محافظت در مقابل خطرات ایمیل (۱)

مقدمه

می خواهیم ببینیم چرا نرم افزار ضدویروس بتنهایی برای محافظت سازمان شما در مقابل حمله ویروسهای کامپیوتری فعلی و آینده کافی نیست. علاوه بر اینها گاهی به ابزاری قوی برای بررسی محتوای ایمیلها برای حفاظت در مقابل حملات و ویروسهای ایمیل (منظور از ویروس ایمیل ویروسی است که از طریق ایمیل گسترش می یابد) و جلوگیری از نشت اطلاعات نیاز است. اما در هر صورت رعایت بعضی نکات همیشه توسط کاربران الزامی است.

شما می توانید مقالات ویروس و ضدویروس و طرزکار برنامه های ضدویروس را نیز مطالعه کنید.

خطرات ویروسهای ایمیل و اسبهای تروا

استفاده گسترده از ایمیل راه ساده ای را برای گسترش محتویات مضر در شبکه ها پیش روی هکرها قرار داده است. هکرها براحتی می توانند از حصار ایجاد شده توسط یک فایروال از طریق نقب زدن از راه پروتکل ایمیل عبور کنند، زیرا فایروال محتویات ایمیل را بررسی نمی کند. CNN در ژانویه ۲۰۰۴ گزارش داد که ویروس MyDoom هزینه ای در  حدود ۲۵۰ میلیون دلار را  بدلیل آسیب های وارده و  هزینه های پشتیبانی فنی  بر شرکتها تحمیل کرده است،  این در حالیست که  NetworkWorld   هزینه های مقابله با  Blaster، SoBig.F، Wechia و سایر ویروسهای ایمیل تا سپتامبر ۲۰۰۳ را تنها برای شرکتهای ایالات متحده ۳/۵ میلیارد دلار ذکر کرد. (یعنی عدد ۳۵ با هشت تا صفر جلوش!!!)

بعلاوه،  از ایمیل برای نصب اسبهای تروا استفاده می شود که مشخصاً سازمان شما را برای بدست آوردن اطلاعات محرمانه یا بدست گیری کنترل سرورتان، هدف می گیرند. این ویروسها که خبرگان امنیت از آنها بعنوان ویروسهای جاسوسی یاد می کنند، ابزار قدرتمندی در جاسوسی صنعتی بشمار میروند! یک مورد آن حمله ایمیلی به شبکه مایکروسافت در اکتبر۲۰۰۰ است که یک سخنگوی شرکت مایکروسافت از آن بعنوان “یک عمل جاسوسی ساده و تمیز” یاد کرد. برطبق گزارشها، شبکه مایکروسافت توسط یک تروای backdoor که به یک کاربر شبکه توسط ایمیل ارسال شده بود، هک شد.

پنجره آسیب پذیری، دلیلی برای هک شدن

آیا تنها داشتن یک ضد ویروس قدرتمند و به روز یا  اعمال به موقع پچهای امنیتی تضمین مناسبی برای ایمنی سیستمهاست؟  پاسخ به این سئوال چندان که به نظر میرسد آسان نیست. پاسخ رسمی به این سئوال مثبت است. بعبارتی تولید کنندگان نرم افزار شما را مطمئن میکنند که تنها در صورت رعایت این موارد کامپیوتر شما ایمن خواهد بود. اما واقعیت چیز دیگریست. آنها تا زمانی که مجبور به اعتراف نشوند حقیقت را نمیگویند. تنها پس از آمدن یک دو جین ویروسها و کرمهای اینترنتی اخیر بود که میکروسافت وادار به اعتراف شد. البته حتی در همین شرایط هم باز چنان وانمود میشود که گویی اوضاع کاملا در کنترل است.

