فاز دوم دفاعی SOC – شناخت شناسه های تهدیدات سایبری

/در , , /توسط

شناسه ­های تهدید

 در فاز اول ساختار SOC، سطح اولیه شناخت از حمله‌ها و گام‌های ضروری برای شکستن زنجیره حمله را بررسی کردیم. در این مقاله در مورد فازهای SOC و سطح پیشرفته محافظت از سازمان در برابر شناسه های تهدید مختلف صحبت خواهیم کرد. در گذشته وقتی صحبت از ویروس میشد، منظورمان یک فایل با  ‘exe’ و تعدادی پاپ آپ بود. بسیاری از ویروس های ساخته شده توسط بچه اسکریپتی ها بود و که باعث هیچ ضرری به هیچ کامپیوتری نمی شدند.

اما بدافزار امروزی توسط بچه اسکریپتی ها ساخته نشده، بلکه آنها توسط شرکت هایی برای کسب درآمد توسعه یافته‌اند و پشت هر بد افزار ساخته شده، هدف­ها و انگیزه هایی وجود دارد.

خانواده‌ی بدافزارها در دسته بندی های : ویروس/ Worm/ PUP/ جاسوس افزار/ نرم افزارهای تبلیغاتی/ ویروس چند شکلی/ آنتی ویروس تقلبی/ ویروس محافظ صفحه، وجود دارند. اینها تأثیر زیادی ایجاد نخواهند کرد یا انگیزه‌ی تجاری، پشت‌شان وجود نخواهد داشت.

شناسه‌های تهدید

اما امروزه شناسه‌های تهدید و بد افزارهای مدرن با روش های بی همتای کدگذاری، بسیار گسترده تر هستند، امروزه بدافزارها قابلیتهای درون ساختی مانند دانلود قسمت های اضافی کدهای مخرب، نفوذ به اطلاعات، برقراری ارتباطات خارج از سرورها، پاک کردن اطلاعات، رمز گذاری فایل ها و بسیاری از موارد دیگر را دارند.

بدافزار امروزی با دستور، انگیزه، هدف مالی و… ساخته شده اند.

خانواده نرم‌افزارهای مدرن این موارد است: تروجان‌ها/ روت کیت/ بات/ بات نت/ بدافزار POS/ بدافزار ATM/ باج افزار/ بدافزار رمز گذاری/ ربات جاسوسی/ Wiper/ تروجان CnC/ اکسپلویت کیت/ مرورگر هایجک/ دزد هویت نامه/ RAT/ WMI Backdoors/ Skeleton Key / کی لاگر و…

 

 

شناسه های تهدید،توسط مجرمان سایبری مورد استفاده قرار گرفته اند تا حمله سایبری‌شان را روی سازمان شما اجرا کنند.

 

بنابراین فهم اولیه از تهدیدات مدرن، برای هر گروه SOC ضروری می شود. فهم شناسه‌های تهدید در نظارت SOC خیلی مهم‌تر است.

SOC باید بداند که دارد با چه چیزی معامله می کند، باید عملکرد را بفهمد، باید الگو را متمایز کند، باید انواع انتشارات مختلف توسط جامعه هکر ها را بشناسد و همچنین تیم SOC باید روش‌های مدیریت بدون هیچ گونه اختلال را بداند‌.

شناسه های تهدید، انواع مختلف بدافزار/ اسکریپت‌ها/ برنامه‌های آسیب پذیر که از آنها استفاده مخرب میشود/ ابزارهای ویندوز و شبکه است که توسط مجرمان سایبری مورد استفاده قرار گرفته اند تا حمله سایبری‌شان را روی سازمان شما اجرا کنند.

 

این قابلیت‌ها می توانند به این صورت طبقه بندی شوند:

۱) دسترسی اولیه – حمله کنندگان برای به دست آوردن جایگاه اولیه در یک شبکه سو استفاده می کنند.

۲) اجرا- اجرای کد کنترل شده توسط حمله کننده در یک سیستم محلی یا از راه دور.  این تاکتیک اغلب به همراه دسترسی اولیه به عنوان ابزاری برای اجرای کد، بعد از رسیدن به دسترسی و سپس حرکت فرعی برای توسعه‌ی دسترسی به سیستم های از راه دور  در یک شبکه استفاده می شود.

۳) ماندگاری – ماندگاری عبارت است از هرگونه دسترسی، اقدام یا تغییر پیکربندی در یک سیستم که به دشمن امکان حضور مداوم در آن سیستم را می دهد.

دشمنان اغلب نیاز به دسترسی به سیستم ها از طریق ایجاد وقفه هایی مانند راه اندازی مجدد سیستم ، از دست دادن اعتبارنامه یا سایر خرابی ها دارند که برای راه اندازی مجدد آنها نیاز به یک ابزار دسترسی از راه دور باشد.

۴) افزایش امتیازات – افزایش امتیازات نتیجه اقداماتی است که به یک دشمن اجازه می دهد تا سطح بالاتری از مجوزها را در یک سیستم یا شبکه بدست آورد.  ابزارها یا اقدامات مشخصی برای اجرای عملکردشان، به سطح بالاتری از امتیازات نیازمندند و احتمالاً در بسیاری از نقاط طی عملیات ضروری هستند.

مهاجمان می توانند به سیستمی که فاقد دسترسی و امتیاز ویژه ای است  وارد شوند و از ضعف سیستم برای دستیابی به مدیر محلی یا سیستم بهره ببرند.

راه‌های زیادی وجود دارد که یک مهاجم بتواند هدایت و کنترل را با سطوح متعددی از پنهان بودن ایجاد کند.

۵) دور زدن دفاع- دور زدن دفاع شامل تکنیک هایی است که یک دشمن ممکن است برای فرار شناسایی شدن یا جلوگیری از سایر دفاع ها استفاده کند.  بعضی اوقات این اقدامات شبیه یا متفاوت از تکنیک‌های سایر طبقه‌بندی‌هایی است که مزیت اضافی واژگونی دفاع یا کاهش اثر معین را دارا هستند.

۶) دسترسی هویتی- دسترسی هویتی تکنیک هایی را که منجر به دسترسی یا کنترل هویت نامه سیستم، دامنه یا سرویس که در یک محیط سازمانی استفاده می شود را نشان می­دهد.

مهاجمان احتمالاً قصد خواهند داشت که هویت نامه‌های مجاز کاربران یا حساب‌های مدیر (مدیر سیستم محلی یا کاربران دامنه با دسترسی مدیر)را برای استفاده در شبکه به دست آورند.

۷) کشف- کشف شامل تکنیک هایی است که به مهاجم اجازه می دهد تا اطلاعات سیستم و شبکه داخلی را به دست آورد.

وقتی مهاجمان به یک سیستم جدید دسترسی پیدا می کنند، باید خود را در جهت آن چه که اکنون روی آن کنترل دارند و همینطور سودی که عملکرد آن سیستم به مقصود فعلی یا اهداف کلی آنها در حین نفوذ می‌دهد، قرار دهند.

۸) حرکت جانبی- حرکت جانبی شامل تکنیک هایی است که یک مهاجم را قادر می سازد به سیستم های از راه دور در یک شبکه، دسترسی و کنترل داشته باشد و می تواند شامل اجرای ابزارها در سیستم های از راه دور هم بشود اما نه لزوماً.

تکنیک‌های حرکت جانبی این اجازه را به یک مهاجم می‌دهد که بدون نیاز به ابزارهای اضافی، مانند ابزار دسترسی از راه دور، اطلاعات را از سیستم گردآوری کند.

۹) جمع آوری داده‌ها- جمع آوری داده‌ها شامل تکنیک هایی است که برای تشخیص و جمع آوری اطلاعات، مانند فایل‌های حساس، از یک شبکه هدف، قبل از استخراج استفاده می شود. همچنین مکان‌هایی را در یک سیستم یا شبکه در بر می گیرد که ممکن است مهاجم به دنبال استخراج اطلاعات از آن باشد.

۱۰) سرقت یا دسترسی به اطلاعات کامپیوتری- به تکنیک ها و ویژگی‌هایی گفته می شود که منجر به حذف فایل‌ها یا اطلاعات از یک شبکه هدف، توسط مهاجم می شود یا به این کار کمک می‌کند.

همچنین مکان‌هایی را در یک سیستم یا شبکه در بر می گیرد که ممکن است مهاجم به دنبال استخراج اطلاعات از آن باشد.

 

۱۱) هدایت و کنترل – تاکتیک هدایت و کنترل نشان دهنده این است که چگونه مهاجمان با سیستم های تحت کنترل‌شان در یک شبکه ارتباط برقرار می‌کنند.

 

امروزه شناسه‌های تهدید و بد افزارهای مدرن با روش های بی همتای کدگذاری، عظیم و گسترده تر هستند.

 

راه‌های زیادی وجود دارد که یک مهاجم بتواند هدایت و کنترل را با سطوح متعددی از پنهان بودن، بسته به پیکربندی سیستم و ساختار شبکه، ایجاد کند.

با توجه به سطوح گسترده تنوع که برای مهاجم در سطح شبکه در دسترس است، فقط از رایج‌ترین فاکتورها برای توصیف تفاوت‌ها در هدایت و فرمان استفاده شد‌.

در زیر انواع مختلف خانواده‌ی بدافزار که به عنوان ناقلان حمله باعث نویز بیشتر در شناسه‌های تهدید می شوند را میتوانید مشاهده کنید. این لیست کامل نیست، فقط نمونه ای از انواع مختلف منتشر شده است.

 

نتیجه- شناسه‌های تهدید

چرا باید نگران بدافزارها و عملکردهای آن باشم؟

ما باید نگران باشیم! چون بدافزارهای مدرن روشهایی خاص برای انتشار، با ساختار دستوری پیچیده‌تر دارند که قدرت در اختیار گیری آن‌ها بیشتر است‌.

در مورد هر بدافزاری که با آن روبرو هستید، مسئولیت تیم AV سازمان شما نیست (که با آن مقابله کند)، بلکه مسئولیت اصلی SOC است که عملکرد آن و قابلیت‌های آن‌ها را برای نفوذ در شبکه شما بفهمد.

اکثر آن‌ها تنها نخواهند بود، در بیشتر موارد آنها گروهی کار می کنند تا کارشان را عملی کنند.

در مورد هر بدافزاری که با آن روبرو هستید، مسئولیت اصلی SOC است که عملکرد آن و قابلیت‌های آن‌ها را برای نفوذ در شبکه شما بفهمد.

 

 

اولین فاز دفاعی SOC – درک زنجیره حمله سایبری -رویکرد دفاعی با / بدون SOC

/در , /توسط

این مقاله به شما کمک می کند تا تهدیدات سایبری مدرن و رایج ترین سطوح حمله استفاده شده پشت هر گونه حمله بدافزار/سایبری را بشناسید. در بیشتر مواقع، حملات سایبری در مراحل مختلفی اتفاق می افتد. بنابراین تیم سایبری باید الگوها و زنجیره حمله را بشناسد.

بنابراین شکستن زنجیره حمله و جلوگیری از مجرمان به قصد متوقف کردن هدفشان، تاثیر بد تجاری از بین رفتن اطلاعات را کم میکند. این کار بصورت صد در صدی مراحل دفاعی را برای سازمان شما فراهم نمی کند.

 

این کار اطلاعات مختصری در مورد ناقلان حمله فراهم می‌کند و اینکه هر تیم SOC باید یک مکانیسم دفاعی برای آن بسازد تا مرحله اولیه نظارت امنیتی را داشته باشد. این گام‌ها می‌تواند توسط هر تیم امنیت شبکه یا صنایعی با مقیاس کوچک یا شرکت‌های کوچکتر که نمی‌توانند SOC تهیه کنند، پیروی شود تا به آنها کمک کند که به وسیله آن، دیوار دفاعی بسازند.

در بیشتر مواقع، حملات سایبری در مراحل مختلفی اتفاق می افتد.

 

۳ واقعیت اساسی که باید به ذهن بسپارید:

مجرمان اینترنتی همیشه جلوتر از کنترل های امنیتی برنامه ریزی می کنند.

۱) هر چیزی را به آسانی به حمله کننده ندهید، کار را برای او سخت کنید. ( اقدامات کنترلی در شبکه)

۲) برنامه‌های آسیب پذیر مجاز را در صورت عدم استفاده فعال نکنید، حمله کنندگان همیشه از برنامه های مجاز در شبکه استفاده می کند. ( سو استفاده از  LOLBins)

۳) فکر نکنید که حمله کنندگان، فقط یک بخش از یک کد واحد را ایجاد می کنند، آنها همیشه به مراحل حمله با دستورالعمل ها و قابلیت های گوناگون متکی هستند. (زنجیره کشتار سایبری)

 

بنابراین، مکانیسم دفاعی که می‌سازید، باید بر اساس محیط تان باشد.

) دفاع در برابر ورود بد افزار-( وارد شدن به شبکه سازمان تان)

۲) اگر بد افزار با موفقیت وارد شد، چگونه قرار است از حرکات جانبی و ماندگاری آن دفاع کنید؟-(حرکت به درون شبکه سازمان‌تان)

۳) اگر حمله کننده، همه فعالیت هایش را کامل کند، مرحله نهایی او استخراج داده یا نفوذ خواهد بود. ( ترک از شبکه سازمان‌تان)

نکته کوچک: این زنجیره کشتار سایبری نیست، یک فاز اساسی از حمله است.

بیایید مراحل را تجزیه کنیم و از مکانیسم های دفاعی آن در برابر ناقلین آلودگی رایج مطمئن شویم.

 

مکانیسم دفاعی که می‌سازید، باید بر اساس محیط تان باشد.

