امنیت سیستم های کامپیوتری قسمت دوم

امنیت سیستم های کامپیوتری قسمت دوم

اسلاید 1: امنیت سیستم های کامپیوتری قسمت دوم

اسلاید 2: فصل سوم: انواع حملات و تهدیدات در شبکه

اسلاید 3: انواع حملات و تهدیداتحملات شبکه ای را می توان از ديدگاه حمله کننده به چهار گروه تقسیم کرد: 1- حملات انجام شده توسط کاربر مورد اعتماد (داخلی) :این حمله یکی از مهم ترین و خطرناکترین نوع حملات است، چون از یک طرف کاربر به منابع مختلف شبکه دسترسی دارد و از طرف دیگر سیاست های امنیتی معمولا محدودیت های کافی درباره این کاربران اعمال نمی کنند.

اسلاید 4: 2- حملات انجام شده توسط افراد غیر معتمد (خارجی) این معمول ترین نوع حمله است که یک کاربر خارجی که مورد اعتماد نیست شبکه را مورد حمله قرار می دهد. این افراد معمولا سخت ترین راه را پیش رو دارند زیرا بیشتر سیاست های امنیتی درباره این افراد تنظیم شده اند.

اسلاید 5: 3- حملات انجام شده توسط هکرهای بی تجربه:بسیاری از ابزارهای حمله و نفوذ بر روی اینترنت وجود دارند. در واقع بسیاری از افراد می توانند بدون تجربه خاصی و تنها با استفاده از ابزارهای آماده برای شبکه ایجاد مشکل کنند

اسلاید 6: 4- حملات انجام شده توسط کاربران مجرب هکرهای با تجربه و حرفه ای در نوشتن انواع کدهای خطرناک متبحرند. آن ها از شبکه و پروتکلهای آن و همچنین از انواع سیستم های عمل آگاهی کامل دارند. معمولا این افراد ابزارهایی تولید می کنند که توسط گروه اول به کار گرفته می شوند. آن ها معمولا پیش از هر حمله ، آگاهی کافی درباره قربانی خود کسب می کنند.

اسلاید 7: مفاهيم و اصطلاحات اوليه حمله(Attack) تلاش عمدي براي رخنه در يك سيستم يا سوء استفاده از آن. رخنه((Breachنقض سياست امنيتي يك سيستم(منظور از سياست امنيتی بايدها و نبايدهای سيستم است)نفوذ(Intrusion) فرايند حمله و رخنه ناشي از آن

اسلاید 8: آسيب‌پذيري(Vulnerability)هر گونه نقطه ضعف در توصیف، طراحی، پیاده سازی، پیکربندی، اجرا که بتوان از آن سوءاستفاده کرده و سیاست های امنیتی سیستم را نقض کرد. Hack در واقع به معني كنكاش به منظور كشف حقايق و نحوة كار يك سيستم است.Attack تلاش برای نفوذ به سیستم هاي ديگران و در واقع Hack خصمانه است.

اسلاید 9:  دسته بندي حملاتحملات غیرفعال(passive) فقط اطلاعات را خوانده و از آن ها استفاده مي كند ولي تغييري در اطلاعات نمي دهد.حملات فعال(active) اطلاعات را تغيير مي دهد و يا بر عمليات تاثير مي گذارد.

اسلاید 10: تهدیدات محدوده ای که یک سازمان را از نظر امنیت اطلاعات تهدید می کند، محدوده بسیار وسیعی می باشد. در واقع هکرها، با انگیزه های مختلف و از روش های مختلفی به سازمان ها نفوذ کرده و اقدام به ربودن اطلاعات می نمایند.تهدیدات و حملات علیه امنیت شبکه از جنبه های مختلف قابل بررسی هستند. از یک دیدگاه حملات به دو دسته فعال و غیر فعال تقسیم می شوند و از دیدگاه دیگر مخرب و غیر مخرب و از جنبه دیگر می توان براساس عامل این حملات آن هارا تقسیم بندی نمود. اما آن چیزی که برای ایجاد یک طرح امنیتی مناسب مورد نیاز است این است که نسبت به تهدیدات رایج شناخت خوب و کاملی داشته باشیم تا بتوانیم کنترل های لازم را برای حفاظت شبکه از آن تهدیدات طراحی و پیاده سازی نماییم.

