امنیت کامپیوتر چیست؟+ ده نکته در مورد امنیت کامپیوتر در اینترنت

امین باقرزاده - دو شنبه -۳۰ تیر ۱۳۹۳ 

امنیت کامپیوتر و شبکه یا امنیت فضای تبادل اطلاعات مقوله­های مهمی هستند. ولی به ندرت میزان حفاظت از داده­ها و  دارایی­های اطلاعاتی شهروندان، شرکتها یا حکومت کافی و وافی است. زیرساخت شبکه، مسیریابها، کارگزاران نام و سوئیچهایی که این سیستمها را به هم متصل می­کنند، نباید از کار بیفتند و گرنه کامپیوترها نمی­توانند دقیق و مطمئن با هم ارتباط برقرار کنند. در اینجا پرسشهای متعددی مطرح می­شوند: دقیقاً زیرساخت چیست، در برابر چه تهدیدهایی باید ایمن شود و چگونه می­توان حفاظت را با هزینه بهینه فراهم کرد. ولی مبنای همه این پرسشها این است که چگونه سیستم امن را تعریف کنیم.

امنیت چیست؟ واضح است که امنیت چیز خوبی است، و همه این را تأیید می­کنند ولی افراد کمی آن را دقیق و یا حتّی نادقیق تعریف می­کنند. این مقاله سعی دارد به این مهم بپردازد.

در ادامه با ما باشید.

رمزنگاری منسوخ فیسبوک و باز گذاشتن درها برای جاسوسی از کاربران توسط NSA

امین باقرزاده - یک شنبه 9 تیر ۱۳۹۲ - 17:16

اینکه از خانه خودتان سرقت کنید یک چیز است، و اینکه درها را برای سارقین باز بگذارید یک چیز دیگر.

اسناد سری لو رفته حاکی از آن است که آژانس امنیت ملی امریکا (NSA) از مدت ها قبل ضعف های رمزنگاری منسوخ فیسبوک و برخی دیگر از شرکت های امریکایی را کشف و برای استفاده از آنها برنامه ریزی کرده. حال این مورد را در کنار گزارش ادوارد اسنودن قرار دهید که جاسوسی NSA از ارتباطات در حال عبور از فیبرهای نوری را فاش کرد. به نظر می رسد بازخوانی ایمیل ها و سایر داده های جاری در کابل ها، برای این سازمان واقعا آسان است. موردی که قرار بود https ما را از آن در امان نگه دارد.

گویا فیسبوک و برخی دیگر از شرکت ها هنوز از تکنیک های رمزنگاری "تاریخ گذشته ای" را استفاده می کنند که رمزنویسان می گویند، شکستن آنها برای NSA -با در نظر داشتن جاسوسی کابلی- مثل آب خوردن است. فیسبوک از کلیدهای 1024 بیتی برای رمزنگاری عمومی استفاده می کند حال آنکه اپل، مایکروسافت، توییتر، دراپباکس و حتی مای اسپیس به کلید های 2048 بیتی کوچ کرده اند.

ساختن سخت افزاری که برای رمزگشایی کلیدهای 1024 بیتی طراحی شده اند، امروزه با هزینه 1 میلیون دلار امکان پذیر است. هر یک از چنین دستگاه هایی ظرف یک سال می توانند یک کلید 2024 بیتی را بشکنند. حالا تصور کنید سازمان هایی با بودجه های عظیم -مثل NSA با بودجه 10 میلیارد دلار در سال- از چه دستگاه هایی استفاده کرده و چقدر سریع تر می توانند رمزگشایی را به نتیجه برسانند.

البته گویا فیسبوک هم به دنبال مهاجرت به کلید های 2048 بیتی است، ولی سوال این است که وقتی شرکتی، یک آژانس اطلاعاتی را تهدید تلقی نکرده و اینقدر دیر اقدام به کاری چنین مهم می کند، دیگر برای چه باید مورد اعتماد قرار بگیرد؟

گوگل هم از کلیدهای 1024 بیتی استفاده می کند ولی از سال 2011 به این سو یک ترفند جالب به کار گرفته که به آن "forward secrecy" گفته می شود یعنی برای هر فاز از عملیات های تحت وب که رمزنگاری شده اند، به جای یک کلید اصلی، از کلیدی اختصاصی استفاده می کند. و البته این شرکت نیز در سال 2013 به کلیدهای 2048 بیتی مهاجرت خواهد کرد.

با این وجود، جالب است بدانید که گوگل، هر دو هفته یک بار کلیدهای رمزنگاری عمومی RSA  را تعویض می کند ولی فیسبوک هر 1 سال یکبار! غیر از فیسبوک، آمازون هم هنوز از کلیدهای 1024 بیتی ساده استفاده می کند.

اما در آن سوی میدان، سایت هایی نظیر Apache.org ،Hugedomains.com ،Openoffice.org و Phpbb.com از کلیدهای 4096 بیتی استفاده می کنند (شکستن کلیدهای 1024 بیتی 1000 بار سخت تر از کلیدهای 768 بیتی است، حساب و کتاب کلیدهای 4096 بیتی با شما.)

به لحاظ قوانین ایالات متحده، NSA مجبور نیست برای جاسوسی از ارتباطات کاربران خارجی سایت های امریکایی، زحمت زیادی به خود بدهد. درخواست دسترسی به اطلاعات مورد نیاز، معمولا با پاسخ مثبت همراه می شود. اما قطعاً این سازمان کامپیوترهای ذکر نشده ای در اختیار دارد که با آنها می تواند حملات لازم را بر علیه کلیدهای رمزنگاری عمومی ترتیب دهد. در نتیجه، دیرکرد شرکت ها در استفاده از کلیدهای جدید، مشکوک تر به نظر می رسد.

یکی از مهندسین نرم افزاری گوگل می گوید که شرکت متبوعش قادر است هر زمانی که بخواهد، کامپیوترهای خود را به عملیات شکستن کلیدهای 1024 بیتی RSA اختصاص دهد و یک روزه کار را به سرانجام برساند. سوال هوشمندانه این است: چرا باید فکر کنیم NSA از این کار عاجز است؟

مراقب دسترسی اپلیکیشن های مختلف به حساب های خود باشید

امین باقرزاده - شنبه 8 تیر ۱۳۹۲ - 15:57

«آیا اجازه دسترسی به حساب شما را دارم؟» این پرسشی است که روز به روز اپلیکیشن ها و وبگاه های بیشتری از ما می پرسند؟ کمتر پیش می آید که محتوای اجازه نامه برای دسترسی به حساب های مختلف خود را بخوانیم و اغلب بی توجه به عواقب این عمل به هر اپلیکیشنی امکان دسترسی به حساب خود را می دهیم! پس از گذشت مدت زمانی هم فراموش می کنیم به کدام اپ ها و وبگاه ها چنین اجازه ای داده ایم و حتماً هم به خاطر نمی آوریم که سطح دسترسی مطالبه شده از سوی آن اپ یا وبگاه در چه حد بوده است.

این موضوع ممکن است بسیار خطرناک باشد؛ وقتی خود ما به این راحتی اطلاعات شخصی مان را در اختیار غریبه ها می گذاریم آیا به راستی باید نگران پروژه هایی مانند پریسمباشیم؟ حتماً شما هم در این میان به همین تناقض برخورده اید. اینکه وقتی خود افراد با آسودگی خاطر و به سادگی به هر اپلیکیشن امکان دسترسی به یک حساب کاملاً شخصی مانند فیسبوک را می‌دهند، آیا واقعاً باید خطر اصلی را از سوی سازمان های امنیتی دانست یا از طرف ناآگاهی و بی دقتی شهروندان سرزمین مجازی؟

ادامه مطلب را از دست ندهید.

 

هکرها و سرقت گواهینامه های امنیتی اوپرا از طریق حمله زیرساختی

رضا باقرزاده - شنبه 8 تیر ۱۳۹۲ - 15:50

مسئولان مرورگر نروژی Opera تایید کرده اند که حمله ای به زیرساخت شبکه این شرکت، باعث به سرقت رفتن گواهینامه های لازم برای تایید کدهای مورد استفاده توسط مرورگر اوپرا شده.

این شرکت اشاره دقیقی به جزئیات این حمله نکرده ولی تاثیرات ناشی از آن را محدود می داند. گواهینامه ای که به سرقت رفته می تواند در ساخت بدافزارها مورد استفاده قرار بگیرد به صورتی که ناشر آنها را اوپرا یا منبع آنها را مرورگر اوپرا جلوه دهد و به این صورت کاربران را مورد هدف قرار دهد.

اوپرا می گوید که سیستم های شرکت پاکسازی شده اند و اثری از درز کردن اطلاعات کاربران یافت نشده ولی جریان تحقیق برای یافتن عاملین و محدود کردن خطرات احتمالی ادامه دارد.

این احتمال وجود دارد که برخی کاربران ویندوز که در روز 19 ژوئن از مرورگر اوپرا استفاده می کرده اند، به طور خودکار بدافزارهایی را دریافت کرده باشند. به همین منظور اوپرا در صدد است نسخه ای از مرورگر خود را منتشر کند که از گواهینامه جدید بهره می برد. البته هنوز زمان عرضه دقیق آن اعلام نشده.

پرونده اوپرا نشان می دهد که گرایش هکرها برای حمله به زیرساخت شرکت های بزرگی که کاربران زیادی از نرم افزارهای آنها استفاده می کنند، رو به افزایش گذاشته. سال گذشته نیز شرکت ادوبی با موردی مشابه از این حمله های زیرساختی روبرو شده بود.

مراقب سوء استفاده از وب کم خود باشید

رضا باقرزاده - دو شنبه 3 تیر ۱۳۹۲ - 13:45

به راستی چقدر از امنیت اطلاعات شخصی خود در فضای مجازی مطمئن هستید. همه کاربران اینترنت و به‌ خصوص افراد تازه کار از چند جبهه تحت هجوم قرار دارند. از یک سو دولت ها و سازمان های جاسوسی آنها، سعی در سرقت اطلاعات شهروندان دارند. از سوی دیگر هکرها و خرابکاران مستقل مدام در حال نفوذ به حریم خصوصی افراد هستند. و در نهایت این شرکت های بزرگ چند ملیتی هستند که با ادعای تبلیغات هدفمند، به فروش و بعضاً سوء‌ استفاده از اطلاعات کاربران می پردازند.

احتمالاً اصطلاح «آزار جنسی سایبری» به گوشتان خورده است. مدتی است که محققان به ویژه جامعه شناسان و روان شناسان حوزه امنیت روانی خانواده از بابت وجود و بسط این پدیده در فضای مجازی اخطار می دهند. نا آگاهی افراد از مخاطرات پیش رو در فضای مجازی راه نفوذ و سوء‌ استفاده افراد سودجو را هموارتر می کند.

طی بررسی های به عمل آمده و همچنین طبق گزارشی از سوی «یورو نیوز» وب کم ها یکی از موارد به شدت آسیب‌پذیر کاربران اینترنت هستند که روزانه هزاران قربانی می گیرند. در این بررسی مشخص شده که تعداد کسانی که به نفوذ و ضبط تصاویر وب کم کاربران در فضای مجازی می پردازند، به علت سهولت انجام این کار بسیار زیاد است و این در حالی است که اکثر قربانیان از دانش کافی برای جلوگیری از آن برخوردار نبوده اند.

آن‌ها با ضبط ویدیوی قربانیان خود یا آن‌ ویدیوها را به اشخاص دیگر می فروشند، یا برای منتشر نکردن تصاویر از قربانی باج طلب می‌کنند. یا حتی او را مجبور به نشان دادن دیگر اعضای بدن خود می کنند. اینها و دیگر موارد از این دست مادامی که خود کاربران در صدد حفظ حریم خود بر نیایند تمامی نخواهد داشت.

ما در نگهبان همواره متذکر شده‌ ایم که نگهبان اصلی و نهایی اسرار شما، خودتان هستید و هرگز نباید از کنار این مسأله بی تفاوت بگذرید. برای پیشگیری و ممانعت از نفوذ خرابکاران به وب کم رایانه راه کارهایی وجود دارد که البته همه آن‌ها فقط در صورتی که با هم به کار برده شوند مؤثر خواهند بود:

همیشه گفته‌ایم ضد بدافزارها و فایروال ها فقط زمانی مفید هستند که به هنگام باشند. روزانه هزاران ویروس و تروجان ساخته می‌شود که می‌توانند راه نفوذ به وب کم و رایانه شما را برای خرابکاران هموار کنند، و فقط زمانی می‌توانید جلوی آنها را با آنتی ویروس ها بگیرید که به روز باشند. 

- مراقب ایمیل از سوی افراد ناشناس باشید. بهتر است به طور کل ایمیل‌های ناشناس را باز نکنید. ولی در صورت باز کردن، هرگز روی لینک های احتمالی موجود در آن کلیک نکنید. 

- از اعتبار سایت هایی که برای ثبت نام، ایمیل شما را می‌ خواهند مطمئن شوید. بسیاری از سایت ها و حتی تالارهای گفتگو با مبالغ ناچیز حاضر به فروش ایمیل های کاربران خود به اشخاص ثالث می شوند. 

- وقتی از وب کم خود استفاده نمی‌کنید اگر قابلیت بستن لنز در آن وجود دارد آن را ببندید در غیر این صورت یا روی آن را بپوشانید یا آن را به سمت دیوار بگردانید. 

- اگر حین گپ با غریبه ای احساس نزدیکی بیش از حد کردید، قبل از تبادل تصویر به خود متذکر شوید که او می‌تواند این مکالمه تصویری را ضبط و احیاناً منتشر کند. 

- قبل از هرکاری راه و رسم آن را باید آموزش داد. والدین باید بدانند همان‌طور که فرزند خود را به کلاس شنا و زبان و… می‌فرستند تا آموزش‌های لازم را ببیند، نباید او را بدون آموزش در دریای متلاطم و بی رحم اینترنت و شبکه‌های مجازی رها کنند. 

-با مهربانی باید کودکان را ترغیب کرد که اگر از طریق وب کم مورد سوء‌استفاده قرار گرفتند به والدین خود گزارش دهند تا از گسترش قضیه جلوگیری شود. 

- خود شما هم اگر حس کردید که ممکن است قربانی شده باشید به مراجع ذیصلاح اطلاع دهید. 

- در همه حال مراقب باشید و چشم از چراغ وب کم خود بر ندارید!

---

negahbaan 

نقص امنیتی فیسبوک و اطلاعات ۶ میلیون کاربر در خطر

رضا نیک نژاد - دو شنبه 3 تیر ۱۳۹۲ - 13:33

فیسبوک اعلام کرده که یک نقص امنیتی در این سایت سبب شده که اطلاعات ۶ میلیون کاربر این شبکه اجتماعی به طور اتفاقی در دسترس کاربران دیگر این شبکه اجتماعی قرار بگیرد. این اطلاعات شامل ادرس ایمیل، تلفن و برخی اطلاعات پروفایل بوده است.

در فیسبوک بخشی وجود دارد که کاربران از طریق آن می توانند اطلاعات اکانت خودشان را دانلود کنند. اما وجود نقصی در این بخش سبب می شده که همراه این اطلاعات، بخشی از اطلاعات کاربران دیگر هم دانلود شده و در اختیار کاربران ثالث قرار بگیرد.

جالب است بدانید که این نقص امنیتی توسط خود فیسبوک کشف نشده و توسط فردی کشف شده که به دنبال دریافت جایزه از طریق پیدا کردن باگ در فیسبوک بوده است. فیسبوک برنامه ای دارد که به هکرهای کلاه سفیدی که نقص امنیتی در این سایت کشف می کنند به ازای هر باگ ۵۰۰ دلار پرداخت می کند.

فیسبوک گفته این نقص امنیتی از سال گذشته در این شبکه اجتماعی وجود داشته. اما به محض اطلاع از آن طی ۲۴ ساعت رفع شده است.