برنامه نویسی امن با زبان C – آرایه ها و رشته ها

عنصر اصلی در برنامه نویسی امن با زبان های مختلف برنامه نویسی، مستند سازی خوب و استفاده از استانداردهای قابل اجرا است. استانداردهای کدنویسی، برنامه نویسان را ترغیب به پیروی از مجموعه ای متحدالشکل از قوانین و راهنماییها می کند که بر اساس نیازمندی های پروژه و سازمان تعیین شده است، نه بر اساس سلایق و مهارت های مختلف برنامه نویسان. به محض تعیین استانداردهای مذکور، می توان از آن به عنوان معیاری برای ارزیابی کدهای منبع، چه به صورت دستی و چه به صورت اتوماتیک استفاده کرد.
از استانداردهای معروف در این زمینه می توان به استانداردCERT برای کدنویسی امن اشاره کرد که یک سری از قوانین و پیشنهادات را برای کد نویسی امن با زبان های برنامه نویسی C، C++ و جاوا ارائه می دهد. هدف از این قوانین و پیشنهادات، حذف عادت های کدنویسی ناامن و رفتارهای تعریف نشده است که منجر به آسیب پذیری های قابل سوءاستفاده می شود. به کارگیری استانداردهای مذکور منجر به تولید سیستم های با کیفیت بالاتر می شود که در برابر حملات بالقوه، پایدارتر و مقاوم تر هستند.
در مقاله "آشنایی با استاندارد CERT برای برنامه نویسی امن"، کلیات استاندارد CERT در زمینه مزبور را توضیح دادیم و در سری مقاله های برنامه نویسی امن به زبان C به صورت تخصصی تر شیوه برنامه نویسی امن با این زبان را مورد بررسی قرار می دهیم. قابل ذکر است که در این استاندارد 89 قانون و 134 پیشنهاد برای برنامه نویسی امن با زبان C ارائه شده است که در این سری مقالات، مهمترین آنها را که در سطح یک قرار دارند، شرح خواهیم داد. برای کسب اطلاعات بیشتر در مورد سطح بندی قوانین و پیشنهادات به مقاله "آشنایی با استاندارد CERT برای برنامه نویسی امن" مراجعه فرمایید. در مقاله حاضر در مورد قوانین و پیشنهادات سطح اول ارائه شده در مورد آرایه ها و همچنین پیشنهادات سطح اول ارائه شده برای رشته ها صحبت خواهیم کرد و در مقاله بعدی به قوانین ارائه شده سطح اول در مورد رشته ها خواهیم پرداخت.

امنیت کنترل کننده های دامنه در ویندوز Sever 2003

از آنجایی که کنترل کننده های دامنه از راه های مختلف و متعددی بر روی دامنه ویندوز شما و تمامی کامپیوترهایی که به آن متعلق هستند کنترل دارند، باید احتیاطات لازم را برای حصول اطمینان از اینکه کنترل کننده های دامنه شما امن بوده و امن باقی می مانند به کار ببندید. در این مقاله، تعداد کمی از معیارهای امنیتی مهم که باید در مورد کنترل کننده های دامنه در نظر گرفته شوند، مورد بررسی قرار می گیرند.

امنیت فیزیکی کنترل کننده های دامنه

نخستین گام در امن کردن کنترل کننده های دامنه شبکه، حصول اطمینان از این نکته است که امکان دسترسی فیزیکی به آنها وجود ندارد. این بدان معناست که باید آنها را در یک اتاق سرور قفل شده که دسترسی به آن مستقیما و به صورت مستند کنترل می شود قرار داد.

البته هیچ راهی برای صد در صد امن کردن یک خانه، یک اتومبیل، یک دفتر کار و یا یک سرور وجود ندارد. معیارهای امنیتی مختلفی در هر مورد در نظر گرفته می شوند، ولی این کار با هدف غیر ممکن ساختن دسترسی خرابکاران به دارایی های شما انجام نمی شود. بلکه هدف در تمام این موارد این است که کار برای خرابکاران سخت گردد. ایجاد مانع بر سر راه خرابکاران باعث می شود که آنها دست از تلاش برای نفوذ بردارند و همچنین به شما فرصت می دهد که با آنها مقابله نمایید.

