‌‌IDSهاي شبكه و انواع آن ‌
سيستم‌ آشكارساز شبكه، ترافيك شبكه را كنترل مي‌كند، فعاليت‌هاي غيرعادي و مشكوك را زيرنظر مي‌گيرد و در صورت مشاهده هر‌گونه مزاحمت يا نشانه مشكوك، مدير شبكه را مطلع مي‌سازند.

در برخي موارد اين سيستم‌ها مي‌توانند با مشاهده رفتارهاي غيرعادي و مشكوك يا نشانه‌هاي حمله از طرف يك‌ آدرس‌IP، آن آدرس را در فهرست سياه قرار دهند و مانع دسترسي آن به شبكه شوند.
 
امروزه ‌‌IDSهاي مختلفي وجود دارند كه از راه‌هاي  گوناگوني ترافيك‌هاي مشكوك را شناسايي مي‌كنند.

NIDS و ‌HIDS 
سيستم‌هاي آشكارساز نفوذ به شبكه يا NIDS ها (‌Network Intrusion Detection System) ‌يا در قسمت‌هاي مهم شبكه (مانند كانال‌هاي ارتباطي شبكه با محيط بيرون)  قرار مي‌گيرند و ترافيك شبكه را كنترل مي‌كنند. البته از آن جايي كه اين سيستم‌ها كليه ترافيك‌ ورودي و خروجي و تمامي فعاليت‌هاي شبكه را كنترل مي‌كنند، مي‌توانند باعث كندي سرعت شبكه نيز بشوند. با اين حال، وجود اين سيستم‌ها نياز اوليه اكثر شبكه‌هاي پيشرفته است. 

 
از طرف ديگر HIDSها ‌‌‌‌(Host Intrusion Detection System) يا سيستم‌هاي آشكارساز ميزبان، تنها روي يك دستگاه يا سيستم در شبكه نصب مي‌شوند و صرفا ترافيك‌هاي ورودي و خروجي به آن دستگاه را كنترل مي‌كنند و در صورت مشاهده هرمورد مشكوك، مسئله را به مدير سيستم هشدار مي دهند.

شكل 1 و 2 تفاوت اين دو نوع سيستم را نشان مي‌دهد و شكل 3 ساختار سيستم مزاحم ياب شبكه را ارائه مي‌نمايد. 

همانطور كه در شكل 3 مي‌بينيد، بسته اطلاعاتي  فرد مزاحم از اينترنت و فايروال‌‌ عبور مي‌كند و به ‌‌NIDS مي‌رسد. ‌‌NIDS بسته را كنترل مي‌كند و اگر مشكوك باشد، نشانه‌هاي بسته اطلاعاتي يا پكت را با نشانه‌هاي بسته‌هاي مضر يا رفتارهاي غير‌عادي مقايسه مي‌نمايد.
 
سپس اگر بسته داراي نشانه‌هاي حمله باشد و مشكوك به‌نظر برسد، به مدير شبكه اطلاع مي‌دهد و در برخي موارد نيز مانع ورود هر گونه بسته‌اي از‌‌ اين ‌‌IP مي گردد.

‌اگر بخواهيم ‌IDSها را طبقه بندي كنيم، مي‌توانيم آن‌ها را در دو گروه اصلي قرار دهيم: IDSهايي كه محتواي پكت ارسالي را كنترل مي‌نمايند و آن را با اطلاعات پايگاه اطلاعاتي شامل صفات و نشانه‌هاي بارز حملات مقايسه مي‌كنند كه اصطلاحا به ‌‌Signature Based معروفند.
 
(درست شبيه كاري كه ضدويروس‌ها انجام مي‌دهند). البته اين نوع ‌‌IDSها يك مشكل اساسي دارند و آن ناتواني در شناسايي حملات جديد است. اين سيستم‌ها فقط قادر به شناسايي حملاتي هستند كه قبلا براي آن‌ها تعريف شده است. 

نوع ديگري از ‌‌IDSها سيستم‌هايي هستند كه قادر به شناسايي عملكرد غير عادي يك ‌‌IP فرستنده بسته هستند.  مثلا اگر يك منبع ، دويست بار در دقيقه به پورت 21 دسترسي دارد مشخص است كه قصد هك كردن سيستم را دارد. به اين نوع سيستم‌ها اصطلاحا‌‌ ‌Anomaly Based مي گويند.  ‌

IDSها را مي‌توان از نظر نوع  واكنش به حملات نيز به دو گروه تقسيم نمود: گروه اول سيستم‌هايي هستند كه فقط حملات را شناسايي مي‌كنند و پيغام مي‌دهند (‌Passive IDS) و گروه ديگر نه تنها حملات را شناسايي مي‌كنند و به مدير سيستم پيغام مي‌دهند، بلكه راه ارتباطي فرستنده مورد‌نظر را نيز به شبكه مسدود مي‌كنند و نمي‌گذارند هيچ بسته‌اي از طرف اين ‌‌‌IP به شبكه وارد شود‌‌. (Reactive IDS) به‌عنوان نمونه  يكي از ‌‌IDSهاي معروف،  اپن‌سورس و رايگان  كه مي‌توانيد از اينترنت دانلود كنيد، ‌‌‌Snort است. اين نرم‌افزار در ويندوز و لينوكس قابل نصب مي‌باشد. (‌نشاني ‌www.snort.org) ‌

رابطه فايروال و IDS
در‌ ديواره‌هاي آتش امروزي ‌‌IDS نقش مهمي را به‌عهده‌دارد. مثلا امروزه فناوري‌هاي جديدي مثل‌ Intrusion Prevention System) IPS) يا سيستم پيشگيري از نفوذ‌ ديواره آتش‌ شامل فيلترهاي مختلف شبكه و يك ‌‌IDS  واكنشي ‌‌‌(Reactive) است كه شبكه را از آسيب‌هاي خارجي مصون نگاه مي‌دارد. 

اصولا‌‌ ديواره آتش اولين عامل امنيتي (ديوار حائل بين شبكه و محيط خارج) در هر شبكه است. بهترين روش استفاده از ديواره آتش اين است كه به صورت پيش‌فرض جلوي تمامي ترافيك‌هاي ورودي به شبكه را بگيرد و فقط به مدير شبكه اجازه دهد پورت‌هاي مخصوصي را براي استفاده باز بگذارد.

مثلا مدير شبكه،  پورت‌هاي 80 (ميزبان وب سايت) يا پورت 21‌‌ (‌FTP) سرور كه به صورت مكرر مورد‌استفاده قرار مي‌گيرد را بازنگه‌دارد.  ولي در برخي از موارد همين پورت‌هاي باز مشكل سازند و نفوذگر مي‌تواند از طريق آن‌ها به شبكه راه بيابد.

نياز به ‌‌IDS در اين قسمت محسوس به نظر مي‌رسد. ‌‌‌IDS مي‌تواند ترافيك شبكه را در اين پورت‌هاي باز زير نظر بگيرد و در صورت مشاهده هرگونه رفتار غيرعادي، شما را مطلع كند.

اگرچه ‌‌IDSها مي‌توانند از شبكه محافظت كنند و ابزاري مناسب براي پيدا‌كردن عوامل خارجي مزاحم در شبكه شما هستند، اما درستي عملكرد و بروز بودن اين سيستم‌ها الزامي به نظر مي‌رسد.  مثلا دزد گير اتومبيلي را در نظر بگيريد كه حساسيت زيادي دارد و حتي در صورت تماس دست با بدنه اتومبيل آژير را به صدا در مي آورد. اما دزد گير يك اتومبيل ديگر  كه حساسيت كمي دارد، از امنيت كمتري برخوردار است و ممكن است به همين علت سرقت شود. اين مشكل در ‌IDS‌ها نيز صادق است.

در نتيجه قبل از استفاده از اين سيستم‌ها بايد از درستي و بروز بودن آن‌ها اطمينان حاصل كنيم. به‌علاوه،  اگر يك ‌IDS بروز نباشد و نشانه‌هاي حمله‌هاي جديد را نشناسد، هكرها مي‌توانند به راحتي شبكه را مورد حمله قرار دهند. يعني اين كار باعث خواهد شد شبكه‌اي آسيب پذير داشته باشيم.

