ویروس قسمت سوم - چه کسانی ویروس می نویسند؟

در روزگار اولیه رایانه، بیشتر برنامه های شبه ویروس توسط نابغه ها نوشته می شد. در واقع دانشمندانی که در آزمایشگاه ها مشغول اکتشاف مرزهای محاسباتی رایانه ها بودند، برنامه هایی برای توسعه چگونگی استفاده از رایانه ها می نوشتند که بعدها به عنوان ایده های اصلی تولید ویروس مورد استفاده قرار گرفتند. در آن زمان، هنوز پاسخی برای سوال "رایانه ها قرار است چه کاری انجام بدهند؟" پیدا نشده بود. تلاش برای ایجاد اجزای برنامه مستقل و خود تکرار شونده، یک پاسخ منطقی برای سؤال رایانه ها قرار است چگونه استفاده و سازماندهی شوند، محسوب می شد. در آن روزگار برنامه نویسی به هیچ وجه آسان نبود و زبان اسمبلی که امروزه به عنوان هنر برنامه نویسی محسوب می شود، در آن زمان یک رؤیای شیرین تلقی می شد.

در دنیای امروز شما یا خودتان یک رایانه را خریداری می کنید و آن را وصل و نصب می کنید و یا فرزندی دارید که این کار را برای شما انجام می دهد. سپس به راحتی به شبکه جهانی اینترنت وصل می شوید و به پرواز در می آیید. از طرفی برای بسیاری از مردم رایانه به عنوان یک وسیله سرگرمی و ارتباط محسوب می شود و به همین جهت امروزه، در اکثر خانه ها رایانه وجود دارد و مردم عادی به راحتی آن را مورد استفاده قرار می دهند. در این دنیای مبتنی بر رایانه، جذابیت جعبه اسرارآمیز در مقابل جذابیت اینترنت کمرنگ شده است. در چنین دنیایی نسل جدید ویروس نویسان متولد شده اند.