 

 

 

 مرحله۱: دریافت بدافزار/ هرزنامه

در هر سازمانی، فایروال/ IPS و  راه های ورودی ایمیل، نقش مهمی برای دفاع در برابر ورود بدافزار به سازمان شما دارند. اما اخیراً این تکنیک ها به آسانی توسط حمله کنندگان سایبری، مغلوب می‌شود. حمله‌های سایبری امروزی شامل یک مرحله نیستند آنها بد افزار را در هر سازمانی، در مراحل مختلف آلودگی ، پخش می کنند. در ابتدا حمله کنندگان قربانی را فریب می‌دهند تا روی هر گونه آدرس اینترنتی غیرمخرب کلیک کند و آن را به یک CnC منتقل می کند و پی لود مخرب خود را آزاد میکند. این مراحل نمی‌توانند توسط سیستم‌های دفاعی سنتی مسدود شوند.

دو راه اساسی: ۱) پخش ایمیل- هرزنامه، فیشینگ هدفدار، کمپین‌های ایمیل. ۲)نقاط ورودی RDP

الف) پیوست های ایمیل رایج مورد استفاده در بیشتر کمپین های ایمیل

  1. vbs (VBS فایل اسکریپت)

2 .js (فایل جاوا اسکریپت)

3 .exe (اجرا شدنی)

4 .jar (فایل آرشیو جاوا)

5 .docx ، .doc ، .dot (اسناد آفیس)

6 .html ، .htm (فایل‌های صفحه وب)

7 .wsf (فایل اسکریپت ویندوز)

8 .pdf

9 .xml (فایل اکسل)

 

10.rtf (فایل با فرمت متن غنی، استفاده شده توسط آفیس)

پیوست ایمیل که ناخواسته و غیر مجاز هستند را بلاک کنید. جیمیل این افزونه ها را بلاک کرد و می‌تواند در سازمان شما هم بلاک شود.

ade, .adp, .bat, .chm, .cmd, .com, .cpl, .dll, .dmg, .exe, .hta, .ins, .isp, .jar, .js,.jse, .lib, .lnk,.mde, .msc, .msi, .msp, .mst, .nsh .pif, .scr, .sct,.shb, .sys, .vb, .vbe, .vbs, .vxd, .wsc, .wsf, .wsh

ب) کارکنان را برای اجرای اسکریپت ها در نقطه پایانی مرحله محدود کنید.

ج) آگاهی کاربر از ایمیل های هرزنامه و آموزش های مناسب به کاربران

در هر سازمانی، فایروال/ IPS و  راه های ورودی ایمیل، نقش مهمی برای دفاع در برابر ورود بدافزار به سازمان شما دارند.

RDP – پروتکل دسکتاپ از راه دور (پورت ۳۳۸۹) که سرورهای اتصالات RDP آسیب پذیر را شناسایی می‌کند، به لطف ابزارهای اسکن مانند شودان (Shodan)  و مس اسکن (masscan) به طرز شگفت آوری آسان شده است.

به همین دلیل به سادگی، مسئله فقط استفاده از ابزارهای جستجوی فراگیر(بروت فورس) مانند NLBrute برای شکستن هویت نامه‌های RDP و حمله‌کنندگانی که در آن هستند، می‌باشد. از طرف دیگر حمله کنندگان  می‌توانند به راحتی به DarkMarket xDedic زیر زمینی بروند، جایی که دسترسی به سرور های آلوده می تواند فقط ۶ دلار هزینه داشته باشد.

RDP تبدیل به یک ناقل آلودگی مورد علاقه، برای مجرمان باج افزار شده است، به خصوص با باج افزارهایی نظیر سم سم، کرایسیس، لاک کریپت، شِید، آپوکالیپس و انواع مختلف دیگر که همه وارد عمل می‌شوند.

. مکانیسم دفاعی سوء استفاده از RDP:

. دسترسی با فایروال ها را محدود کنید.

. از پسورد (رمز عبور)های قوی و 2FA/MFA استفاده کنید.

. کاربرانی که می توانند با استفاده از RDP وارد سیستم شوند را محدود سازید.

. برای مقابله با حملات جستجوی فراگیر، سیاست قفل حساب را تنظیم کنید.

 

مرحله۱-الف: ‏بازیابی پی لودها از سرورهای کنترل و فرمان

در نسخه های اخیر، ایمیل ها گزینه های مناسبی برای حمله کنندگان سایبری هستند که قربانی را فریب دهند تا روی هر لینک مخربی با تصاویر یا کلمات جذاب کلیک کند. در برخی موارد، ایمیل اولین طعمه برای فریب قربانی است تا همه‌ی اسکریپت ها را از طریق ایمیل اجرا کند که خود باعث سوء استفاده از برنامه های کاربر و دانلود هر گونه پی لود در مرحله دوم آلودگی می‌شود. غیرفعال کردن یا محدود کردن آن منابع مجاز در دانلود فایل‌ها از اینترنت می تواند به جلوگیری از دریافت پی لودها کمک کند.

حمله کنندگان سایبری همیشه دوست دارند از برنامه های مجاز مایکروسافت آفیس برای دستیابی به اهدافشان سوء استفاده کنند. زیرا:

۱) برنامه های آفیس در سطح جهانی پذیرفته شده‌اند. بیشترین نام های مورد استفاده توسط حمله کنندگان در پیوست یک ایمیل (فاکتور، گزارش ها، ترازنامه، اسناد و مناقصه ها) است.

۲) برنامه های آفیس براحتی مسلح می شوند. قابلیت‌های درون ساختی مایکروسافت توسط حمله شوندگان جذب می‌شود و از آن‌ها به روش های متعددی استفاده میکنند.

 

 

چگونه حمله کنندگان برای انتقال پی لودها از برنامه‌های مایکروسافت سوء استفاده می‌کنند؟

الف) ماکروها – غیرفعال یا محدود کردن

ب) پیوند دادن و جایگذاری (OLE)-محدود یا غیرفعال کردن

ج) تبادل پویای داده (DDE)- این عملکرد از word برداشته شود ، هنوز نیاز است که در Excel و Outlook هم غیر فعال شود.

د) بهره برداری از ویرایشگر معادله– CVE-2017-11882 – این عملکرد، در به روز رسانی امنیتی ویندوز در ژانویه ۲۰۱۸ برداشته شد.

نه فقط برنامه های مایکروسافت آفیس، حمله کنندگان همچنین از برنامه های مجاز و ابزارهای درون ساختی ویندوز، برای انتقال پی لود ها استفاده می کنند.

الف) VBS اسکریپت و جاوا اسکریپت- اگر احتیاج ندارید غیرفعال کنید.

ب) پاورشل-غیرفعال کردن یا کاهش قابلیت ها با استفاده از قفل برنامه یا سیاست محدودیت نرم افزاری ویندوز  (SRP)

ج) سو استفاده از certutil.exe, mshta.exe, regsvr32.exe, bitsadmin.exe and curl.exe- بلاک کردن برنامه ها و بلاک کردن ایجاد درخواست های خارجی

در میان برنامه های مجاز، این موارد می‌تواند برای ایجاد لیست سفید برنامه استفاده شود: هم بلاک کردن و هم تحت کنترل گرفتن توصیه می شود.

 

   ایمیل ها گزینه های مناسبی برای حمله کنندگان سایبری هستند که قربانی را فریب دهند تا روی هر لینک مخربی با تصاویر یا کلمات جذاب کلیک کند.

 

مرحله۲: مطمئن شوید که بد افزار در سازمان اجرا یا پخش نمیشود.

 

به طور معمول سازمان ها به آنتی ویروس (AV)  برای جلوگیری از اجرای بد افزار تکیه می‌کنند.

حمله ها برای نادیده گرفتن/ دور زدن AV توسعه یافته اند. برای اثرگذار بودن، نرم‌افزار محافظت نقطه پایانی، باید از یادگیری ماشینی برای تجزیه و تحلیل هوشمندتر فایل و از تجزیه و تحلیل فعالیت سیستم در زمان واقعی برای تشخیص و بلاک رفتارهای مخرب استفاده کند.

 

لیست سفید برنامه لایه دفاعی خوب دیگری است که نگهداری آن می­تواند مشکل باشد. حمله کنندگان همچنین می توانند با تزریق کد مخرب به فرایندهای تایید شده، لیست سفید و AV را دور بزنند.

حمله کنندگان همچنین می توانند بسیاری از روش‌های AV/NGAV را با تزریق کد مخرب به فضای حافظه‌ی یک فرایند مجاز، دور بزنند، بنابراین امتیازات آن را می‌ربایند و تحت قالب آن عمل می‌کنند.

 

انواع مختلفی از تکنیک‌های تزریق مخرب وجود دارد که حمله‌کنندگان می‌توانند به کار ببرند؛ تزریق DLL، تزریق DLL انعکاسی، فرایند تو خالی، فرآیند دوپلگنگینگ، بمب گذاری اتم و…

دفاع در برابر اجرای بد افزار در محیط شما شامل این موارد است:

۱) محافظت نقطه پایانی

۲)لیست سفید برنامه

۳) اگر ممکن است استفاده کاربران از اسکریپت‌ها را محدود یا قطع کنید.

۴) کنترل ویندوز به وسیله فولدرها

۵) برای جلوگیری از تکنیک های تزریق، فرآیندهای نظارت و تماس های API را به کار بگیرید.

حمله ها برای نادیده گرفتن/ دور زدن AV (آنتی ویروس) توسعه یافته اند.

 

مرحله۳: مطمئن شوید در/ بعد از مرحله آخر از زنجیره حمله، به اطلاعاتتان نفوذ یا استخراج نشده باشد.

وقتی حمله کنندگان اولین دسترسی را پیدا کردند، توجه‌شان به فعالیت‌های بعد از بهره ‌برداری جلب می‌شود. برای ادامه عملکرد توسط ردیاب، حمله کنندگان ترجیح می‌دهند که قانع باشند و از ابزارهای مجاز و فرآیندهایی که قبلاً در سیستم وجود داشت استفاده کنند.

حمله کنندگان می توانند از عملکردها و ابزارهای سیستم سوء استفاده کنند و نقاط بارگذاری متعددی ایجاد کنند، از جمله ذخیره کردن اسکریپت ها در رجیستری.

تعداد زیادی از انواع مختلف بد افزارها طراحی شده‌اند که برای تکثیر خودکار، اغلب از ابزارهای اجرایی از راه دور سوء استفاده کرده­اند.

استراتژی سوء استفاده از برنامه های مجاز و عملکردهای درون‌ ساختی، به منظور عملی کردن فعالیتهای مخرب بدون اعلام جنگ است. بعضی از ابزارهای بسیار رایجی که مورد سوء استفاده قرار گرفته‌اند، این موارد است: پاورشل، ابزارهای مدیریتی ویندوز (WMI) و ابزارهای مدیریتی از راه دور مانند PsExec.

تکنیکهای حمله کنندگان و مکانیسم های دفاعی:

۱) سوء استفاده از برنامه هایی که برای ارتقای خودکار طراحی شده است.

الف) هر موقع که ممکن است، از بالاترین سطح اجرایی UAC استفاده کنید.

ب) حالت تایید ادمین را فعال کنید.

ج) کاربران را از گروه ادمین محلی بردارید.

۲) سرقت DLL

الف) نرم افزار محافظت نقطه پایانی

ب)به DLL‌های از راه دور، اجازه بارگذاری ندهید.

ج) حالت جستجوی DLL ایمن را فعال کنید.

۳) بهره‌برداری‌های افزایش امتیاز (دزدی رمز، افزایش آسیب پذیری آدرس دهی عنصر اطلاعاتی NULL، تنظیم توصیف‌گر امنیتی بر روی NULL و…)

الف) نرم افزار محافظت نقطه پایانی با فضای کاربر، فضای هسته اصلی و سطح دید CPU

۴) استخراج اعتبار

الف) فعال کردن حافظه پنهان

ب) با استفاده از قفل برنامه، پاورشل را محدود یا غیرفعال کنید.

ج) حداقل ایمنی را ایجاد کنید، از اشتراک هویت‌نامه خودداری کنید.

د) محافظت نقطه پایانی که از LSASS و سایر ذخیره‌‌های هویتی محافظت می کند.

۵) تکنیک حرکت فرعی ( سو استفاده از ابزارهای مدیریتی از راه دور و…)

الف) پیشنهادات تنظیمات UAC

ب) بهترین روش های تقسیم شبکه (منبع: SANS)

ج) احراز هویت دو عاملی

۶) پنهان کردن اسکریپت‌های مخرب در رجیستری

الف) با اجرای خودکار نظارت کنید.

۷) ایجاد تسک‌های برنامه ریزی شده مخرب

الف) بر رویداد ID 4698 ارتباط امنیتی ویندوز نظارت کنید.

۸) سوء استفاده از WMI برای ترغیب اجرای اسکریپت ها بر اساس رویدادها (در راه اندازی و…)

الف) سابسکرایبشن‌های رویداد WMI دفاعی بسازید.

ب) اگر ممکن است یک پورت ثابت برای WMI از راه دور تنظیم کرده و آن را مسدود کنید.

استراتژی سوء استفاده از برنامه های مجاز و عملکردهای درون‌ ساختی، به منظور عملی کردن فعالیتهای مخرب بدون اعلام جنگ است.

نتیجه

همه این متن در مورد فهم اولیه در مورد این موضوع است که با چه نوع رفتاری از ناقلان و سطوح حمله ممکن است در سازمان مواجه شویم و در مرحله اول یک دیوار دفاعی بسازیم.

این کار برای شما ایمنی صد درصدی در مقابل همه رفتار ها ایجاد نمی‌کند، روش های نوظهور و تک و ارتباط بیشتری در الگوهای بد افزار در حال پدیدار شدن است. بنابراین باید مطمئن شویم که در مقابل حملات سایبری الگوهای شناخته شده، بر اساس توصیه های آمده شده در بالا، از قبل ایمن شده‌ایم.

به یاد داشته باشید؛ “وقتی مدافعان یاد میگیرند، مجرمان رشد میکنند.”

شما می توانید برای به روز رسانی های روزانه سایبری، ما را در لینکدین، توئیتر و فیسبوک دنبال کنید.

