امنیت رایانه
امنیت رایانهای با نامهای امنیت سایبری و امنیت فناوری اطلاعات نیز شناخته میشود. حفاظت از سامانههای اطلاعات در برابر آسیب به سختافزار، نرمافزار، و اطلاعات نرمافزاری و محافظت در برابر حمله محرومسازی از سرویس (اختلال) و باتنتها (گمراهی) نمونه پارامترهایی هستند که امنیت رایانهای آنها را تأمین مینماید.
این سطح از امنیت شامل کنترل دسترسی فیزیکی به سختافزار، و همچنین به صورت محافظت در برابر آسیبهایی که ممکن است با دسترسی به شبکه، دادهها و تزریق کد روی داده بکار گرفته میشود. که خطای اپراتورها چه عمدی و چه اتفاقی یا انحراف این اپراتورها از روالهای امنیتی که باعث فریب خوردن آنها میشود چنین آسیبهایی را رقم میزند. با توجه به افزایش وابستگی به سامانههای رایانهای و اینترنت در بیشتر جوامع، شبکههای بیسیم مانند بلوتوث و وای فای و رشد دستگاههای هوشمند مانند تلفن هوشمند، تلویزیون، و دستگاههای کوچک مانند اینترنت اشیاء امنیت رایانهای اهمیت رو به رشدی پیدا کردهاست.
آسیبپذیری و حملهها
یک آسیبپذیری میتواند حساسیت یا نقص یک سامانه باشد. اطلاعات آسیبپذیری در پایگاه داده آسیبپذیریهای متدوال و قرار گرفتن در معرض آنها قرار دارد. آسیبپذیری استثمارشونده یکی از آسیبپذیریهای قابل اشاره است که زمینه را برای حمله فراهم میکند. اصطلاحاً در این حالت اکسپلویت وجود دارد.
برای حفظ امنیت رایانه، شناخت گونه حملهها بسیار مهم است. در ادامه، نمونهای از این حملهها آورده شدهاند:
در پشتی
در پشتی در یک سامانه رایانهای، یک سامانه رمزنگاری یا یک الگوریتم است. این مقوله به هر روش مخفی دور زدن اصالتسنجی عادی یا کنترلهای امنیتی گفته میشود. دربهای پشتی ممکن است به دلایل گوناگونی مانند طراحی اصلی و فقر پیکربندی وجود داشته باشند. این امکان وجود دارد که دربهای پشتی توسط شخص مجاز که اجازه دسترسیهای مشروع را میدهد یا توسط یک مهاجم به دلایل ویرانگر افزوده شده باشد.
حمله محرومسازی از سرویس
حمله محرومسازی از سرویس به این منظور طراحی میشود که دستگاه یا منابع شبکه را از دسترس کاربران نهایی خارج کند. مهاجمان میتوانند خدماترسانی به قربانیان منحصربفرد را رد کنند. مانند اینکه عمداً به صورت متوالی گذرواژه کاربر را اشتباه وارد میکنند تا حساب کاربری قربانی قفل شود یا ممکن است از توانمندیهای دستگاه یا شبکه بیش از اندازه نرمال استفاده کنند. بگونهای که در یک لحظه، استفاده از سرویس برای کاربران غیرممکن شود و همه کاربران را در یکلحظه بلاک کنند. میتوان با افزودن یک رول مشخص در دیوار آتش، حملهای که از سوی نشانی آیپی انجام میشود را بلاک کرد. اما این موضوع قابل طرح است که شکلهای گوناگونی از حمله توزیع شده محرومسازی از سرویس امکانپذیر هستند. به این حملات، «حمله دیداس» نیز گفته میشود. یعنی در جایی که حمله از نقاط زیادی صورت میگیرد دفاع در برابر این نوع از حملهها سختتر میشود مانند حملههایی که سرچشمه آنها رایانههای زامبی است از یک باتنت هستند. ترتیبی از روشهای ممکن دیگر میتواند شامل انعکاس و تقویت حملهها باشند. مانند سامانههای بیگناهی که جریانی از ترافیک اینترنت را مانند سیل به سمت رایانه قربانی روانه میکنند.
