Arman 512™
عضو جدید
هفته گذشته مجموعه کهکشان نور به عنوان برگزارکننده دورههای آموزشی در حوزه فناوری اطلاعات و شرکت ایدکو که به ارائه راهحلهای امنیتی میپردازد یک دوره آموزش امنیت برگزار کرد که هدف آن افزایش اطلاعات خبرنگاران به عنوان گروههای مرجع در اطلاعرسانی بود. این دوره با همت موسسه دیدهبان آیتی و در ساختمان هوشمند موسسه کهکشان نور برگزار شد و طی آن نیما حسینی از اساتید این مرکز و سینا بقایی مدیرعامل شرکت ایدکو نکاتی را در مورد ایجاد امنیت برای کاربران نهایی بیان کردند. در متن زیر مهمترین نکات این دوره برای کاربران نهایی به عنوان اولین حلقه از زنجیر توسعه امنیت شرح داده شده است.
عملیاتهای خرابکارانه رایانهای از سال 1986 کار خود را آغاز کردند و اولین ویروس که توسط دو پاکستانی به نامهای بسیط و امجد نوشته شد Brain نام داشت. این ویروس اطلاعات درون دیسکت را تنها چند بیت جابهجا میکرد ولی از آغاز هزاره سوم این فعالیتها شکلهای دیگری پیدا کردند که میتوان سه نوع خرابکاری را برای آنها ذکر کرد. نوع اول شامل ویروسها و اقداماتی است که علاوه بر آسیب به سیستم، توانایی کنترل دستگاه را از اختیار کاربر خارج میکنند تا از آن برای اجرای مقاصد خرابکارانه بعدی استفاده شود. این شیوه باعث شده وبسایتهایی مانند گنگستا باکس ایجاد شود و از ویروسنویسان، کامپیوترهای قربانی را خریداری کنند زیرا در این شیوه ردیابی عملیاتهای خرابکارانه چندان آسان نیست. گروه دوم بیشتر با پشتوانه مباحث اعتقادی فعالیت میکنند و Anonymous مطرحترین گروه در این شیوه از خرابکاریهاست که دامنه فعالیت آن از پنتاگون تا کشورهای اروپای شرقی را دربر میگیرد. گفته میشود این گروه ناشناس، یک میلیون کامپیوتر در سراسر جهان را در اختیار دارند تا از آن برای اجرای برنامههای خود استفاده کنند. سومین گروه از خرابکاریها به اقدامات دولتی اشاره دارند که بارزترین نمونه آن استاکسنت است و به گزارش گارتنر، بودجه سالانه این بخش حدود 35 میلیارد دلار است. این ویروس به عنوان یک سلاح دیجیتالی فعالیت میکند و انقلابی در ویروسهای نسل جدید محسوب میشود.
برای تعریف امنیت از یک مثلث به نام CIA استفاده میشود. راس اول در این مثلث به محرمانگی اطلاعات (Confidentiality) اختصاص دارد و به این معنی است که افراد غیرمجاز به اطلاعات دسترسی نداشته باشند. راس دوم به یکپارچگی اطلاعات (Integrity) مربوط میشود و در این راس ایجاد سیاستهایی برای حفظ یکپارچگی اطلاعات مد نظر قرار میگیرد به عنوان مثال در این قسمت مشخص میشود که افراد دارای مجوز دسترسی تا چه سطحی میتوانند از این اطلاعات استفاده کنند یا آن را تغییر دهند. سومین راس در مثلث امنيت به فراهم بودن اطلاعات و در دسترس بودن آن (Availability) اشاره میکند که راهکارهای امنیتی دسترسی افراد مجاز را محدود نکنند. با این حال در تمام تعاریف موجود از امنیت کارشناسان بر سر این موضوع اتفاق نظر دارند که شروع حفاظت از حریم شخصی با اصلاح رفتارهای پرخطر انجامپذیر است و در فقدان این مورد، تجهیزات و روشهای امنیتی عملا کاربرد چندانی نخواهند داشت.
