امنیت رایانه

از ویکی‌پدیا، دانشنامهٔ آزاد
(تغییرمسیر از امنیت رایانه‌ای)
پرش به: ناوبری، جستجو
نوشتار(های) وابسته: امنیت فناوری اطلاعات

امنیت رایانه ای با نام های امنیت سایبری و امنیت فناوری اطلاعات نیز شناخته می شود. به گونه ای که حفاظت از سیستمهای اطلاعات از سرقت و یا صدمه به سخت افزار ، نرم افزار و اطلاعات نرم افزاری و محافظت در برابر حمله محروم‌سازی از سرویس(اختلال) و بات‌نت ها(گمراهی)به عنوان پارامترهایی است که امنیت رایانه ای آن را تامین می نماید.[۱]
این سطح از امنیت شامل کنترل دسترسی فیزیکی به سخت افزار، و همچنین به عنوان محافظت در برابرآسیب هایی که ممکن است از طریق دسترسی به شبکه،داده ها و تزریق کد روی دهد بکار گرفته می شود . [۲] که قصور اپراتور ها چه عمدی و چه اتفاقی و یا انحراف این اپراتورهااز روال های امنیتی که باعث فریب خوردن آنها می شود چنین آسیب هایی را رقم می زند .[۳] با توجه به افزایش وابستگی به سیستم های کامپیوتری و اینترنت در اکثر جوامع [۴] ،شبکه های بیسیم مانند بلوتوث و وای فای و رشد وسایل هوشمند مانند تلفن های هوشمند و تلویزیون هاو وسایل کوچک مانند اجزای مربوط به اینترنت اشیاء امنیت رایانه ای اهمیت رو به رشدی پیدا کرده است .

آسیب پذیری ها و حمله ها[ویرایش]

نوشتار(های) وابسته: آسیب‌پذیری (رایانه‌)

یک آسیب پذیری می تواند حساسیت و یا نقص یک سیستم باشد . اطلاعات آسیب پذیری ها دربانک اطلاعاتی آسیب پذیری های متدوال و قرار گرفتن در معرض آنها (Common Vulnerabilities and Exposures) قرار دارد . آسیب پذیری استثمار شوندگی یکی از آسیب پذیری های قابل اشاره است که زمینه را برای حمله فراهم می کند. اصطلاحن در این حالت اکسپلویت وجود دارد.[۵] برای اینکه یک سامانه رایانه ای را ایمن کنیم . این نکته خیلی مهم است که حملاتی را که می توانند در برابر آن ساخته می شوند را بفهمیم و این تهدیدها نوعن می تواند در دسته بندی زیر قرار بگیرد:

درب پشتی یا بک دور[ویرایش]

درب پشتی در یک سامانه رایانه ای ، یک سیستم رمز نگاری یا یک الگوریتم است .این مقوله به هر روش مخفی دورزدن نرمال احراز هویت یا کنترل های امنیتی گفته می شود . درب های پشتی ممکن است به دلایل مختلفی مثل طراحی اصلی و فقر پیکربندی وجود داشته باشند.این امكان وجود دارد که دربهای پشتی توسط شخص مجاز که اجازه اعطای دسترسی های مشروع را می دهد و یا توسط یک مهاجم به دلایل مخرب اضافه شده باشد.

حمله محروم سازی از سرویس[ویرایش]

حمله محروم سازی از سرویس به این منظور طراحی می شود که ماشین و یا منابع شبکه را از دسترس کاربران نهایی خارج کند..[۶] مهاجمان می توانند سرویس دهی به قربانیان منحصربفرد را رد کنند مانند اینکه عمدن بصورت متوالی رمز عبور کاربر را اشتباه وارد می کنند تا حساب کاربری قربانی قفل شود یا ممکن است از قابلیتها و توانمندیهای ماشین یا شبکه بیش از حد متناسب و نرمال استفاده کنند بگونه ای که در یک لحظه استفاده از سرویس برای کاربران غیرممکن شود و تمامی کاربران را دریک لحظه بلاک کنند. ما می دانیم که می توان با اضافه کردن یک رول مشخص در فایروال حمله ای که از سوی یک آی پی آدرس انجام می شود را بلاک کرد حالا این موضوع قابل طرح است که شکلهای مختلفی از حمله توزیع شده محروم سازی از سرویس امکان پذیر هستند . به این حملات حملات دیداس نیز گفته می شود. حالا در جایی که حمله از تعداد زیادی از نقاط صورت می گیرد دفاع در برابر این نوع از حملات سخت تر می شود مثل حملاتی که سرچشمه آنها رایانه های زامبی می باشد از یک بات‌نت هستند.ترتیبی از روشهای ممکن دیگر می توانند شامل انعکاس و تقویت حملات باشند با ذکر این مثال که سامانه های بی گناه جریانی از ترافیک را مانند سیل به سمت رایانه قربانی روانه می کنند.

حمله های دسترسی مستقیم[ویرایش]

یک کاربر غیر مجاز دسترسی فیزیکی به یک رایانه را بدست می آورد. و به احتمال زیاد قادر خواهد بود به طور مستقیم کپی داده ها را از روی آن انجام دهد. آنها ممکن است امنیت سامانه را به وسیله ایجاد تغییرات در سیستم‌عامل ، نصب کرم های نرم افزاری ، کی‌لاگر ، دستگاه شنود یا با استفاده از ماوس های بی سیم [۷]حتی زمانی که سامانه توسط تدابیر امنیتی مورد محافظت هستند را در اختیار بگیرند.این حملات ممکن است بوسیله بوت شدن یک سیستم عامل دیگر و یا اجرا شدن یک نرم افزار از روی یک سی دی رام و دیگر رسانه هایی که قابلیت بوت شدن را دارند به سمت رایانه قربانی پاسکاری شوند. رمزگذاری دیسک و ماژول پلتفرم قابل اطمینان برای جلوگیری از این حملات طراحی شده اند.

استراق سمع یا شنود[ویرایش]

شنود یا استراق سمع به عمل مخفیانه گوش دادن به مکالمه خصوصی دیگران بدون رضایت آنها گفته می‌شود که این عمل در اینجا بین میزبانهای درون یک شبکه رخ می دهد . برای مثال برنامه هایی مانند کارنیور(Cornivore) و ناروس اینسایت(NarusInsight)توسط اف بی ای وآژانس امنیت ملی ایالات متحده آمریکا به منظور شنود سامانه های تامین کنندگان خدمات اینترنتی بکارگرفته می شود.حتی اگر ماشین ها عملکردشان مثل یک سیستم بسته باشد.( به عنوان مثال آنها هیچ گونه ارتباطی با جهان خارج نداشته باشند). آنها می توانند از طریق امواج الکترو مغناطیسی ضعیفی که انتقال می دهند مورد شنود قرار بگیرند.تمپست مشخصه ای است که توسط آژانس امنیت ملی ایالات متحده آمریکابرای چنین حمله هایی مورد استفاده قرار می گیرد.

حمله جعل[ویرایش]

حمله جعل یا Spoofing در حالت عمومی یک عمل جعلی و مخرب در ارتباطات است که از یک منبع ناشناخته مبدل به یک منبع شناخته شده به گیرنده فرستاده می شود. Spoofing در مکانیزم های ارتباطی که فاقد سطح بالایی از امنیت هستند شایع است. [۸]

دستکاری[ویرایش]

دستکاری تغییر مخربی از محصولات را توضیح می دهد. که به آن حملات زن شرور گفته می شودبه عنوان مثال سرویس های امنیتی با قابلیت نظارت درون روتر قرار می گیرند. [۹]

ترفیع امتیازی[ویرایش]

ترفیع امتیازی وضعیتی را تشریح می کند که در آن یک حمله کننده با دسترسی های محدود قادر است بدون هیچ مجوزی سطح دسترسی خود را افزایش دهد . برای مثال کاربر یک رایانه استاندارد ممکن است سامانه را برای دسترسی به داده های محدود شده فریب بدهد. یا یک "کاربر ممتاز" (super user) بشود و دسترسی نامحدودی را به سامانه پیدا کند.

فیشینگ[ویرایش]

فیشینگ روشی است که تلاش می کند تا اطلاعات حساس مانند نام کاربری، کلمه عبور، و جزئیات کارت اعتباری را به طور مستقیم از کاربران بدست آورد.[۱۰] فیشینگ معمولا توسط رایانامه‌نگاری متقلبانه و پیام‌رسانی فوری انجام می شود.واغلب کاربران را به وارد کردن جزئیات در یک وب سایت جعلی که خیلی شبیه به وب سایت اصلی است هدایت می کند.در این حالت این اعتماد قربانی است که شکار می شود . فیشینگ به عنوان نوعی ازمهندسی اجتماعی دسته بندی می شود.

کلیک جکینگ[ویرایش]

کلیک جکینگ به عنوان حمله (اصلاح یا دوباره پوشیدن)واسط کاربری یا User Interface Redress Attack گفته می شود. این یک روش مخرب است که در آن حمله کننده کاربر را فریب می دهد تا بر روی دکمه یا پیوند یک صفحه وب دیگری کلیک کند درست هنگامی که همان کاربر قصد دارد بر روی سطح بالای صفحه کلیک کند. این روش با استفاده از لایه های شفاف و کدر متعدد عملی می شود. حمله کننده یا متجاوز اساسن کلیک هایی که قرار است بالای صفحه بخورد را می رباید و کاربران را به سمت صفحات نامربوط که متعلق به اشخاص دیگری است هدایت می کند. این روش خیلی شبیه روشی است که از آن برای ربایش کلید استفاده می شود تهیه یک پیش نویس با دقت از استایل شیتها ، آی فریم ها ، کلیدها ، تکست باکس ، به گونه ای که یک کاربر به مسیر مورد اعتمادی هدایت شود که در آنجا گذرواژه و یا دیگر اطلاعات را تایپ کند درست هنگامی که به یک فریم پنهان وارد شده وآن فریم توسط شخص حمله کننده در حال کنترل است .

مهندسی اجتماعی[ویرایش]

نوشتار(های) وابسته: دفاع در برابر مهندسی اجتماعی

هدف مهندسی اجتماعی این است که کاربر را متقاعد کند تا چیزهای سری مثل پسوردش یا شماره های کارت اعتباری اش را فاش کند. به عنوان مثال جعل هویت یک بانک یک پیمانکار و یک مشتری [۱۱] یک کلاهبرداری محبوب و سودآور که در آن ایمیل هایی از سوی مدیرعامل جعلی یک شرکت برای بخش مالی و حسابداری همان شرکت فرستاده می شود. در اوایل سال ۲۰۱۶ اف‌بی‌آی گزارش کرد که در زمینه کلاهبرداری در مشاغل بیش از ۲ میلیارد دلار در حدود ۲ سال هزینه شده است .[۱۲]

جستارهای وابسته[ویرایش]


منابع[ویرایش]

  1. Gasser, Morrie. Building a Secure Computer System. Van Nostrand Reinhold, 1988. 3. ISBN ‎0-442-23022-2. Retrieved 20 September 2016. 
  2. "Definition of computer security". Encyclopedia. Ziff Davis, PCMag. Retrieved 20 September 2016. 
  3. Rouse, Margaret. "Social engineering definition". TechTarget. Retrieved 6 September 2015. 
  4. "Reliance spells end of road for ICT amateurs", May 07, 2013, The Australian
  5. "Computer Security and Mobile Security Challenges" (pdf). researchgate.net. Retrieved 2016-08-04. 
  6. "Distributed Denial of Service Attack". csa.gov.sg. Retrieved 12 November 2014. 
  7. Wireless mouse leave billions at risk of computer hack: cyber security firm
  8. [۱]
  9. Gallagher, Sean (May 14, 2014). "Photos of an NSA "upgrade" factory show Cisco router getting implant". Ars Technica. Retrieved August 3, 2014. 
  10. "Identifying Phishing Attempts". Case. 
  11. Arcos Sergio. "Social Engineering". 
  12. Scannell, Kara (24 Feb 2016). "CEO email scam costs companies $2bn". Financial Times (25 Feb 2016). Retrieved 7 May 2016.