اسلاید 11: حملات لایه کاربردیکی از متداول ترین حملات شبکه، حمله به پشته یاstack و یا بارهایی است که در ماشین های یک شبکه فعال می باشند. اطلاعات رجیستر ها و آدرس بازگشت و...، در stack ذخیره می شود و به صورتLast in first outعمل می کنند، اگر سرریز پشته رخ دهد آن گاه آدرس های بازگشت روتین های که به صورت تو در تو باز شده بودند به هم می خورد، سیستم قفل کرده و کارهایی که پردازندهدر آن لحظه انجام می دهد مطابق پیش بینی سیستم عامل نمی باشد در نتیجه انتظاری که از ماشین می رود برآورده نمی گردد مثلا Mouseرا جابه جا می کنیم اما مکان نما حرکت نمی کند یا صفحه خود به خود scrollمی کند یا برخی از صفحات خود به خود بسته می شوند یا پنجره ها را می بندیم اما بسته نمی شوند.

اسلاید 12:  Exploite codeمجموعه کدهایی است که با ارسال آن ها به یک پروسه فعال، آن پروسه مختل شده و کنترل پروسه به مهاجم داده می شود. وقتی سرریز بافر یا پشته رخ می دهد، پروسه از کنترل عادی خارج شده و قادر به انجام کار فعلی خود نیست در نتیجه ممکن است مهاجم طبق یک برنامه از پیش تعیین شده به جای پروسه ای که فعال بوده، پروسه دیگری مطابق با هدف خود جایگزین نماید. این پروسه جدید می تواند کپی کردن،پاک کردن و یا تخریب برخی از اطلاعات باشد.نکته: مهاجم با ارسال تعداد زیادیNOPدر یک محدوده از حافظه، محدوده ای از حافظه را خالی کرده و حدود جایی که آدرس بازگشت می باشد را تشخیص می دهد.

اسلاید 13:  سرریز بافر یا پشته IDSها یا سیستم های تشخیص نفوذ: سیستم های هستند که بر اساس Logfileهای که توسط سرور یا خود مهاجم تشکیل می شود می تواند تشخیص دهد که نفوذی در حال رخ دادن است مثلا با مقایسه ترافیک موجود با حالتی که حملهدرخ نداده است یعنی با تفسیر و مقایسه اطلاعات کامپیوتر پی می بردند که حمله ای در حال رخ دادن است. IDSها به صورت پویا و براساس اطلاعاتی که در طول زمان تولید می شود و بررسی و مانیتور کردن سیستم، حمله را تشخیص می دهند.FirewalLها بر اساس قواعد ثابتی عمل می کنند اماIDSها به طور پویا عمل می کنند. اگر طول داده ای که به پورت های باز ارسال می شود بیشتر از اندازه ای است که در دستورالعمل ها می باشد،IDSاعلام می کند که حمله رخ داده است و از بروز حملات سرریز و بافر جلوگیری می کند.

اسلاید 14: وقتی داده ای به یک پورت باز ارسال می شود در حافظه قرار گرفته ، بررسی می شود آیا بیش از اندازه معمول در آنnopاست یا خیر.اگر بیش از اندازه nopداشت حمله رخ داده است. در برخی موارد مهاجم به جایnop از کدهایی مشابهnopاستفاده می کند وIDS های حساس به NOPمتوجهNOPبودن آن ها نمی شوند.

اسلاید 15:  MalwareترکیبmaliciouSو software، برنامه های در ظاهر زیبایی هستند که در لایه کاربرد قرار می گیرند اما هدف مهاجم را دنبال می کنند و مخرب می باشند.انواعmalware برای اجرا و تکثیر به برنامه میزبان نیاز دارندمستقل هستند و برای اجرا و تکثیر به برنامه میزبان نیازی ندارند.

اسلاید 16: اسب تروا (Trojan Horse)برنامه مستقلی هستند که مانند یک برنامه معمولی درکامپیوتر قربانی اجرا می شوند و آن را در اختیار مهاجم قرار می دهند. هدف آن ها تکرار خودشان نیست و یکبار که در ماشین قربانی قرار بگیرند آن را تحت اختیار در می آورند.اسب های تروا و درب های پشتی مانند هم هستند و بسیاری از اسب های تروا، درب های پشتی را ایجادی کنند.

اسلاید 17: ویروس ویروس ها هدف اشان تکثیر خو بوده و برای تکثیر به برنامه میزبان نیاز دارند.هدف ویروس ها تکثیر برروی همان ماشین قربانی می باشد. Attachmentهای ایمیل، دانلود فرم بلیط رایگان ،Keystrockها، تبلیغاتpopupکه با کلیک YSEیا NOبسته می شوند اسب تروا را وارد سیستم می کنند. تمام کلیدهای صفحه تبلیغ آلوده، توسط کسی که آن را نوشته است به جای دیگریassignشده است. برای بستن صفحات تبلیغ به جای دکمهcloseازALT+F4استفاده گردد البته مرورگر های جدید قابلیت تنظیم جهت عدم دریافتpop Upدارند.

