چک لیست کشف نفوذ در سیستم عامل Windows NT (قسمت اول)

این مقاله به صورت کلی گام هایی را بیان می کند که برای تشخیص به خطر افتادن سیستم عامل Windows NT مورد استفاده قرار می گیرند. مدیران سیستم  می توانند از این اطلاعات بهره گرفته و نفوذ های احتمالی به سیستم هایی که از این سیستم عامل بهره می گیرند را ردیابی کنند. مطالعه همه بخش های این مقاله برای مدیرانی که مایل به شناسایی نقاط ضعف سیستم های خود هستند مفید است.

علاوه بر استفاده از نکات مطرح شده در این مقاله بهره گیری از نسخه های به روز رسان و وصله های ارائه شده توسط تولید کنندگان نرم افزار هم باید به صورت مرتب و جدی انجام شود.

 

الف. ردیابی علائمی که خطرات احتمالی سیستم  را نشان می دهند:

۱- Log  فایل های ایجاد شده بر روی سیستم را بررسی کنید تا اتصالات به دستگاه از نقاط غیرمعمول و یا فعالیت های غیرمعمول شناسایی شوند. می توان با استفاده از Event Viewer ورود های عجیب به سیستم(Logon)، نقص سرویس ها و یا روشن و خاموش شدن های غیر عادی را بررسی کرد. در صورتی که حفاظ[1]، خادم وب و یا مسیریاب  سیستم فعالیت های جاری خود را بر روی دستگاهی دیگر ثبت می کنند، باید log های ذخیره شده بر روی آن دستگاه ها  هم بررسی شود. به خاطر داشته باشید تنها در صورتی این اطلاعات مفید می باشد که فایل های ثبت فعالیت ها فقط قابلیت اضافه کردن داشته باشند. بسیاری از نفوذکنندگان به سیستم ها با ویرایش فایل های log  ردپای خود را از روی سیستم پاک می کنند.

۲- کاربران و گروه های عجیب را بررسی کنید. برای این کار می توانید از ابزار User Manager و یا دستورات ‘net user’، ‘net group’ و ‘net localgroup’ بهره بگیرید. اطمینان حاصل کنید شناسه GUEST که به صورت پیش فرض ساخته می شود در صورتی که سیستم به آن نیاز ندارد، غیرفعال باشد.

احراز هویت- توکن

توکن

توکن‌ها دستگاه های مولد رمز عبور هستند که نهاده ها باید آن ها را همراه خود داشته باشند. یک دستگاه توکن نمونه ای از عامل نوع دوم است. توکن می تواند یک دستگاه رمز عبور ایستا مانند کارت ATM یا کارت های دیگر حافظه باشد. توکن‌ها نیز می توانند دستگاه های رمز عبور پویا یا یک بار مصرف باشند. این دستگاه ها رشته ای از کاراکترها را نمایش می دهند تا نهاده آن را در سیستم وارد نماید.

 چهار نوع دستگاه توکن وجود دارد:

·         توکن‌های ایستا

·         توکن‌های مولد رمز عبور همزمان شده

·         توکن‌های مولد رمز عبور غیر همزمان

·         توکنهای چالش و پاسخ

توکن ایستا می تواند کارت swipe، کارت هوشمند، فلاپی دیسک، USB RAM یا حتی چیزی شبیه کلید باشد که به عنوان قفل فیزیکی به کار برده می شود. توکن‌های ایستا برای ارائه هویت یک واسط فیزیکی را عرضه می کنند. توکن‌های ایستا همیشه برای تامین احراز هویت به یک عامل اضافی مانند رمز عبور یا عامل بیومتریک نیاز دارند. توجه شود توکن‌های ایستا اغلب به عنوان دستگاه های شناسایی استفاده می شوند نه به عنوان عامل احراز هویت.

توکن‌های مولد رمز عبور همزمان شده، رمزهای عبور را در فواصل زمانی ثابت تولید می کنند. رمز عبور تولید شده توسط نهاده همراه با یک PIN، عبارت رمزی یا رمز عبور به سیستم وارد می شود. رمز عبور تولید شده عامل شناسایی را ارائه می دهد و رمزعبور یا PIN عامل احراز هویت را فراهم می نماید.

