شياطين تكنولوژيك

[Achilles]

شياطين تكنولوژيك - تهديدهاي امنيتي‌اي كه از آن بي‌خبريم - ‌قسمت اول‌
مترجم: ميلاد اميريان‌فر - ماهنامه شبکه

اشاره :
شايد شما هم جزء كابراني باشيد كه همواره با آخرين Patchهاي ارائه شده، سيستم خود را بروز مي‌كنيد و به‌طور منظم از ضدويروس‌ها و ضدجاسوس‌افزارهاي بروز شده براي اسكن محتويات پي‌سي خود استفاده مي‌نماييد، اما باز هم يكي از نرم‌افزارهاي مخرب مثل تروجان‌ها به پي‌سي‌ شما حمله مي‌كند و به آن صدمه مي‌زند: نرم‌افزارهايي كه به قدري پيشرفته طراحي شده‌اند كه ضدويروس و ساير نرم‌افزارهاي حمايتي، توانايي شناخت آن‌ها را ندارند. در مقابله با اين روند راه‌هاي بسيار متنوعي وجود دارند كه مي‌توان از آن‌ها براي كاهش خطرات ناشي از حمله نرم‌افزارهاي مخرب به پي‌سي استفاده كرد. در اولين گام براي رسيدن به اين هدف، خوب است بدانيم كه ممكن است هدف چه نوع حملاتي قرار بگيريم. در اين مقاله ده مشكل امنيتي جدي را به تفصيل بررسي خواهيم كرد كه آگاهي از آن‌ها مي‌تواند نقش عمده‌اي در افزايش سطح امنيت پي‌سي‌ شما داشته باشد.



لشگر زامبي‌ها براي حمله آماده مي‌شود
سطح خطر: بالا
احتمال خطر: بالا‌
مقصد: كاربران ويندوز
به خاطر فناوري بالايي كه Botnetها از آن براي اسير كردن پي‌‌سي‌ها استفاده مي‌كردند، تا همين اواخر آن‌ها جزء نوعي از نرم‌افزارهاي مخرب محسوب مي‌شدند كه به كارگيري آن‌ها نيازمند دانش بالا و ابزارهاي سخت‌افزاري خاص بود و بدين‌ترتيب استفاده از Botnet كار هر هكري نبود.

اما امروزه با به وجود آمدن امكاناتي كه فضاي سايبر در وجود آمدن آن‌ها نقش مؤثري داشته است، توليد و به كارگيري Botnetها به قدري آسان شده است كه هر فردي مي‌تواند با استفاده از ابزارهاي مخصوص، Botnet مورد نظر خود را به نحو دلخواه طراحي كند و از آن استفاده نمايد. شايد وجود اين امكان را مديون برنامه‌نويس‌هاي غيرمسئولي هستيم كه امروزه ابزارهايي را مي‌فروشند كه با داشتن مختصر اطلاعاتي مي‌توان از راه‌هاي بسيار گوناگوني به ساير پي‌سي‌ها حمله كرد.

اگر بخواهيم بيشتر به اين امر بپردازيم، بايد بگوييم بسته‌هايي توسط اين برنامه‌نويسان توليد مي‌شود كه به خريدار اجازه مي‌دهد از تمام پتانسيل يك Botnet براي رسيدن به اهداف خرابكارانه خود استفاده كند. اين بسته‌ها كه در حدود 20 دلا‌ر تا 30 هزار دلار قيمت دارند (بسته به نوع امكاناتي كه در اختيار كاربر قرار مي‌دهند) به كاربر اجازه مي‌دهند يك Botnet با تمام امكانات لازم و دقيقاً مطابق ميل خود را طراحي كند. به عبارت ديگر، مي‌توان گفت بازه توليد نرم‌افزارهاي مخرب توسط اين بسته‌ها مي‌تواند از توليد يك كرم ساده تا يك برنامه فوق‌العاده پيشرفته خرابكارانه را شامل شود؛ برنامه‌هايي كه توليد آن‌ها به هيچ عنوان نيازمند دانستن اطلاعات زيادي در مورد هك و مسائل مرتبط با آن نيست.

Eric Sites يكي از محققان شركت نرم‌افزاري Sunbelt (فعال در زمينه ساخت نرم‌افزارهاي ضدويروس)، مي‌گويد: انواع بسيار زيادي از اين كيت‌ها وجود دارند (پنجاه، شصت و حتي صد نوع مختلف) كه هر يك ويژگي خاصي به كاربر ارائه مي‌كنند.

سيستم‌هاي هوشمند كنترل Botnet تحت وب‌
اوضاع از اين هم وخيم‌تر مي‌شود. هنگامي‌كه اولين Bot ساخته مي‌شود و به مقصد پي‌سي‌هايي كه كاربر بي‌توجه يا بي‌اطلاع دارند ارسال مي‌شود، از آن به بعد هكرها قدرت مانور زيادي روي پي‌سي اسير شده دارند و مي‌توانند با استفاده از امكانات پيشرفته‌اي كه از طريق Botnet توليدشده توسط اين بسته‌ها در اختيارشان قرار مي‌گيرد، و كارهاي بسيار زيادي در پي‌سي اسير انجام دهند.

تيم آقاي Sites در شركت Sunbelt با همراهي تيم Rapid Response در آزمايشگاه‌هاي امنيتي iDefense، يك سيستم كنترل Botnet تحت‌وب را به تازگي كشف كرده‌اند كه آن‌‌را Metaphisher مي‌نامند. به جاي دستورات متني خسته‌كننده، كنترل‌كننده‌هاي Botnetها مي‌توانند از برنامه‌هايي با اينترفيس گرافيكي بسيار زيبا و مناسب، و در عين حال كامل از هر لحاظ براي رسيدن به مقصود خود استفاده كنند، تا جايي‌ كه هر هكر با يك اشاره مي‌تواند پي‌سي مورد نظر خود را هك كند. با توجه به نتايج به دست آمده از تحقيقات iDefense، تاكنون بيش از يك ميليون پي‌سي در سرتاسر جهان از اين طريق آلوده شده‌اند.

