 |
|
- يعنی واقعا انتظار داريد که چنين سايتهای عظيمی قابل هک باشند آن هم به اين آسانی؟ يعنی فکر می کنيد اين همه مسوولان امنيتی اين سايتها نفهميده اند و کسی برنامه ای نوشته است که می تواند اسم بگيرد و رمز بدهد؟ ببينيد اشتباه نشه، همشه هر سيستمی اشکالاتی داره، اما از لحظه معلوم شدن آن اشکال تا حل آن به ندرت يک روز هم طول می کشه و اين مشکلات هرگز در حدی نيستند که با استفاده از آنها بتوان چنين کارهايی انجام داد. فقط کافيست کمی منطقی فکر کنيد! چنين سيستمهايی بسيار خوب محافظت می شوند! حالا ممکن است بگوييد: ولی من دوستی دارم که دوستش می تونه هر ID رو Hack کنه و می گه يه برنامه داره که ID می گيره و رمز می ده! اينکه دوست شما ممکنه واقعا به راحتی بتونه رمز خيليها رو پيدا کنه ضعف ياهو نيست، ضعف اون آدماست! يعنی اون آدما هستند که رمزشون رو هديه می کنن به دوست شما! متاسفانه اکثر کسانی که ادعای Hack دارند آنقدر روششان مسخره است که بايد مواظب باشند روششان لو نرود پس ممکن است بگويند روششان چيز ديگری است يا يک موضوع خيلی محرمانه است يا... لطفا سوال زير را بخوانيد: - اگر فرد مورد نظر در يک سايت کوچک که تمام آن هم نوشته شده توسط برنامه نويسان است باشد، ممکن است بتوانيد آن را واقعا Hack کنيد، من در اينجا صرفا به ذکر روشی که از همه بيشتر لو رفته است اکتفا می کنم و آن اين است که در قسمت رمز عبور (يا در صورت نياز هم در قسمت نام کاربری و هم در قسمت رمز عبور) بنويسيد: ' or 1=1 -- اين يکی از ساده ترين حالتهای روش موسوم به SQL injection است که روشی بسيار قوی است اما اين حالت ساده آن در حدود 90% سايتها از جمله سايتهای ياهو و هاتميل و سايتهای معروف کار نخواهد کرد (يعنی اگر بدشانس نباشيد بايد حداقل اين را در 10 سايت امتحان کنيد تا يک جا کار کند!) اما ادامه پاسخ به سوال شما: حال فرض کنيم سايتی مثل ياهو مدنظر باشد، در اينجا اول خيال خودمون رو راحت می کنيم که نمی تونيم رمز رو از سرور ياهو دربياريم پس يا بايد رمز امتحان کنيم (Broute force) يا رمز را از صاحب رمز بگيريم (Social engineering) يا رمز را از صاحب آن بدزديم (Trojans)! حالت اول نياز به تخصص دارد و حتی گاهی غير ممکن است زيرا سيستمها بعد از چند بار امتحان رمز اشتباه از سوی شما ديگر رمزی قبول نمی کنند. مثلا Yahoo شما را مجبور می کند که کلمه ای که هر بار تغيير می کند را نيز وارد کنيد. می توانيد در صفحه ايميل Yahoo چندين بار رمز اشتباه بزنيد تا نتيجه را ببينيد و اگرچه می توان مشکل بستن IP را با استفاده از Proxy server های رايگان تا حدی برطرف کرد، باز هم اين روش بيشتر مناسب سيستمهای ساده تر است (کاربرد اين روش در صفحاتی که برای کسانی که رمز خود را فراموش کرده اند طراحی شده است را فراموش نکنيد! اگر تاريخ تولد وارد شده و کد پستی کسی را بدانيد شايد حدس زدن بقيه اطلاعات عملی باشد!) بنابراين استفاده از نرم افزارهای امتحان کننده رمز هم برای اين سرورهای معروف نتيجه ای نخواهد داشت. راه ديگر Trojan horse است که اگر تقاضا برايش زياد باشد در مورد آن توضيح جداگانه داده خواهد شد اما از آنجايی که اولا نرم افزارهای ضد ويروس ممکن است آن را بيابند و ثانيا سيستم عامل ويندوز XP با داشتن يک Firewall به نسبت خوب می تواند جلوی اکثر اينها را بگيرد، عملا قابل استفاده نخواهد بود مگر روی کسانی که يا به کامپيوترشان دسترسی داشته باشيد و يا اطمينان داشته باشيد که از يک سيستم عامل قديمی (باورتون می شه کسی از ويندوز 5 سال پيش استفاده کنه؟! از ويندوز 98؟! واقعا آدم متاسف می شه!! 5 سال!! اونم تو کامپيوتر!!) استفاده می کند و ضد ويروس ندارد يا زياد آن را به روز نمی کند. اما راه اصلی يعنی Social Enmgineering: Social Engineering تاريخی طولانی دارد و معمولا نازيهای