تامين امنيت كامپيوترهاي مبتني بر

[Mahdi1944]

امنيت مقوله اي است كه از دير باز براي كاربران كامپيوتر از جذابيت خاصي برخوردار بوده وحتي امروزه با فراگير شدن اينترنت اين جذابيت بيشتر هم شده است. كلمه هايي نظير امنيت سيستم هاي كامپيوتري ، امنيت ارتباطات و يا امنيت داده ها داراي تعاريف مختلفي بوده و طيف كاربران نيز برداشتهاي مختلف و حتي گاه متناقضي از اين كلمات دارند. اين طيف ، از تعاريف تئوريك در كتابهاي دانشگاهي و كاملا آكادميك شروع شده و به تعاريفي با ته مايه پليسي و هيجان انگيز در كتابهاي با سطح پايين Hacking يا برخي فيلم هاي سينمايي ختم مي شود. به هر حال تعريف كلمه امنيت و كلمات تركيبي مشتق شده از اين واژه هر چه كه باشد . واضح است كه امنيت سيستم هاي كامپيوتري به طور عام ، با گسترده شدن شبكه ها و اينترنت به مساله جدي تري تبديل مي شود . همچنين سريعتر شدن سرعت اتصال به اينترنت كامپيوترها را پايين مي آورد زيرا قرار دادن اطلاعات جعلي در بين حجم بيشتري از اطلاعات كمتر توجه را جلب كرده و يافتن اين مساله نيز سخت تر خواهد بود . در ضمن در صورت متوجه شدن كاربر به اين مورد حمله قرار گرفته است. زمان بسيار محدود تري خواهد داشت تا جلوي خروج اطلاعات از كامپيوتر را بگيرد.
كرم ها (Worms). ويروس ها (viruses)، اسب هاي تروايي (trajans) و ساير انواع برنامه هاي مخرب كه همراه با فايل هاي برنامه اي نامه هاي الكترونيكي و ...از روي CD ، ديسك هاي فلاپي ، ارتباط مستقيم با شبكه هاي محلي يا اينترنت و....وارد كامپيوتر مي شوند ، همه و همه تهديد كننده امنيت كامپيوترتان هستند . بسياري از اين برنامه ها با ايجاد Back Doors عملا اجازه مي دهند كه Hacker ها و يا افرادي كه قصد فضولي و يا سوء استفاده از اطلاعات ديگران را دارند وارد كامپيوتر شما شده و اطلاعات موجود در كامپيوتر شما را به يغما ببرند.برخي ديگر از برنامه ها خود راسا دست به عمل زده و اطلاعات را به مقصد نامعلومي مي فرستند. البته كار فرستادن اطلاعات خيلي كند و با آهنگ آهسته اي انجام مي شود تا مورد توجه قرار نگيرد . برنامه هاي مخرب از هر نوع و رده اي كه باشند از يك مساله سوء استفاده مي كنند و آن وجود نقاط ضعف و bug هاي امنيتي در سيستم عامل ها و پروتكل ها و يا سرويس هاي مختلف است. نمونه اين ضعف مي تواند فرستاده شدن كلمه رمز(password) توسط پروتكل telnet باشد . برنامه طرف سرويس گيرنده (client) كه اقدام به telnet مي كند اسم رمز را به صورت غير رمزرا به صورت غير رمز نگاري شده و يا اصطلاحا plain به سمت سرويس دهنده مي فرستد، حال اگر در بين راه يك نفر عمل Sniff را انجام دهد به راحتي مي تواند اين اسم رمز را به دست آورد.
