بایگانی

مسئول امنیت اینستاگرام!درامدی پر سود از نااگاهی مردم

چند وقتی میشه که هر صفحه اینستاگرامی سلبریتی های ایرانی,از ورزشکار گرفته تا بازیگر و خواننده رو که باز میکنه آدم یک عبارت گنگ به اسم مسئول امنیت پیج : …@ رو میبینه توی بیوی پیج.

اما یک سوال مهم,آیا بدون داشتن مسئول امنیت پیج ,اکانت با مشکل مواجه میشود؟

در جواب این سوال باید بگم خدمتتون که در دنیا شغلی به نام مسئول امنیت پیج نداریم و در هیچ کجای دنیا هیچ سلبریتی اجازه دسترسی به پیج خودش رو به فرد دیگه ایی نمیده ! در واقع کاری که مسئول امنیت پیج (به اصطلاح خودشون) انجام میدن این هستش که یوزر نیم و پسورد اکانت مشتری رو دریافت میکنن و بعد ایمیلی که تنها خودشون بهش دسترسی دارند رو روی اکانت مشتری ست میکنند و تنها یک پسورد قوی (حداقل 12 کاراکتری) روی اکانت قرار میدن و در مرحله اخر تایید دو مرحله ایی اکانت رو روشن میکنند.همین.. در واقع اینستاگرام هیچ مکانیزم امنیتی دیگه ایی رو بجز موارد بالا برای امنیت اکانت ها در نظر نگرفته

بعد از انجام این مراحل از مشتری بعنوان دستمزد نگهداری پیج و برقراری امنیت !!! ماهیانه مبالغ هنگفتی دریافت میکنند.حتی دیده شده اخر شب ها استوری میزارن که زمانی که شماها خوابین من در حال سرکشی به اکانت هاتونم و دارم امنیتتونو تضمین میکنم .انگار که اکانت اینستاگرام یک پادگان هستش و مسئول امنیت پیج هم افسر شب هست و به پست ها سر میزنه که سربازی ترک پست نکرده باشه خدایی نکرده

اما جالب ترین قسمت ماجرا : هک شدن مشتری….

هک شدن مشتری!؟

در این قسمت معمولا چند ماه یکبار و در نیمه های شب تموم پست های اکانت مشتری رو ارشیو میکنند و بعد پروفایل اکانت رو تغییر میدن و در بیو معمولا مینویسن هک شده توسط گروه فلان یا هک شده توسط هکر های ترکیه ایی و دوتا پرچم ترکیه هم میزنن .و بعدش پسورد اکانت رو تعویض میکنن و منتظر تماس مشتریشون میمونن.در این مرحله مشتری به محض اینکه نمیتونه به اکانت خودش دسترسی داشته باشه با مسئول امنیتش تماس میگیره .

اما سناریوی احتمالی مکالمه:

+سلام

-سلام

+ببخشید من به اکانتم دسترسی ندارم .فکر میکنم اکانتم هک شده چون ایدیمو سرچ میزنم پست هام پاک شدن و در بیوم نوشته شده “این اکانت هک شده”

-من این اطمینان رو بهتون میدم که تیم متخصص ما در حال پیگیری هستش… لطفا صبر کنید بهتون خبر میدم

+کی بهم خبرشو میدین

-لطفا صبر کنید .خیلی زود…

+اوکی چشم

اما ادامه مراحل,چند ساعتی صبر میکنن و بعد تموم پست هارو از ارشیو بر میگردونن و پسورد اکانت رو به مشتری میدن و میگن با تلاش بی وقفه تیم امنیتی ما پیجتونو تونستیم از هکر ها پس بگیریم .

در اخر هم از مشتریشون یه چند میلیونی پول میگیرن !!!!

اما سوالی که پیش اومده واسم واقعا آیا ست کردن یک پسورد قوی و روشن کردن تایید دو مرحله ایی کار پیچیده یا سختی هستش که برای انجامش متوسل به یه سری ادم شیاد فیک با فالورای فیک میلیونی بشیم؟

اگر که فکر میکنید امنیت پیج اینستاگرام وابسته به اینجور اشخاص هستش در اینصورت اینستاگرام یک شبکه اجتماعی ضعیف محسوب میشه که کاربران به تنهایی نمیتونن تنظیمات امنیتی اکانتشونو انجام بدن و اصولا همچین شبکه اجتماعی محکوم به شکست هستش و اینستاگرامی که الان در اون فعالیت میکنید خیلی وقت پیش از هم میپاشید و از بین میرفت! .

سلبریتی های هر جامعه الگوی افراد اون جامعه هستن .واقعای جای تاسف داره که سلبریتی های ما با فالور میلیونی در حد بسیار ساده و ابتدایی بلد نیستن از یک اپ استفاده کنند و حتی حاضر نیستند که ده دیقه وقت بزارن و یه سرچ ساده در مورد “امنیت اکانت در اینستاگرام” رو در گوگل انجام بدن. کسی که دانش ابتدایی درک مکانیزم اینستاگرام رو نداره مستحق دیده شدن به این حجم وسیع نیست.لطفا در تعین الگو هاتون تجدید نظر کنید و ادم های باهوش رو بزرگ کنید که اینجور به شخصیت خودتون احترام میزارین….

سخن پایانی:

برای تامین امنیت پیج خودتون کار های زیر رو انجام بدین :

1-قرار دادن یک پسورد حداقل 12 کاراکتری متشکل از حروف کوچک و بزرگ,اعداد,علائم خاص روی اکانت

2-روشن کردن گزینه Two Factor Authentication در منوی تنظیمات امنیتی اکانتتون

3-ست کردن یک ایمیل و شماره تلفن روی اکانتتون

4-عدم استفاده از اپ های مشکوک به بد افزار مثل انفالویاب ها و فالوربگیر و اپ هایی از این قبیل

5-استفاده از اپلیکیشن رسمی اینستاگرام

6-عدم وارد کردن پسورد اکانتتون در صفحات فیک که کاملا شبیه صفحه لاگین اینستاگرام طراحی شدن

7-یکم باهوش بودن و یادگیری نکات بیشتر در این مورد و بالابردن اگاهی خودتون از دنیای مجازی و تکنولوژی و خطرات اون

در اخر تایید میکنم هیچ گونه نیازی به استخدام یک فرد دیگه برای تامین امنیت اکانت هاتون نیست و این شغل در هیچ کجای دنیا به رسمیت شناخته نمیشه بجز ایران!!! لطفا خودتون رو اپدیت کنید و دانش خودتون رو هم به دیگران منتقل کنید

سپاس از وقتی که گذاشتین برای مطالعه این متن

آموزش ساخت پسورد پیچیده +[معرفی نرم افزار مدیریت پسورد]

اگر پسورد ایمیل شما Hack شود و یا لو برود، امنیت کلیه اطلاعات شخصی شما به خطر می افتد. کسی که رمزعبور ایمیل شما را داشته باشد می تواند با زدن دکمه I Forgot My Password در هر سایتی، به حساب بانکیتان، رمز عبور سایر ایمیل هایتان و سایر Password های شما در سایر وب سایت ها دست یابد. با در نظر گرفتن رخنه های امنیتی گسترده در حال حاضر این فرصت خوبی است برای به روز کردن رمزعبور و اطمینان از اینکه تمامی آنها منحصر به فرد (پسورد امن) باشند.  بنابراین بهترین راه برای جلوگیری از این مسئله، ساخت پسورد پیچیده و استفاده از نرم افزارهایی مانند KeePass  وLastPass برای به خاطر سپردن آنهاست.

یک قانون برای پسورد پیچیده و قوی

با پیروی از چند قانون ساده می توان یک پسورد پیچیده و منحصر به فرد ساخت.برای ساخت یک پسورد سخت ابتدا به یک رمزعبور “پایه” با حروف کوچک و بزرگ، اعداد و حتی یک نماد احتیاج داریم، انتخاب یک عبارت که براحتی بتوان بخاطر سپرد. در این مثال من برای سادگی از اسم یک غذای مورد علاقه خودم (ghormeh sabzi) استفاده می کنم.

برای داشتن پسورد امن اطمینان حاصل کنید که عبارت انتخابی شما حداقل هشت حرف است، همچنین از عباراتی که بسیار رایج هستند ( مانند اسم شهرها ) استفاده ننمایید. از استفاده از یک عبارت ساده و تبدیل حروف آن به نماد اجتناب کنید ( هکرها با استفاده از ابزارهای پیچیده قادر به شناسایی این ترفند خواهند بود). از یک عبارت عبوری (استفاده از چند کلمه) به جای یک رمزعبور استفاده نمایید. این کار پیدا کردن پسورد را برای هکرها سخت خواهد کرد.


پسورد امن و قدر

مقاله مرتبط :

ضعیف ترین رمزهای عبور سال ۲۰۱۱ و راه های انتخاب صحیح رمزعبور

حال که عبارت عبوری را انتخاب کردیم آن را به یک عبارت واحد تبدیل می کنیم (ghormehsabzi)، حال از حروف بزرگ هم استفاده می کنیم که به راحتی می توان بخاطر سپرد (GhormehSabzi) در مرحله ی بعد برای داشتن پسورد قدرتمند با استفاده از تعدادی نماد آن را جذاب تر می کنیم! (Gh0rm3hS@bzi)

حالا رمزعبور پایه درست شده است و می توانیم از آن به عنوان اسکلت کلید برای تمامی وب سایت هایی که در آنها کاربری داریم استفاده کنیم. برای ایجاد قویترین رمزعبور ممکن، می خواهیم یک الگوی نامگذاری ساده حفظی بسازیم که با استفاده از آن برای تمام وب سایت هایی که در آنها کاربری داریم یک رمزعبور منحصر به فرد می سازیم.

به طور مثال من تصمیم دارم از حروف اول و چهارم اسم دامنه سایت در میان حروف عبارت عبوری استفاده نمایم. بنابراین رمزعبور ایمیل اکانت Yahoo به اینصورت می شود:  (Gh0rm3hYoS@bzi) و یا برای ایمیل اکانت Gmail به اینصورت: (Gh0rm3hGiS@bzi)

با این حال در نظر داشته باشید که هیچ رمزعبوری بی عیب نیست! حتی یک پسورد قدرتمند. اما داشتن یک عبارت عبوری منحصر به فرد و چند ترفند که قابل یاد سپاری هستند راهی طولانی برای وارد شدن به حریم خصوصی شما در دنیای مجازی ایجاد می کند.

keepass نرم افزاری برای مدیریت رمز عبور (password)

یک نرم افزار قدرتمندی برای مدیریت پسورد، KeePass است که تمامی پسورد پیچیده شما را به صورت کد گذاری شده در یک پایگاه داده نگهداری می کند و به شما اجازه می دهد تا با یک رمز عبور اصلی به آنها دسترسی پیدا نمایید، بنابراین می توانید به تمامی رمزهای خود در هر جایی که هستید تنها با یک کلیک دسترسی پیدا کنید.


keepass نرم افزاری

LastPass یکی از انواع این برنامه هایی ست که شما می توانید آن را به راحتی روی Browser خود نصب کنید و بدون نگرانی Password های منحصر به فرد بسازید. این برنامه با انواع Browser ها سازگار است و استفاده از آن بسیار ساده می باشد، به این ترتیب که رمزهای شما به صورت خودکار بین Browser ها و کامپیوترهای مختلف یکسان سازی می شود و امکان دسترسی به این پایگاه داده از هر سیستمی برای شما امکان پذیر خواهد بود با وجود اینکه حفظ امنیت تمامی رمزها به عهده یک Hard drive می باشد.

استفاده از password manager یک راه بسیار خوب برای تقویت امنیت شخصی به صورت آنلاین است اما کافی نیست. یک پسورد پیچیده رمزی ست که تا به حال ننوشته باشید! یک رشته منحصر به فرد از حروف، اعداد و نمادهایی که حتی آنها را تا زمان استفاده نمی شناختید! ممکن است به نظر به خاطر سپردنشان غیر ممکن می آید در حالی که با چند حقه ساده قادر خواهید بود که آنها را به ذهن بسپارید.

به این نوشته امتیاز دهید

[Total: 1 Average: 5]

در صورت نیاز به تامین امنیت وب سات یا بخش آی تی مجموعه خود با ما در تماس باشید.
02128421193
09129726343
09362196343

omid.ahmadyani@outlook.com

موارد مورد آنالیز وب سایت:
● اسکن پورت های باز و دارای حفره امنیتی

● اسکن بیش از ۱۵۰۰ ضعف امنیتی خطرناک در اسکریپت و ساختار سایت

● کشف ضعف تزریق SQL + اعمال Blind SQL Injection

● کشف ضعف های تزریق اسکریپت (XSS)

● کشف ضعف امنیتی پیمایش پوشه ها (Directory Traversal)

● کشف صفحات ورود کاربران و مدیر و اعمال آزمون نفوذ پذیری

● اسکن وب سرور ها برای ضعف های امنیتی

● اسکن وب اپلیکیشن ها (مثل: Cpanel, Plesk, phpMyAdmin, WordPress, Mambo, Joomla, Drupal, DotNetNuke, phpNuke, phpBB, Mambo)

● کشف زیر دامنه ها توسط DNS zone و اعمال اسکن بر روی آن‌ها.

●جلوگیری از هک شدن سایت

●آنالیز و بروزرسانی وب سایت

●ایمن سازی پوشه ها و سطح دسترسی ها

●بروزرسانی پایگاه داده ها

●امن سازی پایگاه داده ها

●نصب افزونه های امینتی و مانیتور وب سایت

●پشتیبانی حرفه ای از امنیت سایت

●مدیریت حفره های امنیتی و غیره ……

ضعیف ترین رمزهای عبور سال ۲۰۱۱ و راه های انتخاب صحیح رمزعبور

انتخاب ۱۲۳۴۵۶ به عنوان رمز عبور گزینه مناسبی نیست مگر اینکه دوست داشته باشید اطلاعات شخصی تان به سادگی در دسترس هکرها قرار گیرد. شاید این بدترین رمزعبوری باشد که بتوان انتخاب کرد اما از این عدد بدتر عبارت password است. آمارها نشان می دهد که اکثر ایمیل های هک شده دارای این رمز عبور بوده اند حتی عبارت Passw0rd نیز با استفاده از عدد ۰ به جای حرف o به اندازه کافی هوشمندانه نیست و در رتبه ۱۸ ام رمز های عبور پرخطر قرار گرفته است. در ادامه لیست ۲۵ رمز عبور که بیش از دیگران هک شده اند را مشاهده خواهید کرد.

رمزهای عبور ساده مانند qwerty یا ۱۲۳۴۵۶ جزء اولین گزینه هایی هستند که هکر ها نسبت به آزمایش آنها اقدام می کنند پس در انتخاب رمز عبور خود دقت و توجه بیشتری به خرج دهید برای ایجاد یک رمز عبور پیچیده سعی کنید از ترکیب اعداد و حروف بی معنی استفاده کنید.

برای انتخاب صحیح و مطمئن رمز عبور به مقاله چگونه رمزعبورهای پیچیده بسازیم و آنها را از یاد نبریم مراجعه کنید.

۲۵ رمز عبور پرخطر سال ۲۰۱۱

  • ۱. password
  • ۲. ۱۲۳۴۵۶
  • ۳.۱۲۳۴۵۶۷۸
  • ۴. qwerty
  • ۵. abc123
  • ۶. monkey
  • ۷. ۱۲۳۴۵۶۷
  • ۸. letmein
  • ۹. trustno1
  • ۱۰. dragon
  • ۱۱. baseball
  • ۱۲. ۱۱۱۱۱۱
  • ۱۳. iloveyou
  • ۱۴. master
  • ۱۵. sunshine
  • ۱۶. ashley
  • ۱۷. bailey
  • ۱۸. passw0rd
  • ۱۹. shadow
  • ۲۰. ۱۲۳۱۲۳
  • ۲۱. ۶۵۴۳۲۱
  • ۲۲. superman
  • ۲۳. qazwsx
  • ۲۴. michael
  • ۲۵. footbal

مقاله مرتبط :

چگونه رمز های عبور پیچیده تهیه کنیم؟

مدیرعامل SplashData که این آمار را منتشر کرده است در این رابطه گفت: اگر رمزعبور ساده انتخاب کنید، هکرها به راحتی می توانند به اکانت شما دسترسی داشته باشند. برای ساخت رمزعبور پیچیده موارد زیر را مدنظر قرار دهید:

۱- از کارکترهای مختلف شامل: حروف، اعداد و کارکترهای خاص (مانند %, ^, @ ) استفاده کنید.

۲- سعی کنید طول رمز عبور حداقل ۸ کارکتر باشد، سعی کنید از فاصله نیز در آن استفاده کنید.

۳- از یک رمز عبور برای سایت های مختلف استفاده نکنید چون در صورت لو رفتن یک رمز باقی اکانت های شما نیز به خطر خواهد افتاد.

به این نوشته امتیاز دهید

[Total: 0 Average: 0]

در صورت نیاز به تامین امنیت وب سات یا بخش آی تی مجموعه خود با ما در تماس باشید.
02128421193
09129726343
09362196343

omid.ahmadyani@outlook.com

موارد مورد آنالیز وب سایت:
● اسکن پورت های باز و دارای حفره امنیتی

● اسکن بیش از ۱۵۰۰ ضعف امنیتی خطرناک در اسکریپت و ساختار سایت

● کشف ضعف تزریق SQL + اعمال Blind SQL Injection

● کشف ضعف های تزریق اسکریپت (XSS)

● کشف ضعف امنیتی پیمایش پوشه ها (Directory Traversal)

● کشف صفحات ورود کاربران و مدیر و اعمال آزمون نفوذ پذیری

● اسکن وب سرور ها برای ضعف های امنیتی

● اسکن وب اپلیکیشن ها (مثل: Cpanel, Plesk, phpMyAdmin, WordPress, Mambo, Joomla, Drupal, DotNetNuke, phpNuke, phpBB, Mambo)

● کشف زیر دامنه ها توسط DNS zone و اعمال اسکن بر روی آن‌ها.

●جلوگیری از هک شدن سایت

●آنالیز و بروزرسانی وب سایت

●ایمن سازی پوشه ها و سطح دسترسی ها

●بروزرسانی پایگاه داده ها

●امن سازی پایگاه داده ها

●نصب افزونه های امینتی و مانیتور وب سایت

●پشتیبانی حرفه ای از امنیت سایت

●مدیریت حفره های امنیتی و غیره ……

افزایش امنیت در جوملا فقط با همین ۱۰ نکته

بی شک جوملا یکی از بهترین نرم افزارهای مدیریت محتوا در بازار CMS ها  می باشد. هرچه وب سایت های بیشتری با جوملا طراحی می شود، نحوه ی پیکربندی سایت از نظر امنیتی مهم تر می شود. ۱۰ نکته ی زیر به افزایش امنیت سایت جوملای شما کمک می کند.

اگر تمایل دارید پیش از مطالعه این ۱۰ نکته، درباره جوملا بیشتر بدانید، پیشنهاد می شود بر روی اینجا کلیک کنید.

 ۱-یک هاستینگ (میزبان وب) مناسب انتخاب کنید :

سروری که برای میزبانی یا همان هاستینگ وب سایت استفاده می شود، از نظر سازش با نرم افزار یا زبانی که وب سایت با آن پیاده سازی می شود باید در بالاترین سطح قرار گیرد. به همین منظور، وب سایتی که با نصب نرم افزار مدریت محتوای جوملا پیاده سازی شده است، حتما باید میزبانی داشته باشد که از زبان برنامه نویسی PHP به همراه SU-PHP پشتیبانی کند. چنین سروری نیاز به تنظیم مجوز هایی ماننده ۷۷۷ نخواهد داشت. برای درک این مطلب می توانید درباره Verifying Permission های جوملا بخوانید.

تنظیمات زیر را انجام دهید :

register_globals را در حالت OFF قرار دهید.

allow_url_fopen را غیر فعال نمایید .

راهنمای magic_quotes_gpc را برای سایت خود تنظیم کنید.جوملا نسخه ی ۱.۵ از این تنظیمات صرف نظر می کند.

ترجیحا از PHP safe_mode استفاده نکنید .

۲-پیشوند پیش فرض دیتابیس را تغییر دهید:

در زمان نصب نرم افزار جوملا، برخی تنظیمات پیش فرض و خودکار بر روی اطلاعات آن ست می شود. برای مثال دیتابیس ربا پیشوند Jos تنظیم می گردد و هکر حرفه ای جوملا از این موضوع باخبر است. چنانچه شما این بخش را تغییر ندهید، هکر به راحتی می تواند در مدت زمان کوتاهی وب سایت شما را هک نماید.  تغییر در پیشوند دیتابیس باعث پیشگیری از حملات SQL injection توسط هکرها از جدول jos_users می شود.

۳-لایه ی FTP را غیر فعال کنید:

هنگام نصب جوملا گزینه ی FTP Layer را فعال نکنید، چرا که  ضریب امنیتی فایل configuration.php را کاهش می دهد. در صورتیکه هاست شما امن بوده و برای جوملا پیکربندی صحیح را دارد، نیازی به فعالسازی FTP نیست.


غیز فعال کردن لایه FTP در جوملا

۴-نام کاربری مدیریت را تغییر دهید :

بعد از نصب جوملا اقدام به تغییر نام کاربری مدیریت نمایید. نام پیش فرض آن admin است. کلماتی را انتخاب کنید که حدس زدن و کرک آنها مشکل باشد.

۵-کلمات عبور قوی انتخاب کنید :

برای اکانت مدیریت از کلمه ی عبور قوی استفاده کنید. مثلا کلمه عبور  E@^M!$<9@  یک پسورد قوی می باشد. از سایتی مانند www.strongpasswordgenerator.com نیز می توانید برای انتخاب پسورد قوی کمک بگیرید. حتی برای فلدر administrator نیز کلمه ی عبور انتخاب کنید که البته باید با  کلمه ی عبور Admin متفاوت باشد.


کلمان عبور قوی برای جوملای خود انتخاب کنید

۶-آدرس های SEF را فعال کنید:

بیشتر هکرها از فرمانهایی برای جستجوی بهتر هدف استفاده می کنند بنابراین اگر از جوملا ۱.۵ استفاده می کنید  URL های SEF را از پیکربندی سایت انتخاب کنید.همچنین از Extension هایی مانند SH404SEF استفاده کنید. این کار از حمله ی هکرها در یافتن قربانی جلوگیری می کند.

۷-با آخرین نسخه ی جوملا کار کنید:

به محض ظهور نسخه ای جدید از جوملا اقدام به update کردن نسخه ی جاری نمایید. از آدرس http://feeds.joomla.org/JoomlaSecurityNews جهت مشاهده ی آخرین نسخه ی جوملا  استفاده کنید. جوملا را از سایت های رسمی و معتبر دانلود کنید. چنانچه اطلاعاتی از نحوه اپدیت جوملا ندارید، می توانید از مقاله “نحوه ی به روزرسانی نسخه های مختلف جوملا” استفاده بفرمایید.

۸- extension ها :

 بیش از ۴۰۰۰ هزار extension برای جوملا وجود دارد با این وجود  از نصب extensionهای غیر ضروری در سایت خود جلوگیری کنید.توجه داشته باشید که بیشتر تلاش های هکری به خاطر extensionهای ناامن و آسیب پذیر  اتفاق می افتد.

بنابراین از extension هایی استفاده کنید که معروف هستند و پشتیبانی قوی ارائه می دهند.


extention های جوملا

۹-از مجوزهای فایل/فلدر صحیح استفاده کنید :

تنظیم مجوزهای مناسب برای وب سایت جوملا به شکل زیر است:

* PHP files: 644 در لینوکس و مجوز read در ویندوز سرور
Config files: 666 در لینوکس و مجوز read در ویندوز سرور

سایر فلدرها ۷۵۵ در لینوکس و read,write در ویندوز

۱۰-فرآیند بازیابی و پشتیبانی نصب :

همیشه از پروتکلهای بازیابی و پشتیبانی قوی برای سایت خود استفاده کنید. چرا که ممکن است مسائلی مانند خطاهای سخت افزاری ، ارتقا یا نصب extension های مشکل دار و مسائل شرکت هاستینگ به وجود بیاید.همچنین می توانید از JoomlaPack  به عنوان کامپوننت اصلی  برای هر دو نسخه ی Joomla 1.0 and 1.5 استفاده کنید.


بازیابی و پشتیبانی جوملا

به این نوشته امتیاز دهید

[Total: 1 Average: 5]

در صورت نیاز به تامین امنیت وب سات یا بخش آی تی مجموعه خود با ما در تماس باشید.
02128421193
09129726343
09362196343

omid.ahmadyani@outlook.com

موارد مورد آنالیز وب سایت:
● اسکن پورت های باز و دارای حفره امنیتی

● اسکن بیش از ۱۵۰۰ ضعف امنیتی خطرناک در اسکریپت و ساختار سایت

● کشف ضعف تزریق SQL + اعمال Blind SQL Injection

● کشف ضعف های تزریق اسکریپت (XSS)

● کشف ضعف امنیتی پیمایش پوشه ها (Directory Traversal)

● کشف صفحات ورود کاربران و مدیر و اعمال آزمون نفوذ پذیری

● اسکن وب سرور ها برای ضعف های امنیتی

● اسکن وب اپلیکیشن ها (مثل: Cpanel, Plesk, phpMyAdmin, WordPress, Mambo, Joomla, Drupal, DotNetNuke, phpNuke, phpBB, Mambo)

● کشف زیر دامنه ها توسط DNS zone و اعمال اسکن بر روی آن‌ها.

●جلوگیری از هک شدن سایت

●آنالیز و بروزرسانی وب سایت

●ایمن سازی پوشه ها و سطح دسترسی ها

●بروزرسانی پایگاه داده ها

●امن سازی پایگاه داده ها

●نصب افزونه های امینتی و مانیتور وب سایت

●پشتیبانی حرفه ای از امنیت سایت

●مدیریت حفره های امنیتی و غیره ……

SQL Injection – حالتهای حمله و دفاع

حملات تزریق SQL نشان دهنده تهدید جدی برای هر سایت پایگاه داده محور است. یادگیری روش های حمله آسان است و خسارات ناشی از آن برای یک سیستم قابل توجه است. با وجود این خطرات تعداد بیشماری از سیستم ها بر روی اینترنت در معرض این نوع حمله قرار دارند. این تهدید نه تنها به آسانی تحریک می شود ، بلکه با کمی احتیاط و تأمل می توان از آن جلوگیری کرد. این مقاله حاوی خلاصه ای از روشهای موجود حملات تزریق SQL و راه های مقابله با آنها است.

بخش اول – اصول تزریق

تزریق SQL یکی از روشهای هک در وب است ، که جز پورت “۸۰” چیز دیگری نیاز ندارد.

تزریق SQL معمولا توسط توسعه دهندگانی که از تکنیک رشته سازی برای ایجاد کد SQL استفاده می کنند ، صورت می گیرد.

اصل اساسی تزریق SQL ، استفاده از کدهای نا امن برروی سیستمی است که به اینترنت متصل شده است.

هک کردن رشته پرس و جو

یک آدرس وب معمولی مربوط به یک شعر ، همانند مثال زیر را در نظر بگیرید :

http://stuart/homebase/practical/index.asp?story=1

وقتی شما صفحه وب بالا را باز می کنید با یک عنوان صفحه مورد استقبال قرار می گیرید. (Welcome to Bangkok’s Worst Poetry.com ) ، عنوان شعر ( The Mating of the Mongolian Butterfly ) ، نام شاعر ( Stuart ) ، ملیت ( Australian ) و سن ( ۳۲ ) و خلاصه ای از شعر.

از این رو شما می توانید به این پی ببرید که “۱” در رشته پرس و جو نوعی مرجع برای شعر اصلی است. بنابراین با شکستن رشته پرس و جو به رشته زیر می رسیم :

Story=1

مقدار  رشته “Story” را به “۴” تغییر می دهیم و صفحه را با آدرس زیر بارگذاری می کنیم :

http://stuart/homebase/practical/index.asp?story=4

 

ما الان شعر “Cheese” را مشاهده می کنیم.

کد اسکریپت که برای ساخت این صفحه استفاده شده ، در زیر آمده است :

<%

storyID=request(“story”)

StrSql0=”SELECT s.sID,s.title ,s.blurb,s.story,a.aName FROM story s, author a

WHERE sID=”&storyID&” AND a.aID=s.aID”

Rs0.Open StrSql0,oConn

%>

متغیری که ما با آن کار می کنیم “story” است ، مقدار “story” بدون اعتبار سنجی ورودی مستقیماً به پرس و جو برمی گردد ، که اطلاعات را بازیابی می کند. در این قسمت ما هرچیزی را به عنوان ارزش برای “StoryID” می توانیم ، قرار دهیم و این امر به عبارت SQL برمی گردد. ما می توانیم دستوراتی را به پایگاه داده بفرستیم که توسعه دهنده هرگز در نظر نگرفته باشد.

شکستن رشته پرس و جو

در اینجا دو راه مستقیم برای شکستن یک آدرس وب وجود دارد. در ابتدا شما می توانید دستورات SQL را به آدرس وب اضافه کنید ، مانند مثال زیر :

http://stuart/homebase/practical/in dex.asp?story=3 AND someothercolumn=3

در این مثال با خطای زیر مواجه می شویم :

Error Type:

Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)

[Microsoft][ODBC SQL Server Driver][SQL Server]Invalid column name

‘someothercolumn’.

/homebase/practical/index.asp, line 33

این نشان دهنده این است که تزریق SQL آسان تر است از اینکه ما دستور SQL را از :

SELECT s.sID,s.title,s.b lurb,s.story,a.aName FROM story s, author a WHERE sID=3

AND a.aID=s.aID

تغییر دهیم به :

SELECT s.sID,s.title,s.blurb,s.story,a.aName FROM story s, author a WHERE sID=3

AND someothercolumn=3 AND a.aID=s.aID

ستون “someothercolumn” وجود ندارد ، بنابراین با یک خطای SQL مواجه می شویم.

دومین راه برای شکستن یک صفحه ، استفاده از یک (‘) است.

http://stuart/homebase/practical/index.asp?story=3′

لینک بالا خطای زیر را برمی گرداند :

Error Type:

Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)

[Microsoft][ODBC SQL Server Driver][SQL Server]Unclo sed quotation mark before

the character string ‘ AND a.aID=s.aID’.

/homebase/practical/index.asp, line 20

اسکریپت بدلیل اینکه بعد از “۳” یک علامت (‘) قرار داده ایم بسته شده است ، که باعث شکسته شدن دستور SQL می شود. با اضافه کردن علامت (:) ، دستور SQL که به سرور باز می گردد ،  از :

SELECT s.sID,s.title,s.blurb,s.story,a.aName FROM story s, author a WHERE sID=3

AND a.aID=s.aID

به :

SELECT s.sID,s.title,s.blurb,s.story,a.aName FROM story s, author a WHERE sID=3′

AND a.aID=s.aID

تغییر می کند

علامت (:) موجب بروز خطای “علامت نقل قول باز” می شود.

کمی غیر معمول است ، که یک عدد صحیح در دستور SQL استفاده نشود.

یک صفحه را تصور کنید که لیستی از شاعران براساس ملیت در آن قرار دارد. آدرس وب زیر را در نظر بگیرید :

http://stuart/homebase/practical/index_co untry.asp?country=laos

SQL مربوطه به این آدرس چنین است :

SELECT a,aID,a.aName FROM author a WHERE a.aNationali ty=’laos’

توجه داشته باشید که مقدار “laos” یک رشته است ، بنابراین هنگامی که آدرس وب را دوباره تغییر می دهیم ، یک علامت (‘) در “laos” اضافه می کنیم ، این علامت به SQL می رود و آن را می شکند ، مانند زیر :

http://stuart/homebase/practical/index_count ry.asp?country=la’os

SELECT a,aID,a.aName FROM author a WHERE a.aNati onality=’la’os’

دستور SQL بدلیل “علامت نقل قول باز” از کار خواهد افتاد.

به طور کلی یک مهاجم برای شکستن SQL نیاز به استفاده از علامت نقل قول دارد ، اما اگر سایت ضعیف کدگذاری شده باشد ، ممکن است فقط نیاز به اضافه کردن SQL همانند مثال اول داشته باشد.

بخش دوم – محافظت

از سایت خود در برابر تزریق SQL محافظت کنید ، هیچ راه حلی همه مسائل را حل نمی کند. اما یک سری دیوار های کوچک با یکدیگر تشکیل دیواری قدرتمند را می دهند.

حداقل دیوارهای لازم جهت جلوگیری از مهاجمین :

۱. از نامهای اصلی و سخت برای نام جداول و ستونها استفاده کنید تا قابل حدس زدن نباشند.

این واقعیتی است که هر شخصی نام جدول کاربران خود را “users” می نامد و این می تواند دلیل بزرگی باشد برای این که چرا شما این کار را انجام ندهید. اگر یک سایت شخصی دارید ، آنرا با هر عنوانی می توانید بسازید ، اما برای یک مجموعه بزرگ بهتر است متفاوت باشد :

Table: user_Details

Columns: u_uID,u_user_Name,u_user_Password etc

۲. از نامهای مستعار استفاده کنید.

مثال زیر را درنظر بگیرید :

SELECT s.sID,s.title,s.blu rb,s.story,a.aName,a.aNationality,a.aAge FROM story s,

author a WHERE sID=3 AND a.aID=s.aID

با این مثال مقایسه کنید :

SELECT story.sID, story.title, story.blurb, story.story, author.aName,

author.aNationality, author.aAge FROM story s, author a WHERE sID=3 AND

author.aID= story.aID

اگر یک مهاجم این دستور را بشکند ، در انتها با یک پیغام خطا مواجه می شود. کدامیک اطلاعات بیشتری به مهاجم می دهد؟ هنگامی که شما از نام های مستعار استفاده می کنید ، کوتاه شده آنها را بکار گیرید (s به جای story). اینکار باعث می شود مهاجم به اطلاعات ناقص دست یابد.

۳. در هر فرم محدودیت طول تنظیم کنید و از نامهای واقعی برای ستونها استفاده نکنید.

اگر سایت شما صفحه ورود کاربران داشته باشد ، دوگزینه برای ورود وجود دارد : ۱- نام کاربری ۲- رمز ورود

این دو را به یک شماره واقعی محدود کنید.

نام واقعی ستون را برای فیلد نام ها استفاده نکنید ، زیرا کار برای مهاجم آسان می شود. در قطعه کد بالا ، مهاجم ستونهای “u_user_Name” و “u_user_Password” را در جدول “user_Details” تطبیق می دهد.

۴. حداقل اعتبار را برای اطلاعات خود در سمت سرور برای محتوا ، طول و قالب تنظیم کنید.

اعتبار سنجی باید همیشه در سمت سرور انجام شود. چک کردن داده ها با جاوا اسکریپت در سمت کاربر وقت تلف کردن است. همه مهاجمین نیاز به دانلود صفحه شما به صورت فایل html دارند ، جاوا اسکریپت را حذف کرده و آن را از سیستم خودشان اجرا کنید.

از یک اعتبار اسکریپت برای کل سایت استفاده نکنید. اطلاعات مختلف نیازمند اعتبار سنجی مختلف هستند. به عنوان مثال اعتبارسنجی برای “username” با “story ID” متفاوت خواهد بود.

حداقل پردازشهای لازم که در زیر به آنها اشاره شده است را برروی داده های خود اعمال کنید :

الف – حذف علامت ()

اگر این عمل امکان پذیر نیست آنها را دو برابر کنید و مانند مثال زیر از دستور جایگزینی استفاده کنید :

function quotehandle(data)

quotehandle=replace(data,”‘”,”””)

end function

ب – حذف علامتهای (;) و (–)

function sqldash(data)

sqldash=replace(data,”–“,””)

end function

function sqlcolon(data)

sqlcolon=replace(data,”;”,””)

end function

پ – بررسی نوع داده ها

اگر شما در انتظار یک عدد صحیح هستید ، بررسی کنید که آیا ورودی یک عدد صحیح است. اگر اینطور نیست آن را رد کنید.

ت – تنظیم نوع داده ها

تقویت مرحله قبل و تنظیم نوع داده ها به طور صریح

storyID=CInt(request(“storyID”))

authorname=CStr(request(“authorname”))

ث – اعتبارسنجی داده ها

مطمئن شوید که داده ها صحیح هستند.

ج – بررسی طول داده ها

طول داده ها را بررسی کنید. اگر بیش از حد طولانی است آن را کوتاه کنید. به عنوان مثال اگر شما انتظار میزبانی بیش از ۱۰۰۰۰ شعر در سایت خود را دارید ، “poemID” نیازی نیست بیش از ۴ کارکتر باشد. تابع زیر ، یک مثال ساده از نحوه انجام این کار است :

data=left(data,4)

و برای داده های طولانی تر :

data=left(data,125)

۵. اگر از محصولی استفاده می کنید که سورس کد آن در دسترس است ، آنرا در رابطه با آسیب پذیری ها به روز نگه دارید.

اگر شما از یک نرم افزار متن باز ارسال پیام استفاده می کنید ، یک مهاجم همانند شما می تواند سورس کد را دانلود کند و به دنبال نقاط ضعف آن بگردد. به طور مداوم نقاط آسیب پذیر نرم افزار را بررسی کرده و آنها را در جهت حفظ امنیت به روز رسانی کنید.

۶. طرح خود را منحصر به فرد کنید. به عنوان مثال اگر اجازه ایجاد نام جدول داده شده است مطمئن شوید که تغییرات از پیش فرض سایت متمایز باشد.

در صورت امکان طرح خود را از مدل پیش فرض آن متمایز کنید. کدهای خود را مطالعه کنید و مطمئن شوید که هیچ حفره آشکاری وجود ندارد.

۷. در صورت امکان از رویه های ذخیره شده استفاده کنید.

رویه های ذخیره شده یک راه بسیار خوب برای کاهش احتمال حمله از طریق تزریق SQL هستند. به هر حال به عنوان کسی که آنها را می نویسد در استفاده از پارامترها در همه زمانها مطمئن باشید.

با این حال اگر از رویه های ذخیره شده استفاده می کنید باید داده های خود را از قبل اعتبارسنجی کنید.

۸. کدهای سایت را بررسی کنید.

هیچ کس کد کاملی نمی نویسد. اعضای یک تیم باید کد یکدیگر را مطالعه کنند تا احتمال وجود نقص در کدها کاهش یابد.

۹. سرور خود را امن نمایید.

روش های زیر را در سرور اعمال کنید :

الف – حداقل دسترسی برای کابران

ب – حذف حسابهای غیرضروری

پ – حذف یا غیرفعال کردن رویه های ذخیره شده غیرضروری و توسعه یافته

ت – حذف اطلاعات غیرضروری

ث – به روز رسانی

منبع : sans.org

به این نوشته امتیاز دهید

[Total: 0 Average: 0]

در صورت نیاز به تامین امنیت وب سات یا بخش آی تی مجموعه خود با ما در تماس باشید.
02128421193
09129726343
09362196343

omid.ahmadyani@outlook.com

موارد مورد آنالیز وب سایت:
● اسکن پورت های باز و دارای حفره امنیتی

● اسکن بیش از ۱۵۰۰ ضعف امنیتی خطرناک در اسکریپت و ساختار سایت

● کشف ضعف تزریق SQL + اعمال Blind SQL Injection

● کشف ضعف های تزریق اسکریپت (XSS)

● کشف ضعف امنیتی پیمایش پوشه ها (Directory Traversal)

● کشف صفحات ورود کاربران و مدیر و اعمال آزمون نفوذ پذیری

● اسکن وب سرور ها برای ضعف های امنیتی

● اسکن وب اپلیکیشن ها (مثل: Cpanel, Plesk, phpMyAdmin, WordPress, Mambo, Joomla, Drupal, DotNetNuke, phpNuke, phpBB, Mambo)

● کشف زیر دامنه ها توسط DNS zone و اعمال اسکن بر روی آن‌ها.

●جلوگیری از هک شدن سایت

●آنالیز و بروزرسانی وب سایت

●ایمن سازی پوشه ها و سطح دسترسی ها

●بروزرسانی پایگاه داده ها

●امن سازی پایگاه داده ها

●نصب افزونه های امینتی و مانیتور وب سایت

●پشتیبانی حرفه ای از امنیت سایت

●مدیریت حفره های امنیتی و غیره ……

اسپم یا هرزنامه چیست؟

هرزنامه یعنی چه؟

هرزنامه یا Spam، به معنای پیامی الکترونیکی است که بدون درخواست گیرنده و برای افراد بی‌شمار فرستاده می‌شود. یکی از مشهورترین انواع هرزنامه، اسپم است که می‌تواند شامل جفنگ در پیام‌رسان‌ها، گروه‌های خبری یوزنت، بخش نظرات وبلاگ‌ها، صفحات ویکی و فروم‌های خبری و غیره هم بشود.

تاریخچه هرزنامه

اولین هرز نامه در سال ۱۹۷۸ توسط گری فورک ارسال شد او به قصد تبلیغ شرکتش ششصد نامه به کاربران فرستاد، از نظر فنی، ارسال spam تقریباً بدون هزینه‌است و این مساله باعث شده شرکت‌های بازاریابی، به سمت آن حرکت کنند. از آن‌جایی که ارسال  هرز نامه مشکل فنی چندانی ندارد، بیشتر و بیشتر شاهد افرادی هستیم که به سراغ فرستادن این به اصطلاح فارسی آن جفنگ ها می‌روند و به همین دلیل کشورها در حال تصویب قوانینی برای مبارزه با این امر هستند.

هرزنامه در ایمیل چیست

به سوءاستفاده از ابزارهای الکترونیکی مانند ایمیل، مسنجر، گروههای خبری ایمیلی، فکس، پیام کوتاه و… برای ارسال پیام به تعداد زیاد و به صورت ناخواسته spam می‌گویند. با توجه به هزینه اندک این روش نسبت به پست سنتی که در گذشته برای ارسال پلاک به پلاک تبلیغات مورد استفاده قرار می‌گرفت و همچنین ناقص بودن قوانین بین‌المللی برای محدود کردن هرزنامه در ایمیل، این قبیل ایمیل‌ها در سطح وسیعی ارسال می‌شوند.

«هرز نامه» در واقع عنوان علامت تجاری تولیدات گوشت بسته‌بندی محصولات غذایی معروف «هرمل» است و یکی از محصولات گوشتی کمی بود که در دوران جنگ جهانی دوم از جیره دهی مستثنی شده بود و از این رو به طور گسترده‌ای در دسترس بود. بعد از مدتی از این واژه در یک برنامهٔ طنز تلویزیونی انگلیسی (به نام میدان پرواز پی‌تون) استفاده کردند که در آن اسپم به شیوه‌ای غیرمعمول و طنز گونه در فهرست غذاهای رستوران تکرار شده بود.

کامپیوتر آلوده ممکن است فقط به عنوان یک نقطه‌ی پایان باشد. بدافزارها می‌توانند سرورهایی با پروکسی باز نصب کنند، که برای تقویت هرز نامه ها به کار می‌روند و یا اینکه می‌توانند ماشینهای آلوده را به زامبی مبدل کنند. این کامپیوتر های آلوده می‌توانند برای اهداف گوناگونی مانند هدایت‌کردن حملات DDoS به کار روند. در کلیه این موارد، سازنده‌ی بدافزار، کامپیوتر آلوده‌شده را که تقریباً هیچ احتمالی برای دستگیری یا شناسایی‌شدن آن ندارد، بعداً مجدد استفاده خواهد کرد. به طور کلی هرزنامه به معنای فرستادن پیام‌های متعدد و مشابه‌است و اسپمینگ تکرار این عمل نامیده می‌شود. اسپم‌ها به گونه‌های مختلفی در اینترنت گسترش می‌یابند که در زیر به انواع هرزنامه های متعدد پرداخته ایم:

 

اسپم ایمیل

اسپم ایمیل، که بنام ایمیل فله‌ای ناخواسته نیز نامیده می‌شود، عمل ارسال ایمیل های انبوه بدون درخواست و بطور مکرر با محتوی تجاری در مقیاس بزرگ به دریافت کنندگان، بدون استثنا قایل شدن می‌باشد. اسپم ایمیل در اواسط ۱۹۹۰ وقتی که وارد اینترنت شد تبدیل به یک معضل شد و روز به روز گسترش یافت به صورتی که امروزه با یک تخمین محافظه‌کارانه ۸۰ تا ۸۵ درصد ایمیل‌ها را در بر می‌گیرد و در بعضی منابع از ۹۵ درصد بالاتر می‌رود.


اسپم

اسپم پیامدهی آنی یا لحظه‌ای

هرز نامه پیامدهی آنی، که به اسپیم (واژه‌ای مرکب از اسپم و پیامدهی آنی) معروف است از سیستمهای پیامدهی آنی استفاده می‌کند. بسیاری از این سیستمها یک دایرکتوری کاربری شامل اطلاعات آماری را در اختیار یک ناشر برای جمع آوری اطلاعات، علامت گذاری روی سیستم، و ارسال پیامهای ناخواسته قرار می‌دهند. برای ارسال پیامهای آنی به میلیون‌ها نفر از کاربران نیازمند یک نرم‌افزار با قابلیت ذخیره‌سازی و اسامی دریافت‌کنندگان خواهیم بود. هرز نامه ها معمولاً کانال‌های متداول چت اینترنتی را هدف قرار می‌دهند و با بکارگیری بوت‌های آی‌آرسی(IRC) که کانال‌ها را متصل می‌کند، پیام‌ها را منتشر می‌نمایند.

موتورهای جستجوی با اهداف اسپم(اسپم دکسینگ)

اسپم دکسینگ (مرکب از واژه اسپم کردن و ضمیمه کردن پیام می‌باشد.)به عملکردی روی وب جهانی برای تبدیل صفحات HTML برای تقویت و بالا بردن شانس آنها در قرارگیری روی لیست اعتباری موتورهای جستجو اطلاق می‌شود. این سایت‌ها فنون بهینه‌سازی موتور جستجوی کلاه مشکی را برای افزایش نامنصفانه رتبه در موتورهای جستجو بکار می‌برند. بیشتر موتورهای جستجوی مدرن الگوریتم جستجویشان برای محروم نمودن تاکتیک‌های اسپم دکسینگ تقویت کرده‌اند.

هرز نامه وبلاگی

اسپم بلاگ و یا بلام مخفف هرزنامه کردن در وبلاگهاست. در سال ۲۰۰۳، این نوع از هرز نامه با نوشتن مطالب تجاری درنرم‌افزارهای متحرک وبلاگی و با تکرار این توضیحات در پست‌های بلاگی مزیت پیدا کرد که چیزی بیش از یک لینک به وب سایت اسپمرهای تجارتی تهیه کرد.

هرزنامه انجمنی

اسپم انجمنی نوعی از هرز نامه است که در انجمن‌های گفتگو و پشتیبانی، بسیار مشاهده می‌شود و گاه به عنوان یک معضل و در جایی به عنوان سرگرمی تلقی می‌شود. در این نوع اسپم کاربران بجای پاسخ‌های مناسب از پاسخ‌های غیر مرتبط با موضوع تایپک استفاده می‌کنند. که منجر به منحرف شدن تایپک مربوطه و به نتیجه نرسیدن آن خواهد شد.


هرزنامه

اهداف انتشار هرزنامه

اهداف متفاوتی برای به وجود آمدن اسپم وجود دارد، امروزه هرز نامه ها به طور عمده با هدف‌های تجاری منتشر می‌شوند ولی برخی از آنها به عنوان غیرتجاری با هدف‌های دیگری نیز وجود دارند. این هرزنامه ها با اهداف دیگری غیر از اعلانات وآگهی‌ها مانند موارد سیاسی یا مذهبی به‌کار می روند.

برای مثال، سردار ارژیک، شبکهٔ کاربری یوزنت و ایمیل را با درددل‌های تجدید نظر طلبی تاریخی، اسپم کرد. همچنین تعدادی از مسیحیان با پیام‌های موعظه‌ای، شبکهٔ کاربری و ایمیل‌ها را هرزنامه نموده‌اند. تعداد فزاینده‌ای ازتبهکاران نیز با بکار گیری جفنگیات مرتکب انواع مختلفی از کلاهبرداری‌ها می‌شوند و در بعضی موارد آن را برای تطمیع وفریب مردم در موقعیت‌های بچه دزدی، باج‌خواهی و حتی قتل به کار می‌برند.

مناطق جغرافیایی هرز نامه ها

متخصصانی از آزمایشگاه‌های سوفوسلِس پیام‌های اسپم را که توسط فیلتر هرزنامه بعضی شرکت‌ها گرفته شده بود آنالیز کردند، آنها دریافتند که طی سه ماهٔ سوم ۲۰۰۷، آمریکا بیشترین پیام‌های جفنگ را در دنیا پخش کرده‌است. طبق نظر متخصصین سوفوز ٪۲۸٫۴ هرز نامه دنیا از آمریکا می‌آیند. دومین محل در این لیست کره جنوبی با ٪۵٫۲ در کل جهان است. اسپمرهای کل دنیا از هزاران کامپیوتر زومبی قرار گرفته در آمریکا برای ارسال هرز نامه استفاده می‌کنند.

هزینه‌های اسپم

کمیسیون بازار مشترک داخلی اتحادیه اروپا در سال ۲۰۰۱ تخمین زد که هزینهٔ ایمیل‌های هرز نامه برای کاربران اینترنت بالغ بر ۱۰ میلیارد یورو در سال است. قوهٔ مقننهٔ کالیفرنیا دریافت که این هزینه در ایالات متحده که شامل پایین آمدن کارایی، اتلاف تجهیزات و نیروی کار لازم است، بالغ بر ۱۳ میلیارد دلار در سال ۲۰۰۷ می‌باشد.

تاثیرات مالی مستقیم این فرایند شامل مصرف کامپیوتر و منابع شبکه، اتلاف زمان و منابع انسانی و توجه به روانه نمودن پیام‌های ناخواسته‌است. به علاوه هرزنامه ها از چندین بعد دارای هزینه‌ هستند. این موارد از ثبیل زیر هستند:

  • روش‌های اسپم‌کنندگان برای ارسال این پیام‌ها، هزینه ناشی از اجرای قوانین مربوط به هرزنامه و راه‌های مقابله با آن سبب هدر رفتن منابع مالی می‌شود. همچنین هزینه‌های غیر مستقیمی نیز توسط این هرزنامه ها تحمیل می‌شود مثل سرقت مالی، سرقت داده، دزدی هویت و دستاوردهای فکری دیگران، انتشار ویروس و دیگر آلوده‌سازی‌های فایلی، کلاهبرداری و فروش فریب دهنده.
  • نتیجهٔ دیگر هرزنامه کردن آن است که ضمایم موتور جستجو با صفحات بی‌مصرف پر می‌شود و هزینهٔ جستار انجام شده بالا می‌رود.
  • هزینهٔ روش‌های اسپم‌کنندگان بالا است. چون اسپم کردن مقدار زیادی از سیاست کاربرد قابل قبول خدمات‌دهنده‌های اینترنت را نقض می‌کند. بیشتر هرزنامه کنندگان سال‌های زیادی برای پنهان کردن منشاء اسپم شان زحمت می‌کشند.
  • اسپم ایمیل، یوزنت و پیام‌های آنی اغلب از طریق پروکسی سرورهای ناامن، ارسال می‌شوند. اسپم‌کنندگان مکرراً از نام‌ها، آدرس‌ها، شماره تلفن‌ها و دیگر اطلاعات تماسی دروغین استفاده می‌کنند. در بعضی موارد، آنها از شماره‌های کارت اعتباری دزدی و یا جعلی برای پرداخت حساب‌ها استفاده کرده‌اند. این کار به آنها اجازه می‌دهد سریعا از حسابی به حساب دیگر در صورت برملا شدن حرکت کنند.

ابعاد مخرب نامه‌های الکترونیکی ناخواسته

صرفاً درطی یک روز در سال ۲۰۰۳، یکی از عظیم‌ترین ارائه‌دهندگان خدمات میزبانی ایمیل، بیش از دو میلیارد پیام ناخواسته را بلاک نموده‌است. شرکت مایکروسافت که دومین ارائه دهنده سرویس اینترنت اِم‌اِس‌اِن و سرویس هات مِیل می‌باشد، اظهار داشته‌است که به طور متوسط روزانه حدود ۲٫۴ میلیارد پیام ناخواسته را بلاک می‌نماید. براساس بررسی انجام شده در موسسه تحقیقاتی ردیکیت در ارتباط با نامه‌های الکترونیکی ناخواسته، بیش از چهل و پنج درصد از ۱۰٫۹ تریلیون پیام ارسال شده در سال ۲۰۰۳، هرز نامه بوده‌اند.

یکی از مسائل مرتبط با هرزنامه ها این است که چرا حجم آنان تا به این اندازه زیاد می‌باشد، به سهولت در ایجاد آنان، برمی گردد. در حال حاضر، صدها شرکت وجود دارد که لوح‌های فشرده شامل میلیون‌ها آدرس معتبر پست الکترونیکی را می‌فروشند. با استفاده از نرم‌افزارهایی نظیر ورد، می‌توان به سادگی آدرس‌های فوق را به خطوطی مشتمل بر یکصد آدرس در هر خط تبدیل و در ادامه با استفاده از پتانسیل همیشه جذاب بریدن و چسباندن، آن‌ها را در فیلد TO هر برنامه معمولی نامه الکترونیکی، قرار دارد. پس از فشردن دکمه فرستادن، در کمتر از چندین ثانیه، صدها نامه الکترونیکی ارسال خواهد شد. سادگی در ایجاد و توزیع این نوع از نامه‌های الکترونیکی، از مهمترین مسائل و مشکلات مرتبط با هرز نامه است.

 

چگونگی جمع‌آوری آدرس‌های پست الکترونیکی

همیشه این سوال مطرح است که یک شرکت چگونه میلیون‌ها آدرس پست الکترونیکی معتبر را جمع‌آوری می‌کند تا پس از استقرار آنان بر روی سی‌دی، امکان فروش آنان را فراهم نماید. در این رابطه منابع متعددی وجود دارد:


۱. گروه های خبری و اتاق های چت

اولین منبع جمع آوری آدرس‌های پست الکترونیکی، گروه‌های خبری و اتاق‌های چت، می‌باشند. خصوصاً بر روی سایت‌های بزرگ، کاربران (به خصوص افرادی که اولین بار از این امکانات استفاده می‌نمایند)، اغلب از اسامی واضح استفاده نموده و یا آدرس واقعی پست الکترونیکی خود را در گروه‌های خبری قرار می‌دهند. ارسال‌کنندگان نامه‌های الکترونیکی ناخواسته، از یک نرم‌افزار خاص برای استخراج اسامی واضح و آدرس‌های پست الکترونیکی به صورت اتوماتیک استفاده می‌نمایند.

۲. وب

دومین منبع برای جمع‌آوری آدرس‌های پست الکترونیکی، وب می‌باشد. در حال حاضر ده‌ها میلیون سایت بر روی اینترنت وجود دارد و ارسال‌کنندگان ایمیل های ناخواسته می‌توانند با ایجاد «مراکز جستجو»، عملیات جستجو به منظور یافتن علامت «@» را که نشان‌دهنده یک email می‌باشد را پیمایش می‌نمایند. این نوع از برنامه‌ها را spambots می‌نامند.

۳. سایت هایی که با هدف جذب ایمیل ایجاد می شوند

سومین منبع تامین کننده آدرس‌های email، سایت‌هایی می‌باشند که صرفاً با هدف جذب آدرس‌های پست الکترونیکی، ایجاد می‌گردند. مثلاً یک ارسال‌کننده نامه‌های الکترونیکی ناخواسته می‌تواند، سایتی را ایجاد نماید که به کاربر بگوید «یک میلیون دلار» برنده شده‌است و صرفاً آدرس پست الکترونیکی خود را در این محل تایپ و یا درج نماید.

۴. فروش ایمیل ها در وب سایت های بزرگ

یکی دیگر از روش‌های جمع‌آوری آدرس‌های پست‌الکترونیکی که در گذشته بیشتر استفاده می‌شد، فروش آدرس پست‌الکترونیکی اعضاء توسط سایت‌های بزرگ است. برخی دیگر از سایت‌ها، مخاطبان خود را با این سوال مواجه می‌نمودند که آیا تمایل به دریافت خبرنامه پست الکترونیکی را دارید؟ در صورت پاسخ مثبت به سوال فوق، آدرس کاربر دریافت و در ادامه به یک ارسال‌کننده نامه الکترونیکی فروخته می‌گردید.

بزرگترین و متداولترین منبع تامین‌کننده آدرس‌های ایمیلی، جستجو بر حسب کلید واژه «دیکشنری»، مربوط به سرویس‌دهنده پست الکترونیکی شرکت‌های عظیم خدمات اینترنتی و ایمیل نظیر اِی‌اُاِل، اِم‌اِس‌اِن و یا هات میل، می‌باشد. یک حمله مبتنی بر دیکشنری، در ابتدا ارتباطی را با یک سرویس دهنده پست الکترونیکی به عنوان هدف، برقرار نموده و در ادامه و با سرعت به صورت تصادفی اقدام به ارسال میلیون‌ها آدرس پست الکترونیکی، می‌نماید. تعداد زیادی از این آدرس‌ها دارای تفاوت‌های اندکی با یکدیگر می‌باشند. نرم‌افزار مورد نظر در ادامه بررسی لازم در خصوص موجود بودن آدرس‌های فوق را انجام می‌دهد و در ادامه آنان را به لیست آدرس ارسال‌کننده نامه الکترونیکی، اضافه می‌نماید. در نهایت لیست آماده شده به تعداد زیادی از ارسال‌کنندگان نامه‌های الکترونیکی ناخواسته، فروخته می‌گردد.

آدرس‌های ایمیل، عموماً خصوصی تلقی نمی‌گردند (نظیر درج شماره تلفن شما در لیست دفترچه تلفن عمومی). زمانی که یک ارسال‌کننده نامه الکترونیکی، موفق به آگاهی از آدرس پست الکترونیکی شما گردد، آن را در اختیار سایر ارسال‌کنندگان نامه‌های الکترونیکی قرار می‌دهد. در چنین مواردی می‌بایست در انتظار دریافت تعداد زیادی از نامه‌های الکترونیکی ناخواسته باشیم.

شرکت‌های بزرگ ارسال کننده هرز نامه

برخی از شرکت‌هایی که در این رابطه فعالیت می‌نمایند، قادر به ارسال میلیاردها هرز نامه در طی یک روز می‌باشند. این شرکت‌ها در کشورهای متعدد تاسیس و فعالیت می‌نمایند (خصوصاً در کشورهایی که برای برخورد قانونی با اینچنین فعالیت‌هایی، قانون مشخصی تدوین و تعریف نشده‌است). برای این که با برخی از این شرکت‌ها بیشتر آشنا شویم بد نیست به سراغ گوگل رفته و بر حسب کلید واژه «اسپم» جستجو نمائیم. نتایج جالب زیر را مشاهده خواهیم کرد:

شرکت فوق، اعلام می‌نماید که در طی یک روز قادر به ارسال ۲٫۷ میلیون نامه الکترونیکی به ازای پرداخت سی دلار می‌باشد. تمامی موسسات و شرکت‌های فوق، ادعا می‌نمایند که عملیات آنان خالی از هرزنامه بوده و صرفاً پس از تائید متقاضی مبنی بر دریافت نامه الکترونیکی، اقدام به ارسال نامه الکترونیکی برای آنان می‌نمایند.

در مواردی دیگر، ممکن است کاربر یک کالا را سفارش داده و یا یک فرم آنلاین را تکمیل نماید که دارای یک کادر در قسمت انتهایی می‌باشد که اعلام می‌نماید «در صورت عدم تمایل برای درج آدرس پست الکترونیکی در لیست مربوطه، می‌توان کادر مربوطه را غیر فعال کرد.»در برخی موارد ممکن است چنین پیام‌هایی در قسمت پایین فرم‌های آنلاین وجود نداشته باشد. در صورتی که به هر حال نام کاربر در لیست مجاز ارسال نامه الکترونیکی قرار گیرد، همواره امکان دریافت تعداد زیادی اسپم وجود خواهد داشت.

برخورد با هرز نامه

برای مقابله با ایمیل های ناخواسته تاکنون روش‌های متعددی ایجاد و این روند با توجه به ابعاد گسترده آن، همچنان ادامه دارد. در این قسمت معروف ترین راه های مقابله با جفنگ ها را برایتان شرح خواهیم داد.


اسپم فیلترینگ

نرم افزار های فیلترینگ در مقابل هرزنامه ها

بهترین تکنولوژی که در حال حاضر برای توقف هرزنامه وجود دارد، استفاده از نرم‌افزارهای فیلترینگ است. این نوع برنامه‌ها، وجود کلید واژه‌های خاصی را در خط موضوع پیام، بررسی و در صورت شناسائی آنان، نامه الکترونیکی مورد نظر را حذف می‌نماید. برنامه‌های فیلترینگ، کلید واژه‌های مورد نظر را از نظر املایی شناسایی می‌نماید. برای املای یک کلید واژه، روش‌های متعددی وجود داشته و در برخی موارد ممکن است فرآیند هجی کردن نتایج مطلوبی را به دنبال نداشته و باعث حذف نادرست نامه‌هایی گردد که تمایل به دریافت آنان را داشته باشیم.

برخی از برنامه‌های فیلترینگ پیشرفته، نظیر heuristic و یا بِیشِن، با استفاده از روش‌های متعدد آماری (مانند فیلترینگ اسپم بیزی) اقدام به شناسائی هرز نامه بر اساس الگوهایی خاص می‌نمایند. سازمان‌های متعددی اقدام به انتشار لیست آدرس‌های آی‌پی استفاده شده توسط ارسال‌کنندگان نامه‌های الکترونیکی ناخواسته، می‌نمایند. هر اسپمر بزرگ، قطعاً دارای مجموعه‌ای از ماشین‌های سرویس‌دهنده‌است که اقدام به ارسال پیام‌های جفنگ نموده و هر ماشین نیز دارای آدرس IP اختصاصی مربوط به خود است. پس از تشخیص هرز نامه از طریق آدرس IP آن، آدرس فوق به لیست سیاه اضافه می‌گردد.

هاروستر یکی از مراکزی است که چنین لیست‌هایی را ایجاد و بطور دائم آنان را به روز می‌نماید. شرکت‌هایی که صورت حساب پست الکترونیکی را هاست می‌نمایند، می‌توانند با بررسی آدرس آی‌پی فرستنده و مقایسه آن با لیست سیاه ارائه شده، آن را فیلتر و بلاک نمایند. ارسال‌کنندگان نامه‌های الکترونیکی نیز در این زمینه ساکت ننشسته و در این رابطه از رویکردهای متعددی استفاده می‌نمایند.

تغییر متناوب آدرس‌های آی‌پی با توجه به وجود این‌گونه آدرس‌های آی‌پی در لیست سیاه، در صورتی که آدرس‌های فوق در اختیار سازمان‌ها و یا موسساتی دیگر قرار گیرد، عملاً برای استفاده‌کنندگان غیرقابل استفاده بوده و آنان نمی‌توانند از چنین آدرس‌هایی برای ارسال نامه‌های الکترونیکی واقعی، استفاده نمایند.

استفاده از توان سایر کامپیوترهایی که به آنان شکی وجود ندارد

ارسال‌کنندگان هرزنامه، با استفاده از تکنیک‌های خاصی از بین کامپیوترهای مطمئن موجود در شبکه که به آنان سو ظنی وجود ندارد، اصطلاحاً یارگیری نموده و از آنان برای ارسال ایمیلهای ناخواسته، استفاده می‌نمایند. در چنین مواردی عملاً ماشین مورد نظر در اختیار ارسال‌کنندگان هرز نامه، قرار خواهد گرفت. از طرفی چون آدرس‌های IP این نوع از ماشین‌ها جدید بوده و در لیست سیاه آدرس‌های آی‌پی قرار ندارند، امکان ارسال میلیون‌ها پیام الکترونیکی با استفاده از آنان فراهم می‌گردد (قبل از این که شناسایی و در لیست سیاه قرار گیرند).

 دیگر راه ها

از دیگر راهکارهای مقابله با هرزنامه ها، می‌توان به تدوین مجموعه قوانین مناسب برای برخورد با افراد و یا موسسات ارسال کننده این نوع نامه‌های الکترونیکی، تهیه یک لیست اختیاری برای افرادی که تمایل به دریافت اسپم را دارند و استفاده از گزینه‌هایی نظیر فرم‌های آنلاین در مقابل ایمیل، اشاره نمود.

با توجه به حجم نامه‌های ارسالی ناخواسته و غیر قابل کنترل بودن آن، می‌بایست تغییرات عمده‌ای در سرویس‌دهندگان پست الکترونیکی سنتی ایجاد و آنان خود را مجهز به تکنولوژی‌های پیشرفته‌ای به منظور ایمن سازی سرویس دهنده، نمایند. هم اینک موضوع مقابله با هرز نامه در دستور کار شرکت‌های عظیم تولیدکننده نرم‌افزار (سرویس‌دهندگان پست الکترونیکی)، سخت‌افزار و امنیت اطلاعات قرار گرفته و تمامی آنان در تلاش برای ایجاد روش‌ها و تکنیک‌هایی خاص برای مقابله با اسپم می‌باشند.

روش‌هایی برای کاهش هرز نامه ها

با درنظر گرفتن برخی نکات تعداد اسپم‌ها را می‌توان کاهش دهد.

اسپم‌ها ارتباط مستقیمی با ویروس‌ها نداشته و حتی ممکن است ایمیل‌هایی که از منابع معتبر ارسال شده‌اند نیز در زمره این گروه قرار گیرند. با رعایت موارد زیر می‌توان تعداد اسپم‌های دریافتی در ایمیل را کاهش داد:

  • قبل از ارسال آدرس ایمیل به صورت آنلاین، باید به دنبال قوانین و حریم خصوصی یک سایت مورد نظر گشت. سایت‌های شناخته شده دارای یک لینک خاص بر روی سایت خود به منظور آشنائی کاربران با سیاست‌های آن سایت در خصوص نحوه برخورد با اطلاعات ارسالی می‌باشند. می‌بایست قبل از ارسال آدرس ایمیل خود یا سایر اطلاعات شخصی، آن را مطالعه نمود واز این که مالکین و یا مسئولین سایت قصد انجام چه کاری را با اطلاعات ارسالی دارند آگاه شد.
  • هنگامیکه برای دریافت خدمات و یا صورت حساب جدید عملیات وارد شدن انجام می‌شود، ممکن است برخی گزینه‌ها به صورت پیش‌فرض انتخاب شده باشند که در خصوص محصولات و یا سرویس‌های جدید به آن آدرس ایمیل ارسال شود. بنابراین در صورتی که آنان به همان وضعیت باقی بمانند، به زودی حجم زیادی از نامه‌های الکترونیکی دور از انتظار، ارسال خواهد شد.
  • باید قابلیت فیلترینگ برنامه‌ها و سرویس‌های پست الکترونیکی را شناسایی و به کار برد. دربسیاری موارد می‌توان آدرس یا دامنه‌های ناخواسته را بلوک کرد.
  • هرگز بر روی لینک‌های موجود در یک هرز نامه نباید کلیک کرد. برخی از منابع ارسال‌کننده با ارسال آدرس‌های ایمیل متغیر در یک دومین خاص مثل یاهو یا هات‌میل، سعی در تشخیص معتبر بودن یک آدرس ایمیل می‌نمایند. با کلیک لینک ارسالی توسط یک هرز نامه، صرفاً معتبر بودن آدرس ایمیل به اطلاع آنان رسانده شده‌ است. گزینه «عدم عضویت» نیز روش دیگری به منظور جمع‌آوری آدرس‌های ایمیل معتبر است.
  • باید مراقب ایمیل‌ها با فرمت اچ‌تی‌ام‌ال نیز بود. بسیاری از شرکت‌ها این ایمیل‌ها را همراه با یک فایل گرافیکی لینک شده ارسال می‌نمایند. زمانی که برنامه سرویس‌گیرنده ایمیل، اقدام به دانلود گرافیک می‌نماید، آنان می‌دانند که ایمیل باز شده‌است. با غیر فعال نمودن گزینه دریافت اتوماتیک گرافیک در ایمیل و مشاهده ایمیل‌ها با فرمت صرفاً متن، می‌توان پیشگیری لازم در خصوص این مسئله را انجام داد.


spam filtering

مبارزه علیه هرز نامه یا اسپم

در نخستین روزهای حیات اینترنت، رفتار اجتماعی به شکلی دوستانه با عنوان اخلاق شبکه، راهبری و هدایت می‌شد. اصول اخلاقی شبکه بیشتر، از رویه‌های دوستانه مورد استفادهٔ سرویس‌دهندگان سرچشمه می‌گیرد. این رویه‌ها به عنوان توافقی بین سرورها و کاربران مطرح است و تعیین می‌کند که هنگام استفاده از اینترنت، چه مواردی پذیرفتنی و چه مواردی غیرقابل پذیرش و نامطلوب است. این رویه‌ها همچنین به وسیلهٔ محدودیت‌های فنی که پروتکل اینترنت ایجاد می‌کند، به گونه‌ای موثرتر عمل می‌کنند.

با گذشت زمان، این رویه‌های معمول به موضوعاتی شناخته شده در اینترنت تبدیل شده‌اند. بدین صورت که از طرفی سرویس‌دهندگان شبکه یک توافق ضمنی را شکل می‌دهند و دنباله رو استانداردهای یکسانی هستند و از طرف دیگر، کاربران اینترنت خود را مقید کرده‌اند به اصول اخلاقی شبکه با رضایت تن دهند. هرگونه تخلف آشکار در اینترنت خشم کاربران را برمی‌انگیزد و مجازات‌هایی از انواع مختلف، از جمله توبیخ رسمی یا جلوگیری از دسترسی به شبکه را برای متخلفان دربردارد. همچنین برخی اوقات سرویس‌دهندگان شبکه به علت ناتوانی در جلب رفتارهای مناسب، مورد توبیخ و سرزنش قرارگرفته‌اند.

این عدالت هوشیار کاربران جدید را وادار می‌کند تا به اصول اخلاقی موجود توجه کنند. در همین راستا، نظریه‌پردازان اظهار می‌دارند که این اصول اخلاقی همانند حقوق عرفی وزنه‌هایی مطرح و بااعتبار هستند. اما از زمانی که اینترنت از یک شبکه دانشگاهی و علمی-تحقیقی، به ابزاری تجاری تبدیل شده‌است، مفاهیم دچار تغییر و تحول شده‌اند. به دنبال آن بسیاری از کاربران غیرفنی با جهل نسبت به این اصول، شروع به استفاده از اینترنت کردند. در همین زمان، جنبه‌های تجاری و تبلیغاتی، به عنوان بخشی از خدمات اینترنت، نمود پیدا کردند و کاربران بیشتر وارد مفاهیم تجاری شدند و از آن پس بود که اسپمرهای تجاری شروع به کارکرده‌اند.

هرزنامهٔ وکلای آمریکایی «کانتروسی‌گل» از اولین و معروف‌ترین هرزنامه‌هاست. در سال ۱۹۹۳ آن‌ها آگهی «کاست سبز» یکسانی را برای گروه‌های خبری که پیش‌تر شناسایی کرده بودند، فرستادند و گرچه در این راه از دیگران پیشی گرفته‌اند، با این اقدام، خود را در معرض دریافت پاسخ‌های خشمگین و غضب‌آلود قرار دادند. بدین شکل که، کاربران با ارسال نامه‌های الترونیکی متعدد، به آن‌ها در صدد تلافی برآمدند و باعث شدند، که صندوق پستی آن‌ها و سرور شبکه لبریز شود.

سایر هکرهای خشمگین نیز سعی کردند با هک کردن سرورها به آنها لطمه بزند و در نهایت یک هکر خلاق و با هوش، به طور خودکار «کنسل بوت» را برای پاک کردن هریک از کپی پیام‌های تخلف‌آمیز در گروه‌های خبری، طراحی و ایجاد کرد. قضیه «کانتروسی گل» به خوبی نشان داد که قوانین لازم الاجرای زیادی وجود دارد که در آن بدون وجود دادگاه، داور، دادستان و مدعی‌العموم و در عوض با حضور کاربران، قانون به اجرا در خواهد آمد. قانونی که مجازات‌های گوناگون و فراوان دربردارد و زیر عنوان قانون توده یا قانون هوشمند اعمال می‌شود. البته باید توجه داشت که امروزه اسپمرها، هوشمندتر عمل می‌کنند، به گونه‌ای که ایمیل را جعل می‌کنند، نامه‌های مشکوک را به سرورها نسبت می‌دهند و زمینه‌های برگشت به آدرس‌های غلط را فراهم می‌آورند. این پدیده به مشکلات اینترنتی و به ویژه سرورها بیشتر دامن می‌زند.

هم‌اکنون نمونه‌های زیادی از مجبور ساختن سرویس‌دهندگان برای استفاده از دامنه‌ها و حوزه‌های جعلی وجود دارد. چه آن‌ها با تهدیداتی هم‌چون: خاموش کردن کامپیوتر، فرورفتن در باتلاق نامه‌های الکترونیکی برگشتی به فرستنده و پس فرستادن نامه‌های نفرت‌انگیز روبه‌رو شده‌اند.

روش های تکنیکی جهت غلبه بر مشکلات هرز نامه

از زمان فرستادن اولین هرزنامه، سرورهای شبکه و کاربران اینترنت، روش‌های تکنیکی مختلفی جهت غلبه بر مشکلات هرزنامه، تدارک دیده‌اند. از جمله:

  • فیلتردار کردن نامه‌هایی که فرستاده می‌شود، بلوکه کردن هرزنامه‌ها و نامه‌هایی که از سوی سرورها فرستاده می‌شود
  • بلوکه کردن هرزنامه‌های ناخواسته گروه‌های خبری که برای ورود به سرورها فرستاده می‌شود و بلوکه کردن آی‌پی ارتباطی از سایت‌های دارای هرزنامه.

یکی از ارایه‌دهندگان خدمات پست الکترونیکی سعی کرده‌اند هرزنامه های خود را برای اهداف تحقیقاتی، مجوزدار کنند[۶]. استدلال آن‌ها بر این اساس است که با استفاده از این نوع هرزنامه‌ها، زمان آموزش متقاضیان کمتر می‌شود، سرورها محو می‌شوند و در فضایی که اسناد اسپمرها در آن‌ها ذخیره می‌شود، صرفه‌جویی می‌شود.

در هرحال، آن‌ها تاکنون در دست‌یابی به هدف خود موفق نبوده‌اند. از منظر قانونی تا به حال تعدادی از عرضه‌کنندگان خدمات پست‌های الکترونیکی با طرح دعوا، اسپمرها را به محکمه کشانده‌اند. از دیدگاه خدمات‌دهنده اینترنت ارسال نامه‌های تجاری ناخواسته بعد از درخواست‌های مکرر آن‌ها و اخطار به توقف این عمل، تجاوز به داشته‌های آن‌ها قلمداد می‌شود. این استدلال در دادگاه مورد پذیرش و تایید قرار گرفته‌است. سایر استدلال‌ها برای طرح دعوا بر این اساس است که اسپمرها با فرستادن اسپم، در واقع قرارداد خود را با خدمات‌دهنده‌های اینترنت نقض کرده‌اند.

هم‌چنین اسپم‌های آن‌ها، کاربران اینترنت را به اعمال تلافی‌جویانه واداشته‌اند که منجر به تعطیلی خدمات‌دهنده‌های اینترنت شده‌است. افزون بر این، جعل کردن آدرس‌ها و برگرداندن آن‌ها به آدرس‌های برگشتی باعث از بین رفتن شهرت و اعتبار بازرگانان شده‌است. بنابراین اقامهٔ دعوا به استناد نقض حقوق علامت تجارتیِ گمراه کننده، نیز تا حدودی پذیرفتنی است. فرستادن اسپم در محاکم ایالات متحده، به عنوان یک فعالیت غیرقابل‌قبول شناخته شده‌است و دادگاه‌ها مجازات‌هایی را علیه هرزنامه‌نویسان که نامه‌های تجاری ناخواسته را به برخی سایت‌ها فرستاده‌اند، مقرر نموده‌اند. هم‌چنین به تازگی یک دادگاه کانادایی عمل ارسال هرزنامه‌ها را به عنوان اقدامی علیه اصول اخلاقی شبکه، شناسایی کرده و موقعیت خدمات‌دهنده‌های اینترنت را در مقابل هرزنامه‌ها تقویت نموده‌است.

قانون‌مند کردن اسپم

بسیاری از کشورها، قوانینی را برای قانون‌مند کردن اسپم وضع کرده‌اند و یا در حال تدوین آن هستند. به عنوان نمونه، بسیاری از ایالات کشور آمریکا، مجوزهایی برای این کار ایجاد کرده‌اند. در اتحادیهٔ اروپا نیز شورا و پارلمان اروپا، دستورالعمل‌های مناسبی در این زمینه ارایه کرده‌اند. خوشبختانه هم اکنون ایران نیز به فکر تصویب قانونی برای مقابله با پیام‌های ناخواسته افتاده‌است. به گفته یکی از مسئولان، پیش نویس لایحه «مدیریت پیام‌های ناخواسته الکترونیکی» نهایی و به هیئت دولت ارسال شده‌است. وی در خصوص تعریف اسپم در این لایحه گفت: هرگونه پیامی که بدون رضایت دریافت کننده و بدون وجود رابطه میان دریافت‌کننده و ارسال کننده از طریق سیستم‌های پست الکترونیکی (ایمیل)و پیام کوتاه برای اشخاص ارسال شود، هرزنامه خوانده می‌شود. براساس پیش نویس لایحه اسپم کمیته‌های تحت عنوان «کمیته مدیریت پیام‌های ناخواسته الکترونیکی» تشکیل خواهد شد که موارد مربوط به انتشار اسپم را هدایت و مدیریت خواهد کرد. نمایندگان وزارتخانه‌های ارتباطات و فناوری اطلاعات، بازرگانی، امور اقتصادی و دارایی، فرهنگ و ارشاد اسلامی و سازمان مدیریت و برنامه ریزی کشور، افراد تشکیل دهنده این کمیته خواهند بود. با توجه به این پیش‌نویس، ارسال پیام‌های ناخواسته برای کاربران ممنوع بوده و جرم تلقی خواهد شد. بر همین اساس، ارسال عمومی پیام ناخواسته الکترونیکی جزای نقدی داشته و در صورت تکرار، این مبلغ چند برابر خواهد شد. در صورتی‌که به واسطه ارسال پیام‌های تکراری و بیهوده از سوی افراد، به شبکه‌های ارائه دهنده خدمات و یا سیستم‌های پپام رسان الکترونیکی، خسارتی وارد شود، مجرم باید علاوه بر پرداخت جریمه نقدی، کلیه خسارات وارده را نیز جبران کند.

[ratings]

به این نوشته امتیاز دهید

[Total: 7 Average: 4.6]

در صورت نیاز به تامین امنیت وب سات یا بخش آی تی مجموعه خود با ما در تماس باشید.
02128421193
09129726343
09362196343

omid.ahmadyani@outlook.com

موارد مورد آنالیز وب سایت:
● اسکن پورت های باز و دارای حفره امنیتی

● اسکن بیش از ۱۵۰۰ ضعف امنیتی خطرناک در اسکریپت و ساختار سایت

● کشف ضعف تزریق SQL + اعمال Blind SQL Injection

● کشف ضعف های تزریق اسکریپت (XSS)

● کشف ضعف امنیتی پیمایش پوشه ها (Directory Traversal)

● کشف صفحات ورود کاربران و مدیر و اعمال آزمون نفوذ پذیری

● اسکن وب سرور ها برای ضعف های امنیتی

● اسکن وب اپلیکیشن ها (مثل: Cpanel, Plesk, phpMyAdmin, WordPress, Mambo, Joomla, Drupal, DotNetNuke, phpNuke, phpBB, Mambo)

● کشف زیر دامنه ها توسط DNS zone و اعمال اسکن بر روی آن‌ها.

●جلوگیری از هک شدن سایت

●آنالیز و بروزرسانی وب سایت

●ایمن سازی پوشه ها و سطح دسترسی ها

●بروزرسانی پایگاه داده ها

●امن سازی پایگاه داده ها

●نصب افزونه های امینتی و مانیتور وب سایت

●پشتیبانی حرفه ای از امنیت سایت

●مدیریت حفره های امنیتی و غیره ……

نقش عامل انسانی در امنیت شبکه چیست، راهکارهای تامین امنیت شبکه های کامپیوتری

اگر در دوران قدیم دست نیافتنی ترین دژهای نظامی به سادگی توسط عامل انسانی ( یک سرباز ساده لوح یا فریب خورده ، خائن ) سقوط می کردند، امروزه نیز شبکه ها و وب سایتهایی که در ظاهر از قدرتمند ترین سیستم های حفاظتی نظیر آنتی ویروسها و دیوارهای آتش بهره می برند نیز کماکان در معرض این خطر بالقوه قرار دارند. در این مقاله برخی روشهای رفع این مشکل امنیتی را مرور خواهیم کرد.

فرهنگ امنیت

– امنیت را طی گامهای زیر به عنوان یک فرهنگ در سازمان خود تعمیق کنید و به کاربران بیامورید که حیاتی ترین قسمت ساختار امنیتی سازمان هستند.  در طی این گامها: الف- ایجاد آگاهی از وجود، وقوعو گستردگی حملات امنیتی ب- فراهم نمودن ابزارهای مناسب برای مقابله پ- برقراری ارتباط دوطرفه میان کارکنان و سوول امنیت شبکه

ایمن سازی

– به همکارانتان بیاموزید هرگز از رمزهای کوتاه، کلمات قابل حدس نظیر نام و شماره تلفن، تاریخ تولد، کد ملی و شماره شناسنامه و همین طور کلمات موجود در لغتنامه ها استفاده نکرده و در دوره های زمانی مشخص اقدام به تغییر رمز کنند.

– نمونه هایی از رمزهای قوی را که شامل حرف، عدد و علامت و به قدرکافی طولانی اند را به همکاران معرفی کنید.

-با فرض آگاه بودن همکاران از ندادن گذرواژه ها به دیگران و نگهداری صحیح از رمز و نامهای کاربردی، آموزش را فراموش نکنید. حتی پرسنل واحد IT هم از قلم نیاندازید.

مشکلات امنیت شبکه

پیشگیری

– همیشه به نامه های الکترونیکی، تماس های تلفنی و ملاقات های نا خواسته که عموما طی آنها اطلاعات و … درخواست می شوند، مشکوک باشید.

-هیچ گاه اطلاعات شخصی/ سازمانی از قبیل ساختار و شبکه را در اختیار دیگران قرار ندهید، مگر پس از حصول اطینان از وجود مجوز های لازم.

– اطلاعات و داده ای شخصی و مالی خود را هرگز از طریق ایمیل بازگو و ارسال نکنید. هیچ وقت به ایمیل های ناخواسته که درآنها این قبیل اطلاعات درخواست شده اند پاسخ نداده و به لینک های موجود در این نوع ایمیل ها توجه نکنید.

-تا پیش از اطمینان درباره سیاستهای حریم خصوصی (Private  Policy) یک سایت، اطلاعات حساس شخصی/سازمانی را اعلام نکنید.

– آدرس URL را همیشه در نظر داشته باشید، چرا که سایتهای مخرب می توانند با اعمال تغییراتی ناچیز که به چشم نمی آیند، سایهای جعلی و ساختگی خود را به جای سایت معبر مد نظر شما معرفی می کنند.  پس به تفاوت در حروف نام سایت و پسوند آنها بیشتر دقت کنید.

– در صورتی که اعتبار ایمیلی برای شما محرز نشده، با برقراری تماس تلفنی با سازمان/فرد مربوطه از اصالت آن اطمینان حاصل کنید.

امنیت در شبکه داخلی

– روالی برای تبادل گذرواژه تعیین نمایید.

– به پرسنل آموزش دهید هنگام ترک کامپیوتر، از سیستم عامل log off کرده و از محافظ صفحه مجهز به کلمه عبور (screen saver) استفاده کنند.

– روالی برای احراز هویت کاربران جدید، مهمان و بیگانه که وارد شرکت  می شوند، در نظر گرفته و اعمال کنید.

– به صورت دوره ای موارد امنیتی، مثال هایی از درز اطلاعات و حملات سایبری را برای پرسنل مرور کنید.

– روالی برای ثبت تلاش های صورت گرفته برای نفوذ (در سازمان خود) ایجاد نمایید.

– کارمندان و پرسنلی که تماس مستقیم با امراجعه کننده دارند را به خوبی توجیه کنید: منشی ها، نگهبان ها، پرسنل خدماتی و …

– داده ها و اطلاعات را بررسی و  طبقه بندی کرده و داده های محرمانه را پیش از دور ریختن امحا کنید.

– طرز کار و نحوه به روز رسانی anti virus نصب شده در سیستم های شبکه را به کارکنان آموزش دهید.

– نحوه  ورود و خروج داده به سازمان را مدون کنید و حافظه های قابل حمل نظیر دیسک های فلش، خارجی (external) و … را مدیریت و پایش کنید.

امنیت در شبکه داخلی

در پایان به یاد داشته باشید شرکتهای فراوانی هستند که هزینه هنگفتی برای امنیت شبکه در نظر می گیرند اما کماکان تمحیدی برای حفره امنیتی بالقوه، یعنی فاکتور انسانی نیاندیشیده اند!

[ratings]

به این نوشته امتیاز دهید

[Total: 0 Average: 0]

در صورت نیاز به تامین امنیت وب سات یا بخش آی تی مجموعه خود با ما در تماس باشید.
02128421193
09129726343
09362196343

omid.ahmadyani@outlook.com

موارد مورد آنالیز وب سایت:
● اسکن پورت های باز و دارای حفره امنیتی

● اسکن بیش از ۱۵۰۰ ضعف امنیتی خطرناک در اسکریپت و ساختار سایت

● کشف ضعف تزریق SQL + اعمال Blind SQL Injection

● کشف ضعف های تزریق اسکریپت (XSS)

● کشف ضعف امنیتی پیمایش پوشه ها (Directory Traversal)

● کشف صفحات ورود کاربران و مدیر و اعمال آزمون نفوذ پذیری

● اسکن وب سرور ها برای ضعف های امنیتی

● اسکن وب اپلیکیشن ها (مثل: Cpanel, Plesk, phpMyAdmin, WordPress, Mambo, Joomla, Drupal, DotNetNuke, phpNuke, phpBB, Mambo)

● کشف زیر دامنه ها توسط DNS zone و اعمال اسکن بر روی آن‌ها.

●جلوگیری از هک شدن سایت

●آنالیز و بروزرسانی وب سایت

●ایمن سازی پوشه ها و سطح دسترسی ها

●بروزرسانی پایگاه داده ها

●امن سازی پایگاه داده ها

●نصب افزونه های امینتی و مانیتور وب سایت

●پشتیبانی حرفه ای از امنیت سایت

●مدیریت حفره های امنیتی و غیره ……

ترفندها و راهکارهای کاربردی در سیستم مدیریت اطلاعات MS-SQL Server 2008

این نوشتار به معرفی و ذکر تاریخچه MS-SQL Server 2008 پرداخته و در ادامه به ترفندها و راهکارهای جالب در این نرم افزار می پردازد.

امروزه برای مدیریت اطلاعات در سطح وسیع اعم از حسابداری ، فروش  ، بایگانی خبر ، انجمنها و … نیاز به یک سیستم مدیریت بانک اطلاعات خواهید داشت.بعنوان فردی که در زمینه IT فعالیت می کنید ، اطلاع از انواع سیستم های مدیریت اطلاعات ، نقاط ضعف و قدرت هر یک اجتناب ناپذیر است. انتخاب غلط سیستم مدیریت داده ها می تواند ضررهای جبران ناپذیری را بجا بگذارند. دانستن تفاوتهای MS-SQl و My-SQL ، اوراکل و MS-SQL و … از جمله مواردی است که باید بصورت پیشفرض از آن آگاه باشید. باتوجه به فراگیر شدن محصولات مایکروسافت ، شاید پاسخ به این پرسش که چرا باید SQL-Server را انتخاب کنیم ، آسان شود. رایج بودن و عمومیت ، پایین بودن قیمت در برخی از نسخه های حرفه ای آن نسبت به سیستمهای اطلاعات دیگر، می تواند یکی از دلایل انتخاب MS-SQl باشد. استفاده از بانک های اطلاعاتی مانند اوراکل نیز علاوه برای کارایی های زیاد آن ، قیمت بالا و داشتن پیچیدگی های خاص خود باعث کاهش رتبه علاقه مندی در سالهای اخیر گشته است.

در اصل SQL (زبان ساختاریافته جستار Structured Query Language) یک زبان برنامه نویسی برای سیستم مدیریت داده های مرتبط RDBMS (Relational Database Management Systems) می باشد. در دهه ۱۹۷۰ اصطلاح اختصار «جستار به زبان انگلیسی ساختاریافته (SEQUEL)» یا سیکوئل به آن اطلاق می شد که به دلیل انحصار تجاری این نام تحت اختیار یک شرکت هواپیمایی، به اس-کیو-ال (SQL) تغییر نام پیدا کرد.

ذر ویرایش های ۲۰۰۰ و ۲۰۰۵  با پشتیبانی از XML ، براحتی در وب سرورها بکار برده می شود. ویرایش SQL Server 2008 (با نام پروژه کاتمای) در آگوست ۲۰۰۸ ارائه شد. امکان جستجوی متنی کامل و نوع جدید داده های جغرافیایی به آن افزوده شده است.

در ادامه راجع به ترفندها و مطالبی که باید راجع به این سیستم مدیریت بدانید بطور مفصل بحث شده است. مواردی که در این نوشتار مورد بحث قرار می گیرند عبارتند از :

  • معرفی دیتابیس MS-SQL Server 2008 و تفاوت آن با ورژن های قبلی
  • تفاوت MS-SQL Server 2008 با دیگر دیتابیس ها
  • مطالب کاربردی
  • ترفندهای کاهش حجم
  • ترفندهای افزایش سرعت
  • تبدیل دیتابیس در نسخه های مختلف
  • ترفندهای Management Studio
  • امنیت
  • خطاها

 

معرفی MS-SQL Server 2008 و تفاوت آن با ورژن های قبلی

 

ویرایش SQL Server 2008 (با نام پروژه کاتمای) در آگوست ۲۰۰۸ ارائه شد. امکان جستجوی متنی کامل و نوع جدید داده های جغرافیایی به آن افزوده شده است. ویرایش SQL Server 2008 R2 (با نام پروژه کیلیمانجارو) در آوریل سال ۲۰۱۰ ارائه گردید.امکاناتی نظیر PowerPivot برای Excel و SharePoint، Master Data Services، StreamInsight، Report Builder 3.0، Reporting Services Add-in جهت استفاده  SharePoint، یک تابع Data-tier  در Visual Studio (که امکان پکیج نمودن دیتابیسهای ردیف بندی شده برای یک نرم افزار کاربردی را فراهم می سازد) ، SQL Server Utility با نام UC (Utility Control Point) و AMSM (Application and Multi-Server Management) (مدیریت چند SQL Server ) به این نسخه اضافه گردیده است. در ادامه تمامی مطالب مربوط به ورژن های مختلف Ms-Sql Server 2008 ، لیست شده است و شما می توانید با کلیک بر روی نام هر یک از آن ها به اطلاعات و راهنمای کامل هریک، دست بیابید.

 

تفاوت MS-SQL Server 2008 با دیگر دیتابیس ها

 

از رقبای جدی سیستم مدیریت اطلاعات MS-SQL می توان به اوراکل و MySql اشاره کرد. بسیاری از مدیران IT اوراکل را به عنوان یک رهبر تجاری در دنیای پایگاه داده تلقی می کنند و این نرم افزار از طرفداران خاص خود برخوردار است. این موضوع که اوراکل محصولی بسیار عالی در زمینه مدیریت اطلاعات می باشد ، یک موضوع غیر قابل انکار است. در مقابل این نکته را نیز باید متذکر شویم که نصب و راه اندازی این نوع پایگاه داده به مراتب پیچیده تر و هزینه برتر نسبت به MS-SQL می باشد. اوراکل برای شرکت های بزرگی که حجم اطلاعات بسیار بالا و بانک اطلاعات جامع دارند مناسب است. از جمله مزیت های اوراکل می توان به مقیاس پذیری و کارایی بالای آن اشاره کرد . ابزارهای مورد نیاز در برنامه نویسی و پشتیبانی از پایگاه داده حجیم براحتی به آن اضافه می شود. برای نصب برروی سرور برخلاف MS-SQL نیازی به نصب دات نت فریم ورک نخواهید داشت. اما با قابلیت های جدید MS-SQL 2008  اوراکل بعنوان غول پایگاه داده از گردونه رقابت خارج گشته است. این نکته را مد نظر داشته باشید که با نصب نگارش اصلی SQL Server 2008 تمام ابزارهای لازم برای مدیریت و تحلیل داده در اختیار شماست.بعنوان مثال تمام تبدیل ها در دیتابیس های مختلف به MS-SQL  را می توانید براحتی انجام دهید. در ادامه تمامی مطالب مربوط به تفاوتهای Ms-Sql Server 2008 با دیگر دیتابیس ها ، لیست شده است و شما می توانید با کلیک بر روی نام هر یک از آن ها به اطلاعات و راهنمای کامل هریک، دست بیابید.

 

مطالب کاربردی

 

دانستن نکات کلیدی برای طراحی و پشتیبانی داده ها کمک بسیار شایانی در مدیریت پایگاه داده می کند. آگاهی از این موضوع که در آینده پایگاه داده شما به چه مواردی نیاز خواهد داشت ، چطور یک پایگاه داده بهینه طراحی کنید؟ به عبارت دیگر هنگام ایجاد یک پایگاه داده آینده نگری داشته و نیاز های پیشرو را تا حدودی پیش بینی نمایید. در ادامه برخی مطالب کاربردی در زمینه ایجاد دیتابیس ، لیست شده است و شما می توانید با کلیک بر روی نام هر یک از آن ها به اطلاعات و راهنمای کامل هریک، دست بیابید.

 

ترفندهای کاهش حجم

یکی از روشهای بهینه سازی حجم پایگاه داده و فشرده سازی آن، استفاده از نرم افزارهای ثالثی است که توسط شرکت های مختلف ارائه می گردد. این قبیل نرم  افزارها می توانند جایگزینی برای قابلیت فشرده سازی دیتابیس که در SQL Server 2008 تعبیه شده، باشند و از آن جایی که این قابلیت در نسخه استاندارد وجود ندارد و نسخه های Enterprise و بالاتر از آن بهره مند هستند، ابزاری کارآمد برای کاربران پایگاه داده MsSQL به شمار می رود. اهمیت کاهش حجم دیتابیس در سرویس های میزبانی وب به شدت مشهود است. در این سرویس ها بدلیل اشتراکی بودن فضای هاست ، شرکت ها سیاستهای مختلفی را برای استفاده بهینه از فضای ارائه شده وضع می نمایند. در ادامه تمامی مطالب مربوط به ترفندهای کاهش حجم در MS-SQL 2008 ، لیست شده است و شما می توانید با کلیک بر روی نام هر یک از آن ها به اطلاعات و راهنمای کامل هریک، دست بیابید.

 

ترفندهای افزایش سرعت

 

برای افزایش سرعت دیتابیس نیازی به صرف هزینه های هنگفت نمی باشد. تنها با چند راهکار ساده می توانید سرعت آن را افزایش دهید. پرهیز از استفاده از تریگرها ، بهره گیری از تراکنش های کوتاه ، اجرای توسعه برروی نسخه کپی دیتابیس و … از جمله راهکارهای کم هزینه برای بهینه سازی سرعت دیتابیس می باشد. در ادامه ترفندهایی برای افزایش سرعت دیتابیس های MS-SQL ، لیست شده است و شما می توانید با کلیک بر روی نام هر یک از آن ها به اطلاعات و راهنمای کامل هریک، دست بیابید.

 

تبدیل دیتابیس در نسخه های مختلف MS-SQL Server 2008

 

از جمله مشکلاتی که مدیران IT بعضا با آن مواجه می شوند ، تبدیل دیتابیس ها در ورژن های مختلف MS-SQL می باشد. بعنوان مثال شما در سیستم لوکال از نرم افزار MS-SQL Express استفاده می نماید و بنا به دلایلی می خواهید از آن برروی هاست خود نیز استفاده نمایید. از آنجاییکه اکثر شرکت های هاستینگ از نسخه Enterprise استفاده می کنند ، لذا تفاوت ورژن ها برای شما درد سر ساز خواهدشد. در اینجا راجع به تبدیل تمامی دیتابیس ها به یکدیگر بلاخص MS-SQL راه کارهای مناسبی ارائه شده است . در ادامه برخی مطالب کاربردی در زمینه تبدیل دیتابیس ، لیست شده است و شما می توانید با کلیک بر روی نام هر یک از آن ها به اطلاعات و راهنمای کامل هریک، دست بیابید.

 

ترفندهای Management Studio

 

نرم افزار Microsoft SQL Server 2008 Management Studio و یا به اختصار (SSMS) یک محیط یکپارچه برای مدیریت، اعمال تنظیمات، دسترسی و طراحی انواع قسمت های SQL Server می باشد. این نرم افزار با ترکیب ابزارها و محیط گرافیکی با تعداد زیادی از ویرایشگرهای Script، امکان دسترسی، طراحی و مدیریت دیتابیس های SQL Server برای تمامی طیف های افراد مبتدی و حرفه ای را فراهم می نماید. طراحان دیتابیس با استفاده از نرم افزار Management Studio با تجربه جدید با بهره گیری انواع ابزارهای گرافیکی آشنا خواهند شد، و همچنین مدیران دیتابیس نیز با استفاده از ابزارهای یکپارچه و جامع گرافیکی و قابلیت های غنی اسکریپتی می توانند به راحتی به مدیریت دیتابیس بپردازند. در ادامه برخی مطالب در زمینه ترفندهای Management Studio ، لیست شده است و شما می توانید با کلیک بر روی نام هر یک از آن ها به اطلاعات و راهنمای کامل هریک، دست بیابید.

 

امنیت

بانک های اطلاعاتی SQL Server 2005 ,SQL Server 2008 رمزنگاری را برای حفاظت از داده ها در مقابل حمله ی هکرها ارائه میدهند. هکرها ممکن است توانایی نفوذ به پایگاه داده ها یه جداول را داشته باشند , اما با رمزنگاری داده ها آنها قدرت تشخیص و  یا استفاده از آن را نخواهند داشت. امروزه رمزنگاری روی داده های حساس که در پایگاه داده ذخیره میشوند  و همچنین در زمان انتقال در سراسر شبکه بین client  وserver بسیار مهم و ضروری است. سلسله مراتب رمزنگاری بر اساس ۳ مرحله امنیتی مشخص می شود و هرکدام از این ۳ مرحله مکانیزم متفاوتی را برای ایمن ساختن انتقال داده بین شبکه های خارجی و محلی ، انجام میدهند و  این سطوح  مختلف سلسله مراتب ، اجازه میدهد سرویس های متعددی از (SQL Server)بر روی یک سرور فیزیکی اجرا شوند. در ادامه برخی مطالب در زمینه امنیت پایگاه داده، لیست شده است و شما می توانید با کلیک بر روی نام هر یک از آن ها به اطلاعات و راهنمای کامل هریک، دست بیابید.

 

خطاها

 

خطاهای مختلف هنگام اتصال به دیتابیس جز مواردی هستند که اغلب اوقات برنامه نویسان را دچار مشکل می کنند. دانستن و آگاهی راجع به راهکار حل این خطاها زمان را برای شما ضبط کرده و با خیالی آسوده به مدیریت پایگاه داده می پردازید. در ادامه برخی مطالب در زمینه خطاهای رایج، لیست شده است و شما می توانید با کلیک بر روی نام هر یک از آن ها به اطلاعات و راهنمای کامل هریک، دست بیابید.

به این نوشته امتیاز دهید

[Total: 0 Average: 0]

در صورت نیاز به تامین امنیت وب سات یا بخش آی تی مجموعه خود با ما در تماس باشید.
02128421193
09129726343
09362196343

omid.ahmadyani@outlook.com

موارد مورد آنالیز وب سایت:
● اسکن پورت های باز و دارای حفره امنیتی

● اسکن بیش از ۱۵۰۰ ضعف امنیتی خطرناک در اسکریپت و ساختار سایت

● کشف ضعف تزریق SQL + اعمال Blind SQL Injection

● کشف ضعف های تزریق اسکریپت (XSS)

● کشف ضعف امنیتی پیمایش پوشه ها (Directory Traversal)

● کشف صفحات ورود کاربران و مدیر و اعمال آزمون نفوذ پذیری

● اسکن وب سرور ها برای ضعف های امنیتی

● اسکن وب اپلیکیشن ها (مثل: Cpanel, Plesk, phpMyAdmin, WordPress, Mambo, Joomla, Drupal, DotNetNuke, phpNuke, phpBB, Mambo)

● کشف زیر دامنه ها توسط DNS zone و اعمال اسکن بر روی آن‌ها.

●جلوگیری از هک شدن سایت

●آنالیز و بروزرسانی وب سایت

●ایمن سازی پوشه ها و سطح دسترسی ها

●بروزرسانی پایگاه داده ها

●امن سازی پایگاه داده ها

●نصب افزونه های امینتی و مانیتور وب سایت

●پشتیبانی حرفه ای از امنیت سایت

●مدیریت حفره های امنیتی و غیره ……

محافظت از اطلاعات با استفاده از BitLocker

استفاده از BitLocker یا (BitLocker Drive Encryption) کمک می کند تا از کلیه فایلهای ذخیره شده بر روی درایوی که ویندوز بر روی آن نصب شده است، یا بر روی درایوهای دیتای موجود بر روی همان کامپیوتر محافظت کند.

استفاده از BitLocker

قفل درایو

برخلاف فایل سیستم رمز گذاری شده (EFS) که به شما امکان رمز گذاری فایلهای شخصی را می دهد، نرم افزار BitLocker کل درایو، شامل فایلهای سیستمی ویندوز مورد نیاز برای استارت آپ و لاگین کردن را رمزگذاری می نماید. شما می توانید به صورت عادی لاگین نمایید و با فایلهای خود کار کنید. اما BitLocker می تواند کمک نماید تا جلوی هکرها را در دسترسی به فایلهای سیستمی بگیرد که در پیدا کردن پسورد شما از آنها استفاده می کنند. همچنین امکان سوء استفاده و مشاهده فایلها توسط برداشتن هارد دیسک شما از روی کامپیوترتان و نصب آن بر روی کامپیوتری دیگر را می گیرد. نرم افزار BitLocker تنها می تواند فایلهایی که بر روی درایو ویندوز  و دیگر درایو های دیتای یک کامپیوتر قرار دارند را محافظت کند. اگر قصد رمز گذاری یک درایو دیتا را دارید، لازم است که درایو ویندوز را نیز رمزگذاری نمایید. چرا که کلید درایو دیتا بر روی درایو ویندوز ذخیره شده است. همچنین می توانید فایلها و فولدرهای موجود بر روی یک درایو رمزگذاری شده توسط BitLocker را برای امنیت بیشتر بر روی یک کامپیوتر اشتراکی مجددا رمزگذاری نمایید.

هنگامی که فایلهای جدید به درایوی که با BitLocker قفل شده است منتقل شوند، BitLocker آنها را به صورت خودکار رمزگذاری می کند. فایلها تنها تا زمانی که بر روی درایو رمزگذاری شده قرار دارند، رمزدار می مانند. فایلهایی که بر روی یک درایو بدون رمزگذاری و یا کامپیوتری دیگر کپی می شوند، از حالت رمزدار خارج می شوند. اگر فایلها با کاربران دیگر به اشتراک گذاشته شوند، تا زمانی که بر روی درایو رمزدار هستند، بصورت رمزدار می مانند، ولی توسط کاربران مجاز قابل استفاده هستند.

در حین استارت آپ کامپیوتر، اگر BitLocker وضعیتی را تشخیص دهد که بتواند یک ریسک امنیتی محسوب شود (برای مثال، خطای دیسکها، تغییری در بایوس، یا تغییری در فایلهای استارت آپ)، درایو را قفل می کند و برای خارج نمودن از حالت قفل شده نیاز به یک پسورد بازیابی BitLocker دارد. مطمئن شوید که در حین فعال نمودن BitLocker، پسورد بازیابی را ایجاد کرده اید؛ در غیر این صورت، ممکن است دسترسی به فایلهای خود را به کلی از دست بدهید.

نرم افزار BitLocker معمولا از چیپ (TPM (Trusted Platform Module بر روی کامپیوتر استفاده می کند تا کلیدهایی را که برای بازگشایی فایلهای رمزی بر روی هارددیسک استفاده می شوند، ذخیره کند. هنگامی که به کامپیوتر خود لاگین می کنید، BitLocker از TPM کلیدهای هارد دیسک را درخواست می کند و آن را باز می نماید. از آنجا که TPM کلیدها را فورا پس از ورود شما به سیستم در اختیار BitLocker قرار می دهد، امنیت کامپیوتر شما بستگی به اعتبار پسورد ورود شما دارد. اگر شما پسورد معتبری داشته باشید که از ورود کاربران غیرمجاز جلوگیری کند، هارد دیسک محافظت شده توسط BitLocker همچنان قفل می ماند.

می توان BitLocker را در هر زمان غیر فعال نمود؛ یکی به صورت موقت با غیر فعال نمودن آن و دیگری با رمز گشایی کامل درایو.

فعال نمودن BitLocker :

۱- از طریق Start Menu > Control Panel > Security > BitLocker Drive Encription ، آن را باز نمایید. اگر پسورد Administrator و یا تأییدیه آن درخواست شد، آن را وارد نمایید.

۲- بر روی Turn On BitLocker کلیک کنید. این کار ویزارد تنظیمات BitLocker را اجرا می نماید. مراحل را یک به یک انجام دهید.

غیرفعال نمودن BitLocker :

۱- از طریق Start Menu > Control Panel > Security > BitLocker Drive Encription ، آن را باز نمایید. اگر پسورد Administrator و یا تأییدیه آن درخواست شد، آن را وارد نمایید.

۲- بر روی Turn Off BitLocker کلیک کنید. این کار، کادر محاوره ای  BitLocker Drive را اجرا می نماید.

۳- به منظور رمزگشایی درایو، بر روی Decrypt the volume کلیک نمایید. به منظور غیرفعال سازی موقت BitLocker ، بر روی Disable BitLocker Drive Encryption کلیک کنید.

مراحل انجام موارد بالا به صورت تصویری در زیر آمده است.

فعال سازی قفل درایو - مرحله 1

 فعال سازی قفل درایو - مرحله 2

 فعال سازی قفل درایو - مرحله 3

فعال سازی قفل درایو - مرحله 4

فعال سازی قفل درایو - مرحله 5

فعال سازی قفل درایو - مرحله 6

فعال سازی قفل درایو - مرحله 7

فعال سازی قفل درایو - مرحله 8

فعال سازی قفل درایو - مرحله 9

منبع:

مایکروسافت

به این نوشته امتیاز دهید

[Total: 0 Average: 0]

در صورت نیاز به تامین امنیت وب سات یا بخش آی تی مجموعه خود با ما در تماس باشید.
02128421193
09129726343
09362196343

omid.ahmadyani@outlook.com

موارد مورد آنالیز وب سایت:
● اسکن پورت های باز و دارای حفره امنیتی

● اسکن بیش از ۱۵۰۰ ضعف امنیتی خطرناک در اسکریپت و ساختار سایت

● کشف ضعف تزریق SQL + اعمال Blind SQL Injection

● کشف ضعف های تزریق اسکریپت (XSS)

● کشف ضعف امنیتی پیمایش پوشه ها (Directory Traversal)

● کشف صفحات ورود کاربران و مدیر و اعمال آزمون نفوذ پذیری

● اسکن وب سرور ها برای ضعف های امنیتی

● اسکن وب اپلیکیشن ها (مثل: Cpanel, Plesk, phpMyAdmin, WordPress, Mambo, Joomla, Drupal, DotNetNuke, phpNuke, phpBB, Mambo)

● کشف زیر دامنه ها توسط DNS zone و اعمال اسکن بر روی آن‌ها.

●جلوگیری از هک شدن سایت

●آنالیز و بروزرسانی وب سایت

●ایمن سازی پوشه ها و سطح دسترسی ها

●بروزرسانی پایگاه داده ها

●امن سازی پایگاه داده ها

●نصب افزونه های امینتی و مانیتور وب سایت

●پشتیبانی حرفه ای از امنیت سایت

●مدیریت حفره های امنیتی و غیره ……

معرفی و شرح کامل فرآیند Attack

در کامپیوتر و شبکه های کامپیوتری ، دلیل حمله می تواند از بین بردن ، عمومی کردن ، تغییر دادن ، غیرفعال کردن ، سرقت و یا به دست آوردن دسترسی و استفاده غیرمجاز از اطلاعات باشد.

تعاریف

۱. نیروهای کاری مهندسی اینترنت : IETF (Internet Engineering Task Force)

نیروهای کاری مهندسی اینترنت حمله را بدین صورت تعریف می نمایند :

حمله به یک سیستم امنیتی ، ناشی از تهدید و یا عملی هوشمندانه است که به صورت عمدی جهت از سر راه برداشتن سرویس های امنیتی و نقض سیاست های امنیتی یک سیستم است.

۲. دولت ایالات متحده : US Government

در شماره ۴۰۰۹ راهنمای CNSS ، به تاریخ ۲۶ آوریل ۲۰۱۰ که توسط کمیته سیستم های امنیتی بین المللی ایالات متحده آمریکا انتشار یافته است ، حمله را بدین صورت تعریف می کند :

حمله هر نوع فعالیت مخربی است ، که تلاش به ایجاد اختلال و یا نابود کردن منابع اطلاعاتی سیستم نماید.

افزایش وابستگی جامعه به اطلاعات و شبکه های کامپیوتری منجر به وجود قوانین جدید حملات سایبری و جنگ سایبری شده است.

پدیده شناسی

یک حمله می تواند فعال و یا غیرفعال باشد.

در یک حمله فعال تلاش برای تغییر منابع سیستم و یا تأثیر بر فعالیت آن صورت می گیرد.

در یک حمله غیرفعال سعی بر یادگیری و یا استفاده از اطلاعات سیستم است ، اما تأثیری بر منابع سیستم نمی گذارد.

یک حمله می تواند از داخل و یا خارج از سازمان صورت گیرد.

یک حمله داخلی ، حمله ای است که توسط یک عامل در داخل محیط امنیتی آغاز می شود. به عنوان مثال عاملی که مجوز دسترسی به منابع سیستم دارد ، اما از آنها در مسیری غیر از مسیر تعریف شده استفاده می نماید.

یک حمله خارجی ، توسط یک کاربر غیر مجاز ، از محیط بیرونی آغاز می شود. در اینترنت محدوده مهاجمین خارجی شامل افراد مبتدی ، مجرمین سازمان یافته ، تروریست های بین المللی و دولت های مهاجم می شود.

واژه “حمله” با دیگر واژه های امنیتی ساده مرتبط است، که در شکل زیر نشان داده شده است :

انواع حمله

به طور معمول حملات از طرف افرادی با نیات بد صورت می گیرد. حملات Black Hatted از این دسته می باشند.

حملات می توانند بر اساس منشأ آنها طبقه بندی شوند. به عنوان مثال اگر حمله روی یک یا چندین کامپیوتر انجام شود ، حمله توزیع شده نامیده می شود.

در زیر لیستی از انواع حملات را مشاهده می نمایید :

۱- غیرفعال (Passive)

  ۱-۱ شبکه (Network)

    ۱-۱-۱ استراق سمع یا شنود (wiretapping)

    ۲-۱-۱ اسکن کردن پورت (Port scanner)

۲- فعال (Active)

  ۱-۲ ممانعت از حمله به سرویس (Denial-of-service attack)

  ۲-۲ اختلال (Spoofing)

  ۳-۲ شبکه (Network)

    ۱-۳-۲ Man in the middle

    ۲-۳-۲ مسمومیت ARP (ARP Poisoning)

    ۳-۳-۲ پینگ کردن فراوان (Ping Flood)

    ۴-۳-۲ پینگ کردن مرگبار (Ping of death)

    ۵-۳-۲ Smurf attack

  ۴-۲ میزبان (Host)

    ۱-۴-۲ سرریز بافر (Buffer Overflow)

    ۲-۴-۲ سرریز Heap (Heap Overflow)

    ۳-۴-۲ حمله در قالب رشته (Format String Attack)

منبع : wikipedia

به این نوشته امتیاز دهید

[Total: 0 Average: 0]

در صورت نیاز به تامین امنیت وب سات یا بخش آی تی مجموعه خود با ما در تماس باشید.
02128421193
09129726343
09362196343

omid.ahmadyani@outlook.com

موارد مورد آنالیز وب سایت:
● اسکن پورت های باز و دارای حفره امنیتی

● اسکن بیش از ۱۵۰۰ ضعف امنیتی خطرناک در اسکریپت و ساختار سایت

● کشف ضعف تزریق SQL + اعمال Blind SQL Injection

● کشف ضعف های تزریق اسکریپت (XSS)

● کشف ضعف امنیتی پیمایش پوشه ها (Directory Traversal)

● کشف صفحات ورود کاربران و مدیر و اعمال آزمون نفوذ پذیری

● اسکن وب سرور ها برای ضعف های امنیتی

● اسکن وب اپلیکیشن ها (مثل: Cpanel, Plesk, phpMyAdmin, WordPress, Mambo, Joomla, Drupal, DotNetNuke, phpNuke, phpBB, Mambo)

● کشف زیر دامنه ها توسط DNS zone و اعمال اسکن بر روی آن‌ها.

●جلوگیری از هک شدن سایت

●آنالیز و بروزرسانی وب سایت

●ایمن سازی پوشه ها و سطح دسترسی ها

●بروزرسانی پایگاه داده ها

●امن سازی پایگاه داده ها

●نصب افزونه های امینتی و مانیتور وب سایت

●پشتیبانی حرفه ای از امنیت سایت

●مدیریت حفره های امنیتی و غیره ……