تامین امنیت کامپیوترهای مبتنی بر ویندوز در برابر هک

امنیت مقوله ای است که از دیر باز برای کاربران کامپیوتر از جذابیت خاصی برخوردار بوده وحتی امروزه با فراگیر شدن اینترنت این جذابیت بیشتر هم شده است. کلمه هایی نظیر امنیت سیستم های کامپیوتری ، امنیت ارتباطات و یا امنیت داده ها دارای تعاریف مختلفی بوده و طیف کاربران نیز برداشتهای مختلف و حتی گاه متناقضی از این کلمات دارند. این طیف ، از تعاریف تئوریک در کتابهای دانشگاهی و کاملا آکادمیک شروع شده و به تعاریفی با ته مایه پلیسی و هیجان انگیز در کتابهای با سطح پایین Hacking یا برخی فیلم های سینمایی ختم می شود. به هر حال تعریف کلمه امنیت و کلمات ترکیبی مشتق شده از این واژه هر چه که باشد . واضح است که امنیت سیستم های کامپیوتری به طور عام ، با گسترده شدن شبکه ها و اینترنت به مساله جدی تری تبدیل می شود . همچنین سریعتر شدن سرعت اتصال به اینترنت کامپیوترها را پایین می آورد زیرا قرار دادن اطلاعات جعلی در بین حجم بیشتری از اطلاعات کمتر توجه را جلب کرده و یافتن این مساله نیز سخت تر خواهد بود . در ضمن در صورت متوجه شدن کاربر به این مورد حمله قرار گرفته است. زمان بسیار محدود تری خواهد داشت تا جلوی خروج اطلاعات از کامپیوتر را بگیرد.
کرم ها (Worms). ویروس ها (viruses)، اسب های تروایی (trajans) و سایر انواع برنامه های مخرب که همراه با فایل های برنامه ای نامه های الکترونیکی و ...از روی CD ، دیسک های فلاپی ، ارتباط مستقیم با شبکه های محلی یا اینترنت و....وارد کامپیوتر می شوند ، همه و همه تهدید کننده امنیت کامپیوترتان هستند . بسیاری از این برنامه ها با ایجاد Back Doors عملا اجازه می دهند که Hacker ها و یا افرادی که قصد فضولی و یا سوء استفاده از اطلاعات دیگران را دارند وارد کامپیوتر شما شده و اطلاعات موجود در کامپیوتر شما را به یغما ببرند.برخی دیگر از برنامه ها خود راسا دست به عمل زده و اطلاعات را به مقصد نامعلومی می فرستند. البته کار فرستادن اطلاعات خیلی کند و با آهنگ آهسته ای انجام می شود تا مورد توجه قرار نگیرد . برنامه های مخرب از هر نوع و رده ای که باشند از یک مساله سوء استفاده می کنند و آن وجود نقاط ضعف و bug های امنیتی در سیستم عامل ها و پروتکل ها و یا سرویس های مختلف است. نمونه این ضعف می تواند فرستاده شدن کلمه رمز(password) توسط پروتکل telnet باشد . برنامه طرف سرویس گیرنده (client) که اقدام به telnet می کند اسم رمز را به صورت غیر رمزرا به صورت غیر رمز نگاری شده و یا اصطلاحا plain به سمت سرویس دهنده می فرستد، حال اگر در بین راه یک نفر عمل Sniff را انجام دهد به راحتی می تواند این اسم رمز را به دست آورد.
برخی از کاربران کامپیوتر تصور می کنند که اگر آخرین Patch ها و Update های سیستم عامل و برنامه های کامپیوترشان را تهیه و نصب کنند این مشکل حل خواهد شد ، در صورتی که این عقیده خیلی درست نیست . مثلا اگر این Patch ها یا update ها بعد از آلوده شدن کامپیوتر نصب شوند معمولا فایده نداشته و برنامه های مخرب کماکان کار خود را ادامه خواهد داد. به عنوان مثالی برای این نوع کرم ها می توان به کرم MS Blaster و Update های شماره 824146 شرکت مایکروسافت اشاره کرد که برای رفع ضعف امنیتی سیستم عامل های ویندوز که کرم blaster از آن استفاده می کند ، اشاره کرد . این Update ها فقط وقتی مفید خواهد بود که آن ها را قبل از آلوده شدن سیستم بتوان نصب کرد . برنامه های فوق از آدرس http://support.microsoft.com/?kbid=833330 در سایت مایکروسافت قابل تهیه می باشد . یکی از جالب ترین نکاتی که در ارتباط با این کرم وجود دارد آن است که بسیاری از دیواره های آتشین (fire Walls) اگر به درستی تنظیم شوند می توانند جلوی شیوع این کرم را بگیرند . یکی از نادرترین دیوارهای آتشینی که نمی تواند جلوی این کرم را بگیردعبارتست از ICF (مخففInternet Connention Firewall ) که همان دیواره آتشین موجود در ویندوز Xp است!! البته توجه داشته باشید که دیواره های آتشین اولین خط دفاعی کامپیوتر شما در برابر حملات هستند . دیواره دوم دفاعی نیز برنامه های ویروس یاب نظیر پاندا ، Mcaffee و یا آنتی ویروس نورتون می توانند باشند . . نکته منفی که اینجا بد نیست به آن اشاره کنیم این است که تعداد قابل توجهی از کاربران به این گونه برنامه اعتقاد زیادی نداشته و معمولا آنها را زاید تشخیص داده و نصب نمی کنند.
یکی دیگر از راه حل هایی که بیشتر مورد توجه سرپرستان شبکه (Administrators) است، نصب برنامه های ردیاب (monitoring) روی سرویس دهنده ها و یا حتی کامپیوترهای عادی است . این برنامه ها معمولا فعالیت های شبکه (Network Activities ) ،‍‍ Packet هایی که در شبکه رد و بدل می شوند ، پورت هایی که فعال بوده و اطلاعات ارسال و دریافت می کنند و آدرس های IP و MAC که اطلاعات از یا به آنها فرستاده می شوند را تحت نظارت خود گرفته و گزارش های آماری مفیدی ارائه می کنند.
از روی این گزارش آماری می توان متوجه شد که کدام کامپیوترها آلوده شده ، مورد هدف قرار گرفته یا حتی دست به حمله زده اند. البته ناگفته نماند که بعضی دیگر از کاربران کامپیوتر هم بیش از اندازه نگران هستند . آن ها با وجود اینکه به شبکه های دیگر وصل نیستند ، دو یا سه نوع نرم افزار ویروس یاب ، دیواره آتشین و... را روی کامپیوتر خود نصب کرده و علاوه بر این دائم نگران هک شدن هم هستند. در نظر داشته باشیم که هر برنامه ای که شما روی کامپیوتر خود نصب و اجرا می کنید ، مانند نرم افزارهای ویروس یاب و ویروس کش ، دیواره آتشین و یا نرم افزارهای مانیتورینگ قسمت قابل ملاحظه ای از حافظه ، دیسک وقدرت پردازشی کامپیوتر شما را استفاده کرده و عملا اجرای سایر برنامه های کامپیوتری را تحت تاثیر قرار می دهند.
بنابراین یک حفاظت درست از کامپیوتر در واقع ایجاد تعادلی است بین دو مقوله:
"ریسک هک شدن و از دست دادن اطلاعات "و "پذیرفتن سربارهای (overhead) پردازشی ،حافظه ای، مالی و ...."
سرویس های ویندوز
بسیاری از کاربرانی که هنوز روی کامپیوتر خود دیواره آتشین(fire wall) نصب نکرده اند ، تصور می کنند که با نصب یکی از این نوع نرم افزارها همه مشکلات آنها به طور کلی حل می شود ، در حالی که آن دسته از کاربرانی که این کار را انجام داده اند خیلی موافق این نظریه نیستند . نصب دیواره های آتشین شاید قسمتی از مشکلات را حل کنند ولی حداقل یک مشکل جدید را با خود به همراه دارد و آن تداخلی است که بین کارکرد این نوع نرم افزار ها و سرویس های ویندوز به وجود می آید . بعضی از سرویس های ویندوز مانند SVCHOST گاه و بی گاه و حتی تقریبا مستقل از عملیاتی که کاربر روی کامپیوتر انجام می دهد با شبکه ارتباط برقرار می کنند.
سوالی که اینجا مطرح می شود،این است که آیا نرم افزار دیوار آتشین باید به این گونه ارتباطات مجوز دسترسی به شبکه بدهد یا خیر؟ چه مواقعی باید این مجوز داده شود؟ آیا سرویس های ویندوز همواره مجاز به دسترسی به شبکه هستند ؟ اگر پاسخ شما به این پرسش های مثبت است باید بدانید که برخی از انواع برنامه های اسب تراوایی (trojans) به جای ارتباط مستقیم با شبکه این کار را از طریق سرویس های ویندوز انجام می دهند، بنابراین اگر روزی متوجه شدید که سرویس های ویندوز بیش از حد معمول با شبکه Packet رد و بدل می کنند ممکن است که کامپیوترتان به برنامه های مخربی از گونه اسب های تراوایی آلوده شده باشد.
پیچیده ترین مطلبی که در مورد سرویس های ویندوز وجود دارد آن است که عملکرد آن ها عموما برای کسی به طور دقیق معلوم نبود و قابل پیش بینی نیست. بنابراین نمی توان حدس زد که وقتی که این سرویس ها شروع به ارسال یا دریافت packet از بکه می کنند آیا قسمتی از عملکرد طبیعی خود را دارند انجام می دهند و یا اینکه مورد سوء استفاده نرم افزارهای مخرب قرار گرفته اند. در صورتی که نرم افزار دیواره آتشین خود را به نوعی تنظیم کنید که هیچگاه به این سرویس ها اجازه ارتباط با شبکه را ندهد نیز مشکل حل نخواهد شد، زیرا انجام این کار عملکرد طبیعی ویندوز را به هم ریخته و ممکن است حتی منجر به شروع مجدد (restart) ویندوز شود .بنابراین چه باید کرد؟ سرویس های ویندوز چه مواقعی حق دارند تا با شبکه ارتباط داشته باشند و چه مواقعی باید جلوی آن ها را گرفت؟
به چه چیزی می توان اعتماد کرد؟
چیزی که مشخص است این است که به نسخه های اصلی سرویس های ویندوز مانند Svchost.exe یا Services.exe (منظور نسخه غیر آلوده شده این برنامه هاست) باید اطمینان کرد . چون اگر نخواهیم به این برنامه اعتماد کنیم به چه چیز دیگری می توان اطمینان کرد ؟
سرویس های ویندوز همانطوری که گفته شد، گاه و بی گاه به دلایل مختلف سعی به اتصال به اینترنت و ارسال یا دریافت اطلاعات مختلفی دارند :Update ویندوز چند وقت یکبار سری به سایت مایکروسافت می زند تا اگر نسخه بروزتری از ویندوز را پیدا کرد کاربر را در جریان قرار داده و سپس patch یا Update مربوطه را بارگذاری(download) کند. MSN روی شبکه دنبال دوستان (friends ) on-line می گردد. خود ویندوز در صورت اضافه شدن سخت افزار جدیدی به کامپیوتر برای جستجوی راه انداز(Driver) آن کلی با اینترنت اطلاعات بده و بستان می کند و ....
ولی چیزی که در همه این ارتباطات مشترک است این است که همه آن ها مجاز بوده و هیچ گونه اطلاعات غیر مجاز و یا داده های شخص کاربر را به خارج از کامپیوتر ارسال نمی کنند.
بعضی از این اسب های تروایی با سوء استفاده از این مطلب فایل اجرایی با همین نام (مثلا Svchost.exe یا Service.exe) داخل دایرکتوری ویندوز کپی کرده و از طریق این برنامه سعی در ارتباط با شبکه ایجاد یک backdoor برای مهاجمان خارجی می نمایند. برای مقابله با این گونه برنامه های مخرب ، راحت ترین کار نصب یک دیواره آتشینی است که امضاهای الکترونیکی یا مشخصات برنامه هایی را که می خواهند به شبکه وصل شوند را بررسی و آن ها را در لیست خود ذخیره می کنند. اگر شما این نوع دیواره های آتشین را بلافاصله پس از نصب ویندوز روی کامپیوترتان نصب کنید ، آن ها مشخصات سرویس های نسخه اصلی ویندوز را در لیست خود ذخیره کرده و به آنها اجازه ارتباط با شبکه را خواهند داد. حال اگر یک اسب تروایی با اسم یکی از سرویس های ویندوز بخواهد با شبکه ارتباط بر قرار کند، این دیواره های آتشین با توجه به منطبق نبودن مشخصات و یا امضاهای الکترونیکی این برنامه ها (که در واقع اسب تروایی هستند) با برنامه اصلی که مشخصات آن در لیست دیواره آتشین موجود است اجازه این کار را نداده و جلوی این گونه سوء استفاده ها را خواهند گرفت.
دیواره های آتشین امروزی عموما قابلیت استخراج و ذخیره مشخصات برنامه هایی را که اجازه استفاده از شبکه دارند را داشته و این مشخصات را هنگامی که یک برنامه می خواهد با شبکه ارتباط برقرار کند را ملاک ارزیابی خود قرار می دهند.
همان طور که پیشتر نیز در این مقاله اشاره شد ، دیوارهای آتشین فقط خط اول دفاعی در کامپیوتر شما هستند و اگر برنامه مخربی موفق به عبور از این سد شود به این معنی نخواهد بود که کامپیوتر شما هک شده و این برنامه مخرب به طور کامل موفق شده است زیر خط دوم دفاعی کامپیوتر هنوز باقی مانده است. خط دوم دفاعی کامپیوتر چیزی نیست جز برنامه های ویروس یاب و ویروس کش. رگر شما کامپیوترتان را به یک برنامه ویروس یاب خوب مجهز کرده و هر چند وقت یکبار(مثلا هفته ای یا 10روز یکبار) نیز آن را به روز کنید ، این برنامه ویروس یاب با بانک اطلاعاتی به روز خود و با شناختی که از طرز کار اسب های تروایی ، کرم ها و ویروس های مختلف دارد می تواند این نوع برنامه ها را در کامپیوتر شناسایی کرده و عملکرد آن ها را متوقف نماید . بنابراین پیشنهاد می شود علاوه بر یک دیواره آتشین خوب از یک نرم افزار ویروس یاب / ویروس کش خوب نیز در کامپیوترتان استفاده کنید تا ریسک آلوده شدن کامپیوتر و هک شدن توسط اسب های تراوایی یا از دست دادن داده های شخصی از طریق یک Back door را به حداقل برسانید.