخير زماني از اولين بروز آلودگي يا يك تاريخ از پيش تعيين شده باشد. براي مثال كرم MyDoom.B در روز سوم فوريه 2004 بر عليه وب سايت مايكروسافت فعال شد و سپس تمام فعاليتهاي انتشار خود را در اول مارس 2004 متوقف ساخت. با اين وجود مسير نفوذ خود را همچنان بر روي رايانه هاي آلوده فعال نگه داشت.
  • شرطي
    اين نوع از مكانيزم فعال سازي از يك يا چندين شرط از قبل تعيين شده براي فعال ساختن عمليات خرابكارانه استفاده مي كند. براي مثال، يك فايل تغيير نام داده شده، مجموعه اي مشخص از ضربات صفحه كليد يا شروع يك برنامه كاربردي همگي مي توانند به عنوان شرطهاي فعال سازي در نظر گرفته شوند. گاهي اوقات بدافزاري كه از اين نوع از مكانيزم فعال سازي استفاده مي كند بمب منطقي ناميده مي شود.

مكانيزم هاي دفاعي

بسياري از بدافزارها از نوعي مكانيزم دفاعي براي كاهش احتمال تشخيص يا پاكسازي استفاده مي كنند. در زير برخي از تكنيكهاي استفاده شده توسط بدافزار ها آورده شده است:

  • زره
    اين نوع از مكانيزم دفاعي چندين تكنيك مختلف را به كار مي گيرد تا تحليل كد خرابكارا را خنثي سازد. اين تكنيكها شامل تشخيص اجراي Debugger و ممانعت از اجراي صحيح آن يا اضافه كردن تعداد زيادي كد بي معني به منظور مشكل ساختن تشخيص هدف كد خرابكار مي شود.
  • پنهان كاري
    در اين روش بدافزار ها براي پنهان سازي خود از دريافت درخواستها و ارائه پاسخ هاي اشتباه استفاده مي كنند. براي مثال يك ويروس ممكن است تصويري از يك قطاع راه اندازي (boot sector) غير آلوده را ذخيره سازد و هر زمان كه درخواستي مبني بر مشاهده قطاع راه اندازي آلوده شده ارسال شود، ويروس مذكور تصوير قطاع راه اندازي غير آلوده را نمايش دهد. قديمي ترين ويروس شناخته شده به نام Brain از اين روش در سال 1986 استفاده كرده است.
  • رمزنگاري
    بدافزارهايي كه از اين مكانيزم دفاعي استفاده مي كنند خود يا عمليات خرابكارانه را رمزنگاري مي كنند (گاهي اوقات حتي داده هاي سيستم را نيز رمزنگاري مي كنند) تا از تشخيص بدافزار يا بازيابي اطلاعات جلوگيري كنند. بدافزار هاي رمزنگاري شده شامل يك الگوريتم رمزگشايي، كليد رمزنگاري و يك كد خرابكار رمزنگاري شده (شامل الگوريتم رمزنگاري) هستند. زماني كه چنين بدافزار هايي اجرا مي شوند، با استفاده از كليد و الگوريتم رمزگشايي كد خرابكار خود را رمزگشايي مي كنند. بدافزار از خود نسخه برداري كرده و يك كليد جديد توليد مي كند. سپس با استفاده از كليد و الگوريتم رمزنگاري، نسخه جديد را دوباره رمزنگاري كرده، الگوريتم و كليد رمزنگاري جديد را به اول نسخه مذكور اضافه مي كند. برخلاف ويروسهاي چندريختي، بدافزار هاي رمزنگار هميشه از يك الگوريتم رمزگشايي ثابت استفاده مي كنند. بنابراين با وجود اينكه كليد و امضاي كد خرابكار رمزنگاري شده مرتباً در هر مرحله تغيير مي كند، تشخيص آنها توسط آنتي ويروس ها از طريق جستجو براي الگوريتمهاي ثابت رمزگشايي بدافزار ممكن خواهد بود.
  • Oligomorphic
    بدافزاري كه اين خصوصيت را از خود به نمايش مي گذارد از رمزنگاري به عنوان يك مكانيزم دفاعي براي محافظت از خود استفاده مي كند و تنها براي دفعات محدودي قادر است الگوريتم رمزنگاري خود را تغيير دهد. براي مثال ويروسي كه مي تواند تنها دوبار الگوريتم رمزگشايي خود را تغيير دهد نيز در رده Oligomorphic مي گنجد.
  • ريختي يا Polymorphic
    بدافزارهايي از اين نوع رمزنگاري به عنوان يك مكانيزم دفاعي استفاده مي كنند كه مي خواهند خود را تغيير دهند تا از خطر تشخيص داده شدن توسط نرم افزارهاي آنتي ويروس در امان بمانند. اين بدافزار ها معمولاً خود را با يك الگوريتم رمزنگاري به صورت رمزي درآورده و سپس براي هر تغيير از يك كليد رمزگشايي متفاوت استفاده مي كنند. بنابراين بدافزار هاي چندريختي مي توانند از تعداد نامحدودي الگوريتم رمزنگاري به منظور ممانعت از تشخيص استفاده كنند. در هر بار تكرار بدافزار جزئي از كد رمزگشايي دچار تغيير مي شود. بسته به نوع هر بدافزار، عمليات خرابكارانه يا ديگر اعمالي كه توسط بدافزار انجام مي شوند مي توانند تحت عمليات رمزنگاري قرار بگيرند. معمولاً يك موتور دگرگوني در بدافزار رمزنگاري شده تعبيه شده است كه در هر بار تغيير، الگوريتم هاي رمزنگاري تصادفي را توليد مي كند. سپس موتور مذكور و بدافزار توسط الگوريتم توليدي رمزنگاري شده و كليد رمزگشايي جديد به آنها الصاق مي شود.

در قسمت بعدي سري مقاله هاي بدافزار در مورد چيزهايي كه بدافزار محسوب نمي شوند مانند هراس افزارها و ابزارهاي تبليغاتي صحبت خواهيم كرد.

18 مرداد 1393 برچسب‌ها: مستندات مرجع
همه چيز درباره بدافزار - 4
IRCAR200906025

در سري مقاله هاي بدافزار قصد داريم تا شما را با انواع بدافزارهايي كه امروزه وجود دارند، آشنا سازيم. اين مقاله ها شامل دسته بندي انواع بدافزارهاي شناخته شده، تكنيكهاي مورد استفاده بدافزارها، روشهاي انتشار بدافزارها و تهديدات آنها براي سازمانهاي مختلف مي باشد.
به دليل طبيعت تغيير پذير، رو به رشد و گسترده اين مقوله، در اين مجال نمي توان به توضيح همه عناصر بدافزارها و همه انواع ممكن آنها پرداخت، ولي به هرحال مهمترين عناصر تشكيل دهنده بدافزارها، براي درك و فهم بهتر طبيعت آنها آورده شده است. همچنين در اين مقاله ها به چيزهاي ديگري كه بدافزار نيستند، مانند ابزارهاي جاسوسي، هرزنامه ها و ابزارهاي تبليغاتي نيز خواهيم پرداخت.
در بخشهاي قبلي در مورد سير تكامل ويروسهاي رايانه اي و همچنين دسته بندي بدافزارها و خصوصيات آنها صحبت كرديم. در اين بخش، در مورد تهديدهاي ديگري كه وجود دارند ولي به عنوان بدافزار در نظر گرفته نمي شوند صحبت خواهيم كرد.


چه چيزي بدافزار نيست؟

انواع زيادي از تهديدها وجود دارند كه به عنوان بدافزار در نظر گرفته نمي شوند زيرا در واقع برنامه هاي كامپيوتري با نيت بدخواهانه نيستند. با اين وجود تهديدهاي مذكور ممكن است پيامدهاي امنيتي يا مالي را براي سازمانها يا افراد به بار بياورند. به همين دليل لازم است در مورد اينگونه تهديدها نيز اطلاعات كافي را داشته باشيد.

نرم افزارهاي سرگرم كننده

برنامه هاي سرگرمي برنامه هايي هستند كه براي ايجاد يك لبخند يا در بدترين حالت تلف كردن وقت كاربران توليد شده اند. اين برنامه ها از زماني كه استفاده از رايانه در بين مردم رايج شد به وجود آمده اند. از آنجايي كه آنها با نيت شريرانه ايجاد نشده اند و به عنوان نوعي شوخي شناخته مي شوند، نمي توان آنها را به عنوان بدافزار در نظر گرفت. تعداد بسيار زيادي از اين نوع نرم افزارها وجود دارند مانند افكت هاي تصويري جالب بر روي صفحه مانيتور، انيميشن هاي سرگرم كننده يا بازيها.

Hoaxes

معمولاً ساده تر است كه فردي را فريب دهيد تا كاري را براي شما انجام دهد تا اينكه نرم افزاري بنويسيد تا آن كار را به صورت اتوماتيك و بدون اطلاع وي به انجام برساند. بنابراين تعداد زيادي از اين فريب ها در دنياي فناوري اطلاعات مشاهده مي شوند.
Hoax ها نيز مانند برخي انواع بدافزار ها از تكنيك هاي مهندسي اجتماعي براي گول زدن كاربران و ترغيب آنها به انجام برخي كارها استفاده مي كنند. به هر حال در مورد Hoax ها كدي براي اجرا وجود نداشته و فردي كه يك Hoax را خلق مي كند، تنها سعي در گول زدن قرباني دارد. Hoax ها در طي ساليان اشكال مختلفي پيدا كرده اند، يكي از نمونه هاي رايج آن ايميل هايي هستند كه خبر از انتشار ويروس جديدي مي دهند و از شما مي خواهند تا ايميل مذكور را براي دوستانتان ارسال كنيد. اين Hoax ها وقت مردم را تلف مي كنند، منابع سرورهاي ايميل را مصرف كرده و پهناي باند را اشغال مي كنند.


فريب ها يا Scams

هر نوع ارتباطي به صورت بالقوه توسط افراد جنايتكار، به منظور كسب مال تهديد مي شود. بنابراين اينترنت، وب سايتها و ايميل نيز از اين موضوع مستثني نبوده و در معرض تهديدات دائمي قرار دارند. براي مثال ايميلهايي كه كاربران را براي فاش ساختن اطلاعات شخصيشان (مانند اطلاعات حساب بانكي) فريب مي دهند تا از آنها در موارد غيرقانوني استفاده كنند، از نمونه هاي رايج اين تهديدات هستند. يكي از نمونه هاي خاص فريب به عنوان جعل هويت يا phishing وجود دارد كه به آن brand spoofing يا carding نيز گفته مي شود.
برخي از حمله هاي جعل هويت با استفاده از نام كمپانيهاي معروف مانند eBay انجام مي شوند و هدف آنها دسترسي به اطلاعات حساب كاربري افراد است. فريبهاي جعل هويت اغلب از طريق وب سايتي كه شكل ظاهري يك وب سايت معتبر را به خود گرفته است انجام مي شوند. در اين حمله ها از ايميلها براي فريب كاربران و هدايت آنها به سوي وب سايت جعلي استفاده مي شود و در آنجا از آنها خواسته مي شود اطلاعات حساب كاربري خود را وارد كنند. اطلاعات مذكور ذخيره گشته و از آنها براي منظورهاي غيرقانوني استفاده مي شود. چنين مواردي بايد بسيار جدي گرفته شده و به مراجع قانوني گزارش داده شوند.


هرزنامه يا Spam

هرزنامه، ايميل ناخواسته اي است كه براي تبليغ يك سرويس يا محصول توليد مي شوند. اين پديده معمولاً به عنوان امري آزاردهنده در نظر گرفته مي شود ولي با اين وجود هرزنامه ها بدافزار محسوب نمي شوند. رشد روزافزون تعداد هرزنامه ها آنها را تبديل به يك مشكل جدي براي زيرساختهاي اينترنت كرده است و موجب كاهش كارايي كارمنداني شده است كه مجبورند روزانه تعداد زيادي از اين ايميلها را از بين ببرند.
منبع اوليه هرزنامه ها مورد بحث است ولي با صرف نظر از منبع آنها شكي نيست كه هرزنامه ها امروزه تبديل به عناصر تكرارشونده دائمي در دنياي ارتباطات مبتني بر وب شده اند. بسياري عقيده دارند كه هرزنامه ها سلامت فضاي تبادل ايميل را در سراسر جهان مورد تهديد قرار مي دهند. با اين وجود بايد در نظر داشت كه هرزنامه ها به جز باري كه بر سرورهاي ايميل و نرم افزارهاي ضد هرزنامه تحميل مي كنند، خطر ديگري براي سلامت اينترنت و سيستم هاي فناوري اطلاعات سازمانها ندارند.
معمولاً هرزنامه نويسان از بدافزار ها براي نصب يك سرور ايميل SMTP كوچك بر روي رايانه ميزبان استفاده مي كنند كه از آن براي ارسال هرزنامه به ديگر كاربران ايميل استفاده مي شود.


ابزارهاي جاسوسي

به اين نوع از نرم افزارها گاهي اوقات روبات جاسوسي (spybot) يا نرم افزار دنبال كننده (Tracking software ) نيز گفته مي شود. ابزارهاي جاسوسي از ظاهر ديگر نرم افزارها و برنامه هاي جذاب استفاده كرده تا فعاليتهاي خاصي را بر روي رايانه قرباني بدون اطلاع و رضايت وي هدايت كنند. اين فعاليتها غالباً شامل جمع آوري اطلاعات شخصي و تغيير تنظيمات پيكربندي مرورگر اينترنت مي شوند. ابزارهاي جاسوسي علاوه بر ايجاد مزاحمت براي كاربر منجر به نتايج ديگري از قبيل پايين آوردن كارايي كلي رايانه گرفته تا به خطر انداختن اطلاعات خصوصي افراد مي شوند.
وب سايتهايي كه ابزار جاسوسي منتشر مي كنند از ترفندهاي متنوعي براي فريب دادن كاربران و ترغيب آنها به دريافت و نصب اينگونه نرم افزارها استفاده مي كنند. اكثر اين ترفندها شامل ايجاد واسطهاي جذاب و فريبنده براي كاربران و مخفي كردن ابزارهاي جاسوسي در ديگر نرم افزارهايي است كه غالباً مورد استفاده كاربران مي باشد مانند نرم افزارهاي رايگان به اشتراك گذاري فايل.
ابزارهاي تبليغاتي

ابزارهاي تبليغاتي غالباً با يك برنامه كاربردي ميزبان تركيب مي شوند به طوري كه برنامه ميزبان تا زماني كه كاربر دريافت ابزارهاي تبليغاتي را قبول مي كند، به صورت رايگان به وي خدمات مي دهد. از آنجايي كه برنامه هاي كاربردي داراي ابزار تبليغاتي بعد از يك موافقتنامه بين كاربر و نرم افزار نصب مي شوند لذا در اينجا موضوع فريب كاربران در ميان نيست. به هرحال تبليغات pop-up گاهي اوقات واقعاً آزاردهنده مي شوند و در برخي موارد كارايي سيستم را به شدت كاهش مي دهند. همچنين اطلاعاتي كه برخي از آنها جمع آوري مي كنند ممكن است محدوده حريم شخصي افرادي را كه آگاهي كافي از مفاد موافقتنامه ندارند مورد تعرض قرار دهد.

توجه:

با وجودي كه عبارت ابزار جاسوسي و ابزار تبليغاتي معمولاً به جاي يكديگر به كار برده مي شوند بايد دقت داشت تنها ابزارهاي تبليغاتي تأييد نشده توسط كاربر هستند كه مي توانند به عنوان ابزار جاسوسي در نظر گرفته شوند. ابزارهاي تبليغاتي كه با اطلاع، انتخاب و كنترل كاربر فعاليت مي كنند، فريبنده نبوده و نبايد به عنوان ابزار جاسوسي در نظر گرفته شوند. از طرف ديگر بايد دقت داشت كه ابزارهاي جاسوسي كه ادعاي اجراي يك كار به خصوص را دارند ولي در واقع به كار ديگري يا به جاسوسي مي پردازند به نوعي همان تروجان هستند.