اجازه دهید تا باز گردیم به سئوال ابتدای بحث. پاسخ به این سئوال منفی ست. هرچند اعمال قواعد امنیتی، به روزرسانی نرم افزارها و سایر راهکارهای امنیتی (از جمله توصیه های IRCERT)  شما را تا حدود زیادی ایمن میکند اما هیچکدام تضمین صددرصدی به شما نمیدهند. واقعیت نه چندان خوشایند اینکه این راه حلها تنها افراد را در برابر تعدادی آماتور یا اصطلاحا Script Kiddies  و یا ویروسها مصون می سازند. اما کلاه سیاهها (حساب سازمانهای جاسوسی و شرکتهای بزرگ جداست!) کماکان هر زمان که بخواهند با چند کلیک میتوانند وارد کامپیوتر شخصی ما شوند. اخیرا یکی از موسسات مرتبط با سازمان جدید التاسیس امنیت داخلی آمریکا  طی گزارشی که برای این سازمان تهیه شده به یک فاکتور تعیین کننده اشاره کرده است: پنجره آسیب پذیری.

پنجره آسیب پذیری مدت زمان آسیب پذیری سیستم شما در برابر یک شکاف امنیتی یا حمله اینترنتی است. این زمان عبارت از فاصله میان کشف یک مشکل امنیتی (عموما توسط هکرها) تا پیدا شدن راه حل مربوطه (توسط شرکت مسئول) و در نهایت اعمال راه حل مربوطه توسط شما. سیکل متداول این ماجرا به این شکل است:

• روز اول: انتشار خبر وجود یک شکاف امنیتی در یکی از بولتنها و گروههای امنیتی
• روز چهاردهم تا شصتم: متخصصیت شرکت مسئول به وجود شکاف امنیتی مربوطه اعتراف میکنند. و شروع به تولید وصله امنیتی میکنند
• روز سی ام تا نود ام: تولید وصله امنیتی در شرکت مسئول و تست نرم افزار. این مرحله مهم ترین مرحله است زیرا در سالهای اخیر بسیار پیش آمده که یک وصله امنیتی بدون انجام تستهای کافی وارد بازار شده است و در نتیجه گرچه مشکل امنیتی اولیه را حل کرده است اما خود مشکلات جدیدی را ایجاد کرده است. این مشکلات جدید عمدتا مشکلات پایداری هستند اما گهگاه مشکلات امنیتی را نیز شامل شده اند. به این دلایل این روزها قبل از ارائه یک وصله امنیتی تستهای بسیاری  بر روی آن انجام میشود که این کار به زمان زیادی نیاز دارد. این زمان مهمترین بخش پنجره آسیب پذیری است.
• روز 60 تا 180: در این دوره وصله امنیتی مربوطه در دسترس عموم قرار میگیرد. جالب است بدانید این زمان در مورد شکاف ASN.1 چیزی در حدود 200 روز بود.
• روز 90 تا 270: طی این دوره وصله امنیتی به صورت عام توسط کاربران مورد بهره برداری قرار میگیرد.

حملات پیشرفته تر

در حملاتی که تا اینجا مورد بررسی قرار گرفتند، یک SQL ساده به برنامه تزریق می شد. در صورتی که تدابیر لازمه اندیشیده نشود همه پایگاه های داده در برابر این نوع حملات آسیب پذیر هستند. به عنوان یک واقعیت همه سیستم های مدیریت پایگاه داده نقاط ضعف و قوت خاص خود را دارند و بنابراین امکان نفوذ به آنها برای مهاجم ها در هر زمانی وجود دارد.

یکی دیگر از حملات که از موارد قبلی پیشرفته تر است اجرای دستورات خارجی سیستم عامل می باشد از درون محیط سیستم مدیریت پایگاه داده است. به عنوان مثال SQL Server به کاربران اجازه می دهد که با استفاده از روال ذخیره شده۱ xp-cmdshell دستورات خارجی سیستم عامل را اجرا کند.

برای بهره گرفتن از این قابلیت کاربر می تواند در بخش ورود اطلاعات صفحه وب متن زیر را وارد نماید:

'exec master..xp-cmdshell 'net user HackUser Mypassword /ADD'--

در این صورت برنامه کاربردی عبارت SQL  زیر را ساخته و آن را به SQL Server  ارسال می نماید:

SELECT CustomerID, CompanyName, ContactName, ContactTitle FROM Customers WHERE CustomerID = ''exec master..xp-cmdshell 'net user HackUser Mypassword /ADD'--

SQL Server با این عبارت Sql  به عنوان دو دستور مجزا که به صورت دسته ای صادر شده اند برخورد می کند. این دو دستور به صورت زیر هستند:

شکستن کلیدهای رمزنگاری

چه طول کلیدی در رمزنگاری مناسب است؟

امنیت هر الگوریتم مستقیماً به پیچیده بودن اصولی مربوط است که الگوریتم بر اساس آن بنا شده است.

