در تپش این هفته، ماجرای فریب و تعرض در پوشش عرفانهای دروغین و رمالی را بررسی کردیم
چرا فایروال ها همیشه کافی نیستند؛
جام جم آنلاین: شبیه مردان گول زن و جیب بر هکرهای بزهکار (AKA Crackers) مردمی با استعدادند.کوین میتنیک (هکر افسانه ای) شاید نمونه ای از این دست افراد باشد
بدین ترتیب روش موسوم به «مهندسی اجتماعی» یکی از خطرناکترین راهها و روشهای نفوذ به شبکه هاست که در محافل رایانه ای از جمله کنفرانس RSA در سان فرانسیسکو بدان پرداخته شد.
http://2004.rsaconference.com
سخنگوی امسال کنفرانس ایرا وینکلر تحلیلگر اسبق در (NSA) و مشاور امنیت سیستم ها در حال حاضر با مثالهای به جای خود این روش را برای حضار شرح داد.
خود وینکلر پیش تر از سوی یک سازمان بزرگ اقتصادی به مدت 4 روز استخدام شد تا مانند هکرها وارد سیستم هایشان شده و راههای نفوذ را پس از کشف خنثی کند.
وی کار خود را با اینترنت و تلفن آغاز کرد و در تماس با کارمندان سعی کرد اطلاعات لازم را بگیرد (روش مهندسی اجتماعی) وی نام و مشخصات کارمندان مرتبط با آی تی سازمان را درآورد و سعی کرد کلمه رمز و پسورد را از لابه لای شماره های آی دی ، نام همسرشان شماره های کارت اعتباری و تلفن در بیاورد.
وینکلر وانمود کرد که از واحد خدمات مسافری سازمان مذکور است و در حال تهیه اطلاعات برای تهیه بلیط مسافری برای کارمندان است.
وی از اتاق گرافیک و اتاق پشت کار خود را بسط داد و اطلاعات جامعی بدست آورد و بعد یکراست راهبر TI سازمان (Administrator) را نشانه رفت.
وی با نوت بوک خود به شبکه بی سیم سازمان بطور مخفی وصل شده و سعی کرد و پسورد Admin را از لابه لای اطلاعات به دست آورده از قبل پیدا کند.
اما وقتی با هیچکدام از این روشها نتوانست به هسته اصلی شبکه نفوذ کند مجبور شد از روش بی شرمانه ای به نام سرقت فیزیکی بهره ببرد.
بله ! به همین سادگی دنبال ابزار مرتبط با این روش (قسمت بی شرمانه روش مهندسی اجتماعی) گشت.
سرقت یک نوار پشتیبان از اطلاعات حساس ، نوت بوک راهبر آی تی سازمان و مقامات ارشد آن سازمان که حدس می زد داخل آنها اطلاعات حساس باشد و یا یک همراه شخصی دیجیتالی (PDA) یا موبایل متعلق به دپارتمان آی تی !.
در این میان فراشان ، آبدارچی ها و نامه بران 3 کیسی بود که به فکر وینکلر خطور کرد که یا از آنها کمک بگیرد و یا خود را در نقش آنها ظاهر ساخته و ابزار مذکور را بدزدد.
البته طبیعت انسانی است که بخواهد به دوست یا همکار خود کمک کند و سرانجام همین کمک هاست که بطور غیرمستقیم در روش مهندسی اجتماعی باعث لو رفتن اطلاعات حساس می شود! و ادامه ماجرایی که وینکلر خود مستقیما درآن نقش داشت را حتما می دانید.
اما از همه این حرفها و تجربه های تلخ که بگذریم باید به 10 نکته ای که بعنوان راه حل مبارزه با روش مهندسی اجتماعی توصیه می شود ، اشاره کرد:
1 - کالر آی دی را حین کار در سازمان خود فعال کنید (Actirate callerID) بعنوان نمونه نام افراد حتی همراهشان بود و قابل مشاهده باشد.
2 - هنگام ست کردن کالر آی دی برای ارتباطات دور طوری آنرا برای دیگران نشان ندهید که جزییات کالر آی دی روی نمایشگرها معلوم شود.
(نه مثل سازمان هایی که وقتی به شما تلفن می زنند شمارهای مخفی سازمان روی گوشی تلفن همراه می افتد).
3 - سیاست کال بک (Call-bcback) را روی سیستم تلفنی و ارتباطاتی سازمان خود پیاده کنید.
وقتی کسی از بیرون اطلاعاتی راجع به سازمانتان می خواهد وی را به تلفن های اصلی حواله ندهید بلکه آنرا به تلفن خانه سوئیچ کنید و از تلفنی که با آن اطلاعات حساس فکس می کنید به وی جواب ندهید و ترجیحا اطلاعاتی ندهید.
4 - نسبت به انعکاس اطلاعات شخصی و نام افراد هنگام ارسال پیام های پستی (نظیر اسم کامل راهبر و اطلاعات راجع به وی) حساسیت نشان دهید.
5 - هرگز فرد ناآشنایی را داخل اتاق حساس سرور یا اتاق کارتهای آی دی راه ندهید و اصولا این گونه اتاقها را امن نگه دارید.
6 - نسبت به افراد خارجی و بیگانه داخل سازمان بلافاصله شک کرده و با گارد ساختمان تماس گرفته و وی را رها نکنید تا از در سازمان بیرون رود یک لحظه غفلت شما می تواند باعث فرار بیگانه شود.
7 - حتما مدیران ارشد آی تی را بشناسید و صدای آنها را از بیگانه و اعضای غیر آی تی تشخیص دهید و اگر کسی زنگ زده و پسوردتان را خواست فورا تلفن را قطع کرده و افراد مرتبط را آگاه سازید.
8 - هرگز پسورد خود را روی یک تکه کاغذ نصب شده جلوی کیبوردتان ننویسید مطمئن باشید که هکر یا کراکری داخل سازمان بوده و می خواهد بطور فیزیکی به اتاق تان بیاید بنابراین اطلاعات حساس را در دسترس اش قرار ندهید.
9 - بصورت دوره ای به موشکافی کامل روی سیستم و سرورهای خود (از طریق استخدام افراد زیرک مثل وینکلر) بپردازید تا ببینید آیا مثلا اطلاعات حساس سازمانتان از فایروال گذشته و یا مثلا موتورهای جستجو آن را کشف کرده اند یا نه؛.
10 - سیستم اخطار امنیتی را در اداره خود توسعه دهید یک آدرس ایمیل مانند: securityalert@yourcompany.com ساخته و افراد مرتبط را فورا از موارد مشکوک مطلع سازید.
ارسال نظرات در انتظار بررسی: ۰ انتشار یافته: ۰
خود وینکلر پیش تر از سوی یک سازمان بزرگ اقتصادی به مدت 4 روز استخدام شد تا مانند هکرها وارد سیستم هایشان شده و راههای نفوذ را پس از کشف خنثی کند.
وی کار خود را با اینترنت و تلفن آغاز کرد و در تماس با کارمندان سعی کرد اطلاعات لازم را بگیرد (روش مهندسی اجتماعی) وی نام و مشخصات کارمندان مرتبط با آی تی سازمان را درآورد و سعی کرد کلمه رمز و پسورد را از لابه لای شماره های آی دی ، نام همسرشان شماره های کارت اعتباری و تلفن در بیاورد.
وینکلر وانمود کرد که از واحد خدمات مسافری سازمان مذکور است و در حال تهیه اطلاعات برای تهیه بلیط مسافری برای کارمندان است.
وی از اتاق گرافیک و اتاق پشت کار خود را بسط داد و اطلاعات جامعی بدست آورد و بعد یکراست راهبر TI سازمان (Administrator) را نشانه رفت.
وی با نوت بوک خود به شبکه بی سیم سازمان بطور مخفی وصل شده و سعی کرد و پسورد Admin را از لابه لای اطلاعات به دست آورده از قبل پیدا کند.
اما وقتی با هیچکدام از این روشها نتوانست به هسته اصلی شبکه نفوذ کند مجبور شد از روش بی شرمانه ای به نام سرقت فیزیکی بهره ببرد.
بله ! به همین سادگی دنبال ابزار مرتبط با این روش (قسمت بی شرمانه روش مهندسی اجتماعی) گشت.
سرقت یک نوار پشتیبان از اطلاعات حساس ، نوت بوک راهبر آی تی سازمان و مقامات ارشد آن سازمان که حدس می زد داخل آنها اطلاعات حساس باشد و یا یک همراه شخصی دیجیتالی (PDA) یا موبایل متعلق به دپارتمان آی تی !.
در این میان فراشان ، آبدارچی ها و نامه بران 3 کیسی بود که به فکر وینکلر خطور کرد که یا از آنها کمک بگیرد و یا خود را در نقش آنها ظاهر ساخته و ابزار مذکور را بدزدد.
البته طبیعت انسانی است که بخواهد به دوست یا همکار خود کمک کند و سرانجام همین کمک هاست که بطور غیرمستقیم در روش مهندسی اجتماعی باعث لو رفتن اطلاعات حساس می شود! و ادامه ماجرایی که وینکلر خود مستقیما درآن نقش داشت را حتما می دانید.
اما از همه این حرفها و تجربه های تلخ که بگذریم باید به 10 نکته ای که بعنوان راه حل مبارزه با روش مهندسی اجتماعی توصیه می شود ، اشاره کرد:
1 - کالر آی دی را حین کار در سازمان خود فعال کنید (Actirate callerID) بعنوان نمونه نام افراد حتی همراهشان بود و قابل مشاهده باشد.
2 - هنگام ست کردن کالر آی دی برای ارتباطات دور طوری آنرا برای دیگران نشان ندهید که جزییات کالر آی دی روی نمایشگرها معلوم شود.
(نه مثل سازمان هایی که وقتی به شما تلفن می زنند شمارهای مخفی سازمان روی گوشی تلفن همراه می افتد).
3 - سیاست کال بک (Call-bcback) را روی سیستم تلفنی و ارتباطاتی سازمان خود پیاده کنید.
وقتی کسی از بیرون اطلاعاتی راجع به سازمانتان می خواهد وی را به تلفن های اصلی حواله ندهید بلکه آنرا به تلفن خانه سوئیچ کنید و از تلفنی که با آن اطلاعات حساس فکس می کنید به وی جواب ندهید و ترجیحا اطلاعاتی ندهید.
4 - نسبت به انعکاس اطلاعات شخصی و نام افراد هنگام ارسال پیام های پستی (نظیر اسم کامل راهبر و اطلاعات راجع به وی) حساسیت نشان دهید.
5 - هرگز فرد ناآشنایی را داخل اتاق حساس سرور یا اتاق کارتهای آی دی راه ندهید و اصولا این گونه اتاقها را امن نگه دارید.
6 - نسبت به افراد خارجی و بیگانه داخل سازمان بلافاصله شک کرده و با گارد ساختمان تماس گرفته و وی را رها نکنید تا از در سازمان بیرون رود یک لحظه غفلت شما می تواند باعث فرار بیگانه شود.
7 - حتما مدیران ارشد آی تی را بشناسید و صدای آنها را از بیگانه و اعضای غیر آی تی تشخیص دهید و اگر کسی زنگ زده و پسوردتان را خواست فورا تلفن را قطع کرده و افراد مرتبط را آگاه سازید.
8 - هرگز پسورد خود را روی یک تکه کاغذ نصب شده جلوی کیبوردتان ننویسید مطمئن باشید که هکر یا کراکری داخل سازمان بوده و می خواهد بطور فیزیکی به اتاق تان بیاید بنابراین اطلاعات حساس را در دسترس اش قرار ندهید.
9 - بصورت دوره ای به موشکافی کامل روی سیستم و سرورهای خود (از طریق استخدام افراد زیرک مثل وینکلر) بپردازید تا ببینید آیا مثلا اطلاعات حساس سازمانتان از فایروال گذشته و یا مثلا موتورهای جستجو آن را کشف کرده اند یا نه؛.
10 - سیستم اخطار امنیتی را در اداره خود توسعه دهید یک آدرس ایمیل مانند: securityalert@yourcompany.com ساخته و افراد مرتبط را فورا از موارد مشکوک مطلع سازید.
تازه ها
گوناگون
پیشنهاد سردبیر
گزارش «جامجم» درباره دستاوردهای زبان فارسی در گفتوگو با برخی از چهرههای ادب معاصر
فارسی، زبان گفتوگوی جهان
معاون وزیر بهداشت:
