کلیدهای رمزنگاری

رمزنگاری، شیوه باستانی حفاظت از اطلاعات است که سابقه آن به حدود 4000 سال پیش از میلاد باز می گردد. امروزه رمزنگاری در دنیای مدرن از اهمیت ویژه ای برخوردار است، به طوری که رمزنگاری به عنوان یک روش مؤثر برای حفاظت از اطلاعات حساس به کار می رود. اطلاعاتی مانند اطلاعات طبقه بندی شده نظامی، اطلاعات حساس مؤسسات مالی، کلمات عبور که بر روی سیستم های کامپیوتری ذخیره شده اند و داده هایی که بر روی اینترنت و یا از طریق امواج رادیویی انتشار می یابند. در سری مقاله های رمزنگاری، مفاهیم اولیه رمزنگاری را شرح خواهیم داد. لازم به ذکر است که رمزنگاری یک مبحث بسیار پیچیده است و در اینجا ما قصد توضیح پایه های ریاضی الگوریتمهای رمزنگاری یا باز کردن تمام جزئیات را نداریم و تنها به معرفی کلیات این مقوله خواهیم پرداخت. برای دریافت اطلاعات و جزئیات بیشتر می توانید به کتابهایی که در این زمینه نگارش شده اند مراجعه فرمایید. در قسمتهای قبلی تاریخچه مختصری از رمزنگاری و مفاهیم اولیه آن را توضیح دادیم و در این قسمت کلیدهای رمزنگاری، شیوه انتشار و مدیریت کلید و رمزنگاری در شبکه را توضیح خواهیم داد.

کلیدهای رمزنگاری

تکنیک های رمزنگاری پیچیده به راحتی از روش های جابجایی یا جایگزینی استفاده نمی کنند. در عوض از یک کلید محرمانه برای کنترل یک توالی طولانی از جابجایی و جایگزینی های پیچیده استفاده می کنند. کلیدهای رمزنگاری و الگوریتم های رمزنگاری با یکدیگر همکاری می کنند تا یک متن اولیه را به یک متن رمزی تبدیل کنند. در اغلب موارد الگوریتم رمزنگاری ثابت و شناخته شده است و این کلید رمزنگاری است که یک نسخه یکتا از اطلاعات رمزنگاری شده تولید می کند. در زیر انواع کلیدهای رمزنگاری توضیح داده شده اند.

همه چیز درباره بدافزار - 2

در سری مقاله های بدافزار قصد داریم تا شما را با انواع بدافزارهایی که امروزه وجود دارند، آشنا سازیم. این مقاله ها شامل دسته بندی انواع بدافزارهای شناخته شده، تکنیکهای مورد استفاده بدافزارها، روشهای انتشار بدافزارها و تهدیدات آنها برای سازمانهای مختلف می باشد.
به دلیل طبیعت تغییر پذیر، رو به رشد و گسترده این مقوله، در این مجال نمی توان به توضیح همه عناصر بدافزارها و همه انواع ممکن آنها پرداخت، ولی به هرحال مهمترین عناصر تشکیل دهنده بدافزارها، برای درک و فهم بهتر طبیعت آنها آورده شده است. همچنین در این مقاله ها به چیزهای دیگری که بدافزار نیستند، مانند ابزارهای جاسوسی، هرزنامه ها و ابزارهای تبلیغاتی نیز خواهیم پرداخت.
در بخش قبلی در مورد سیر تکامل ویروسهای رایانه ای و همچنین دسته بندی بدافزارها صحبت کردیم. در این بخش، در مورد خصوصیات بدافزارها صحبت خواهیم کرد.

همه چیز درباره بدافزار - 3

در سری مقاله های بدافزار قصد داریم تا شما را با انواع بدافزارهایی که امروزه وجود دارند، آشنا سازیم. این مقاله ها شامل دسته بندی انواع بدافزارهای شناخته شده، تکنیکهای مورد استفاده بدافزارها، روشهای انتشار بدافزارها و تهدیدات آنها برای سازمانهای مختلف می باشد.
به دلیل طبیعت تغییر پذیر، رو به رشد و گسترده این مقوله، در این مجال نمی توان به توضیح همه جزئیات بدافزارها و همه انواع ممکن آنها پرداخت، ولی به هرحال سعی شده است مهمترین عناصر تشکیل دهنده بدافزارها، برای درک و فهم بهتر طبیعت آنها توضیح داده شود. همچنین در این مقاله ها به بررسی چیزهای دیگری که بدافزار نیستند، مانند ابزارهای جاسوسی، هرزنامه ها و ابزارهای تبلیغاتی نیز خواهیم پرداخت.
در بخشهای قبلی در مورد سیر تکامل ویروسهای رایانه ای و همچنین دسته بندی بدافزارها و برخی خصوصیات آنها صحبت کردیم. در این بخش، در مورد دیگر خصوصیات بدافزارها شامل انواع عملیات خرابکارانه ای که انجام می دهند، مکانیزم های فعال سازی و مکانیزم های دفاعی آنها بحث خواهیم کرد.

همه چیز درباره بدافزار - 4

در سری مقاله های بدافزار قصد داریم تا شما را با انواع بدافزارهایی که امروزه وجود دارند، آشنا سازیم. این مقاله ها شامل دسته بندی انواع بدافزارهای شناخته شده، تکنیکهای مورد استفاده بدافزارها، روشهای انتشار بدافزارها و تهدیدات آنها برای سازمانهای مختلف می باشد.
به دلیل طبیعت تغییر پذیر، رو به رشد و گسترده این مقوله، در این مجال نمی توان به توضیح همه عناصر بدافزارها و همه انواع ممکن آنها پرداخت، ولی به هرحال مهمترین عناصر تشکیل دهنده بدافزارها، برای درک و فهم بهتر طبیعت آنها آورده شده است. همچنین در این مقاله ها به چیزهای دیگری که بدافزار نیستند، مانند ابزارهای جاسوسی، هرزنامه ها و ابزارهای تبلیغاتی نیز خواهیم پرداخت.
در بخشهای قبلی در مورد سیر تکامل ویروسهای رایانه ای و همچنین دسته بندی بدافزارها و خصوصیات آنها صحبت کردیم. در این بخش، در مورد تهدیدهای دیگری که وجود دارند ولی به عنوان بدافزار در نظر گرفته نمی شوند صحبت خواهیم کرد.

آنتی ویروس چیست و چگونه عمل می کند؟

نرم افزارهای آنتی ویروس اختصاصاً برای دفاع از سیستم ها در برابر تهدیدهای ویروسها طراحی و نوشته می شوند. متخصصان امنیتی قویاً توصیه به استفاده از آنتی ویروس می کنند زیرا آنتی ویروس از رایانه شما نه تنها در برابر ویروسها بلکه در برابر انواع بدافزارها نیز محافظت می کند. در واقع آنتی ویروس یک برنامه کامپیوتری است که برای مرور فایلها و تشخیص و حذف ویروسها و دیگر بدافزارها از آن استفاده می شود.
در این مقاله برخی از تکنیکهای رایج در بین آنتی ویروسها را که برای تشخیص بدافزارها به کار برده می شوند مورد بررسی قرار خواهیم داد. در حالت کلی آنتی ویروس ها از دو تکنیک اصلی برای رسیدن به اهدافشان استفاده می کنند:
روش مبتنی بر کد (امضا): در این روش با استفاده از یک دیکشنری ویروس که حاوی امضای ویروسهای شناخته شده است، احتمال وجود ویروسهای شناخته شده در فایلها مورد بررسی و آزمایش قرار می گیرند.
روش مبتنی بر رفتار: در این روش هدف شناسایی رفتارهای مشکوک هر برنامه کامپیوتری است، زیرا احتمال دارد رفتار مذکور نشان دهنده یک آلودگی ویروسی باشد.
اغلب آنتی ویروسهای تجاری از هر دو روش فوق ولی با تأکید بر روی امضای ویروس، استفاده می کنند. در زیر روشهای مذکور را با تفصیل بیشتری توضیح می دهیم.

روش مبتنی بر کد (امضا)