بايد به اين نكته نيز اشاره كرد كه حتي ارتباطات موجود بين bot و هكر از سامانه رمزنگاري شده پيشرفته‌اي استفاده مي‌كند كه به مدد آن هكر مي‌تواند اطلاعات حساسي چون موقعيت جغرافيايي پي‌سي، Patch هاي امنيتي نصب شده در ويندوز و بررسي وجود ساير مرورگرهاي اينترنتي مثل فايرفاكس و اُپرا در پي‌سي اسير را به دست آورند و براي هكر ارسال كنند. انجام چنين كارهايي و حتي كارهايي به مراتب پيشرفته‌تر از اين، به راحتي توسط اين بسته‌ها قابل انجام است و مسلماً اين مسئله در مورد پي‌سي‌هايي كه در ادارات مورد استفاده قرار مي‌گيرند و به قوانيني كه به تازگي با توجه به تحقيقات گسترده روي چنين مسائلي وضع شده است توجه نمي‌كنند، بسيار بيشتر نمود پيدا كرده است.

به عنوان مثال، Jeason James Ancheta، جوان 21 ساله‌ اهل كاليفرنياي جنوبي در همين اواخر و بعد از آن‌كه مشخص شد در حمله به سرورهاي Computer Fraud و Abuse Act نقش فعالي داشته است، به 57 ماه زندان محكوم شد؛ وي اين اقدام جنايي را با ساخت يك Botnet و به همراه بيش از چهارصد هزار پي‌سي اسير (كه توسط همين Botnet به اسارت درآمده بودند) تدارك ديده بود. سه متهم ديگر نيز در پاييز گذشته در هلند دستگير شدند كه زامبي ساخته شده توسط آن‌ها بيش از 5/1 ميليون پي‌سي را آلوده كرده بود.

Joe Stewart، شاغل در مؤسسه تحقيقات امنيت Lurhg واقع در كاروليناي جنوبي، مي‌گويد: خيلي شگفت آور است كه هنگامي كه يك Botnet به مردم وعده يك درآمد هنگفت را مي‌دهد، آن‌ها به راحتي فريب مي‌خورند.
اما نحوه فعاليت آن‌ها چگونه است؟ آرايش سريع لشگر Botها با استفاده از ابزارهاي ساده! شيوه كار به ترتيب زير است (شكل 1):





- هكر ابتدا متناسب با نياز خود بسته مورد نظرش را با بهايي اندك مي‌خرد.

2- هكر بدون نياز به داشتن تجربه‌اي در مورد برنامه‌نويسي، از بسته خريداري شده براي ساخت يك Bot جديد كه معمولاً براي هيچ ضدويروسي قابل شناسايي نيست، استفاده مي‌كند.

3- هكر Bot ساخته شده را خود به ايميل ضميمه مي‌كند و به سرتاسر دنيا ارسال مي‌كند، يا از طريق سايت‌هاي مخصوص اقدام به اشاعه آن مي‌كند.

4 - پي‌سي شما در اين فرآيند به راحتي آلوده مي‌شود.

با اين حساب چگونه بايد از خود حفاظت كنيم؟ نكات زير را جدي بگيريد:

1- از مرور سايت‌هاي ناشناخته جداً پرهيز كنيد و روي لينك‌هاي ناخواسته درون ايميل‌ها نيز كليك نكنيد.

2- همواره به ضمايم ايميل‌ها مظنون باشيد؛ حتي اگر به نظر برسد كه پيام رسيده از طرف فردي ارسال شده باشد كه شما آن‌را مي‌شناسيد.

3- همواره از يك مرورگر ثانويه چون فايرفاكس يا اُپرا استفاده كنيد؛ چراكه بسياري از هكرها علاقمندند IE را هك كنند.

اطلاعات به سرقت رفته شما، رايگان در وب
سطح خطر: بالا
احتمال خطر: متوسط
مقصد: كاربران ويندوز
شايد همين مسئله كه يك هكر با استفاده از keyLoggerها بتواند به راحتي اطلاعات حساس شما نظير شناسه كاربري و كلمه عبور حساب بانكيتان را بدزدد، به قدر كافي رنج آورده باشد، اما مسئله هنگامي بد و بدتر مي‌شود كه هكرها بتوانند با استفاده از يك سايت FTP حفاظت نشده آن‌ها را به تمام افرادي كه به نحوي به سايت مراجعه مي‌كنند ارائه دهند.

متأسفانه اين دقيقاً مسئله‌اي است كه محققان در سال‌هاي اخير آن‌را مشاهده مي‌كنند. Alex Eckelberry، از محققان بخش جاسوس‌افزار شركت Sunbelt، كه روي يك Keylogger مشغول كار است، به تازگي يك سرور FTPيافته است كه در آن حتي اطلاعات حساسي كه چندان هم كاربرد ندارند، منتشر شده است. اين سرور كه در واشنگتن استقرار دارد، در ماه آوريل در حدود يك گيگابايت اطلاعات دزدي مربوط به حساب‌هاي اعتباري افراد را در خود جاي داده و منتشر كرده است.

Keyloggerها نه تنها هر چيزي كه در صفحه كليد تايپ ‌مي‌كنيد را ذخيره مي‌كنند، بلكه حتي مي‌توانند تصاويري از آنچه كه روي صفحه نمايش شما ديده مي‌شود را نيز ذخيره كنند. حتي آن‌ها مي‌توانند از محدوده‌هاي Windows Protected Storage (محدوده‌اي كه Internet Explorer در آن كلمات عبور را ذخيره مي‌كند) اطلاعات را به سرقت ببرند.

به ‌طور مثال يك فايل log در يك سرور FTP مي‌تواند تمامي كلمات عبور دزديده شده براي حساب‌هاي بانكي ايالات متحده، Buy.com ،Yahoo ،Hotmail و ساير سرويس‌دهندگان ايميل را به اضافه جزئيات مربوط به حساب‌ها را در خود نگهداري كند. در واقع اين مسئله يك خطر بين‌المللي محسوب مي‌شود؛ چراكه در ركوردهاي فايل log علاوه بر آن‌كه اطلاعات به زبان‌هاي مختلف وجود دارد، IP آدرس‌ها نيز وجود دارند كه به راحتي به واسطه آن مي‌توان پي‌سي هك شده را در هر جاي دنيا پيدا كرد.

Tim Brown، مالك Kingdom Sewing&Vacuum در كاليفرنيا چندي پيش با شركت Sunbelt تماس گرفته بود و از اين شركت تقاضاي كمك كرده بود. او گفت: هنگامي كه از يكي از پي‌سي‌هاي هتلي در كاستاريكا مشغول چك‌كردن حساب بانكي خود بوده است، كلمه عبور و حساب كاربري آن توسط يك Keylogger ربوده شده است. اما بايد گفت كه پي‌سي‌هاي خانگي نيز امنيت چنداني ندارند. چون بسياري از كاربران از نرم‌افزارهاي ضدويروس يا ضدجاسوس‌افزار براي حفاظت از پي‌سي خود استفاده نمي‌كنند. البته Brown بسيار خوش‌شانس بود. چون پيش از آن‌كه از اطلاعات دزديده شده وي سواستفاده شود، فهميد و به سرعت آن‌‌ها را عوض كرد تا از خود حفاظت كرده باشد.

البته بايد گفت كه هزاران كاربر ديگر كه قرباني چنين سرقت‌هايي مي‌شوند، اين‌گونه خوش شانسي نخواهند آورد. امروزه حجم اطلاعات سرقت شده به حدي است كه Sunbelt بستن قرارداد با اشخاص را متوقف نموده است و با دادن گزارش به پليس كار را به آن‌ها محول كرده است. Eric Sites مي‌گويد: با توجه به حجم بالاي اطلاعات موجود به نظر نمي‌رسد جنبش جديدي در شكل‌گيري keyloggerها در حال وقوع باشد.

با توجه به نتايج به دست آمده از Anti-Phishing Working Group، با وجود آن‌كه در آوريل گذشته 180 نوع از اين برنامه‌ها كشف شده است كه نسبت به آمار 77 تايي آوريل گذشته رشد چشمگيري را نشان مي‌هد، ولي از سه ماه پيش اين آمار به كندي رو به كاهش گذاشته است.

Sites اين‌گونه نتيجه مي‌گيرد كه امروزه بيشتر تمركز نرم‌افزارهاي مخرب تجاري بر پردازش اطلاعات دزديده شده است تا بتوانند براساس آن بهره‌وري مناسبي از اين اطلاعات دريافت كنند. او مي‌گويد هم اكنون جمع‌آوري، مرتب كردن، دستكاري و ارجاع اطلاعات به بانك‌هاي اطلاعاتي SQL اهميت بيشتري پيدا كرده است؛ چرا كه بعد از آن هكرها مي‌توانند آنچه را كه در بين حجم عظيم اطلاعات مي‌خواهند راحت‌تر به دست آورند.

به هر حال براي حفاظت از اطلا‌عات خود نكات زير را در نظر داشته باشيد:

1- از فايروال مناسبي استفاده كنيد تا بتواند برنامه‌هاي ناشناخته‌اي كه سعي دارند از طريق اتصال به خط تلفن اقدام به جا‌به‌جايي اطلاعات دور از چشم كاربر نمايند را شناسايي و غيرفعال كند. مثلاً فايروال رايگان Zone Alarm مي‌تواند اين‌كار را برعهده گيرد، اما فايروال ويندوز نمي‌تواند از عهده آن برآيد.

2- استفاده از كلمات عبور گوناگون؛ هيچ‌گاه براي حساب‌هاي متعدد خود از يك كلمه عبور مشابه استفاده نكنيد.

حقه‌هاي سايت‌هاي سيادي‌
سطح خطر: بالا
احتمال خطر: بالا
مقصد: تمامي كاربران اينترنت
فيشينگ (سيادي) يكي از پرسودترين فريب‌كاري‌هايي است كه مي‌توان در اينترنت انجام داد و استفاده از آن نيز به سرعت درحال رشد است. در ماه آ‌وريل 2006 تعداد سايت‌هاي جديدي كه از اين روش براي فريب‌دادن كاربران استفاده مي‌كردند، ركورد جديدي برجاي گذاشت؛ يعني 11121 سايت. اين در حالي است كه در آوريل 2005 اين مقدار تنها 2854 مورد گزارش شده‌بود.

برخي سايت‌هاي فيشينگ به حدي حرفه‌اي طراحي شده‌اند كه حتي مي‌توانند به راحتي كاربران حرفه‌اي را نيز فريب دهند، بر اساس تحقيقات صورت گرفته در پروژه Why Phishing Works كه دانشمندان US Berkely و Harvardدر آن روي چگونگي فريب خوردن كاربران تحقيق مي‌كنند، مشخص شد كه در بسياري مواقع كاربران حرفه‌اي نيز كه حتي به جعلي بودن وب‌سايت‌ها پي مي‌برند، با سناريويي بسيار جالب روبه‌رو مي‌شوند كه معمولاً در كنكاش براي كشف آن سيد مي‌شوند. از سوي ديگر كاربران غيرحرفه‌اي معمولاً فرق بين سايت اصلي و جعلي را درك نمي‌كنند و به راحتي سيد مي‌شوند. در اين مطالعه مشخص شد كه سايت‌هاي خوب فيشينگ مي‌توانند بيش از نود درصد كاربران خود را فريب دهند.