طراحي و ايجاد يك ‌NIDS ساده‌
‌ تا اينجا با مدل كلي‌‌IDS ها آشنا شديم. در اين قسمت يك‌‌ NIDS ‌ساده و براي سهولت كار ‌‌Off-Line مي‌سازيم. منظور از ‌‌‌Off-Line اين است كه ترافيك شبكه را كه در يك فايل ذخيره شده است بررسي مي‌كنيم، سپس فايل را آناليز مي‌نماييم و در صورت  مشاهده نشانه‌هاي مشكوك و رفتارهاي غير‌عادي هر سورس پيغام‌هايي را به كاربر مي‌دهيم. براي طراحي اين سيستم از‌‌UML  و براي اجراي آن مي‌توانيد از‌‌ جاوا‌ يا هر زبان برنامه نويسي  ديگري (مانند ++‌C ‌يا‌‌‌ C) استفاده كنيد. ‌

شكل 10-  نمونه‌اي از ‌Land Attack

شكل 7- كلاس‌هاي برنامه ‌‌IDS

براي به‌دست آوردن اطلاعات ترافيك شبكه بايد از سيستم‌هاي آناليز ترافيك شبكه استفاده كنيد. ‌‌Ethereal يك نمونه از اين سيستم‌هاست كه به صورت رايگان قابل دانلود‌كردن و استفاده مي‌باشد.

‌پس از دانلود و اجراي برنامه، به منوي ‌‌Capture برويد و ‌‌Start را انتخاب كنيد. سپس در پنجره ‌Capture Option،‌‌ دكمه OK را كليك كنيد ( شكل 4).  با اين كار سيستم بسته هاي اطلاعاتي  ورودي به شبكه و ترافيك شبكه را ضبط مي كند.

چند ثانيه صبر كنيد تا سيستم اطلاعات شبكه را ذخيره كند. سپس‌‌دكمه Stop ‌را كليك كنيد. بعد از زدن ‌Stop، همانطور كه در شكل 5 مشاهده مي‌كنيد، سيستم ترافيك شبكه ذخيره شده است.

‌مي‌بينيد كه ترافيك شبكه در قالب فريم‌هايي ذخيره شده است. تقريبا در هر ثانيه، دوازده فريم ذخيره مي‌شود (در مثال بالا در هيجده ثانيه حدود 223 فريم ذخيره شد).

هر فريم اطلاعاتي از قبيل آدرس ‌IP منبع فرستنده ‌‌(Source)،‌‌ آدرس ‌IP دريافت‌كننده بسته اطلاعاتي ‌‌‌‌(Destination) و پروتكل را ذخيره مي كند.

‌حال بايد اين اطلاعات را در يك  فايل ذخيره كنيد (اين فايل ها به ‌TCPdump معروفند).
 
براي اين كار در منوي‌‌ ‌File به‌ ‌Export مي‌رويم و فريم‌ها را به صورت ‌‌Plain Text File ذخيره مي كنيم. سيستم بايد اين فايل را آناليز كند، عملكرد هر سورس را در فهرست خاص خود قرار دهد و در مرحله آخر در فهرست‌ها جستجو نمايد و دنبال مورد مشكوك بگردد.  شكل 6 عملكرد كلي سيستم را در پيدا كردن موارد مشكوك نشان مي دهد.  

‌مرحله بعد طراحي كلاس‌هاي برنامه است. شكل 7 هفت كلاس‌هاي اين برنامه را نشان مي دهد. همانطور كه در شكل 7 مي‌بينيد، هر كلاس كار خاصي را انجام مي دهد و تركيب اين كلاس ها  برنامه ‌‌‌IDS را به وجود مي آورد كه پنج كار اصلي انجام مي دهد:

1- خواندن فايل TCPdump ‌

2- ايجاد يك پرونده براي هر سورس IP

3- كنترل‌كردن مشخصات فريم در مقايسه با مشخصات بسته‌هاي مشكوك

4- كنترل‌كردن رفتارهاي غيرعادي يك سورس

5- مطلع‌كردن مدير شبكه از ترافيك‌هاي مشكوك

خواندن فايل‌ ‌‌TCPdump
در زبان برنامه نويسي جاوا خواندن يك  فايل كار دشواري نيست. توابعي مثل:
توابعي هستند كه به ما در استخراج اطلاعات فريم ياري مي‌رسانند. هر فريم در فايل‌ ‌TCPdump فرمتي مشابه شكل 8 دارد. (هر فريم در واقع نمايانگر اطلاعات يك بسته ارسالي به شبكه است)

اطلاعات مورد‌نياز ما از هر فريم عبارتند از:

-‌‌  آدرس IP فرستنده بسته‌‌

-   گيرنده ‌IP بسته 

- پروتكل

- پورتي كه بسته از آن ارسال شده است.

- پورت ورودي شبكه

بايد اين اطلا‌عات را از هر فريم استخراج نماييم و در كلاس‌‌ ‌‌Events  قرار دهيم. شكل 9 با استفاده از تابع
 StringTokenierz اين كار را انجام مي‌دهد. 

ايجاد پرونده براي هر سورس  ‌
همانطور كه در شكل 7 مشاهده مي‌كنيد، كلاس ‌‌EventChecker به كلاس‌ ‌ScrProfile ارتباط دارد. كلاس‌EventCheker براي هر  سورسIP يك پروفايل يا پرونده تشكيل مي دهد  تا بتواند عمليات آن منبع را بهتر زيرنظر داشته باشد.

كنترل‌كردن مشخصات فريم در مقايسه با  نشانه‌هاي ‌بسته‌هاي مشكوك (Signature) در مرحله بعدي انجام مي‌شود. در برخي  موارد، پيدا كردن نشانه‌هاي حمله به شبكه بسيار ساده است. مثلا اگر فرستنده بسته، بسته را به آدرس مشابه خود ارسال كند (آدرس IP فرستنده و گيرنده يكي باشد)، به اين نوع حمله اصطلا‌حاً ‌‌Land Attack مي‌گويند. پس اگر سيستم با فريمي مواجه شد كه آدرس فرستنده و گيرنده بسته مشابه بود، احتمال حمله به شبكه وجود‌دارد.  مثلا شكل 10، دو بسته ( فريم 14 و 17) را نشان مي‌دهد كه احتمالا ‌‌Land Attack مي‌باشند.

جدول نمايش داده شده در شكل 11 برخي از نشانه‌هاي ساير حملات به شبكه را كه مي‌توانيد كنترل كنيد، نمايش داده است.

‌ كدهاي زير (با استفاده از جاوا) پروفايل هر سورس را كنترل مي‌كند و اگر يك منبع تلاش دارد بيش از حد معمول از طريق يك پورت به شبكه متصل شود، اين پورت در ليست سياه قرار مي گيرد. 

همانطور كه در كدهاي شكل 12 مي بينيد اولين كار، جستجو در فهرست تمام سورس‌هاي منبع (پروفايل‌ها) است. سپس برنامه هر سورس را در نظر مي‌گيرد و فعاليت‌هاي آن منبع را در شبكه  پيدا مي‌كند. در ‌‌While بعدي برنامه پورت‌هايي كه سورس مورد نظر به آن دسترسي دارد را يكي يكي ذخيره مي‌كند و اگر يك سورس از مقدار تعريف‌شده (در اينجا پنجاه‌بار) بيشتر به يك پورت دسترسي داشته باشد، پيغام اخطار داده مي‌شود. (البته در اين قسمت از برنامه مدت زمان دسترسي تعيين نشده است و شما مي توانيد با دستكاري اين قسمت از برنامه، در مدت زمان مشخص، مثلا‌ً پنج ثانيه اين  كار را انجام دهيد). 

‌كنترل‌ ‌NIDS بر رفتارهاي مشكوك
 هكرها معمولا با سه هدف عمده به شبكه شما نفوذ مي‌كنند. از كار انداختن شبكه، خواندن و استفاده از اطلاعات سري، و تغيير يا حذف اطلاعات. در نتيجه منطقي‌ترين كار براي شناسايي رفتارهاي مشكوك در يك شبكه، پيدا‌كردن نشانه‌هايي از مزاحمت‌هايي است كه باعث مشكلات بالا مي‌شوند. در مثال بالا كه يك ‌‌NIDS  غيرفعال يا Offline ‌است، موتور جستجوگر رفتارهاي مشكوك را با جستجو در قسمت ابتدايي بسته‌هاي ‌TCP/IP  يعني header پيدا‌مي‌كند.