برخي از كاربران كامپيوتر تصور مي كنند كه اگر آخرين Patch ها و Update هاي سيستم عامل و برنامه هاي كامپيوترشان را تهيه و نصب كنند اين مشكل حل خواهد شد ، در صورتي كه اين عقيده خيلي درست نيست . مثلا اگر اين Patch ها يا update ها بعد از آلوده شدن كامپيوتر نصب شوند معمولا فايده نداشته و برنامه هاي مخرب كماكان كار خود را ادامه خواهد داد. به عنوان مثالي براي اين نوع كرم ها مي توان به كرم MS Blaster و Update هاي شماره 824146 شركت مايكروسافت اشاره كرد كه براي رفع ضعف امنيتي سيستم عامل هاي ويندوز كه كرم blaster از آن استفاده مي كند ، اشاره كرد . اين Update ها فقط وقتي مفيد خواهد بود كه آن ها را قبل از آلوده شدن سيستم بتوان نصب كرد . برنامه هاي فوق از آدرس [External Link Removed for Guests] در سايت مايكروسافت قابل تهيه مي باشد . يكي از جالب ترين نكاتي كه در ارتباط با اين كرم وجود دارد آن است كه بسياري از ديواره هاي آتشين (fire Walls) اگر به درستي تنظيم شوند مي توانند جلوي شيوع اين كرم را بگيرند . يكي از نادرترين ديوارهاي آتشيني كه نمي تواند جلوي اين كرم را بگيردعبارتست از ICF (مخففInternet Connention Firewall ) كه همان ديواره آتشين موجود در ويندوز Xp است!! البته توجه داشته باشيد كه ديواره هاي آتشين اولين خط دفاعي كامپيوتر شما در برابر حملات هستند . ديواره دوم دفاعي نيز برنامه هاي ويروس ياب نظير پاندا ، Mcaffee و يا آنتي ويروس نورتون مي توانند باشند . . نكته منفي كه اينجا بد نيست به آن اشاره كنيم اين است كه تعداد قابل توجهي از كاربران به اين گونه برنامه اعتقاد زيادي نداشته و معمولا آنها را زايد تشخيص داده و نصب نمي كنند.
يكي ديگر از راه حل هايي كه بيشتر مورد توجه سرپرستان شبكه (Administrators) است، نصب برنامه هاي ردياب (monitoring) روي سرويس دهنده ها و يا حتي كامپيوترهاي عادي است . اين برنامه ها معمولا فعاليت هاي شبكه (Network Activities ) ،‍‍ Packet هايي كه در شبكه رد و بدل مي شوند ، پورت هايي كه فعال بوده و اطلاعات ارسال و دريافت مي كنند و آدرس هاي IP و MAC كه اطلاعات از يا به آنها فرستاده مي شوند را تحت نظارت خود گرفته و گزارش هاي آماري مفيدي ارائه مي كنند.
از روي اين گزارش آماري مي توان متوجه شد كه كدام كامپيوترها آلوده شده ، مورد هدف قرار گرفته يا حتي دست به حمله زده اند. البته ناگفته نماند كه بعضي ديگر از كاربران كامپيوتر هم بيش از اندازه نگران هستند . آن ها با وجود اينكه به شبكه هاي ديگر وصل نيستند ، دو يا سه نوع نرم افزار ويروس ياب ، ديواره آتشين و... را روي كامپيوتر خود نصب كرده و علاوه بر اين دائم نگران هك شدن هم هستند. در نظر داشته باشيم كه هر برنامه اي كه شما روي كامپيوتر خود نصب و اجرا مي كنيد ، مانند نرم افزارهاي ويروس ياب و ويروس كش ، ديواره آتشين و يا نرم افزارهاي مانيتورينگ قسمت قابل ملاحظه اي از حافظه ، ديسك وقدرت پردازشي كامپيوتر شما را استفاده كرده و عملا اجراي ساير برنامه هاي كامپيوتري را تحت تاثير قرار مي دهند.
بنابراين يك حفاظت درست از كامپيوتر در واقع ايجاد تعادلي است بين دو مقوله:
"ريسك هك شدن و از دست دادن اطلاعات "و "پذيرفتن سربارهاي (overhead) پردازشي ،حافظه اي، مالي و ...."
