تامین امنیت کامپیوترهای مبتنی بر ویندوز در برابر هک

امنیت مقوله ای است كه از دیر باز برای كاربران كامپیوتر از جذابیت خاصی برخوردار بوده وحتی امروزه با فراگیر شدن اینترنت این جذابیت بیشتر هم شده است. كلمه هایی نظیر امنیت سیستم های كامپیوتری ، امنیت ارتباطات و یا امنیت داده ها دارای تعاریف مختلفی بوده و طیف كاربران نیز برداشتهای مختلف و حتی گاه متناقضی از این كلمات دارند. این طیف ، از تعاریف تئوریك در كتابهای دانشگاهی و كاملا آكادمیك شروع شده و به تعاریفی با ته مایه پلیسی و هیجان انگیز در كتابهای با سطح پایین Hacking یا برخی فیلم های سینمایی ختم می شود. به هر حال تعریف كلمه امنیت و كلمات تركیبی مشتق شده از این واژه هر چه كه باشد . واضح است كه امنیت سیستم های كامپیوتری به طور عام ، با گسترده شدن شبكه ها و اینترنت به مساله جدی تری تبدیل می شود . همچنین سریعتر شدن سرعت اتصال به اینترنت كامپیوترها را پایین می آورد زیرا قرار دادن اطلاعات جعلی در بین حجم بیشتری از اطلاعات كمتر توجه را جلب كرده و یافتن این مساله نیز سخت تر خواهد بود . در ضمن در صورت متوجه شدن كاربر به این مورد حمله قرار گرفته است. زمان بسیار محدود تری خواهد داشت تا جلوی خروج اطلاعات از كامپیوتر را بگیرد.
كرم ها (Worms). ویروس ها (viruses)، اسب های تروایی (trajans) و سایر انواع برنامه های مخرب كه همراه با فایل های برنامه ای نامه های الكترونیكی و ...از روی CD ، دیسك های فلاپی ، ارتباط مستقیم با شبكه های محلی یا اینترنت و....وارد كامپیوتر می شوند ، همه و همه تهدید كننده امنیت كامپیوترتان هستند . بسیاری از این برنامه ها با ایجاد Back Doors عملا اجازه می دهند كه Hacker ها و یا افرادی كه قصد فضولی و یا سوء استفاده از اطلاعات دیگران را دارند وارد كامپیوتر شما شده و اطلاعات موجود در كامپیوتر شما را به یغما ببرند.برخی دیگر از برنامه ها خود راسا دست به عمل زده و اطلاعات را به مقصد نامعلومی می فرستند. البته كار فرستادن اطلاعات خیلی كند و با آهنگ آهسته ای انجام می شود تا مورد توجه قرار نگیرد . برنامه های مخرب از هر نوع و رده ای كه باشند از یك مساله سوء استفاده می كنند و آن وجود نقاط ضعف و bug های امنیتی در سیستم عامل ها و پروتكل ها و یا سرویس های مختلف است. نمونه این ضعف می تواند فرستاده شدن كلمه رمز(password) توسط پروتكل telnet باشد . برنامه طرف سرویس گیرنده (client) كه اقدام به telnet می كند اسم رمز را به صورت غیر رمزرا به صورت غیر رمز نگاری شده و یا اصطلاحا plain به سمت سرویس دهنده می فرستد، حال اگر در بین راه یك نفر عمل Sniff را انجام دهد به راحتی می تواند این اسم رمز را به دست آورد.
برخی از كاربران كامپیوتر تصور می كنند كه اگر آخرین Patch ها و Update های سیستم عامل و برنامه های كامپیوترشان را تهیه و نصب كنند این مشكل حل خواهد شد ، در صورتی كه این عقیده خیلی درست نیست . مثلا اگر این Patch ها یا update ها بعد از آلوده شدن كامپیوتر نصب شوند معمولا فایده نداشته و برنامه های مخرب كماكان كار خود را ادامه خواهد داد. به عنوان مثالی برای این نوع كرم ها می توان به كرم MS Blaster و Update های شماره ۸۲۴۱۴۶ شركت مایكروسافت اشاره كرد كه برای رفع ضعف امنیتی سیستم عامل های ویندوز كه كرم blaster از آن استفاده می كند ، اشاره كرد . این Update ها فقط وقتی مفید خواهد بود كه آن ها را قبل از آلوده شدن سیستم بتوان نصب كرد . برنامه های فوق از آدرس http://support.microsoft.com/?kbid=۸۳۳۳۳۰ در سایت مایكروسافت قابل تهیه می باشد . یكی از جالب ترین نكاتی كه در ارتباط با این كرم وجود دارد آن است كه بسیاری از دیواره های آتشین (fire Walls) اگر به درستی تنظیم شوند می توانند جلوی شیوع این كرم را بگیرند . یكی از نادرترین دیوارهای آتشینی كه نمی تواند جلوی این كرم را بگیردعبارتست از ICF (مخففInternet Connention Firewall ) كه همان دیواره آتشین موجود در ویندوز Xp است!! البته توجه داشته باشید كه دیواره های آتشین اولین خط دفاعی كامپیوتر شما در برابر حملات هستند . دیواره دوم دفاعی نیز برنامه های ویروس یاب نظیر پاندا ، Mcaffee و یا آنتی ویروس نورتون می توانند باشند . . نكته منفی كه اینجا بد نیست به آن اشاره كنیم این است كه تعداد قابل توجهی از كاربران به این گونه برنامه اعتقاد زیادی نداشته و معمولا آنها را زاید تشخیص داده و نصب نمی‌كنند.
یكی دیگر از راه حل هایی كه بیشتر مورد توجه سرپرستان شبكه (Administrators) است، نصب برنامه های ردیاب (monitoring) روی سرویس دهنده ها و یا حتی كامپیوترهای عادی است . این برنامه ها معمولا فعالیت های شبكه (Network Activities ) ،‍‍ Packet هایی كه در شبكه رد و بدل می شوند ، پورت هایی كه فعال بوده و اطلاعات ارسال و دریافت می كنند و آدرس های IP و MAC كه اطلاعات از یا به آنها فرستاده می شوند را تحت نظارت خود گرفته و گزارش های آماری مفیدی ارائه می كنند.
از روی این گزارش آماری می توان متوجه شد كه كدام كامپیوترها آلوده شده ، مورد هدف قرار گرفته یا حتی دست به حمله زده اند. البته ناگفته نماند كه بعضی دیگر از كاربران كامپیوتر هم بیش از اندازه نگران هستند . آن ها با وجود اینكه به شبكه های دیگر وصل نیستند ، دو یا سه نوع نرم افزار ویروس یاب ، دیواره آتشین و... را روی كامپیوتر خود نصب كرده و علاوه بر این دائم نگران هك شدن هم هستند. در نظر داشته باشیم كه هر برنامه ای كه شما روی كامپیوتر خود نصب و اجرا می كنید ، مانند نرم افزارهای ویروس یاب و ویروس كش ، دیواره آتشین و یا نرم افزارهای مانیتورینگ قسمت قابل ملاحظه ای از حافظه ، دیسك وقدرت پردازشی كامپیوتر شما را استفاده كرده و عملا اجرای سایر برنامه های كامپیوتری را تحت تاثیر قرار می دهند.
بنابراین یك حفاظت درست از كامپیوتر در واقع ایجاد تعادلی است بین دو مقوله:
"ریسك هك شدن و از دست دادن اطلاعات "و "پذیرفتن سربارهای (overhead) پردازشی ،حافظه ای، مالی و ...."
● سرویس‌های ویندوز
بسیاری از كاربرانی كه هنوز روی كامپیوتر خود دیواره آتشین(fire wall) نصب نكرده اند ، تصور می كنند كه با نصب یكی از این نوع نرم افزارها همه مشكلات آنها به طور كلی حل می شود ، در حالی كه آن دسته از كاربرانی كه این كار را انجام داده اند خیلی موافق این نظریه نیستند . نصب دیواره های آتشین شاید قسمتی از مشكلات را حل كنند ولی حداقل یك مشكل جدید را با خود به همراه دارد و آن تداخلی است كه بین كاركرد این نوع نرم افزار ها و سرویس های ویندوز به وجود می آید . بعضی از سرویس های ویندوز مانند SVCHOST گاه و بی گاه و حتی تقریبا مستقل از عملیاتی كه كاربر روی كامپیوتر انجام می دهد با شبكه ارتباط برقرار می كنند.
سوالی كه اینجا مطرح می شود،این است كه آیا نرم افزار دیوار آتشین باید به این گونه ارتباطات مجوز دسترسی به شبكه بدهد یا خیر؟ چه مواقعی باید این مجوز داده شود؟ آیا سرویس های ویندوز همواره مجاز به دسترسی به شبكه هستند ؟ اگر پاسخ شما به این پرسش های مثبت است باید بدانید كه برخی از انواع برنامه های اسب تراوایی (trojans) به جای ارتباط مستقیم با شبكه این كار را از طریق سرویس های ویندوز انجام می دهند، بنابراین اگر روزی متوجه شدید كه سرویس های ویندوز بیش از حد معمول با شبكه Packet رد و بدل می كنند ممكن است كه كامپیوترتان به برنامه های مخربی از گونه اسب های تراوایی آلوده شده باشد.
پیچیده ترین مطلبی كه در مورد سرویس های ویندوز وجود دارد آن است كه عملكرد آن ها عموما برای كسی به طور دقیق معلوم نبود و قابل پیش بینی نیست. بنابراین نمی توان حدس زد كه وقتی كه این سرویس ها شروع به ارسال یا دریافت packet از بكه می كنند آیا قسمتی از عملكرد طبیعی خود را دارند انجام می دهند و یا اینكه مورد سوء استفاده نرم افزارهای مخرب قرار گرفته اند. در صورتی كه نرم افزار دیواره آتشین خود را به نوعی تنظیم كنید كه هیچگاه به این سرویس ها اجازه ارتباط با شبكه را ندهد نیز مشكل حل نخواهد شد، زیرا انجام این كار عملكرد طبیعی ویندوز را به هم ریخته و ممكن است حتی منجر به شروع مجدد (restart) ویندوز شود .بنابراین چه باید كرد؟ سرویس های ویندوز چه مواقعی حق دارند تا با شبكه ارتباط داشته باشند و چه مواقعی باید جلوی آن ها را گرفت؟
▪ به چه چیزی می توان اعتماد كرد؟
چیزی كه مشخص است این است كه به نسخه های اصلی سرویس های ویندوز مانند Svchost.exe یا Services.exe (منظور نسخه غیر آلوده شده این برنامه هاست) باید اطمینان كرد . چون اگر نخواهیم به این برنامه اعتماد كنیم به چه چیز دیگری می توان اطمینان كرد ؟
سرویس های ویندوز همانطوری كه گفته شد، گاه و بی گاه به دلایل مختلف سعی به اتصال به اینترنت و ارسال یا دریافت اطلاعات مختلفی دارند :Update ویندوز چند وقت یكبار سری به سایت مایكروسافت می زند تا اگر نسخه بروزتری از ویندوز را پیدا كرد كاربر را در جریان قرار داده و سپس patch یا Update مربوطه را بارگذاری(download) كند. MSN روی شبكه دنبال دوستان (friends ) on-line می گردد. خود ویندوز در صورت اضافه شدن سخت افزار جدیدی به كامپیوتر برای جستجوی راه انداز(Driver) آن كلی با اینترنت اطلاعات بده و بستان می كند و ....
ولی چیزی كه در همه این ارتباطات مشترك است این است كه همه آن ها مجاز بوده و هیچ گونه اطلاعات غیر مجاز و یا داده های شخص كاربر را به خارج از كامپیوتر ارسال نمی كنند.
بعضی از این اسب های تروایی با سوء استفاده از این مطلب فایل اجرایی با همین نام (مثلا Svchost.exe یا Service.exe) داخل دایركتوری ویندوز كپی كرده و از طریق این برنامه سعی در ارتباط با شبكه ایجاد یك backdoor برای مهاجمان خارجی می نمایند. برای مقابله با این گونه برنامه های مخرب ، راحت ترین كار نصب یك دیواره آتشینی است كه امضاهای الكترونیكی یا مشخصات برنامه هایی را كه می خواهند به شبكه وصل شوند را بررسی و آن ها را در لیست خود ذخیره می كنند. اگر شما این نوع دیواره های آتشین را بلافاصله پس از نصب ویندوز روی كامپیوترتان نصب كنید ، آن ها مشخصات سرویس های نسخه اصلی ویندوز را در لیست خود ذخیره كرده و به آنها اجازه ارتباط با شبكه را خواهند داد. حال اگر یك اسب تروایی با اسم یكی از سرویس های ویندوز بخواهد با شبكه ارتباط بر قرار كند، این دیواره های آتشین با توجه به منطبق نبودن مشخصات و یا امضاهای الكترونیكی این برنامه ها (كه در واقع اسب تروایی هستند) با برنامه اصلی كه مشخصات آن در لیست دیواره آتشین موجود است اجازه این كار را نداده و جلوی این گونه سوء استفاده ها را خواهند گرفت.
دیواره های آتشین امروزی عموما قابلیت استخراج و ذخیره مشخصات برنامه هایی را كه اجازه استفاده از شبكه دارند را داشته و این مشخصات را هنگامی كه یك برنامه می خواهد با شبكه ارتباط برقرار كند را ملاك ارزیابی خود قرار می دهند.
همان طور كه پیشتر نیز در این مقاله اشاره شد ، دیوارهای آتشین فقط خط اول دفاعی در كامپیوتر شما هستند و اگر برنامه مخربی موفق به عبور از این سد شود به این معنی نخواهد بود كه كامپیوتر شما هك شده و این برنامه مخرب به طور كامل موفق شده است زیر خط دوم دفاعی كامپیوتر هنوز باقی مانده است. خط دوم دفاعی كامپیوتر چیزی نیست جز برنامه های ویروس یاب و ویروس كش. رگر شما كامپیوترتان را به یك برنامه ویروس یاب خوب مجهز كرده و هر چند وقت یكبار(مثلا هفته ای یا ۱۰روز یكبار) نیز آن را به روز كنید ، این برنامه ویروس یاب با بانك اطلاعاتی به روز خود و با شناختی كه از طرز كار اسب های تروایی ، كرم ها و ویروس های مختلف دارد می تواند این نوع برنامه ها را در كامپیوتر شناسایی كرده و عملكرد آن ها را متوقف نماید . بنابراین پیشنهاد می شود علاوه بر یك دیواره آتشین خوب از یك نرم افزار ویروس یاب / ویروس كش خوب نیز در كامپیوترتان استفاده كنید تا ریسك آلوده شدن كامپیوتر و هك شدن توسط اسب های تراوایی یا از دست دادن داده های شخصی از طریق یك Back door را به حداقل برسانید.