به‌اين‌صورت كه محتواي هر بسته ارسالي از سوي هر منبع را تحليل مي‌نمايد و پارامترهاي آن را با نشانه‌هاي مشكوك از پيش تعيين شده مقايسه مي‌كند و در صورت مشاهده هرگونه مورد مشكوك مدير شبكه را مطلع مي‌نمايد. در اين روش ترافيك‌هاي مشكوك شبكه بدون اين‌كه نيازي به خواندن محتواي بسته باشد، از طريق نشانه‌هاي مشكوك ‌(Signatures) ‌شناسايي مي‌شوند. روش‌هاي مختلفي براي معرفي اين نشانه‌ها وجود دارد كه از آن جمله مي توان از نشانه‌هاي برنامه‌ريزي شونده داخل سورس كد و سيستم‌هاي هوشمند نام برد.

نشانه حمله	نام حمله
آدرس فرستنده و گيرنده يكسان است‌	‌Land Attack
اين حمله كه بسيار خطرناك است، باعث از كار افتادن كامل شبكه مي‌گردد. در اين حمله فرستنده (هكر) بسته آلوده را از پورت 139 و از طريق پروتكل ‌‌TCP به سرور مي‌فرستد. ‌‌‌IDS بايد در صورت مشاهده اين عمل از جانب هر سورسي، مدير شبكه را مطلع سازد.	WinNuke Attack
وقتي كه آدرس منبع و مقصد يكي باشد و پارامتر ‌Win بزرگ‌تر از 1028 باشد.‌	ACK scan
وقتي فرستنده قصد اتصال به پورت‌هاي مهمي مثل ‌‌31، 456 يا 555 ‌‌ را داشته باشد.	اتصال به پورت‌هاي مهم
پورت اسكن در واقع عبارت است از اسكن كردن فراوان يك پورت در فاصله زماني كم. مثلا اگر يك‌‌‌IP آدرس پورت 456 را در پنج ثانيه 100 بار اسكن كند، رفتار اين ‌‌‌IP آدرس مشكوك است.	nmap و ‌Port Scan
شكل 11- نشانه حملات در بسته‌هاي ارسالي به شبكه‌

سيستم‌هاي آشكارساز نفوذ شبكه مي‌توانند برخي از مزاحمت‌هاي شبكه را اطلاع دهند و بسيار ساده هم تهيه مي‌شوند. در برخي موارد ممكن است اشتباه كنند و به مدير سيستم هشدار اشتباه بدهند. (به اين حالت اصطلاحا‌ False Alarm مي گويند).

‌براي آشنايي بيشتر با ‌NIDSها و سازوكار آن‌ها مي‌توانيد از سايت ماهنامه شبكه (قسمت دريافت فايل) فايل‌‌‌IDS.jar كه يك فايل اجرايي جاوا است را دانلود كنيد‌ ‌و با استفاده از دو فايل‌ TCPdump‌موجود ‌‌nmapsP.txt و nmap.txt مشاهده كنيد كه چگونه ‌‌IDSها قادر به شناسايي موارد مشكوك در شبكه هستند.  براي اين‌كار، مراحل زير را دنبال كنيد.

- برنامه را اجرا كنيد

- با انتخاب منوي ‌File ،‌Import TCPdump را كليك كنيد.

- فايل ‌‌TCPdump را انتخاب كنيد. مثلا فايل ‌‌nmapsP.txt را انتخاب نماييد و منتظر شويد سيستم فايل را بخواند و فريم ها را آناليز كند.

شكل 12- پيدا كردن پورت اسكن‌

- از منوي Start ،‌Detection را انتخاب كنيد. سپس سيستم موارد مشكوك ‌‌(آدرسIP سورس) را شناسايي مي‌كند و به شما اطلاع مي‌دهد.
 
كار كردن با اين سيستم بسيار آسان است و مي‌توانيد با دستكاري فايل ‌‌TCPdump و تغيير اطلاعات فريم‌ها، موارد مشكوك بيشتري پيدا كنيد.

بااين‌كه نمي‌توان اين سيستم را با ‌‌IDS هاي بزرگ مقايسه كرد،  شايد بتوان گفت اين سيستم يك نمونه بسيار كوچك از ‌IDSهاي بزرگ است و سازوكار اصلي اين سيستم‌ها را نشان مي‌دهد.  استفاده از IDSها امروزه بسيار متداول شده است.
 
در اكثر ضد‌ويروس‌هاي امروزي ‌IDS‌هاي كوچكي تعبيه شده است كه محتواي بسته‌هاي ارسالي به كامپيوتر شما را كنترل مي كند و در صورت مشاهده مورد مشكوك،‌‌ آدرس ‌IP را مسدود مي‌نمايد و اجازه استفاده از شبكه (‌يا سيستم‌) را به آن منبع نمي دهد.

شايد بتوان گفت با اين كار امنيت بيشتري براي شبكه‌ها و حتي كامپيوترهاي شخصي به وجود مي‌آيد.
 
ولي برخي از اين سيستم‌ها مثل سيستمي كه در ‌‌Norton Internet Security وجود دارد، در بعضي موارد اجازه استفاده از پورت‌هاي كامپيوتر را حتي به سيستم‌هاي داخلي نيز نمي‌دهد و پورت را به صورت خودكار مي‌بندد. اگرچه شايد هنوز ‌IDS‌ها  زيادي در شبكه‌هاي امروزي وجود نداشته باشند و جز معدود شركت‌هاي بزرگ فناوري اطلاعات، بقيه شركت‌ها هنوز از اين فناوري استفاده نمي‌كنند و اين سيستم‌ها را جدي نمي‌گيرند، بايد اين موضوع را در نظر داشت كه هميشه كساني هستند كه حتي براي تفريح دوست دارند به شبكه شما راه پيدا كنند.

با استفاده از ‌IDS‌ها مي‌توانيم يك كارآگاه خصوصي استخدام كنيم كه هر گونه مورد مشكوكي را قبل از اين كه زيان جدي به شبكه بزند، شناسايي و از ورود آن به شبكه ممانعت به‌عمل آورد.

اين مقاله مقدمه‌ ساده‌اي بود در مورد ‌NIDSها، مطالعه منابع زير در يادگيري بيشتر در مورد اين سيستم‌ها به شما ياري مي‌رساند. 

در پایان این مقاله باز هم از جناب صفایی تشکر میکنم که این مقاله ارزشمند و فوق العاده رو در اختیار دوستان قرار دادند . در ضمن علاوه بر نرم افزار اشاره شده در مقاله جهت تشخیص نفوذ نرم افزارهای دیگه ای هم موجود هستند که اتوماتیک وار تشیص نفوذ رو اطلاع میدن در صورت نیاز به اطلاعات بیشتر در مورد نرم افزار ها درقسمت نظرات خواسته خودتون رو مطرح کنین تا در حد توانم به شما دوستان کمک کنم       

http://sunsite.uakom.sk/sunworldonline/swol-09-1988/swol-09-security.html Totsuka,A et al.2000.Network-based intrusion detection-modeling for a larger picture   Proceedings of LISA 2000.3- 8 November2000.USENIX.pp.227-232 www.usenix.org/events/lisa02/tech/fullpapers/totsuka/totsuka.pdf Paxson,V.1999:a system for detecting network intruders in real-time  Computer Networks. 31(23-24).December1999.pp.242435.2463   www.cs.unc.edu/jeffay/courses/nidsS05/signatures/paxson-bro-cn99.pdf Richard, M(2001)Are there limitations of Intrusion Signatures www.sans.org/resources/idfaq/limitations.php

‌منابع :

چه شيرين!
شاگردان كلاسي كه من در آن بودم، مردان ميانسالي بودند كه مديريت سيستم‌هاي پيشرفته‌اي را بر عهده داشتند. آن‌ها در اين دوره 4300دلا‌ري شركت كرده بودند تا بفهمند چه نكات تازه‌اي از تهديدات رايانه‌اي مطرح شده است.

غالب اين افراد براي شركت‌هاي سازنده رايانه، شركت‌هاي نرم‌افزاري يا براي افرادي كار مي‌كردند كه حفظ امنيت كامپيوترهايشان برايشان اهميت داشت. يك نفر از جدال تمام نشدني خود با همسرش درباره كار با كامپيوتر حرف مي‌زد و يكي ديگر براي خنداندن ديگران چيزي مي‌گفت.