برای تعریف امنیت از یک مثلث به نام CIA استفاده میشود. راس اول در این مثلث به محرمانگی اطلاعات (Confidentiality) اختصاص دارد و به این معنی است که افراد غیرمجاز به اطلاعات دسترسی نداشته باشند. راس دوم به یکپارچگی اطلاعات (Integrity) مربوط میشود و در این راس ایجاد سیاستهایی برای حفظ یکپارچگی اطلاعات مد نظر قرار میگیرد به عنوان مثال در این قسمت مشخص میشود که افراد دارای مجوز دسترسی تا چه سطحی میتوانند از این اطلاعات استفاده کنند یا آن را تغییر دهند. سومین راس در مثلث امنيت به فراهم بودن اطلاعات و در دسترس بودن آن (Availability) اشاره میکند که راهکارهای امنیتی دسترسی افراد مجاز را محدود نکنند. با این حال در تمام تعاریف موجود از امنیت کارشناسان بر سر این موضوع اتفاق نظر دارند که شروع حفاظت از حریم شخصی با اصلاح رفتارهای پرخطر انجامپذیر است و در فقدان این مورد، تجهیزات و روشهای امنیتی عملا کاربرد چندانی نخواهند داشت.
رمز عبور
احراز هویت برای دسترسی به اطلاعات اولین مرحله برای افزایش امنیت است که با رمز عبور تعریف میشود و مهمترین تهدید برای دسترسی به رمز عبور نیز استفاده از روشهای مهندسی اجتماعی است. در این روشها معمولا افشای اطلاعات از طریق فریب کاربر انجام میگیرد. در سایر روشها بازسازی رمز عبور مورد نظر است که به حملات Brute Force شهرت دارند. در این شیوه، احتمالات ممکن برای هر کاراکتر بررسی و از پایگاههای داده با پسوردهای احتمالی استفاده میشود. برای انتخاب یک رمز عبور موارد زیر باید مورد توجه قرار گیرند.
- رمز عبور طولانی باشد. توصیه میشود از هشت تا 16 کاراکتر برای رمز استفاده شود.
- رمز عبور پیچیده باشد. مثلا استفاده ترکیبی از حروف کوچک و بزرگ، اعداد، علامتها، بهکارگیری عبارتهایی به دو زبان مختلف.
- بتوان رمز را به خاطر سپرد. روشهای پیچیدهسازی رمز باعث بیمعنی شدن آن و فراموشی نشود. میتوان حروف اول کلمات در یک بیت شعر یا موارد مشابه را انتخاب کرد. یا یک کلمه فارسی را با حروف انگلیسی تایپ کرد.
- شامل اطلاعات شخصی نباشد. با توسعه وب معمولا دسترسی به اطلاعات شخصی افراد چندان کار دشواری نیست ضمن اینکه از طریق مهندسی اجتماعی میتوان به راحتی آنها را کشف کرد.
- رمز را باید مخفی نگه داشت. نوشتن رمز یا افشای آن به دیگران اولین گامهای دسترسی غیرمجاز به اطلاعات هستند.
- پاسخ به سوالات امنیتی که برای بازیابی رمز استفاده میشود یکی دیگر از مواردی است که امنیت رمز عبور را حفظ میکند. این سوالات باید به راحتی به خاطر سپرده شوند و جواب آنها در یک یا دو کلمه خلاصه شود. در عین حال باید بتوان جوابهای مختلفی را برای این سوالات متصور شد تا به راحتی قابل تشخیص نباشند. نکته مهم اینکه جواب این سوالات از پیش مشخص نباشند، به عنوان مثال اطلاعاتی که در شبکههای اجتماعی یا مصاحبه و موارد دیگر مطرح شده نمیتواند گزینه خوبی برای افزایش امنیت رمز عبور باشد.
- رمز عبور پیچیده باشد. مثلا استفاده ترکیبی از حروف کوچک و بزرگ، اعداد، علامتها، بهکارگیری عبارتهایی به دو زبان مختلف.
- بتوان رمز را به خاطر سپرد. روشهای پیچیدهسازی رمز باعث بیمعنی شدن آن و فراموشی نشود. میتوان حروف اول کلمات در یک بیت شعر یا موارد مشابه را انتخاب کرد. یا یک کلمه فارسی را با حروف انگلیسی تایپ کرد.
- شامل اطلاعات شخصی نباشد. با توسعه وب معمولا دسترسی به اطلاعات شخصی افراد چندان کار دشواری نیست ضمن اینکه از طریق مهندسی اجتماعی میتوان به راحتی آنها را کشف کرد.