برنامه نویسی امن با زبان C – رشته ها

عنصر اصلی در برنامه نویسی امن با زبان های مختلف برنامه نویسی، مستند سازی خوب و استفاده از استانداردهای قابل اجرا است. استانداردهای کدنویسی، برنامه نویسان را ترغیب به پیروی از مجموعه ای متحدالشکل از قوانین و راهنماییها می کند که بر اساس نیازمندی های پروژه و سازمان تعیین شده است، نه بر اساس سلایق و مهارت های مختلف برنامه نویسان. به محض تعیین استانداردهای مذکور، می توان از آن به عنوان معیاری برای ارزیابی کدهای منبع، چه به صورت دستی و چه به صورت اتوماتیک استفاده کرد.
از استانداردهای معروف در این زمینه می توان به استانداردCERT برای کدنویسی امن اشاره کرد که یک سری از قوانین و پیشنهادات را برای کد نویسی امن با زبان های برنامه نویسی C، C++ و جاوا ارائه می دهد. هدف از این قوانین و پیشنهادات، حذف عادت های کدنویسی ناامن و رفتارهای تعریف نشده است که منجر به آسیب پذیری های قابل سوءاستفاده می شود. به کارگیری استانداردهای مذکور منجر به تولید سیستم های با کیفیت بالاتر می شود که در برابر حملات بالقوه، پایدارتر و مقاوم تر هستند.
در مقاله آشنایی با استاندارد CERT برای برنامه نویسی امن، کلیات استاندارد CERT در زمینه مزبور را توضیح دادیم و در سری مقاله های برنامه نویسی امن به زبان C به صورت تخصصی تر شیوه برنامه نویسی امن با این زبان را مورد بررسی قرار می دهیم. قابل ذکر است که در این استاندارد 89 قانون و 134 پیشنهاد برای برنامه نویسی امن با زبان C ارائه شده است که در این سری مقالات، مهمترین آنها را که در سطح یک قرار دارند، شرح خواهیم داد. برای کسب اطلاعات بیشتر در مورد سطح بندی قوانین و پیشنهادات به مقاله "آشنایی با استاندارد CERT برای برنامه نویسی امن" مراجعه فرمایید. در مقاله قبلی در مورد قوانین و پیشنهادات سطح اول ارائه شده در مورد آرایه ها و همچنین پیشنهادات سطح اول ارائه شده برای رشته ها صحبت کردیم و در مقاله حاضر به قوانین ارائه شده سطح اول در مورد رشته ها خواهیم پرداخت.

برنامه نویسی امن با زبان C – عبارات و اعداد صحیح

عنصر اصلی در کدنویسی امن با زبان های مختلف برنامه نویسی، مستند سازی خوب و استفاده از استانداردهای قابل اجرا است. استانداردهای کدنویسی، برنامه نویسان را ترغیب به پیروی از مجموعه ای متحدالشکل از قوانین و راهنماییها می کند که بر اساس نیازمندی های پروژه و سازمان تعیین شده است، نه بر اساس سلایق و مهارت های مختلف برنامه نویسان. به محض تعیین استانداردهای مذکور، می توان از آن به عنوان معیاری برای ارزیابی کدهای منبع، چه به صورت دستی و چه به صورت اتوماتیک استفاده کرد. از استانداردهای معروف در این زمینه می توان به استانداردCERT برای کدنویسی امن اشاره کرد که یک سری از قوانین و پیشنهادات را برای کد نویسی امن با زبان های برنامه نویسی C، C++ و جاوا ارائه می دهد. هدف از این قوانین و پیشنهادات، حذف عادت های کدنویسی ناامن و رفتارهای تعریف نشده است که منجر به آسیب پذیری های قابل سوءاستفاده می شود. به کارگیری استانداردهای مذکور منجر به تولید سیستم های با کیفیت بالاتر می شود که در برابر حملات بالقوه، پایدارتر و مقاوم تر هستند. در مقاله "آشنایی با استاندارد CERT برای برنامه نویسی امن"، کلیات استاندارد CERT در زمینه مزبور را توضیح دادیم و در این مقاله به صورت تخصصی تر شیوه برنامه نویسی امن با زبان C را مورد بررسی قرار می دهیم. قابل ذکر است که در این استاندارد 89 قانون و 134 پیشنهاد برای برنامه نویسی امن با زبان C ارائه شده است که در سری مقالات کدنویسی امن با زبان C، مهمترین آنها را که در سطح یک قرار دارند، شرح خواهیم داد. برای کسب اطلاعات بیشتر در مورد سطح بندی قوانین و پیشنهادات به مقاله "آشنایی با استاندارد CERT برای برنامه نویسی امن" مراجعه فرمایید.