ویروس قسمت دوم - ویروس‌‌‌ها چیستند؟

واژه‌‌‌ی ویروس به عنوان یک عبارت عمومی برای انواع مختلفی از حمله‌‌‌های رایانه‌‌‌ای با کدهای بدخواهانه به کار می‌‌‌رود، برای مثال ویروس‌‌‌های رایانه‌‌‌ای، تروجان‌‌‌ها، کرم‌‌‌ها و سایر بدافزارها همگی به نوعی ویروس محسوب می‌‌‌شوند.
اغلب مردم حداقل یک بار دچار آلودگی با یکی از انواع ویروس‌‌‌ها از طرق مختلف شده اند. نصب یک نرم‌‌‌افزار آلوده، نصب یک دستگاه آلوده، باز کردن یک ایمیل حاوی ویروس و یا وارد شدن به وب-سایت‌‌‌های ویروسی از جمله راههای آلوده شدن به ویروس‌‌‌ها است. امروزه دنیای رایانه‌‌‌ها با انواع مختلفی از ویروسها و ابزارهای تجاری همچون pop-ups ، adware و یا نرم‌‌‌افزارهای جاسوسی اشباع شده، به طوری که هرکدام از آنها مقدار قابل توجهی از منابع رایانه را برای نمایش و یا جمع‌‌‌آوری اطلاعات کاربران مورد سوء استفاده قرار می‌‌‌دهند.
تقسیم‌‌‌بندی کدهای خرابکار به "ویروس" و یا "کرم" کاری سخت است زیرا افراد بداندیش برای نفوذ و سوء استفاده از رایانه‌‌‌ها از هر طریقی که بتوانند وارد می‌‌‌شوند و دربند تقسیم‌‌‌بندی‌‌‌های تاریخی یا الگوریتمی نیستند و معمولاً از روشهای ترکیبی برای حمله‌‌‌های خود استفاده می‌‌‌کنند. با توجه به این موضوع و با توجه به اینکه ویروس‌‌‌ها روز به روز تغییر می‌‌‌کنند و نسبت به نسخه‌‌‌های قدیمی خود پیشرفت می‌‌‌کنند، در زیر شرح مختصری از انواع ویروس‌‌‌ها آورده شده تا خواننده را با ریشه‌‌‌های این کدهای خرابکار آشنا سازد.
ویروس
ویروس، قطعه کدی است که خود را در برنامه‌‌‌های بزرگتر کپی کرده و آنها را تغییر می‌‌‌دهد. ویروس مستقل نبوده و نیازمند میزبانی است که با استفاده از آن دست به عمل زند. زمانی که برنامه‌‌‌ی میزبان اجرا شود ویروس نیز اجرا شده و شروع به تکثیر خود و آلوده‌‌‌سازی برنامه‌‌‌های دیگر می‌‌‌کند. پس از اینکه ویروس به اندازه‌‌‌ی لازم تکثیر شد، شروع به اجرای اعمال خرابکارانه‌‌‌ای می کند که در کد آن منظور شده است.
کرم
یک کرم برنامه‌‌‌ی مستقلی است که معمولاً خود را با کپی کردن از یک رایانه به رایانه‌‌‌ی دیگر بر روی یک شبکه تکثیر می‌‌‌کند. بر خلاف ویروس که خود را به یک برنامه‌‌‌ی میزبان وصل می‌‌‌کند، کرم رایانه‌‌‌ای استقلال خود را حفظ ‌‌‌کرده و برنامه‌‌‌های دیگر را تغییر نمی‌‌‌دهد. کرم نیز مانند ویروس می‌‌‌تواند شامل دستورات بدخواهانه‌‌‌ای باشد که باعث زیان و رنجش کاربران شود. علاوه بر این کرم‌‌‌ها معمولاً برای تولید، گسترش و نگهداری خود, از منابع شبکه استفاده بسیار زیادی می کنند و باعث ناراحتی کاربران شبکه می‌‌‌شوند.
لازم به ذکر است که اصطلاح "کرم" به عنوان یک نفوذگر رایانه‌‌‌ای ظاهراً در رمان علمی-تخیلی John Bruner با نام Shockwave Rider در سال 1975 خلق شده است. در این رمان، برنامه‌‌‌هایی با نام "tapeworms" یا کرمهای نواری درون رایانه‌‌‌ها زندگی کرده و از رایانه‌‌‌ای به رایانه‌‌‌ی دیگر گسترش پیدا می‌‌‌کنند و تا زمانی که شبکه وجود دارد به حیات خود ادامه می‌‌‌دهند.
تروجان
یک اسب تروا یا تروجان تکه برنامه‌‌‌ای است که درون برنامه‌‌‌‌‌‌ی دیگری مخفی شده و عملیاتی را تحت پوشش برنامه‌‌‌ی مذکور انجام می‌‌‌دهد. در اسطوره های قدیمی، اسب تروا یک اسب توخالی ساخته شده از چوب است که توسط ادیسیوس، سردار سپاه یونان در جنگ با امپراطوری تروا مورد استفاده قرار گرفت. سربازان یونانی در این اسب مخفی شدند و زمانی که سربازان تروا آن را به داخل شهر آوردند، از آن خارج شده و دروازه‌‌‌های شهر را برای سربازان یونانی باز کردند و به این ترتیب در جنگ پیروز شدند.
در دنیای رایانه، تروجان به برنامه‌‌‌ای اطلاق می‌‌‌شود که با پنهان شدن در برنامه‌‌‌ی به ظاهر مفید دیگری، به اهداف خود دست می‌‌‌یابد. در واقع تروجان‌‌‌ها همراه با انجام عملیات ظاهری، به اجرای کدهای تأیید نشده نیز می‌‌‌پردازند. شگرد تروجان‌‌‌ها فریب کاربران از طریق تشویق آنها به اجرای برنامه های جذاب است.

انواع کدهای خرابکار

به انواع کدهای خرابکار و یا ترکیب آنها، به صورت خلاصه بدافزار نیز گفته می‌‌‌شود. در زیر یک طبقه‌‌‌بندی از بدافزارها آورده شده است:

• انکار سرویس (Denial of service attack(DoS) )
  این حمله، تعداد زیادی درخواست بر روی منابع سیستم رایانه قربانی می‌‌‌فرستد مانند فراخوانی‌‌‌های مکرر سیستم عامل یا باز کردن پنجره‌‌‌های متعدد به طوری که رایانه مورد هجوم عملاً از کار می‌‌‌افتد.
• انکار سرویس توزیع شده (Distributed DoS attack)
  یک نوع حمله‌‌‌ DoS است که از طریق تعداد زیادی رایانه انجام می‌‌‌شود. معمولاً از زامبی‌‌‌ها (در ادامه توضیح داده شده است) برای این نوع حمله استفاده می‌‌‌شود.
• سوء استفاده (Exploit)
  این بدافزارها از آسیب‌‌‌پذیری‌‌‌های شناخته شده یا کشف نشده بهره برداری می‌‌‌کنند. این آسیب پذیری‌‌‌ها معمولاً از ضعفها یا مشکلات امنیتی در نرم‌‌‌افزار برنامه های کاربردی و یا سیستم عامل ناشی می-شوند.
• Rootkit
  یک برنامه کوچک است که یک حساب کاربری جدید را بر روی سیستم قربانی ایجاد کرده و یا یک حساب کاربری موجود را سرقت می‌‌‌کند. سپس حق دسترسی آن را در بالاترین حد قرار می‌‌‌دهد، برای مثال در یونیکس root و در ویندوز administrator، به طوری که مهاجم بتواند تمایلات خود را بدون هیچ منعی به انجام برساند.
• اسکریپت Script
  یک نوع فایل است که حاوی دستورات مهاجم می‌‌‌باشد.
• شنود Sniffer
  حمله ای است که معمولاً توسط یک اسب تروا انجام می شود و در آن تبادل اطلاعات رایانه و ضکلیدهای فشرده شده بر روی کیبورد زیر نظر گرفته می شود.
• زامبی Zombie
  به رایانه ای که مهاجمان آن در اختیار گرفته اند تا از آن به نفع مقاصد خود استفاده کنند زامبی گفته می شود. زامبی ها منتظر دستورات از طرف مهاجمان می مانند.

 

ویروس قسمت اول - سرگذشت ویروس

ریشه‌ی مفهوم ویروس رایانه‌ای به سال 1949 بر می‌گردد، زمانی که فون نیومن پیشگام علوم رایانه‌ی جدید، مقاله‌ای تحت عنوان مبانی نظری و ساختار ماشینهای خودکار پیچیده را ارائه داد که در آن ادعا کرده بود یک برنامه‌ی کامپیوتری می‌تواند به بازتولید خود بپردازد.
کارمندان آزمایشگاههای بل در سال 1950 با تولید یک بازی به نام “Core Wars” به این تئوری جان بخشیدند. در این بازی، دو برنامه‌نویس باید برنامه‌های خود را آزاد می‌گذاشتند تا برای به دست گرفتن کنترل رایانه با هم به رقابت بپردازند. تکه کدهای این برنامه که توسط چند دانشمند نابغه نوشته شده بود، راه را برای متولد شدن و رشد ویروس ها روشن کرد.
عنوان "ویروس" اولین بار در داستانهای David Gerrold مورد استفاده قرار گرفت.

سرریز بافر و مشکلات ناشی از آن

بافر معمولا به بخشی از حافظه کامپیوتر گفته می شود که موقتا برای ذخیره داده های یک برنامه مورد استفاده قرار می گیرد. معمولا داده ها پس از ورود از دستگاه ورودی و قبل از ارسال به دستگاه خروجی داخل بافر قرار می گیرند. CPU در داخل بافر تغییرات لازم را روی داده ها اعمال کرده و آنها را به دستگاه مقصد هدایت می کند. سرریز بافر همواره به عنوان یک مشکل در سیستمها و برنامه های نرم افزاری مطرح بوده است. یکی از اولین نفوذهای کامپیوتری که با استفاده از سرریز بافر انجام شد کرم Morris بود که در نوامبر سال 1988 منتشر شد. این کرم با استفاده از یک سرریز بافر در سرویس finger که سرویسی برای توزیع اطلاعات میان کاربران متصل به یک سیستم یونیکس است کار خود را انجام می داد. امروزه نیز سرریز بافر یکی از عوامل مطرح در نفوذها می باشد.
اما سرریز بافر چیست و اگر مساله سرریز بافر به خوبی فهمیده شده و راه حلهای آن مشخص است، چرا هنوز به عنوان یکی از اصلی ترین منشاءهای آسیب پذیریها به شمار می رود؟ و در نهایت کاربران برای جلوگیری از سوء استفاده افراد مهاجم از سرریز بافر چه کاری می توانند انجام دهند؟ اینها سوالاتی است که سعی می کنیم در این مقاله به آن پاسخ دهیم.

حملات انکار سرویس، روشهای پیشگیری و پاسخگویی

مقدمه

حملات انکار سرویس یا DoS(Denial of Service) به حملاتی می گویند که هدف اصلی آنها ممانعت از دسترسی قربانیان به منابع کامپیوتری، شبکه ای و یا اطلاعات است. در اینگونه حملات معمولاً از دسترسی قربانیان به اطلاعاتی که برای مقابله با اینگونه حملات مفید است، نیز جلوگیری می شود. در این نوع حملات، مهاجمان با ایجاد ترافیک بی مورد و بی استفاده، حجم زیادی از منابع سرویس دهنده و پهنای باند شبکه را مصرف یا به نوعی درگیر رسیدگی به این تقاضاهای بی مورد می کنند و این تقاضاها تا جایی که دستگاه سرویس دهنده را از کار بیندازد، ادامه پیدا می کند. یک حمله "انکار سرویس" را از طریق تلاش آشکار حمله کننده برای جلوگیری از استفاده کاربران قانونی یک سرویس از آن سرویس، شناسایی می کنند. از جمله این تلاشها می توان به موارد زیر اشاره کرد:

• انواع طغیانهای شبکه شامل طغیانهای TCP، UDP و ICMP که ترافیک قانونی سایت را مختل می کنند.
• تلاش در جهت قطع ارتباط دو ماشین و در نتیجه عدم امکان استفاده از سرویس آنها.
• تلاش در جهت ممانعت از دسترسی فردی خاص به یک سرویس.
• تلاش برای خرابکاری در ارائه سرویس به سیستم یا شخص خاصی.

چگونه با حملات انکار سرویس توزیع شده (DDoS) مقابله کنیم؟

1- حملات انکار سرویس توزیع شده چه هستند؟

آیا تا کنون پیش آمده است که بخواهید یک تماس تلفنی برقرار نمایید ولی به دلیل مشغول بودن تمام مسیرهای ارتباطی نتوانید این کار را انجام دهید؟ گاهی چنین اتفاقی در برخی تعطیلات و روزهای خاص مانند نوروز رخ می دهد. دلیل این مشکل آن است که سیستم تلفن طوری طراحی شده است که می تواند تعداد محدودی تماس را در یک زمان واحد برقرار کند. این حد بر اساس تخمین تعداد تماسهای همزمان و حجم ترافیکی که سیستم دریافت می کند تعیین می شود. اگر تعداد تماسها همیشه زیاد باشد، از نظر اقتصادی برای شرکت مخابرات مقرون به صرفه است که ظرفیت بیشتری را برای سرویس دادن به این تماسها ایجاد نماید. ولی اگر تعداد تماسها در روزهای عادی کم و فقط در برخی روزهای خاص زیاد باشد، شرکت مخابرات شبکه ای ایجاد می کند که ظرفیت کمتری داشته باشد و از کاربران می خواهد که از برقراری تماس در ساعات اوج ترافیک تلفنی خودداری نمایند. حال تصور کنید که یک فرد نفوذگر بخواهد به سیستم تلفن حمله کرده و آن را برای مشترکان تلفن غیر قابل استفاده نماید. یکی از روشهای حمله آن است که تماسهای مکرر و پشت سر هم برقرار کرده و تمامی خطوط تلفن را اشغال کند. این نوع از حمله به حمله انکار سرویس یا DoS مشهور است که قبلا در مقاله ای راجع به آن توضیح داده ایم. در حقیقت فرد مهاجم کاری کرده است که سیستم تلفن مجبور شود تماسهای تلفنی مشترکان را رد و انکار نماید. البته واقعیت این است که احتمال اینکه یک فرد به تنهایی بتواند تمامی مسیرهای تلفن را مشغول کند بسیار کم است. برای انجام این کار باید تعداد بسیار زیادی تماس از تعداد بسیار زیادی تلفن برقرار گردد. به این کار حمله انکار سرویس توزیع شده یا DDoS گفته می شود. سیستمهای کامپیوتری نیز ممکن است دچار حملات DoS یا DDoS گردند. برای مثال، ارسال حجم زیادی پست الکترونیکی برای یک نفر می تواند حافظه کامپیوتری را که پست الکترونیک در آن قرار دارد پر کند. این بدان معناست که افرادی که از آن کامپیوتر استفاده می کنند قادر نخواهند بود هیچ ایمیل جدیدی دریافت کنند مگر اینکه شرایط به نوعی تغییر نماید. این یکی از انواع قدیمی حملات DoS است. علاوه بر این، افراد نفوذگر تلاش خود را بر روی حملات انکار سرویس روی شبکه های کامپیوتری معطوف کرده اند. از جمله این شبکه ها می توان به World Wide Web، سرویسهای اشتراک فایلها و سرویسهای نام دامنه((DNS اشاره کرد. از آنجایی که تعداد بسیار زیادی کامپیوتر از طریق اینترنت به یکدیگر متصلند، حمله به یکی از این سرویسها می تواند تاثیر زیادی روی کل جامعه اینترنتی داشته باشد. برای مثال با ایجاد یک حمله DoS روی یک شبکه فروش مشهور در زمان اوج فروش آن، نه تنها فروشنده تحت تاثیر قرار می گیرد، بلکه تمامی کسانی که نمی توانند مایحتاج خود را خریداری نمایند نیز تحت تاثیر قرار می گیرند. افراد نفوذگر برای انکار سرویسهای مورد نیاز کاربران یک سرویس کامپیوتری، برنامه های کامپیوتری خاصی را اجرا می کنند که درخواستهای اینترنتی بسیار زیادی را به کامپیوتری که آن سرویسها را ارائه می دهد ارسال می کند. این کار دقیقا شبیه همان کاری است که در مورد سیستم تلفن اتفاق می افتد. زمانی که یک کامپیوتر به چنین درخواستی پاسخ می دهد، در اغلب موارد کسی در طرف دیگر تماس قرار ندارد و در نتیجه پاسخ دادن به این درخواست فقط تلف شدن زمان است. متاسفانه در این موارد سرویسی که مورد حمله قرار می گیرد نمی تواند تفاوتی بین یک تماس واقعی و چنین تماسی قائل شود و در نتیجه مجبور است به تمامی درخواستها پاسخ دهد. علاوه بر این ممکن است حجم ترافیک چنان بالا باشد که شبکه های متصل کننده کامپیوترهای مهاجمان به کامپیوترهای قربانی نیز با مشکل کمبود ظرفیت مواجه شوند. درست مانند سیستم تلفن و کامپیوترهای سرویس دهنده، این شبکه ها نیز نمی توانند بیش از حد مشخصی ترافیک را تحمل کنند. در نتیجه درخواست کاربرانی که سرویسهایی از کامپیوترهای آن شبکه ها بخواهند، نیز رد خواهد شد و این شبکه ها نیز قربانی این حملات DDoS محسوب می شوند.

با ایمیلهای جعلی چه کنیم؟

این مقاله مروری کلی بر مقوله جعل هویت در ایمیل و مشکلات ناشی از آن انجام می دهد. در این مقاله سعی شده است که اطلاعاتی در اختیار شما گذاشته شود تا با کمک آن در چنین شرایطی عکس العمل مناسبی نشان دهید.

1- مقدمه

جعل هویت در ایمیل ممکن است به اشکال مختلفی اتفاق بیفتد اما نتیجه یکسانی حاصل می شود: کاربر ایمیلی دریافت می کند که ظاهرا از طرف یک نفر فرستاده شده، در حالیکه در حقیقت شخص دیگری آن را ارسال کرده است. این کار معمولا با هدف تحریک کاربر برای افشای اطلاعات مهم و حساس انجام می شود. مثالهایی از ایمیلهای جعلی که ممکن است روی امنیت سایت شما تاثیر بگذارد عبارتند از:

• ایمیلهایی که ادعا می کنند از سوی مدیر سیستم هستند و از کاربر می خواهند که کلمه عبور خود را به کلمه خاصی تغییر دهند و تهدید می کنند که اگر این کار انجام نشود حساب کاربری او مسدود خواهد شد.
• ایمیلهایی که ادعا می کنند از طرف فرد موثق و مهمی هستند و از کاربر می خواهند که یک کپی از کلمه عبور یا اطلاعات مهم دیگر خود را برای وی ارسال کند.

راههای مقابله با هرزنامه و بمباران ایمیلی

مقدمه

بدون شک شما نیز تاکنون تعداد زیادی از ایمیل‌های ناخواسته را دریافت کرده‌اید. بعضی از این ایمیلها ادعا می ‌کنند که شما را به سرعت ثروتمند می‌ کنند. برخی قول محصولات یا خدمات جدید را می ‌دهند. بعضی نیز فضایی از صندوق پستی شما را اشغال می‌ کنند و از شما می‌ خواهند که ایمیل را به سایرین نیز ارسال کنید یا وب ‌سایت مشخصی را ببینید. در جامعه اینترنتی ایمیلهای بعضاً تجاری ناخواسته، “هرزنامه” نامیده می‌شوند. هرزنامه ها اثری بیش از مزاحمت برای استفاده‌کنندگان اینترنت دارند و بطور جدی بازدهی شبکه و سرویس‌دهندگان ایمیل را تحت تاثیر قرار می‌دهد. زیرا فرستندگان هرزنامه از هزینه بسیار پایین ایمیل استفاده می‌کنند و صدهاهزار یا حتی میلیون‌ها ایمیل را در یک زمان ارسال می‌کنند. ایمیلهای مذکور معمولاً دارای داده های بی معنی با حجم زیاد بوده و به منظور مصرف منابع سیستم و شبکه ارسال می شوند. اینگونه حملات به بمباران ایمیلی شهرت داشته و پهنای باند زیادی را اشغال می کنند. بمباران ایمیلی احتمال انکار سرویس سرور هدف را به شدت افزایش می دهد. حمله‌های هرزنامه ای نیز یک نوع از حمله های بمباران ایمیلی بوده و پهنای باند زیادی را می‌گیرند، صندوق‌های پستی را پر می‌کند و زمان خوانندگان ایمیل را تلف می‌کند. گاهی اوقات می‌توان هرزنامه ‌ها را از عناوین عجیب، غیرمنطقی و مضحکشان تشخیص داد. حملات هرزنامه ای در صورت پاسخ دادن به هرزنامه ها بدتر و شدیدتر می شوند زیرا تمام آدرسهای مبدأ، پاسخ را دریافت خواهند کرد. گاهی اوقات حملات هرزنامه ای غیر تعمدی و در اثر ارسال یک پیغام به لیستهای ایمیل و بدون اطلاع از ارسال پیغام برای هزاران کاربر، رخ می دهند. برخی از آنها هم بر اثر تنظیمات اشتباه در پاسخگویی اتوماتیک به ایمیلها رخ می دهند. حملات بمباران ایمیلی/هرزنامه نویسی می تواند با حملات جعل هویت در ایمیل ترکیب شده و تشخیص فرستنده واقعی ایمیل را بسیار سخت کند. برای اطلاعات بیشتر در مورد حملات جعل هویت در ایمیل به مقاله زیر مراجعه کنید: با ایمیلهای جعلی چه کنیم؟