به یاد داشته باشید؛ “وقتی مدافعان یاد میگیرند، مجرمان رشد میکنند.”

منبع

تشخیص و پاسخ گسترده چیست و چه مزایایی دارد؟آیا می‌خواهید با XDR شروع کنید؟

/در , , , /توسط

هر سه تا پنج سال یک‌بار، یک اصطلاح جدید فناوری امنیت سایبری به ‌شدت مورد استقبال قرار می‌گیرد. در سال 2021 نوبت به فناوری تشخیص و پاسخ گسترده (XDR) رسیده است. سال 2017، زمانی که فناوری تشخیص و پاسخ به نقطه پایانی (EDR) به‌عنوان «جام مقدس» در دفاع سایبری معرفی شد را به یاد می­آوریم.

فن آوری EDR در نسخه بیت دیفندر  الترا استفاده شده است.

قرار بر این بود EDR به حل همه چالش‌های امنیت سایبری ما بپردازد. پذیرندگان اولیه می‌توانستند این پتانسیل را ببینند، اما کاستی‌های متداولی را نیز تجربه کردند. EDR به‌ویژه از دقت پایین و سایر مشکلات عملکردی رنج می‌برد که در بسیاری از موارد منجر به هشدارهای حادثه غیر واقعی برای تیم‌های آماده‌سازی و در نتیجه کمبود نیروهای امنیتی برای مقابله با آن‌ها می‌شد.

با گذشت زمان EDR رشد پیدا کرده و در حال حاضر ارزش خود را ثابت کرده است. امروزه EDR یکی از مؤلفه‌های اصلی یک ساختار امنیتی جامع است و به‌ویژه هنگام مبارزه با حملات هدفمند و پیچیده از اهمیت ویژه‌ای برخوردار میشود. اگرچه تجربه EDR نشان داده است ،تلاش‌های پیشگیرانه را همان‌طور که در ابتدا نیز بیان شده بود منسوخ نکرده است. درواقع، این امر نیاز به تمرکز بیشتر بر پیشگیری، برای کاهش تعداد حوادث امنیتی شناسایی‌شده توسط EDR را برجسته کرده است. نسل اول راه‌حل‌های EDR در اعمال همبستگی رویدادهای امنیتی، فراتر از یک نقطه پایانی (endpoints) دارای محدودیت بود. این محدودیت بار تشخیص حملات پیچیده را بر عهده تیم‌های فناوری اطلاعات و عملیات امنیت می‌گذاشت.

تشخیص و پاسخ گسترده

تشخیص و واکنش گسترده (xEDR) دو مورد اصلی را علاوه بر آنچه در حال حاضر با EDR داریم، بهبود می‌بخشد:

  • همبستگی رویداد در سطح سازمانی برای کاهش دیدگاه پراکنده از حوادث پیچیده امنیتی
  • افزودن منابع بیشتر علاوه بر نقاط پایانی، مانند منابع شبکه برای ایجاد تصویری بزرگ‌تر از حملات

درحالی‌که این فناوری ازلحاظ تئوری، ساده و عالی به نظر می‌رسد اما در عمل انجام این پیشرفت‌ها به‌خصوص در یک زمان، ساده نیست. پذیرندگان اولیه XDR و تحلیل گران صنعت به‌طور یکسان، توانایی xEDR را در تشخیص و پاسخ -تأیید می‌کنند اما در مورد آن هشدارهایی نیز ارائه می‌دهند. اغلب نگرانی‌ها مربوط به عدم بلوغ راه‌حل، عدم وجود استانداردهای صنعت ازنظر ویژگی‌های الزامی و ترس از گیر افتادن با یک فروشنده امنیتی برای مدت طولانی استاست. البته همه این موارد خطراتی است که برای دسته‌ای از راه‌حل‌ها که هنوز در حال رشد و ظهور هستند، انتظار می‌رود.

همچنین، آنچه تاکنون واقعاً بخشی از بحث نبوده است، میزان استفاده مؤثر از راه‌حل‌های XDR توسط سازمان‌هایی است که تیم‌های عملیاتی امنیتی قابل‌توجهی ندارند (این موضوع به‌ویژه در مورد مشاغل متوسط ​​و کوچک صادق است).

با توجه به اینکه -فروشندگان xEDR، با قابلیت‌های اصلی مختلف (امنیت شبکه، امنیت نقطه پایانی، SIEM) در حال  ارائه خدمات به سازمان‌هایی با اندازه‌های مختلف هستند، هنوز مشخص نیست که چه تعداد و چه نوع کارمندی برای اجرای مؤثر راه‌حل‌های جدید موردنیاز است.

بنابراین، یک سؤال واقع‌گرایانه وجود دارد که ارزش پرسیدن دارد: آیا راهی وجود دارد که از مفاهیم XDR به روش قابل‌هضم‌تری استفاده کرد؟ چگونه می‌توان از EDR به XDR رشد کرد درحالی‌که کارمندان امنیتی اختصاصی بیشتری اضافه نکرد یا بر کارکنان موجود فشار وارد نکرد؟ XEDR یک گزینه عالی برای شروع است.

XEDR (تشخیص و پاسخ نقطه پایانی گسترده) چیست؟

XEDR (تشخیص و پاسخ نقطه پایانی گسترده) قابلیت‌های EDR، مانند تجزیه‌ و تحلیل امنیت و همبستگی رویدادهای امنیتی در سطح سازمانی، که به‌طور طبیعی در EDR به کار میرود، را دارد. XEDR مرزهای تجزیه‌وتحلیل امنیتی را فراتر از نقطه پایانی خود گسترش می‌دهد و رویدادها را از تمام نقاط پایانی در زیرساخت‌های سازمان به هم پیوند می‌دهد. این موضوع به زیرساخت‌های سازمانی به‌عنوان مجموع نقاط پایانی، همان‌طور که EDR انجام می‌دهد نگاه نمی‌کند، در عوض، یک دیدگاه کلی‌نگر را در نظر می‌گیرد و زیرساخت‌ها را به‌عنوان یک موجود واحد در نظر می‌گیرد که توسط چندین عنصر تشکیل‌ شده است (نقاط نهایی).

xEDR دارای سه مزیت مهم است:

  • مزایای XDR را درجایی که بیشترین اهمیت را دارند متمرکز می‌کند: در نقاط پایانی. چرا نقاط پایانی بیشترین اهمیت را دارند؟ زیرا اینجا مکانی است که داده‌ها در آن قرار می‌گیرند (سرورها / کانتینرها) و اینجا مکانی است که تعامل کاربر (ایستگاه‌های کاری) انجام می‌شود. نقاط پایانی در مقایسه با سایر عناصر زیرساخت در معرض خطر بسیار بالاتری قرار دارند.
  • امکان ادغام گام‌به‌گام سایر منابع در شبکه (غیر از نقاط پایانی) را در طول زمان فراهم می‌کند تا قابلیت تشخیص و مشاهده را افزایش دهد. این ریسک فناوری رایج در راه‌حل جدید را کاهش می‌دهد و از ادغام منابع جدید (چشم‌انداز وسیع‌تر) بدون از دست دادن داده ها پشتیبانی میکند. آنچه EDR بسیار خوب انجام می‌دهد: عمق چشم‌انداز.
  • نیازها را از نظر مهارت و تعداد کارکنان حفظ می‌کند (و حتی ممکن است کاهش دهد) و به بیشتر سازمان‌ها اجازه می‌دهد تاب‌آوری سایبری خود را بدون هیچ‌گونه هزینه عملیاتی اضافی افزایش دهند.

با نگاهی به تجربه گذشته EDR در می یابیم، XDR نیز با گذشت  زمان رشد کرده و و رویکرد  xEDR  می‌تواند مشکل شناسایی و مدیریت حوادث پیچیده سایبری را بهتر و سریع‌تر حل نماید.

نصب و فعالسازی آنتی ویروس بیت دیفندر

/در /توسط

آنتی ویروس بیت دیفندر را می‌توان بر روی ویندوز، مک (نسخه مک)، اندروید و iOS نصب کرد. با توجه به اینکه این محصول میتواند یک، سه، پنج و ده کاربره باشد، برای فعالسازی آن بر روی اولین دستگاه باید کد لایسنس خود را وارد نمایید و سپس برای نصب آن روی سایر دستگاه‌ها کافی است که پس از پایان نصب با اطلاعات اکانت بیت دیفندر خود وارد سنترال شوید تا بیت دیفندر به‌صورت خودکار بر روی دستگاه‌های جدید نیز فعال شود. در ادامه روش نصب آنتی ویروس بیت دیفندر روی سیستم‌ عامل‌ها ویمدوز آمده است.

نصب و فعالسازی آنتی ویروس بیت دیفندر روی ویندوز

آنتی ویروس بیت دیفندر، راهکار امنیتی ویژه است که قابلیت نصب روی ویندوز را به صورت آنلاین را داراست.

دانلود آنلاین

1. روی گزینه دانلود ذیل محصول بیت دیفندر مورد نظر کلیک کنید و در پنجره باز شده، ویندوز- دانلود آنلاین را انتخاب کنید.

2. فایل دانلود شده Bitdefender_TS.exe را باز کنید و بر روی Run کلیک کنید.

3. با اجرا شدن فایل مذکور، بصورت خودکار توتال سکیوریتی بیت دیفندر روی سیستم ویندوز شما دانلود خواهد شد.

4. پس از اتمام دانلود، با کلیک کردن بر روی INSTALL فرآیند نصب آغاز خواهد شد. توجه داشته باشید که زبان توتال سکیوریتی حتما انگلیسی باشد و در غیر این صورت آن را تغییر دهید. (این محصول فاقد زبان فارسی است).

چگونه آنتی ویروس بیت دیفندر را حذف کنیم؟

/در /توسط

رای حذف بیت دیفندر با توجه به نوع ویندوزتان به ترتیب ذیل عمل کنید:

ویندوز 7، 8 و 8.1

  1. از منوی  استارت وارد کنترل پنل شوید. ( در ویندوز 8 و 8.1 در قسمت منو می‌توانید عبارتControl Panel را تایپ نمایید)
  2. بر روی گزینه Uninstall a program یا Programs and Features. کلیک نمایید.
  3. Bitdefender را پیدا کرده و گزینه Uninstall را انتخاب نمایید.
  4. در پنجره باز شده روی Remove کلیک کرده و با توجه به اینکه می‌خواهید بیت دیفندر را مجددا نصب و یا بطور کامل حذف کنید، از بین دو گزینه I want to reinstall it و I want to permanently remove it یکی را انتخاب نمایید.
  5. سپس برای ادامه بر روی Next کلیک نمایید.
  6. صبر کنید تا فرآیند حذف تکمیل شود و سپس سیستم خود را  مجددا راه اندازی نمایید.

ویندوز 10

  1. از منوی شروع وارد تنظیمات )setting) شوید.
  2. در قسمت Setting بر روی گزینه Apps کلیک نمایید.
  3. Bitdefender را پیدا کرده و گزینه Uninstall را انتخاب نمایید.
  4. دوباره بر روی Uninstall کلیک کنید تا انتخاب خود را تایید نمایید.
  5. در پنجره باز شده روی Remove کلیک کرده و با توجه به اینکه می‌خواهید بیت دیفندر را مجددا نصب و یا بطور کامل حذف کنید، از بین دو گزینه I want to reinstall it و I want to permanently remove it یکی را انتخاب نمایید.
  6. سپس برای ادامه بر روی Next کلیک نمایید.
  7. صبر کنید تا فرآیند حذف تکمیل شود و سپس سیستم خود را مجددا راه اندازی نمایید.
آنتی ویروس بیت دیفندر سازمانی

بیت دیفندر سنترال چیست و چگونه باید از آن استفاده کرد؟

/در /توسط

بیت دیفندر سنترال چیست و چگونه باید از آن استفاده کرد؟

Bitdefender Central چیست و چگونه باید از آن استفاده کرد؟

 

بیت دیفندر علاوه بر ارائه بهترین حفاظت برای سیستم‌های شما، تجربه خوشایندی از مدیریت و استفاده از محصولاتش بر روی همه سیستم‌ها (ویندوز، Mac و اندروید) را در اختیارتان می‌گذارد و این در واقع دلیل ایجاد بیت دیفندر سنترال است.

Bitdefender Central یک پلتفرم مبتنی بر وب است که در آن به تمام ویژگی‎ها و خدمات آنلاین محصولات دسترسی دارید و می‌توانید از راه دور، کارهای حائز اهمیتی را بر روی دستگاههایی که آنتی ویروس بیت دیفندر بر روی آن نصب شده است انجام دهید. شما می‌توانید از طریق هر کامپیوتر و یا گوشی موبایلی که به اینترنت متصل باشد، وارد اکانت بیت دیفندر  در شوید واقع شما ابتدا باید وارد سایت https://central.bitdefender.com/home خود شوید.

در ادامه با هر یک از ماژول‎‌های Bitdefender Central آشنا خواهید شد:

My Devices

  • در این قسمت می‌توانید لیست دستگاههایی را که آنتی ویروس‌های بیت دیفندر را روی آن نصب کرده‌اید، مشاهده کنید.

