شناسایی مزاحم کامپیوتری
Ircert - اگر کامپیوتر شما به اینترنت وصل است همواره در معرض انواع تهدیدات هستید. به عنوان رایجترین مورد میتوان به امکان آلودگی دستگاه به انواع ویروسها و کرمهایی که از طریق اینترنت توزیع میشوند اشاره نمود. نرمافزارهای جاسوس نمونه دیگری از این دست برنامهها هستند که بر روی دستگاه قرار گرفته، فعالیتهای کاربر و همینطور اطلاعات شخصی مانند گذرواژهها، اطلاعات مربوط به کارتهای اعتباری و ... را ثبت کرده و به منتشرکنندگان خود گزارش میدهند. نفوذ در سیستمهای کاربران و انجام اعمال نامطلوب آنان از جمله موارد دیگری است که کامپیوترهای متصل به اینترنت را تهدید مینماید. نفوذ به روشهای مختلفی انجام میشود و در بسیاری از مواقع کاربر متوجه این مسئله نمیشود. حتی بعضی از نفوذگران ردپای خود را هم پاک میکنند به نحوی که حمله به سیستم قابل آشکارسازی نیست.
با این وجود نفوذ کنندگان به سیستم به صورت معمول ردپاهایی از خود باقی میگذارند. با وجودی که تشخیص بعضی از ردپاها دشوار است ولی با استفاده از گامهایی که در ادامه بیان میشوند میتوان بسیاری از نفوذها را تشخیص داد.
به عنوان اولین گام باید سیستمعامل و نرمافزارهای موجود در محیطی آزمایشی (مشابه شرایط عملیاتی) توصیف[1] شوند. توصیف به این معناست که عملکرد برنامهها در حال اجرا بررسی شده و موارد مختلفی مانند سرعت، زمان پاسخ، نحوه عمل و غیره به صورت دقیق شناسایی شوند. بنابراین باید برنامهها را اجرا نموده و آنها را در شرایطی مشابه حالت عملیاتی قرار داد، سپس رفتار آنها را به دقت بررسی نمود.
در گام بعدی، باید از نرمافزارهای توصیف استفاده نمود. یکی از رایجترین ابزارها برای این کار نرمافزار TripWire محصول tripwiresecurity.com است. این نرمافزار نسخههایی برای سیستمعاملهای مختلف دارد و متن برنامه بعضی نسخههای آن به کاربران عرضه میشود. غیر از این نرمافزار ابزارهای دیگری نیز وجود دارند که همین عملکرد را نشان میدهند. این دسته نرمافزارها در رده ابزارهای تشخیص نفوذ host-based قرار میگیرند. با جستجو بر روی اینترنت میتوان برنامههای دیگری نیز با عملکرد مشابه یافت.
در نهایت باید همه فایلها، دایرکتوریها، تجهیزات و پیکربندی سیستم شناسایی شده و تغییرات آنها در زمان مورد بررسی قرار گیرند. در محیط آزمایشی کنترل شده، شرایط طبیعی شناسایی میشود. به خاطر داشته باشید هرگاه سیستم وارد فاز عملیاتی شود، شرایط طبیعی بهتر شناسایی میشوند، زیرا هرچقدر که سیستمهای تست خوب و قوی طراحی شوند تنها نشان دهنده تخمینی از محیط عملیاتی هستند. باید مجموعه تغییرات جدید را درک کرده و آنها را در توصیف سیستم وارد نمود.
فایلها، دایرکتوریها، تجهیزات و پیکربندی تنها بخشی از توصیف کامل سیستم کامپیوتری هستند. سایر مواردی که باید بررسی شوند به شرح زیر میباشند:
• برنامههای در حال اجرا
منابعی که این برنامهها مورد استفاده قرار میدهند و زمان اجرای آنها. به عنوان مثال اگر برنامه تهیه کننده نسخههای پشتیبان هر روزه در زمان مقرری اجرا میشود، آیا این فعالیت طبیعی قلمداد میشود؟ در مورد برنامه واژهپردازی که مدت زمان زیادی از وقت CPU را اشغال نموده است چطور؟
• ترافیک شبکه
آیا ایجاد ناگهانی تعداد زیادی اتصال HTTP توسط سرور email طبیعی است؟ افزایش ناگهانی بار سرور وب چگونه ارزیابی میشود؟
• کارایی
آیا سرعت وب سرور کاهش یافته است؟ سرور تراکنش، توان مدیریت چه تعداد تراکنش را دارد؟
• سیستم عامل
نفوذگذان در سیستم میتوانند عملکرد سیستم عامل را به گونهای عوض کنند که برنامههای کاربردی بدون اینکه تغییر کنند رفتاری متفاوت نشان دهند. تصور کنید یک فراخوانی سیستم عامل که باید منجر به اجرای یک برنامه شود، برنامه دیگری را اجرا نماید.
متاسفانه ابزارهایی که برای بررسی این پارامترها وجود دارند به اندازه نرمافزارهایی که فایلها، دایرکتوریها، تجهیزات و پیکربندی را بررسی میکنند، رشد نداشتهاند. با این وجود برای مدیریت هوشیارانه سیستمها باید این پارامترها هم به صورت دقیق در توصیف سیستم قید شوند.
تنها در صورت انجام دقیق موارد فوق و نظارت بر تغییر مشخصات سیستم میتوان به امن بودن کامپیوتر خود امیدوار بود.
- ۸۴/۰۲/۱۲