اغلب برنامه های آنتی ویروس در حال حاضر از این تکنیک استفاده می کنند. در این شیوه، رایانه میزبان، درایوهای حافظه و یا فایلها با هدف پیدا کردن الگویی که نشان دهنده یک بدافزار باشد، مورد جستجو قرار می گیرند. این الگوها معمولاً در فایلهایی به نام فایلهای امضا ذخیره می شوند. فایلهای مذکور توسط فروشندگان نرم افزارهای آنتی ویروس طبق یک برنامه منظم به روز رسانی می شوند تا قادر باشند بیشترین تعداد ممکن حمله های بدافزاری را شناسایی کنند. مشکل اصلی تکنیک بررسی امضا این است که نرم افزار آنتی ویروس باید قبلاً به روز رسانی شده باشد تا بتواند به مقابله و خنثی سازی بدافزارها بپردازد و لذا بدافزارهای جدیدی که هنوز شناسایی نشده و به فایلهای امضا اضافه نشده اند تشخیص داده نمی شوند.
در این شیوه زمانی که نرم افزار آنتی ویروس یک فایل را مورد آزمایش قرار می دهد، به یک دیکشنری ویروس که حاوی امضای ویروسهای شناخته شده است مراجعه می کند. در صورتی که هر تکه از کد فایل با یک ویروس شناخته شده مطابقت داشته باشد، فایل مذکور به عنوان یک فایل آلوده شناسایی شده و آنتی ویروس یا آن را پاک می کند و یا آن را قرنطینه می نماید تا برنامه های دیگر به آن دسترسی نداشته و همچنین از انتشار آن جلوگیری به عمل آید. در برخی موارد نیز امکان بازسازی فایل آلوده از طریق حذف ویروس از فایل اصلی وجود دارد که در صورت امکان آنتی ویروس این کار را انجام می دهد.
همان طور که در بالا نیز گفتیم، آنتی ویروسهای مبتنی بر امضا برای موفق بودن در درازمدت، نیاز دارند که مرتباً دیکشنری حاوی امضاهای ویروس را به صورت آنلاین به روز رسانی نمایند. زمانی که یک ویروس جدید در دنیای رایانه پدیدار می شود، کاربران با تجربه تر فایلهای آلوده را برای نویسندگان آنتی ویروس ها ارسال می کنند تا آنها بتوانند ویروس مزبور را شناسایی کرده و مشخصات آن را به دیکشنری اضافه کنند.
آنتی ویروس های مبتنی بر امضا غالباً فایلها را در زمان اجرا، باز و بسته شدن و همچنین زمانی که ایمیل می شوند، مورد آزمایش قرار می دهند. به این وسیله یک ویروس شناخته شده به محض وارد شدن به رایانه تشخیص داده می شود. همچنین می توان برنامه های آنتی ویروس را طوری برنامه ریزی کرد که در زمانهای معینی به بررسی کل فایلهای موجود بر روی دیسک سخت بپردازند.
با وجودی که روش مبتنی بر امضا مؤثر شناخته شده است ولی ویروس نویسان همواره تلاش می کنند تا یک قدم جلوتر از آنتی ویروس ها حرکت کنند و این کار را از طریق ایجاد ویروسهای چندریختی انجام می دهند. ویروسهای چندریختی در واقع دارای یک مکانیزم دفاعی رمزنگاری هستند. بدافزارهایی از این نوع رمزنگاری به عنوان یک مکانیزم دفاعی استفاده می کنند که می خواهند خود را تغییر دهند تا از خطر تشخیص داده شدن توسط نرم افزارهای آنتی ویروس در امان بمانند. این بدافزار ها معمولاً خود را با یک الگوریتم رمزنگاری به صورت رمزی درآورده و سپس برای هر دگرگونی از یک کلید رمزگشایی متفاوت استفاده می کنند. بنابراین بدافزار های چندریختی می توانند از تعداد نامحدودی الگوریتم رمزنگاری به منظور ممانعت از تشخیص استفاده کنند. در هر بار تکرار بدافزار جزئی از کد رمزگشایی دچار تغییر می شود. بسته به نوع هر بدافزار، عملیات خرابکارانه یا دیگر اعمالی که توسط بدافزار انجام می شوند می توانند تحت عملیات رمزنگاری قرار بگیرند. معمولاً یک موتور دگرگونی در بدافزار رمزنگاری شده تعبیه شده است که در هر بار تغییر، الگوریتم های رمزنگاری تصادفی را تولید می کند. سپس موتور مذکور و بدافزار توسط الگوریتم تولیدی رمزنگاری شده و کلید رمزگشایی جدید به آنها الصاق می شود.
نکته ای که نباید آن را از نظر دور داشت اینست که روشهای متنوعی برای رمزنگاری و بسته بندی بدافزارها وجود دارد که تشخیص انواع شناخته شده بدافزارها را برای آنتی ویروسها بسیار سخت یا غیرممکن می سازد. لذا تشخیص اینگونه ویروسها نیازمند موتورهای قوی باز کردن بسته بندی است که بتوانند فایلها را قبل از آزمایش رمزگشایی نمایند. متأسفانه بسیاری از آنتی ویروس های محبوب و معروف امروزی فاقد توانایی تشخیص ویروس های رمزنگاری شده هستند.

روش مبتنی بر رفتار

روش مبتنی بر رفتار بر خلاف روش پیشین تنها در تلاش برای شناسایی ویروسهای شناخته شده نیست و به جای آن رفتار همه برنامه ها را نظارت می کند. این تکنیک سعی در تشخیص انواع شناخته شده و همچنین انواع جدید بدافزار دارد و این کار را از طریق جستجوی ویژگیهای عمومی و مشترک بدافزارها انجام می دهد. برای مثال اگر یک برنامه سعی در نوشتن داده بر روی یک برنامه اجرایی دیگر را داشته باشد، این رفتار به عنوان یک رفتار مشکوک شناسایی شده و به کاربر هشدار لازم داده می شود. سپس از او در مورد اینکه چه کاری باید انجام شود سؤال می شود.
آنتی ویروس های مبتنی بر رفتار بر خلاف آنتی ویروس های مبتنی بر امضا از رایانه در برابر ویروسهای جدید نیز که امضای آنها در هیچ دیکشنری موجود نیست، محافظت به عمل می آورند. البته مشکل این آنتی ویروسها تعداد زیاد تشخیصهای مثبت اشتباه و هشدارهای به کاربر است که موجب خستگی و سر رفتن حوصله کاربران می شود. در صورتی که کاربران به همه هشدارها پاسخ Accept را بدهند عملاً آنتی ویروس بلااستفاده شده و کارایی خود را از دست خواهد داد، به همین دلیل آنتی ویروس ها استفاده از این روش را روز به روز محدودتر می کنند.
به روش مبتنی بر رفتار جستجوی اکتشافی یا Heuristic نیز گفته می شود زیرا سعی در کشف رفتارهای مشکوک و شناسایی بدافزارها دارد. مهمترین فایده این روش تکیه نکردن آن بر فایلهای امضا برای تشخیص و مقابله با بدافزار است. به هر حال همان طور که گفتیم بررسی اکتشافی نیز با مشکلات خاصی روبرو است از جمله:

• تشخیص مثبت اشتباه یا False Positive
  این روش از ویژگیهای عمومی بدافزار ها استفاده می کند، و بنابراین ممکن است برخی از نرم افزارهای قانونی و معتبر را در صورتی که خصوصیاتی شبیه بدافزارها داشته باشند، نیز به اشتباه بدافزار شناسایی کند.
• بررسی کندتر
  پروسه جستجوی ویژگیها برای یک نرم افزار بسیار سخت تر از جستجوی الگوهایی مشخص است. به همین دلیل جستجوی اکتشافی مدت زمان بیشتری نسبت به جستجوی امضا جهت شناسایی بدافزارها نیاز دارد.
• ندیدن ویژگیهای جدید
  در صورتی که یک حمله بدافزاری جدید ویژگیهایی را از خود به نمایش بگذارد که پیش از این شناسایی نشده اند، جستجوی اکتشافی نیز آن را شناسایی نمی کند مگر اینکه به روز رسانی شده و ویژگی مذکور به حافظه آن اضافه شود.

روشهای دیگر

استفاده از Sandbox

یک روش دیگر برای تشخیص ویروسها استفاده از sandbox است. یک sandbox سیستم عامل را شبیه سازی کرده و فایلهای اجرایی را در این شبیه سازی اجرا می کند. بعد از پایان اجرای برنامه ها sandbox در مورد تغییراتی که ممکن است نشان دهنده ویروس باشد مورد ارزیابی قرار می گیرد. به علت سرعت پایین این روش تشخیص، از آن فقط در صورت تقاضای کاربر استفاده می شود.

فناوری ابر

در نرم افزارهای آنتی ویروس رایج و امروزی یک فایل یا برنامه جدید تنها توسط یک تشخیص دهنده ویروس در یک زمان مورد بررسی قرار می گیرد. آنتی ویروس ابری می تواند برنامه ها یا فایلها را به یک شبکه ابری ارسال کند که در آن از چندین آنتی ویروس و چندین ابزار تشخیص بدافزار به صورت همزمان استفاده می شود.
آنتی ویروس ابری در واقع یک آنتی ویروس مبتنی بر محاسبات ابری است که توسط دانشمندان دانشگاه میشیگان تولید شده است. هر زمان که رایانه یک فایل یا برنامه جدید را دریافت یا نصب کند یک نسخه از آن به صورت خودکار برای ابر آنتی ویروس ارسال می شود و در آنجا با استفاده از 12 تشخیص دهنده متفاوت که با یکدیگر کار می کنند، مشخص می شود که آیا باز کردن فایل یا برنامه مذکور امن است یا خیر.

ابزار پاکسازی ویروس

یک ابزار پاکسازی ویروس در واقع نرم افزاری است که برای تشخیص و پاکسازی ویروسهای خاصی طراحی شده است. لذا بر خلاف آنتی ویروسهای کامل از آنها انتظار تشخیص گستره وسیعی از ویروسها را نداریم بلکه آنها برای تشخیص و پاکسازی ویروسهای ویژه ای از روی رایانه های قربانی طراحی شده اند و در این کار به مراتب موفق تر از آنتی ویروس های عمومی عمل می کنند. برخی اوقات آنها برای اجرا در محلهایی طراحی می شوند که آنتی ویروس های معمولی نمی توانند در آن محلها اجرا شوند. این حالت برای مواقعی که رایانه به شدت آسیب دیده و آلوده شده است مناسب است.