- رمز را باید مخفی نگه داشت. نوشتن رمز یا افشای آن به دیگران اولین گامهای دسترسی غیرمجاز به اطلاعات هستند.
- پاسخ به سوالات امنیتی که برای بازیابی رمز استفاده میشود یکی دیگر از مواردی است که امنیت رمز عبور را حفظ میکند. این سوالات باید به راحتی به خاطر سپرده شوند و جواب آنها در یک یا دو کلمه خلاصه شود. در عین حال باید بتوان جوابهای مختلفی را برای این سوالات متصور شد تا به راحتی قابل تشخیص نباشند. نکته مهم اینکه جواب این سوالات از پیش مشخص نباشند، به عنوان مثال اطلاعاتی که در شبکههای اجتماعی یا مصاحبه و موارد دیگر مطرح شده نمیتواند گزینه خوبی برای افزایش امنیت رمز عبور باشد.
مرورگرها
مرورگرها میتوانند تهدیدات زیادی برای کاربران ایجاد کنند به عنوان مثال در نسخههای اولیه اینترنت اکسپلورر بیش از 300 حفره امنیتی وجود دارد. بر اساس اطلاعات مختلف مانند امنیت، سرعت و امکانات جانبی میتوان گفت سه مرورگر فایرفاکس، کروم و اپرا نسبتا آسیبپذیری کمتر و کارایی بهتری دارند.
گاهی اوقات نفوذگرها و هکرها با جعل صفحات معتبر سعی در سرقت اطلاعات دارند که در این مواقع باید به سه گزینه توجه کرد. نخست نوار عنوان در بالای مرورگر، دوم نوار آدرس که نشانی صفحه در آن ذکر شده و باید با نشانی صفحه اصلی مطابقت داشته باشد و سوم نوار وضعیت که با قرار گرفتن ماوس روی لینک، آدرس در این قسمت نمایش داده میشود. به حملاتی که به این شیوه انجام میشود اصطلاحا فیشینگ میگویند و کاربر با مشاهده صفحه مورد نظر به آن اعتماد کرده و اطلاعات خود را وارد میکند. در این حملات ممکن است برای تعویض پسورد یک ایمیل ارسال شود که ظاهرا از طریق بانک یا موسسات دیگر است ولی لینکی که در ایمیل قید شده است کاربر را به سمت تلهها هدایت میکند.
برای افزایش امنیت مرورگرها نخستین نکته، بهروزرسانی مداوم برنامه است. جالب است بدانید 95 درصد از وصلههای بهروزرسانی برای ترمیم حفرههای امنیتی منتشر میشود. برنامههای جانبی مرورگر نیز باید دائما بهروز شوند به عنوان مثال نرمافزار فلشپلیر میتواند حفرههایی برای نفوذگران ایجاد کند. البته این آپدیت نباید به نسخههای آزمایشی و بتا انجام شود. همچنین یکی دیگر از اقدامات قابل اجرا استفاده از افزونههای امنیتی است. مثلا افزونه No Script میتواند جلوی اجرای اسکریپتهای مضر را بگیرد یا افزونه Adblock Plus با ممانعت از بازگشایی پنجرههای تبلیغاتی و فایلهای نمایشی، امنیت مرورگر را افزایش میدهد. افزونه HTTPS EveryWhere هم ارتباط را از طریق کانال امن با وبسایتهای مختلف برقرار میکند.
گاهی اوقات نفوذگرها و هکرها با جعل صفحات معتبر سعی در سرقت اطلاعات دارند که در این مواقع باید به سه گزینه توجه کرد. نخست نوار عنوان در بالای مرورگر، دوم نوار آدرس که نشانی صفحه در آن ذکر شده و باید با نشانی صفحه اصلی مطابقت داشته باشد و سوم نوار وضعیت که با قرار گرفتن ماوس روی لینک، آدرس در این قسمت نمایش داده میشود. به حملاتی که به این شیوه انجام میشود اصطلاحا فیشینگ میگویند و کاربر با مشاهده صفحه مورد نظر به آن اعتماد کرده و اطلاعات خود را وارد میکند. در این حملات ممکن است برای تعویض پسورد یک ایمیل ارسال شود که ظاهرا از طریق بانک یا موسسات دیگر است ولی لینکی که در ایمیل قید شده است کاربر را به سمت تلهها هدایت میکند.
