IMدر آماج حملات ویروس ها (شماره 348)
زمانیکه که نوبت به ویروس ها و Wormها می رسد ، تمامی توجهات به نا مه های الکترونیکی ختم می گردد، ولی امروزه پیلم های فوری نیز هدف حملات ویروس نگارها قرار می گیرند .
از سال 2002 تا 2003 ، ویروس ها وWorm ها گسترشی 400 درصد ی بین شبکه های متناظر (peer-to-peer) و IM داشته اند ( بنا براین گزارش Inte netSecurity Threat شرکت Symantec ) . در سال جاری دیده ایم که کرمها ی Jitux وBizex سیستم های MSN Messenger، ICQ را مورد حمله قرار داده اند . Jitux. A با نزدیک شدن به اطلاعات IM کار بران خود را پخش می کند . در صورتیکه Bizex که بسیار زیرکانه عمل می کند : بدین ترتیب که لینکی برای شما ارسال می کند ، مبنی بر معرفی سایتی که کامپیوترشما را برای پرداختها و حسل بها ی مالی الکترونیکی اسکن می نماید .
این سایت به محض کشف شدن Worm بسته شد. ولی نمی توان گفت که پیش از بسته شدن چقدر داده جمع آوری کرده است . البته باید انتظار ادامه این نوع تهدیدات را داشته باشید .
Bill Adler، رئیس Cyber Scrub، عرضه کننده نرم افزارهای امنیتی کامپیوتری، می گوید : از آنجاییکه کار بران مهارت کافی برای متوقف ساختن حملات سنتی ویروس نگار ها بدنبال اهداف قابل دسترسی تری می گردند . پیام رسانی فوری ، بدلایل بسیاری ، یکی ازاین اهداف ولی با کنار گذاشتن کلا نیت IM مشکل حل نمی شود . زیرا بسیاری از ویروس ها وکرمهای IM بصورت خودکار تکثیر نمی شوند ، بلکه شما را ملزم به کلیک لینک یا dowen load یک اپلت می کنند شما می توانید با در اختیار گرفتن محاسبات ایمن از بسیاری از این خطرات بدور بمانید . ترفند هایی که در بخش مصونیت در chat آمده است به شما کمک می کند تا خود و داده هایتان را ایمن نگه دارید .
خیلی دوستانه
Steve sander، دانشجوی دانشگاه کالیفر نیا در Berkely، این روش امنیتی را در ازای تجربه سنگینی در ازاء تجربه سنگینی فرا گرفته است . وی پیامی با این مضمون می بینید ، Ican"t belive I found sanders picture here.HAHA با این پیام لینکی نیز مبنی بر معرفی سایتی برای دیدن عکس ها معرفی می شود ، وی لینک را کلیک می کند تا اپلت مورد نیاز برای دیدن عکس هاdownload شود . Sander می گوید : من معمولا بیشتر از این مراقب هستم ، ولی به نظر می رسید که سایت مشکلی ندارد و از هر لحاظ قانونی است ، « چون به من اشاره کرده بود بنا براین نرم افزار را نصب کردم . »
این سایت هیچ عکسی از sanders نداشت ، در عوض اسب تراوای Buddypictur .net را نصب کرد . بدین ترتیب افزارهای جاسوسی و تبلیغاتی با جا یگزینی آن لینک در پرو فایل AIM وی ، بر روی کامپیوتر Sanders نشستند
خوشبختانه ، نرم افزار ضد ویروس توانست این مشکلات را بر طرف کند .
یک نمونه دیگر بازی Osama found می باشد ، که از طریق AIM توانست به سرعت خود را پخش کند . لینکی برای کاربران AIM ارسال می شود و از آنها دعوت می گرددکه به dowenload بازی دستگیری اسامه بن لادن بپردازند . کاربرانی که به این کار مبادرت ورزیده اند ، تمامی اطلاعات IM آنها به تاراج رفته است .
محدود سازی خطرات احتمالی
طبیعت پیام های فوری ، غیر رسمی و سریع بودن خطر ویروس ها ، کرمها و دیگر افزارهای این چنینی را شدید تر می سازد . Bryson Gordon ، مدیر ارشد Consumer Division شرکت Mcafee Security، می گوید زمانیکه نوبت پیام های فوری می شود ، کاربران نسبت به مسائل امنیتی چندان سخت گیری نمی کنند ، در حالیکه همیشه در برخورد با نامه های الکترونیکی دیده شک وتردید می نگرند .
گر چه ، بیشتر کلانیت های IM ، مانند AIM ، Yahoo Messenger ، از طریق شبکه های بسته کار می کنند ، یعنی اینکه کاربران می توانند تنها از همان سرویس برای ارتباط با دیگران استفاده کنند ( مگر اینکه شما یکی از کلا ینت های جانبی مانند Trilian بهره می برند ، بدین می توانید از طریق چند شبکه به تبادل پیام بپردازید ).
نبود ویژگی درون کاربردی شبکه ها شاید آزار دهنده باشد ، ولی گسترش ویروس ها بدین شکل کاهش می یابد و پیامهای فوری از مورد حمله واقع بودن بدور می مانند. برنامه های IM برخلاف Internet Explorer یا ویندوز ، شکافهای کمتری دارند . از این رو ، ویروس ها و کر مها براحتی نمی توانند پخش شوند مگر خود کاربر کمک کند .
