روش‌هاي Hacking مهندسي اجتماعي

واضح آرشیو وب فارسی:فارس: روش‌هاي Hacking مهندسي اجتماعي
خبرگزاري فارس:شـركت‌ها و مؤسسات بـــا بكارگيـري برنامـــــه‌هاي امـــــن‌تر و پيچيـــــده‌تر و استفاده از نرم افزارهاي امنيتي روي سيستـــم‌هاي كامپيوتـــري، ايمني و امنيت را افزايش مي‌دهند و اين شيوة اصلي جلوگيري از حمـلات Hackerها است. ارتقاء سخت‌افزار كامپيوتر و استفاده از آخرين فناوري به رمز در‌آوردن داده‌هــا نيز جزء راه‌حل‌هاي عمومي رفع مشكل Hacking هستند.

مقدمه
شـركت‌ها و مؤسسات بـــا بكارگيـري برنامـــــه‌هاي امـــــن‌تر و پيچيـــــده‌تر و استفاده از نرم افزارهاي امنيتي روي سيستـــم‌هاي كامپيوتـــري، ايمني و امنيت را افزايش مي‌دهند و اين شيوة اصلي جلوگيري از حمـلات Hackerها است. ارتقاء سخت‌افزار كامپيوتر و استفاده از آخرين فناوري به رمز در‌آوردن داده‌هــا نيز جزء راه‌حل‌هاي عمومي رفع مشكل Hacking هستند.Hacker‌ها نيز براي خنثي كردن پيشرفــــت نــــرم‌افزار و سخت‌افــــزار كامپيوتر كه از ورود آنها بـه‌درون سيستم‌هاي امن جلوگيــري مي‌كند، انواع روش‌ها را به كار مي‌برند. آنها با استفاده از نقاط ضعف موجود كه همــــان انسان‌ها هستند، به سيستــم حمله مي‌كنند. امـــروزه با وجود كنترل و هدايت وسيع ماشين‌ها و شبكه‌ها به طور خودكـار، حتي يك سيستم كامپيوتري تك و جدا از شبكه هـــم در جهــــان وجود ندارد كه متكي به انسان نباشد. Hackerاي كه از روش‌هاي مبتني بر مهندســـي اجتمــاعي استفـــاده مي‌كند كاربران را شناسايي كرده و سعـــي مي‌كنـــد بــــا بكارگيـري روش‌هاي غير مستقيم، اطلاعات را به دســـت آورد (بيشتر اوقات هم ممكن است به طور مستقيم اطلاعات را درخواست كند). هدف مهندسي اجتماعي اين است كه كاربــــر قانوني سيستم كامپيوتــــري، اطلاعـــات مفيد و لازم را براي Hacker آمـــاده سازد كه اين اطلاعات اغلب پروسيجري است، مثل اسم كلمة عبور براي ورود به سيستم.

* چـــرا از مهنـــدسي اجتماعي استفاده مي‌كنند؟
دلايـل استفــاده از مهندسـي اجتماعي، ساده و مشخــــص است: بـزرگترين دليــل اين است كه مهندسي اجتماعي مي‌تواند بــدون در نظر گرفتن كيفيت سخت‌افـزار و نرم‌افـزار موجود، مورد استفاده قرار گيرد.
مهندسي اجتمــاعي داراي شكل‌هـاي بسياري است اما همة آنهـــا بــراساس قانون تغيير قيافه دادن استوار مي‌باشند كه در آنها يك Hacker به شكل يك فرد عادي كه اجازه دسترسي به اطلاعات را دارد تغيير قيافه مي‌دهد. گذشته از سيستــــم‌هاي امنيتـي بزرگ، شيــوة دفاعي ديگري كه مشاغل امنيتي سيستم‌هاي كامپيوتري كوچكتر به كار مي‌برنـد ”امنيت به واسطه گمنـامي“ است، در اين روش با فرض اينـكه كاربـران قانوني قبــــلاً آموزش داده شــده‌اند وHacker‌ها از حدس زدن و استفاده از دستورات يا پروسيجرهاي مختلف دلسرد خواهند شد، اطلاعـــات كمـي براي كاربر آماده شده و يا هيـچ اطلاعاتي فراهم نمي‌شود. اين روش امنيـــت بــه واسطه گمنامي است كه آن نيز مي‌تواند براي Hacker فاش شود.

* شيوه‌هاي حمله:
بــــا وجود استفاده از روش‌هاي مبتني بر قوانين مشابه وسط مهندسان اجتمـــاعيHackerها، تغيير قيافه دادن آنها بسته به سطح مهارتHacker‌ها و نــوع اطلاعات، ممكن است بسيار متغير باشد. يكي از روش‌هاي معمول استفاده شده اين است كـــه حمــله كننده وانمود مي‌كند سيستم برايش جديد است و براي دستيابي نيازمند كمك است. برايHacker با استعداد در نقش يك فرد جديد (يا ”كاربر ناوارد“ و يا ”مبتدي“) بودن آسان است و به كــــار خود ادامــــه مي‌دهـد.Hacker به سادگي مي‌توانــــد وانمـود كند كه دربارة سيستم زياد نمي‌داند و هنوز هم در حال كسب اطلاعات است. اين حيله عموماً زماني استفاده مي‌شود كه حمله كننده قادر نيست بـــطــور كافي و لازم دربارة شركت تحقيق كرده يا اطلاعات كسب كند. راه سادة اين شيوه اين است كه Hacker بجاي شركت، منشي را فراخواني كرده و وانمود مي‌كند كه يك فرد جديد بوده و براي دستيابي به سيستم مشكل دارد. منشي (يا كاربر آموزش‌دهنده ديگر) ممكن است به اين كار راغب شده و از اينكه قادر است به فرد جديدي كمكي ارائه‌دهد، مغرور گردد. ممكن است كاربر نام حساب و كلمة عبور ميهمان را به سادگي اعلام كند و يا حتي ممكن است وارد ساختارهاي جزئي درون پروسيجرهاي برقراري ارتباط با سيستم مربوط بــه بــخش‌هاي مختلــف شــود. وقتي كه مزاحم در حساب ميهمان است، قادر است از آنجا به ساير حساب‌هاي حتـــي مهمتــر نيز دستـــرسي پيـــدا كند. او همچنين ممكن است با استفـــاده از شيـــوة مشابهي به نام ”مهندسي اجتماعي معكوس“ قادر باشـــد اطلاعــــات كافي دربارة شركت پيدا كند

هدف مهندسي اجتماعي اين است كه كاربر قانوني سيستم كامپيوتري، اطلاعات مفيد و لازم را براي Hacker آماده سازد كه اين اطلاعات اغلب پروسيجري است، مثل اسم كلمه عبور براي ورود به سيستم.