  • آنتی ویروس‌های بیت دیفندر (Bitdefender 2018) را بر روی سیستم‌های (ویندوز، Mac و اندروید) خود نصب کنید.
  • از راه دور دستگاه‌هایی را که آنتی ویروس‌های بیت دیفندر بر روی آنها نصب است کنترل کنید. لیست ذیل کارهایی است که می‌توانید از طریق Bitdefender Central بر روی سیستم‌های ویندوز خود (که بیت دیفندر روی آنها نصب است) انجام دهید:
    • مشاهده و رفع مشکلاتی که بیت دیفندر بر روی دستگاه گزارش می‌کند.
    • مشاهده تعداد روزهای باقی‌مانده از اشتراک بیت دیفندر مربوط به دستگاه
    • اسکن سریع و اسکن کامل سیستم (Quick Scan & Full System)
    • Optimize کردن سیستم (برای کامپیوترهای با Bitdefender Total Security 2018)
    • اجرای اسکن Vulnerability بر روی کامپیوتر
    • استفاده از ویژگی Anti-Theft (برای دستگاه‌هایی که Bitdefender Total Security 2018 و یا Bitdefender Mobile Security) موقعیت‌یابی (Locate)، پاک کردن داده‌ها (Wipe)، قفل کردن (Lock)

Parental Advisor

  • Activity: فعالیت‌های کودک را بر اساس زمان سپری شده و نوع فعالیتی که با کامپیوتر انجام داده نشان می‌دهد.
  • Applications: اپلیکیشن‌هایی را که کودک از آنها بر روی کامپیوتر خود استفاده می‌کند، نشان می‌دهد.
  • Websites: دامنه‌های مورد علاقه کودک را نشان می‌دهد تا والدین آنها را مجاز و یا محدود کنند.
  • Phone Contacts: لیست شماره‌هایی را که کودک بر روی گوشی اندروید خود دارد، نشان می‌دهد و والدین می‌توانند در صورت لزوم آنها را Block کنند.
  • Child Location: لیستی از نواحی تعریف شده توسط والدین است که وقتی کودک وارد آنها می‌شود و یا از آنها خارج می‌شود (مانند مدرسه و خانه) به والدین اطلاع داده می‌شود.
  • Social: فعالیت‌های کودک مانند پست‌ها و عکس‌هایی را که روی فیسبوک قرار می‌دهد، مانیتور می‌کند.
  • Time Schedule: دسترسی به دستگاه را در ساعات مشخصی مانند زمان خواب محدود می‌کند. همچنین می‌توان در ساعات مشخصی در طول روز اجازه دسترسی به دستگاه را به کودک داد.

Tech Assist

  • سرویس‌های Tech Assist ای را که روی اکانت خود دارید، در اینجا مشاهده می‌کنید.

My Subscriptions

  • جزئیات تمام اشتراک‌های مرتبط با اکانت خود را می‌توانید در این قسمت مشاهده کنید.
  • دستگاه‌هایی را که یک اشتراک بر روی آنها است، مشاهده کنید.
  • می‌توانید اشتراک را با استفاده از کد فعالسازی بیت دیفندر، فعال کنید.

My Offers

  • در این قسمت صرفا آفرهای شخصی‌سازی‌شده را دریافت می‌کنید که 100% با نیازهای امنیتی سیستم شما متناسب هستند.

Support

  • دسترسی مستقیم به تیم پشتیبانی را فراهم می‌کند.

Settings – My Account

  • تغییر پسورد اکانت خود را می‌توانید در این قسمت انجام دهید.
  • اطلاعات شخصی خود را برای آفرهای شخصی‌سازی‌شده وارد کنید.
  • می‌توانید زبان اکانت بیت دیفندر خود را برای محصولاتی که روی سیستم ویندوزتان نصب کرده‌اید، تغییر دهید.

چگونه از خود و کودکانمان در مقابل خطرات اینترنتی محافظت کنیم

/در /توسط

مقدمه

میلیون‌ها خانواده در سراسر جهان هر روز از اینترنت برای آموزش، تحقیق، خرید، فعالیت‌های بانکی، اشتراک عکس، بازی، دانلود فیلم و آهنگ، اتصال به دوستان، یافتن دوستان جدید و … استفاده می‌کنند. با وجود فواید بی‌شمار، فرصت‌ها و راحتی‌‌ها، خطرات آن به صورت فزاینده‌ای در حال افزایش بوده و هر روز خطرات جدیدی بروز پیدا می‌کنند. کاربران اینترنت، علاوه بر نصب نرم‌افزارهای امنیتی مطمئن از شرکت‌های قابل اعتماد که رایانه را از در مقابل هکرها محافظت کنند، لازم است برخی قوانین پایه‌ای امنیت اینترنت را نیز رعایت کنند.

همزمان با اتصال اعضای خانواده به اینترنت، آموزش امنیت فضای مجازی، فارغ از سن افراد، باید شروع شود. به این نکته نیز توجه داشته باشید، اگر شما رایانه شخصی در منزل خود ندارید، اما این وسیله در سایر جاها در دسترس است. پس آگاهی از اصول اولیه امنیت فضای مجازی برای همگان ضروری است. در این بین کودکان به دلیل کنجکاوی و نیز عدم آگاهی کافی از کلیه خطرات کار با رایانه و اینترنت بیشتر در معرض خطر هستند. رایانه‌ها همانقدر که برای کودکان بسیار مفید هستند، مضراتی نیز دارند. به طور خیلی ساده، لازم است که مدت زمان کار را رایانه کنترل شود تا کودکان با دوستان و همسالانشان بازی کنند.

اینترنت در عین حال که بسیار مفید است، می‌تواند بستر بسیار مناسبی برای افرادی باشد که قصد سوء استفاده، ایجاد مزاحمت و … را دارند. وجود افراد بی اطلاع، سهولت در برقراری ارتباط، ناشناس بودن و … اینترنت را بستری مناسب برای فعالیت این افراد کرده است. این سوءاستفاده‌ها می‌تواند شامل فریب کودکان، فروش مواد مخدر، کلاهبرداری‌های رایانه‌ای و … باشد. کودکان به خاطر زود باوری و کنجکاوی، سوژه‌های مناسبی برای این‌گونه افراد هستند. سوء استفاده از کودکان می‌تواند حتی به مزاحمت و یا به آسیب جسمی به آنان ختم گردد.

در این نوشتار سعی داریم به مواردی که والدین باید در مورد کودکانشان در استفاده از رایانه و اینترنت توجه داشته باشند، بپردازیم. به امید اینکه این راهنما بتواند به والدین در حفاظت از کودکان و نوجوانان از خطرات اینترنتی کمک نماید.

قبل از ورود به بحث، ابتدا چند تعریف ابتدایی را بیان می‌کنیم.

1.1      تعریف قانون از کودکان

کودکان و نوجوانان در قانون اساسی کشور جمهوری اسلامی ایران، به افرادی که به سن 18 سال تمام هجری شمسی نرسیده‌اند، اطلاق می‌گردد1. بر اساس این قانون هر گونه اذیت و آزار کودکان و نوجوانان که موجب شود به آنان صدمه جسمانی یا روانی و اخلاقی وارد شود و سلامت جسم و روان آنان را به مخاطره اندازد، ممنوع است.

1.2      جرایم رایانه‌ای مرتبط

برخی از مواردی که در قانون جرایم رایانه‌ای به آنها اشاره شده است، و در این نوشتار به آنها اشاره می‌شود، عبارتند از:

  • انتشار، توزیع و معامله محتوای خلاف عفت عمومی (مبتذل و مستهجن).2
  • انجام هر گونه فعالیت تجاری و اقتصادی رایانه‌ای مجرمانه مانند شرکت‌های هرمی.3
  • انتشار محتوای حاوی تحریک، ترغیب، یا دعوت به اعمال خشونت آمیز و خودکشی.4
  • تبلیغ و ترویج مصرف مواد مخدر، مواد روان گردان و سیگار.5
  • تحریک، تشویق، ترغیب، تهدید یا دعوت به فساد و فحشا و ارتکاب جرایم منافی عفت یا انحرافات جنسی.6
  • دسترسی غیر مجاز به داده دیگران.7 8

2         تهدیدها

2.1      کودکان و نوجوانان در اینترنت به دنبال چه هستند؟

کودکان و نوجوانان هم مانند بزرگسالان، در اینترنت به دنبال ارتباط با دوستانشان، بدست آوردن اطلاعات و یا گرفتن فایل هستند. برخی از سایت‌ها و نرم‌افزارهایی که کودکان و نوجوانان معمولا از آنها استفاده می‌کنند، عبارتند از:

  • مرورگرهای وب
  • نرم‌افزارهای چت و ارتباطات
  • نرم‌افزارهای دریافت فایل
  • سایت‌های جستجوگر
  • سایت‌های دوست‌یابی یا شبکه‌های اجتماعی
  • سایت‌های تفریحی و اخبار
  • وبلاگ‌ها

باید توجه داشت که بعضی از سایت‌ها، سایت‌های مخربی هستند و می‌توانند تاثیر منفی بر رایانه و یا حتی بر کودکان و نوجوانان داشته باشند. برای مقابله با این تهدیدات باید آن‌ها را شناخته و راه حل مقابله با آن‌ها را آموخت.

2.2      چه خطراتی شما و کودکان و نوجوانان شما را تهدید می‌کند؟

زمانی که در اینترنت مشغول جستجو و یا چک کردن ایمیل‌های خود هستید، در معرض حمله هکرها و یا سایت‌های مخرب قرار دارید که معمولا هدف اصلیشان دسترسی به رایانه‌ها برای بدست آوردن نام‌های کاربری و رمز عبور، بدست آوردن اطلاعات کارت‌های اعتباری و مواردی از این دست است. در صورتی که ابزارهای مناسب بر روی رایانه نصب نشده باشد و یا اگر فرد استفاده کننده دانش و یا توجه کافی نداشته باشد ممکن است رایانه مورد حمله قرار بگیرد.

کودکان و نوجوانان به خاطر زودباوری و سادگی به راحتی فریب خورده و گاهی اوقات خود مورد سوء استفاده قرار می‌گیرند. افراد سودجو ممکن است از این مساله سوء استفاده کرده و حتی پس از آشنایی با کودکان با آنان ملاقات‌های حضوری داشته و از کودکان برای انجام کارهای غیر قانونی خود بهره ببرند.

از این رو سیستم‌های رایانه‌ای که به نرم‌افزارهای امنیتی مجهز نباشند، سیستم‌های ایده‌آلی برای افراد ناباب هستند. در ادامه به دو مورد کلی در زمینه امنیت سیستم‌های رایانه‌ای اشاره شده است:

  • آسیب‌پذیری: آسیب‌پذیری به ضعف‌های برنامه نویسی گفته می‌شود که می‌تواند مورد سوء استفاده قرار گیرند. برای جلوگیری از این سوء استفاده‌ها باید سیستم‌های خود را به صورت دایمی به روز نمایید تا وصله‌های امنیتی که توسط شرکت تولید کننده نرم‌افزارها برای برطرف کردن این مشکلات ارائه می‌شود، بر روی رایانه شما نصب شود.
  • بدافزارها: بدافزار به نرم‌افزارهایی گفته می‌شود که به منظور دسترسی به رایانه، دزدی اطلاعات و … نوشته شده‌اند. برای مقابله با بدافزارها حتماً بر روی سیستم خود آنتی ویروس نصب نمایید و همیشه آن را به روز نمایید تا بتواند آخرین بدافزارها را شناسایی نماید. همچنین نرم‌افزارهای خود را از سایت‌های معتبر و یا مراکز توزیع معتبر دریافت کنید و قبل از نصب، آن‌ها را با آنتی ویروس خود اسکن کنید.

به طور کلی، برای مقابله با تهدیدات اینترنتی، رایانه شما باید مجهز به آنتی ویروس و دیواره آتش و نظارت والدین باشد.

  • آنتی ویروس: آنتی ویروس‌ها می‌توانند با اسکن کردن رایانه و برنامه‌های موجود در آن، بدافزارها را شناسایی کنند و آن‌ها را از رایانه حذف نمایند.
  • دیواره‌های آتش: دیواره‌های آتش نرم‌افزارهایی هستند که امنیت دسترسی برنامه‌ها را به اینترنت تامین می‌کنند.
  • نرم‌افزارهای نظارت والدین: این نرم‌افزارها به شما کمک می‌کنند که محدودیت‌هایی برای بازدید از سایت‌ها و … تعریف نمایید. با این اقدام نمی‌توان از سایت‌هایی که مورد تأیید نیستند بازدید کرد.

2.3      ده راه حل ساده برای حفاظت از کودکان از تهدیدات سایبری

2.3.1     محل کامپیوتر را به درستی انتخاب کنید.

محل رایانه یکی از موارد مهمی است که باید به آن توجه کرد. بهتر است رایانه را در محل پر رفت و آمد خانه قرار دهید و ساعات کار با رایانه را محدود کنید تا بتوانید بر عملکرد کودکانتان نظارت کنید. با این کار می‌توانید مطمئن شوید که مکانیزم‌های کنترلی شما از قبیل نرم‌افزارهای امنیتی به درستی کار می‌کنند و یا کودکان با افراد ناشناس ارتباط برقرار نمی‌کنند و …

2.3.2     با کودکان در مورد ایجاد محدودیت و خطرات صحبت و توافق کنید.

با کودکانتان در مورد مسایل زیر تصمیم‌گیری کنید که چه چیزهایی درست و چه چیزهایی غلط هستند:

  • سایت‌های مورد بازدید
  • چت‌روم‌ها و فروم‌ها (فقط چت‌روم‌ها و فروم‌هایی که از نظر اخلاقی و اجتماعی مورد تایید هستند)
  • جستجوها و ورود به لینک‌های تبلیغاتی
  • نصب نرم‌افزارها
  • هرگز از اسم واقعی خود برای ساخت نام کاربری استفاده نکنید.
  • هرگز رمز عبور خود را به کودکان ندهید.
  • هرگز شماره موبایل واقعی خود را افشا نکنید.
  • هرگز نام و یا آدرس محل کار یا سکونت، محل تحصیل خود یا کودکانتان و … را بیان نکنید.
  • هیچ‌گاه اطلاعاتی از خود به افراد ناشناس ندهید.
  • با افراد ناشناسی که در اینترنت با آن‌ها آشنا شدید ملاقات نکنید.
  • فایل‌های مشکوک ضمیمه نامه‌های الکترونیک و یا فایل‌های ارسالی توسط افراد ناشناس را باز و اجرا نکنید.
  • با کودکان خود در مورد خطرات موجود در اینترنت صحبت کنید.
  • شرایط کار در اینترنت را با کودکان خود توافق کنید و آن را بنویسید. (با این کار کودکان را موظف به قبول توافقات قبلی می‌کنید)
  • من قول می‌دهم که همیشه شرایط امن جستجو، بازدید از سایت‌ها، و ورود به فروم‌ها و چت روم‌ها را رعایت کنم.
  • من قول می‌دهم که هیچ‌گاه نام خود، نام و آدرس منزل و مدرسه خود و خواهر و برادرم، محل کار پدر و مادرم، و شماره‌های تلفن منزل و نام والدین و خواهر و برادرم را در اینترنت به کسی ندهم.
  • من قول می‌دهم که هیچ‌گاه دوستانی که در اینترنت پیدا کرده‌ام را ملاقات نکنم و در مورد آن‌ها با (نام والدین) صحبت کنم.
  • من قول می‌دهم که اگر فردی از من درخواستی داشت که در این‌ توافق آورده نشده قبل از قبول آن با (نام والدین) مطرح کنم.
  • من قول می‌دهم که هرگاه خودم را در شرایط نا امنی دیدم به (نام والدین) اطلاع دهم.
  • من قول می‌دهم که همیشه به این توافق عمل کنم.
  • موافقت می‌کنم در صورتی که به این توافق عمل نکردم، اجازه کار با رایانه و اینترنت را از من گرفته شود.