مرورگر تحت نظر رادار
مي‌توان گفت كه تمام فعاليت‌هاي فيشرها روي اين مسئله تمركز دارد كه چگونه بايد كاربر را به سايت‌هاي جعلي خود هدايت كنند و اطلاعات لازم را از آن دريافت كنند. ممكن است شما به قدري حرفه‌اي باشيد كه حتي به ايميل رسمي‌ بانك خودتان كه از شما درخواست مي‌كنند اطلاعات مربوط به حساب‌هايتان را مجدداً وارد كنيد نيز جواب ندهيد. اما امروزه سيادان از روش‌هاي جديدي استفاده مي‌كنند كه كاربر در پاسخ دادن به چنين ايميل‌هايي يا در كل دادن اطلاعات مورد نياز به آن‌ها اجبار بيشتري داشته باشد.

به‌طور مثال به تازگي يك نرم‌افزار مخرب كشف شده است كه به آن Smart redirection نيز مي‌گويند. اين برنامه هنگامي كه شما به سايت اصلي بانك خود رفته‌ايد و كلمه عبور و شناسه كاربري حسابتان را وارد مي‌كنيد، به‌طور مخفي و دور از چشمان شما، آن‌ها را به سازنده يا سرور اصلي خود ارسال مي‌كند؛ به همين راحتي!

حتي برخي ديگر از نرم‌افزارهاي مخرب اين قابليت را دارند كه با در اختيار داشتن نسخه جعلي صدها سايت بانكي و ساكن شدن در مرورگر پي‌سي شما، هنگامي كه بخواهيد به سايت بانكي خود دسترسي داشته باشيد، به راحتي شما را به سايت جعلي هدايت كنند.

تا هنگامي كه اين روش براي سيادان درآمدزا باشد، بايد انتظار به وجود آمدن روش‌هاي جديدي را براي فريب دادن كاربران داشته باشيم تا پول‌هاي بيشتري نصيب آن‌ها شود. Michael Rothschild، فعال در زمينه ساخت سخت‌افزارهاي امنيتي در شركت Counter Storm، مي‌گويد: اطلاعات دزديده شده مربوط به حساب‌هايي كه اعتبار خوبي دارند هفتاد دلار به ازاي هر كارت فروخته مي‌شوند. سيادان حتي اطلاعات مربوط به يك حساب را دو بار مي‌فروشند!




حيله‌هاي ماهرانه براي فريب هوشياران‌
حتي اگر آدم محتاطي باشيد، با خواندن شيوه كار سيادان در خواهيد يافت كه بايد بيش از اين‌ها مراقب بود؛

1- ابتدا كاربر آگاه و دقيق، به صورت دستيURL بانك خود را در نوار آدرس مرورگر خود وارد مي‌كند.

2- نرم‌افزار مخرب روي پي‌سي كاربر، وي را مستقيماً به سايت جعلي و ساختگي سياد مي‌فرستد.

3- با قرار دادن متون و تصاوير از سايت اصلي بانك به صورت بي‌درنگ، سايت جعلي كاملاً مشابه سايت اصلي مي‌شود. تا جايي‌كه كاربر جعلي بودن آن را تشخيص نمي‌دهد.

4- تمام اين كارها باعث مي‌شود كاربر هر چند هم با دقت باشد، اطلاعات مربوط به حساب خود را در سايت جعلي وارد كند.

نكاتي كه در ادامه آمده‌اند به شما كمك مي‌كنند دچار اين حملا‌ت نشويد:

1- به ايميل‌هايي كه از شركت‌هاي ناآشنا ارسال مي‌شوند و به نظر مي‌رسد قابل اعتماد نباشند، اعتنا نكنيد.

2- URL بانك را خودتان تايپ كنيد يا از Bookmark استفاده كنيد. روي لينك‌هاي درون ايميل‌ها كليك نكنيد.

3- هنگامي كه به سايت‌هايي مراجعه مي‌كنيد كه استفاده از آن‌ها مستلزم داشتن امنيت بالايي است، بايد آيكوني شبيه قفل‌آويز را در مرورگرتان ببينيد، اين مسئله مي‌تواند تا حدي بر امن بودن سايت صحه بگذارد.

4- از نوارابزارهاي ضدسيادي استفاده كنيد. اين نوار ابزارها مي‌توانند از ورود شما به سايت‌هاي جعلي جلوگيري كنند.

معضلي به نام خطاي انساني
سطح خطر: بالا
احتمال خطر: بالا
هدف: تمامي كاربران
مي‌توانيد ويندوز را بروز كنيد، ساير برنامه‌ها را نيز روزآمد سازيد، و از نرم افزارهاي امنيتي براي حفاظت از پي‌سي خود استفاده نمايند. اما سرانجام يك اشتباه مي‌تواند تمام اين رشته‌ها را پنبه كند. چون همه ما بشريم و جايزالخطا.

تبهكاران آنلاين، پي‌در‌پي شيوه‌ها و روش‌هاي متفاوتي را در پيش مي‌گيرند تا بلكه يكي از آن‌ها بتواند كاربر را فريب دهد. به عنوان مثال، دامي كه به تازگي در سايت eBay توسط سيادان پهن شده بود توانست كاربران زيادي را شكار كند، بدون آن‌كه حتي كاربران كوچك‌ترين ظني پيدا كنند. با توجه به گزارش‌هاي دريافتي از US-CERT و ساير شركت‌هاي امنيتي، سيادان خبره با بهره‌گيري از يك آسيب‌پذيري در سايت eBay توانستند به آن نفوذ كنند و يك لينك مزايده را به يكي از صفحات سايت eBay اضافه كنند.

اين مزايده كه طبعاً جعلي بود، كاربر را به سايت ديگري هدايت مي‌كرد كه در آن سايت از كاربر خواسته مي‌شد اطلاعات login خود در سايت eBay را وارد كند و بعد از آن اطلاعات به سرقت مي‌رفت. در مورد ايميل نيز وقوع اتفاقاتي مشابه خيلي غير محتمل نيست.

هكرهاي خبره آدرس ايميل را مي‌خرند و حتي مي‌ربايند؛ نه براي ارسال اسپم، بلكه براي آن‌كه بتوانند در قالب پيام‌هاي تحريك‌كننده به پي‌سي شما و البته ساير كاربران ويروس ارسال كنند. تركيب شدن با فهرست آدرس‌هاي شناخته شده شركت‌هاي معتبر و دريافت ايميل‌هايي كه به نظر مي‌رسد يك فرستنده معتبر اقدام به ارسال آن‌ها كرده است، از جمله كارهايي است كه هكرها از آن‌ها براي تحريك كاربر استفاده مي‌كنند.

اين روش در كنار انتخاب درست هدف براي حمله، بسيار بيشتر از ارسال نامه به خيل عظيمي از كاربراني كه با آن‌ها آشنايي نداريم، مؤثر است. ممكن است روي يك سند Word، يا روي يك لينك در يك ايميل كليك كنيد. فرقي نمي‌كند؛ به هر صورت شما فريب خورده‌ايد.

آدرس‌هاي ايميل جعلي همچنين براي كاربري‌هايي چون استفاده از نقص روز صفر Word مايكروسافت مورد استفاده قرار مي‌گيرند تا با استفاده از ضعف اين نرم‌افزار و تحريك كردن كاربر به باز كردن يك سند ورد كه يك ضميمه نيز به همراه دارد، به مقصد خود برسند. هكرها به‌خوبي مي‌دانند اگر به‌گونه‌اي شما را از طريق يك ايميل يا سايت جعلي فريب دهند، از همان لحظه پي‌سي شما را تحت تسلط خود درآورده‌اند.

اما همواره مي‌توان وضعيت خوب را نيز حفظ كرد؛ چراكه يك كاربرِ با اطلاع مي‌تواند حتي در مقابل پيچيده‌ترين حملات اينترنتي نيز به خوبي از خود دفاع كند. بنابراين همواره بياموزيد و همواره با احتياط باشيد.

در عين حال بهتر است از سرويس RSS امنيتي براي اطلاع از آخرين اخبار امنيتي استفاده كنيد. استفاده از وب‌سايت‌هاي F-Secure و Kaspersky و Sophos را نيز پيشنهاد مي‌كنيم.

تبهكاران مرورگر شما را به سايت‌هاي كلا‌هبرداري هدايت مي‌كنند
سطح خطر: بالا
احتمال خطر: بالا
مقصد: كسب و كار
شما هر روز از سرورهاي Domain Name Server استفاده ‌مي‌كنيد. اين سرورها وظيفه ترجمه آدرس‌هاي معمول اينترنتي به ساختار عددي، كه آن‌را با عنوان IP آدرس، مي‌شناسيم را برعهده دارند. هر IP مي‌تواند يك DNS سرور براي خود داشته باشد. بنابراين بديهي است كه اينترنت بدون وجود DNSها قابل دسترسي نخواهد بود. در سراسر جهان يك ميليون سرور DNS وجود دارد كه 75 درصد از آن‌ها با نرم‌افزارهاي تاريخ گذشته يا فاقد تنظيمات مناسب به كار خود ادامه مي‌دهند. با توجه به گزارش‌هاي ارائه شده از انستيتو SANS، فعال در زمينه امنيت پي‌سي و آموزش سازماني، نرم‌افزارهاي مورد استفاده از سرورهاي DNS يكي از بيست مورد نرم‌افزارهاي آسيب‌پذير در اينترنت معرفي شده‌اند.

براي مثال، گزارش‌هاي زيادي در ماه مي منتشر شد كه بر اساس آن‌‌ها هكرها از نبود تنظيمات صحيح و درست در نرم‌افزارهاي مديريت سرورهاي DNS به نفع خود استفاده كرده‌اند و توانسته‌اند حملات زيادي را به اين سرورها سازماندهي كنند.

حملات از راه‌هاي گوناگوني صورت مي‌پذيرد. يكي از تاكتيك‌ها Cache Poisoning نام دارد كه در آن هكر مي‌تواند به‌طور همزمان هر كاربري را كه از سرور DNS استفاده مي‌كند، مورد هدف قرار دهد. يك روش استفاده از اين ترفند آن است كه تمام كاربراني كه مجبورند از سرور هك شده استفاده كنند را به يك سايت فيشينگ يا سايت‌هاي جعلي مشابه هدايت كند. يعني ممكن است شما آدرس ياهو را تايپ كنيد، اما در نهايت به وب‌سايتي هدايت شويد كه جعلي و ساختگي است و در يك كلام شكار خواهيد شد.

ترفند مهلك ديگري كه از آن براي حمله استفاده مي‌شود اين است كه هنگامي كه يك هكر درخواستي براي سرورDNS ارسال مي‌كند، اين درخواست توسط سرور DNS كه تنظيمات درستي در آن انجام نشده است، پاسخ داده مي‌شود. اما اين پاسخ عمدتاً تنها شامل پاسخ به سؤال نيست، بلكه اطلاعات اضافي ديگري نيز به همراه آن ارسال مي‌شود كه هكر از همين اطلاعات اضافي استفاده مي‌كند و به هدف خود مي‌رسد.

براي جلوگيري از اين سوء‌استفاده‌ها از خبرگان IT و شركت‌هاي پشتيباني‌كننده بخواهيد كه مجدداً به بررسي تنظيمات سرور DNS بپردازند و مطمئن شوند كه تمامي نرم‌افزارهاي نصب شده در سرور حتماً بروز باشند.