ساير تغيير قيافه‌هاي استفاده شده توسط مهندسان اجتماعي اين است كه به عنوان راهنما يا كمـــك‌كننـــدة كامپيوتر قيافه مي‌گيرند و سعي مي‌كنند همان طور كه شمــا كامپيوتــر را نصب مي‌كنيد، اطلاعات كسب كنند. اين شيوه مبتني بر اين فرض است كه سيستم در شبكه را نشان مي‌دهد.Hacker با استعداد وانمود خواهد كرد كه خطايي در همه حســـاب‌ها رخ داده و نيـــاز است حساب‌ها را‌ مجدداً راه اندازي كند. براي انجام اين كار، به كلمات عبور قديمي كاربران نياز دارد. اگر كارمنـد به اندازه كافي ساده و بي‌تجربه باشد، با تصور اينكه آنها دارند به شركت خدمت مي‌كنند، اطلاعـــات را فــــاش خواهد كرد، با وجود اينكه شيوه‌هاي متعدد ديگري وجود دارد، مثال‌هاي فوق بيشترين رويـــدادهــاي ثبـــت شــده توسط مهندسان اجتماعــي هستند. بــا ايـن حــــال، تـــغييــر حيـــله‌هايي كــه Hacker‌ها در مهنــدســي اجتماعي در مقـــابل كاربـــران قانونـــي به كار مي‌برند، محدوديــــت‌هايي دارد. در طـــول حــملة مهندسي اجتماعي، Hackerها نقش‌هاي زيادي ايفا كرده‌اند و براي به انجام رساندن يك حملة موفق، به شانس هم تكيه مي‌كنند. مثال‌هاي بالا بيشتر در مورد كارمنداني كارساز است كه از فرم‌هاي مختلف مهندسي اجتماعي آگاه نيستند يا به امنيت شركت اهميتي نمي‌دهند. حتي اگر كارمندي از مهندســـي اجتمـاعي مطلع نباشد، ممكن نيست بدون شناسايي مناسب به Hacker اعتماد كند. او همچنين ممكن است آگاه باشد كه بيشتر افراد ناوارد، در دفترشان داراي مديــــران تمـاس يا سايـــر كسانــي هستند كه آنها را ياري دهند، و وقتــي فراخواني را مي‌بيند مشكوك خواهد شد. براي Hacker با استعداد، اين مشكلات يك خطر دائمي اســـت و بنابرايـن نوع جديدي از مهندسي اجتماعي به نام ”مهندسي اجتماعي معكوس“ مطرح مي‌شود.

هدف مهندسي اجتماعي اين است كه كاربــــر قانوني سيستم كامپيوتــــري، اطلاعـــات مفيد و لازم را براي Hacker آمـــاده سازد كه اين اطلاعات اغلب پروسيجري است، مثل اسم كلمة عبور براي ورود به سيستم.
مهندسي اجتماعي معكوس:
مهندســـي اجتمــاعي معكوس شكل پيشرفتة مهندسي اجتماعي است كـــه با مشكلات عمومي موجود در مهندسي اجتماعي سروكــار دارد. اين روش مي‌تواند به عنوان حالتي كه در آن كاربر قانوني سيستم از Hacker پرسش‌هايي براي كـسب اطلاعـــات مي‌كنـــد، مطــــرح شـود. در مهندسي اجتماعي معكوس (RSE) اين تصور وجود دارد كه Hacker نسبت بــه كاربــر قانوني كه در حقيقت خود يك هدف Hacker اســـت، در سطــح بالاتري قرار دارد. با اين وجود، براي ادامة حملة مبتني برRSE، حمله كننده بايد از سيستم مطلع بوده و به مهندســي اجتماعي وارد باشد. در اينجا نگاهي اجمالي به SE و RSE خواهيم داشت:

· مهندسي اجتماعي: Hacker فراخواني‌ها را در محلي قرار داده و به كاربر وابسته است.

· مهندســي اجتمــــاعي معكــــوس: كاربــر فــراخواني‌ها را در محلــي قـرارداده و به Hacker وابسته است.

· مهندسي اجتماعي: كاربـر احساس مي‌كند Hacker مديون آنها است.

· مهنــدسي اجتماعي معكوس: كاربر خودش را مديون Hacker حس مي‌كند.

· مهندسي اجتماعي: به كرات پرسشهايي براي هدف (كاربر)، حل نشده باقي ‌مي‌ماند. (حالت شك و ترديد)

· مهندسي اجتماعي معكوس: همة مشكلات حل مي‌شوند و هيــچ مشكلي، عمليات پايان (حملةHacker) را منتفي نمي‌كند.

· مهندسي اجتماعي: كاربر بواسطه آماده كردن اطلاعات بر اوضاع كنترل دارد.

· مهندسي اجتماعـــي معكوس:Hacker داراي كنترل كامل است.

· مهندسي اجتماعي: تدارك و آماده‌سازي كمي نياز است. (گاهي اوقات اصلاً احتياج نيست.)

· مهندســـي اجتماعــي معكوس: بيشتر اوقات طراحي و دسترسي قبلي زيادي لازم است.

حمله RSE شاخص و مبنا، شامل سه قسمت اصلي است: خرابكاري ، اعلان و حمايت.

Hacker بعــــد از دستـــرسي ساده به ساير قسمت‌ها، از طريق خراب كردن ايستگاه و يا تظاهر به خرابي آنها، ايستگاه كـــاربر را تـخريب مي‌كند. همان طور كه در مهندسي اجتماعي افراد ناوارد مي‌تواننــد خرابكاري كنند، در اينجا نيز فـــراواني پيغـــام‌هاي غلـــط، تغيير پارامترها يا برنامه‌هاي مشابه مي‌توانند اين نوع خرابكاري‌ها را انجام دهند. كاربر سيستم، اين خرابكاري‌ها را ديده و سعي مي‌نمايد با كمك گرفتن از ديگران، اين مشكل را حل مي‌نمايد.

حمله كننده براي اينـــكه بــخواهد كسي باشد كه كاربران را فراخواني مي‌كند، بـــايد تبليـــغ كنـد كه توانايي بر‌طرف كردن مشكل را دارد. اين كار ممكن است شامل قـــرار دادن كـــارت‌هاي تجاري جعلي در مورد دفتر و يا حتي آماده كردن شماره‌اي در پيغامي غلط براي تماس گرفتن با آن، باشد.

* چرا مـــهندسي اجتمـاعي مـــؤثر واقـــع مي‌شود؟
استفــاده از مهندسي اجتماعي و مهندسي اجتماعـــي معكوس متـــداول است زيرا آنها در مقايســـه با حمــلات نيروهاي بي‌رحـــم، اغلب از شرايـــط خوبـي برخوردارند و وقت كمتري مي‌گيرند (و بعضـــي اوقــات دانستة كمتري) تا به‌كار خود ادامه دهند. اين شيوه‌ها مؤثر واقع مي‌شوند زيرا همة افراد بشـــر داراي ويــــژگي‌هاي روانــي مشخصـــي هستنـــد كـــه مي‌تواند مفيد باشد. مسئوليـــت پذيري، تمــايل به مورد لطف و توجه قرارگرفتن، احساس دروني و معنوي از‌ جملة اين خصوصيات هستند. مسئـــوليت‌پـــذيري وقتـي كاربرد پيدا مي‌كند كه كاربر قانوني حس مي‌كند به تنهايي مسئول كارها نيست و عدم وجود مسئوليت‌پذيري اين اجازه را به او مي‌دهد كه اطلاعات را راحت‌تر تسليم كند. همچنين كاربر اگر احساس كند كاري انجام مي‌دهد كه در آينده به آنها كمك خواهد كـــرد مثل نجــات رئيسشان از وضعيت بحراني، ممكن است اطلاعات را فاش‌كند . احساس معنوي وقتي مطرح است كه هدف باور‌كند آنها (Hackerها) براي رفع مشكل به شركت كمك مي‌كنند و اغلب از اين كمك خوشحال است. اما عوامل ديگري نيز وجود دارد كه به مهندسان اجتماعي اين اجازه را مي‌دهد تا موفق باشند.

استفاده از مهندسي اجتماعي و مهندسي اجتماعي معكوس متداول است، زيرا آنها در مقايسه با حملات نيروهاي بي‌رحم، اغلب از شرايط خوبي برخوردارند و وقت كمتري مي گيرند (و بعضي اوقات دانستة كمتري) تا به كار خود ادامه دهند
استفــاده از ”مهندسي اجتماعي“ و ”مهندسي اجتماعـــي معكوس“ متـــداول است، زيرا آنها در مقايســـه با حمــلات نيروهاي بي‌رحـــم، اغلب از شرايـــط خوبـي برخوردارند و وقت كمتري مي‌گيرند (و بعضـــي اوقــات دانستة كمتري) تا به‌ كار خود ادامه دهند.
راه‌هاي جلوگيري:
همــان‌طور كه مهندسي اجتماعي و مهندسي اجتمــــاعي معكوس بيشتـــر رايـــج مي‌شوند، شركت‌ها و مديران شبكـــه نيز سعـــي مي‌كنند موفقيت حملات را متوقف سازند. شركـــت‌هايي كـــه بــه امنيت توجه دارند، متوجه شدند كه اگر نتـــوانند از حمـــلات SE وRSE جلوگيري كنند، موجب اتلاف پول زيادي مي‌شوند كه صرف به‌روز كردن وسايل امنيتي خواهنـــد شــد. پاسخ ساده براي جلـــوگيري از اين حملات آموزش صحيح مي‌باشد. مي‌توان به‌سادگي به كاربر مطلع از سيستم گفت كه هيچ وقــــت اطلاعـــات حساب را بدون اجازة سرپرست ارائه ندهد. كاربران بايد از روش‌هاي مـــعمول حمـــلات SE آگاه بوده و هميشه رفتــار مشكــوك را گــزارش دهند. همچنين زمــاني كه تشخيص حملات RSE خيلي مشكل‌تر است، آنها بايد آگاه باشند درصورت بروز مشكل بــه چه كســي اعتمــاد كنند. از آنجايي كه مهندســان اجتماعي مي‌توانند براي كسب اطلاعات به هر كارمندي حمله كنند، روش‌هاي حمله بايد مورد توجه همة كارمندان قرار داده‌شود.Hacker‌ها مي‌دانند كه كارمندان سطح پايين و كاربراني كه از پشتيباني (آموزش) خوبي از جانب شركت بهره‌مند نمي‌شوند، اهداف ساده‌اي هستند كه Hackerها مي‌توانند بدون نياز به تفكر زياد از آنها اطلاعات كسب كنند. آموزش كارمندان بايد بصورت گروهي و همه جانبه باشد تا به‌طور كامل نسبت به كامپيوتر و امنيت شركت آگاهي يابند.

* نتيجه:
با توجه به‌اينكه همه سيستم‌هاي كامپيوتري موجود در جهان بـــه گــردانندگان بشري كه خصوصيات آسيب‌پذير دارنـــد، تكيـــه مي‌كنند، لذا اهميتي ندارد كه تجهيزات چقدر از هجوم الكترونيكي ايمن هستند، بلكه مهم اين است كه اطلاعات و دانش به دســـت آمده از كاربر قانوني اگر بصورت غير قانوني استفاده شود، ممكن است شبكة كامپيوتر را دچــــار اشكال كند.Hacker‌ها سعي مي‌كنند ياد بگيرند چطور كاربران قانوني را به‌سوي آمادگي و در دسترس قرار دادن اطلاعات شبكه‌اي با ارزش سوق ‌دهند. زماني حتي ممكن است از مهندسي اجتماعي معكوس استفاده نماينـــد تــا دسترسي بيشتري به سيستم پيدا كنند. به‌سادگي مي‌توان به وسيلة تعليم كاربران از ايــن روش بـــا ارزش و انجام عمل hacking جلوگيري كرد ، بدين صورت كه كاربران را از ايـــن‌گونـــه حمـــلات آگــــاه كرده و به آنها مي‌آموزند كه در هنگام دادن اطلاعات شركت به ديگران قوة تعقل خود را به‌كار برند.
.......................................................................
انتهاي پيام/
چهارشنبه 15 آبان 1387

این صفحه را در گوگل محبوب کنید

[ارسال شده از: فارس]

[مشاهده در: www.farsnews.com]

[تعداد بازديد از اين مطلب: 195]