كوكي هاي اينترنتي (Internet Cookies)

كوكي ها فايلهاي متني هستند كه توسط وب سايتها بر روي رايانه بازديدكنندگان قرار مي گيرد. كوكي ها شامل اطلاعاتي در مورد هويت بازديدكننده از وب سايت و همچنين اطلاعاتي در مورد موارد مشاهده شده است.
كوكي ها ابزارهاي قانوني هستند كه وب سايتهاي بسياري از آن براي دنبال كردن اطلاعات بازديدكننده استفاده مي كنند. براي مثال ممكن است يك كاربر قصد خريد مواردي را از يك فروشگاه آنلاين داشته باشد و سپس بعد از قرار دادن آن اشياء در سبد خريدش به هر دليلي به وب سايت ديگري مراجعه كند. فروشگاه مي تواند اطلاعات موارد خريداري شده توسط كاربر را بر روي فايل كوكي وي درج كند تا در مراجعه بعدي موارد قبلاً خريداري شده در سبد او نشان داده شوند و او بتواند آنها را خريداري كرده و يا از سبد خود حذف كند.
تنها افراد مجاز به بازيابي اطلاعات ذخيره شده در كوكيها وب سايتهايي هستند كه آنها را ايجاد كرده اند. اين شيوه براي حفظ حريم خصوصي افراد ايجاد شده و به كار مي رود. متأسفانه برخي از توسعه دهندگان وب سايتها از كوكي ها براي جمع آوري اطلاعات كاربر بدون اطلاع وي استفاده مي كنند. تعدادي از آنها كاربران را فريب داده و يا از مقررات تخطي مي كنند. براي مثال آنها ممكن است بدون اطلاع كاربر به جمع آوري اطلاعاتي در مورد عادتهاي وبگردي وي بپردازند و سپس از اين اطلاعات براي نمايش تبليغات خاصي به كاربر استفاده كنند كه اين امر به معناي تعرض به حريم خصوصي افراد است. تشخيص مرز سوءاستفاده از كوكي ها و ديگر اشكال تبليغات هدفدار بسيار مشكل است و به همين دليل تصميم گيري در مورد زمان و چگونگي متوقف كردن آنها بر روي سيستم كار مشكلي است. به علاوه سطح قابل قبول به اشتراك گذاري فايلها براي كاربران مختلف متفاوت است و لذا ايجاد يك برنامه آنتي كوكي كه نياز همه كاربران را برآورده سازد بسيار سخت است.
هنوز مطالب بسياري درباره بدافزارها ناگفته مانده است، اما ما در اينجا اين سلسله مقالات را به پايان مي بريم. در آينده بازهم به بدافزارها خواهيم پرداخت.


18 مرداد 1393 برچسب‌ها: مستندات مرجع
آنتي ويروس چيست و چگونه عمل مي كند؟
IRCAR200907026

نرم افزارهاي آنتي ويروس اختصاصاً براي دفاع از سيستم ها در برابر تهديدهاي ويروسها طراحي و نوشته مي شوند. متخصصان امنيتي قوياً توصيه به استفاده از آنتي ويروس مي كنند زيرا آنتي ويروس از رايانه شما نه تنها در برابر ويروسها بلكه در برابر انواع بدافزارها نيز محافظت مي كند. در واقع آنتي ويروس يك برنامه كامپيوتري است كه براي مرور فايلها و تشخيص و حذف ويروسها و ديگر بدافزارها از آن استفاده مي شود.
در اين مقاله برخي از تكنيكهاي رايج در بين آنتي ويروسها را كه براي تشخيص بدافزارها به كار برده مي شوند مورد بررسي قرار خواهيم داد. در حالت كلي آنتي ويروس ها از دو تكنيك اصلي براي رسيدن به اهدافشان استفاده مي كنند:
روش مبتني بر كد (امضا): در اين روش با استفاده از يك ديكشنري ويروس كه حاوي امضاي ويروسهاي شناخته شده است، احتمال وجود ويروسهاي شناخته شده در فايلها مورد بررسي و آزمايش قرار مي گيرند.
روش مبتني بر رفتار: در اين روش هدف شناسايي رفتارهاي مشكوك هر برنامه كامپيوتري است، زيرا احتمال دارد رفتار مذكور نشان دهنده يك آلودگي ويروسي باشد.
اغلب آنتي ويروسهاي تجاري از هر دو روش فوق ولي با تأكيد بر روي امضاي ويروس، استفاده مي كنند. در زير روشهاي مذكور را با تفصيل بيشتري توضيح مي دهيم.


روش مبتني بر كد (امضا)

اغلب برنامه هاي آنتي ويروس در حال حاضر از اين تكنيك استفاده مي كنند. در اين شيوه، رايانه ميزبان، درايوهاي حافظه و يا فايلها با هدف پيدا كردن الگويي كه نشان دهنده يك بدافزار باشد، مورد جستجو قرار مي گيرند. اين الگوها معمولاً در فايلهايي به نام فايلهاي امضا ذخيره مي شوند. فايلهاي مذكور توسط فروشندگان نرم افزارهاي آنتي ويروس طبق يك برنامه منظم به روز رساني مي شوند تا قادر باشند بيشترين تعداد ممكن حمله هاي بدافزاري را شناسايي كنند. مشكل اصلي تكنيك بررسي امضا اين است كه نرم افزار آنتي ويروس بايد قبلاً به روز رساني شده باشد تا بتواند به مقابله و خنثي سازي بدافزارها بپردازد و لذا بدافزارهاي جديدي كه هنوز شناسايي نشده و به فايلهاي امضا اضافه نشده اند تشخيص داده نمي شوند.
در اين شيوه زماني كه نرم افزار آنتي ويروس يك فايل را مورد آزمايش قرار مي دهد، به يك ديكشنري ويروس كه حاوي امضاي ويروسهاي شناخته شده است مراجعه مي كند. در صورتي كه هر تكه از كد فايل با يك ويروس شناخته شده مطابقت داشته باشد، فايل مذكور به عنوان يك فايل آلوده شناسايي شده و آنتي ويروس يا آن را پاك مي كند و يا آن را قرنطينه مي نمايد تا برنامه هاي ديگر به آن دسترسي نداشته و همچنين از انتشار آن جلوگيري به عمل آيد. در برخي موارد نيز امكان بازسازي فايل آلوده از طريق حذف ويروس از فايل اصلي وجود دارد كه در صورت امكان آنتي ويروس اين كار را انجام مي دهد.
همان طور كه در بالا نيز گفتيم، آنتي ويروسهاي مبتني بر امضا براي موفق بودن در درازمدت، نياز دارند كه مرتباً ديكشنري حاوي امضاهاي ويروس را به صورت آنلاين به روز رساني نمايند. زماني كه يك ويروس جديد در دنياي رايانه پديدار مي شود، كاربران با تجربه تر فايلهاي آلوده را براي نويسندگان آنتي ويروس ها ارسال مي كنند تا آنها بتوانند ويروس مزبور را شناسايي كرده و مشخصات آن را به ديكشنري اضافه كنند.
آنتي ويروس هاي مبتني بر امضا غالباً فايلها را در زمان اجرا، باز و بسته شدن و همچنين زماني كه ايميل مي شوند، مورد آزمايش قرار مي دهند. به اين وسيله يك ويروس شناخته شده به محض وارد شدن به رايانه تشخيص داده مي شود. همچنين مي توان برنامه هاي آنتي ويروس را طوري برنامه ريزي كرد كه در زمانهاي معيني به بررسي كل فايلهاي موجود بر روي ديسك سخت بپردازند.
با وجودي كه روش مبتني بر امضا مؤثر شناخته شده است ولي ويروس نويسان همواره تلاش مي كنند تا يك قدم جلوتر از آنتي ويروس ها حركت كنند و اين كار را از طريق ايجاد ويروسهاي چندريختي انجام مي دهند. ويروسهاي چندريختي در واقع داراي يك مكانيزم دفاعي رمزنگاري هستند. بدافزارهايي از اين نوع رمزنگاري به عنوان يك مكانيزم دفاعي استفاده مي كنند كه مي خواهند خود را تغيير دهند تا از خطر تشخيص داده شدن توسط نرم افزارهاي آنتي ويروس در امان بمانند. اين بدافزار ها معمولاً خود را با يك الگوريتم رمزنگاري به صورت رمزي درآورده و سپس براي هر دگرگوني از يك كليد رمزگشايي متفاوت استفاده مي كنند. بنابراين بدافزار هاي چندريختي مي توانند از تعداد نامحدودي الگوريتم رمزنگاري به منظور ممانعت از تشخيص استفاده كنند. در هر بار تكرار بدافزار جزئي از كد رمزگشايي دچار تغيير مي شود. بسته به نوع هر بدافزار، عمليات خرابكارانه يا ديگر اعمالي كه توسط بدافزار انجام مي شوند مي توانند تحت عمليات رمزنگاري قرار بگيرند. معمولاً يك موتور دگرگوني در بدافزار رمزنگاري شده تعبيه شده است كه در هر بار تغيير، الگوريتم هاي رمزنگاري تصادفي را توليد مي كند. سپس موتور مذكور و بدافزار توسط الگوريتم توليدي رمزنگاري شده و كليد رمزگشايي جديد به آنها الصاق مي شود.
نكته اي كه نبايد آن را از نظر دور داشت اينست كه روشهاي متنوعي براي رمزنگاري و بسته بندي بدافزارها وجود دارد كه تشخيص انواع شناخته شده بدافزارها را براي آنتي ويروسها بسيار سخت يا غيرممكن مي سازد. لذا تشخيص اينگونه ويروسها نيازمند موتورهاي قوي باز كردن بسته بندي است كه بتوانند فايلها را قبل از آزمايش رمزگشايي نمايند. متأسفانه بسياري از آنتي ويروس هاي محبوب و معروف امروزي فاقد توانايي تشخيص ويروس هاي رمزنگاري شده هستند.


روش مبتني بر رفتار

روش مبتني بر رفتار بر خلاف روش پيشين تنها در تلاش براي شناسايي ويروسهاي شناخته شده نيست و به جاي آن رفتار همه برنامه ها را نظارت مي كند. اين تكنيك سعي در تشخيص انواع شناخته شده و همچنين انواع جديد بدافزار دارد و اين كار را از طريق جستجوي ويژگيهاي عمومي و مشترك بدافزارها انجام مي دهد. براي مثال اگر يك برنامه سعي در نوشتن داده بر روي يك برنامه اجرايي ديگر را داشته باشد، اين رفتار به عنوان يك رفتار مشكوك شناسايي شده و به كاربر هشدار لازم داده مي شود. سپس از او در مورد اينكه چه كاري بايد انجام شود سؤال مي شود.
آنتي ويروس هاي مبتني بر رفتار بر خلاف آنتي ويروس هاي مبتني بر امضا از رايانه در برابر ويروسهاي جديد نيز كه امضاي آنها در هيچ ديكشنري موجود نيست، محافظت به عمل مي آورند. البته مشكل اين آنتي ويروسها تعداد زياد تشخيصهاي مثبت اشتباه و هشدارهاي به كاربر است كه موجب خستگي و سر رفتن حوصله كاربران مي شود. در صورتي كه كاربران به همه هشدارها پاسخ Accept را بدهند عملاً آنتي ويروس بلااستفاده شده و كارايي خود را از دست خواهد داد، به همين دليل آنتي ويروس ها استفاده از اين روش را روز به روز محدودتر مي كنند.
به روش مبتني بر رفتار جستجوي اكتشافي يا Heuristic نيز گفته مي شود زيرا سعي در كشف رفتارهاي مشكوك و شناسايي بدافزارها دارد. مهمترين فايده اين روش تكيه نكردن آن بر فايلهاي امضا براي تشخيص و مقابله با بدافزار است. به هر حال همان طور كه گفتيم بررسي اكتشافي نيز با مشكلات خاصي روبرو است از جمله:


  • تشخيص مثبت اشتباه يا False Positive
    اين روش از ويژگيهاي عمومي بدافزار ها استفاده مي كند، و بنابراين ممكن است برخي از نرم افزارهاي قانوني و معتبر را در صورتي كه خصوصياتي شبيه بدافزارها داشته باشند، نيز به اشتباه بدافزار شناسايي كند.
  • بررسي كندتر
    پروسه جستجوي ويژگيها براي يك نرم افزار بسيار سخت تر از جستجوي الگوهايي مشخص است. به همين دليل جستجوي اكتشافي مدت زمان بيشتري نسبت به جستجوي امضا جهت شناسايي بدافزارها نياز دارد.
  • نديدن ويژگيهاي جديد
    در صورتي كه يك حمله بدافزاري جديد ويژگيهايي را از خود به نمايش بگذارد كه پيش از اين شناسايي نشده اند، جستجوي اكتشافي نيز آن را شناسايي نمي كند مگر اينكه به روز رساني شده و ويژگي مذكور به حافظه آن اضافه شود.

روشهاي ديگر



استفاده از Sandbox

يك روش ديگر براي تشخيص ويروسها استفاده از sandbox است. يك sandbox سيستم عامل را شبيه سازي كرده و فايلهاي اجرايي را در اين شبيه سازي اجرا مي كند. بعد از پايان اجراي برنامه ها sandbox در مورد تغييراتي كه ممكن است نشان دهنده ويروس باشد مورد ارزيابي قرار مي گيرد. به علت سرعت پايين اين روش تشخيص، از آن فقط در صورت تقاضاي كاربر استفاده مي شود.

فناوري ابر

در نرم افزارهاي آنتي ويروس رايج و امروزي يك فايل يا برنامه جديد تنها توسط يك تشخيص دهنده ويروس در يك زمان مورد بررسي قرار مي گيرد. آنتي ويروس ابري مي تواند برنامه ها يا فايلها را به يك شبكه ابري ارسال كند كه در آن از چندين آنتي ويروس و چندين ابزار تشخيص بدافزار به صورت همزمان استفاده مي شود.
آنتي ويروس ابري در واقع يك آنتي ويروس مبتني بر محاسبات ابري است كه توسط دانشمندان دانشگاه ميشيگان توليد شده است. هر زمان كه رايانه يك فايل يا برنامه جديد را دريافت يا نصب كند يك نسخه از آن به صورت خودكار براي ابر آنتي ويروس ارسال مي شود و در آنجا با استفاده از 12 تشخيص دهنده متفاوت كه با يكديگر كار مي كنند، مشخص مي شود كه آيا باز كردن فايل يا برنامه مذكور امن است يا خير.


ابزار پاكسازي ويروس

يك ابزار پاكسازي ويروس در واقع نرم افزاري است كه براي تشخيص و پاكسازي ويروسهاي خاصي طراحي شده است. لذا بر خلاف آنتي ويروسهاي كامل از آنها انتظار تشخيص گستره وسيعي از ويروسها را نداريم بلكه آنها براي تشخيص و پاكسازي ويروسهاي ويژه اي از روي رايانه هاي قرباني طراحي شده اند و در اين كار به مراتب موفق تر از آنتي ويروس هاي عمومي عمل مي كنند. برخي اوقات آنها براي اجرا در محلهايي طراحي مي شوند كه آنتي ويروس هاي معمولي نمي توانند در آن محلها اجرا شوند. اين حالت براي مواقعي كه رايانه به شدت آسيب ديده و آلوده شده است مناسب است.

تشخيص آنلاين

برخي وب سايتها امكان بررسي فايلهاي بارگذاري شده توسط كاربر به صورت آنلاين را فراهم مي كنند. اين وب سايتها از چندين تشخيص دهنده ويروس به صورت همزمان استفاده مي كند و گزارشي را در مورد فايلهاي بارگذاري شده براي كاربر تهيه مي كنند. براي مثال مي توان به وب سايتهاي COMODO Automated Analysis System و VirusTotal.com اشاره كرد.
در پايان بايد بگوييم درست است كه استفاده از آنتي ويروس ها اجتناب ناپذير بوده و شكي در سودمند بودن آنها نيست ولي برخي از اوقات دردسرهايي را براي كاربران ايجاد مي كنند. براي مثال برنامه هاي آنتي ويروس در صورتي كه به صورت مؤثر طراحي نشده باشند، كارايي رايانه را كاهش داده و باعث كند شدن آن مي شوند، ممكن است كاربران بي تجربه در فهميدن هشدارهاي آنتي ويروس مشكل داشته باشند و پيشنهاداتي را كه آنتي ويروس به آنها ارائه مي كند درست متوجه نشوند. گاهي اوقات يك تصميم نادرست ممكن است منجر به نشت اطلاعات شود. در صورتي كه آنتي ويروس از جستجوي اكتشافي استفاده كند كارايي آن به ميزان تشخيصهاي مثبت نادرست و تشخيصهاي منفي نادرست بستگي دارد، و در آخر از آنجا كه برنامه هاي آنتي ويروس غالباً در سطوح بسيار قابل اطمينان در هسته سيستم اجرا مي شوند، محل خوبي براي اجراي حملات بر عليه رايانه مي باشند.


