آشنايي با Code Red


كرم هاي اينترنتي زمان كامپيوتر را تلف مي كنند يا به عبارت ديگر آن را كند مي كنند و همچنين در شبكه يا در اينترنت پهناي باند را اشغال مي كنند. آنها تكثير مي شوند و اغلب اوقات نقش يك شيطان اينترنتي را بازي مي كنند كرمي كه Code Red نام دارد در سال 2001 صدر اخبار اينترنتي را به خود اختصاص داده بود. متخصصين پيش بيني كرده بودند كه اين كرم مي تواند اينترنت را تا حد از كار افتادن كند سازد.

Code Red زمانيكه خود را تكثير مي كند سرعت اينترنت را كاهش مي دهد. اما اين كرم اينترنتي انگونه كه پيش بيني مي شد نتوانست اينترنت را متوقف سازد. هر كپي از اين كرم در اينترنت بدنبال ويندوز سرور NT يا 2000 اي مي گردد كه در آن وصله هاي امنيتي مايكروسافت نصب نشده باشد. هر بار كه يك سرور اينترنتي حفاظت نشده پيدا كند خود را در آن سرور كپي مي كند. و كپي جديد بدنبال سرور ديگري با اين شرايط مي گردد تا آن را آلوده كند بسته به تعداد سرور هاي غير ايمن Code Red مي تواند در اينترنت صدها يا هزارها كپي از خود تهيه كند.

ويروس Code Red طوري طراحي شده است كه سه كار انجام دهد.

خود را براي بيست روز اول هر ماه تكثير مي كند.

صفحات وبي را كه در سرور هاي آلوده هستند را با صفحاتي كه در آن نوشته شده است "Hacked by Chinese"جايگزين مي كند.

سپس شروع به تدارك يك حمله عليه وب سايت كاخ سفيد مي كند تا آنرا از كار بيندازد

معمول ترين ورژن Cod Red يك نوع توسعه يافته از Ida Code Red است كه خود را در 19 ژولاي سال 2001 ميلادي تكثير كرد.

بعد ازيك آلوده ساختن موفقيت آميز كرم منتظر يك ساعت مشخص مي ماند و به دومين مورد نظر سرور كاخ سفيد متصل مي شود اين حمله به اين صورت است كه سيستم هاي آلوده به طور همزمان 100 ارتباط با پورت 80 سايت http://www.whitehouse.gov ( با IP:198.137.240.91 ) بر قرار مي كند.

دولت امريكا آدرس IP وب سايت http://www.whitehouse.org را تغيير داده است تا اين حملات را خنثي كند و يك هشدار عمومي در مورد اين كرم منتشر كرده است تا سرورهاي وبي را كه از ويندوز 2000 و NT استفاده مي كنند از وجود و نحوه مبارزه با آن آگاه كند.

علائم یک سیستم هک شده

از این که هک شده اید حس عجیب و مضحکی دارید، اما دقیقاً نمی دانید در مرحله ی بعدی چکار کنید. اگر مانند اکثر مردم باشید، نمی دانید الزاماً باید کجا را بگردید تا شواهدی برای به خطر افتادن سیستم تان بیابید. حال نگاهی می اندازیم به چند مورد از شواهد رایجتر که ممکن است پس از ایجاد عیب در سیستم پیدا کنید.

user account های مشکوک می بایست غیر فعال شده و جستجو کنیم چه کسی و چرا آن را ایجاد کرده است. اگر سیستم auditing (بازرسی) بدرستی فعال شده باشد، audit log ها (ثبتهای بازرسی) نشان خواهند داد چه کسی آنها را ایجاد نموده است. اگر بتوانید تاریخ و زمان ایجاد account را پیدا کنید و آن account در اثر یک هک بوجود آمده باشد، شما یک قالب زمانی خواهید داشت که می توان در آن به جستجوی دیگر رویدادهای audit log که ممکن است مرتبط باشد پرداخت.

به منظور اینکه متوجه شوید آیا برنامه ی مخربی ارتباطات ورودی را تحت کنترل دارد - که می تواند به عنوان یک پورت پنهانی برای هکر استفاده شود - از ابزارهایی مانند TCPView مربوط به Sysinternals یا Fpipe مربوط به Foundstone استفاده کنید. این ابزارهای ویندوز نشان می دهند چه برنامه هایی در حال استفاده از هر یک از پورت های باز سیستم شما هستند. در مورد سیستمهای یونیکس از netstat یا lsof که درون سیستم عامل قرار دارند استفاده کنید. از آنجا که ممکن است یک هکر باهوش netstat و lsof شما را با نسخه های تروجانی (که پورت های باز شده توسط هکرها را نشان نمی دهد) جایگزین کند، بهترین کار این است که این سیستم قربانی را با استفاده از پورت اسکنر گمنام و رایگان nmap (از سایت insecure.org) از کامپیوتر دیگر اسکن کنید. این امر به شما دو دیدگاه مختلف از پورت های باز سیستم می دهد.

هکری که یک سرور ویندوز را مورد حمله قرار می دهد، ممکن است برنامه های اجرا شده را از طریق registry در نواحی ذیل اضافه یا جایگزین کند:

• HKLM > Software > Microsoft > Windows > CurrentVersion> Run
• HKCU > Software > Microsoft > Windows > CurrentVersion> Run

نرم افزارهای مخرب نیز ممکن است از طریق دستورهای اجرای سیستم عامل اجرا شود. به منظور اینکه ببینید چه برنامه هایی در دستور اجرای یک سیستم ویندوز قرار گرفته است، به command prompt بروید و تایپ کنید AT . در یک سیستم یونیکس از فرمان های cron یا crontab استفاده کنید تا لیست فعالیت هایی را که در دستور اجرا (schedule) قرار دارند ببینید.

هکرانی که به سیستم یونیکس حمله می کنند، ممکن است از یک root kit استفاده کنند که به آنان کمک می کند با استفاده از یک خلأ آسیب پذیری در سیستم عامل یا برنامه های نصب شده، به root access دست پیدا کنند. با توجه به آن که برای هکران root kit های زیادی وجود دارد، تعیین این که کدام فایل ها دستکاری شده اند بسیار مشکل است. برنامه هایی وجود دارند که به این امر کمک می کنند، مانند chrookit.

برای یک هکر هزاران راه ممکن وجود دارد تا ردپای خود را بپوشاند، اما جستجو در موارد فوق شروع بسیار خوبی برای گشت و گذار شما جهت تشخیص خطرات سیستم و حملات هکرها است.

مترجم: سینا صدقی

مزايا و خطرات استفاده از ايميل رايگان

هشدار: سرويس هاي رايگان ايميل فقط براي ارسال اطلاعات شخصي مناسب هستند. ولي نبايد براي ارسال اطلاعات حساس از آنها استفاده كنيد.

جذابيت سرويس هاي پست الكترونيك رايگان

بسياري از ارائه دهندگان خدمات اينترنتي (از قبيل ياهو ، هات ميل، جي ميل) سرويس ايميل رايگان را هم ارائه مي كنند. اين سرويس هاي پست الكترونيك معمولاً براي شما تسهيلاتي فراهم مي كنند تا از طريق مرورگر خود به ايميلتان دسترسي پيدا كنيد. به غير از مزيت مالي كه رايگان هستند داراي مزاياي زير نيز هستند:

سهولت دسترسي- چون از هر كامپيوتري مي توانيد به حساب كاربري خود دست پيدا كنيد. اين مزيت زماني بيشتر خود نمايي مي كند كه به كامپيوتر خود دسترسي دائم نداريد.
ويژگي هاي قابل رقابت - به علت رقابت سختي كه ميان ارائه دهندگان خدمات پست الكترونيكي رايگان وجود دارد آنها دائم در حال افزايش و بهبود خدمات خود از قبيل افزايش فصاي ذخيره سازي، فيلتر هاي قدرتمند مبارزه با اسپم ها (نامه هاي ناخواسته يا هرز نامه ها)، حفاظت در برابر ويروس ها و فونت ها و گرافيك جذاب هستند.
قابليت هاي ديگر - اكنون اين سرويس دهندگان خدمات ديگري غير از ارسال و دريافت ايميل را به امكانات خود اضافه كرده اند. مثلاً سرويس چت يا پيغام صوتي و مانند آن.
همينطور يك ايميل رايگان ابزار مناسبي براي كم كردن نامه هاي نا خواسته يا همان هرزنامه است. و معمولاً افرادي كه داراي فعاليت اينترنتي حرفه اي هستند براي جلوگيري از دريافت ايميل هاي ناخواسته و كم كردن تعداد آنها يك ايميل رايگان هم دارند كه براي كار هايي مانند درخواست سرويس هاي رايگان اينترنتي، خريد آنلاين، عضويت در انجمن ها و... از اين ايميل خود استفاده مي كنند، تا ايميل هاي ناخواسته را به سمت اين سرويس ها هدايت كرده و به راحتي حذف كنند.

استفاده از سرويس هاي ايميل رايگان چه خطراتي دارد؟

اگر چه سرويس هاي رايگان پست الكترونيك مزاياي زيادي دارند، اما نبايد از آنها براي ارسال اطلاعات مهم و حساس استفاده كرد. و چون شما از يك سرويس رايگان استفاده مي كنيد ارائه دهنده اين خدمات تعهد چنداني در قبال اطلاعات شما كه بدست افراد نا اهل بيفتد ندارد. بعضي از خطرات اين سرويس ها عبارتند از:

امنيت - اگر رمز عبور شما به صورت يك متن ساده ارسال شود احتمال اينكه به سادگي شخصي آنرا بدست بياورد وجود دارد. اگر يك وب سايت از سيستم پنهان كردن اطلاعات SSL استفاده مي كند بايد از آن استفاده كنيد. اگر مي خواهيد بدانيد آيا اين ويژگي وجود دارد يا خير بايد بدنبال گزينه اي به نام Secure Mode باشيد يا در آدرس اينترنتي به جاي http از https استفاده كنيد.
حريم خصوصي - شما براي سرويس رايگاني كه دريافت مي كنيد پولي نمي پردازيد، اما ارائه دهنده اين خدمات بايد به گونه اي هزينه آن را جبران كند. يك راه بدست آوردن درآمد فروش فضا هاي خالي در صفحات براي تبليغات و يك راه هم فروش اطلاعات است. بنابراين در هنگام ساخت ايميل جديد بايد قسمت Privacy Policy يا Terms of use را مطالعه كنيد. و مطمئن شويد آنها اطلاعاتي از قبيل دفترچه آدرس هاي پست الكترونيك يا هر اطلاعاتي كه مربوط به شماست را به ديگران نخواهند داد. بنابراين اگر يك ايميل كاري داريد و آنرا به گونه اي تنظيم كرده ايد كه يك كپي از پيغام هاي شما براي ايميل رايگان شما هم فرستاده شود، بهتر است آنرا با صاحب كار خود در ميان بگذاريد و از ا و اجازه بگيريد. تا متهم به سرقت اطلاعات نشويد.
قابليت اعتماد - هر چند اين ويژگي وجود دارد كه از هر كامپيوتري مي توانيد ايميل خود را چك كنيد ولي بايد مطمئن شويد حساب كاربري شما هر وقت به آن احتياج داريد در دسترس است. همانطور كه گفتيم در هنگام ثبت نام قسمتي وجود دارد به نام Terms of Service كه از شما مي خواهد تمام شرايط خدمات دهنده را بخوانيد و در صورت موافقت آنرا تأييد كنيد. اين قسمت اطلاعات مفيدي درباره ويژگي هاي اين سرويس مي دهد. مثلاً بعضي از سرويس هاي رايگان اگر براي مدت طولاني از خدمات آنها استفاده نكنيد، حساب كاربري شما را غير فعال مي كنند. در اين صورت بايد بدانيد آيا امكان بازيابي اطلاعات و دفترچه آدرس خود را داريد يا همه آنها را از دست خواهيد داد.همچنين ارائه دهندگان خدمات پست الكترونيكي در ساعاتي از شبانه روز كامپيوتر هاي خود را سرويس مي كنند. اين زمان معمولاً طوري انتخاب مي شود كه اكثر كاربران در خواب هستند حال اگر از نظر موقعيت جغرافيايي زمان اوج كاري شما همزمان با زمان سرويس كامپيوتر ها (در آن كشور نيمه شب باشد.) باشد بهتر است از آن مطلع باشيد.
نويسنده: علي يزدي مقدم

منبع مقالات درج شده در پست های قبل


http://www.yadbegir.com

يك مشكل امنيتي معمول در ويندوز

متأسفانه بسياري از كاربران ويندوز از يك شكاف امنيتي موجود در تنظيمات شبكه كامپيوتر بي اطلاع هستند.

تنظيمات معمول شبكه در ويندوز به شرح زير است:

Client for Microsoft Networks

file and printer sharing for Microsoft Networks

NET BEUI Protocol

Internet Protocol TCP/IP

اگر در تنظيمات ويندوز شما NetBIOS مجاز باشد يك مشكل امنيتي در TCP/IP داريد.

ممكن است فايلهاي شما در كل اينترنت به اشتراك گذاشته شوند بدون انكه شما مايل به اين عمل باشيد.

Work Group-name , Computer name , Login- name براي ديگران قابل مشاهده است.

فايلهاي شما مي‌توانند در كل اينترنت به اشتراك گذاشته شود.

كامپيوترهايي كه به هيچ شبكه‌اي متصل نشده‌اند هم مي‌توانند در معرض خطر باشند زمانيكه براي اولين بار به اينترنت متصل مي‌شويد تنظيمات شبكه شما تغيير مي‌كند.

حل مشكل:

براي كاربران ويندوز200:

با disable كردن NetBIOS در TCP/IP مي توانيد مشكل را حل كنيد:

ويندوز اكسپيلورر را باز كنيد.

روي My Network places راست كليك كنيد.

properties را انتخاب كنيد.

روي Local Are a Network راست كليك كنيد.

properties را انتخاب كنيد.

Internet protocol TCP/IP را انتخاب كنيد.

روي properties كليك كنيد.

روي Advanced كليك كنيد.

وارد قسمت WINS شويد.

Disable NetBIOS over TCP/IP را انتخاب كنيد و OK را كليك كنيد.

اگر براي شما پيغامي به صورت "...This connection has an empty" ظاهر شد آن را ناديده بگيريد و روي YES كليك كنيد و سپس OK را بزنيد تا بقيه پنجره ها را ببنديد.

بعد از انجام اين كارها بايد كامپيوتر خود را restart كنيد.

براي كاربران ويندوز 98 و 95 و me:

مي توانيد مشكل خود را با disable كردن NetBIOS over TCP/IP

ويندوز اكسپلورر را باز كنيد.

روي My Network places راست كليك كنيد.

properties را انتخاب كنيد.

Internet protocol TCP/IP را انتخاب كنيد.

روي properties كليك كنيد.

وارد قسمت NetBIOS شويد.

علامت تيك NetBIOS over TCP/IP را برداريد. روي OK كليك كنيد.

در اين ويندوزها بايد TCP/IP Binding را براي File and printer sharing غير فعال كنيد.

ويندوز اكسپيلورر را باز كنيد.

روي My Network places راست كليك كنيد.

properties را انتخاب كنيد.

Internet protocol TCP/IP را انتخاب كنيد.

روي properties كليك كنيد.

وارد قسمت Bindings شويد.

علامت تيك Client for Microsoft Network را برداريد. علامت تيك File and printer sharing را برداريد.

روي OK كليك كنيد.

اگر پيغامي مانند: "...You must select a driver" را دريافت كرديد. روي YES كليك كنيد. و روي OK كليك كنيد تا پنجره هاي ديگر را ببنديد.

اگر هنوز مي خواهيد فايلها و پرينتر شما در شبكه فعال باشد، بايد از پروتكل NetBEUI به جاي TCP/IP استفاده كنيد. مطمئن باشيد كه آن را براي شبكه محلي خود فعال كرده ايد.

مراحل به شرح زير است:

ويندوز اكسپيلورر را باز كنيد.

روي My Network places راست كليك كنيد.

properties را انتخاب كنيد.

NetBEUI را انتخاب كنيد.

روي properties كليك كنيد.

وارد قسمت Bindings شويد.

براي Client for Microsoft Networks علامت تيك بگذاريد.

براي File and printer sharing علامت تيك بگذاريد و روي OK كليك كنيد.

اكنون بايد كامپيوتر خود را ري استارت كنيد (restart) كنيد. تا تغييرات در سيستم شما اعمال شوند.

دسترسي به اينترنت يك ريسك امنيتي است.

زماني كه به اينترنت دسترسي داريد. از يك آدرس IP مانند 83.150.61.130 براي شناسايي شما استفاده مي شود. اگر كامپيوتر خود را محافظت نكنيد اين آدرس IP مي تواند براي دست يابي به كامپيوتر شما از دنياي اينترنت استفاده شود.

يك آدرس IP ثابت داراي يك خطر امنيتي بالا است.

اگر شما از يك مودم به صورت dial-up به اينترنت متصل مي شويد هر بار كه به اينترنت متصل مي شويد يك آدرس IP خواهيد داشت. اما اگر يك آدرس IP ثابت داشته باشيد (مانند ADSL) آدرس IP شما هرگز تغيير نمي كند. و در اين حالت اطلاعات خصوصي و محرمانه شما هميشه در خطر لو رفتن قرار دارد. و هميشه بايد ورودي هاي كامپيوتر خود را چك كنيد.