چک‌لیست کشف نفوذ در سیستم‌عامل Windows NT (قسمت دوم)

در قسمت قبل تعدادی از موارد مهم که کاربران و مدیران شبکه باید برای داشتن بستر ارتباطی امن درنظر بگیرند مطرح شد. در این قسمت تعداد دیگری از توصیه‌های مهم در این  زمینه ارائه می‌گردد.

۶- کد‌های دودویی موجود بر روی سیستم خود را چک کنید که تغییر نکرده‌باشند. برای این کار فایل‌های موجود بر روی سیستم را با نسخه‌هایی از فایل‌ها که به اصالت آنها اطمینان دارید و در محل‌های امن ذخیره شده‌اند (به عنوان مثال رسانه‌هایی که فایل‌های اولیه برای نصب نرم‌افزار بر روی آنها قرار گرفته‌اند) مقایسه کنید. در استفاده از نسخه‌های پشتیبان‌ دقت کنید، ممکن است حاوی اسب‌های تروا باشند.

اسب‌های تروا فایل‌های با اندازه و برچسب‌های زمانی مشابه نسخه‌های اصلی ایجاد می‌کنند. بنابراین تنها مقایسه اندازه و برچسب‌های زمانی فایل‌ برای دریافتن اصالت آن‌ها کافی نیست. به جای این کار باید از MD5، Tripwire و سایر ابزارهای رمزنگاری Checksum فایل‌ها برای آشکارسازی اسب‌های تروا استفاده کنید. حتما از اصالت این ابزارها اطمینان حاصل کنید و مطمئن شوید که با امنیت نگه‌داری شده و امکان تحریف آنها توسط نفوذگران وجود نداشته است. می‌توانید برای امضای خروجی‌های تولید شده توسط MD5 و Tripwire از نرم‌افزارهایی مانند PGP‌ بهره بگیرید تا در ارجاعات بعدی با اطمینان از این گزارشات استفاده کنید.

برنامه‌های ضدویروس هم می‌توانند برای مقابله با ویروس‌های کامپیوتری، اسب‌های تروا و درهای پشتی به کار گرفته شوند. به خاطر داشته باشید برنامه‌های مخرب همواره تولید می‌شوند، بنابراین درصورت استفاده از این برنامه‌ها از به‌روز بودن آنها مطمئن شوید.

۷- پیکربندی‌های سیستم محلی و شبکه خود را بررسی کرده، اطلاعات غیرمجاز وارد شده را شناسایی نمایید. مداخل غیرمجاز پیکربندی‌ بخش‌هایی مانند WINS، DNS و IP forwarding را بررسی نمایید. برای این کار می‌توانید از ابزار Network Properties و یا دستور "ipconfig /all" بهره بگیرید.

چک لیست کشف نفوذ در سیستم عامل Windows NT (قسمت اول)

این مقاله به صورت کلی گام هایی را بیان می کند که برای تشخیص به خطر افتادن سیستم عامل Windows NT مورد استفاده قرار می گیرند. مدیران سیستم  می توانند از این اطلاعات بهره گرفته و نفوذ های احتمالی به سیستم هایی که از این سیستم عامل بهره می گیرند را ردیابی کنند. مطالعه همه بخش های این مقاله برای مدیرانی که مایل به شناسایی نقاط ضعف سیستم های خود هستند مفید است.

علاوه بر استفاده از نکات مطرح شده در این مقاله بهره گیری از نسخه های به روز رسان و وصله های ارائه شده توسط تولید کنندگان نرم افزار هم باید به صورت مرتب و جدی انجام شود.

