امضای دیجیتالی (قسمت دوم)

در قسمت قبل مقاله امضای دیجیتالی، به چیستی این مبحث و تاریخچه آن پرداخته شد. در این قسمت، به جزئیات بیشتری در این مورد خواهیم پرداخت.

دلایل استفاده از امضای دیجیتالی

در زیر برخی دلایل استفاده از امضاهای دیجیتالی در ارتباطات بیان می گردد:

• تایید هویت این کار به وسیله بررسی و تایید اعتبار این اطمینان را ایجاد می کند که آیا کاربر همان کسی که ادعا می کند هست یا خیر. وقتی مالکیت کلید خصوصی یک امضای دیجیتالی به یک فرد خاص متعلق باشد، یک امضای معتبر نشان می دهد که آن پیغام قطعا توسط همان فرد ارسال شده است. اهمیت این موضوع به خصوص در زمینه های مالی روشن می شود.
  
• تمامیت داده امضاهای دیجیتالی تمامیت داده را تضمین می کنند و کاربر نگران این موضوع نخواهد بود که داده تصادفا یا عمدا جایگزین شده باشد. اگرچه رمزنگاری محتویات پیغام را پنهان می کند، تغییر محتوای پیغام رمز شده بدون فهمیدن محتوای آن ممکن است. (برخی الگوریتمهای رمزنگاری که به عنوان الگوریتمهای غیر قابل انعطاف شناخته می شوند، جلوی این کار را می گیرند) اما اگر یک پیغام امضای دیجیتالی داشته باشد، هر تغییری پس از امضا در این پیغام، امضا را غیر معتبر می سازد. علاوه بر این، هیچ راه موثری برای تغییر یک پیغام و امضای آن و تولید یک پیغام جدید با امضای معتبر وجود ندارد.
  
• محرمانگی امضاهای دیجیتالی محرمانگی را تضمین می کنند و اطمینان می دهند که پیغامها فقط توسط افراد شناخته شده و مجاز بازگشایی می گردند.
  
• زمان سنجی امضاهای دیجیتالی همچنین تاریخ و ساعت را نیز اعتبار سنجی می کنند. به همین دلیل فرستنده یا گیرنده نمی توانند در مورد ارسال یا دریافت پیغام ادعای نادرستی مطرح کنند.

امضای دیجیتالی (قسمت اول)

افراد خرابکار بسیاری در اینترنت حضور دارند که می توانند با سرقت هویت باعث دردسر شما و یا سازمان شما گردند. به همین دلیل شرکتهایی ایجاد شده اند که با فروش امضای دیجیتالی، در پروسه تایید هویت و اعتبار به شما کمک می کند. در این مقاله به مفهوم امضای دیجیتالی و کاربردهای این تکنولوژی در تایید اعتبار یک کاربر خواهیم پرداخت.

موازنه امنیت، تهدید، کارایی و هزینه در پیاده سازی LUA

پیشرفت های اخیر در فناوری شبکه مانند امکان اتصال دائم به اینترنت، فرصت های زیادی را در اختیار انواع شرکت ها و سازمان ها و حتی کاربران عادی قرار داده است. اما متأسفانه اتصال به هر نوع شبکه ای و مخصوصاً اینترنت، خطر حملات بدافزاری را افزایش می دهد و در همین حال که متخصصان امنیتی مشغول مدیریت خطرات موجود هستند، خطرات جدیدی ایجاد و کشف می شوند.

یکی از فاکتورهای اصلی که خطر بدافزارها را به میزان چشمگیری افزایش می دهد، تمایل به دادن امکانات مدیر سیستم به کاربران است. زمانی که یک کاربر با حق دسترسی مدیر یا Administrator وارد سیستم می شود، تمام برنامه هایی که اجرا می کند مانند مرورگرها، برنامه های ایمیل و برنامه های پیام فوری نیز حق دسترسی مدیر سیستم را پیدا می کنند. در صورتی که این برنامه ها یک بدافزار را فعال سازند، آن بدافزار خود را نصب و خدمات برنامه های آنتی ویروس را دستکاری کرده و حتی ممکن است خود را از دید سیستم عامل پنهان سازد. از طرف دیگر کاربران نیز ممکن است به صورت ناخواسته (برای مثال از طریق بازدید از یک وب سایت آلوده شده و یا با کلیک بر روی پیوست ایمیل) برنامه های خرابکار را اجرا کنند. برنامه های خرابکار مذکور می توانند بسیار خطرناک بوده و کارهایی از قبیل دستکاری اطلاعات حساس، به دست آوردن کلمات عبور از طریق نصب ثبت کننده ضربات صفحه کلید (keystroke logger)، به دست گرفتن کنترل کامل رایانه قربانی و حتی شبکه ها را انجام داده و کاری کنند که وب سایت ها بالا نیایند و یا حتی دیسک سخت را فرمت کنند. در برخی موارد هزینه تحمیل شده بر اثر خرابکاری های مذکور غیر قابل جبران می باشد.

