مراقبت از داده های حساس

فرض کنید هارد دیسک کامپیوتر شما در اختیار فرد و یا افرادی دیگر قرار بگیرد ، آیا آنان می توانند با بررسی آن اطلاعات خاصی در خصوص شما و نوع فعالیت هائی که انجام می دهید را کسب نمایند ؟ در پاسخ می بایست با صراحت گفت که چنین امری میسر است و شاید بیش از آنچیزی که احتمال آن را می دهید . در این مطلب قصد داریم به بررسی این موضوع بپردازیم که چگونه یک کارشناس کالبد شکافی اطلاعات کامپیوتر قادر است داده هائی را که به نظر شما مدت ها است از روی کامپیوتر حذف و ظاهرا اثری از آنان مشاهده نمی گردد را جان دوباره داده و از آنان استفاده نماید . بررسی این موضوع از دو زاویه می تواند مفید باشد : اول برای افرادی که قصد بازیافت اطلاعات ( recovery ) خود را دارند و دوم برای افرادی که می خواهند مقاومت سیستم خود را در مقابل بازبینی های غیرمجاز ، افزایش دهند .به منظور ایمن سازی کامپیوتر خود و حفاظت از اطلاعات حساس موجود بر روی آن لازم نیست که حتما یک کارشناس حرفه ای کامپیوتر باشیم ، با اندک دانشی نسبت به نحوه عملکرد سیستم عامل نصب شده بر روی کامپیوتر نظیر ویندوز، می توان اقدامات لازم در این خصوص را انجام داد . افشای اطلاعات حساس موجود بر روی هارد دیسک ، آگاهی از وب سایت های مشاهده شده و فایل هائی که از طریق اینترنت download شده اند و بازیابی فایل های حذف شده، از جمله مواردی می باشند که می تواند توسط هر فردی که به سیستم شما دستیابی پیدا می نماید و دارای دانش مختصری در رابطه با نحوه بازیافت اطلاعات است، مورد سوء استفاده قرار گیرد . افراد فوق با در اختیار گرفتن مجموعه ای از ابزارهای موجود که بدین منظور و گاها با اهداف خیرخواهانه طراحی شده اند ، می توانند حتی اقدام به بازیابی داده هائی نمایند که شما قبلا آنان را حذف نموده اید . آنان در این رابطه اقدام به بازیابی مجموعه ای از بیت ها و بایت ها نموده و در ادامه با قرار دادن آنان در کنار یکدیگر، قادر به دستیابی و مشاهده اطلاعات حذف شده خواهند بود .
داده های مخفی و نحوه یافتن آنان
کامپیوترهای موجود در منازل و یا سازمان ها مملو از داده هائی است که کاربران از وجود آنان بر روی سیستم خود بی اطلاع می باشند . حتی تعداد زیادی از کارشناسان حرفه ای فن آوری اطلاعات نیز در این رابطه اطلاعات و یا شناخت مناسبی را ندارند . بر روی کامپیوتر مکان های دنج و خلوتی وجود دارد که داده ها در آنجا مخفی شده و با شناخت مناسب نسبت به محل اختفای آنان، احتمال بازیابی و سوء استفاده از آنان وجود خواهد داشت . با بازرسی مکان های فوق و بررسی ردپای داده های به جا مانده بر روی سیستم، می توان اطلاعات زیادی در خصوص استفاده کننده کامپیوتر و نوع فعالیت های وی را کسب نمود و حتی متوجه شد که وی با چه سرویس دهندگانی ارتباط داشته است . در ادامه به بررسی متداولترین موارد در این خصوص خواهیم پرداخت .
آگاهی از وب سایت های مشاهده شده
جملگی می دانیم که با بررسی history مرورگر و فایل های موقت اینترنت ( Cache ) ، می توان آگاهی لازم در خصوص وب سایت های مشاهده شده توسط کاربر یک کامپیوتر را پیدا نمود . در صورتی که نمی خواهیم ردپای استفاده از وب بر روی سیستم برجای بماند ، می بایست این نوع فایل ها را حذف نمود .( فرآیندی ساده در اکثر مرورگرها ) . کلیک بر روی یک دکمه به منظور حذف یک فولدر به تنهائی کافی نبوده و همچنان احتمال بازیابی آنان وجود خواهد داشت . حتی در مواردی که اقدام به پاک نمودن history مرورگر می شود ، تمامی فایل ها حذف نخواهند شد ! سرنخ وب سایت های مشاهده شده در مکان هائی دیگر مخفی شده و همچنان باقی خواهند ماند . با بررسی فولدرهای Favorites و یا Bookmarks نیز می توان اطلاعات زیادی در خصوص سایت هائی که توسط یک کاربر به تناوب استفاده می گردد را پیدا نمود . بررسی فولدر کوکی ( Cookies ) نیز می تواند نشاندهنده سایت های مشاهده شده توسط یک کاربر باشد . نظر شما در رابطه با آدرس هائی که در بخش آدرس مرورگر تایپ می گردد و ادامه آن به صورت اتوماتیک توسط برنامه مرورگر درج می گردد ، چیست ؟ یک فرد آشنا به کامپیوتر می تواند با تایپ تصادفی حروف ، متوجه شود که شما قبلا چه آدرس هائی را در این بخش مستقیما تایپ نموده اید . آدرس وب سایت هائی را که شما مستقیما&#۰۳۹; در بخش آدرس یک مرورگر تایپ می نمائید ( منظور کلیک بر روی لینک های pop up نمی باشد ) در کلید ریجستری زیر ذخیره می گردند :
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerTypedURLs
حذف history در مرورگر IE باعث حذف URLs تایپ شده می گردد . در صورت تمایل، می توان این عملیات را مستقیما و با اجرای برنامه regedit انجام داد . در چنین مواردی می توان یک و یا چندین URLs را مستقیما حذف نمود ( یافتن کلید ریجستری اشاره شده ، انتخاب یک و یا چندین URLs ، کلیک سمت راست و فعال نمودن دکمه Delete ) . بررسی فولدرهای My Download و دایرکتوری های temp نیز می تواند مشخص کننده فایل های Downlaod شده توسط شما باشد .
با استفاده از نرم افزارهائی که بدین منظور طراحی شده است ، می توان به سادگی تمامی نشانه های وب را از روی سیستم پاک نمود . Web Cache Illuminator ، یک نمونه در این رابطه است .
در صورتی که شما از طریق یک فایروال از اینترنت استفاده می نمائید ، در اغلب موارد فایروال مربوطه و یا سرویس دهنده پروکسی لیستی از وب سایت های مشاهده شده توسط کاربران و یا کامپیوترهای موجود در شبکه را ثبت می نماید .
سایر مکان های داده های مخفی
علاوه بر موارد اشاره شده در خصوص محل اختفای داده ها خصوصا وب سایت های مشاهده شده ، مکان های دیگری نیز وجود دارد که احتمال ذخیره سازی داده ها و بالطبع بازیابی ( بازیافت ) آنان توسط افراد غیر مجاز وجود خواهد داشت : برنامه های واژه پرداز و سایر برنامه هائی که فایل های موقتی را ایجاد می نمایند . این فایل ها معمولا به صورت اتوماتیک و پس از خروج از برنامه و یا حتی راه اندازی کامپیوتر ، حذف نمی گردند . فایل های فوق ممکن است در فولدری مشابه با محل نصب برنامه و یا فولدرهای موقتی که بدین منظور توسط برنامه ایجاد می گردد ، ذخیره شوند .
Clipboard مربوط به ویندوز و یا آفیس ، می تواند داده هائی را که اخیرا . Clipboard آفیس ، می تواند شامل چندین آیتمی باشد که در طی مراحل قبل Cut و Copy شده اند ( صرفا شامل آخرین آیتم نمی باشد ) . برنامه های IM یا Instant Messenger ممکن است بگونه ای پیکربندی شده باشند که ماحصل مکالمه و یا محاوره انجام شده را در یک فایل و بر روی هارد دیسک ذخیره نمایند . سیستم های IM سرویس گیرنده - سرویس دهنده که از طریق یک سرویس دهنده IM مرکزی امکان ارتباط را فراهم می نمایند ، ممکن است ماحصل مکالمه و یا گفتگوی انجام شده را بر روی سرویس دهنده ذخیره نمایند . لیست تماس و یا buddy موجود در این نوع نرم افزارها نیز نشاندهنده افرادی است که شما عمومابا آنان ارتباط برقرار می نمائید ( مثلا چت ) . نرم افزار پست الکترونیکی و یا برنامه مربوط به نگهداری لیست تماس شما ، ممکن است باعث افشای اطلاعات موجود در آن نظیر آدرس پست الکترونیکی ، آدرس فیزیکی و شماره تلفن افرادی گردد که شما با آنان در ارتباط هستید . همچنین تقویم و لیست فعالیت های روزمره نیز می تواند برخی اطلاعات شما را افشاء نماید .فولدر My Documents نیز می تواند اسنادی را که اخیرابا آنان کار نموده اید را مشخص نماید . playlist مربوط به نرم افزارهای Media Player و بخش history آنان نیز می تواند نشاندهنده فایل های تصویری و صوتی باشد که آنان را مشاهده و یا گوش داده اید .
درایوهای مربوط به tape ، سی دی ، فلاپی و حافظه های فلش نیز ممکن است همچنان دارای نسخه هائی از اسناد و فایل هائی باشند که شما آنان را از روی کامپیوتر حذف نموده اید .
اطلاعاتی که اخیرا شما اقدام به حذف آنان نموده اید ، ممکن است همچنان و تا زمان Shut down نمودن کامپیوتر در حافظه و یا حافظه مجازی ( فایل های swap ) موجود باشند .
فایل های حذف شده
با حذف یک فایل آن فایل از روی کامپیوتر شما پاک نمی گردد . مثلا زمانی که شما یک نامه الکترونیکی را حذف می نمائید ، پیام حذف شده صرفا به یک فولدر دیگر ( Deleted Items ) ، منتقل می گردد . زمانی که فولدر فوق خالی می گردد ( دستی و یا بر اساس برنامه زمانبندی پست الکترونیکی ) ، تمامی آیتم های موجود به صورت پیش فرض به Recycle Bin منتقل می گردند . حتی در صورت تخلیه Recycle Bin ماجرا خاتمه نیافته و فایل های حذف شده توسط سیستم عامل از روی دیسک حذف نخواهند شد . در حقیقت پس از حذف یک فایل و یا مجموعه ای از فایل ها ، صرفا اشاره گرهائی که به فایل های فوق اشاره می کنند از جدول سیستم فایل حذف شده و فضای استفاده شده توسط فایل های حذف شده بر روی دیسک، علامت قابل استفاده مجدد درج می شود . صفرها و یک هائی که داده های موجود در یک فایل را تشکیل می دهند ، همچنان در مکان های مورد نظر خود موجود بوده و احتمال بازیابی تمام و یا بخش هائی از آنان وجود خواهد داشت . حتی با فرمت کردن هارد دیسک ، فایل های حذف شده موجود بر روی آن ، دور انداخته نخواهند شد . حتمااین سوال برای شما مطرح شده است که وجود این نوع اطلاعات حذف شده بر روی کامپیوتر چه تهدیدات امنیتی را ایجاد خواهد کرد و یا چگونه و با استفاده از چه روش و یا روش هائی امکان بازیافت مجدد آنان وجود خواهد داشت ؟
مها جمان و یا بهتر بگوئیم افراد غیر مجاز با استفاده از نرم افزارهای خاصی قادر به برگرداندن داده هائی می باشند که عملا و از دید کاربر حذف شده ولی همچنان بر روی محیط ذخیره سازی نظیر هارد دیسک موجود می باشند . معمولا فرآیند بازیافت و ریکاوری اطلاعات عملیاتی پیچیده و در عین حال طولانی است .بدیهی است نرم افزارهائی که قادر به انجام اینچنین عملیاتی می باشند ، بسیار گرانقیمت باشند :
· File Scavenger
· GetDataBack
· Back۲Life
به منظور بازیابی اطلاعات حذف شده می توان از برخی نرم افزارهای ارزان قیمت و یا رایگان موجود نیز استفاده نمود . برخی از نرم افزارهای فوق را می توان با مراجعه به آدرس http://free-backup-software.net/data-recovery.htm دریافت نمود .
اکثر نرم افزارهای فوق با این هدف طراحی شده اند که اگر شما به صورت تصادفی فایل و یا فایل هائی را حذف کرده باشید ، امکان بازیابی مجدد آنان را در اختیار شما قرار دهند . متاسفانه مهاجمان و سایر افراد غیرمجاز نیز می توانند با استفاده از نرم افزارهای فوق به برخی از اطلاعات موجود بر روی سیستم شما دستیابی پیدا نمایند . مهاجمان و افراد غیر مجاز دارای آگاهی لازم در خصوص مکان هائی که ممکن است داده ها در آنجا مخفی شده اند نیز می باشند . برخی از کاربران به منظور مخفی نمودن فایل های مورد نظر خود ، آنان را در یک مکان غیرمتداول و در یک دایرکتوری خاص نظیر دایرکتوری های سیستم ذخیره می نمایند . یک جستجوی ساده برای نوع های خاصی از فایل ( نظیر jpeg. و یا gif . ) و یا فایل هائی با ظرفیت بالا که تعمدامخفی شده اند ، باعث افشای آنان می گردد . مهاجمان و افراد غیرمجازی که اقدام به کنکاش در یک سیستم می نمایند ، سعی می نمایند که پس از اتمام عملیات خود وضعیت هارد دیسک را به حالت اولیه برگردانند . با توجه به این که هر گونه تلاش در جهت بازیافت اطلاعات ممکن است تغییر داده و ساختار اطلاعاتی موجود بر روی یک هارد دیسک را بدنبال داشته باشد ، مهاجمان در ابتدا اقدام به ایجاد نسخه های ثانویه از اطلاعات موجود بر روی یک هارد دیسک نموده و در ادامه عملیات مورد نظر خود را بر روی آنان انجام می دهند ( نسخه های ثانویه در سطح بیت ایجاد می گردد ) . در برخی موارد مهاجمان و افراد غیر مجاز اقدام به نصب Spyware ( برنامه های جاسوسی ) و یا سخت افزار خاصی بر روی سیستم نموده تا به سادگی اقدام به جمع آوری و ارسال اطلاعات به یک آدرس مشخص شده را بنمایند . در اینجا لازم است به نقش خطرناک نرم افزارهای موسوم به لاگرها ( loggers ) نیز اشاره گردد که به صورت سخت افزاری و یا نرم افزاری ارائه می شوند . لاگرها ، قادر به انجام عملیات متفاوت و در ابعاد گسترده ای می باشند . ثبت تمامی اطلاعات تایپ شده توسط صفحه کلید ، مانیتور نمودن صفحه نمایشگر و گرفتن تصاویر لازم از اطلاعات موجود بر روی نمایشگر ،تکثیر پیام های پست الکترونیکی و ذخیره آنان در یک فولدر خاص و یا حتی ارسال آنان به افراد و یا مراکزی خاص بر روی اینترنت بدون آگاهی کاربران ، نمونه هائی از عملکرد مخرب لاگرها می باشد .
نحوه حفاظت و ایمن سازی سیستم
در این رابطه می توان اقدامات زیر را انجام داد :
· حصول اطمینان از خالی بودن فولدر Deleted Items برنامه پست الکترونیکی ، حذف history مرورگر و Cache مربوط به نگهداری موقت فایل های اینترنت و تمامی فایل های temp در زمان Sign on
· حساسیت لازم در خصوص فایل های موجود در فولدر Downloads ، لاگ مربوط به برنامه ها ( نظیر برنامه IM ) ، و history lists برنامه های متفاوت
· پیکربندی سیستم به منظور عدم نگهداری لیستی از اسنادی که اخیرا با آنان کار شده است

· رمزنگاری اسناد و فایل های حاوی اطلاعات حساس
· استفاده از رمزهای عبور مناسب در رابطه با account مربوط به Email و سایر نرم افزارهای حفاظت شده
· خاموش نمودن کامپیوتر به منظور پاک نمودن حافظه اصلی
· حذف فایل های page و یا swap مربوط به حافظه مجازی قبل از خاموش نمودن سیستم ( فایل های فوق پس از راه اندازی مجدد کامپیوتر ایجاد خواهند شد ) .
در صورتی که قصد فروش و یا ارتقای سیستم خود را دارید و نگران اطلاعات موجود بر روی هارد دیسک آن می باشید ، فرمت کردن آن به تنهائی کفایت نخواهد کرد . در چنین مواردی لازم است از یک برنامه overwriting به منظور بازنویسی اطلاعات بر روی دیسک و آنهم چندین مرتبه، استفاده گردد . برنامه های زیر نمونه هائی در این زمینه می باشند .
Cyberscrub
WipeDrie
DataGone