١٠ نکته برای حفظ امنیت کودکان در اینترنت

١٠ نکته برای حفظ امنیت کودکان در اینترنت

 اینترنت می تواند مکانی گسترده برای کودکان باشد تا بیاموزند، سرگرم شوند، با دوستان مدرسه ای گپ بزنند، و با آسودگی خیال به مکاشفه بپردازند. اما درست همانند دنیای واقعی، وب هم می تواند برای کودکان خطرناک باشد. قبل از اینکه به کودکانتان اجازه دهید که بدون نظارت شما به اینترنت متصل شوند، یک سری از قوانین باید تعیین شوند.

اگر نمی دانید که از کجا آغاز کنید، در اینجا چندین ایده در مورد چیزهایی که باید با کودکانتان بحث کنید تا به آنها در مورد استفاده ایمن تر از اینترنت بیاموزید، آورده شده است:

۱- کودکانتان را تشویق کنید که تجارب اینترنتی خود را با شما سهیم شوند. همراه با کودکانتان از اینترنت لذت ببرید.

۲- به فرزندانتان بیاموزید که به غرایز خود اعتماد کنند. اگر در مورد چیزی احساس ناخوشایندی دارند، باید به شما درباره آن بگویند.

۳- اگر فرزندانتان به اتاق های گفتگو سر می زنند، از برنامه های پیام رسان فوری و بازی های ویدویی آنلاین استفاده می کنند، یا فعالیت های دیگری که به نامی برای مشخص کردن خودشان نیاز است، انجام می دهند، به آنها در انتخاب این نام کمک کنید و مطمئن شوید که این نام باعث افشاء هیچ اطلاعات شخصی درموردشان نمی شود.

۴- به فرزندانتان تأکید کنید که هرگز آدرستان، شماره تلفن یا سایر اطلاعات شخصی شامل جایی که به مدرسه می روند یا جایی که دوست دارند بازی کنند را ارسال نکنند.

۵- به کودکان بیاموزید که تفاوت بین درست و غلط در اینترنت همانی است که در دنیای واقعی وجود دارد.

۶- به کودکان بیاموزید که چگونه به دیگر استفاده کنندگان از اینترنت، احترام بگذارند. مطمئن شوید که آنها می دانند قواعد رفتار خوب فقط به دلیل اینکه پشت کامپیوتر هستند، تغییر نمی کند.

۷- به فرزندان تأکید کنید که به دارایی های دیگر کاربران احترام بگذارند. برایشان توضیح دهید که کپی های غیرقانونی از کارهای دیگران – مانند موسیقی، بازیهای تصویری و سایر برنامه ها- مانند دزدیدن آنان از یک فروشگاه است.

۸- به کودکان بگویید که هرگز نباید دوستان اینترنتی خود را شخصاً ملاقات کنند. توضیح دهید که دوستان اینترنتی ممکن است همانی که خود می گویند، نباشند.

۹- به کودکانتان بیاموزید که هرچه که می خوانند و می بینند، صحیح نیست. آنها را تشویق کنید که در مورد صحت مطالب اینترنت از شما سؤال کنند.

۱۰- فعالیت های اینترنتی کودکان خود را با نرم افزارهای پیشرفته کنترل کنید. کنترل های اینچنینی می توانند به شما در تصفیه کردن محتویات مضر، آگاهی از سایت هایی که کودکانتان سر می زنند و فهمیدن آنچه انجام می دهند، کمک کنند

اولین اتصال یک کامپیوتر به اینترنت (۲)

اولین اتصال یک کامپیوتر به اینترنت (۲)

در شماره قبل راهنمای کلی از نظر امنیت برای نصب کامپیوترهای جدید ارائه گردید.  بهرحال، عمل به بعضی از آن توصیه ها بستگی به سیستم عامل مورد استفاده دارد. این بخش مشخصاً به سیستم های عامل ویندوز XP و Apple Macintosh OSX و چند اشاره به سایر سیستم عاملها دارد.

۱- ویندوز XP

بمنظور انجام این مراحل، شما نیاز دارید که به یک اکانت با اختیارات مدیر محلی وارد شوید.

الف. مقاله قبل را مرور کنید.

ب. در صورت امکان، از طریق یک فایروال سخت افزاری متصل شوید.

(به این مرحله در شماره قبل اشاره شده است.)

پ. Internet Connection Firewall موجود در XP  را فعال کنید.

(مایکروسافت دستورهای فعال کردن این فایروال را  ارائه کرده است.)

ت. اشتراکها را اگر فعال هستند، غیرفعال کنید.

۱- به Control Panel بروید.

۲- “Network and Internet Connections” را باز کنید.

۳- “Network Connections” را باز کنید.

۴- روی Connection که می خواهید تغییر ایجاد کنید کلیک راست کنید.

۵- “Properties” را انتخاب کنید.

۶- مطمئن شوید که “File and Printer Sharing for Microsoft Networking”  انتخاب نشده است.

ث. به شبکه متصل شوید.