منابع:

The Antivirus Defense in Depth. PDF

http://www.antivirusworld.com/articles/antivirus.php

http://www.net-security.org/article.php?id=485&p=1

http://en.wikipedia.org/wiki/Antivirus


18 مرداد 1393 برچسب‌ها: مستندات مرجع
تهديدات پنهاني، قسمت اول: Rootkit
IRCAR200907027

مقدمه

يك Rootkit يك سيستم نرم افزاري است كه از يك يا چندين برنامه تشكيل شده است. اين نرم افزار براي پنهان كردن اين واقعيت كه سيستم شما مورد سوء استفاده قرار گرفته است طراحي شده است. يك فرد مهاجم ممكن است از Rootkit براي جايگزين كردن فايلهاي اجرايي حياتي سيستم با فايلهاي مورد نظر خود استفاده نمايد. اين فايلها مي­توانند براي پنهان كردن پردازه ها و فايلهايي كه فرد مهاجم نصب كرده است مورد استفاده قرار گيرند. نوعا Rootkitها با گول زدن و فريب دادن بخش امنيتي سيستم عامل و مكانيزمهاي امنيتي مانند آنتي ويروسها و ابزارهاي ضد جاسوسي، وجود خود را انكار مي­كنند. در اغلب موارد اين Rootkitها تروجان نيز هستند و با فريب كاربر، وي را قانع مي­كنند كه در حال اجراي برنامه امن و قابل اعتمادي است. تكنيكهاي مورد استفاده براي انجام اين كار شامل پنهان كردن پردازه هاي در حال اجرا از ديد برنامه هاي كنترل كننده، يا پنهان كردن فايلها يا داده هاي سيستم از ديد سيستم عامل مي­باشد. Rootkitها همچنين ممكن است يك در پشتي (back door) روي سيستم قرباني نصب كنند.
Rootkitها براي انواع مختلف سيستم عاملها مانند ويندوز، لينوكس، Mac OS و Solaris توليد مي­شوند. اين برنامه هاي خرابكار اغلب بخشهايي از سيستم عامل را تغيير داده يا خود را به عنوان درايور و يا ماژولهاي هسته اي نصب مي­كنند.


1- تاريخچه

واژه Rootkit بدوا به مجموعه اي از ابزارهاي مديريتي خرابكارانه براي سيستم عامل Unix اشاره مي­كند كه بطور پنهاني مجوز دسترسي به Root سيستم را دارا هستند. اگر يك فرد مهاجم بتواند ابزارهاي استاندارد مديريتي يك سيستم را با يك Rootkit جايگزين كند، اين ابزارهاي تغيير يافته به فرد نفوذگر اجازه خواهند داد كه در حاليكه فعاليتهاي خود را از ديد مدير حقيقي پنهان مي­كند، دسترسي root را روي سيستم در دست داشته باشد. اولين rootkit شناخته شده در سال 1990 توسط Lane Davis و Steven Dake براي سيستم عامل SunOS 4.1.1 نوشته شد.
يك Rootkit نمي­تواند امتيازات و اولويتهاي دسترسي يك فرد مهاجم را پيش از نصب روي سيستم بالا ببرد. نصب نيز مستلزم اين است كه فرد نفوذگر دسترسي Root يا مدير داشته باشد. اين دسترسي مي­تواند بصورت فيزيكي و يا از طريق نفوذ در آسيب پذيريهاي امنيتي رخ دهد. برنامه نصب rootkit مي­تواند به سادگي و بدون اطلاع مدير (براي مثال از طريق يك تروجان) اجرا گردد. زماني كه اين rootkit نصب گردد، دسترسي را در سطح مدير نگه مي­دارد و حضور خود را از ديد ساير پردازه ها پنهان مي­نمايد.


2- موارد كاربرد

يك rootkit كه بطور موفقيت آميزي نصب شده باشد، به كاربران غير قابل اعتماد و شناخته نشده اجازه مي­دهد كه به عنوان مدير به سيستم دسترسي داشته باشند، و بنابراين بتوانند كنترل كامل سيستم قرباني را بدست بگيرند. بيشتر rootkitها بطور طبيعي فايلها، پردازه ها، ارتباطات شبكه، بلوكهاي حافظه، و يا وروديهاي رجيستري ويندوز را از ساير برنامه هايي كه توسط مديران براي تشخيص دسترسي هاي اولويت دار به منابع سيستم استفاده مي­شوند، پنهان مي­كنند. البته rootkitها هميشه خرابكار نيستند و مي­توانند براي مقاصد سازنده نيز مورد استفاده قرار گيرند.
بسياري از rootkit ها برنامه هاي utility را پنهان مي­كنند. اين دسته از rootkitها معمولا سعي مي­كنند كه به سيستم قرباني نفوذ كرده و در اغلب موارد يك در پشتي (back door) نيز براي نفوذهاي بعدي مهاجمان باقي مي­گذارند.
در مورد اينكه آيا rootkit جزو بدافزارها محسوب مي­شوند يا نه بحثهايي وجود دارد. كاربردهاي قانوني زيادي براي rootkit ها وجود دارد. براي مثال مجريان قانون، والدين و يا كارفرمايان مي­توانند با استفاده از اين ابزار فعاليت كارمندان يا فزرندان خود را روي سيستم خود كنترل نمايند. محصولاتي مانند eBlaster يا Spector Pro در حقيقت rootkit هايي هستند كه به منظور چنين كنترلهايي استفاده مي­شوند.
اما اغلب توجهات به rootkit ها، روي rootkit هاي خرابكار و يا غيرقانوني كه توسط مهاجمان مورد استفاده قرار مي­گيرند تمركز مي­كند. در حاليكه ممكن است يك rootkit به نحوي روي يك سيستم از طريق يك ويروس يا تروجان نصب گردد، اما لزوما خود rootkit يك بدافزار نيست.


3- انواع Rootkit

  • Rootkit هاي دائمي
    يك Rootkit دائمي هر بار كه سيستم راه اندازي مي­شود فعال مي­گردد. از آنجايي كه چنين بدافزاري شامل كدي است كه بايد به طور خودكار در هر بار راه اندازي سيستم يا ورود كاربر اجرا گردد، بايد اين كد در يك حافظه دائمي مانند رجيستري يا سيستم فايل ذخيره شود و روشي در نظر گرفته شود كه بدون دخالت كاربر، اين كد اجرا گردد.
  • Rootkit هاي مبتني بر حافظه
    Rootkit هاي مبتني بر حافظه بدافزارهايي هستند كه كد دائمي ندارند و بعد از راه اندازي مجدد سيستم زنده نمي­مانند.
  • Rootkit هاي مد كاربر
    روشهاي زيادي وجود دارند كه Rootkit ها با استفاده از آنها از كشف شدن خود جلوگيري مي­كنند. براي مثال، يك rootkit مد كاربر ممكن است جلوي تمامي درخواستهاي ارسالي به APIهاي FindFirstFile/FindNextFile ويندوز را كه توسط ابزارهاي مرور سيستم فايل استفاده مي­شود بگيرند.
    API اصلي ويندوز بعنوان يك رابط بين كلاينتهاي مد كاربر و سرويسهاي مد هسته عمل مي­كند. Rootkit هاي مد كاربر كه پيچيده تر هستند جلوي سيستم فايل، رجيستري، و توابع شمارش پردازه هاي API اصلي را مي­گيرند. اين كار جلوي كشف آنها توسط برنامه هاي اسكن كننده را مي­گيرد.
  • Rootkit هاي مد هسته
    Rootkit هاي مد هسته حتي مي­توانند قدرتمندتر نيز باشند، چراكه نه تنها مي­توانند API اصلي را در مد هسته دستكاري كنند، بلكه همچنين مي­توانند بطور مستقيم ساختارهاي داده مد هسته را دستكاري نمايند. يك تكنيك معمول براي پنهان كردن حضور يك پردازه بدافزار اين است كه آن پردازه از فهرست پردازه هاي فعال هسته حذف گردد. از آنجاييكه API هاي مديريت پردازه، به محتويات اين فهرست اعتماد و تكيه مي­كنند، پردازه بدافزار در ابزارهاي مديريت پردازه مانند Task Manager يا Process Explorer نمايش داده نخواهد شد.

4- تشخيص Rootkit

تشخيص يك rootkit در بيان بسيار ساده تر از عمل است. در حقيقت بر خلاف ويروسها و ابزارهاي جاسوسي، هيچ برنامه يا نرم افزاري تا كنون توليد نشده است كه بتواند تمامي rootkit ها را پيدا و حذف نمايد.
راههاي مختلفي براي اسكن حافظه يا بخش فايلهاي سيستمي در مورد وجود rootkit موجود است، ولي اغلب آنها داراي ابزار خودكار نيستند و ابزارهايي كه وجود دارند نيز اغلب براي تشخيص و حذف يك نوع rootkit خاص ساخته شده اند. يك روش ديگر اين است كه به دنبال رفتارهاي غير منطقي و عجيب روي سيستم كامپيوتري بگرديم. اگر چيز مشكوك و غير معمولي مشاهده گردد، شايد بتوان گفت كه سيستم شما قرباني يك rootkit شده است.
فايلهاي باينري Rootkit ها در اغلب موارد –حداقل تا زمانيكه توسط كاربر اجرا شده و خود را پنهان نمايند- توسط برنامه هاي آنتي ويروس مبتني بر امضا يا مبتني بر heuristic قابل تشخيص هستند. يك سري محدوديتهاي ذاتي در مورد هر برنامه اي كه كه بخواهد rootkit ها را تشخيص دهد و در عين حال روي سيستمي كه مشكوك به وجود rootkit است قرار داشته باشد وجود دارد. Rootkit ها برنامه هايي هستند كه بسياري از ابزارها و كتابخانه هاي سيستم هسته را كه تمام برنامه هاي سيستم به آنها بستگي دارند تغيير مي­دهند. برخي rootkit ها سعي مي­كنند كه سيستم عامل حاضر را از طريق ماژولهاي قابل بارگذاري روي لينوكس (و برخي ديگر از انواع يونيكس)، و نيز از طريق درايورهاي مجازي قطعه هاي خارجي روي پلت فورمهاي ويندوز تغيير دهند. مشكل اساسي در مورد تشخيص rootkit اين است كه اگر سيستم عامل حاضر تغيير يافته باشد، ديگر قابل اعتماد نخواهد بود. در نتيجه ادعاهاي سيستم عامل در مورد تغييرات بدون مجوز در خود سيستم عامل يا اجزاي آن معتبر نخواهد بود. بعبارت ديگر، فعاليتهايي مانند درخواست فهرست پردازه هاي در حال اجرا يا درخواست فهرست تمام فايلهاي موجود در يك دايركتوري، لزوما به نتيجه اي منطبق با چيزي كه طراحان آن منظور داشته اند نخواهد رسيد. فقط آن دسته از تشخيص دهنده هاي rootkit ها كه روي سيستمهاي live اجرا مي­شوند كار مي­كنند، چرا كه rootkit ها هنوز آنقدر گسترش نيافته اند كه خود را از اين تشخيص دهنده ها پنهان نمايند.
بهترين و قابل اعتمادترين روش براي تشخيص rootkit در سطح سيستم عامل اين است كه كامپيوتر را خاموش كرده، و سپس با بالا آمدن مجدد آن از روي يك CD-ROM يا درايو USB قابل اعتماد، حافظه آن را بررسي نماييد. يك rootkit كه در حال اجرا نباشد نمي­تواند وجود خود را پنهان نمايد، و بيشتر برنامه هاي آنتي ويروس rootkit ها را شناسايي خواهند كرد. Rootkit هاي در حال اجرا سعي مي­كنند از خود به وسيله كنترل پردازه هاي در حال اجرا و مسدود كردن فعاليت آنها تا زمان پايان يافتن عمليات اسكن، محافظت نمايند.
در نهايت بسياري از متخصصين امنيت توصيه مي­كنند كه يك بازسازي كامل در مورد سيستمي كه توسط rootkit مورد سوء استفاده قرار گرفته است بايد انجام داد. دليل اين مساله اين است كه حتي اگر شما فايلها يا پردازه هاي مرتبط با rootkit را كشف كنيد، بدست آوردن اطمينان 100 درصد از اين موضوع كه تمامي اجزاي rootkit را حذف كرده ايد بسيار مشكل است. تنها در حالتي مي­توانيد با خيال راحت به كار خود بپردازيد كه كل سيستم را پاك كرده و از اول شروع كرده باشيد.


5- براي محافظت از خود چه كاري مي­توانيد انجام دهيد؟

اگر شما عادات خوب امنيتي را به كار بگيريد، خطر سوء استفاده از كامپيوتر خود را كاهش مي­دهيد:

  • استفاده از آنتي ويروس
    نرم افزار آنتي ويروس بيشتر انواع ويروسها را شناسايي كرده و شما را در برابر آنها محافظت مي­كند، بنابراين ممكن است شما بتوانيد اين ويروس را قبل از اينكه ضربه اي به شما بزند تشخيص داده و از سيستم خود پاك كنيد. از آنجايي كه افراد مهاجم بطور مداوم در حال نوشتن ويروسهاي جديد هستند، بايد هميشه تعريف ويروسها را در آنتي ويروس خود به روز نگه داريد. برخي از توليد كنندگان آنتي ويروس نرم افزارهاي ضد rootkit نيز عرضه مي­كنند.
  • نصب فايروال
    فايروالها ممكن است بتوانند با مسدود كردن ترافيك خرابكار قبل از ورود آن به كامپيوتر شما و نيز با محدود كردن ترافيك ارسالي توسط شما، از برخي انواع مشكلات جلوگيري نمايند. برخي سيستم عاملها خود داراي يك فايروال هستند، ولي شما بايد اطمينان حاصل كنيد كه اين فايروال فعال است.
  • استفاده از كلمات عبور مناسب
    كلمات عبوري را انتخاب كنيد كه افراد مهاجم نتوانند به آساني آن را حدس بزنند. از كلمات عبور مختلف براي حسابهاي كاربري متفاوت خود استفاده كنيد. و در نهايت اينكه ترجيحا به سيستم خود اجازه ندهيد كه كلمات عبور شما را به خاطر بسپارد.
  • به روز نگه داشتن نرم افزارها
    اصلاحيه هاي نرم افزاري را نصب كنيد. به اين ترتيب افراد مهاجم نمي­توانند از آسيب پذيريهاي شناخته شده روي سيستم شما سوء استفاده نمايند. بسياري از سيستم عاملها به طور خودكار عمليات به روز رساني را انجام مي­دهند. اگر سيستم عامل شما نيز چنين امكاني دارد، حتما آن را فعال نماييد.
  • پيروي از توصيه هاي امنيتي
    جوانب احتياط را در هنگام استفاده از ايميل و مرورگرهاي وب رعايت كنيد و خطر فعاليتهاي خرابكارانه را بر روي سيستم خود را كاهش دهيد.
18 مرداد 1393 برچسب‌ها: مستندات مرجع
تهديدات پنهاني، قسمت دوم: Botnet
IRCAR200908030
  • مقدمه

    لغتي است كه از ايده شبكه اي از روبوتها استخراج شده است. در ساده ترين شكل، يك روبوت يك برنامه كامپيوتري خودكار است. در botnetها، bot به كامپيوترهايي اشاره مي­كند كه مي­توانند توسط يك يا چند منبع خارجي كنترل شوند. يك فرد مهاجم معمولا كنترل كامپيوتر را با ضربه زدن به آن كامپيوتر توسط يك ويروس يا يك كد مخرب بدست مي­گيرد و به اين وسيله دسترسي فرد مهاجم به سيستم آسيب ديده فراهم مي­شود. ممكن است كامپيوتر شما بخشي از يك botnet باشد ولي ظاهرا درست و عادي كار كند. Botnet ها معمولا براي هدايت فعاليتهاي مختلفي مورد استفاده قرار مي­گيرند. اين فعاليتها مي­تواند شامل انتشار هرزنامه و ويروس، يا انجام حملات انكار سرويس و يا فعاليتهاي خرابكارانه ديگر باشد. Botnet ها از كامپيوترهايي تشكيل شده اند كه توسط يك سرور خرابكار كنترل مي­شوند و عمده ترين تكنولوژي مورد استفاده جهت انتشار هرزنامه، بدافزار و برنامه هاي سرقت هويت هستند. زماني كه كامپيوترها آگاهانه يا ناآگاهانه توسط نرم افزاري كه براي اين منظور طراحي شده آسيب مي­بينند، ديگر قادر نخواهند بود در برابر دستورات مالك botnet مقاومت نمايند. Botnet ها تهديدات مداومي براي شركتهاي تجاري به حساب مي آيند و در صورت نفوذ به شبكه يك شركت تجاري يا دسترسي به داده هاي محرمانه، بسيار خطرناك هستند. مشكل اصلي در مورد botnet ها اين است كه پنهان هستند و ممكن است تا زمانيكه شما بطور خاص به دنبال آنها نگرديد، متوجه حضورشان نشويد. افراد مهاجم همچنين از botnet ها براي دسترسي به اطلاعات شخصي و تغيير آنها، حمله به كامپيوترهاي ديگر، و انجام ساير اعمال مجرمانه استفاده مي­كنند و در عين حال ناشناخته باقي مي­مانند. از آنجايي كه هر كامپيوتر در يك botnet مي­تواند براي اجراي دستورات يكسان برنامه ريزي شود، يك فرد مهاجم مي­تواند با استفاده از هر يك از اين كامپيوترها، آسيب پذيريهاي چندين كامپيوتر را بررسي كرده و فعاليتهاي آنلاين آنها را كنترل نمايد يا اطلاعاتي را كه در فرمهاي آنلاين وارد مي­كنند جمع آوري كند.

  • يك botnet دقيقا چيست؟

    Botnet ها شبكه هايي از كامپيوترهاي آلوده هستند. اين كامپيوترها تحت كنترل يك مجموعه دستورات هستند كه از طريق نرم افزاري كه تعمدا و يا نا آگاهانه نصب شده است، مديريت شده و تغيير مي­كنند. اين نرم افزار توسط يك كامپيوتر خرابكار كنترل مي­گردد. ممكن است botnet ها داراي كاركردهاي قانوني نيز باشند، ولي در اغلب موارد با فعاليتهاي مجرمانه براي انتشار هرزنامه، بدافزار يا حملات سرقت هويت در ارتباطند. بر اساس مطالعات اخير، حدود 10 درصد از تمامي كامپيوترهاي موجود بر روي اينترنت توسط botnet ها آلوده شده اند. زماني كه يك كامپيوتر توسط نرم افزار botnet آلوده مي­شود، ديگر قادر نخواهد بود در برابر دستورات مالك botnet مقاومت كرده يا از اجراي آنها سر باز زند. برخي اوقات از كامپيوترهاي موجود در Botnet ها بعنوان Zombie نام برده مي­شود. اندازه يك botnet به پيچيدگي و تعداد كامپيوترهاي استخدام شده در اين Botnet بستگي دارد. يك botnet بزرگ ممكن است از 10000 كامپيوتر منفرد تشكيل شده باشد. معمولا كاربران كامپيوترها از اين موضوع كه سيستمهايشان از راه دور كنترل شده و مورد سوء استفاده قرار مي­گيرد اطلاعي ندارند. از آنجاييكه Botnet ها از تكنولوژيهاي بدافزاري مختلفي تشكيل شده اند، توضيح دادن درباره آنها و پيچيدگي كار آنها چندان ساده نيست. افراد مهاجم تكنولوژيهاي مختلف را به نحوي با هم تركيب كرده اند كه دسته بندي آنها را سخت مي­كند. Botnet ها مي­توانند باعث ايجاد گستره متنوعي از حملات گردند:

    • حملات انكار سرويس توزيع شده يك botnet با هزاران عضوي كه در سراسر جهان دارد مي­تواند يك حمله گسترده و هماهنگ را براي خراب كردن يا از كار انداختن سايتها و سرويسهاي مهم راه اندازي نمايد و منابع و پهناي باند اين سيستمها را اشغال كند. حملات چندين گيگا بيت بر ثانيه توسط botnet ها حملاتي كاملا شناخته شده و معمول هستند. اغلب حملات معمول از UDP، ICMP، و TCP SYN استفاده مي­كنند. اهداف اين حملات ممكن است شامل وب سايتهاي تجاري يا دولتي، سرويسهاي ايميل، سرورهاي DNS، ارائه دهنده هاي سرويس اينترنت، زيرساختهاي اساسي اينترنت يا حتي توليد كنندگان ابزارهاي امنيتي صنعت فناوري اطلاعات باشد. حملات همچنين ممكن است سازمانهاي سياسي يا مذهبي خاصي را هدف بگيرند. اين حملات گاهي با باج گيري همراه مي­شوند. هر سرويس اينترنتي ممكن است هدف يك botnet قرار گيرد. اين كار مي­تواند از طريق غرق كردن وب سايت مورد نظر در درخواستهاي بازگشتي HTTP انجام شود. اين نوع حمله كه در آن، پروتكلهاي سطوح بالاتر نيز براي افزايش تاثير حمله به كار گرفته مي­شوند، بعنوان حملات عنكبوتي نيز مشهور است.
    • ابزار جاسوسي و بدافزار Botnet ها فعاليتهاي تحت وب كاربران را بدون اطلاع يا رضايت كاربر كنترل كرده و گزارش مي­دهند. همچنين ممكن است Botnet ها نرم افزار ديگري را براي جمع آوري اطلاعاتي درباره آسيب پذيريهاي سيستم نصب كرده و اين اطلاعات را به ديگران بفروشند. علاوه بر اين، يك ربات همچنين مي­تواند بعنوان يك وسيله استراق سمع به كار رفته و داده هاي مهم و حساس را كه از يك سيستم آسيب ديده مي­گذرند گوش دهد. داده هاي نوعي كه اين رباتها به دنبال آن مي­گردند عبارتند از اسامي كاربري و كلمات عبوري كه فرمانده Botnet مي­تواند براي اهداف شخصي خود از آنها استفاده كند. داده هايي درباره يك botnet رقيب كه در همان واحد نصب شده است نيز مي­تواند هدف فرمانده botnet قرار بگيرد تا به اين وسيله، botnet ديگر را نيز سرقت نمايد.
    • سرقت هويت در اغلب موارد Botnet ها براي سرقت اطلاعات هويت شخصي افراد، داده هاي مالي و تجاري، يا كلمات عبور كاربران و سپس فروش يا استفاده مستقيم از آنها به كار مي­روند. همچنين Botnet ها در پيدا كردن و معرفي سرورهايي كه مي­توانند براي ميزباني وب سايتهاي سرقت هويت مورد استفاده قرار گيرند كمك كنند. اين وب سايتها خود را به جاي يك وب سايت معتبر جا زده و كلمات عبور و داده هاي هويتي كاربران را سرقت مي­كنند.
    • ابزار تبليغاتي ممكن است botnet ها بطور خودكار popup هاي تبليغاتي را بر اساس عادات كاربر دانلود و نصب نمايند يا مرورگر كاربر را مجبور كنند كه بطور متناوب وب سايتهاي خاصي را مشاهده نمايد.
    • هرزنامه يك botnet مي­تواند براي ارسال هرزنامه ها مورد استفاده قرار گيرد. پس از اينكه يك كامپيوتر مورد سوء استفاده قرار گرفت، فرمانده botnet مي­تواند از اين zombie جديد به همراه ساير zombie هاي botnet استفاده كرده و با جمع آوري آدرسهاي ايميل به ارسال دسته اي هرزنامه و يا ايميلهاي سرقت هويت اقدام نمايد. امروزه اغلب هرزنامه ها از طريق botnet ها انتشار مي­يابند. بر اساس مطالعات اخير، در سال 2008 botnet ها مسوول انتشار بيش از 90 درصد از هرزنامه ها بودند.
    • گسترش botnet Botnet ها همچنين مي­توانند براي گسترش ساير Botnet ها مورد استفاده قرار گيرند. اين كار با متقاعد كردن كاربر براي دانلود كردن فايل اجرايي مورد نظر از طريق FTP، HTTP يا ايميل انجام مي­شود.
    • فريب سيستمهاي پرداخت به ازاي هر كليك Botnet ها مي­توانند براي مقاصد تجاري مورد استفاده قرار گيرند. آنها اين كار را با كليكهاي خودكار روي يك سيستم كه به ازاي هر كليك مبلغي را پرداخت مي­كند انجام مي­دهند. اعضاي Botnet در هنگام آغاز به كار يك مرورگر بطور خودكار روي يك سايت كليك مي كنند. بعبارت ديگر، اين Botnet ها تعداد كليكهاي يك آگهي تبليغاتي را به شكل مصنوعي افزايش مي­دهند.
  • چگونه يك botnet تجارت و شبكه شما را تحت تاثير قرار مي­دهد؟

    براي اينكه شركتهاي تجاري بتوانند با خطرات botnet ها مقابله نمايند، ابتدا بايد بدانند كه خطرات حقيقي اين شبكه ها چيست. قابليت پاسخگويي سريع و موثر به نفوذ botnet يكي از مهمترين چالشهاي شركتهاي تجاري است. متاسفانه استفاده صرف از تكنولوژي مبتني بر امضا براي مقابله با اين حملات، مي­تواند باعث در خطر قرار گرفتن شركت شما گردد. ممكن است چند ساعت يا حتي چند روز طول بكشد تا شما بتوانيد از طريق اين تكنولوژي يك botnet را كشف كرده و پاسخ مناسبي به حملات آن بدهيد. از آنجايي كه botnet ها پيچيده هستند و مبارزه و حذف آنها كار سختي است، خطر براي شركت شما باقي مي­ماند. Botnet ها براي مجرمان اينترنتي جذاب هستند، چرا كه اين قابليت را دارند كه براي جرائم مختلف مجددا تنظيم شوند، براي سرويسهاي ميزباني جديد تغيير مكان پيدا كنند، و در پاسخ به پيشرفتهاي جديد امنيتي دوباره برنامه ريزي گردند. مجرمان اينترنتي با استفاده از اين شبكه ها، حوزه جرائم خود را گسترده مي­كنند. صاحبان اين botnet ها با استفاده از قدرت مخرب botnet ها حملات دقيق و هدفمندي را عليه شركتهاي تجاري ايجاد مي­كنند. علاوه بر انتشار هرزنامه، هك كردن پايگاههاي داده ايميلها و اجراي حملات انكار سرويس توزيع شده (DDOS)، اكنون botnet ها به شكل گسترده اي براي سرقت اطلاعات در قالب كلاهبرداريهاي مالي يا عمليات جاسوسي شركتي مورد استفاده قرار مي­گيرند. يكي از مهمترين كاربردهاي botnet ها حملات DDOS است. يك حمله DDOS پيشرفته، مي­تواند سيستمهاي IT را براي ساعتها يا روزها مسدود نموده و مستقيما باعث ايجاد ضررهاي مالي ­گردد كه در نتيجه كل اقتصاد بصورت غير مستقيم آسيب مي­بيند. Botnet ها سعي مي­كنند كه به هرزنامه ها بعنوان يك بخش مهم از مبارزه خود تكيه نمايند. Botnet ها به انتشار دهندگان هرزنامه ها اجازه مي­دهند كه ميليونها پيغام را از طريق سيستمهاي آسيب ديده در مدت زمان كوتاهي ارسال نمايند. اين پيغامها مي­توانند درصد زيادي از پهناي باند شبكه و كارآيي سرور يك شركت را اشغال كنند. اگر سرورها در اثر حجم هرزنامه ها از كار بيفتند يا بدافزارهاي موجود در ايميلها نصب گردند، مي­تواند باعث زيانهاي مالي شديد گردد. زماني كه botnet ها به سيستم عامل يا شبكه يك شركت دسترسي پيدا مي­كنند، مي­توانند به اطلاعات مربوط به كارتهاي اعتباري، حسابهاي بانكي، و يا اطلاعات محرمانه تجاري دست يافته و آنها را سرقت نمايند. معمولا شركتهايي كه نقل و انتقالات آنلاين را هدايت مي­كنند، هدف كلاهبرداري قرار مي­گيرند. چرا كه نقل و انتقالات آنلاين نياز به اين دارد كه اطلاعات شخصي مهم يا اطلاعات تجاري وارد سيستمهاي آنان گردد. يك كلاهبرداري آنلاين قوي به وسيله يك botnet، مي­تواند منجر به زيانهاي شديد مالي براي شركت تجاري هدف و نيز مشتريان او گردد. همچنين چنين اتفاقي مي­تواند باعث بدنامي اين شركت و از دست رفتن اعتبار وي شود.

  • در مقابل Botnet ها چه كنيم؟

    • هشيار باشيد
      اين توصيه به نظر بسيار واضح و بديهي مي آيد! ولي ما همچنان با گروهي از مديران آي تي برخورد مي­كنيم كه هرگز به لاگهاي سيستم خود نگاه نمي­كنند، هرگز مصرف پهناي باند را بررسي نمي­نمايند، نمي­توانند به شما بگويند كه چه كسي به چه چيزي در شبكه آنها متصل شده است، و سيستمهايي به شبكه آنها وصل هستند كه آنها اصلا اين سيستمها را نمي­شناسند. اگر اين چند جمله در مورد شما هم صدق مي­كند، بايد گفت كه شما به دنبال دردسر مي­گرديد. حتي ممكن است همين حالا كه اين مطلب را مي­خوانيد سيستمهايي از شبكه شما عضو يك botnet باشند. اگر شما مديري هستيد كه به ندرت لاگهاي خود را بررسي مي­كنيد، بايد از اين پس شروع به خواندن اين لاگها نماييد. زمانيكه شيوه بررسي اين لاگها را ياد بگيريد، اين كار بيشتر از 30 دقيقه در روز وقت شما را نخواهد گرفت. اگر شما به دليل كمبود منابع و پرسنل اين كار را انجام نمي­دهيد، شرايط و خطرات اين كار را براي مافوق خود توضيح دهيد و بخواهيد كه هر روز صبح نيم ساعت به شما براي بررسي وضعيت شبكه فرصت بدهند. به خاطر داشته باشيد كه اين زمان نيم ساعته از هر ملاقات و كنفرانس و مساله كاري ديگري مهمتر است.
    • آگاهي و دانش كاربران را افزايش دهيد
      برخي botnet ها در اينترنت به دنبال سيستمهاي آسيب پذير مي­گردند تا به آنها آسيب برسانند. يك تاكتيك ديگر مورد استفاده botnet ها مهندسي اجتماعي است كه به وسيله آن، قرباني خود را براي باز كردن يك فايل يا كليك كردن روي يك لينك فريب مي­دهند. اين Botnet ها تا زمانيكه كاربر فريب آنها را نخورده باشد نمي­توانند كاري از پيش ببرند. در گذشته مهاجمان فايلهاي اجرايي خرابكار را بعنوان پيوست يك ايميل ارسال مي­كردند. اما اكنون بيشتر فعاليتها مبتني بر وب است. ايميلهاي خرابكار كه قبلا پيوست داشتند، اكنون شامل لينكي به يك سايت خرابكار هستند. اين وظيفه شماست كه اين مساله را براي كاربران خود به روشي كه آنها كاملا متوجه شوند توضيح دهيد. به آنها بگوييد كه پيوستهاي ناشناس يا ناخواسته را باز نكنند، روي لينكهاي داخل ايميلها كليك نكنند، و به هر لينك غير عادي كه مي­بينند فكر كنند.
    • مراقب اين پورتها باشيد
      اين توصيه از دو بخش تشكيل شده است:
      1. اگرچه botnet هاي اخير مي­توانند از هر پورتي كه مدير شبكه باز گذاشته باشد ارتباط برقرار كنند، ولي اغلب botnet ها هنوز با استفاده از IRC يعني پورت شماره 6667 يا ساير پورتهايي با شماره هاي بزرگ و فرد (مانند 31337 و 54321) ايجاد ارتباط مي­كنند. تمامي پورتهاي بالاي 1024 بايد در مورد ارتباطات ورودي و خروجي مسدود باشند، مگر اينكه سازمان شما يك برنامه خاص يا نياز خاصي براي باز كردن يك پورت داشته باشد. حتي در چنين حالتي نيز شما مي­توانيد با استفاده از سياستهايي مانند بستن پورت در ساعتهاي غير كاري يا رد كردن تمامي ارتباطات به جز ارتباطاتي كه از IP هاي قابل اعتماد ايجاد شده اند، احتياط لازم را به عمل آوريد.
      2. ترافيك botnet 2.0 كه از طريق پورتهايي مانند 80 يا 7 رد و بدل مي­شود، در ساعاتي كه نبايد ترافيكي وجود داشته باشد اين botnet ها را لو مي­دهد. اغلب صاحبان botnet ها، شبكه هاي خود را بين ساعات 1 تا 5 صبح كه معمولا كسي بيدار نيست به روز مي­كنند. عادت داشته باشيد كه صبح ها لاگهاي سرور خود را چك كنيد. اگر فعاليتي مبني بر مرور وب مشاهده مي­كنيد، در حاليكه مي­دانيد در آن ساعات كسي چنين كاري انجام نداده است، بايد به وجود Botnet شك كنيد.
    • جاوا اسكريپت را مسدود كنيد
      تنظيم مرورگر به صورتي كه قبل از اجراي جاوا اسكريپت به كاربر هشدار دهد، بسياري از مشكلات را حذف خواهد كرد. قبلا در مقالات «مرورگر خود را امن كنيد» در دو بخش امنيت IE و امنيت Firefox به اين موضوع پرداخته ايم.
    • از دفاع لايه اي استفاده نماييد
      هيچيك از ابزارهاي امنيتي قادر نيستند بطور كامل از سيستم شما محافظت نمايند. اما استفاده از چند ابزار مختلف ميزان امنيت سيستم شما را افزايش مي­دهد. براي مثال اگر دو ابزار امنيتي داشته باشيد كه هريك 50 درصد از خطراتي را كه با آن مواجه مي­شوند را پوشش دهند، در صورت نصب هر دو ابزار، تقريبا مي­توانيد با 75 درصد از خطرات امنيتي مقابله نماييد.
    • وضعيت امنيت خود را ارزيابي كنيد
      بسياري از توليدكنندگان مهم نرم افزارها، ابزارهاي رايگان يا نسخه هاي آزمايشي رايگاني براي ارزيابي امنيت سيستم شما ارائه مي­دهند. اين ابزارها قادرند گستره اي از تهديدات، ترافيك، و نقاط ضعف امنيتي سيستمها را به شما گزارش دهند. اين كار به شما كمك مي­كند كه در مورد سياستهاي امنيتي خود تصميم گيري مناسبي انجام دهيد.
    • توصيه هاي معمول امنيتي را جدي بگيريد
      استفاده از آنتي ويروسهاي به روز، نصب فايروال، استفاده از كلمات عبور مناسب، به روز نگه داشتن نرم افزارها، و رعايت جوانب احتياط در هنگام استفاده از ايميل و مرورگرهاي وب، از اين دسته توصيه هاي امنيتي هستند. متاسفانه اگر يك فرد مهاجم در حال استفاده از سيستم شما در يك botnet باشد، ممكن است شما اصلا متوجه اين موضوع نشويد. حتي اگر به اين موضوع پي ببريد كه قرباني خرابكاران شده ايد، باز هم رهايي از اين وضعيت براي يك كاربر عادي كار مشكلي خواهد بود. ممكن است فرد مهاجم فايلها را روي سيستم شما تغيير داده باشد، بنابراين صرفا پاك كردن فايلهاي خرابكار ممكن است مساله را حل نكند. از اين گذشته ممكن است شما نتوانيد به اين سادگي به نسخه اوليه فايل اعتماد كنيد. اگر فكر مي­كنيد كه قرباني افراد خرابكار شده ايد، بايد با يك فرد آموزش ديده و مسلط تماس بگيريد.
18 مرداد 1393 برچسب‌ها: مستندات مرجع
فوايد به كارگيري راهكار LUA در ويندوز XP
IRCAR201005060

پيشرفت هاي اخير در فناوري شبكه مانند امكان اتصال دائم به اينترنت، فرصت هاي زيادي را در اختيار انواع شركت ها و سازمان ها و حتي كاربران عادي قرار داده است. اما متأسفانه اتصال به هر نوع شبكه اي و مخصوصاً اينترنت، خطر حملات بدافزاري را افزايش مي دهد و در همين حال كه متخصصان امنيتي مشغول مديريت خطرات موجود هستند، خطرات جديدي ايجاد و كشف مي شوند.
يكي از فاكتورهاي اصلي كه خطر بدافزارها را به ميزان چشمگيري افزايش مي دهد، تمايل به دادن امكانات مدير سيستم به كاربران است. زماني كه يك كاربر با حق دسترسي مدير يا Administrator وارد سيستم مي شود، تمام برنامه هايي كه اجرا مي كند مانند مرورگرها، برنامه هاي ايميل و برنامه هاي پيام فوري نيز حق دسترسي مدير سيستم را پيدا مي كنند. در صورتي كه اين برنامه ها يك بدافزار را فعال سازند، آن بدافزار خود را نصب و خدمات برنامه هاي آنتي ويروس را دستكاري كرده و حتي ممكن است خود را از ديد سيستم عامل پنهان سازد. از طرف ديگر كاربران نيز ممكن است به صورت ناخواسته (براي مثال از طريق بازديد از يك وب سايت آلوده شده و يا با كليك بر روي پيوست ايميل) برنامه هاي خرابكار را اجرا كنند. برنامه هاي خرابكار مذكور مي توانند بسيار خطرناك بوده و كارهايي از قبيل دستكاري اطلاعات حساس، به دست آوردن كلمات عبور از طريق نصب ثبت كننده ضربات صفحه كليد (keystroke logger)، به دست گرفتن كنترل كامل رايانه قرباني و حتي شبكه ها را انجام داده و كاري كنند كه وب سايت ها بالا نيايند و يا حتي ديسك سخت را فرمت كنند. در برخي موارد هزينه تحميل شده بر اثر خرابكاري هاي مذكور غير قابل جبران مي باشد.
براي برخورد با تهديدات مذكور، يك استراتژي دفاع چند لايه لازم است كه راهكار حساب هاي كاربري با حداقل دسترسي (LUA-least-privileged user account)، يكي از بخش هاي مهم استراتژي دفاعي را تشكيل مي دهد. راهكار LUA تضمين مي كند كه كاربران از اصول حداقل حق دسترسي پيروي كرده و با حساب هاي كاربري محدود شده وارد شبكه شوند. از طرف ديگر هدف LUA، اعطاي حق دسترسي مديريتي تنها به مديران شبكه و تنها براي انجام كارهاي مديريتي است.
براي كسب اطلاعات بيشتر در مورد LUA و اصل حداقل حق دسترسي به مقاله حداقل حق دسترسي در ويندوز XP و براي كسب اطلاعات بيشتر در مورد پياده سازي اين راهكار به مقاله "پياده سازي حداقل حق دسترسي در ويندوز XP" مراجعه فرماييد. همچنين براي آشنايي بيشتر با فوايد اين راهكار مي توانيد مقاله "فوايد پياده سازي LUA در ويندوز XP " را مطالعه كنيد. در اين مقاله در مورد اثراتي كه پياده سازي LUA بر امنيت شبكه، تهديدها، كارايي سازمان و هزينه هاي تحميلي مي گذارد، بحث خواهيم كرد.


فوايد پياده سازي حداقل حق دسترسي در ويندوز XP

استفاده از اصل حداقل حق دسترسي فوايد بسياري را براي سازمان ها و شركت ها در پي دارد. علاوه بر كاهش خطرات ناشي از حمله هاي خرابكارانه، فوايد زير نيز براي به كار گيري اصل حداقل حق دسترسي شمرده مي شوند:

    · افزايش امنيت

  • افزايش قابليت مديريت
  • افزايش قابليت توليد
  • كاهش هزينه ها
  • كاهش مشكل سرقت ها و سوءاستفاده هاي پنهان

در ادامه در مورد هر يك از موارد فوق و تأثير آن بر سازمان به تفصيل صحبت مي كنيم.

افزايش امنيت


راهكار LUA يكي از معيارهاي امنيتي است كه مي تواند به شما در محافظت از سازمان و دارايي هاي كامپيوتري در برابر سوءاستفاده هاي مهاجمان ياري رساند. مهاجمان به دلايل متعددي به دنبال سوءاستفاده از شبكه شما هستند كه مي تواند شامل موارد زير باشد:

  • به دست آوردن كنترل رايانه ها به منظور استفاده در حملات انكار سرويس گسترده
  • ارسال هرزنامه
  • به دست آوردن اطلاعات محرمانه شركت
  • سرقت هويت كاربران
  • انتشار بدافزارها

اين حملات زماني احتمال موفقيت بيشتري دارند كه كاربران داراي حق دسترسي مديريتي باشند زيرا اين نوع حساب هاي كاربري مي توانند كارهاي زير را انجام دهند:

  • روتكيت هاي هسته سيستم عامل را نصب كنند.
  • برنامه هاي ثبت ضربات صفحه كليد را نصب كنند.
  • رمزهاي عبور تعريف شده بر روي سيستم را تغيير دهند.
  • جاسوس افزارها و تبليغات افزارها را نصب كنند.
  • به داده هايي كه متعلق به ديگر كاربران است، دسترسي داشته باشند.
  • كدهايي را به صورت اتوماتيك در زمان ورود كاربر به سيستم اجرا كنند.
  • فايل هاي سيستمي را با تروجان ها جايگزين كنند.
  • ردپاي خود را مخفي كنند.
  • از راه اندازي مجدد سيستم جلوگيري به عمل آورند.

در صورتي كه كاربران با استفاده از حساب هاي كاربري محدود شده وارد سيستم شوند، برنامه هاي خرابكار تنها مي توانند تغييرات اندكي در سيستم عامل ايجاد كنند. اعمال محدوديت مذكور به طرز قابل ملاحظه اي توانايي بدافزارها را براي نصب و اجرا كاهش داده و امنيت را افزايش مي دهد اما مانعي براي انجام كارهاي كاربران به شمار نمي رود.

افزايش قابليت مديريت

استاندارد سازي يكي از اجزاي مهم مديريت شبكه، مخصوصاً در صورت وجود تعداد زياد رايانه هاي مشتري (client) است. براي مثال اگر يك سازمان داراي 500 رايانه مشتري باشد و هر رايانه نيز داراي تنظيمات نرم افزاري و كامپيوتري متفاوت باشد، مديريت پيشگيري بسيار پيچيده خواهد شد. زماني كه كاربران اجازه نصب نرم افزارها و اعمال تغييرات گسترده در سيستم را دارند، اين پيچيدگي منجر به نتايج اجتناب ناپذير و ناگواري خواهد شد.
ويندوز XP اختيارات زيادي را به كاربران براي انجام تغيير در تنظيمات سيستم عامل مي دهد و معمولاً كاربران در صورتي كه با دسترسي مديريتي وارد سيستم شوند علاقمند به استفاده از اين توانايي بوده و تغييراتي را در تنظيمات سيستم عامل ايجاد مي كنند. براي مثال ممكن است، كاربر فايروال را براي اتصال به يك شبكه بي سيم خاموش كرده و سپس به صورت ناامن به يك ISP متصل شود. اين مسئله به طرز قابل توجهي احتمال مورد سوءاستفاده قرار گرفتن رايانه مذكور را افزايش مي دهد، زيرا تمام شبكه ها (حتي شبكه هاي مورد اعتماد) بايد داراي سد دفاعي فايروال بر روي ميزبان باشند.
كاربران تمايل دارند كه تنظيمات را طبق تمايلات خود تغيير دهند و در صورت بروز مشكل، مسئولان پشتيباني هر بار با تنظيمات جديدي مواجه مي شوند. در واقع نبود استانداردهاي مربوطه در اين زمينه منجر به ايجاد مشكلات در امور پشتيباني، حل مشكل و تعميرات شده و زمان و هزينه پروسه هاي مذكور را بالا مي برد.
از طرف ديگر راهكار LUA مرزهاي مديريتي مشخصي را بين كاربران و مديران شبكه مشخص مي كند. اين مرزبندي باعث مي شود كارمندان بر روي انجام وظايف خود متمركز شده، در حالي كه مديران شبكه زيرساخت ها را مديريت مي كنند. در صورتي كه كاربران داراي حق دسترسي مديريتي باشند، ايجاد چنين مرزهايي تقريباً غير ممكن است و رعايت استانداردها تضمين نمي شود.
شبكه اي كه همه كاربران داراي حق دسترسي مديريتي هستند، عملاً مديريت نشده است، زيرا كاربران مي توانند تنظيمات مديريتي را دور بزنند. در صورتي كه كاربران نتوانند نرم افزارها و سخت افزارهاي تأييد نشده را نصب كنند و يا تغييراتي را در سيستم ايجاد كنند، رايانه هاي آنها در حد قابل قبولي نزديك به استانداردهاي سازمان باقي مي ماند. راهكار LUA قابليت مديريت را با محدود كردن تغييرات ناخواسته بالا مي برد.


افزايش قابليت توليد

رايانه ها قابليت توليد سازمان ها با شكل ها و اندازه هاي مختلف را به صورت چشمگيري افزايش داده اند، هرچند كه رايانه ها براي حفظ اين قابليت توليد، نيازمند مديريت پويا مي باشند. طبيعي است در سازمان هايي كه كاربران براي انجام كارهايشان وابسته به رايانه هستند، كارمندان پشتيباني بايد تا حد امكان احتمال خرابي رايانه ها را در اثر تنظيمات نادرست و يا آلودگي ويروسي پايين آورند.
راهكار LUA مي تواند در نگهداري قابليت توليد مؤثر باشد زيرا منجر به پايداري بيشتر سيستم هاي كارمندان مي شود. در صورتي كه كاربران نتوانند تنظيمات اساسي رايانه خود را تغيير دهند، داراي سيستم هاي پايدارتري بوده و در نتيجه زمان از كار افتادگي توليد و بازيابي سيستم هاي خراب كاهش مي يابد.
از طرف ديگر تسلط يك بدافزار بر يكي از رايانه هاي سازمان نيز مي تواند تأثير سوئي بر قابليت توليد بگذارد زيرا ممكن است رايانه مذكور نياز به پاكسازي و يا فرمت كردن داشته باشد و كاربر مذكور داده ها و فايل هاي خود را به علت آلودگي از دست بدهد. البته برخي از داده ها را مي توان بازيابي كرد كه معمولاً نيازمند به روز رساني هستند. موارد مذكور به اين معني است كه يا كارمند از وظيفه محوله باز مانده است و يا بايد زماني را براي تكرار آن هدر دهد.


كاهش هزينه ها

با وجودي كه نگهداري از رايانه هاي موجود در شبكه سازمان ها و شركت ها هزينه بر است، اما برخي عوامل مي توانند هزينه هاي مذكور را به طرز قابل توجهي بالا ببرند:

  • تركيب تست نشده از سخت افزارها و نرم افزارها
  • تغييرات نا معلوم در سيستم عامل ها
  • ايجاد تغييرات گسترده در سيستم ها مطابق ميل كاربران
  • نرم افزارهاي غير استاندارد با انواع فايل ناشناخته
  • اجازه به كاربران براي نصب نرم افزار
  • بدافزارها
  • نسخه هاي آزمايشي (بتا) نرم افزارها و درايورها
  • استفاده بدافزارها از پهناي باند اينترنت

راهكار LUA از نصب نرم افزارهاي تأييد نشده، بدون مجوز و بدافزارها جلوگيري به عمل مي آورد. اين راهكار همچنين به كاربران اجازه نمي دهد تغييرات نامعلومي را بر روي رايانه انجام دهند. اين محدوديت ها هزينه هاي تيم پشتيباني را كاهش داده و همچنين مدت زمان از كار افتادن رايانه ها بر اثر داشتن حق دسترسي مديريتي كاربران، نيز كمتر مي شود.

كاهش مشكل سرقت ها و سوءاستفاده هاي پنهان

سازمان ها روز به روز نسبت به ايجاد قوانيني كه از سوءاستفاده كارمندان از تجهيزات شركت ها ممانعت كنند، آگاه تر مي شوند. اين قوانين بايد طوري تنظيم شوند كه از انجام اقدامات زير جلوگيري به عمل آورند:

  • سرقت داده هاي مشتريان
  • ميزباني وب سايتي كه داراي محتويات غير مجاز، آلوده يا به سرقت رفته باشد
  • ميزباني سرورهايي كه براي ارسال حجم زياد ايميل هاي تبليغاتي به كار رود
  • مشاركت در حملات انكار سرويس توزيع شده

هر يك از جرائم فوق توسط سازمان ها چه آگاهانه و چه ناآگاهانه انجام گرفته باشد، مجازات ها و جريمه هايي را براي سازمان مذكور در پي خواهد داشت. سازمان هايي كه از راهكار LUA استفاده مي كنند، بسيار كمتر از ديگر سازمان ها مورد سوءاستفاده قرار گرفته و در نتيجه كمتر نيز دچار ضرر و زيان هاي ناشي از مسائل فوق مي شوند.
در مقاله موازنه امنيت، تهديد، كارايي و هزينه ها در مورد اثراتي كه پياده سازي LUA بر هر يك از موارد مذكور مي گذارد صحبت خواهيم كرد و به برخي از فوايد پنهان LUA نيز اشاره خواهد شد.

18 مرداد 1393 برچسب‌ها: مستندات مرجع
Honeypot چيست؟
IRCAR200912043

هاني پات ها يك تكنولوژي تقريبا جديد و شديدا پويا هستند. همين ماهيت پويا باعث مي­شود كه به راحتي نتوان آنها را تعريف كرد. Honeypot ها به خودي خود يك راه حل به شمار نرفته و هيچ مشكل امنيتي خاصي را حل نمي­كنند، بلكه ابزارهاي بسيار انعطاف پذيري هستند كه كارهاي مختلفي براي امنيت اطلاعات انجام مي­دهند.
اين تكنولوژي با تكنولوژيهايي مانند فايروالها و سيستمهاي تشخيص نفوذ (IDS) متفاوت است، چرا كه اين تكنولوژيها مسائل امنيتي خاصي را حل كرده و به همين دليل راحتتر تعريف مي­شوند. فايروالها يك تكنولوژي پيشگيرانه به شمار مي آيند، آنها از ورود مهاجمان به شبكه يا سيستم كامپيوتر جلوگيري مي­كنند. IDS ها يك تكنولوژي تشخيصي هستند. هدف آنها اين است كه فعاليتهاي غير مجاز يا خرابكارانه را شناسايي كرده و درباره آنها به متخصصان امنيت هشدار دهند. تعريف Honeypot ها كار سخت تري است، چرا كه آنها ممكن است در پيشگيري، تشخيص، جمع آوري اطلاعات، و كارهاي ديگري مورد استفاده قرار گيرند. شايد بتوان يك Honeypot را به اين صورت تعريف كرد:
«Honeypot يك سيستم اطلاعاتي است كه ارزش آن به استفاده غير مجاز و ممنوع ديگران از آن است.»
اين تعريف به وسيله اعضاي ليست ايميل Honeypot انجام شده است. ليست ايميل Honeypot يك فروم متشكل از بيش از 5000 متخصص امنيت است. از آنجاييكه Honeypot ها در اشكال و اندازه هاي مختلفي وجود دارند، ارائه تعريف جامعي از آن كار بسيار سختي است. تعريف يك Honeypot نشان دهنده نحوه كار آن و يا حتي هدف آن نيست. اين تعريف صرفا ناظر به نحوه ارزش گذاري يك Honeypot است. به عبارت ساده تر، Honeypot ها يك تكنولوژي هستند كه ارزش آنها به تعامل مجرمان با آنها بستگي دارد. تمامي Honeypot ها بر اساس يك ايده كار مي­كنند: هيچكس نبايد از آنها استفاده كند و يا با آنها تعامل برقرار نمايد، هر تعاملي با Honeypot غير مجاز شمرده شده و نشانه اي از يك حركت خرابكارانه به شمار مي­رود.
يك Honeypot سيستمي است كه در شبكه سازمان قرار مي­گيرد، اما براي كاربران آن شبكه هيچ كاربردي ندارد و در حقيقت هيچ يك از اعضاي سازمان حق برقراري هيچگونه ارتباطي با اين سيستم را ندارند. اين سيستم داراي يك سري ضعفهاي امنيتي است. از آنجاييكه مهاجمان براي نفوذ به يك شبكه هميشه به دنبال سيستمهاي داراي ضعف مي­گردند، اين سيستم توجه آنها را به خود جلب مي­كند. و با توجه به اينكه هيچكس حق ارتباط با اين سيستم را ندارد، پس هر تلاشي براي برقراري ارتباط با اين سيستم، يك تلاش خرابكارانه از سوي مهاجمان محسوب مي­شود. در حقيقت اين سيستم نوعي دام است كه مهاجمان را فريب داده و به سوي خود جلب مي­كند و به اين ترتيب علاوه بر امكان نظارت و كنترل كار مهاجمان، اين فرصت را نيز به سازمان مي­دهد كه فرد مهاجم را از سيستمهاي اصلي شبكه خود دور نگه دارند.
يك Honeypot هيچ سرويس واقعي ارائه نمي­دهد. هر تعاملي كه انجام گيرد، هر تلاشي كه براي ورود به اين سيستم صورت گيرد، يا هر فايل داده اي كه روي يك Honeypot مورد دسترسي قرار گيرد، با احتمال بسيار زياد نشانه اي از يك فعاليت خرابكارانه و غير مجاز است. براي مثال، يك سيستم Honeypot مي­تواند روي يك شبكه داخلي به كار گرفته شود. اين Honeypot از هيچ ارزش خاصي برخوردار نيست و هيچكس در درون سازمان نيازي به استفاده از آن نداشته و نبايد از آن استفاده كند. اين سيستم مي­تواند به ظاهر يك فايل سرور، يك وب سرور، يا حتي يك ايستگاه كاري معمولي باشد. اگر كسي با اين سيستم ارتباط برقرار نمايد، با احتمال زياد در حال انجام يك فعاليت غير مجاز يا خرابكارانه است.
در حقيقت، يك Honeypot حتي لازم نيست كه حتما يك كامپيوتر باشد. اين سيستم مي­تواند هر نوع نهاد ديجيتالي باشد (معمولا از آن به Honeytoken ياد مي­شود) كه هيچ ارزش واقعي ندارد. براي مثال، يك بيمارستان مي­تواند يك مجموعه نادرست از ركوردهاي اطلاعاتي بيماران ايجاد نمايد. از آنجاييكه اين ركوردها Honeypot هستند، هيچكس نبايد به آنها دسترسي پيدا كرده يا با آنها تعامل برقرار كند. اين ركوردها مي­توانند در داخل پايگاه داده بيماران اين بيمارستان به عنوان يك جزء Honeypot قرار گيرند. اگر يك كارمند يا يك فرد مهاجم براي دسترسي به اين ركوردها تلاش نمايد، مي­تواند به عنوان نشانه اي از يك فعاليت غير مجاز به شمار رود، چرا كه هيچكس نبايد از اين ركوردها استفاده كند. اگر شخصي يا چيزي به اين ركوردها دسترسي پيدا كند، يك پيغام هشدار صادر مي­شود. اين ايده ساده پشت Honeypot هاست كه آنها را ارزشمند مي­كند.
دو يا چند Honeypot كه در يك شبكه قرار گرفته باشند، يك Honeynet را تشكيل مي­دهند. نوعا در شبكه هاي بزرگتر و متنوعتر كه يك Honeypot به تنهايي براي نظارت بر شبكه كافي نيست، از Honeynet استفاده مي­كنند. Honeynet ها معمولا به عنوان بخشي از يك سيستم بزرگ تشخيص نفوذ پياده سازي مي­شوند. در حقيقت Honeynet يك شبكه از Honeypot هاي با تعامل بالاست كه طوري تنظيم شده است كه تمامي فعاليتها و تعاملها با اين شبكه، كنترل و ثبت مي­شود.

مزاياي استفاده از Honeypot

  • Honeypot ها صرفا مجموعه هاي كوچكي از داده ها را جمع آوري مي­كنند. Honeypot ها فقط زماني كه كسي يا چيزي با آنها ارتباط برقرار كند داده ها را جمع آوري مي­نمايند، در نتيجه صرفا مجموعه هاي بسيار كوچكي از داده ها را جمع مي­كنند، كه البته اين داده ها بسيار ارزشمندند. سازمانهايي كه هزاران پيغام هشدار را در هر روز ثبت مي­كنند، با استفاده از Honeypot ها ممكن است فقط صد پيغام هشدار را ثبت نمايند. اين موضوع باعث مي­شود كه مديريت و تحليل داده هاي جمع آوري شده توسط Honeypot ها بسيار ساده تر باشد.
  • Honeypot ها موارد خطاهاي تشخيص اشتباه را كاهش مي­دهند. يكي از مهمترين چالشهاي اغلب سيستمهاي تشخيصي اين است كه پيغامهاي هشدار دهنده خطاي زيادي توليد كرده و در موارد زيادي، اين پيغامهاي هشدار دهنده واقعا نشان دهنده وقوع هيچ خطري نيستند. يعني در حالي يك رويداد را تهديد تشخيص مي­دهند كه در حقيقت تهديدي در كار نيست. هر چه احتمال اين تشخيص اشتباه بيشتر باشد، تكنولوژي تشخيص دهنده بي فايده تر مي­شود. Honeypot ها به طور قابل توجهي درصد اين تشخيصهاي اشتباه را كاهش مي­دهند، چرا كه تقريبا هر فعاليت مرتبط با Honeypot ها به طور پيش فرض غير مجاز تعريف شده است. به همين دليل Honeypot ها در تشخيص حملات بسيار موثرند.
  • Honeypot ها مي­توانند حملات ناشناخته را تشخيص دهند. چالش ديگري كه در تكنولوژيهاي تشخيصي معمول وجود دارد اين است كه آنها معمولا حملات ناشناخته را تشخيص نمي­دهند. اين يك تفاوت بسيار حياتي و مهم بين Honeypot ها و تكنولوژيهاي امنيت كامپيوتري معمولي است كه بر اساس امضاهاي شناخته شده يا داده هاي آماري تشخيص مي­دهند. تكنولوژيهاي تشخيصي مبتني بر امضا، در تعريف به اين معنا هستند كه ابتدا بايد هر حمله اي حداقل يك بار انجام شده و امضاي آن شناسايي گردد و سپس با استفاده از آن امضا، در موارد بعدي شناخته شود. تشخيص مبتني بر داده هاي آماري نيز از خطاهاي آماري رنج مي­برد. Honeypot ها طوري طراحي شده اند كه حملات جديد را نيز شناسايي و كشف مي­كنند. چرا كه هر فعاليتي در ارتباط با Honeypot ها غير معمول شناخته شده و در نتيجه حملات جديد را نيز معرفي مي­كند.
  • Honeypot ها فعاليتهاي رمز شده را نيز كشف مي­كنند. حتي اگر يك حمله رمز شده باشد، Honeypot ها مي­توانند اين فعاليت را كشف كنند. به تدريج كه تعداد بيشتري از سازمانها از پروتكلهاي رمزگذاري مانند SSH، IPsec، و SSL استفاده مي­كنند، اين مساله بيشتر خود را نشان مي­دهد. Honeypot ها مي­توانند اين كار را انجام دهند، چرا كه حملات رمز شده با Honeypot به عنوان يك نقطه انتهايي ارتباط، تعامل برقرار مي­كنند و اين فعاليت توسط Honeypot رمز گشايي مي­شود.
  • Honeypot با IPv6 كار مي­كند. اغلب Honeypot ها صرف نظر از پروتكل IP از جمله IPv6، در هر محيط IP كار مي­كنند. IPv6 يك استاندارد جديد پروتكل اينترنت (IP) است كه بسياري از سازمانها در بسياري از كشورها از آن استفاده مي­كنند. بسياري از تكنولوژيهاي فعلي مانند فايروالها و سنسورهاي سيستم تشخيص نفوذ به خوبي با IPv6 سازگار نشده اند.
  • Honeypot ها بسيار انعطاف پذيرند. Honeypot ها بسيار انعطاف پذيرند و مي­توانند در محيطهاي مختلفي مورد استفاده قرار گيرند. همين قابليت انعطاف Honeypot هاست كه به آنها اجازه مي­دهد كاري را انجام دهند كه تعداد بسيار كمي از تكنولوژيها مي­توانند انجام دهند: جمع آوري اطلاعات ارزشمند به خصوص بر عليه حملات داخلي.
  • Honeypot ها به حداقل منابع نياز دارند. حتي در بزرگترين شبكه ها، Honeypot ها به حداقل منابع احتياج دارند. يك كامپيوتر پنتيوم قديمي و ساده مي­تواند ميليونها آدرس IP يا يك شبكه OC-12 را نظارت نمايد.

    معايب استفاده از Honeypot

    Honeypot ها نيز مانند هر تكنولوژي ديگري معايبي دارند. آنها براي اين طراحي نشده اند كه جاي هيچ تكنولوژي خاصي را بگيرند.

  • Honeypot ها داراي يك محدوده ديد كوچك و محدود هستند. Honeypot ها فقط همان كساني را مي­بينند كه با آنها به تعامل مي­پردازند. در نتيجه حملات بر عليه ساير سيستمها و يا تعاملات انجام شده با ساير سيستمها را مشاهده نمي­كنند. اين نكته در عين حال كه يك مزيت است، يك عيب نيز به شمار مي­رود. يك Honeypot به شما نمي­گويد كه سيستم ديگري مورد سوء استفاده قرار گرفته است، مگر اينكه سيستمي كه مورد سوء استفاده قرار گرفته با خود Honeypot تعاملي برقرار نمايد. براي برطرف كردن اين عيب راههاي زيادي وجود دارد كه از طريق آنها مي­توانيد فعاليت مهاجمان را به سمت Honeypot ها تغيير مسير دهيد. از اين ميان مي­توان به Honeytoken ها و تغيير مسير اشاره كرد.
  • ريسك هر زمان كه شما يك تكنولوژي جديد را به كار مي­گيريد، آن تكنولوژي ريسكهاي مخصوص به خود را نيز به همراه دارد، مثلا اين ريسك كه يك مهاجم بر اين سيستم غلبه كرده و از آن به عنوان ابزاري براي حملات بر عليه اهداف داخلي و خارجي استفاده نمايد. حتي سيستمهاي تشخيص نفوذ كه هيچ پشته IP به آنها تخصيص داده نشده است نيز مي­توانند در معرض خطر قرار داشته باشند. Honeypot ها نيز در اين مورد استثناء نيستند. Honeypot هاي مختلف سطوح خطر متفاوتي دارند. راههاي مختلفي نيز براي كاهش اين خطرات وجود دارد. از ميان انواع Honeypot ها، هاني نتها بيشترين سطح خطر را دارا هستند.

مقالات مرتبط:
انواع Honeypot

18 مرداد 1393 برچسب‌ها: مستندات مرجع
انواع Honeypot
IRCAR200912044

در مقاله «Honeypot چيست؟» به تعريف سيستمهاي Honeypot، مزايا و معايب اين سيستمها پرداختيم. در اين مقاله پس از معرفي انواع Honeypot، به ذكر يك مثال از هر نوع خواهيم پرداخت.
براي درك بهتر Honeypot ها، مي­توانيم آنها را به دو گروه با تعامل ( Interaction) كم و با تعامل زياد تقسيم كنيم. منظور از interaction، ميزان فعاليت و تعاملي است كه يك فرد مهاجم اجازه دارد با آن Honeypot انجام دهد. هر چه اين ميزان فعاليت و تعامل بيشتر باشد، فرد مهاجم كارهاي بيشتري مي­تواند انجام دهد و در نتيجه شما مي­توانيد راجع به وي و فعاليتش اطلاعات بيشتري بدست آوريد. البته با افزايش اين فعاليت و تعامل، ميزان ريسك نيز افزايش مي يابد. Honeypot هاي با تعامل كم اجازه انجام حجم كمي از تعاملات را صادر مي­كنند، در حاليكه Honeypot هاي با تعامل زياد حجم زيادي از تعاملات را اجازه مي­دهند.


Honeypot هاي با تعامل كم

Honeypot هاي با تعامل كم، با شبيه سازي سيستمها و سرويسها كار مي­كنند و فعاليتهاي مهاجمان نيز صرفا شامل همان چيزهايي مي­شود كه سرويسهاي شبيه سازي شده اجازه مي­دهند. براي مثال، Honeypot BackOfficer Friendly يك نمونه Honeypot بسيار ساده است كه هفت سرويس مختلف را شبيه سازي مي­كند. مهاجمان در مورد كارهايي كه با Honeypot مبتني بر سرويسهاي شبيه سازي شده مي­توانند انجام دهند بسيار محدود هستند. در بيشترين حالت، مهاجمان مي­توانند به اين Honeypot ها وصل شده و دستورات اوليه كمي را انجام دهند.
استفاده از Honeypot هاي با تعامل كم ساده تر است، چرا كه آنها معمولا از پيش با گزينه هاي مختلفي براي administrator تنظيم شده اند. فقط كافي است شما انتخاب كرده و كليك كنيد و بلافاصله يك Honeypot را با سيستم عامل، سرويسها و رفتار مورد نظر خود در اختيار داشته باشيد. از جمله اين Honeypot ها مي­توان به Specter اشاره كرد كه براي اجراي تحت ويندوز طراحي شده است. اين Honeypot مي­تواند تا 13 سيستم عامل مختلف را شبيه سازي كرده و 14 سرويس مختلف را نظارت نمايد. واسطهاي كاربري باعث مي­شوند كه استفاده از اين Honeypot ها بسيار ساده باشد، فقط كافي است روي سرويسهايي كه مي­خواهيد تحت نظارت قرار گيرند كليك كرده و نحوه رفتار Honeypot را تعيين نماييد.
Honeypot هاي با تعامل كم همچنين از خطر كمتري برخوردارند، چرا كه سرويسهاي شبيه سازي شده، كارهايي را كه هكر مي­تواند انجام دهد محدود مي­كنند. هيچ سيستم عامل حقيقي براي لود كردن toolkit ها توسط مهاجم وجود ندارد، و هيچ سرويسي كه واقعا بتوان به آن نفوذ كرد نيز موجود نيست.
اما اين سرويسها حجم محدودي از اطلاعات را مي­توانند جمع آوري نمايند، چرا كه هكرها در كار با آنها محدود هستند. همچنين اين سرويسها در مواجهه با رفتارهاي شناخته شده و حملات مورد انتظار بهتر كار مي­كنند. زماني كه هكرها كاري ناشناخته يا غير منتظره را انجام مي­دهند، اين Honeypot ها در درك فعاليت هكر، پاسخگويي مناسب، يا ثبت فعاليت با مشكل روبرو مي­شوند. به عنوان مثالهايي از Honeypot هاي با تعامل كم مي­توان به Honeyd، Specter، و KFSensor اشاره كرد. براي درك بهتر نحوه كار Honeypot هاي با تعامل كم، نگاه كوتاهي به Honeyd مي اندازيم.