تشخیص آنلاین

برخی وب سایتها امکان بررسی فایلهای بارگذاری شده توسط کاربر به صورت آنلاین را فراهم می کنند. این وب سایتها از چندین تشخیص دهنده ویروس به صورت همزمان استفاده می کند و گزارشی را در مورد فایلهای بارگذاری شده برای کاربر تهیه می کنند. برای مثال می توان به وب سایتهای COMODO Automated Analysis System و VirusTotal.com اشاره کرد.
در پایان باید بگوییم درست است که استفاده از آنتی ویروس ها اجتناب ناپذیر بوده و شکی در سودمند بودن آنها نیست ولی برخی از اوقات دردسرهایی را برای کاربران ایجاد می کنند. برای مثال برنامه های آنتی ویروس در صورتی که به صورت مؤثر طراحی نشده باشند، کارایی رایانه را کاهش داده و باعث کند شدن آن می شوند، ممکن است کاربران بی تجربه در فهمیدن هشدارهای آنتی ویروس مشکل داشته باشند و پیشنهاداتی را که آنتی ویروس به آنها ارائه می کند درست متوجه نشوند. گاهی اوقات یک تصمیم نادرست ممکن است منجر به نشت اطلاعات شود. در صورتی که آنتی ویروس از جستجوی اکتشافی استفاده کند کارایی آن به میزان تشخیصهای مثبت نادرست و تشخیصهای منفی نادرست بستگی دارد، و در آخر از آنجا که برنامه های آنتی ویروس غالباً در سطوح بسیار قابل اطمینان در هسته سیستم اجرا می شوند، محل خوبی برای اجرای حملات بر علیه رایانه می باشند.

منابع:

The Antivirus Defense in Depth. PDF

http://www.antivirusworld.com/articles/antivirus.php

http://www.net-security.org/article.php?id=485&p=1

http://en.wikipedia.org/wiki/Antivirus

تهدیدات پنهانی، قسمت دوم: Botnet

• مقدمه
  
  لغتی است که از ایده شبکه ای از روبوتها استخراج شده است. در ساده ترین شکل، یک روبوت یک برنامه کامپیوتری خودکار است. در botnetها، bot به کامپیوترهایی اشاره می کند که می توانند توسط یک یا چند منبع خارجی کنترل شوند. یک فرد مهاجم معمولا کنترل کامپیوتر را با ضربه زدن به آن کامپیوتر توسط یک ویروس یا یک کد مخرب بدست می گیرد و به این وسیله دسترسی فرد مهاجم به سیستم آسیب دیده فراهم می شود. ممکن است کامپیوتر شما بخشی از یک botnet باشد ولی ظاهرا درست و عادی کار کند. Botnet ها معمولا برای هدایت فعالیتهای مختلفی مورد استفاده قرار می گیرند. این فعالیتها می تواند شامل انتشار هرزنامه و ویروس، یا انجام حملات انکار سرویس و یا فعالیتهای خرابکارانه دیگر باشد. Botnet ها از کامپیوترهایی تشکیل شده اند که توسط یک سرور خرابکار کنترل می شوند و عمده ترین تکنولوژی مورد استفاده جهت انتشار هرزنامه، بدافزار و برنامه های سرقت هویت هستند. زمانی که کامپیوترها آگاهانه یا ناآگاهانه توسط نرم افزاری که برای این منظور طراحی شده آسیب می بینند، دیگر قادر نخواهند بود در برابر دستورات مالک botnet مقاومت نمایند. Botnet ها تهدیدات مداومی برای شرکتهای تجاری به حساب می آیند و در صورت نفوذ به شبکه یک شرکت تجاری یا دسترسی به داده های محرمانه، بسیار خطرناک هستند. مشکل اصلی در مورد botnet ها این است که پنهان هستند و ممکن است تا زمانیکه شما بطور خاص به دنبال آنها نگردید، متوجه حضورشان نشوید. افراد مهاجم همچنین از botnet ها برای دسترسی به اطلاعات شخصی و تغییر آنها، حمله به کامپیوترهای دیگر، و انجام سایر اعمال مجرمانه استفاده می کنند و در عین حال ناشناخته باقی می مانند. از آنجایی که هر کامپیوتر در یک botnet می تواند برای اجرای دستورات یکسان برنامه ریزی شود، یک فرد مهاجم می تواند با استفاده از هر یک از این کامپیوترها، آسیب پذیریهای چندین کامپیوتر را بررسی کرده و فعالیتهای آنلاین آنها را کنترل نماید یا اطلاعاتی را که در فرمهای آنلاین وارد می کنند جمع آوری کند.
  
  
• یک botnet دقیقا چیست؟
  
  Botnet ها شبکه هایی از کامپیوترهای آلوده هستند. این کامپیوترها تحت کنترل یک مجموعه دستورات هستند که از طریق نرم افزاری که تعمدا و یا نا آگاهانه نصب شده است، مدیریت شده و تغییر می کنند. این نرم افزار توسط یک کامپیوتر خرابکار کنترل می گردد. ممکن است botnet ها دارای کارکردهای قانونی نیز باشند، ولی در اغلب موارد با فعالیتهای مجرمانه برای انتشار هرزنامه، بدافزار یا حملات سرقت هویت در ارتباطند. بر اساس مطالعات اخیر، حدود 10 درصد از تمامی کامپیوترهای موجود بر روی اینترنت توسط botnet ها آلوده شده اند. زمانی که یک کامپیوتر توسط نرم افزار botnet آلوده می شود، دیگر قادر نخواهد بود در برابر دستورات مالک botnet مقاومت کرده یا از اجرای آنها سر باز زند. برخی اوقات از کامپیوترهای موجود در Botnet ها بعنوان Zombie نام برده می شود. اندازه یک botnet به پیچیدگی و تعداد کامپیوترهای استخدام شده در این Botnet بستگی دارد. یک botnet بزرگ ممکن است از 10000 کامپیوتر منفرد تشکیل شده باشد. معمولا کاربران کامپیوترها از این موضوع که سیستمهایشان از راه دور کنترل شده و مورد سوء استفاده قرار می گیرد اطلاعی ندارند. از آنجاییکه Botnet ها از تکنولوژیهای بدافزاری مختلفی تشکیل شده اند، توضیح دادن درباره آنها و پیچیدگی کار آنها چندان ساده نیست. افراد مهاجم تکنولوژیهای مختلف را به نحوی با هم ترکیب کرده اند که دسته بندی آنها را سخت می کند. Botnet ها می توانند باعث ایجاد گستره متنوعی از حملات گردند:

تهدیدات پنهانی، قسمت اول: Rootkit

مقدمه

یک Rootkit یک سیستم نرم افزاری است که از یک یا چندین برنامه تشکیل شده است. این نرم افزار برای پنهان کردن این واقعیت که سیستم شما مورد سوء استفاده قرار گرفته است طراحی شده است. یک فرد مهاجم ممکن است از Rootkit برای جایگزین کردن فایلهای اجرایی حیاتی سیستم با فایلهای مورد نظر خود استفاده نماید. این فایلها می توانند برای پنهان کردن پردازه ها و فایلهایی که فرد مهاجم نصب کرده است مورد استفاده قرار گیرند. نوعا Rootkitها با گول زدن و فریب دادن بخش امنیتی سیستم عامل و مکانیزمهای امنیتی مانند آنتی ویروسها و ابزارهای ضد جاسوسی، وجود خود را انکار می کنند. در اغلب موارد این Rootkitها تروجان نیز هستند و با فریب کاربر، وی را قانع می کنند که در حال اجرای برنامه امن و قابل اعتمادی است. تکنیکهای مورد استفاده برای انجام این کار شامل پنهان کردن پردازه های در حال اجرا از دید برنامه های کنترل کننده، یا پنهان کردن فایلها یا داده های سیستم از دید سیستم عامل می باشد. Rootkitها همچنین ممکن است یک در پشتی (back door) روی سیستم قربانی نصب کنند.
Rootkitها برای انواع مختلف سیستم عاملها مانند ویندوز، لینوکس، Mac OS و Solaris تولید می شوند. این برنامه های خرابکار اغلب بخشهایی از سیستم عامل را تغییر داده یا خود را به عنوان درایور و یا ماژولهای هسته ای نصب می کنند.

فواید به کارگیری راهکار LUA در ویندوز XP

پیشرفت های اخیر در فناوری شبکه مانند امکان اتصال دائم به اینترنت، فرصت های زیادی را در اختیار انواع شرکت ها و سازمان ها و حتی کاربران عادی قرار داده است. اما متأسفانه اتصال به هر نوع شبکه ای و مخصوصاً اینترنت، خطر حملات بدافزاری را افزایش می دهد و در همین حال که متخصصان امنیتی مشغول مدیریت خطرات موجود هستند، خطرات جدیدی ایجاد و کشف می شوند.
یکی از فاکتورهای اصلی که خطر بدافزارها را به میزان چشمگیری افزایش می دهد، تمایل به دادن امکانات مدیر سیستم به کاربران است. زمانی که یک کاربر با حق دسترسی مدیر یا Administrator وارد سیستم می شود، تمام برنامه هایی که اجرا می کند مانند مرورگرها، برنامه های ایمیل و برنامه های پیام فوری نیز حق دسترسی مدیر سیستم را پیدا می کنند. در صورتی که این برنامه ها یک بدافزار را فعال سازند، آن بدافزار خود را نصب و خدمات برنامه های آنتی ویروس را دستکاری کرده و حتی ممکن است خود را از دید سیستم عامل پنهان سازد. از طرف دیگر کاربران نیز ممکن است به صورت ناخواسته (برای مثال از طریق بازدید از یک وب سایت آلوده شده و یا با کلیک بر روی پیوست ایمیل) برنامه های خرابکار را اجرا کنند. برنامه های خرابکار مذکور می توانند بسیار خطرناک بوده و کارهایی از قبیل دستکاری اطلاعات حساس، به دست آوردن کلمات عبور از طریق نصب ثبت کننده ضربات صفحه کلید (keystroke logger)، به دست گرفتن کنترل کامل رایانه قربانی و حتی شبکه ها را انجام داده و کاری کنند که وب سایت ها بالا نیایند و یا حتی دیسک سخت را فرمت کنند. در برخی موارد هزینه تحمیل شده بر اثر خرابکاری های مذکور غیر قابل جبران می باشد.
برای برخورد با تهدیدات مذکور، یک استراتژی دفاع چند لایه لازم است که راهکار حساب های کاربری با حداقل دسترسی (LUA-least-privileged user account)، یکی از بخش های مهم استراتژی دفاعی را تشکیل می دهد. راهکار LUA تضمین می کند که کاربران از اصول حداقل حق دسترسی پیروی کرده و با حساب های کاربری محدود شده وارد شبکه شوند. از طرف دیگر هدف LUA، اعطای حق دسترسی مدیریتی تنها به مدیران شبکه و تنها برای انجام کارهای مدیریتی است.
برای کسب اطلاعات بیشتر در مورد LUA و اصل حداقل حق دسترسی به مقاله حداقل حق دسترسی در ویندوز XP و برای کسب اطلاعات بیشتر در مورد پیاده سازی این راهکار به مقاله "پیاده سازی حداقل حق دسترسی در ویندوز XP" مراجعه فرمایید. همچنین برای آشنایی بیشتر با فواید این راهکار می توانید مقاله "فواید پیاده سازی LUA در ویندوز XP " را مطالعه کنید. در این مقاله در مورد اثراتی که پیاده سازی LUA بر امنیت شبکه، تهدیدها، کارایی سازمان و هزینه های تحمیلی می گذارد، بحث خواهیم کرد.