همه چیز درباره بدافزار - 1

در سری مقاله های بدافزار قصد داریم تا شما را با انواع بدافزارهایی که امروزه وجود دارند، آشنا سازیم. این مقاله ها شامل دسته بندی انواع بدافزارهای شناخته شده، تکنیکهای مورد استفاده بدافزارها، روشهای انتشار بدافزارها و تهدیدات آنها برای سازمانهای مختلف می باشد. به دلیل طبیعت تغییر پذیر، رو به رشد و گسترده این مقوله، در این مجال نمی توان به توضیح همه عناصر بدافزارها و همه انواع ممکن آنها پرداخت، ولی به هرحال مهمترین عناصر تشکیل دهنده بدافزارها، برای درک و فهم بهتر طبیعت آنها آورده شده است. همچنین در این مقاله ها به چیزهای دیگری که بدافزار نیستند، مانند ابزارهای جاسوسی، هرزنامه ها و ابزارهای تبلیغاتی نیز خواهیم پرداخت.

لیست سفید روشی جدید برای مقابله با ویروسها

آنتی ویروس ها نشان داده اند که در حفاظت از رایانه ها در برابر ویروس ها کم آورده اند، لذا کارشناسان امر فناوری جدیدی به نام لیست سفید سازی را به بازار عرضه کرده اند که روش جدیدی را برای مقابله با بدافزارها به کار می برد.
لیست سفید و لیست سیاه من را به یاد جدول خوب ها و بدها که مبصر بر روی تخته می‌نوشت تا معلم را متوجه اتفاقات پشت پرده ی کلاس کند، می اندازد. انواع زیادی از لیست سفید و سیاه وجود دارد از همان خوب ها و بدهای مبصر ما گرفته تا لیست معتبر و غیر معتبر مشتریان بانک تا ... لیست سفید و سیاه برنامه های رایانه ای. در دنیای امنیت رایانه، لیست سفید، در برابر لیست سیاه که لیستی از برنامه های شرور است، به لیستی از برنامه های معتبر اطلاق می شود. در واقع، رایانه ها فرض می کنند هر برنامه ای آلوده و شرور است مگر اینکه خلافش ثابت شود یعنی اسم آن در لیست سفید مشاهده شود.

ویروس قسمت سوم - چه کسانی ویروس می نویسند؟

در روزگار اولیه رایانه، بیشتر برنامه های شبه ویروس توسط نابغه ها نوشته می شد. در واقع دانشمندانی که در آزمایشگاه ها مشغول اکتشاف مرزهای محاسباتی رایانه ها بودند، برنامه هایی برای توسعه چگونگی استفاده از رایانه ها می نوشتند که بعدها به عنوان ایده های اصلی تولید ویروس مورد استفاده قرار گرفتند. در آن زمان، هنوز پاسخی برای سوال "رایانه ها قرار است چه کاری انجام بدهند؟" پیدا نشده بود. تلاش برای ایجاد اجزای برنامه مستقل و خود تکرار شونده، یک پاسخ منطقی برای سؤال رایانه ها قرار است چگونه استفاده و سازماندهی شوند، محسوب می شد. در آن روزگار برنامه نویسی به هیچ وجه آسان نبود و زبان اسمبلی که امروزه به عنوان هنر برنامه نویسی محسوب می شود، در آن زمان یک رؤیای شیرین تلقی می شد.

در دنیای امروز شما یا خودتان یک رایانه را خریداری می کنید و آن را وصل و نصب می کنید و یا فرزندی دارید که این کار را برای شما انجام می دهد. سپس به راحتی به شبکه جهانی اینترنت وصل می شوید و به پرواز در می آیید. از طرفی برای بسیاری از مردم رایانه به عنوان یک وسیله سرگرمی و ارتباط محسوب می شود و به همین جهت امروزه، در اکثر خانه ها رایانه وجود دارد و مردم عادی به راحتی آن را مورد استفاده قرار می دهند. در این دنیای مبتنی بر رایانه، جذابیت جعبه اسرارآمیز در مقابل جذابیت اینترنت کمرنگ شده است. در چنین دنیایی نسل جدید ویروس نویسان متولد شده اند.

