امنیت در تولید نرم افزارها

امنیت در تولید نرم افزارها

 

Wi-Fi مشکلات امنیتی دارد. همچنین Microsoft Outlook! لینوکس، تلفن های هوشمند، مرورگر موزیلا و بسیاری چیزهای دیگر، اما عامل مشترک میان آنها چیست؟

نرم افزار.

نرم افزار مسائل امنیتی دارد و  وصله های امنیتی و فایروال هایی که ما شیفته  آنها هستیم، راه حلی برای به روز نگهداشتن امنیت نرم افزارها ندارند.

امروزه، در حال تولید میزان انبوهی از نرم افزارها هستیم و سیستم های محاسباتی و شبکه های خود را پیچیده تر می کنیم. اما متاسفانه در همین زمان، توانایی بستن شکاف های امنیتی اندکی هم پیشرفت نداشته است. بسادگی مشخص است که باید در روش های تولید و توسعه نرم افزار چندین تغییر اساسی ایجاد کنیم و این روند را بهبود بخشیم.

 

 

 

ارتباط ربایی!

Hijacking در اصل بمعنای هواپیماربایی و یا سایر وسایط نقلیه بهمراه مسافران آن است. ولی اجازه دهید ما از واژه ارتباط ربایی استفاده کنیم. ارتباط ربایی نوعی از حمله به شبکه است که مهاجم کنترل ارتباز را در اختیار می گیرد – مانند یک هواپیماربا که کنترل پرواز را در اختیار می گیرد-  نفوذگر بین دو موجود در شبکه قرار می گیرد و برای هرکدام از طرفین ارتباط خود را جای دیگری جامی زند!

 

 

 

ارتباط ربایی نوع اول

امنیت در شبکه های بی سیم2

قسمت هشتم : خطرها، حملات و ملزومات امنیتی (بخش اول)

 

    همان گونه که گفته شد، با توجه به پیشرفت های اخیر، در آینده یی نه چندان دور باید منتظر گسترده گی هرچه بیش تر استفاده از شبکه های بی سیم باشیم. این گسترده گی، با توجه به مشکلاتی که از نظر امنیتی در این قبیل شبکه ها وجود دارد نگرانی هایی را نیز به همراه دارد. این نگرانی ها که نشان دهنده ی ریسک بالای استفاده از این بستر برای سازمان ها و شرکت های بزرگ است، توسعه ی این استاندارد را در ابهام فرو برده است. در این قسمت به دسته بندی و تعریف حملات، خطرها و ریسک های موجود در استفاده از شبکه های محلی بی سیم بر اساس استاندارد IEEE 802.11x می پردازیم.

 

    شکل زیر نمایی از دسته بندی حملات مورد نظر را نشان می دهد :

 

 

 

    مطابق درخت فوق، حملات امنیتی به دو دسته ی فعال و غیرفعال تقسیم می گردند.

 

اولین اتصال یک کامپیوتر به اینترنت (۲)

اولین اتصال یک کامپیوتر به اینترنت (۲)

 

در شماره قبل راهنمای کلی از نظر امنیت برای نصب کامپیوترهای جدید ارائه گردید.  بهرحال، عمل به بعضی از آن توصیه ها بستگی به سیستم عامل مورد استفاده دارد. این بخش مشخصاً به سیستم های عامل ویندوز XP و Apple Macintosh OSX و چند اشاره به سایر سیستم عاملها دارد.

۱- ویندوز XP

بمنظور انجام این مراحل، شما نیاز دارید که به یک اکانت با اختیارات مدیر محلی وارد شوید.

الف. مقاله قبل را مرور کنید.

ب. در صورت امکان، از طریق یک فایروال سخت افزاری متصل شوید.

(به این مرحله در شماره قبل اشاره شده است.)

پ. Internet Connection Firewall موجود در XP  را فعال کنید.

(مایکروسافت دستورهای فعال کردن این فایروال را  ارائه کرده است.)

ت. اشتراکها را اگر فعال هستند، غیرفعال کنید.

۱- به Control Panel بروید.

۲- “Network and Internet Connections” را باز کنید.

۳- “Network Connections” را باز کنید.

۴- روی Connection که می خواهید تغییر ایجاد کنید کلیک راست کنید.

۵- “Properties” را انتخاب کنید.

۶- مطمئن شوید که “File and Printer Sharing for Microsoft Networking”  انتخاب نشده است.

ث. به شبکه متصل شوید.

ج. به آدرس http://windowsupdate.microsoft.com  بروید.

چ. دستورهای موجود در آنجا را برای نصب تمام بروز رسانیهای مهم دنبال کنید.

