به زامبي ها اجازه ندهيد شما را زمين گير کنند
به زامبي ها اجازه ندهيد شما را زمين گير کنند
به زامبي ها اجازه ندهيد شما را زمين گير کنند
طي سال گذشته، بروز حملات بوت نت يا زامبي به سرعت افزايش پيدا کرد. برخي از فراهم کنندگان سرويس ها در سرتاسر دنيا مدت ها است مقابله با بوت نت ها را شروع کرده اند و ساير فراهم کنندگان سرويس ها نيز در خصوص مبارزه با اين تهديد جدي واکنش نشان داده اند.
بوت نت ها، نزديکي بسيار زيادي با کامپيوترها دارند و کنترل آن ها را به دست مي گيرند و از کامپيوترها، براي ارسال ايميل هاي اسپم، بهره برداري مي کنند. هرچند که اين تهديد بسيار گسترده تر از اين ها است. در سمت ديگر اين طيف، افراد بزهکاري قرار دارند که بوت نت ها را براي دست کاري و زير و رو کردن اطلاعات امنيتي و شخصي به ديگران اجاره مي دهند، اقدامات غيرقانوني بسيار خطرناکي را به انجام مي رسانند، به سرقت پول مبادرت مي ورزند يا تقلب مي کنند.
هدف اين حملات، هم افراد و هم فعاليت هاي تجاري هستند. وب سايت ها از اين طريق آلوده مي شوند(که به آن ها آلودگي هاي drive-by گفته مي شود) و بدين ترتيب آن ها کد آلوده را به بازديد کنندگان سايت ها منتقل مي کنند. از بوت نت ها براي انجام حملات DDoS بر روي فعاليت هاي تجاري که مي تواند عواقب بسيار جدي در پي داشته باشد نيز استفاده مي شود. توئيتر اخيراً قرباني يک حمله DDoS شد و به طو موقت از کار افتاد.
اين ها تهديدات کم اهميتي نيستند. از دست کاري اطلاعات بانکي،اجراي حملات DDoS يا اجاره دادن ارتش زامبي به ساير افراد پول بسيارقابل توجهي به دست مي آيد. بنابراين، اين ارتش به طور مداوم و پيوسته به کار گرفته مي شود و توسعه پيدا مي کند که از نمونه هاي اين رويکرد مي توان به سرمايه گذاري بر روي زير ساختار command and control توسط bot herderها که افراد يا سازمان هايي هستند که گروهي از بوت نت ها را کنترل مي کنند، ياد کرد.
بوت نت ها با برخورداري از انواع و اقسام سيستم هاي بازيابي مخصوص به خود مي توانند به شکل غيرقابل باوري پيچيده و بسيارانعطاف پذير باشند بنابراين حتي اگر مورد تهاجم قراربگيرند، قادر هستند به کار خود ادامه دهند. نتايج تحقيقاتي که اخيراً توسط Trend Micro انجام گرفته و ايده اي در مورد مقياس و بزرگي اين حملات و مشکلات و دشواري هاي رفع آلودگي آن دراختيار ما مي گذارد، نشان مي دهد که صنايع مختلف مدت زماني که در آن PCها توسط بوت نت ها آلوده شده بودند را دست کم گرفته اند. اين کمپاني به اين نتيجه رسيده که در 100 ميليون کامپيوتر دست کاري شده، ميانگين آلودگي 300 روز بوده است( نه 6 هفته که قبلاً تخمين زده شده بود).
مقياس دردسرها و گرفتاري هاي حاصل از اين حملات نيز بسيار بالا بوده است. اخيراً يک بوت نت متشکل از 2 ميليون PC در انگلستان کشف شد و يک بوت نت هلندي بيش از 1.4 ميليون کامپيوتر را در اختيار گرفته بود.
برخي از ايميل هاي Phishing، شما را به سايت هاي وبي که ممکن است به طور ناخواسته توسط يک بوت نت آلوده شويد هدايت مي کنند. کاربران شما مي توانند آن ها را وارد لپ تاپ خود يا USBهايي که به طور بالقوه کل شبکه شما را آلوده مي کنند بنمايند.شما حتي مي توانيد با شرکت در MMORPGها يا massive multiplayer online role playing games به بوت نت ها آلوده شويد.
اسب هاي تروا و کرم ها روش هاي رايج متصل کردن بوت ها به هم هستند. Conficker که اخيراً يک و نيم ميليون پوند براي شوراي شهر منچستر هزينه در برداشت يک کرم پيچيده و خودتکثيراست که توسط يک ساختار فرمان و کنترل( command and control) مديريت مي شود. اگر از نرم افزار ضد ويروس مناسب استفاده نکنيد و يا آن را روزآمد نگه نداريد مي توانيد هدف اين حملات قرار بگيريد.