توکن‌های مولد رمز عبور غیر همزمان، رمزهای عبور را بر اساس وقوع یک رخداد تولید می کنند. وقوع یک رخداد مستلزم آن است که نهاده کلیدی را بر روی توکن و بر روی سرور احراز هویت فشار دهد. رمز عبور تولید شده به همراه PIN، عبارت رمزی یا رمز عبور نهاده به منظور احراز هویت به سیستم وارد می شوند.

 توکن‌های چالش و پاسخ رمزهای عبور را تولید می کند یا بر اساس دستورالعمل های سیستم احراز هویت به سیستم پاسخ می دهد. سیستم احراز هویت یک چالش را که معمولا به شکل یک کد یا یک عبارت رمزی است نمایش می دهد. این چالش به دستگاه توکن وارد می شود. دستگاه توکن بر اساس این چالش، پاسخی را تولید می کند و در نهایت این پاسخ برای احراز هویت به سیستم وارد می شود.

برای احراز هویت استفاده از سیستم توکن نسبت به استفاده از رمز عبور، امنیت بسیار قوی تری دارد. سیستم های توکن از دو یا چند عامل برای اثبات هویت و ارائه احراز هویت استفاده می کند. علاوه بر این برای دانستن نام کاربری، رمز عبور، PIN و کد، نهاده باید مالک یک دستگاه توکن باشد.

سیستم های توکن دارای معایبی هستند. اگر شارژ باتری دستگاه تمام شود یا دستگاه آسیب ببیند، نهاده قادر نیست به سیستم دسترسی داشته باشد. دستگاه های توکن می توانند دزدیده یا گم شوند. توکن‌ها باید هوشمندانه نگهداری و مدیریت شوند زیرا اگر سیستم توکن به خطر بیفتد، تعویض آن بسیار مشکل و گران است. کاربران باید بدانند که قرض دادن توکن و PIN حتی به همکار خود یک نقض امنیتی است.    

همه چیز درباره Mariposa

در ماه می سال 2009، شرکت امنیتی Defence Intelligence که یک شرکت خصوصی کانادایی است، خبر شناسایی یک شبکه رایانه های خرابکار (botnet) جدید را به نام Mariposa برای برخی از شرکت های امنیتی سرشناس مانند پاندا، پلیس اسپانیا و FBI به صورت محرمانه ارسال کرد. در پی کشف مذکور، تحقیقات چند ماهه ای با هدف از کار انداختن شبکه خرابکار مذکور که چیزی نمانده بود تا به بزرگترین شبکه رایانه های خرابکار در تاریخ رایانه تبدیل شود، انجام شد. در اولین گام یک کارگروه Mariposa با نام اختصاری MWG، متشکل از شرکت امنیتی Defense Intelligence، مرکز امنیت اطلاعات Georgia، شرکت امنیتی پاندا و برخی متخصصان و آژانس های امنیتی بین المی که نخواسته اند نامشان فاش شود، تشکیل شد. هدف از این کارگروه، اجرای عملیاتی بود که از یک طرف botnet مذکور را ریشه کن سازد و از طرف دیگر مجرمان را تحویل قانون دهد. بعد از جمع آوری و تحلیل اطلاعات مرتبط با botnet مذکور، افراد درگیر در پروژه سعی کردند تا کنترل Mariposa را از دست مجرمان خارج کرده و آن را تصاحب کنند. آنها همچنین تلاش کردند تا مجرمان پشت پرده را شناسایی کنند ولی این کار بسیار پیچیده و سخت بود زیرا صاحبان Mariposa همواره از طریق یک VPN (Virtual Private Network) ناشناس به سرورهای کنترل و فرماندهی متصل می شدند و لذا شناسایی IP حقیقی آنها غیر ممکن بود. متخصصان امنیتی کارگروه تحقیقاتی Mariposa، جهت انجام اقدامات فوق، ابتدا سرورهای کنترل و فرماندهی (Command & Control (C&C)) را که فرمان های جدید از طریق آنها برای اعضای شبکه ارسال می شود، شناسایی کردند. متخصصان امنیتی از این طریق توانستند انواع فعالیت هایی را که از طریق شبکه

برنامه نویسی امن با زبان C – ورودی / خروجی (IO) – قسمت اول

عنصر اصلی در برنامه‌نویسی امن با زبان‌های مختلف برنامه‌نویسی، مستندسازی خوب و استفاده از استانداردهای قابل اجرا است. استانداردهای کدنویسی، برنامه نویسان را ترغیب به پیروی از مجموعه‌ای متحدالشکل از قوانین و راهنمایی‌ها می‌کند که بر اساس نیازمندی‌های پروژه و سازمان تعیین شده است، نه بر اساس سلایق و مهارت‌های مختلف برنامه‌نویسان. به محض تعیین استانداردهای مذکور، می توان از آن به عنوان معیاری برای ارزیابی کدهای منبع، چه به صورت دستی و چه به صورت اتوماتیک استفاده کرد.