مهندسی اجتماعی

در اغلب مقالات، مهندسی اجتماعی بعنوان «هنر و علم موافق کردن دیگران با خواست خود»، یا «استفاده هکر از ترفندهای روانشناسی بر روی کاربران معتبر یک سیستم کامپیوتری برای رسیدن به اطلاعاتی که برای دسترسی به سیستم مورد نیاز است»، و یا «بدست آوردن اطلاعات مورد نیاز (برای مثال کلمه عبور) از یک شخص به جای نفوذ به سیستم» مطرح شده است. در حقیقت، مهندسی اجتماعی می تواند هریک از این موارد یا تمام آنها باشد. چیزی که همه در مورد آن توافق دارند این است که مهندسی اجتماعی عموما مهارت هوشمندانه فرد هکر در جلب اعتماد و نظر کاربر قربانی است. هدف هکر این است که اطلاعاتی را بدست آورد که به وی اجازه خواهد داد تا به یک سیستم ارزشمند و اطلاعات آن بدون مجوز دسترسی داشته باشد.

تزریق SQL (انواع روشهای حمله)

در این بخش، ما انواع روش های شناخته شده حملات تزریق SQL را بیان و تشریح خواهیم کرد. برای هر نوع حمله، یک نام، یک یا چند هدف حمله، یک توصیف از حمله، و یک مثال بیان خواهند شد.
انواع مختلف حملات بسته به اهداف مهاجم، گاهی با هم و گاهی به صورت متوالی و پشت سر هم نیز مورد استفاده قرار می گیرند. همچنین باید به این نکته نیز توجه کرد که نسخه های متعددی از هر نوع حمله نیز وجود دارد.

اصول برنامه نویسی امن

در اغلب موارد، اشتباهات برنامه نویسی که به سادگی قابل اجتناب هستند منجر به بروز آسیب پذیری های قابل سوءاستفاده در نرم افزارها می شوند. گروه پاسخگویی به فوریتهای رایانه ای (CERT) در تحلیل هایی که بر روی هزاران آسیب پذیری گزارش شده به این گروه انجام داده، به این نتیجه رسیده است که اکثر آسیب پذیری ها از تعداد کمی خطاهای برنامه نویسی مشترک ناشی می شوند. در صورت آشنایی برنامه نویسان و توسعه دهندگان نرم افزار با روش های نا امن برنامه نویسی و جایگزین کردن آنها با روش های امن، می توان گام بزرگی را برای کاهش و یا حذف آسیب پذیری های یک نرم افزار، قبل از انتشار آن، برداشت.
به همین منظور در این مقاله مهمترین نکاتی را که باید برای برنامه نویسی امن به آنها توجه شود، توضیح می دهیم. برای تکمیل اطلاعات در این زمینه، مطالعه سری گزارش های تحلیلی خطرناک ترین 25 خطای رایج برنامه نویسی توصیه می شود.

آشنایی با استاندارد CERT برای برنامه نویسی امن

عنصر اصلی در کدنویسی امن با زبان های مختلف برنامه نویسی، مستند سازی خوب و استفاده از استانداردهای قابل اجرا است. استانداردهای کدنویسی، برنامه نویسان را ترغیب به پیروی از مجموعه ای متحدالشکل از قوانین و راهنماییها می کند که بر اساس نیازمندی های پروژه و سازمان تعیین شده است، نه بر اساس سلایق و مهارت های مختلف برنامه نویسان. به محض تعیین استانداردهای مذکور، می توان از آن به عنوان معیاری برای ارزیابی کدهای منبع، چه به صورت دستی و چه به صورت اتوماتیک استفاده کرد.

از استانداردهای معروف در این زمینه می توان به استانداردCERT برای کدنویسی امن اشاره کرد که یک سری از قوانین و پیشنهادات را برای کد نویسی امن با زبان های برنامه نویسی C، C++ و جاوا ارائه می دهد. هدف از این قوانین و پیشنهادات، حذف عادت های کدنویسی ناامن و رفتارهای تعریف نشده است که منجر به آسیب پذیری های قابل سوءاستفاده می شود. به کارگیری استانداردهای مذکور منجر به تولید سیستم های با کیفیت بالاتر می شود که در برابر حملات بالقوه، پایدارتر و مقاوم تر هستند.

تزریق SQL (مقابله با حملات)

محققان انواع زیادی از تکنیک ها را برای حل مساله تزریق SQL ارائه کرده اند. این تکنیک ها از روش های برنامه نویسی تا چارچوب های کاملا خودکار برای تشخیص و جلوگیری از حملات تزریق SQL را شامل می شوند. در این بخش ما به مطالعه این تکنیک ها خواهیم پرداخت و مزایا و معایب هر یک را بررسی خواهیم کرد.