امنیت رمزنگاری بر اساس پنهان ماندن کلید است نه الگوریتم مورد استفاده. در حقیقت، با فرض اینکه که الگوریتم از قدرت کافی برخوردار است (یعنی که ضعف شناخته‌شده‌ای که بتوان برای نفوذ به الگوریتم استفاده کرد، وجود نداشته باشد) تنها روش درک متن اصلی برای یک استراق سمع کننده، کشف کلید است.

در بیشتر انواع حمله، حمله‌کننده تمام کلیدهای ممکن را تولید و روی متن رمزشده اعمال می‌کند تا در نهایت یکی از آنها نتیجه درستی دهد. تمام الگوریتمهای رمزنگاری در برابر این نوع حمله آسیب‌پذیر هستند، اما با استفاده از کلیدهای طولانی‌تر، می‌توان کار را برای حمله‌کننده مشکل‌تر کرد. هزینه امتحان کردن تمام کلیدهای ممکن با تعداد بیتهای استفاده شده در کلید بصورت نمایی اضافه می‌شود، و این در حالیست که انجام عملیات رمزنگاری و رمزگشایی بسیار کمتر افزایش می‌یابد.

حمله به برنامه های وبی (۳)

در بخش‌های پیشین از این مجموعه مقالات تعدادی از روش‌های حمله به برنامه‌های وبی معرفی شدند. در ادامه به روش‌هایی که با استفاده از آنها می‌توان به پایگاه داده سیستم نفوذ کرد اشاره می‌شود.

تزریق SQL

به زبان ساده این نوع حمله وارد کردن کد SQL به یک برنامه است، در شرایطی که توسعه دهنده برنامه قصد آن را نداشته و یا حتی پیش‌بینی آن را نیز نکرده باشد. ریشه این نوع حملات به ساختار طراحی ضعیف برنامه برمی‌گردد و تنها در مورد برنامه‌هایی قابل انجام است که از روش‌های ساخت رشته های SQL بهره می‌گیرند.

به مثال زیر توجه کنید:

Dim StrSQL as String = "SELECT CustomerID, CompanyName, ContactName, " & -

     "ContactTitle FROM Customers WHERE CustomerID =  '" & txtCustID.Text & "'"

در عبارت فوق با استفاده از روش ساخت رشته به صورت پویا یک رشته SQL تولید می‌شود که CustomerID‌ با مقدار موجود در txtCustID جایگزین می‌شود. در شرایط عادی کاربر شناسه خود را در Box وارد می‌نماید، برنامه اقدام به جستجو در پایگاه داده نموده و پس از آن نتایج برای کاربر نمایش داده می‌شود. به عنوان مثال اگر کاربر شناسه ALFKI را وارد نماید نتایجی که برنامه تولید می‌کند به شرح زیر خواهد بود:

در چنین موردی کاربر می‌تواند در فرایند تولید عبارت SQL به گونه‌ای دخالت کند که پیام خطا دریافت نماید. اگر خطای تولید شده به درستی در برنامه مدیریت نشود و این پیام به صورت کامل در اختیار کاربر قرار گیرد، اطلاعات بیشتری در خصوص عبارت SQL‌ دراختیار کاربر قرار خواهد گرفت که مقدمه نفوذ به سیستم را فراهم می‌آورد. به عنوان مثال کاربر می‌تواند عبارت زیر را وارد نماید:

حمله به برنامه‌های وبی (۲):

این نوع حمله خیلی مشابه به حملات تزریق اسکریپت است و در مواقعی اتفاق می‌افتد که کد اسکریپت توسط صفحات پویای وب سایر سایت‌ها در مرورگر وب وارد شود. در این نوع حملات، هدف هکر خود سایت نیست، بلکه کاربران آن مد نظر می‌باشند. فرض کنید که یک سایت عبارات جستجو را با استفاده از مجموعه QueryString  (در صورتی که برنامه با استفاده از فناوری .NET توسعه داده شده باشد) و از طریق متد HTTP Get دریافت می‌کند، و سایر سایت‌ها می‌توانند عبارات جستجو را با عبارت پرس و جوس Search ارسال کنند.

YourSite.com?Search=asp.net

صفحه جستجو رشته پرس و جو را خوانده و در پایگاه داده به دنبال عبارت مورد نظر می‌گردد و در نهایت نتیجه جستجو را نمایش می‌دهد. در صورتی که داده‌ای متناسب با عبارت مورد نظر در پایگاه داده وجود نداشته باشد، پیامی مبنی بر یافت نشدن جواب تولید و نمایش داده خواهد شد.

در صفحه جستجو قالبی کد‌های زیر وجود دارند:

Botnet چیست ؟

Botnet چیست ؟

چند هفته پیش یک هکر تو zone-h بیش از 10 سایت رو با نام خودش ثبت کرد . و برای من سوال بود که چطوری در عرض مدت کوتاهی این همه سایت رو هک کرد . با یکی از دوستان در این مورد صحبت کردم می گفت طرف از بوتنت استفاده کرده . مطلب زیر در مورد بوت نت هست .
- مقدمه

Botnet لغتی است که از ایده شبکه ای از روبوتها استخراج شده است. در ساده ترین شکل، یک روبوت یک برنامه کامپیوتری خودکار است. در botnetها، bot به کامپیوترهایی اشاره می­کند که می­توانند توسط یک یا چند منبع خارجی کنترل شوند. یک فرد مهاجم معمولا کنترل کامپیوتر را با ضربه زدن به آن کامپیوتر توسط یک ویروس یا یک کد مخرب بدست می­گیرد و به این وسیله دسترسی فرد مهاجم به سیستم آسیب دیده فراهم می­شود. ممکن است کامپیوتر شما بخشی از یک botnet باشد ولی ظاهرا درست و عادی کار کند. Botnet ها معمولا برای هدایت فعالیتهای مختلفی مورد استفاده قرار می­گیرند. این فعالیتها می­تواند شامل انتشار هرزنامه و ویروس، یا انجام حملات انکار سرویس و یا فعالیتهای خرابکارانه دیگر باشد.

Botnet ها از کامپیوترهایی تشکیل شده اند که توسط یک سرور خرابکار کنترل می­شوند و عمده ترین تکنولوژی مورد استفاده جهت انتشار هرزنامه، بدافزار و برنامه های سرقت هویت هستند. زمانی که کامپیوترها آگاهانه یا ناآگاهانه توسط نرم افزاری که برای این منظور طراحی شده آسیب می­بینند، دیگر قادر نخواهند بود در برابر دستورات مالک botnet مقاومت نمایند. Botnet ها تهدیدات مداومی برای شرکتهای تجاری به حساب می آیند و در صورت نفوذ به شبکه یک شرکت تجاری یا دسترسی به داده های محرمانه، بسیار خطرناک هستند.

مشکل اصلی در مورد botnet ها این است که پنهان هستند و ممکن است تا زمانیکه شما بطور خاص به دنبال آنها نگردید، متوجه حضورشان نشوید. افراد مهاجم همچنین از botnet ها برای دسترسی به اطلاعات شخصی و تغییر آنها، حمله به کامپیوترهای دیگر، و انجام سایر اعمال مجرمانه استفاده می­کنند و در عین حال ناشناخته باقی می­مانند. از آنجایی که هر کامپیوتر در یک botnet می­تواند برای اجرای دستورات یکسان برنامه ریزی شود، یک فرد مهاجم می­تواند با استفاده از هر یک از این کامپیوترها، آسیب پذیریهای چندین کامپیوتر را بررسی کرده و فعالیتهای آنلاین آنها را کنترل نماید یا اطلاعاتی را که در فرمهای آنلاین وارد می­کنند جمع آوری کند.