امنیت رایانه

از ویکی‌پدیا، دانشنامهٔ آزاد
(تغییرمسیر از امنیت رایانه‌ای)
پرش به: ناوبری، جستجو
نوشتار(های) وابسته: امنیت فناوری اطلاعات

امنیت رایانه ای با نام های امنیت سایبری و امنیت فناوری اطلاعات نیز شناخته می شود. به گونه ای که حفاظت از سیستمهای اطلاعات از سرقت و یا صدمه به سخت افزار ، نرم افزار و اطلاعات نرم افزاری و محافظت در برابر حمله محروم‌سازی از سرویس(اختلال) و بات‌نت ها(گمراهی)به عنوان پارامترهایی است که امنیت رایانه ای آن را تامین می نماید.[۱]
این سطح از امنیت شامل کنترل دسترسی فیزیکی به سخت افزار، و همچنین به عنوان محافظت در برابرآسیب هایی که ممکن است از طریق دسترسی به شبکه،داده ها و تزریق کد روی دهد بکار گرفته می شود . [۲] که قصور اپراتور ها چه عمدی و چه اتفاقی و یا انحراف این اپراتورهااز روال های امنیتی که باعث فریب خوردن آنها می شود چنین آسیب هایی را رقم می زند .[۳] با توجه به افزایش وابستگی به سیستم های کامپیوتری و اینترنت در اکثر جوامع [۴] ،شبکه های بیسیم مانند بلوتوث و وای فای و رشد وسایل هوشمند مانند تلفن های هوشمند و تلویزیون هاو وسایل کوچک مانند اجزای مربوط به اینترنت اشیاء امنیت رایانه ای اهمیت رو به رشدی پیدا کرده است .

آسیب پذیری ها و حمله ها[ویرایش]

نوشتار(های) وابسته: آسیب‌پذیری (رایانه‌)

یک آسیب پذیری می تواند حساسیت و یا نقص یک سیستم باشد . اطلاعات آسیب پذیری ها دربانک اطلاعاتی آسیب پذیری های متدوال و قرار گرفتن در معرض آنها (Common Vulnerabilities and Exposures) قرار دارد . آسیب پذیری استثمار شوندگی یکی از آسیب پذیری های قابل اشاره است که زمینه را برای حمله فراهم می کند. اصطلاحن در این حالت اکسپلویت وجود دارد.[۵] برای اینکه یک سامانه رایانه ای را ایمن کنیم . این نکته خیلی مهم است که حملاتی را که می توانند در برابر آن ساخته می شوند را بفهمیم و این تهدیدها نوعن می تواند در دسته بندی زیر قرار بگیرد:

درب پشتی یا بک دور[ویرایش]

درب پشتی در یک سامانه رایانه ای ، یک سیستم رمز نگاری یا یک الگوریتم است .این مقوله به هر روش مخفی دورزدن نرمال احراز هویت یا کنترل های امنیتی گفته می شود . درب های پشتی ممکن است به دلایل مختلفی مثل طراحی اصلی و فقر پیکربندی وجود داشته باشند.این امكان وجود دارد که دربهای پشتی توسط شخص مجاز که اجازه اعطای دسترسی های مشروع را می دهد و یا توسط یک مهاجم به دلایل مخرب اضافه شده باشد.

حمله محروم سازی از سرویس[ویرایش]

حمله محروم سازی از سرویس به این منظور طراحی می شود که ماشین و یا منابع شبکه را از دسترس کاربران نهایی خارج کند..[۶] مهاجمان می توانند سرویس دهی به قربانیان منحصربفرد را رد کنند مانند اینکه عمدن بصورت متوالی رمز عبور کاربر را اشتباه وارد می کنند تا حساب کاربری قربانی قفل شود یا ممکن است از قابلیتها و توانمندیهای ماشین یا شبکه بیش از حد متناسب و نرمال استفاده کنند بگونه ای که در یک لحظه استفاده از سرویس برای کاربران غیرممکن شود و تمامی کاربران را دریک لحظه بلاک کنند. ما می دانیم که می توان با اضافه کردن یک رول مشخص در فایروال حمله ای که از سوی یک آی پی آدرس انجام می شود را بلاک کرد حالا این موضوع قابل طرح است که شکلهای مختلفی از حمله توزیع شده محروم سازی از سرویس امکان پذیر هستند . به این حملات حملات دیداس نیز گفته می شود. حالا در جایی که حمله از تعداد زیادی از نقاط صورت می گیرد دفاع در برابر این نوع از حملات سخت تر می شود مثل حملاتی که سرچشمه آنها رایانه های زامبی می باشد از یک بات‌نت هستند.ترتیبی از روشهای ممکن دیگر می توانند شامل انعکاس و تقویت حملات باشند با ذکر این مثال که سامانه های بی گناه جریانی از ترافیک را مانند سیل به سمت رایانه قربانی روانه می کنند.

حمله های دسترسی مستقیم[ویرایش]

یک کاربر غیر مجاز دسترسی فیزیکی به یک رایانه را بدست می آورد. و به احتمال زیاد قادر خواهد بود به طور مستقیم کپی داده ها را از روی آن انجام دهد. آنها ممکن است امنیت سامانه را به وسیله ایجاد تغییرات در سیستم‌عامل ، نصب کرم های نرم افزاری ، کی‌لاگر ، دستگاه شنود یا با استفاده از ماوس های بی سیم [۷]حتی زمانی که سامانه توسط تدابیر امنیتی مورد محافظت هستند را در اختیار بگیرند.این حملات ممکن است بوسیله بوت شدن یک سیستم عامل دیگر و یا اجرا شدن یک نرم افزار از روی یک سی دی رام و دیگر رسانه هایی که قابلیت بوت شدن را دارند به سمت رایانه قربانی پاسکاری شوند. رمزگذاری دیسک و ماژول پلتفرم قابل اطمینان برای جلوگیری از این حملات طراحی شده اند.

استراق سمع یا شنود[ویرایش]

شنود یا استراق سمع به عمل مخفیانه گوش دادن به مکالمه خصوصی دیگران بدون رضایت آنها گفته می‌شود که این عمل در اینجا بین میزبانهای درون یک شبکه رخ می دهد . برای مثال برنامه هایی مانند کارنیور(Cornivore) و ناروس اینسایت(NarusInsight)توسط اف بی ای وآژانس امنیت ملی ایالات متحده آمریکا به منظور شنود سامانه های تامین کنندگان خدمات اینترنتی بکارگرفته می شود.حتی اگر ماشین ها عملکردشان مثل یک سیستم بسته باشد.( به عنوان مثال آنها هیچ گونه ارتباطی با جهان خارج نداشته باشند). آنها می توانند از طریق امواج الکترو مغناطیسی ضعیفی که انتقال می دهند مورد شنود قرار بگیرند.تمپست مشخصه ای است که توسط آژانس امنیت ملی ایالات متحده آمریکابرای چنین حمله هایی مورد استفاده قرار می گیرد.

حمله جعل[ویرایش]

حمله جعل یا Spoofing در حالت عمومی یک عمل جعلی و مخرب در ارتباطات است که از یک منبع ناشناخته مبدل به یک منبع شناخته شده به گیرنده فرستاده می شود. Spoofing در مکانیزم های ارتباطی که فاقد سطح بالایی از امنیت هستند شایع است. [۸]

دستکاری[ویرایش]

دستکاری تغییر مخربی از محصولات را توضیح می دهد. که به آن حملات زن شرور گفته می شودبه عنوان مثال سرویس های امنیتی با قابلیت نظارت درون روتر قرار می گیرند. [۹]

ترفیع امتیازی[ویرایش]

ترفیع امتیازی وضعیتی را تشریح می کند که در آن یک حمله کننده با دسترسی های محدود قادر است بدون هیچ مجوزی سطح دسترسی خود را افزایش دهد . برای مثال کاربر یک رایانه استاندارد ممکن است سامانه را برای دسترسی به داده های محدود شده فریب بدهد. یا یک "کاربر ممتاز" (super user) بشود و دسترسی نامحدودی را به سامانه پیدا کند.

فیشینگ[ویرایش]

فیشینگ روشی است که تلاش می کند تا اطلاعات حساس مانند نام کاربری، کلمه عبور، و جزئیات کارت اعتباری را به طور مستقیم از کاربران بدست آورد.[۱۰] فیشینگ معمولا توسط رایانامه‌نگاری متقلبانه و پیام‌رسانی فوری انجام می شود.واغلب کاربران را به وارد کردن جزئیات در یک وب سایت جعلی که خیلی شبیه به وب سایت اصلی است هدایت می کند.در این حالت این اعتماد قربانی است که شکار می شود . فیشینگ به عنوان نوعی ازمهندسی اجتماعی دسته بندی می شود.

کلیک جکینگ[ویرایش]

کلیک جکینگ به عنوان حمله (اصلاح یا دوباره پوشیدن)واسط کاربری یا User Interface Redress Attack گفته می شود. این یک روش مخرب است که در آن حمله کننده کاربر را فریب می دهد تا بر روی دکمه یا پیوند یک صفحه وب دیگری کلیک کند درست هنگامی که همان کاربر قصد دارد بر روی سطح بالای صفحه کلیک کند. این روش با استفاده از لایه های شفاف و کدر متعدد عملی می شود. حمله کننده یا متجاوز اساسن کلیک هایی که قرار است بالای صفحه بخورد را می رباید و کاربران را به سمت صفحات نامربوط که متعلق به اشخاص دیگری است هدایت می کند. این روش خیلی شبیه روشی است که از آن برای ربایش کلید استفاده می شود تهیه یک پیش نویس با دقت از استایل شیتها ، آی فریم ها ، کلیدها ، تکست باکس ، به گونه ای که یک کاربر به مسیر مورد اعتمادی هدایت شود که در آنجا گذرواژه و یا دیگر اطلاعات را تایپ کند درست هنگامی که به یک فریم پنهان وارد شده وآن فریم توسط شخص حمله کننده در حال کنترل است .

مهندسی اجتماعی[ویرایش]

نوشتار(های) وابسته: دفاع در برابر مهندسی اجتماعی
نوشتار(های) وابسته: رده:حمله‌های رمزنگاری

هدف مهندسی اجتماعی این است که کاربر را متقاعد کند تا چیزهای سری مثل پسوردش یا شماره های کارت اعتباری اش را فاش کند. به عنوان مثال جعل هویت یک بانک ، یک پیمانکار و یک مشتری می تواند از روش های مورد استفاده مهندسی اجتماعی باشد. [۱۱] یک کلاهبرداری محبوب و سودآور که در آن ایمیل هایی از سوی مدیرعامل جعلی یک شرکت برای بخش مالی و حسابداری همان شرکت فرستاده می شود. در اوایل سال ۲۰۱۶ اف‌بی‌آی گزارش کرد که در زمینه کلاهبرداری در مشاغل در حدود ۲ سال بیش از ۲ میلیارد دلار هزینه شده است .[۱۲] در می ۲۰۱۶ میلواکی باکس یکی از تیم های ان بی ای قربانی این روش با عنوان کلاهبردی سایبری گردید. این عمل با جعل هویت رییس این تیم با نام پیتر فیگین انجام شد. در نتیجه فرمهای مالیانی دبلیو - ۲ سال ۲۰۱۵ همه کارکنان تیم تحویل داده شد.[۱۳]

ریسک سامانه ها[ویرایش]

امنیت رایانه ای تقریبا در هر صنعتی که از رایانه ها استفاده می کند امری مهم به شمار می رود. اخیرن بیشتر وسایل اکترونیکی مثل رایانه ها لپ تاپ ها و تلفن های همراه طوری هستند که از ابتدا نرم افزارهای دیواره آتش بر روی آنها نصب شده است . با وجود این رایانه ها برای محافظت از داده های ما صد درصد مستقل و دقیق عمل نمی کنند. (اسمیت و همکاران ،۲۰۰۴) . راه های مختلفی برای هک کردن رایانه ها وجود دارد ای کار از طریق سامانه شبکه انجام می پذیرد می توان به کلیک کردن بر روی لینکهای نا شناس ارتباط برقرار کردن با وای فای ناشناس دانلود کردن فایلها و نرم افزار ها از وبسایتهای مشکوک مصرف کردن برق امواج رادیویی الکترومغناطیسی و موارد دیگر در این زمینه اشاره کرد. به این ترتیب رایانه ها می توانند از طریق نرم افزار ها و سخت افزارهای خوب با داشتن تعامل داخلی قوی از مالکیت ها پیچیدگی نرم افزار که می تواند مانع خطاهای امنیتی شود محافظت شوند.[۱۴]

سامانه های مالی[ویرایش]

وب سایتها و اپلیکیشن ها که شماره های کارت های اعتباری حساب های کارگزاری و اطلاعات حسابهای بانکی را می پذیرند اهداف برجسته ای برای هک کردن می باشند. از آنجاییکه پتانسیل موجود برای کسب سود مالی فوری از طریق انتقال پول ، ایجاد خرید کردن یا فروش اطلاعات در بازار سیاه [۱۵] در سامانه پرداخت فروشگاهی وجود دارد. همچنین می توان اشاره کرد.دستگاه های خودپرداز نیز به منظور جمع آوری اطلاعات مربوط به حساب مشتری و پین ها دستکاری شده اند و مورد سوقصد قرار گرفته است .

صنایع همگانی (آب - برق و گاز) و تجهیزات صنعتی[ویرایش]

رایانه ها کارها و عملکردها را در بسیاری از صنایع همگانی کنترل می کنند. هماهنگی در صنعت مخابرات شبکه برق نیروگاه های هسته ای و باز و بسته شدن شیر فلکه در شبکه آب و گاز از جمله مواردی است که می توان به آن اشاره نمود. پتانسیل حمله احتمالی از طریق اینترنت به ماشین های متصل وجود دارد. اما کرم استاکس‌نت ثابت کرد که حتی تجهیزاتی که توسط رایانه های غیر متصل به اینترنت کنترل می شوند می توانند در برابرخسارت های فیزیکی ای که توسط ارسال دستورهای رایانه ای مخرب به سمت تجهیزات صنعتی ایجاد می گردد آسیب پذبر باشند . (در نمونه مورد نظر اشاره به سانتریفیوژهای غنی سازی اورانیوم هست ) . این آلودگی از طریق رسانه های قابل حمل مثل یو اس بی فلش رخ داد. در سال ۲۰۱۴ تیم آمادگی اضطراری رایانه که یکی از دپارتمان های وزارت امنیت داخلی ایالات متحده آمریکا محسوب می شود.تعداد ۷۹ هک رخ داده برروی کمپانی های انرژی را مورد بررسی قرار داد. [۱۶]آسیب پذیری موجود در کنتور هوشمند ( در بسیاری از آنهایی که از خطوط تلفن سلولی یا رادیوهای محلی استفاده می کنند) می تواند موجب مشکل ایجاد تقلب در صورتحساب گردد.[۱۷]

هوانوردی[ویرایش]

صنعت هوانوردی به یک سری از سیستم های پیچیده متکی است که می تواند مورد حمله قرار بگیرد.[۱۸] قطع شدن ساده جریان برق در یک فرودگاه می تواند باعث پیامدهایی در سراسر جهان شود، [۱۹] بسیاری از سیستمها متکی بر انتقال رادیویی هستند که امکان اختلال در آنها وجود خواهد داشت ،[۲۰] و با توجه به اینکه میزان نظارت رادارها در محدوده دریایی از ۱۷۵ به ۲۲۵ مایل قابل گسترش می باشد در نتیجه کنترل کردن هواپیماهایی که بر روی اقیانوس در حال پرواز هستندامری خطرناک به شمار می رود.[۲۱] همچنین می توان گفت که احتمال حمله از درون یک هواپیما نیز وجود خواهد داشت .[۲۲] محرمانگی و از دست رفتن بکپارچگی سامانه عواقب ناشی از یک حمله موفق خواهد بود. که که ممکن است به نگرانی های جدی تری مانند خروج داده های مهم و قطع شدن ارتباط کنترل ترافیک هوایی (مراقبت پرواز) منجر شود. که این پارامترها به نوبه خود می تواند منجر به تعطیلی فرودگاه ، از دست دادن هواپیما ، کشته شدن مسافران هواپیما ، ویرانی و صدمه به ساختمانها ( حادثه یازدهم سپتامبر - ویرانی برج های دو قلوی تجارت جهانی ) وآسیب رسیدن به زیرساختهای حمل و نقل شود. یک حمله موفقیت آمیز بر روی یک سیستم هوانوردی نظامی که کار کنترل مهمات را به عهده دارد می تواند عواقب حتی جدی تری را به دنبال داشته باشد. اروپا حرکت به سوی ایجاد شبکه هوانوردی مرکزی را شروع کرده است .[۲۳] این سرویس بگونه ای است که شبکه مبتنی بر آی پی را در سر تا سر اروپا را با قابلیت ارتباطات داده ای و ردوبدل کردن پیام های صوتی فراهم می آورد. با ذکر این نکته خدمات بیشتر در سرویس های شبکه ای پان اروپایی جدید یا NewsPENS به چشم می خورد. [۲۴] ایالات متحده آمریکا برنامه ای شبیه به این را با نام NextGen را اداره می کند. [۲۵]

جستارهای وابسته[ویرایش]


پانویس[ویرایش]

  1. Gasser, Morrie. Building a Secure Computer System. Van Nostrand Reinhold, 1988. 3. ISBN ‎0-442-23022-2. Retrieved 20 September 2016. 
  2. "Definition of computer security". Encyclopedia. Ziff Davis, PCMag. Retrieved 20 September 2016. 
  3. Rouse, Margaret. "Social engineering definition". TechTarget. Retrieved 6 September 2015. 
  4. "Reliance spells end of road for ICT amateurs", May 07, 2013, The Australian
  5. "Computer Security and Mobile Security Challenges" (pdf). researchgate.net. Retrieved 2016-08-04. 
  6. "Distributed Denial of Service Attack". csa.gov.sg. Retrieved 12 November 2014. 
  7. Wireless mouse leave billions at risk of computer hack: cyber security firm
  8. [۱]
  9. Gallagher, Sean (May 14, 2014). "Photos of an NSA "upgrade" factory show Cisco router getting implant". Ars Technica. Retrieved August 3, 2014. 
  10. "Identifying Phishing Attempts". Case. 
  11. Arcos Sergio. "Social Engineering". 
  12. Scannell, Kara (24 Feb 2016). "CEO email scam costs companies $2bn". Financial Times (25 Feb 2016). Retrieved 7 May 2016. 
  13. "Bucks leak tax info of players, employees as result of email scam". Associated Press. 20 May 2016. Retrieved 20 May 2016. 
  14. J. C. Willemssen, "FAA Computer Security". GAO/T-AIMD-00-330. Presented at Committee on Science, House of Representatives, 2000.
  15. Financial Weapons of War, Minnesota Law Review (2016), available at: http://ssrn.com/abstract=2765010
  16. Pagliery, Jose. "Hackers attacked the U.S. energy grid 79 times this year". CNN Money. Cable News Network. Retrieved 16 April 2015. 
  17. https://www.securestate.com/blog/2012/02/16/vulnerabilities-in-smart-meters
  18. P. G. Neumann, "Computer Security in Aviation," presented at International Conference on Aviation Safety and Security in the 21st Century, White House Commission on Safety and Security, 1997.
  19. J. Zellan, Aviation Security. Hauppauge, NY: Nova Science, 2003, pp. 65–70.
  20. "Air Traffic Control Systems Vulnerabilities Could Make for Unfriendly Skies [Black Hat] - SecurityWeek.Com". 
  21. "Hacker Says He Can Break Into Airplane Systems Using In-Flight Wi-Fi". NPR.org. 4 August 2014. 
  22. Jim Finkle (4 August 2014). "Hacker says to show passenger jets at risk of cyber attack". Reuters. 
  23. "Pan-European Network Services (PENS) - Eurocontrol.int". 
  24. "Centralised Services: NewPENS moves forward - Eurocontrol.int". 
  25. "NextGen Program About Data Comm - FAA.gov". 

منابع[ویرایش]