از استانداردهای معروف در این زمینه می‌توان به استانداردCERT برای کدنویسی امن اشاره کرد که یک سری از قوانین و پیشنهادات را برای کدنویسی امن با زبان‌های برنامه‌نویسی C، C++ و جاوا ارائه می‌دهد. هدف از این قوانین و پیشنهادات، حذف عادت‌های کدنویسی ناامن و رفتارهای تعریف نشده است که منجر به آسیب‌پذیری‌های قابل سوءاستفاده می‌شود. به کارگیری استانداردهای مذکور منجر به تولید سیستم‌های با کیفیت بالاتر می‌شود که در برابر حملات بالقوه، پایدارتر و مقاوم‌تر هستند.

در مقاله "آشنایی با استاندارد CERT برای برنامه‌نویسی امن"، کلیات استاندارد CERT در زمینه مزبور را توضیح دادیم و در سری مقاله‌های برنامه‌نویسی امن به زبان C به صورت تخصصی‌تر شیوه برنامه‌نویسی امن با این زبان را مورد بررسی قرار می‌دهیم. قابل ذکر است که در این استاندارد 89 قانون و 134 پیشنهاد برای برنامه‌نویسی امن با زبان C ارائه شده است که در این سری مقالات، مهمترین آنها را که در سطح یک قرار دارند، شرح خواهیم داد. برای کسب اطلاعات بیشتر در مورد سطح‌بندی قوانین و پیشنهادات به مقاله "آشنایی با استاندارد CERT برای برنامه نویسی امن" مراجعه فرمایید. در مقاله حاضر به پیشنهادات و قوانین ارائه شده سطح اول در مورد ورودی - خروجی خواهیم پرداخت.

مدیریت رخداد در شش مرحله- مقدمه

مدیریت رخداد بسیار شبیه به اورژانس پزشکی است. در این وضعیت، فرد کمک رسان تحت فشار قرار داشته و اشتباهات وی می توانند بسیار گران تمام شوند. در اختیار داشتن یک روال ساده و از پیش تعریف شده، در این موارد بهترین راهکار است. به همین دلیل بزرگترین و با تجربه ترین متخصصین مدیریت رخدادهای امنیتی نیز از روال های از پیش تعریف شده و سیستماتیک برای پاسخگویی به رخدادهای مرتبط با امنیت استفاده می کنند. این افراد، شش مرحله ثابت و مشخص را همواره در ذهن خود دارند، از فرم های از پیش طراحی شده استفاده می کنند و در صورت نیاز، از دیگران کمک می گیرند. این شش مرحله به طور مختصر به شرح زیرند:

برنامه نویسی امن با زبان C –قوانین مدیریت حافظه

عنصر اصلی در برنامه نویسی امن با زبان های مختلف برنامه نویسی، مستند سازی خوب و استفاده از استانداردهای قابل اجرا است. استانداردهای کدنویسی، برنامه نویسان را ترغیب به پیروی از مجموعه ای متحدالشکل از قوانین و راهنماییها می کند که بر اساس نیازمندی های پروژه و سازمان تعیین شده است، نه بر اساس سلایق و مهارت های مختلف برنامه نویسان. به محض تعیین استانداردهای مذکور، می توان از آن به عنوان معیاری برای ارزیابی کدهای منبع، چه به صورت دستی و چه به صورت اتوماتیک استفاده کرد.

از استانداردهای معروف در این زمینه می توان به استانداردCERT برای کدنویسی امن اشاره کرد که یک سری از قوانین و پیشنهادات را برای کد نویسی امن با زبان های برنامه نویسی C، C++ و جاوا ارائه می دهد. هدف از این قوانین و پیشنهادات، حذف عادت های کدنویسی ناامن و رفتارهای تعریف نشده است که منجر به آسیب پذیری های قابل سوءاستفاده می شود. به کارگیری استانداردهای مذکور منجر به تولید سیستم های با کیفیت بالاتر می شود که در برابر حملات بالقوه، پایدارتر و مقاوم تر هستند.