برای افزایش امنیت مرورگرها نخستین نکته، بهروزرسانی مداوم برنامه است. جالب است بدانید 95 درصد از وصلههای بهروزرسانی برای ترمیم حفرههای امنیتی منتشر میشود. برنامههای جانبی مرورگر نیز باید دائما بهروز شوند به عنوان مثال نرمافزار فلشپلیر میتواند حفرههایی برای نفوذگران ایجاد کند. البته این آپدیت نباید به نسخههای آزمایشی و بتا انجام شود. همچنین یکی دیگر از اقدامات قابل اجرا استفاده از افزونههای امنیتی است. مثلا افزونه No Script میتواند جلوی اجرای اسکریپتهای مضر را بگیرد یا افزونه Adblock Plus با ممانعت از بازگشایی پنجرههای تبلیغاتی و فایلهای نمایشی، امنیت مرورگر را افزایش میدهد. افزونه HTTPS EveryWhere هم ارتباط را از طریق کانال امن با وبسایتهای مختلف برقرار میکند.
از نکات دیگر در مورد امنیت مرورگرها میتوان به شناسایی لینکها و صفحات مشکوک اشاره کرد که باید از باز کردن آنها خودداری کرد. در این شیوه ممکن است با اعلام موفقیت در قرعهکشی بانک یا درخواست برای پاکسازی سیستم از طریق آنتیویروسهای جعلی، انگیزه کاربر را افزایش دهند ولی در نهایت این مورد نیز یک دام برای کلاهبرداری خواهد بود.
رمز عبور را در مرورگر ذخیره نکنید، برای این کار میتوان از ابزارهایی مانند LastPass استفاده کرد. برخی از مرورگرها دارای حالتی هستند که در آن اطلاعات کاربر روی سیستم ذخیره نمیشود و اغلب به آن Private Browsing Mode میگویند. برای چک کردن ایمیل میتوان از این حالت استفاده کرد. هنگام مبادله اطلاعات باید از سلامت سیستم مطمئن شد تا امکان سرقت حروفی که روی کیبورد تایپ میشود توسط key loggerها به حداقل برسد. استفاده از کیبورد مجازی ویندوز یا صفحهکلیدی که برای ورود نام و رمز عبور در صفحه برخی وبسایتها مانند بانکها وجود دارد نیز موثر است.
چت و ایمیل
رمز عبور حسابهای پست الکترونیک حداکثر هر شش ماه یکبار باید تعویض شوند. اغلب حملات رایانهای از طریق ضمائم ایمیلها و فایلهای پیوست انجام میشود که در این بین، تصاویر دارای نقش برجستهای هستند. خرابکاران میتوانند کدهای خود را درون کدهای تصویر جاسازی کنند و با مشاهده تصویر عملا این کدها نیز اجرا شوند. پس اگر فرستنده را نمیشناسید و از محتوای ایمیل اطمینان ندارید گزینه نمایش عکس را فعال نکنید. لینکهای ناشناس درون ایمیلها که کاربر را به مشاهده صفحات دیگر ترغیب میکنند از دیگر روشهای فریب کاربران است. زمانی که سرویسدهنده ایمیل مانند جیمیل، یاهو یا شرکتهای دیگر ایمیلی را به عنوان اسپم شناسایی میکنند به آنها اعتماد کنید و اگر فرستنده ایمیل را نمیشناسید از باز کردن آن خودداری کنید. استفاده از ایمیلهای جداگانه برای کار و موارد شخصی هم به حفظ امنیت کمک میکند.
یکی از مهمترین شیوههای تامین حریم خصوصی در عدم انتشار نشانی ایمیل است که این موضوع کمتر مورد توجه قرار میگیرد در حالی که نقش آن در توسعه امنیت قابل توجه است. در مورد نامههای زنجیرهای که بین افراد به طور مداوم فوروارد میشود باید آدرس افراد را در قسمت Bcc نوشت تا گیرندهها امکان به دست آوردن سایر آدرسها را نداشته باشند. ممکن است این گیرنده یک هکر باشد یا کامپیوتر یکی از گیرندگان آلوده باشد. ضمن اینکه باید آدرسهای قبلی را حین فوروارد ایمیل پاک کرد. برخی ایمیلها کاربر را تشویق میکنند که ایمیل برای چندین نفر ارسال شود و در مقابل وعدههای خوشایندی به کاربر داده میشود. بهرغم ظاهر اعتقادی برخی از این ایمیلها باید از ارسال آنها خودداری کرد زیرا ممکن است یک تهدید امنیتی را در سطحی گسترده توسعه دهند.
