تبلیغات

خرید از معتبرترین فروشگاههای

تبلیغات

ويروس ها

  • جعل هويت در وب به صورت ساده - قسمت دوم

    در قسمت اول اين مقاله دلايل استفاده از نشست ها و همچنين دسته بندي از آنها بيان كرديم. در اين مقاله يك مثال عملي آورده ايم كه از پيش روي شما مي گذرد:

     

    يك مثال واقعي

    حتما خيلي از شما تا به حال به سايت www.iranianchat.com رفته ايد وقتي وارد اتاق گفتگو مي شويد برنامه كاربردي سايت يك chatID به شما مي دهد و هر بار كه شما پيغامي ارسال مي كنيد پيغام شما به همراه يان chatID كه نمايانگر شما مي باشد براي برنامه كاربردي ارسال مي گردد و اين برنامه از طرف شما اطلاعات زير را ذخيره كرده است :

    chatID = 3087.2

    Name = "Kalantar"

    Color = "#b2b2b2

    Msg = Your Message

    حال وقتي پيغامي به همراه ChatID شما براي برنامه كاربردي سايت ارسال مي شود اين برنامه اين پيغام را از طرف شما و با نام شما در اتاق گفتگو مي نويسد.

    حال وقتي يك نگاه ساده به ChatID هاي داده شده توسط برنامه كاربردي وب بياندازيم مي بينيم كه آنها شباهتي با هم دارند و روي يك الگوريتم خاصي به كاربران داده مي شود:

     

    http://www.englishpersian.com/Chat1/Chat.asp?ChatID=3087.2

    k1 omad 5/9/2004 12:51:27 AM (213.17.8.4)

     

    http://www.englishpersian.com/Chat1/Chat.asp?ChatID=3091.507

    k2 omad 5/9/2004 12:51:31 AM (213.17.8.4)

     

    http://www.englishpersian.com/Chat1/Chat.asp?ChatID=3095.512

    k3 omad 5/9/2004 12:51:35 AM (213.7.8.4)

     

    http://www.englishpersian.com/Chat1/Chat.asp?ChatID=3107.239

    k4 omad 5/9/2004 12:51:47 AM (213.7.8.4)

     

    http://www.englishpersian.com/Chat1/Chat.asp?ChatID=3111.235

    k5 omad 5/9/2004 12:51:51 AM (213.17.8.4)

     

    http://www.englishpersian.com/Chat1/Chat.asp?ChatID=3116.242

    k6 omad 5/9/2004 12:51:56 AM (213.17.8.4)

     

    با جمع آوري اعداد و ارقام به دست آمده و آمارگيري آنها الگوريتم به كار رفته براي ساختن نشانه نشست به دست مي آيد:

     

    12:51:31 - 12:51:27 = 00:00:04  ==>  3091-3087 = 4

    12:51:35 - 12:51:31 = 00:00:04  ==>  3095 - 3091= 4

    12:51:47 - 12:51:35 = 00:00:12  ==>  3107 - 3095= 12

     

    الگوريتمي كه برنامه نويس سايت (RoyaAz ) براي مديريت نشست ها به كار برده است به صورت زير مي باشد:

     

    ChatID = Num1.Num2

    OldNum1 = Num1 براي آخرين نفر

    Num1 = (زمان ورود آخرين نفر - زمان ورود شخص  ) + OldNum1

    Num2 = يك عدد تصادفي بين 0 تا 999

     

    به عنوان مثال عملي تر ، فرض كنيد پس از نفر K6 آقاي X وارد مي شود كه اطلاعات آن به صورت زير مي باشد :

    .......................................................................

    k6 omad 5/9/2004 12:51:56 AM (213.17.8.4)

    K6 : Salammmmm

    K6 :

    X omad 5/9/2004 12:52:16 AM (10.7.28.157)

    X : Hi !

    X: Salam K6

    ........................................................................

     

    در اين هنگام K6 نگاهي به ChatID خود مي كند و نگاهي به زماني كه وارد شده است. اطلاعات آن به صورت زير مي باشد :

     

    ChatID = 3116.242

    Time = 12:51:56

     

    و از زماني كه آقاي X وارد شده اند ( 12:52:16 ) مي تواند به راحتي قسمت اول نشست را پيدا كند يعني ChatID آقاي X به صورت زير مي باشد :

     

    12:51:56 - 12:52:16 = 20

    ChatID = 3116 + 20 = 3136

     

    خوب به راحتي مي توان نشست نفر بعدي را به دست آورد البته فقط كمي وقت براي پيدا كردن عدد تصادفي Num2 لازم مي باشد كه آن هم به وسيله يك اسكريپت به صورت خودكار  انجام مي شود.

    هنگامي كه آقاي K6 قسمت دوم عدد نشست را پيدا كرد آنگاه URL زير را مي فرستد كه به صورت زير مي باشد :

     

    http://www.englishpersian.com/Chat1/Chat.asp?ChatID=3136.35

     

    صفحه اصلي اتاق گفتگو براي آقاي K6 باز مي شود در اين هنگام اگر پيغامي را ارسال كند پيغام به نام شخص X در سايت نوشته مي شود.

    X : I'm K6 !

    X : I'm K6 !

    X : I'm K6 !

    X : hehehehehehe !

     

     

    راههاي مقابله

    طراحي ها و پياده سازي هاي ما چگونه بايد تغيير كند تا اينگونه حملات محدود شود؟

    براي امن كردن برنامه هاي كاربردي تحت وب از اينگونه حملات فقط بايد نشست هاي سمت سرور و سمت مشتري را به درستي مديريت كرد. در زير بعضي از راههاي مقابله آمده است:

     

    1- افزايش طول داده ها در كوكيها و ID هاي نشست

    براي مثال اگر طول داده هاي حساب كاربري در كوكيها 32 كاراكتر باشد احتمال موفقيت نفوذگر در كشف  نشانه بسيار كمتر مي شودد.براي فهم اين منظور مي توانيد اندازه عدد (1 -1032 ) را با ( 1-103 ) مقايسه كنيد.

     

    2- قسمتهاي تصادفي را در نشانه نشست خود افزايش دهيد

    براي پتانسيل امنيتي بالاتر قسمتهايي از داده هاي نشانه نشست را ، كه به صورت تصادفي به دست مي آيد ؛ افزايش دهيد. هيچگاه از داده هاي ترتيبي براي نشانه ها استفاده نكنيد. البته اين كار ممكن است شما را كمي درگير كاراكتر هاي مشروع و غير مشروع كند.

     

    3- كوكيهايتان را پيچيده و نامفهوم كنيد

    نا مفهوم كردن مدخل هاي كوكيها باعث مي شود كه وضعيت و مفهوم آن پيچيده تر شود و نتوان به درستي به ساختمان بندي كوكيها پي برد. همين امر باعث مي شود كه افراد بد انديش مانند K6 نتوانند به راحتي كوكيها را دست كاري كنند  و با برگرداندن اين كوكي خودشان را جاي كس ديگري بزنند. البته هر چه اطلاعات رد و بدل شده در كوكيها مهم تر باشد پيچيدگي آن نيز بايد بيشتر شود.

     

    4- از نشانه هاي نشست توليد شده توسط سرور استفاده كنيد

    يك پيشنهاد مناسب براي ايجاد كردن نشانه هاي نشست استفاده از نشانه هاي توليد شده توسط برنامه كاربردي سرور مي باشد. مثال هايي از چنين نشستهايي ASPSESSIONID و JSESSIONID مي باشد. اين نشانه تمامي مواردي كه در بالا بيان شد را دارا مي باشند.

     

    5- از محرمانگي داده هاي نشست محافظت كنيد

    جداي از دستكاري كوكيها و نشانه هاي نشست ، ممكن است نفوذگران نشانه هاي نشست را از روي شبكه بدزدند. براي اينكه اين گونه حمله نيز عقيم بماند از پروتكلهاي رمز كننده اطلاعات مانند SSL استفاده كنيد.

     

    البته به خاطر داشته باشيد كه يك برنامه كاربردي وب هيچگاه به صورت كامل ايمن نمي باشد و بايد يك امنيت چند لايه در نظر بگيريد تا برنا مه هاي شما در مقابل اين حملات ايمن باشد. كه مي تواند شامل موارد زير باشد:

    - بعد از يك مدت زماني نشانه هاي نشست را بي اعتبار كنيد. بدين وسيله شما به نفوذگر وقت محدودي را براي پي بردن و يا دزديدن نشانه هاي نشست داده ايد.

    - در سمت سرور تمامي ورودي ها را كنترل كنيد تا از حملاتي چون CSS يا XSS  كه باعث دزديده شدن نشانه هاي نشست توسط نفوذگران مي شود ، محافظت شويد.

     

  • جعل هويت در وب به صورت ساده! - قسمت اول

    در زمانهاي گذشته سرقتهاي بانكي توسط دزدان حرفه اي  و با تجربه اي انجام مي شد كه سالهاي عمر خود را در اين راه گذرانده اند  و به قول معروف پير اين راه شده اند ولي امروزه دزدي از بانكها توسط افراد زير 18 سالي انجام مي شود كه فقط يك ارتباط تلفني با اينترنت دارند.

     

    براي فهميدن اين خطر سناريو هاي زير را بخوانيد :

    سناريو اول :

    مايكل كه يك كارمند ساده مي باشد ( كاربر مشروع) براي بررسي حساب بانكي خود(پايگاه داده ) به بانك محلي خود(سرور وب بانك ) مي رود  و توسط تحويلدار آن (برنامه كاربردي وب ) كارش را انجام داده و بر مي گردد.

     

    سناريو دوم:

    ادوارد (كاربر نامشروع) به همان بانك محلي رفته و از در جلو وارد مي شود(پورت 80 ) و خودش را شبيه هر مشتري كه مي خواهد مي كند !

    او حتي به اين فكر مي كند كه براي سرقت بانك لازم نيست كه از درهاي ديگر وارد شود (پورتهاي ديگر ) بنابراين از نظر نگهبان جلو در (ديواره آتش) او فرد بي خطري مي باشد. او توسط تحويل دار ديگري (برنامه كاربردي وب) سرويس دهي مي شود در حاليكه او به دروغ خود را مايكل معرفي كرده است و تحويل دار نيز اين را باور كرده است(مديريت نشست ها [1]) كه او ادوارد نيست و مايكل مي باشد. بنابراين به او اجازه مي دهد كه به حساب بانكي مايكل دسترسي داشته باشد.

     

    سناريو دوم يك حمله واقعي جعل هويت را شرح مي دهد كه توسط نگهبان امنيتي (ديواره آتش) نيز قابل شناسايي نمي باشد.

    ازدياد تجارتخانه هاي الكترونيكي و يا هر چيز ديگري كه توسط اينترنت انجام مي شود باعث شده است حملات به آنها از دنياي واقعي به دنياي مجازي نفوذگران تغيير مكان دهد.

    نتيجه چنين حملات جعل هويتي در برنامه هاي كاربردي وب ( كه در دنياي نفوذگران به حملات جعل هويت[2] معروف است ) باعث آشكار شدن اطلاعات و هويت افراد و پس از آن دستبرد و دزدي سرمايه هاي آنها در وب مي باشد.

    به علت ضعف ديواره هاي آتش در تشخيص چنين حملاتي باعث شده است كه اينگونه حملات مورد توجه بسياري از نفوذگران كلاه سياه قرار گيرد و باعث دغدغه خاطر و نگراني بسياري از مديران سايت ها و برنامه نويسان تحت وب قرار گرفته است.

    در اين مقاله قصد بر آن است كه توضيح بسيار مختصري درباره اين نوع حمله داده شود و توسط مثالهايي كه زده مي شود فهم اين مطلب را براي بسياري از دوستان راحت كنيم. هر چند براي فهم بهتر اين مطلب بايد آشنايي تقريبي با تكنيكها مديريت نشست ها داشته باشيد. در پايان نيز راههاي مقابله با اين گونه حملات بيان شده است كه اميد است مورد توجه مديران و برنامه نويسان سايتها قرار گيرد.

     

    مديريت نشستها

    مديرست نشستها شامل تكنيكهايي مي باشد كه به وسيله برنامه هاي كاربردي وب به كار مي رود تا براي هر درخواست Http اي كه كاربران مي فرستند هر باره LOGIN نكنند و كسب مجوز لازم براي حق دسترسي  به آن درخواست داده شود. مسووليت مديريت اين كار توسط خود برنامه كاربردي وب مي باشد.  به همين وسيله مي باشد كه پروتكل Http از حالت Stateless  به حالت Statefull درآيد.مديريت نشست ها به اين صورت مي باشد كه برنامه كاربردي وب پس از دادن كسب مجوز لازم براي كاربر يك نشانه نشست براي او ارسال مي كند. در بيشتر مواقع اين نشانه توسط مجموعه كوكيها تنظيم مي گردد كه در سيستم مشتري ذخيره مي شود. اين نشانه هاي نشست با هر درخواستي كه كاربر دارد ارسال مي گردد تا برنامه كاربردي وب بر طبق آن هويت شما را تشخيص دهد.

     

    مثال ساده :

    وقتي در سايت www.iranianchat.com وارد مي شويد و مي خواهيد وارد اتاق گفتگو شويد هنگامي كه يك اسم را انتخاب مي كنيد و وارد اتاق مي شويد برنامه كاربردي يك نشانه نشست(chatID ) به شما مي دهد كه در متن صفحه اتاق گفتگو نهفته است و وقتي كه شما پيغامي را براي دوستتان مي فرستيد پيغام شما به همراه اين نشانه براي برنامه كاربردي ارسال شده و متن فرستاده شده از طرف شما روي صفحه ظاهر مي گردد.يعني به صورت زير:

    http://www.englishpersian.com/Chat1/Chat.asp?ChatID=3087.2&PostMsg=Hello

     

    و از همين طريق مي باشد كه برنامه كاربردي تشخيص مي دهد كه كدام كاربر كسب مجوز دارد و كدام ندارد در مثال بالا يعني كاربري كه پيام خود را ارسال مي كند آيا قبلا اسمي براي خود انتخاب كرده است يا خير !

    مكانيسمهاي مديريت نشستها را در دو دسته مي توان گنجاند : مكانيسمهاي سمت مشتري و مكانيسمهاي سمت سرور . اين دسته بندي بر اساس محتواي نشانه هاي نشست هايي است كه بين مشتري و برنامه هاي كاربردي رد و بدل مي شود.

     

    مديريت نشستهاي سمت كاربر

    در اين نوع از مديريت نشستها ، نشانه توكن شامل ضروري ترين بخش براي دادن كسب مجوز به كاربران مي باشد.بنابراين اين بخش از اطلاعات كسب مجوز در سمت مشتري خيره مي شود كه اغلب اين كار توسط كوكيها در سمت مشتري انجام مي گردد. حال اگر كسي اين نشانه را طوري ماهرانه تغيير دهد تا شبيه نشانه فرد ديگري شود آنگاه برنامه كاربردي اينگونه فكر مي كند كه اين شخص همان شخص است.

     

    مديريت نشستهاي سمت سرور

    يك اختلاف اساسي بين اين نوع از مديريت با نوع قبلي وجود دارد و آن اين است كه در اين نوع مديريت اطلاعات كاربران در بانك اطلاعاتي سرور ذخيره مي شود و در كوكيها هيچ اطلاعاتي ذخيره نمي گردد. ولي در اينجا نيز نشانه نشست (Token Session ) بين سرور و كاربر رد و بدل مي شود. به عنوان مثال وقتي وارد سايت xyzbank.com مي شويد و پس از اينكه كسب مجوز لازم براي ورود به سايت را دريافت كرديد يك sessioniID به شما تعلق مي گيرد كه اين نشانه شما مي باشد.

    Amiri :

    http://www.xyzbank.com/showbil.asp?sessionID=1027

    Alizade:

    http://www.xyzbank.com/showbil.asp?sessionID=1028

     

    اين نشانه هاي مي تواند در بانك اطلاعاتي سمت سرور به صورت زير ذخيره گردد: aaa

     

    Account AdminUsernameIndex
    .... .... .... ....
    All Y Hosseini 1025
    087 N Madadi 1026
    545 N Amiri 1027
    784 N Alizade 1028
    452 N Sharifi 1029
    .... .... .... ....

     

    براي اينكه آقاي اميري بخواهد خودش را جاي آقاي عليزاده بزند كافي است كه SessionID خودش را به  SessionID آقاي عليزاده تغيير دهد يعني لينك زير را ارسال كند:

    http://www.xyzbank.com/showbil.asp?sessionID=1028

     

    باز هم مي بينيم كه طلاعات ذخيره شده در سمت سرور هم نمي تواند ما را در برابر جعل هويت مصون كند.

     

     ادامه مطلب را در قسمت دوم مطالعه كنيد.

     

  • Virus 2

    ويروس های کامپيوتری از جمله موارد اسرارآميز و مرموز در دنيای  کامپيوتر بوده که توجه اغلب کاربران را  بخود  جلب می نمايد. ويروس های کامپيوتری بخوبی قدرت آسيب پذيری  سيستم های اطلاعاتی مبتنی بر کامپيوتر  را به ما نشان می دهند. يک ويروس مدرن و پيشرفته قادر به بروز آسيب های  کاملا" غيرقابل پيش بينی در اينترنت است . مثلا" ويروس مليزا (Melissa) ، که در سال 1999 متداول گرديد ، از چنان قدرت و توانی برخوردار بود که شرکت های بزرگی نظير مآيکروسافت و ساير شرکت های بزرگ  را مجبور به خاموش نمودن کامل سيستم های پست الکترونيکی نمود. ويروس "ILOVEYOU" ، که در سال 2000 رايج گرديد ، باعث آسيب های فراوان در اينترنت و شبکه های کامپيوتری گرديد.

    ويروس های کامپيوتری به دو گروه عمده تقسيم می گردند. گروه اول را "ويروس های سنتی " و گروه دوم را "ويروس های مبتنی بر پست الکترونيکی " می نامند. خصوصيات ، عملکرد و نحوه پيشگيری از هر يک از گروه های  فوق  متفاوت بوده و در اين راستا لازم است ،  اطلاعات لازم در اين خصوص را کسب کرد.

    انواع آلودگی

    آلودگی الکترونيکی دارای اشکال منتفاوتی است . متداولترين موارد آلودگی الکترونيکی عبارتند از :

    - ويروس . ويروس يک قطعه نرم افزار کوچک  بوده که بر دوش يک برنامه حقيقی حمل می گردد. مثلا" يک ويروس می تواند خود را به برنامه ای نظير واژه پرداز متصل ( الحاق ) نمايد. هر مرتبه که برنامه واژه پرداز اجراء می گردد ، ويروس نيز اجراء و اين فرصت ( شانس ) را پيدا خواهد کرد که نسخه ای از خود را مجددا" توليد ( الحاق يک نسخه از خود به ساير برنامه ها )  و يا يک خرابی عظيم را باعث گردد.

    - ويروس های مبتنی بر پست الکترونيکی . ويروس هائی از اين نوع از طريق پيام های پست الکترونيکی منتقل می گردند. اين نوع ويروس ها بصورت خودکار برای افراد متعدد ، پست خواهند شد. گزينش افراد برای ارسال نامه الکترونيکی بر اساس دفترچه آدرس پست الکترونيکی ، انجام می گيرد.

    - کرم ها . يک کرم ، برنامه  نرم افزاری کوچکی بوده که با استفاده از شبکه های کامپيوتری و حفره های امنيتی موجود ، اقدام به تکثير خود می نمايند. نسخه ای از "کرم " ، شبکه را پيمايش تا ماشين های ديگر موجود در شبکه را که دارای حفره های امنيتی می باشند ، تشخيص و نسخه ای از خود را تکثير نمايند. کرم ها با استناد به حفره های امنيتی موجود ، نسخه ای از خود را بر روی ماشين های جديد تکثير می نمايند.

    - اسب های تراوا. يک اسب تراوا، نوع خاصی از برنامه های کامپيوتری می باشند . برنامه های فوق  اين ادعا را دارند که قادر به انجام يک عمليات خاص می باشند ( مثلا" ادعای آنان می تواند شامل يک بازی کامپيوتری باشد ). برنامه های فوق برخلاف ادعای خود نه تنها عمليات مثبتی را انجام نخواهند داد بلکه باعث بروز آسيب های جدی پس از فراهم نمودن شرايط اجراء،  می باشند. ( مثلا" ممکن است اطلاعات موجود بر روی هارد ديسک را حذف نمايند) . اسب های تراوا دارای روشی برای تکثير خود نمی باشند.

    ويروس چيست ؟

    ويروس های کامپيوتری بدين دليل ويروس ناميده شده اند ، چون دارای برخی وجوه مشترک با ويروس های زيست شناسی می باشند. يک ويروس کامپيوتری از کامپيوتری به کامپيوتر ديگر عبور کرده ، دقيقا" مشابه ويروس های زيست شناسی که از شخصی به شخص ديگری منتقل می گردند.

    ويروس زيست شناسی يک موجود زنده نيست . ويروس بخشی از DNA  بوده و داخل يک روکش حفاظتی قرار می گيرد . ويروس بر خلاف سلول ، قادر به انجام عمليات و يا تکثير مجدد خود نمی باشد. ( ويروس زنده و در قيد حيات نمی باشد ) .يک ويروس زيست شناسی می بايست DNA خود را به يک سلول تزريق نمايد. DNA ويروسی در ادامه با استفاده از دستگاه موجود سلول ، قادر به تکثير خود می گردد. در برخی حالات ، سلول با ذرات ويروسی جديد آلوده تا زمانيکه سلول فعال  و باعث رها سازی ويروس گردد.در حالات ديگر ، ذرات ويروس جديد باعث عدم رشد سلول در هر لحظه شده و سلول همچنان زنده باقی خواهد ماند.

    ويروس های کامپيوتری دارای وجوه مشترک فوق می باشند. يک ويروس کامپيوتری  می بايست بر دوش ساير برنامه ها و يا مستندات قرار گرفته تا در زمان لازم شرايط اجرای آن فراهم گردد.پس از اجرای يک ويروس ، زمينه آلوده نمودن ساير برنامه ها و يا مستندات نيز فراهم می گردد.

    کرم چيست ؟

    کرم ، يک برنامه کامپيوتری است که قابليت تکثير خود از ماشينی به ماشين ديگر را دارا است . شبکه های کامپيوتری بستر مناسب برای حرکت کرمها و آلوده نمودن ساير ماشين های موجود در شبکه را فراهم می آورند. با استفاده از شبکه های کامپيوتری ، کرمها قادر به تکثير باورنکردنی خود در اسرع زمان می باشند. مثلا" کرم "Code Red" ، که در سال 2001 مطرح گرديد ، قادر به تکثير خود به ميزان 250.000 مرتبه در مدت زمان نه ساعت بود. کرمها در زمان تکثير، زمان کامپيوتر و پهنای باند موجود را استفاده می نمايند.  کرم Code Red ، در زمان تکثير به ميزان قابل ملاحظه ای سرعت ترافيک اطلاعاتی بر روی اينترنت را کند می نمود. هر نسخه از کرم فوق ، پيمايش اينترنت بمنظور يافتن سرويس دهندگان ويندوز NT و يا 2000 را آغاز می کرد. هر زمان که  يک سرويس دهنده ناامن ( سرويس دهنده ای که بر روی آن آخرين نرم افزارهای امنيتی مايکروسافت نصب نشده بودند ) پيدا می گرديد ، کرم نسخه ای از خود را بر روی سرويس دهنده تکثير می کرد. نسخه جديد در ادامه عمليات پيمايش  برای يافتن ساير سرويس دهندگان را آغاز می نمايد. با توجه به تعداد سرويس دهندگان ناامن ، يک کرم قادر به ايجاد صدها و هزاران نسخه از خود است .

    نحوه تکثير به چه صورت است ؟

    ويروس های اوليه ، کدهائی محدود بوده که به يک برنامه متداول نظير يک بازی کامپيوتری و يا يک واژه پرداز ، الحاق می گرديدند. کاربری ، يک بازی کامپيوتری آلوده را از يک BBS اخذ و آن را اجراء می نمايد. .ويروس  ، بخش  کوچکی از نرم افزار بوده که به يک برنامه بزرگ متصل می گردد. ويروس های فوق بگونه ای طراحی شده بودند که در زمان اجرای برنامه اصلی ،  بعلت فراهم شدن شرايط  مساعد ، اجراء می گرديدند. ويروس خود را بدرون حافظه منتقل  و در ادامه بدنبال يافتن ساير برنامه های اجرائی موجود بر روی ديسک ، بود. در صورتيکه اين نوع برنامه ها ، پيدا می گرديدند ، کدهای مربوط به ويروس به برنامه  اضافه می گرديدند. در ادامه ويروس ، برنامه واقعی را فعال می کرد. کاربران از فعال شدن و اجرای  ويروس آگاه نشده و در اين راستا روش های خاصی نيز  وجود نداشت. متاسفانه ويروس،  نسخه ای از خود را تکثير و بدين ترتيب دو برنامه آلوده می گرديدند. در آينده با توجه به فراهم شدن شرايط لازم ، هر يک از برنامه های فوق  ساير برنامه ها را آلوده کرده و اين روند تکراری ادامه می يابد.

    در صورتيکه يکی از برنامه های آلوده از طريق ديسکت به شخص ديگری داده شود و يا فايل آلوده برای يک BBS ارسال تا بر روی سرويس دهنده قرار گيرد ، امکان آلوده شدن ساير برنامه ها نيز فراهم خواهد شد. فرآيند فوق نحوه تکثير يک  ويروس کامپيوتری را نشان می دهد.

    تکثير و گسترش  از مهمترين ويژگی های يک ويروس  کامپيوتری بوده و در صورت عدم امکان فوق ، عملا" موانع جدی در تکثير ويروس های کامپيوتری بوجود آمده و برخورد با اين نوع برنامه با توجه به ماهيت محدود ميدان عملياتی ، کار پيچيده ای نخواهد بود. يکی ديگر از ويژگی های مهم ويروس های کامپيوتری ، قابليت حملات مخرب آنان بمنظور آسيب رساندن به اطلاعات است . مرحله انجام حملات مخرب عموما" توسط نوع خاصی چاشنی ( نظير ماشه اسلحه ) صورت می پذيرد. نوع حملات متنوع بوده و از نمايش يک پيام ساده تا پاک نمودن تمام اطلاعات موجود را می تواند شامل گردد. ماشه فعال شدن ويروس می تواند بر اساس يک تاريخ خاص و يا تعداد نسخه های تکثير شده از يک ويروس باشد . مثلا" يک ويروس می تواند در تاريخ خاصی فعال و يا پس از ايجاد يکصد نسخه از خود ، فعال و حملات مخرب را آغاز نمايد.

    ايجاد کنندگان ويروس های کامپيوتری افرادی آگاه و با تجربه بوده و همواره از آخرين حقه های موجود استفاده می نمايند. يکی از حقه های مهم در اين خصوص ، قابليت استقرار در حافظه و استمرار وضعيت اجرای خود در حاشيه می باشد ( ماداميکه  سيستم روشن است).  بدين ترتيب امکان تکثير اين نوع ويروس ها با شرايط مطلوبتری فراهم می گردد. يکی ديگر از حقه های موجود ، قابليت آلوده کردن  " بوت سکتور " فلاپی ديسک ها و هارد ديسک ها ، می باشد. بوت سکتور شامل يک برنامه کوچک بمنظور استقرار بخش اوليه يک سيستم عامل در حافظه است .  با استقرار ويروس های کامپيوتری در بوت سکتور ، اجراء شدن آنها تضمين خواهد شد. ( شرايط مناسب برای اجرای آنها بوجود می آيد). بدين ترتيب يک ويروس بلافاصله در حافظه مستقر و تا زمانيکه سيستم روشن باشد به حضور مخرب خود در حافظه ادامه خواهند داد. ويروس های بوت سکتور قادر به آلوده نمودن ساير بوت سکتورهای فلاپی ديسک های سالمی که دردرايو ماشين قرار خواهند گرفت ، نيز می باشد.  در مکان هائی  که کامپيوتر بصورت مشترک بين افراد استفاده می گردد ( نظير دانشگاه ها ) ، بهترين شرايط برای تکثير ويروس های کامپيوتری بوجود خواهد آمد ( نظير يک آتش سوزی بزرگ بوده که بسرعت همه چيز را نابود خواهد کرد ).

    ويروس های قابل اجراء و بوت سکتور در حال حاضر تهديدی جدی تلقی نمی گردند. مهمترين علت در صحت ادعای فوق ، حجيم شدن ظرفيت برنامه های کامپيوتری است . امروزه اغلب برنامه های کامپيوتری بر روی ديسک های فشرده (CD) ذخيره و در اختيار متقاضيان قرار می گيرند. اطلاعات ذخيره شده بر روی ديسک های فشرده ، غير قابل تغيير بوده و تقريبا" آلودگی اطلاعاتی بر روی آنان غيرممکن است . استفاده از فلاپی ديسک برای توزيع و استفاده برنامه های کامپيوتری نظير آنچه که در اواسط 1980 استفاده می گرديد ، عموميت ندارد. و اين خود می تواند عاملی موثر در عدم  گسترش سريع ويروس های اجرائی و خصوصا" ويروس های بوت سکتوری باشد.

    در حال حاضر امکان وجود ويروس های اجرائی و يا بوت سکتور ، همچنان نيز وجود داشته و صرفا" امکان گسترش سريع آنها سلب شده است . محيط های مبتنی بر فلاپی ديسک ها ، برنامه های کوچک و ضعف موجود در برخی از سيستم های عامل ، حضور ملموس اين نوع ويروس های کامپيوتری را در دهه 80 ميسر و توجيه پذير کرده بود.

    ويروس های پست الکترونيکی

    آخرين اطلاعات موجود در رابطه با ويروس های کامپيوتری به " ويروس پست الکترونيکی " اشاره دارد. عملکرد ويروس "مليزا " در سال 1999 بسيار ديدنی بود. ويروس فوق از طريق  مستندات ( سندها ) از نوع  Word شرکت مايکروسافت ، گسترش و توسط پست الکترونيکی ارسال و توزيع می گرديد. عملکرد ويروس فوق بشکل زير بود :

    فردی اقدام به ايجاد يک ويروس کرده ، آن را بعنوان يک سند Word برای  " گروه های خبری اينترنت " ، ارسال می کرد. در ادامه هر فرد ديگری که فايل فوق را اخذ و آن را بر روی سيستم خود فعال می کرد ، زمينه اجراء و فعال شدن ويروس را هم فراهم می کرد. ويروس در ادامه ، سند ( بهمراه خود ويروس ) را از طريق يک پيام پست الکترونيکی برای اولين پنجاه نفر موجود در دفترچه آدرس ، ارسال می کرد. پيام الکترونيکی شامل يک متن دوستانه بهمراه نام شخص بود، بنابراين گيرنده بدون هيچگونه نگرانی اقدام به بازنمودن نامه می کرد. در ادمه ويروس ، پنجاه پيام جديد را از کامپيوتر گيرنده پيام ، ارسال می کرد. ويروس مليزا ، سريعترين ويروس از بعد گسترش تاکنون بوده است . همانگونه که در ابتدا اشاره گرديد ، عملکرد و سرعت باورنکردنی گسترش ويروس فوق باعث گرديد که تعدادی از شرکت های بزرگ ، سيستم های پست الکترونيکی خود را غيرفعال نمايند.

    عملکرد ويروس ILOVEYOU ، که در سال 2000 مطرح گرديد ، بمراتب ساده تر از ويروس مليزا بود. ويروس فوق شامل کد محدودی بود که بعنوان يک Attachment ( ضميمه ) به يک پيام پست الکترونيکی متصل می شد. افراديکه پيام را دريافت می کردند با فعال نمودن ضميمه ، امکان اجرای ويروس را فراهم می کردند. کد ارسال شده در ادامه نسخه هائی از خود را تکثير و برای افراديکه نام آنها در دفترچه آدرس بود، ارسال می کرد.

    ويروس مليزا از قابليت های برنامه نويسی توسط VBA)Visual Basic for Application)  که در Ms Word وجود دارد ، استفاده می کرد. VBA يک زبان برنامه نويسی کامل بوده که امکانات متعددی نظير : تغيير محتويات فايل ها و يا ارسال پيام های پست الکترونيکی را فراهم می آورد. VBA دارای يک امکان مفيد و در عين حال خطرناک با نام " اجرای خودکار " است . يک برنامه نويس قادر به درج يک برنامه درون يک سند بوده و بلافاصله پس از باز نمودن سند ، شرايط اجرای کدهای فوق فراهم خواهد شد. ويروس مليزا بدين طريق برنامه نويسی شده بود. هر شخص که سند آلوده به ويروس مليزا را فعال می نمود ، بلافاصله زمينه فعال شدن ويروس نيز فراهم می گرديد. ويروس فوق قادر به ارسال 50 پيام پست الکترونيکی بوده و در ادامه يک فايل مرکزی با نام NORMAL.DOT را آلوده تا هر فايل ديگری که در آينده ذخيره می گردد ، نيز شامل ويروس گردد.

    برنامه های مايکروسافت دارای يک ويژگی خاص با نام " حفاظت ماکروها در مقابل ويروس " بوده که از فايل ها و مستندات مربوطه را در مقابل  ويروس حفاظت می نمايد. زمانيکه ويژگی فوق فعال گردد ، امکان " اجرای خودکار " ، غيرفعال می گردد. در چنين حالتی در صورتيکه يک سند سعی در اجرای خودکار کدهای ويروسی نمايد ، يک پيام هشداردهنده برروی نمايشگر ظاهر می گردد. متاسفانه ، اکثر کاربران دارای شناخت لازم و مناسب از ماکروها و ماکروهای ويروسی نبوده و بمحض مشاهد پيام هشداردهنده ، از آن چشم پوشی و صرفنظر می نمايند. در چنين مواردی ، ويروس با خيال آسوده اجراء خواهد شد.  برخی ديگر از کاربران امکان حفاظتی فوق را غير فعال نموده و ناآگاهانه در توزيع و گسترش ويروس های کامپيوتری نظير مليزا ، سهيم می گردند.

    پيشگيری از ويروس

    با رعايت چندين نکته ساده می توان يک پوشش مناسب ايمنی در مقابل ويروس های کامپيوتری را ايجاد کرد :

    ● از سيستم های عامل ايمن و مطمئن نظير : يونيکس و ويندوز NT استفاده تا پوشش حفاظتی مناسبی در مقابل ويروس های سنتی ( نقطه مقابل ويروس های پست الکترونيکی ) ايجاد گردد.

    ● در صورتيکه از سيستم های عامل غير مطمئن و ايمن استفاده می گردد ، سيستم خود را مسلح به يک نرم افزار حفاظتی در رابطه با ويروس ها ، نمائيد.

    ● از نرم افزارهائی که توسط منابع غير مطمئن توزيع و ارائه می گردند ، اجتناب و نرم افزارهای مربوطه را از منابع مطمئن تهيه و نصب نمائيد. در ضمن امکان بوت شدن از طريق فلاپی ديسک را با استفاده از برنامه BIOS ، غير فعال کرده تا بدين طريق امکان آلوده شدن ويروس از طريق يک ديسکت که بصورت تصادفی در درايو مربوطه قرار گرفته شده است ، اجتناب شود.

    ● امکان "حفاظت ماکرو در مقابل ويروس " را در تمام برنامه های مايکروسافت فعال نموده و هرگز امکان اجرای ماکروهای موجود در يک سند را تا حصول اطمينان از عملکرد واقعی آنها ندهيد.

     

     

     

    ● هرگز بر روی ضمائمی که بهمراه يک پيام پست الکترونيکی ارسال شده و شامل کدهای اجرائی می باشند ، کليک ننمائيد.  ضمائمی که دارای انشعاب DOC ( فايل های word) ، انشعاب XLS( صفحه گسترده ) ، تصاوير( فايل های با انشعاب GIF و يا JPG و ...) بوده ، صرفا" شامل اطلاعات بوده و خطرناک نخواهند بود ( در رابطه با فايل های word و Execl به مسئله ماکرو و ويروس های مربوطه دقت گردد ) . فايل های با انشعاب EXE,COM و يا VBS اجرائی بوده و در صورت آلوده بودن به ويروس ، با اجرای آنان بر روی سيستم خود زمينه فعال شدن آنها فرام خواهد شد.  بنابراين لازم است از اجرای هرگونه فايل اجرائی که بهمراه پست الکترونيکی برای شما ارسال می گردد ( خصوصا" موارديکه آدرس فرستنده برای شما گمنام و ناشناخنه اس )  ، صرفنظر نمائيد

    با تحقق اصول فوق ، يک پوشش ايمنی مناسب در رابطه با ويروس های کامپيوتری بوجود می آيد.

    علت ايجاد ويروس های کامپيوتری

    انسان ويروس ها را ايجاد می نمايند. برنامه نويس مجبور به نوشتن کد لازم ، تست آن بمنظور اطمينان از انتشار مناسب آن و در نهايت رها سازی و توزيع ويروس است . برنامه نويس همچنين می بايست نحوه حملات مخرب را نيز طراحی و پياده سازی نمايد ( تبين و پياده سازی سياست حملات مخرب). چرا انسان ها دست به چنين اقداماتی زده و خالق ويروس های کامپيوتری می گردند؟

    در رابطه با سوال فوق ، حداقل سه دليل وجود دارد :

    دليل اول : اولين دليل مربوط به دلايل روانی با گرايش  مخرب در وجود اين نوع افراد است . دليل فوق صرفا" به دنيای کامپيوتر برنمی گردد. مثلا" فردی بدون دليل ، شيشه اتومبيل فرد ديگری را شکسته تا اقدام به سرقت نمايد، نوشتن و پاشينن رنگ بر روی ساختمانها ، ايجاد حريق تعمدی در يک جنگل زيبا ، نمونه هائی در ساير زمينه ها بوده که بشريت به آن مبتلا است .برای برخی از افراد انجام عمليات فوق ، نوعی هيجان ايجاد می کند. در صورتيکه اين نوع اشخاص دارای توانائی لازم در رابطه با نوشتن برنامه های کامپيوتری باشند ، توان و پتانسيل خود را صرف ايجاد ويروس های مخرب خواهند کرد.

    دليل دوم : دليل دوم به هيجانات ناشی از مشاهده اعمال نادرست برمی گردد. تعدادی از افراد دارای يک شيفتگی خاص بمنظور مشاهده حوادثی نظير انفجار و تصادفات می باشند.  قطعا" در مجاورت منزل شما به افرادی برخورد می نمايد که عاشق يادگيری نحوه استفاده از باروت ( و يا ترقه ) بوده و اين روند ادامه داشته و همزمان با افزايش سن اين افراد آنها تمايل به ايجاد بمب های بزرگتر را پيدا می نمايند. فرآيند فوق تا زمانيکه فرد مورد نظر خسته شده  و يا به خود آسيبی برساند ، ادامه خواهد يافت . ايجاد يک ويروس کامپيوتری که بسرعت تکثير گردد مشابه موارد فوق است . افراديکه ويروس های کامپيوتری را ايجاد می نمايند ، بمبی درون کامپيوتر را ايجاد کرده اند و بموازات افزايش کامپيوترهای آلوده ، صدای انفجار بيشتری بگوش فرا خواهد رسيد.

    دليل سوم :  دليل سوم به حس خود بزرگ جلوه دادن و هيجانات ناشی از آن  برمی گردد. ( نظير صعود به قله اورست  ) اورست موجود است و هر فرد می تواند مدعی صعود به آن گردد. در صورتيکه برنامه نويسی يک حفره امنيتی موجود در يک سيستم را مشاهده و امکان سوءاستفاده از آن وجود داشته باشد ، سريعا" بدنبال سوءاستفاده از وضعيت فوق (قبل از اينکه سايرين اقدام  به ناکام نمودن وی را در اين زمينه داشته باشند) ، بر خواهند آمد.

    متاسفانه  اکثر ايجاد کنندگان ويروس های کامپيوتری فراموش کرده اند که آنها باعث ايجاد خرابی واقعی برای افراد واقعی هستند ( هيچ چيز در خيال و رويا نمی باشد )  حذف تمام اطلاعات موجود بر روی هارد ديسک اشخاص ، يک خرابکاری واقعی و نه خيالی! است .صرف زمان زياد در يک شرکت بزرگ برای برطرف نمودن فايل های آلوده به ويروس يک خرابکاری واقعی و نه خيالی ! است. حتی ارسال يک پيام ساده و بی محتوا نيز بدليل تلف شدن زمان  ، يک نوع خرابکاری است . خوشبختانه قانون در اين زمينه سکوت نکرده  و در اين راستا قوانين لازم تصويب و مجازات های سنگين برای افراديکه ويروس های کامپيوتری را ايجاد می نمايند ، پيش بينی شده است .

    تاريخچه

    ويروس های سنتی کامپيوتر در اواخر 1980 بشدت گسترش يافتند. موضوع فوق دارای چندين دليل است .

    دليل اول ،  به گسترش استفاده از کامپيوترهای شخصی  برمی گردد. قبل از 1980 استفاده از کامپيوتر در منازل بسيار کم و در مواردی شامل  استفاده محدود بصورت   سرگرمی و اسباب بازی  بود. کامپيوترهای واقعی کمياب و صرفا" در اختيار متخصصين و کارشناسان مجرب گذاشته می گرديد. در سال 1980 ، استفاده از کامپيوتر بشدت گسترش و در موارد متعددی بخدمت گرفته گرديد.

    دومين دليل ، به استفاده از سيستم های BBS برمی گردد. افراد از طريق مودم به يک BBS متصل و انواع برنامه های مورد نياز خود را اخذ (Download) می کردند.  بازيهای کامپيوتری نمونه ای از برنامه های کامپيوتری بودند که بشدت با استقبال مواجه و همواره از طريق مراکز BBS توزيع و منتشر می شدند. طبيعی است آلوده بودن يکی از بازيهای کامپيوتری که علاقه مندانن زيادی داشت ، می توانست در مدت زمان کوتاهی باعث انتشار و تکثير يک ويروس کامپيوتری گردد.

    سومين دليل ، استفاده فراوان از فلاپی ديسک ها بمنظور استفاده از برنامه های کامپيوتری بود. در سال 1980 ، برنامه ها دارای ظرفيت کم بوده و امکان استقرار يک سيستم عامل ، يک واژه پرداز و مستندات فراوانی در يک و يا دو فلاپی ديسک وجود داشت . اغلب کامپيوترها در آن زمان دارای هارد ديسک نبوده و می بايست برای راه اندازی کامپيوتر از فلاپی ديسک استفاده می شد ، استفاده از فلاپی ديسک ها ، زمينه ای مساعد برای توزيع و انتشار برنامه های آلوده را فراهم می کرد.

  • دفاع در مقابل کرم ها و ويروس ها

    کرم ها و ويروس ها نوع خاصی از برنامه های کامپيوتری موسوم به " کد مخرب " می باشند. علت ظهور کرم ها و ويروس ها ، وجود ضعف در برنامه ها ی کامپيوتری است  . آنان نسخه هائی از خود را تکرار و يا به ساير برنامه ها متصل، بسرعت گسترش و بسادگی از سيستمی به سيستم ديگر توزيع می شوند.درابتدا لازم است که تعريف مناسبی برای هر يک از آنان ارائه گردد . کرم ها ، نوع خاصی ازبرنامه های کامپيوتری می باشند که پس از آغاز فعاليت خود ، بدون مداخله انسانی منتشر و توزيع خواهند شد. ويروس ها ، نوع ديگری از برنامه های کامپيوتری می باشند که بمنظور انتشار و توزيع خود نيازمند انجام عمليات خاصی توسط کاربر نظير فعال شدن فايل همراه  يک نامه الکترونيکی می باشند.کاربران در اغلب موارد و در مشاهده با فايل های ضميمه همراه نامه های الکترونيکی ، اغوا و بدون لحاظ نمودن مسائل امنيتی آنان را باز و به  عاملی برای گسترش يک ويروس تبديل می شوند. کاربران بدليل کنجکاوی مربوط به موضوع يک نامه و يا ظاهر شدن نامه بگونه ای که برای مخاطب خود آشنا است ، اقدام به باز نمودن ضمائم يک نامه الکترونيکی می نمايند. کرم ها و ويروس می توانند اقدامات پيشگيرانه امنيتی نظير فايروال ها و سيستم های حفاظتی را ناديده  و اهداف خود را دنبال نمايند.
    کرم ها و  ويروس ها  در مقايسه با گذشته با سرعت بمراتب بيشتری اقدام به خرابی سيستم های آسيب پذير نموده و در اين راستا نسخه هائی از خود را برای  اکثر سيستم های فوق ، توزيع و منتشر می نمايند. کامپيوترهای موجود در منازل ، نمونه مناسبی از سيستم های آسيب پذير بوده که شرايط و استعداد مناسبی را در اين رابطه دارند. کرم Code Red در سال 2001 بسرعت در سطح جهان منتشر گرديد . سرعت انتشار کرم فوق، بمراتب بيشتر از کرم Morris  در سال 1988 و ويروس مليزا در سال 1999 بود. بديهی است، افزايش سرعت انتشار اين نوع از کدهای مخرب ، سرعت در بروز خرابی و آسيب را بدنبال خواهد داشت . مثلا" فاصله زمانی بين شناسائی اولين نسخه کرم  Code Red  و خرابی گسترده آن ، صرفا" چندين روز بيشتر نبوده است و دراين فاصله زمانی محدود، Code Red بسرعت اشاعه و گسترش پيدا کرده بود. پس از گذشت يک ماه از ظهور کرم Code Red ، کرم ديگری با نام "نيمدا" توانست در اولين ساعت فعاليت خود ، خرابی بسيار گسترده ای را ايجاد نمايد . در ژانويه همان سال ، " اسلامر" توانست صرفا" در مدت  چندين دقيقه خرابی گسترده ای را بوجود آورد .
    شکل زير،سرعت انتشار و ميزان آسيب رسانی  " اسلامر" ، بلستر و Code red در اولين روز فعال شدن را نشان می دهد . همانگونه که مشاهده می شود ، اسلامر توانسته است با سرعت بيشتری در اولين ساعات فعال شدن خود ، تعداد زيادی از سيستم ها را آلوده نمايد. سرعت انتشار بلستر از اسلامر کندتر ولی از Code Red سريعتر بوده است . پس از گذشت بيست و چهار ساعت، بلستر به 336،000 ، .Code Red به 265،000 و اسلامر به  55،000 دستگاه کامپيوتر آسيب رسانده بودند. دقت داشته باشيد که بلستر در هيجده ساعت اوليه فعاليت خود تواسنه است بيش از 336،000 کامپيوتر را آلوده نمايد. بلستر نسبت به اسلامر توانسته است عليرغم کند بودن انتشار  در ساعات اوليه ، تعداد بمراتب بيشتری از سيستم ها را آلوده نمايد . بنابراين ، ما از يکطرف سرعت در انتشار و از طرف ديگر افزايش بالای تعداد سيستم های آسيب پذير را می توانيم مشاهده نمائيم .

    منبع : CERT.org

    شکل زير، عملکرد کرم بلستر و Code Red در هيجده ساعت اوليه فعاليت آنان را نشان می دهد. در هر دو حالت  در ساعات بين سه تا پنج اوليه فعاليت ، نزديک به 100،000 کامپيوتر آلوده شده بود. سرعت انتشار و آسيب به اندازه ای سريع بوده است که اغلب مديران سيستم و کاربران زمان لازم بمنظور ايمن سازی سيستم ها پس از اعلام ضعف امنيتی را نداشته اند .

    منبع : CERT.org

    عملکرد  کرم ها و ويروس ها
    در بهترين حالت ، کرم ها و ويروس ها  بمنزله مزاحمينی می باشند که بمنظور برخورد با آنان می بايست هزينه های زيادی صرف گردد . در بدترين حالت ، آنان بمنزله دشمنان خانمان سوزی بوده که قادرند سرمايه های اطلاعاتی را نابود و ويران نمايند. بر اساس گزارشات منتشر شده ، صرفا" در دوازده ماه گذشته ، حملات کرم ها و ويروس ها  ميليون ها دلار خسارت را متوجه سازمان ها و موسسات نموده است . براساس نظر سنجی انجام شده توسط CSI/FBI در سال 2003 ، بيش از هشتاد و دو درصد از پاسخ دهندگان  با نوع خاصی از حملات توسط ويروس ها و کرم ها برخورد داشته  که هزينه ای معادل  27،382،340 دلار صرف برطرف نمودن مشکلات مربوطه شده است . کمترين هزينه گزارش شده  40،000 دلار و بيشترين هزينه گزارش شده  بالغ بر 6،000،000 دلار بوده است . در يک نظر سنجی ديگر و در استراليا نيز نتايجی مشابه بدست آمده است . در اين نظر سنجی بيش از هشتاد درصد از پاسخ دهندگان  با نوع خاصی از حملات توسط کرم ها و يا ويروس ها مواجه بوده اند . در بررسی انجام شده توسط موسسه تحقيقاتی استراليا ، 33 % درصد از پاسخ دهندگان اعلام نموده اند که مشکل آنان در کمتراز يک روز ، 30 % اعلام نموده اند که مشکل آنان بين يک تا هفت روز و 37 % ديگر اعلام نموده اند که بيش از يک هفته صرف برطرف نمودن مشکل آنان شده است . ( برخی از سازمان ها و موسسات نيز اعلام نموده اند که مشکل آنان هرگز برطرف نشده است ) .
    ميزان صدمات وخرابی گزارش شده در ارتباط با کرم بلستر، بالغ بر 525 ميليون دلار و در ارتباط با سوبيگ ( نوع F ) ، بين 500 ميليون  تا يک ميليارد دلار برآورد شده است.هزينه فوق ، شامل ازدست دادن بهره وری ، ساعات تلف شده ، عدم فروش کالا و يا خدمات و هزينه های اضافی مربوط به پهنای باند است . بر اساس اظهارات ارائه شده در نشريه اکونوميست 23 اگوست  2003 ، سوبيگ (نوع F )، مسئول يکی از شانزده نامه الکترونيکی ارسال شده بر روی اينترنت بوده است . برخی سازمان های بزرگ ، صرفا" طی يک روز بيش از 10،000 نامه الکترونيکی آلوده را دريافت نموده اند  ( در هر  6. 8 ثانيه ، يک پيام  ) . سوبيگ ، قادر به ارسال چندين نامه الکترونيکی در يک زمان بود و بدين ترتيب ضريب نفوذ و اشاعه آن بشدت بالا بود . ( هزاران پيام در يک دقيقه ) . با توجه به اينکه، سوبيگ چندين مرتبه تغيير و نسخه های جديدتری از آن ارائه می شد، برخورد و غير فعال نمودن آن با مشکل مواجه می گرديد . ( حرف F نشاندهنده نسخه شماره شش سوبيگ است ) .

    وضعيت آينده
    نتايج و تجارب کسب شده ، صرفا" محدود به عملکرد خاص برخی از کرم ها و ويروس ها نظير بلستر و سوبيگ بوده و ما می بايست به اين واقعيت مهم توجه نمائيم که کرم ها و ويروس ها يک تهديد جدی در رابطه با امنيت اينترنت بوده و می توانند مسائل متعدد و غيرقابل پيش بينی را در آينده برای هر يک از شهروندان حقوقی و يا حقيقی اينترنت بدنبال داشته باشند .بنابراين می توان اين ادعا را داشت که اينترنت نه تنها در حال حاضر در مقابل اينگونه حملات آسيب پذير است بلکه آسيب پذيری آن در آينده نيز قابل پيش بينی و واقعيتی غيرقابل کتمان است. کامپيوترهای موجود در سازمان ها ، موسسات دولتی و خصوصی ، مراکز تحقيقاتی ، مدارس ، دانشگاه ها در حال حاضر نسبت به ضعف های امنيتی کشف شده آسيب پذير بوده و قطعا" نسبت به ضعف هائی که در آينده مشخص می گردند، نيز آسيب پذيری خود را خواهند داشت . بنابراين ، سيستم های کامپيوتری هم در مقابل حملات در حال حاضر و هم برای حملات در آينده ، دارای استعداد لازم بمنظور پذيرش آسيب خواهند بود. بديهی است ، همزمان با افزايش وابستگی سازمان ها و موسسات دولتی و خصوصی به اينترنت ،  انجام فعاليت های تجاری، تهديدات و خطرات خاص خود را بدنبال خواهد داشت .

    محدوديت راه حل های واکنشی 
    پس از گذشت قريب به پانزده سال از عموميت يافتن اينترنت و مطالعات گسترده انجام شده بمنظور کاهش خطرات ، خرابی و سرعت در تشخيص و غلبه بر حملات ، می توان اين ادعا را نمود که راه حل های واکنشی به تنهائی کافی نخواهند بود. ادعای فوق ، ماحصل توجه به عوامل زير است :

    • اينترنت در حال حاضر بيش از 171،000،000 کامپيوتر را بيديگر متصل و رشد آن همچنان ادامه دارد . در حال حاضر ، ميليون ها کامپيوتر آسيب پذير در اينترنت وجود دارد که مستعد يک نوع خاص از حملات توسط مهاجمين می باشند.
    • تکنولوژی حملات بسيار پيشرفته شده و مهاجمان می توانند با اتکاء بر آخرين فنآوری ها ی موجود ، بسادگی از نقاط ضعف موجود در سيستم های آسيب پذير استفاده و به آنان آسيب مورد نظر خود را برسانند( حملات مبتنی بر آخرين تکنولوژی موجود ).
    • تعداد زيادی از حملات در حال حاضر بصورت کاملا" اتوماتيک عمل نموده و با سرعت بسيار بالائی در اينترنت و صرفنظر از منطقه جغرافيائی ويا محدوديت های ملی، توزيع و گسترش می يابند.
    • تکنولوژی بکارگرفته شده در حملات بسيار پيچيده و در برخی موارد تعمد پنهانی در آنان دنبال می گردد . بنابراين ، کشف و آناليز مکانيزمهای استفاده شده بمنظور توليد پادزهر و برطرف نمودن مشکل ، مستلزم صرف زمان زيادی خواهد بود .
    • کاربران اينترنت وابستگی زيادی به اينترنت پيدا کرده و از آن بمنظور انجام کارهای حياتی خود نظير: فعاليت های تجاری Online استفاده می نمايند. کوچکترين وقفه در ارائه خدمات می تواند ازدست دادن منابع اقتصادی و بمخاطره افتادن سرويس های حياتی را بدنبال داشته باشد .

    توجه به هر يک از موارد اشاره شده ، شاهدی است بر اين ادعا که ما همچنان  در معرض طيف گسترده ای از حملات قرار گرفته ايم . حملاتی که از دست دادن منابع اقتصادی و عدم امکان عرضه سرويس ها را بدنبال خواهد داشت .در اين راستا می بايست از تمامی امکانات و پتانسيل های موجود بمنظور سرعت در پاسخ و برخورد با حملات استفاده نمود. بازنگری در راه حل ها ی موجود و استفاده از رويکردهای علمی و جامع می تواند عاملی موثر در جهت برخورد مناسب با حملات باشد.

    وظايف مديران سيستم 
    شناسائی تهديدات کرم ها و ويروس ها عمليات ساده و ايستائی نبوده و در اين رابطه می بايست از رويکردهای کاملا" پويا و مبتنی بر آخرين دستاوردهای تکنولوژی استفاده گردد. با کشف بيش از چهار هزار نوع نقطه آسيب پذير در طی هر سال  ، مديران سيستم و شبکه در وضعيت دشواری قرار دارند . آنان با چالش های جدی در ارتباط با تمامی سيستم ها ی موجود و Patch های مورد نظر که برای برطرف نمودن نقايص امنيتی ارائه می گردد ، مواجه می باشند . استفاده و بکارگيری  Patch ها ی ارائه شده در عين مفيد بودن بمنظور مقابله با مشکل امنيتی ايجاد شده ، می تواند زمينه بروز مسائل و اثرات جانبی غيرقابل پيش بينی را فراهم نمايد . در اين رابطه لازم است به اين نکته مهم نيز اشاره گردد که پس از ارائه يک Patch امنيتی  ، مدت زمان زيادی طول خواهد کشيد که مديران سيستم و يا شبکه مشکل تمامی سيستم های آسيب پذير خود را برطرف نمايند. مدت زمان برطرف سازی مشکلات و اشکالات بوجود آمده در برخی موارد می تواند ماه ها ويا حتی سالها  پس از ارائه patch پياده سازی شده ،بطول می انجامد . مثلا" هنوز گزاشاتی در رابطه با ويروس مليزا که چهار سال از فعال شدن آن گذشته است ، توسط برخی سازمان ها و موسسات در سطح جهان ارائه می گردد. ريشه کن نمودن يک کرم و يا ويروس شايع ، با توجه به گستردگی اينترنت ، عملياتی نيست که در يک بازه زمانی محدود، بتوان موفق به انجام آن گرديد ومی بايست برای نيل به موفقيت فوق ،  زمان زيادی صرف گردد .
    شايد اين سوال مطرح گردد که دلايل اينهمه تاخير در ريشه کن نمودن يک ويروس و يا کرم چيست ؟ در پاسخ می توان به موارد متعددی نظير صرف زمان زياد ، پيچيدگی گسترده آنان و عدم اختصاص اولويت مناسب برای مقابله با آنان در يک سازمان و يا موسسه ، اشاره نمود.متاسفانه ، بسياری از مديران شناخت کامل و جامعی نسبت به تهديدات نداشته و هرگز به مقوله امنيت با يک اولويت سطح بالا نگاه نکرد و حتی منابع لازم را به اين مقوله اختصاص نمی دهند. علاوه بر اين ، سياست های تجاری در برخی موارد سازمان ها را بسمت انتخاب  يکی از دو گزينه : اهداف تجاری و نيازهای امنيتی  هدايت که در اکثر موارد رسيدن به اهداف تجاری دارای اولويت و جايگاه بالاتری برای آنان می باشند. علاوه بر تمامی مسائل فوق، می بايست به اين نکته مهم نيز اشاره گردد که تقاضا برای مديران سيستم ورزيده و کارشناس بيش ازميزان موجود بوده  و همين امر همواره استفاده از متخصصين و کارشناسان امنيتی را با مشکل جدی مواجه می سازد( عدم توازن بين عرضه و تقاضا) .
    بمنظور برخورد مناسب با وضعيـت فوق ، مديران سيستم در يک سازمان می توانند با دنبال نمودن مراحل زير عمليات لازم در جهت تسهيل در امر حفاظت سيستم های سازمان را انجام دهند:

    • اتخاذ روش های امنيتی .انتخاب سيستم های ارزيابی امنيت اطلاعات ، مديريت سياست ها و تبعيت از روش های امنيتی برای تمامی سازمان ها (بزرگ و کوچک ) امری حياتی است . سازمان ها و موسسات می توانند بر اساس وضعيت موجود خود ، يکی از روش های مناسب امنيتی را انتخاب نمايند. در اين راستا می توان از پتانسيل ها و تجارب بخش دولتی و يا خصوصی استفاده گردد. در اين رابطه می توان از منابع متعدد اطلاع رسانی موجود بمنظور اتخاذ سياست های کلی امنيتی استفاده و پس از بررسی آنان نسبت به تدوين و پياده سازی سياست امنيتی در سازمان مربوطه ، اقدام نمود.
    • بهنگام نمودن دانش و اطلاعات . مديران سيستم می بايست بمنظور ارتقاء سطح دانش و معلومات خود ، دوره های آموزشی خاصی را بگذرانند . شرکت در دوره های آموزشی مستمر و اختصاص وقت لازم برای استفاده مفيد از دوره های آموزشی می بايست در دستور کار مديران سيستم در سازمان ها و موسسات قرار گيرد . مديران سيستم لازم است ضمن آشنائی با آخرين تهديدات و حملات با ابزارهای لازم در جهت افزايش حفاظت سيستم ها نيز شناخت مناسبی را پيدا نمايند .لازم است به اين نکته مهم اشاره گردد که امنيت ، دارای ماهيتی کاملا" پويا بوده که همزمان با بروز حملات جديد و شناسائی نقاط آسيب پذير جديد بصورت روزانه تغيير و ارتقاء می يابد. با دانش استاتيک و محدود نمی توان با مقوله های پويا و گسترده برخوردی مناسب و علمی داشت .
    • آموزش کاربرانی که از سيستم ها استفاده می نمايند . مديران سيستم می بايست برنامه های آموزشی خاصی را در رابطه با امنيت ، بمنظور ارتقاء دانش کاربران نسبت به مسائل امنيتی ، ارائه نمايند. دوره ها و برنامه های آموزشی می بايست کاملا" هدفمند بوده و کاربران پس از شرکت وگذراندن دوره های فوق ، به سطح مطلوبی از توانائی بمنظور تشخيص يک مسئله ، انجام عمليات لازم بمنظور افزايش حفاظت سيستم، برخورد مناسب در صورت مواجه با يک مشکل امنيتی دست پيدا کرده باشند . بمنظور پياده سازی سياست امنيتی در يک سازمان ،وجود کاربران آگاه با مسائل ايمنی اطلاعات و حفاظت از اطلاعات حساس ، امری ضروری و لازم است .

    وظايف ارائه دهندگان تکنولوژی 
    مديران سيستم با دنبال نمودن پيشنهادات ارائه شده،  صرفا" قادر به حل بخش هائی از مسئله امنيـت اطلاعات می باشند. با توجه به جايگاه شرکت های ارائه دهنده تکنولوژی، حرکات و تدابير مثبت آنان می تواند تاثير زيادی در جهت ممانعت و گسترش کرم ها و ويروس ها  را بدنبال داشته باشد . با اينکه برخی شرکت ها بسمت ارتقاء و بهبود امنيت در محصولات خود حرکت نموده اند ، ولی هنوز راهی طولانی در پيش است . متاسفانه ، پياده کنندگان نرم افزار از تجارب گذشته در رابطه با نقايص امنيتی در ارائه نسخه ها ی جديد نرم افزار خود استفاده نمی نمايند. بر اساس مطالعات انجام شده ، مشاهده شده است که برخی از نقاط آسيب پذير جديد در نسخه های جديد برخی محصولات در نسخه های قبلی هم وجود داشته و تلاش مناسبی در جهت  بهسازی وضعيت امنيتی نسخه جديد صورت نگرفته است .
    وجود برخی از نقاط آسيب پذير بدليل عدم  پيکربندی ايمن سيستم های عامل و برنامه های کاربردی است . محصولات فوق ، بسيار پيچيده بوده و اغلب با غير فعال نمودن برخی از ويژگی ها ی امنيتی به مشتريان عرضه می شوند .شرکت های ارائه دهنده بر اين اعتقاد می باشند که همزمان با استفاده از محصول ارائه شده ، کاربران می توانند ويژگی های امنيتی غير فعال شده را در زمان لازم و بدلخواه خود فعال نمايند. بدين ترتيب تعداد زيادی از سيستم های متصل شده به  اينترنت  دارای پيکربندی مناسب در رابطه با امنيت اطلاعات نبوده و شرايط مناسبی را برای نفوذ کرم ها و ويروس ها  فراهم می نمايند.
    ارائه محصولاتی که در مقابل کرم ها و ويروس ها نفوذناپذير باشند ، برای هر شرکت ارائه کننده محصولات ،امری ضروری و حياتی است . اعتقاد به اين رويکرد امنيتی که " کاربر می بايست مواظب باشد " ،  در عصر حاضر پذيرفتنی نيست ، چراکه  سيستم ها  بسيار پيچيده بوده و سرعت حملات نيز باورنکردنی است و در برخی موارد فرصت مناسب برای برخورد با نقص امنيتی از کاربر سلب می گردد . توليد کنندگان محصولات می توانند با اتکاء و استفاده از روش های مهندسی نرم افزار تلاش خود را در جهت توليد محصولات مقاوم در برابر حملات ، مضاعف نمايند . در اين راستا موارد زير پيشنهاد می گردد :

    • نرم افزار ضد ويروس / مقاوم در مقابل ويروس . کامپيوترها و نرم افزارها دارای امکانات ذاتی بمنظور ايمن شدن در مقابل تهديدات و حملات کرم ها و ويروس ها نمی باشند. طراحی کامپيوترها و يا نرم افزارهای کامپيوتری بگونه ای است که امکان توزيع و انتشار ويروس ها و آلودگی سيستم ها را فراهم می نمايد. در برخی موارد طراحی انجام شده بگونه ای است که شرايط لازم برای حملات و نفوذ کرم ها و ويروس ها را فراهم و استعداد فوق در بطن محصول ارائه شده وجود خواهد داشت . اجراء يک کد نامشخص و وارده از يک منبع ناشناس و گمنام نمونه ای از استعداد اشاره شده در بطن محصولات بوده که امکان فعال شدن يک کد اجرائی بدون محدوديت و نظارت خاصی بر روی يک ماشين ، فراهم می گردد.بدين ترتيب سيستم در مقابل حملات ويروس ها آسيب پذير و لازم است توليد کنندگان، سيستم ها و نرم افزارهای خود را بگونه ای ارائه نمايند که باعث محدوديت در اجرای کدهای وارده ، خصوصا" کدهائی که از منابع تائيد نشده و ناشناخته سرچشمه می گيرند، گردند. در اين رابطه می توان از روش های شناخته شده و مبتنی بر مهندسی نرم افزار متعددی استفاده نمود.
    • کاهش خطاء پياده سازی . اکثر نقاط آسيب پذير موجود در محصولات از خطاهای موجود در مرحله پياده سازی نرم افزار، ريشه می گيرد. اين نوع خطاها در محصولات باقی مانده و شايد منتظرند که در زمان بکارگيری نرم افزار شناسائی گردند ! تشخيص و برطرف نمودن اين نوع خطاها ، صرفا" زمانی ميسر می گردد که محصول در حال استفاده و کاربری است . در موارد زيادی ، نقايص امنيتی مشابه بصورت پيوسته در نسخه های جديد محصولات، مجددا" مشاهده و کشف می گردد.مهمترين علت بروز اينگونه نقاط آسيب پذير، طراحی سطح پائين و يا عدم برخورد مناسب با خطاها در زمان پياده سازی است . توليدکنندگان و ارائه دهندگان محصولات نرم افزاری لازم است با مطالعه و بررسی اشتباهات گذشته و بکارگيری روش های موثر موجود در مهندسی نرم افزار سعی در کاهش حفره ها و نقايص امنيـی در محصولات خود نمايند .
    • پيکربندی پيش فرض با امنيت بالا . امروزه با توجه به پيچيدگی محصولات نرم افزاری ، پيکربندی مناسب سيستم ها و شبکه ها بمنظور استفاده از تدابير امنيتی پيش بينی شده ، امری دشوار بنظر می رسد . حتی در برخی موارد افراديکه دارای مهارت های فنی قابل قبولی بوده و آموزش های لازم را نيز فراگرفته اند ، بمنظور استفاده و بکارگيری امکانات امنيتی در يک محصول نرم افزاری، دارای مشکلات خاص خود می باشند.اشتباهات کوچک می تواند سيستم ها را در معرض تهديد و کاربران را با حملات غير قابل پيش بينی مواجه نمايد. توليد کنندگان و ارائه دهندگان تکنولوژی می توانند محصولات خود را با پيکربندی پيش فرض ايمن،ارائه نمايند . در چنين مواردی اکثر گزينه ها و امکانات امنيتی موجود ، بصورت پيش فرض و در زمان نصب فعال خواهند بود. بدين ترتيب کاربران در آغاز استفاده از يک محصول نيازمند تغييرات خاصی در رابطه با پيکربندی محصول نداشته و در ادامه و در صورت ضرورت ،می توانند پيکربندی های پيش فرض را متناسب با خواسته خود تغيير نمايند . بنابراين ، کاربران با يک سطح امنيتی قابل قبول استفاده از محصول را آغاز می نمايند.

    وظايف تصميم گيرندگان 
    تصميم گيرندگان در يک سازمان ، موسسه و ساير بخش ها ی کلان يک کشور، می توانند بمنظور افزايش امنيت از رويکردهای متفاوتی استفاده نمايند . در اين راستا موارد زير پيشنهاد می گردد :

    • تقويت انگيزه های لازم برای ارائه محصولات با ايمنی بيشتر و کيفيت بالا . بمنظور ترغيب ارائه دهندگان بمنظور توليد محصولات باکيفيت و ايمنی مناسب ، پيشنهاد می گردد که تصميم گيرندگان از قدرت خريد خود بمنظور تقاضای نرم افزار با کيفيت بالا استفاده نمايند . در هنگام تهيه نرم افزار و عقد قرارداد مربوطه می بايست عبارت " کد بی نقص " با صراحت در متن قرارداد آورده شود. بدين ترتيب توليد کنندگان و ارائه دهندگان محصولات در مواردی که نقايص خاصی نظير نقايص امنيتی در محصول مربوطه تشخيص و کشف می گردد ، ملزم به رفع عيب و اشکال موجود خواهند بود. پايبندی به رويکرد فوق ، انگيزه های مناسبی را برای توليدکنندگان ايجاد و هر توليد کننده که محصول بی نقصی را توليد و ارائه نمائيد ، شانس موفقيت بيشتری را خواهد داشت .
      دراين رابطه لازم است ، تصميم گيرندگان با مسائل متعددی همچون فرآيندهای تهيه يک محصول آشنا و بصورت مستمر اطلاعات خود را نيز ارتقاء تا بتوانند در زمان لازم تصميمات منطقی و مبتنی بر دانش را برای تهيه يک محصول اتخاذ نمايند.بمنظور حمايت از چنين فرآيندهائی، تهيه کنندگان می بايست آموزش های لازم در خصوص نظارت ، سياست های امنيتی ، اصول و مفاهيم امنيتی و معماری مربوطه را فرا بگيرند .بهرحال هدف ، تهيه و بکارگيری سيستمهائی است که با روح يک سازمان مطابقت و افزايش کارآئی و بهره وری را بدنبال داشته باشند .
    • تحقيق در رابطه با تضمين ايمن سازی اطلاعات . تصميم گيرندگان ، می بايست همواره بدنبال راه حل های تکنيکی بمنظور افزايش ضريب امنيت اطلاعات بوده و در اين راستا لازم است تحقيقات گسترده و سازمان يافته ای را بمنظور آگاهی از روش های کنشگرايانه وپيشگيرانه در دستور کار خود قرار دهند ( استفاده از روش های واکنشی و انفعالی به تنهائی کفايت نخواهد کرد) . بنابراين ، تصميم گيرندگان می بايست از يک برنامه منسجم تحقيقاتی حمايت تا بکمک آن بتوان با رويکردهای جديد در ارتباط با امنيت اطلاعات و سيستم آشنا گرديد.رويکردهای فوق ، شامل طراحی و پياده سازی استراتژی ها ، روش های بازسازی اطلاعات ، استراتژی های مربوط به مقاومت در مقابل تهاجمات ، آناليزهای مستمر و پياده سازی معماری های امنيتی باشد . از جمله فعاليت هائی که می بايست در اين خصوص مورد توجه و برای آنان راهکارهای مناسب ايجاد گردد، عبارتند از :
      - ايجاد يک چارچوب يکپارچه و يکنواخت برای آناليز و طراحی تضمين اطلاعات
      - ايجاد روش های مستحکم و مطمئن بمنظور دستيابی و مديريت خطرات برخا سته از تهديد سرمايه های اطلاعاتی
      - ايجاد روش های ارزيابی بمنظور مشخص کردن و بدست آوردن نسبت هزينه / مزيت ، استراتژی های ريسک
      - ايجاد و استفاده از تکنولوژی های جديد بمنظور مقاومت در برابر حملات ، تشخيص حملات و بازيابی خرابی ها
      - ايجاد روش های سيستماتيک و ابزارهای شبيه سازی برای آناليز حملات ، تصادمات و خرابی بين سيستم های وابسته
    • استفاده از متخصصين فنی بيشتر . تصميم گيرندگان ، می بايست از مراکز امنيتی بمنظور ارتقاء سطح دانش عمومی امنيت حمايت نموده تا از اين طريق بتوان کارآموزان و دانشجويان را جذب و با تدوين يک برنامه آموزشی هدفمند نسبت به تربيت کارشناسان ماهر امنيتی اقدام نمود .بديهی است استفاده از کارشناسان فوق ، بمنظور ايمن سازی سيستم ها و شبکه امری ضروری و اجتناب ناپذير است . برنامه های آموزشی تدوين شده در فواصل زمانی خاصی می بايست بازنگری تا بتوان افرادی را تربيت که همواره پاسخگوی نيازهای امنيتی در سطح سازمان ها و موسسات بوده و با دانش روز نيز کاملا" آگاه باشند.
    • ارائه آموزش و آگاهی لازم به کاربران اينترنت : دستيابی آسان و وجود اينترفيس های مناسب ، باعث شده است که کاربران با هر نوع شرايط سنی از اينترنت در تمامی سطوح زندگی استفاده نمايند.تعداد زيادی از کاربران اينترنت دارای شناخت اندکی نسبت به تکنولوژی اينترنت و يا روش های امنيتی لازم برای استفاده ، می باشند . تصميم گيرندگان ، می توانند با دنبال نمودن پيشنهادات زير ، سطح دانش کاربران اينترنت را افزايش دهند :
      - طراحی و پياده سازی برنامه ها و مواد آموزشی لازم در خصوص ارتقاء سطح دانش عمومی تمامی کاربران اينترنت .آموزش و افزايش آگاهی کابران در خصوص : خصايص امنيتی ، تهديدات ، فرصت ها و رفتار مناسب در اينترنت به امری ضروری و حياتی تبديل شده است . در اين رابطه لازم است به اين نکته مهم اشاره گردد که بقاء سيستم وابسته به امنيت سيستم ها در سمت ديگر بوده و حل مشکل سيستم خود به تنهائی کافی نخواهد بود و در اين رابطه لازم است به تمامی کاربران در خصوص نحوه استفاده از کامپيوترهای خود با لحاظ نمودن پارامترهای ايمنی و امنيتی ، آموزش های لازم و مستمر ارائه گردد .علاوه بر موارد فوق ، لازم است به مصرف کنندگان محصولات نرم افزاری آموزش های خاصی در رابطه با نحوه تهيه و نصب نرم افزارهای ايمن ارائه گردد . بدين ترتيب توليدکنندگان محصولات نرم افزاری ترغيب به ارائه محصولات خود با نقاط آسيب پذيری کمتر خواهند شد .
      - طراحی و پياده سازی برنامه های آموزشی خاص در زمينه استفاده مناسب و اوليه از کامپيوتر . آموزش های فوق ، می بايست بهمراه آموزش های عمومی ارائه و نحوه استفاده از کامپيوتر بدرستی تبين گردد . اين نوع از آموزش ها را می توان از سطوح پائين آموزشی ، آغاز نمود. کاربران نوجوان و جوان اينترنت می بايست نسبت به رفتارهای درست و ناشايست در زمان استفاده از کامپيوتر خصوصا" در زمان استفاده از اينترنت بدرستی توجيه و آموزش های لازم به آنان ارائه گردد .( مشابه آموزش های ارائه شده به کودکان در زمان استفاده از کتابخانه ها ، چه نوع رفتاری قابل قبول است و چه نوع رفتاری پذيرفتنی نيست ) معلمان مدارس و والدين نيز می بايست در اين رابطه آموزش های لازم را فراگرفته تا از يکطرف قادر به رفتاری قابل قبول در زمان استفاده از کامپيوتر وشبکه های کامپيوتری خصوصا" اينترنت بوده و از طرف ديگر و در جايگاه خود بتوانند نظارت لازم را انجام دهند .

    خلاصه
    وابستگی ما به سيستم های کامپيوتری بهم مرتبط  خصوصا" اينترنت ، بسرعت در حال افزايش بوده  و حتی بروز اختلال اندک توسط ويروس ها و کرم ها می تواند پيامدهای ناگواری را بدنبال داشته باشد . راه حل های واکنشی استفاده شده برای مقابله با کرم ها و ويروس ها به تنهائی کفايت نخواهد کرد. افزايش قدرت و سرعت حملات باعث شده است که  زيرساخت های اطلاعاتی  در معرض تهديد و خطر قرار داشته باشند. با دنبال نمودن راه حل های موجود می توان سطح مناسبی از حفاظت در مقابل تهديدات را ايجاد نمود. بمنظور ارتقاء و بهبود وضعيت موجود ، مديران سيستم ، ارائه دهندگان تکنولوژی  و تصميم گيرندگان می توانند با رعايت و پيگيری برخی اصول اوليه ، زمينه برخورد با کرم ها و يا ويروس ها را از ابعاد متفاوت فراهم نمايند. تغيير در طراحی نرم افزارها ، روش های پياده سازی ، افزايش تعداد مديران سيستم آموزش ديده  ، بهبود سطح آگاهی کاربران ، افزايش تحقيقات در رابطه با سيستم های ايمن و پايدار، طراحی و پياده سازی دوره های آموزشی خاص دررابطه با کامپيوتر و امنيت شبکه ، نمونه هائی در اين زمينه بوده  که می تواند دستاوردهای مثبتی را در ارتباط با امنيت اطلاعات برای تمامی شهروندان اينترنت بدنبال داشته باشد.حرکات مثبت هر يک از شهروندان اينترنت ( حقوقی و يا حقيقی ) در خصوص پايبندی به اصول امنيتی ، تاثيری مثبت در ايمن سازی سرمايه های اطلاعاتی  را بدنبال خواهد داشت

     

  • توضیحاتی در مورد کرم

    W32/YahLover.worm

    Type

    Virus

    SubType

    Worm

    Discovery Date

    09/05/2006

    Length

    Minimum DAT

    4845 (09/05/2006)

    Updated DAT

    4855 (09/19/2006)

    Minimum Engine

    4.4.00

    Description Added

    09/18/2006

    Description Modified

    09/18/2006 9:34 PM (PT)

    نحوه انتقال و علایم حاصل از آلودگی به آن :

     

     

    شما پس از آلودگی به این ویروس به تمام لفرادی که در لیست دوستان خود در yahoo messenger دارید به صورت اتوماتیک وار پیغامی ارسال می نمایید که آدرس سایتی را نشان می دهد که در صورت رفتن به آن آلودگی به دوستانتان منتقل خواهد شد . این کرم در چند روز اخیر بیشتر رایانه های دنیا را مورد تهدید قرار داده است .

    راه برطرف کردن مشکل :

    در صورت آلودگی کامپیوترتان به این ویروس کارهای زیر را انجام دهید تا از شر این کرم رهایی یابید :

    1- دایرکتوری که ویندوزتان در آن قرار دارد رفته و فایل زیر را حذف نمایید ":

    WINDIR% askmng.exe

    2- از منوی start به قسمت run بروید . در آنجا تایپ نمایید regedit

    صفحه ای برای شما باز می شود به قسمتهای زیر رفته و بخشی را که با خطوط قرمز

    مشخص ده حذف نمایید .

    • hkey_local_machinesoftwaremicrosoftwindowscurrentversion un
      ask manager="%WINDIR% askmng.exe"
    • hkey_current_usersoftwaremicrosoftwindowscurrentversion
    • policiessystemdisableregistrytools="1"
    • hkey_current_usersoftwaremicrosoftwindowscurrentversion
    • policiessystemdisabletaskmgr="1"
    • hkey_current_usersoftwareyahoopagerviewymsgr_launchcastcontent url=http[dot]//chendang.net[blocked]
    • hkey_current_usersoftwareyahoopagerviewymsgr_buzzcontent
      url=http[dot]//chendang.net[blocked]
    • hkey_current_usersoftwaremicrosoftinternet explorermainstart
      page=http[dot]//chendang.net[blocked]
    • hkey_current_usersoftwaremicrosoftinternet explorermain
      window title="[Random]"

    به این ترتیب کامپیوتر شما از شر این کرم خلاصی می یابد .

  • نمونه هائی از حملات اينترنتی توسط نامه های الکترونيکی

    بمنظور بررسی نقاط آسيب پذير و نحوه انتشار ويروس های کامپيوتری با استفاده از کدهای مخرب ،عملکرد سه ويروس را مورد بررسی قرار می دهيم . هدف از بررسی فوق استفاده از تجارب موجود و اتخاذ راهکارهای مناسب بمنظور پيشگيری از موارد مشابه است .آناليز دقيق رفتار هر يک از ويروس ها  و نحوه مقابله و يا آسيب زدائی آنان  از حوصله اين مقاله خارج بوده و هدف ، صرفا" نشان دادن تاثير نقاط آسيب پذير در يک تهاچم اطلاعاتی بمنظور تخريب اطلاعات و منابع موجود در يک شبکه کامپيوتری ( اينترانت ، اينترنت )   و نقش کاربران در اين زمينه است  .

    بررسی عملکرد کرم ILOVEYOU
    کرم فوق ، در يک اسکريپت ويژوال بيسيک و بصورت فايلی ضميمه در يک نامه الکترونيکی عرضه می گردد .همزمان با بازنمودن فايل ضميمه توسط کاربران، زمينه  فعال شدن کرم فوق،  فراهم خواهد شد . عملکرد اين کرم ،  بصورت زير است :

    • نسخه هائی از خود را در فولدر سيستم ويندوز با نام MSKernel32.vbs  و LOVE-LETTER-FOR-YOU.vbs  تکثير می نمايد.
    • نسخه ای از خود را در فولدر ويندوز و با نام Win32DLL.vbs تکثير می نمايد .
    • اقدام به تغيير مقادير دو کليد  ريجستری زير می نمايد .کليدهای فوق،  باعث فعال نمودن ( فراخوانی ) کرم ،  پس از هر بار راه انداری سيستم می گردند .

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run\MSKernel32
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunService\Win32DLL
    • در ادامه،  بررسی می گردد که آيا دايرکتوری سيستم شامل فايل WinFAT32.exe است؟  در صورت وجود فايل  فوق( نشاندهنده ويندوز 95 و 98 )،  صفحه آغاز برنامه مرورگر اينترنت( IE ) ، به فايل WIN-BUGFIX.exe بر روی سايت www.skyinet.net  تبديل می گردد . فايل فوق از يکی از دايرکتوری های موجود در سايت فوق با نام angelcat , chu  , koichi  دريافت خواهد شد . پس از فعال شدن مرورگر اينترنت  ( در زمان آتی ) ، صفحه آغاز ،  آدرس فايل مورد نظر را از راه دور مشخص وبدين ترتيب فايل از سايت skyinet اخذ  می گردد . کليد ريجستری صفحه آغاز،  در آدرس زير قرار می گيرد .

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
    • ما قادر به دستيابی به www.skyinet.net ، بمنظور اخذ يک نسخه از فايل فوق نمی باشيم . با پيگيری  انجام شده بر  روی اينترنت مشخص شده است  که  برنامه فوق ،  ممکن است آژانسی بمنظور جمع آوری رمزهای عبور و ارسال آنها به يک سايت مرکزی از طريق پست الکترونيکی باشد .
    • ILOVEYOU در ادامه بررسی می نمايد که آيا ماشين را آلوده کرده است؟ بدين منظور در دايرکتوری مربوط به اخذ فايل ها (Download directory) ، بدنبال فايل WIN-BUGFIX.exe می گردد . در صورتيکه فايل فوق پيدا گردد ، کدهای مخرب ، يک کليد RUN را بمنظور فراخوانی WIN-BUGFIX.exe از دايرکتوری مربوطه فعال می نمايند .نشانه گويای اين کليد ريجستری، بصورت زير است :

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WINBUGFIX
    • ILOVEYOU در ادامه ، يک فايل با نام  LOVE-LETTER-FOR-YOU.HTM  در دايرکتوری سيستم ايجاد می نمايد .فايل Htm ،  شامل منطق VBScript  بوده که به نسخه مربوطه vbs ارتباط خواهد داشت .
    • کدهای مخرب در ادامه ، از طريق نامه الکترونيکی برای افراديکه در ليست دفترچه آدرس مربوط به کاربر می باشند،اشاعه و توزيع  می شوند . برای هر شخص موجود در دفترچه آدرس،  يک پيام الکترونيکی ايجاد و يک نسخه از فايل LOVE-LETTER-FOR-YOU.vbs قبل از ارسال به آن ضميمه می گردد. پس ازارسال پيام برای تمام افراد موجود در ليست دفترچه آدرس،   ILOVEYOU  برروی تمام درايوهای موجود در کامپيوتر ، عمليات خود را تکرار می نمايد . درصورتيکه درايو يک درايو شناخته شده ( نظير هارد و يا CDROM ) باشد ، در تمام زيرفهرست های موجود در درايو مربوطه ، عمليات جستجو برای يافتن  فايل های با انشعاب vbs , vbe  , sct , hta jpg , jpeg .  انجام خواهد شد . تمامی فايل ها ی با انشعابات  فوق،  توسط کدهای مخرب بازنويسی و يک نسخه از کدهای مخرب در آنها قرار خواهد گرفت .
    • در صورتيکه  فايلی از نوع mp2 و يا mp3 پيدا گردد، يک نسخه از کدهای مخرب در فايلی با انشعاب vbs ايجاد و در دايرکتوری  مربوطه مستقر می گردد . نام فايل به نام دايرکتوری بستگی داشته و دارای انشعاب vbs است .
    • در صورتيکه  ILOVEYOU  فايلی با نام micr32.exe , mlink.exe mric.ini  و يا mirc.hlp را پيدا نمايد،  فرض را بر اين خواهد گذاشت که فهرست مربوطه ،  يک دايرکتوری شروع IRC)Internet Relay Chat) است وفايلی با نام Script.ini را ايجاد و در محل مربوطه قرار خواهد داد . اسکريپت فوق، زمانيکه  برنامه سرويس گيرنده IRC اجراء گردد،  شروع به فعاليت نموده و اقدام به ارسال کدهای مخرب برای تمام کامپيوترهائی که با ميزبان آلوده يک ارتباط IRC ايجاد نموده اند ، خواهد کرد .

    بررسی عملکرد ويروس Melissa
    Melissa يک ويروس در ارتباط با فايل های Word97  و Word2000 بوده که امکان توزيع آن  توسط برنامه Microsoft Outlook  فراهم می گردد . ويروس فوق، نسخه هائی از خود را با سرعت بسيار زياد برای کاربران توزيع می نمايد . نحوه انتشار و گسترش ويروس فوق ، مشابه بروز يک حريق بزرگ در سيستم های پست الکترونيکی در يک سازمان و اينترنت بوده که آسيب های فراوانی را بدنبال خواهد داشت . اين ويروس  با نام Mellissa ويا W97M/Melissa (نام کلاسی که شامل ماکرو ويروس است) ناميده می شود. ويروس فوق، با استفاده از VBA)Visual Basic for Application)  سندهای ايجاد شده توسط Microsoft word را آلوده می نمايد.( VBA يک زبان مبتنی بر اسکريپت بوده که  امکان استفاده از آن در مجموعه برنامه های آفيس وجود دارد). ويروس فوق سه عمليات اساسی را انجام می دهد :

    • Word را آلوده و در ادامه تمام سندهای فعال شده  word  را نيز آلوده و.بدين ترتيب امکان توزيع و گسترش آن فراهم می گردد .
    • باعث بروز برخی تغييرات در  تنظيمات سيستم  بمنظور تسهيل در ماموريت خود ( آلودگی اطلاعات ) می گردد .
    • با استفاده از برنامه Microsoft Outlook  و در ظاهر يک پيام دوستانه  ، نمونه هائی از خود را  به مقصد آدرس های متعدد،  ارسال می نمايد.

    زمانيکه يک فايل Word آلوده به ويروس Melissa فعال می گردد،Melissa  به تمپليت سند NORMAL.DOT  نيز سرايت می گردد. محل فوق،مکانی است که Word تنظيمات خاص و پيش فرض در ارتباط با ماکروها را ذخيره می نمايد . Melissa ، با تکثير خود درون NORMAL.DOT  برنامه نصب شده  Word را آلوده و بدين ترتيب هر سند و يا تمپليتی که ايجاد می گردد،  ويروس به آن اضافه خواهد شد. بنابراين در موارديکه يک سند فعال و يا  غيرفعال می گردد ، زمينه اجرای ويروس فراهم خواهد شد . در صورتيکه کليد ريجستری زيردر کامپيوتری وجود داشته باشد، نشاندهنده آلودگی سيستم به ويروس Melissa است . مقدار کليد ريجستری فوق " by Kwyjibo..." است .

    HKEY_CURRENT_USER\Software\Microsoft\Office\Melissa

    بررسی عملکرد ويروس BubbleBoy
    BubbleBoy يک کرم مبتنی بر اسکريپت در يک نامه الکترونيکی بوده که از نقاط آسيب پذير IE 5.0  استفاده و باعث آسيب سيستم های مبتنی بر ويندوز 98 و 2000 می گردد . کرم فوق بصورت Html در يک پيام الکترونيکی قرار می گيرد. در زمان مشاهده نامه های الکترونيکی با استفاده از برنامه Outlook Expree  بصورت حتی پيش نمايش ، زمينه فعال شدن کرم فوق فراهم خواهد شد . در صورتيکه از برنامه Microsoft Outlook استفاده می گردد، پس از فعال شدن( باز شدن ) نامه الکترونيکی، زمينه اجرای آن فراهم  خواهد شد .کرم فوق با استفاده از VBScript نوشته شده و پس از فراهم شدن شرايط لازم برای اجراء ، فايلی با نام UPDATW.HTA  را در دايرکتوری Startup ويندوز ايجاد می نمايد . فايل فوق تغييرات زير رادر ريجستری سيستم ، انجام خواهد داد :

    • تغيير Registered owner به BubbleBoy
    • تغيير Registered organization به Vandelay Industries

    کرم فوق درادامه اقدام به تکثير خود از طريق يک نامه الکترونيکی به تمام افراد موجود در ليست دفترچه آدرس برنامه Outlook Express می نمايد . علت انتشار و اجرای کرم فوق بدليل وجود نقص امنيتی در تکنولوژی ActiveX ماکروسافت است . اشکال فوق به عناصر scriplet , typelib و Eyedog در ActiveX ، مربوط می گردد . عناصر فوق بعنوان المان های امين و تائيد شده در نظر گرفته شده و اين امکان به آنها داده خواهد شد که کنترل عمليات را بر اساس حقوق کاربران بر روی ماشين مربوطه انجام دهند . ماکروسافت بمنظور مقابله با مشکل فوق اقدام به عرضه يک Patch امنيتی برای برنامه IE نموده است .

    خلاصه
    همانگونه که حدس زده ايد،وجود نواقص امنيتی در محصولات نرم افزاری يکی از مهمترين دلايل توزيع و گسترش ويروس در شبکه های کامپيوتری است . برنامه های Outlook Express و Microsoft Outlook  نمونه هائی در اين زمينه بوده که عموما" از آنها برای دريافت و ارسال نامه های الکترونيکی استفاده می گردد . دستيابی به دفترچه آدرس از طريق کدهای برنامه نويسی و هدايت سيستم بسمت ارسال نامه های الکترونيکی آلوده به مقصد های قانونی ( با توجه به وجود آدرس های معتبر در هر يک از دفترچه های آدرس ) از علل مهم در توزيع و گسترش اين نوع از ويروس های کامپيوتری محسوب می گردد . تعلل يک کاربر در شبکه مبنی بر عدم رعايت موارد ايمنی خصوصا" در رابطه با فعال نمودن و مشاهده نامه های الکترونيکی آلوده ،  نه تنها باعث صدمه اطلاعاتی برای کاربر و يا سازمان مربوطه وی می گردد ، بلکه کاربر فوق، خود بعنوان ابزاری ( غير مستقيم ) برای توزيع و گسترش ويروس در شبکه تبديل  شده است . امنيت در شبکه های کامپيوتری فرآيندی مستمر است که می بايست توسط تمام کاربران صرفنظر از موقعيت عملياتی و شغلی در يک سازمان رعايت گردد. ما در رابطه با سازمان خود چه تدابيری را انديشيده و کاربران شبکه تا چه ميزان نسبت به عملکرد خود توجيه و تاثيررفتار غير امنيتی خود در تمام شبکه را می دانند ؟  در صورتيکه يکی از مسافران يک پرواز هواپيمائی مسائل ايمنی را در رابطه با پرواز رعايت ننمايد و از اين بابت به ساير مسافران موجود در پرواز صدمه ( جانی ،روحی ، مالی و ... ) وارد گردد ، مقصر کيست ؟ در صورتيکه دامنه صدمات احتمالی ،سازمان ارائه دهنده خدمات پرواز را نيز شامل گردد مقصر کيست ؟ چه کاری می توانستيم انجام دهيم که احتمال بروز چنين مسائلی را کاهش و حتی حذف نمائيم ؟  وجود نقص امنيتی در منابع سخت افزاری و نرم افزاری پرواز نيز در جای خود می تواند شرايط مساعدی را برای صدمات احتمالی فراهم نمايد .
    بهرحال عملکرد نادرست کاربران موجود در يک شبکه کامپيوتری ، تاثير مستقيمی بر عملکرد تمام سيستم داشته و لازم است قبل از بروز حوادث ناگوار اطلاعاتی ، تدابير لازم اتخاذ گردد ! . امنيت در يک شبکه کامپيوتری مشابه ايجاد  يک تابلوی نقاشی است که نقاشان متعددی برای خلق آن  با يکديگر تشريک مساعی می نمايند. در صورتيکه يکی از نقاشان در اين زمينه تعلل ( سهوا" و يا عمدا" ) نمايد، قطعا" اثر هنری خلق شده ( در صورتيکه خلق شود ! ) آنچيزی نخواهد بود که می بايست باشد !