امنیت رایانه

علوم رایانه‌ای
(تغییرمسیر از امنیت سایبری)

امنیت رایانه‌ای با نام‌های امنیت سایبری و امنیت فناوری اطلاعات نیز شناخته می‌شود. حفاظت از سامانه‌های اطلاعات در برابر آسیب به سخت‌افزار، نرم‌افزار، و اطلاعات نرم‌افزاری و محافظت در برابر حمله محروم‌سازی از سرویس (اختلال) و بات‌نتها (گمراهی) نمونه پارامترهایی هستند که امنیت رایانه‌ای آنها را تأمین می‌نماید.[۱]
این سطح از امنیت شامل کنترل دسترسی فیزیکی به سخت‌افزار، و همچنین به صورت محافظت در برابر آسیب‌هایی که ممکن است با دسترسی به شبکه، داده‌ها و تزریق کد روی داده بکار گرفته می‌شود.[۲] که خطای اپراتورها چه عمدی و چه اتفاقی یا انحراف این اپراتورها از روال‌های امنیتی که باعث فریب خوردن آن‌ها می‌شود چنین آسیب‌هایی را رقم می‌زند.[۳] با توجه به افزایش وابستگی به سامانه‌های رایانه‌ای و اینترنت در بیشتر جوامع،[۴] شبکه‌های بیسیم مانند بلوتوث و وای فای و رشد دستگاه‌های هوشمند مانند تلفن هوشمند، تلویزیون، و دستگاه‌های کوچک مانند اینترنت اشیاء امنیت رایانه‌ای اهمیت رو به رشدی پیدا کرده است.

آسیب‌پذیری و حمله‌ها

ویرایش

یک آسیب‌پذیری می‌تواند حساسیت یا نقص یک سامانه باشد. اطلاعات آسیب‌پذیری در پایگاه داده آسیب‌پذیری‌های متدوال و قرار گرفتن در معرض آنها قرار دارد. آسیب‌پذیری استثمارشونده یکی از آسیب‌پذیری‌های قابل اشاره است که زمینه را برای حمله فراهم می‌کند. اصطلاحاً در این حالت اکسپلویت وجود دارد.[۵]

برای حفظ امنیت رایانه، شناخت گونه حمله‌ها بسیار مهم است. در ادامه، نمونه‌ای از این حمله‌ها آورده شده‌اند:

در پشتی (Back door)

ویرایش

در پشتی در یک سامانه رایانه‌ای، یک سامانه رمزنگاری یا یک الگوریتم است. این مقوله به هر روش مخفی دور زدن اصالت‌سنجی عادی یا کنترل‌های امنیتی گفته می‌شود. درب‌های پشتی ممکن است به دلایل گوناگونی مانند طراحی اصلی و فقر پیکربندی وجود داشته باشند. این امکان وجود دارد که درب‌های پشتی توسط شخص مجاز که اجازه دسترسی‌های مشروع را می‌دهد یا توسط یک مهاجم به دلایل ویرانگر افزوده شده باشد.

حمله محروم‌سازی از سرویس (DOS)

ویرایش

حمله محروم‌سازی از سرویس به این منظور طراحی می‌شود که دستگاه یا منابع شبکه را از دسترس کاربران نهایی خارج کند.[۶] مهاجمان می‌توانند خدمات‌رسانی به قربانیان منحصربفرد را رد کنند. مانند اینکه عمداً به صورت متوالی گذرواژه کاربر را اشتباه وارد می‌کنند تا حساب کاربری قربانی قفل شود یا ممکن است از توانمندی‌های دستگاه یا شبکه بیش از اندازه نرمال استفاده کنند. بگونه‌ای که در یک لحظه، استفاده از سرویس برای کاربران غیرممکن شود و همه کاربران را در یک‌لحظه بلاک کنند. می‌توان با افزودن یک رول مشخص در دیوار آتش، حمله‌ای که از سوی نشانی آی‌پی انجام می‌شود را بلاک کرد. اما این موضوع قابل طرح است که شکل‌های گوناگونی از حمله توزیع شده محروم‌سازی از سرویس امکان‌پذیر هستند. به این حملات، «حمله دیداس» نیز گفته می‌شود؛ یعنی در جایی که حمله از نقاط زیادی صورت می‌گیرد دفاع در برابر این نوع از حمله‌ها سخت‌تر می‌شود مانند حمله‌هایی که سرچشمه آن‌ها رایانه‌های زامبی است از یک بات‌نت هستند. ترتیبی از روش‌های ممکن دیگر می‌تواند شامل انعکاس و تقویت حمله‌ها باشند. مانند سامانه‌های بی‌گناهی که جریانی از ترافیک اینترنت را مانند سیل به سمت رایانه قربانی روانه می‌کنند.