ج. به آدرس http://windowsupdate.microsoft.com  بروید.

چ. دستورهای موجود در آنجا را برای نصب تمام بروز رسانیهای مهم دنبال کنید.

ح.  «امن ماندن» را در زیر مرور کنید.

 

۲- Apple Macintosh OSX

الف. مقاله قبل را مرور کنید.

ب. در صورت امکان، از طریق یک فایروال سخت افزاری متصل شوید.

پ. فایروال نرم افزاری را فعال کنید.

۱- “System Preferences” را باز کنید.

۲- “Sharing” را انتخاب کنید.

۳- نوار “Firewall” را انتخاب کنید.

۴- روی “Start” کلیک کنید.

۵- نوار “Services” را انتخاب کنید.

۶- بررسی کنید که هیچکدام از سرویس ها انتخاب نشده باشند.

ت. به اینترنت متصل شوید.

ث. نرم افزار نصب شده را به روز کنید.

۱- “System Preferences” را باز کنید.

۲- “Software Updates” را انتخاب کنید.

۳- با انتخاب “  Automatically check for updates when you have a network connection  “ به روزرسانی خودکار را فعال کنید.

۴- زمان بروزرسانی مناسبی انتخاب کنید ( بصورت روزانه توصیه می شود)

۵- روی “Check Now” کلیک کنید.

۶- تمام به روزرسانیهای توصیه شده را نصب کنید.

ج. «امن ماندن» را در زیر مرور کنید.

 

۳- سایر سیستم عامل ها

کاربران سایر سیستم عامل ها باید مقاله قبل را مطالعه کنند و سپس از سایت های مربوط به فروشندگان سیستم عامل شان برای دستورالعمل مربوطه کمک بگیرند. بعلاوه، کاربران یونیکس و لینوکس می توانند مطالب مروبط به چک لیست امنیتی یونیکس یا خلاصه  آن را مطالعه کنند.

امن ماندن

الف. مطالب مربوط به امنیت شبکه های خانگی و امنیت کامپیوترهای خانگی را مطالعه کنید.

ب. نرم افزار آنتی ویروس نصب و استفاده کنید.

در حالیکه یک بسته نرم افزاری آنتی ویروس به روز شده، نمی تواند در برابر تمام کدهای آسیب رسان از یک سیستم محافظت کند، برای بیشتر کاربران بهترین وسیله دفاعی در خط مقدم علیه حملات کدهای آسیب رسان است. بسیاری بسته های آنتی ویروس از بروزرسانیها پشتیبانی می کنند.

پ. اگر امکان دارد بروز رسانیهای خودکار نرم افزار را فعال کنید.

فروشندگان معمولاً هنگامی که یک شکاف امنیتی کشف می گردد، بسته های آن را ارائه می دهند. بیشتر مستندات محصولات روشی برای دریافت به روزها و وصله ها ارائه می دهند. باید بتوانید به روز رسانیها را از سایت فروشنده دریافت کنید.

بعضی برنامه ها بصورت خودکار وجود بروزرسانیها را بررسی می کنند، و بسیاری فروشندگان از طریق لیست ایمیل بصورت خودکار وجود بروزرسانی ها را اطلاع می دهند. وب سایت مورد نظر خود را برای اطلاعات در مورد این نحوه آگاهی نگاه کنید. اگر هیچ لیست ایمیل یا مکانیسم دیگر آگاه سازی بصورت خودکار ارائه نمی شود، نیاز است که وب سایت فروشنده در فواصل زمانی معین برای وجود بروزرسانی ها سرزده شود.

ت. از رفتار ناامن خودداری کنید.

·   هنگام بازکردن پیوست های ایمیل یا هنگام استفاده از اشتراک نقطه به نقطه، پیام رسانی فوری یا اتاق های گفتگو، احتیاط کنید.

·   اشتراک فایل را روی واسط های شبکه که به طور مستقیم در معرض اینترنت هستند، فعال نکنید.

ث. اصول کمترین حقوق دسترسی را دنبال کنید.

به استفاده از یک اکانت با تنها حقوق «کاربر» بجای حقوق «مدیر» یا سطح «ریشه» برای کارهای روزانه توجه کنید. بسته به سیستم عامل، شما تنها نیاز به استفاده از سطح دسترسی مدیر برای نصب نرم افزار جدید، تغییر پیکربندی سیستم و مانند اینها دارید. حتی بسیاری از سوءاستفاده ها از شکافهای امنیتی (مانند ویروس ها و اسب های تروا) در سطح دسترسی کاربر اجرا می شود، بنابراین بسیار خطرناکتر می شود که همواره بعنوان مدیر وارد سیستم شد.

خطرها، حملات و ملزومات امنیتی (بخش اول)

خطرها، حملات و ملزومات امنیتی (بخش اول)

    همان گونه که گفته شد، با توجه به پیشرفت های اخیر، در آینده یی نه چندان دور باید منتظر گسترده گی هرچه بیش تر استفاده از شبکه های بی سیم باشیم. این گسترده گی، با توجه به مشکلاتی که از نظر امنیتی در این قبیل شبکه ها وجود دارد نگرانی هایی را نیز به همراه دارد. این نگرانی ها که نشان دهنده ی ریسک بالای استفاده از این بستر برای سازمان ها و شرکت های بزرگ است، توسعه ی این استاندارد را در ابهام فرو برده است. در این قسمت به دسته بندی و تعریف حملات، خطرها و ریسک های موجود در استفاده از شبکه های محلی بی سیم بر اساس استاندارد IEEE 802.11x می پردازیم.

    شکل زیر نمایی از دسته بندی حملات مورد نظر را نشان می دهد :

 

    مطابق درخت فوق، حملات امنیتی به دو دسته ی فعال و غیرفعال تقسیم می گردند.

حملات غیرفعال

    در این قبیل حملات، نفوذگر تنها به منبعی از اطلاعات به نحوی دست می یابد ولی اقدام به تغییر محتوال اطلاعات منبع نمی کند. این نوع حمله می تواند تنها به یکی از اشکال شنود ساده یا آنالیز ترافیک باشد.

-        شنود

    در این نوع، نفوذگر تنها به پایش اطلاعات ردوبدل شده می پردازد. برای مثال شنود ترافیک روی یک شبکه ی محلی یا یک شبکه ی بی سیم (که مد نظر ما است) نمونه هایی از این نوع حمله به شمار می آیند.

-        آ آنالیز ترافیک

    در این نوع حمله، نفوذگر با کپی برداشتن از اطلاعات پایش شده، به تحلیل جمعی داده ها می پردازد. به عبارت دیگر بسته یا بسته های اطلاعاتی به همراه یکدیگر اطلاعات معناداری را ایجاد می کنند.

حملات فعال

    در این نوع حملات،  برخلاف حملات غیرفعال، نفوذگر اطلاعات مورد نظر را، که از منابع به دست می آید، تغییر می دهد، که تبعاً انجام این تغییرات مجاز نیست. از آن جایی که در این نوع حملات اطلاعات تغییر می کنند، شناسایی رخ داد حملات فرایندی امکان پذیر است. در این حملات به چهار دسته ی مرسوم زیر تقسیم بندی می گردند :

-        تغییر هویت

    در این نوع حمله، نفوذگر هویت اصلی را جعل می کند. این روش شامل تغییر هویت اصلی یکی از طرف های ارتباط یا قلب هویت و یا تغییر جریان واقعی فرایند پردازش اطلاعات نیز می گردد.

-        پاسخ های جعلی

    نفوذگر در این قسم از حملات، بسته هایی که طرف گیرنده ی اطلاعات در یک ارتباط دریافت می کند را پایش می کند. البته برای اطلاع از کل ماهیت ارتباط یک اتصال از ابتدا پایش می گردد ولی اطلاعات مفید تنها اطلاعاتی هستند که از سوی گیرنده برای فرستنده ارسال می گردند. این نوع حمله بیش تر در مواردی کاربرد دارد که فرستنده اقدام به تعیین هویت گیرنده می کند. در این حالت بسته های پاسخی که برای فرستنده به عنوان جواب به سؤالات فرستنده ارسال می گردند به معنای پرچمی برای شناسایی گیرنده محسوب می گردند. لذا در صورتی که نفوذگر این بسته ها را ذخیره کند و در زمانی که یا گیرنده فعال نیست، یا فعالیت یا ارتباط آن به صورت آگاهانه –به روشی- توسط نفوذگر قطع شده است، می تواند مورد سوء استفاده قرار گیرد. نفوذگر با ارسال مجدد این بسته ها خود را به جای گیرنده جازده و از سطح دسترسی مورد نظر برخوردار می گردد.

-        تغییر پیام

    در برخی از موارد مرسوم ترین و متنوع ترین نوع حملات فعال تغییر پیام است. از آن جایی که گونه های متنوعی از ترافیک بر روی شبکه رفت وآمد می کنند و هریک از این ترافیک ها و پروتکل ها از شیوه یی برای مدیریت جنبه های امنیتی خود استفاده می کنند،  لذا نفوذگر با اطلاع از پروتکل های مختلف می تواند برای هر یک از این انواع ترافیک نوع خاصی از تغییر پیام ها و در نتیجه حملات را اتخاذ کند. با توجه به گسترده گی این نوع حمله، که کاملاً به نوع پروتکل بسته گی دارد، در این جا نمی توانیم به انواع مختلف آن بپردازیم، تنها به یادآوری این نکته بسنده می کنیم که این حملات تنها دست یابی به اطلاعات را هدف نگرفته است و می تواند با اعمال تغییرات خاصی، به گمراهی دو طرف منجر شده و مشکلاتی را برای سطح مورد نظر دست رسی – که می تواند یک کاربر عادی باشد – فراهم کند.

-        حمله های DoS) Denial-of-Service)

    این نوع حمله،  در حالات معمول، مرسوم ترین حملات را شامل می شود. در این نوع حمله نفوذگر یا حمله کننده برای تغییر نحوه ی کارکرد یا مدیریت یک سامانه ی ارتباطی یا اطلاعاتی اقدام می کند. ساده ترین نمونه سعی در از کارانداختن خادم های نرم افزاری و سخت افزاری ست. پیرو چنین حملاتی،  نفوذگر پس از از کارانداختن یک سامانه، که معمولاً سامانه یی ست که مشکلاتی برای نفوذگر برای دست رسی به اطلاعات فراهم کرده است، اقدام به سرقت، تغییر یا نفوذ به منبع اطلاعاتی می کند. در برخی از حالات، در پی حمله ی انجام شده، سرویس مورد نظر به طور کامل قطع نمی گردد و تنها کارایی آن مختل می گردد. در این حالت نفوذگر می تواند با سوءاستفاده از اختلال ایجاد شده به نفوذ از طریق/به همان سرویس نیز اقدام کند.

    تمامی ریسک هایی که در شبکه های محلی، خصوصاً انواع بی سیم، وجود دارد ناشی از یکی از خطرات فوق است. در قسمت بعدی به دسته بندی و شرح این ریسک ها و پیامدهای آن ها می پردازیم.

ارتباط ربایی!

ارتباط ربایی! Hijacking در اصل بمعنای هواپیماربایی و یا سایر وسایط نقلیه بهمراه مسافران آن است. ولی اجازه دهید ما از واژه ارتباط ربایی استفاده کنیم. ارتباط ربایی نوعی از حمله به شبکه است که مهاجم کنترل ارتباز را در اختیار می گیرد – مانند یک هواپیماربا که کنترل پرواز را در اختیار می گیرد-  نفوذگر بین دو موجود در شبکه قرار می گیرد و برای هرکدام از طرفین ارتباط خود را جای دیگری جامی زند!   ارتباط ربایی نوع اول  در نوعی از ارتباط ربایی (که بعنوان man in the middle نیز شناخته می شود)، مهاجم کنترل یک ارتباط برقرارشده را در حالیکه در حال انجام است، در اختیار می گیرد. نفوذگر پیام ها را در هنگام تبادل «کلید عمومی» دریافت می کند و آنها را با جایگزین کردن کلیدعمومی خودش، برای طرف درخواست کننده مجدداً ارسال می کند، بطوریکه دو طرف اولیه هنوز بنظر در حال ارتباط مستقیم هستند. نفوذگر از برنامه ای استفاده می کند که برای کلاینت بنظر سرور بیاید و برای سرور بنظر کلاینت. این نوع حمله ممکن است فقط برای دستیابی به پیام ها بکار رود یا توسط آن حمله گر در پیام ها تغییر ایجاد کند و سپس آنها را ارسال کند. با مطالعه دو مقاله رمزنگاری و کلیدها در رمزنگاری می توانید بیشتر با این مفاهیم آشنا شوید. ولی اگر وقت ویا حوصله خواندن این دو مقاله را ندارید، برای اینکه از خواندن ادامه این مقاله منصرف نشوید، در اینجا بطور مختصر به آنها و روش ذکر شده اشاره می کنیم! برای اینکه بتوان امنیت را در تبادل پیام ها برقرار کرد، از رمزنگاری استفاده می شود. به این ترتیب که فرستنده متن اولیه پیام را رمز می کند و گیرنده آنرا رمزگشایی می کند، تا به متن اصلی پیام پی ببرد. متن رمزشده بخودی خود قابل فهم نیست، مگر اینکه بتوان آنرا رمزگشایی کرد. برای رمزکردن متن از الگوریتم رمزنگاری بهمراه کلید رمزنگاری استفاده می شود. چنانچه کلید مورد استفاده برای رمزکردن و رمزگشایی پیام یکی باشد،  رمزنگاری یا کلید، متقارن نامیده می شود. چون دو طرف ارتباط باید از یک کلید استفاده کنند، بنابراین باید این کلید مبادله شود، که خود این عمل از امنیت ارتباط می کاهد. بهمین منظور از الگوریتم های نامتقارن رمزنگاری استفاده می شود. در این الگوریتمهای نامتقارن، کلید رمزکردن و رمزگشایی، یکی نیستند و در عین حال با دانستن یکی از آنها، نمی توان دیگری را بدست آورد. بنابراین یک جفت کلید وجود دارد که یکی کلید اختصاصی و دیگری کلید عمومی است. هر شخص برای ارتباط با دیگران، آنها را تنها از کلید عمومی خویش مطلع می سازد. برای ارسال پیام به این شخص، متن پیام با استفاده از کلید عمومی این فرد رمز می شود به وی فرستاده می شود و وی پس از دریافت، متن را با کلید اختصاصی خودش رمزگشایی می کند. فرض کنید A و  B  می خواهند یک ارتباط امن داشته باشند. A به  B کلید عمومی خودش را اعلام می کند و از B کلید عمومی وی را درخواست می کند. B کلید عمومی A را دریافت می کند و کلید عمومی خودش را برای A  ارسال می کند. چنانچه A  بخواهد برای B پیامی بفرستد، ابتدا آن را با کلیدعمومی B رمز می کند و برای B  ارسال می کند. B متن رمزشده را دریافت می کند و با استفاده از کلید اختصاصی خودش رمزگشایی می کند. چنانچه متن رمز شده به X برسد، نمی تواند از محتوای آن مطلع شود، زیر از کلید اختصاصی B اطلاعی ندارد.    حال ببینیم همین X  چگونه می تواند مرتکب ارتباط ربایی شود! X در نقطه ای بین A و B  قرار می گیرد. A برای ارسال پیام به B ابتدا یک درخواست به سمت B  می فرستد و کلید عمومی B را درخواست می کند، غافل از اینکه این در خواست به X می رسد. X این درخواست را به B می فرستد در حالیکه وانمود می کند خودش A است. B با دیدن این درخواست کلید عمومی خود را به درخواست کننده، به گمان اینکه A است می فرستد. X  کلید عمومی  B را دریافت می کند، اما کلید عمومی خودش را برای A می فرستد و A گمان می کند که این کلید عمومی B است. حال A  پیام خود را با ظاهراً کلید عمومی B ولی در واقع کلید عمومی X رمز می کند و به ظاهراً B ولی در واقع X می فرستند. X این پیام را دریافت می کند و با کلید اختصاصی خودش رمزگشایی می کند، از محتوای آن مطلع می شود یا در آن تغییر ایجاد می کند و متن حاصل را با کلید عمومی B که در اختیار دارد، رمز می کند و برای B ارسال می کند. در حالیکه B گمان می کند پیام دریافت شده، از طرف A ارسال شده است. برای ارسال پیام امن از B به A، مراحل فوق بالعکس انجام می گیرد. به این ترتیب X بین A و B  قرار می گیرد و از محتوای پیام های آنها مطلع می شود و آن ها را دستکاری می کند،  بدون اینکه A و B متوجه غیرمستقیم بودن ارتباط شوند. ارتباط ربایی نوع دوم نوع دیگر ارتباط ربایی، «مرورگر ربایی» (Browser hijacking) است که در آن یک کاربر به سایت متفاوتی با آنچه خودش درخواست کرده بود، هدایت می شود.  دو نوع مختلف از DNS ربایی وجود دارد. در یکی، نفوذگر به رکوردهای DNS دسترسی پیدا می کند و آنها را طوری دستکاری می کند که درخواستها برای صفحه واقعی به جایی دیگر هدایت شوند – معمولاً به یک صفحه جعلی که خود نفوذگر ایجاد کرده است. این اتفاق به بیننده این احساس را می دهد که وب سایت هک شده است، در حالیکه در حقیقت سرور DNS تغییر پیدا کرده است. در فوریه سال ۲۰۰۰ یک نفوذگر وب سایت امنیتی RSA را با دسترسی به رکوردهای DNS ربود!!! و تقاضاها را به یک وب سایت جعلی هدایت کرد. برای کاربران اینطور بنظر می رسید که یک نفوذگر به دیتای واقعی وب سایت RSA دسترسی پیدا کرده و آنها را تغییر داده است – یک مشکل جدی برای تشکیلات امنیتی! !! مشکل بتوان از این نوع از ارتباط ربایی جلوگیری کرد، زیرا مدیران شبکه، تنها رکوردهای DNS خود را کنترل می کنند و کنترلی روی سرورهای DNS بالایی ندارند. در نوع دوم ربایش DNS، نفوذگر حساب های معتبر ایمیل را جعل می کند و توسط آنها باکس های دیگر را مورد حجم انبوهی از ایمیل قرار می دهد. این نوع حمله می تواند توسط روش های تایید هویت جلوگیری شود. در نوع دیگری از وب سایت ربایی، فرد به آسانی یک نام دامنه را که به اندازه کافی شبیه نام دامنه یک سایت معروف و قانونی است، ثبت می کند و کاربرانی که نام سایت اصلی را اشتباه می کنند یا در تایپ آن دچار اشتباه می شوند، به این سایت هدایت می شوند. از این نوع حمله در حال حاضر برای ارسال سایت های مستهجن بجای سایت هایی که کاربران ناآگاه درخواست کرده اند، استفاده می شود.

امنیت در تولید نرم افزارها

امنیت در تولید نرم افزارها

Wi-Fi مشکلات امنیتی دارد. همچنین Microsoft Outlook! لینوکس، تلفن های هوشمند، مرورگر موزیلا و بسیاری چیزهای دیگر، اما عامل مشترک میان آنها چیست؟

نرم افزار.

نرم افزار مسائل امنیتی دارد و  وصله های امنیتی و فایروال هایی که ما شیفته  آنها هستیم، راه حلی برای به روز نگهداشتن امنیت نرم افزارها ندارند.

امروزه، در حال تولید میزان انبوهی از نرم افزارها هستیم و سیستم های محاسباتی و شبکه های خود را پیچیده تر می کنیم. اما متاسفانه در همین زمان، توانایی بستن شکاف های امنیتی اندکی هم پیشرفت نداشته است. بسادگی مشخص است که باید در روش های تولید و توسعه نرم افزار چندین تغییر اساسی ایجاد کنیم و این روند را بهبود بخشیم.

 

اینجا، جایی است که امنیت نرم افزار مطرح می شود. امنیت نرم افزار یک نظام جوان است که خصوصیات امنیتی نرم افزار را هنگامی که در حال طراحی، آزمایش، پیاده سازی و بکارگیری است، مورد خطاب قرار می دهد. یعنی در دوره زمانی تولید نرم افزار یا Software Development Life Cycle (SDLC). این شامل فعالیت های امنیتی زیادی در مراحل مختلف در SDLC، مانند مدل کردن تهدید، مدیریت خطر و آزمایش های امنیتی است.

یک عامل مهم که که به شکلی این مسئله را بغرنج تر می کند این واقعیت است که تولیدکنندگان نرم افزار و گروه های امنیت IT تمایل دارند که کاملاً مستقل از یکدیگر  بر اولویت های خویش تمرکز کنند. تولید نرم افزار عموماً تلاشش را روی مسائلی چون کارایی و کارامدی نرم افزار، هزینه و غیره متمرکز می کند. و البته مطمئناً اینها عناوین مهمی هستند.

از طرف دیگر، تیم های امنیت IT معمولاً امنیت یک برنامه را بعد از اینکه نوشته شد، مورد توجه قرار می دهند. آنها بدنبال روش هایی برای مجزا کردن نرم افزار با ابزار تکنولوژی مانند فایروال ها، شبکه های خصوصی مجازی و غیره هستند ــ رویکردی که انجمن امنیت نرم افزار عموماً آن را امنیت نرم افزار می نامد.

مشاهده می کنید که این نوع رویکرد امنیت نرم افزار تمایل دارد که غالباً واکنشی باشد، بدون اینکه بطور کافی علل ریشه ای مشکلات را مورد توجه قرار دهد. همین نوع برخورد است که باعث وضعیت جاری است، و تا حد زیادی مسوول مسائل امنیتی است که امروزه در مراکز دیتای خود با آن مواجه هستیم.

اگر شما به روند SDLC  از نظر زمانی نگاهی بیندازید، پی خواهید برد که تولیدکنندگان نرم افزار عموماً در طرف چپ نمودار و اعضای امنیت IT در طرف راست و با همپوشانی بسیاری کمی قرار دارند. کسانی که شانس بودن در دو طرف نمودار را داشته اند معتقدند که می توان برای بهبود وضعیت، کارهای زیادی انجام داد بشرطی که بین دو طرف تا حدی اشتراک منابع انجام گیرد.

 

در اینجا چندین پیشنهاد که برای بهبود امنیت نرم افزارها، از اولین مراحل ممکن، می توانیم انجام دهیم، آورده شده است:

·   -تولید کنندگان نیاز دارند که تیم امنیت IT خود را تا جایی که امکان دارد از اولین مراحل طراحی، درگیر کنند. هنگامی که شما سعی خود را می کنید تا در مورد ساخت چیزی تصمیم بگیرید، اندیشیدن در مورد نحوه سوءاستفاده یا تخریب آن آسان نیست. شما مجبورید مانند یک شخص امنیتی فکر کنید. خوب، اعضای تیم امنیت IT شما، فعالیت حرفه ای خود را برروی مطالعه نحوه تخریب چیزها سپری کرده اند، و می توانند به شما کمک کنند تا بفهمید نرم افزار شما با چه نوع حملاتی ممکن است مواجه شود.

·   - مشابهاً، به اعضای تیم امنیت اجازه دهید در طراحی تست های امنیتی به شما کمک کنند. و در اینجا (فقط) منظور یک تست نفوذ یک هفته قبل از بکارگرفتن نرم افزار نیست! منظور انجام تمام تست های بسیار جدی است که شما در مورد نرم افزارها انجام می دهید.

·   - به تاکتیک هایی که تیم عملیات می تواند برای افزایش امنیت نرم افزار شما بکارگیرد، توجه کنید. برای مثال، آیا فایل ها، کتابخانه های اشتراکی (مثلا فایلهای .DLL در ویندوز) یا اجزاء دیگری که کاملاً برای امنیت نرم افزار شما مهم هستند، وجود دارند؟ تیم عملیات لزوماً نخواهد دانست که آنها چه هستند مگر اینکه شما به ایشان بگویید. این تیم با دانستن اینکه قسمت های باارزش و حیاتی نرم افزار شما کجا قرار دارند، می توانند کنترل دسترسی به فایل، ثبت وقایع (شامل تشخیص نفوذ) را تضمین کنند و همچنین هنگامی که قسمتی دچار انحراف می شود به افراد ذیصلاح اطلاع داده می شود.

·   - اعضاء تیم امنیت IT باید در مورد روندهای ایجاد و توسعه نرم افزار سازمان شما، بیاموزند. آنها باید بتوانند بطور هوشمندانه ای با تیم تولید نرم افزار گفتگو کنند.

· --زمانی برای مطالعه امنیت نرم افزار صرف کنید و ببینید چه نقاط تماس امنیتی می توانید در دوره زمانی تولید نرم افزار بگنجانید تا بتوانید از ابتدا تا انتهای این روند با امنیت در ارتباط باشید.

 بیشتر آنچه گفته می شود، اساساً مربوط به سازمانهایی است که نرم افزارهای تجاری را ایجاد می کنند. امنیت نرم افزار، همانطور که گفته شد، هنوز در مراحل خردسالی قرار دارد. قصد نداریم که به نتایج شگفت انگیزی در طول یک شب برسیم. بهرحال، تجربیات افراد خبره که با سازمان های تولید نرم افزار سروکار داشته اند، نشان می دهد که از دو ناحیه می توان بیشترین استفاده را در امنیت نرم افزار برد؛ مدل کردن تهدید و تستهای امنیتی بسیار سخت.

اینها در دسترس ترین قسمت ها برای سرمایه گذاری هستند تا بتوانیم بیشترین بهبود را حاصل کنیم.

phishing یا دزدی هویت

phishing یا دزدی هویت

هنگامی که گمان می کردید که می توانید با اطمینان به سراغ میل باکس خود بروید، نوع جدیدی از تقلب در راه بود. Phishing؛ حیله های phishing چیزی فراتر از هرزنامه های ناخواسته و مزاحم هستند. آنها می توانند منجر به دزدیده شدن شماره های اعتباری، کلمات عبور، اطلاعات حساب یا سایر اطلاعات شخصی شما شوند. این مطلب را بخوانید تا بیشتر در مورد این نوع دزدی هویت بدانید و بیاموزید چگونه می توانید به حفاظت از اطلاعات شخصی خود در برابر این نوع حمله کمک کنید.{مرکز امداد امنیت کامپیوتری ایران}

Phishing چیست؟

نوعی از فریب است که برای دزدیدین هویت شما طراحی شده است. در یک حیله از نوع phishing، یک فرد آسیب رسان سعی می کند تا اطلاعاتی مانند شماره های اعتباری و کلمات عبور یا سایر اطلاعات شخصی شما را با متقاعد کردن شما به دادن این اطلاعات تحت ادعاهای دروغین بدست آورد. این نوع حملات معمولاً از طریق هرزنامه یا پنجره های pop-up  می آیند.

 

Phishing چگونه کار می کند؟

یک فریب phishing  توسط یک کاربر بداندیش که میلیون ها ایمیل فریبنده ارسال می کند، آغاز می شود بطوریکه بنظر می رسد که از وب سایتهای معروف یا از سایت های که مورد اعتماد شما هستند،  مانند شرکت کارت اعتباری یا بانک شما می آیند. ایمیل ها و وب سایتهایی که از طریق ایمیل ها برای شما ارسال می شود، آنقدر رسمی بنظر می رسند که بسیاری از مردم را به این باور می رسانند که قانونی هستند. با این باور که این ایمیل ها واقعی هستند، افراد زودباور اغلب به تقاضای این ایمیل ها مبنی بر شماره های کارت اعتباری، کلمات عبور و سایر اطلاعات شخصی پاسخ می دهند.

یک جاعل! لینکی در یک ایمیل جعلی قرار می دهد که اینگونه بنظر می رسد که لینک به وب سایت واقعی است، اما در واقع شما را به سایت تقلبی یا حتی یک پنجره pop-up می برد که دقیقاً مانند سایت اصلی بنظر می رسد. این کپی ها اغلب وب سایت های spoofed نامیده می شوند. زمانیکه شما در یکی از این وب سایت ها یا pop-upهای تقلبی هستید ممکن است ناآگاهانه حتی اطلاعات شخصی بیشتری وارد کنید که مستقیماً به شخصی که این سایت تقلبی را درست کرده است، ارسال خواهد شد. این شخص آن موقع می تواند از این اطلاعات برای خرید کالا یا تقاضا برای یک کارت اعتباری جدید یا سرقت هویت شما اقدام کند.

پنج روش که به شما در محافظت از خودتان در مقابل phishing کمک می کند

همانند دنیای فیزیکی، جاعلان در دنیای اینترنت ایجاد روش های جدید و گمراه کننده تر را برای فریب شما ادامه می دهند. اما پی گیری این پنج روش به شما برای محافظت از اطلاعات شخصیتان کمک می کند.

۱- هرگز به تقاضاهایی که از طریق ایمیل یا پنجره های pop-up اطلاعات شخصی شما را می خواهند، پاسخ ندهید. اگر شک دارید، با موسسه ای که مدعی ارسال ایمیل یا پنجره pop-up است، تماس بگیرید.

اکثر مراکز تجاری قانونی، کلمات عبور، شماره کارت های اعتباری و سایر اطلاعات شخصی را از طریق ایمیل مورد سوال قرار نخواهند داد. اگر ایمیلی اینچنین دریافت کردید، پاسخ ندهید. اگر فکر می کنید که ایمیل صحت دارد، برای تایید از طریق تلفن یا  وب سایتشان با آنها تماس بگیرید. اگر احساس می کنید که هدف یک حیله phishing قرار گرفته اید، گام بعدی را برای بهترین روش های رفتن به وب سایت ببینید.

۲- وب سایت ها را با تایپ آدرس آنها در address bar ببینید.

اگر شک دارید که ایمیل از شرکت کارت اعتباری، بانک، سرویس پرداخت آنلاین یا وب سایتهای دیگری است که با آنها تجارت انجام می دهید نباشد، لینک ها را از طریق ایمیل برای رفتن به وب سایت دنبال نکنید. آن لینک ها ممکن است شما را به سایت جعلی ببرند که تمام اطلاعاتی را که وارد می کنید برای جاعل آن سایت ارسال کنند.

حتی اگر address bar آدرس درستی نشان می دهد، خطر آن را نپذیرید. چندین روش برای هکرها وجود دارد تا یک URL جعلی در address bar مرورگرتان نمایش دهند. نسخه های جدیدتر مرورگرها جعل آدرس را مشکل تر می کنند، بنابراین بهتر است که مرورگرتان را مرتب به روز نگهدارید. اگر فکر می کنید که این به روزرسانی ها را همواره به یاد نخواهید داشت، می توانید کامپیوترتان را برای بروزرسانی های خودکار پیکربندی کنید.

۳- بررسی کنید تا مطمئن شوید که وب سایت از رمزنگاری استفاده می کند.

اگر به دسترسی به وب سایت از طریق address bar اعتماد ندارید، چگونه میدانید که ممکن است امن باشد؟ چند روش مختلف وجود دارد. نخست، قبل از وارد کردن هرگونه اطلاعات شخصی، بررسی کنید که آیا سایت از رمزنگاری برای ارسال اطلاعات شخصی شما استفاده می کند. در اینترنت اکسپلورر می توانید این عمل را با دیدن آیکون قفل زردرنگی که در status bar نشان داده می شود، بررسی کنید.

 

این نشانه دلالت بر استفاده از وب سایت از رمزنگاری برای کمک به محافظت از اطلاعات حساس دارد. ـ شمار کارت اعتباری، شماره امنیتی اجتماعی، جزئیات پرداخت – که شما وارد می کنید.

بر روی این علامت دوبار کلیک کنید تا گواهی امنیتی برای سایت نشان داده شود. نام بعد از Issued to باید با سایتی که در آن حاضر هستید مطابقت کند. اگر نام متفاوت است، احتمالاً در سایت جعلی قرار دارید. اگر مطمئن نیستید که یک گواهی قانونی است، هیچ اطلاعات شخصی وارد نکنید. احتیاط کنید و سایت را ترک کنید.

۴- بطور منظم اعلامیه های کارت اعتباری و بانک تان را مرور کنید.

حتی اگر سه مرحله قبل را انجام می دهید، هنوز ممکن است قربانی دزدی هویت شوید. اگر اعلامیه های بانک تان و کارت اعتباری تان را حداقل ماهانه مرور کنید، ممکن است بتوانید یک جاعل را شناسایی و از وارد آمدن خسارات قابل توجه جلوگیری کنید.

۵- سو ءاستفاده های مشکوک از اطلاعات شخصیتان را به مراکز مناسب گزارش کنید.

اگر قربانی چنین حقه ای بوده اید باید:

·   فوراً جعل را به شرکتی که جعل در مورد آن صورت گرفته است، گزارش کنید. اگر مطمئن نیستید که چگونه با شرکت تماس بگیرید، وب سایت شرکت را برای گرفتن اطلاعات صحیح تماس، نگاه کنید. شرکت ممکن است یک آدرس ایمیل مخصوص برای گزارش چنین سو ءاستفاده ای داشته باشد. بخاطر داشته باشید که هیچ لینکی را در ایمیل phishing که دریافت کرده اید، دنبال نکنید. باید آدرس شناخته شده شرکت را مستقیماً در address bar مرورگرتان تایپ کنید.

·   جزئیات جعل را، مانند ایمیل هایی که دریافت کرده اید، به مراکز ذیصلاح قانونی همچون مرکز شکایات تقلب های اینترنتی گزارش کنید. این مرکز در کل دنیا برای از کار اندازی سایت های  phishing و شناسایی افراد پشت این کلاه برداری ها، کار می کند.

در چنین شرایطی برای آموختن نحوه به حداقل رساندن میزان خسارت می توانید به وب سایت دزدی هویت FTC سر بزنید.