برای چت میتوان از نرمافزارهای متنباز استفاده کرد که توانایی رمزگذاری روی اطلاعات را دارند. نرمافزار Pidgin یکی از این برنامههاست که در محیط ویندوز کاربرد دارد و برنامه Audium نیز دارای خصوصیاتی مشابه برای کاربران مک است. علاوه بر امنیت، این برنامه برای افرادی که دارای دو شناسه کاربری هستند نیز مناسب است. بهروزرسانی نرمافزارهای گفتوگو مانند سایر برنامههایی که بر بستر اینترنت اجرا میشوند کاملا حیاتی است. برخی از پلاگینهای امنیتی همچون OCR و Hive Logic هم میتوانند امنیت فضای گفتوگو را افزایش دهند.
در برنامههای چت و گفتوگو هر چقدر هم امنیت نرمافزارها افزایش پیدا کند همچنان خطر خطاهای کاربری وجود دارد. در این برنامهها معمولا احراز هویت فرد مقابل از طریق همان شناسه کاربری انجام میشود در حالی که ممکن است این شناسه در اختیار فرد دیگری باشد. بنابراین در چت هیچ گاه نمیتوان از هویت و سلامت دستگاه فرد مقابل مطمئن شد. عدم افشای اطلاعات فردی و دادههای حساس همچون انتقال رمز عبور در استفاده از برنامههای چت ضروری است. به افرادی که نمیشناسید پاسخ ندهید، لینکهای اسپم را باز نکنید. به طورکلی لینکها را درون مسنجرها باز نکنید زیرا امکان شناسایی مقصد این لینکها وجود ندارد. انتقال فایل نیز یکی دیگر از رفتارهای پرخطر در برنامههای چت است زیرا اغلب سرویسدهندههای ایمیل مجهز به آنتیویروس هستند و میتوان از سلامت فایل ارسالی مطمئن شد. در نهایت هنگام خروج از برنامه حتما logout یا signoff کنید و گزینه مربوط به ذخیره شناسه و رمز را حذف کنید.
یکی از مهمترین شیوههای تامین حریم خصوصی در عدم انتشار نشانی ایمیل است که این موضوع کمتر مورد توجه قرار میگیرد در حالی که نقش آن در توسعه امنیت قابل توجه است. در مورد نامههای زنجیرهای که بین افراد به طور مداوم فوروارد میشود باید آدرس افراد را در قسمت Bcc نوشت تا گیرندهها امکان به دست آوردن سایر آدرسها را نداشته باشند. ممکن است این گیرنده یک هکر باشد یا کامپیوتر یکی از گیرندگان آلوده باشد. ضمن اینکه باید آدرسهای قبلی را حین فوروارد ایمیل پاک کرد. برخی ایمیلها کاربر را تشویق میکنند که ایمیل برای چندین نفر ارسال شود و در مقابل وعدههای خوشایندی به کاربر داده میشود. بهرغم ظاهر اعتقادی برخی از این ایمیلها باید از ارسال آنها خودداری کرد زیرا ممکن است یک تهدید امنیتی را در سطحی گسترده توسعه دهند.
برای چت میتوان از نرمافزارهای متنباز استفاده کرد که توانایی رمزگذاری روی اطلاعات را دارند. نرمافزار Pidgin یکی از این برنامههاست که در محیط ویندوز کاربرد دارد و برنامه Audium نیز دارای خصوصیاتی مشابه برای کاربران مک است. علاوه بر امنیت، این برنامه برای افرادی که دارای دو شناسه کاربری هستند نیز مناسب است. بهروزرسانی نرمافزارهای گفتوگو مانند سایر برنامههایی که بر بستر اینترنت اجرا میشوند کاملا حیاتی است. برخی از پلاگینهای امنیتی همچون OCR و Hive Logic هم میتوانند امنیت فضای گفتوگو را افزایش دهند.
در برنامههای چت و گفتوگو هر چقدر هم امنیت نرمافزارها افزایش پیدا کند همچنان خطر خطاهای کاربری وجود دارد. در این برنامهها معمولا احراز هویت فرد مقابل از طریق همان شناسه کاربری انجام میشود در حالی که ممکن است این شناسه در اختیار فرد دیگری باشد. بنابراین در چت هیچ گاه نمیتوان از هویت و سلامت دستگاه فرد مقابل مطمئن شد. عدم افشای اطلاعات فردی و دادههای حساس همچون انتقال رمز عبور در استفاده از برنامههای چت ضروری است. به افرادی که نمیشناسید پاسخ ندهید، لینکهای اسپم را باز نکنید. به طورکلی لینکها را درون مسنجرها باز نکنید زیرا امکان شناسایی مقصد این لینکها وجود ندارد. انتقال فایل نیز یکی دیگر از رفتارهای پرخطر در برنامههای چت است زیرا اغلب سرویسدهندههای ایمیل مجهز به آنتیویروس هستند و میتوان از سلامت فایل ارسالی مطمئن شد. در نهایت هنگام خروج از برنامه حتما logout یا signoff کنید و گزینه مربوط به ذخیره شناسه و رمز را حذف کنید.
امنیت عمومی
حفظ امنیت و حریم شخصی در اماکن عمومی معمولا دشوارتر از شرایط عادی است و این موضوع را در دو بخش اماکن عمومی و رایانههای عمومی میتوان بررسی کرد. در اماکن عمومی، انتقال اطلاعات در مسیر امن میتواند تا حدود زیادی از دسترسی غیرمجاز به آن جلوگیری کند به عنوان مثال ارتباط از طریق درگاه https با رمزگذاری دادهها یکی از این موارد است. در اماکن عمومی از به اشتراک گذاشتن فایل و تجهیزات سختافزاری مانند پرینتر خودداری و سرویس اشتراکگذاری دادهها را در فضای عمومی مسدود کنید. امکان خصوصیسازی فایلها در ویندوز یکی دیگر از مواردی است که میتواند جلوی دسترسی به اطلاعات را بگیرد ضمن اینکه نرمافزارهایی مانند Trucrypt با رمزگذاری دادهها و hide Folder با مخفی کردن آنها امکان سوءاستفاده را کاهش میدهند. بهروزرسانی برنامهها همواره از اصول مهم حفظ امنیت بوده است و در این مورد نیز آپدیت برنامهها و ویندوز ضروری است.
تهیه پشتیبان از اطلاعات مهم روی هارددیسک یا فلشدرایوهای قابل حمل از دیگر موارد قابل توجه است زیرا در مواجهه با تهدیدات میتوان از حفظ اطلاعات مطمئن بود. همچنین استفاده از برنامههای پورتابل توصیه میشود. این برنامهها روی سیستمعامل نصب نشدهاند و از طریق فلشدرایو قابل حمل هستند. اغلب نرمافزارهای عمومی و کاربردی دارای نسخههای پورتابل نیز هستند ضمن اینکه با کمک برخی نرمافزارها میتوانید نسخه پورتابل خود را از برنامه مورد نظر تهیه کنید.
مخفیسازی هویت در فضاهای عمومی کاملا ضروری است. به عنوان مثال از ورود اطلاعات حساس روی کامپیوترهای عمومی خودداری کنید. برخی نکات دیگر هم وجود دارد که به رفتارهای کاربران وابسته است. مثلا کیفهای لپتاپ همواره مورد توجه سارقان قرار دارد یا ترک رایانه بدون قفل یا خاموش کردن آن میتواند دسترسی دیگران را به اطلاعات ساده کند.
مخفیسازی هویت در فضاهای عمومی کاملا ضروری است. به عنوان مثال از ورود اطلاعات حساس روی کامپیوترهای عمومی خودداری کنید. برخی نکات دیگر هم وجود دارد که به رفتارهای کاربران وابسته است. مثلا کیفهای لپتاپ همواره مورد توجه سارقان قرار دارد یا ترک رایانه بدون قفل یا خاموش کردن آن میتواند دسترسی دیگران را به اطلاعات ساده کند.