à3 à6
:‫7 7 ع‬
á‫ا‬
��� ‫�دآوری: آرﻣﺎن‬
‫ﯽ راد‬
:áà ‫وب‬
.WWW.DATA-TCQ.IR
1392 ‫آﺑﺎن‬
١
WWW.DATA-TCQ.IR
‫ا‬

‫‪á 2 5á4à‬‬
‫صفحه‬
‫عنوان‬
‫شبکه و انواع آن ………………………………………………………………….……………….……………‬
‫۴‬
‫مبانی امنیت اطالعات .......................................................................................................................‬
‫۷‬
‫اصول مهم امنیت اطالعات .....................................................................................................................‬
‫۹‬
‫مراحل اولیه ایجاد امنیت در شبکه ..…………………………………………….………..….…….………‬
‫۱۱‬
‫نرم افزارهای بداندیش ............................................................................................................................‬
‫۹۱‬
‫انواع حمالت در شبکه های کامپیوتری ..................................................................................................‬
‫۰۴‬
‫نمونه هائی از حمالت اینترنتی توسط نامه های الکترونیکی ..............................................................‬
‫۴۵‬
‫امنیت نامه های الکترونیکی .................................................................................................................‬
‫۰۶‬
‫رمزنگاری .............................................................................................................................................‬
‫۸۷‬
‫کاربرد پراکسی در امنیت شبکه .........................................................................................................‬
‫۴۸‬
‫امنیت شبکه: چالشها و راهکارها ..........................................................................................................‬
‫۷۸‬
‫٢‬
‫ا‬
‫‪WWW.DATA-TCQ.IR‬‬

‫‪ Adware‬و ‪ Spyware‬چیست ؟ .................................................................................................‬
‫۳۱۱‬
‫کوکی )‪ (Cookie‬چیست؟ ................................................................................................................‬
‫۵۱۱‬
‫تکنولوژي نوین کدهاي مخرب ...........................................................................................................‬
‫۹۱۱‬
‫آشنایی با دیوارهی آتش - فایروال ........................................................................................................ ۲۲۱‬
‫باال بردن امنیت شبکه خانگی ............................................................................................................ ۹۲۱‬
‫به نرمافزار امنیتي خود اطمینان دارید؟ ............................................................................................ ۱۳۱‬
‫منابع .............................................................................................................................................. ۳۳۱‬
‫٣‬
‫ا‬
‫‪WWW.DATA-TCQ.IR‬‬

‫شبکه و انواع آن‬
‫یک شبکه کامپیوتری از اتصال دو و یا چندین کامپیوتر تشکیل می گردد . شبکه های کامپیوتری در ابعاد متفاوت و با‬
‫اهداف گوناگون طراحی و پیاده سازی می گردند . شبکه های ‪ ( LAN (Local-Area Networks‬و ‪Wide-Area‬‬
‫‪ ( WAN (Networks‬دو نمونه متداول در این زمینه می باشند. در شبکه های ‪ ، LAN‬کامپیوترهای موجود در یک ناحیه‬
‫محدود جغرافیائی نظیر منزل و یا محیط کار به یکدیگر متصل می گردند . در شبکه های ‪ ، WAN‬با استفاده از خطوط‬
‫تلفن و یا مخابراتی ، امواج رادیوئی و سایر گزینه های موجود ، دستگاه های مورد نظر در یک شبکه به یکدیگر متصل می‬
‫گردند .‬
‫شبکه های کامپیوتری چگونه تقسیم بندی می گردند ؟‬
‫شبکه ها ی کامپیوتری را می توان بر اساس سه ویژگی متفاوت تقسیم نمود : توپولوژی ، پروتکل و معماری‬
‫•‬
‫توپولوژی ، نحوه استقرار) آرایش( هندسی یک شبکه را مشخص می نماید . ‪ bus , ring‬و ‪ ، star‬سه نمونه‬
‫متداول در این زمینه می باشند .‬
‫•‬
‫پروتکل ، مجموعه قوانین الزم به منظور مبادله اطالعات بین کامپیوترهای موجود در یک شبکه را مشخص می‬
‫نماید . اکثر شبکه ها از اترنت استفاده می نمایند. در برخی از شبکه ها ممکن است از پروتکل ‪Ring Token‬‬
‫شرکت ‪ IBM‬استفاده گردد . پروتکل ، در حقیت بمنزله یک اعالمیه رسمی است که در آن قوانین و رویه های‬
‫مورد نیاز به منظور ارسال و یا دریافت داده ، تعریف می گردد . در صورتی که دارای دو و یا چندین دستگاه )‬
‫نظیر کامپیوتر ( باشیم و بخواهیم آنان را به یکدیگر مرتبط نمائیم ، قطعا به وجود یک پروتکل در شبکه نیاز‬
‫خواهد بود .تاکنون صدها پروتکل با اهداف متفاوت طراحی و پیاده سازی شده است . ‪ TCP/IP‬یکی از متداولترین‬
‫پروتکل ها در زمینه شبکه بوده که خود از مجموعه پروتکل هائی دیگر ، تشکیل شده است . جدول زیر‬
‫متداولترین پروتکل های ‪ TCP/IP‬را نشان می دهد . در کنار جدول فوق ، مدل مرجع ‪ OSI‬نیز ارائه شده است تا‬
‫مشخص گردد که هر یک از پروتکل های فوق در چه الیه ای از مدل ‪ OSI‬کار می کنند . به موازات حرکت از‬
‫پائین ترین الیه ) الیه فیزیکی ( به باالترین الیه ) الیه ‪ ، ( Application‬هر یک از دستگاههای مرتبط با پروتکل‬
‫های موجود در هر الیه به منظور انجام پردازش های مورد نیاز ، زمانی را صرف خواهند کرد .‬
‫٤‬
‫ا‬
‫‪WWW.DATA-TCQ.IR‬‬

‫پروتکل های ‪TCP/IP‬‬
‫•‬
‫مدل مرجع ‪OSI‬‬
‫‪ OSI‬از کلمات ‪ Open Systems Interconnect‬اقتباس و یک مدل مرجع در خصوص نحوه ارسال پیام بین دو‬
‫نقطه در یک شبکه مخابراتی و ارتباطی است . هدف عمده مدل ‪ ، OSI‬ارائه راهنمائی های الزم به تولید کنندگان‬
‫محصوالت شبکه ای به منظور تولید محصوالت سازگار با یکدیگر است .‬
‫مدل ‪ OSI‬توسط کمیته ‪ IEEE‬ایجاد تا محصوالت تولید شده توسط تولید کنندگان متعدد قادر به کار و یا‬
‫سازگاری با یکدیگر باشند . مشکل عدم سازگاری بین محصوالت تولیدشده توسط شرکت های بزرگ تجهیزات‬
‫سخت افزاری زمانی آغاز گردید که شرکت ‪ HP‬تصمیم به ایجاد محصوالت شبکه ای نمود و محصوالت تولید شده‬
‫توسط ‪ HP‬با محصوالت مشابه تولید شده توسط شرکت های دیگر نظیر ‪ ، IBM‬سازگار نبود . مثال زمانی که‬
‫شما چهل کارت شبکه را برای شرکت خود تهیه می نمودید ، می بایست سایر تجهیزات مورد نیاز شبکه نیز از‬
‫همان تولید کننده خریداری می گردید) اطمینان از وجود سازگاری بین آنان ( . مشکل فوق پس از معرفی مدل‬
‫مرجع ‪ ، OSI‬برطرف گردید .‬
‫مدل ‪ OSI‬دارای هفت الیه متفاوت است که هر یک از آنان به منظور انجام عملیاتی خاصی طراحی شده اند .‬
‫باالترین الیه ، الیه هفت ) ‪ ( Application‬و پائین ترین الیه ، الیه یک ) ‪ ( Physiacal‬می باشد . در صورتی که‬
‫قصد ارسال داده برای یک کاربر دیگر را داشته باشید ، داده ها حرکت خود را از الیه هفتم شروع نموده و پس از‬
‫تبدیل به سگمنت ، ‪ ، datagram‬بسته اطالعاتی ) ‪ ( Packet‬و فریم، در نهایت در طول کابل ) عموما کابل های‬
‫‪ ( twisted pair‬ارسال تا به کامپیوتر مقصد برسد .‬
‫٥‬
‫ا‬
‫‪WWW.DATA-TCQ.IR‬‬

‫•‬
‫معماری ، به دو گروه عمده معماری که عمدتا در شبکه های کامپیوتری استفاده می گردد ، اشاره می نماید :‬
‫‪ Peer- Peer-To‬و ‪ . Server - Client‬در شبکه های ‪ Peer-To-Peer‬سرویس دهنده اختصاصی وجود نداشته و‬
‫کامپیوترها از طریق ‪ workgroup‬به منظور اشتراک فایل ها ، چاپگرها و دستیابی به اینترنت ، به یکدیگر متصل‬
‫می گردند . در شبکه های ‪ ، Server - Client‬سرویس دهنده و یا سرویس دهندگانی اختصاصی وجود داشته )‬
‫نظیر یک کنترل کننده ‪ Domain‬در ویندوز ( که تمامی سرویس گیرندگان به منظور استفاده از سرویس ها و‬
‫خدمات ارائه شده ، به آن ‪ log on‬می نمایند . در اکثر سازمان و موسسات از معماری ‪ Server - Client‬به منظور‬
‫پیکربندی شبکه های کامپیوتری ، استفاده می گردد.‬
‫٦‬
‫ا‬
‫‪WWW.DATA-TCQ.IR‬‬

‫مبانی امنیت اطالعات‬
‫امروزه شاهد گسترش حضور کامپیوتر در تمامی ابعاد زندگی خود می باشیم . کافی است به اطراف خود نگاهی داشته‬
‫باشیم تا به صحت گفته فوق بیشتر واقف شویم . همزمان با گسترش استفاده از کامپیوترهای شخصی و مطرح شدن‬
‫شبکه های کامپیوتری و به دنبال آن اینترنت )بزرگترین شبکه جهانی ( ، حیات کامپیوترها و کاربران آنان دستخوش‬
‫تغییرات اساسی شده است . استفاده کنندگان کامپیوتر به منظور استفاده از دستاوردها و مزایای فن آوری اطالعات و‬
‫ارتباطات ، ملزم به رعایت اصولی خاص و اهتمام جدی به تمامی مولفه های تاثیر گذار در تداوم ارائه خدمات در یک‬
‫سیستم کامپیوتری می باشند . امنیت اطالعات و ایمن سازی شبکه های کامپیوتری از جمله این مولفه ها بوده که نمی‬
‫توان آن را مختص یک فرد و یا سازمان در نظر گرفت . پرداختن به مقوله امنیت اطالعات و ایمن سازی شبکه های‬
‫کامپیوتری در هر کشور ، مستلزم توجه تمامی کاربران صرفنظر از موقعیت شغلی و سنی به جایگاه امنیت اطالعات و ایمن‬
‫سازی شبکه های کامپیوتری بوده و می بایست به این مقوله در سطح کالن و از بعد منافع ملی نگاه کرد. وجود ضعف‬
‫امنیتی در شبکه های کامپیوتری و اطالعاتی ، عدم آموزش و توجیه صحیح تمامی کاربران صرفنظر از مسئولیت شغلی‬
‫آنان نسبت به جایگاه و اهمیت امنیت اطالعات ، عدم وجود دستورالعمل های الزم برای پیشگیری از نقایص امنیتی ، عدم‬
‫وجود سیاست های مشخص و مدون به منظور برخورد مناسب و بموقع با اشکاالت امنیتی ، مسائلی را به دنبال خواهد‬
‫داشت که ضرر آن متوجه تمامی کاربران کامپیوتر در یک کشور شده و عمال زیرساخت اطالعاتی یک کشور را در معرض‬
‫. آسیب و تهدید جدی قرار می دهد‬
‫در این مقاله قصد داریم به بررسی مبانی و اصول اولیه امنیت اطالعات و ایمن سازی شبکه های کامپیوتری پرداخته و از‬
‫. این رهگذر با مراحل مورد نیاز به منظور حفاظت کامپیوترها در مقابل حمالت ، بیشتر آشنا شویم‬
‫اهمیت امنیت اطالعات و ایمن سازی کامپیوترها‬
‫تمامی کامپیوترها از کامپیوترهای موجود در منازل تا کامپیوترهای موجود در سازمان ها و موسسات بزرگ ، در معرض‬
‫آسیب و تهدیدات امنیتی می باشند .با انجام تدابیر الزم و استفاده از برخی روش های ساده می توان پیشگیری الزم و‬
‫٧‬
‫ا‬
‫‪WWW.DATA-TCQ.IR‬‬

