مبحث یکم : مقدمه و تاریخچه
مبحث دوم: مراحل نفوذ کردن / جلوگیری از نفوذ
مبحث سوم: حملات شبکه ای
مبحث چهارم - کار عملی
مبحث پنجم - DHCP
مبحث ششم - وب و حملات مطرح در آن
مبحث هفتم - حملات DoS
مبحث هشتم - سیستم عامل
مبحث نهم - مهندسی اجتماعی
مبحث دهم - Vulnerability (آسیب پذیری)

نکته امنیتی

یکی از فازهای مهم در برقرار ی امنیت ، آموزش کارکنان و کارمندان یک سازمان است . مثلا رمز را زیر صفحه کلید نباید نوشت . اگر یک دیسک حاوی اطلاعات خراب شد ، آن را در سطل زباله نباید انداخت . چه اتفاقی می افتد ؟ هکرهایی که می خواستند CIA را هک کنند ، درون سطل زباله های اطراف CIA را جستجو می کردند . ( زباله گردی می کردند ) مثلا به دنبال یک تکه کاغذی که یک کارمند یک چیزی بر روی آن نوشته است و یا مثلا به دنبال یک فلاپی تاشده خراب و … می گشتند تا بتوانند از آن اطلاعاتی بدست آورند . مثلا با بدست آوردن یک شماره تلفن ، به آن زنگ می زنند و پیگیری می کنند و مثلا نام فرزندان فرد را می پرسند. از آن جایی که عموما افراد پسوردهای خود را اسم فرزند ، آدرس خانه ، تلفن یا ترکیبی از این ها قرار می دهند پس می توان به پسورد هم دسترسی پیدا کرد .

  • گم کردن یک حافظه فلش (flash memory) که فرمت شده هم یک تهدید است . زیرا می توان آن را recovery کرد . ( دیسکی که تا 20 بار فرمت شده باشد قابلیت recovery داده اولیه را داراست !)
  • قضیه Chaos Theory که از طریق ریاضیات هم اثبات می شود، می گوید بال زدن یک پروانه در یک طرف جهان می تواند باعث ایجاد طوفان در طرف دیگر جهان شود . ما وقتی در دنیای با چنین شرایطی زندگی می کنیم مطمئن باشید که تاثیر رایتی که روی دیسک انجام می دهید تا سالیان سال باقی می ماند . رایت حرکت کاتوره ای الکترون ها را هم مسیر می کند .

مثلا در لینوکس ابزاری با نام wipe وجود دارد که با فرمت های مختلف روی محل قرارگیری فایل می نوسید.

نکته امنیت: دقت کنید که ممکن است فرد در یک لحظه با عبور از کنار میز کار شما سندی که بر روی میزتان قرار دارد را بخواند و برود .

  • ریز ریز کردن قطعات الکترونیکی بلااستفاده
  • مرور کردن یک سایت ناشناس . مثلا Internet explorer یک باگی داشت (زمانی که از باگ بشود استفاده امنیتی کرد، آن باگ، به آسیب پذیری یا vulnerability تبدیل می شود ) که تبدیل به آسیب پذیری شد . برای این آسیب پذیری یک exploit  نوشته شد . exploit  یعنی کد نفوذ و یا روشی برای سوء استفاده از این آسیب پذیری . و اما این آسیب پذیری این بود که کافی بود تا یک عکس را در صفحه وب می دیدید ، یک پورت روی سیستمتان باز می شد. روال کار آن هم به این ترتیب بود که در هدر این عکس یک فیلدی وجود داشت که سایز آن را مشخص می کرد . آن کسی که می خواست عکس را در سایتش load کند ، سایز آن را اشتباه تنظیم می کرد . در انتهای آن یک کد قرار می داد ، کد در حافظه کامپیوتر ما load  می شد و اجرا می شد و نه نیاز به دانلود بود و نه چیز دیگری فقط نیاز به تماشای عکس بود.
  • در تلفن ، چت (Chat ) باید حواسمان باشد که اطلاعات فاش نشود و به محرمانگی لطمه وارد نشود .
  • تهدیدهای امنیتی که عمدا انجام می شود به آن حمله می گویند .
  • غالبا حمله هایی که علیه محرمانگی داده ها انجام می شود ، مربوط به دیدن ( خواندن ) داده می شود . یعنی اگر حمله کننده داده را نابود کند شاید آنقدر به محرمانگی صدمه ای نزند.
  • حملات می تواند حین انتقال داده انجام شود . یا به هنگام دسترسی به داده ویا در برابر پایگاه داده علیه connection ، علیه پسورد و … باشد .
  • در شبکه های کامپیوتری معروف ترین حملاتی که علیه محرمانگی است : sniffing و  Spoofing  است .  sniffing یعنی شنود و spoofing یعنی جعل عنوان یعنی اینکه از تکنیک های  spoof  برای اینکه در نهایت بتوانند sniff خوبی انجام دهند استفاده می کنند.
  • نکاتی که در بحث محرمانگی مطرح است :
  • دسترسی درستی را به افراد صحیح بدهیم . هرکسی هر دسترسی نداشته باشد .
  • مجوزهای مناسب دادن چه در بحث کامپیوتر و سیستم­های عامل
  • خود data source را چه از نظر فیزیکی و چه از نظر ارتباطات شبکه ای محافظت کنیم
  • اطلاعاتمان را safe انتقال دهیم . مثال : الان یک سری فایروال ها وجود دارند که زمانی که پسوردشان می خواهد عوض شود یک قسمت از پسور را برایتان ایمیل می کند ، یک قسمتی از پسورد از طریق تلفن به شما داده می شود و یک قسمت دیگر را هم از طریق پیام کوتاه ارسال می کند یعنی از راه های مختلف آن را می دهد تا اگر یکی از تکه های پسورد sniff  شد ، نتواند با آن کار کند . به اضافه اینکه ممکن است بر روی هر کدام رمزنگاری هایی را نیز انجام دهد که به راحتی قابل شنود نباشد .

نکته :  AAA چیست ؟  Authentication , Authorization , Accounting

در قسمت Authentication بحث این است که احراز هویت انجام شود . بتواند شناسایی کند .

در قسمت  Authorization بحث این است که حالا با این هویت اعلام شده تا چه حد دسترسی وجود دارد .

در قسمت  Accounting  بحث کنترل و اینکه چه کارهایی انجام شده است . حسابرسی انجام می شود.

نکته : برای مثال در  data center ها برای Authenticate  و Authorize  کردن از روش های زیر استفاده می کنند . تشخیص هویت بر منبای سه نکته می توانند انجام گیرد : دارایی های یک فرد . دانسته های فرد . موجودیت فرد . دارایی مثل داشتن کارت . دانسته مثل داشتن یک رمز و وارد کردن آن و موجودیت و هویت فرد یعنی ، مثلا اسکن مردمک چشم و یا اثر انگشت انجام شود . یک سیستم خوب ، سیستمی است که هر سه این موارد را داشته باشد . بسته به اهمیت دارایی می توان هریک از این سه سطح را در سازمان پیاده سازی کرد .

اسکرول به بالا