امنیت رایانه
امنیت رایانهای با نامهای امنیت سایبری و امنیت فناوری اطلاعات نیز شناخته میشود. به گونهای که حفاظت از سیستمهای اطلاعات از سرقت یا صدمه به سختافزار، نرمافزار و اطلاعات نرمافزاری و محافظت در برابر حمله محرومسازی از سرویس (اختلال) و باتنتها (گمراهی) به عنوان پارامترهایی است که امنیت رایانه ای آن را تأمین مینماید.[۱]
این سطح از امنیت شامل کنترل دسترسی فیزیکی به سختافزار، و همچنین به عنوان محافظت در برابر آسیبهایی که ممکن است از طریق دسترسی به شبکه، دادهها و تزریق کد روی دهد بکار گرفته میشود.[۲] که قصور اپراتورها چه عمدی و چه اتفاقی یا انحراف این اپراتورها از روالهای امنیتی که باعث فریب خوردن آنها میشود چنین آسیبهایی را رقم میزند.[۳] با توجه به افزایش وابستگی به سیستمهای کامپیوتری و اینترنت در اکثر جوامع[۴] ،شبکههای بیسیم مانند بلوتوث و وای فای و رشد وسایل هوشمند مانند تلفنهای هوشمند و تلویزیون هاو وسایل کوچک مانند اجزای مربوط به اینترنت اشیاء امنیت رایانهای اهمیت رو به رشدی پیدا کردهاست.
آسیبپذیری و حملهها
یک آسیبپذیری میتواند حساسیت یا نقص یک سیستم باشد. اطلاعات آسیبپذیری دربانک اطلاعاتی آسیبپذیریهای متدوال و قرار گرفتن در معرض آنها
(Common Vulnerabilities and Exposures) قرار دارد. آسیبپذیری
استثمارشونده یکی از آسیبپذیریهای قابل اشاره است که زمینه را برای حمله
فراهم میکند. اصطلاحاً در این حالت اکسپلویت وجود دارد.[۵]
برای اینکه یک سامانه رایانهای را ایمن کنیم. این نکته خیلی مهم است که
حملاتی را که میتوانند در برابر آن ساخته میشوند را بفهمیم و این تهدیدها
نوعاً میتواند در دستهبندی زیر قرار بگیرد:
درب پشتی یا بک دور
درب پشتی در یک سامانه رایانهای، یک سیستم رمز نگاری یا یک الگوریتم است. این مقوله به هر روش مخفی دور زدن نرمال احراز هویت یا کنترلهای امنیتی گفته میشود. دربهای پشتی ممکن است به دلایل مختلفی مثل طراحی اصلی و فقر پیکربندی وجود داشته باشند. این امکان وجود دارد که دربهای پشتی توسط شخص مجاز که اجازه اعطای دسترسیهای مشروع را میدهد یا توسط یک مهاجم به دلایل مخرب اضافه شده باشد.
حمله محرومسازی از سرویس
حمله محرومسازی از سرویس به این منظور طراحی میشود که ماشین یا منابع شبکه را از دسترس کاربران نهایی خارج کند.[۶] مهاجمان میتوانند سرویس دهی به قربانیان منحصربفرد را رد کنند مانند اینکه عمداً به صورت متوالی رمز عبور کاربر را اشتباه وارد میکنند تا حساب کاربری قربانی قفل شود یا ممکن است از قابلیتها و توانمندیهای ماشین یا شبکه بیش از حد متناسب و نرمال استفاده کنند بگونهای که در یک لحظه استفاده از سرویس برای کاربران غیرممکن شود و تمامی کاربران را دریک لحظه بلاک کنند. ما میدانیم که میتوان با اضافه کردن یک رول مشخص در فایروال حملهای که از سوی یک آی پی آدرس انجام میشود را بلاک کرد حالا این موضوع قابل طرح است که شکلهای مختلفی از حمله توزیع شده محرومسازی از سرویس امکانپذیر هستند. به این حملات حملات دیداس نیز گفته میشود. حالا در جایی که حمله از تعداد زیادی از نقاط صورت میگیرد دفاع در برابر این نوع از حملات سختتر میشود مثل حملاتی که سرچشمه آنها رایانههای زامبی میباشد از یک باتنت هستند. ترتیبی از روشهای ممکن دیگر میتوانند شامل انعکاس و تقویت حملات باشند با ذکر این مثال که سامانههای بی گناه جریانی از ترافیک را مانند سیل به سمت رایانه قربانی روانه میکنند.
حملههای دسترسی مستقیم
یک کاربر غیرمجاز دسترسی فیزیکی به یک رایانه را بدست میآورد؛ و به احتمال زیاد قادر خواهد بود بهطور مستقیم کپی دادهها را از روی آن انجام دهد. آنها ممکن است امنیت سامانه را به وسیله ایجاد تغییرات در سیستمعامل، نصب کرمهای نرمافزاری، کیلاگر، دستگاه شنود یا با استفاده از ماوسهای بیسیم[۷] حتی زمانی که سامانه توسط تدابیر امنیتی مورد محافظت هستند را در اختیار بگیرند. این حملات ممکن است به وسیلهٔ بوت شدن یک سیستم عامل دیگر یا اجرا شدن یک نرمافزار از روی یک سی دی رام و دیگر رسانههایی که قابلیت بوت شدن را دارند به سمت رایانه قربانی پاسکاری شوند. رمزگذاری دیسک و ماژول پلتفرم قابل اطمینان برای جلوگیری از این حملات طراحی شدهاند.
استراق سمع یا شنود
شنود یا استراق سمع به عمل مخفیانه گوش دادن به مکالمه خصوصی دیگران بدون رضایت آنها گفته میشود که این عمل در اینجا بین میزبانهای درون یک شبکه رخ میدهد. برای مثال برنامههایی مانند Cornivore و ناروس اینسایت(NarusInsight)توسط اف بی ای وآژانس امنیت ملی ایالات متحده آمریکا به منظور شنود سامانههای تامین کنندگان خدمات اینترنتی بکارگرفته میشود. حتی اگر ماشینها عملکردشان مثل یک سیستم بسته باشد. (به عنوان مثال آنها هیچ گونه ارتباطی با جهان خارج نداشته باشند). آنها میتوانند از طریق امواج الکترو مغناطیسی ضعیفی که انتقال میدهند مورد شنود قرار بگیرند. تمپست مشخصهای است که توسط آژانس امنیت ملی ایالات متحده آمریکابرای چنین حملههایی مورد استفاده قرار میگیرد.
حمله جعل
حمله جعل یا Spoofing در حالت عمومی یک عمل جعلی و مخرب در ارتباطات است که از یک منبع ناشناخته مبدل به یک منبع شناخته شده به گیرنده فرستاده میشود. Spoofing در مکانیزمهای ارتباطی که فاقد سطح بالایی از امنیت هستند شایع است.[۸]
دستکاری
دستکاری تغییر مخربی از محصولات را توضیح میدهد؛ که به آن حملات زن شرور گفته میشودبه عنوان مثال سرویسهای امنیتی با قابلیت نظارت درون روتر قرار میگیرند.[۹]
ترفیع امتیازی
ترفیع امتیازی وضعیتی را تشریح میکند که در آن یک حملهکننده با دسترسیهای محدود قادر است بدون هیچ مجوزی سطح دسترسی خود را افزایش دهد. برای مثال کاربر یک رایانه استاندارد ممکن است سامانه را برای دسترسی به دادههای محدود شده فریب بدهد. یا یک «کاربر ممتاز» (super user) بشود و دسترسی نامحدودی را به سامانه پیدا کند.
فیشینگ
فیشینگ روشی است که تلاش میکند تا اطلاعات حساس مانند نام کاربری، کلمه عبور، و جزئیات کارت اعتباری را بهطور مستقیم از کاربران بدست آورد.[۱۰] فیشینگ معمولاً توسط رایانامهنگاری متقلبانه و پیامرسانی فوری انجام میشود. و اغلب کاربران را به وارد کردن جزئیات در یک وب سایت جعلی که خیلی شبیه به وب سایت اصلی است هدایت میکند. در این حالت این اعتماد قربانی است که شکار میشود. فیشینگ به عنوان نوعی ازمهندسی اجتماعی دستهبندی میشود.
سرقت کلیک
سرقت کلیک به عنوان حمله (اصلاح یا دوباره پوشیدن) واسط کاربری یا User Interface Redress Attack گفته میشود. این یک روش مخرب است که در آن حملهکننده کاربر را فریب میدهد تا بر روی دکمه یا پیوند یک صفحه وب دیگری کلیک کند درست هنگامی که همان کاربر قصد دارد بر روی سطح بالای صفحه کلیک کند. این روش با استفاده از لایههای شفاف و کدر متعدد عملی میشود. حملهکننده یا متجاوز اساساً کلیکهایی که قرار است بالای صفحه بخورد را میرباید و کاربران را به سمت صفحات نامربوط که متعلق به اشخاص دیگری است هدایت میکند. این روش خیلی شبیه روشی است که از آن برای ربایش کلید استفاده میشود تهیه یک پیشنویس با دقت از شیوه نامهها، آی فریمها، کلیدها، تکست باکس، به گونهای که یک کاربر به مسیر مورد اعتمادی هدایت شود که در آنجا گذرواژه یا دیگر اطلاعات را تایپ کند درست هنگامی که به یک فریم پنهان وارد شده و آن فریم توسط شخص حملهکننده در حال کنترل است.
مهندسی اجتماعی
هدف مهندسی اجتماعی این است که کاربر را متقاعد کند تا چیزهای سری مثل پسوردش یا شمارههای کارت اعتباری اش را فاش کند. به عنوان مثال جعل هویت یک بانک، یک پیمانکار و یک مشتری میتواند از روشهای مورد استفاده مهندسی اجتماعی باشد.[۱۱] یک کلاهبرداری محبوب و سودآور که در آن ایمیلهایی از سوی مدیرعامل جعلی یک شرکت برای بخش مالی و حسابداری همان شرکت فرستاده میشود. در اوایل سال ۲۰۱۶ افبیآی گزارش کرد که در زمینه کلاهبرداری در مشاغل در حدود ۲ سال بیش از ۲ میلیارد دلار هزینه شدهاست.[۱۲] در می ۲۰۱۶ میلواکی باکس یکی از تیمهای ان بی ای قربانی این روش با عنوان کلاهبرداری سایبری گردید. این عمل با جعل هویت رئیس این تیم با نام پیتر فیگین انجام شد. در نتیجه فرمهای مالیاتی دبلیو - ۲ سال ۲۰۱۵ همه کارکنان تیم تحویل داده شد.[۱۳]
ریسک سامانهها
امنیت رایانهای تقریباً در هر صنعتی که از رایانهها استفاده میکند امری مهم بهشمار میرود. اخیراً بیشتر وسایل الکترونیکی مثل رایانهها لپ تاپها و تلفنهای همراه طوری هستند که از ابتدا نرمافزارهای دیواره آتش بر روی آنها نصب شدهاست. با وجود این رایانهها برای محافظت از دادههای ما صد درصد مستقل و دقیق عمل نمیکنند. (اسمیت و همکاران ،۲۰۰۴). راههای مختلفی برای هک کردن رایانهها وجود دارد ای کار از طریق سامانه شبکه انجام میپذیرد میتوان به کلیک کردن بر روی لینکهای ناشناس ارتباط برقرار کردن با وای فای ناشناس دانلود کردن فایلها و نرمافزارها از وبسایتهای مشکوک مصرف کردن برق امواج رادیویی الکترومغناطیسی و موارد دیگر در این زمینه اشاره کرد. به این ترتیب رایانهها میتوانند از طریق نرمافزارها و سختافزارهای خوب با داشتن تعامل داخلی قوی از مالکیتها پیچیدگی نرمافزار که میتواند مانع خطاهای امنیتی شود محافظت شوند.[۱۴]
سامانههای مالی
وب سایتها و اپلیکیشنها که شمارههای کارتهای اعتباری حسابهای کارگزاری و اطلاعات حسابهای بانکی را میپذیرند اهداف برجستهای برای هک کردن میباشند. از آنجاییکه پتانسیل موجود برای کسب سود مالی فوری از طریق انتقال پول، ایجاد خرید کردن یا فروش اطلاعات در بازار سیاه[۱۵] در سامانه پرداخت فروشگاهی وجود دارد. همچنین میتوان اشاره کرد. دستگاههای خودپرداز نیز به منظور جمعآوری اطلاعات مربوط به حساب مشتری و پینها دستکاری شدهاند و مورد سوءقصد قرار گرفتهاست.
صنایع همگانی (آب - برق و گاز) و تجهیزات صنعتی
رایانهها کارها و عملکردها را در بسیاری از صنایع همگانی کنترل میکنند. هماهنگی در صنعت مخابرات شبکه برق نیروگاههای هستهای و باز و بسته شدن شیر فلکه در شبکه آب و گاز از جمله مواردی است که میتوان به آن اشاره نمود. پتانسیل حمله احتمالی از طریق اینترنت به ماشینهای متصل وجود دارد. اما کرم استاکسنت ثابت کرد که حتی تجهیزاتی که توسط رایانههای غیر متصل به اینترنت کنترل میشوند میتوانند در برابر خسارتهای فیزیکی ای که توسط ارسال دستورهای رایانهای مخرب به سمت تجهیزات صنعتی ایجاد میگردد آسیبپذیر باشند. (در نمونه مورد نظر اشاره به سانتریفیوژهای غنیسازی اورانیوم هست). این آلودگی از طریق رسانههای قابل حمل مثل یو اس بی فلش رخ داد. در سال ۲۰۱۴ تیم آمادگی اضطراری رایانه که یکی از دپارتمانهای وزارت امنیت داخلی ایالات متحده آمریکا محسوب میشود. تعداد ۷۹ هک رخ داده بر روی کمپانیهای انرژی را مورد بررسی قرار داد.[۱۶] آسیبپذیری موجود در کنتور هوشمند (در بسیاری از آنهایی که از خطوط تلفن سلولی یا رادیوهای محلی استفاده میکنند) میتواند موجب مشکل ایجاد تقلب در صورتحساب گردد.[۱۷]
هوانوردی
صنعت هوانوردی به یک سری از سیستمهای پیچیده متکی است که میتواند مورد حمله قرار بگیرد.[۱۸] قطع شدن ساده جریان برق در یک فرودگاه میتواند باعث پیامدهایی در سراسر جهان شود،[۱۹] بسیاری از سیستمها متکی بر انتقال رادیویی هستند که امکان اختلال در آنها وجود خواهد داشت،[۲۰] و با توجه به اینکه میزان نظارت رادارها در محدوده دریایی از ۱۷۵ به ۲۲۵ مایل قابل گسترش میباشد در نتیجه کنترل کردن هواپیماهایی که بر روی اقیانوس در حال پرواز هستند امری خطرناک بهشمار میرود.[۲۱] همچنین میتوان گفت که احتمال حمله از درون یک هواپیما نیز وجود خواهد داشت.[۲۲] محرمانگی و از دست رفتن یکپارچگی سامانه عواقب ناشی از یک حمله موفق خواهد بود؛ که که ممکن است به نگرانیهای جدی تری مانند خروج دادههای مهم و قطع شدن ارتباط کنترل ترافیک هوایی (مراقبت پرواز) منجر شود؛ که این پارامترها به نوبه خود میتواند منجر به تعطیلی فرودگاه، از دست دادن هواپیما، کشته شدن مسافران هواپیما، ویرانی و صدمه به ساختمانها (حادثه یازدهم سپتامبر - ویرانی برجهای دوقلوی تجارت جهانی) و آسیب رسیدن به زیرساختهای حمل و نقل شود. یک حمله موفقیتآمیز بر روی یک سیستم هوانوردی نظامی که کار کنترل مهمات را به عهده دارد میتواند عواقب حتی جدی تری را به دنبال داشته باشد. اروپا حرکت به سوی ایجاد شبکه هوانوردی مرکزی را شروع کردهاست.[۲۳] این سرویس بگونهای است که شبکه مبتنی بر آی پی را در سر تا سر اروپا را با قابلیت ارتباطات دادهای و ردوبدل کردن پیامهای صوتی فراهم میآورد. با ذکر این نکته خدمات بیشتر در سرویسهای شبکهای پان اروپایی جدید یا NewsPENS به چشم میخورد.[۲۴] ایالات متحده آمریکا برنامهای شبیه به این را با نام NextGen را اداره میکند.[۲۵]
وسیلههای مصرف کنندگان
رایانههای رومیزی و لپ تاپها توسط بدافزارها به منظور جمع کردن اطلاعات و رمزهای عبور یا ایجاد ساختار برای بات نتها برای حمله کردن به هدفهای دیگر آلوده میشوند . تلفنهای هوشمند، تبلتها، ساعت هوشمند، و دیگر دستگاههای همراه از قبیل دستگاههای کامپیوتری پوشیدنی (مانند دستگاه سنجش ضربان قلب، دستگاه سنجش میزان کالری سوخته شده هنگام دویدن)می توانند تبدیل به هدف شوند.بسیاری از این دستگاهها دارای حس گرهایی مثل دوربین، میکروفون، سیستم تعیینکننده موقعیت جغرافیایی (جی پی اس )،قطب نما و شتاب سنج هستند که میتوانند مورد استثمار قرار بگیرند و اطلاعات و دادههای خصوصی مانند اطلاعات وضعیت سلامتی فرد را جمعآوری کنند. وای فای، بلوتوث، شبکههای تلفن همراه میتوانند به عنوان بردار حمله مورد استفاده قرار بگیرند و حس گرها میتوانند بعد از نفوذ موفق از راه دور فعال شوند .[۲۶] وسایل مربوط به اتوماسیون خانگی مانند ترموستاتهای شرکت نِست پتانسیل لازم برای اینکه به عنوان هدف بکار روند را دارند.[۲۶]
کمپانیهای بزرگ
کمپانیهای بزرگ به عنوان هدفهای معمول و رایج بهشمار میروند.در بسیاری از موارد این کمپانیها به عنوان هدف برای بدست آوردن سود مالی از طریق سرقت هویت مصرف کنندگان در نظر گرفته میشوند . به عنوان مثال نفوذ به دادههای کارت اعتباری میلیونها نفر از مشتریان شرکت هوم دیپو[۲۷] ، استیپلز[۲۸]، تارگت[۲۹] میتوان اشاره کرد.