در مواقعي که از بوت نت ها براي راه انداختن حملات DDoS استفاده مي شود رديابي هاي جنايي انجام شده مسئولان را به بازرسي و بازجويي اعضاي بي گناه بوت نت ها رهنمون کرده است. در عين حال امکان اين وجود دارد که شما روزي متوجه شويد که کمپاني تان در ليست سياه سازمان هاي ارسال کننده اسپم قرار گرفته است. بوت ها مي توانند به شبکه تجاري رسوخ کنند بنابراين مي توانند تمام اتفاقات را مانيتور کنند و امنيت شما را با ارسال اطلاعات مربوط به کلمه هاي عبور يا بانک داري آن لاين دست کاري نموده و براي شما دردسر ايجاد کنند. وقتي بوت بر روي کامپيوتر شما نصب شد ممکن است باعث کند شدن شبکه شما شود و آن را تنبل کند اما شما از علت آن آگاهي نداريد.
در يک گزارش امنيت سايبر که توسط Lumension در سال 2009 منتشر شد Paul Henry تحليل گر امنيتي گفته است: تا وقتي مسئله مديريت patch زير ساختار حل نشود، بوت نت ها به رشد انفجاري خود بر روي اينترنت عمومي ادامه خواهند داد.
بهترين راه براي جلوگيري از بوت نت ها استفاده از راه حل هاي امنيتي مناسب است. براي کمپاني ها مکان شروع کار از همان درگاه ورودي است. هرچند که امنيت درگاه يا Gateway زماني که کاربران و بازديدکنندگان سيار به درون Gateway متصل مي شوند کافي نيست. کنترل دسترسي مناسب و تائيد اعتبار دو فاکتوري قوي در اين جا جواب مي دهد.اگر کارکنان در داخل Gateway از USB، لپ تاپ، iPod و سايرتجهيزات سيار استفاده کنند اين خطر وجود دارد که آن ها کنترل هاي امنيتي gateway را ناديده بگيرند و ابزار متصل به شبکه را آلوده کنند بنابراين سياست امنيتي شما بايد استفاده ايمن از تجهيزات سيار را پوشش دهد.
ساير نواحي پر خطر داخل شبکه شامل آلودگي هايي مي شود که حاصل بازديد کارکنان از سايت هاي وب مشکوک است. يک روش امنيتي سنتي در اين جا، به کارگيري حفاظت چند لايه است. در کنار محافظت از Gateway، شما بايد اقدامات امنيتي را بر روي PCهاي خود نيز نصب کنيد. اين کار در بهترين حالت بايد از طريق يک سازنده محصولات امنيتي متفاوت با کمپاني فراهم کننده امنيت Gateway شما صورت بگيرد.
راه حل هاي امنيتي Endpoint مثل آن هايي که در بالا به آن ها اشاره کرديم شبکه را در مقابل کد مشکوکي که از سايت هاي وب مشکوک دانلود مي شود و همچنين اسب هاي تروا را در برابر ايميل ها يا ابزار سيار شامل USB ها محافظت مي کند.
در بخش Gateway، کمپاني هايي مثل M86 و Finjan محافظت از Gateway وب را که قادر است کدهاي مشکوک را شناسايي کرده و در مقابل آن ها به دفاع برخيزد، فراهم مي آورند.
اگر قصد داريد از وب سايت خودتان در برابر آلوده شدن و تحويل کد مشکوک به مشتريان تان محافظت به عمل آوريد کمپاني هايي مثل Check Point و Barracuda Networks داراي قابليت هاي ديواره آتش برنامه کاربردي براي محافظت در برابر اين تهديد روزافزون هستند. ساير راه حل ها نظير برنامه ضد اسپم،ويروس و ديواره آتش spyware کمپاني Barracuda Networks مي تواند به محافظت از ترافيک ورودي و خروجي شبکه شما کمک کند. اين محافظت شامل کوشش براي ارسال اسپم يا برگشت داده هاي spyware هم مي شود.
شما همچنين مي توانيد با استفاده از راه حل هاي مديريت ترافيک نظير چيزي که Allot عرضه مي کند بوت ها را تشخيص دهيد. آن ها قادر هستند الگوهاي ترافيک، حتي الگوهاي ماسک شده ترافيک را که مي تواند فعاليت بوت محسوب شود تشخيص دهند.
