تاریخچه مختصر اسم رمز

History of Password

اسم رمز چیز جدیدی نیست و قرن‌ها است که ما از آن استفاده می‌کنیم. قرن‌ها قبل از پیدایش Hotmail و اسکایپ و Netflix شما قادر بودید یک رمز امنیتی با یک اسم عجیب‌وغریب و جالب برای خود اختراع کنید. در دوران رومی‌ها (Romans) استفاده از اسم رمز روشی برای انتقال پیام‌های نظامی مهم بین لشکرهای آن زمان بود. درواقع یک اسم رمز روشی برای محافظت از اطلاعات است.
چند هزار سال بعد در سال ۱۹۶۰ ما به پدر اسم رمز کامپیوتر و مدرن بانام Fernando Corbató می‌رسیم که این ایده را به بخش علوم کامپیوتری در زمان کار در موسسه تکنولوژی ماساچوست (Massachusetts Institute of Technology یا MIT) ارائه داد. در آن زمان این دانشگاه یک سیستم اشتراک‌گذاری زمان مطابق (Compatible Time-Sharing System) عظیم را برای همه محققان خود ایجاد کرد، اما آن‌ها یک سیستم عمومی داشتند و از یک فایل ذخیره‌سازی استفاده می‌کردند. برای خصوصی نگه‌داشتن فایل هر فرد قاعده اسم رمز ارائه داده شد تا کاربران بتوانند فقط به فایل‌های مشخص خود به مدت ۴ ساعت در هفته به‌صورت اختصاصی دسترسی داشته باشند.
بااینکه در آن زمان اسم رمزها بسیار ساده بودند، این روش ادامه یافت تا، به دلیل سادگی کار، داشتن اسم رمز یکی از امور واجب و اجباری برای امنیت کامپیوتر شخصی و سازمانی شد. همین سادگی در آینده یکی از ضعف‌های آن نیز به شمار خواهد آمد. در روزهای اول کامپیوترها در استفاده از اسم رمز نسبتاً محدود بود و فقط عده‌ای مانند Corbató و تیم او به کامپیوترها دسترسی داشتند. با به وجود آمدن www در سال ۱۹۹۰ افراد بیشتری به‌صورت تمام‌وقت دسترسی به اینترنت داشتند و در حال به وجود آوردن داده‌های حساس و اطلاعات در این پروسه بودند.
حتی در اوایل کار، دانشمندان کامپیوتری به دنبال امنیت دادن بیشتر به اسم رمزها بودند و گرایش آن‌ها به سمت رمزنگاری سوق داده شد. در سال ۱۹۷۰ در لابراتوارBell روبرت موریس hashing را اختراع کرد. در این پروسه یک زنجیره‌ای از کاراکترها به کدهای عددی تبدیل می‌شود که نمایانگر اصطلاح اصلی است. hashing در اول کار در سیستمهای عامل یونیکس به کار گرفته شد و امروزه بسیاری از workstation ها و موبایل‌ها از آن استفاده می‌کنند- برای مثال سیستم‌عامل اپل از یونیکس استفاده می‌کنند.
برای داشتن سطح امنیتی بیشتر، "پایگاه‌های داده‌ای اسم رمز" از روش salting استفاده می‌کنند که اسم رمز را رمزنگاری بیشتری می‌کند. در این روش داده‌های تصادفی به داخل اسم رمز تزریق می‌شود و نتیجه زنجیره hashed می‌شود. این روش باعث نمی‌شود که نتوان یک اسم رمز ساده را حدس زد و هدف آن جلوگیری از نشت یک یا چندین اسم رمز در صورت نقض و هک شدن است.
در زمان اختراع اسم رمز امنیت چالشی بزرگ نبود و مسئله hacking در سال ۱۹۸۰ به وجود آمد. امروزه تمامی صنایع و اشخاص باید داده‌های خود را حفظ کرده و از کاراکترها، حروف و اعداد استفاده کنند. شرکت‌های بزرگ مانند لینکدین و فیس‌بوک و غیره سابقه هک شدن دارند و پایگاه داده‌های کاربران آن‌ها به سرقت رفته و اسم رمزها نیز توسط مجرمین فاش شده‌اند.
چندین چالش با اسم رمز وجود دارد. اول اینکه اسم رمزهای کوتاه به‌سادگی در حافظه می‌ماند اما حدس زدن آن نیز ساده است. دوم اینکه اسم رمزهای طولانی‌تر را سخت‌تر می‌توان هک کرد اما به یادماندن آن سخت است. داشتن چندین اسم رمز نیز مشکل است و باید فکر کرد که چگونه می‌توان با داشتن حساب‌های مختلف و اسم رمزهای متفاوت بر روی آن‌ها مدیریت کرد. این امر باعث شده که بسیاری از مردم برای تمامی حساب‌های خود از یک یا دو اسم رمز استفاده کنند که این امر موجب مشکلات زیادی نیز خواهد شد. اگر مجرمین یک اسم رمز شمارا بفهمند آن‌ها دسترسی به‌حساب های زیادی خواهند داشت.
مورد دیگر روش انتخاب اسم رمز است و آمار SplashData نشان می‌دهد که بسیاری از مردم هنوز از اسم رمزهایی مانند پسورد و یا ۱۲۳۴۵۶ برای داده‌های حساس خود استفاده می‌کنند که به‌سادگی توسط مجرمین سایبری می‌تواند هک شود. البته اسم رمزها تا حدودی می‌توانند امنیت را ایجاد کنند و چندین روش وجود دارد که به اسم رمز خود را امنیت بیشتری دهیم. 
پیشنهاد می‌گردد که یک اسم رمز خاص برای هر حساب خود داشته باشید. داشتن اسم رمز قوی نیز یکی از ضرورت‌ها می‌باشد. اسم رمزهای قوی با آمیختن کلمات، اعداد و کاراکترهای مختلف که بیش از ۸ رقم می‌باشند بهتر است. کاربران می‌توانند از پاسپورت‌های مختلف و احراز هویت دو فاکتوری نیز برای امنیت بیشتر استفاده کنند. 
درنهایت اگر از امنیت کامپیوتر خود هراس دارید، بهتر است که " کامپیوتر نداشته باشید، اگر دارید آن‌ را را روشن نکنید و اصلاً از آن استفاده نکنید". این ایده آل ترین روش امنیت است و در غیر این صورت باید بتوانید ریسک‌پذیر باشید.

تفاوت VMware ESX و VMware ESXi چیست؟

ممکن است این سوال برای شما نیز پیش آمده باشد که تفاوت میان VMware ESX و VMware ESXi چیست و کدامیک مناسب تر است. باید بدانید به هیچ عنوان این دو محصول یکسان نیستند و سالهاست ESX ای وجود ندارد ، شاید بگویید که یک حرف ii اینجا چه کاره است که این همه تفاوت ایجاد کرده است؟ در این مقاله تفاوت این دو محصول بررسی شده است.

VMware ESX چیست؟

ESX مخفف کلمه های Elastic Sky X ست و سالها به عنوان پلتفرم مجازی سازی سرور شرکت VMware معرفی شده است. در ESX کرنل یا هسته اصلی که مجازی سازی را انجام می دهد در واقع یک چیز مجزا از سیستم عامل است و در واقع به مانند یک نرم افزاری است که روی یک سیستم عامل نصب شده است، به این سیستم عامل Service Console هم گفته می شود. در واقع ESX یک نرم افزار بود که بر روی هسته سیستم عامل لینوکس قرار گرفته بود ، تمامی ابزارهای مرتبط با مجازی سازی بصورت ابزارهای جانبی بر روی هسته این سیستم عامل لینوکس نصب می شدند و طبیعتا یک کنسول یکپارچه برای مدیریت همه آنها وجود نداشت ، اگر بصورت کنسولی و مستقیم می خواستید ESX را مشاهده کنید در واقع کنسول مدیریتی سیستم عامل لینوکس را مشاهده می کردید. تمامی مدیریت سخت افزارها و … بر عهده هسته سیستم عامل لینوکس بود و ابزارهای مدیریتی و نظارتی ESX بصورت جانبی روی این هسته نصب می شدند. آخرین نسخه ای که از ESX به عنوان یک Hypervisor معرفی شد نسخه ۴٫۱ از مجموعه ESX بود و دیگر VMware ارائه محصولش در قالب ESX را متوقف کرد. جالب است بدانید که مدت ها ESX نسخه ۳٫۵ بصورت کاملا رایگان توسط VMware ارائه می شد و این شرکت صرفا خدمات پشتیبانی این محصول را می فروخت.

VMware ESXi چیست؟

ESXi مخفف کلمه های Elastic Sky X Integrated است. واژه Integrated یا یکپارچه بیانگر تحولات عظیم در این محصول است. این محصول نیز به عنوان پلتفرم مجازی سازی شرکت VMware برای سطوح کلان معرفی شد. در ESXi دیگری چیزی به نام سیستم عامل اصلی یا هسته وجود ندارد، در واقع ما دیگر Service Console ای که در ESX داشتیم را نداریم. VMware هسته اختصاصی خودش را در این محصول به دنیا معرفی کرد، هسته ای که ما آن را به عنوان VMKernel می شناسیم و تمامی ابزارهای مدیریتی و مانیتورینگ و … ای که در محصول قبلی بصورت مجزا بر روی Service Console نصب می شدند اینبار بصورت یکپارچه بر روی VMKernel قرار گرفته و نصب شده اند و طبیعتا با این روش هماهنگی و مدیریت راحت تری را فراهم می کنند.

ESXi یک معماری بسیار بسیار سبکتر از ESX دارد و با توجه به تعداد خطوط کمتری که برای نوشتن هسته آن وجود دارد و از طرفی سبکتر بودن سیستم عامل، بروز رسانی و Patch کردن ساده تری را نیز ارائه می کند. همچنین ESxi با توجه به اینکه هسته Open Source ندارد از لحاظ زیادی امنیت بهتری را فراهم کرده است. در ESXi به جای استفاده کردن از Service Console که در واقع Shell لینوکس را برای ما ارائه می کرد قالب و امکان جدیدی به نام DCUI یا Direct Console User Interface اضافه شده است که مدیریت ESXi را بسیار ساده تر می کند. در مقایسه با نصب ESX این محصول بسیار سریعتر و قابل اعتمادتر از ESX نصب و راه اندازی می شود. ESXi دارای Shell اختصاصی خودش است برخلاف ESX که از Shell لینوکس و فایل های تنظیمات با ساختار لینوکس استفاده می کرده است، اینطور بیان می شود که VMKernel بصورت تلفیقی از سیستم عامل یونیکس و لینوکس ساخته شده است.

اولین بدافزار اندروید با code injection

Dvmap New Andriod Malware

بر اساس گزارشی در روزنامه The Register شرکتKaspersky کشف کرده است که تروجان Dvmap - سابقاً در درون برخی از بازی‌های فروشگاه Google Play ماه‌ها پنهان بود و 50000 بار ماژول مخرب خود را نصب کرد- حال ماژول‌های مخرب خود را اندروید نصب و کد مخرب خود را در system runtime libraries تزریق می‌کند.
پس از دسترسی به Root و ارسال payload، این بدافزار پیچیده برای از بین بردن ردپای خود "Root را patch" می‌کند. Dvmap نیز بر روی نسخه 64-bit اندروید کار می‌کند و می‌تواند قابلیت امنیتی Verify Apps گوگل را غیرفعال کند. این بدافزار از روشی کاملاً نوآورانه برای مخفی کردن خود از گوگل استفاده می‌کند. 
سازندگان این تروجان سابقاً یک نسخه پاک را به بازار Google Play آپلود می‌کردند و در زمان‌های متفاوت آن را با اجزا بدافزار به‌روزرسانی می‌کردند و پس از مدتی کوتاه آن را مجدداً پاک می‌کردند. ماژول‌های آپلود شده به‌طور مستمر به سازندگان بدافزار گزارش ارسال می‌کردند و کارشناسان معتقد هستند که Dvmap هنوز در مراحل اول آزمایشی است. به نظر می‌رسد که هدف Dvmap فعال‌سازی نصب اپ ها با دسترسی به مجوزهای root از بازارهای شخص ثالث باشد. Dvmap نیز ممکن است تبلیغات و فایل‌های اجرایی دانلود شده را از سرورهای راه دور ارائه دهد. این بدافزار به نظر می‌رسد که هنوز کاملاً فعال نیست. 
به گفته The Register، معرفی قابلیت code injection پیشرفت جدید و خطرناکی در بدافزارهای موبایلی به شمار می‌رود، چون می‌توان از این روش برای اجرای ماژول‌های مخرب حتی بدون حذف root access استفاده کرد و هر نوع راه‌حل امنیتی و اپ بانکی باقابلیت root-detection که پس از آلودگی نصب گردد نمی‌تواند وجود بدافزار را شناسایی کند. Kaspersky Labs این تروجان را در آوریل شناسایی نمود و آن را به گوگل گزارش کرد. گوگل نیز آن را فوراً از Play Store حذف کرد، اما همه اپ های آلوده به Dvmap را اسم نبرد. 
بهترین روش برای مقابله با این بدافزار گرفتن backup از داده‌ها است و اگر گمان دارید آلوده‌شده‌اید تنها راه factory reset وسیله است. اگر در ماه‌های اخیر از گوگل پلی بازی دانلود کرده‌اید، بهتر است گوشی خود را محض احتیاط factory reset کنید.

روش‌های جلوگیر از نفوذ باج افزارها (.WannaCry, etc)

Prevent Ransomware

امروزه اثرات حملات سایبری در سراسر جهان آشکار است و تعداد زیادی از مردم در این مورد آگاه هستند. باج افزار جدیدی بانام WannaCryاخیراً در ۱۵۰ کشور با آلوده کردن سیستم‌ها و کامپیوترها بی‌نظمی و مشکلات زیادی را به وجود آورد. این بدافزار در عرض یک هفته به‌صورت اپیدمی توزیع گردید و به همه سطوح حرفه‌ای و شخصی حمله کرد.
در تاریخ ۱۲ فوریه ۲۰۱۷ (روز جمعه) باج افزار WannaCry با سرعت و مقیاسی غیرقابل‌تصور در سراسر جهان از طریق نقض موجود در سیستم‌عامل مایکروسافت ویندوز شروع به نفوذ کرد. کلاینت‌های ESET در ظرف چند روز ۶۶ هزار و ۵۶۶ حمله را گزارش کردند که منبع نیمی از این حملات روسیه بود. در این حملات فایل‌های قربانیان رمزنگاری شد، کامپیوترها به کنترل WannaCry درآمد و بدافزار از آن‌ها درخواست باج به مبلغ ۳۰۰ دلار کرد. باج افزار سپس هشدار داد که آن‌ها باید قبل از اینکه همه‌چیز از روی دستگاه آن‌ها پاک شود باج را پرداخت کنند. این مبلغ باید از طریق بیت کوین پرداخت می‌شد. 
امروز باج افزارها از چند طریق می‌توانند توضیح شوند. برای مثال از طریق حملات فیشینگ یا دانلود drive-by به سیستم قربانی، که در این وضعیت اگر شما به یک سایت مخرب سر بزنید یک آسیب‌پذیری در مرورگر نقض می‌شود. همچنین ممکن است که فردی با شما تماس بگیرد و بگوید که یک مشکلی را در سیستم شما شناسایی‌شده و می‌خواهد به شما کمک کنند. این افراد فقط کمک خواهد کرد که سیستم شما قفل شود.
حتی پس از پرداخت باج ممکن است کامپیوتر شما رمزگشایی نشود و یا کلید رمزگشایی را دریافت نکنید. در صورت دریافت "درخواست باج" سعی کنید که از طریق System Restore کامپیوتر را به وضع قبل از حمله برگرداندید. اگر این امر کارساز نبود می‌توانید کامپیوتر خود را restart کرده، آن را در حالت Safe Mode قرار داده و با نرم‌افزارهای امنیتی اینترنتی تهدید را حذف کنید.
روش مقابله با باج افزارها
برای مقابله با باج افزار از روش‌های زیر استفاده کنید.
• فایل‌های خود را به‌طور دوره‌ای Backup بگیرید. می‌توانید برای این کار از یک هارد خارجی، فلش، کارت حافظه میکرو، خدمات کلاود یا سی دی استفاده کنید.
• مایکروسافت برای آسیب‌پذیری‌های باج افزاری پچ ارائه داده است و می‌توانید با به‌روزرسانی سیستم‌عامل ویندوز از خود محافظت کنید.
• می‌توانید از یک‌راه حل امنیتی خوب برای سیستم خود در مقابل ویروس‌ها و حملات سایبری محافظت کنید، اما اطمینان حاصل کنید که این راه‌حل به‌روز است.
• در صورت مشاهده ایمیل‌های مشکوک آن‌ها را حذف کنید. برای مثال ایمیل‌های به‌ظاهر معتبر از بانک‌ها، ارائه‌دهنده خدمات اینترنتی، شرکت کارت‌بانکی و غیره.
• سعی کنید بر روی لینک‌هایی که شمارا به سایت‌های قلابی می‌برند و درخواست اطلاعات شخصی از شما می‌کنند دوری‌کنید.
• بر روی ضمیمه‌های ایمیل که نمی‌شناسید کلیک نکنید.
• بر روی پیام‌های متنی (SMS/Message) ناشناس دارای لینک درگوشی خود کلیک نکنید.
• اگر کسی به شما تلفنی تماس گرفت و ادعا نمود که از بانک یا ارائه‌دهنده خدمات اینترنتی و غیره است گوشی را قطع کنید.
• تولیدکنندگان باج افزار همچنین از pop-up های ویندوزی برای هشدار در مورد بدافزار در سیستم شما استفاده می‌کنند. بر روی این پنجره‌ها کلیک نکنید و آن را از طریق کیبورد ببندید

سرور wsus چیست ؟

WSUS مخفف Windows Server Update Services است !
 Wsusسروریست که اپدیت های شرکت مایکرو سافت را در بخش امنیت

یا نرم افزار های کاربردی و… به کاربران ارائه میدهد.
 راه اندازی این سرور به دلیل جلو گیری از اختصاص یافتن حجم زیادی از پهنای باند به دریافت این اطلاعات توسط هر کدام از کلاینت ها و همیچنین محیا کردن هدف اصلی اپدیت و بروز رسانی نرم افزارهاست .

راه اندازی wsus سرور:

update سیستم های کامپیوتری یکی از مهمترین ارکان امنیت سیستم ها و شبکه های کامپیوتری می باشد. شما حتی اگر بهترین فایروال ، زیبا ترین طراحی ، و قوی ترین مدیران شبکه رو در اختیار داشته باشید ولی از معقوله بروزرسانی نرم افزار ها قافل بشید قطعا شبکه امنی در اختیار ندارید.
 برای بروز رسانی نرم افزاری سیستم های هر سازنده نرم افزار تدابیر مشخصی داره مثلا شرکت مایکروسافت با ارائه service pack ، patches ، و hot fix ها اقدام به بروز رسانی های امنیتی و اشکالات موجود در سیستم ها می کند.
 برای دریافت فایل های بروز رسانی باید به اینترنت متصل شد و با تنظیمات سیستم بسته های بروز رسانی رو دریافت و در سیستم خود نصب کنید یا این فرایند رو به صورت اتوماتیک به خود سیستم واگذار کنید.

در یک شبکه بزرگ یا متوسط با تعداد زیادی host و workstation این راه کار معقولانه به نظر نمی رسد چون در صورتی که هر سیستم به صورت مجزا اقدام به دریافت ترافیک بروز رسانی کند ، حجم زیادی از پهنای باند پرارزش اینترنت به دریافت بسته های تکراری اختصاص داده می شود.
 برای این منظور می توان یک سرور رو جهت دریافت بسته های بروزرسانی اختصاص داد و بعد توسط این سرور که به صورت محلی در شبکه ما در دسترس است اقدام به پخش بروز رسانی ها روی workstation ها و host های موجود در شبکه نمود.
راه کار شرکت مایکروسافت استفاده از نرم افزار سرویس دهنده WSUSS است که از این آدرس قابل دریافت است:

بعد از نصب این نرم افزار باید توسط این نرم فزار فایل های بروز رسانی رو از اینترنت دریافت کنید.
 بعد از مرحله همزمان سازی نوبت به داخل کردن کامپیوتر های کلاینت به این سرور می باشد ،برای این منظور اگر در شبکه domain دارید با استفاده از GPO منبع بروز رسانی ( update source ) رو برابر آدرس سرور WSUS قرار می دهید و اگر به صورت workgroup از شبکه استفاده می کنید باید از تنظیمات رجیستری زیر استفاده کنید:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\WindowsUpdate]
“ElevateNonAdmins”=dword:00000001
“WUServer”=”<NAME OF YOUR SERVER>:<PORT>”
“WUStatusServer”=”<NAME OF YOUR SERVER>:<PORT>”
““TargetGroupEnabled”=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\WindowsUpdate\AU]
“IncludeRecommendedUpdates”=dword:00000001
“AutoInstallMinorUpdates”=dword:00000001
“DetectionFrequencyEnabled”=dword:00000001
“DetectionFrequency”=dword:00000001
“NoAutoRebootWithLoggedOnUsers”=dword:00000001
“NoAutoUpdate”=dword:00000000
“AUOptions”=dword:00000003
“ScheduledInstallDay”=dword:00000000
“ScheduledInstallTime”=dword:00000003
““UseWUServer”=dword:00000001

بعد از تنضیمات رجیستری فرامین زیر رو در cmd اجرا کنید:
net stop wuauserv && net start wuauserv
 wuauclt /resetauthorization /detectnow

دانستنی های یک ادمین؛ با ابزار Snort آشنا شوید

Snort یک نرم‌افزار تشخیص نفوذ به‌صورت کدباز است که بر روی محیط‌های Linux وWindows عرضه می‌گردد و با توجه به رایگان بودن آن، به یکی از متداول‌ترین سیستم‌های تشخیص نفوذ شبکه‌های رایانه‌یی مبدل شده است. از آن‌جاکه برای معرفی آن نیاز به معرفی کوتاه این دسته از ابزارها داریم، ابتدا به مفاهیمی اولیه درباره‌ی ابزارهای تشخیص نفوذ می‌پردازیم، به عبارت دیگر معرفی این نرم‌افزار بهانه‌یی است برای ذکر مقدمه‌یی در باب سیستم‌های تشخیص نفوذ.

Intrusion Detection System (IDS) یا سیستم تشخیص نفوذ به سخت‌افزار، نرم‌افزار یا تلفیقی از هر دو اطلاق  می‌گردد که در یک سیستم رایانه‌یی که می‌تواند یک شبکه‌ی محلی یا گسترده باشد، وظیفه‌ی شناسایی تلاش‌هایی که برای حمله به شبکه صورت‌ می‌گیرد و ایجاد اخطار احتمالی متعاقب حملات، را بر عهده دارد.

IDSها عملاً سه وظیفه‌ی کلی را برعهده دارند : پایش، تشخیص، واکنش. هرچند که واکنش در مورد IDSها عموماً به ایجاد اخطار، در قالب‌های مختلف، محدود می‌گردد. هرچند دسته‌یی مشابه از ابزارهای امنیتی به نام Intrusion Prevention System (IPS) وجود دارند که پس از پایش و تشخیص، بسته‌های حمله‌های احتمالی را حذف می‌کنند.نکته‌یی که در این میان باید متذکر شد، تفاوت و تقابل میان Firewallها و IDSها است. از آن‌جاکه ماهیت عمل‌کرد این دو ابزار با یکدیگر به کلی متفاوت است، هیچ‌یک از این دو ابزار وظیفه‌ی دیگری را به طور کامل برعهده نمی‌گیرد، لذا  تلفیقی از استفاده از هردو ابزار می‌تواند امنیت کلی سیستم را بالا ببرد.

    در حالت کلی IDSها را می‌توان به دو دسته‌ی کلی تقسیم‌بندی نمود :

•  Network IDS (NIDS)
• Host IDS (HIDS)

HIDSها، اولین سیستم IDSی هستند که در یک سیستم رایانه‌ای باید پیاده‌سازی شود. معیار تشخیص حملات در این  سیستم‌ها، اطلاعات جمع‌آوری شده بر روی خادم‌های مختلف شبکه است. برای مثال این سیستم با تحلیل صورت عملیات انجام شده، ذخیره شده در پرونده‌هایی خاص، سعی در تشخیص تلاش‌هایی که برای نفوذ به خادم مذکورد انجام شده است دارد. این تحلیل‌ها می‌تواند به صورت محلی بر روی خود خادم انجام گردد یا به سیستم تحلیل‌گر دیگری برای بررسی ارسال شود. یک HIDS می‌تواند تحلیل اطلاعات بیش از یک خادم را بر عهده بگیرد.

 با این وجود، اگر نفوذ‌گر جمع‌آوری صورت عملیات انجام‌شده بر روی هریک از خادم‌های مورد نظر را به نحوی متوقف کند،HIDS در تشخیص نفوذ ناموفق خواهد بود و این بزرگ‌ترین ضعف HIDS است.

 NIDSها، به عنوان دومین نوع IDSها، در بسیاری از موارد عملاً یک Sniffer هستند که با بررسی بسته‌ها و پروتکل‌های ارتباطات فعال، به جستجوی تلاش‌هایی که برای حمله صورت می‌گیرد می‌پردازند. به عبارت دیگر معیار NIDSها، تنها بسته‌هایی است که بر روی شبکه‌ها رد و بدل می‌گردد. از آن‌جایی‌که NIDSها تشخیص را به یک سیستم منفرد محدود نمی‌کنند، عملاً گسترده‌گی بیش‌تری داشته و فرایند تشخیص را به صورت توزیع‌شده انجام می‌دهند. با این وجود این سیستم‌ها در رویایی با بسته‌های رمزشده و یا شبکه‌هایی با سرعت و ترافیک بالا کارایی خود را از دست می‌دهند.

 با معرفی انجام شده در مورد دو نوع اصلی IDSها و ضعف‌های عنوان شده برای هریک، واضح است که برای رسیدن به یک سیستم تشخیص نفوذ کامل، به‌ترین راه استفاده‌ی همزمان از هر دو نوع این ابزارهاست.

     Snort، در کامل‌ترین حالت نمونه‌یی از یک NIDS است. این نرم‌افزار در سه حالت قابل برنامه‌ریزی می‌باشد :

• حالت Sniffer

    در این حالت، این نرم‌افزار تنها یک Sniffer ساده است و محتوای بسته‌های ردوبدل  شده بر روی شبکه را بر روی کنسول نمایش می‌دهد.

• حالت ثبت‌کننده‌ی بسته‌ها

Snortدر این وضعیت، اطلاعات بسته‌های شبکه را در پرونده‌یی که مشخص می‌شود ذخیره می‌کند.

•  سیستم تشخیص نفوذ

    در این پیکربندی، بر اساس دو قابلیت پیشین و با استفاده از قابلیت تحلیل بسته‌ها و قوانینی که تعیین می‌گردد، Snort امکان پایش و تحلیل بسته و تشخیص نفوذ را یافته و  در صورت نیاز واکنش تعیین شده را به‌روز می‌دهد.

حالت پیش‌فرض خروجی این ابزار فایلی متنی است که می‌تواند در آن ابتدای بسته‌ها را نیز درج کند. با این وجود در صورتی‌که این ابزار در حال فعالیت بر روی ارتباطات شبکه‌یی با سرعت بالا می‌باشد به‌ترین راه استفاده از خروجی خام باینری و استفاده از ابزاری ثانویه برای تحلیل و تبدیل اطلاعات خروجی است.

 بُعد دیگر از پیکربندی Snort به عنوان یک سیستم تشخیص نفوذ، استفاده از قوانین برای ایجاد معیار نفوذ برایSnortاست. برای مثال می‌توان با قانونی، Snort را مکلف ساخت که نسبت به دسترسی‌های انجام شده مبتنی بر پروتکلی تعیین شده از/به یک پورت خاص و از/به یک مقصد معین با محتوایی شامل رشته‌یی خاص، اخطاری یا واکنشی ویژه را  اعمال کند.

نکته‌یی که باید در نظر داشت این‌ است که از آن‌جاکه Snort را می‌توان به گونه‌یی پیکربندی نمود که قابلیت تشخیص حمله توسط ابزارهای پویش پورت را نیز داشته باشد، لذا با وجود استفاده از Snort نیازی به استفاده از ابزاری ثانویه برای  تشخیص پویش‌گرهای پورت وجود ندارد.

همان‌گونه که گفته شد، Snort با قابلیت‌های نسبتاً کاملی که در خود جای داده‌است، به همراه رایگان بودن آن و قابلیت نصب بر روی محیط‌ها و سیستم‌های عامل متدوال، به یکی از معمول‌ترین IDSهای کنونی مبدل شده است. برای دریافتاین نرم‌افزار و همچنین اطلاعات جامعی در مورد آن می‌توانید به پای‌گاه اصلی آن، www.snort.org، مراجعه کنید.

حمله بدافزار Judy به 5/36 میلیون کاربر اندروید

Judy Android Malware

بر اساس گزارش شرکت Check Point، بدافزار Judy احتمالاً از بزرگ‌ترین نرم‌افزارهای مخرب کشف‌شده در Google Play می‌باشد. گمان می‌رود که حدود 36.5 میلیون کاربران اندروید ممکن است آلوده این بدافزار مخرب شده باشند. باج افزار Judy آگهی‌های جعلی قابل کلیک تولید می‌کند و از این راه جیب توسعه‌دهندگان را پرکرده است.
بر اساس این گزارش ، 41 برنامه توسعه‌یافته آلوده توسط شرکت کره‌ای Kiniwini و منتشرشده تحت نام شرکت ENISTUDIO دستگاه‌ها را آلوده کرده و اقدام به تولید مقادیر زیادی کلیک جعلی در تبلیغات کرده که باعث ایجاد درآمد برای عاملان آن شده است. Judy نام شخصیت در بازی‌های کارتونی Kiniwini (آشپز جودی- Chef Judy ، حیوانات جودی - Animal Judy و مد جودی- Fashion Judy) می‌باشد.
پس از دریافت هشدار و بررسی آن‌ها، گوگل "به‌سرعت" برنامه‌ها را از Google Play حذف نمود اما این برنامه‌ها 4.5 و18.5 میلیون بار دانلود شدند. برخی از اپ ها برای چند سال در فروشگاه موجود بودند و همه اخیراً به‌روزرسانی شدند. مشخص نیست که کدهای مخرب چه مدت در اپ ها وجود داشتند و ازاین‌رو از گسترش نرم‌افزارهای مخرب آگاهی وجود ندارد. اما بررسی‌ها تخمین دانلود رابین 8.5 و 36.5 میلیون کاربر می‌زنند.
روش آلوده سازی
هکرها یک برنامه بی‌ضرر ایجاد می‌کنند که می‌تواند از لایه امنیتی گوگل (Google's Bouncer security screening) عبور کند و در فروشگاه نرم‌افزار قرار گیرد. هنگامی‌که یک کاربر برنامه مخرب را دریافت می‌کند، آن پنهانی کاربر را ثبت، با سرور C&C خود ارتباط گرفته و اطلاعات را ارسال می‌کند. این سرور سپس payload مخرب که شامل کدهای جاوا اسکریپت، user-agent string و URL کنترل نویسنده بدافزار را ارسال می‌کند. 
این بدافزار URL ها را با استفاده ازuser agent یک مرورگر کامپیوتر قلابی را در یک صفحه وب پنهان می‌کند و دستور برای هدایت به یک وب‌سایت دیگر را دریافت می‌کند. هنگامی‌که وب‌سایت مورد هدف باز شود، این بدافزار با استفاده از کدهای جاوا اسکریپت، آگهی‌ها در زیرساخت‌های تبلیغات گوگل را پیدا می‌کند و روی آن‌ها کلیک می‌کند.
Judy تشابه به دو بدافزار قبلی بانام‌های FalseGuide و Skinner دارد و مانند یکی دیگر از گونه‌های dresscode پشت بررسی‌ها (Reviews) خوب پنهان می‌شود. هکرها می‌توانند هدف اصلی برنامه‌های خود را پنهان کنند و یا حتی رتبه‌های مثبت، بدون اطلاع کاربر، را دستکاری کنند. کاربران نمی‌توانند به فروشگاه‌های معتبر برای ایمنی اطمینان داشته باشند و باید از امنیت و حفاظت پیشرفته استفاده کنند که بتواند حملات zero-day موبایلی را تشخیص داده و مسدود کند.
Kiniwini برنامه برای iOS و اندروید می‌سازد و به برنامه‌های iOS اشاره نکرد. از بعدازظهر یکشنبه (7/3/96)، 45 برنامه جودی شرکت ENISTUDIO در فروشگاه App Store در دسترس می‌باشند که اکثر آن‌ها آخرین به‌روزرسانی را در 31 مارس 2017 داشته‌اند.

هشدار کارشناسان: حمله سایبری بعدی درهر لحظه

Cyber Attacks

به گفته MalwareTech در انگلستان، قهرمان فضای سایبری که با کشف کردن یک سایت ثبت‌نشده در داخل باج افزار WannaCry و ثبت آن توانست به‌طور اتفاقی از ادامه حمله یک نسخه از این باج افزار جلوگیری کند، یک حمله سایبری عمده و بزرگ، پس از حمله باج افزاری اخیر WannaCry که به ۱۲۵ هزار سیستم کامپیوتری و ۱۰۰ کشور جهان شامل اسپانیا فرانسه و روسیه نفوذ کرد، درراه است. 
این ویروس ۴۸ قربانی و در اسکاتلند ۱۳ قربانی در بخش "خدمات درمان و سلامت انگلستان" گرفت. پس از نفوذ و به کنترل درآوردن کامپیوترها و رمزنگاری آنان، این باج افزار درخواست ۳۰۰ دلار به‌صورت بیت کوین (Bitcoin) می‌کند تا فایل‌ها را رمزگشایی نموده و بازگرداند. 
در زمان حمله برخی از بیمارستان‌ها مجبور به کنسل کردن وقت دکتر و عمل‌ها شدند و آمبولانس‌ها نیز به بیمارستان‌هایی هدایت شدند که در آن ویروس وجود نداشت. به نقل از وزیر داخلی کشور انگلستان پس از وقوع حمله تمامی خدمات مجدد به حالت معمول درآمده‌اند و بااین‌حال می‌توان فعالیت بیشتری را برای محافظت از بدافزارهای کامپیوتری داشت.
MalwareTech، نوجوان ۲۲ ساله، در مصاحبه با خبرگزاری بی‌بی‌سی گفت که خیلی مهم است که مردم سیستم‌های خود را به‌روزرسانی و پچ کنند. این دفعه ما جلوی این حمله را گرفتیم اما حملات دیگری درراه است و باج افزارها روش خوبی برای دریافت پول توسط هکرها هستند. دلیلی ندارد که آن‌ها (مجرمین سایبری) حملات خود را قطع کنند. آن‌ها مهارت کافی دارند که کد را به‌سادگی عوض کرده و از نو حمله کنند. می‌توان با اطمینان گفت که به دلیل پوشش خبری زیاد این حمله افراد زیادی هستند که در حال کار کردن و سو استفاده از این نقض می‌باشند تا حملات دیگری را انتشار دهند. 
در انگلستان منتقدان می‌گویند که دولت آن کشور مدت‌ها در مورد تهدیدات سایبری جدی خبر داشته و سعی بر به‌روزرسانی درست زیرساخت‌ها نکرده است. در حال حاضر یک پچ امنیتی از طرف مایکروسافت برای این باج افزار انتشاریافته است، اما صدها هزار کامپیوتر در کشور انگلستان هنوز دارای سیستم‌های قدیمی و بدون پشتیبانی شرکت مایکروسافت هستند. NHS می‌گوید که ۴.۷ درصد از دستگاه‌ها داخل این سازمان از ویندوز xp استفاده می‌کنند اما این رقم در حال کاهش است. سیاستمداران کشور انگلیس درخواست بررسی این حمله سایبری را کرده‌اند.
Europol این حمله سایبری را بزرگ‌ترین از نوع خود می‌داند و در حال همکاری با کشورهای مختلف است که از این تهدید جلوگیری و به قربانیان کمک کند.
به نقل از برخی منابع، این باج افزار نیز به ایران نفوذ کرد و حدود ۲۰۰ قربانی داشت که از این تعداد ۱۳۰ قربانی باج، مبلغی معادل ۱۳ میلیون تومان، را پرداخت کردند اما هنوز کلید رمزگشایی برای قربانیان ارسال نشده است.

امنیت سایبری کسب و کار به کدام سو می‌رود و EDR چه نقشی در آن دارد

کسب‌وکارها دیگر نمی‌توانند به روش‌های سنتی برای امنیت اطلاعات بسنده کنند و باید طرح امنیتی منسجمی داشته باشند.

فناوری، دزدیدن خودروها را دشوارتر کرده است. سامانه‌های هشداردهنده به سیستم‌های کامپیوتری فوق هوشمند متصل هستند که می‌توانند خودرو را خاموش کنند، اطلاعات رهیاب GPS را برای مسئولین بفرستند و به‌طور پیوسته مشکلات را از طریق تلفن‌ هوشمند به صاحبانشان اطلاع دهند. اما درحالی‌که کامپیوترها کارهای فراوانی برای ایمن‌سازی خودروها و دیگر اشیاء باارزش کرده‌اند، به نظر می‌رسد خود این کامپیوترها و شبکه‌ها بیش از پیش در معرض خطر هستند.

این مشکل در ظاهر خود تا حدی ذاتی به نظر می‌آید: کامپیوترها از همه چیز محافظت می‌کنند اما چه کسی از آن‌ها محافظت می‌کند؟ در حقیقت فراوانی فوق‌العاده‌ی ابزارهای کامپیوتری‌ شده که همگی به شبکه‌های اطراف ما متصل شده‌اند، باعث شده است کار شرکت‌های امنیت اطلاعات در حمایت از کسب‌وکارها در مقابل تهدید‌های فراوانی که امروزه وجود دارند، بسیار دشوار شود. یک نظرسنجی جدید نشان داد که ۴۰ درصد شرکت‌ها در انگلستان هیچ طرح امنیت سایبری ندارند.

ریچارد براون، مدیر کانال‌ها و اتحادیه‌های اروپا و خاورمیانه در آربُر نِتوُرکز، می‌گوید: «این حقیقت که بیش از یک‌سوم کسب‌وکارهای بریتانیا فاقد  استراتژی رسمی در مقابل حملات سایبری هستند، شوکه کننده است. روش‌های حملات به‌صورت روزانه متحول می‌شوند و دیگر قابل‌ قبول نیست که شرکت‌ها همچنان از استراتژی‌های امنیت سایبری کنونی خود راضی باشند.»

آنتی‌ویروس نمی‌تواند محافظت کند

به امنیت سایبری عموما به‌صورت یک موضوع فرضی نگریسته می‌شود. بسیاری از کسب‌وکارها از ابزارهای قدیمی امنیتی چون آنتی‌ویروس‌ و فایروال برای حفاظت از خود استفاده می‌کنند. اما این ابزارها واکنشی هستند؛ بدین معنا که ابتدا باید مورد حمله قرار بگیرند، سپس آن را تشخیص دهند و از کامپیوترهای دیگر در مقابل این حمله محافظت کنند.

برایان بِیِر، مؤسس و مدیرعامل شرکت امنیتی Red Canary، موضوع را این‌گونه بیان می‌کند: «هرروزه حجم زیادی بدافزار تولید می‌شود که حمایت مناسب آنتی ویروس از کسب‌وکارها را ناممکن می‌کند. تنها در سال گذشته موسسه‌ی AV-TEST نزدیک به ۶۰۰ میلیون برنامه‌ی مخرب را شناسایی کرد که معادل بیش از ۵۰۰ هزار برنامه‌ی جدید در هر روز می‌شود. وقتی متوجه شوید این برنامه‌ها زمانی شناسایی شدند که باعث ایجاد مشکل شدند، مشاهده می‌کنید که شرکت شما با چه احتمال بالایی از آلوده شدن روبرو است.»

صنعت امنیت سایبری می‌داند که راه‌حل‌های مقابله با ویروس‌ها و هکرها نمی‌تواند واکنشی باشد. واکنشی بودن به عاملان حمله اجازه می‌دهد زمان زیادی برای تخریب کردن بدون گرفتار شدن داشته باشند. اما چگونه شرکت‌های امنیت اطلاعات می‌توانند در شرایطی پیشگیرانه عمل کنند که دشمن می‌تواند در هر لحظه‌ی دلخواه یکی از میلیاردها حرکت ممکن را انجام دهد؟

یک راه‌حل پیشرو، تشخیص و پاسخ نقطه پایانی یا به‌اختصار EDR نامیده می‌شود. به دلیل فراوانی دستگاه‌های متصل که امروزه در گردش هستند (لپ‌تاپ‌ها، سرورها) بیش از هر زمان دیگری امنیت شرکت‌ها در معرض آسیب است. وقتی کارمندی دستگاهی را به یک شبکه‌ی وای‌فای عمومی وصل می‌کند، درهای سازمان را به روی تهدیدهایی می‌گشاید که نیازی به عبور از سدهای امنیتی سنتی ندارند.

یک تحلیل‌گر ارشد مؤسسه‌ی تحقیقاتی گارتنر می‌گوید: «تغییر به‌سوی رویکردهای تشخیص و پاسخ‌دهی شامل افراد، فرآیندها و اجزای فناوری می‌شود و در پنج سال آینده باعث رشد بخش عمده‌ای از بازار امنیت خواهد شد. این بدین معنا نیست که جلوگیری کردن از حمله بی‌اهمیت است یا افسران ارشد امنیت اطلاعات (CISOs) از جلوگیری از حملات امنیتی دست برداشته‌اند. بلکه پیام روشنی دارد؛ مبنی بر اینکه جلوگیری بیهوده است، مگر اینکه به قابلیت تشخیص و پاسخ‌دهی گره خورده باشد.»

تشخیص و پاسخ‌ مدیریت‌شده

چگونه صنعت امنیت سایبری EDR را اجرا می‌کند؟  این کار نیاز بالایی به تخصص انسانی دارد. بسیاری از کسب‌و‌کارهایی که دارای دپارتمان IT‌ هستند، امنیت اطلاعات خودشان را دارند و به‌صورت داخلی نسخه‌ای از EDR را اجرا می‌کنند. اما انجام آن نیازمند سطحی از تجربه و تخصص است که بسیاری از شرکت‌ها ندارند یا قادر به تأمین آن نیستند.

یک برآورد صورت گرفته تخمین می‌زند که در سال ۲۰۲۰ با کمبود یک و نیم میلیون متخصص امنیت اطلاعات روبرو می‌شویم. این یعنی بسیاری از کسب‌وکارها پرسنل ویژه‌ای برای بخش EDR نخواهند داشت؛ به همین دلیل شرکت‌های امنیت اطلاعات EDR پیشنهاد می‌کنند.

بِیِر می‌گوید: «EDR با تمام فراز و نشیب‌هایش مؤثرتر از آنچه پیش از آن بوده است عمل می‌کند؛ اما به حدی کمبود متخصص در این بخش وجود دارد که حتی بسیاری شرکت‌های بزرگ نمی‌توانند با تیم موجود خود به‌طور مؤثر EDR را اجرایی کنند.»

در سال ۲۰۲۰ با کمبود یک‌ و‌ نیم میلیون متخصص امنیت اطلاعات روبه‌رو خواهیم شد. به همین دلیل  چنین تقاضای بالایی برای تشخیص و پاسخ‌ نقطه پایانی (EDR) مدیریت‌شده وجود دارد. کمبود متخصصان امنیت اطلاعات به این معنا است که کمپانی‌های بیشتری کار EDR خود را به شرکت‌های با تخصص امنیتی بالاتر برون‌سپاری می‌کنند.

صنعت EDR چقدر وسعت دارد؟

گارتنر دریافت که شرکت‌های EDR در سال ۲۰۱۶ در این زمینه ۵۰۰ میلیون دلار درآمد داشته‌اند و این درآمد به‌طور سالانه افزایشی بیش از ۱۰۰٪ داشته است. با چنین نرخ رشدی، صنعت EDR می‌تواند یک صنعت میلیارد دلاری باشد.

اما خوب است که  لحظه‌ای درنگ کنیم و ببینیم چه راهی را تا اینجا آمده‌ایم. امروزه امنیت سایبری مستلزم این است که هر رویداد کوچکی را که روی یکی از میلیون‌ها دستگاه متصل به یکدیگر روی‌ می‌دهد، رصد کنیم. این کار را ارتشی از  افراد حرفه‌ای‌ وماهر و کامپیوترهای مجهز به فناوری پیشرفته‌‌ی تشخیص حمله انجام می‌دهند که بودجه‌ی امنیت اطلاعات به آن‌ها تخصیص یافته است. آگاه شدن از همه‌ی این‌ دستگاه‌های متصل و آسیب‌پذیر کافی‌ است تا دلمان برای اینترنت دایل آپ تنگ شود.

امنیت و محرمانگی اسباب بازی های IoT

IoT

نقض های به محرمانگی و ایجاد مشکل در امور امنیت سایبری امری روزمره شده اند. در همان حال برخی از این موارد عجیب و غریب و باور نکردنی به نظر میرسند. در 2016 شرکت ESET تصویر 1 را برای اینترنت اشیآ (IoT) به وجود آورد. در تصویر 1 میتوان انواع وسایل، مانند خودرو، وسایل منزل و اسباب بازی، را دید که احتمالا میتوانند به اینترنت وصل شوند. در تصویر 2 یک اسباب بازی خرسی واقعی دیده میشود. این اسباب بازی در آمریکا به فروش میرود و قادر به اتصال به اینترنت است و آنرا CloudPet مینامند. آن توسط شرکت Spiral Toys تولید میشود و میتواند پیام های صوتی را از طریق اینترنت ضبط، ارسال و دریافت کند.

تصویر 1: تصویر شرکت ESET در 2016 برای اینترنت اشیآ (IoT)

تصویر 2: اسباب بازی خرسی CloudPet شرکت Spiral Toys

این وسیله اخیرآ به دلیل موارد هک و امنیت سایبری در اخبار سرو صدا کرده است. در مرحله اول صدها هزار سابقه مشتریان در وب نگهداری میشد و از طریق این اسباب بازی امکان داشت در دسترس هر کسی قرار بگیرد. دوم اینکه دو میلیون پیام های ضبط شده بین والدین و کودکان، که بیشتر آنها پیام های خیلی شخصی بودند، در دسترس علاقه مندان با توانایی فنی پایین بودند. تحقیقات ، Troy Hunt محقق امنیتی ، نشان میدهد که داده های CloudPet بارها و بارها در دسترس طرفین غیر مجاز قرار گرفت تا زمانی که حذف شد. این داده ها چندین بار برای باج گیری از کابران استفاده شد. 
مطالاعات ESET/NCSA نشان میدهد که بیش از 40% از مردم آمریکا اعتماد ندارند که وسایل IoT امن هستند و بیش از نیمی از مردم گفتند که به دلایل امنیت سایبری از خرید وسایل IoT خودداری کرده اند. 36% از شرکت کنندگان در مورد محرمانگی و امنیت کودکان در زمان استفاده از اسباب بازی های هوشمند نگران بودند. در سال گذشته ما شاهد امنیت ضعیف و هک شدن اسباب بازی های متصل بودیم (شرکت VTech) و موارد فراوانی در مورد ریسک ها و خطرات پوشیدنی ها و خودروهای متصل گفته و نوشته شده است. 
در تمامی این موارد یک واقعیت وجود دارد: "تعداد زیادی از سازندگان تکنولوژی در مورد خطرات و تهدیدها به فناوری تصمیمات ضعیف اتخاذ میکنند.". این تصمیمات باعث به وجود آمدن مشکلات برای مصرف کننده و اکوسیستم های دیجیتالی میشود. حملات گسترده و سنگین DDoS در سال گذشته باعث از دست رفتن درآمد و هزینه های غیر پیش بینی شده برای صدها شرکت شد که دلیل آن وجود وسایل IoT فارغ امنیت بود. چنین حملاتی ممکن است در صنعت پزشکی و بهداشت رخ دهد و اثر آن در دنیای پزشکی متصل امروز میتواند به مرگ افراد منجر گردد. 
درنهایت به دلیل مشکلات طراحی و تحلیل‌های ضعیف امنیتی، یک هکر می‌تواند وسایل و اشیا اینترنتی را به دستگاه‌های جاسوسی تبدیل کند. این امر برای عموم خطر دارد و اعتماد مردم را نسبت به دنیای فناوری دیجیتال کاهش می‌دهد که ممکن است عواقب جدی در آینده داشته باشد.