اما در اين ميان ويتاكر با نكته‌هايي كه درباره چگونگي فرار از تله‌هاي امنيتي يك شركت و مقابله با آن مي‌گفت، تحسين همه را برمي‌انگيخت. خود وي نيز كه در اوقات فراغت، وقتش را صرف مقابله با هكرها مي‌كند، مي‌ايستاد و از ما مي‌پرسيد: مطالبش جالب است يا نه؟ شايد مي‌خواست با اين كار هيجان آموزش را بيشتر كند!

تولد تازه‌
هيجان داشته باشد يا نه، اين اردو كاملاً جدي است و افراد حاضر در آن، هدف خاصي را دنبال مي‌كنند: كسب مدرك <هكر اخلاقمند> كه توسط انجمن بين‌المللي مشاوران تجارت الكترونيك داده مي‌شود. اين گروه سال‌هاست چنين برنامه‌اي را مديريت مي‌نمايد، اما در حال حاضر بيش از هر زمان ديگر نياز به متخصصاني احساس مي‌شود كه بتوانند مانند هكرهاي مخرب فكر كنند.

زماني شركت‌ها براي مقابله با تهديدات امنيتي، خود هكرها را به استخدام درمي‌آوردند. اما اين كار باعث مي‌شد آن‌ها با تجربه‌تر شوند و به تهديد بزرگ‌تري تبديل شوند. اينجا بود كه آن‌ها به فكر پرورش متخصصاني در داخل سازمان خود افتادند كه به آن‌ها <هكر كلا‌ه‌سفيد> مي‌گفتند.

اغلب تهديدات الكترونيكي بنا به اهداف مالي صورت مي‌گيرد. آن‌ها تنها به نيت از كار انداختنِ شركت‌هاي تجاري يا آزاررساني اقدام به ويروس‌نويسي نمي‌كنند. هدف آن‌ها ديگر معروف‌شدن هم نيست. آن‌ها به دنبال كسب درآمد بيشتر هستند. طبق آخرين آماري كه شركت سيمانتك منتشر كره است، حملات اينترنتي به منظور كشف اسرار محرمانه با رشدي 74 درصدي در نيمه دوم 2005، هشتاددرصد كل تهديدات را شامل شده است.

واقعيت هشدار دهنده‌
نكته ترسناك اين موضوع در آن است كه براي هك كردن ديگر لازم نيست متخصص سطح بالا يا برنامه‌نويس قهّاري باشيد. خود من كه آخرين برنامه كامپيوتريم را در كلاس سوم دبيرستان و آن هم به زبان بيسيك نوشته بودم، با يك ساعت حضور در اردو، توانستم به پايگاه داده بانك مجازي مايكروسافت نفوذ كنم و شماره كارت‌هاي اعتباري را درآورم.

تنها لازم است عاشق دانستن ترفندها باشيد. براي مثال، نام كاربري پيش فرض مايكروسافت SA است و براي كلمه عبور پيش فرض ندارد. خيلي از مديران شبكه اين نام كاربري را تغيير نمي‌دهند. از اين رو خيلي از هكرها ابتدا آن را امتحان مي‌كنند كه معمولاً موفق هم از آب در مي‌آيد.

يك نكته ديگر هم اين است كه در محل ورود كلمه عبور، علامت نقل قول (") را قرار دهيد. اگر پيغام خطايي صادر شد، بدانيد آن پايگاه داده را مي‌توان به روشي به نام SQL Injection هك كرد. ويتاكر پس از گفتن اين نكته دوباره با هيجان پرسيد: جالب بود؟ دوست داريد باز هم از اين نكات بدانيد؟

در دسترس همه‌
پايگاهي كه من هك كردم، يك پايگاه حقيقي نبود. براي يك كار واقعي به دستورالعمل‌هاي بسيار بيشتري نياز است. اما ويتاكر گفت كه تعداد زيادي از پايگاه‌هاي موجود در شبكه از همين نوع هستند؛ زيرا مديران از امنيت چيزي نمي‌دانند و مديران امنيتي، پايگاه داده را خوب نمي‌شناسند. حال فكر بكنيد اگر من مي‌توانم روش هك كردن پايگاه داده‌هاي اوليه را به اين سادگي بياموزم، يك فرد ماهر چه بلايي مي‌تواند بر سر آن‌ها بياورد؟