فواید پیاده سازی حداقل حق دسترسی در ویندوز XP

استفاده از اصل حداقل حق دسترسی فواید بسیاری را برای سازمان ها و شرکت ها در پی دارد. علاوه بر کاهش خطرات ناشی از حمله های خرابکارانه، فواید زیر نیز برای به کار گیری اصل حداقل حق دسترسی شمرده می شوند:

· افزایش امنیت


• افزایش قابلیت مدیریت
• افزایش قابلیت تولید
• کاهش هزینه ها
• کاهش مشکل سرقت ها و سوءاستفاده های پنهان

در ادامه در مورد هر یک از موارد فوق و تأثیر آن بر سازمان به تفصیل صحبت می کنیم.

افزایش امنیت

راهکار LUA یکی از معیارهای امنیتی است که می تواند به شما در محافظت از سازمان و دارایی های کامپیوتری در برابر سوءاستفاده های مهاجمان یاری رساند. مهاجمان به دلایل متعددی به دنبال سوءاستفاده از شبکه شما هستند که می تواند شامل موارد زیر باشد:

• به دست آوردن کنترل رایانه ها به منظور استفاده در حملات انکار سرویس گسترده
  
• ارسال هرزنامه
• به دست آوردن اطلاعات محرمانه شرکت
• سرقت هویت کاربران
• انتشار بدافزارها

این حملات زمانی احتمال موفقیت بیشتری دارند که کاربران دارای حق دسترسی مدیریتی باشند زیرا این نوع حساب های کاربری می توانند کارهای زیر را انجام دهند:

• روتکیت های هسته سیستم عامل را نصب کنند.
• برنامه های ثبت ضربات صفحه کلید را نصب کنند.
• رمزهای عبور تعریف شده بر روی سیستم را تغییر دهند.
• جاسوس افزارها و تبلیغات افزارها را نصب کنند.
• به داده هایی که متعلق به دیگر کاربران است، دسترسی داشته باشند.
• کدهایی را به صورت اتوماتیک در زمان ورود کاربر به سیستم اجرا کنند.
• فایل های سیستمی را با تروجان ها جایگزین کنند.
• ردپای خود را مخفی کنند.
• از راه اندازی مجدد سیستم جلوگیری به عمل آورند.

در صورتی که کاربران با استفاده از حساب های کاربری محدود شده وارد سیستم شوند، برنامه های خرابکار تنها می توانند تغییرات اندکی در سیستم عامل ایجاد کنند. اعمال محدودیت مذکور به طرز قابل ملاحظه ای توانایی بدافزارها را برای نصب و اجرا کاهش داده و امنیت را افزایش می دهد اما مانعی برای انجام کارهای کاربران به شمار نمی رود.