 

الف. ردیابی علائمی که خطرات احتمالی سیستم  را نشان می دهند:

۱- Log  فایل های ایجاد شده بر روی سیستم را بررسی کنید تا اتصالات به دستگاه از نقاط غیرمعمول و یا فعالیت های غیرمعمول شناسایی شوند. می توان با استفاده از Event Viewer ورود های عجیب به سیستم(Logon)، نقص سرویس ها و یا روشن و خاموش شدن های غیر عادی را بررسی کرد. در صورتی که حفاظ[1]، خادم وب و یا مسیریاب  سیستم فعالیت های جاری خود را بر روی دستگاهی دیگر ثبت می کنند، باید log های ذخیره شده بر روی آن دستگاه ها  هم بررسی شود. به خاطر داشته باشید تنها در صورتی این اطلاعات مفید می باشد که فایل های ثبت فعالیت ها فقط قابلیت اضافه کردن داشته باشند. بسیاری از نفوذکنندگان به سیستم ها با ویرایش فایل های log  ردپای خود را از روی سیستم پاک می کنند.

۲- کاربران و گروه های عجیب را بررسی کنید. برای این کار می توانید از ابزار User Manager و یا دستورات ‘net user’، ‘net group’ و ‘net localgroup’ بهره بگیرید. اطمینان حاصل کنید شناسه GUEST که به صورت پیش فرض ساخته می شود در صورتی که سیستم به آن نیاز ندارد، غیرفعال باشد.

محافظت در مقابل خطرات ایمیل (۲)

آسانی تولید یک ویروس در سالهای اخیر

با داشتن اطلاعات مختصری مثلا در مورد ویژوال بیسیک، می توان با بهره گیری از شکافهای امنیتی، باعث آشفتگی در شبکه ها و سیستم های استفاده کنندگان ایمیل شد. مطالعه بعضی سایتها، شما را با بعضی از شکافهای موجود در Outlook و نحوه بهره گیری از آنها آشنا خواهد کرد. حتی بعضی از کدها نیز در دسترس شما خواهد بود و با تغییرات اندکی می توانید ویروسی تولید کنید که کدهای مورد نظر شما را اجرا کند. برای مثال می توانید ویروسی تولید کنید که شخص قربانی بمحض باز کردن ایمیل حاوی آن در Outlook ، کدهای مورد نظر شما اجرا شود. به این ترتیب تمام فایلهای HTML آلوده می شود و این ویروس به تمام آدرسهای موجود در دفترچه آدرس سیستم آلوده شده فرستاده می شود. در اصل، ویژگی کلیدی این ویروس اجرا شدن آن بمحض باز شدن ایمیل حاوی HTML آسیب رسان است.

آیا نرم افزار ضدویروس یا فایروال برای مقابله کافیست؟

قابلیت‌های نرم‌افزارهای ضدویروس

در قسمت‌های قبلی از این مجموعه مقالات ضمن معرفی انواع ویروس‌ها و سایر برنامه‌های مختل کننده امنیت، چگونگی کشف ویروس‌ها توسط برنامه‌های ضدویروس و تعدادی از قابلیت‌های برنامه‌های ضدویروس بیان شد. در این مقاله چند قابلیت‌ مهم نرم‌افزارهای ضدویروس مورد بررسی قرار می‌گیرد.

تفاوت بین نسخه‌های ضد ویروس

همه نرم‌افزارهای ضد ویروس عمل واحدی را انجام می‌دهند که همان اسکن فایل‌ها و پاک‌سازی موارد آلوده می‌باشد. بعضی از آنها حتی از موتورهای اسکن یکسانی برای شناسایی ویروس‌ها بهره می‌گیرند. تفاوت اصلی بین این محصولات در کیفیت واسط کاربر، سرعت و دقت محصول و قابلیت‌های خاص (مانند اسکنر‌های e-mail، بروز رسانی‌های خودکار زمان بندی شده، اسکن‌های ابتکاری و ...)‌ می‌باشد.

در حال حاضر با توجه به اتصال اکثر کامپیوترها به شبکه اینترنت و خطرات گسترده‌ای که از این طریق کاربران را تهدید می‌کند تامین امنیت در برابر ویروس‌هایی که از طریق اینترنت انتقال می‌یابند اهمیت زیادی دارد. از سوی دیگر اینترنت می‌تواند به عنوان ابزاری برای بروز نگه‌داری نرم‌افزارهای ضدویروس مورد استفاده قرار گیرد.