سيستم هاي هوشمند شبکه نظير آن هايي که Loglogic يا ArcSight ارائه مي کنند نيزمي توانند به شما کمک کنند. آن ها مي توانند در کنار هم قرار گيرند و به شما اجازه دهند تمام اطلاعات log روي شبکه را تحليل کنيد و هرگونه رفتار غيرعادي را تشخيص دهيد.
چنان چه در مورد آلوده شدن به بوت نت ها نگران هستيد وب سايت هايي مثل Spamhaus.org چگونگي تشخيص و از بين بردن بوت نت ها را براي شما تشريح مي کنند. در سطح تجاري، برخي از راه حل هايي که در بالا تشريح کرديم آلودگي ها را نيز پاک مي کنند. در سطح شخصي، کمپاني هايي مثل Kaspersky Lab و Webroot با هزينه اندکي از شما محافظت مي کنند.
اين يک روش مشتري مدار نيست و اثر اندکي دارد زيرا راه حل هايي مثل ServiceProtector از Allot که به شکل مؤثري بوت نت ها را خنثي مي کند و از ارسال اسپم از کامپيوتر مشتريان جلوگيري مي کند و از رسيدن اسپم به آن ها نيزجلوگيري به عمل مي آورد براي فراهم کنندگان سرويس ها وجود دارد و از همه اين ها مهم تر فراهم کنندگان سرويس و فعاليت هاي تجاري را در مقابل حملات DDoS محافظت مي کند و بهانه اندکي براي آن ها باقي مي گذارد تا از انجام اقدامات پيش گيرانه سرباز زنند.
اگرچه درحال حاضر براي نبرد با بوت نت ها اقدامات ديگري نيز در دست انجام است. اخيراً Messaging Anti-Abuse Working Group بهترين راه حل ها و کوشش ها براي جنگيدن با بوت نت ها را منتشر کرده است. Internet Engineering Task Force يا IETF نيز برخي از اين کوشش ها را منتشر نموده است. و بسياري از سازمان هاي بزرگ به شکل روزافزوني در حال به کارگيري اقدامات پيش گيرانه در اين زمينه هستند. با افزايش فشار، به نظر مي رسد در سال هاي پيش رو شاهد حرکت هاي قابل توجهي براي مقابله با تهديد بوت نت باشيم.
منبع:نشريه بزرگراه رايانه، شماره 132.
بوت نت ها، نزديکي بسيار زيادي با کامپيوترها دارند و کنترل آن ها را به دست مي گيرند و از کامپيوترها، براي ارسال ايميل هاي اسپم، بهره برداري مي کنند. هرچند که اين تهديد بسيار گسترده تر از اين ها است. در سمت ديگر اين طيف، افراد بزهکاري قرار دارند که بوت نت ها را براي دست کاري و زير و رو کردن اطلاعات امنيتي و شخصي به ديگران اجاره مي دهند، اقدامات غيرقانوني بسيار خطرناکي را به انجام مي رسانند، به سرقت پول مبادرت مي ورزند يا تقلب مي کنند.
هدف اين حملات، هم افراد و هم فعاليت هاي تجاري هستند. وب سايت ها از اين طريق آلوده مي شوند(که به آن ها آلودگي هاي drive-by گفته مي شود) و بدين ترتيب آن ها کد آلوده را به بازديد کنندگان سايت ها منتقل مي کنند. از بوت نت ها براي انجام حملات DDoS بر روي فعاليت هاي تجاري که مي تواند عواقب بسيار جدي در پي داشته باشد نيز استفاده مي شود. توئيتر اخيراً قرباني يک حمله DDoS شد و به طو موقت از کار افتاد.
اين ها تهديدات کم اهميتي نيستند. از دست کاري اطلاعات بانکي،اجراي حملات DDoS يا اجاره دادن ارتش زامبي به ساير افراد پول بسيارقابل توجهي به دست مي آيد. بنابراين، اين ارتش به طور مداوم و پيوسته به کار گرفته مي شود و توسعه پيدا مي کند که از نمونه هاي اين رويکرد مي توان به سرمايه گذاري بر روي زير ساختار command and control توسط bot herderها که افراد يا سازمان هايي هستند که گروهي از بوت نت ها را کنترل مي کنند، ياد کرد.
