پنجشنبه, ۱۳ اردیبهشت, ۱۴۰۳ / 2 May, 2024
مجله ویستا
چگونه میتوانیم تشخیص دهیم که ماشینی واقعا تسخیر(Hack) شده است؟
پاسخ این سؤال تا حد زیادی به این بستگی دارد که چه اطلاعات و ابزارهایی با توجه به موقعیت کاربر در دسترس است. اینکه فقط با اطلاعات مربوط به فایروال بخواهیم ماشین تسخیر شده را تشخیص دهیم، یک چیز است و اینکه دسترس کامل به سختافزار و سامانه عامل و برنامههای کاربردی ماشین داشته باشیم مسئله ای کاملا متفاوت است.
بدیهی است که تحقق بخشیدن به این اهداف به داشتن افراد متخصص با مهارت computer forensics در سازمان و صرف زمان کافی نیازمند است.
برای پیشزمینه، به طور خلاصه، برخی فعالیتهای نفوذگران روی سامانه های تسخیر شده را بررسی میکنیم. البته واضح است که این فعالیتها مربوط به نفوذگران بیرونی است، نه نفوذگران درون سازمان.
۱) یک daemon درپشتی برای نفوذگر روی درگاهی با شماره بالا به کار گرفته میشود یا daemon موجود به تروجان آلوده میشود. این مورد در اغلب حالتهای تسخیر شده مشاهده میشود.
۲) یکی از انتخابهای مرسوم بین نفوذگران نصب IRC bot یا bouncer است. چندین کانال IRC توسط گروه خاصی برای ارتباط با سرور تسخیر شده اختصاص مییابد. این مورد نیز در خیلی از حالتها مشاهده میشود.
۳) در حال حاضر، برای انجام دادن حملات DDoS و DoS، معمولا از تعداد زیادی ماشین تسخیر شده برای ضربه زدن به مقصد استفاده می شود.
۴) بسیاری از نفوذگران از ماشینهای تسخیر شده برای پویش آسیب پذیری های دیگر سامانه ها به طور گسترده استفاده میکنند. پویشگرهای استفاده شده به کشف آسیب پذیری ها و نفوذ به تعداد زیادی سامانه در زمان کوتاهی قادرند.
۵) استفاده از ماشینی تسخیر شده برای یافتن ابزار یا نرمافزاری غیر مجاز، فیلم، ... خیلی معمول است. روی سرورهای با پهنای باند بالا، افراد قادرند در هر زمانی با سرعتی در حد گیگابایت download و upload کنند. شایان توجه اینکه اغلب لازم نیست کسی برای ذخیره دادهها سروری را exploit کند؛ زیرا به اندازه کافی سرورهایی وجود دارد که به علت نداشتن پیکربندی صحیح اجازه دسترس کامل را میدهد.
۶) بهدستآوردن مقدار زیادی پول با دزدیدن اطلاعات از کارتهای اعتباری یکی دیگر از فعالیتهایی است که نفوذگران انجام میدهند و در سالهای اخیر رشد فزاینده ای داشته است.
۷) یکی دیگر از فعالیتهای پولساز فرستادن هرزنامه یا واگذارکردن ماشینهای تسخیرشده به ارسال کنندگان هرزنامه ها در ازای دریافت پول است.
۸) یکی دیگر از این نوع فعالیتها استفاده از ماشین تسخیر شده برای حملات phishing است. نفوذگر سایت بانک جعلی (مشابه سایت اصلی) میسازد و - با فرستادن ایمیلی که بظاهر از طرف بانک فرستاده شده است - کاربر را به وارد کردن اطلاعات دلخواه خود وادار می کند. حتی اگر اعلام شود که سامانه شما کدهای مخرب دارد، ممکن است همه چیز سر جایش باشد و واقعا هیچ خطری وجود نداشته باشد. علت آن خیلی ساده است: هشدارهای نادرست (و به طور خاص، نوع مشهورتر آن؛ یعنی false positiveها).
توجه داشته باشید که حتی آنتی ویروس هم ممکن است هشدارهای false positive داشته باشد. بنابر این، حتی اگر آنتی ویروس هشدار داد که سامانه شما دارای درپشتی یا تروجان است، ممکن است هشداری نادرست باشد.
دقت کنید که بسیاری از موارد یاد شده با ارتباط دادن داده های NIDS با داده های دیگر (مثل داده های دیواره آتش، داده های میزبان، یا داده های یک NIDS دیگر) تسهیل می شود و از طریق خودکار کردن بر مبنای rule این ارتباط می توان نتیجه گرفت که ماشین مورد نظر تسخیر شده است. همچنین، فناوری ارتباط ممکن است با در نظر گرفتن دیگر فعالیتهای مرتبط که در زمان حمله رخ می دهد فرایند تحقیق و بررسی را خودکار کند. در نتیجه، با این روش می توان با کارایی اطمینان بیشتری سامانه های تسخیر شده را تشخیص دهیم. در مقایسه با زمانی که فقط از داده های NIDS استفاده می کنیم، حتی اگر یک موتور ارتباط خوب وجود نداشته باشد، هنوز هم تحلیلگر می تواند این مراحل را به طور دستی انجام دهد؛ هرچند این کار بیدرنگ نباشد.
● چگونه روشهای امنیتی را در محیط عملیاتی به کار گیریم؟
حال به این مسئله می پردازیم که چگونه روشهای یاد شده را در محیط عملیاتی به کار گیریم. روش آرمانی برای به کارگرفتن راهنماییهای یاد شده به طور خودکار استفاده از رخدادها و هشدارها و logهای ابزارهای امنیتی مختلف نصب شده و سپس اعمال قوانین مشخص به این داده هاست (شامل داده هایی که از قبل روی سامانه ذخیره شده است، و داده های بیدرنگ).
منبع : آسمونی
نمایندگی زیمنس ایران فروش PLC S71200/300/400/1500 | درایو …
دریافت خدمات پرستاری در منزل
pameranian.com
پیچ و مهره پارس سهند
خرید بلیط هواپیما
ایران آمریکا اسرائیل روز معلم رهبر انقلاب دولت معلمان مجلس شورای اسلامی بابک زنجانی خلیج فارس مجلس دولت سیزدهم
تهران زلزله آتش سوزی معلم پلیس شهرداری تهران سیل قوه قضاییه فضای مجازی سلامت سازمان هواشناسی دستگیری
قیمت خودرو قیمت طلا بازار خودرو خودرو قیمت دلار دلار بانک مرکزی ایران خودرو سایپا کارگران روز کارگر قیمت
فیلم سینمایی تلویزیون سریال سینما مسعود اسکویی سینمای ایران دفاع مقدس موسیقی تئاتر فیلم
مکزیک
رژیم صهیونیستی فلسطین غزه جنگ غزه حماس روسیه چین نوار غزه ترکیه عربستان یمن اوکراین
فوتبال استقلال پرسپولیس سپاهان تراکتور باشگاه استقلال لیگ برتر ایران رئال مادرید لیگ قهرمانان اروپا بایرن مونیخ لیگ برتر لیگ برتر فوتبال ایران
هوش مصنوعی همراه اول اپل تلفن همراه اینستاگرام گوگل پهپاد تبلیغات وزیر ارتباطات ناسا
فشار خون کاهش وزن دیابت بیماری قلبی کبد چرب ویتامین قهوه