2.3.3     استفاده مشترک از رایانه و شرایط کار با اینترنت

2.3.4     در مورد شرایط کار با اینترنت صحبت کنید.

2.3.4.1   نمونه‌ای از توافق بر سر استفاده از اینترنت

2.3.5     نرم‌افزارهای امنیتی نصب کنید.

همیشه از نرم‌افزارهای امنیتی استفاده کنید و کودکان خود را ملزم کنید در زمان کار با رایانه و اینترنت از آن‌ها استفاده کنند. این نرم‌افزارها را همیشه به روز نگه دارید تا شما را از تهدیدات تازه حفظ نمایند و در زمان‌های مشخص و نزدیک سیستم خود را بازبینی کنید تا از به روز بودن و ایمن بودن آن مطمئن شوید.

2.3.6     از نرم‌افزارهای مراقبت خانوادگی (نظارت والدین) استفاده کنید.

بسیاری از نرم‌افزارها دارای سیستم‌های مراقبت خانوادگی (نظارت والدین) می‌باشند ولی در صورتی که نرم‌افزاری دارید که این قابلیت را ندارد، می‌توانید از نرم‌افزارهایی که برای جبران این کاستی ایجاد شده‌اند استفاده کنید. در زیر لیستی از این نرم‌افزارها آورده شده است:

2.3.6.1   نرم افزار نظارت والدین

این نرم‌افزار که یک نرم‌افزار ایرانی است که از طریق سایت شورای عالی اطلاع رسانی به آدرس www.scict.ir قابل دریافت است. در کنار لینک دریافت، یک راهنمای نصب برای سهولت نصب نرم‌افزار قرار داده شده است.

2.3.6.2   Kidzui

این نرم افزار یک محصول رایگان بوده و در حقیقت یک مرورگر اینترنت می‌باشد که برای کودکان بهینه سازی شده است. این محصول را می‌توانید از آدرسwww.kidzui.com دریافت کنید.

2.3.6.3   Opendns

این محصول دارای دو نسخه رایگان است که از آدرس www.opendns.com قابل دریافت هستند.

  • نسخه Home، که این امکان را برای شما فراهم می‌سازد که در صورتی که چندین سیستم دارید که از یک نقطه به اینترنت متصل می‌شوند از دسترسی دیگر سیستم‌ها به سایت‌های مخرب جلوگیری کند. اما، ستمی که این محصول بر روی آن نصب می‌شود باید برای سرویس‌دهی به بقیه سیستم ها روشن باشد و در زمان خاموش بودن این سیستم بقیه سیستم‌ها نمی‌توانند از امکانات آن بهره ببرند.
  • نسخه FamilyShield، که مانند نسخهHome  ولی با تنظیمات مقدماتی است.

2.3.6.4   Visikid

این نرم‌افزار دارای قابلیت‌های بیشتری برای کاربران خانگی می‌باشد و امکانات نظارتی بیشتری را فراهم می‌کند. این نرم‌افزار که به صورت رایگان ارائه می‌شود توسط webhostingsearch به عنوان یکی از برترین نرم‌افزارهای اینترنتی معرفی شده است. این نرم‌افزار را می‌توانید از آدرس www.visikid.com دریافت کنید.

2.3.7     به کودکان یادآوری کنید افرادی که در اینترنت ملاقات می‌کنند غریبه هستند.

کودکان به سرعت با افرادی که با آن‌ها ارتباط برقرار می‌کنند احساس صمیمیت می کنند و پس از مدتی به آن‌ها وابسته می‌شوند، برای جلوگیری از این موضوع همیشه به کودکان خود یادآوری کنید که افرادی که در اینترنت با آن‌ها ارتباط برقرار می‌کنند غریبه هستند و نباید به آن‌ها اطمینان کنند. به آن‌ها یادآور شوید که دروغ گفتن در اینترنت آسان است و هر کسی می‌تواند هویت واقعی خود را مخفی کند و به صرف دیدن عکس افراد نمی‌شود به آن‌ها اطمینان کرد.

2.3.8     رمز عبور مناسب انتخاب کنید.

برای ساخت یک رمز عبور قوی و مناسب، رمز عبوری را انتخاب کنید که حداقل 8 کلمه داشته باشد و از حروف و اعداد تشکیل شده باشد. همچنین می‌توانید از راهنمای کوتاه زیر استفاده کنید:

  • رمز عبوری انتخاب کنید که بتوانید به خاطر بسپارید.
  • از حروف بزرگ و کوچک استفاده کنید (برای راحتی می‌توانید به ترتیبی حروف بزرگ و کوچک را تغییر دهید) مانند Crt25YU09n.
  • از حروفی مانند !@#$%^&* استفاده کنید. مانند Crt25YU09n@.
  • از حروف اول هر یک از کلمات یک جمله استفاده کنید. مانند: من یک کلمه عبور مطمئن می‌سازم که به یادم بماند= MYkoMMkbYB.
  • رمز عبور خود را به کسی نگویید.
  • گروه‌های کاربری مختلفی در کامپیوتر خود تعریف کنید. راهنمای تعریف گروه‌های کاربری در بخش ‏‏3 تعیین گروه‌های کاربری آورده شده است.

همچنین راهنمای جامعی برای انتخاب رمز عبور در سایت مرکز آپا شریف منتشر شده است.

2.3.9     نرم فزارهای امنیتی و سیستم خود را چک کنید.

نرم‌افزارهای آنتی ویروس و دیواره آتش از مهم‌ترین نرم‌افزارهای امنیتی هستند. به طور منظم با چک کردن آن‌ها از فعال بودن، و به روز بودن آن‌ها مطمئن شوید، و در کنار این نرم‌افزارها از نرم‌افزارهایی که به پویش صفحات اینترنت می‌پردازند تا سایت‌های مخرب را شناسایی کنند، استفاده نمایید.

2.3.10پیگیر و مطلع باشید.

هرچه دانش شما در این زمینه بیشتر باشد شما در امنیت بیشتری قرار دارید فراموش نکنید که افراد ناباب مدام به فکر پیدا کردن راه‌های جدیدتر و موثرتر هستند؛ پس با جستجو در اینترنت و مطالعه سایت‌های آموزنده، اطلاعات خود را به روز کنید.

2.4      به چه مواردی باید حساس بود؟

همیشه رفتار کودکان و نوجوانان خود را زیر نظر داشته باشید، توجه کنید که محدود کردن کودکان و نوجوانان می‌تواند به مخفی کاری آنان منجر شود. مواردی که در زیر درج شده‌اند می‌تواند زنگ خطری برای شما باشد.

  • ·         تماس‌های ناشناس 

در صورتی که کودک و یا نوجوان شما تماسی از افرادی دریافت می‌کند که شما آنان را نمی‌شناسید و یا در زمان صحبت کردن با آنان به آرامی صحبت می‌کند تا دیگران صدای آن‌ها را نشنوند، و حاضر به دادن اطلاعات کامل و درستی از این افراد نمی‌شود. همیشه به شماره تلفن‌ها توجه کنید و نام دوستان و شماره‌های آنان را داشته باشید تا متوجه تغییر آن شوید.

  • رفتارهای غیر عادی در زمان کار با رایانه 

کودک و یا نوجوان شما در زمان ورود شما صفحه مانیتور را خاموش می‌کند و یا پنجره‌ها را به سرعت بسته و یا به پایین می‌فرستد و یا اینکه شما در رایانه وی عکس‌های مبتذل پیدا می‌کنید.

  • ·         استفاده بیش از حد از رایانه به‌خصوص در شب و زمان استراحت و خواب 
  • ·         دریافت پول و هدیه از افراد ناشناس 

همیشه به میزان پولی که به فرزندان خود می‌دهید دقت کنید و میزان خرید و مصرف پول‌های آنان را در نظر داشته باشید تا متوجه شوید که آیا پولی از فرد ناشناسی دریافت کرده است یا خیر.

در صورتی که فرزند شما هدایایی دریافت می‌کند حتماً از هویت فرد ارسال کنند آن مطلع شوید و علت آن را جویا شوید.

  • ·         گوشه گیری آنان و دوری از خانواده و دوستان 
  • ·         پیدا کردن بسته‌ها و یا داروهای ناشناس و توجه به نشانه‌های اعتیاد 

در صورتی که داروهای ناشناس و یا بسته‌های ناشناسی پیدا می‌کنید حتماً به بررسی آن‌ها بپردازید و آن‌ها را به افراد متخصص نشان دهید. در عین حال نشانه‌ها و علایم اعتیاد را بشناسید. توجه کنید که ممکن است فرزند شما در اینترنت با افراد نابابی آشنا شود که آنان را به استفاده از مواد مخدر ترغیب کنند.

1.  برای آگاهی از نشانه های اعتیاد می‌توانید به وب سایت ستاد مبارزه با مواد مخدر مراجعه نمایید. 8

3         تعیین گروه‌های کاربری

تذکر: در صورتی که کلیه کاربران کامپیوتر در گروهAdministrator  قرار داشته باشند، امکان تغییر رمز عبور برای کلیه کاربران امکان‌پذیر است، پس در صورت لزوم نام کاربری سایر کاربران کامپیوتر را در گروه Users قرار دهید. به عنوان مثال بهتر است نام کاربری شما به عنوان والدین در administrator تعریف شود و فرزندانتان دارای یک یا چند نام کاربری در بخش users باشند. برای این مراحل زیر را طی نمایید:

2.  بر روی My Computer راست کلیک کرده و سپسManage  را انتخاب نمایید.

3.  در منوی سمت چپ بر روی Local Users and Groups کلیک کنید و در منوی سمت راست بر روی Users دو بار کلیک کنید.

4.  بر روی نام کاربری فرزند خود دو بار کلیک کنید.

5.  در پنجره باز شده بر روی زبانه Member Of  کلیک کنید.

6.  در صورتی که این نام کاربری عضو گروه Administator است با انتخاب Administrator و سپس کلیک بر روی دکمه Remove آن را از عضویت در این گروه خارج نمایید.

7.  بر روی دکمه Add کلیک کنید. در پنجره باز شده بر روی Advanced کلیک کنید و سپس در پنجره بعدی بر روی Find Now کلیک کنید.

8.  لیستی از گروه‌های موجود نمایش داده می‌شود. در این لیست به دنبال Users بگردید و سپس آن را انتخاب نمایید. بر روی دکمه OK کلیک کنید تا پنجره بسته شود.

9.  در پنجره بعد نام گروه در داخل کادر نمایش داده می‌شود. بر روی OK کلیک کنید. (محل خط خوردگی نام کامپیوتر شما می‌باشد)

  1. در پنجره بعدی بر روی OK کلیک کنید.

4         چند نکته مهم

کودکان هر روز بیشتر با تکنولوژی روز آشنا می‌شوند و می‌خواهند آزادی عمل داشته و مستقل باشند. برای حفاظت از کودکان نباید آن‌ها را به شدت محدود کرد بلکه یک محیط صمیمی و راحت که کودک به آن اطمینان داشته باشد و نظارت بر کودک به حدی نباشد که کودک را مجبور به مخفی کاری کند می‌تواند در حفاظت از کودک مفید می باشد.

4.1      مواردی برای کودکان 3 تا 7 سال

  • حتماً در زمان کار کردن کودک خود در کنار وی باشید.
  • سایت‌های مورد تأیید خود را برای بازدید به وی بگویید و حتماً متذکر شوید که صرفاً از این سایت‌ها بازدید کند.
  • در صورتی که نیاز است از سیستم‌های ارتباطی مانند چت استفاده شود حتماً از نام کاربری خود استفاده نمایید و زمانی که نیاز است از سیستم دور شوید حتماً از نرم‌افزار خارج شوید.
  • با کودکان خود صحبت کنید و دلایل رفتار خود را به آن‌ها توضیح دهید و مطمئن شوید که آن‌ها حرف‌های شما را قبول کرده و به آن عمل می‌کند.
  • با کودکان خود صحبت کنید و متوجه مسائل مورد علایق آن‌ها شوید، و آن‌ها را در پیدا کردن جواب‌ها راهنمایی کنید تا از سایت‌های مخرب دوری کنند.
  • در مورد خطراتی که رایانه را تهدید می‌کند، مانند بدافزارها، سیستم‌های امنیتی و … صحبت کنید.
  • در مورد مواردی همچون امکان جعل هویت با وی صحبت کنید و در مورد دوستان جدید وی حساس باشید.
  • حتماً متذکر شوید که در اینترنت صرفاً با دوستانی که در دنیای واقعی آشنا است ارتباط داشته باشد و حتماً چک کنید که نرم‌افزار کنترل والدین فعال بوده و نرم‌افزارهای چت، مرورگرها و… توسط سیستم نظارت والدین کنترل می‌شود.
  • مطمئن شوید که در نرم‌افزارهای چت عدم امکان تماس افراد غریبه فعال باشد.
  • در صورتی که فرزند شما از کارت اعتباری استفاده می‌کند، حتماً شرایط کار با این کارت‌ها و موارد ایمنی و خرید اینترنتی را به وی آموزش دهید.
  • با فرزندان خود در مورد بدافزارها و امنیت در اینترنت صحبت کنید و حتماً به آن‌ها بگویید که به ایشان اطمینان دارید و اعتماد آنان را به خود جلب کنید.
  • در مورد کارت‌های اعتباری و شرایط خرید باآنها با فرزندانتان توافق کنید و مسائل امنیتی را به آن‌ها گوشزد کرده و حتماً با آن‌ها در این مورد به توافق برسید.
  • در مورد مسئولیت آن‌ها در مورد مسائل گوناگون صحبت کنید و گوشزد کنید که رفتار اشتباه آن‌ها در اینترنت می تواند تا چه حدی خطرناک باشد.
  • در مورد شرایط دوستی و دوستان جدید (به خصوص دوستان اینترنتی) به توافق برسید.
  • به آن‌ها یادآور شوید که حق ملاقات با دوستان اینترنتی خود را ندارند.
  • پروفایل آن‌ها را در شبکه‌های اجتماعی جستجو کنید و در مورد سلامت این سایت‌ها تحقیق کنید.