اسلاید 18: روش انتشار ویروس ها از طریق برنامه های اجرایی یا همان برنامه میزبانی که به آن متصل شده اند، برنامه های با پسوندexeو com از طریق قرار گرفتن در boot sector(قسمتی از هارد دیسک که شامل اطلاعاتی مانند نحوه شروع بوت شدن سیستم عامل است، این بخش شامل کد ماشین بوده و توسط سازنده سخت افزار سیستم در درونRAM بارگذاری می شود.Master Boot Record یاMBR اولین بخش یک دیسک سخت است که اطلاعاتی مانند تعداد سکوها در هر پارتیشن و موقعیت هر پارتیشن را در خود دارد).

اسلاید 19: بوت سکتور سکتور یا بخشی از از هارد دیسک است که شامل اطلاعات مربوط به بوت شدن سیستم عامل را در خود دارد. بوت سکتور حاوی کد ماشین بوده و توسط سازنده سخت افزار سیستم در درون RAM بارگذاری می شود. کدهای بوت سکوت یا دیسک سیستم برای باز کردن فایل های سیستم و پیغام راه اندازی سیستم لازم است.MBR یاMaster Boot Record اولین بخش یک دیسک سخت است که اطلاعاتی مانند تعداد سکوها در هر پارتیشن و موقعیت همه پارتیشن ها را در خود دارد.

اسلاید 20: انواع ویروس هاویروس های پنهانی یاStealth Virus این نوع ویروس ها سیستم عامل را آلوده کرده و فایل آلوده کاملا طبیعی به نظر می رسد.Macro Virus و Memory Resident Virusاین نوع از ویروس ها دست می گذارند بر روی فایل های ورد و اکسل یعنی اصولا فایل هایی با پسوند XLS , PPS , DOC , MDB مورد حمله قرار می دهند . نام بعضی از این ویروس ها RELAX , A , BABLES و … می باشد. ماکروهایی با اجرا شدن یک Automacro تولید می کنند، یعنی ماکرو که در هر بار باز شدن فایل های غیر آلوده از همان نوع اجرا شده و خود را تکثیر می کند. ویروس ها Memory Resident بر روی RAM می نشینند و درونRAM به طور مرموزی مخفی می باشند و زندگی می کنند و طرز کار آن ها به این صورت است که با هر بار روشن شدن کامپیوتر کار خود را شروع کرده و سعی می کنند فایل ها را آلوده کنند بعضی از این ویروس ها CMJ , MEVE و … نام دارند.

اسلاید 21: ویروس های چند ریختی یا Polymorphic Virusدارای ظاهری گوناگون بوده و ویروس کش ها به راحتی نمی توانند آن ها را تشخیص دهند بلکه باpattern های خاص. این نوع ویروس ها از روش رمزی سازی با کلیدهای مختلف استفاده می کنند. یک نوع از این ویروس ها ویروسsignature می باشد. در این ویروس یک تکه از کد در تمام شکل های کد ثابت می ماند و مهاجماع بقیه قسمت ها را تغییر می دهد و یا رمز می کند. اگر همه قسمت ها را رمز کند حجم عملیاتی بالا رفته و کارآیی پایین می آید. ویروس از روی تکه ثابت شناخته می شود. در برخی ویروس ها همه قسمت ها رمز شده و تکه ثابت وجود ندارد و از روی قسمت رمز کننده که در همه ثابت است ، ویروس شناسایی می شود.

اسلاید 22: در ویروس هایOligomorphicرمز کننده متفاوت است اما ساختار بدنه این نوع ویروس ها مشابه است. درر ویروس هایPolymorphic هم رمز کننده متفاوت است و هم از روش های مختلف رمزی سازی استفاده می شود. در ویروس های Metamorphic ساختار بدنه را هم تغییر می دهند یعنی از روی ساختار بدنه هم نمی توان آن ها را تشخیص داد. روش مقابله با ویروس هایPolymorphic و Metamorphic از روی پردازنده Emulation یعنی ایجاد رفتار آن در اجرای کدها بدون آن که اثر مخرب ویروس را بر روی حافظه داشته باشیم می باشد. سایر انواع ویروس ها با Virus Sccanerشناسایی می شوند.