افزایش قابلیت مدیریت

استاندارد سازی یکی از اجزای مهم مدیریت شبکه، مخصوصاً در صورت وجود تعداد زیاد رایانه های مشتری (client) است. برای مثال اگر یک سازمان دارای 500 رایانه مشتری باشد و هر رایانه نیز دارای تنظیمات نرم افزاری و کامپیوتری متفاوت باشد، مدیریت پیشگیری بسیار پیچیده خواهد شد. زمانی که کاربران اجازه نصب نرم افزارها و اعمال تغییرات گسترده در سیستم را دارند، این پیچیدگی منجر به نتایج اجتناب ناپذیر و ناگواری خواهد شد.
ویندوز XP اختیارات زیادی را به کاربران برای انجام تغییر در تنظیمات سیستم عامل می دهد و معمولاً کاربران در صورتی که با دسترسی مدیریتی وارد سیستم شوند علاقمند به استفاده از این توانایی بوده و تغییراتی را در تنظیمات سیستم عامل ایجاد می کنند. برای مثال ممکن است، کاربر فایروال را برای اتصال به یک شبکه بی سیم خاموش کرده و سپس به صورت ناامن به یک ISP متصل شود. این مسئله به طرز قابل توجهی احتمال مورد سوءاستفاده قرار گرفتن رایانه مذکور را افزایش می دهد، زیرا تمام شبکه ها (حتی شبکه های مورد اعتماد) باید دارای سد دفاعی فایروال بر روی میزبان باشند.
کاربران تمایل دارند که تنظیمات را طبق تمایلات خود تغییر دهند و در صورت بروز مشکل، مسئولان پشتیبانی هر بار با تنظیمات جدیدی مواجه می شوند. در واقع نبود استانداردهای مربوطه در این زمینه منجر به ایجاد مشکلات در امور پشتیبانی، حل مشکل و تعمیرات شده و زمان و هزینه پروسه های مذکور را بالا می برد.
از طرف دیگر راهکار LUA مرزهای مدیریتی مشخصی را بین کاربران و مدیران شبکه مشخص می کند. این مرزبندی باعث می شود کارمندان بر روی انجام وظایف خود متمرکز شده، در حالی که مدیران شبکه زیرساخت ها را مدیریت می کنند. در صورتی که کاربران دارای حق دسترسی مدیریتی باشند، ایجاد چنین مرزهایی تقریباً غیر ممکن است و رعایت استانداردها تضمین نمی شود.
شبکه ای که همه کاربران دارای حق دسترسی مدیریتی هستند، عملاً مدیریت نشده است، زیرا کاربران می توانند تنظیمات مدیریتی را دور بزنند. در صورتی که کاربران نتوانند نرم افزارها و سخت افزارهای تأیید نشده را نصب کنند و یا تغییراتی را در سیستم ایجاد کنند، رایانه های آنها در حد قابل قبولی نزدیک به استانداردهای سازمان باقی می ماند. راهکار LUA قابلیت مدیریت را با محدود کردن تغییرات ناخواسته بالا می برد.

افزایش قابلیت تولید

رایانه ها قابلیت تولید سازمان ها با شکل ها و اندازه های مختلف را به صورت چشمگیری افزایش داده اند، هرچند که رایانه ها برای حفظ این قابلیت تولید، نیازمند مدیریت پویا می باشند. طبیعی است در سازمان هایی که کاربران برای انجام کارهایشان وابسته به رایانه هستند، کارمندان پشتیبانی باید تا حد امکان احتمال خرابی رایانه ها را در اثر تنظیمات نادرست و یا آلودگی ویروسی پایین آورند.
راهکار LUA می تواند در نگهداری قابلیت تولید مؤثر باشد زیرا منجر به پایداری بیشتر سیستم های کارمندان می شود. در صورتی که کاربران نتوانند تنظیمات اساسی رایانه خود را تغییر دهند، دارای سیستم های پایدارتری بوده و در نتیجه زمان از کار افتادگی تولید و بازیابی سیستم های خراب کاهش می یابد.
از طرف دیگر تسلط یک بدافزار بر یکی از رایانه های سازمان نیز می تواند تأثیر سوئی بر قابلیت تولید بگذارد زیرا ممکن است رایانه مذکور نیاز به پاکسازی و یا فرمت کردن داشته باشد و کاربر مذکور داده ها و فایل های خود را به علت آلودگی از دست بدهد. البته برخی از داده ها را می توان بازیابی کرد که معمولاً نیازمند به روز رسانی هستند. موارد مذکور به این معنی است که یا کارمند از وظیفه محوله باز مانده است و یا باید زمانی را برای تکرار آن هدر دهد.

کاهش هزینه ها

با وجودی که نگهداری از رایانه های موجود در شبکه سازمان ها و شرکت ها هزینه بر است، اما برخی عوامل می توانند هزینه های مذکور را به طرز قابل توجهی بالا ببرند:

• ترکیب تست نشده از سخت افزارها و نرم افزارها
• تغییرات نا معلوم در سیستم عامل ها
• ایجاد تغییرات گسترده در سیستم ها مطابق میل کاربران
• نرم افزارهای غیر استاندارد با انواع فایل ناشناخته
• اجازه به کاربران برای نصب نرم افزار
• بدافزارها
• نسخه های آزمایشی (بتا) نرم افزارها و درایورها
• استفاده بدافزارها از پهنای باند اینترنت

راهکار LUA از نصب نرم افزارهای تأیید نشده، بدون مجوز و بدافزارها جلوگیری به عمل می آورد. این راهکار همچنین به کاربران اجازه نمی دهد تغییرات نامعلومی را بر روی رایانه انجام دهند. این محدودیت ها هزینه های تیم پشتیبانی را کاهش داده و همچنین مدت زمان از کار افتادن رایانه ها بر اثر داشتن حق دسترسی مدیریتی کاربران، نیز کمتر می شود.