محافظت در مقابل خطرات ایمیل (۱)

مقدمه

می خواهیم ببینیم چرا نرم افزار ضدویروس بتنهایی برای محافظت سازمان شما در مقابل حمله ویروسهای کامپیوتری فعلی و آینده کافی نیست. علاوه بر اینها گاهی به ابزاری قوی برای بررسی محتوای ایمیلها برای حفاظت در مقابل حملات و ویروسهای ایمیل (منظور از ویروس ایمیل ویروسی است که از طریق ایمیل گسترش می یابد) و جلوگیری از نشت اطلاعات نیاز است. اما در هر صورت رعایت بعضی نکات همیشه توسط کاربران الزامی است.

شما می توانید مقالات ویروس و ضدویروس و طرزکار برنامه های ضدویروس را نیز مطالعه کنید.

خطرات ویروسهای ایمیل و اسبهای تروا

استفاده گسترده از ایمیل راه ساده ای را برای گسترش محتویات مضر در شبکه ها پیش روی هکرها قرار داده است. هکرها براحتی می توانند از حصار ایجاد شده توسط یک فایروال از طریق نقب زدن از راه پروتکل ایمیل عبور کنند، زیرا فایروال محتویات ایمیل را بررسی نمی کند. CNN در ژانویه ۲۰۰۴ گزارش داد که ویروس MyDoom هزینه ای در  حدود ۲۵۰ میلیون دلار را  بدلیل آسیب های وارده و  هزینه های پشتیبانی فنی  بر شرکتها تحمیل کرده است،  این در حالیست که  NetworkWorld   هزینه های مقابله با  Blaster، SoBig.F، Wechia و سایر ویروسهای ایمیل تا سپتامبر ۲۰۰۳ را تنها برای شرکتهای ایالات متحده ۳/۵ میلیارد دلار ذکر کرد. (یعنی عدد ۳۵ با هشت تا صفر جلوش!!!)

بعلاوه،  از ایمیل برای نصب اسبهای تروا استفاده می شود که مشخصاً سازمان شما را برای بدست آوردن اطلاعات محرمانه یا بدست گیری کنترل سرورتان، هدف می گیرند. این ویروسها که خبرگان امنیت از آنها بعنوان ویروسهای جاسوسی یاد می کنند، ابزار قدرتمندی در جاسوسی صنعتی بشمار میروند! یک مورد آن حمله ایمیلی به شبکه مایکروسافت در اکتبر۲۰۰۰ است که یک سخنگوی شرکت مایکروسافت از آن بعنوان “یک عمل جاسوسی ساده و تمیز” یاد کرد. برطبق گزارشها، شبکه مایکروسافت توسط یک تروای backdoor که به یک کاربر شبکه توسط ایمیل ارسال شده بود، هک شد.

طرز کار برنامه های ضد ویروس

ضد ویروس اصطلاحی است  که به برنامه یا مجموعه ای از برنامه ها اطلاق می شود که برای محافظت از کامپیوتر ها در برابر ویروس ها استفاده می شوند. مهم ترین قسمت هر برنامه ضد ویروس موتور اسکن
(Scanning engine) آن است. جزئیات عملکرد هر موتور متفاوت است ولی همه آنها وظیفه اصلی شناسایی فایل های آلوده به ویروس را با استفاده از فایل امضای ویروس ها بر عهده دارند. فایل امضای ویروس یک رشته  بایت است که با استفاده از آن می توان ویروس را به صورت یکتا مورد شناسایی قرار داد و از این جهت مشابه اثر انگشت انسان ها می باشد. ضد ویروس متن فایل های موجود در کامپیوتر را با نشانه های ویروس های شناخته شده مقایسه می نماید. در بیشتر موارد در صورتی که فایل آلوده باشد برنامه ضدویروس قادر به پاکسازی آن و از بین بردن ویروس است. در مواردی که این عمل ممکن نیست مکانیزمی برای قرنطینه کردن فایل آلوده وجود دارد و حتی می توان تنظیمات ضدویروس ها را به گونه ای انجام داد که فایل آلوده حذف شود.

 

نبرد فیلترها و تولیدکنندگان اسپم (۲)

بازخورد توسط حشرات وبی!

یک مکانیسم بازخورد چیزی است که اِوا به آن نیاز دارد. اگر او می‌دانست که کدام پیامهایش به آلیس رسید و کدامها نرسید، می‌توانست با استفاده از یک فیلتر تطبیقی و با پیامهای رسیده و نرسیده به آلیس، این فیلتر را آموزش دهد.

اِوا این کار را با بمباران کردن صندوق پستی آلیس با پیامهایی که حاوی متنهای تصادفی هستند انجام می‌دهد. پیامهای رسیده به آلیس احتمالا دارای کلمات مفید و پیامهای نرسیده دارای کلمات شبه اسپم هستند. بعد از مدتی او اطلاعات کافی برای تشخیص ارسال پیامهای به آلیس خواهد داشت.

ویروس و ضدویروس

حجم عظیم ویروس ها، کرم ها، ایرادات نرم افزارها و تهدیدهای ناشی از آنها، نرم افزارهای ضدویروس را تبدیل به یکی از ابزارهای لازم برای همه کامپیوترها نموده است. در صورت آلوده شدن یک کامپیوتر به ویروس بسته به نوع آن ممکن است مصائب مختلفی برای سیستم کامپیوتری بوجود آید که در پاره ای موارد جبران آن ها هزینه های زیادی را تحمیل می کند. آسیب های بعضی از ویروس ها به گونه ای است که آثار سوء آن ها را به هیچ وجه نمی توان از بین برد. مستقل از نوع ویروسی که باید با آن مقابله شود نیاز به برنامه های ضد ویروس همواره وجود دارد و در شرایطی که محصولات ضد ویروس متنوعی تولید شده اند، انتخاب نرم افزار مناسب دغدغه کاربران می باشد.

این مقاله ضمن معرفی انواع ویروس ها، نحوه عمل کرد برنامه های ضدویروس و انواع ویروس هایی که ضدویروس ها شناسایی و پاکسازی می کنند را معرفی می کند. همچنین اطلاعاتی که برای انتخاب ابزار مناسب لازم است بیان شده و تعدادی از برنامه های ضد ویروس با هم مقایسه  خواهند شد.

ویروس چیست؟

ویروس های کامپیوتری برنامه هایی هستند که مشابه ویروس های بیولوژیک گسترش  یافته و پس از وارد شدن به کامپیوتر اقدامات غیرمنتظره ای را انجام می دهند. با وجودی که همه ویروس ها خطرناک نیستند، ولی بسیاری از آنها با هدف تخریب انواع مشخصی از فایل ها، برنامه های کاربردی و یا سیستم های عامل نوشته شده اند.

 ویروس ها هم مشابه همه برنامه های دیگر از منابع سیستم مانند حافظه و فضای دیسک سخت، توان پردازنده مرکزی و سایر منابع بهره می گیرند و می توانند اعمال خطرناکی را انجام دهند به عنوان مثال فایل های روی دیسک را پاک کرده و یا کل دیسک سخت را فرمت کنند. همچنین یک ویروس می تواند مجوز دسترسی به دستگاه را از طریق شبکه و بدون احراز هویت فراهم آورد.

برای اولین بار در سال ۱۹۸۴ واژه «ویروس» در این معنا توسط فرد کوهن در متون آکادمیک مورد استفاده قرار گرفت. د‍ر این مقاله که «آزمایشاتی با ویروس های کامپیوتری» نام داشت نویسنده دسته ای خاص از برنامه ها را ویروس نامیده و این نام گذاری را به لئونارد آدلمن نسبت داده است. البته قبل از این زمان ویروس ها در متن داستان های عملی و تخیلی ظاهر شده  بودند.

انواع ویروس