حملههای دسترسی مستقیم
یک کاربر غیرمجاز، دسترسی فیزیکی به یک رایانه را بدست میآورد؛ و به احتمال زیاد میتواند بهطور مستقیم، دادهها را از روی آن کپی کند. ممکن است کاربر غیرمجاز، امنیت سامانه را با ایجاد تغییر در سیستمعامل، نصب کرمهای نرمافزاری، کیلاگر، دستگاه شنود یا با استفاده از ماوسهای بیسیم حتی زمانی که سامانه توسط تدابیر امنیتی مورد محافظت هستند در اختیار بگیرد. این حملهها ممکن است به وسیلهٔ بوت شدن یک سیستمعامل دیگر یا اجرای یک نرمافزار از روی یک سیدی-رام و دیگر رسانههایی که قابلیت بوت شدن به سمت رایانه قربانی انجام شوند. رمزنگاری دیسک و ماژول پلتفرم قابل اطمینان برای جلوگیری از این حملهها طراحی شدهاند.
شنود
شنود به عمل مخفیانه گوش دادن به گفتگوی خصوصی دیگران بدون رضایت آنها گفته میشود که در اینجا بین میزبانهای درون یک شبکه رخ میدهد. برای نمونه، برنامه کارنیور و و شرکت ناروس اینسایت توسط اداره تحقیقات فدرال (افبیآی) و آژانس امنیت ملی ایالات متحده آمریکا برای شنود الکترونیک سامانههای رساننده خدمات اینترنتی بکارگرفته میشود. حتی اگر دستگاههای هدف، سامانه بسته باشد یعنی هیچ گونه ارتباطی با جهان خارج نداشته باشند. آنها میتوانند با امواج الکترومغناطیس ضعیفی که انتقال میدهند شنود شوند. تمپس مشخصهای است که توسط آژانس امنیت ملی ایالات متحده آمریکا برای چنین حملههایی مورد استفاده قرار میگیرد.
حمله جعل
حمله جعل یا Spoofing در حالت عمومی، یک عمل دروغین و ویرانگر در ارتباطات است که از یک منبع ناشناخته مبدل به یک منبع شناخته شده به گیرنده فرستاده میشود. Spoofing در سازوکارهای ارتباطی که فاقد سطح بالایی از امنیت هستند شایع است.
دستکاری
دستکاری، تغییر ویرانگر محصولات را توضیح میدهد؛ که به آن حملهها روتکیت گفته میشود. نمونه آن سرویسهای امنیتی با قابلیت نظارت هستند که درون روتر قرار میگیرند.
ترفیع امتیازی
ترفیع امتیازی وضعیتی را تشریح میکند که در آن یک حملهکننده با دسترسیهای محدود میتواند بدون هیچ مجوزی، سطح دسترسی خود را افزایش دهد. برای نمونه، کاربر یک رایانه استاندارد، ممکن است سامانه را برای دسترسی به دادههای محدود شده فریب دهد یا تبدیل به یک کاربر ممتاز شود و دسترسی نامحدودی به سامانه پیدا کند.
فیشینگ
فیشینگ روشی است که تلاش میکند تا اطلاعات حساس مانند نام کاربری، گذرواژه، و جزئیات کارت اعتباری را بهطور مستقیم از کاربران بدست آورد. فیشینگ معمولاً توسط رایانامهنگاری متقلبانه و پیامرسانی فوری انجام میشود و بیشتر کاربران را به وارد کردن جزئیات در یک وبگاه دروغین که خیلی شبیه به وبگاه اصلی است هدایت میکند. در این حالت این اعتماد قربانی است که شکار میشود. فیشینگ به عنوان نوعی از دفاع در برابر مهندسی اجتماعی دستهبندی میشود.
دزدی کلیک
دزدی کلیک به عنوان حمله (اصلاح یا دوباره پوشیدن) واسط کاربری یا User Interface Redress Attack گفته میشود. این یک روش ویرانگر است که درست هنگامی که همان کاربر قصد دارد بر روی سطح بالای صفحه کلیک کند حملهکننده، کاربر را فریب میدهد تا بر روی دکمه یا پیوند یک صفحه وب دیگری کلیک کند. این روش با استفاده از لایههای شفاف و کدر بیشمار عملی میشود. حملهکننده یا متجاوز اساساً کلیکهایی که قرار است روی صفحه انجام شود را میرباید و کاربران را به سمت صفحات نامربوط که متعلق به اشخاص دیگری هستند هدایت میکند. این روش خیلی شبیه روشی است که از آن برای ربایش کلید استفاده میشود. تهیه نمونه دقیق یک پیشنویس از شیوهنامهها، آی فریمها، کلیدها، تکست باکس، باعث میشود کاربر به مسیر مورد اعتمادی هدایت شود که در آنجا گذرواژه یا دیگر اطلاعات را وارد کند درست هنگامی که به یک فریم پنهان وارد شده و آن فریم توسط شخص حملهکننده در حال کنترل است.