کمک های نرم افزاری
عرضه کنندگان نرم افزار های امنیتی و ضد ویروس ها برای تحت پوشش قرار دادن IM هم برنامه هایی دارند . به عنوان نمونه ، Zone Labs سازنده فایر وال Zone Alarm ، سال گذشته برنامه ای 20 دلاری بنام IM Secure عرضه کرد تا پیام ها را بتوان کد گذاری کرد و URL های مشکوک را مسدود ساخت .
Norton Antivirus شرکت Sy mantec ویژگی اسکن پیا م های فوری را نیز در نظر گرفته است . NcAfee نیز همین ویژگی را به Scon Viruse 8 خود افزوده است .قرار است این در برنامه ، ویروس ها را از فایل های در یافتی از طریق IM پاک نمایند ، و در برابر ویروس هایی که ممکن است با download لینک ها یا URLها فعال شوند ، دیوار امنیتی به وجو د آورند .
خبرهای خوب دیگری هم در این راستا وجود دارد : چند برنامه امنیتی و ضد ویروس در تستهای VC Word توانسته اند ویروس های شناخته شده ای را که از طریق IM ارسال می شوند به دام بیاندازند . هیچ برنامه ضد ویروس یا فایر والی ، که وجود آنها برای هرکامپیوتر الزامی باشد ،نمی تواند تمامی حملات ویروس ها را مانع شود .
Oliver Friedrich ، یک مدیر ارشد در Symantec Security Response می گوید : دلیل اصلی کامیابی حملات ویروسی این است که کاربران به آنچه دریافت اطمینان دارند .
مصونیت در Chat
جهت دور ماندن از آلودگی ، کلاینت IMخویش را به روز نگه دارید و از ترفند های زیر پیروی کنید : نسبت به فایل هایی که دارای پسوندهای exe .، scr هستند ، یا به عنوان بازی معرفی می شوند و از طریق IM فرستاده می شوند ، هوشیار باشید . پیش از باز کردن هر فایلی ، فرستندگان را ارزیابی کنید .
هیچگاه لینکی را که از طریق IM فرستاده می شود ، یا در پرو فایل فردی مخفیانه می ماند را باز نکنید .
صفحه اصلی شرکت سازنده برنامه آنتی ویروس یا سایت های اطلاع دهنده راجع به ویروس هارا مانند ،antivirus.about.com مربوط به about.cam برای یافتن اخبار جدید پیرامون خطرات جدید بررسی کنید . مصونیت خویش را در برابر ویروس ها با ، Eicar.org ، که دارای یک تست ضد ویروس است ، ارزیابی کنید .
کلاینت های IM کارکنان را ارتقا دهید . Lotus برنامه خویش را داراست به AOL ، مایکرو سافت و یا هو سرویس های IM خود را با امنیت درون ساختاری ارائه می دهند محصولات Fase Time ، Akonix به شما امکان می دهند تا پیام ها را از روی محتوی فیلتر کنید .
ترفندهای هکری (شماره 346)
منبع : http://www.rayanehmag.net
از مهسا قنبری
افشای هکرها
هدف ما این است که با افشای “ترفندهای هکر” استفاده کنندگان از اینترنت با دانش و ابزارهای مورد نیاز، آمادگی بهتری پیدا کنند تا فریب ترفندهای هکر را نخورند.
پسوندهای پنهان فایلهای ویندوز
ممکن است از این موضوع آگاهی نداشته باشید، اما حتی اگر به ویندوز بگویید که تمام پسوندهای فایل را نشان دهد، هنوز هم فایلهایی وجود دارند که بطور پیش فرض مخفی شدهاند. همچنین هر برنامه نصب شدهایی میتواند پسوندها را پیکربندی کند تا پنهان شوند. در اینجا در مورد چگونگی انجام این کار و همچنین دلیل اینکه چرا برخی از پسوندهای پنهان میتوانند برای تعدادی از کاربرهای کامپیوتر خطرناک باشند، مثالهایی آورده شده است. به فرض اینکه شما قبلا ویندوز explorer را برای نشان دادن تمام پسوندهای پیکربندی کردهاید.
پسوندهای SHS
یک کپی از notepad.exe بگیرید و آن را روی desktop خود قرار دهید. Wordpad را باز کنید. روی notepad.exe کلیک کنید و آن را به سمت سند باز شده wordpad بکشید. روی notepad.exe کلیک کنید و آن را به عقب به سمت desktop بکشید. فایلی را که ایجاد شده است (Scrap) به Readme.txt تغییر نام دهید.
حالایک آیکن که نشان دهنده سند متنی است و فایلی با نام مشخص readme.txt بر روی desktop شما وجود دارد کلیک کردن بر روی فایل فوق باعث میشود notepad باز شود. اگر این فایل یک Trojan باشد، شما فریب خوردهاید و توسط آنچه که یک فایل متنی بیخطر بنظر میرسید آلوده شدهاید. اگر اجازه نمایش این پسوند داده می شد شما فریب فایل Readme.txt.shs را نمیخوردید.
پسوندهای PIF
اگر سعی کنید تا notepad.exe را به anything.txt.pif تغییر نام دهید، تنها فایلی با نام anything.txt روی desktop خود خواهید دید. و این بدین دلیل است که PIF پسوند دیگری است که ویندوز بطور پیش فرض پنهان میکند. اگر شما فایل را اجرا کنید برنامه اجرا خواهد شد، به خاطر اینکه ویندوز پسوندهای PIF را اجرا خواهد کرد حتی اگر آنها فایلهای اجرایی باشند.
پسوندهای SCR
پسوند دیگری که باید مراقب آن بود SCR است. کپی notepad.exe خود را به notepad.scr تغییر نام دهید و روی آن کلیک کنید. Notepad به عنوان یک فایل اجرایی اجرا خواهد شد. بسیاری از افراد توسط هکرهایی فریب میخورند که account یک قربانی را بدست آوردهاند. هکر email یا هر نوع پیغامی را به تمام دوستان قربانی میفرستد که "این صفحه نمایش جدید و بامزه را ببینید از خنده روده بر خواهید شد!" از آنجایی که این پیغام از یک منبع مطمئن آمده، اکثر افراد فریب خورده و فایل SCR را اجرا میکنند که در نهایت به هکری ختم میشود که به کامپیوتر شما متصل شده است.
فرمانهای خطرناکی که میتوانند گنجانده شوند
پسوندهای میانبر PIF
برخی از پسوندهای پنهان فایل قادرند به سادگی با فرمانهای پنهان شدهای که میتوانند برای سیستم شما مخرب باشند برنامهریزی شوند. این یک آزمایش ساده است:
دکمه راست ماوس خود را روی desktop کلیک کنید و New و سپس Shotcut را انتخاب نمایید. در Command line تایپ کنید:
format a:/autotest
Next را کلیک کنید. در "Select a name for the shortcut" تایپ کنید: readme.txt سپس Next را کلیک کنید. یک آیکن notepad را انتخاب کرده و Finish را کلیک کنید. حالا شما در desktop خود فایلی با نام readme.txt و با آیکن notepad دارید. مطمئن شوید که در درایو شما دیسکی است که از دست دادن آن برای شما اشکالی ندارد و روی آیکن کلیک کنید. فایلی که شما روی آن کلیک کردهاید درایو A: را فرمت خواهد کرد. البته آیکن هکر درایو دیگری را مورد هدف قرار خواهد داد یا ممکن است نامی همچون ‘game.exe’ و فرمانی برای حذف کردن دایرکتوری ویندوز شما یا (deltree /y C:\*.*) کل درایو C شما داشته باشد. اگر پسوند PIF پنهان نشود، قادر به فریب شما نخواهد بود.
پسوند SHS
فایلهای Scrap نیز میتوانند فرمانهای گنجانده شده را پنهان کند. این یک آزمون ساده است: از notepad.exe یک کپی بگیرید و آن را روی desktop خود قرار دهید. Wordpad را باز کنید.Notepad.exe را کلیک کنید و آن را به سمت سند باز شده wordpad بکشید. روی Edit کلیک کنید و Package Object و سپس Edit package را انتخاب کنید. روی Edit و سپس Command Line کلیک کنید.
در کادر، دستوری مانند format a:/autotest را تایپ کنید و روی OK کلیک کنید. آیکن نیز میتواند از این پنجره تغییر یابد. از پنجره خارج شوید، این کار سند را به روز خواهد کرد. روی notepad.exe کلیک کنید و آن را به عقیب به سمت Desktop بکشید. فایلی را که ایجاد شده (Scrap) به Readme.txt تغییر نام دهید.
حالا شما آنچه را که شبیه یک فایل متنی است دارید. اگر این فایل اجرا شود درایو A: را فرمت خواهد کرد. همانگونه که در مثال بالا برای پسوندهای میانبر PIF دیده شد، هکر میتواند از فرمانهای خطرناکتری استفاده کند.
روشهای Trojan در هنگام راه اندازی
روشهای راه اندازی استاندارد
اکثر افراد از راههای متفاوتی که هکرها برای راه اندازی فایلهای Trojan استفاده میکنند آگاه نیستند. اگر هکری کامپیوتر شما را با یک Trojan آلوده کند، نیاز به انتخاب یک روش راهاندازی خواهد داشت، بگونهای که در زمان راهاندازی مجدد کامپیوتر شما Trojan بارگذاری شود. روشهای معمول راهاندازی شامل کلیدهای اجرایی registry، فولدر راه اندازی ویندوز، Windows Load= یا run=lines یافته شده در فایل win.ini و shell=line یافته شده در system.ini ویندوز میباشند.
روشهای راه اندازی خطرناک
از آنجایی که فقط تعداد اندکی از این روشهای راه اندازی وجود دارند، هکرهای زیادی را یافتهایم که در پیدا کردن روشهای جدید راهاندازی افراط میکنند. این شامل استفاده از تغییرات خطرناکی در سیستم registry میباشد، که در صورتی که فایل Trojan یا فایل همراه آن از بین برود سیستم را بصورت بلااستفاده درخواهد آورد. این یک دلیل استفاده نکردن از نرم افزار ضد ویروس برای از بین بردن Trojanهاست. اگر یکی از این روشها استفاده شود، و فایل بدون ثابت کردن registry سیستم از بین برود، سیستم شما قادر به اجرای هیچگونه برنامهای پس از راه اندازی مجدد کامپیوترتان نخواهد بود.
قبل از آنکه سراغ registry برویم لازم به توضیح است که یک فولدر به صورت C:\WINDOWS\StartMenu\Program\StartUp وجود دارد که هر فایلی در اینجا باشد هنگام راه اندازی ویندوز اجرا خواهد شد.توجه داشته باشید که هرگونه تغییری میتواند سیستم شما را به خطر بیاندازد بنابراین، هرچه ما میگوییم انجام دهید. برای دستیابی به registry به منوی start>run> بروید و "regedit" را بدون علامت " " تایپ کنید. در registry چندین مکان برای راه اندازی Startup وجود دارد که لیستی از آنها را در اینجا می آوریم.
[HKEY_CLASSES_ROOT\exefile\shell\open\command] ="\"%1\" %*"
[HKEY_CLASSES_ROOT\comfile\shell\open\command] ="\"%1\" %*"
[HKEY_CLASSES_ROOT\batfile\shell\open\command] ="\"%1\" %*"
[HKEY_CLASSES_ROOT\htafile\Shell\Open\Command]="\"%1\" %*"
[HKEY_CLASSES_ROOT\piffile\shell\open\command] ="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command] ="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command]="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command]="\"%1\"%*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command]="\"%1\"%*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command]="\"%1\"%*"
اگر این کلیدها مقدار "\"%1\"%*" را نداشته باشند و به جای اجرای فایل در هنگام راه اندازی به "\"Server.exe %1\" %*" تغییر یابد به احتمال زیاد یک Trojan است.
روش راه اندازی ICQ
روشی راه اندازی دیگری که امروزه استفاده از آن معمول است شناسایی شبکه ICQ میباشد. بسیاری از کاربران ICQ نمیدانند که هکر میتواند یک خط پیکربندی را به ICQ اضافه نماید تا با هر بار بارگذاری شدن برنامه Trojan نیز راه اندازی شود. به عنوان آزمایش مراحل زیر را انجام دهید:
ICQ را باز کنید. روی آیکن ICQ کلیک کنید و preference را انتخاب نمایید. روی Edit launch List کلیک کنید. روی Add کلیک کنید. روی Browse کلیک کنید. فایلی را برای اضافه کردن به Windows\notepad.exe بیابید که به کار این آزمایش بیاید. روی Open و سپس OK کلیک کنید. زمانی که شما ICQ را راه اندازی مجدد میکنید فایل اجرا خواهد شد.
ویروس و علائم آن در یک نگاه (شماره 333)
گاهی اوقات احساس می شود که برنامه های کامپیوتر درست اجرا نمی شود و یا سیستم بی دلیل دچار وقفه است . از بین دلایل مختلف این امر یکی وجود ویروس است که از نشانه های وجود آن در سیستم می توان به موارد زیر اشاره کرد :
1- انجماد بی دلیل
2- پر شدن بی دلیل RAM
3- روشن ماندن هارد در زمان استفاده نشدن
4- تغییر تاریخ فایل های اجرایی مهم و با پسوند COM و EXE
5- حضور فایل های بیگانه
6- از بین رفتن بخشهایی از برنامه های موجود در سیستم و گاهی کل آنها
طبقه بندی از ویروسها
1- خود ویروس که با پسوند های اجرایی و کاهاً حالت ضمیمه به غیر اجرایی ها به محض ورود مشغول انجام دستورات داده شده می گردد.
2- کرم ها که با پر کردن رم و ایجاد حفره در سیستم ایجاد اختلال می کنند.
3- اسب های تروا که معمولا در باکسهای برنامه به صورت نهفته وجود دارند و منتظر اجرا هستند و به همین علت به آنها اسب تروا میگویند.( حتما داستان جنگ اساطیری روم را شنیده اید که سربازان رومی با مخفی شدن در اسب تروا توانستند به داخل شهر یونانی ها وارد شوند و جنگ را به نفع خود تمام کنند.عملکرد این ویروس عیناً همانند همین اسب و سربازان است. بدین ترتیب که اسب باکس یا جعبه برنامه است و به جای سربازان ویروس مخفی شده است.)
4- بمبها
1-4 بمب منطقی : این بمب به عملکرد خاصی حساس است . مانند استارت ویندوز یا اجرای یک برنامه
2-4 بمب زمانی : همانطور که از نامش پیداست در زمان خاصی عمل می کند. مانند چرنویل که در سالروز واقعه چرنویل روسیه عمل میکند.
3-4 بمب خوشه ای : این بمب در یونیکس استفاده می شود که لازم به توضیح نمیبینم عملکرد آنرا تفضیل کنم
ویروسی برای لینوکس (شماره 325)
شرکتهای ارائه دهنده خدمات امنیتی درمورد شناسایی ویروس اینترنتی جدیدی که سرورهای مبتنی برسیستم عامل لینوکس راهدف راهدف گرفته است هشدار می دهند این ویروس جدید که شرکت تولید کننده محصولات تضد ویروس مک آفی آن را Iupper نام نهاده با استفاده ازایرادهای امنیتی نرم افزار شبکه به رایانه های سرور میتنی برلینو کس راه می یابد ویروس لاپر پس از اجراشدن دررایانه های مبتنی برلینوکس آنها رادربرابر نفوذ هکرها آسیب پذیر ساخته وبه هکرها اجازه می دهد ازاین رایانه های آلوده به منظور اهداف تبهکارانه اینترنتی از جمله حمله به سایر رایانه ها استفاده کنند هم اکنون دوشرکت امنیتی مک آفی وسیمانتک این ویروس رادر اینترنت شناسایی کرده ومرکز بین المللی تحقیقات امنیت اینترنتی SANS نیز گزارشهایی ازآنرا دریافت کرده است شرکت سیمانتک ومک آفی هم اکنون نرم افزارهای ضد ویروس خودرادربرابر حمله کرم اینترنتی لاپر مقاوم کرده اند کارشناسان سیمانتک اعلام کردند لازم است رایانه های مبتنی برلینوکسی که به این ویروس آلوده شده اند مجددا به نصب لینوکس اقدام کنند زیرا مشخص نیست که ویروس لاپر چه مشکلاتی رابرای سیسیتم عاملهای آلوده ابجاد کرده است.
ویروسهای تازه وارد (شماره 239)
آنتی ویروس ,F-Secure2نوع ویروس جدید که موجب از کار انداختن گوشی ها می شود را شناسایی کرد. این2ویروس Driver ,Locknut.B نامدارند.
Lock nut .B یک تروجان با پسوند SIS است که بعد از نصب شدن وانمود می کند قصد وصله کردن (PATCH) بر روی گوشی های هوشمند Simbian سری 60 را دارد . این ویروس بعد از نصب واجرا در اچزای اصلی رخنه و گوشی قفل می کند . ویروس دوم Drever.Aکه آن هم یک تروجان با پسوند SIS است وبه طور خودکار درSTARTUPبه وسیله آنتی ویروسهای Simworks , Kaspersky Symblan ازکارانداخته می شود اما هیچ یک ازاین آنتی ویروسها تصدیق نمی کنندکه اگر دوباره این ویروس حمله کند ازگوشی حفاظت می کنند.
منبع جام جم
درباره هک و هکرها (شماره 186)
شاید تا به حال برای شما اتفاق افتاده باشد که مورد حمله هکرها (hackers) قرار بگیرید.
شاید بارها account های اینترنت تان در عرض یک روز خالی شده باشد بدون آنکه خودتان استفاده کرده باشید.
شاید متوجه شده باشید که در yahoo messenger شخص دیگری هم از ID شما استفاده می کند.
هک چیست و Hacker کیست ؟
hack به زبان ساده و شاید عامیانه ترین تعبیر آن دزدیده شدن کلمه عبور یک سیستم یا account می باشد.
به طور کلی نفوذ به هر سیستم امنیتی کامپیوتری را hack می گویند.
Hacker شخصی است باهوش , فرصت طلب , دارای معلومات بالا با افکار سازنده و مطمئنا با وجدان .
لازم به ذکر است که از نظر من هکرها با دزدان اینترنتی و یا الکترونیکی فرق دارند. هکرهای واقعی در میان خود مرام نامه ای دارند که همه پایبند به آن می باشند.
هکر در موقع هک کردن یک سیستم امنیتی هدفش ضربه زدن (چه مادی و چه معنوی) به شخص یا اشخاصی نیست.
او هک می کند تا معلوماتش را نشان دهد. هک می کند تا همگان بدانند که سیستمهای امنیتی دارای مشکل هستند. هک می کنند تا نواقص (حفره های امنیتی ) این سیستمها نمایان شوند. اگر هکرها نمی بودند مطمئنا سیستمهای امنیتی به کاملی سیستمهای امروزی نمی بود. پس هکرها مفیدند.
در این میان افرادی هستند که با سوء استفاده از معلومات خود و یا دیگران هدفشان از هک کردن ضربه زدن به اشخاص است یا به دنبال پرکردن جیب خود می باشند. از نظر من این افراد دزدانی بیش نیستند.
در این مقاله منظور من از هکر همان دزد اینترنتی یا الکترونیکی است.
به دلیل اینکه نمی خواهم وارد مباحث تخصصی شوم و حتی آنقدر اطلاعاتش را ندارم و البته هیچکدام از ما بانک اینترنتی یا فروشگاه مجازی نیز نداریم , لذا منظور من از هک در اینجا دزدیدن کلمه عبور حسابهای dialUp و yahoo messenger و Hotmail می باشد که بسیاری از خوانندگان از آنها استفاده می کنند.
چگونه هک می شویم ؟!
روزی با هکری صحبت می کردم و از او پرسیدم رایج ترین و مطمئن ترین روش هک کردن چیست ؟ و او در جواب گفت :رایج ترین روش , ساده ترین روش است. آنروز معنی سخنش را نفهمیدم. ولی وقتی کمی تحقیق کردم و در دنیای اینترنت هک شدم, متوجه منظورش شدم. یکی از متداول ترین روش های هک کردن, حدس زدن password است.
روش رایج دیگر خواندن password از روی دست User به هنگام تایپ آن می باشد. یا فرستادن صفحه ای مانند صفحه ورودی Hotmail , Yahoo به صورت یک Email که در آن به ظاهر کارکنان شرکت سرویس دهنده از user خواسته اند به منظور اطمینان از صحت سرویس دهی password خود را تایپ کند. که این password در همان لحظه برای هکر mail می شود.
برنامه جالبی وجود دارد که LOG تمامی حرفهایی که وارد شده است را ذخیره می کند. هکر برنامه را اجرا می کند و بعد از شما می خواهد که رمز خود را بزنید. کلیدهای تایپ شده توسط شما درون یک فایل متنی TXT ذخیره می شود و هکر بعدا به آن رجوع می کند و رمز شما را کشف می نماید.
روش دیگر حدس زدن جواب سوالی است که شما انتخاب نموده اید تا در صورت فراموش نمودن رمزتان از شما پرسیده شود. در yahoo استفاده از این روش سخت است زیرا تاریخ دقیق تولد و آدرس و حتی کد پستی را نیز می خواهد. ولی در سرویس hotmail به سادگی می توانید جواب سوال را حدس بزنید و رمز را بدست آورید. و نیز هکر می تواند به کارکنان hotmail نامه زده و در آن ابراز نماید که account اش مورد هک قرار گرفته و درخواست رمز جدید کند که کارکنان Hotmail از او چند سوال در مورد سن و آخرین دسترسی به account و آخرین رمزی که به خاطر دارد می کنند و سپس رمز جدید در اختیار او قرار می گیرد.
(چند بار از این روش توانسته ام به رمزها دست یابم) یا برای یافتن رمز account های اینترنت, به ISP شما زنگ می زند و با دادن مشخصات خواستار تغییر رمز می شود. جالب اینجاست که در بسیاری از موارد منشیان رمز قبلی را نمی پرسند.
اینها همه روشهای ساده ولی رایج و متداول بودند. روش دیگری که در اینجا در موردش صحبت می کنم کمی تخصصی است و هر شخصی نمی تواند از این روش استفاده کند بلکه باید معلوماتی در خصوص اینترنت و IP و یک سری نرم افزارها داشته باشد.
در این روش شخص با فرستادن یک فایل آلوده به ویروس یا Trojan سیستم شما را آلوده می کند. با اجرای این فایل , فایل مورد نظر در حافظه جای می گیرد و هر زمان که کامپیوتر روشن شود دوباره در حافظه صدا می شود. پس با پاک نمودن فایل اولیه مشکل شما حل نمی شود. این فایل کامپیوتر شما را به عنوان یک Server در می آورد و یکی از پورت ها را برای استفاده هکر باز می گذارد. (برخی از این trojan ها پرتی را باز نمی گذارند بلکه از طریق یک email رمز ها را برای هکر ارسال می نمایند.) حال هکر می تواند با پیدا کردن IP شما و اتصال به پورت مورد نظر در زمانی که هم شما Online هستید هم هکرتان هر کاری با کامپیوتر شما بکند حتی آنرا خاموش کند و رمزهای موجود در کامپیوتر شما را بدزدد.
البته ارسال فایل گاهی به صورت online نمی باشد. هکر می تواند اگر با شما آشنایی داشته باشد به پشت کامپیوتر شما بی آید و فایل مورد نظر را روی آن اجرا کند.
جالب اینجاست که اغلب ویروس کشها از شناسایی Trojan های جدید عاجزند. از همین رو من مدتها گرفتار یکی از آنان بودم.
چه باید کرد ؟!
چگونه هک نشویم ؟!
روشهای ساده را به سادگی و با کمی دقت می توان مسدود کرد. مثلا رمزی انتخاب کنید که حدس زدنش کار هر کسی نباشد. شماره تلفن , اسم , فامیل , شماره شناسنامه یا تاریخ تولید و ترکیبی از اینها معمولا اولین چیزی است که به ذهن هر کسی می رسد. سعی کنید در رمز انتخابی خود از پرانتز یا کروشه استفاده کنید یا حتی کاما که اینها به ذهن هیچ هکری نخواهد رسید. هنگامی که رمز خود را وارد می کنید مراقب باشید , کسی نزدیکتان نباشد. یا از کلید های منحرف کننده استفاده کنید. مثلا چند کلید الکلی بزنید و بعد با Backspace پاکش کنید که اگر کسی هم دید , متوجه رمز شما نشود.
پشت کامپیوتر کسی که به او اطمینانی ندارید , رمزی وارد نکنید. یا اگر مجبورید, با استفاده از کلید های Ctrl+Alt+Del و باز نمودن Task Manager کلیه برنامه های مشکوک را ببندید. معمولا اسامی آنها مانند Thief یا Keylogger یا keyl یا هر اسم مشکوک دیگری می تواند باشد. در موقع ثبت نام در سرویسهای Hotmail و Yahoo به شما تذکر داده می شود که کارکنان شرکت سرویس دهنده به هیچ عنوان از طریق Email از شما درخواست Password نمی کنند. پس هیچ گاه از طریق هیچ Email ی رمز خود را وارد نکنید. از جایی اینترنت تهیه کنید که امنیت بیشتری دارد و تجربه کارشان بالاست. زیرا علاوه بر منشیان بی تجربه که بعضاً رمزها را برباد می دهند , اگر شبکه (ISP) هک شده باشد , دیگر از دست شما کاری بر نمی آید و رمز شما و دیگر کاربران در خطر می باشد.
احتمال حمله با روش تخصصی که در بالا توضیح دادم به کاربرانی که از سیستمهای Instant messaging مانند Yahoo messenger یا MSN messenger یا ICQ و ... استفاده می کنند بیشتر است چون اینگونه برنامه ها به راحتی IP شما را در اختیار هکر قرار می دهند و همواره یک پورت آزاد را اشغال می کنند و معمولا به صورت مستقیم با کاربر مقابل در ارتباط هستند. مخصوصا در مواقع ارسال و دریافت فایل. پس اگر می خواهید در امان باشید از این برنامه ها استفاده نکنید.
ولی امروزه در ایران اینترنت بدون اینگونه برنامه ها فایده ای ندارد ! پس هیچگونه فایلی را که از افراد ناشناس فرستاده می شود , باز نکنید.
حال اگر کامپیوتر شما از قبل آلوده شده باشد چه باید کرد ؟!
اگر مطئمن ترین راه را می خواهید. کامپیوتر خود را فرمت نموده و دوباره ویندوز را نصب کنید. زیرا اغلب ویروس کشها قادر به شناسایی یا پاک نمودن بسیاری از این نوع ویروسها نمی باشند. ولی معمولا این روش به صرفه نیست. کاری که من برای مبارزه با این نوع ویروس ها (که نمی دانم آیا به آن مبتلا هستم یا خیر) کردم این است که یک ویروس کش جدید نصب نمودم که هر هفته آنرا Update می کنم. من Norton Antivirus 2003 را پیشنهاد می کنم که خود به صورت اتوماتیک هر 10 روز یکبار به روز می شود.
حال اگر ویروسی پیدا شد که ویروس کش من نتوانست آنرا شناسایی کند چه ؟!
همانطور که گفتم فایلی که در حافظه شما اجرا می شود و کامپیوتر شما را به عنوان Server آماده حمله هکر می کند برای اتصال به اینترنت و فرستادن اطلاعات احتیاج به یک پورت آزاد دارد. روشهای زیادی برای مسدود نمودن پورت های آزاد وجود دارد. همواره در ایران رسم است که می گویند اینترنت بدون Proxy بهتر است ولی باید بدانید که Proxy نه تنها سرعت کار شما در اینترنت را بالا می برد بلکه جلوی حمله هکرها را نیز می گیرد.
روش دیگر استفاده از Firewall می باشد. امروزه بسیاری برنامه های کم حجم با عنوان Firewall خانگی وجود دارند.
شما با استفاده از یکی از این برنامه ها می توانید به راحتی هرگونه رد و بدل شدن اطلاعات بین کامپیوتر خود و اینترنت را ببینید و کنترل نمایید.برنامه ای که من پیشنهاد می کنم ZoneAlarm می باشد. با نصب این برنامه هرگاه , برنامه ای بخواهد با اینترنت تبادل اطلاعات نماید ابتدا به شما تذکر می دهد و شما می توانید اگر برنامه مشکوکی بود اجازه فرستادن اطلاعات را از او صلب کنید. در ضمن هیچ شخص و برنامه ای هم نمی تواند بدون اطلاع شما از بیرون به کامپیوتر شما وصل شود. ویندوز XP از نظر امنیت در شبکه بسیار پیشرفته است و احتمال هک شدنش کمتر است , پیشنهاد می کنم از این ویندوز استفاده کنید.
در آخر باید بگویم هیچ روشی به صورت 100% شما را ایمن نمی کند. فقط سعی می کنیم احتمال هک شدنمان را پایین بیاوریم
چگونه سایتهای خبری هک شدند؟ (شماره 177)
چندی پیش چند سایت خبری همچون ایسنا، پیک ایران ، جام جم و بازتاب هک شدند . در ماه اخیر نیز سایتهای خبری دیگری مانند CHNو ایلنا نیز به این گروه پیوستند . هکر یا هکرهای سایتهای فوق خود را با نامهایی چون هویچ یا افشین معرفی کرده بودند.
بنا بر درخواست دوستی به دنبال دلیل و چگونگی این هک ها بودم.سایتهای بالا در سرورهای متعددی وجود داشتند و از همین رو کمتر به نظر میرسید که سرورها دارای مشکل امنیتی باشند. پس از بررسی روشهای ممکن نتیجه مشخص شد که بدین شرح است.
در حقیقت هکر یا هکرهای فوق در اکثر مواقع تنها از یک اشکال SQL INJECTION استفاده میکرند و با آنکه برخی از سایتهای فوق مواردی همچون قید کوتیشن را در اطلاعات ورودی بررسی میکردند اما کاراکتر دیگر نیز وجود دارد که تنها در موارد خاص میتواند مشکل ساز باشد و آن سمی کالن (;) است.در اکثر این سایتها صفحه ای مثلا با دریافت کد خبر آنرا نمایش میدهد و اما در اکثر موارد عدد بودن این کد بررسی نمی شود و درج کاراکتر سمی کالن بعد از عدد و سپس تزریق برخی دستورات خاص SQL میتواند باعث اجرا دستورات مخرب در دیتابیس سرور شود.شاهد آنکه در تمامی موارد فوق تنها جداول بانکهای اطلاعاتی آسیب دیده بودند. این قطعا دلیل اصلی تمام هکهایی بوده است که توسط هویچ و یا اسمهای مشابه انجام شده است و البته برای اطمینان ایمیلهای نیز به سایتهای جام جم ، پیک ایران و.. ارسال شد که متاسفانه بی پاسخ ماند.
ترمینولوژی هکرها (اصطلاحشناسی) (شماره 111)
ترمینولوژی (اصطلاحشناسی)
- Hacker کیست ؟
هکر کسی است که با سیستم های کامپیوتری آشناست و میتواند با روشهایی خاص (بدون اجازه) وارد آنها شود... این انسان میتواند خوب یا بد باشد ( در هر حال هکر است)
- سوال: یک هکر از چه راهی وارد یک سیستم میشود؟
از راه شبکه (نه بابا ! )
باید توجه کنید که هر سیستم کامپیوتری (به عبارت بهتر هر سیستم عامل) به هر حال محصول کار تعدادی انسان است و حتما دارای تعدادی bug (خطاهایی که بعد از ارائه محصول به بازار به تدریج کشف میشوند) خواهد بود. بعد از اینکه یک باگ مشخص شد، شرکت ها نرمافزارهایی را بهسرعت (در عرض چند ساعت ) ایجاد میکنند تا مشکل رفع شود اینها را patch میگویند. و بعد مدیران شبکه (Wbemasters) در عرض چند روز تا چند سال (آین آخری در مورد ایرانه) آنها را download کرده و مشکل را حل میکنند. در این فاصله هکرها دمار از روزگار این سایتها در میاورند...
- تعریف چند اصطلاح:
*** Hacker واقعی = سامورایی :
کسی که هدفش از نفوذ به سیستمها نشان دادن ضعف سیستمهای کامپیوتری است نه سوءاستفاده ...
*** Wacker (واکر):
کسی که هدفش از نفوذ به سیستمها، استفاده از اطلاعات آن سیستمهاست (جرو هکرهای کلاه سیاه )
*** Cracker (کراکر):
کسی که هدفش از نفوذ به سیستمها، خرابکاری و ایجاد اختلال در سیستمهای کامپیوتری است. (جرو هکرهای کلاه سیاه )
*** Preaker :
از قدیمیترین هکرها هستند که برای کارشان نیاز (و دسترسی) به کامپیوتر نداشتند و کارشان نفوذ به خطوط تلفن برای تماس مجانی، استراقسمع و ... بود. این جزو آموزش من نیست چون کار خیلی بدیه
آشنایی با کرم اینترنتی SDBOT.UH (شماره101)
شواهد حاکی از ظهور کرم اینترنتی جدیدی بنام SDBOT.UH می باشد که در تاریخ هشتم سپتامبر کشف گردیده است و در حال گسترش در اینترنت می باشد. این کرم اینترنتی بر اساس چهار نقطه ضعف عمده که در سیستم های مبتنی بر ویندوز وجود دارند خود را اشاعه می دهد و با توجه به اینکه بعد از نصب بعنوان یک Sniffer به ترافیک داده های دستگاه قربانی گوش داده و کلمات عبور و مشخصات بانکی قربانی را به هکر گزارش می دهد بسیار حائز اهمیت و خطرناک است.
جزئیات :
این کرم با استفاده از نقاط ضعف :
• Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) vulnerability
• Buffer Overflow in SQL Server 2000 vulnerability
• IIS5/WEBDAV buffer overrun vulnerability
• LSASS vulnerability
به سیستم قربانی وارد می شود و سپس با نام Win32x.exe خود را در شاخه ویندوز کپی می نماید. همچنین مسیرهای
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
Microsoft Time Manager = "dveldr.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices
Microsoft Time Manager = "dveldr.exe"
و
HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
Microsoft Time Manager = "dveldr.exe"
را به رجیستری سیستم هدف اضافه می کند که امکان اجرای دوباره را بعد از restart شدن کامپیوتر قربانی به این کرم می دهد. این کرم قابلیت های گوناگونی از جمله Sniffing ، Keylogging و همچنین ایجاد Backdoor را دارا می باشد و نیز از سیستم قربانی بعنوان یک TFTP Server برای انتقال خود به سایر کامپیوتر ها استفاده می کند . شاید مهلک ترین قابلیت این کرم همان Sniffing باشد که سعی در دریافت کلمات عبور و مشخصات کارت های اعتباری قربانی و گزارش آن به هکر است. ضمن اینکه اصولاً شناسائی Sniffer ها کار مشکلی می باشد.
راه حل:
1- برنامه ضد ویروس خود را بروز نمائید و سریعاً سیستم خود را چک کنید .
2- Task Manager را اجرا و در صورت مشاهده task ای با نامهای Win32x.exe یا dveldr.exe
آنها را End Task کرده و سپس با اجرای Regedit ، در صورت وجود مسیرهائی که قبلاً اشاره شد آنها را پاک نمائید .
جهت اطلاعات بیشتر به آدرس http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SDBOT.UH
مراجعه نمائید.
ضمناً تیم امنیتی آشیانه آماده راهنمائی هموطنان گرامی است.
هکرها چگونه حمله می کنند (بخش اول) (شماره 94)
از این شماره به بعد بخش دیگری از سلسله مباحث آناتومی حمله از نگاهی دیگر را مورد بحث قرار می دهیم.
در سری جدید بررسی کلی روشهای حمله به شبکه ها و سیستم های رایانه ای مدنظر قرار گرفته و در آن به صورت خلاصه کاربر می تواند یک چارچوب کلی از این موضوع که چگونه به یک سیستم یا شبکه نفوذ می کنند را به دست بیاورد.
چارچوب عمومی حملات
اولین سوالی که با آن روبه رو می شویم این است که براساس سیستم عامل های موجود حملات چگونه چارچوب بندی می شود.
به بیان دیگر شمای کلی حملات مبتنی بر سیستم عامل چگونه تقسیم بندی می شود؟ در جواب باید 2 چارچوب متفاوت را تعریف کرد.
یک چارچوب براساس سیستم عامل ویندوز - مایکروسافت می تواند شامل ویندوز 98 ، Me ، 2000 ، ایکس پی و ان تی باشد - است و چارچوب بعدی سیستم عامل های اوپن سورس شامل لینوکس ، OpenBSD ، ترینوکس و برخی سیستم های یونیکس با درجه اهمیت پایین تر است.
چارچوب عمومی حملات سیستم عامل ویندوز ، سیستم عامل های مبتنی بر اوپن سورس شامل 98 ، Me ، 2000 ، ایکس پی و ان تی شامل لینوکس ، OpenBSD ، ترینوکس و برخی سیستم های یونیکس سطح پایین تر است.
حملات محلی و از راه دور
نکته بعدی این است که حملات از نظر موقعیت مکانی حمله کننده به چند دسته تقسیم می شود بر این اساس یک حمله محلی یا Local داریم و یک حمله از راه دور یا Remote در نفوذ محلی حمله کننده با دسترسی فیزیکی به سیستم می تواند کار خود را پیش ببرد.
بدین معنی که بتواند پشت ماشین قربانی نشسته و شروع به حمله کند.
بنابراین حمله محلی از نظر موقعیتی در همان محلی که سیستم قربانی قرار دارد ، دسته بندی می شود.
اما حمله از راه دور برعکس بالا ، به گونه ای است که حملات روی شبکه ها یا سیستم های قربانی به طریقه راه دور پیش می رود - در محیط شبکه اگر شما بخواهید به سیستم بغل دستتان (و نه سیستمی که پشت آن نشسته اید) نفوذ کنید این نوع نفوذ از راه دور تعبیر می شود.
هرکدام از نفوذهای فیزیکی یا از راه دور نیز قلق ها و روشهای خاص خود را دارد.