سرويس هاي ويندوز
بسياري از كاربراني كه هنوز روي كامپيوتر خود ديواره آتشين(fire wall) نصب نكرده اند ، تصور مي كنند كه با نصب يكي از اين نوع نرم افزارها همه مشكلات آنها به طور كلي حل مي شود ، در حالي كه آن دسته از كاربراني كه اين كار را انجام داده اند خيلي موافق اين نظريه نيستند . نصب ديواره هاي آتشين شايد قسمتي از مشكلات را حل كنند ولي حداقل يك مشكل جديد را با خود به همراه دارد و آن تداخلي است كه بين كاركرد اين نوع نرم افزار ها و سرويس هاي ويندوز به وجود مي آيد . بعضي از سرويس هاي ويندوز مانند SVCHOST گاه و بي گاه و حتي تقريبا مستقل از عملياتي كه كاربر روي كامپيوتر انجام مي دهد با شبكه ارتباط برقرار مي كنند.
سوالي كه اينجا مطرح مي شود،اين است كه آيا نرم افزار ديوار آتشين بايد به اين گونه ارتباطات مجوز دسترسي به شبكه بدهد يا خير؟ چه مواقعي بايد اين مجوز داده شود؟ آيا سرويس هاي ويندوز همواره مجاز به دسترسي به شبكه هستند ؟ اگر پاسخ شما به اين پرسش هاي مثبت است بايد بدانيد كه برخي از انواع برنامه هاي اسب تراوايي (trojans) به جاي ارتباط مستقيم با شبكه اين كار را از طريق سرويس هاي ويندوز انجام مي دهند، بنابراين اگر روزي متوجه شديد كه سرويس هاي ويندوز بيش از حد معمول با شبكه Packet رد و بدل مي كنند ممكن است كه كامپيوترتان به برنامه هاي مخربي از گونه اسب هاي تراوايي آلوده شده باشد.
پيچيده ترين مطلبي كه در مورد سرويس هاي ويندوز وجود دارد آن است كه عملكرد آن ها عموما براي كسي به طور دقيق معلوم نبود و قابل پيش بيني نيست. بنابراين نمي توان حدس زد كه وقتي كه اين سرويس ها شروع به ارسال يا دريافت packet از بكه مي كنند آيا قسمتي از عملكرد طبيعي خود را دارند انجام مي دهند و يا اينكه مورد سوء استفاده نرم افزارهاي مخرب قرار گرفته اند. در صورتي كه نرم افزار ديواره آتشين خود را به نوعي تنظيم كنيد كه هيچگاه به اين سرويس ها اجازه ارتباط با شبكه را ندهد نيز مشكل حل نخواهد شد، زيرا انجام اين كار عملكرد طبيعي ويندوز را به هم ريخته و ممكن است حتي منجر به شروع مجدد (restart) ويندوز شود .بنابراين چه بايد كرد؟ سرويس هاي ويندوز چه مواقعي حق دارند تا با شبكه ارتباط داشته باشند و چه مواقعي بايد جلوي آن ها را گرفت؟
به چه چيزي مي توان اعتماد كرد؟
چيزي كه مشخص است اين است كه به نسخه هاي اصلي سرويس هاي ويندوز مانند Svchost.exe يا Services.exe (منظور نسخه غير آلوده شده اين برنامه هاست) بايد اطمينان كرد . چون اگر نخواهيم به اين برنامه اعتماد كنيم به چه چيز ديگري مي توان اطمينان كرد ؟
سرويس هاي ويندوز همانطوري كه گفته شد، گاه و بي گاه به دلايل مختلف سعي به اتصال به اينترنت و ارسال يا دريافت اطلاعات مختلفي دارند :Update ويندوز چند وقت يكبار سري به سايت مايكروسافت مي زند تا اگر نسخه بروزتري از ويندوز را پيدا كرد كاربر را در جريان قرار داده و سپس patch يا Update مربوطه را بارگذاري(download) كند. MSN روي شبكه دنبال دوستان (friends ) on-line مي گردد. خود ويندوز در صورت اضافه شدن سخت افزار جديدي به كامپيوتر براي جستجوي راه انداز(Driver) آن كلي با اينترنت اطلاعات بده و بستان مي كند و ....