مهندسی اجتماعی
هدف مهندسی اجتماعی این است که کاربر را متقاعد کند تا چیزهای سری مانند گذرواژه یا شمارههای کارت اعتباری اش را فاش کند. برای نمونه جعل هویت یک بانک، یک پیمانکار و یک خریدار میتواند از روشهای مورد استفاده مهندسی اجتماعی باشد. در یک کلاهبرداری معمول و سودآور، ایمیلهایی از سوی مدیرعامل دروغین یک شرکت برای بخش مالی و حسابداری همان شرکت فرستاده میشود. در اوایل سال ۲۰۱۶ اداره تحقیقات فدرال (افبیآی) گزارش کرد که در زمینه کلاهبرداری در مشاغل در حدود ۲ سال بیش از ۲ میلیارد دلار آمریکا هزینه شدهاست. در مه ۲۰۱۶ میلواکی باکس یکی از تیمهای اتحادیه ملی بسکتبال قربانی این روش با عنوان کلاهبرداری سایبری شد. این عمل با جعل هویت رئیس این تیم با نام پیتر فیگین انجام شد. در نتیجه فرمهای مالیاتی دبلیو - ۲ سال ۲۰۱۵ همه کارکنان تیم تحویل داده شد.
ریسک سامانهها
امنیت رایانهای تقریباً در هر صنعتی که از رایانهها استفاده میکند امری مهم بهشمار میرود. امروزه بیشتر وسایل الکترونیکی مانند رایانهها لپتاپها و تلفنهای همراه به گونهای هستند که از آغاز، نرمافزار دیوار آتش بر روی آنها نصب شدهاست. با وجود این، رایانهها برای محافظت از دادهها صددرصد مستقل و دقیق عمل نمیکنند. (اسمیت و همکاران، ۲۰۰۴). راههای گوناگونی برای هک رایانهها وجود دارد. این کار با سامانه شبکه انجام میگیرد. برای نمونه میتوان به کلیک بر روی لینکهای ناشناس، ارتباط با وای-فای ناشناس، بارگیری پرونده و نرمافزار از وبگاههای مشکوک، مصرف برق امواج رادیویی الکترومغناطیس، و موارد دیگر اشاره کرد. به این ترتیب رایانهها میتوانند با تعامل داخلی قوی بین سختافزار و نرمافزار، و پیچیدگی نرمافزاری، مانع خطاهای امنیتی شوند.
سامانههای مالی
وبگاهها و اپلیکیشنها که شمارههای کارتهای اعتباری حسابهای کارگزاری و اطلاعات حسابهای بانکی را میپذیرند اهداف خوبی برای هک کردن هستند. زیرا پتانسیل بالایی برای دستیابی به سود مالی فوری با انتقال پول، و خرید یا فروش اطلاعات در بازار سیاه در سامانه پرداخت فروشگاهی وجود دارد. دستگاههای خودپرداز نیز برای گردآوری اطلاعات مربوط به حساب بانکی مشتری و پینکدها دستکاری شده و مورد سوءقصد قرار میگیرند.
صنایع همگانی و تجهیزات صنعتی
رایانهها کارها و عملکردها را در بسیاری از صنایع همگانی کنترل میکنند. هماهنگی در صنعت مخابرات شبکه برق نیروگاههای هستهای و باز و بسته شدن شیر فلکه در شبکه آب و گاز از جمله این موارد هستند. احتمال حمله اینترنتی به این دستگاهها وجود دارد. اما کرم استاکسنت ثابت کرد که حتی تجهیزاتی که توسط رایانههای غیر متصل به اینترنت کنترل میشوند نیز میتوانند در برابر خسارتهای فیزیکی به تجهیزات صنعتی، آسیبپذیر باشند. (اشاره به سانتریفوژهای غنیسازی اورانیوم است). این آلودگی با رسانههای جداشدنی مانند یواسبی فلش درایو رخ داد. در سال ۲۰۱۴ گروه پاسخگویی حوادث رایانهای که یکی از دپارتمانهای وزارت امنیت میهن ایالات متحده آمریکا محسوب میشود ۷۹ هک رخ داده بر روی شرکتهای انرژی را بررسی کرد. آسیبپذیری کنتورهای هوشمند (در بسیاری از آنهایی که از خطوط تلفن همراه یا بیسیمهای محلی استفاده میکنند) میتواند موجب باعث تقلب در صورتحساب شود.
هوانوردی
صنعت هوانوردی به یک سری از سامانههای پیچیده متکی است که میتواند مورد حمله قرار بگیرد. قطع ساده جریان برق در یک فرودگاه میتواند باعث پیامدهایی در سراسر جهان شود. بسیاری از سامانهها متکی بر ارتباط رادیویی هستند که امکان اختلال در آنها وجود دارد. با توجه به اینکه میزان نظارت رادارها در محدوده دریایی از ۱۷۵ به ۲۲۵ مایل قابل افزایش است درنتیجه، کنترل هواپیماهایی که بر روی اقیانوس در حال پرواز هستند امری خطرناک است. همچنین میتوان گفت که احتمال حمله از داخل یک هواپیما نیز وجود دارد.
پیامد یک حمله موفق میتواند از ازدسترفتن محرمانگی تا ازدسترفتن یکپارچگی سامانه باشد؛ که ممکن است به نگرانیهای جدیتری مانند خروج دادههای مهم و قطع ارتباط با مراقبت پرواز منجر شود. این پارامترها به نوبه خود میتواند منجر به تعطیلی فرودگاه، از دستدادن هواپیما، کشتهشدن مسافران هواپیما، ویرانی و آسیب به ساختمانها (حملات ۱۱ سپتامبر - ویرانی برجهای دوقلوی تجارت جهانی) و آسیب رسیدن به زیرساختهای ترابری شود. یک حمله موفقیتآمیز بر روی یک سامانه هوانوردی نظامی که کار کنترل مهمات را به عهده دارد میتواند عواقب حتی جدیتری را به دنبال داشته باشد. اروپا از شبکه هوانوردی مرکزی به نام سرویس شبکهای پاناروپایی استفاده میکند. این سرویس بگونهای است که شبکهای مبتنی بر نشانی آیپی را در سراسر اروپا با قابلیت ارتباطات دادهای و تبادل پیامهای صوتی فراهم میآورد. ایالات متحده آمریکا برنامهای شبیه به این را با نام نسل جدید حمل و نقل هوایی اداره میکند.
وسیلههای مصرفکنندگان
رایانههای رومیزی و لپتاپها توسط بدافزارها برای گردآوری اطلاعات و گذرواژه، یا ایجاد ساختار برای باتنتها برای حمله به هدفهای دیگر آلوده میشوند.
تلفن هوشمند، تبلت، ساعت هوشمند، و دیگر دستگاههای همراه مانند دستگاههای رایانهای پوشیدنی (مانند دستگاه سنجش تپش قلب، دستگاه سنجش میزان کالری سوخته هنگام دویدن) میتوانند تبدیل به هدف شوند. بسیاری از این دستگاهها دارای حسگرهایی مانند دوربین، میکروفون، سامانه موقعیتیاب جهانی، قطبنما، و شتابسنج هستند که میتوانند مورد سوءاستفاده قرار بگیرند و اطلاعات و دادههای خصوصی مانند وضعیت سلامتی فرد را گردآوری کنند. وای-فای، بلوتوث، و شبکههای تلفن همراه میتوانند به عنوان بردار حمله استفاده شوند و حسگرها میتوانند پس از نفوذ موفق از راه دور فعال شوند. وسایل مربوط به اتوماسیون خانگی مانند ترموستاتهای شرکت نِست پتانسیل لازم برای اینکه به عنوان هدف بکار روند را دارند.
ابرشرکتها
ابرشرکتها به عنوان هدفهای معمول و رایج بهشمار میروند. در بسیاری از موارد این شرکتها به عنوان هدف برای بدست آوردن سود مالی با دزدی هویت مصرفکنندگان در نظر گرفته میشوند. برای نمونه نفوذ به دادههای کارت اعتباری میلیونها نفر از مشتریان شرکت هوم دیپو، استیپلز، و تارگت میتوان اشاره کرد.
جستارهای وابسته
- مدل امنیت کامپیوتر
- حملهها تزریق کد
- هک
پانویس
- ↑ Gasser, Morrie (1988). Building a Secure Computer System (PDF) (به انگلیسی). Van Nostrand Reinhold. p. 3. Retrieved 20 September 2016.
- ↑ "Definition of computer security". Encyclopedia. Ziff Davis, PCMag. Retrieved 20 September 2016.
- ↑ Rouse, Margaret. "Social engineering definition". TechTarget. Retrieved 6 September 2015.
- ↑ "Reliance spells end of road for ICT amateurs", May 07, 2013, The Australian
- ↑ "Computer Security and Mobile Security Challenges" (pdf). researchgate.net. Retrieved 2016-08-04.
- ↑ "Distributed Denial of Service Attack". csa.gov.sg. Retrieved 12 November 2014.
- ↑ Wireless mouse leave billions at risk of computer hack: cyber security firm
- ↑ [۱]
- ↑ Gallagher, Sean (May 14, 2014). "Photos of an NSA "upgrade" factory show Cisco router getting implant". Ars Technica. Retrieved August 3, 2014.
- ↑ "Identifying Phishing Attempts". Case. Archived from the original on 13 September 2015. Retrieved 29 September 2016.
- ↑ Arcos Sergio. "Social Engineering" (PDF).
- ↑ Scannell, Kara (24 Feb 2016). "CEO email scam costs companies $2bn". Financial Times. No. 25 Feb 2016. Retrieved 7 May 2016.
- ↑ "Bucks leak tax info of players, employees as result of email scam". Associated Press. 20 May 2016. Retrieved 20 May 2016.
- ↑ J. C. Willemssen, "FAA Computer Security". GAO/T-AIMD-00-330. Presented at Committee on Science, House of Representatives, 2000.
- ↑ Financial Weapons of War, Minnesota Law Review (2016), available at: http://ssrn.com/abstract=2765010
- ↑ Pagliery, Jose. "Hackers attacked the U.S. energy grid 79 times this year". CNN Money. Cable News Network. Retrieved 16 April 2015.
- ↑ «نسخه آرشیو شده». بایگانیشده از اصلی در ۱۷ اکتبر ۲۰۱۶. دریافتشده در ۹ اکتبر ۲۰۱۶.
- ↑ P. G. Neumann, "Computer Security in Aviation," presented at International Conference on Aviation Safety and Security in the 21st Century, White House Commission on Safety and Security, 1997.
- ↑ J. Zellan, Aviation Security. Hauppauge, NY: Nova Science, 2003, pp. 65–70.
- ↑ "Air Traffic Control Systems Vulnerabilities Could Make for Unfriendly Skies [Black Hat] - SecurityWeek.Com".
- ↑ "Hacker Says He Can Break Into Airplane Systems Using In-Flight Wi-Fi". NPR.org. 4 August 2014.
- ↑ Jim Finkle (4 August 2014). "Hacker says to show passenger jets at risk of cyber attack". Reuters. Archived from the original on 13 اكتبر 2015. Retrieved 20 اكتبر 2016.
- ↑ "Pan-European Network Services (PENS) - Eurocontrol.int".
- ↑ "Centralised Services: NewPENS moves forward - Eurocontrol.int".
- ↑ "NextGen Program About Data Comm - FAA.gov".
- ↑ "Is Your Watch Or Thermostat A Spy? Cybersecurity Firms Are On It". NPR.org. 6 August 2014.
- ↑ Melvin Backman (۱۸ سپتامبر ۲۰۱۴). "Home Depot: 56 million cards exposed in breach". CNNMoney.
- ↑ "Staples: Breach may have affected 1.16 million customers' cards". Fortune.com. December 19, 2014. Retrieved 2014-12-21.
- ↑ "Target security breach affects up to 40M cards". Associated Press via Milwaukee Journal Sentinel. 19 December 2013. Retrieved 21 December 2013.