بوت نت ها با برخورداري از انواع و اقسام سيستم هاي بازيابي مخصوص به خود مي توانند به شکل غيرقابل باوري پيچيده و بسيارانعطاف پذير باشند بنابراين حتي اگر مورد تهاجم قراربگيرند، قادر هستند به کار خود ادامه دهند. نتايج تحقيقاتي که اخيراً توسط Trend Micro انجام گرفته و ايده اي در مورد مقياس و بزرگي اين حملات و مشکلات و دشواري هاي رفع آلودگي آن دراختيار ما مي گذارد، نشان مي دهد که صنايع مختلف مدت زماني که در آن PCها توسط بوت نت ها آلوده شده بودند را دست کم گرفته اند. اين کمپاني به اين نتيجه رسيده که در 100 ميليون کامپيوتر دست کاري شده، ميانگين آلودگي 300 روز بوده است( نه 6 هفته که قبلاً تخمين زده شده بود).
مقياس دردسرها و گرفتاري هاي حاصل از اين حملات نيز بسيار بالا بوده است. اخيراً يک بوت نت متشکل از 2 ميليون PC در انگلستان کشف شد و يک بوت نت هلندي بيش از 1.4 ميليون کامپيوتر را در اختيار گرفته بود.
شما چگونه آلوده مي شويد؟
برخي از ايميل هاي Phishing، شما را به سايت هاي وبي که ممکن است به طور ناخواسته توسط يک بوت نت آلوده شويد هدايت مي کنند. کاربران شما مي توانند آن ها را وارد لپ تاپ خود يا USBهايي که به طور بالقوه کل شبکه شما را آلوده مي کنند بنمايند.شما حتي مي توانيد با شرکت در MMORPGها يا massive multiplayer online role playing games به بوت نت ها آلوده شويد.
اسب هاي تروا و کرم ها روش هاي رايج متصل کردن بوت ها به هم هستند. Conficker که اخيراً يک و نيم ميليون پوند براي شوراي شهر منچستر هزينه در برداشت يک کرم پيچيده و خودتکثيراست که توسط يک ساختار فرمان و کنترل( command and control) مديريت مي شود. اگر از نرم افزار ضد ويروس مناسب استفاده نکنيد و يا آن را روزآمد نگه نداريد مي توانيد هدف اين حملات قرار بگيريد.
خطرات
در مواقعي که از بوت نت ها براي راه انداختن حملات DDoS استفاده مي شود رديابي هاي جنايي انجام شده مسئولان را به بازرسي و بازجويي اعضاي بي گناه بوت نت ها رهنمون کرده است. در عين حال امکان اين وجود دارد که شما روزي متوجه شويد که کمپاني تان در ليست سياه سازمان هاي ارسال کننده اسپم قرار گرفته است. بوت ها مي توانند به شبکه تجاري رسوخ کنند بنابراين مي توانند تمام اتفاقات را مانيتور کنند و امنيت شما را با ارسال اطلاعات مربوط به کلمه هاي عبور يا بانک داري آن لاين دست کاري نموده و براي شما دردسر ايجاد کنند. وقتي بوت بر روي کامپيوتر شما نصب شد ممکن است باعث کند شدن شبکه شما شود و آن را تنبل کند اما شما از علت آن آگاهي نداريد.
محافظت در برابر بوت ها
در يک گزارش امنيت سايبر که توسط Lumension در سال 2009 منتشر شد Paul Henry تحليل گر امنيتي گفته است: تا وقتي مسئله مديريت patch زير ساختار حل نشود، بوت نت ها به رشد انفجاري خود بر روي اينترنت عمومي ادامه خواهند داد.
بهترين راه براي جلوگيري از بوت نت ها استفاده از راه حل هاي امنيتي مناسب است. براي کمپاني ها مکان شروع کار از همان درگاه ورودي است. هرچند که امنيت درگاه يا Gateway زماني که کاربران و بازديدکنندگان سيار به درون Gateway متصل مي شوند کافي نيست. کنترل دسترسي مناسب و تائيد اعتبار دو فاکتوري قوي در اين جا جواب مي دهد.اگر کارکنان در داخل Gateway از USB، لپ تاپ، iPod و سايرتجهيزات سيار استفاده کنند اين خطر وجود دارد که آن ها کنترل هاي امنيتي gateway را ناديده بگيرند و ابزار متصل به شبکه را آلوده کنند بنابراين سياست امنيتي شما بايد استفاده ايمن از تجهيزات سيار را پوشش دهد.
ساير نواحي پر خطر داخل شبکه شامل آلودگي هايي مي شود که حاصل بازديد کارکنان از سايت هاي وب مشکوک است. يک روش امنيتي سنتي در اين جا، به کارگيري حفاظت چند لايه است. در کنار محافظت از Gateway، شما بايد اقدامات امنيتي را بر روي PCهاي خود نيز نصب کنيد. اين کار در بهترين حالت بايد از طريق يک سازنده محصولات امنيتي متفاوت با کمپاني فراهم کننده امنيت Gateway شما صورت بگيرد.
راه حل هاي امنيتي Endpoint مثل آن هايي که در بالا به آن ها اشاره کرديم شبکه را در مقابل کد مشکوکي که از سايت هاي وب مشکوک دانلود مي شود و همچنين اسب هاي تروا را در برابر ايميل ها يا ابزار سيار شامل USB ها محافظت مي کند.
در بخش Gateway، کمپاني هايي مثل M86 و Finjan محافظت از Gateway وب را که قادر است کدهاي مشکوک را شناسايي کرده و در مقابل آن ها به دفاع برخيزد، فراهم مي آورند.
اگر قصد داريد از وب سايت خودتان در برابر آلوده شدن و تحويل کد مشکوک به مشتريان تان محافظت به عمل آوريد کمپاني هايي مثل Check Point و Barracuda Networks داراي قابليت هاي ديواره آتش برنامه کاربردي براي محافظت در برابر اين تهديد روزافزون هستند. ساير راه حل ها نظير برنامه ضد اسپم،ويروس و ديواره آتش spyware کمپاني Barracuda Networks مي تواند به محافظت از ترافيک ورودي و خروجي شبکه شما کمک کند. اين محافظت شامل کوشش براي ارسال اسپم يا برگشت داده هاي spyware هم مي شود.
شما همچنين مي توانيد با استفاده از راه حل هاي مديريت ترافيک نظير چيزي که Allot عرضه مي کند بوت ها را تشخيص دهيد. آن ها قادر هستند الگوهاي ترافيک، حتي الگوهاي ماسک شده ترافيک را که مي تواند فعاليت بوت محسوب شود تشخيص دهند.
سيستم هاي هوشمند شبکه نظير آن هايي که Loglogic يا ArcSight ارائه مي کنند نيزمي توانند به شما کمک کنند. آن ها مي توانند در کنار هم قرار گيرند و به شما اجازه دهند تمام اطلاعات log روي شبکه را تحليل کنيد و هرگونه رفتار غيرعادي را تشخيص دهيد.
چنان چه در مورد آلوده شدن به بوت نت ها نگران هستيد وب سايت هايي مثل Spamhaus.org چگونگي تشخيص و از بين بردن بوت نت ها را براي شما تشريح مي کنند. در سطح تجاري، برخي از راه حل هايي که در بالا تشريح کرديم آلودگي ها را نيز پاک مي کنند. در سطح شخصي، کمپاني هايي مثل Kaspersky Lab و Webroot با هزينه اندکي از شما محافظت مي کنند.
نياز به عمل
اين يک روش مشتري مدار نيست و اثر اندکي دارد زيرا راه حل هايي مثل ServiceProtector از Allot که به شکل مؤثري بوت نت ها را خنثي مي کند و از ارسال اسپم از کامپيوتر مشتريان جلوگيري مي کند و از رسيدن اسپم به آن ها نيزجلوگيري به عمل مي آورد براي فراهم کنندگان سرويس ها وجود دارد و از همه اين ها مهم تر فراهم کنندگان سرويس و فعاليت هاي تجاري را در مقابل حملات DDoS محافظت مي کند و بهانه اندکي براي آن ها باقي مي گذارد تا از انجام اقدامات پيش گيرانه سرباز زنند.
اگرچه درحال حاضر براي نبرد با بوت نت ها اقدامات ديگري نيز در دست انجام است. اخيراً Messaging Anti-Abuse Working Group بهترين راه حل ها و کوشش ها براي جنگيدن با بوت نت ها را منتشر کرده است. Internet Engineering Task Force يا IETF نيز برخي از اين کوشش ها را منتشر نموده است. و بسياري از سازمان هاي بزرگ به شکل روزافزوني در حال به کارگيري اقدامات پيش گيرانه در اين زمينه هستند. با افزايش فشار، به نظر مي رسد در سال هاي پيش رو شاهد حرکت هاي قابل توجهي براي مقابله با تهديد بوت نت باشيم.
منبع:نشريه بزرگراه رايانه، شماره 132.
/ج
مقالات مرتبط
تازه های مقالات
ارسال نظر
در ارسال نظر شما خطایی رخ داده است
کاربر گرامی، ضمن تشکر از شما نظر شما با موفقیت ثبت گردید. و پس از تائید در فهرست نظرات نمایش داده می شود
نام :
ایمیل :
نظرات کاربران
{{Fullname}} {{Creationdate}}
{{Body}}