4.4      اندکی در مورد شبکه‌های اجتماعی

شبکه‌های اجتماعی سایت‌هایی هستند که در آن‌ها می‌توان در مورد خود مطالبی را به اشتراک گذاشت، دوستان قدیمی خود و یا دوستان جدید پیدا کرد. این سایت‌ها به خاطر به اشتراک گذاشتن اخبار ومطالب جالب برای نوجوانان و جوانان بسیار جالب است و به همین خاطر آنان وقت زیادی را برای بازدید از این سایت‌ها صرف میکنند. در این سایت‌ها جعل هویت بسیار آسان بوده و هر فردی به راحتی می‌تواند هویت خود را مخفی نگهدارد، گاهی اوقات در این سایت‌ها موضوعات مربوط به بزرگسالان مطرح می‌شود که می‌تواند برای کودکان و نوجوانان بدآموزی داشته باشد. از نکات مهم در این سایت‌ها می‌توان به حضور افراد نابابی اشاره کرد که به دنبال طعمه‌های خود می‌گردند، این افراد با جعل هویت اقدام به فریب و سوء استفاده از قربانیان خود کرده و گاهی اوقات از آنان برای انجام کارهای خلاف بهره می‌گیرند. باید توجه داشت که این شبکه‌ها در حقیقت بخش مجازی جامعه می‌باشد، پس باید همانگونه که از فرزندان خود در جامعه محافظت می‌کنید در این جامعه مجازی محافظت کنید.

موارد مهم درباره این سایت‌ها ومحدودیت هایی که باید اعمال شود:

  • پروفایل آن‌ها را مرتبا چک کرده و دوستان آنان را بررسی نمایید.
  • محدودیت زمانی برای بازدید از این سایت‌ها ایجاد کنید.
  •  از فرزندان خود بخواهید دوستان جدید خود را معرفی کنند.
  • از فرزندان خود بخواهید که درخواست‌های نامتعارف را با شما در میان بگذارند و قبل از جواب به هرگونه درخواست غیر متعارف که مورد تأیید شما نیست حتماً با شما مشورت کنند.
  • به آن‌ها یادآور شوید که با دوستان اینترنتی خود ملاقات حضوری نکنند.
  • از فرزندان خود بخواهید در مورد شرایط اجتماعی، محل زندگی، و محل تحصیل و یا محل کار والدین خود هرگز مطلبی را به اشتراک نگذارند.
  • در مورد پیام‌های دریافتی مورد تأیید و افراد مورد تأیید خود با آن‌ها صحبت کنید.
  • شرایطی را ایجاد کنید تا فرزندانتان در مورد مسائلی که ایشان را ناراحت کرده با شما صحبت کنند و با این کار از اتفاقات ناخوشایند و بعضا خطرناک جلوگیری نمایید.

1. ماده 1 قانون حمایت از کودکان و نوجوانان

2. بند 2 ماده 6 قانون مطبوعات و ماده 14 قانون جرایم رایانه ای

3. قانون اخلال در نظام اقتصادی کشور و سایر قوانین

4. ماده 15 قانون جرایم رایانه‌ای

5. ماده 3 قانون جامع کنترل و مبارزه ملی با دخانیات 1385

6. بند ب ماده 15 قانون جرایم رایانه ای و ماده 649 قانون مجازات اسلامی

7. ماده 12 قانون جرائم رایانه ای

8. برای اطلاعات بیشتر به آدرس زیر مراجعه نمایید:

http://peyvandha.ir/0-8.htm

8. برگرفته از سایت ستاد مبارزه با مواد مخدر

http://www.dchq.ir/html/modules.php?op=modload&name=News&file=article&highlight=&sid=4773

ابل رایان پویا

واژه نامه تخصصی صنعت آنتی ویروس و امنیت سایبری

/در /توسط

Adware(ابزارهای تبلیغاتی مزاحم)

ابزارهای تبلیغاتی مزاحم (نرم­افزار تحت حمایت تبلیغات) به هرگونه برنامه­ی نرم­افزاری اتلاق می­شود که محتوی تبلیغاتی را برای رایانه­ی کاربر پخش کرده، به نمایش گذاشته، یا دانلود می­کند.

ویژگی­های عمومی این دسته از نرم­افزارها پنجره­های پاپ آپ یا بنرها، تغییر در تنظیمات صفحه­ی خانگی (Home Page) و موتور جستجوی مرورگر وب، و غیره است. برخی از ابزارهای تبلیغاتی مزاحم با تایید کاربر رایانه نصب می­شوند، مثلا در طول نصب یک برنامه­ی قانونی که ابزار تبلیغاتی با آن همراه شده است. این همان شرایطی است که با بسیاری از نوارهای ابزار (toolbars) مشکوک با آن رو به رو هستیم. امروزه، تشخیص دقیق ابزارهای تبلیغاتی مزاحم، نرم­افزارهای جاسوسی (spyware) و سایر برنامه­های ناخواسته (PUAها) از یکدیگر دشوار است.

Backdoor (درب پشتی، ابزار دسترسی از راه دور/ تروجان دسترسی از راه دور (RAT))

درب پشتی (بکدور) برنامه­ای است که دسترسی از راه دو به رایانه را فراهم می­سازد. تفاوت بین ایننوع از بدافزارها و برنامه­ی قانونی دارای کارکرد مشابه این است که عملیات نصب بدون اطلاع کاربر انجام می­پذیرد.

از توانایی­هایی معمول بکدورها می­توان به قابلیت ارسال فایل به رایانه­ی میزبان و اجرای فایل­ها و دستورات بر روی آن، و نیز ارسال مجدد فایل و اسناد به مهاجم اشاره کرد. این قابلیت اغلب با قابلیت ردیابی کلیدهای وارد شده، و ثبات تصویر نمایشگر، به منظور جاسوسی و سرقت داده­ها همراه است. اصطلاح RAT (ابزار دسترسی از راه دور) را می­توان با «درب پشتی (بکدور)» هم­معنی دانست، اما این اصلاح معمولا به مجموعه­ی کاملی اتلاق می­شود که برنامه­ی مشتری آماده­ی نصب بر سیستم مقصد، و نیز یک بخش سرور را که مدیریت و کنترل «روبات­ها» یا سیستم­های در معرض خطر را فراهم می­کند، شامل می­شود.

Boot Sector (بخش بوت)

بخش بوت اولین بخشی از هر دیسک یا پارتیشین منطقی است. این بخش حاوی اطلاعاتی راجع به حجم دیسک همچون ظرفیت آن، به علاوه­ی برنامه­های بوت استرپی است که سیستم عامل را بارگذاری و اجرا می­کند. یک بخش بوت این برنامه را در خود دارد حتی اگر حجم دیسک فاقد سیستم عامل نصب شده­ای بر روی آن باشد.

بخش بوت اغلب هم معنی با «رکورد بوت حجمی» (VBR) به کار می­رود، اگرچه اگر دقیق­تر بگوییم، VBR تنها یک نوع از بخش بوت است، و «رکورد بوت مستر (MBR)» نوع دیگر آن است.

 Boot Sector Virus(بخش بوت)

ویروس­های بوت سکتور به بخش بوت دیسکت فلاپی یا بخش بوت دیسک سخت حمله می­کنند تا مطمئن شوند که کدشان هر بار که رایانه شروع به کار می­کند، اجرا می­شود. آلودگی بخش بوت مسیر قدیمی­تری برای انتشار ویروس است، اما اخیراً به عنوان ابزاری برای نصب بوت کیت رواج بیشتری پیدا کرده است.

Bootkit (بوت کیت)

نوعی از روت کیت که رکورد مستر بوت یا رکورد بوت حجمی (VBR) بر روی دیسک درایو را آلوده می­کند تا این اطمینان حاصل شود که هر بار که رایانه آغاز به کار می­کند (بوت می­شود)، کدش به کار می­افتد. بوت کیت­های مودم (همچون مبروت، TDL4-Olmarik، یا رونیکس) نیز از این راهکار استفاده می­کند تا با بارگذاری کد بوت­کیت متخاصم حتی پیش از آغاز کامل سیستم عامل، مکانیسم­های امنیتی خاصی از سیستم عامل را دور بزند.

Bot (روبات)

بات، که مخفف عبارت «روبات نرم­افزاری» است و در عموماً در مباحث امینت رایانه مطرح می­شود، برنامه­ای است که دسته­ای از اقداماتی را به همان ترتیبی که عملگرها (اپراتورها) دستور داده­اند، به اجرا درمی­آورد. دستورها ممکن است در روبات­ها نوشته شده، یا برنامه­نویسی شود، تا هرگاه که ملاک­ها برآورده شود، عمل کند، یا اینکه ممکن است روبات (بات) با اتصال به یک یا چند سرور فرمان و کنترل به شکلی پویا دستورالعمل­ها را دریافت کند. روبات­هایی که به این طریق ارتباط برقرار می­کنند مرتباً از IRC و HTTP برای ارتباطاتشان استفاده می­کنند، اگرچه گاهی از پرتوکول­های موجود یا حتی پرتوکول­های سفارشی نظیر به نظیر (peer-to-peer) نیز استفاده می­شود. بات­نت­های نظیر به نظیر (P2P) از مدل کنترل و دستور توزیع یافته­تری استفاده می­کند، تا بدین شکل دستگاه­های در معرض خطر بین یکدیگر و نه از طریق سرور C&C در ارتباط باشند، که این امر در نهایت باعث می­شود که اختلال در بات­نت (botnet) دشوارتر شود. اصطلاح «بات» ممکن است برای توصیف رایانه­ی آلوده وتحت کنترل یک برنامه­ی بات، به جای اصطلاح «زامبی» (zombie) به کار رود.

Botnet (بات­نت)

این اصطلاح که مخفف bot network (شبکه­ی بات) است، برای تشخص گروهی از بات­هایی به کار می­رود که همگی به یک (یا چند) سرور کنترل و دستور واحد  متصل بوده و تحت هدایت خلافکاران واحدی هستند.

سرورهای C&C

سرور کنترل و دستور، یا همان C&C، رایانه­ای است که برای هماهنگ سازی فعالیت­های رایانه­های آلوده به بات، روت کیت، کرم یا سایر نرم­افزارهای متخاصم (بدافزارها) به کار رفته و برای دستورالعمل­ها و به روز رسانی­ها به رایانه­ی دیگری نیاز دارد. یک سرور C&C می­تواند به رایانه­های آلوده نوع اطلاعات سرقتی را اطلاع دهد، اطلاعات هدف را برای حمله به رایانه­های آلوده فراهم می­کند، بدافزارهای جدید را نصب کرده یا آن­ها را به روز رسانی می­کند و غیره. یک سرور C&C همچنین ممکن است به حیاط خلوتی برای بارگذاری اطلاعات دزدیده شده از رایانه­های آلوده تبدیل شود. یک سرور C&C بر روی یک سرور وبی فعال است که خود در معرض خطر قرار دارد یا با استفاده از کارت­های اعتباری دزدی خریداری شده است.

Companion Virus (ویروس همراه)

ویروس­های همراه با تصاحب سطوح بالای سلسله مراتبی که سیستم عامل بنا بر آن برنامه­ها را بر اساس پسوندهای فایلی­شان اجرا می­کند، تکثیر می­شوند. برای مثال فایل­های تحت MS-DOS با پسوند .BAT (فایل­های بچ) پیش از فایل­های پسوند .COM اجرا می­شوند که، در عوض، این فایل­ها نیز خود پیش از فایل­های دارای پسوند .EXE به اجرا در می­آیند. ویروس­های همراه می­توانند فایل­های مستقلی را ایجاد کنند که حاوی کد ویروسی بوده، ولی دارای پسوند فایلی مقدم­تری هستند یا نام فایل «مقصد» را به پسوندی با تقدم کمتری تغییر دهند، تا به این ترتیب فایل حاوی کد ویروسی پیش از انتقال کنترل به فایل برنامه­ی اصلی (یا پیش از فعال سازی محتوایش) اجرا می­شود. مثال دیگری از ویروس همراه بر پلتفروم­های ویندوز این روزها، ویروسی است که از طریق ترتیب جستجوی کتابخانه­های DLL اقدام می­کند. برای مثال، اگر بدافزار خود را به عنوان یک DLL به یک دایرکتوری برنامه کپی کند، نسبات به DLLی با همان نام در دایرکتوری داخل سیستم، یا داخل یکی از دایرکتوری­های تعیین شده به وسیله­ی متغیر محیطی PATH، تقدم می­یابد.