ح.  «امن ماندن» را در زیر مرور کنید.

 

 

 

۲-

اولین اتصال یک کامپیوتر به اینترنت (۱)

اولین اتصال یک کامپیوتر به اینترنت (۱)

 

در این مطلب چندین راهنمایی برای اتصال یک کامپیوتر جدید (یا ارتقاء یافته) برای اولین بار به اینترنت آورده شده است و مخاطبان آن کاربران خانگی، دانشجویان، شرکت های تجاری کوچک، یا هر مکانی با اتصال پرسرعت (مودم کابلی، DSL) یا از طریق خط تلفن است.

 

انگیزه

این مطلب بدلیل ریسک فزاینده برای کاربران اینترنتِ بدون حمایت مختص IT  است. در ماه های اخیر،  جهان شاهد گرایش به سمت سوءاستفاده از کامپیوترهای جدید یا محافظت نشده بوده است. این جریان بدلیل بعضی دلایل تشدید می شود:

بسیاری از پیکربندی های پیش فرض کامپیوترها نا امن هستند.

شکاف های امنیتی تازه ای ممکن است در مدت زمان ساخت و پیکربندی کامپیوتر توسط سازنده و تنظیم کامپیوتر برای اولین بار توسط کاربر، کشف شده باشد.

هنگام ارتقا نرم افزار از طریق ابزار مرسوم (مانند CD-ROM و DVD-ROM) شکافهای امنیتی جدید ممکن است از زمان ساخت دیسک تا کنون کشف شده باشد.

 حمله کنندگان دامنه آدرس های IP خطوط پرسرعت و dial-up را می دانند و بطورمنظم پیمایش می کنند.

 تعداد زیادی از کرمها از قبل در حال چرخیدن در اینترنت هستند و بطور پیوسته کامپیوترهای جدید را بمنظور سوءاستفاده پیمایش می کنند.

 

جالب است که زمان میانگین برای حمله به کامپیوترها در بعضی شبکه ها برای کامپیوترهای محافظت نشده بر حسب دقیقه اندازه گیری می شود،  مخصوصاً این موضوع برای محدوده آدرس های استفاده شده توسط مودم های کابلی، DSL و dial-up صحت دارد.

 

 

 توصیه ها

آدرس اینستاگرام تیم حامیان ولایت

امنیت در شبکه‌های بی‌سیم 7

بخش هفتم : ضعف‌های اولیه‌ی امنیتی WEP

 

    در قسمت‌های قبل به سرویس‌های امنیتی استاندارد 802.11 پرداختیم. در ضمنِ ذکر هریک از سرویس‌ها، سعی کردیم به ضعف‌های هریک اشاره‌یی داشته باشیم. در این قسمت به بررسی ضعف‌های تکنیک‌های امنیتی پایه‌ی استفاده شده در این استاندارد می‌پردازیم.

 

    همان‌گونه که گفته شد، عملاً پایه‌ی امنیت در استاندارد 802.11 بر اساس پروتکل WEP استوار است. WEP در حالت استاندارد بر اساس کلیدهای ۴۰ بیتی برای رمزنگاری توسط الگوریتم RC4 استفاده می‌شود، هرچند که برخی از تولیدکننده‌گان نگارش‌های خاصی از WEP را با کلیدهایی با تعداد بیت‌های بیش‌تر پیاده‌سازی کرده‌اند.

 

    نکته‌یی که در این میان اهمیت دارد قائل شدن تمایز میان نسبت بالارفتن امنیت و اندازه‌ی کلیدهاست. با وجود آن که با بالارفتن اندازه‌ی کلید (تا ۱۰۴ بیت) امنیت بالاتر می‌رود، ولی از آن‌جاکه این کلیدها توسط کاربران و بر اساس یک کلمه‌ی عبور تعیین می‌شود، تضمینی نیست که این اندازه تماماً استفاده شود. از سوی دیگر همان‌طور که در قسمت‌های پیشین نیز ذکر شد، دست‌یابی به این کلیدها فرایند چندان سختی نیست، که در آن صورت دیگر اندازه‌ی کلید اهمیتی ندارد.

 

    متخصصان امنیت بررسی‌های بسیاری را برای تعیین حفره‌های امنیتی این استاندارد انجام داده‌اند که در این راستا خطراتی که ناشی از حملاتی متنوع، شامل حملات غیرفعال و فعال است، تحلیل شده است.

 

    حاصل بررسی‌های انجام شده فهرستی از ضعف‌های اولیه‌ی این پروتکل است :

 

کاربرد پراکسی در امنیت شبکه (۳)چ

کاربرد پراکسی در  امنیت شبکه (۳)

 

در شماره های قبل به پراکسی سرور، مقایسه پراکسی و فایروال و پراکسی SMTP پرداختیم. به بررسی انواع دیگر پراکسی می پردازیم:

 

HTTP Proxy

این پراکسی بر ترافیک داخل شونده و خارج شونده از شبکه شما که توسط کاربرانتان برای دسترسی به World Wide Web ایجاد شده،  نظارت می کند. این پراکسی برای مراقبت از کلاینت های وب شما و سایر برنامه ها که به دسترسی به وب از طریق اینترنت متکی هستند و نیز حملات برپایه HTML، محتوا را فیلتر می کند. بعضی از قابلیتهای آن اینها هستند:

·   برداشتن اطلاعات اتصال کلاینت: این پراکسی می تواند آن قسمت از دیتای header  را که نسخه سیستم عامل، نام و نسخه مرورگر، حتی آخرین صفحه وب دیده شده را فاش می کند، بردارد. در بعضی موارد، این اطلاعات حساس است، بنابراین چرا فاش شوند؟

·    تحمیل تابعیت کامل از استانداردهای مقررشده برای ترافیک وب: در بسیاری از حمله ها، هکرها بسته های تغییرشکل داده شده را ارسال می کنند که باعث دستکاری عناصر دیگر صفحه وب می شوند، یا بصورتی دیگر با استفاده از رویکردی که ایجادکنندگان مرورگر پیش بینی نمی کردند، وارد می شوند. پراکسی HTTP این اطلاعات بی معنی را نمی پذیرد. ترافیک وب باید از استانداردهای وب رسمی پیروی کند، وگرنه پراکسی ارتباط را قطع می کند.

·    فیلترکردن محتوای از نوع MIME : الگوهای MIME به مرورگر وب کمک می کنند تا بداند چگونه محتوا را تفسیر کند تا با یک تصویرگرافیکی بصورت یک گرافیک رفتار شود، یا .wav فایل بعنوان صوت پخش شود، متن نمایش داده شود و غیره. بسیاری حمله های وب بسته هایی هستند که در مورد الگوی MIME خود دروغ می گویند یا الگوی آن را مشخص نمی کنند. پراکسی HTTP این فعالیت مشکوک را تشخیص می دهد و چنین ترافیک دیتایی را متوقف می کند.

·   فیلترکردن کنترلهای Java و ActiveX: برنامه نویسان از Java و ActiveX برای ایجاد برنامه های کوچک بهره می گیرند تا در درون یک مرورگر وب اجراء شوند (مثلاً اگر فردی یک صفحه وب مربوط به امور جنسی را مشاهده می کند، یک اسکریپت ActiveX روی آن صفحه می تواند بصورت خودکار آن صفحه را صفحه خانگی مرورگر آن فرد نماید). پراکسی می تواند این برنامه ها را مسدود کند و  به این ترتیب جلوی بسیاری از حمله ها را بگیرد.

·   برداشتن کوکی ها:  پراکسی HTTP می تواند جلوی ورود تمام کوکی ها را بگیرد تا اطلاعات خصوصی شبکه شما را حفظ کند.

·   برداشتن Headerهای ناشناس:  پراکسی HTTP ، از headerهای HTTP که از استاندارد پیروی نمی کنند، ممانعت بعمل می آورد. یعنی که، بجای مجبور بودن به تشخیص حمله های برپایه علائمشان، پراکسی براحتی ترافیکی را که خارج از قاعده باشد، دور می ریزد. این رویکرد ساده از شما در مقابل تکنیک های حمله های ناشناس دفاع می کند.

·   فیلترکردن محتوا: دادگاه ها مقررکرده اند که تمام کارمندان حق برخورداری از یک محیط کاری غیر خصمانه را دارند. بعضی عملیات تجاری نشان می دهد که بعضی موارد روی وب جایگاهی در شبکه های شرکت ها ندارند. پراکسی HTTP سیاست امنیتی شرکت شما را وادار می کند که توجه کند چه محتویاتی مورد پذیرش در محیط کاریتان است و چه هنگام استفاده نامناسب از اینترنت در یک محیط کاری باعث کاستن از بازده کاری می شود. بعلاوه، پراکسی HTTP می تواند سستی ناشی از فضای سایبر را کم کند. گروه های مشخصی از وب سایتها که باعث کم کردن تمرکز کارمندان از کارشان می شود، می توانند غیرقابل دسترس شوند.

 

FTP Proxy