ساده نباشید! (شماره 405)
همواره سایتهای وب بسیاری توسط نفوذگران مورد حمله قرار می گیرند و از دور خارج می شوند و خیلی از قربانیان این حملات همیشه این سوال در ذهنشان مطرح است که چه کار کنند تا نفوذگر نتواند از طریق وب به شناسایی شبکه آنها بپردازد.
یکی از راهکارهای مبارزه ، جلوگیری از آشکار شدن اطلاعات شبکه به طرق روانشناختی است ؛ یعنی نفوذگر نتواند با استفاده از تعاملات اجتماعی درباره شبکه شما کسب اطلاع کند.
مسخره ترین نوع شناسایی آن است که نفوذگر از تلفن همگانی با روابط عمومی شبکه شما تماس بگیرد و سوال کند که مثلا از چه نوع مسیریاب ، سیستم عامل ، توپولوژی و ساختاری در شبکه استفاده شده است.
برخی از مسوولان روابط عمومی به اقتضای شغلشان آنچه را که درباره این گونه سوالات به خاطر دارند، دو دستی تقدیم می کنند.
شاید تصور می کنند با بیان آن که از کدام مسیریاب یا سیستم عامل در شبکه استفاده کرده اند، اعتبار موسسه آنها اضافه می شود. پس اولین راه مبارزه با آشکار شدن اطلاعات شبکه ، آگاهی دست اندرکاران شبکه و هوشیاری آنهاست. دومین راه موثر نیز سکوت است.
باید به عنوان مسوول شبکه سیاست های خاص را درباره استفاده کارکنان از گروههای خبری و Mailing list وضع کنید.
به تمام کارکنان خود ابلاغ کنید که به هیچ وجه اطلاعات مربوط به پیکربندی شبکه و نوع سخت افزار یا نرم افزار مورد استفاده در شبکه را برای کسی پست نکنند یا در گروههای خبری اعلام نکنند.
گروههای خبری Usenet در شبکه اینترنت یکی از جولانگاههای نفوذگران برای جستجوی اطلاعات خرد و کلان درباره شبکه هدف محسوب می شود.
کارکنان شبکه ممکن است برای پاسخ به سوالات کاربران یا به اشتراک گذاشتن اطلاعات خود، در گروههای خبری Usenet حضور داشته باشند.
این محیط فضای خوبی برای بیرون کشیدن اطلاعات حساس درباره شبکه هدف است ، مثلا ممکن است یکی از کارمندان شبکه هدف در پاسخ به سوال یک کاربر، جوابی مفصل و تشریحی درباره چگونگی پیاده سازی ، پیکربندی و رفع اشکال از یک سرویس دهنده خاص ارائه کند.
نفوذگر از این پرسش و پاسخ متوجه می شود که احتمالا در شبکه هدف چنین سرویس دهنده ای نصب شده است. ممکن است شخص نفوذگر از یکی از کارمندان شبکه سوالی بپرسد تا بتواند حدسیات خود درباره شبکه هدف را گسترش بدهد، یا آن که نفوذگر در پاسخ به یکی از پرسشگران Usenet که سوالی درباره شبکه هدف پرسیده است ، جوابی کاملا غلط ارائه می کند تا یکی از کارکنان شبکه آن را به طور کامل ، صحیح و تفصیلی جواب بدهد.
به هر حال پرسه زدن در Usenet همانند ماهیگیری در یک رودخانه گل آلود است. می تواند نتیجه چشمگیری داشته باشد و از طرفی ممکن است هیچ نفعی به نفوذگر نرساند ؛ اما یکی از بهترین محیطهایی که افراد اطلاعات مهم خود را فاش می کنند، گپ اینترنتی (chat) است چرا که همه فکر می کنند کسی آنها را نمی شناسد.
بنابراین نباید اطلاعات شخصی خود درباره نوع کار، نوع مسوولیت ، رده اجرایی و... را روی اینترنت جار بزنید. برای آن که مطمئن شوید سیاست های امنیتی وضع شده از سوی کارکنان رعایت می شود گاه به گاه اقدام به جستجوی وب برای یافتن ردپای کارکنان خاطی بکنید.
ابتدا در سایتهای وب خود جستجو و بررسی کنید و سپس درون گروههای خبری به جستجوی خود ادامه دهید. در هیچ نقطه ای از اینترنت نباید اطلاعات محرمانه از شبکه شما مشاهده شود.
سعی کنید تا میزان حساسیت و سطح امنیت مورد نیاز شبکه را ارزیابی و سپس تعیین کنید چه اطلاعاتی را می توان در سایتهای وب عرضه کرد و چه اطلاعاتی باید محرمانه بماند.
از اطلاع رسانی درباره تجهیزات سخت افزاری ، نرم افزاری و پیکربندی شبکه بشدت اجتناب کنید. شاید اعتراض کنید چنین کاری به امنیت شبکه هیچ کمکی نخواهد کرد، در حالی که اطلاع رسانی به نفوذگر، کار او را سرعت خواهد بخشید و او مجبور به صرف وقت زیادی برای شناسایی مقدماتی شبکه شما نخواهد بود.