ویروس قسمت دوم - ویروس‌‌‌ها چیستند؟

واژه‌‌‌ی ویروس به عنوان یک عبارت عمومی برای انواع مختلفی از حمله‌‌‌های رایانه‌‌‌ای با کدهای بدخواهانه به کار می‌‌‌رود، برای مثال ویروس‌‌‌های رایانه‌‌‌ای، تروجان‌‌‌ها، کرم‌‌‌ها و سایر بدافزارها همگی به نوعی ویروس محسوب می‌‌‌شوند.
اغلب مردم حداقل یک بار دچار آلودگی با یکی از انواع ویروس‌‌‌ها از طرق مختلف شده اند. نصب یک نرم‌‌‌افزار آلوده، نصب یک دستگاه آلوده، باز کردن یک ایمیل حاوی ویروس و یا وارد شدن به وب-سایت‌‌‌های ویروسی از جمله راههای آلوده شدن به ویروس‌‌‌ها است. امروزه دنیای رایانه‌‌‌ها با انواع مختلفی از ویروسها و ابزارهای تجاری همچون pop-ups ، adware و یا نرم‌‌‌افزارهای جاسوسی اشباع شده، به طوری که هرکدام از آنها مقدار قابل توجهی از منابع رایانه را برای نمایش و یا جمع‌‌‌آوری اطلاعات کاربران مورد سوء استفاده قرار می‌‌‌دهند.
تقسیم‌‌‌بندی کدهای خرابکار به "ویروس" و یا "کرم" کاری سخت است زیرا افراد بداندیش برای نفوذ و سوء استفاده از رایانه‌‌‌ها از هر طریقی که بتوانند وارد می‌‌‌شوند و دربند تقسیم‌‌‌بندی‌‌‌های تاریخی یا الگوریتمی نیستند و معمولاً از روشهای ترکیبی برای حمله‌‌‌های خود استفاده می‌‌‌کنند. با توجه به این موضوع و با توجه به اینکه ویروس‌‌‌ها روز به روز تغییر می‌‌‌کنند و نسبت به نسخه‌‌‌های قدیمی خود پیشرفت می‌‌‌کنند، در زیر شرح مختصری از انواع ویروس‌‌‌ها آورده شده تا خواننده را با ریشه‌‌‌های این کدهای خرابکار آشنا سازد.
ویروس
ویروس، قطعه کدی است که خود را در برنامه‌‌‌های بزرگتر کپی کرده و آنها را تغییر می‌‌‌دهد. ویروس مستقل نبوده و نیازمند میزبانی است که با استفاده از آن دست به عمل زند. زمانی که برنامه‌‌‌ی میزبان اجرا شود ویروس نیز اجرا شده و شروع به تکثیر خود و آلوده‌‌‌سازی برنامه‌‌‌های دیگر می‌‌‌کند. پس از اینکه ویروس به اندازه‌‌‌ی لازم تکثیر شد، شروع به اجرای اعمال خرابکارانه‌‌‌ای می کند که در کد آن منظور شده است.
کرم
یک کرم برنامه‌‌‌ی مستقلی است که معمولاً خود را با کپی کردن از یک رایانه به رایانه‌‌‌ی دیگر بر روی یک شبکه تکثیر می‌‌‌کند. بر خلاف ویروس که خود را به یک برنامه‌‌‌ی میزبان وصل می‌‌‌کند، کرم رایانه‌‌‌ای استقلال خود را حفظ ‌‌‌کرده و برنامه‌‌‌های دیگر را تغییر نمی‌‌‌دهد. کرم نیز مانند ویروس می‌‌‌تواند شامل دستورات بدخواهانه‌‌‌ای باشد که باعث زیان و رنجش کاربران شود. علاوه بر این کرم‌‌‌ها معمولاً برای تولید، گسترش و نگهداری خود, از منابع شبکه استفاده بسیار زیادی می کنند و باعث ناراحتی کاربران شبکه می‌‌‌شوند.
لازم به ذکر است که اصطلاح "کرم" به عنوان یک نفوذگر رایانه‌‌‌ای ظاهراً در رمان علمی-تخیلی John Bruner با نام Shockwave Rider در سال 1975 خلق شده است. در این رمان، برنامه‌‌‌هایی با نام "tapeworms" یا کرمهای نواری درون رایانه‌‌‌ها زندگی کرده و از رایانه‌‌‌ای به رایانه‌‌‌ی دیگر گسترش پیدا می‌‌‌کنند و تا زمانی که شبکه وجود دارد به حیات خود ادامه می‌‌‌دهند.
تروجان
یک اسب تروا یا تروجان تکه برنامه‌‌‌ای است که درون برنامه‌‌‌‌‌‌ی دیگری مخفی شده و عملیاتی را تحت پوشش برنامه‌‌‌ی مذکور انجام می‌‌‌دهد. در اسطوره های قدیمی، اسب تروا یک اسب توخالی ساخته شده از چوب است که توسط ادیسیوس، سردار سپاه یونان در جنگ با امپراطوری تروا مورد استفاده قرار گرفت. سربازان یونانی در این اسب مخفی شدند و زمانی که سربازان تروا آن را به داخل شهر آوردند، از آن خارج شده و دروازه‌‌‌های شهر را برای سربازان یونانی باز کردند و به این ترتیب در جنگ پیروز شدند.
در دنیای رایانه، تروجان به برنامه‌‌‌ای اطلاق می‌‌‌شود که با پنهان شدن در برنامه‌‌‌ی به ظاهر مفید دیگری، به اهداف خود دست می‌‌‌یابد. در واقع تروجان‌‌‌ها همراه با انجام عملیات ظاهری، به اجرای کدهای تأیید نشده نیز می‌‌‌پردازند. شگرد تروجان‌‌‌ها فریب کاربران از طریق تشویق آنها به اجرای برنامه های جذاب است.

انواع کدهای خرابکار

به انواع کدهای خرابکار و یا ترکیب آنها، به صورت خلاصه بدافزار نیز گفته می‌‌‌شود. در زیر یک طبقه‌‌‌بندی از بدافزارها آورده شده است:

• انکار سرویس (Denial of service attack(DoS) )
  این حمله، تعداد زیادی درخواست بر روی منابع سیستم رایانه قربانی می‌‌‌فرستد مانند فراخوانی‌‌‌های مکرر سیستم عامل یا باز کردن پنجره‌‌‌های متعدد به طوری که رایانه مورد هجوم عملاً از کار می‌‌‌افتد.
• انکار سرویس توزیع شده (Distributed DoS attack)
  یک نوع حمله‌‌‌ DoS است که از طریق تعداد زیادی رایانه انجام می‌‌‌شود. معمولاً از زامبی‌‌‌ها (در ادامه توضیح داده شده است) برای این نوع حمله استفاده می‌‌‌شود.
• سوء استفاده (Exploit)
  این بدافزارها از آسیب‌‌‌پذیری‌‌‌های شناخته شده یا کشف نشده بهره برداری می‌‌‌کنند. این آسیب پذیری‌‌‌ها معمولاً از ضعفها یا مشکلات امنیتی در نرم‌‌‌افزار برنامه های کاربردی و یا سیستم عامل ناشی می-شوند.
• Rootkit
  یک برنامه کوچک است که یک حساب کاربری جدید را بر روی سیستم قربانی ایجاد کرده و یا یک حساب کاربری موجود را سرقت می‌‌‌کند. سپس حق دسترسی آن را در بالاترین حد قرار می‌‌‌دهد، برای مثال در یونیکس root و در ویندوز administrator، به طوری که مهاجم بتواند تمایلات خود را بدون هیچ منعی به انجام برساند.
• اسکریپت Script
  یک نوع فایل است که حاوی دستورات مهاجم می‌‌‌باشد.
• شنود Sniffer
  حمله ای است که معمولاً توسط یک اسب تروا انجام می شود و در آن تبادل اطلاعات رایانه و ضکلیدهای فشرده شده بر روی کیبورد زیر نظر گرفته می شود.
• زامبی Zombie
  به رایانه ای که مهاجمان آن در اختیار گرفته اند تا از آن به نفع مقاصد خود استفاده کنند زامبی گفته می شود. زامبی ها منتظر دستورات از طرف مهاجمان می مانند.