حمله‌های دسترسی مستقیم

ویرایش

یک کاربر غیرمجاز، دسترسی فیزیکی به یک رایانه را به‌دست می‌آورد؛ و به احتمال زیاد می‌تواند به‌طور مستقیم، داده‌ها را از روی آن کپی کند. ممکن است کاربر غیرمجاز، امنیت سامانه را با ایجاد تغییر در سیستم‌عامل، نصب کرم‌های نرم‌افزاری، کی‌لاگر، دستگاه شنود یا با استفاده از ماوس‌های بی‌سیم[۷] حتی زمانی که سامانه توسط تدابیر امنیتی مورد محافظت هستند در اختیار بگیرد. این حمله‌ها ممکن است به وسیلهٔ بوت شدن یک سیستم‌عامل دیگر یا اجرای یک نرم‌افزار از روی یک سی‌دی-رام و دیگر رسانه‌هایی که قابلیت بوت شدن به سمت رایانه قربانی انجام شوند. رمزنگاری دیسک و ماژول پلتفرم قابل اطمینان برای جلوگیری از این حمله‌ها طراحی شده‌اند.

شنود به عمل مخفیانه گوش دادن به گفتگوی خصوصی دیگران بدون رضایت آن‌ها گفته می‌شود که در اینجا بین میزبان‌های درون یک شبکه رخ می‌دهد. برای نمونه، برنامه کارنیور و شرکت ناروس اینسایت توسط اداره تحقیقات فدرال (اف‌بی‌آی) و آژانس امنیت ملی ایالات متحده آمریکا برای شنود الکترونیک سامانه‌های رساننده خدمات اینترنتی بکارگرفته می‌شود. حتی اگر دستگاه‌های هدف، سامانه بسته باشد یعنی هیچ گونه ارتباطی با جهان خارج نداشته باشند. آن‌ها می‌توانند با امواج الکترومغناطیس ضعیفی که انتقال می‌دهند شنود شوند. تمپس مشخصه‌ای است که توسط آژانس امنیت ملی ایالات متحده آمریکا برای چنین حمله‌هایی مورد استفاده قرار می‌گیرد.

حمله جعل

ویرایش

حمله جعل یا Spoofing در حالت عمومی، یک عمل دروغین و ویرانگر در ارتباطات است که از یک منبع ناشناخته مبدل به یک منبع شناخته شده به گیرنده فرستاده می‌شود. Spoofing در سازوکارهای ارتباطی که فاقد سطح بالایی از امنیت هستند شایع است.[۸]

دستکاری

ویرایش

دستکاری، تغییر ویرانگر محصولات را توضیح می‌دهد؛ که به آن حمله‌ها روت‌کیت گفته می‌شود. نمونه آن سرویس‌های امنیتی با قابلیت نظارت هستند که درون روتر قرار می‌گیرند.[۹]

ترفیع امتیازی

ویرایش

ترفیع امتیازی وضعیتی را تشریح می‌کند که در آن یک حمله‌کننده با دسترسی‌های محدود می‌تواند بدون هیچ مجوزی، سطح دسترسی خود را افزایش دهد. برای نمونه، کاربر یک رایانه استاندارد، ممکن است سامانه را برای دسترسی به داده‌های محدود شده فریب دهد یا تبدیل به یک کاربر ممتاز شود و دسترسی نامحدودی به سامانه پیدا کند.