Dialer (تماس گیرنده)

تماس گیرنده برنامه­ای است که به این منظور طراحی شده که  مسیر تماس تلفن کاربر (dial-up) به اینترنت را تغییر دهد تا اینکه از یک شماره­ی با نرخ بالاتر استفاده کند. این برنامه­ها را می­توان به شکل قانونی هنگام پرداخت خدمات اینترنتی به کار برد، اما تماس­گیرندگان جعلی ممکن است برای تغییر مسیر تماس به یک شماره­ی گران­تر بدون اطلاع کابر رایانه، مورد استفاده قرار گیرند. این نوع از تهدید در ناحیه­هایی که اینترنت پهن­باند موجود است، نادر شده است.

دانلود کننده، تروجان دانلود کننده

این اصطلاحات معمولا به برنامه­های متخاصم، اجزا و کاربردهایی که (معمولاً تنها) هدفشان دانلود کردن برنامه­های (معمولا متخاصم) اضافی بر روی سیستم آلوده و اجرای آن است.

Dropper (تروجان-قطره چکان)

قطره چکان تروجان نوعی از بدافزار است که به عنوان حامل عمل کرده، که در خود فایل اجرایی متخاصم دیگری را دارد. این نوع هنگامی که شروع به فعالیت می­کند، فایل داخلش را «می­چکاند» یا نصب می­کند و آن را به اجرا در می­آورد.

اگر از منظر تاریخی نگاه کنیم، اصلاح «قطره چکان» برای توصیف فایلی استفاده می­شد که تنها هدفش معرفی یک ویروس رایانه­ای به داخل فضای رایانه بود و پژوهشگران آنتی ویروس از این نوع از ویروس­ها با عنوان ویروس­های «نسل صفر» یاد می­کردند، بسیار شبیه همان ترتیبی که عبارت «صفر بیمار» از طرف پزشکان و متخصصان اپیدمیولوژی به هنگام بحث راجع به بیماریهای عفونی، به کار می­رفت. در مورد ویروس چندشکلی (پولی مورفیک) رایانه، قطره چکانش ممکن است رمزگذاری نشده باشد، اما ممکن است تنها از کد ویروس رایانه­ای بدون رمز تشکیل شده باشند.

Encryption (رمزگذاری)

رمزگذاری به رمز (کد) درآوردن اطلاعات اتلاق می­شود به صورت سرّی و به شکلی که خواندن آن بدون رمزگشایی ممکن نباشد.

ویروس فایل، ویروس انگلی

ویروس­های فایل (یا ویروس­های انگلی) از فایل­های موجود به شکل تصادفی به عنوان میزبان استفاده می­کند. این ویروس معمولا بدنه­ی کدش را به ابتدا یا انتهای فایل میزبان افزوده می­شود، که در هریک از موارد، محتوای فایل اصلی دست نخورده باقی می­ماند، به جز اینکه OEP (نقطه­ی مدخل اصلی) دچار تغییر می­شود، تا بدین شکل کد ویروس پیش از کد قانونی و اصلی اجرا شود. این روش آلوده سازی این اطمینان را حاصل می­کند که کد ویروس هربار که فایل آلوده اجرا می­شود، فعال می­شود، و نیز راهی برای انتشار را فراهم می­کند.

در برخی از موارد، فایلی که ویروس را آلوده می­کند ممکن است هنگامی که فایل میزبان را آلوده می­کند، آن را با پاک کردن یا جایگزینی بخش­هایی از فایل میزبان، آن را تخریب کند. در این مورد فایل میزبان ممکن است دیگر به درستی اجرا نشود، اگرچه کماکان قادر خواهد بود که ویروس را انتشار دهد.

فایل­های اجرایی در ویندوز، اغلب به پسوندهایی همچون .COM، .DLL، .EXE و .SYS ختم می­شود. برخی از ویروس­های فایل ممکن است اسکریپت­هایی باشند که با برنامه­های دیگر تفسیر شده و به پسوندهایی همچون .BAT (فایل بچ) یا .VBS (برنامه ویجوال بیسیک) ختم می­شوند.

از منظر یک موتور AV، نیاز است که ویروس­ها از آلودگی پاک شوند، تا اینکه فایل اصلی را بازیابی (احیا) کنند، برخلاف تروجان­ها و کرم­ها، که تنها با حذفشان (و تعمیر تخریب به جا مانده، همچون تغییر در تنظیمات ریجستری) پاک می­شوند. در مواردی که ویروس فایل با بازنویسی بخش­هایی از فایل میزبان، آن را تخریب کرده بود، پاکسازی امکان پذیر نیست.

درحالی که ویروس­های فایل در دوره­ی DOS رایج­تر از دوره­ی ویندوز بودند، نمونه­های مدرن متعددی وجود دارند، همچون خانواده­های Ramnit، Sality، و Virut، که مرتباً در گوشه و کنار جهان ظاهر می­شوند.

HIPS (سیستم­های جلوگیری از نفوذ به میزبان)

سیستم­های جلوگیری از نفوذ به میزبان از سیستم شما در مقابل با بدافزارها و فعالیت­های ناخواسته­ای که ممکن است با عملکرد رایانه­ی شما تداخل داشته باشد، محافظت می­کند. یک HIPS عموما بر اصلی متفاوت  نسبت به ویروس یاب عمل می­کند. HIPS نقاط مدخل به درون سیستم (و فعالیت­های سیستمی خاص، همچون ایجاد فرایند، بارگیری راه­انداز، و غیره) را بررسی می­کند، و مانع اقدامات مشکوک به نفوذ می­شود (یا کاربر را وامی­دارد که فعالیت مشکوک را بپذیرد یا مانع آن شود).

ویروس­های HLL

پیش از معرفی مایکروسافت ویندوز ۹۵، بیشتر ویروس­های رایانه­ای برنامه­های فشرده­ای بودند که به زبان اسمبلی نوشته می­شدند. به ویروس­های رایانه­ای که به زبان Ada، BASIC، C++، Delphi، FORTH، Visual BASIC و سایر زبان­های برنامه­نویسی نوشته می­شوند، ویروس­های HLL (زبان­های سطح بالا) گفته می­شود. ویروس­هایی که به زبان­های برنامه­نویسی سطح بالا نوشته می­شدند، بزرگتر از آن­هایی بودند که به زبان اسمبلی طراحی می­شدند، و این تمایل در آن وجود داشت که ساده­تر عمل کنند. با این وجود، اندازه­ی بزرگترشان اغلب آن­ها را برای تحلیل پیچیده­تر کرده و برنامه­های بی­خطری که به همان زبان­ها به عنوان ویروس رایانه­ای HLL نوشته می­شدند، گاهی به غلط متخاصم تعبیر می­شدند («مثبات غلط»).

Hoax (جعل)

جعل­های زیادی وجود دارند که به عنوان نامه­های زنجیره­ای از طریق ایمیل و رسانه­های اجتماعی ارسال شده، و انتشار می­یابند چراکه افراد گول خورده، و به جای کدهای متخاصم، خود، آن­ها را برای سایرین ارسال می­کنند. تنها راه مبارزه با جعل­ها افزایش آگاهی است. جعل­ها اغلب ادعا می­کنند که از طرف شرکت­های معتبر («هشدار مایکروسافت”، «خبری از CNN» و غیره) سخن می­گویند، و اغلب هشدارهایی راجع به پیامدهای ناگوار هستند مانند ویروس­های جدید مخربی که باعث می­شوند که رایانه آتش بگیرد و منفجر شود، یا قاتلان سریالی پنهان در صندلی­های پشت اتومبیل­ها. «جعل­های همدردی» ادعا می­کنند که ارسال مجدد پیام به دیگران به نحوی به کودکان سرطانی کمک می­کند، یا کمک می­کند که گمشده­ای پیدا شود. دسته­های دیگر ادعا می­کنند که ارسال مجدد جعل به دیگران به فرد سود رسانده و وی را صاحب پول یا کالای رایگان خواهد کرد. آنچه که در بین این پیام­ها مشترک است درخواست برای ارسال مجدد و فوری آن­ها به دیگران است. این چنین است که جعل­ها منتشر می­شوند.

Keylogger

برنامه­ای است که به منظور ضبط ضربه­هایی که به کلید وارد شده، مورد استفاده قرار می­گیرد. Keyloggerها را می­توان برای هم به منظور نظارت بر کارمندان در یک صنعت به کار برد، و هم در موارد زیان­آور آن، به منظور سرقت اعتبار حساب­ها مورد استفاده قرار داد. Keyloggerهای پیشرفته ممکن است حرکات موس و کلیک­ها، ضربه­هایی که به کلید­های کیبورد مجازی روی صفحه رایانه وارد شده، و عکس صفحه یا ویدیوهای در حال پخش در صفحه را نیز ضبط کنند. keyloggerهای سخت­افزاری نیز وجود دارند که بین رایانه و کیبورد تعبیه می­شوند تا ضربات روی کلیدها را ضبط کنند.

Malware (بدافزار)

بدافزار(malware)، که اصطلاحاً ترکیبی است از دو واژه­ی متخاصم (MAlicious) و نرم­افزار (softWARE)، به عنوان اصطلاحی عام است برای پوشش همه­ی صورت­های کد متخاصم، فارغ از اینکه چقدر کد انتشار پیدا کرده یا نصب شده، چطور سیستم­های رایانه­ای را هدف گرفته و تشخیص داده، یا چه نوع از خرابی را سبب شده است.

Master Boot Record (رکورد بوت مستر)

رکورد بوت مستر یا همان MBR که درست در اولین سکتور ابتدای دیسک سخت قرار دارد،  ترکیبی است از کد برنامه و داده­هایی که توسط آن برنامه (اصطلاحاً جدول پارتیشن) مورد استفاده قرار گرفته است. MBR جدول پارتیشن را بررسی می­کند تا تعیین کند که درایو دیسک سخت چه تعداد درایو منطقی (یا پارتیشن اضافی) را در خود دارد- حتی اگر تنها یکی باشد- و کدامیک باید مسئول بارگیری سیستم عامل هستند. رکورد بوت مستر اولین بخش کد است که PC BIOS پس از اجرای P.O.S.T اش، آن را اجرا می­کند، و به این ترتیب می­تواند هدفی برای ویروس­هایی باشند که خود را با آن­ها جایگزین می­کنند تا کنترل رایانه را پیش از اینکه سیستم عامل بالا بیاید (بارگذاری شود)، به دست گیرند.

Memory Dump (روگرفت حافظه)

روگرفت­های حافظه­ که اکثراً برای اشکال زدایی و رفع مشکل برنامه به کار می­رود، اغلب به شکل خودکار در زمان از کار افتادن یک سیستم رخ می­دهند (تصویر آبی مرگ، با این وجود، آن را همچنین می­توان به شکل دستی بدون از کار افتادن به اجرا درآورد.

ویروس­های بازنویس

ویروس­های بازنویس ساده­ترین شکل آلودگی هستند. کد اصلی حذف شده، و با کد متخاصم جدید جایگزین می­شود. هنگامی که فایل جایگزین شده به اجرا درمی­آید، ویروس می­تواند برای تکثیر، مجدداً دست به تلاش بزند. از آنجا که ویروس­های بازنویس فایل اصلی را چه به طور کامل و چه به شکل ناقص، حدف می­کنند، پاک کردن آلودگی آن­ها ممکن نیست. آن­ها را در عوض باید از یک پشتیبان (بک آپ) بازگردانی کرد. درحالی که ویروس­های بازنویس از این نوع اغلب به دوران MS-DOS محدود می­شوند، ما امروزه شاهد بدافزارهایی هستیم که جایگزین فایلهای سیستمی می­شوند (و ممکن است برخی از کارکردهای فایل اصلی را نیز دارا باشند) ولی فرایندهای نامطلوب را نیز به اجرا درمی­آورند.

PUA

خاکسترافزار (Grayware) (یا PUA- برنامه­ی به شکل بالقوه ناخواسته) دسته­ی کلی­ای است از نرم­افزار­هایی، که هدفشان به متخاصمی و صراحت انواع دیگر بدافزارها، همچون ویروس­ها و اسب­های تروجان نیست. با این وجود ممکن است نرم افزار ناخواسته­ی اضافی­ای را نصب کند، رفتار دستگاه دیجیتال را تغییر دهد، یا فعالیت­هایی را به اجرا در بیاورد که کاربر آن­ها را تایید نکرده و انتظار آن­ها را ندارد.

دسته­های که ممکن است خاکسترافزار (grayware) محسوب شوند عبارتند از: بدافزار، نرم­افزار جاسوسی، نوارهای ابزار مرورگرهای متعدد، نرم افزارهای سرکش (rogue software)، bundlewareها، trackwareها، یا هر نرم­افزار مرزی دیگر، یا نرم­افزاری که از رفتارهای تجاری غیر قانونی، غیراخلاقی استفاده می­کند (درحالی که قانونی و معتبر به نظر می­رسد) و ممکن است از طرف آخرین کاربر آگاه  نسبت به آنچه که نرم­افزار در صورت کسب اجازه­ی نصب، انجام می­دهد، مطلوب تشخیص داده نشود. PUA (برنامه­ی احتمالاً ناامن) برنامه­ای است که اصالتاٌ قانونی (و احتمالا تجاری) است، اما به وسیله­ی یک مهاجم مورد سوء استفاده قرار گرفته است. تشخیص این نوع از برنامه را می­توان در آنتی ویروس هایی مانندESET فعال یا غیرفعال کرد.

برای جزئیات بیشتر راجع به این نوع از نرم افزارها، به کتاب سفید (whitepaper) مشکل­زا (Problematic)، نامطلوب (Unloved) و بحث برانگیز (Argumentative) مراجعه کنید.

پکرها (packers) ، مخفی ساز ها (crypters) ،   محافظت کننده

Packer ها پوسته­ی بیرونی برخی اسب­های تروجان هستند که هدفشان این است که تشخیص و تحلیل نرم افزار آنتی ویروس و تحلیلگران بدافزار (malware analysts) را با پنهان کردن باری (payload) که دارند سخت­تر سازند و به این شکل باعث شوند که اول نرم­افزار بارش را خالی کند تا به هدفشان برسند. Packerها برای اینکه وظایف آنتی ویروس­ها را سخت­تر کنند ، اغلب انواع تکنیک­های ، anti-debugging (ضد عیب یابی) ، anti-emulation (anti-VM) (ضد رقابت) و مبهم کردن کد­ها را به کار می­برند.

