بنابه عقیده بعضی، اکنون زمان استفاده از تدبیر براساس کرم! و ساختن کرمهای مفید برای ترمیم مشکلات است. درباره این روش قبلا در مجامع مربوط به امنیت بحث شده است و البته هنوز اعتراضات محکمی علیه استفاده از آنها وجود دارد. اما در مواجهه با شبکه های zombie (کامپیوترهای آلوده ای که برای حملات DoS گسترده، مورد استفاده قرار می گیرند) که تعداد آنها به دههاهزار کامپیوتر میرسد، می توانند یک شبه! توسط کرمهای مفید از کار انداخته شوند.
قبل از هر چیز ذکر این نکته ضروری است که گروه امداد امنیت کامپیوتری ایران این مطلب را در جهت افزودن بر آگاهی مخاطبانش نگاشته است و قصد طرفداری یا مخالفت با این گونه از کرمها را که با عنوان «کرمهای خوب» و «کرمهای مدافع» نیز شناخته میشوند، ندارد. از آنجا که مطالب این مقاله نظرهای افراد مختلف است، بعضی مطالب ممکن است نشانه طرفداری و بعضی نشاندهنده مخالفت با وجود کرمهای مفید باشد. شما از کدام گروهید؟
خبرگزاری BBC در می ۲۰۰۱ خبر از ظهور و گسترش کرمی به نام کرم پنیر (Cheese worm) داد. محتوای خبر نشان از فعالیت این کرم علیه هکرها میداد، نه به نفع آنان!
«یک ویروس مفید در حال گشت در اینترنت است و شکاف امنیتی کامپیوترها را بررسی و در صورت یافتن، آنها را میبندد. هدف این کرم، کامپیوترهای با سیستم عامل لینوکس است که توسط یک برنامه مشابه اما زیانرسان قبلا مورد حمله قرار گرفتهاند.»
اما این کرم توسط شرکتهای تولید آنتیویروس تحویل گرفته نشد! چراکه آنان معتقد بودند هر نرمافزاری که تغییراتی را بدون اجازه در یک کامپیوتر ایجاد کند، بالقوه خطرناک است.
در مارس همین سال یک برنامه زیانرسان با عنوان Lion worm (کرم شیر) سرویسدهندگان تحت لینوکس بسیاری را آلوده و درهای پشتی روی آنها نصب کرده بود تا ایجادکنندگان آن بتوانند از سرورها بهرهبرداری کنند. کرم همچنین کلمات عبور را میدزدید و به هکرهایی که از این ابزار برای ورود غیرمجاز استفاده میکردند، میفرستاد. این درهای پشتی میتوانستند برای حملات DoS نیز استفاده شوند.
در این نوشته سعی داریم به معرفی مختصر ویژگی های امنیتی Windows XP Service Pack 2 بپردازیم که البته کامل نمی باشد و منبع آن نیز از مستندات منتشر شده توسط مایکروسافت است.
هدف اصلی SP2، بهبود امنیت کاربران ویندوز XP است که این کار را با 4 رویکرد انجام می دهد:
- محافظت بهتر از شبکه
- بهبود حفاظت از حافظه
- ایمن سازی امور مربوط به E-Mail
- امنیت در مرور اینترنت (توسط Internet Explorer)
بررسی انواع کوکی
علاوه بر کوکیهای موقت و ماندگار که در مقاله قبل در مورد آن صحبت شد، کوکیها دستهبندی دیگری نیز دارند:
کوکیهای شخصاول! در مقابل کوکیهای شخصثالث: یک کوکی شخصاول از وبسایتی نشات میگیرد یا به آن فرستاده میشود که در آن زمان در حال مشاهده آن هستید. این کوکیها معمولا برای ذخیره اطلاعات مانند اولویتهای شما استفاده میشوند. یک کوکی شخص ثالث از وبسایت متفاوت با آنچه در حال مشاهده آن هستید نشات میگیرد یا به آن فرستاده میشود. وبسایتهای شخصثالث معمولا محتویاتی روی وبسایتی که در حال مشاهده هستید، ارائه میکنند. برای مثال، بسیاری سایتها از تبلیغات وبسایتهای شخصثالث استفاده میکنند و آن وبسایتها ممکن است از کوکی استفاده کنند. یک استفاده معمول برای این نوع از کوکی ردیابی استفاده از صفحهوب شما برای تبلیغات یا سایر مقاصد بازاریابی است. این نوع کوکیها میتوانند موقت یا ماندگار باشند.
نوعی از کوکیها هستند که بعنوان کوکیهای ناخوشایند نامیده میشوند. کوکیهایی هستند که ممکن است اجازه دسترسی به اطلاعات شخصا قابلشناسایی شما را برای اهداف ثانویه بدون اجازه شما، فراهم کنند.
مزایا و معایب کوکیها از دید کاربران اینترنت
اگرچه خیلیها از کوکیها تصورات بدی دارند، اما اکنون میدانید که کابردهای خوبی نیز دارند. بسیاری از افراد کوکیها را دوست ندارند زیرا آنها را ابزار “بردار بزرگ” (کسی که همواره ناظر بر اعمال و رفتار آنهاست) میدانند. بعبارتی بعلت ردیابی شدن توسط کوکیها، به آنها سوءظن دارند. این افراد باید بدانند که این نوع ردگیری میتواند توسط تکنیکهای دیگر نیز انجام گیرد، اما از کوکیها بدلیل ثبات بیشتر آنها نسبت به سایر روشها استفاده میشود. برای آنان که دوست ندارند دیگران بدانند در اینترنت چه میکنند یا به کدام سایتها سر میزنند، این امر مساله ساز است.
مردم همچنان کوکیها دوست ندارند، زیرا آنها را موجوداتی ”آبزیرکاه” میدانند. مگر اینکه نسخههای جدید مرورگرها را داشته باشید تا بتوانید با تنظیماتی که انجام میدهید از ورود آنها مطلع شوید، در غیر اینصورت آنها بدون هیچ نشانی وارد هارد شما میشوند. سیس میتوانند بدون اطلاع کاربر کارهای خاصی انجام دهند (شاید هدف قرار دادنتان برای اعمال تبلیغاتی).
بهرحال فکر کردن به این موضوع خوشایند نیست که در آینده نزدیک علائق خصوصی ما ممکن است برای کسانی که دوست نداریم، فاش شود. این نگرانی و عیب اصلی کوکیهاست. تقریبا قرار دادن ویروس از طریق کوکی فعلا ممکن نیست و جای نگرانی ندارد. همچنین کوکیها نمیتوانند به هارد شما صدمه وارد کنند، یا از آنچه روی هارد خود دارید، تصویری تهیه کنند یا هر کار دیگری شبیه اینها. کوکیها فقط آنچه را شما به آنها میگویید، میدانند. بهرحال اگر شما اطلاعاتی را در وبسایتی وارد کنید، مطمئنا در جایی در یک کوکی قرار خواهد گرفت. جایگزینهای آینده بجای کوکیها باید با آغوش باز پذیرفته شود و اگرچه ممکن است همه چیز را حل نکنند، اما بعضی از نگرانیها را از بین خواهند برد.
قصد داریم با شما در مورد هک و هکرها صحبت کنیم. اوایل برنامههای کوچکی توسط برنامهنویسان بنام “Hacks” نوشته میشد که شوخیهای بیضرر، دسترسیهای بیاجازه و برگرفته از احساس “ جلوی من حصار نکش” بود، اما اکنون تبدیل به زیانهای جدی شده است که به سیستمها وارد میشود. بهرحال در بعضی اوقات، هکرها برای سازمانها مفید هستند و بعنوان محافظ عمل میکنند. بد نیست که با فرهنگ و برنامههای این گروه از افراد آشنا شویم. بنابه تعریف، آنها افراد یا گروههایی از افراد با انگیزههای متفاوت هستند که امنیت یک سازمان یا یک فرد را به مخاطره میاندازند. آنها کاوشگران قلمروهای جدید هستند. بعضی برای منافع شخصی و بعضی برای سودرساندن به دیگران. اطلاع داشتن از تاریخ هک راه و آینده احتمالی آن را مشخص میکند. مطالعه در مورد هکرهای برجسته و داخلشدنهای بیاجازه آنها به سیستمها به افزایش آگاهی در این مورد کمک میکند.
هکرها کیستند؟
اصطلاح “هک ”به میانبر ایجاد شده در یک برنامه برای انجام سریعتر کار، اشاره میکند. (این تعریفی است که با پیدایش این کلمه همراه آن بوده است.) طبق یک خردهفرهنگ، هکرها سعی در پنهان کردن هویت واقعی خود میکنند، هرچند مطالعات نشان داده است که بعضی از آنها از تحسینشدن بدلیل ماجراهایی که بوجود میآورند، لذت میبرند. بیشتر آنها از اسامی مستعار مانند Hackingwiz یا Hyper Viper استفاده میکنند. آنها خود را افراد ماهر و هنرمندی میدانند که گاهی خود را از ویروسنویسان جدا میکنند. در حقیقت، برای مشخصکردن یک هکر، تعریف مشخصی وجود ندارد. آنها دارای زمینههای متفاوتی هستند و دلایلی که پشت هک وجود دارد گستره وسیعی را میپوشاند، اما باعث تهدیدهای مشترکی میشوند. هکرها افراد باهوشی هستند و از اینکه کامپیوترها را به انجام کاری که دوست دارند وامیدارند، لذت میبرند.
چه چیزی ویروس نیست؟!
بدلیل سوء شهرتی که ویروسهای کامپیوتری کسب کردهاند، به آسانی هر مشکل کامپیوتری بر گردن ویروسها انداخته میشود. در این مقاله در ابتدا به بعضی موارد و مشکلات که ممکن است دلیلی بغیر از ویروس داشته باشند، اشاره میشود:
· مشکلات سختافزاری: ویروسی وجود ندارد که بتوانند به بعضی از قطعات سختافزاری مانند چیپها، بردها و مونیتور آسیب برساند.
· صدای بوق در هنگام راهاندازی کامپیوتر بدون تصویر: این حالت معمولا بدلیل یک مشکل سختافزاری در هنگام روند بوت رخ میدهد. به مستندات کامپیوتر خود برای فهمیدن معنی انواع بوقها در هنگام بوت مراجعه کنید.
· کامپیوتر کل ۶۴۰ کیلوبایت اول از حافظه را نشان نمیدهد. این میتواند نشانه ویروس باشد، اما قطعی نیست. بعضی از درایورهای سختافزار مانند مونیتور یا کارت SCSI ممکن است بخشی از این قسمت از حافظه را استفاده کنند. به سازنده یا فروشنده کامپیوتر خود مراجعه کنید تا دلیل این امر را بفهمید.
· دو برنامه ضدویروس نصبشده دارید و یکی از این دو، ویروسی را گزارش میکند: در حالیکه که این میتواند نشانه ویروس باشد اما ممکن است امضا یا اثر یکی از این ضدویروسها در حافظه باشد که توسط دیگری به صورت ویروس تشخیص داده شده است.
· در حال استفاده از Microsoft Word هستید که Word به شما گزارش وجود یک ماکرو در یک فایل را میدهد. به این معنی نیست که ماکرو ویروس است.
· یک فایل یا سند خاص را نمیتوانید باز کنید: این الزاما نشانه وجود ویروس نیست. امتحان کنید که آیا میتوان فایل دیگر یا نسخه پشتیبان همین فایل را باز کرد. اگر بقیه باز میشوند، امکان خراب بودن فایل اولیه وجود دارد.
· برچسب روی هارد تغییر کردهاست. هر دیسک اجازه داشتن یک برچسب را دارد. میتوانید توسط DOS یا Windows به یک دیسک برچسبی اختصاص دهید.
· هنگام اجرای ScanDisk ، آنتیویروس نورتون یک فعالیت شبهویروسی را گزارش میکند. دو راه حل در پیشرو دارید:
o Auto-Protect نورتون را موقتا غیرفعال کنید و ScanDisk را اجرا کنید.
o Optionهای ScanDisk را در هنگام اجرا تغییر دهید.
در حقیقت، موارد فوق تنها چند مورد از تصورات اشتباه در مورد ویروسهاست.
در قسمت قبل تعدادی از موارد مهم که کاربران و مدیران شبکه باید برای داشتن بستر ارتباطی امن درنظر بگیرند مطرح شد. در این قسمت تعداد دیگری از توصیههای مهم در این زمینه ارائه میگردد.
۶- کدهای دودویی موجود بر روی سیستم خود را چک کنید که تغییر نکردهباشند. برای این کار فایلهای موجود بر روی سیستم را با نسخههایی از فایلها که به اصالت آنها اطمینان دارید و در محلهای امن ذخیره شدهاند (به عنوان مثال رسانههایی که فایلهای اولیه برای نصب نرمافزار بر روی آنها قرار گرفتهاند) مقایسه کنید. در استفاده از نسخههای پشتیبان دقت کنید، ممکن است حاوی اسبهای تروا باشند.
اسبهای تروا فایلهای با اندازه و برچسبهای زمانی مشابه نسخههای اصلی ایجاد میکنند. بنابراین تنها مقایسه اندازه و برچسبهای زمانی فایل برای دریافتن اصالت آنها کافی نیست. به جای این کار باید از MD5، Tripwire و سایر ابزارهای رمزنگاری Checksum فایلها برای آشکارسازی اسبهای تروا استفاده کنید. حتما از اصالت این ابزارها اطمینان حاصل کنید و مطمئن شوید که با امنیت نگهداری شده و امکان تحریف آنها توسط نفوذگران وجود نداشته است. میتوانید برای امضای خروجیهای تولید شده توسط MD5 و Tripwire از نرمافزارهایی مانند PGP بهره بگیرید تا در ارجاعات بعدی با اطمینان از این گزارشات استفاده کنید.
برنامههای ضدویروس هم میتوانند برای مقابله با ویروسهای کامپیوتری، اسبهای تروا و درهای پشتی به کار گرفته شوند. به خاطر داشته باشید برنامههای مخرب همواره تولید میشوند، بنابراین درصورت استفاده از این برنامهها از بهروز بودن آنها مطمئن شوید.
۷- پیکربندیهای سیستم محلی و شبکه خود را بررسی کرده، اطلاعات غیرمجاز وارد شده را شناسایی نمایید. مداخل غیرمجاز پیکربندی بخشهایی مانند WINS، DNS و IP forwarding را بررسی نمایید. برای این کار میتوانید از ابزار Network Properties و یا دستور "ipconfig /all" بهره بگیرید.
این مقاله به صورت کلی گام هایی را بیان می کند که برای تشخیص به خطر افتادن سیستم عامل Windows NT مورد استفاده قرار می گیرند. مدیران سیستم می توانند از این اطلاعات بهره گرفته و نفوذ های احتمالی به سیستم هایی که از این سیستم عامل بهره می گیرند را ردیابی کنند. مطالعه همه بخش های این مقاله برای مدیرانی که مایل به شناسایی نقاط ضعف سیستم های خود هستند مفید است.
علاوه بر استفاده از نکات مطرح شده در این مقاله بهره گیری از نسخه های به روز رسان و وصله های ارائه شده توسط تولید کنندگان نرم افزار هم باید به صورت مرتب و جدی انجام شود.
الف. ردیابی علائمی که خطرات احتمالی سیستم را نشان می دهند:
۱- Log فایل های ایجاد شده بر روی سیستم را بررسی کنید تا اتصالات به دستگاه از نقاط غیرمعمول و یا فعالیت های غیرمعمول شناسایی شوند. می توان با استفاده از Event Viewer ورود های عجیب به سیستم(Logon)، نقص سرویس ها و یا روشن و خاموش شدن های غیر عادی را بررسی کرد. در صورتی که حفاظ[1]، خادم وب و یا مسیریاب سیستم فعالیت های جاری خود را بر روی دستگاهی دیگر ثبت می کنند، باید log های ذخیره شده بر روی آن دستگاه ها هم بررسی شود. به خاطر داشته باشید تنها در صورتی این اطلاعات مفید می باشد که فایل های ثبت فعالیت ها فقط قابلیت اضافه کردن داشته باشند. بسیاری از نفوذکنندگان به سیستم ها با ویرایش فایل های log ردپای خود را از روی سیستم پاک می کنند.
۲- کاربران و گروه های عجیب را بررسی کنید. برای این کار می توانید از ابزار User Manager و یا دستورات ‘net user’، ‘net group’ و ‘net localgroup’ بهره بگیرید. اطمینان حاصل کنید شناسه GUEST که به صورت پیش فرض ساخته می شود در صورتی که سیستم به آن نیاز ندارد، غیرفعال باشد.
