Salar
Active Member
اولين چيزي كه بايد درباره هكرهاي كامپيوتري بدانيم اين است كه خود اين كلمه نيز مورد بحث و ترديد قرار دارد.
بسياري از افرادي كه به سيستم ها نفوذ مي كنند و آن را دستكاري مي كنند، متوجه جنايتي كه مرتكب شده اند نيستند و با افتخار نام خود را هكر مي گذارند و مي گويند كه آنها اشخاص خوب و يا بدي هستند. در صورتي كه بايد آنها را كراكر يا چيزي شبيه به آن ناميد. زيرا كه به سيستمها آسيب ميرسانند و به كامپيوترها صدمه ميزنند. در حالي كه يك هكر دست به اعمال شيطاني نمي زند و به سيستم هاي كامپيوتري صدمه اي وارد نمي كند و يا رمز هاي عبور اشخاص را نمي دزدد. هكرها از كراكرها متنفرند!
عده اي اعتقاد دارند كه هكر ها به دو دسته، هكرهاي خوب و هكرهاي بد تقسيم ميشوند. دسته اول، يك سيستم را تست ميكنند و در صورتي كه آسيب پذيري مشاهده كنند، آن را به اطلاع مدير شبكه مي رسانند. اما دسته دوم به اين سيستم ها آسيب مي رسانند و اطلاعات مهم و حياتي را از بين مي برند و يا در معرض عموم قرار مي دهند تا بدين وسيله مشهوريتي كسب و يا از ديگران سوءاستفاده كنند. شبيه آن را در جادوگران مي توانيد مشاهده كنيد.
در واقع همه هكرها جنايتكار نيستند و بين خوب و بد آنها ، وجه تمايز زيادي وجود دارد. در بيشتر جلسات سالانه هكرها ، آنها درباره چيزهاي مختلفي بحث و تبادل نظر ميكنند، مانند شبكههايي كه مورد سوء استفاده قرار گرفتهاند و يا بخشهاي پنهان پايگاههاي داده و يا ابزارهايي كه سوراخهاي امنيتي را پيدا ميكنند. از جمله اين افراد مي توان Marc Maiffret را نام برد كه لقب سلطان هكرها را گرفته است و در حال حاضر در بخش امنيتي eEye فعاليت ميكند. آنها نيز ابتدا مانند تمامي نوجوانان راههايي را براي نفوذ به شبكهها پيدا ميكردند و سپس راه حلهايي براي رفع اين آسيب پذيري را نيز ارايه ميدادند. حال، به عنوان مشاوران امنيتي در شركتهاي معتبر و بزرگ استخدام شده اند.
من در اين مقاله قصد دارم درباره افرادي صحبت كنم كه با هدف و انگيزه وارد سيستمها ميشوند و پس از آن، راه حلهاي جامعي را براي رفع مشكلات احتمالي اين شبكهها ارايه ميدهند. اينها افراد ماهر و كاركشته اي هستند كه توانايي ارايه راه حل براي رفع سوراخ هاي امنيتي در شبكه ها و سيستمهاي كامپيوتري را دارند.
مهمترين چيزهاي كه لازم است درباره اين افراد بدانيم:
به طور كلي هكرها و به خصوص جنايتكاران كامپيوتري دوست دارند تواناييهايشان را امتحان كنند.
Richard Ford كارشناس بخش امنيتي يك شركت كامپيوتري اظهار مي دارد كه بسياري از آنها دوست دارند به جنگ تكنولوژيها بروند و در برابر آنها قدرت نمايي كنند و به هيچ عنوان قصد خرابكاري ندارند . بيشتر آنها اين كارها را به عنوان يك بازي مي پندارند. البته در بين آنها افرادي هم وجود دارند كه اين كارها را به خاطر پول انجام مي دهند( هكرهاي روسي در اين زمينه مشهور عامه هستند)
Simon Garfinkel مولف چندين كتاب درباره امنيت اطلاعات ، در اين زمينه مي گويد : « اين دسته افراد مي خواهند با نفوذ به سيستمها و كنترل آنها به نوعي قدرت نمايي كنند كه بسياري از آنها اين كار را فقط به عنوان سرگرمي انجام مي دهند. البته دسته اي ديگر هم وجود دارد كه با هدف خاصي اين كارها را انجام مي دهند. آنها براي نفوذ در شبكه هاي شركتهاي رقيب اجير مي شوند ولي اكثر آنها فقط براي سرگرمي اين كار را انجام مي دهند.