مثالي از Honeypot هاي با تعامل كم: Honeyd

Honeyd يك Honeypot متن باز است كه اولين بار در آوريل 2002 توسط «نيلز پرووس» عرضه شد. Honeyd به عنوان يك راه حل متن باز، رايگان بوده و اجازه دسترسي كامل كاربران به كد منبع خود را فراهم مي آورد. اين Honeypot كه براي سيستمهاي يونيكس طراحي شده است، مي­تواند در سيستمهاي ويندوز نيز مورد استفاده قرار گيرد. البته در اين حالت بسياري از ويژگيهاي مورد استفاده در سيستمهاي يونيكس را از دست مي­دهد. Honeyd يك Honeypot با تعامل كم است كه نرم افزار آن را روي يك كامپيوتر نصب مي­كنيد. سپس اين نرم افزار صدها سيستم عامل و سرويس مختلف را شبيه سازي مي­كند. با ويرايش فايل تنظيمات، شما تعيين مي­كنيد كه كدام آدرسهاي IP توسط Honeyd كنترل گردند، انواع سيستم عاملهايي كه شبيه سازي مي­شوند كدامها باشند، و كدام سرويسها شبيه سازي گردند.
براي مثال شما مي­توانيد به Honeyd بگوييد كه هسته يك سيستم Linux 2.4.10 را با يك سرور FTP كه به پورت 21 گوش مي­دهد شبيه سازي نمايد. اگر مهاجمان به اين Honeypot مراجعه كنند، بر اين باور خواهند بود كه در حال تعامل با يك سيستم لينوكس هستند. اگر مهاجمان به سرويس FTP متصل شوند، تصور خواهند كرد كه با يك سرويس واقعي FTP در تماس هستند. اسكريپت شبيه سازي شده از بسياري نظرها كاملا شبيه يك سرويس FTP واقعي رفتار كرده و در عين حال، تمامي فعاليتهاي فرد مهاجم را ثبت مي­كند. البته اين اسكريپت چيزي بيش از يك برنامه نيست كه منتظر يك ورودي مشخص از مهاجم مي­ماند و خروجي از پيش تعيين شده اي را توليد مي­كند. اگر فرد مهاجم كاري انجام دهد كه اسكريپت شبيه سازي شده براي آن برنامه ريزي نشده باشد، اين اسكريپت صرفا يك پيغام خطا برخواهد گرداند.
Honeyd داراي ويژگيهايي است كه براي Honeypot هاي با تعامل كم معمول نيست. اين Honeypot نه تنها شبيه سازي سيستم عامل را به وسيله تغيير رفتار سرويسها انجام مي دهد، بلكه سيستم عاملها را در سطح پشته IP نيز شبيه سازي مي­كند. اگر يك فرد مهاجم از روشهاي فعال fingerprinting مانند ابزارهاي امنيتي اسكن Nmap و Xprobe استفاده كند، Honeyd در سطح پشته IP به عنوان هر سيستم عاملي كه بخواهيد به شما پاسخ مي­دهد. به علاوه بر خلاف اغلب Honeypot هاي با تعامل كم، Honeyd مي­تواند ميليونها آدرس IP را كنترل نمايد. Honeyd اين كار را با كنترل كردن آدرسهاي IP كامپيوترهايي كه اين Honeypot روي آنها نصب شده است انجام نمي­دهد، بلكه تمامي آدرسهاي IP بلا استفاده روي شبكه شما را كنترل مي­كند. زمانيكه Honeyd يك تلاش را براي اتصال به يكي از آدرسهاي IP بلا استفاده تشخيص مي­دهد، آن تماس را قطع كرده، به طور پويا خود را به جاي آن قرباني جا زده، و سپس با فرد مهاجم به تعامل مي­پردازد. اين قابليت به طور قابل توجهي شانس تعامل Honeyd با يك مهاجم را بالا مي­برد.


Honeypot هاي با تعامل زياد

Honeypot هاي با تعامل زياد با Honeypot هاي با تعامل كم تفاوت بسياري دارند، چرا كه آنها كل سيستم عامل و برنامه ها را به طور حقيقي براي تعامل با مهاجمان فراهم مي آورند. Honeypot هاي با تعامل زياد چيزي را شبيه سازي نمي­كنند، بلكه كامپيوترهايي واقعي هستند كه برنامه هايي واقعي دارند كه آماده نفوذ توسط مهاجمان هستند. مزاياي استفاده از اين دسته از Honeypot ها بسيار قابل توجه است. آنها براي اين طراحي شده اند كه حجم زيادي از اطلاعات را به دست آورند. اين Honeypot ها نه تنها مي­توانند مهاجماني را كه به يك سيستم متصل مي­شوند شناسايي نمايند، بلكه به مهاجمان اجازه مي­دهند كه به اين سرويسها نفوذ كرده و به سيستم عامل دسترسي پيدا كنند. در نتيجه شما قادر خواهيد بود rootkit هاي اين مهاجمان را كه به اين سيستمها آپلود مي­شوند به دست آورده، در حالي­كه مهاجمان با اين سيستم در حال تعامل هستند ضربات كليد آنها را تحليل نموده، و زمانيكه با ساير مهاجمان در حال ارتباط هستند آنها را كنترل كنيد. در نتيجه مي­توانيد حركات، ميزان مهارت، سازمان، و ساير اطلاعات ارزشمند را راجع به اين مهاجمان به دست آوريد.
همچنين از آنجايي كه Honeypot هاي با تعامل زياد شبيه سازي انجام نمي­دهند، طوري طراحي شده اند كه رفتارهاي جديد، ناشناخته يا غير منتظره را شناسايي كنند. اين دسته از Honeypot ها بارها و بارها ثابت كرده اند كه قابليت كشف فعاليتهاي جديد، از پروتكلهاي IP غير استاندارد مورد استفاده براي كانالهاي دستورات پنهاني گرفته تا تونل زدن IPv6 در محيط IPv4 براي پنهان كردن ارتباطات را دارا هستند. البته براي به دست آوردن اين قابليتها بايد بهاي آن را نيز پرداخت. اولا Honeypot هاي با تعامل زياد ريسك بالايي دارند. از آنجايي كه مهاجمان با سيستم عاملهاي واقعي روبرو مي­شوند، اين Honeypot ها مي­توانند براي حمله كردن و ضربه زدن به ساير سيستمهايي كه Honeypot نيستند مورد استفاده قرار گيرند. ثانيا Honeypot هاي با تعامل زياد پيچيده هستند. اين بار به همين سادگي نيست كه يك نرم افزار نصب كنيد و پس از آن يك Honeypot داشته باشيد. بلكه شما بايد سيستمهاي واقعي را براي تعامل با مهاجمان ساخته و تنظيم نماييد. همچنين با تلاش براي كم كردن خطر مهاجماني كه از Honeypot شما استفاده مي­كنند، اين پيچيدگي بيشتر نيز خواهد شد.
دو مثال از Honeypot هاي با تعامل زياد عبارتند از Symantec Decoy Server و Honeynet ها. براي ارائه ديد بهتري از Honeypot هاي با تعامل زياد، در ادامه به توضيح Decoy Server خواهيم پرداخت.


مثالي از Honeypot هاي با تعامل زياد: Symantec Decoy Server

Decoy Server يك Honeypot تجاري است كه توسط Symantec توليد شده و به فروش مي­رسد. اين سيستم به عنوان يك Honeypot كه با تعامل زياد است، سيستم عاملها و يا سرويسها را شبيه سازي نمي­كند، بلكه سيستمهاي حقيقي و برنامه هاي حقيقي را براي برقراري تعامل با مهاجمان ايجاد مي­كند. در حال حاضر Decoy Server صرفا روي سيستم عامل Solaris كار مي­كند. اين برنامه ، نرم افزاري است كه روي يك سيستم Solaris نصب مي­شود. سپس اين نرم افزار سيستم ميزبان موجود را در اختيار گرفته و تا چهار «قفس» يكتا ايجاد مي­كند، كه هر قفس يك Honeypot است. هر قفس يك سيستم عامل جدا و سيستم فايل مخصوص به خود را داراست. مهاجمان درست مانند سيستم عاملهاي واقعي با اين قفسها ارتباط برقرار مي­كنند. چيزي كه مهاجمان درك نمي­كنند اين است كه هر فعاليت و هر ضربه صفحه كليد آنها توسط Honeypot ثبت و ضبط مي­شود.

Honeypot هاي با تعامل كم در مقايسه با Honeypot هاي با تعامل زياد

  • در هنگام انتخاب Honeypot توجه داشته باشيد كه هيچ يك از اين دو نوع از ديگري بهتر نيستند. بلكه هر يك داراي مزايا و معايبي بوده و براي كاري بهتر مي­باشند.
    مزايا و معايب Honeypot هاي با تعامل كم و Honeypot هاي با تعامل زياد را مي­توان به شرح زير بيان كرد: Honeypot هاي با تعامل كم (شبيه سازي كننده سيستم عاملها و سرويسها)
  • پياده سازي و به كار گيري آسان: معمولا به سادگي نصب يك نرم افزار روي يك كامپيوتر است
  • ريسك كم: سرويسهاي شبيه سازي شده كارهايي كه مهاجمان مي­توانند يا نمي­توانند انجام دهند را كنترل مي­كنند.
  • جمع آوري اطلاعات محدود: از آنجاييكه در اين دسته از Honeypot ها مهاجمان مجاز به تعامل در حد محدودي هستند، اطلاعات محدودي نيز مي­توان راجع به آنها بدست آورد.
    Honeypot هاي با تعامل زياد (بدون شبيه سازي، با استفاده از سيستم عاملها و سرويسهاي حقيقي)
  • نصب و به كار گيري آنها مي­تواند سخت باشد (نسخه هاي تجاري ساده ترند)
  • ريسك بالا. اين موضوع كه مهاجمان با سيستم عاملهاي واقعي روبرو مي­شوند كه مي­توانند با آن به تعامل بپردازند مزايا و معايب خاص خود را داراست.


    سازمانهاي مختلف، اهداف متفاوتي دارند و به همين دليل از Honeypot هاي مختلفي نيز استفاده مي­كنند. يك روال معمول اين است كه سازمانهاي تجاري مانند بانكها، خرده فروشان، و توليد كننده ها، Honeypot هاي با تعامل كم را به علت ريسك پايين، به كار گيري آسان، و نگهداري ساده، ترجيح مي­دهند. استفاده از Honeypot هاي با تعامل زياد نيز در ميان سازمانهايي كه به قابليتهاي منحصر به فرد راه حلهاي با تعامل زياد و مديريت ريسك احتياج دارند معمول تر است. از جمله اين سازمانها مي­توان به سازمانهاي نظامي، دولتي، و آموزشي اشاره كرد.



18 مرداد 1393 برچسب‌ها: مستندات مرجع
الگوريتم هاي رمزنگاري با كليد نامتقارن
IRCAR201001046

رمزنگاري، شيوه باستاني حفاظت از اطلاعات است كه سابقه آن به حدود 4000 سال پيش از ميلاد باز مي گردد. امروزه رمزنگاري در دنياي مدرن از اهميت ويژه اي برخوردار است، به طوري كه به عنوان يك روش مؤثر براي حفاظت از اطلاعات حساس مانند اطلاعات طبقه بندي شده نظامي، اطلاعات حساس مؤسسات مالي، كلمات عبور ذخيره شده بر روي سيستم هاي كامپيوتري و داده هاي منتشر شده بر روي اينترنت و يا از طريق امواج راديويي به كار مي رود.
در سري مقاله هاي رمزنگاري مفاهيم اوليه رمزنگاري را شرح خواهيم داد. لازم به ذكر است كه رمزنگاري يك مبحث بسيار پيچيده است و در اينجا ما قصد توضيح پايه هاي رياضي الگوريتمهاي رمزنگاري يا باز كردن تمام جزئيات را نداريم و تنها به معرفي كليات اين مقوله خواهيم پرداخت. براي دريافت اطلاعات و جزئيات بيشتر مي توانيد به كتابهايي كه در اين زمينه نگارش شده اند مراجعه فرماييد.
در قسمتهاي قبلي تاريخچه مختصري از رمزنگاري، مفاهيم اوليه آن ، كليدهاي رمزنگاري و الگوريتم هاي رمزنگاري با استفاده از كليد متقارن را توضيح داديم. در اين قسمت الگوريتم هاي رمزنگاري با استفاده از كليد نامتقارن را شرح و بسط خواهيم داد.

الگوريتم هاي رمزنگاري با كليد نامتقارن

در قسمت قبلي در مورد الگوريتم هاي رمزنگاري متقارن DES و AES توضيح داديم كه از يك كليد براي رمزنگاري و رمزگشايي استفاده مي كنند. در الگوريتم هاي مذكور در صورتي كه كليد رمزنگاري به سرقت رود محرمانگي اطلاعات نيز از بين خواهد رفت.
الگوريتم هاي رمزنگاري با كليد نامتقارن از كليدهاي مختلفي براي رمزنگاري و رمزگشايي استفاده مي‌كنند. بسياري از سيستمها اجازه مي‌دهند كه يكي از كليدها (كليد عمومي يا public key) منتشر شود در حالي كه ديگري (كليد خصوصي يا private key) توسط صاحبش حفظ مي شود. فرستنده پيام، متن را با كليد عمومي گيرنده، كد مي‌كند و گيرنده آن را با كليد اختصاصي خود رمزگشايي مي كند. بعبارتي تنها با كليد خصوصي گيرنده مي‌توان متن كد شده را به متن اوليه صحيح تبديل كرد. يعني حتي فرستنده نيز اگرچه از محتواي اصلي پيام مطلع است اما نمي ‌تواند از متن كدشده به متن اصلي دست يابد، بنابراين پيام كدشده براي هر گيرنده‌اي، به جز گيرنده مورد نظر فرستنده، بي ‌معني خواهد بود.
معمول ترين سيستم نامتقارن بعنوان RSA‌ شناخته مي‌شود (اين حروف، اول نام پديد آورندگان آن يعني Rivest، Shamir و Adlemen است). اين الگوريتم در سال 1978 در دانشگاه MIT ايجاد شده است و تأييد هويت (روشي براي مطمئن شدن از هويت ارسال كننده پيغام ) را به خوبي رمزنگاري انجام مي دهد. الگوريتم RSA از دو كليد براي رمزنگاري استفاده مي كند: كليد خصوصي و كليد عمومي. در الگوريتم مذكور تفاوتي بين توانايي عملياتي كليد عمومي و خصوصي وجود ندارد و يك كليد مي تواند هم به عنوان كليد خصوصي به كار رود و هم به عنوان كليد عمومي.
كليدهاي RSA با استفاده از روش هاي رياضي و با تركيب اعداد اول توليد مي شوند. بزرگترين عددها با ضرب اعداد كوچك به دست مي آيند و اين اعداد كوچك از لحاظ رياضي به هم وابسته هستند و دانستن يكي از آنها منجر به شناسايي ديگر اعداد اول به كار رفته در كليد مي شود. اين وضعيتي است كه در استفاده از كليد هاي عمومي و خصوصي مورد نظر است. البته در صورتي كه عدد خيلي بزرگ باشد، اين كار به راحتي قابل انجام نيست و وضعيت هاي گمراه كننده بسياري وجود دارند. تنها تركيب درست از اعداد اول موجود در كليد رمزنگاري، قادر به رمزگشايي پيغام است. امنيت الگوريتم RSA و الگوريتم هاي مشابه آن وابسته به استفاده از اعداد خيلي بزرگ است و بيشتر نسخه هاي RSA از اعداد 154 رقمي يا 512 بيتي به عنوان كليد استفاده مي كنند. دسترسي به فاكتورهاي اعداد اول اعداد خيلي بزرگ كه بيش از 100 رقم دارند كار بسيار مشكلي است. البته برخي از محققان توانسته اند با تلاش بسيار اعداد بزرگ را بشكنند ولي اين كار براي هكرها براي ورود به يك سيستم يا سر در آوردن از يك پيغام مقرون به صرفه نمي باشد.

اساس سيستم RSA اين فرمول است: X = Yk (mod r)

كه X متن كد شده، Y متن اصلي، k كليد اختصاصي و r حاصلضرب دو عدد اوليه بزرگ است كه با دقت انتخاب شده‌اند. براي اطلاع از جزئيات بيشتر مي‌توان به مراجعي كه در اين زمينه وجود دارند رجوع كرد. اين شكل محاسبات روي پردازنده‌هاي بايتي بخصوص روي ۸ بيتي‌ها كه در كارتهاي هوشمند استفاده مي‌شود بسيار كند است. بنابراين، اگرچه RSA هم تأييد هويت و هم رمزنگاري را ممكن مي‌سازد، معمولاً تنها براي تاييد هويت منبع پيام از اين الگوريتم در كارتهاي هوشمند استفاده مي‌شود.

مي‌توان از يك سيستم نامتقارن براي نشان دادن اينكه فرستنده پيام همان شخصي است كه ادعا مي‌كند استفاده كرد كه اين عمل در اصطلاح امضاء نام دارد.

  • فرستنده متن اصلي را با استفاده از كليد اختصاصي خود رمز مي‌كند؛ اين فرآيند امضا نام دارد.
  • رمزگشايي عمليات مشابهي روي متن رمزشده اما با استفاده از كليد عمومي فرستنده است. براي تاييد امضاء بررسي مي‌كنيم كه آيا اين نتيجه با ديتاي اوليه يكسان است؛ اگر اينگونه است، امضاء توسط كليد خصوصي متناظر رمز شده است.

به بيان ساده‌ تر چنانچه متني از شخصي براي ديگران منتشر شود، اين متن شامل متن اصلي و همان متن اما رمز شده توسط كليد خصوصي همان شخص است. حال اگر متن رمزشده توسط كليد عمومي آن شخص كه شما از آن مطلعيد رمز گشايي شود، مطابقت متن حاصل و متن اصلي نشان دهنده صحت فرد فرستنده آن است، به اين ترتيب امضاي فرد تصديق مي‌شود. ساير افراد كه از كليد خصوصي اين فرد اطلاع ندارند قادر به ايجاد متن رمز‌شده‌ اي نيستند كه با رمزگشايي توسط كليد عمومي اين فرد به متن اوليه تبديل شود.
ساير سيستمهاي كليد نامتقارن شامل سيستمهاي لگاريتم گسسته مي‌شوند مانند Diffie-Hellman، ElGamal و ساير طرحهاي چندجمله ‌اي و منحني‌ هاي بيضوي. بسياري از اين طرحها عملكردهاي يك‌ طرفه‌اي دارند كه اجازه تاييد هويت را مي ‌دهند اما رمزنگاري ندارند.
يك رقيب جديدتر الگوريتم RPK‌ است. الگوريتم رمزنگاري RPK يك سيستم رمزنگاري نسبتاً جديد بر پايه كليد عمومي است كه مبتني بر رياضياتي است كه امروزه به صورت گسترده در رمزنگاري استفاده مي شود. اين الگوريتم براي كاربردهاي تجاري طراحي شده است و نياز به مطالعات و تحقيقات گسترده در زمينه هاي جديد رياضي ندارد. مطالعه بر روي اين زمينه ها مانند سيستم رمزنگاري منحني هاي بيضوي (ECC)، گاهي اوقات چندين سال به طول مي انجامد. رمزنگاري RPK تمهيداتي را براي رمزنگاري در انتقال اطلاعات در شبكه هاي با سرعت بالا، كارت هاي هوشمند و برنامه هاي مبتني بر ارتباطات بي سيم انديشيده است. اين الگوريتم براي استفاده در پروسه هاي نرم افزاري حجيم مانند تراكنش هاي كارت هاي اعتباري نيز مناسب است.
در هسته RPK يك ابداع به نام Mixture Generator وجود دارد و در پياده سازي آن سه شيفت رجيستر خطي وجود دارند. اين ماشين وضعيت دو حالت عملياتي دارد. يك حالت از شيفت رجيسترها براي به توان رساني استفاده كرده و ديگري به عنوان يك توليد كننده جريان تصادفي از بيت ها براي كاربرد در فاز تركيب رمزنگاري به كار مي رود. سيستم RPK دو مرحله پرهزينه به توان رساني كل پيغام را به طور مؤثر كاهش داده است زيرا موتور هسته آن براي قراردادن سيستم در وضعيت اوليه امن به كار رفته و سپس بين دو حالتي كه در بالا توضيح داده شد براي اجراي رمزنگاري سريع سوئيچ مي كند.

طول كليدها براي اين طرحهاي جايگزين بسيار كوتاهتر از كليدهاي مورد استفاده در RSA‌ است كه آنها براي استفاده در چيپ ‌كارتها مناسب‌ تر است. اما ‌RSA‌ محكي براي ارزيابي ساير الگوريتمها باقيمانده است؛ حضور و بقاي نزديك به سه ‌دهه اين الگوريتم، تضميني در برابر ضعفهاي عمده به شمار مي‌رود.

18 مرداد 1393 برچسب‌ها: مستندات مرجع
كاربردهاي Honeypot ها
IRCAR201001047

پيش از اين در دو مقاله به معرفي Honeypot ها، مزايا و معايب اين سيستمهاي امنيتي، و انواع آنها پرداختيم. در اين مقاله قصد داريم كاربردهاي Honeypot ها را به شما معرفي كنيم.

Honeypot هاي با تعامل زياد

اكنون شما مي­دانيد كه Honeypot ها ابزارهايي بسيار انعطاف پذيرند كه مي­توانند براي اهداف مختلفي مورد استفاده قرار گيرند. شما مي­توانيد از آنها به عنوان ابزارهايي در انبار مهمات امنيتي خود به هر نحوي كه مناسب نيازهاي شماست استفاده كنيد. به طور كلي مي­توان Honeypot ها را از لحاظ ارزش كاربردي در دو دسته «تجاري» و «تحقيقاتي» دسته بندي كرد. معمولا Honeypot هاي با تعامل كم براي اهداف تجاري مورد استفاده قرار مي­گيرند، درحاليكه Honeypot هاي با تعامل زياد براي مقاصد تحقيقاتي استفاده مي­شوند. به هر حال هر يك از انواع Honeypot مي­توانند براي هر يك از اهداف فوق مورد استفاده قرار گيرند و هيچ يك از اين اهداف، برتر از ديگري نيستند. زماني كه Honeypot ها براي اهداف تجاري مورد استفاده قرار مي­گيرند، مي­توانند از سازمانها به سه روش محافظت نمايند: جلوگيري از حملات، تشخيص حملات، و پاسخگويي به حملات. اما زمانيك ه براي اهداف تحقيقاتي مورد استفاده قرار مي­گيرند، اطلاعات را جمع آوري مي­كنند. اين اطلاعات ارزش هاي مختلفي براي سازمانهاي گوناگون دارند. برخي سازمانها ممكن است بخواهند راهكارهاي مهاجم را مطالعه كنند، در حاليكه ممكن است برخي ديگر به هشدارها و پيشگيري هاي زودهنگام علاقه مند باشند.


جلوگيري از حملات

Honeypot ها مي­توانند به روشهاي مختلف از بروز حملات جلوگيري كنند. براي مثال Honeypot ها مي­توانند از حملات خودكار مانند حملاتي كه به وسيله كرمها آغاز مي­شوند پيشگيري نمايند. اين حملات مبتني بر ابزارهايي هستند كه به صورت تصادفي كل شبكه را اسكن كرده و به دنبال سيستمهاي آسيب پذير مي­گردند. اگر اين سيستمها پيدا شوند، اين ابزارهاي خودكار به آن سيستم حمله كرده و كنترل آن را به دست مي­گيرند.Honeypot ها با كند كردن پروسه اسكن و حتي توقف آن به دفاع در برابر چنين حملاتي كمك مي­كنند. اين Honeypot ها كه به نام «Honeypot هاي چسبناك» معروفند، فضاي IP بدون استفاده را كنترل مي­كنند. زماني كه اين Honeypot ها با يك فعاليت اسكن روبرو مي­شوند، شروع به تعامل كرده و سرعت كار مهاجم را كند مي­كنند. آنها اين كار را با انواع مختلف ترفندهاي TCP مانند استفاده از پنجره با اندازه صفر انجام مي­دهند. يك مثال از Honeypot هاي چسبناك، La Brea Tar pit است. Honeypot هاي چسبناك معمولا از دسته با تعامل كم هستند. حتي مي­توان آنها را Honeypot بدون تعامل دانست، چرا كه مهاجم را كند و متوقف مي­سازند.

شما مي­توانيد با استفاده از Honeypot ها از شبكه خود در برابر حملات انساني غير خودكار نيز محافظت نماييد. اين ايده مبتني بر فريب يا تهديد است. در اين روش شما مهاجمان را گيج كرده و زمان و منابع آنها را تلف مي­كنيد. به طور همزمان سازمان شما قادر است كه فعاليت مهاجم را تشخيص داده و در نتيجه براي پاسخگويي و متوقف كردن آن فعاليت زمان كافي در اختيار دارد. اين موضوع حتي مي­تواند يك گام نيز فراتر رود. اگر مهاجمان بدانند كه سازمان شما از Honeypot استفاده مي­كند ولي ندانند كه كدام سيستمها Honeypot هستند، ممكن است به طور كلي از حمله كردن به شبكه شما صرفنظر كنند. در اين صورت Honeypot يك عامل تهديد براي مهاجمان به شمار رفته است. يك نمونه از Honeypot هايي كه براي اين كار طراحي شده اند، Deception Toolkit است.


تشخيص حملات

يك راه ديگر كه Honeypot ها با استفاده از آن از سازمان شما محافظت مي­كنند، تشخيص حملات است. از آنجايي كه تشخيص، يك اشكال و يا نقص امنيتي را مشخص مي­كند، حائز اهميت است. صرفنظر از اين كه يك سازمان تا چه اندازه امن باشد، همواره اشكالات و نقايص امنيتي وجود دارند. چرا كه حداقل نيروي انساني در پروسه امنيت درگيرند و خطاهاي انساني هميشه دردسر سازند. با تشخيص حملات، شما مي­توانيد به سرعت به آنها دسترسي پيدا كرده، و خرابي آنها را متوقف ساخته يا كم نماييد.

ثابت شده است كه تشخيص كار بسيار سختي است. تكنولوژيهايي مانند سنسورهاي سيستم تشخيص نفوذ و لاگهاي سيستمها، به دلايل مختلف چندان موثر نيستند. اين تكنولوژيها داده هاي بسيار زيادي توليد كرده و درصد خطاي تشخيص مثبت نادرست آن بسيار بالاست. همچنين اين تكنولوژيها قادر به تشخيص حملات جديد نيستند و نمي­توانند در محيطهاي رمز شده يا IPv6 كار كنند. به طور معمول Honeypot هاي با تعامل كم، بهترين راه حل براي تشخيص هستند. چرا كه به كار گرفتن و نگهداري اين Honeypot ها ساده تر بوده و در مقايسه با Honeypot هاي با تعامل بالا، ريسك كمتري دارند.


پاسخگويي به حملات

Honeypot ها با پاسخگويي به حملات نيز مي­توانند به سازمانها كمك كنند. زماني كه يك سازمان يك مشكل امنيتي را تشخيص مي­دهد، چگونه بايد به آن پاسخ دهد؟ اين مساله معمولا مي­تواند يكي از چالش برانگيزترين مسائل يك سازمان باشد. معمولا اطلاعات كمي درباره اينكه مهاجمان چه كساني هستند، چگونه به آنجا آمده اند، و يا اينكه چقدر تخريب ايجاد كرده اند وجود دارد. در اين شرايط، داشتن اطلاعات دقيق در مورد فعاليت هاي مهاجمان بسيار حياتي است. دو مساله با پاسخگويي به رويداد آميخته شده است. اول اينكه بسياري از سيستم هايي كه معمولا مورد سوء استفاده قرار مي­گيرند نمي­توانند براي تحليل شدن از شبكه خارج گردند. سيستم هاي تجاري، مانند ميل سرور يك سازمان، به حدي مهم هستند كه حتي اگر اين سيستم هك شود، ممكن است متخصصان امنيت نتوانند سيستم را از شبكه خارج كنند و براي تحليل آن بحث نمايند. به جاي اين كار، آنها مجبورند به تحليل سيستم زنده در حالي كه هنوز سرويسهاي تجاري را ارائه مي­كند، بپردازند. اين موضوع باعث مي­شود كه تحليل اتفاقي كه رخ داده، ميزان خسارت به بار آمده، و تشخيص نفوذ مهاجم به سيستم هاي ديگر سخت باشد.

مشكل ديگر اين است كه حتي اگر سيستم از شبكه خارج گردد، به حدي آلودگي داده وجود دارد كه تشخيص اينكه فرد مهاجم چه كاري انجام داده است بسيار سخت است. منظور از آلودگي داده، داده هاي بسيار زياد در مورد فعاليت هاي گوناگون(مانند ورود كاربران، خواندن حسابهاي ايميل، فايلهاي نوشته شده در پايگاه داده، و مسائلي از اين قبيل) است كه باعث مي­شود تشخيص فعاليت هاي معمول روزانه از فعاليتهاي فرد مهاجم سخت باشد.

Honeypot ها براي هر دوي اين مشكلات راه حل دارند. آنها مي­توانند به سرعت و سهولت از شبكه خارج گردند تا يك تحليل كامل بدون تاثير بر كارهاي روزانه انجام گيرد. همچنين از آنجايي كه اين سيستم ها فقط فعاليت هاي خرابكارانه يا تاييد نشده را ثبت مي­كنند، كار تحليل بسيار ساده تر خواهد بود و داده هاي بسيار كمتري بايد بررسي شوند. ارزش Honeypot ها به اين است كه آنها قادرند به سرعت اطلاعات عميق و پرفايده را در اختيار سازمان قرار دهند تا بتواند به يك رويداد پاسخ دهد. Honeypot هاي با تعامل بالا بهترين گزينه براي پاسخگويي است. براي پاسخگويي به نفوذگران، شما بايد دانش عميقي در مورد كاري كه آنها انجام داده اند، شيوه نفوذ، و ابزارهاي مورد استفاده آنها داشته باشيد. براي به دست آوردن اين نوع داده ها، شما احتياج به Honeypot هاي با تعامل بالا داريد.


استفاده از Honeypot ها براي مقاصد تحقيقاتي

همانطور كه پيش از اين اشاره شد، Honeypot ها مي­توانند براي مقاصد تحقيقاتي نيز مورد استفاده قرار گيرند. به اين ترتيب اطلاعات ارزشمندي در مورد تهديدات به دست مي آيد كه تكنولوژيهاي ديگر كمتر قادر به جمع آوري آن هستند. يكي از بزرگترين مشكلات متخصصان امنيت، كمبود اطلاعات يا آگاهي در مورد حملات مجازي است. زماني كه شما دشمن را نمي­شناسيد، چگونه مي­خواهيد در برابر او ديوار دفاعي تشكيل دهيد؟ Honeypot هاي تحقيقاتي اين مشكل را با جمع آوري اطلاعاتي در مورد تهديدات حل مي­كنند. سپس سازمانها مي­توانند از اين اطلاعات براي مقاصد مختلفي مانند تحليل، شناسايي ابزارها و روشهاي جديد، شناسايي مهاجمان و جوامع آنها، هشدارهاي اوليه و جلوگيري، و يا درك انگيزه هاي مهاجمان استفاده كنند.

اكنون شما بايد درك بهتري از چيستي Honeypot ها، نحوه استفاده از آنها، تواناييها و مزايا و معايب آنها به دست آورده باشيد.


مقالات مرتبط:

Honeypot چيست؟

انواع Honeypot


18 مرداد 1393 برچسب‌ها: مستندات مرجع
صفحات: «« « ... 31 32 33 34 35 ... » »»