تبلیغات
تبلیغات متنی
محبوبترینها
ساقدوش کیست ؟ | وظیفه ساقدوش در مراسم عقد و عروسی چیست ؟
قایقسواری تالاب انزلی؛ تجربهای متفاوت با چاشنی تخفیف
چگونه ویزای توریستی فرانسه را بگیریم؟
معرفی و فروش بوته گرافیتی ریخته گری
بهترین بروکر برای معاملات فارکس در سال 2024
تجربه رانندگی با لندکروز در جزیره قشم؛ لوکسترین انتخاب
اکسپرتاپ: 10 شغل پردرآمد برای مهاجران کاری در کانادا
صفحه اول
آرشیو مطالب
ورود/عضویت
هواشناسی
قیمت طلا سکه و ارز
قیمت خودرو
مطالب در سایت شما
تبادل لینک
ارتباط با ما
مطالب سایت سرگرمی سبک زندگی سینما و تلویزیون فرهنگ و هنر پزشکی و سلامت اجتماع و خانواده تصویری دین و اندیشه ورزش اقتصادی سیاسی حوادث علم و فناوری سایتهای دانلود گوناگون
مطالب سایت سرگرمی سبک زندگی سینما و تلویزیون فرهنگ و هنر پزشکی و سلامت اجتماع و خانواده تصویری دین و اندیشه ورزش اقتصادی سیاسی حوادث علم و فناوری سایتهای دانلود گوناگون
آمار وبسایت
تعداد کل بازدیدها :
1816712697
چگونه میتوانیم تشخیص دهیم که ماشینی واقعا تسخیر(Hack) شده است؟ -
واضح آرشیو وب فارسی:سایت ریسک: چگونه میتوانیم تشخیص دهیم که ماشینی واقعا تسخیر(Hack) شده است؟ a h m a d 04 بهمن 1388, 17:45رای پیشزمینه، به طور خلاصه، برخی فعالیتهای نفوذگران روی سامانه های تسخیر شده را بررسی میکنیم. البته واضح است که این فعالیتها مربوط به نفوذگران بیرونی است، نه نفوذگران درون سازمان. پاسخ این سؤال تا حد زیادی به این بستگی دارد که چه اطلاعات و ابزارهایی با توجه به موقعیت کاربر در دسترس است. اینکه فقط با اطلاعات مربوط به فایروال بخواهیم ماشین تسخیر شده را تشخیص دهیم، یک چیز است و اینکه دسترس کامل به سختافزار و سامانه عامل و برنامههای کاربردی ماشین داشته باشیم مسئله ای کاملا متفاوت است. بدیهی است که تحقق بخشیدن به این اهداف به داشتن افراد متخصص با مهارت computer forensics در سازمان و صرف زمان کافی نیازمند است. برای پیشزمینه، به طور خلاصه، برخی فعالیتهای نفوذگران روی سامانه های تسخیر شده را بررسی میکنیم. البته واضح است که این فعالیتها مربوط به نفوذگران بیرونی است، نه نفوذگران درون سازمان. ۱) یک daemon درپشتی برای نفوذگر روی درگاهی با شماره بالا به کار گرفته میشود یا daemon موجود به تروجان آلوده میشود. این مورد در اغلب حالتهای تسخیر شده مشاهده میشود. ۲) یکی از انتخابهای مرسوم بین نفوذگران نصب IRC bot یا bouncer است. چندین کانال IRC توسط گروه خاصی برای ارتباط با سرور تسخیر شده اختصاص مییابد. این مورد نیز در خیلی از حالتها مشاهده میشود. ۳) در حال حاضر، برای انجام دادن حملات DDoS و DoS، معمولا از تعداد زیادی ماشین تسخیر شده برای ضربه زدن به مقصد استفاده می شود. ۴) بسیاری از نفوذگران از ماشینهای تسخیر شده برای پویش آسیب پذیری های دیگر سامانه ها به طور گسترده استفاده میکنند. پویشگرهای استفاده شده به کشف آسیب پذیری ها و نفوذ به تعداد زیادی سامانه در زمان کوتاهی قادرند. ۵) استفاده از ماشینی تسخیر شده برای یافتن ابزار یا نرمافزاری غیر مجاز، فیلم، ... خیلی معمول است. روی سرورهای با پهنای باند بالا، افراد قادرند در هر زمانی با سرعتی در حد گیگابایت download و upload کنند. شایان توجه اینکه اغلب لازم نیست کسی برای ذخیره دادهها سروری را exploit کند؛ زیرا به اندازه کافی سرورهایی وجود دارد که به علت نداشتن پیکربندی صحیح اجازه دسترس کامل را میدهد. ۶) بهدستآوردن مقدار زیادی پول با دزدیدن اطلاعات از کارتهای اعتباری یکی دیگر از فعالیتهایی است که نفوذگران انجام میدهند و در سالهای اخیر رشد فزاینده ای داشته است. ۷) یکی دیگر از فعالیتهای پولساز فرستادن هرزنامه یا واگذارکردن ماشینهای تسخیرشده به ارسال کنندگان هرزنامه ها در ازای دریافت پول است. ۸) یکی دیگر از این نوع فعالیتها استفاده از ماشین تسخیر شده برای حملات phishing است. نفوذگر سایت بانک جعلی (مشابه سایت اصلی) میسازد و - با فرستادن ایمیلی که بظاهر از طرف بانک فرستاده شده است - کاربر را به وارد کردن اطلاعات دلخواه خود وادار می کند. حتی اگر اعلام شود که سامانه شما کدهای مخرب دارد، ممکن است همه چیز سر جایش باشد و واقعا هیچ خطری وجود نداشته باشد. علت آن خیلی ساده است: هشدارهای نادرست (و به طور خاص، نوع مشهورتر آن؛ یعنی false positiveها). توجه داشته باشید که حتی آنتی ویروس هم ممکن است هشدارهای false positive داشته باشد. بنابر این، حتی اگر آنتی ویروس هشدار داد که سامانه شما دارای درپشتی یا تروجان است، ممکن است هشداری نادرست باشد. دقت کنید که بسیاری از موارد یاد شده با ارتباط دادن داده های NIDS با داده های دیگر (مثل داده های دیواره آتش، داده های میزبان، یا داده های یک NIDS دیگر) تسهیل می شود و از طریق خودکار کردن بر مبنای rule این ارتباط می توان نتیجه گرفت که ماشین مورد نظر تسخیر شده است. همچنین، فناوری ارتباط ممکن است با در نظر گرفتن دیگر فعالیتهای مرتبط که در زمان حمله رخ می دهد فرایند تحقیق و بررسی را خودکار کند. در نتیجه، با این روش می توان با کارایی اطمینان بیشتری سامانه های تسخیر شده را تشخیص دهیم. در مقایسه با زمانی که فقط از داده های NIDS استفاده می کنیم، حتی اگر یک موتور ارتباط خوب وجود نداشته باشد، هنوز هم تحلیلگر می تواند این مراحل را به طور دستی انجام دهد؛ هرچند این کار بیدرنگ نباشد. ● چگونه روشهای امنیتی را در محیط عملیاتی به کار گیریم؟ حال به این مسئله می پردازیم که چگونه روشهای یاد شده را در محیط عملیاتی به کار گیریم. روش آرمانی برای به کارگرفتن راهنماییهای یاد شده به طور خودکار استفاده از رخدادها و هشدارها و logهای ابزارهای امنیتی مختلف نصب شده و سپس اعمال قوانین مشخص به این داده هاست (شامل داده هایی که از قبل روی سامانه ذخیره شده است، و داده های بیدرنگ). منبع:سایت آسمونی
این صفحه را در گوگل محبوب کنید
[ارسال شده از: سایت ریسک]
[مشاهده در: www.ri3k.eu]
[تعداد بازديد از اين مطلب: 344]
-
گوناگون
پربازدیدترینها