ولي چيزي كه در همه اين ارتباطات مشترك است اين است كه همه آن ها مجاز بوده و هيچ گونه اطلاعات غير مجاز و يا داده هاي شخص كاربر را به خارج از كامپيوتر ارسال نمي كنند.
بعضي از اين اسب هاي تروايي با سوء استفاده از اين مطلب فايل اجرايي با همين نام (مثلا Svchost.exe يا Service.exe) داخل دايركتوري ويندوز كپي كرده و از طريق اين برنامه سعي در ارتباط با شبكه ايجاد يك backdoor براي مهاجمان خارجي مي نمايند. براي مقابله با اين گونه برنامه هاي مخرب ، راحت ترين كار نصب يك ديواره آتشيني است كه امضاهاي الكترونيكي يا مشخصات برنامه هايي را كه مي خواهند به شبكه وصل شوند را بررسي و آن ها را در ليست خود ذخيره مي كنند. اگر شما اين نوع ديواره هاي آتشين را بلافاصله پس از نصب ويندوز روي كامپيوترتان نصب كنيد ، آن ها مشخصات سرويس هاي نسخه اصلي ويندوز را در ليست خود ذخيره كرده و به آنها اجازه ارتباط با شبكه را خواهند داد. حال اگر يك اسب تروايي با اسم يكي از سرويس هاي ويندوز بخواهد با شبكه ارتباط بر قرار كند، اين ديواره هاي آتشين با توجه به منطبق نبودن مشخصات و يا امضاهاي الكترونيكي اين برنامه ها (كه در واقع اسب تروايي هستند) با برنامه اصلي كه مشخصات آن در ليست ديواره آتشين موجود است اجازه اين كار را نداده و جلوي اين گونه سوء استفاده ها را خواهند گرفت.
ديواره هاي آتشين امروزي عموما قابليت استخراج و ذخيره مشخصات برنامه هايي را كه اجازه استفاده از شبكه دارند را داشته و اين مشخصات را هنگامي كه يك برنامه مي خواهد با شبكه ارتباط برقرار كند را ملاك ارزيابي خود قرار مي دهند.
همان طور كه پيشتر نيز در اين مقاله اشاره شد ، ديوارهاي آتشين فقط خط اول دفاعي در كامپيوتر شما هستند و اگر برنامه مخربي موفق به عبور از اين سد شود به اين معني نخواهد بود كه كامپيوتر شما هك شده و اين برنامه مخرب به طور كامل موفق شده است زير خط دوم دفاعي كامپيوتر هنوز باقي مانده است. خط دوم دفاعي كامپيوتر چيزي نيست جز برنامه هاي ويروس ياب و ويروس كش. رگر شما كامپيوترتان را به يك برنامه ويروس ياب خوب مجهز كرده و هر چند وقت يكبار(مثلا هفته اي يا 10روز يكبار) نيز آن را به روز كنيد ، اين برنامه ويروس ياب با بانك اطلاعاتي به روز خود و با شناختي كه از طرز كار اسب هاي تروايي ، كرم ها و ويروس هاي مختلف دارد مي تواند اين نوع برنامه ها را در كامپيوتر شناسايي كرده و عملكرد آن ها را متوقف نمايد . بنابراين پيشنهاد مي شود علاوه بر يك ديواره آتشين خوب از يك نرم افزار ويروس ياب / ويروس كش خوب نيز در كامپيوترتان استفاده كنيد تا ريسك آلوده شدن كامپيوتر و هك شدن توسط اسب هاي تراوايي يا از دست دادن داده هاي شخصي از طريق يك Back door را به حداقل ب

[External Link Removed for Guests]