‫اولیه ای را خصوص ایمن سازی محیط کامپیوتری خود انجام داد.علیرغم تمامی مزایا و دستاوردهای اینترنت ، این شبکه‬
‫عظیم به همراه فن آوری های مربوطه ، دریچه ای را در مقابل تعداد زیادی از تهدیدات امنیتی برای تمامی استفاده‬
‫کنندگان ) افراد ، خانواده ها ، سازمان ها ، موسسات و ... ( ، گشوده است . با توجه به ماهیت حمالت ، می بایست در‬
‫انتظار نتایج نامطلوب متفاوتی بود) از مشکالت و مزاحمت های اندک تا از کار انداختن سرویس ها و خدمات ( .در معرض‬
‫آسیب قرار گرفتن داده ها و اطالعات حساس ، تجاوز به حریم خصوصی کاربران ، استفاده از کامپیوتر کاربران برای تهاجم‬
‫بر علیه سایر کامپیوترها ، از جمله اهداف مهاجمانی است که با بهره گیری از آخرین فن آوری های موجود ، حمالت خود‬
‫را سازماندهی و بالفعل می نمایند . بنابراین ، می بایست به موضوع امنیت اطالعات ، ایمن سازی کامپیوترها و شبکه های‬
‫. کامپیوتری، توجه جدی شده و از فرآیندهای متفاوتی در جهت مقاوم سازی آنان ، استفاده گردد‬
‫داده ها و اطالعات حساس در معرض تهدید‬
‫تقریبا هر نوع تهاجم ، تهدیدی است در مقابل حریم خصوصی ، پیوستگی ، اعتبار و صحت داده ها .یک سارق اتومبیل‬
‫می تواند در هر لحظه صرفا یک اتومبیل را سرقت نماید ، در صورتی که یک مهاجم با بکارگیری صرفا یک دستگاه‬
‫کامپیوتر ، می تواند آسیب های فراوانی را متوجه تعداد زیادی از شبکه های کامپیوتری نموده و باعث بروز اشکاالتی‬
‫متعدد در زیرساخت اطالعاتی یک کشورگردد. آگاهی الزم در رابطه با تهدیدات امنیـتی و نحوه حفاظت خود در مقابل‬
‫آنان ، امکان حفاظت اطالعات و داده های حساس را در یک شبکه کامپیوتری فراهم می نماید.‬
‫٨‬
‫ا‬
‫‪WWW.DATA-TCQ.IR‬‬

‫اصول مهم امنیت اطالعات‬
‫تفکر امنیت در شبکه برای دستیابی به سه عامل مهم است که با یک دیگر مثلث امنیتی را تشکیل می دهند. این عوامل‬
‫عبارتند از راز داری و امانت داری )‪ ، (Confidentiality‬یکپارچگی )‪ (Integrity‬و در نهایت در دسترس بودن همیشگی‬
‫)‪(Availability‬این سه عامل )‪ (CIA‬اصول اساسی امنیت اطالعات - در شبکه و یا بیرون آن - را تشکیل می دهند بگونه‬
‫ای که تمامی تمهیدات الزمی که برای امنیت شبکه اتخاذ میشود و یا تجهیزاتی که ساخته می شوند، همگی ناشی از نیاز‬
‫به اعمال این سه پارامتر در محیط های نگهداری و تبادل اطالعات است .‬
‫‪ : Confidentiality‬به معنای آن است که اطالعات فقط در دسترس کسانی قرار گیرد که به آن نیاز دارند و اینگونه تعریف‬
‫شده است. بعنوان مثال از دست دادن این خصیصه امنیتی معادل است با بیرون رفتن قسمتی از پرونده محرمانه یک‬
‫شرکت و امکان دسترسی به آن توسط مطبوعات .‬
‫‪ : Integrity‬بیشتر مفهومی است که به علوم سیستمی باز می گردد و بطور خالصه می توان آنرا اینگونه تعریف کرد :‬
‫تغییرات در اطالعات فقط باید توسط افراد یا پروسه های مشخص و مجاز انجام گیرد.‬‫تغییرات بدون اجاز و بدون دلیل حتی توسط افراد یا پروسه های مجاز نباید صورت بگیرد .‬‫یکپارچگی اطالعات باید در درون و بیرون سیستم حفظ شود. به این معنی که یک داده مشخص چه در درون سیستم و‬‫چه در خارج آن باید یکسان باشد و اگر تغییر می کند باید همزمان درون و برون سیستم از آن آگاه شوند .‬
‫‪ : Availability‬این پارامتر ضمانت می کند که یک سیستم - مثال اطالعاتی - همواره باید در دسترس باشد و بتواند کار‬
‫خود را انجام دهد. بنابراین حتی اگر همه موارد ایمنی مد نظر باشد اما عواملی باعث خوابیدن سیستم شوند - مانند قطع‬
‫برق - از نظر یک سیستم امنیتی این سیستم ایمن نیست .‬
‫٩‬
‫ا‬
‫‪WWW.DATA-TCQ.IR‬‬

‫اما جدای از مسائل باال مفاهیم و پارامترهای دیگری نیز هستند که با وجود آنکه از همین اصول گرفته می شوند برای خود‬
‫شخصیت جداگانه ای پیدا کرده اند. در این میان می توان به مفاهیمی نظیر ‪ Identification‬به معنی تقاضای شناسایی به‬
‫هنگام دسترسی کاربر به سیستم، ‪Authentication‬به معنی مشخص کردن هویت کاربر، ‪Authorization‬به معنی‬
‫مشخص کردن میزان دسترسی کاربر به منابع، ‪Accountability‬به معنی قابلیت حسابرسی از عملکرد سیستم و ... اشاره‬
‫کرد .‬
‫٠١‬
‫ا‬
‫‪WWW.DATA-TCQ.IR‬‬

‫مراحل اولیه ایجاد امنیت در شبکه‬
‫شبکه های کامپیوتری زیر ساخت الزم برای عرضه اطالعات در یک سازمان را فراهم می نمایند . بموازات رشد و گسترش‬
‫تکنولوژی اطالعات، مقوله امنیت در شبکه های کامپیوتری ، بطور چشمگیری مورد توجه قرار گرفته و همه روزه بر تعداد‬
‫افرادی که عالقه مند به آشنائی با اصول سیستم های امنیتی در این زمینه می باشند ، افزوده می گردد . در این مقاله ،‬
‫پیشنهاداتی در رابطه با ایجاد یک محیط ایمن در شبکه ، ارائه می گردد .‬
‫سیاست امنیتی‬
‫یک سیاست امنیتی، اعالمیه ای رسمی مشتمل بر مجموعه ای از قوانین است که می بایست توسط افرادیکه به یک‬
‫تکنولوژی سازمان و یا سرمایه های اطالعاتی دستیابی دارند، رعایت و به آن پایبند باشند . بمنظور تحقق اهداف امنیتی ،‬
‫می بایست سیاست های تدوین شده در رابطه با تمام کاربران ، مدیران شبکه و مدیران عملیاتی سازمان، اعمال گردد .‬
‫اهداف مورد نظر عموما با تاکید بر گزینه های اساسی زیر مشخص می گردند .‬
‫سرویس های عرضه شده در مقابل امنیت ارائه شده ، استفاده ساده در مقابل امنیت و هزینه ایمن سازی در مقابل‬
‫ریسک از دست دادن اطالعات ‬
‫مهمترین هدف یک سیاست امنیتی ، دادن آگاهی الزم به کاربران، مدیران شبکه و مدیران عملیاتی یک سازمان در رابطه‬
‫با امکانات و تجهیزات الزم ، بمنظور حفظ و صیانت از تکنولوژی و سرمایه های اطالعاتی است . سیاست امنیتی ، می‬
‫بایست مکانیزم و راهکارهای مربوطه را با تاکید بر امکانات موجود تبین نماید . از دیگر اهداف یک سیاست امنیتی ، ارائه‬
‫یک خط اصولی برای پیکربندی و ممیزی سیستم های کامپیوتری و شبکه ها ، بمنظور تبعیت از سیاست ها است . یک‬
‫سیاست امنیتی مناسب و موثر ، می بایست رضایت و حمایت تمام پرسنل موجود در یک سازمان را بدنبال داشته باشد.‬
‫یک سیاست امنیتی خوب دارای ویژگی های زیر است :‬
‫امکان پیاده سازی عملی آن بکمک روش های متعددی نظیر رویه های مدیریتی، وجود داشته باشد .‬
‫١١‬
‫ا‬
‫‪WWW.DATA-TCQ.IR‬‬

‫امکان تقویت آن توسط ابزارهای امنیتی ویا دستورات مدیریتی در مواردیکه پیشگیری واقعی از لحاظ فنی امکان پذیر‬
‫نیست ، وجود داشته باشد .‬
‫محدوده مسئولیت کاربران ، مدیران شبکه و مدیران عملیاتی بصورت شفاف مشخص گردد .‬
‫پس از استقرار، قابلیت برقرای ارتباط با منابع متفاوت انسانی را دارا باشد . ) یک بار گفتن و همواره در گوش داشتن )‬
‫دارای انعطاف الزم بمنظور برخورد با تغییرات درشبکه باشد .) سیاست های تدوین شده ، نمونه ای بارز از مستندات‬
‫زنده تلقی می گردنند . (‬
‫سیستم های عامل و برنامه های کاربردی : نسخه ها و بهنگام سازی‬
‫در صورت امکان، می بایست از آخرین نسخه سیستم های عامل و برنامه های کاربردی بر روی تمامی کامپیوترهای‬
‫موجود در شبکه ) سرویس گیرنده ، سرویس دهنده ، سوئیچ، روتر، فایروال و سیستم های تشخیص مزاحمین ( استفاده‬
‫شود . سیستم های عامل و برنامه های کاربردی می بایست بهنگام بوده و همواره از آخرین امکانات موجود بهنگام سازی (‬
‫)‪patches , service pack , hotfixes‬استفاده گردد . در این راستا می بایست حساسیت بیشتری نسبت به برنامه های‬
‫آسیب پذیر که زمینه الزم برای متجاوزان اطالعاتی را فراهم می نمایند ، وجود داشته باشد .‬
‫برنامه های ‪ : IIS ,OutLook , Internet Explorer , BIND‬و ‪ sendmail‬بدلیل وجود نقاط آسیب پذیر می بایست مورد‬
‫توجه جدی قرار گیرند . متجاوزان اطالعاتی ، بدفعات از نقاط آسیب پذیر برنامه های فوق برای خواسته های خود استفاده‬
‫کرده اند.‬
‫شناخت شبکه موجود‬
‫بمنظور پیاده سازی و پشتیبانی سیستم امنیتی ، الزم است لیستی از تمام دستگاههای سخت افزاری و برنامه های نصب‬
‫شده ، تهیه گردد . آگاهی از برنامه هائی که بصورت پیش فرض نصب شده اند، نیز دارای اهمیت خاص خود است ) مثال‬
‫برنامه ‪ IIS‬بصورت پیش فرض توسط ‪ SMS‬و یا سرویس دهنده ‪ SQL‬در شبکه های مبتنی بر ویندوز نصب می گردد ( .‬
‫٢١‬
‫ا‬
‫‪WWW.DATA-TCQ.IR‬‬

‫فهرست برداری از سرویس هائی که بر روی شبکه در حا ل اچراء می باشند، زمینه را برای پیمایش و تشخیص مسائل‬
‫مربوطه ، هموار خواهد کرد.‬
‫سرویس دهندگان ‪ TCP/UDP‬و سرویس های موجود در شبکه‬
‫تمامی سرویس دهندگان ‪ TCP/UDP‬در شبکه بهمراه سرویس های موجود بر روی هر کامپیوتر در شبکه ، می بایست‬
‫شناسائی و مستند گردند . در صورت امکان، سرویس دهندگان و سرویس های غیر ضروری، غیر فعال گردند . برای‬
‫سرویس دهندگانی که وجود آنان ضروری تشخیص داده می شود، دستیابی به آنان محدود به کامپیوترهائی گردد که به‬
‫خدمات آنان نیازمند می باشند . امکانات عملیاتی را که بندرت از آنان استفاده و دارای آسیب پذیری بیشتری می باشند ،‬
‫غیر فعال تا زمینه بهره برداری آنان توسط متجاوزان اطالعاتی سلب گردد. توصیه می گردد ، برنامه های نمونه‬
‫)‪(Sample‬تحت هیچ شرایطی بر روی سیستم های تولیدی ) سیستم هائی که محیط الزم برای تولید نرم افزار بر روی‬
‫آنها ایجاد و با استفاده از آنان محصوالت نرم افزاری تولید می گردند ( نصب نگردند .‬
‫رمزعبور‬
‫انتخاب رمزعبور ضعیف ، همواره یکی از مسائل اصلی در رابطه با هر نوع سیستم امنیتی است . کاربران، می بایست‬
‫متعهد و مجبور به تغییر رمز عبور خود بصورت ادواری گردند . تنظیم مشخصه های رمز عبور در سیستم های مبتنی بر‬
‫ویندوز، بکمک ‪ Account Policy‬صورت می پذیرد . مدیران شبکه، می بایست برنامه های مربوط به تشخیص رمز عبور‬
‫را تهیه و آنها را اجراء تا آسیب پذیری سیستم در بوته نقد و آزمایش قرار گیرد .‬
‫برنامه های ‪LOphtcrack ، john the Ripper‬و ‪ ، Crack‬نمونه هائی در این زمینه می باشند . به کاربرانی که رمز عبور‬
‫آنان ضعیف تعریف شده است ، مراتب اعالم و در صورت تکرار اخطار داده شود ) عملیات فوق، می بایست بصورت‬
‫متناوب انجام گیرد ( . با توجه به اینکه برنامه های تشخیص رمزعبور،زمان زیادی از پردازنده را بخود اختصاص خواهند‬
‫٣١‬
‫ا‬
‫‪WWW.DATA-TCQ.IR‬‬

‫داد، توصیه می گردد، رمز عبورهای کد شده ) لیست ‪ SAM‬بانک اطالعاتی در ویندوز ( را بر روی سیستمی دیگر که در‬
‫شبکه نمی باشد، منتقل تا زمینه بررسی رمزهای عبور ضعیف ، فراهم گردد . با انجام عملیات فوق برروی یک کامپیوتر‬
‫غیر شبکه ای ، نتایج بدست آمده برای هیچکس قابل استفاده نخواهد بود) مگراینکه افراد بصورت فیزیکی به سیستم‬
‫دستیابی پیدا نمایند . )‬
‫برای تعریف رمز عبور، موارد زیر پیشنهاد می گردد :‬
‫حداقل طول رمز عبور، دوازده و یا بیشتر باشد .‬
‫دررمز عبور از حروف کوچک، اعداد، کاراکترهای خاص و ‪ Underline‬استفاده شود .‬
‫از کلمات موجود در دیکشنری استفاده نگردد .‬
‫رمز های عبور ، در فواصل زمانی مشخصی ) سی و یا نود روز( بصورت ادواری تغییر داده شوند .‬
‫کاربرانی که رمزهای عبور ساده و قابل حدسی را برای خود تعریف نموده اند، تشخیص و به آنها تذکر داده شود .) عملیات‬
‫فوق بصورت متناوب و در فواصل زمانی یک ماه انجام گردد( .‬
‫عدم اجرای برنامه ها ئی که منابع آنها تایید نشده است .‬
‫در اغلب حاالت ، برنامه های کامپیوتری در یک چارچوب امنیتی خاص مربوط به کاربری که آنها را فعال می نماید ،‬
‫اجراء می گردند.دراین زمینه ممکن است، هیچگونه توجه ای به ماهیت منبع ارائه دهنده برنامه توسط کاربران انجام‬
‫نگردد . وجود یک زیر ساخت ) ‪ ، PKI ) Public key infrastructure‬در این زمینه می تواند مفید باشد . در صورت عدم‬
‫وجود زیرساخت امنیتی فوق ،می بایست مراقبت های الزم در رابطه با طرفندهای استفاده شده توسط برخی از متجاوران‬
‫اطالعاتی را انجام داد. مثال ممکن است برخی آسیب ها در ظاهری کامال موجه از طریق یک پیام الکترونیکی جلوه‬
‫نمایند . هرگز یک ضمیمه پیام الکترونیکی و یا برنامه ای را که از منبع ارسال کننده آن مطمئن نشده اید ، فعال و یا‬
‫اجراء ننمائید . همواره از برنامه ای نظیر ‪ Outlook‬بمنظور دریافت پیام های الکترونیکی استفاده گردد . برنامه فوق در یک‬
‫٤١‬
‫ا‬
‫‪WWW.DATA-TCQ.IR‬‬

‫ناحیه محدوده شده اجراء و می بایست امکان اجرای تمام اسکریپت ها و محتویات فعال برای ناحیه فوق ، غیر فعال‬
‫گردد .‬
‫ایجاد محدودیت در برخی از ضمائم پست الکترونیکی‬
‫ضرورت توزیع و عرضه تعداد زیادی از انواع فایل های ضمیمه ، بصورت روزمره در یک سازمان وجود ندارد .بمنظور‬
‫پیشگیری از اجرای کدهای مخرب ، پیشنهاد می گردد این نوع فایل ها ،غیر فعال گردند . سازمان هائی که از ‪Outlook‬‬
‫استفاده می نمایند، می توانند با استفاده از نسخه ۲۰۰۲ اقدام به بالک نمودن آنها نمایند .‬
‫) برای سایر نسخه های ‪ Outlook‬می توان از ‪ Patch‬امنیتی مربوطه استفاده کرد .(‬
‫فایل های زیر را می توان بالک کرد:‬
‫نوع فایل هائی که می توان آنها را بالک نمود .‬
‫‪.bas .hta .msp .url .bat .inf .mst .vb .chm .ins .pif .vbe‬‬
‫‪.cmd .isp .pl .vbs .com .js .reg .ws .cpl .jse .scr .wsc .crt‬‬
‫‪.lnk .sct .wsf .exe .msi .shs .wsh‬‬
‫در صورت ضرورت می توان ، به لیست فوق برخی از فایل ها را اضافه و یا حذف کرد. مثال با توجه به وجود عناصر‬
‫اجرائی در برنامه های آفیس ، میتوان امکان اجرای برنامه ها را در آنان بالک نمود . مهمترین نکته در این راستا به برنامه‬
‫‪Access‬بر می گردد که برخالف سایر اعضاء خانواده آفیس ، دارای امکانات حفاظتی ذاتی در مقابل ماکروهای آسیب‬
‫رسان نمی باشد .‬
‫پایبندی به مفهوم کمترین امتیاز‬
‫اختصاص حداقل امتیاز به کاربران، محور اساسی درپیاده سازی یک سیتم امنیتی است. رویکرد فوق بر این اصل مهم‬
‫استوار است که کاربران می بایست صرفا دارای حقوق و امتیازات الزم بمنظور انجام کارهای مربوطه باشند ) بذل و‬
‫بخشش امتیازات در این زمینه شایسته نمی باشد!( . رخنه در سیستم امنیتی از طریق کدهای مخربی که توسط کاربران‬
‫٥١‬
‫ا‬
‫‪WWW.DATA-TCQ.IR‬‬

‫اجراء می گردند، تحقق می یابد . در صورتیکه کاربر، دارای حقوق و امتیازات بیشتری باشد ، آسیب پذیری اطالعات در‬
‫اثر اجرای کدها ی مخرب ، بیشتر خواهد شد . موارد زیر برای اختصاص حقوق کاربران ، پیشنهاد می گردد :‬
‫تعداد ‪ account‬مربوط به مدیران شبکه، می بایست حداقل باشد .‬
‫مدیران شبکه ، می بایست بمنظور انجام فعالیت های روزمره نظیر خواندن پیام های پست الکترونیکی ، از یک ‪account‬‬
‫روزمره در مقابل ورود به شبکه بعنوان ‪، administrator‬استفاده نمایند .‬
‫مجوزهای الزم برای منابع بدرستی تنظیم و پیکربندی گردد . در این راستا می بایست حساسیت بیشتری نسبت به برخی‬
‫از برنامه ها که همواره مورد استفاده متجاوزان اطالعاتی است ، وجود داشته باشد . این نوع برنامه ها ، شرایط مناسبی‬
‫برای متجاوزان اطالعاتی را فراهم می نمایند. جدول زیر برخی از این نوع برنامه ها را نشان می دهد .‬
‫برنامه های مورد توجه متجاوزان اطالعاتی‬
‫,‪explorer.exe, regedit.exe, poledit.exe, taskman.exe, at.exe‬‬
‫,‪cacls.exe,cmd.exe, finger.exe, ftp.exe, nbstat.exe, net.exe‬‬
‫,‪net۱.exe,netsh.exe, rcp.exe, regedt۳۲.exe, regini.exe‬‬
‫,‪regsvr۳۲.exe,rexec.exe, rsh.exe, runas.exe, runonce.exe‬‬
‫,‪svrmgr.exe,sysedit.exe, telnet.exe, tftp.exe, tracert.exe‬‬
‫‪usrmgr.exe,wscript.exe,xcopy.exe‬‬
‫رویکرد حداقل امتیاز ، می تواند به برنامه های سرویس دهنده نیز تعمیم یابد . در این راستا می بایست حتی المقدور،‬
‫سرویس ها و برنامه ها توسط یک ‪ account‬که حداقل امتیاز را دارد ،اجراء گردند .‬
‫ممیزی برنامه ها‬
‫اغلب برنامه های سرویس دهنده ، دارای قابلیت های ممیزی گسترده ای می باشند . ممیزی می تواند شامل دنبال‬
‫نمودن حرکات مشکوک و یا برخورد با آسیب های واقعی باشد . با فعال نمودن ممیزی برای برنامه های سرویس دهنده و‬
‫‪WWW.DATA-TCQ.IR‬‬
‫٦١‬
‫ا‬

‫کنترل دستیابی به برنامه های کلیدی نظیر برنامه هائی که لیست آنها در جدول قبل ارائه گردید، شرایط مناسبی بمنظور‬
‫حفاظت از اطالعات فراهم می گردد .‬
‫چاپگر شبکه‬
‫امروزه اغلب چاپگرهای شبکه دارای قابلیت های از قبل ساخته شده برای سرویس های ‪ FTP,WEB‬و ‪ Telnet‬بعنوان‬
‫بخشی از سیستم عامل مربوطه ، می باشند . منابع فوق پس از فعال شدن ، مورد استفاده قرار خواهند گرفت . امکان‬
‫استفاده از چاپگرهای شبکه بصورت ‪Telnet ، FTP Bound servers‬و یا سرویس های مدیریتی وب ، وجود خواهد‬
‫داشت . رمز عبور پیش فرض را به یک رمز عبور پیچیده تغییر و با صراحت پورت های چاپگر را در محدوده روتر /‬
‫فایروال بالک نموده و در صورت عدم نیاز به سرویس های فوق ، آنها را غیر فعال نمائید.‬
‫پروتکل ‪( Simple Network Management Protocol ) SNMP‬‬
‫پروتکل ‪ ، SNMP‬در مقیاس گسترده ای توسط مدیران شبکه بمنظور مشاهده و مدیریت تمام کامپیوترهای موجود در‬
‫شبکه ) سرویس گیرنده ، سرویس دهنده، سوئیچ ، روتر، فایروال ( استفاده می گردد ‪ ، .SNMP‬بمنظور تایید اعتبار‬
‫کاربران ، از روشی غیر رمز شده استفاده می نماید . متجاوزان اطالعاتی ، می توانند از نفطه ضعف فوق در جهت اهداف‬
‫سوء خود استفاده نمایند . در چنین حالتی، آنان قادر به اخذ اطالعات متنوعی در رابطه با عناصر موجود در شبکه بوده و‬
‫حتی امکان غیر فعال نمودن یک سیستم از راه دور و یا تغییر پیکربندی سیستم ها وجود خواهد داشت . در صورتیکه‬
‫یک متجاوز اطالعاتی قادر به جمع آوری ترافیک ‪ SNMP‬دریک شبکه گردد، از اطالعات مربوط به ساختار شبکه موجود‬
‫بهمراه سیستم ها و دستگاههای متصل شده به آن ، نیز آگاهی خواهد یافت . سرویس دهندگان ‪ SNMP‬موجود بر روی‬
‫هر کامپیوتری را که ضرورتی به وجود آنان نمی باشد ، غیر فعال نمائید . در صورتیکه بهر دلیلی استفاده از ‪SNMP‬‬
‫ضروری باشد ، می بایست امکان دستیابی بصورت فقط خواندنی در نظر گرفته شود . در صورت امکان، صرفا به تعداد‬
‫اندکی از کامپیوترها امتیاز استفاده از سرویس دهنده ‪ SNMP‬اعطاء گردد .‬
‫٧١‬
‫ا‬
‫‪WWW.DATA-TCQ.IR‬‬

‫تست امنیت شبکه‬
‫مدیران شبکه های کامپیوترهای می بایست، بصورت ادواری اقدام به تست امنیتی تمام کامپیوترهای موجود در شبکه‬
‫)سرویس گیرندگان، سرویس دهندگان، سوئیچ ها ، روترها ، فایروال ها و سیتستم های تشخیص مزاحمین( نمایند. تست‬
‫امنیت شبکه ، پس از اعمال هر گونه تغییر اساسی در پیکربندی شبکه ، نیز می بایست انجام شود .‬
‫٨١‬
‫ا‬
‫‪WWW.DATA-TCQ.IR‬‬

‫نرم افزارهای بداندیش :‬
‫)ویروس ها و بدافزارها(‬
‫نام‬
‫‪Virus‬‬
‫توصیف‬
‫خود را به یک برنامه متصل کرده و کپی های از خود را به برنامه های دیگر منتقل می‬
‫کند.‬
‫‪Worm‬‬
‫برنامه ای که کپی های خود را به کامپیوتر های دیگر منتقل می کند.‬
‫‪Logic bomb‬‬
‫وقتی فعال می شود که پیشامد خاصی روی دهد.‬
‫‪Trojan horse‬‬
‫برنامه ای که شامل قابلیت های اضافی غیر منتظره است.‬
‫)‪Backdoor(trapdoor‬‬
‫‪Exploits‬‬
‫‪Downloaders‬‬
‫دستکاری یک برنامه به طوری که دست یابی غیر مجاز به عملیاتی را امکان پذیر نماید.‬
‫کد مختص به یک آسیب پذیری منفرد یا مجموعه ای از آسیب پذیری ها.‬
‫‪downloader‬برنامه ای که اقالم جدیدی را روی ماشین مورد تهاجم نصب می کند. یک‬
‫معموال با یک برنامه ی الکترونیک ارسال می شود.‬
‫‪Auto-rooter‬‬
‫ابزارهای یک نفوذگر بداندیش که از آنها برای ورود به ماشین های جدید از راه دور‬
‫استفاده میکند.‬
‫)‪Kit (virus generator‬‬
‫مجموعه ای از ابزارها برای تولید ویروس های جدید به صورت خودکار.‬
‫‪Spammer programs‬‬
‫برای ارسال حجم زیادی از هرزنامه های الکترونیک به کار می رود.‬
‫‪Flooders‬‬
‫برای حمله به شبکه های کامپیوتری از طریق ایجاد حجم باالیی از ترافیک به کار می رود‬
‫تا یک حمله ی انکار سرویس )‪ (dos‬را سازمان دهد.‬
‫‪Keyloggers‬‬
‫‪Rootkit‬‬
‫حرکات صفحه کلید در یک کامپیوتر مورد حمله را می یابد.‬
‫مجموعه ای از ابزارهای نفوذگری که پس از این که نفوذگر به سیستم راه یافت از آن ها‬
‫برای دسترسی به ‪ root-level‬استفاده می کند.‬
‫‪Zombie‬‬
‫برنامه ای که روی یک سیستم آلوده شده فعال می شود تا حمالت بر روی ماشین های‬
‫دیگر را سازمان دهد.‬
‫٩١‬
‫ا‬
‫‪WWW.DATA-TCQ.IR‬‬

‫ویروس کامپیوتري چیست؟‬
‫ویروس کامپیوتر برنامهاي است که ميتواند نسخههاي اجرایي خود را در برنامههاي دیگر قرار دهد. هر برنامه آلوده‬
‫ميتواند به نوبه خود نسخههاي دیگري از ویروس را در برنامههاي دیگر قرار دهد. برنامهاي را برنامه ویروس می نامیم که‬
‫همه ویژگیهاي زیر را داراباشد:‬
‫۱( تغییر نرم افزارهایي که به برنامه ویروس متعلق نیستند با چسباندن قسمتهایي از این برنامه به برنامههاي دیگر‬
‫۲( قابلیت انجام تغییر در بعضي از برنامهها.‬
‫۳( قابلیت تشخیص این نکته که برنامه قبال دچار تغییر شده است یا خیر.‬
‫ً‬
‫۴( قابلیت جلوگیري از تغییر بیشتر یك برنامه در صورت تغییراتی در آن بواسطه ی ویروس .‬
‫۵( نرم افزارهاي تغییر یافته ویژگیهاي ۱ الي ۴ را دارا هستند . اگر برنامهاي فاقد یك یا چند ویژگی از ویژگیهای فوق باشد،‬
‫نمی توان به طور قاطع آنرا ویروس نامید .‬
‫آشنایي با انواع مختلف برنامههاي مخرب :‬
‫ ‪E-mail virus‬‬‫ویروسهایي که از طریق ‪ E-mail‬وارد سیستم ميشوند معموالً به صورت مخفیانه درون یك فایل ضمیمه شده قرار دارند‬
‫که با گشودن یك صفحه ی ‪ HTML‬یا یك فایل قابل اجراي برنامهاي )یك فایل کد شده قابل اجرا( و یا یك ‪word‬‬
‫‪ document‬می توانند فعال شوند.‬
‫٠٢‬
‫ا‬
‫‪WWW.DATA-TCQ.IR‬‬

‫– ‪Marco virus‬‬
‫این نوع ویروسها معموال به شکل ماکرو در فایلهایي قرار می گیرند که حاوي صفحات متني )‪ (word document‬نظیر‬
‫ً‬
‫فایلهاي برنامههاي ‪ ) Ms office‬همچون ‪ microsoft word‬و ‪( Excel‬هستند .‬
‫توضیح ماکرو: نرم افزارهایي مانند ‪ microsoft word‬و ‪ Excel‬این امکان را برای کاربر بوجود می آورند که در صفحه متن‬
‫خود ماکرویي ایجاد نماید،این ماکرو حاوي یکسري دستور العملها، عملیات و یا ‪ keystroke‬ها است که تماما توسط خود‬
‫ً‬
‫کاربر تعیین میگردند.‬
‫ماکرو ویروسها معموال طوري تنظیم شدهاند که به راحتي خود را در همه صفحات متني ساخته شده با همان نرم افزار‬
‫ً‬
‫)‪ (Excel , ms word‬جاي ميدهند.‬
‫ اسب تروآ:‬‫این برنامه حداقل به اندازه خود اسب تروآي اصلي قدمت دارد . عملکرد این برنامهها ساده و در عین حال خطرناك است.‬
‫در حالیکه کاربر متوجه نیست و با تصاویر گرافیکی زیبا و شاید همراه با موسیقی محسور شده ، برنامه عملیات مخرب خود‬
‫را آغاز می کند.‬
‫براي مثال به خیال خودتان بازي جدید و مهیجي را از اینترنت ‪ Download‬کردهاید ولي وقتي آنرا اجرا ميکنید متوجه‬
‫خواهید شد که تمامی فایلهاي روي هارد دیسك پاك شده و یا به طور کلي فرمت گردیده است.‬
‫ کرمها )‪(worm‬‬‫برنامه کرم برنامهاي است که با کپي کردن خود تولید مثل ميکند. تفاوت اساسي میان کرم و ویروس این است که کرمها‬
‫براي تولید مثل نیاز به برنامة میزبان ندارند. کرمها بدون استفاده از یك برنامة حامل به تمامي سطوح سیستم کامپیوتري‬
‫»خزیده« و نفوذ ميکنند.‬
‫١٢‬
‫ا‬
‫‪WWW.DATA-TCQ.IR‬‬

‫ ویروسهاي بوت سکتور و پارتیشن‬‫‪ Boot sector‬قسمتی از دیسك سخت و فالپي دیسك است که هنگام راه اندازی سیستم از روي آن به وسیله کامپیوتر‬
‫خوانده ميشود. ‪ Boot Sector‬یا دیسك سیستم ، شامل کدي است که براي بار کردن فایلهاي سیستم ضروري است. این‬
‫دیسکها داده هایی در خود دارند و همچنین حاوي کدي هستند که براي نمایش پیغام راه اندازی شدن کامپیوتر بوسیلهی‬
‫آن الزم است .‬
‫سکتور پارتیشن اولین بخش یك دیسك سخت است که پس از راهاندازي سیستم خوانده ميشود. این سکتور راجع به‬
‫دیسک اطالعاتي نظیر تعداد سکتورها در هر پارتیشن و نیز موقعیت همه ی پارتیشنها را در خود دارد.‬
‫سکتور پارتیشن، رکورد اصلي راهاندازي یا ‪ Master Boot Record -MBR‬نیز نامیده ميشود.‬
‫بسیاري ازکامپیوترها به گونه ای پیکربندي شدهاند که ابتدا از روي درایو: ‪ A‬راهاندازي میشوند. )این قسمت در بخش‬
‫‪ Setup‬سیستم قابل تغییر و دسترسي است( اگر بوت سکتور یك فالپي دیسك آلوده باشد، و شما سیستم را از روي آن‬
‫راهاندازي کنید، ویروس نیز اجرا شده و دیسك سخت را آلوده ميکند.‬
‫اگر دیسکی حاوي فایلهاي سیستمي هم نبوده باشد ولي به یك ویروس بوت سکتوري آلوده باشد وقتی اشتباها دیسکت را‬
‫ً‬
‫درون فالپي درایو قرار دهید و کامپیوتر را دوباره راهاندازي کنید پیغام زیر مشاهده ميشود. ولي به هر حال ویروس بوت‬
‫سکتوري پیش از این اجرا شده و ممکن است کامپیوتر شما را نیز آلوده کرده باشد.‬
‫‪Non-system disk or disk error‬‬
‫‪Replace and press any key when ready‬‬
‫کامپیوترهاي بر پایه ‪ Intel‬در برابر ویروسهاي ‪ Boot Sector‬و ‪ Partition Table‬آسیب پذیر هستند.‬
‫تا قبل از اینکه سیستم باال بیاید و بتواند اجرا شود صرفنظر از نوع سیستم عامل می تواند هر کامپیوتری را آلوده سازد.‬
‫٢٢‬
‫ا‬
‫‪WWW.DATA-TCQ.IR‬‬

‫ ‪) HOAX‬گول زنكها(‬‫این نوع ویروسها در قالب پیغامهاي فریب آمیزي ، کاربران اینترنت را گول زده و به کام خود ميکشد. این نوع ویروسها‬
‫معموال به همراه یك نامه ضمیمه شده از طریق پست الکترونیك وارد سیستم ميشوند. متن نامه مسلما متن مشخصي‬
‫ً‬
‫ً‬
‫نیست و تا حدودي به روحیات شخصي نویسنده ویروس بستگی دارد، پیغامها می توانند مضمونی تحدید آمیز یا محبت‬
‫آمیز داشته باشند و یا در قالب هشداری ، مبنی بر شیوع یک ویروس جدید ئر اینترنت ، یا درخواستی در قبال یک مبلغ‬
‫قابل توجه و یا هر موضوع وسوسه انگیز دیگر باشد . الزم به ذکر است که همه این نامهها اصل نميباشند یعني ممکن است‬
‫بسیاری از آنها پیغام شخص سازنده ویروس نباشند بلکه شاید پیغام ویرایش شده یا تغییر یافته از یك کاربر معمولي و یا‬
‫شخص دیگري باشد که قبال این نامهها را دریافت کرده و بدینوسیله ویروس را با پیغامي کامال جدید مجددًا ارسال ميکند.‬
‫ً‬
‫نحوه تغییر پیغام و ارسال مجدد آن بسیار ساده بوده ، همین امر باعث گسترش سریع ‪Hoax‬ها شده، با یك دستور‬
‫‪ Forward‬ميتوان ویروس و متن تغییر داده شده را براي شخص دیگري ارسال کرد. اما خود ویروس چه شکلي دارد؟‬
‫ویروسي که در پشت این پیغامهاي فریب آمیز مخفي شده ميتواند به صورت یك بمب منطقي ، یك اسب تروا و یا یکي از‬
‫فایلهاي سیستمي ویندوز باشد. شیوهاي که ویروس ‪ Magistre-A‬از آن استفاده کرده و خود را منتشر ميکند.‬
‫ ‪ SULFNBK‬یك ویروس، یك شوخي و یا هردو ؟!‬‫سایت خبري سافس چندي پیش خبري مبني بر شناخته شدن یك ویروس جدید منتشر کرد، ویروسي با مشخصه‬
‫‪(SULFNBK (SULFNBK.EXE‬که ممکن است نام آن اغلب برای شما آشنا باشد .‬
‫‪ SULFNBK.EXE‬نام فایلي در سیستم عامل ویندوز ۸۹می باشد که وظیفه بازیابي اسامي طوالني فایلها را به عهده دارد‬
‫و در سیستم عامل ویندوز ۸۹ فایلی سودمند می باشد .‬
‫اینجاست که می توان به مفهوم واقی ‪ HOAX‬ها پی برد ، فایل ‪ SULFNBK.EXE‬که معموال از طریق پست الکترونیکی‬
‫به همراه یک نامه ی فریب آمیز و شاید تهدید آمیز به زبان پروتکلی وارد سیستمها می شود دقیقا در جایی ساکن می‬
‫شود که فایل سالم ‪SULFNBK.EXE‬در آنجاست به بیان بهتر اینکه جایگزین آن فایل سالم می شود. فایل‬
‫‪ SULFNBK.EXE‬آلوده در شاخه ‪ Command‬ویندوز ۸۹ ساکن شده و چون به همان شکل و سایز ميباشد به همین‬
‫منظور کاربر متوجه حضور یك ویروس جدید در سیستم خود نخواهد شد ، اینجاست که فریب خورده، ویروس خطرناك‬
‫٣٢‬
‫ا‬
‫‪WWW.DATA-TCQ.IR‬‬

‫‪ Magistre-A‬که در هسته این فایل وجود دارد در اول ماه ژوین فعال شده و سازنده خود را به مقصودش ميرساند.‬
‫نسخهاي دیگر از این ویروس را ميتوان یافت که در ۵۲ ماه مي فعال می شود. تفاوتي که این ویروس نسخه قبلي خود‬
‫دارد آنست که روي فایل ‪ SULFNBK.EXE‬آلوده در درایو ‪ C‬ساکن ميشود. الزم به ذکر است این ویروس در سیستم‬
‫عامل ویندوز ۸۹فعال شده و حوزه فعالیتش در درایو ‪ C‬ميباشد.‬
‫تشخیص اینکه فایل ‪ SULFNBK.EXE‬واقعا آلوده است یا خیر دشوار می باشد . البته شاید بعد از ماه ژوئن ۲۰۰۲ از‬
‫ً‬
‫طریق ویروس یابهای جدید مانند ‪ Norton Mcafee‬بتوان آنها را تشخیص داد ، اما در صورت در سترس نبودن ویروس‬
‫یابهای مذکور ، حداقل می توان ‪ SULFNBK.EXE‬را چه آلوده و چه غیر آلوده پاک کرد ، البته از آنجایي که فایل‬
‫‪ SULFNBK.EXE‬یك فایل سیستمي ویندوز به شمار ميرود ممکن است پاك کردن آن به سیستم عامل لطمه وارد کند،‬
‫از اینرو بد نیست قبل از پاك کردن، نسخهاي از آن را بر روي یك فالپي کپي کرده و نگه داریم. حقیقت آنست که کمتر‬
‫کسي ریسک می کند و این قبیل فایلها را اجرا می کند .‬
‫پیغامي که ضمیمه این فایل ارسال ميشود نیز در چندین نسخه وجود دارد. همانطور که قبال ذکر شد نسخه ی اصل پیغام‬
‫به زبان پرتغالي است اما ترجمه ی انگلیسي و اسپانیولي آن میز یافت شده است .‬
‫به هرحال هر ویروس چه از نوع ‪ HOAX‬باشد و چه از انواع دیگر، مدتی چه طوالنی و چه کوتاه روي بورس است و معموال‬
‫ً‬
‫لطمههاي جبران ناپذیر خود را در همان بدو تولد به جاي گذاشته و بعد از مدتي مهار ميشود . نکته ی قابل توجه اینست‬
‫که با داشتن خداقل آشنایی از این ویروسها در همان شروع کار به راحتی ميتوان با نسخههاي جدیدتر آن ویروس و یا‬
‫ویروسهاي مشابه مبارزه کرد.‬
‫تروجان چیست ؟ چگونه کار می کند ؟‬
‫یك تروجان یك برنامه کامپیوتری می باشد که جاسوس کامپیوتری نیز نامیده میشود . یك تروجان وقتی در کامپیوتری اجرا‬
‫می شود در آن کامپیوتر ماندگار می شود مانند ویروسها که در کامپیوتر می مانند . با نصب فایروال و آنتی ویروسها‬
‫می توانیم جلوی ورود بعضی از آنها را به سیستم خود بگیریم . البته همه تروجانها را آنتی ویروسها نمیتوانند تشخیص‬
‫دهند .‬
‫٤٢‬
‫ا‬
‫‪WWW.DATA-TCQ.IR‬‬

‫تروجانها اطالعاتی از کامپیوتر را کامپیوتری که فایل سرور در آن اجرا شده به شخصی که هکرها آن تروجان را‬
‫به کامپوتر قربانی فرستاده , می فرستد . این اطالعات میتواند پسوردهای کامپیوتر مانند پسورد ‪ Admin‬و یا پسوردهای‬
‫اینترنتی مانند‬
‫‪ Yahoo Password‬و ‪ Internet Connection Password‬و یا آدرس ‪ IP‬باشد.‬
‫این اطالعات می توانند در قالب یك ایمیل ‪ E-Mail‬به شخص هکر فرستاده شوند .‬
‫بعضی از تروجان ها توانایی سرویس دهی برای هکرها را نیز دارند ; یعنی اگر تروجانی در کامپیوتری اجرا شود فرستنده‬
‫آن تروجان میتواند کامپیوتر قربانی را با استفاده از کامپیوتر خود و از راه دور کنترل کند و عملیاتی بر روی کامپیوتر‬
‫مانند : حذف فایل , مشاهده درایوها , فرمت کردن درایوها و ... انجام دهد . البته باید سرور فایل اجرا شده در‬
‫کامپیوتر قربانی این سرویس دهی ها را دارا باشد .‬
‫ ‪ CELLSAVER‬یك اسب تروا‬‫‪ a.k.a CellSaver- Celcom Screen Saver‬نیر ویروسي از نوع ‪ HOAX‬ميباشد و علیرغم مدت زیادی که از اولین انتشار‬
‫آن می گذرد کاربران زیادی را دچار مشکل ساخته است . این ویروس برای کاربران اینترنت ارسال شده است . نسخه‬
‫نخست آن در سال ۸۹۹۱ و نسخه جدیدتر آن کمي بعد در آوریل ۹۹۹۱ به همراه یك پیغام دروغین منتشر شد.‬
‫هرگاه نامهاي با عنوان ‪ CELLSAVER.EXE‬به همراه فایلي با همین نام دریافت کردید سریعا آنرا پاك کرده و از‬
‫‪ Forward‬کردن براي شخصی دیگر بپرهیزبد ،اینکار هیچ گونه لذتي نداشته ، فقط به انتشار و بقای بیشتر آن کمك می‬
‫کند .‬
‫این فایل یك اسب تروا کامل ميباشد ، یك فایل ‪ Screen Saver‬زیبا براي ویندوز که به محض اجرا شدن هر کسي را‬
‫مجذوب و مسحور ميگرداند.‬
‫احتیاط کنید! ‪ CELLSAVER.EXE‬به محض اجرا شدن ، یك گوشي تلفن بيسیم ‪ Nokia‬را بصورت یک ‪Screen Saver‬‬
‫بر روی صفحه نمایش نشان مي دهد . در صفحه نمایش این گوشي، می توان زمان و پیغامهارا دید. بعد از یکبار اجرا شدن،‬
‫ویروس فعال شده و شما خیلي زود متوجه خواهید شد که سیستم بسیار کند عمل کرده ، قادر به بوت شدن نخواهد بود و‬
‫اطالعات رود هارد دیسك نیز پاکسازي ميشوند .در نتیجه مجبور به نصب مجددکلیه برنامهها خواهید بود.‬
‫٥٢‬
‫ا‬
‫‪WWW.DATA-TCQ.IR‬‬

‫در آخر باز هم یادآور ميشویم که هرگز نامه های دریافتي که کمي ناشناخته و مشکوك به نظر ميرسند را باز نکنید.‬
‫ ویروسهاي چند جزئي ‪Multipartite virus‬‬‫بعضي از ویروسها، ترکیبي از تکنیکها را براي انتشار استفاده کرده ، فایلهاي اجرائي، بوت سکتور و پارتیشن را آلوده می‬
‫سازند. اینگونه ویروسها معموال تحت ۸۹ ‪windows‬یا ‪ Win.Nt‬انتشار نميیابند.‬
‫ً‬
‫چگونه ویروسها گسترش ميیابند؟‬
‫زماني که یك کد برنامة آلوده به ویروس را اجرا ميکنید، کد ویروس هم پس از اجرا به همراه کد برنامه اصلي ، در وهله‬
‫اول تالش ميکند برنامههاي دیگر را آلوده کند. این برنامه ممکن است روي همان کامپیوتر میزان یا برنامهاي بر روي‬
‫کامپیوتر دیگر واقع در یك شبکه باشد. حال برنامه تازه آلوده شده نیز پس از اجرا دقیقا عملیات مشابه قبل را به اجرا‬
‫ً‬
‫درمياورد. هنگامیکه بصورت اشتراکی یک کپی از فایل آلوده را در دسترس کاربران دیگر کامپیوترها قرار می دهید ، با‬
‫اجراي فایل کامپیوترهاي دیگر نیز آلوده خواهند شد. همچنین طبیعي است با اجراي هرچه بیشتر فایلهاي آلوده فایلهاي‬
‫بیشتري آلوده خواهند شد.‬
‫اگر کامپیوتري آلوده به یك ویروس بوت سکتور باشد، ویروس تالش ميکند در فضاهاي سیستمي فالپي دیسکها و هارد‬
‫دیسك از خود کپی هایی بجا بگذارد . سپس فالپي آلوده ميتواند کامپیوترهایي را که از رويآن بوت ميشوند و نیز یك‬
‫نسخه از ویروسي که قبال روي فضاي بوت یك هارد دیسك نوشته شده نیز ميتواند فالپيهاي جدید دیگري را نیز آلوده‬
‫ً‬
‫نماید.‬
‫به ویروسهایي که هم قادر به آلوده کردن فایلها و هم آلوده نمودن فضاهاي بوت ميباشند اصطالحا ویروسهاي چند جزئي‬
‫ً‬
‫)‪ (multipartite‬می گویند.‬
‫فایلهایي که به توزیع ویروسها کمك ميکنند حاوي یك نوع عامل بالقوه ميباشند که می توانند هر نوع کد اجرائي را آلوده‬
‫کنند. براي مثال بعضي ویروسها کدهاي را آلوده ميکنند که در بوت سکتور فالپي دیسکها و فضای سیستمي هارد‬
‫دیسکها وجود دارند.‬
‫٦٢‬
‫ا‬
‫‪WWW.DATA-TCQ.IR‬‬

‫نوع دیگر این ویروس ها که به ویروسهاي ماکرو شناخته می شوند ، ميتوانند عملیات پردازش کلمهاي ) ‪word‬‬
‫‪ (processing‬یا صفحههاي حاوي متن را که از این ماکروها استفاده ميکنند ، آلوده می کنند. این امر براي صفحههایي با‬
‫فرمت ‪ HTMl‬نیز صادق است.‬
‫از آنجائیکه یك کد ویروس باید حتما قابل اجرا شدن باشد تا اثري از خود به جاي بگذارد از اینرو فایلهایي که کامپیوتر به‬
‫ً‬
‫عنوان دادههاي خالص و تمیز با آنها سرو کار دارد امن هستند.‬
‫فایلهاي گرافیکي و صدا مانند فایلهایي با پسوند . ‪…،wav ،mp۳ ،jpg ،gif‬هستند .‬
‫براي مثال زماني که یك فایل با فرمت ‪ picture‬را تماشا ميکنید کامپیوتر شما آلوده نخواهد شد.‬
‫یك کد ویروس مجبور است که در قالب یك فرم خاص مانند یك فایل برنامهاي .‪ exe‬یا یك فایل متني ‪ doc‬که کامپیوتر واقعا‬
‫ً‬
‫آن را اجرا ميکند ، قرار گیرد .‬
‫عملیات مخفیانه ویروس در کامپیوتر‬
‫همانطور که ميدانید ویروسها برنامههاي نرم افزاري هستند .آنها ميتوانند مشابه برنامههایي باشند که به صورت عمومي‬
‫در یك کامپیوتر اجرا می گردند .‬
‫اثر واقعي یك ویروس بستگي به نویسنده آن دارد. بعضي از ویروسها با هدف خاص ضربه زدن به فایلها طراحي می شوند و‬
‫یا اینکه در عملیات مختلف کامپیوتر دخالت کرده و ایجاد مشکل ميکنند.‬
‫ویروسها براحتي بدون آنکه متوجه شوید خود را تکثیر کرده ، گسترش ميیابند ، در حین گسترش یافتن به فایلها صدمه‬
‫رسانده و یا ممکن است باعث مشکالت دیگری شوند.‬
‫نکته: ویروسها قادر نیستند به سخت افزار کامپیوتر صدمه ای وارد کنند . مثال نمی توانند باعث ذوب شدن ‪، CPU‬‬
‫ً‬
‫سوختن هارد دیسک و یا انفجار مانیتور و غیره شوند .‬
‫٧٢‬
‫ا‬
‫‪WWW.DATA-TCQ.IR‬‬

‫ویروسها و ‪E-mail‬‬
‫شما صرفا با خواندن یك متن سادة ‪ e-mail‬یا استفاده از ‪ ، netpost‬ویروسي دریافت نخواهید کرد. بلکه باید مراقب‬
‫پیغامهاي رمز دار حاوي کدهاي اجرائي و یا پیغامهایی بود که حاوي فایل اجرائي ضمیمه شده )یك فایل برنامهاي کد شده‬
‫و یا یك ‪ word document‬که حاوي ماکروهایي باشد( می باشند. از این رو براي به کار افتادن یك ویروس یا یك برنامه اسب‬
‫تروا ، کامپیوتر مجبور به اجرای کدهایی است ميتوانند یك برنامه ضمیمه شده به ‪ ، e-mail‬یك ‪ word document‬دانلود‬
‫شده از اینترنت و یا حتي مواردی از روي یك فالپي دیسك باشند.‬
‫نکاتي جهت جلوگیري از آلوده شدن سیستم‬
‫اول از هرچیزي به خاطر داشته باشید اگر برنامه ای درست کار نکند یا کال کامپیوتر در بعضی از عملیات سریع نباشد بدان‬
‫معنا نیست که به ویروس آلوده شده است .‬
‫اگر از یك نرم افزار آنتي ویروس شناخته شده و جدید استفاده نميکنید در قدم اول ابتدا این نرم افزار را به همراه کلیه‬
‫امکاناتش بر روي سیستم نصب کرده و سعي کنید آنرا به روز نگه دارید.‬
‫اگر فکر ميکنید سیستمتان آلوده است سعي کنید قبل از انجام هر کاري از برنامه آنتي ویروس خود استفاده کنید.) البته‬
‫اگر قبل از استفاده از آن، آنرا بروز کرده باشید بهتر است(. سعي کنید بیشتر نرم افزارهاي آنتي ویروس را محك زده و‬
‫مطمئن ترین آنها را برگزینید.‬
‫البته بعضي وقتها اگر از نرم افزارهاي آنتي ویروس قدیمي هم استفاده کنید، بد نیست. زیرا تجربه ثابت کرده که ویروس‬
‫یابهای قدیمی بهتر می توانند ویروسهایی را که برای مدتی فعال بوده و به مرور زمان بدست فراموشی سپرده شده اند را‬
‫شناسایی و پاکسازی کنند .‬
‫ولي اگر جزء افرادي هستید که به صورت مداوم با اینترنت سروکار دارید حتما به یك آنتي ویروس جدید و به روز شده نیاز‬
‫ً‬
‫خواهید داشت .‬
‫٨٢‬
‫ا‬
‫‪WWW.DATA-TCQ.IR‬‬

‫براي درك بهتر و داشتن آمادگي در هر لحظه براي مقابله با نفوذ ویروسها به نکات ساده ی زیر توجه کنید :‬
‫۱- همانطور که در باال ذکر شد از یك کمپاني مشهور و شناخته شده بر روي سیستم تان یک نرم افزار آنتی ویروس نصب‬
‫کرده و سعي کنید همیشه آنرا به روز نگه دارید.‬
‫۲- همیشه احتمال ورود ویروسهاي جدید به سیستم وجود دارد . پس یك برنامه آنتي ویروس که چند ماه به روز نشده‬
‫نميتواند در مقابل جریان ویروسها مقابله کند.‬
‫۳-توصیه می شود براي آنکه سیستم امنیتي کامپیوتر از نظم و سازماندهي برخوردار باشد برنامه ‪) a.v‬آنتي ویروس( خود را‬
‫سازماندهي نمائید ، مثال قسمت ‪ configuration‬نرم افزار ‪ .a.v‬خود را طوري تنظیم کنید که به صورت اتوماتیك هر دفعه‬
‫ً‬
‫که سیستم بوت ميشود آن را چك نماید، این امر باعث ميشود سیستم شما در هر لحظه در مقابل ورود ویروس و یا‬
‫هنگام اجراي یك فایل اجرائي ایمن شود.‬
‫۴- برنامههاي آنتي ویروس در یافتن برنامههاي اسب تروآ خیلي خوب عمل نميکنند از این رو در باز کردن فایلهاي‬
‫باینري و فایلهاي برنامههاي ‪ excel‬و ‪ Word‬که از منابع ناشناخته و احیانا مشکوك ميباشند محتاط عمل کنید.‬
‫ً‬
‫۵-اگر براي ایمیل و یا اخبار اینترنتي بر روي سیستم خود نرم افزار کمکي خاصي دارید که قادر است به صورت اتوماتیك‬
‫صفحات ‪ Java script‬و ‪ word macro‬ها و یا هر گونه کد اجرائي موجود و یا ضمیمه شده به یك پیغام را اجرا نماید توصیه‬
‫ميشود این گزینه را غیر فعال )‪ (disable‬نمائید.‬
‫۶-از باز کردن فایلهایی که از طریق چت برایتان فرستاده می شوند ، پرهیز کنید.‬
‫۷- اگر احیانا بر روي هارد دیسك خوداطالعات مهمي دارید حتما از همه آنها نسخه پشتیبان تهیه کنید تا اگر اطالعات‬
‫ً‬
‫ً‬
‫شما آلوده شده اند یا از بین رفتند بتوانید جایگزین کنید.‬
‫نکاتي براي جلوگیري از ورود کرمها به سیستم :‬
‫از آنجائیکه این نوع برنامهها )‪ (worms‬امروزه گسترش بیشتري یافته و باید بیشتر از سایر برنامههاي مخرب از آنها دوري‬
‫کنیم، از این رو به این نوع برنامه هاي مخرب بیشتر ميپردازیم.‬
‫٩٢‬
‫ا‬
‫‪WWW.DATA-TCQ.IR‬‬

‫کرمها برنامههاي کوچکي هستند که با رفتاري بسیار موذیانه به درون سیستم رسوخ کرده، بدون واسطه خود را تکثیر‬
‫کرده و خیلي زود سراسر سیستم را فرا ميگیرند. در زیر نکاتي براي جلوگیري از ورود کرمها آورده شده است.‬
‫۱( بیشتر کرمهایي که از طریق ‪ E-mail‬گسترش پیدا ميکنند از طریق نرم افزارهاي ‪ microsoft outlook‬و یا ‪out look‬‬
‫‪ express‬وارد سیستم ميشوند. اگر شما از این نرم افزار استفاده ميکنید پیشنهاد می شود همیشه آخرین نسخه ‪security‬‬
‫‪ patch‬این نرم افزار را از سایت ‪ microsoft‬دریافت و به روز کنید.‬
‫همچنین بهتر است عالوه بر به روز کردن این قسمت از نرم افزار ‪ outlook‬سعي کنید سایر نرم افزارها و حتي سیستم‬
‫عامل خود را نیز در صورت امکان همیشه به روز نگه دارید، و یا حداقل بعضي از تکههاي آنها را که به صورت بروز درآمده‬
‫قابل دسترسي است.‬
‫اگر از روي اینترنت بروز ميکنید و یا از ‪ cd‬ها و بستههاي نرم افزاري آماده در بازار ،از اصل بودن آنها اطمینان حاصل‬
‫کنید.‬
‫۲( تا جاي ممکن در مورد ‪ e-mail attachment‬ها محتاط باشید. چه در دریافت ‪ e-mail‬و چه در ارسال آنها.‬
‫۳( همیشه ویندوز خود را در حالت ‪ show file extensions‬قرار دهید.‬
‫این گزینه در منوي ‪ Tools/folder option/view‬با عنوان ”‪ “Hide file extensions for known file Types‬قرار داردکه‬
‫به صورت پیش فرض این گزینه تیك خورده است، تیك آنرا بردارید.‬
‫۴( فایلهاي ‪ attach‬شده با پسوندهاي ‪ SHS‬و ‪ VBS‬و یا ‪ PIF‬را هرگز باز نکنید. این نوع فایلها در اکثر موارد نرمال نیستند‬
‫و ممکن است حامل یك ویروس و یا کرم باشند.‬
‫۵( هرگز ضمائم دو پسوندي را باز نکنید.‬
‫‪ email attachment‬هایي با پسوندهایی مانند ‪ Neme.BMP.EXE‬و یا ‪ Name.TxT.VBS‬و …‬
‫۶( پوشههاي موجود بر روي سیستم خود رابجز در مواقع ضروري با دیگر کاربران به اشتراك نگذارید . اگر مجبور به این کار‬
‫هستید، اطمینان حاصل کنید که کل درایو و یا شاخه ویندوز خود را به اشتراك نگذاشته اید.‬
‫۷( زماني که از کامپیوتر استفاده نميکنید کابل شبکه و یا مودم را جدا کرده و یا آنها را خاموش کنید.‬
‫٠٣‬
‫ا‬
‫‪WWW.DATA-TCQ.IR‬‬

‫۸( اگر از دوستي که به نظر می رسد ناشناس است ایمیلی دریافت کردید قبل از باز کردن ضمائم آن حتما متن را چند بار‬
‫ً‬
‫خوانده و زماني که مطمئن شدید از طرف یك دوست است ، آنگاه سراغ ضمائم آن بروید.‬
‫۹(توصیه می شود فایلهاي ضمیمه شده به ایمیلهاي تبلیغاتي و یا احیانا ‪ weblink‬هاي موجود در آنها را حتي االمکان‬
‫ً‬
‫باز نکنید.‬
‫۰۱( از فایلهاي ضمیمه شدهاي که به هر نحوي از طریق تصاویر و یا عناوین خاص، به تبلیغ مسائل جنسي و مانند آن می‬
‫پردازند ، دوري کنید. عناویني مانند ‪ porno.exe‬و یا ‪ pamela-Nude.VBS‬که باعث گول خوردن کاربران ميشود.‬
‫۱۱( به آیکون فایلهاي ضمیمه شده نیز به هیچ عنوان اعتماد نکنید. چرا که ممکن است کرمهایي در قالب فایل عکس و یا‬
‫یک فایل متني فرستاده شود ولي در حقیقت این فایل یك فایل اجرائي بوده و باعث فریب خوردن کاربر ميشود.‬
‫۲۱(در ‪ massenger‬هایي مانند ‪ ICQ ،IRC‬و یا ‪ AOL‬به هیچ عنوان فایلهاي ارسالي از جانب کاربران ناشناس ‪on-line‬‬
‫در‪ chat system‬ها را قبول )‪ (accept‬نکنید.‬
‫۳۱( از ‪ Download‬کردن فایل از گروههاي خبري همگاني نیز پرهیز کنید.)‪ (usenet news‬زیرا اغلب گروههاي خبري خود‬
‫یکي از علل پخش ویروس می باشند .‬
‫‪ CODERED‬یك نوع کرم اینترنتي‬
‫مرکز تطبیق و هماهنگي ‪ Cert‬در پتیسبورگ که مرکزي براي بررسي اطالعات سري کامپیوتري است، اذعان ميدارد که‬
‫ویروس ‪ CODERED‬احتماال به درون بیش از ۰۰۰۰۸۲ دستگاه متصل به اینترنت که از سیستم عاملهاي ۰.۴‪ NT‬و‬
‫ً‬
‫ویندوز ۰۰۰۲ استفاده ميکنند نفوذ کرده است. حال آنکه این سیستم عاملها ، داراي مزیت محافظتی به وسیلة نرم‬
‫افزارهاي خطایاب ۵‪ IIS‬و ۴‪ IIS‬می باشند .‬
‫هنگامي که هر دو گونه این ویروس )نسخههاي ۹۲.‪ A‬و ‪ ( codered II‬تالش ميکنند تا روي سرورهایي که به وسیله‬
‫سرویسهاي شاخص نرم افزارهاییکه ‪ IIS‬از لحاظ ضعفهاي عبوري یا مقاومت در برابر ویروسهاي جدید اصالح نشدهاند ،‬
‫١٣‬
‫ا‬
‫‪WWW.DATA-TCQ.IR‬‬

‫نفوذ و منتشر شوند، یکي از دو نسخه قدیمي این ویروس طوري تنظیم شده است که صفحات اولیه اتصال اینترنتي معروف‬
‫به ‪ Homepage‬و یا ‪ start page‬مربوط به وب سرور آلوده شده را از حالت طبیعي خارج سازد.‬
‫این ویروس طوري تنظیم شده است که تا بیستمین روز ماه منتشر ميشود ،آنگاه با حالتي که ‪ cert‬آن را مرحله ویرانگر‬
‫نامیده است، چنان عمل ميکند که خود سرویس محافظ شخصي را بر علیه آدرس اینترنتي داده شده وادار به خرابکاري‬
‫ميکند. جالب است بدانید اولین آدرس اینترنتي داده شده به ویروس وب سرور کاخ سفید بوده است.‬
‫به نظر می رسد که این ویروس در آخرین ساعت بیست و هفتیمن روز ماه، بمباران و انتشارهاي خود را متوقف کرده ،‬
‫وارد مرحله خواب موقتي شده و خود را غیر فعال ميکند. حال آیا ویروس قدرت این را دارد که در اولین روز ماه بعد ،‬
‫خود را براي فعالیتي دوباره بیدار کند.‬
‫یك مرکز تحقیقات تخصصي که در اوهایو ایاالت کلمبیا شرکتي مشاورهاي و فني است، به بررسي و تست ویروس‬
‫‪ Codered‬پرداخته و به این نتیجه رسیده است که این مزاحم خواب آلود ميتواند دوباره خود را فعال کرده و فرآیند‬
‫جستجوی میزبانان جدید را از سر بگیرد.‬
‫بررسیها و نتایج به دست آمده نشان مي دهند که ‪ codered‬براي شروع فعالیت مجدد، فایل مخصوصي را جستجو کرده و‬
‫تا زمان پیدا کردن آن فایل و ساختن درایو مجازي خاصي به نام تروآ )‪ (Trojan‬در حالت خواب باقي ميماند.‬
‫کارشناسان فني بر این عقیدهاند که این ویروس مجبور نیست خود را بیدار و فعال کند تا برای سیستمها تحدیدی جدي‬
‫به حساب آید. در حال حاضر سیستمهاي آلوده ی بسیاری وجود دارند که ناخودآگاه براي انتشار و سرایت ویروس به‬
‫سیستمهاي دیگر تالش ميکنند. یکي از کارشناسان ‪ SARC‬یکي از مراکز تحقیقاتي ميگوید : از آنجا که کامپیوترهاي‬
‫زیادي هستند که ساعتها درست تنظیم نشده ، شاهد انتشار مجدد این ویروس خواهیم بود. تنها یکي از سیستمهاي آلوده،‬
‫براي انتشار موج جدیدي از اختالالت کافي خواهد بود.‬
‫محاسبات مرکز تطبیق و هماهنگي ‪ CERT‬نشان ميدهد که ویروس ۰۰۰۰۵۲ ‪ ، Codered‬سرور ویندوزهایي که در خالل‬
‫۹ ساعت اول فعالیت زود هنگام خود، سرور ویندوزهایی که آسیب پذیر بوده اند را آلوده ساخته است. بولتن خبري ‪CERT‬‬
‫تخمین ميزند که با شروع فعالیت ویروس از یك میزبان آلوده، زمان الزم براي آلوده شدن تمام سیستمهایي که علیرغم‬
‫استفاده از نرم افزارهاي ‪) IIS‬البته نسخههاي قدیمي آن( همچنان آسیب پذیر ماندهاند، کمتر از ۸۱ ساعت است! این‬
‫رخدادها، این سوال را تداعی می کنند که چه تعداد از کامپیوترهاي آلوده شده قبلي، تاکنون اصالح و پاکسازي شدهاند؟‬
‫٢٣‬
‫ا‬
‫‪WWW.DATA-TCQ.IR‬‬

‫اگرچه سرور کاخ سفید، هدف اصلي حمالت خرابکارانه ‪ Codered‬بوده است، با این حال این کرم کینه جو هنوز مشکالت‬
‫بسیاری را براي میزبانان به وجود ميآورد.‬
‫ویروس ها چگونه کار می کنند ؟‬
‫ویروس های رایانه ای بسیار اسرار آمیز هستند و توجه بسیاری از برنامه ویسان مشاوران امنیتی شبکه های اینترنتی و‬
‫حتی افراد عادی که از رایانه برای کارهای معمولی خود استفاده میکنند را به خود جلب کرده اند و ساالنه هزینه هنگفتی‬
‫برای جلوگیری ازانتشار و باال بردن امنیت شبکه ها و رایانه ها د رمقابل ویروس ها صرف می شود. اگر بخواهیم از دید‬
‫دیگری به ویروس ها نگاه کنیم نقاط آسیب پذیری و میزان آسیب پذیر بودن سیستم رایانه ای خود و یا اکنیت شبکه ای‬
‫که ما د رحال کار با آن هستیم به ما نشان می دهند که البته ممکن است این کار کمی برایمان گران تمام شود!‬
‫یک ویروس که از طراحی و زیر ساخت پیچیده و سازمان یافته ای بهره مند باشد می تواند تاثیرات شگفت انگیز و در‬
‫بعضی موارد مخرب بر روی شبکه اینترنت بگذارد. اثراتی که این ویروس ها بر اینترنت میگذارند و تعداد رایانه ها یی که‬
‫آلوده می کنند خود گواه ارتباطات پیچیده و عظیم انسان ها و رایانه ها و شبکه های اطالع زسانی در اینترنت می باشد.‬
‫برای مثال ویروس جدید مایدم‪ ((Mydoom worm‬تخمین زده شده که در یک روز حدود ۵۵۲ هزار رایانه را آلوده کرده‬
‫باشد. ویروس ملیسا) ‪ ( Melissa virus‬در سال ۹۹ و من شما را دوست دارم ‪ I LOVE YOU‬در سال ۰۰۰۲ که ویروس‬
‫های قدرتمندی که مایکروسافت و بسیاری از شرکت های ارائه دهنده سرویس ایمیل را مجبور کرد تا زمان پاک سازی و‬
‫٣٣‬
‫ا‬
‫‪WWW.DATA-TCQ.IR‬‬

‫رفع مشکالت بوجود آمده توسط ویروس سرورهای خود را خاموش کنند . شاید وقتی کمی تحقیق کنید و عملکرد این‬
‫ویروس ها را مورد مطالعه قرار دهید بسیار شگفت زده خواهید شد وقتی بفهمید که این ویروس ها بطرز بسیار ساده ای‬
‫این کار ها را انجام می دهند. اگر در زمینه برنامه نویسی اطالعات مختصر و یا حتی زبان برنامه نویسی بلد باشید با دیدن‬
‫کد های برنامه این ویروس ها به ساده بودن و طرز کار ساده آن ها پی خواهید برد و از آن شگفت زده می شوید.‬
‫ کرمهای اینترنتی مفید‬‫خبرگزاری ‪ BBC‬در می ۱۰۰۲ خبر از ظهور و گسترش کرمی به نام کرم پنیر )‪ (Cheese worm‬داد. محتوای خبر نشان‬
‫از فعالیت این کرم علیه هکرها میداد، نه به نفع آنان!‬
‫»یک ویروس مفید در حال گشت در اینترنت است و شکاف امنیتی کامپیوترها را بررسی و در صورت یافتن، آنها را‬
‫میبندد. هدف این کرم، کامپیوترهای با سیستم عامل لینوکس است که توسط یک برنامه مشابه اما زیانرسان قبال مورد‬
‫حمله قرار گرفتهاند.«‬
‫اما این کرم توسط شرکتهای تولید آنتیویروس تحویل گرفته نشد! چراکه آنان معتقد بودند هر نرمافزاری که تغییراتی را‬
‫بدون اجازه در یک کامپیوتر ایجاد کند، بالقوه خطرناک است.‬
‫در مارس همین سال یک برنامه زیانرسان با عنوان ‪) Lion worm‬کرم شیر( سرویسدهندگان تحت لینوکس بسیاری را‬
‫آلوده و درهای پشتی روی آنها نصب کرده بود تا ایجادکنندگان آن بتوانند از سرورها بهرهبرداری کنند. کرم همچنین‬
‫٤٣‬
‫ا‬
‫‪WWW.DATA-TCQ.IR‬‬

‫کلمات عبور را میدزدید و به هکرهایی که از این ابزار برای ورود غیرمجاز استفاده میکردند، میفرستاد. این درهای پشتی‬
‫میتوانستند برای حمالت ‪ DoS‬نیز استفاده شوند.‬
‫کرم پنیر تالش میکرد بعضی از خسارات وارده توسط کرم شیر را بازسازی کند. در حقیقت کرم پنیر شبکههایی با‬
‫آدرسهای مشخص را پیمایش میکرد تا آنکه درهای پشتی ایجاد شده توسط کرم شیر را بیابد، سپس برای بستن سوراخ،‬
‫وصله آنرا بکار میگرفت و خود را در کامپیوتر ترمیمشده کپی میکرد تا برای پیمایش شبکههای دیگر با همان شکاف‬
‫امنیتی از این کامپیوتر استفاده کند.‬
‫مدیران سیستمها که متوجه تالشهای بسیاری برای پیمایش سیستمهایشان شده بودند، دنبال علت گشتند و کرم پنیر را‬
‫مقصر شناختند. ارسال گزارشهای آنها به ‪ CERT‬باعث اعالم یک هشدار امنیتی گردید.‬
‫این برنامه با مقاصد بدخواهانه نوشته نشده بود و برای جلوگیری از فعالیت هکرهای مزاحم ایجاد گشته بود. اما بهرحال‬
‫یک »کرم« بود. چرا که یک شبکه را میپیمایید و هرجا که میرفت خود را کپی میکرد.‬
‫زمانیکه بحث کرم پنیر مطرح شد، بعضی متخصصان امنیت شبکههای کامپیوتری احساس کردند که ممکن است راهی‬
‫برای مبارزه با شکافهای امنیتی و هکرهای آسیبرسان پیدا شده باشد. یکی از بزرگترین علتهای وجود رخنههای امنیتی و‬
‫حمالت در اینترنت غفلت یا تنبلی بسیاری از مدیران سیستمهاست. بسیاری از مردم سیستمهای خود را با شکافهای‬
‫امنیتی به امان خدا! رها میکنند و تعداد کمی زحمت نصب وصلههای موجود را میدهند.‬
‫٥٣‬
‫ا‬
‫‪WWW.DATA-TCQ.IR‬‬

‫بسیاری از مدیران شبکهها از ورود برنامهها و بارگذاری وصلهها ابراز نارضایتی میکنند. این نکتهای صحیح است که یک‬
‫وصله ممکن است با برنامههای موجود در کامپیوتر ناسازگار باشد. اما در مورد یک کرم مفید که وجود شکافهای امنیتی در‬
‫سیستمها را اعالم میکند، چه؟ این روش مشکل مدیرانی را که نمیتوانند تمام شکافهای امنیتی را ردیابی کنند، حل‬
‫میکند. بعضی میگویند که برنامههای ناخواسته را روی سیستم خود نمیخواهند. در پاسخ به آنها گفته میشود »اگر‬
‫شکاف امنیتی در سیستم شما وجود نداشت که این برنامهها نمیتوانستند وارد شوند. یک برنامه را که سعی میکند به‬
‫شما کمک کند، ترجیح میدهید یا آنهایی را که به سیستم شما آسیب میرسانند و ممکن است از سیستم شما برای حمله‬
‫به سایرین استفاده کنند؟ «‬
‫این آخری، یک نکته مهم است. رخنههای امنیتی کامپیوتر شما فقط مشکل شما نیستند؛ بلکه ممکن است برای سایر‬
‫شبکهها نیز مسالهساز شوند. ممکن است فردی نخواهد علیه بیماریهای مسری واکسینه شود، اما بهرحال بخشی از‬
‫جامعهای است که در آن همزیستی وجود دارد.‬
‫آنچه که در این میان آزاردهنده است این است که هرساله برای امنیت اتفاقات بدی رخ میدهد، و هرچند تالشهایی برای‬
‫بهبود زیرساختهای امنیتی انجام میگیرد، اما برای هر گام به جلو، دو گام باید به عقب بازگشت. چرا که هکرها باهوشتر و‬
‫در نتیجه تهدیدها خطرناکتر شدهاند. و شاید بدلیل تنبلی یا بار کاری زیاد مدیران شبکه باشد.‬
‫در بیشتر موارد، مشکالت بزرگ امنیتی که هر روزه درباره آنها میخوانید، بخاطر وجود حمالتی است که برروی‬
‫سیستمهایی صورت میگیرد که به علت عدم اعمال وصلهها، هنوز مشکالت قدیمی را درخود دارند.‬
‫٦٣‬
‫ا‬
‫‪WWW.DATA-TCQ.IR‬‬

‫بنابه عقیده بعضی، اکنون زمان استفاده از تدبیر براساس کرم! و ساختن کرمهای مفید برای ترمیم مشکالت است. درباره‬
‫این روش قبال در مجامع مربوط به امنیت بحث شده است و البته هنوز اعتراضات محکمی علیه استفاده از آنها وجود دارد.‬
‫اما در مواجهه با شبکه های ‪) zombie‬کامپیوترهای آلوده ای که برای حمالت ‪ DoS‬گسترده، مورد استفاده قرار می گیرند(‬
‫که تعداد آنها به دههاهزار کامپیوتر میرسد، می توانند یک شبه! توسط کرمهای مفید از کار انداخته شوند.‬
‫البته، یک کرم مفید هنوز یک کرم است و بحث دیگری که در اینجا مطرح می شود این است که کرمها ذاتا غیرقابل‬
‫کنترل هستند، به این معنی که کرمهای مفید هم باعث بروز مشکالت ترافیک می شوند و بصورت غیرقابل کنترلی‬
‫گسترده می گردند. این مساله در مورد بیشتر کرمها صدق می کند، اما دلیل آن این است که تاکنون هیچ کس یک کرم‬
‫قانونی! و بدرستی برنامه نویسی شده ایجاد نکرده است. می توان براحتی کنترلهای ساده ای همچون انقضاء در زمان‬
‫مناسب و مدیریت پهنای باند را که این تاثیرات ناخوشایند را محدود یا حذف کند، برای یک کرم مفید تصور کرد.‬
‫اشکال وارده به ایجاد یک کرم قانونی و مناسب این است که زمان زیادی می طلبد، بسیار بیشتر از زمانی که یک کرم‬
‫گسترش پیدا می کند. در پاسخ می توان گفت بیشتر کرمها از مسائل تازه کشف شده بهره نمی برند. بیشتر آنها از‬
‫شکافهای امنیتی استفاده می کنند که مدتهاست شناخته شده اند.‬
‫تعدادی پرسش وجود دارد که باید پاسخ داده شوند. چه کسی این کرمها را طراحی و مدیریت می کند؟ دولت، ‪،CERT‬‬
‫فروشندگان یا اینکه باید تشکل هایی براه انداخت؟ برای ترمیم چه ایراداتی باید مورد استفاده قرار گیرند؟ روند اخطار برای‬
‫٧٣‬
‫ا‬
‫‪WWW.DATA-TCQ.IR‬‬

‫سیستمهایی که توسط یک کرم مفید وصله شده اند، چیست؟ آیا پیامی برای مدیر شبکه بگذارد؟ که البته هیچ کدام موانع‬
‫غیرقابل حلی نیستند.‬
‫بهرحال، بهترین کار مدیریت صحیح سیستمهایتان است، بنحوی که با آخرین ابزار و وصله های امنیتی بروز شده باشند.‬
‫در این صورت دیگر چندان نگران وجود کرمها در سیستمهایتان نخواهید بود.‬
‫آنچه که نمی توان در مورد آن با اطمنیان صحبت کرد، امن و موثر بودن یک کرم مفید است، که این مطلب مطالعات و‬
‫تحقیقات جدی را می طلبد. بعالوه اینکه، اگر برنامه نوشته شده در دنیای بیرون متفاوت از آزمایشگاه رفتار کند، چه کسی‬
‫مسوولیت آنرا می پذیرد؟ مساله بعدی اینست که تحت قانون جزایی بعضی کشورها، هک کردن یک سیستم و تغییر‬
‫دیتای آن بدون اجازه زیان محسوب می شود و چنانچه این زیان به حد مشخصی مثال ۵هزار دالر برسد، تبهکاری بحساب‬
‫می آید، حتی اگر قانون جنایی حمایتی برای نویسندگان کرمهای مفید درنظر بگیرد. ایده اصلی در این بین، اجازه و اختیار‬
‫برای دستیابی به کامپیوتر و تغییر دیتای آن یا انجام عملیاتی بر روی آن است. از منظر قانونی، این اجازه می تواند از‬
‫طرقی اعطاء شود. بعالوه اینکه سیستمهایی که امنیت در آنها رعایت نشود، اساسا به هر کس اجازه تغییر دیتا را می دهند.‬
‫خوشبختانه، روشهای محدودی برای اخذ اجازه وجود دارد. برای مثال، ‪ISP‬ها از پیش بواسطه شرایط خدمات رسانی به‬
‫مشتریانشان اجازه تغییر دیتا را دارند. یک ‪ ISP‬معتبر ممکن است حتی سرویس بروز رسانی رایگان یک برنامه ضدویروس‬
‫را نیز به مشتریانش ارائه کند.‬
‫٨٣‬
‫ا‬
‫‪WWW.DATA-TCQ.IR‬‬

‫راه دیگر اخذ اجازه از طریق پروانه های دولتی است. مثال در بعضی کشورها، افسران پلیس این قدرت را دارند که بتوانند‬
‫تحت قوانین محدود و شرایط خاصی وارد فضای خصوصی افراد شوند. مثال دیگر در مورد سارس است. افراد می توانند‬
‫بخاطر سالمت عمومی قرنطینه شوند، اما فقط توسط افرادی که اختیارات دولتی دارند.‬
‫در آخر توجه شما را به یک مساله جلب می کنیم: اجرای قوانین سالمت بیشتر بصورت محلی است، در حالیکه اینترنت‬
‫ماهیت دیگری دارد. ممکن است بتوان در بعضی کشورها به سواالت مربوط در مورد نوشتن و گسترش کرمهای مفید‬
‫جواب داد، اما کاربران کشورهای دیگر را شامل نمی شود.‬
‫٩٣‬
‫ا‬
‫‪WWW.DATA-TCQ.IR‬‬