[Achilles]

شياطين تكنولوژيك‌ - تهديدهاي امنيتي‌اي كه از آن بي‌خبريم - ‌قسمت دوم‌
مترجم: ميلاد اميريان‌فر - ماهنامه شبکه

اشاره :
در نخستين بخش‌ از مقالهِ پيش‌رو، ضمن معرفي تعدادي از تهديدهاي امنيتي به معرفي روش‌هايي براي مقابله با آن ها پرداختيم. در بخش دوم و پاياني اين نوشتار نيز علا‌وه بر آشنايي با تهديدهايي چون ويروس‌هاي تلفن همراه، Rootkitها و ... راهكارهايي براي جلوگيري از اين تهديدها ارائه شده‌اند.



وقتي Rootkit و ويروس‌ها با هم شريك مي‌شوند.

سطح خطر: بالا
احتمال حمله: متوسط
هدف: كاربران ويندوز

خود Rootkitها به تنهايي مي‌توانند بسيار خطرناك باشند؛ زيرا آن‌‌ها به كرم‌ها، Botها و ساير نرم‌افزارهاي مخرب امكان مي‌دهند به صورت پنهان به كار خود بپردازند. در واقع علا‌وه‌بر اين‌كه فايلي در Windows Explorer ديده نخواهد شد، فرآيند پردازشي را نيز در Task Manager نخواهيد ديد. بسياري از برنامه‌هاي ضدويروس فعلي قادر به شناسايي اين بدافزارهاي پنهان نيستند و به مرور زمان نويسندگان بدافزارها با استفاده از تكنيك‌هاي جديد، بدافزارهاي پيشرفته‌تري توليد مي‌كنند.

در ماه نوامبر، هنگامي كه خبر نصب Rootkit روي سي‌دي‌هاي موسيقي شركت سوني، از طرف اين شركت براي پنهان كردن فايل‌هاي حفاظت از كپي منتشر شد، اغلب هكرها با شنيدن اين خبر بسيار خوشحال شدند؛ چرا كه براي آن‌ها فرصتي فراهم شد تا در قالب نام شركت سوني بتوانند بدافزارهاي مورد نياز خود را بنويسند و انتشار دهند. نرم‌افزار شركت سوني داراي فايل‌هايي است كه با " $ $sys " آغاز مي‌گردند و بنابراين نويسندگان فرصت‌طلب بدافزارها نام فايل‌هاي خود را با توجه به اين الگو تغيير مي‌دهند.

در ماه مارس شركت اسپانيايي سازنده ضدويروس پاندا، خبر از اشاعه كرم‌هايي داد كه براي انجام كارهاي خود بهRootkitها مجهز بودند. بدتر از همه آن‌كه درست مانند توليدكنندگان برنامه‌‌هاي بات‌نت (Botnet)، فروشندگان و سازندگان Rootkitها نيز از ابزارهايي استفاده مي‌كنند كه امكان ايجاد يك Rootkit را به سادگي براي هر كاربري فراهم مي‌آورد.

حتي وضعيت به‌گونه‌اي است كه مي‌توان گفت فرصت‌طلبي هكرها براي به كارگيري Rootkit موجود به جايي رسيده است كه ديگر اميدي به نرم‌افزارهاي امنيتي توليد شده براي دفاع در مقابل آن‌ها نيست. براي مثال، مؤسسه eEyeمسئله جديدي را كشف كرده‌ است كه اين برنامه‌ها مي‌توانند فايل‌هاي خود را درون بوت‌سكتور هاردديسك مخفي كنند.

حتي در ماه ژانويه جان هيسمن، مشاور امنيتي شركت Next Generation Security Software، روتكيت جديدي را معرفي كرد كه مي‌توانست كدهاي مخرب را با استفاده از ايجاد تنظيمات پيشرفته در بايوس جاسازي كند و به راحتي به انجام كارهاي خود بپردازد.

پروژه تحقيقاتي مشتركي نيز توسط مايكروسافت و دانشگاه ميشيگان در حال انجام است كه به طور مجازي نرم‌افزاري موسوم به SubVirt را در زير سيستم عامل تعبيه مي‌كند تا اين نرم‌افزار پيش از سيستم‌عامل، بدافزارها را كنترل كند.

متأسفانه به كارگيري اين روش چندان ساده نيست و استفاده از آن علاوه بر آن‌كه نيازمند آشنايي كاربر با كنترل آن است، باعث كندشدن سيستم عامل نيز مي‌گردد. در حال حاضر وجود اين نوع روتكيت‌هاي خطرناك به اثبات رسيده‌است و شايد مدت‌زمان زيادي طول بكشد تا بدافزارنويسان چنين حملا‌تي را ترتيب دهند.

خطرهاي آشكار و پنهان‌
امروزه يكي از چالش‌هاي جدي شركت‌هاي توليد كننده نرم‌افزارهاي امنيتي، يافتن فرآيندي براي پيدا كردن روتكيت‌هاي كم‌خطر است! در واقع هنرِ يافتن و از بين بردن، همواره يكي از بخش‌هاي سخت مهندسي نرم‌افزار بوده است.

يافتن روتكيت در يك پي‌سي ويندوزي اصلاً شباهتي به يافتن يك منبع نور در اتاقي تاريك ندارد و حتي نمي‌توان آن را با تشخيص خود جسم از روي سايه‌اي كه از آن بر ديوار افتاده است، مشابه دانست. نرم‌افزارهاي ويژه‌اي چون
F-Secure Blacklight و Rootkit Revealer از Sysinternal با اسكن كردن فايل‌هاي سيستمي ويندوز و حافظه براي پيدا كردن مشخصه‌هايي بي‌قاعده كه نشان از پنهان شدنRootkit دارند، كار خود را دنبال مي‌كنند.

