امنیت رایانه

از ویکی‌پدیا، دانشنامهٔ آزاد
پرش به: ناوبری، جستجو

امنیت رایانه‌ای با نام‌های امنیت سایبری و امنیت فناوری اطلاعات نیز شناخته می‌شود. به گونه‌ای که حفاظت از سیستمهای اطلاعات از سرقت یا صدمه به سخت‌افزار، نرم‌افزار و اطلاعات نرم‌افزاری و محافظت در برابر حمله محروم‌سازی از سرویس (اختلال) و بات‌نت ها (گمراهی) به عنوان پارامترهایی است که امنیت رایانه ای آن را تأمین می‌نماید.[۱]
این سطح از امنیت شامل کنترل دسترسی فیزیکی به سخت‌افزار، و همچنین به عنوان محافظت در برابر آسیب‌هایی که ممکن است از طریق دسترسی به شبکه، داده‌ها و تزریق کد روی دهد بکار گرفته می‌شود.[۲] که قصور اپراتورها چه عمدی و چه اتفاقی یا انحراف این اپراتورها از روال‌های امنیتی که باعث فریب خوردن آنها می‌شود چنین آسیب‌هایی را رقم می‌زند.[۳] با توجه به افزایش وابستگی به سیستم‌های کامپیوتری و اینترنت در اکثر جوامع[۴] ،شبکه‌های بیسیم مانند بلوتوث و وای فای و رشد وسایل هوشمند مانند تلفن‌های هوشمند و تلویزیون هاو وسایل کوچک مانند اجزای مربوط به اینترنت اشیاء امنیت رایانه‌ای اهمیت رو به رشدی پیدا کرده است.

آسیب‌پذیری و حمله‌ها[ویرایش]

یک آسیب‌پذیری می‌تواند حساسیت یا نقص یک سیستم باشد. اطلاعات آسیب‌پذیری دربانک اطلاعاتی آسیب‌پذیری‌های متدوال و قرار گرفتن در معرض آنها (Common Vulnerabilities and Exposures) قرار دارد. آسیب‌پذیری استثمارشونده یکی از آسیب‌پذیری‌های قابل اشاره است که زمینه را برای حمله فراهم می‌کند. اصطلاحاً در این حالت اکسپلویت وجود دارد.[۵] برای اینکه یک سامانه رایانه‌ای را ایمن کنیم. این نکته خیلی مهم است که حملاتی را که می‌توانند در برابر آن ساخته می‌شوند را بفهمیم و این تهدیدها نوعاً می‌تواند در دسته‌بندی زیر قرار بگیرد:

درب پشتی یا بک دور[ویرایش]

درب پشتی در یک سامانه رایانه‌ای، یک سیستم رمز نگاری یا یک الگوریتم است. این مقوله به هر روش مخفی دور زدن نرمال احراز هویت یا کنترل‌های امنیتی گفته می‌شود. درب‌های پشتی ممکن است به دلایل مختلفی مثل طراحی اصلی و فقر پیکربندی وجود داشته باشند. این امکان وجود دارد که دربهای پشتی توسط شخص مجاز که اجازه اعطای دسترسی‌های مشروع را می‌دهد یا توسط یک مهاجم به دلایل مخرب اضافه شده باشد.

حمله محروم سازی از سرویس[ویرایش]

حمله محروم سازی از سرویس به این منظور طراحی می‌شود که ماشین یا منابع شبکه را از دسترس کاربران نهایی خارج کند.[۶] مهاجمان می‌توانند سرویس دهی به قربانیان منحصربفرد را رد کنند مانند اینکه عمداً بصورت متوالی رمز عبور کاربر را اشتباه وارد می‌کنند تا حساب کاربری قربانی قفل شود یا ممکن است از قابلیتها و توانمندیهای ماشین یا شبکه بیش از حد متناسب و نرمال استفاده کنند بگونه‌ای که در یک لحظه استفاده از سرویس برای کاربران غیرممکن شود و تمامی کاربران را دریک لحظه بلاک کنند. ما می‌دانیم که می‌توان با اضافه کردن یک رول مشخص در فایروال حمله‌ای که از سوی یک آی پی آدرس انجام می‌شود را بلاک کرد حالا این موضوع قابل طرح است که شکلهای مختلفی از حمله توزیع شده محروم سازی از سرویس امکان‌پذیر هستند. به این حملات حملات دیداس نیز گفته می‌شود. حالا در جایی که حمله از تعداد زیادی از نقاط صورت می‌گیرد دفاع در برابر این نوع از حملات سخت‌تر می‌شود مثل حملاتی که سرچشمه آنها رایانه‌های زامبی می‌باشد از یک بات‌نت هستند. ترتیبی از روشهای ممکن دیگر می‌توانند شامل انعکاس و تقویت حملات باشند با ذکر این مثال که سامانه‌های بی گناه جریانی از ترافیک را مانند سیل به سمت رایانه قربانی روانه می‌کنند.

حمله‌های دسترسی مستقیم[ویرایش]

یک کاربر غیرمجاز دسترسی فیزیکی به یک رایانه را بدست می‌آورد؛ و به احتمال زیاد قادر خواهد بود به طور مستقیم کپی داده‌ها را از روی آن انجام دهد. آنها ممکن است امنیت سامانه را به وسیله ایجاد تغییرات در سیستم‌عامل، نصب کرم‌های نرم‌افزاری، کی‌لاگر، دستگاه شنود یا با استفاده از ماوس‌های بی‌سیم[۷] حتی زمانی که سامانه توسط تدابیر امنیتی مورد محافظت هستند را در اختیار بگیرند. این حملات ممکن است بوسیله بوت شدن یک سیستم عامل دیگر یا اجرا شدن یک نرم‌افزار از روی یک سی دی رام و دیگر رسانه‌هایی که قابلیت بوت شدن را دارند به سمت رایانه قربانی پاسکاری شوند. رمزگذاری دیسک و ماژول پلتفرم قابل اطمینان برای جلوگیری از این حملات طراحی شده‌اند.

استراق سمع یا شنود[ویرایش]

شنود یا استراق سمع به عمل مخفیانه گوش دادن به مکالمه خصوصی دیگران بدون رضایت آنها گفته می‌شود که این عمل در اینجا بین میزبانهای درون یک شبکه رخ می‌دهد. برای مثال برنامه‌هایی مانند Cornivore و ناروس اینسایت(NarusInsight)توسط اف بی ای وآژانس امنیت ملی ایالات متحده آمریکا به منظور شنود سامانه‌های تامین کنندگان خدمات اینترنتی بکارگرفته می‌شود. حتی اگر ماشین‌ها عملکردشان مثل یک سیستم بسته باشد. (به عنوان مثال آنها هیچ گونه ارتباطی با جهان خارج نداشته باشند). آنها می‌توانند از طریق امواج الکترو مغناطیسی ضعیفی که انتقال می‌دهند مورد شنود قرار بگیرند. تمپست مشخصه‌ای است که توسط آژانس امنیت ملی ایالات متحده آمریکابرای چنین حمله‌هایی مورد استفاده قرار می‌گیرد.

حمله جعل[ویرایش]

حمله جعل یا Spoofing در حالت عمومی یک عمل جعلی و مخرب در ارتباطات است که از یک منبع ناشناخته مبدل به یک منبع شناخته شده به گیرنده فرستاده می‌شود. Spoofing در مکانیزم‌های ارتباطی که فاقد سطح بالایی از امنیت هستند شایع است.[۸]

دستکاری[ویرایش]

دستکاری تغییر مخربی از محصولات را توضیح می‌دهد؛ که به آن حملات زن شرور گفته می شودبه عنوان مثال سرویس‌های امنیتی با قابلیت نظارت درون روتر قرار می‌گیرند.[۹]

ترفیع امتیازی[ویرایش]

ترفیع امتیازی وضعیتی را تشریح می‌کند که در آن یک حمله کننده با دسترسی‌های محدود قادر است بدون هیچ مجوزی سطح دسترسی خود را افزایش دهد. برای مثال کاربر یک رایانه استاندارد ممکن است سامانه را برای دسترسی به داده‌های محدود شده فریب بدهد. یا یک «کاربر ممتاز» (super user) بشود و دسترسی نامحدودی را به سامانه پیدا کند.

فیشینگ[ویرایش]

Phishing-Initiative

فیشینگ روشی است که تلاش می‌کند تا اطلاعات حساس مانند نام کاربری، کلمه عبور، و جزئیات کارت اعتباری را به طور مستقیم از کاربران بدست آورد.[۱۰] فیشینگ معمولاً توسط رایانامه‌نگاری متقلبانه و پیام‌رسانی فوری انجام می‌شود. و اغلب کاربران را به وارد کردن جزئیات در یک وب سایت جعلی که خیلی شبیه به وب سایت اصلی است هدایت می‌کند. در این حالت این اعتماد قربانی است که شکار می‌شود. فیشینگ به عنوان نوعی ازمهندسی اجتماعی دسته‌بندی می‌شود.

سرقت کلیک[ویرایش]

سرقت کلیک به عنوان حمله (اصلاح یا دوباره پوشیدن) واسط کاربری یا User Interface Redress Attack گفته می‌شود. این یک روش مخرب است که در آن حمله کننده کاربر را فریب می‌دهد تا بر روی دکمه یا پیوند یک صفحه وب دیگری کلیک کند درست هنگامی که همان کاربر قصد دارد بر روی سطح بالای صفحه کلیک کند. این روش با استفاده از لایه‌های شفاف و کدر متعدد عملی می‌شود. حمله کننده یا متجاوز اساساً کلیک‌هایی که قرار است بالای صفحه بخورد را می‌رباید و کاربران را به سمت صفحات نامربوط که متعلق به اشخاص دیگری است هدایت می‌کند. این روش خیلی شبیه روشی است که از آن برای ربایش کلید استفاده می‌شود تهیه یک پیش نویس با دقت از شیوه نامه ها، آی فریم‌ها، کلیدها، تکست باکس، به گونه‌ای که یک کاربر به مسیر مورد اعتمادی هدایت شود که در آنجا گذرواژه یا دیگر اطلاعات را تایپ کند درست هنگامی که به یک فریم پنهان وارد شده و آن فریم توسط شخص حمله کننده در حال کنترل است.

مهندسی اجتماعی[ویرایش]

Social engineering

هدف مهندسی اجتماعی این است که کاربر را متقاعد کند تا چیزهای سری مثل پسوردش یا شماره‌های کارت اعتباری اش را فاش کند. به عنوان مثال جعل هویت یک بانک، یک پیمانکار و یک مشتری می‌تواند از روش‌های مورد استفاده مهندسی اجتماعی باشد.[۱۱] یک کلاهبرداری محبوب و سودآور که در آن ایمیل‌هایی از سوی مدیرعامل جعلی یک شرکت برای بخش مالی و حسابداری همان شرکت فرستاده می‌شود. در اوایل سال ۲۰۱۶ اف‌بی‌آی گزارش کرد که در زمینه کلاهبرداری در مشاغل در حدود ۲ سال بیش از ۲ میلیارد دلار هزینه شده است.[۱۲] در می ۲۰۱۶ میلواکی باکس یکی از تیم‌های ان بی ای قربانی این روش با عنوان کلاهبرداری سایبری گردید. این عمل با جعل هویت رئیس این تیم با نام پیتر فیگین انجام شد. در نتیجه فرمهای مالیاتی دبلیو - ۲ سال ۲۰۱۵ همه کارکنان تیم تحویل داده شد.[۱۳]

ریسک سامانه‌ها[ویرایش]

امنیت رایانه‌ای تقریباً در هر صنعتی که از رایانه‌ها استفاده می‌کند امری مهم به شمار می‌رود. اخیراً بیشتر وسایل الکترونیکی مثل رایانه‌ها لپ تاپ‌ها و تلفن‌های همراه طوری هستند که از ابتدا نرم‌افزارهای دیواره آتش بر روی آنها نصب شده است. با وجود این رایانه‌ها برای محافظت از داده‌های ما صد درصد مستقل و دقیق عمل نمی‌کنند. (اسمیت و همکاران ،۲۰۰۴). راه‌های مختلفی برای هک کردن رایانه‌ها وجود دارد ای کار از طریق سامانه شبکه انجام می‌پذیرد می‌توان به کلیک کردن بر روی لینکهای نا شناس ارتباط برقرار کردن با وای فای ناشناس دانلود کردن فایلها و نرم‌افزارها از وبسایتهای مشکوک مصرف کردن برق امواج رادیویی الکترومغناطیسی و موارد دیگر در این زمینه اشاره کرد. به این ترتیب رایانه‌ها می‌توانند از طریق نرم‌افزارها و سخت‌افزارهای خوب با داشتن تعامل داخلی قوی از مالکیت‌ها پیچیدگی نرم‌افزار که می‌تواند مانع خطاهای امنیتی شود محافظت شوند.[۱۴]

سامانه‌های مالی[ویرایش]

وب سایتها و اپلیکیشن‌ها که شماره‌های کارت‌های اعتباری حساب‌های کارگزاری و اطلاعات حسابهای بانکی را می‌پذیرند اهداف برجسته‌ای برای هک کردن می‌باشند. از آنجاییکه پتانسیل موجود برای کسب سود مالی فوری از طریق انتقال پول، ایجاد خرید کردن یا فروش اطلاعات در بازار سیاه[۱۵] در سامانه پرداخت فروشگاهی وجود دارد. همچنین می‌توان اشاره کرد. دستگاه‌های خودپرداز نیز به منظور جمع‌آوری اطلاعات مربوط به حساب مشتری و پین‌ها دستکاری شده‌اند و مورد سوءقصد قرار گرفته است.

صنایع همگانی (آب - برق و گاز) و تجهیزات صنعتی[ویرایش]

رایانه‌ها کارها و عملکردها را در بسیاری از صنایع همگانی کنترل می‌کنند. هماهنگی در صنعت مخابرات شبکه برق نیروگاه‌های هسته‌ای و باز و بسته شدن شیر فلکه در شبکه آب و گاز از جمله مواردی است که می‌توان به آن اشاره نمود. پتانسیل حمله احتمالی از طریق اینترنت به ماشین‌های متصل وجود دارد. اما کرم استاکس‌نت ثابت کرد که حتی تجهیزاتی که توسط رایانه‌های غیر متصل به اینترنت کنترل می‌شوند می‌توانند در برابر خسارت‌های فیزیکی ای که توسط ارسال دستورهای رایانه‌ای مخرب به سمت تجهیزات صنعتی ایجاد می‌گردد آسیب پذیر باشند. (در نمونه مورد نظر اشاره به سانتریفیوژهای غنی سازی اورانیوم هست). این آلودگی از طریق رسانه‌های قابل حمل مثل یو اس بی فلش رخ داد. در سال ۲۰۱۴ تیم آمادگی اضطراری رایانه که یکی از دپارتمان‌های وزارت امنیت داخلی ایالات متحده آمریکا محسوب می‌شود. تعداد ۷۹ هک رخ داده برروی کمپانی‌های انرژی را مورد بررسی قرار داد.[۱۶] آسیب‌پذیری موجود در کنتور هوشمند (در بسیاری از آنهایی که از خطوط تلفن سلولی یا رادیوهای محلی استفاده می‌کنند) می‌تواند موجب مشکل ایجاد تقلب در صورتحساب گردد.[۱۷]

هوانوردی[ویرایش]

صنعت هوانوردی به یک سری از سیستم‌های پیچیده متکی است که می‌تواند مورد حمله قرار بگیرد.[۱۸] قطع شدن ساده جریان برق در یک فرودگاه می‌تواند باعث پیامدهایی در سراسر جهان شود،[۱۹] بسیاری از سیستمها متکی بر انتقال رادیویی هستند که امکان اختلال در آنها وجود خواهد داشت،[۲۰] و با توجه به اینکه میزان نظارت رادارها در محدوده دریایی از ۱۷۵ به ۲۲۵ مایل قابل گسترش می‌باشد در نتیجه کنترل کردن هواپیماهایی که بر روی اقیانوس در حال پرواز هستند امری خطرناک به شمار می‌رود.[۲۱] همچنین می‌توان گفت که احتمال حمله از درون یک هواپیما نیز وجود خواهد داشت.[۲۲] محرمانگی و از دست رفتن یکپارچگی سامانه عواقب ناشی از یک حمله موفق خواهد بود؛ که که ممکن است به نگرانی‌های جدی تری مانند خروج داده‌های مهم و قطع شدن ارتباط کنترل ترافیک هوایی (مراقبت پرواز) منجر شود؛ که این پارامترها به نوبه خود می‌تواند منجر به تعطیلی فرودگاه، از دست دادن هواپیما، کشته شدن مسافران هواپیما، ویرانی و صدمه به ساختمانها (حادثه یازدهم سپتامبر - ویرانی برج‌های دوقلوی تجارت جهانی) و آسیب رسیدن به زیرساختهای حمل و نقل شود. یک حمله موفقیت آمیز بر روی یک سیستم هوانوردی نظامی که کار کنترل مهمات را به عهده دارد می‌تواند عواقب حتی جدی تری را به دنبال داشته باشد. اروپا حرکت به سوی ایجاد شبکه هوانوردی مرکزی را شروع کرده است.[۲۳] این سرویس بگونه‌ای است که شبکه مبتنی بر آی پی را در سر تا سر اروپا را با قابلیت ارتباطات داده‌ای و ردوبدل کردن پیام‌های صوتی فراهم می‌آورد. با ذکر این نکته خدمات بیشتر در سرویس‌های شبکه‌ای پان اروپایی جدید یا NewsPENS به چشم می‌خورد.[۲۴] ایالات متحده آمریکا برنامه‌ای شبیه به این را با نام NextGen را اداره می‌کند.[۲۵]

وسیله های مصرف کنندگان[ویرایش]

رایانه های رومیزی و لپ تاپ ها توسط بدافزار ها به منظور جمع کردن اطلاعات و رمزهای عبور یا ایجاد ساختار برای بات نت ها برای حمله کردن به هدفهای دیگر آلوده می شوند . تلفن های هوشمند، تبلت ها ، ساعت هوشمند، و دیگر دستگاه های همراه از قبیل دستگاه های کامپیوتری پوشیدنی (مانند دستگاه سنجش ضربان قلب ، دستگاه سنجش میزان کالری سوخته شده هنگام دویدن)می توانند تبدیل به هدف شوند.بسیاری از این دستگاه ها دارای حس گرهایی مثل دوربین ، میکروفون ، سیستم تعیین کننده موقعیت جغرافیایی (جی پی اس )،قطب نما و شتاب سنج هستند که می توانند مورد استثمار قرار بگیرند و اطلاعات و داده های خصوصی مانند اطلاعات وضعیت سلامتی فرد را جمع آوری کنند. وای فای ، بلوتوث ، شبکه های تلفن همراه می توانند به عنوان بردار حمله مورد استفاده قرار بگیرند و حس گرها می توانند بعد از نفوذ موفق از راه دور فعال شوند .[۲۶] وسایل مربوط به اتوماسیون خانگی مانند ترموستات های شرکت نِست پتانسیل لازم برای اینکه به عنوان هدف بکار روند را دارند.[۲۶]

کمپانی های بزرگ[ویرایش]

کمپانی های بزرگ به عنوان هدف های معمول و رایج به شمار می روند.در بسیاری از موارد این کمپانی ها بعنوان هدف برای بدست آوردن سود مالی از طریق سرقت هویت مصرف کنندگان در نظر گرفته می شوند . بعنوان مثال نفوذ به داده های کارت اعتباری میلیون ها نفر از مشتریان شرکت هوم دیپو[۲۷] ، استیپلز[۲۸] ، تارگت[۲۹] می توان اشاره کرد.

همچنین ببینید[ویرایش]


پانویس[ویرایش]

  1. Gasser, Morrie. Building a Secure Computer System. Van Nostrand Reinhold, 1988. 3. ISBN ‎0-442-23022-2. Retrieved 20 September 2016. 
  2. "Definition of computer security". Encyclopedia. Ziff Davis, PCMag. Retrieved 20 September 2016. 
  3. Rouse, Margaret. "Social engineering definition". TechTarget. Retrieved 6 September 2015. 
  4. "Reliance spells end of road for ICT amateurs", May 07, 2013, The Australian
  5. "Computer Security and Mobile Security Challenges" (pdf). researchgate.net. Retrieved 2016-08-04. 
  6. "Distributed Denial of Service Attack". csa.gov.sg. Retrieved 12 November 2014. 
  7. Wireless mouse leave billions at risk of computer hack: cyber security firm
  8. [۱]
  9. Gallagher, Sean (May 14, 2014). "Photos of an NSA "upgrade" factory show Cisco router getting implant". Ars Technica. Retrieved August 3, 2014. 
  10. "Identifying Phishing Attempts". Case. 
  11. Arcos Sergio. "Social Engineering". 
  12. Scannell, Kara (24 Feb 2016). "CEO email scam costs companies $2bn". Financial Times (25 Feb 2016). Retrieved 7 May 2016. 
  13. "Bucks leak tax info of players, employees as result of email scam". Associated Press. 20 May 2016. Retrieved 20 May 2016. 
  14. J. C. Willemssen, "FAA Computer Security". GAO/T-AIMD-00-330. Presented at Committee on Science, House of Representatives, 2000.
  15. Financial Weapons of War, Minnesota Law Review (2016), available at: http://ssrn.com/abstract=2765010
  16. Pagliery, Jose. "Hackers attacked the U.S. energy grid 79 times this year". CNN Money. Cable News Network. Retrieved 16 April 2015. 
  17. https://www.securestate.com/blog/2012/02/16/vulnerabilities-in-smart-meters
  18. P. G. Neumann, "Computer Security in Aviation," presented at International Conference on Aviation Safety and Security in the 21st Century, White House Commission on Safety and Security, 1997.
  19. J. Zellan, Aviation Security. Hauppauge, NY: Nova Science, 2003, pp. 65–70.
  20. "Air Traffic Control Systems Vulnerabilities Could Make for Unfriendly Skies [Black Hat] - SecurityWeek.Com". 
  21. "Hacker Says He Can Break Into Airplane Systems Using In-Flight Wi-Fi". NPR.org. 4 August 2014. 
  22. Jim Finkle (4 August 2014). "Hacker says to show passenger jets at risk of cyber attack". Reuters. 
  23. "Pan-European Network Services (PENS) - Eurocontrol.int". 
  24. "Centralised Services: NewPENS moves forward - Eurocontrol.int". 
  25. "NextGen Program About Data Comm - FAA.gov". 
  26. ۲۶٫۰ ۲۶٫۱ "Is Your Watch Or Thermostat A Spy? Cybersecurity Firms Are On It". NPR.org. 6 August 2014. 
  27. Melvin Backman (۱۸ سپتامبر ۲۰۱۴). "Home Depot: 56 million cards exposed in breach". CNNMoney.  Check date values in: |date= (help)
  28. "Staples: Breach may have affected 1.16 million customers' cards". Fortune.com. December 19, 2014. Retrieved 2014-12-21. 
  29. "Target security breach affects up to 40M cards". Associated Press via Milwaukee Journal Sentinel. 19 December 2013. Retrieved 21 December 2013. 

منابع[ویرایش]