آلمان را از جمله استفاده کنندگان موفق آن می دانند. اين روش يعنی کاری کنيد که خودش به ما رمز را بگويد! من فقط چند روش ممکن را برای شما می نويسم: 1- ساختن صفحه ای شبيه صفحه ياهو. به عنوان مثال يک ايميل به شکل کارت پستال برايتان ارسال می شود که ممکن است به نظر بيايد از طرف دوست نزديکتان آمده است و وقتی روی لينک کارت پستال کليک می کنيد پيغامی مانند Your session has been expired و Relogin می گيريد اما در صفحه ای بجز Yahoo هستيد! يعنی اگر رمزتان را بنويسيد عملا خودتان آن را به فرد نفوذگر هديه کرده ايد. حالت ديگر ساختن صفحاتی است که جلب توجه کند مثل صفحه ای که می گويد با ياهو قرارداد دارد و می توانيد با اکانت ياهو خود وارد آن شويد!! به عنوان مثال صفحه ای با عکسهايی مستهجن از دختران ايرانی يا... خيالتان راحت باشد که رمز و اسم ياهو فقط در ياهو کار می کنند و هرجای ديگر آن را بزنيد، دو دستی تقديمش کرده ايد! هميشه بايد مواظب باشيد که هرگز در صفحه ای بجز صفحه واقعی خود ياهو اسم و رمز خود را وارد نکنيد. اين روزها مد شده است که بسياری از دوستان با ساختن صفحاتی مشابه ياهو (معمولا save کردن خود صفحه sign in ياهو و سپس تغيير مسير فرمی که بايد رمز را به ميزبان ياهو انتقال دهد به صورتی که رمز شما را به سازنده صفحه ايميل کند يا در يک فايل ذخيره کند. برای اين کار کافی است يک host رايگان بگيرد و فايلهای خود را روی آن قرار دهد، فقط بايد مواظب باشد که حتماً از Coffee net استفاده کند!) اقدام به دزدی رمز عبور می کنند. حالا سوال اينجاست که از کجا بفهميم که صفحه ای که داخل آن هستيم واقعا از طرف خود ياهو است يا نه؟ به عنوان يک قاعده کلی، ابتدا F6 و سپس کليد Home را بزنيد. با اين کار شما ابتدای نوار آدرسی را که آدرس صفحه وب را نشان می دهد می بينيد. (راه ديگر: کافی است با کليک موش روی نوار آدرس آن را فعال کنيد و با فلش سمت چپ به سراغ اول آن برويد.) اگر آغاز آن به شکل زير نبود، صفحه را ببنديد (پيشنهاد می شود قبل از بستن صفحه تعداد زيادی کلمات بی معنی به عنوان اسم و رمز جهت سرگرم کردن دزد ياد شده وارد فرماييد) و اگر مانند زير بود و پس از آن هم فقط حروف و اعداد و علامت / و ? آمده بود، با خيال راحت اسم و رمز خود را وارد فرماييد: http://login.yahoo.com/هر چيزی البته اگر به جای کلمه login هر چيز ديگری باشد با دقت به اينکه به yahoo.com ختم شده باشد، باز هم از صفحات خود ياهو خواهد بود. مهم: بهتر است علاوه بر آن، با کليک روی "Secure" منتظر شويد تا عکس يک قفل را در Internet explorer خود ببينيد. (باز هم 100% نيست!) 2- فرد نفوذگر يک ID مانند auto-password-sender@yahooc.com ثبت می کند و به شما می گويد که اگر ايميلی به فرم خاص و عجيبی به آن آدرس بفرستيد و در جاهای خاصی از آن آدرس ايميل خود و رمز عبور خود و در جای ديگری ايميل کسی که رمز او را می خواهيد بنويسيد و به آنجا ارسال کنيد تا رمز برای شما ايميل شود. زمانی که ما به نيت آزمايش همين سيستم را پياده کرديم متاسفانه تعداد خيلی زيادی نامه گرفتيم که عملا رمز خود را به ما هديه کرده بودند و يک پاسخ هم ارسال می کرديم که ظرف يک هفته رمز را می گيريد و ظاهر آن را با تبليغات و طراحی زيبا واقعی کرده بوديم. برای کسانی هم که می فهميدند و ايميل مسخره می فرستادند ايميل با پيغامهای خطا می فرستاديم طوری که آنها هم وسوسه می شدند!! پس مواظب باشيد رمز عبور خود را به هيچ شکلی به کسی هديه ندهيد!! خيالتان راحت باشد که هرگز هيچ سيستمی از طريق ايميل يا تلفن رمز عبور شما را نخواهد پرشيد و هرگز ياهو به شما ايميل نمی زند که در آن رمز خود را بنويسيد! اگر روزی آنها نياز داشته باشند، رمز عبور شما را عوض می کنند و آن را به شما اطلاع می دهند نه اينکه رمز شما را بپرسند!
Social engineering به اينجا ختم نمی شود و داستانهای زيادی از آن باقی است.
در پايان اشاره ای به يک داستان واقعی می کنيم: فردی که قصد نفوذ به يک ساختمان
دارای اتاقهای سرور کاملا حفاظت شده با انواع دوربينها و دزدگيرها را داشت، به
راحتی خود را مسوول بازبينی سرورها برای سازگاری با سال 2000 معرفی می کند و از تک
تک افراد رمزشان را می پرسد و يادداشت می کند! حتی با گفتن اينکه بگوييد فايلهای
مهمتان کجاست تا از انها پشتيبانی تهيه کنم که مبادا در حين آزمايش سيستمها به آنها
صدمه ای برسد، زحمتی برای جستجو به دنبال فايلهای مهم هم متحمل نشد! شما هرگز و تحت
هيچ شرايطی نه حضوری، نه پای تلفن و نه در ايميل نبايد رمز خود را به کسی بگوييد!
حتی رمز اينترنت خود را به مدير شرکتی که از آن اينترنت گرفته ايد هم ندهيد! چون
اگر او واقعا نياز داشته باشد به راحتی آن را تغيير می دهد.
در همين مورد مقاله ای در صفحه اصلی هک همسفر وجود دارد که با خواندن آن مهندسی
اجتماعی را بيشتر خواهيد شناخت.
بله!! اگر ويندوز خود را به روز
نکرده باشيد و جديدترين Updateها را نصب نکرده باشيد،
هم سايتها و هم ويروسها می توانند اين بلا را سر شما بياورند. حتی می توانند روی
سيستم شما جاسوس نصب کنند يا کامپيوتر شما را به يک ميزبان ويروس تبديل کنند.
ترجيح می دهيم اطلاعات بيشتری ندهيم و به ايميلی در اين زمينه هم جواب نخواهيم
داد اما با جستجو روی اينترنت می توانيد در اين زمينه مطالبی پيدا کنيد. اين مشکل
را اينترنت اکسپلورر نسخه های 5، 5/5 و 6 همه دارند!
از طرف ديگر صرف داشتن Media player به روز نشده يا
جاوا به روز نشده می تواند باعث شود که سايتی که به آن سر می زنيد اطلاع کاملی از
شما و فايلهايتان به دست بياورد! بهترين راه، سر نزدن به سايتها و وبلاگهای غير
مطمئن و نصب تمامی updateها می باشد. البته برای
کاربران خانگی صرف نصب تمامی updateها و استفاده از
ضدويروسهای آنلاين کافی است.
بهتر است به جای استفاده از نرم افزارهای ضد ويروس يا به همراه آنها هر چند وقت يکبار از طريق لينک پايين صفحه "اخبار هک" سيستم خود را چک کنيد. بار اول بايد خيلی منتظر شويد تا سيستم را روی کامپيوتر شما ضبط کند ولی از آن به بعد فقط آخرين نسخه اطلاعات ويروسها را خواهد گرفت که کمتر طول می کشد. اين سيستم ضد ويروس و Trojan نه تنها بهترين است، بلکه کاملا هم رايگان است و حتی می توانيد بدون عضويت هم از آن استفاده کنيد (با انتخاب Scan without registering) و ممکن است فقط اسم کشورتان را برای آمارگيری از شما بپرسد. |
|