اما اين ابزارها و روش‌ها در همه موارد جوابگو نيستند. اخيراً يك تبليغ‌افزار با نام Look 2 Me توانسته است با غيرفعال كردن كليد فراخواني سيستم در BlackLight، ديوار امنيتي آن را بشكند. اين كشف به‌ طور اتفاقي رخ داده بود، اما بدون شك نويسندگان روتكيت با بررسي ضعف‌هاي موجود در برنامه‌هاي خود و اصلاح آن‌ها در نسخه‌هاي بعدي روتكيت‌ها، برنامه‌هاي قوي‌تري را منتشر خواهند كرد.

آن‌ها چگونه كار مي‌كنند؟
1- يك اسب تروجان به همراه يك نرم‌افزار روتكيت، به عنوان يك درايو و از طريق دانلود شدن به پي‌سي حمله مي‌كنند.

2- بدافزار تغييرات عمده‌اي در سيستم ايجاد مي‌كند تا از دسترس ضدويروس‌ها در امان بماند.

3- اسب تروجان پنهان‌شده، برنامه‌هاي Keylogger و جاسوس‌افزار را در پي‌سي قرار مي‌دهد. (شكل 1)





چگونه از خود دفاع كنيم؟
1 - از ضد ويروس‌هايي كه امكاناتي چون اسكن و از بين بردن روتكيت‌ها دارند، استفاده كنيد. Kaspersky و
F-Secure حداقل آيتم‌هاي لازم براي از بين بردن آن‌ها را دارند.

2- از يك يابنده Rootkit مثل Rootkit Revealer از Sysinternal يا F-Secure Blacklight كه هر دو را مي‌توانيد به صورت رايگان دانلود كنيد، استفاده نماييد.

ويروس‌ها با تلفن سلولي شما تماس مي‌گيرند!
سطح خطر: متوسط
احتمال حمله: در ايالات متحده پايين، در اروپا و آسيا متوسط
هدف: كاربران تلفن‌هاي سلولي و هوشمند


وجود ويروس‌ها روي پي‌سي به قدر كافي مي‌تواند براي كاربر رنج آور و خطرناك باشد، اما امروزه اين برنامه‌هاي كثيف به تلفن‌هاي سلولي نيز نفوذ كرده‌اند و كاربران اين دسته از ابزارهاي الكترونيكي را نيز در معرض تهديد قرار داده‌اند.

(شكل 2) ويروس‌هاي موبايل درست مشابه پسرعموهاي خود در پي‌سي‌ها، سعي دارند با ايجاد اختلال در تلفن و سيستم عامل به آن صدمه وارد كنند. برخي ديگر با تغيير آيكون‌ها و تنظيمات، كاري مي‌كنند كه كار با تلفن براي كاربر سخت شود.




روش ديگر اين است كه تروجان‌ها با استفاده از تلفني كه به آن نفوذ كرده‌اند، به ارسال SMS به هر شماره تلفني كه بيابند، اقدام مي‌كنند و به اين ترتيب رقم قابل پرداخت قبض صاحب تلفن را افزايش مي‌دهند.

تاكنون چنين تهديداتي مشكلات چنداني در ايالات متحده به وجود نياورده است. ولي بالعكس كاربران آسيا و اروپا با مشكلات فراواني كه اين بدافزارها ايجاد مي‌نمايند، دست و پنجه نرم‌ مي‌كنند.

شايد به همين خاطر بسياري از دانشمندان اين عرصه معتقدند پيش از آن‌كه اين بدافزارها به تلفن‌هاي آمريكايي نيز نفوذ كنند، بايد به فكر چاره‌اي اساسي بود.

درست مشابه ويروس‌ها و ميكروب‌هايي كه در جهان واقعي وجود دارند، يك ويروس تلفن نيز بايد به واسطه نزديكي فيزيكي بين تلفن آلوده و تلفن سالم به آن منتقل شود. حتي دانشمندان فعال در زمينه امنيت سيستم‌هاي كامپيوتري، مثل ميكو هيپونن كه در زمينه توليد نرم‌افزار F-Secure نيز فعال بوده است، اغلب از تلفن‌هايي استفاده مي‌كنند كه فاقد امنيت لازم براي برقراري تماس است.

در يكي از سفرهاي هيپونن به لندن، تلفن او توسط بلوتوث چهار بار مورد حمله قرار گرفته است. توجه داشته باشيد كه استفاده از بلوتوث براي حمله روش متداولي است، ولي تنها روش نيست. به‌طور مثال، ويروس Mabir با استفاده از سرويس پيام كوتاه (SMS) به تلفن‌ها حمله مي‌كند.

با بررسي آمار گوشي‌هايي كه به آن حمله شده است، درمي‌يابيم كه بيشترين تعداد حمله به گوشي‌هايي كه داراي سيستم‌عامل سيمبيان بوده‌اند، گزارش شده است. اما با فاصله كمي از سيمبيان، سيستم‌عامل ويندوز موبايل و گوشي‌هايي كه براساس جاوا كار مي‌كنند نيز مورد حمله قرار گرفته‌اند.

چگونه از خود دفاع كنيم؟
1- در مواقع غيرضروري، بلوتوث گوشي يا PDA خود را خاموش كنيد.

2- با چشماني بازتر به آيتم‌ها و بخش‌هاي گوشي خود بنگريد تا از كوچك‌ترين تغييرات به وجود آمده در آن مطلع شويد.

3- از نرم‌افزارهاي ضدويروس مخصوص موبايل استفاده كنيد. F-Secure و Kaspersky و McAfee و Trend Microهمگي مي‌توانند گزينه‌هاي خوبي براي دفاع از شما باشند.

بدافزارها در گواهينامه رانندگي
سطح خطر: متوسط
احتمال خطر: ضعيف
هدف: بيشتر مصرف‌كنندگان

گواهينامه رانندگي شما مي‌تواند برايتان حكم يك تيغ دولبه را داشته باشد! حتي اگر فهميديد كه ويروسي كه اكنون به پي‌سي شما نفوذ كرده است از لمس كردن آن توسط گربه خانگيتان، منتقل شده است، اصلاً نبايد تعجب كنيد؟ چرا كه نتايج تحقيقات اخير مؤسسه Dutch، اثبات مي‌كند كه اين موارد كاملاً امكان‌پذير هستند.

Radio-Frequency Identification) RFID)، چيپ‌هاي كوچك و ارزانقيمتي هستند كه به راحتي در اسناد شناسايي و قلاده حيوانات خانگي (جهت شناسايي آن‌ها) جاسازي مي‌شود. از اين چيپ‌ها براي انتقال الكترونيكي اطلاعات شناسايي افراد (مثل شماره گواهينامه) استفاده مي‌گردد.

به‌رغم امتيازات مفيد فراواني كه اين چيپ‌ها دارند، به تازگي برخي ضعف‌هاي امنيتي در آن‌ها كشف شده است. در تازه‌ترين تلاشي كه توسط محققان دانشگاه Dutch براي آشكاركردن ضعف‌هاي امنيتي اين چيپ‌ها صورت گرفت، از يك تگ (RFID) و يك دستور ويروس‌مانند براي آلوده‌كردن يك پايگاه‌داده كه ركوردهاي تگ‌ها را ذخيره كرده بود، استفاده شد. از نظر تئوري يك سيستم RFID مي‌توانست باعث اجراشدن كدهاي مخرب گردد و اين براي كسب‌وكارهاي حساس و فناوري‌هاي دولتي بسيار خطرناك است.

بسياري از دانشمندان فعال در زمينه امنيت سيستم‌هاي كامپيوتري بر اين باورند كه با ايجاد يك ميان‌افزار مناسب كه بتواند بر RFID Reader و بانك‌اطلاعاتي ثبت شده در آن كنترل بيشتري داشته باشد، شايد بتوان تا حدي اين حملات را كاهش داد.

امنيت در معرض تهديد، در تمام پلتفرم‌ها
سطح خطر: بالا
احتمال خطر: پايين
هدف: كاربران ويندوز، مك و لينوكس

معمولاً كاربران مك و لينوكس، نسبت به كاربران ويندوز، مخصوصاً بعد از آن‌كه ويندوز مورد حملات جدي قرار گرفت (كه همگي با استفاده از وجود حفره‌هاي امنيتي در ويندوز ترتيب داده شده بودند) احساس غرور خاصي دارند؛ چرا كه فكر مي‌كنند سيستم‌عاملي كه از آن استفاده مي‌كنند، از نظر امنيت در بالاترين سطح ممكن قرار دارد و پي‌سي آن‌ها دچار هيچ حمله‌اي نخواهد شد. (بد نيست به مقاله، سيبي آماج كرم‌ها در شماره 66 نگاهي بيندازيد) اما بايد گفت كه كاربران اين سيستم‌عامل‌ها نيز مشكلات خودشان را دارند. اپل هنگامي كه در اولين محك جدي خود دستخوش حملات متعدد شد، بيش از هفتاد حفره امنيتي را در سيستم‌عامل OSX خود كشف كرد.

يكي از آسيب‌پذيري‌هاي كشف شده در اين سيستم‌عامل به نام Oompa-loompa كه در ماه فوريه كشف شد، بخشي از يك بدافزار بود كه در OS X Tiger مشكلات فراواني ايجاد كرد. كرمي كه از طريق سامانه پيام فوري به پي‌سي نفوذ مي‌كرد. در حالي كه كاربران Internet Explorer نيز، اخباري را شنيدند كه براساس آن يك حفره امنيتي جديد در اين مرورگر كشف شده بود كه به نفوذگر اجازه remote code execution را مي‌داد. به همين خاطر كاربران مك بايد بدانند كه در مرورگر اينترنتي اپل يعني Safari نيز حفره امنيتي كشف شد كه بايد با
دريافت patchهاي مناسب، اقدام به ترميم اين برنامه‌ها كنند.

همچنين لينوكس نيز مقصد بسيار خوبي براي كرم‌ها شده است؛ چرا كه تعداد بدافزارهايي كه در سال 2005 به لينوكس حمله كردند، نسبت به سال 2004 دو برابر شده است. اين مسئله نيز به خاطر آن است كه نفوذگران از ويژگي متن باز بودن (Open Source) اين سيستم‌عامل سوءاستفاده مي‌كنند تا بتوانند به راحتي به مقاصد خود دست پيدا كنند.

در ماه آوريل نوع جديدي از حملات ويروسي كشف شد كه طي آن‌ها ويروس مي‌توانست هم ويندوز و هم لينوكس را مورد حمله قرار دهد. اين ويروس توسط آزمايشگاه Kaspersky توليد شده بود (البته تنها براي آزمايش اين سيستم عامل‌ها) ويروس Virus.Linux.Bi.a و Virus.Win32.Bi.a مي‌توانند تنها يك نوع فرمت از فايل‌ها را در لينوكس با نام ELF و يك نوع فرمت فايل‌ها را در ويندوز با نام PE آلوده نمايند.

بنابراين كاربراني كه لينوكس خود را بروز نكرده‌اند يا از نسخه‌هاي قديمي آن استفاده مي‌كنند، بهتر است هر چه سريع‌تر براي جلوگيري از آلوده شدن پي‌سي خود، به تهيه برنامه‌هاي ضدويروس اقدام كنند.

چگونه از خود دفاع كنيم؟
1- از برنامه‌هاي ضدويروس مخصوص سيستم‌عامل پي‌سي خود استفاده كنيد. به‌طور مثال، مي‌توانيد از ضدويروس Pand (نسخه ويژه لينوكس) يا مك‌آفي و سيمانتك استفاده كنيد.

2- همواره سيستم‌عامل خود را بروز كنيد و patchهاي لازم را دريافت و نصب نماييد.