در مقاله "آشنایی با استاندارد CERT برای برنامه نویسی امن"، کلیات استاندارد CERT در زمینه مزبور را توضیح دادیم و در سری مقاله های برنامه نویسی امن به زبان C به صورت تخصصی تر شیوه برنامه نویسی امن با این زبان را مورد بررسی قرار می دهیم. قابل ذکر است که در این استاندارد 89 قانون و 134 پیشنهاد برای برنامه نویسی امن با زبان C ارائه شده است که در این سری مقالات، مهمترین آنها را که در سطح یک قرار دارند، شرح خواهیم داد. برای کسب اطلاعات بیشتر در مورد سطح بندی قوانین و پیشنهادات به مقاله "آشنایی با استاندارد CERT برای برنامه نویسی امن" مراجعه فرمایید. در مقاله قبلی در مورد پیشنهادات سطح اول ارائه شده در مورد مدیریت حافظه صحبت کردیم و در مقاله حاضر به قوانین ارائه شده سطح اول در مورد مدیریت حافظه خواهیم پرداخت.

گامهای راه اندازی و به کارگیری یک Honeypot

پیش از این در پنج مقاله «Honeypot چیست؟»، «انواع Honeypot»، «کاربردهای Honeypot ها»، «مکانیزم های جمع آوری اطلاعات در Honeypot ها» و «مکانیزم های تحلیل اطلاعات در Honeypot ها» به معرفی اجمالی Honeypot ها، کاربردهای این سیستم ها و روش های جمع آوری وتحلیل اطلاعات در این سیستم ها پرداختیم. در این مقاله گام های راه اندازی و به کار گیری Honeypot ها را مورد بررسی قرار خواهیم داد.

به کار گیری یک Honeypot فیزیکی می تواند بسیار زمان بر و گران تمام شود، چرا که سیستم عامل های مختلف ممکن است به سخت افزارهای خاصی نیاز داشته باشند. به علاوه، هر Honeypot به سیستم فیزیکی خاص خود و حجم زیادی از تنظیمات پیکربندی احتیاج دارد. در ادامه، گام های عمومی برای به کار گیری یک Honeypot اولیه را بیان می کنیم. این گام ها، تا حدی به انواع دستگاه های شبکه، ابزارها و برنامه های نرم‌افزاری که در اختیار ما است، بستگی دارد.

مکانیزمهای جمع آوری اطلاعات در Honeypot ها

پیش از این در سه مقاله «Honeypot چیست؟»، «انواع Honeypot» و «کاربردهای Honeypot ها»، به معرفی اجمالی Honeypot ها و کاربردهای این سیستم ها پرداختیم. در این مقاله مکانیزم های مختلف جمع آوری اطلاعات در Honeypot ها را مورد بررسی قرار خواهیم داد.

جمع آوری اطلاعات در سیستمی که صرفا به این منظور طراحی شده است که مورد سوء استفاده مهاجمان و هکرها قرار گیرد، باید به صورتی باشد که علاوه بر اینکه تحلیل جدی فعالیت ها را ممکن می سازد، در عین حال مزاحم کار هکرها نیز نگردد. در شبکه هایی که از Honeypot به منظور تشخیص و تحلیل حملات و تهدیدات استفاده می کنند، داده‌ها می توانند در سه نقطه مختلف جمع آوری شوند که هریک مزایا و معایب خود را داراست. بر این اساس، سه مکانیزم مختلف برای جمع آوری اطلاعات در Honeypot ها تعریف می شود:

 

1- مبتنی بر میزبان 

 داده هایی که بر روی میزبانی که مورد سوء استفاده قرار گرفته است جمع آوری می شوند، بیشترین پتانسیل را برای ثبت ارتباطات ورودی و خروجی، دستورات وارد شده بر روی میزبان از طریق خط دستور، و پردازه های در حال اجرا دارا هستند. متاسفانه این روش بیشترین خطر را نیز به همراه دارد. چرا که فرد نفوذگر معمولا به دنبال لاگ ها و یا ابزارهای امنیتی می گردد و سعی می کند آنها را غیرفعال نماید تا بتواند حضور خود را پنهان کند. به این ترتیب، جمع آوری داده ها می تواند توسط فرد هکر متوقف شده و یا دستخوش تغییر گردد، به طوری که نتایج به دست آمده را کاملا مغشوش نماید. به عنوان مثال هایی از ابزارهای مورد استفاده برای ثبت فعالیت بر روی یک Honeypot می توان به موارد زیر اشاره کرد: