عنوان :

پایان نامه امنیت در وب

تعداد صفحات :۱۶۷

نوع فایل : ورد و قابل ویرایش

چکیده

امنیت در دنیای مجازی اینترنت پیچیده تر از دنیای واقعی است که ما در آن زندگی می کنیم شعارها، و کلاهبرداریهای تجاری معمّا را پیچیده تر می کند اما به عقیده متخصصّان دنیای اینترنت روز به روز خطرناکتر می شود چگونه این اتفاق می افتد؟ چگونه راه حل های همه سویه نتوانسته مشکلات ابتدای را حل نماید جواب ساده نیست؟ چرا که مشکلات بسیار پیچیده است ایجاد و نگهداری امنیت مشکل می باشد امنیت پیچیده است، مشکل این است که دنیای ارتباط مستقیم حول یک  سیستم از پروتکل ها و قواعد نیا نهاده شده است اما متأسفانه این قواعد کامل و دائم پیروی نمی شوند، ترکیب سیستم های کامپیوتری امروزی و نرم افزارها غالباً برنامه هایی را ایجاد می کند که به واسطه خط مشی های عملی اینترنت به صورت پیش بینی نشده ای عمل می کند.

باید امنیت در سازمان فراتر از یک  کلمه رمز یا یک  گروه امنیت باشد امنیت بایستی در فکر و ذهن تک تک افراد بوده و جلودار عملیات روزانه باشد در داخل شرکت اعضای گروه امنیت با گروههای دیگر به عنوان همکار و مشاور کار می کنند آنها باید قابل نزدیک  شدن باقی بمانند و همانند پلیس شبکه به نظر نرسند، هنگامی که تمامی افراد متوجه عوامل اختلال در سایت و یا در معرض خطر قرار دادن مشتریان باشند امنیت به بهترین نحو کار خواهد کرد کلید رسیدن به این سطح از آگاهی، آموزش است.

آموزش ابزاری است که با بکارگیری آن می توان مهاجمینی را که به واسطه ارتباط نامناسب طراحی ضعیف فرایندها و خونسردی و بی مسئولیتی افراد قصد سوء استفاده دارند را خلع سلاح کرد برخی هجوم ها که هکرها آن را مهندسی اجتماعی می نامند (Soci Engieneering)  بهترین راه برای مقابله با این حملات آموزش کارکنان در مورد سیاست های مرتبط با امنیت و پوشیدگی مشتری می‌باشد .

. این پروژه که در پیش روی دارید شما را با انواع تهاجمات و حملات به سایت های مختلف و طرق نفوذ به برنامه‌های کاربردی آشنا می کند. به صورت خلاصه با انواع ابزارهای خاص حمله اعم از ویروس ها، کرم ها، برنامه های ولگرد، تکنیک اسب تروا آشنا می کند. در ادامه به بررسی چگونگی حملات معروف در طول تاریخ شبکه می پردازیم، دزدان کارتهای اعتباری را از حیث عملکرد با بقیه ی هکرها مقایسه می کنیم و تکنیک های جلوگیری از هک شدن را آموزش می دهیم.

در انتها می توانید با مروری هر چند اجمالی بر چند برنامه ی کاربردی با دنیای واقعی برنامه نویسی شبکه آشنا شوید.

این مرور به شما کمک می کند تا دیدتان را در مورد امنیت (Security) و قابلیت اجرایی (Functionality) تصحیح کنید و بتوانید برنامه ی خود را ایمن کنید. به کمک این قسمت از پروژه اهمیت تست امنیت داده را خواهید فهمید و آن را در ابتدای اهداف خود خواهید گنجانید. نکته ی جالب در فصول بعد بیان اصول امنیت داده، فهمید و آن را در ابتدای اهداف خود خواهید گنجانید. نکته ی جالب در فصول بعد بیان اصول امنیت داده، تحلیل امنیت، و به طور کلی دانستن معنای واقعی امنیت داده می باشد. حملات به برنامه های خاص از راه دور نیز جزء فصول مطرح شده می باشد. در این بخش به تحلیل Script های از خانواده ی زبانهای معروفی چون java و Perl و … نیز می‌پردازیم. بیان مفهوم Active X نیز از قلم ها خارج نشده است و تحلیل سیاست‌های کلی تعیین امن و ناامن بودن برنامه ای نیز از اهداف انتهایی این پروژه است.

واژه های کلیدی: امنیت، هکرها، فیشینگ، ویروسهای هک کننده، Mobile code، کدهای جاوا

فهرست مطالب

مقدمه   ۱
فصل اول   ۳
نگاهی به هکرها و شیوه عملکردشان   ۳
مقدمه   ۴
هک به چه معناست؟   ۵
اهداف هکر   ۶
روشهای  نفوذ هکرها Hacker  و نفوذگران به شناسه کاربری ID   ۱۰
اصول ابتدایی برای گریز از کرک شدن   ۱۱
استفاده از FAKE PAGEها :   ۱۳
مهندسی اجتماعی   چیست   ۱۵
تروجان ها :   ۱۷
تکنیکهای انتخاب کلمه عبور   ۱۸
استاندارد ISO ۱۷۷۹۹   ۲۳
فیشینگ  Phishing چیست؟   ۲۵
مشخصات عمومی و مشترک بین پست الکترونیکی با هدف فیشینگ   ۲۷
قانون طلایی مواجهه با عملیات فیشینگ   ۲۸
روش‌های معمول حمله به کامپیوترها   ۳۱
برنامه‌های اسب تروا   ۳۲
اسکریپتهای Cross-Site   ۳۴
ایمیلهای جعلی   ۳۵
پسوندهای مخفی فایل   ۳۶
شنود بسته های اطلاعات   ۳۷
حملات  pharmingچیست   ۳۸
بررسی دنیای واقعی   ۴۱
دیواره آتش Firewalls   ۴۲
منظور از Firewall ها چیست ؟   ۴۳
مزیت و عیب Firewall ها   ۴۳
The purpose of a Firewall   ۴۴
The Security Role of a Firewall   ۴۶
فصل دوم   ۴۸
بکارگیری اصول امنیت   ۴۸
مقدمه   ۴۹
امنیت به عنوان یک  زیربنا:   ۵۰
امنیت فراتر از یک  کلمه رمز:   ۵۰
اولی خطرات سطح بالا و مهم تر را برطرف نمایید:   ۵۱
امنیت به عنوان یک  محدودیت:   ۵۳
تهاجم DDOS چیست؟   ۵۳
تهاجمات مصرف منبع Resource Consumption Attack   ۵۴
کالبدشکافی یک تهاجم سیل SYN   ۵۶
جهت داده شده توسط ارتباط Connection-Oriented   ۵۶
کالبد شکافی یک تهاجم DDOS:   ۵۷
ابزارهای مهاجمین برای انجام خدمات DDOS :   ۵۸
روش های اساسی حفاظت:   ۵۹
تهیه شرح حال از خصوصیات و مشخصات ترافیک:   ۶۰
تقسیم کردن شالوده NDS :   ۶۰
متعادل ساختن بار:   ۶۰
فیلتر سازی ورودی و خروجی   ۶۱
محکم کردن پیکربندیهای دیوار آتش:   ۶۱
ایجاد یک IDS :   ۶۲
اجرای یک مرور کننده Scanner آسیب پذیری:   ۶۲
ایجاد سرورهای پراکسی:   ۶۲
پیکربندی کردن فداکارانه میزبانها:   ۶۳
افزایش مدیریت میزبان و شبکه:   ۶۳
گسترش بیشتر تکنولوژی های امنیت:   ۶۳
گردآوری اطلاعات:   ۶۴
راههای مختلف جهت مسیردهی:‌   ۶۴
مقایسه قابلیت های امنیت سرور وب:   ۶۴
تصدیق Authentication :   ۶۵
کلمات عبور:   ۶۶
گواهی نامه ها و امضاهای دیجیتالی:   ۶۶
به کارگیری برنامه های کاربردی CGI:   ۶۷
IIS (Internet Information Server) :   ۶۷
پورت ها، سرویس ها و اجزاء بلا استفاده را غیر فعال کنید:   ۶۸
اسکریپت ها و فایل های غیر لازم را پاک کنید.   ۶۹
هک کردن کلمه عبور و ابزار تجزیه و تحلیل   ۷۰
فصل سوم   ۷۲
متدولوژی هک کردن   ۷۲
مقدمه   ۷۳
درک شرایط و سطوح   ۷۴
خلاصه ای بر تاریخچه ی هک کردن   ۷۵
سیستم هک کردن تلفن   ۷۶
سیستم هک کردن کامپیوتر   ۷۶
عوامل تحریک هکرها چیست؟   ۷۸
مقابله در برابر هک کننده های بداندیش   ۷۹
کار کردن با حرفه ای های عرصه ی امنیت داده ها   ۸۰
کم کردن مشکلات با به خدمت گرفتن سیستم امنیتی   ۸۰
شناخت انواع حملات در سیستم های موجود   ۸۱
ویروسهای هک کننده   ۸۳
روش های صدمه و دفاع در برابر حمله   ۸۵
اسب تروآ   ۸۶
کرمها   ۸۹
برنامه های ولگرد   ۹۰
دزدیدن   ۹۱
دزدان کارت اعتباری   ۹۲
دزدی هویت   ۹۳
دزدان و راه زنان اطلاعات   ۹۴
درک شیوه ی سیستم پیشگیری کننده امنیتی برنامه های کاربردی و تهدیدات آن   ۹۵
اخلالهای پنهان   ۹۶
پارامترهای جعلی و پنهان   ۹۶
برش ابتدایی   ۹۶
پر شدن و سرریز شدن بافر   ۹۷
شیرینی زهرآلود   ۹۷
جلوگیری  از هک شدن با روش فکر کردن مثل یک هکر   ۹۸
تیم کنترل کیفیت (QA)   ۱۰۰
تیم امنیت اطلاعات   ۱۰۰
فصل چهارم   ۱۰۲
چگونه از تبدیل شدن به یک برنامه نویس سطح پایین جلوگیری کنیم.   ۱۰۲
مقدمه   ۱۰۳
برنامه نویسان ایجاد کننده ی کدهای بی ارزش (کم ارزش) کیستند؟   ۱۰۴
از قانون تبعیت کنیم:   ۱۰۸
وقتی برنامه نویسی می کنیم خلاقیت داشته باشیم:   ۱۰۹
اجازه فکر کردن به خود بدهید:   ۱۱۱
برنامه های ماژولار (قطعه بندی شده) درست تر کار می کند:   ۱۱۲
ساخت کد در فضای تهی   ۱۱۴
ساخت برنامه ی معین و قابل اجرا و ایجاد امنیت داده ها   ۱۱۴
فصل پنجم   ۱۲۰
درک رابطه خطرها با Mobile code   ۱۲۰
مقدمه   ۱۲۱
تشخیص ضربه حملات Mobile code   ۱۲۱
حملات Mail client   ۱۲۲
ماکروها یا اسکریپتهای خرابکار:   ۱۲۳
شناسایی فرمهای مشترک Mobile code ها:   ۱۲۴
زبانهای ماکرو: Visual Basic Application (VBA)   ۱۲۴
مشکلات امنیتی با VBA   ۱۲۵
ویروس Melisa   ۱۲۵
حمایت در برابری ویروسهای VBA   ۱۲۶
Java script   ۱۲۷
امنیت java script   ۱۲۷
مشکلات امنیتی:   ۱۳۰
حملات Web-Based E-mail   ۱۳۰
مهندسی اجتماعی Social Engineering   ۱۳۱
پایین آوردن خطرات امنیتی Java script   ۱۳۱
VBScript   ۱۳۱
امنیت در VBScript   ۱۳۲
مشکلات امنیت در VBScript   ۱۳۳
پیشگیری امنیتی VBScript   ۱۳۳
برنامه های کاربردی Java   ۱۳۴
مشکلات امنیتی با Java   ۱۳۵
نگاهی به کنترلهای Active x   ۱۳۵
مشکلات امنیتی با Active x   ۱۳۶
اشتباه در انتقال و جایگیری کاراکترها   ۱۳۶
غیر فعال کردن کنترلهای Active x   ۱۳۸
متعلقات ایمیل   ۱۳۸
حمایت از سیستم شما در مقابل با حملات Mobile code   ۱۳۸
برنامه های امنیتی   ۱۳۹
کشف کننده های حفره ها   ۱۳۹
نرم افزار فایروال   ۱۴۰
فصل ششم   ۱۴۱
ایمن کردن کدهای جاوا   ۱۴۱
مقدمه   ۱۴۲
جلوگیری از مشکلات ناشی از جاوا، جاوا اسکرپت و Activex   ۱۴۲
برنامه نویسی اسکریپت های ایمن   ۱۴۵
مقدمه ای بر سیاست امنیت   ۱۴۸
سیاست امنیت چیست؟   ۱۴۸
ارزش در برابر ریسک:   ۱۴۹
سیاست امنیت من می بایست شامل چه عناصری باشد؟   ۱۵۰
هجومهای دسترسی به فایل:   ۱۵۵
تهاجمات‌ اطلاعات غلط:   ۱۵۶
هجوم های دسترسی به فایل / بانک اطلاعاتی ویژه:   ۱۵۷
منابع:   ۱۶۰

منابع:

۱٫ Jeff forristal, “HACK PROOFING (Your Web Applications)” Teri

۲٫ Ryan Russel , Tei Bidwell , “HACK PROOFING (E-Commerce Sites)”/

مقدمه

امنیت در دنیای واقعی ما امری اجتناب ناپذیر است و همگی‌مان به نوعی سعی داریم تا امنیت را در محیط پیرامونمان ایجاد کنیم. همانطور که شما برای ساختمان خود چندین کلید تعبیه می کنید، از ابزارهای امنیتی برای کنترل ورود و خروج استفاده می کنید و حتی در سطح ابتدایی از حدود افراد ناشناس به حیطه ی منزل خود جلوگیری می‌کنید، نشان می دهد که شما به امنیت محیط زندگی خود اهمیت می دهید. در دنیای واقعی تضمین امنیت امری مهم، مشکل و سخت می باشد. همچنین هزینه ی بالای این ضمانت نیز قابل توجه است. برای مثال بسیاری از پروژه ها با هزینه ای معلوم ساخته می شود ولی برای اخذ مدرک و جهانی شدن باید هزینه ای معادل چند ده برابر هزینه ی ساخت پروژه خرج شود تا صحت و امنیت سیستم مورد تأیید قرار گیرد. در دنیای پیچیده ی مجازی اینترنت امنیت نمودی دیگر دارد، این تفاوت می تواند بیان کننده ی پیچیدگی خاص این سطح از امنیت دارد. برای مثال اگر شما سایتی در اینترنت به صورت فعال داشته باشید و هزینه ی زیادی برای طراحی و پیاده سازی برنامه ی کاربردی خود خرج کرده باشید، بسیار متعجب خواهید شد اگر ببینید که سایت شما مورد حمله قرار گرفته و تقریباً تخریب شده است. این حمله بسیار سخت و غیر قابل درک است. این امر در مورد سایت های تجاری و یا بانک های اعتباری الکترونیکی بسیار خطرناک است. چرا که با حمله‌ای به این سیستم احتمال خاش شدن اطلاعات حساب هزاران نقد وجود دارد. پس این سطح از امنیت بسیار مهم و حیاتی می نماید و اگر شما نتوانید تصویر قابل قبول و مطمئنی از سایت خود ایجاد کنید آنگاه یا تمامی مشتریان خود را از دست خواهید داد و تجارت الکترونیک شما نابودی شود یا اینکه اطلاعات مشتریان فاش شده تبعات قانونی این اقدام، اعم از شکایات مشتریان دامن شما و شرکت شما را می‌گیرد. به همین علت ایجاد یک ساختار ایمن سخت افزاری و نرم افزاری و فیزیکی تجهیزات شما یکی از واجبات ساخت یک برنامه‌ی کاربردی موثر در سطح شبکه است. این پروژه که در پیش روی دارید شما را با انواع تهاجمات و حملات به سایت های مختلف و طرق نفوذ به برنامه‌های کاربردی آشنا می کند. به صورت خلاصه با انواع ابزارهای خاص حمله اعم از ویروس ها، کرم ها، برنامه های ولگرد، تکنیک اسب تروا آشنا می کند. در ادامه به بررسی چگونگی حملات معروف در طول تاریخ شبکه می پردازیم، دزدان کارتهای اعتباری را از حیث عملکرد با بقیه ی هکرها مقایسه می کنیم و تکنیک های جلوگیری از هک شدن را آموزش می دهیم.

در انتها می توانید با مروری هر چند اجمالی بر چند برنامه ی کاربردی با دنیای واقعی برنامه نویسی شبکه آشنا شوید.

این مرور به شما کمک می کند تا دیدتان را در مورد امنیت (Security) و قابلیت اجرایی (Functionality) تصحیح کنید و بتوانید برنامه ی خود را ایمن کنید. به کمک این قسمت از پروژه اهمیت تست امنیت داده را خواهید فهمید و آن را در ابتدای اهداف خود خواهید گنجانید. نکته ی جالب در فصول بعد بیان اصول امنیت داده، فهمید و آن را در ابتدای اهداف خود خواهید گنجانید. نکته ی جالب در فصول بعد بیان اصول امنیت داده، تحلیل امنیت، و به طور کلی دانستن معنای واقعی امنیت داده می باشد. حملات به برنامه های خاص از راه دور نیز جزء فصول مطرح شده می باشد. در این بخش به تحلیل Script های از خانواده ی زبانهای معروفی چون java و Perl و … نیز می‌پردازیم. بیان مفهوم Active X نیز از قلم ها خارج نشده است و تحلیل سیاست‌های کلی تعیین امن و ناامن بودن برنامه ای نیز از اهداف انتهایی این پروژه است.

 

 

مقدمه

تکنولوژی اینترنت تنها به منزل و محل کار ما هدایت نشده است و در بیشتر جنبه های زندگی ما وجود دارد، بشکه های بی سیم و دست یابی به دستگاهها، حضور اینترنت را در همه جا فعال کرده است. بسیاری از این دستگاهها به طور مأیوسانه ای امنیت ضعیف و سستی دارند که باعث می شود کاندیدای ایده آل برای یک هکر باشند. این موضوع وقتی اَسَف بارتر است که سیستمهای دارای امنیت ضعیف، سیستمهایی را که دارای امنیت جامعی هستند را با سوار کردن تهاجمات روی آنها به مخاطره می اندازند. حتی برنامه ها و سیستمهایی که دارای امنیت صوتی هستند از هجوم یا خطر مصون نیستند. افزایش تقاضای نرم افزار و کاهش سریع در چرخه های توسعه بدین معنی است که نسخه جدید نرم افزارهای نصب شده روی ماشینها یک گام جلوتر است. جرم‌ها و سوء استفاده های فنی در کشمکش با دنیای اینترنت می باشد. کشورهای بیگانه اغلب گرفتار جرم های اینترنتی می شوند و پی گیری گروههای مجرم وقت گیر و پر زحمت است. انجام هک تا حدودی بر مبنای کسب علم و دانش استوار است یک اشتیاق برای ارضای یک حس ذاتی کنجکاوی فنی. با این دید، به بسیاری از هکرها در مورد فعالیتهایشان حق داده می شود. بدین معنی که آنها رخنه ها و کاستی های امنیت را آشکار می‌سازند. بعضی اشخاصی که به عنوان هکر شناخته می شوند در حقیقت موافق با بسیاری از عادات هک کردن اصیل نیستند و ترجیح می دهند که اهداف خود را به دلایلی غیر از کسب دانش و جهت آرزو برای افزایش آگاهی امنیت، مورد هدف قرار دهند.

بعضی هکرها، برنامه ها، سیستمها را به منظور بالا بردن آگاهی امنیت مورد هدف قرار می دهند این نوع فعالیت هنوز هم می تواند به عنوان یک هجوم برچسب بخورد چرا که فعالیت آنها می تواند نتایج ناخواسته و غیر منتظره ای را در برداشته باشد. بدین علت است که برخی اصطلاح هک کردن اخلاقی را یک تناقض می دانند.

  هک به چه معناست؟

شاید تا به حال برای شما اتفاق افتاده باشد که مورد حمله هکرها (hackers) قرار بگیرید. شاید بارها account های اینترنت تان در عرض یک روز خالی شده باشد بدون آنکه خودتان استفاده کرده باشید. شاید متوجه شده باشید که در yahoo messenger شخص دیگری هم از ID شما استفاده می کند.

hack به زبان ساده و شاید عامیانه ترین تعبیر آن دزدیده شدن کلمه عبور یک سیستم یا account می باشد.

به طور کلی نفوذ به هر سیستم امنیتی کامپیوتری را hack می گویند. Hacker شخصی است

باهوش , فرصت طلب , دارای معلومات بالا با افکار سازنده و مطمئنا با وجدان . لازم به ذکر است که هکرها با دزدان اینترنتی و یا الکترونیکی فرق دارند.

دزدان اینترنتی افرادکلاهبردار و شیادی هستند که با استفاده از فضای نت سعی در کلاهبرداری و یا سرقت اطلاعات شخصی یا اطلاعات محرمانه شرکتها و احتمالا فروش انها هستند ابزار کار ، شیوه عمل و ترفند هکر و دزدان اینترنتی یکی است اما این موضوع ما را به اشتباه نیندازد هدف پیشرو هکر یک هدف خوب است زیرا هکرها اکثر از افراد باتجربه خلاق و سرآمد فن آوری اطلاعات هستند.

هکرهای واقعی در میان خود مرام نامه ای دارند که همه پایبند به آن می باشند.

 

 

اهداف هکر

در اصل هر هکر برای نفوذ به شبکه هاو سایتها اینترنتی دوهدف را دنبال می کند البته هکرها هم قسم ها مختلف و نامهای گوناگون دارند اما درمجموع در دلیل عمده بین آنان مشترک است

هکر در موقع هک کردن یک سیستم امنیتی هدفش ضربه زدن (چه مادی و چه معنوی) به شخص یا اشخاصی نیست. او هک می کند تا معلوماتش را نشان دهد. در آمریکا و بسیاری از کشورها هکرها را استخدام می کنند چون می دانند از نظر سواد فن آوری اطلاعات در سطح بالایی قرار دارند.

 هکر در جهان بعنوان فردی متخصص با تجربه مفید شناخته می شود اما مانند هر صنف و سلوک افرادی نامطلوب هم در این قشر قرار دارد؛  در این میان افرادی هستند که با سوء استفاده از معلومات خود و یا دیگران هدفشان از هک کردن ضربه زدن به اشخاص است یا به دنبال پرکردن جیب خود می باشند. این افراد دزدانی بیش نیستند. لذا منظور از هک در اینجا دزدیدن کلمه عبور حسابهای dialUp و yahoo messenger و Hotmail می باشد که بسیاری از خوانندگان از آنها استفاده می کنند. چگونه هک می شویم ؟!

یکی از متداول ترین روش های هک کردن, حدس زدن password است. روش رایج دیگر خواندن password از روی دست User به هنگام تایپ آن می باشد. یا فرستادن صفحه ای مانند صفحه ورودی Hotmail , Yahoo به صورت یک Email که در آن به ظاهر کارکنان شرکت سرویس دهنده از user خواسته اند به منظور اطمینان از صحت سرویس دهی password خود را تایپ کند. که این password در همان لحظه برای هکر mail می شود.

فراموش نکنید هیچ ارایه دهنده خدماتی مابین ارایه خدمات از شما پاسورد درخواست نمی کند و اگر به هر دلیل اختلالی به وجود آید کار از ابتدا شروع می شود

برنامه جالبی وجود دارد که LOG تمامی حرفهایی که وارد شده است را ذخیره می کند. هکر برنامه را اجرا می کند و بعد از شما می‌خواهد که رمز خود را بزنید. کلیدهای تایپ شده توسط شما درون یک فایل متنی TXT ذخیره می شود و هکر بعدا به آن رجوع می کند و رمز شما را کشف می نماید.

روش دیگر حدس زدن جواب سوالی است که شما انتخاب نموده اید تا در صورت فراموش نمودن رمزتان از شما پرسیده شود. در yahoo استفاده از این روش سخت است زیرا تاریخ دقیق تولد و آدرس و حتی کد پستی را نیز می خواهد. ولی در سرویس hotmail به سادگی می توانید جواب سوال را حدس بزنید و رمز را بدست آورید. و نیز هکر می تواند به کارکنان hotmail نامه زده و در آن ابراز نماید که account اش مورد هک قرار گرفته و درخواست رمز جدید کند که کارکنان Hotmail از او چند سوال در مورد سن و آخرین دسترسی به account و آخرین رمزی که به خاطر دارد می کنند و سپس رمز جدید در اختیار او قرار می گیرد.

 یا برای یافتن رمز account های اینترنت, به ISP شما زنگ می زند و با دادن مشخصات خواستار تغییر رمز می شود. جالب اینجاست که در بسیاری از موارد منشیان رمز قبلی را نمی پرسند.

اینها همه روشهای ساده ولی رایج و متداول بودند. روش دیگری که در اینجا در موردش صحبت می کنم کمی تخصصی است و هر شخصی نمی تواند از این روش استفاده کند بلکه باید معلوماتی در خصوص اینترنت و IP و یک سری نرم افزارها داشته باشد.

در این روش شخص با فرستادن یک فایل آلوده به ویروس یا Trojan سیستم شما را آلوده می کند. با اجرای این فایل , فایل مورد نظر در حافظه جای می گیرد و هر زمان که کامپیوتر روشن شود دوباره در حافظه صدا می شود. پس با پاک نمودن فایل اولیه مشکل شما حل نمی شود. این فایل کامپیوتر شما را به عنوان یک Server در می آورد و یکی از پورت ها را برای استفاده هکر باز می گذارد. (برخی از این trojan ها پرتی را باز نمی گذارند بلکه از طریق یک email رمز ها را برای هکر ارسال می نمایند.) حال هکر می تواند با پیدا کردن IP شما و اتصال به پورت مورد نظر در زمانی که هم شما Online هستید هم هکرتان هر کاری با کامپیوتر شما بکند حتی آنرا خاموش کند و رمزهای موجود در کامپیوتر شما را بدزدد.

البته ارسال فایل گاهی به صورت online نمی باشد. هکر می تواند اگر با شما آشنایی داشته باشد به پشت کامپیوتر شما بی آید و فایل مورد نظر را روی آن اجرا کند. جالب اینجاست که اغلب ویروس کشها از شناسایی Trojan های جدید عاجزند. چه باید کرد ؟! چگونه هک نشویم ؟! روشهای ساده را به سادگی و با کمی دقت می توان مسدود کرد. مثلا

 رمزی انتخاب کنید که حدس زدنش کار هر کسی نباشد. شماره تلفن , اسم , فامیل , شماره شناسنامه یا تاریخ تولید و ترکیبی از اینها معمولا اولین چیزی است که به ذهن هر کسی می رسد. سعی کنید در رمز انتخابی خود از پرانتز یا کروشه استفاده کنید یا حتی کاما که اینها به ذهن هیچ هکری نخواهد رسید.

 هنگامی که رمز خود را وارد می کنید مراقب باشید , کسی نزدیکتان نباشد. یا از کلید های منحرف کننده استفاده کنید. مثلا چند کلید الکلی بزنید و بعد با Backspace پاکش کنید که اگر کسی هم دید , متوجه رمز شما نشود.

 پشت کامپیوتر کسی که به او اطمینانی ندارید , رمزی وارد نکنید. یا اگر مجبورید, با استفاده از کلید های Ctrl+Alt+Del و باز نمودن Task Manager کلیه برنامه های مشکوک را ببندید.

 معمولا اسامی آنها مانند Thief یا Keylogger یا keyl یا هر اسم مشکوک دیگری می تواند باشد. در موقع ثبت نام در سرویسهای Hotmail و Yahoo به شما تذکر داده می شود که کارکنان شرکت سرویس دهنده به هیچ عنوان از طریق Email از شما درخواست Password نمی کنند. پس هیچ گاه از طریق هیچ Email ی رمز خود را وارد نکنید.

 از جایی اینترنت تهیه کنید که امنیت بیشتری دارد و تجربه کارشان بالاست. زیرا علاوه بر منشیان بی تجربه که بعضاً رمزها را برباد می دهند , اگر شبکه (ISP) هک شده باشد , دیگر از دست شما کاری بر نمی آید و رمز شما و دیگر کاربران در خطر می باشد.

در صورتی که با شبکه ای مهم در ارتباطید و یا در حال به روز رسانی سایتی هستید و در هرحال اطلاعات مفید و محرمانه در کامپیوتر خود دارید حدالمقدور از نصب برنامه های چت و گفتگو مانند یاهو مسنجر به شدت خودداری کنید حتی در صورت عدم استفاده از این نرم افزارها بازهم سوراخی برای ورود هکر به سیستمتان هستند چیزی که جر با پاک کردن برنامه های گفتگو امکان پذیر نیست این مقوله تا جایی است که متخصصین امنیت شبکه اینگونه  کاربران را از بازدید از هر سایت ناشناخته منع می کند !!!

 احتمال حمله با روش تخصصی که در بالا توضیح دادم به کاربرانی که از سیستمهای Instant messaging مانند Yahoo messenger یا MSN messenger یا ICQ و … استفاده می کنند بیشتر است چون اینگونه برنامه ها به راحتی IP شما را در اختیار هکر قرار می دهند و همواره یک پورت آزاد را اشغال می کنند و معمولا به صورت مستقیم با کاربر مقابل در ارتباط هستند.

 مخصوصا در مواقع ارسال و دریافت فایل. پس اگر می خواهید در امان باشید از این برنامه ها استفاده نکنید. ولی امروزه در ایران اینترنت بدون اینگونه برنامه ها فایده ای ندارد ! پس هیچگونه فایلی را که از افراد ناشناس فرستاده می شود , باز نکنید. حال اگر کامپیوتر شما از قبل آلوده شده باشد چه باید کرد؟! اگر مطئمن ترین راه را می خواهید.

 در مورد ویروسهای جدید به خصوص تروجانها نصب مجدد ویندوز کفایت می کند ، البته ابتدا ویروس را شناسایی و حتما آن قسمت را فرمت کنید ویا کامل کامپیوتر خود را فرمت نموده و دوباره ویندوز را نصب کنید. زیرا اغلب ویروس کشها قادر به شناسایی یا پاک نمودن بسیاری از این نوع ویروسها نمی باشند. ولی معمولا این روش به صرفه نیست.

روشهای نفوذ هکرها Hacker  و نفوذگران به شناسه کاربری ID

روشهای  نفوذ هکرها Hacker به شناسه کاربری و پست الکترونیکی ؛ مقوله ایست که باید به شدت مورد توجه کاربران اینترنتی قرار گیرد تا از دارایی شخصی مجازی خود دفاع کنند گرچه هنوز پست الکترونیکی  Email و شناسه کاربری در ایران جایگاه حقوقی ندارد و ارزش چندانی ندارد به گونه که در اکثر کشورها؛ پست الکترونیکی شخص ، مانند هویت مجازی اوست تمام نامه های رسمی و یا شخصی کاربر ؛ در صندوق پست الکترونیک جا خوش می کند؛ در یک کلام به قول دوستی تمام زندگی اش در پست الکترونیکی Email و هویتش شناسه کاربری یا ای دی ID  او خلاصه می شود.

فرض کنید ؛ که رمز عبور مدیریت وبلاگتان را فراموش کردید چه کار می کنید، ساده است از سرویس فراموشی رمز عبور که در همه مدیریت های وبلاگها درج شده است استفاده می کنید؛ شناسه کاربری وبلاگتان همراه با ایمیل تان را درج می کنید ( ایمیل مندرج در شناسنامه وبلاگ) رمزعبور جدید به صندوق پست الکترونیکی شما ایمیل می شود. حال هکرها چه می کنند ؛ ازروشها که خواهم گفت ؛ به ایمیل شما دسترسی پیدا می کنند ؛ سپس از سرویس فراموشی رمز عبور بهره جسته و اینبار پاسورد وبلاگتان را بدست می آورد؛ شاید بتوان گفت؛ گسترده ترین راه تصاحب یک وبلاگ ؛ تصاحب ایمیل مربوط به وبلاگ است پس به پست الکترونیکی خود اهمیت بدهید.

سایتهای بین المللی مانند یاهو ؛ جی میل گوگل ؛ هات میل مایکروسافت کمتر مورد هجوم نفوذ گران و هکرها قرار می گیرند لااقل هکرها Hacker و نفوذگرانی که با این غولها شوخی می کنند که با من وتو کاری ندارند!!!

آنچه ما به عنوان هک ایمیل Email  یا سرقت پست الکترونیکی یاد می کنیم کرک ایمیل و شناسه کاربری است !!

 

اصول ابتدایی برای گریز از کرک شدن

کرک CRACK یا شکستن قفل به معنی این است که ما به نفوذگر و هکر کمک می کنیم تا به کلمه عبور و شناسه کاربری ما دست یابد و مانند یک کاربر واقعی وارد پست الکترونیکی و ایمیل ما شود و آن را سرقت یا تصاحب کند البته این شخص Carcker شناخته می شود.

این امر چگونه اتفاق می افتد ؛ به جرات می توان گفت خود کاربر دو دستی پاسورد و شناسه کاربری خود را تقدیم نفوذگر می کند روشهای بسیار ساده و ابتدایی است که بتوان به این امر خاتمه داد.

در یک کلام در فضای اینترنت به هیچ فرد  اعتماد نکنید، قبل از هر کاری فکر کنید تا چه حد امکان هک و نفوذگری وجود دارد؛ راههای هک را بیاموزیم و از اخلاق هکرها مطلع شویم، لازم نیست یک هکر باشیم می توان مقالات هکرهای کلاه سفید یا هکر خوب!!! که به جای هک ،مقابله باهکینگ و روشهای امنیت شبکه را می آموزند را مطالعه و مسله را جدی بگیریم و گرنه حتی اگر خودمان هم هکر باشیم و مسایل امنیت شبکه را رعایت نکنیم ؛ قربانی می شویم

بسیاری از کاربران از سرویس ها ی پست الکترونیکی یاهو ، جی میل یا هات میل استفاده می کنند تفاوت ندارد ؛ اما در زمینه  دانش امنیت شبکه , اطلاعات کمی  دارند. لذا در ادامه اطلاعات مختصری در زمینه امنیت شبکه به کاربران ارائه می دهم.

راههایی که هکرها معمولا از آنها استفاده می کنند بسیار ساده و عین حال فریبنده است ؛ فریبندگی این مقوله از آنجاست که تمام تلاش شخص نفوذگر این است که ذهن شما را نسبت به نفوذش منحرف کند؛ اعتماد شما را جلب نماید و آنگاه با دست شما ؛ به شناسه کاربری و رمز عبور شما دست یابد راههای نفوذ  و کرک توسط کراکر به  بدین شرح می تواند انجام شود  :

در این روش ، فرد هکر برای خود در یاهو یک آدرس ایمیل ایجاد می کند که شما را به اشتباه خواهد انداخت و شما تصور خواهید کرد که این آدرس ایمیل مربوط به یکی از دست اندرکاران یاهو است و به آن اعتماد می کنید. در این ایمیل درخواست می شود برای تمدید امکان استفاده از سرویس وبسایتتان ؛ روی یک کلمه کلیک کنید( انتشار تروجان) یا یک فرم را پر نمایید ؛ یا پاسورد و شناسه کاربری را برایش ارسال کنید!!

اشتباه نکنید ؛ نرم افزارهای زیادی وجود دارد که به راحتی می توان صندوق پست الکترونیکی فرد را شیبه سازی کرد به عبارتی می توان بدون اینکه به ایمیل یزد ای تی دسترسی داشته باشید؛ بادرج پست الکترونیکی یزد آی تی یک پست الکترونیکی معتبر به نام و آدرس صندوق الکترونیکی من به دوستم ارسال کنید ؛ دوست من حتی اگر یک هکر و متخصص تمام عیار در زمینه فن آوری اطلاعات باشد نمی تواند دریابد که این پست الکترونیکی واقعی است یا دروغ است .پس چه باید کرد.

ساده است اعتماد نکنید ؛ اگر قرار نبوده از دوستی پست الکترونیکی دریافت کنید سعی کنید مسله را جویا شوید ؛ حال اگر یک گروه مجازی هستید یا برخی با ایمیل زیاد تماس دارید از امضا الکترونیکی و رمز نویسی در ایمیلهایتان استفاده کنید  ؛ می توانید بارمز و علامتهای مشخص در پست الکترونیکی اتان ؛ دوستتان را مطمن کنید که پست الکترونیکی شما ؛ اصلی است.

البته سعی کنید رمز عبور و ای دی و تمام مشخصه های مجازی و شخصی خود را از طریق پست الکترونیکی حتی فاکس و تلفن ارسال نکنید ؛ با کاغذ و رودر رو انجام دهید اگر مجبور شدید نامه معمولی بهره ببرید.

فراموش نکنید که هرگز مدیران وبسایتها مانند یاهو یا جی میل و حتی وبسایتهای فارسی زبان که شما در آن عضو هستید به کلمه عبور شما احتیاج ندارند پس فریب نخورید و به یادداشته باشید مسولین وبسایتها درصورت نیاز به کل اطلاعات کاربری شما در محدوده کاری وبسایتشان دسترسی راحت دارند.

استفاده از FAKE PAGEها :

 در این روش معمولا هکر ، شما را با حقه های جذاب وادار به LOGIN کردن در صفحه ای می کند که کاملا شبیه به صفحه LOGIN در یاهو است و شما ذره ای شک نمی کنید. اما LOGIN کردن همان و ارسال ID و PASSWORD شما به ایمیل هکر همان

تنها تفاوت این صفحات دروغین با صفحات اصلی در آدرس (URL) است که این صفحه را از آنجا بارگذاری می شود. به این آدرس در قسمت آدرس باکس مرورگر خود کاملا دقت کنید تا از اصل بودن آن کاملا مطمئن شوید و در صورتی که ذره ای شک کردید از LOGIN کردن خودداری کنید.

نحوه ایجاد این صفحات بدین شکل است که هکر یک کپی از روی صفحات اصلی در اینترنت برداشته و با تغییراتی در کدهای آن ، سبب می شود که ID و پسورد شما به آدرس ایمیل خاصی که معمولا آدرس ایمیل خود هکر است ارسال شود. سپس هکر این صفحات را به آدرس ثالثی غیر از آدرس حقیقی خود صفحات اصلی ارسال کرده و منتظر شکار خود می ماند. البته در صورتی که صفحه مذکور در پنجره بررسی کد HTML صفحه مذکور است .برای این کار در مرورگر خود بر روی صفحه مورد نظر کلیک راست کنید و از منوی باز شده دستور VIEW SOURCE را اجرا نمائید.

آنچه در روش الف تذکر داده شد را رعایت کنید ؛ فقط به خاطر بسپارید ؛ که برروی هر لینک ناشناس و مشکوک کلیک نکنید و همیشه با بازکردن صفحه جدید؛ به نگارش کامل آدرس اینترنتی آن دقت کنید مثلا کرک ها به جای http://www.google.com از http://www.googel.com یعنی e  و L  را جابجا نموده ؛ یک صفحه مشابه گوگل و صفحات داخلی جی میل درست می کنند و الی آخر گرچه شرکتهای معتبر مانند گوگل و یاهو دامنه ها بسیاری شیبه به دامنه آدرس اصلی وب سایت خود روزو کردند اما بازهم نمی توان تمام موارد را رزو کنید.

این روش کاملا به ابتکار هکر در اغفال شما بستگی دارد. به گونه ای که ندانسته رمز عبور خود را در اختیارش قرار می دهید و به تعداد افراد مبتکر ، احتمال وجود روش های مختلف هست. یکی از روشهایی را که خیلی معمول شده است بررسی می نمائیم.

در این روش ، فرد هکر برای خود در یاهو یک آدرس ایمیل غلط انداز ایجاد می کند که شما را به اشتباه خواهد انداخت و شما تصور خواهید کرد که این آدرس ایمیل مربوط به یکی از دست اندرکاران یاهو است و به آن اعتماد می کنید. هکر وانمود می کند که از شیوه ای باخبر است که توسط این شیوه شما قادر خواهید بود کلمه عبور هر فردی را که بخواهید بدست بیاورید. شما هم که به دنبال چنین راه حلی می گشتید از او درخواست می کنید که این راه را به شما بیاموزد و او هم که درصد چنین فرصتی بوده است بی درنگ کار خود را شروع می کند.

هکر به شما توضیح می دهد که به آدرس ایمیلی که در بالا به آن اشاره شد یک ایمیل بفرست. البته این نامه حتما دارای شرایطی باشد که وی به شما بگوید. مثلا موضوعش فلان جمله باشد و حتما با جمله خاص پایان پذیرد و با ساختن یکسری کدهای خاص ذهن کاربر را منحرف ساخته و کاربر را وادار می سازد به طور ناخواسته ID و رمز عبوری خود را در لابلای نامه وارد وارسال نماید و سرانجام منتظر است تا اطلاعات خواسته شده در مورد فرد دیگر را دریافت نماید ولی هرگز چنین نامه ای از طرف یاهو به دست او نخواهد رسید.

خوب زمانی ترفندها ابتکاری باشد؛ مقابله با ترفند ها هم ابتکاری و منحصر به فرد است ؛ البته برخی از قوانین است که اجتناب ناپذیر است ؛ از جمله اینکه تا خود کاربر ؛ کمک نکند ؛ هیچ نفوذگری نمی تواند کاری انجام دهد ؛ سست ترین عنصر در امنیت شبکه ؛ انسان است که درمقابل می تواند؛ نفوذناپذیر عنصر در امنیت شبکه عمل کند. تامل کنید ؛ به خوبی واضح و بدیهی است .

مهندسی اجتماعی چیست

به هنگام SIGN UP یاهو یا هر سرویس پست الکترونیکی دیگر؛ نسبت به پیش گزینه وبسایت ؛ سوالاتی در زمینه تاریخ تولد ، کد پستی ، کشور ، سوال کوتاه و جواب کوتاه و یک آدرس ایمیل برای مواقع اضطراری می پرسد که خیلی مهم هستند. این موارد را همیشه به خاطر داشته باشید که اگر کسی رمز عبور خود را فراموش کند و اطلاعاتی را که در بالا به آنها اشاره شد را به خاطر داشته باشد به راحتی می تواند رمز عبور خود را به دست آورد.

چگونه ؟ بسیار ساده است ؛ سرویس فراموشی رمز عبور ، یا در برخی وبسایتها رمزعبور را گم کرده ام که عبارتی شبیه به Forget your ID or password? در سایت مثل یاهو ویا فراموشی رمز عبور در وبسایتها چنین عمل می کند که نام کاربری  و ایمیل ثبت نام کردید را می گیرد و برایتان یک پاسورد جدید به ایمیل ارسال می کند.

اما اگر رمز عبور ایمیل را فراموش کنید در سایت مثل یاهو یا جی میل یا هات میل در مورد تاریخ تولد ، کد پستی ، کشور از شما سوال می شود؛ مهم نیست که به صورت واقعی چیست ؛ برای وب سایت مهم است آنچه در زمان ثبت نام از این مشخصه ها وارد کردید را دوباره وارد کنید  تا مطمن شود که صاحب و مالک صندوق پستی و ای دی خود شما هستید و اینچنین فرصت ورود به پست الکترونیکی شما را می دهد.

حال تصور کنید که هکرها نیز این نکته بسیار ساده را نیز می دانند و یکی از شیوه هایی که احیانا به کار می گیرند. همین مهندسی اجتماعی است. یعنی به شیوه های گوناگون طرح دوستی با شما می ریزند و سعی می کنند تا اطلاعات کلیدی را از شما جمع آوری کرده و در یک فرصت مناسب از همان ترفندی که در بالا اشاره شد رمز عبور شما را به دست بیاورند. در بخشها ی بعدی نیز در ارتباط با مهندسی اجتمایی بیشتر صحبت می کنیم.

برای مقابله با مهندسی اجتماعی  با از مهندسی اجتماعی بهره ببرید؛ ابتدا که سعی کنید ؛ مطالب درج شده ؛ زیاد حقیقی نباشد و حتی نزدیک نباشد؛ فراتر از کرک شدن ایمیل ؛ سعی کنید ؛ از نام و مشخصات فردی اصلی خود در این سرویسها کمتر استفاده کنید؛ مگر اینکه مجبور به ورود اطلاعات درست و کامل خود باشید؛ مثلا برخی از ارگانها برای ارایه خدمات به وسیله پست الکترونیکی معتبر با مشخصات حقیقی می خواهند یا یک وب سایت که اعضا خود جایزه می دهد برای احراز هویت شما ؛ به هویت حقیقی اتان در هنگام ثبت نام احتیاج دارد؛ در یک جمله ؛ سعی کنید که از مشخصات اصلی بهره نبرید.

دوم هم سعی کنید که مشخصات خود را به دوستان و دیگران نگوید ؛ در روی کامپیوتر نگهداری نکنید ؛ و حتی برروی کاغذ اداری خود ننویسید؛ ممکن است همین دوست شما که گفته اید تاریخ مندرج در یاهو چیست فردا شما را به شوخی کرک کند.

یک نکته اساسی هم در ثبت نام در وبسایتها مختلف از مشخصه های واحد استفاده نکنید به خصوص پاسورد و رمز عبور؛ دلیلش هم واضح است در صورت افشا شدن مشخصه های مندرج در یک وبسایت ؛ بقیه عضویت و شناسه کاربری شما مورد نفوذ قرار می گیرد مگر اینکه از مشخصه های گوناگون بهره ببرید.

تروجان ها :

به بیان خیلی ساده تروجان ها برنامه هایی هستند که به صورت غیر مجازی روی سیستم شما اجرا می شوند و امکان دسترسی به اطلاعات محرمانه و همچنین کنترل سیستم شما را به فرد هکر می هند.

یاهو در این زمینه اقدماتی را انجام داده است که به درد چنین مواقعی می خورد.

می توانید در چنین مواقعی از امکان FORGOT PASSWORD استفاده کنید. اما به چند شرط :

سوالاتی را که یاهو به هنگام SIGN UP می پرسد همیشه به خاطر داشت باشید که اگر کسی شما را هک کرد و بتوانید از این طریق پسوردتان را بگیرید و تغییر دهید.

برای این کار در صفحه LOGIN EMAIL روی گزینه PASSWORD LOOKUP کلیک کنید. بعد از وارد کردن این اطلاعات یاهو درست بودن آنها را چک می کند. در این مرحله که به منظور ایجاد امنیت بیش تر ایجاد شده یاهو از شما یک سوال کوتاه می پرسد و شما باید آن پاسخ صحیح دهید. البته دقت کنید که این پرسش و پاسخ را خود شما هنگام SIGN UP تعریف کرده اید. بعد از وارد کردن پاسخ کوتاه در صورت درست بودن آن شما قادر خواهید بود به دو صورت موجود رمز عبوری خود را تغییر داده و تصاحب کنید. یکی DISPLAY NEW PASSWORD که به شما رمز عبور جدیدتان را نشان می دهد و دیگر PASSWORD EMAIL NEW که رمز عبور جدید شما را به آدرس ایمیلی که به هنگام SIGN UP داده اید ایمیل می کند(AKTERNATE EMAIL). البته استفاده از گزینه اول بهتر است چرا که وقتی که یک ID هک می شود ، هکرها AKTERNATE EMAIL را نیز هک می کنند.

تکنیکهای انتخاب کلمه عبور

120,000 ریال – خرید نهایی کردن خرید مورد به سبد خرید اضافه شد

جهت دریافت و خرید متن کامل مقاله و تحقیق و پایان نامه مربوطه بر روی گزینه خرید انتهای هر تحقیق و پروژه کلیک نمائید و پس از وارد نمودن مشخصات خود به درگاه بانک متصل شده که از طریق کلیه کارت های عضو شتاب قادر به پرداخت می باشید و بلافاصله بعد از پرداخت آنلاین به صورت خودکار  لینک دنلود مقاله و پایان نامه مربوطه فعال گردیده که قادر به دنلود فایل کامل آن می باشد .