جنايت هاي سايبري

در مورد اين که چرا آدرس IP به هيچ وجه ايمن نيست و چرا روش هاي مقابله سنتي نظيرديواره هاي آتش،برنامه هاي ضدويروس و تشخيص حمله و تهاجم شکست مي خورند چه مي دانيد؟ آيا دوست داريد روش هاي جديدي را که به طور فعال شما را درمقابل حملات محافظت مي کنند فرا بگيريد؟ اگر پاسخ تان مثبت است، به جاي درستي مراجعه کرده ايد.
پنجشنبه، 15 ارديبهشت 1390
تخمین زمان مطالعه:
موارد بیشتر برای شما
جنايت هاي سايبري

جنايت هاي سايبري
جنايت هاي سايبري


 





 
در مورد اين که چرا آدرس IP به هيچ وجه ايمن نيست و چرا روش هاي مقابله سنتي نظيرديواره هاي آتش،برنامه هاي ضدويروس و تشخيص حمله و تهاجم شکست مي خورند چه مي دانيد؟ آيا دوست داريد روش هاي جديدي را که به طور فعال شما را درمقابل حملات محافظت مي کنند فرا بگيريد؟ اگر پاسخ تان مثبت است، به جاي درستي مراجعه کرده ايد.
اول اجازه دهيد کار را با بيان تفاوت جنايت سنتي با جنايت سايبري آغاز کنيم. بين جنايت در دنياي واقعي و جنايات سايبري روش شناسي هاي موازي وجود دارد و پاردايم ديجيتال از طريق پروتکل هاي اينترنتي شامل وب جهان گستر تعريف مي شود.
به عنوان مثال تکنيک هاي جنايت سنتي شامل سرقت، تقلب، سرقت هويت و سوء استفاده از کودکان مي شود. در جنايت سايبري نيز ما همين موارد را به واسطه هکينگ، Phishing، سوء استفاده از اينترنت، تقلب در اينترنت، سرقت هويت و سوء استفاده از کودکان تجربه مي کنيم.
اگر سايت PrivacyRoghts.org را بازديد و بر روي Data Breaches کليک کنيد، متوجه خواهيد شد که بيش از 350 ميليون رکورد اطلاعات شخصي قابل تشخيص( personally identifiable information) يا PII گم شده، به سرقت رفته و هک شده است. اين اطلاعات به تنهايي در ايالات متحده آمريکا به بيرون درز کرده است. بنابراين هنوز هم فکر مي کنيد ايمن هستيد و يا اعتقاد داريد که برنامه ضد ويروس و ديواره آتش شما واقعاً قادر است شبکه يا کامپيوتر شخصي شما را محافظت کند؟

فراگيرشدن بدافزار( Malware)
 

بخش اعظمي از درز اطلاعات به بيرون به دليل بدافزارهاي جديد و بدافزارهايي که بسيار خلاقانه هستند،رخ مي دهد. بنابراين اجازه دهيد کارمان را با تشريح اصول بدافزارها آغاز کنيم.بدافزار چيست؟ آيا يک ويروس، اسب تروا، کرم، rootkit، بوت نت، زامبي، Keylogger adware يا spyware است؟ بدافزار همه اين ها را در برمي گيرد و برخي از آن ها در چيزي که به نام blended threats نيز شناخته مي شود، تلفيق مي شوند.
آيا کامپيوتر شما به بدافزار آلوده شده است؟ به احتمال بسيارزياد چنين اتفاقي رخ داده است زيرا همان طور که نتايج يک تحقيق نشان مي دهد در هر روز حدود 30000 کامپيوتر در حاليکه ديواره هاي آتش و برنامه هاي ضدويروس را اجرا مي کنند به بدافزارهاي جديد که zero-day ناميده مي شود، آلوده مي گردند( Zero-day به معناي روز انتشاربدافزار و قبل از آنکه يک سازنده برنامه ضدويروس، يک signature test براي روي انجام داده باشد، است).
آيا فکر مي کنيد برخي از سايت هايي که بازديد کرده ايد،ممکن است به بدافزار آلوده باشند؟ حداقل نيمي از 100 سايت برتر، خصوصاً سايت هاي شبکه هاي اجتماعي نظير Facebook يا YouTube که از محتوايي که توسط کاربران ايجاد مي شود پشتيباني مي کنند، محملي براي انتشار بدافزار و تقلب هستند. بر روي Facebook و MySpace و ساير سايت هاي شبکه هاي اجتماعي، حسي قوي از اعتماد وجود دارد.
آيا صورت حساب هاي خود را به صورت آن لاين پرداخت مي کنيد؟ تبهکاران، کنترل وب سايت CheckFree را به دست گرفتند و سعي کردند کاربران را به وب سايتي در اوکراين که کوشش مي کرد بدافزار را بر روي کامپيوتر کاربران نصب کند، هدايت کنند. CheckFree بيش از 24 ميليون مشتري دارد و بين 70 تا 80 درصد از بازار پرداخت آن لاين را به خود اختصاص داده است. بيش تر بدافزارهاي جديد به شکلي طراحي شده اند که از طريق USB منتشر شوند.به عنوان مثال، قاب عکسي که از Wallmart خريده ايد و از طريق درگاه USB به کامپيوتر شما متصل مي شود ممکن است ناقل يک بدافزار zero-day چيني باشد. علاوه بر اين، آن ها با استفاده از پروتکل Structured Message Block يا SMB که شامل فايل سرورهاي لينوکس و ويندوز و وسائل ذخيره سازي متصل به شبکه مي شود راه خود را به فايل سرورها پيدا مي کنند و وارد آن ها مي شوند. برخي از اين بدافزارها بسيار پيچيده هستند و فايل هاي داده اي مثل pdf. و mp3. و wav. و xls. و doc و ساير فايل ها را به منظور آلوده کردن آن ها پيدا مي کنند و زماني که فرد ديگري آن ها را باز مي کند آن فرد نيز آلوده مي شود.
تصور نکنيد درخانه تان نيز ايمن هستيد. شبکه هاي کابلي هم از طريق peer attackerها مورد تهاجم قرار مي گيرند. در اغلب اوقات يک telecommuter مطمئن از يک لپ تاپ غيرايمن و هک شده در کنار يک key logger که به شکل ايمن از طريق يک تونل VPN رمز شده وارد شبکه شما شده است، استفاده مي کند.

Cloud Computing: مکان مناسبي براي يک بدافزار
 

اجازه دهيد بگويم که ابر يا Cloud نيز مکان مناسبي براي جلب يک بدافزار است. چرا؟ به دليل اين که Cloud Computing پارادايم ريسک پذيري را تغيير داده است. ابر در قبال عملکرد تجاري قوي، سرباره اندکي ارائه مي کند. در عوض شما با ريسک درز داده ها، حملات از طريق ابر و آلودگي ابر روبرو مي شويد. در اغلب موارد شما به واسطه مفاهيم مستتر در واژه « راه دور» يا Remote حتي متوجه بروزاين خطرات نيز نمي شويد.

شبکه سازي بي سيم امن نيز به سادگي هک مي شود
 

Wired Equivalent Privaceيا WEP اولين الگوريتم تجاري رمزگذاري بود و سعي مي کرد امنيت شبکه هاي بي سيم را با استفاده از پروتکل IEEE 802.11 تأمين کند. به دليل اين که شبکه هاي بي سيم پيام ها را با استفاده از امواج راديويي منتقل مي کنند در مقايسه با شبکه هاي محلي ساده تر شنود مي شوند. اين استاندارد در سال 1997 و به عنوان کوششي براي فراهم نمودن اطمينان( نظير قابليت اعتمادي که در شبکه هاي باسيم وجود داشت) منتشر شد.هرچند در کم تر از 4 سال نقاط ضعف گوناگوني در WEP کشف شد و امروزه در عرض چند دقيقه مي توان آن را هک کرد.
سپس، و فقط چند سال بعد در 2003، WPA(Wi-Fi Protected Access) منتشر شد و چندي بعد در سال 2004 به WPA2 ارتقاء پيدا کرد.امروز، هم WEP و هم WPA به طور گسترده مورد استفاده قرار دارند و هنوز هم با ابزار جديدي مثل BackTrack v4.0 هرکسي مي تواند در عرض چند دقيقه به يک شبکه بي سيم ايمن دسترسي پيدا کند. علاوه بر اين، اغلب مسيرياب هاي بي سيم داراي نقطه ضعف هاي شناخته شده اي هستند که به ( CVEs) Vulnerabilities and Exposures معروف است. حالا شما مي توانيد بدون اين که نگران شکسته شدن رمزگذاري باشيد از طريق ارسال بسته هايي که عمداً درست کار نمي کنند وارد اينترفيس Administrator يک شبکه بي سيم شويد. کافي است سايت NVD(National Vulnerability Database) را که در آدرس http://nvd.nist.gov قرار دارد بازديد و wireless را تايپ کنيد تا متوجه شويد اين حفره هاي امنيتي در کجا واقع شده اند.

آيا VoIP از بي سيم ايمن تر است؟
 

بنابراين اگر شبکه هاي بي سيم ايمن نيستند آيا VoIP به دليل اين که از نظر فيزيکي با سيم است، امن تر است؟ پاسخ اين سؤال منفي است. حفره هاي امنيتي زيادي در VoIP وجود دارد که مي توانيد آن ها را در NVD پيدا کنيد. شما مي توانيد با استفاده از ابزاري که به شکل رايگان و آن لاين در دسترس هستند از برخي از اين حفره ها سوء استفاده کنيد.اين ابزاربه شما اجازه مي دهند کنترل کنسول مديريتي سرور VoIP را با سوء استفاده از فقط يک CVE به دست بگيريد اما به خاطر داشته باشيد که اين تنها يکي از حفره هاي امنيتي است و شما مي توانيد از نقاط ضعف زيادي که در اين سيستم وجود دارد بهره بگيريد.
يکي از اين نقاط ضعف شناخته شده، Voice over Misconfigured IP Telephony است که به VOMIT معروف است و به شما اجازه مي دهد مکالماتي را که قبلاً انجام شده است، دوباره پخش کنيد. هکرها به راحتي از يوتيليتي هايي مثل wireshark استفاده مي کنند و يک فايل dump از ترافيک شبکه را ذخيره مي کنند و سپس فايل را از طريق VOMIT براي به دست آوردن يک فايل WAVE که به مکالمات قبلي مربوط مي شود اجرا مي نمايند.
در مورد ابزار ارتباطي بي سيم مثل Blackberry، يک iPhone يک iTouch يا يک iPad چه مي دانيد؟ اولين سؤال اين است: آيا آن ها واقعاً به شبکه corporate تعلق دارند؟ اگر چنين است،وقتي آن ها در کنار ساير ابزار سيار و لپ تاپ ها مي آيند و مي روند از کجا بايد متوجه اين نکته شد؟ چگونه بايد آن ها را از وارد کردن بدافزار به شبکه منع کرد؟ چگونه بايد از به کارگيري آن ها براي سرقت يا درز اطلاعات حياتي جلوگيري به عمل آورد؟ اگر شما نتوانيد آن ها را کنترل کنيد چگونه مي توانيد ادعا کنيد شبکه و داده هاي شما ايمن هستند؟ نمي توانيد اين کار را بکنيد. در واقع، هيچ چيزي که به آدرس IP مربوط شود ايمن نيست. تمام ابزاري که به IPمتکي هستند در معرض سوء استفاده قرار دارند. چرا؟ زيرا همه آن ها هدف هستند؛ آن ها مي توانند کشف شوند، آلوده شوند، از راه دور کنترل شوند و از قبل به يک بدافزار zero-day آلوده شده باشند.

تمام روش هاي مقابله سنتي شکست خورده اند
 

يوتيليتي هاي ضدويروس معمولاً بين 1 تا 7 روز عقب تر از تهديدات جاري بدافزارها هستند. با وجود بدافزارهاي امروزي، آن ها بدون اين که خودشان هم بدانند، آلوده مي شوند. کافي است AVKILLER را به عنوان يکي از 400000 نمونه بدافزار zero-day امتحان کنيد تا متوجه جدي بودن اين مشکل شويد. ديواره هاي آتش به عنوان بخشي از يک سوء استفاده به کار گرفته مي شوند زيرا داراي حفره هاي امنيتي متعددي هستند. سيستم هاي تشخيص تهاجم يا IDS(Intrusion Detection Systems) ترافيک ناشناس يا عجيب را « بعد از» اين که سيستم آلوده يا هک شده دروازه هايش را باز کرد تشخيص مي دهند. براي درک اين که چرا تمام روش هاي مقابله امنيتي شکست مي خورند شما بايد ريشه اصلي سوء استفاده را متوجه شويد. CVEها حفره هايي هستند که به طور مداوم از آن ها سوء استفاده مي شود. اجازه دهيد مثالي بزنم: اگرچه ممکن است signature 9000000 در بانک اطلاعاتي اسکنر برنامه ضدويروس McAfee يا Symantec شما وجود داشته باشد فقط در حدود CVE 43000 وجود دارد.
به عنوان مثال اگر فقط يکي از اين CVEها را مسدود کنيد مي توانيد 110000 وارياسيون بدافزار W32 را بلوکه کنيد. اگر شما سايت http://nvd.nist.gov را براي اين که از آسيب پذيري هاي سيستم تان آگاه شويد بازديد نکنيد،جنايت کاران سايبري حتماً اين کار را مي کنند زيرا هر چيزي که يک آدرس IP داشته باشد حتماً يک CEV دارد بنابراين شما بايد بفهميد کدام يک از اين ها حفره هاي امنيتي حياتي هستند و بايد آن ها را Patch، پيکره بندي مجدد و يا حذف کنيد. به اين کار system hardening( قوي کردن سيستم) نيز گفته مي شود و اغلب افراد به دليل مشغله و گرفتاري هاي روزمره از انجام اين کار سر باز مي زنند.
هميشه آماده باشيد و حالت تدافعي خود را حفظ کنيد و به سرعت عکس العمل نشان دهيد: ويروس هاي قديمي را پاک کنيد و در حاليکه حفره اي را باز مي کنيد حفره ديگر را وصله کنيد.ممکن است فکر کنيد مي توانيد با به کارگيري روش هاي سنتي نظير تيرها، پيکان ها و سپرها از قلعه تان محافظت کنيد اما جنايت کاران سايبري امروزي به قلعه شما پرواز مي کنند و از هليکوپتر آپاچي،دوربين هاي ديد در شب و يک Silencer بر عليه شما استفاده مي کنند.

دفاع کنش گرايانه: فرمول هاي سري را فرا بگيريد و از آن ها استفاده کنيد
 

من قبلاً فرمول هايي را براي کمک به درک چگونگي کم کردن خطرات و قوي ترکردن سيستم هاي شما بيان کردم. اولين فرمول، براساس تاکتيک هاي ابتدايي جنگ در ارتش ايالات متحده آمريکا است و چهار D نام دارد. آن ها عبارتند از:
Detect( تشخيص): آگاهي از يک تهديد
Deter( بازداشتن): پيش دستي کردن
Defend( دفاع): نبرد در زمان واقعي
Defeat( شکست دادن): برنده شدن در نبرد!
فرمول دوم در دايره امنيت شبکه بسيار مشهود است و فرمول ريسک يا Risk Formula نام دارد و به شرح زير است:
T(hreats)+ V(ulnerabilities) + A(ssets)=R(isk)
بنابراين براي درک کامل ريسک هايي که شما را تهديد مي کنند بايد با مسائل زير روبرو شويد:
Threats( تهديدات): جنايت کاران سايبري، بدافزار، تهديد افراد داخل سيستم
Vulnerabilities( آسيب پذيري ها): ضعف هايي که تهديدات از آن ها سوء استفاده مي کنند
Assets( دارايي ها): افراد، شبکه شما، ابزار و تجهيزات و غيره
حالا اجازه دهيد اين دو فرمول را در کنار هم قرار دهيم، چهار D و فرمول ريسک براي ايجاد يک دفاع پيش دستانه و مدرن:
{4Ds *T} + {4Ds* V} + 4Ds * A= 4Ds * R
شما هرگز نمي توانيد 100% ايمن باشيد اما مي توانيد به شکل قابل توجهي ريسک ها را کاهش دهيد و با اتخاذ روش هايي مثل کنترل تهديدات، آسيب پذيري ها و دارائي ها به شکل پيش دستانه اي از سازمان تان دفاع کنيد.

جنايت هاي سايبري

دفاع کنش گرايانه: آموزش و آگاهي کارمندان
 

با اين دو فرمول، شما هنوز هم بايد مهم ترين چالش امنيت شبکه يعني کارمندان آموزش نديده اي که به راحتي مي توان از آن ها سوء استفاده نمود را در نظر بگيريد. شما بايد کارمندان را به يک نشست آموزشي lunch and learn دعوت کنيد و اطلاعات لازم را در اختيار آنان قرار دهيد. حتي مي توانيد يک جايزه ساليانه براي بهترين کارمند INFOSECي که اقدامات کنش گرايانه سياست هاي امنيتي شما را رعايت کرده است در نظر بگيريد.
به خاطر داشته باشيد که اگر بتوانيد توجه کارمندان را به خوبي به اين نکات جلب کنيد آن ها آموزش هاي ارائه شده توسط شما را در اقدامات روزانه شان رعايت خواهند کرد. اين هدف واقعي شما است. يک برنامه چهار D و فرمول ريسک را راه اندازي کنيد تا تمام کارمندان سازمان شما براي محافظت از اطلاعات، به شما بپيوندند. « کانال امنيتي» خودتان را از طريق ايميل يا RSS راه اندازي کنيد و پيام هاي تان را به کارمندان ارسال کنيد. شما همچنين مي توانيد توصيه هاي امنيتي هوشمندانه اي براي آنان ارسال کنيد يا آن ها را از وجود اسکم هاي فيشينگ جديد آگاه کنيد.

دفاع کنش گرايانه- رمزگذاري قوي
 

بهترين روش، در نظر گرفتن تمامي مفاهيم ارتباطات الکترونيک و دست کاري داده ها از طريق فعاليت تجاري شما است. اين کار بايد شامل پيام رساني هاي کوتاه، انتقال فايل، ميتينگ هاي آن لاين و webinarها به علاوه ايجاد،تغيير،ذخيره سازي، حذف و بازيابي داده ها باشد. به عنوان مثال، رکورد مربوط به مشتريان چگونه ثبت مي شود؟ از نسخه هاي الکترونيکي ساير اطلاعات حياتي چگونه محافظت مي شود؟ تهيه نسخه پشتيبان از داده ها به تنهايي کافي نيست.
شما بايد يک VPN براي دسترسي بيروني به شبکه تان ايجاد کنيد. اطمينان پيدا کنيد سيستم هايي که از طريق تونل رمزگذاري شده به شبکه شما دسترسي پيدا مي کنند نيز ضعيف ترين لينک هاي موجود در زير ساختار شما نباشند بنابراين HIPS را در نقاط انتهايي به کار بگيريد. شما مي توانيد همه چيز را، از درايوهاي ديسک سخت و نشست هاي اي-ميل تا انتقال فايل ها رمزگذاري کنيد. ابزار رايگان بسيار زيادي نظير http://truecrypt.org براي درايوهاي سخت و http://www.openssl.org براي وب، اي- ميل و پيام رساني کوتاه به علاوه http://www.openpgp.org وجود دارد.
شما براي ذخيره سازي کليدها و دسترسي به کلمه هاي عبور به سياست هاي خاصي نياز داريد تا اگر کارمندان کلمه هاي عبور و کليدها را گم يا فراموش کردند راهي براي رمزگشايي اطلاعات، reset کردن کليدها يا تغيير کلمه هاي عبور در اختيار داشته باشيد. اگر گزينه هاي موجود را چک کنيد ممکن است به اين نتيجه برسيد که برخي از سرورها و سرويس هايي که از قبل اجرا مي کرده ايد گزينه رمزگذاري را ارائه مي کنند.

دفاع کنش گرايانه- کنترل دسترسي فيزيکي( PAC)
 

Piggybacking و tailgating عمده ترين ريسک هاي امنيت فيزيکي شبکه هستند. علاوه بر نياز به کنترل دسترسي فيزيکي (Physical Access Control) هوشمند، شما بايد اطمينان حاصل کنيد که راه حل PAC شما داده ها را از طريق شبکه با شما و راه حل NACتان به اشتراک مي گذارد. شما بايد مطمئن شويد که راه حل PAC شما از تائيد دو فاکتوري استفاده مي کند و اگر اتصالات TCP/IP شما مختل يا متوقف شوند سيستم PAC هنوز هم به طور مکانيکي با لاگ هاي دسترسي محلي کار مي کند.
دفاع کنش گرايانه- کنترل دسترسي به شبکه( Network Access Control) به دليل اين که بسياري از سوء استفاده ها در پشت ديواره هاي آتش اتفاق مي افتد، شما بايد کنترل دسترسي به شبکه يا NAC(Network Access Control) را نيز در نظر بگيريد. NAC به سادگي مشخص مي کند چه کسي به شبکه شما تعلق دارد و چه کسي به شبکه تعلق ندارد بنابراين بايد اطمينان حاصل کنيد که راه حل NAC شما چيزي را به سوء استفاده کنندگان رله نمي کند.

دفاع کنش گرايانه- سيستم جلوگيري از مهاجمان مبتني بر ميزبان( HIPS)
 

به دليل اين که بسياري از سيستم هاي ويندوز،علي الخصوص لپ تاپ ها دستکاري مي شوند شما بايد استفاده از Host-based Intrusion Prevention Systems يا HIPS را در نظر بگيريد. استفاده از HIPS، از عملکرد نرم افزارهاي مشکوک جلوگيري مي کند. تحول تدريجي نرم افزارهاي ضدويروس به شکلي است که موتور Signature آن ها هميشه عقب تر از جديدترين حملات بدافزاري قرار مي گيرد( حتي اگر سعي کنند از HIPS استفاده نمايند). به دنبال يک راه حل HIPS خالص که بتواند بدافزار zero-day را بدون نياز به ارتقاي signature تشخيص دهد باشيد. اين HIPS بايد از اشاعه بدافزار جلوگيري کند، بدافزار را در زمان واقعي قرنطينه کند و منابع پردازنده يا حافظه را مصرف نکند و PC کاربر نهايي را غيرقابل استفاده نکند.

خلاصه
 

جنايت و جنايت سايبري در واقع مفاهيم مشابه با نتايج مشابه هستند که فقط از محمل ها يا مديوم هاي متفاوت( فيزيکي در مقابل منطقي) بهره مي گيرند. سايت هاي وب، ايميل ها، پيام رساني کوتاه، تلفن ها، و ابزار سيار همه منبع جذب بدافزار هستند. اگر شما يک آدرس IP داشته باشيد « ايمن» نيستيد و تمام روش هاي مقابله سنتي در اين مسير شکست مي خورند! شما مي توانيد کارتان را با استفاده و درک چهار D و فرمول ريسک آغازکنيد.شما هرگز نمي توانيد 100% ايمن باشيد و هرگز نمي توانيد تمام تهاجم ها را بلوکه و متوقف کنيد بنابراين بر« دفاع در برابر تهاجم» و « مديريت ريسک» متمرکز شويد؛ به عبارت ديگر انتظار وقوع آن را داشته باشيد و از چهار D و فرمول ريسک براي خرابي هاي احتمالي استفاده کنيد. آموزش کارمندان که ضعيف ترين لينک هستند و مستند سازي سياست هاي امنيتي تان را فراموش نکنيد.
منبع:نشريه بزرگراه رايانه، شماره 132.




 



ارسال نظر
با تشکر، نظر شما پس از بررسی و تایید در سایت قرار خواهد گرفت.
متاسفانه در برقراری ارتباط خطایی رخ داده. لطفاً دوباره تلاش کنید.
مقالات مرتبط