با تعجب پرسيدم: آيا آن‌ها اطمينان دارند كه هكرهاي اخلاقمندشان خطا نمي‌كنند؟ ويتاكر پاسخ داد: هميشه  افرادي وجود دارند كه از تخصصشان سوء استفاده كنند، اما آن‌ها با تمامي توان، دانش‌آموختگان خود را تحت نظر دارند. آن‌ها را با حقوق خوبي استخدام مي‌كنند و در ضمن ضمانت‌نامه‌اي نيز مبني بر عدم تخطي از اصول اخلاق حرفه‌اي نيز امضا مي‌كنند. در كلاس‌هاي سطح بالاتر، پيشينه افراد هم مورد بررسي قرار مي‌گيرد. با اين همه، اين روزها كسي كه بخواهد هكر شود، راه خود را پيدا مي‌كند؛ چه با اين كلاس‌ها چه بدون اين‌ كلا‌س‌ها!

حجم بالايي از مطالب آموزشي مربوط به اين حوزه، در اينترنت يافت مي‌شود. مانند بسياري از نرم‌افزارهاي عمومي كه افراد با نوشتن كدها و پايگاه داده آن‌ها را به صورت رايگان در شبكه قرار مي‌دهند تا ديگران نيز با استفاده از آن در بسط و گسترش آن نرم‌افزار سهيم شوند، منابع باز بسيار زيادي را براي نگارش ويروس و تروجان مي‌توان در اينترنت پيدا كرد.

زيباي ترسناك!
پس از شش ساعت كلاس فشرده، نوبت به كاربرد آنچه كه تدريس شد رسيد؛ هك شماره كارت‌هاي اعتباري از يك بانك و ايميل آن به همان بانك! من بايد مي‌پذيرفتم براي كسي كه سال‌ها پيش تنها يك برنامه ساده آن هم به زبان بيسيك نوشته است، اين كار پيچيده است. از اين رو وقتي ويتاكر به سراغم آمد تا به من نشان دهد چگونه يك كامپيوتر ديگر را به تروجاني به نام Beast آلوده مي‌كند، اصلاً ميل و رغبتي نشان ندادم.

Beast را يك دانشجو نوشته بود كه مي‌توانست اعمال طرف ديگر را تحت نظر بگيرد. بنابراين تا آنجا كه توانسته بود، روي آن كار كرده بود. اين برنامه در اصل براي كنترل webcam اتاق قرباني نوشته شده بود، اما مي‌توانست CD  درايو، جست‌وجوگر اينترنت، پنجره‌هاي چت و هر چيز ديگري را كنترل كند. امروزه شما مي‌توانيد آن را به صورت رايگان دانلود كنيد. البته اغلب برنامه‌هاي امنيتي مي‌توانند آن را كشف كنند، اما نيمي از رايانه‌هاي ايالات متحده فاقد چنين برنامه‌هايي هستند و در هر حال افرادي هستند كه با دريافت كمي پول، برنامه‌هايي بنويسند كه قابل شناسايي هم نباشد.

واقعيت و روِيا
طبق آمار سيمانتك، اغلب هكرها از دوشنبه تا جمعه از ساعت نُه صبح تا پنج بعدازظهر كار مي‌كنند؛ گويي شغلشان اين است! ديويد كول، مدير سيمانتك كه خود ماه‌ها فعاليت آنلا‌ين هكرها را زير نظر داشت مي‌گويد: خونسردي آن‌ها در برابر تخلفات قانوني و ميزان تخريبي كه از نظر اقتصادي وارد مي‌كنند، براي ما تعجب برانگيز است.

چند روز پيش از ويتاكر پرسيدم: چه احساسي نسبت به فيلم سينمايي فايروال دارد؟ در اين فيلم هريسون فورد داستان يك متخصص امنيت الكترونيك را به تصوير كشيده‌است كه دزدان وي را مجبور مي‌كنند براي آزادي فرزندش، اطلاعات بانكي را هك كند كه خود مسئِوليت حفاظت از آن را بر عهده دارد. او با آرامش جواب داد: <اما چيزي كه در دنياي واقعي رخ مي‌دهد، با دنياي فيلم تفاوت دارد.> بعد از يك روز حضور در اردوي هكرها، حرف او را درك كردم: دنياي واقعي ترسناك‌تر است!

ترجمه: رضا نبوتي‌                                       منبع: بيزنس ويك‌