آنها باعث مي شوند كه بيشترين خسارت ها از طريق دزدي اطلاعات و يا كلاهبرداري در اينترنت به وجود آيد
امروزه با گسترش اينترنت و تكنولوژي هاي نا امن آن ، اين دسته افراد از ضعف هاي موجود بهره جسته و در صدد نفوذ در سيستمها بر مي آيند. جنايتكاران اينترنتي نيز به دنبال فرصتي براي اجراي اهداف پليدشان بر ميآيند. بر اساس آماري از دانشگاه Carnegie Mellon ، تعداد نفوذگران كامپيوتري و حملات ويروسها در سال 2001 دو برابر شده و به حدود 53000 مورد رسيده است. در سه ماهه اول سال 2002 تعداد 27000 مورد از اين دسته حملات گزارش شده است. بخش امنيتي FBI در گزارش دقيقي در آوريل 2002 به اين نتيجه رسيده است كه اكثر ويروسها آسيب رسان نيستند. در بررسي صورت گرفته دربارهي 500 مورد گزارش اين حملات، خسارتهاي ناشي از انواع اين حملات به صورت زير بوده است:
170.8 ميليون دلار سرقت اطلاعات خصوصي
115.7 ميليون دلار كلاهبرداري هاي مالي
50 ميليون دلار سوءاستفاده از اطلاعات محرمانه
49.9 ميليون دلار ويروسها و كرمهاي اينترنتي
طبق گزارشي ديگر در سرتاسر جهان اين حملات تا 28 درصد افزايش يافته است و در 6 ماهه اول سال 2002 اين حملات بيشتر بر روي صنايع آمريكا ، سرويسهاي مالي و شركت هاي بزرگ روي داده است.
بيشتر شركتها از هكرها براي محافظت از سيستم هايشان استفاده مي كنند
در بررسي هاي FBI ، مشخص شده است كه از كل حملاتي كه به سازمانها و شركت انجام مي شود، تنها 37 درصد آنها گزارش داده ميشود و بسياري از آنها به خاطر ترس از تبليغات سو ، از اين كار خودداري مي كنند.
Sulliven در MSNBC توضيح مي دهد كه بسياري از هكرها از شركتهاي بالا امتيازات فراواني را كسب ميكنند. در يك مصاحبه كه از طريق ميل با Ziltrio - كسي كه بيش از يك سال هنوز هويتاش براي بسياري نا معلوم است- انجام گرفت. او مدعي شده است كه با نفوذ در شبكهها و به دست آوردن اطلاعات مهم و كليدي آنها، اقدام به اخاذي ميكند. حتا او ادعا كرد در يك مورد بيش از 150 هزار دلار دريافت كرده است! البته Ziltrio به خاطر شكايت شركت Sulliran تحت تعقيب FBI است.
براي نفوذگران وب ، هر تجارتي در وب يك هدف است
بسياري از نفوذگران ميتوانند به راحتي يك پويشگر را طوري تنظيم كنند كه در كمتر از چند دقيقه صدها سايت و شبكه را براي پيدا كردن يك نقطه ضعف، پويش كند. Garfinkel در مقالهاي نوشته بود كه در سايت شخصياش كه به وسيلهي يك فايروال محافظت ميگردد، گزارشي از تمامي مسيرهايي كه توسط مزاحمان پيمايش شده است را نمايش مي دهد. در يكي از روزهاي اخير، اين ديوارهي آتش بيش از 289 هزار پيمايش را ثبت كرده بود كه شامل 1044 نفوذ بوده است. اين افراد به راحتي مي توانند سايت آسيب پذيري را پيدا كنند و با امكاناتي كه دارند، به راحتي در آن نفوذ كرده و تغييرات دلخواه خود را در آن پياده كنند. فقط بايد يك چيز را دانست و آن اين كه شما هم مي توانيد يك هدف باشيد.
آيا نفوذگران روز به روز قويتر ميشوند ؟
اين مساله اي است كه موجب نگراني خانم Sarah Garden رييس بخش تحقيقات Symantec ، شده است. او ميگويد:« با پيدا شدن چندين سوراخ امنيتي و پس از آن آلوده شدن سيستمها با انواع ويروسها، يك شبكه در عرض چندين دقيقه از كار ميافتد و مختل ميشود. Ford عقيده دارد كه تعداد سيستم هاي آسيب پذير روز به روز در حال افزايش است و اين موضوع خوشايند نيست. البته بعضي از ابزارها وجود دارند كه در اين مواقع به نفوذگران «نه» مي گويند ولي از طرفي هم بسياري از نرمافزارهاي تجاري شبيه به هم هستند و وجود يك سوراخ در اين نرمافزارها براي كامپيوترهاي ديگر هم مشكل محسوب مي شود».
Garden مي گويد كه با اضافه شدن تلفن همراه و ديگر وسايل ارتباط عمومي به شبكه ها و اينترنت، نفوذگران راههاي بيشتري براي نفوذ دارند.
بنابراين اين سوال مطرح ميشود كه حال چگونه از خودمان ميتوانيم محافظت كنيم؟ اين جاست كه متخصصان پاسخگو هستند:
1- بهترين سياستهاي امنيتي كه در توان داريد اجرا كنيد.
اولين چيزي كه مي توان مطرح كرد همين مساله است. اما شركتهايي كه داده هايي با حساسيت بالا دارند، علاوه بر اين اقدامات مقدماتي، بايد براي سيستم هاي حياتي خود اهميت بالاتري قايل شوند و با استفاده از نرم افزارهايي كه مي تواند نقاط ضعف امنيتي را پيدا كند، اين سوراخها را پيدا كرده و در صدد ترميم آنها در كمترين زمان ممكن بر آيند. در اين زمينه ميتوانيد سايت eEye را مشاهده كنيد. هرگز از خود راضي نشويد. زيرا كه نفوذگران نسبت به نفوذ در سيستم هاي شما جريتر مي شوند.
2- معيارهاي عملي و سياستهاي امنيتي شركت خودتان را گسترش دهيد.
اين سياستها را براي به دست آوردن امنيت كامل به تمامي كارمندان خود ابلاغ كنيد. به آنها بگوييد كه اجازه افشاي اطلاعات شخصي و غير شخصي خود را براي ديگران ندارند.
3- براي افراد بخشهاي امنيتي سرمايه گذاري بيشتري كنيد.
آنها به ابزارها، كارآموزي و تا حدودي منابع و مراجع تخصصي نياز دارند. براي بسياري از بنگاههاي كوچك استفاده از سرويس هاي امنيتي مديريت شده بهترين گزينه است.
4- تمامي سوراخهاي امنيتي را گزارش دهيد و اجازه اخاذي به ديگران را ندهيد.
اگر شما قرباني يك نفوذگر گشتيد، آن را به افراد متخصص در اين زمينه گزارش دهيد، هر چند اين كار براي شما مشكل باشد. اگر به نفوذگري برخورد كرديد كه قصد اخاذي از شما را دارد، اين گونه فرض نكنيد كه نفوذگر تمامي اطلاعات مهم براي نابود كردن شما را در اختيار دارد. ممكن است كه اين فقط يك شوخي مضحكانه باشد . Sullivan در اين زمينه مي گويد: « اگر شما خودتان را كنترل كنيد و خيلي عادي نشان دهيد ، ممكن است نفوذگر چيزي براي اخاذي نداشته باشد، يا اين كه او ميخواهد شما را بيازمايد و ببيند كه اطلاعات شما چقدر برايتان اهميت دارد»
5- افراد جوان را با اخلاق و معنويات در زمينهي كامپيوتر آموزش دهيد.
اگر چه حرفهاي زيادي دربارهي ويروسها گفته ميشود و مقالات فراواني نوشته مي شود، اما Garden معتقد است كه افراد جوان امروزه نياز بيشتري به آموزش توسط اوليا و مربيان خود دارند. اهميت دادن فراوان به اين زمينه، مي تواند باعث كاهش جرايم كامپيوتري شود.
نويسنده : SmallTech / Monte Enbysk
مترجم : رضا كيا
ناشر : سايت همكاران سيستم
بسياري از افرادي كه به سيستم ها نفوذ مي كنند و آن را دستكاري مي كنند، متوجه جنايتي كه مرتكب شده اند نيستند و با افتخار نام خود را هكر مي گذارند و مي گويند كه آنها اشخاص خوب و يا بدي هستند. در صورتي كه بايد آنها را كراكر يا چيزي شبيه به آن ناميد. زيرا كه به سيستمها آسيب ميرسانند و به كامپيوترها صدمه ميزنند. در حالي كه يك هكر دست به اعمال شيطاني نمي زند و به سيستم هاي كامپيوتري صدمه اي وارد نمي كند و يا رمز هاي عبور اشخاص را نمي دزدد. هكرها از كراكرها متنفرند!
عده اي اعتقاد دارند كه هكر ها به دو دسته، هكرهاي خوب و هكرهاي بد تقسيم ميشوند. دسته اول، يك سيستم را تست ميكنند و در صورتي كه آسيب پذيري مشاهده كنند، آن را به اطلاع مدير شبكه مي رسانند. اما دسته دوم به اين سيستم ها آسيب مي رسانند و اطلاعات مهم و حياتي را از بين مي برند و يا در معرض عموم قرار مي دهند تا بدين وسيله مشهوريتي كسب و يا از ديگران سوءاستفاده كنند. شبيه آن را در جادوگران مي توانيد مشاهده كنيد.
در واقع همه هكرها جنايتكار نيستند و بين خوب و بد آنها ، وجه تمايز زيادي وجود دارد. در بيشتر جلسات سالانه هكرها ، آنها درباره چيزهاي مختلفي بحث و تبادل نظر ميكنند، مانند شبكههايي كه مورد سوء استفاده قرار گرفتهاند و يا بخشهاي پنهان پايگاههاي داده و يا ابزارهايي كه سوراخهاي امنيتي را پيدا ميكنند. از جمله اين افراد مي توان Marc Maiffret را نام برد كه لقب سلطان هكرها را گرفته است و در حال حاضر در بخش امنيتي eEye فعاليت ميكند. آنها نيز ابتدا مانند تمامي نوجوانان راههايي را براي نفوذ به شبكهها پيدا ميكردند و سپس راه حلهايي براي رفع اين آسيب پذيري را نيز ارايه ميدادند. حال، به عنوان مشاوران امنيتي در شركتهاي معتبر و بزرگ استخدام شده اند.
من در اين مقاله قصد دارم درباره افرادي صحبت كنم كه با هدف و انگيزه وارد سيستمها ميشوند و پس از آن، راه حلهاي جامعي را براي رفع مشكلات احتمالي اين شبكهها ارايه ميدهند. اينها افراد ماهر و كاركشته اي هستند كه توانايي ارايه راه حل براي رفع سوراخ هاي امنيتي در شبكه ها و سيستمهاي كامپيوتري را دارند.
مهمترين چيزهاي كه لازم است درباره اين افراد بدانيم:
به طور كلي هكرها و به خصوص جنايتكاران كامپيوتري دوست دارند تواناييهايشان را امتحان كنند.
Richard Ford كارشناس بخش امنيتي يك شركت كامپيوتري اظهار مي دارد كه بسياري از آنها دوست دارند به جنگ تكنولوژيها بروند و در برابر آنها قدرت نمايي كنند و به هيچ عنوان قصد خرابكاري ندارند . بيشتر آنها اين كارها را به عنوان يك بازي مي پندارند. البته در بين آنها افرادي هم وجود دارند كه اين كارها را به خاطر پول انجام مي دهند( هكرهاي روسي در اين زمينه مشهور عامه هستند)
Simon Garfinkel مولف چندين كتاب درباره امنيت اطلاعات ، در اين زمينه مي گويد : « اين دسته افراد مي خواهند با نفوذ به سيستمها و كنترل آنها به نوعي قدرت نمايي كنند كه بسياري از آنها اين كار را فقط به عنوان سرگرمي انجام مي دهند. البته دسته اي ديگر هم وجود دارد كه با هدف خاصي اين كارها را انجام مي دهند. آنها براي نفوذ در شبكه هاي شركتهاي رقيب اجير مي شوند ولي اكثر آنها فقط براي سرگرمي اين كار را انجام مي دهند.
آنها باعث مي شوند كه بيشترين خسارت ها از طريق دزدي اطلاعات و يا كلاهبرداري در اينترنت به وجود آيد
امروزه با گسترش اينترنت و تكنولوژي هاي نا امن آن ، اين دسته افراد از ضعف هاي موجود بهره جسته و در صدد نفوذ در سيستمها بر مي آيند. جنايتكاران اينترنتي نيز به دنبال فرصتي براي اجراي اهداف پليدشان بر ميآيند. بر اساس آماري از دانشگاه Carnegie Mellon ، تعداد نفوذگران كامپيوتري و حملات ويروسها در سال 2001 دو برابر شده و به حدود 53000 مورد رسيده است. در سه ماهه اول سال 2002 تعداد 27000 مورد از اين دسته حملات گزارش شده است. بخش امنيتي FBI در گزارش دقيقي در آوريل 2002 به اين نتيجه رسيده است كه اكثر ويروسها آسيب رسان نيستند. در بررسي صورت گرفته دربارهي 500 مورد گزارش اين حملات، خسارتهاي ناشي از انواع اين حملات به صورت زير بوده است:
170.8 ميليون دلار سرقت اطلاعات خصوصي
115.7 ميليون دلار كلاهبرداري هاي مالي
50 ميليون دلار سوءاستفاده از اطلاعات محرمانه
49.9 ميليون دلار ويروسها و كرمهاي اينترنتي
طبق گزارشي ديگر در سرتاسر جهان اين حملات تا 28 درصد افزايش يافته است و در 6 ماهه اول سال 2002 اين حملات بيشتر بر روي صنايع آمريكا ، سرويسهاي مالي و شركت هاي بزرگ روي داده است.
بيشتر شركتها از هكرها براي محافظت از سيستم هايشان استفاده مي كنند
در بررسي هاي FBI ، مشخص شده است كه از كل حملاتي كه به سازمانها و شركت انجام مي شود، تنها 37 درصد آنها گزارش داده ميشود و بسياري از آنها به خاطر ترس از تبليغات سو ، از اين كار خودداري مي كنند.
Sulliven در MSNBC توضيح مي دهد كه بسياري از هكرها از شركتهاي بالا امتيازات فراواني را كسب ميكنند. در يك مصاحبه كه از طريق ميل با Ziltrio - كسي كه بيش از يك سال هنوز هويتاش براي بسياري نا معلوم است- انجام گرفت. او مدعي شده است كه با نفوذ در شبكهها و به دست آوردن اطلاعات مهم و كليدي آنها، اقدام به اخاذي ميكند. حتا او ادعا كرد در يك مورد بيش از 150 هزار دلار دريافت كرده است! البته Ziltrio به خاطر شكايت شركت Sulliran تحت تعقيب FBI است.
براي نفوذگران وب ، هر تجارتي در وب يك هدف است
بسياري از نفوذگران ميتوانند به راحتي يك پويشگر را طوري تنظيم كنند كه در كمتر از چند دقيقه صدها سايت و شبكه را براي پيدا كردن يك نقطه ضعف، پويش كند. Garfinkel در مقالهاي نوشته بود كه در سايت شخصياش كه به وسيلهي يك فايروال محافظت ميگردد، گزارشي از تمامي مسيرهايي كه توسط مزاحمان پيمايش شده است را نمايش مي دهد. در يكي از روزهاي اخير، اين ديوارهي آتش بيش از 289 هزار پيمايش را ثبت كرده بود كه شامل 1044 نفوذ بوده است. اين افراد به راحتي مي توانند سايت آسيب پذيري را پيدا كنند و با امكاناتي كه دارند، به راحتي در آن نفوذ كرده و تغييرات دلخواه خود را در آن پياده كنند. فقط بايد يك چيز را دانست و آن اين كه شما هم مي توانيد يك هدف باشيد.
آيا نفوذگران روز به روز قويتر ميشوند ؟
اين مساله اي است كه موجب نگراني خانم Sarah Garden رييس بخش تحقيقات Symantec ، شده است. او ميگويد:« با پيدا شدن چندين سوراخ امنيتي و پس از آن آلوده شدن سيستمها با انواع ويروسها، يك شبكه در عرض چندين دقيقه از كار ميافتد و مختل ميشود. Ford عقيده دارد كه تعداد سيستم هاي آسيب پذير روز به روز در حال افزايش است و اين موضوع خوشايند نيست. البته بعضي از ابزارها وجود دارند كه در اين مواقع به نفوذگران «نه» مي گويند ولي از طرفي هم بسياري از نرمافزارهاي تجاري شبيه به هم هستند و وجود يك سوراخ در اين نرمافزارها براي كامپيوترهاي ديگر هم مشكل محسوب مي شود».
Garden مي گويد كه با اضافه شدن تلفن همراه و ديگر وسايل ارتباط عمومي به شبكه ها و اينترنت، نفوذگران راههاي بيشتري براي نفوذ دارند.
بنابراين اين سوال مطرح ميشود كه حال چگونه از خودمان ميتوانيم محافظت كنيم؟ اين جاست كه متخصصان پاسخگو هستند:
1- بهترين سياستهاي امنيتي كه در توان داريد اجرا كنيد.
اولين چيزي كه مي توان مطرح كرد همين مساله است. اما شركتهايي كه داده هايي با حساسيت بالا دارند، علاوه بر اين اقدامات مقدماتي، بايد براي سيستم هاي حياتي خود اهميت بالاتري قايل شوند و با استفاده از نرم افزارهايي كه مي تواند نقاط ضعف امنيتي را پيدا كند، اين سوراخها را پيدا كرده و در صدد ترميم آنها در كمترين زمان ممكن بر آيند. در اين زمينه ميتوانيد سايت eEye را مشاهده كنيد. هرگز از خود راضي نشويد. زيرا كه نفوذگران نسبت به نفوذ در سيستم هاي شما جريتر مي شوند.
2- معيارهاي عملي و سياستهاي امنيتي شركت خودتان را گسترش دهيد.
اين سياستها را براي به دست آوردن امنيت كامل به تمامي كارمندان خود ابلاغ كنيد. به آنها بگوييد كه اجازه افشاي اطلاعات شخصي و غير شخصي خود را براي ديگران ندارند.
3- براي افراد بخشهاي امنيتي سرمايه گذاري بيشتري كنيد.
آنها به ابزارها، كارآموزي و تا حدودي منابع و مراجع تخصصي نياز دارند. براي بسياري از بنگاههاي كوچك استفاده از سرويس هاي امنيتي مديريت شده بهترين گزينه است.
4- تمامي سوراخهاي امنيتي را گزارش دهيد و اجازه اخاذي به ديگران را ندهيد.
اگر شما قرباني يك نفوذگر گشتيد، آن را به افراد متخصص در اين زمينه گزارش دهيد، هر چند اين كار براي شما مشكل باشد. اگر به نفوذگري برخورد كرديد كه قصد اخاذي از شما را دارد، اين گونه فرض نكنيد كه نفوذگر تمامي اطلاعات مهم براي نابود كردن شما را در اختيار دارد. ممكن است كه اين فقط يك شوخي مضحكانه باشد . Sullivan در اين زمينه مي گويد: « اگر شما خودتان را كنترل كنيد و خيلي عادي نشان دهيد ، ممكن است نفوذگر چيزي براي اخاذي نداشته باشد، يا اين كه او ميخواهد شما را بيازمايد و ببيند كه اطلاعات شما چقدر برايتان اهميت دارد»
5- افراد جوان را با اخلاق و معنويات در زمينهي كامپيوتر آموزش دهيد.
اگر چه حرفهاي زيادي دربارهي ويروسها گفته ميشود و مقالات فراواني نوشته مي شود، اما Garden معتقد است كه افراد جوان امروزه نياز بيشتري به آموزش توسط اوليا و مربيان خود دارند. اهميت دادن فراوان به اين زمينه، مي تواند باعث كاهش جرايم كامپيوتري شود.
نويسنده : SmallTech / Monte Enbysk
مترجم : رضا كيا
ناشر : سايت همكاران سيستم
