گروه آموزشی پژوهشی IT NET

فناوری اطلاعات - آموزش - مقالات - پروژه - دانشگاه - دانشجو - کامپیوتر

گروه آموزشی پژوهشی IT NET

فناوری اطلاعات - آموزش - مقالات - پروژه - دانشگاه - دانشجو - کامپیوتر

آیا رمزهای عبور به تنهائی کافی می باشند؟

آیا رمزهای عبور به تنهائی کافی می باشند ؟

رمزهای عبور، روشی متداول به منظور حفاظت از اطلاعات می باشند ولی استفاده از آنان به تنهائی یک سطح مطلوب امنیتی را ایجاد نخواهد کرد . برای حفاظت بهتر ، بررسی و استفاده از  سایت هائی  که از امکانات اضافه ای برای تشخیص هویت کاربران استفاده می نمایند ، می بایست در دستور کار قرار گیرد .

چرا رمزهای عبور به تنهائی کفایت نمی کنند ؟

رمزهای عبور به عنوان اولین لایه حفاظتی، سودمند بوده  ولی آنان دارای استعداد لازم برای ره گیری توسط مهاجمان می باشند . برای کاهش ضریب موفقیت مهاجمان ، می توان رمزهای عبور را با رعایت موارد زیر تعریف نمود :

           عدم استفاده از رمزهای عبور مبتنی بر اطلاعات شخصی نظیر شماره شناسنامه و ...

           عدم استفاده از رمزهای عبوری که مشابه آنان را می توان در واژه نامه ها یافت .

           استفاده از رمزهای عبوری که با ترکیب اعداد ، حروف ویژه و حروف الفبائی بزرگ و کوچک ایجاد می شوند.

           عدم اشتراک رمز عبور خود با سایر افراد

با رعایت موارد فوق و یا سایر توصیه های موجود در این زمینه ، هیچگونه تضمینی وجود نخواهد داشت که مهاجمان قادر به تشخیص رمزهای عبور نگردند و همواره احتمال لو رفتن رمزهای عبور وجود خواهد داشت . بدیهی است در صورتی که رمز عبور تنها سطح حفاظت از  اطلاعات باشد ، لو رفتن آنان این امکان را در اختیار مهاجمان قرار خواهد داد که بدون هیچگونه مانع دیگر به سادگی به اطلاعات شخصی ، مالی و یا پزشکی شما دستیابی داشته باشند .

ایجاد سطوح امنیتی اضافه

سازمان های متعددی به منظور بررسی و تائید هویت کاربران از روش های مختلفی علاوه بر رمزهای عبور استفاده می نمایند . روش های زیر نمونه هائی متداول در این زمینه می باشد :

         تائید دو فاکتوره : در این روش  از رمز عبور توام با  یک بخش اطلاعات اضافی دیگر استفاده می شود . مهاجمی که برنامه ریزی لازم به منظور تشخیص رمز عبور را انجام می دهد ، بدون آگاهی از بخش دوم اطلاعات ، قادر به انجام هیچگونه عملیاتی نخواهد بود . تئوری این قضیه همانند ضرورت استفاده از دو کلید برای باز نمودن یک جعبه حاوی اشیاء گرانقیمت می باشد .بخش دوم اطلاعات، یک رمز عبور با تاریخ یک بار مصرف است که پس از استفاده از آن فاقد اعتبار قانونی می گردد. در صورتی که یک مهاجم قادر به  ره گیری و تشخیص رمز عبور و بخش دوم اطلاعات مرتبط با آن گردد، وی نمی تواند با استفاده از آنان به اطلاعات دستیابی داشته باشد چراکه ترکیب خاص ایجاد شده، معتبر و قابل استفاده مجدد نخواهد بود .

         گواهینامه های وب شخصی : برخلاف گواهینامه هائی که از آنان به منظور شناسائی وب سایت ها استفاده می شود ، گواهینامه های شخصی وب به منظور شناسائی افراد استفاده می گردد . وب سایتی که از گواهینامه های وب شخصی استفاده می نماید در ارتباط با این گواهینامه ها بوده و فرآیند تائید آن ماحصل عملکرد کلیدهای عمومی و خصوصی خواهد بود . با توجه به این که اطلاعاتی که بر اساس آنان هویت شما شناسائی می گردد در گواهینامه موجود می باشد، به یک رمز عبور اضافه نیاز نخواهد بود . بدیهی است که در چنین مواردی حفاظت از کلید خصوصی می بایست در دستور کار قرار گرفته و از یک رمز عبور در ارتباط با آن استفاده گردد . با لو رفتن کلید خصوصی ، مهاجمان می توانند از آن به منظور رمزگشائی و دستیابی به اطلاعات استفاده نمایند .

گم شدن رمز عبور و یا گواهینامه

در صورتی که رمز عبور خود را فراموش نمائید و یا با فرمت کردن کامپیوتر ، گواهینامه شخصی خود را از دست دهید، تکلیف چیست و چه اقدام و یا اقداماتی را می بایست در این رابطه انجام داد ؟

اکثر سازمان ها دارای رویه هائی خاص به منظور دستیابی شما به اطلاعات می باشند . در صورتی که گواهینامه شخصی خود را از دست داده باشید ، می بایست درخواست خود را برای صدور یک گواهینامه جدید برای سازمان مربوطه ارسال نمائید . در رابطه با رمز عبور ، صرفا" به یک  "یاد انداز " نیاز خواهید داشت . صرفنظر از این که چه اتفاقی افتاده است ، سازمان مربوطه نیازمند روشی به منظور بررسی هویت شما می باشد . بدین منظور اغلب سازمان ها از " سوالات سری " استفاده می نمایند .

زمانی که شما یک account جدید ( نظیر email و ... ) را ایجاد می نمائید ، برخی سازمان ها شما را ملزم به پاسخگوئی به یک سوال خاص می نمایند تا در صورت فراموش کردن رمز عبور با طرح سوال فوق و مقایسه پاسخ شما با آن چیزی که قبلا" پاسخ داده شده است ، امکان شناسائی هویت شما وجود داشته باشد . با این که ایده سوالات سری دارای ارزش و جایگاه مختص به خود است ولی متاسفانه اکثر سوالاتی که در این رابطه مطرح و مبنای تشخیص هویت کاربران قرار خواهد گرفت در ارتباط با اطلاعات شخصی نظیر تاریخ تولد ، نام فیلم مورد علاقه و مواردی از این قبیل است . با توجه به این که امروزه حجم اطلاعات شخصی موجود بر روی اینترنت و سایر منابع اطلاعاتی عمومی بسیار گسترده می باشد ، مهاجمان نیز این شانس را خواهند داشت که پاسخ مرتبط با این نوع سوالات را بدون دردسر پیدا نمایند  .

فراموش نکنید که سوالات سری ، صرفا" یک رمز عبور اضافه می باشند و هیچگونه دلیلی وجود ندارد که  پاسخ  این گونه سوالات،واقعی و درست باشد و دروغ گوئی  بهترین سیاست  در این رابطه می باشد ! پاسخ به این گونه سوالات نیز می بایست با رعایت موارد ایمنی نظیر رمزهای عبور باشد .

با این که  روش های امنیتی اضافه یک سطح حفاظتی بمراتب مطلوبتر از یک رمز عبور به تنهائی را ارائه می نمایند ولی هیچگونه تضمینی وجود نخواهد داشت که آنان بطور کامل موثر واقع شوند .با افزایش سطوح حفاظتی، صرفا" درصد موفقیت مهاجمان کاهش خواهد یافت .

 

علی 5 آذر 1384 ساعت 01:03
2 نظر

هیچ کس....

هیچ کس.... لیاقت اشکهای تو را ندارد.... و کسی که چنین ارزشی دارد.... باعث اشک ریختن تو نمی شود. "گابریل گارسیا مارکز" چه اشتباهی کردم که اسمتو آوردم خوبیش اینه لااقل واست قسم نخوردم راستی چه عالمی بود اگه بدا نبودن جدا می شیم ما از هم، چون خیلی ها حسودن دیشب تا صبح نشستم زیر نگاه مهتاب تو خیلی خوبی اما، فقط تو عالم خواب عکسا و هدیه هاتم، می دم به یه واسطه تا که به خیر و خوشی، تموم شه این رابطه حرفای عاشقونه همش ماله قدیمه مث همون حرفا که ماها بهم زدیمه هر وعده ای که دادی به هرکسی عمل کن غصه هاشو یه جوری، با مهربونی حل کن نذار که عشقت واسش مشکل و دردسر شه نذار که از دست تو، راهی یه سفر شه چه وقتایی تلف شد با تو سر قرارا تکلیفا روشن می شه همیشه تو بهارا گناه تو همین بود نداشتن صداقت اما گناه من بود نکردن خیانت سفیدی نگاهت، نابه شبیه برفه آب می شه زود و فقط به قیمت یه حرفه دیگه خدانگهدار، لحظه های قیمتی منو ببخش عزیزم هرکی داره قسمتی دنیارم اگه بدی دلم ازت صاف نمی شه دلی که بشکنه و کدرشه، شفاف نمی شه نه دیگه، دوست دارم محاله باورم بشه اسم تو دیگه محاله تو دلم جا بشه حیف اون بتی که از تو برای خودم ساخته بودم من مقصر نبودم چون تو رو نشناخته بودم اصل مطلب اینه که برو پی کار خودت دیگه نمی خوامت، لعنت به تو و اون روز تولدت شاید اشتباهه اما عاشقا دروغ می گن آدمای مهربون و باوفا دروغ می گن اونا که می گن که تا همیشه دیوونتن بذا بی پرده بگم که به شما دروغ می گن اونا که می آن به این بهونه ها، که اومدن از توی شهر قشنگ قصه ها، دروغ می گن اونا که فدات بشم تکیه کلامشون شده به تموم آسمونا، به خدا دروغ می گن اونا که با قسم و آیه می خوان بهت بگن تا قیامت نمی شن ازت جدا، دروغ می گن حیف لحظه های خوبی که برای تو گذاشتم حیف غصه ای که خوردم، چون ازت خبر نداشتم حیف اون روزا که کلی ناز چشماتو کشیدم حیف شوقی که تو گفتی داری اما من ندیدم حیف حرفای قشنگی که برای تو نوشتم حیف رویام که واسه تو از قشگیاش گذشتم حیف شبها که نشستم با خیالت زیر مهتاب حیف وقتی که تلف شد واسه دیدن تو، توی خواب حیف با وفایی من، حیف عشق و اعتمادم حیف اون دسته گلی که، توی پاییز به تو دادم حیف فرصتهای نقرم، حیف عمرم و دقیقم حیف هر چی به تو گفتم، راس راسی حیف سلیقم حیف اشکایی که ریختم واسه تو دم سپیده حیف احساس طلاییم، حیف این عشق و عقیده حیف شادیم توی روزی که می گن تولدت بود حیف عاشقیم که گفتی اولش کار خودت بود حیف اون همه قسم ها که به اسم تو نخوردم حیف نازی که کشیدم چون که طاقت نیاوردم حیف اون کسی که دائم عاشقم بود توی رویا حیف که تو از راه رسیدی اونو دادمش به دریا حیف چیزی که ندارم، حیف ذوقی که نکردی حیف گرمای دستم، که سپردمش به سردی حیف قلبم که یه روزی دادمش دستت امانت حیف اعتماد اون روز، حیف واژه خیانت حیف اون شبی که گفتم پیش تو کم ستاره حیف اون حرفا که گفتی، گفتم اشکالی نداره حیف چشمایی که گفتم، به تو با لبای خندون حیف آرزوی دیدار، با تو بودن زیر بارون حیف هر چی که سپردم، حیف هر چی که نبودی حیف تکلیفم، بیاو روشنش کن تو به زودی ما که رفتیم ولی یادت باشه دیوونه بودیم واسه تو یه عمر اسیر، تو کنج این خونه بودیم ما که رفتیم تو بمون با هرکی که دوسش داری با اونی که پنهونی سر روی شونش می ذاری ما که رفتیم ولی این رسم وفاداری نبود قصه چشمای تو واسه ما تکراری نبود ما که رفتیم حالا تو می مونی و عشق جدید می دونم چند روز دیگه می شنوم جدا شدید ما که رفتیم ولی مزد دستای ما این نبود دل ما لایق اینکه بندازیش زمین نبود ما که رفتیم ولیکن قدر تو دونسته بودیم بیشترم خواسته بودیم ولی نتونسته بودیم ما که رفتیم تو برو دل بده دست دیگری به قول حافظ ما هم داریم یه یاره سفری ما که رفتیم تو بشین زیر نگاه عاشقش آرزوم اینه فقط تلف نشه دقایقش ما که رفتیم تو برو دنبال طالع خودت ببینم که سال دیگه، کی میاد تولدت؟ ما که رفتیم تو بمون با اون که از راه اومده اون که با اومدنش خنجر به قلب من زده ما که رفتیم دل ندیم دیگه به عشق کاغذی لااقل می اومدی پیشم، واسه خداحافظی به هیچ کس اعتماد نکن.... می دونی چی می گم؟!.... به هیچ کس.
علی 3 آذر 1384 ساعت 18:37
2 نظر

ظاهر زیبا امنیت در محصول جدید

حتما اگر این روزها پیگیر اخبار IT خارجى بوده‌اید، خبر عرضه چندین نرم‌افزار جدید توسط مایکروسافت را شنیده‌اید که مى‌توان در بین آنها به ویندوز Vista و نرم‌افزار officث12 که مهم‌ترین آنها نیز به شمار مى‌روند، اشاره کرد. مایکروسافت در این نرم‌افزار نیز سعى کرده تا بیش از پیش امکانات در office را گسترده‌تر و ساده‌تر کند. چند روز پیش نیز سایت‌هاى خبرى خارجى مایکروسافت را بزرگ‌ترین عامل پیشرفت کارهاى ادارى در ایالات متحده دانستند.

حال مایکروسافت با عرضه نسخه جدیدى از نرم‌افزارهاى office قصد دارد تا تحول بزرگى در بازار نرم‌افزارهاى ادارى ایجاد کند. طبق گفته مایکروسافت، این شرکت سعى کرده تا بیشترین و پیشرفته‌ترین امکانات را به صورتى کاملا ساده و دوست‌داشتنى در اختیار کاربران قرار دهد. مایکروسافت این اقدام خود را بهترین و بزرگ‌ترین کار خود در این زمینه اعلام کرد، مایکروسافت مدت زیادى بود که امکانات جدید خود را به صورت فایل‌هاى تکمیلى از طریق اینترنت در اختیار کاربران قرار مى‌داد.

مایکروسافت این نرم‌افزارها را که شامل‌ word، power point ، outlook و excel است را در یک بسته نرم‌افزارى به نام office12 عرضه خواهد کرد. این محصول قرار است مدت کوتاهى پس از سال 2006 در دسترس کاربران قرار گیرد.

بیل گیتس، سه‌شنبه در لس‌آنجلس طى یک کنفرانس خبرى در مورد این سرى نرم‌افزار توضیحاتى ارائه کرد. پیش‌بینى مى‌شود

office12 براى مایکروسافت 8 تا 11میلیارد دلار سود مالى در پى داشته باشد. از امکانات جدیدى که به این نرم‌افزار افزوده شده است مى‌توان به امکانات جدید امنیتى آن اشاره کرد.

Office12 وvista  در این میان سوالى براى کاربران ویندوز مطرح مى‌شود که آیا office12 یک تولید اجبارى براى ویستا خواهد بود یا خیر؟ مایکروسافت به این سوال پاسخ مستقیمى نداده اما امکانات این نسخه از office در ویستا بهتر در دسترس کاربران قرار خواهد داشت. در میان این امکانات مى‌توان به نمایش زیباى منوها روى مانیتور اشاره کرد، در vista امکانات ویدئویى و تصویرى بسیار پیشرفته‌اى به کار رفته است که منوهاى office نیز شامل آنها مى‌شود. لازم به ذکر است هنوز هیچ کدام از مقامات مایکروسافت از سخت‌افزارهاى مورد نیاز براى استفاده کامل از این امکانات سخنى نگفته‌اند. در این میان مى‌توان به این سوال که آیا office12 براى vista تولید شده است پاسخ مثبت داد. امکانات office12 فقط در vista مى‌تواند به طور کامل در اختیار کاربر قرار گیرند.

office12 و پاسخ به تمامى سوالات‌ از امکانات دیگر office12 مى‌توان به قابلیت مطرح کردن سوالات شما در اینترنت و جست‌وجو براى پاسخ آن اشاره کرد، البته این امکانات در نسخه‌هاى xp و 2003 از office نیز عرضه شده بود اما این امکانات در office12 با تحولات بسیار زیادى عرضه خواهند شد.

مایکروسافت در حال حاضر در تحلیل‌هاى خود اعلام کرده که با ورود این محصول به بازار یکى از بزرگ‌ترین تحولات نرم‌افزارى ادارى در دنیا اتفاق خواهد افتاد. مایکروسافت همچنین اعلام کرد، این نرم‌افزار در vista و برنامه SQL server نیز امکاناتى را در اختیار کاربران قرار خواهد داد. این شرکت افزود تا سال 2008 نرم‌افزار office جدیدى عرضه نخواهد کرد. در این میان شرکت‌هاى رقیب که بیشتر در زمینه نرم‌افزارهایى با کد باز فعالیت دارند، مانند IBM از عرضه این نرم‌افزار ابراز نگرانى کردند. این شرکت‌ها همچنین عرضه office12را مغایر با اهداف خود مى‌دانند.

office12 همچنین نرم‌افزارهاى تحت شبکه را نیز به دلیل با همخوان بودن با SQL server تهدید مى‌کند. نسخه آزمایشى این نرم‌افزار خوشبختانه هنوز به دست شرکت‌هاى ایرانى نرسیده است در غیر این صورت این نرم‌افزار نیز تعداد فروش بسیارى نسبت به فروش در آمریکا داشت. لازم به ذکر است به دلیل بالا بودن تدابیر امنیتى در این نرم‌افزارها تا سال2006 و عرضه نسخه کامل این نرم‌افزار، در هیچ صورتى اقدام به خریدارى آن از بازار نکنید. این تدابیر امنیتى در صورت نصب غیر مجاز در یک سیستم، آن را کاملا از کار انداخته و براى ادامه کار از کاربر کد امنیتى مایکروسافت را مى‌خواهد که هزینه دریافت این کد حدود 300دلار است. البته ایران به دلیل قرار داشتن در تحریم نرم‌افزارى نمى‌تواند این کارها را در اختیار داشته باشد

 

علی 3 آذر 1384 ساعت 10:14
0 نظر

آیا بیل گیتس راست می گوید؟

بیل گیتس  در مورد یک چیز درست می گوید. دعوت کردن مردم به استفاده از اعتبار سنجی دو فاکتوره در آینده! که ما را به سمت کم کردن مشکلات ناشی از پسوردها می برد که امروزه باعث مشکلات فراوان امنیتی شده است.

گاهی اوقات افراد مرتکب اشتباهاتی می شوند و باید بپذیرند که اشتباهی مرتکب شده اند. یکی از بدترین اشتباهات جالب توجهی که تا به حال شنیده ام مربوط است به «هارتمن اسکیدل»  فیزیکدان و طراح که در نورمبرگ در اواخر قرن 15 میلادی زندگی می کرد.

کارهای مشهور او در سال 1493 منتشر گردید :

Chronicarum Liber  که یکی از آثار مشهور اوست یا Noremberg car که شرح تاریخ و جغرافیای جهان از ابتدا تا روزهای زندگی او بوده است.

Chronicarum Liber یک موفقیت بزرگ بود. نه تنها اولین طرح جامع تولید شده  توسط اولین ماشین چاپ بود بلکه شامل نقشه بسیاری از کشورها و شهرها بود که تا کنون کشیده نشده بود.

او یک مسیحی معتقد زمان خود بود و معتقد بود که تاریخ به 7 دوره تقسیم می شود :

1-آفرینش نوح

2-نوح تا ابراهیم

3-ابراهیم تا داوود

4-داوود تا اسارت بابلی ها

5-اسارت بابلی ها

6-اسارت بابلی ها تا تولد مسیح

7-تولد مسیح تا آخرین روزها

او معتقد بود که در دوره ششم زندگی می کرده یعنی زمانیکه ضد مسیحیت می خواست برای نبرد  نهایی وارد میدان شود. او معتقد بود که «تاریخ» آخرین کلمه در تاریخ جهانی و بشری است. به عنوان یک انسان دارای قدرت درک به هر حال او صفحاتی را در انتهای کتاب شرح وقایع تاریخی خود خالی گذاشت که  اگر چیز جالبی در آخرین روزها جهان اتفاق بیفتد خوانندگان می توانند آنرا در آن صفحات قرار دهند.

در حقیقت چیز مهمی بعد از انتشار شرح وقایع اتفاق افتاد و متاسفانه تعداد صفحاتی که اسکیدل خالی گذاشته بود ، کافی نبود. مدت کوتاهی پس از انتشار اثر اسکیدل، کشف مهم و تاریخی « کلمبوس» ، کاشف قاره امریکا ،  اتفاق افتاد. به نظر من اسکیدل  که در سال 1514 در گذشته است هرگز اشتباهش را نپذیرفته است.

من می خواهم اشتباهی را که کرده ام بپذیرم. من بدین وسیله می پذیرم که بیل گیتس راست می گوید. تنها چند روز قبل رئیس مایکروسافت راجع به پسوردهایی که با آنها  همیشه سر و کار داریم چنین گفته است :

« یکی از مشکل های اساسی سیستمهای تعیین هویت ، ضعف پسوردهاست. متاسفانه به دلیل حیاتی بودن اطلاعاتی که با این سیستمها محافظت می شود ، ما نمی توانیم به پسورد ها تکیه کنیم. حرکت به سوی استفاده از کارتهای هوشمند و بیومتریک در حال تحقق یافتن است. »

اکنون من با نظر گیتس موافق هستم. در حقیقت من خیلی بندرت با نظر او یا مایکروسافت موافقم. اما من ناچارا در مورد جمله بالا با او موافقم. هر کسی که این متن را بخواند می داند که بدلایل زیادی پسوردها مکافاتهای واقعی هستند.

همه ما مجبور هستیم که تعداد زیادی پسورد داشته باشیم مثل سایتهای وب ایمیل ها ، اکانت ها و... 

همه ما سعی می کنیم که همه این پسوردهای مختلف را به خاطر بیاوریم که این کار غیر ممکن است! بنابراین یا باید آنها را کف دستمان بنویسیم یا از یک برنامه نگهداری پسورد استفاده کنید یا اینکه فقط و فقط از یک پسورد استفاده کنیم که در این صورت اگر پسورد کشف شود وضعیت فاجعه باری برایمان پیش می آید.

امروز کاربران سعی می کنند از پسوردهایی استفاده کنند که این پسورد ها 10 سال پیش قابل شکسته شدن بودند یا مرتبا پسورد خود را گم می کنند و مجبور هستند که هر هفته آن را  دوباره  وارد کنند. کاربرانی که مایلند پسورد خود را در ازای یک شکلات افشا کنند که جای خود دارند !!

پسورد ها راه مطمئنی برای شناسایی نیستند. هر کس نام کاربری و پسورد من را داشته باشد می تواند به منابع مختص من دسترسی پیدا کند در حالی که خود من نیست! گذشته از اینها پسورد یک رشته از حروف می باشند ، حال چگونه می توان از این رشته ها پی به هویت واقعی طرف مقابل برد ؟

همچنین داده های موجود در بانک الکترونیکی من نیز توسط همین رشته از کاراکتر ها حفاظت می شود. حال اگر شما بتوانید آنرا بدست بیاورید یا حدس بزنید یا  بدزدید ، دیگر همه چیز برای من تمام است. دیگر این حساب متعلق به شماست یا همینطور صندوق پست الکترونیکی و یا ....

آیا اسم این را می توان حفاظت از اطلاعات گذاشت ؟؟!

راه های بهتری هم وجود دارد .  سیستم های بانکی ATM  واقعا با امنیت هستند چون برای تعیین هویت از دو فاکتور استفاده می کنند : یکی چیزی است که باید داشته باشید (کارت ATM) و دیگری چیزی است که باید بدانید (پسورد) . اگر دیگران هم پسورد شما را بدانند مهم نیست چون برای استفاده از سیستم باید کارت هم موجود باشد که این مانع بزرگی برای سو استفاده گران بشمار می رود.

به جای اینکه از کاربر بخواهیم پسورد خود را حفظ کند با استفاده از یک کارت و یک اثر انگشت هم کار را خیلی راحت می کنیم هم مطمئن می شویم که تعیین هویت درست انجام شده . البته وقتی پای مسائل بیومتریک پیش می آید من نگران می شوم چون خیلی راحت می توان سیستم های بیومتریک را فریب داد. بخصوص زمانی که اکثر سیستمهای مذکور تصویری از اصل شیء را ذخیره نمی کنند و فقط یک هش ریاضی را ذخیره می کنند.

مسئله اصلی که در اینجا ظاهر می شود به وجود آوردن یک استاندارد است. یک طرح جامع  با استفاده از کارتهای هوشمند ، یا کارتهای هوشمند بعلاوه کارت های بیومتریکی زمانی به موفقیت می رسد که مایکروسافت آنرا استاندارد خودش نکند یا آنرا انحصاری نکند و یا به هر شکل دیگری آن را به تملک خود در نیاورد.

اگر ما بخواهیم طرح های بیشتری برای کار داشته باشیم آنگاه این مسئله باید بصورت یک طرح باز (open) باشد و باز بودن آن این امکان را به توسعه دهندگان می دهد تا بدون داشتن ترس از مجوز یا حق امتیاز روی موضوع کار کنند. البته باز من نمی توانم بگویم امیدوارم!!! چون امروز حرص و طمع سایه ای را بر روی وجدان شرکتهای فعال در زمینه IT انداحته است که هیچ چیز قابل پیش بینی نیست. اگر نظر مرا بخواهید من می گویم بزودی بهتر می شود . شما چه می گویید؟ 

 

 

علی 3 آذر 1384 ساعت 02:05
0 نظر

هکرى که مشاور ضدهکرها شد

 بن همرسلى خبرنگار نشریه فوکوس طى مصاحبه اى تلاش کرد تا به اعماق ذهن مشهورترین هکر جهان نفوذ کند. کوین متینیک که متولد آگوست ۱۹۶۳ است از دبیرستان مدنرو کالیفرنیا فارغ التحصیل شده و اولین جرم کامپیوترى خود را در ۲۵ مه ۱۹۸۱ انجام داده است. از اوایل دهه ۱۹۹۰ وى تحت تعقیب FBI قرار داشته و سرانجام در ۱۵ فوریه ۱۹۹۵ به مدت ۵ سال زندانى شده است.

این هکر در طول بازداشت، حق استفاده از تلفن را نداشته زیرا به گفته پلیس او مى تواند از طریق سوت زدن در گوشى تلفن موشک هاى هسته اى را فعال کند. آنچه در زیر مى خوانید متن مصاحبه اى است که در نشریه فوکوس منتشر شده است                                                 

براى مردى که زمانى تحت تعقیب FBI قرار داشته چهره «کوین متینیک» چندان مناسب نیست. داستان هایى که او مى گوید ما را به فکر وا مى دارد. ما همواره در معرض تهدید هکرها قرار داریم و پیامدهاى آن مى تواند فاجعه آمیز باشد. تقریباً این روزها همه به کامپیوتر متکى اند و کامپیوترها بخش وسیعى از زندگى روزمره ما را از امور بانکى گرفته تا فرستادن و دریافت اى میل (پست الکترونیکى) تشکیل مى دهند. نکته قابل توجه آن است که کاربردى ترین بخش ها بیشتر مورد تهدید هکرها قرار دارند. متینیک پنج سال از عمر خود را به دلیل جرایم کامپیوترى در زندان سپرى کرده و اکنون زندگى خود را از راه نویسندگى و مشاوره در این خصوص مى گذراند. عنوان هکر به فردى اطلاق مى شود که از استخراج اطلاعات از سیستم هاى کابل برنامه ریزى لذت ببرد و بتواند توانایى هاى خود را بر ضد کاربران کامپیوتر افزایش دهد. این یک قوه تعقل است که مى تواند در راه خوب یا بد به کار گرفته شود. یکى از جذاب ترین بخش ها براى هکرها از کار انداختن سیستم امنیتى کامپیوتر است.

براى ذهن یک هکر سیستم امنیتى مانند یک پازل است که براى حل آن تلاش مى کند. متینیک مى گوید: «هک کردن یک مهارت است نه یک قالب کلیشه اى و افراد در هر سطحى از زندگى مى توانند این مهارت ها را از کنجکاوى روشنفکرمآبانه مانند آنچه من انجام دادم گرفته تا آنچه سربازان یا تروریست ها انجام مى دهند، بیاموزند.»

متینیک مى گوید کاربران کامپیوترهاى خانگى در معرض حمله قراردارند. ویروس ها، تروجان ها (کسى یا چیزى که مخفیانه و از درون باعث شکست یا نابود مى شود) و phishing پس از توسعه استفاده از ارتباط اینترنتى به سرعت افزایش یافته اند. ویروس ها و تروجان ها _ برنامه هایى که خود را کپى کرده و در تمامى سیستم هاى کامپیوتر و اینترنت پخش مى کنند _ به منظور دسترسى به اطلاعات محرمانه یا سوءاستفاده از دستگاه ها براى تبدیل آنها به «فرستندگان اسپم» نوشته شده اند. Spy ware از طریق درخواست هاى دانلود یا عیوبى (bugs) در اینترنت اکسپلورر خود را در دستگاه شما نصب مى کند و اطلاعات شخصى شما را به نویسنده ویروس ها ارسال مى کند و برخى Spy wareها نیز از طریق ارتباط اینترنتى به دستگاه وارد مى شدند و مى توانند بروازر (Browser) شما را روى صفحات دیگرى تنظیم کنند. علاوه بر این اى میل هایى وجود دارند که به نظر مى رسد از طرف بانک رمز عبورى شما را براى دسترسى به صورتحساب تان درخواست مى کنند و از این طریق به اطلاعات شخصى دسترسى پیدا مى کنند.                         

پس در مقابل تلاش هکرهاى کلاه سیاه براى از کار انداختن سیستم هاى امنیتى شخصى چه باید کرد؟ متینیک مى گوید: من چهار توصیه دارم: اول اینکه از یک firewall شخصى استفاده کنید یک فایر وال شخصى مانند Zone Alarm از ورود برنامه هاى مغرضانه و mal wareهایى که از طریق ارتباط اینترنتى وارد مى شوند جلوگیرى مى کند.                           

دوم اینکه از نرم افزارهاى ضدویروس استفاده شود. برخى ویروس ها از طریق فلاپى دیسک هاى آلوده به کامپیوتر وارد مى شوند. یک کاربر مى تواند دیسکى از دستگاه آلوده به دستگاه دیگر منتقل کند. اما در دنیاى اینترنت اوضاع به گونه دیگرى است. ویروس هاى اى میلى که با باز کردن attachment آلوده وارد کامپیوتر مى شدند از شایع ترین موارد هستند. براى مثال ۵۰ نفر آخر در لیست آدرس هاى فرستنده به این معناست که mal ware مى تواند ظرف یک ساعت سیاره اى را پوشش دهد. نرم افزارهاى ضدویروس از ورود ویروس ها و توسعه آنها جلوگیرى کنند. سوم اینکه از Windows Update استفاده کنید. اغلب مشکلات امنیتى که براى کاربران کامپیوترهاى خانگى پدید مى آید به دلیل سوراخ هایى (راه هاى گریز) است که در تولیدات مایکروسافت وجود دارد. ویروس ها و spy ware از طریق مشکلاتى که در Outlook یا اینترنت اکسپلورر وجود دارند وارد مى شوند. متینیک مى گوید: «من خودم بارها مورد حمله ویروس ها قرار گرفته ام. آنچه اهمیت دارد آن است که کاربران از دانلود تمامى برنامه هاى امنیتى که مایکروسافت تولید مى کند اطمینان حاصل کنند. چهارم اینکه از برنامه اى مانند Pestpatrol استفاده کنید. Spy ware یک مشکل بزرگ براى کاربران ویندوز است زیرا در صورت عدم محافظت حداقل ده برنامه کوچک از ارتباط اینترنتى و برنامه هاى کامپیوترى شما سوءاستفاده مى کنند. بسیارى از کندى هایى که در روند فعالیت کامپیوترهاى قدیمى تر به وجود مى آیند به دلیل وجود Spy wareهاى پاک نشده در کامپیوتر است. استفاده از یک پاک کننده Spy ware مى تواند به ویندوز کامپیوتر شخصى شما حیات تازه اى ببخشد.

اما به نظر شما هکرها چه کسانى هستند؟ متینیک این نکته را خاطرنشان مى سازد که بزرگترین ریسک براى امنیت کامپیوتر برنامه نویسانى نیستند که دوست دارند شرور باشند بلکه برخى از بهترین هکرها هستند که برنامه نویسان خوبى به شمار نمى آیند و به جاى آن به مهارت هاى بشرى مانند مهندسى اجتماعى تکیه دارند و آنها مى توانند با استفاده از این مهارت افراد را مجاب کنند تا اطلاعات یا توانایى هایى را که به آن نیاز دارند در اختیارشان قرار دهند. این روند مى تواند از طریق یک فرد یا یک برنامه انجام شود. هکرها همواره به دنبال نقاط ضعف کامپیوتر هستند و ضعیف ترین سیستم کامپیوتر نیست بلکه کاربر کامپیوتر است. زیرا در نهایت این کاربر است که باید روى برنامه ویروسى یا اى میلى که اطلاعات کارت اعتبارى را درخواست مى کند کلیک کند. این اى میل ها سالانه میلیون ها دلار به کاربران کامپیوتر خسارت وارد مى کنند. اما همان گونه که این تکنیک ها مى توانند توسط جنایتکاران آموخته شوند مى توانند با تغییر شکل آموزش داده شوند. متینیک مى گوید: «بسیارى افراد که جزء هکرهاى کلاه سیاه به شمار مى آمدند اکنون رشد کرده و به هکرهاى اخلاقى تبدیل شده اند.» متینیک اکنون به عنوان مشاور در سازمان هایى که نحوه دفاع از خود در مقابل جرایم کامپیوترى را آموزش مى دهند فعالیت مى کند و در صورتى که افراد به توصیه هاى او عمل کنند مى توانند کامپیوترهاى ایمنى داشته باشند اما برخى اوقات اوضاع به سادگى پیش نمى رود. متینیک مى گوید: «بحث اعتماد مطرح است زیرا هنوز هم بسیارى من را هکرى مى شناسند که به زندان رفته است.»

 

علی 3 آذر 1384 ساعت 02:01
0 نظر