فیشینگ

ویرایش

فیشینگ روشی است که تلاش می‌کند تا اطلاعات حساس مانند نام کاربری، گذرواژه، و جزئیات کارت اعتباری را به‌طور مستقیم از کاربران به‌دست‌آورد.[۱۰] فیشینگ معمولاً توسط رایانامه‌نگاری متقلبانه و پیام‌رسانی فوری انجام می‌شود و بیشتر کاربران را به وارد کردن جزئیات در یک وبگاه دروغین که خیلی شبیه به وبگاه اصلی است هدایت می‌کند. در این حالت این اعتماد قربانی است که شکار می‌شود. فیشینگ به عنوان نوعی از دفاع در برابر مهندسی اجتماعی دسته‌بندی می‌شود.

دزدی کلیک

ویرایش

دزدی کلیک به عنوان حمله (اصلاح یا دوباره پوشیدن) واسط کاربری یا User Interface Redress Attack گفته می‌شود. این یک روش ویرانگر است که درست هنگامی که همان کاربر قصد دارد بر روی سطح بالای صفحه کلیک کند حمله‌کننده، کاربر را فریب می‌دهد تا بر روی دکمه یا پیوند یک صفحه وب دیگری کلیک کند. این روش با استفاده از لایه‌های شفاف و کدر بی‌شمار عملی می‌شود. حمله‌کننده یا متجاوز اساساً کلیک‌هایی که قرار است روی صفحه انجام شود را می‌رباید و کاربران را به سمت صفحات نامربوط که متعلق به اشخاص دیگری هستند هدایت می‌کند. این روش خیلی شبیه روشی است که از آن برای ربایش کلید استفاده می‌شود. تهیه نمونه دقیق یک پیش‌نویس از شیوه‌نامه‌ها، آی فریم‌ها، کلیدها، تکست باکس، باعث می‌شود کاربر به مسیر مورد اعتمادی هدایت شود که در آنجا گذرواژه یا دیگر اطلاعات را وارد کند درست هنگامی که به یک فریم پنهان وارد شده و آن فریم توسط شخص حمله‌کننده در حال کنترل است.

مهندسی اجتماعی

ویرایش
 
مهندسی اجتماعی

هدف مهندسی اجتماعی این است که کاربر را متقاعد کند تا چیزهای سری مانند گذرواژه یا شماره‌های کارت اعتباری اش را فاش کند. برای نمونه جعل هویت یک بانک، یک پیمانکار و یک خریدار می‌تواند از روش‌های مورد استفاده مهندسی اجتماعی باشد.[۱۱] در یک کلاهبرداری معمول و سودآور، ایمیل‌هایی از سوی مدیرعامل دروغین یک شرکت برای بخش مالی و حسابداری همان شرکت فرستاده می‌شود. در اوایل سال ۲۰۱۶ اداره تحقیقات فدرال (اف‌بی‌آی) گزارش کرد که در زمینه کلاهبرداری در مشاغل در حدود ۲ سال بیش از ۲ میلیارد دلار آمریکا هزینه شده است.[۱۲] در مه ۲۰۱۶ میلواکی باکس یکی از تیم‌های اتحادیه ملی بسکتبال قربانی این روش با عنوان کلاهبرداری سایبری شد. این عمل با جعل هویت رئیس این تیم با نام پیتر فیگین انجام شد. در نتیجه فرم‌های مالیاتی دبلیو - ۲ سال ۲۰۱۵ همه کارکنان تیم تحویل داده شد.[۱۳]

ریسک سامانه‌ها

ویرایش

امنیت رایانه‌ای تقریباً در هر صنعتی که از رایانه‌ها استفاده می‌کند امری مهم به‌شمار می‌رود. امروزه بیشتر وسایل الکترونیکی مانند رایانه‌ها لپ‌تاپ‌ها و تلفن‌های همراه به گونه‌ای هستند که از آغاز، نرم‌افزار دیوار آتش بر روی آن‌ها نصب شده است. با وجود این، رایانه‌ها برای محافظت از داده‌ها صددرصد مستقل و دقیق عمل نمی‌کنند. (اسمیت و همکاران، ۲۰۰۴). راه‌های گوناگونی برای هک رایانه‌ها وجود دارد. این کار با سامانه شبکه انجام می‌گیرد. برای نمونه می‌توان به کلیک بر روی لینک‌های ناشناس، ارتباط با وای-فای ناشناس، بارگیری پرونده و نرم‌افزار از وبگاه‌های مشکوک، مصرف برق امواج رادیویی الکترومغناطیس، و موارد دیگر اشاره کرد. به این ترتیب رایانه‌ها می‌توانند با تعامل داخلی قوی بین سخت‌افزار و نرم‌افزار، و پیچیدگی نرم‌افزاری، مانع خطاهای امنیتی شوند.[۱۴]

سامانه‌های مالی

ویرایش

وبگاه‌ها و اپلیکیشن‌ها که شماره‌های کارت‌های اعتباری حساب‌های کارگزاری و اطلاعات حساب‌های بانکی را می‌پذیرند اهداف خوبی برای هک کردن هستند؛ زیرا پتانسیل بالایی برای دستیابی به سود مالی فوری با انتقال پول، و خرید یا فروش اطلاعات در بازار سیاه[۱۵] در سامانه پرداخت فروشگاهی وجود دارد. دستگاه‌های خودپرداز نیز برای گردآوری اطلاعات مربوط به حساب بانکی مشتری و پین‌کدها دستکاری شده و مورد سوءقصد قرار می‌گیرند.

صنایع همگانی و تجهیزات صنعتی

ویرایش

رایانه‌ها کارها و عملکردها را در بسیاری از صنایع همگانی کنترل می‌کنند. هماهنگی در صنعت مخابرات شبکه برق نیروگاه‌های هسته‌ای و باز و بسته شدن شیر فلکه در شبکه آب و گاز از جمله این موارد هستند. احتمال حمله اینترنتی به این دستگاه‌ها وجود دارد. اما کرم استاکس‌نت ثابت کرد که حتی تجهیزاتی که توسط رایانه‌های غیر متصل به اینترنت کنترل می‌شوند نیز می‌توانند در برابر خسارت‌های فیزیکی به تجهیزات صنعتی، آسیب‌پذیر باشند. (اشاره به سانتریفوژهای غنی‌سازی اورانیوم است). این آلودگی با رسانه‌های جداشدنی مانند یواس‌بی فلش درایو رخ داد. در سال ۲۰۱۴ گروه پاسخ‌گویی حوادث رایانه‌ای که یکی از دپارتمان‌های وزارت امنیت میهن ایالات متحده آمریکا محسوب می‌شود ۷۹ هک رخ داده بر روی شرکت‌های انرژی را بررسی کرد.[۱۶] آسیب‌پذیری کنتورهای هوشمند (در بسیاری از آن‌هایی که از خطوط تلفن همراه یا بی‌سیم‌های محلی استفاده می‌کنند) می‌تواند موجب باعث تقلب در صورتحساب شود.[۱۷]

هوانوردی

ویرایش

صنعت هوانوردی به یک سری از سامانه‌های پیچیده متکی است که می‌تواند مورد حمله قرار بگیرد.[۱۸] قطع ساده جریان برق در یک فرودگاه می‌تواند باعث پیامدهایی در سراسر جهان شود.[۱۹] بسیاری از سامانه‌ها متکی بر ارتباط رادیویی هستند که امکان اختلال در آن‌ها وجود دارد.[۲۰] با توجه به اینکه میزان نظارت رادارها در محدوده دریایی از ۱۷۵ به ۲۲۵ مایل قابل افزایش است درنتیجه، کنترل هواپیماهایی که بر روی اقیانوس در حال پرواز هستند امری خطرناک است.[۲۱] همچنین می‌توان گفت که احتمال حمله از داخل یک هواپیما نیز وجود دارد.[۲۲]

پیامد یک حمله موفق می‌تواند از ازدست‌رفتن محرمانگی تا ازدست‌رفتن یکپارچگی سامانه باشد؛ که ممکن است به نگرانی‌های جدی‌تری مانند خروج داده‌های مهم و قطع ارتباط با مراقبت پرواز منجر شود. این پارامترها به نوبه خود می‌تواند منجر به تعطیلی فرودگاه، از دست‌دادن هواپیما، کشته‌شدن مسافران هواپیما، ویرانی و آسیب به ساختمان‌ها (حملات ۱۱ سپتامبر - ویرانی برج‌های دوقلوی تجارت جهانی) و آسیب رسیدن به زیرساخت‌های ترابری شود. یک حمله موفقیت‌آمیز بر روی یک سامانه هوانوردی نظامی که کار کنترل مهمات را به عهده دارد می‌تواند عواقب حتی جدی‌تری را به دنبال داشته باشد. اروپا از شبکه هوانوردی مرکزی به نام سرویس شبکه‌ای پان‌اروپایی استفاده می‌کند.[۲۳] این سرویس بگونه‌ای است که شبکه‌ای مبتنی بر نشانی آی‌پی را در سراسر اروپا با قابلیت ارتباطات داده‌ای و تبادل پیام‌های صوتی فراهم می‌آورد.[۲۴] ایالات متحده آمریکا برنامه‌ای شبیه به این را با نام نسل جدید حمل و نقل هوایی اداره می‌کند.[۲۵]

وسیله‌های مصرف‌کنندگان

ویرایش

رایانه‌های رومیزی و لپ‌تاپ‌ها توسط بدافزارها برای گردآوری اطلاعات و گذرواژه، یا ایجاد ساختار برای بات‌نت‌ها برای حمله به هدف‌های دیگر آلوده می‌شوند.

تلفن هوشمند، تبلت، ساعت هوشمند، و دیگر دستگاه‌های همراه مانند دستگاه‌های رایانه‌ای پوشیدنی (مانند دستگاه سنجش تپش قلب، دستگاه سنجش میزان کالری سوخته هنگام دویدن) می‌توانند تبدیل به هدف شوند. بسیاری از این دستگاه‌ها دارای حسگرهایی مانند دوربین، میکروفون، سامانه موقعیت‌یاب جهانی، قطب‌نما، و شتاب‌سنج هستند که می‌توانند مورد سوءاستفاده قرار بگیرند و اطلاعات و داده‌های خصوصی مانند وضعیت سلامتی فرد را گردآوری کنند. وای-فای، بلوتوث، و شبکه‌های تلفن همراه می‌توانند به عنوان بردار حمله استفاده شوند و حسگرها می‌توانند پس از نفوذ موفق از راه دور فعال شوند.[۲۶] وسایل مربوط به اتوماسیون خانگی مانند ترموستات‌های شرکت نِست پتانسیل لازم برای اینکه به عنوان هدف بکار روند را دارند.[۲۶]

ابرشرکت‌ها

ویرایش

ابرشرکت‌ها به عنوان هدف‌های معمول و رایج به‌شمار می‌روند. در بسیاری از موارد این شرکت‌ها به عنوان هدف برای به‌دست آوردن سود مالی با دزدی هویت مصرف‌کنندگان در نظر گرفته می‌شوند. برای نمونه نفوذ به داده‌های کارت اعتباری میلیون‌ها نفر از مشتریان شرکت هوم دیپو،[۲۷] استیپلز،[۲۸] و تارگت[۲۹] می‌توان اشاره کرد.

جستارهای وابسته

ویرایش

پانویس

ویرایش
  1. Gasser, Morrie (1988). Building a Secure Computer System (PDF) (به انگلیسی). Van Nostrand Reinhold. p. 3. Archived from the original (PDF) on 25 September 2015. Retrieved 20 September 2016.
  2. "Definition of computer security". Encyclopedia. Ziff Davis, PCMag. Retrieved 20 September 2016.
  3. Rouse, Margaret. "Social engineering definition". TechTarget. Retrieved 6 September 2015.
  4. "Reliance spells end of road for ICT amateurs", May 07, 2013, The Australian
  5. "Computer Security and Mobile Security Challenges" (pdf). researchgate.net. Retrieved 2016-08-04.
  6. "Distributed Denial of Service Attack". csa.gov.sg. Retrieved 12 November 2014.
  7. Wireless mouse leave billions at risk of computer hack: cyber security firm
  8. [۱]
  9. Gallagher, Sean (May 14, 2014). "Photos of an NSA "upgrade" factory show Cisco router getting implant". Ars Technica. Retrieved August 3, 2014.
  10. "Identifying Phishing Attempts". Case. Archived from the original on 13 September 2015. Retrieved 29 September 2016.
  11. Arcos Sergio. "Social Engineering" (PDF).
  12. Scannell, Kara (24 Feb 2016). "CEO email scam costs companies $2bn". Financial Times. No. 25 Feb 2016. Retrieved 7 May 2016.
  13. "Bucks leak tax info of players, employees as result of email scam". Associated Press. 20 May 2016. Retrieved 20 May 2016.
  14. J. C. Willemssen, "FAA Computer Security". GAO/T-AIMD-00-330. Presented at Committee on Science, House of Representatives, 2000.
  15. Financial Weapons of War, Minnesota Law Review (2016), available at: http://ssrn.com/abstract=2765010
  16. Pagliery, Jose. "Hackers attacked the U.S. energy grid 79 times this year". CNN Money. Cable News Network. Retrieved 16 April 2015.
  17. «نسخه آرشیو شده». بایگانی‌شده از اصلی در ۱۷ اکتبر ۲۰۱۶. دریافت‌شده در ۹ اکتبر ۲۰۱۶.
  18. P. G. Neumann, "Computer Security in Aviation," presented at International Conference on Aviation Safety and Security in the 21st Century, White House Commission on Safety and Security, 1997.
  19. J. Zellan, Aviation Security. Hauppauge, NY: Nova Science, 2003, pp. 65–70.
  20. "Air Traffic Control Systems Vulnerabilities Could Make for Unfriendly Skies [Black Hat] - SecurityWeek.Com".
  21. "Hacker Says He Can Break Into Airplane Systems Using In-Flight Wi-Fi". NPR.org. 4 August 2014.
  22. Jim Finkle (4 August 2014). "Hacker says to show passenger jets at risk of cyber attack". Reuters. Archived from the original on 13 October 2015. Retrieved 20 October 2016.
  23. "Pan-European Network Services (PENS) - Eurocontrol.int". Archived from the original on 12 December 2016. Retrieved 21 October 2016.
  24. "Centralised Services: NewPENS moves forward - Eurocontrol.int". Archived from the original on 19 March 2017. Retrieved 21 October 2016.
  25. "NextGen Program About Data Comm - FAA.gov".
  26. ۲۶٫۰ ۲۶٫۱ "Is Your Watch Or Thermostat A Spy? Cybersecurity Firms Are On It". NPR.org. 6 August 2014.
  27. Melvin Backman (۱۸ سپتامبر ۲۰۱۴). "Home Depot: 56 million cards exposed in breach". CNNMoney.
  28. "Staples: Breach may have affected 1.16 million customers' cards". Fortune.com. December 19, 2014. Retrieved 2014-12-21.
  29. "Target security breach affects up to 40M cards". Associated Press via Milwaukee Journal Sentinel. 19 December 2013. Retrieved 21 December 2013.

منابع

ویرایش