Packerها معمولاً executable نهایی را کوچک­تر می­کنند و به همین دلیل نه تنها برای بدافزارها بلکه برای نرم­افزارهای قانونی هم استفاده می­شوند. آن­ها چندین هدف دارند که اصلی­ترین آن، فشرده کردن executable  و حفاظت از برنامه­های کاربردی در برابر سرقت نرم­­افزاری است.

Phishing (فیشینگ)

این واژه که بازی با لغت “fishing” ( به معنی ماهیگیری) است،  نامه­ای الکترونیکی ، متن ، یا پیغامی گمراه­کننده است که برای هدف فرستاده می­شود تا اطلاعات حساب کاربری وی را سرقت کند. این روش غالباً برای دسترسی به اطلاعات مالی افراد جهت سرقت پول استفاده می­شود. البته برای به دســــــت آوردن اطــلاعات اعتباری شبکه­ا­یِ کارفرمایان ، اطلاعات حساب­های  کاربرانِ رسانه­های اجتماعی و حتی حساب­های بازی های آنلاین هم به کار می­رود.

Quarantine (قرنطینه)

وظیفه­ی اصلی قرنطینه­ی آنتی ویروس این است که فایل­های آلوده را بدون هیچ خطری ذخیره کند تا از تصادفی اجرا شدن آن­ها و اقدامات مخربی که ممکن است انجام دهند جلوگیری شود. نمونه­ای از داخل قرنطینه را می­توان به آزمایشگاه ویروس ارسال کرد، یا می­توان آن­ها را به محل اصلی خود بازگرداند که مسئولیت ریسک (خطر) این عمل بر عهده ی کاربر است.

 Ransomware (باج افزار)

نوع خاصی از نرم افزار مخرب که برای اخاذی مورد استفاده قرار می­گیرد. وقتی باج افزار فعال می­شود تا زمانی که قربانی پولی را نپردازد مانع از دسترسی به دستگاه یا داده­ها می­شود.

Retrovirusها

اصطلاح retrovirus  چندین معنای نامرتبط به هم دارد؛ از جمله:

۱٫ برنامه­های مخرب که در جهت غیرفعال کردن یا حذف سیستم آنتی ویروس­ها تلاش می­کنند.

۲٫ یک ویروس کامپیوتری که تلاش می­کند فایل­های آسیب دیده توسط ویروس­های کامپیوتری مختلف را تعمیر و عیب زدایی کند.

۳٫ یک ویروس کامپیوتری که تلاش می­کند با سوءاستفاده  از آسیب پذیری در تجزیه­گر برنامه­ی آنتی ویروس، برنامه­ی فشرده سازی فایل ، یا سایر برنامه­هایی که ویروس را به حافظه وارد می­کنند ، خودش را اجرا کند.

نباید این عبارت را با ” retro  virus” اشتباه گرفت. عبارتی که به معنای ویروس کامپیوتری جدیدی است  که از روش­های قدیمی  تقلید می­کند.

Riskware (خطرافزار)

اصطلاح خطرافزار شامل تمام  برنامه­های کاربردی می­شود که در هنگام اجرا، خطر امنیتی دارند. نصب و راه اندازی آن­ها ممکن است توسط کاربر به هنگام پذیرش توافقنامه موقع نصب برنامه تایید شود. به عبارت دیگر، خود ِکاربر مسئولیت این خطر را با پذیرفتن توافقنامه بر عهده می­گیرد.

گروه خطر افزارها بسیار وسیع هستند و شامل نرم افزارهایی مانند: نرم افزارهای جاسوسی، نرم افزارهای شماره گیری (dialers) ، key logger ها ، ابزارهای دسترسی از راه دور (RAT ) و سایر برنامه های کاربردی که به طور بالقوه ناامن هستند. این دسته همچنین می­تواند شامل نرم افزارهای ناخواسته (PUAها) و یا grayware  ها باشد.

Rootkit

یک برنامه یا مجموعه­ای از برنامه­های “kit” که به منظور بالا بردن امتیازات (پیداکردن ریشه) و/یا حفظ دسترسی مخفیانه و کنترل یک سیستم بدون اطلاع صاحب آن طراحی شده است.

بدافزار از تکنیک­های rootkit  برای اهداف پنهانی مثل نامرئی بودن در دستگاه آلوده به برنامه­های امنیتی با استفاده از روش­های تشخیصی معمولی بهره می­جوید.

مهندسی اجتماعی

این اصطلاح برای طیف گسترده ای از روش­ها جهت ایجاد تغییر موردنظر در رفتار استفاده می­شود. این اصطلاح همچنین به این معنی است که با استفاده از به بازی گرفتن (manipulation) روانیِ یک شخص یا گروه،  امتیازاتی گرفته شود.  اگر در بحث­های امنیتی از آن استفاده شود همیشه شامل نوعی فریب، بدجنسی و یا تقلب است. مهندسی اجتماعی یکی از راه­های به دست آوردن اطلاعات شخصی با فریب است. تکنیک­های مهندسی اجتماعی فراوان هستند. عموماً از طریق تلفن یا اینترنت ، با تغییرظاهر در کسوت یک کسب و کار  و یا یک نهاد قابل اعتماد از ساده­لوحی افراد سوءاستفاده می­شود.

اهداف ویژه­ی مهندسی اجتماعی می­تواند شامل: به دست آوردن اطلاعات شخصی یا متقاعد کردن کاربران برای اجرای نرم افزارهای مخرب باشد.

جاسوس ­ابزارها

این اصطلاح عمومی برای گستره­ای از نرم­افزارهای مخرب پنهانی مانند  keyloggerها ، تروجان­های دسترسی از راه دور، و تروجان­های پنهانی (backdoor) به کار می­روند؛  به ویژه  انواعی که اجازه می­دهند کلمات عبور و سایر اطلاعات حساس از راه دور مورد نظارت قرار گیرند. وقتی از این نرم­افزارها برای فعالیت­های جنایی هم استفاده شود، به آن­ها جرم ابزار (crimeware) هم گفته می­شود.

این اصطلاح همچنین می­تواند به ” ابزارهای تبلیغی (adware)  مزاحم  تهاجمی­تر” هم اشاره داشته باشد؛ ابزارهایی که اطلاعات شخصی کاربران را مثل وب سایت­های بازدید شده، نرم­افزارهای نصب­شده و غیره را جمع آوری می­کنند. سپس اطلاعات به دست آمده می­تواند برای تبلیغات هدفمند مورد استفاده قرار گیرد.

Steganography (پنهان نگاری)

پنهان کردن اطلاعات داخل اطلاعات دیگر. به عنوان مثال، کدگزاری کردن به صورت فایل­های صوتی یا تصویری،  به شکلی که نه دیده شوند و نه شنیده شوند؛ چرا که ( ویروس­ها معمولاً ) صدا یا تصویر را به شکل قابل توجهی تغییر نمی­دهند؛ یا به عنوان ابرداده (metadata) در اسناد به طوری که برای کاربر قابل رؤیت نباشد.

Trojan  (اسب تروجان)

تروجان یا اسب تروجان یک اصطلاح کلی برای نرم افزار مخربی است که جهت مقاصد شرورانه­ی مختلف مورد استفاده قرار می­گیرد؛ که اغلب یا مخرب است و یا با هدف سرقت اطلاعات است. تفاوت تعیین کننده بین تروجان و ویروس یا کرم این است که تروجان خودش به تنهایی  قادر به تکثیر و آلوده کردن فایل ­ها نیست. بنابراین باید از ابزارهای دیگری برای ورود به سیستم­های کامپیوتری استفاده کند. به عنوان مثال: درایوِ اینترنت ، به واسطه­ی دانلود، با سوء استفاده از آسیب­پذیری نرم افزار،  با مهندسی اجتماعی، و یا با دانلود شدن توسط یک نرم افزار مخرب دیگر ( مثل کرم ، ویروس ، یا دانلود کننده­ی تروجان) و سایر روش­ها. نامِ آن برگرفته از داستان فتح تروی (Troy) است؛ در این داستان ، تروی سربازان را داخل یک اسب چوبی عظیم به شهر قاچاق می­کند. این اسم نشان می­دهد که تروجان عملکرد واقعی خود را پنهان می­کند و اغلب از مهندسی اجتماعی برای اجرا شدن بهره می­جوید.

تروجان­ها در حال حاضر، شایع­ترین نوع نرم­افزارهای مخرب هستند که از طریق  باز کردن backdoor ها ، اطلاعات فیلترشده­ی قدیمی کاربر ( آن را به یک مهاجم راه دور می­فرستند) ، و دانلود کردن نرم­افزارهای مخرب­ دیگر به داخل سیستم آلوده و غیره عمل می­کنند.

ویروس

یک ویروس کامپیوتری به طور کلی برنامه­ای است که سایر برنامه­ها را به شکلی تعریف می­کند که شامل نسخه­ای از خود ( حتی المقدور تغییر یافته) باشند. این تعریفی تقریبی و ریاضی­گونه است که دکتر فردریک کوهن در پایان­نامه­ی دکتری خود ارائه می­دهد. به عبارت دیگر، ویروس به یک میزبان (host) نیازمند است تا خودش را به آن متصل کند، یا به واسطه­ی  تغییر دادن میزبان و یا با داخل شدن به شکلی که به “زنجیره­ی دستور­­ها ” (chain of commands) وارد شود. به این ترتیب ، نه تنها ویروس تضمین می­کند که هرگاه میزبان راه­اندازی شد اجرا می­شود، بلکه قادر است  هر زمان که فایل ها کپی می­شوند ، دانلود می­شوند و یا به سیستم ­­های کامپیوتری دیگری منتقل می­شوند ،خودش را تکثیر کند. نام گذاری آن بر اساس این واقعیت است که رفتاری بسیار مشابه با ویروس­های بیولوژیکی دارد.

ویروس­های کامپیوتری چندین گروه هستند که بسته به آن که چه نوع فایلی را و به چه شکل آلوده می­کنند با هم تفاوت دارند.

کِرم

کرم نوعی نرم افزار خود – تکثیرکننده (self-replicating) است که می­تواند به سایر کامپیوترها منتقل شود. کرم­ها می­توانند از طریق شبکه­های کامپیوتری، ایمیل­ها، خدمات پیام آنی (instant –messaging ) ، شبکه ­های اجتماعی ، رسانه­های قابل حمل و کانال­های دیگر منتقل شوند. برخلاف ویروس­ها، کرم­ها خود را به برنامه­های موجود پیوست (وصل) نمی­کنند؛ با این حال، برخی از ویروس­ها با استفاده از روش­های انتشار کرم­مانند قادرند خودشان را گسترش دهند.

زامبی

همانند بات است. برای اطلاعات بیشتر و مرور مجدد به بخش توضیحات بات مراجعه کنید.

نوشته شده در: وبلاگ و اخبار امنیتی سایسک

هشدار آلودگی به باج افزار از طریق هک

/در , /توسط

هشدار آلودگی به باج افزار از طریق هک

برای پیشگیری از نفوذ هکرها به شبکه و اجرای باج افزار توسط هکر، لازم است اقدامات پیشگیرانه زیر صورت گیرد:
1-    بستن پورت ریموت و غیرفعال کردن سرویس ریموت دسکتاپ از طریق اینترنت (روی تمام سرورها و نیز سیستمهای دیگر)
2-    اعمال پسورد های دارای پیچیدگی لازم در تمام اکانتهای ادمین دامین و لوکال سرورها و سایر سیستم ها
3-    اعمال پسورد های دارای پیچیدگی لازم برای استفاده از ویژگی غیر فعال کردن آنتی ویروس

4-    اطمینان از نصب آخرین وصله های امنیتی ویندوز و نرم افزارهای کاربردی

5-    داشتن فرآیند منظم بکاپ‌گیری دوره‌ای و اطمینان از صحت بکاپ‌ها

6-    اطمینان از فعال بودن آنتی ویروس
7-    اطمینان از بروز بودن آنتی ویروس
8-    انجام کامل فرآیند امن‌سازی مبتنی بر استانداردهای موجود مانند ISMS و اخذ مشاوره امنیت شبکه

 

با ما تماس بگیرید.

آسیب پذیری ویندوز

تغییر پورت دسترسی از راه دور (Remote Desktop) در ویندوز

/در , /توسط

تغییر پورت دسترسی از راه دور (Remote Desktop) در ویندوز

اخیرا بسیاری از حملات سایبری از طریق استفاده از پورت ریموت دسکتاپ ویندوز انجام میشود. پورت پیش فرض ریموت دسکتاپ 3389 می باشد. نفوذگران از طریق استفاده از این پورت دسترسی ادمین به ویندوز قربانی پیدا کرده و سپس با بارگزاری فایل های لازم یا از از طریق غیر فعال کردن نرم افزارهای امنیتی اقدام بهانجام عملیات خرابکارانه میکنند.

لذا توصیه میشود در صورت عدم نیاز به دسترسی از راه دور به ویندوز این سرویس غیر فعال گردد. در صورت نیاز می توان از شبکه وی پی ان برای ایجاد ارتباط امن در دسترسی از راه دور استفاده نمود.

در هر صورت اولین راه برای افزایش امنیت تغییر پورت پیش فرض دسترسی از راه دور (Remote Desktop) می باشد. برای این منظور مراحل زیر را انجام می دهیم:

1- در مرحله اول از طریق دستور Regedit به پنجره تنظیمات رجیستری ویندوز وارد میشویم.

2-از مسیر زیر  کلید PortNumber را باز کرده، در فیلد Value Data میتوانیم شماره پورت پیشفرض را از 3389 به عدد دلخواه خود تغییر دهیم.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp