سایبرمسلم با 6 سال سابقه کاری در خدمت شما برای انجام پروژه های امنیتی هاستینگ می باشد.
ماه: می 2018
چرا HTTPS بهتر و ایمن تر از HTTP است ؟
پس از اقدام ادوارد اسنودن در افشای این موضوع که ارتباطات آنلاین بهطور یکجا توسط برخی از قدرتمندترین سازمانهای اطلاعاتی در جهان جمعآوری میشوند، کارشناسان امنیتی برای رمزنگاری تمام شبکهی وب فراخوانی شدند. اکنون با گذشت چهار سال از آن رویداد، به نظر میرسد ما نقطهی کلیدی در طی چنین مسیری را پشت سر گذاشته باشیم.
تعداد وبسایتهای پشتیبانیکننده از حالت HTTPS در سال گذشته با روند بسیار چشمگیری افزایش یافت. گفتنی است که HTTPS بهنوعی پروتکل HTTP اطلاق میشود که توسط اتصالات SSL یا TLS رمزگذاری میشود. باید بگوییم مزایای زیادی در استفاده از حالت رمزگذاری اتصالات وجود دارد؛ بنابراین اگر وبسایت شما هنوز از این تکنولوژی پشتیبانی نمیکند، به نظر میرسد زمانش رسیده باشد تا شما نیز به جرگهی استفادهکنندگان از HTTPS بپیوندید.
دادههای تلهمتری (مبتنی بر دورسنجی) بهدستآمده از گوگل کروم و موزیلا فایرفاکس نشان میدهند که بیش از ۵۰ درصد ترافیک وب در حال حاضر رمزگذاری میشود و این اتفاق هم برای کامپیوترها و هم برای دستگاههای تلفن همراه انجام میپذیرد. بیشتر این ترافیک بهسوی چند وبسایت بزرگ سرازیر میشود؛ ولی به هر حال، روند استفاده از آن نسبت به یک سال پیش دارای افزایشی بالغ بر ۱۰ درصد بوده است.
در همین حال، انجام یک بررسی در ماه فوریه روی وبسایتهای با تعداد بازدید بیشتر از یک میلیون در جهان، نشان داد ۲۰ درصد آنها از HTTPS پشتیبانی میکنند که در مقایسه با مقدار ۱۴ درصد در ماه اگوست، افزایش داشته است. بنابراین نرخ رشد قابل توجه بیش از ۴۰ درصد در طی یک و نیم سال بسیار شگفتآور است. شماری از دلایل معقول برای افزایش سریع در میزان بهکارگیری HTTPS وجود دارد. امروزه برخی از موانع موجود در طی مراحل راهاندازی و استقرار آن از میان برداشته شدهاند و غلبه بر آنها راحتتر شده است. از سویی هزینههای این سرویس پایینتر آمده و از اینرو تمایل بیشتری برای به کار گرفتن آن از طرف وبسایتها دیده میشود.
تأثیر بر عملکرد
یکی از نگرانیهای طولانیمدتی که در مورد HTTPS وجود دارد، باور رایج در مورد تأثیر منفی آن بر منابع سرور و سرعت بارگذاری صفحه است. بهطور خلاصه میتوانیم برداشت فوق را چنین بیان کنیم که فرایند رمزگذاری معمولا با ایجاد کاستی یا خللی در عملکرد سیستم همراه است؛ حال چرا باید فکر کنیم که HTTPS از این قاعده مستثنا خواهد بود؟
اما همانطور که در ادامه مشخص شد، به لطف بهبود سرورها و نرمافزارهای سرویسگیرنده در طول سالهای اخیر، تأثیر رمزگذاری TLS یا (Transport Layer Security) بر عملکرد سیستم حتی در بیشترین میزان خود نیز قابل اغماض است.
پس از آنکه گوگل حالت HTTPS را برای جیمیل در سال ۲۰۱۰ فعال کرد، این شرکت گزارش داد که روی سرورهای خود تنها به میزان یک درصد شاهد افزایش میزان بارگذاریهای CPU بوده است. همچنین میزان حافظهی اضافه اشغالشده به ازای هر اتصال به میزان کمتر از ۱۰ کیلوبایت بیشتر شده و هزینهی شبکهی آنها کمتر از ۲ درصد افزایش داشته است. از طرفی باید در نظر داشته باشیم که برای استقرار HTTPS، نیاز به هیچ نوع دستگاههای اضافه یا سختافزار خاص وجود ندارد.
تأثیرات یادشده نهتنها در بخش مربوط به پردازش و دسترسی به دادهها (بک اِند) بسیار ناچیز هستند، بلکه علاوه بر آن فرایند جستجو و گردش در وب برای کاربران در هنگام روشن بودن حالت HTTPS دارای سرعت بیشتری بوده است. چرا که مرورگرهای مدرن از HTTP/2 پشتیبانی میکنند که یک ورژن تجدید نظرشده از پروتکل HTTP است و در بسیاری از عملکردهای آن، بهبودهای اساسی اعمال شده است.
حتی اگر رمزگذاری بهعنوان یک مشخصهی اساسی برای حالت رسمی HTTP/2 لازم نباشد؛ سازندگان مرورگرها استفاده از آن را در روند پیادهسازی خود اجباری کردهاند. جملهی آخر بدین مفهوم است که اگر شما بخواهید کاربرانتان از افزایش سرعت بیشینهی موجود در HTTP/2 بهرهمند شوند، باید از پروتکل HTTPS روی وبسایت خود استفاده کنید.
همیشه پای مسائل مالی هم در میان است
هزینهی به دست آوردن و تمدید گواهینامههای دیجیتال مورد نیاز برای استقرار HTTPS در وبسایت، به یک نگرانی قابل توجه در گذشته تبدیل شده بود و باید بگوییم این نگرانیها تا حدی بهحق بودند. بسیاری از کسبوکارهای کوچک و نهادهای غیر تجاری بهاحتمال زیاد به همین دلیل از دسترسی به HTTPS دور مانده بودند و حتی شرکتهای بزرگتر با شمار زیادی از وبسایتها و دامنهها در مجموعهی خود نیز احتمالا در مورد مسائل مالی استفاده از این پروتکل، نگرانیهایی داشتهاند.
خوشبختانه اکنون دیگر مورد اخیر برای وبسایتها نمیتواند موضوعیت داشته باشد؛ حداقل برای وبسایتهایی که به دنبال انجام اعتبارسنجیهای توسعهیافته (گواهی EV) نیستند. مرکز صدور گواهی رمزگذاری غیرانتفاعی در سال گذشته با نام Let’s Encrypt راهاندازی شد و گواهی اعتباردهی به دامنه (DV) را از طریق یک فرایند بهطور کامل خودکار و با قابلیت کاربری آسان و از همه مهمتر بهصورت رایگان ارائه میدهد.
از نقطهنظر رمزنگاری و امنیتی هیچ تفاوتی بین گواهی DV و EV وجود ندارد. تنها تفاوت میان آنها، این است که دومی نیاز به یک تأیید سختگیرانهتر از سازمان درخواست گواهی دارد و اجازه میدهد نام دارندهی گواهینامه در نوار آدرس مرورگر در کنار شاخصهای دیداری HTTPS قابل رؤیت باشد.
علاوه بر Let’s Encrypt، برخی از شبکههای تحویل محتوا و ارائهدهندگان خدمات ابری، از جمله CloudFlare و آمازون نیز اقدام به ارائهی گواهی TLS رایگان به مشتریان خود کردهاند. وبسایتهای میزبانیشده روی پلتفرم WordPress.com نیز گواهی HTTPS را بهطور پیشفرض و رایگان دارند؛ حتی اگر آنها از دامنههای سفارشی استفاده کنند.
هیچ چیزی بدتر از پیادهسازی ضعیف وجود ندارد
استقرار HTTPS در یک سایت، پیشتر بهعنوان روندی مملو از خطر تلقی میشد. با توجه به روند ضعیف گردآوری اطلاعات، پشتیبانی از الگوریتمهای ضعیف در کتابخانههای سری و مخفی و از سویی حملات جدیدی که دائما در حال شناسایی بودند، همواره این احتمال وجود داشت که مدیران سایتها و سرورها از ادامهی کار با سیستم آسیبپذیری همانند HTTPS چشم بپوشند. همچنین این موضوع مطرح بود که همواره یک سیستم HTTPS بد و ناکارآمد، بدتر از نبودن HTTPS است؛ چرا که باعث القای حس امنیت کاذب به کاربران میشود.
برخی از آن مشکلات در حال حل و فصل هستند. در حال حاضر، وبسایتهایی مانند Qualys SSL Labs وجود دارند که در زمینهی ارائهی مستندات رایگان دربارهی بهترین شیوههای کاربری TLS و همچنین در زمینهی فراهم ساختن ابزارهای تست برای کشف و شناسایی پیکربندی و هرگونه ضعفی در پروتکل موجود فعالیت میکنند. در همین حال، وبسایتهای دیگری نیز برای ارائهی منابعی بهمنظور بهینهسازی عملکرد TLS کار میکنند.
محتوای ترکیبی میتواند دردسرآفرین باشد
وارد شدن منابع خارجی مانند تصاویر، فیلمها و کدهای جاوا اسکریپت روی اتصالات رمزگذاری نشده به یک وبسایت HTTPS باعث خواهد شد هشدارهای امنیتی در مرورگرهای کاربران فعال شوند و از آنجایی که بسیاری از وبسایتها برای عملکرد خود به محتوای خارجی هم وابستگی دارند (مواردی از قبیل سیستمهای کامنتگذاری، تجزیه و تحلیل وب، تبلیغات و سایر موارد)، موضوع محتوای ترکیبی سبب میشود آنها از ارتقاء به HTTPS خودداری کنند.
خبر خوب این است که تعداد زیادی از خدمات شخص ثالث، از جمله شبکههای آگهی، پشتیبانی از HTTPS را در سالهای اخیر به خدمات خود اضافه کردهاند. اگر بخواهیم دلیل مستدلی برای این مدعا ارائه دهیم، باید اشاره کنیم که بسیاری از وبسایتهای رسانههای آنلاین در حال حاضر به HTTPS تغییر حالت دادهاند؛ با وجود اینکه چنین وبسایتهای بهشدت وابسته به درآمدهای حاصل از تبلیغات هستند.
مدیران سایت میتوانند از هِدِر سیاست امنیت محتوا یا CSP برای شناسایی منابع ناامن در صفحات وب خود یا بازنویسی منشأ تشکیل آنها یا همچنین برای مسدود کردن این صفحات استفاده کنند. از سویی میتوان از سیستم امنیت کامل انتقال HTTP یا HSTS برای جلوگیری از ایجاد مشکلات مرتبط با محتوای ترکیبی استفاده کرد. این سیاست توسط یک محقق امنیتی به نام اسکات هلم در یک پست وبلاگی توضیح داده شده است.
روش امکانپذیر دیگر، استفاده از یک سرویس مانند CloudFlare است. این سرویس بهعنوان پروکسی متقابل بین کاربران و وب سروری عمل میکند که در واقع میزبان وبسایت است. CloudFlare ترافیک وب بین کاربران نهایی و سرور پروکسی خود را رمزگذاری میکند؛ حتی اگر ارتباط بین پروکسی و خدمتدهندهی میزبانی وب بهصورت رمزگذاری نشده باقی مانده باشد. این روند تنها نیمی از اتصال را ایمن میکند؛ اما هنوز هم بهتر از هیچ است و باید توجه کنیم که از رهگیری ترافیک و مخدوش سازی نزدیک به کاربر نیز جلوگیری میکند.
HTTPS امنیت و اعتماد ایجاد میکند
یکی از مزایای عمدهی HTTPS این است که میتواند کاربران را در برابر نوعی از حملهی سایبری موسوم به حملهی مرد میانی (MitM) حفاظت کند. این حملهها میتوانند از شبکههای در معرض خطر یا ناامن ایجاد شوند.
هکرها از روشهایی مانند روش فوق برای سرقت اطلاعات حساس از کاربران یا تزریق محتوای خرابکارانه به ترافیک وب استفاده میکنند. حملات MitM همچنین میتوانند در سطوح بالاتر و بهعنوان مثال در زیرساخت اینترنت در سطح کشور انجام شوند که از این دست میتوانیم به فایروال بزرگ چین اشاره کنیم. این حملات حتی در سطح قاره نیز میتوانند روی دهند؛ همانند فعالیتهای نظارتی آژانس امنیت ملی آمریکا.
علاوه بر این، برخی از اپراتورهای هاتاسپات Wi-Fi و حتی برخی از ارائهدهندگان خدمات اینترنت نیز از تکنیکهای MitM برای تزریق تبلیغات یا پیامهای مختلف به ترافیک وب رمزگذاری نشدهی کاربران استفاده میکنند. HTTPS میتوانید از این کار جلوگیری کند؛ حتی اگر این دست محتوا در ذات خود مخرب نباشد، کاربران ممکن است در تمایز آن از وبسایتی که در حال بازدیدش هستند، دچار اشتباه شوند که این امر میتواند به شهرت و اعتبار وبسایت آسیب برساند.
نداشتن HTTPS پیامدهایی در پی دارد
گوگل در سال ۲۰۱۴، شروع به استفاده از HTTPS بهعنوان یک سیگنال رتبهبندی جستجو کرد؛ به این معنی که وبسایتهای در دسترس از طریق HTTPS در نتایج جستجو نسبت به سایتهایی که ارتباط خود را بهصورت غیرکدگذاریشده شکل میدهند، دارای اولویت بودند. در حالی که تأثیر این سیگنال رتبهبندی در حال حاضر کوچک است، ولی گوگل قصد دارد آن را در طول زمان و برای پیشبرد پذیرش HTTPS تقویت کند.
سازندگان مرورگرها نیز بهشدت در حال گذار بهسوی HTTPS هستند. آخرین نسخه از مرورگرهای کروم و فایرفاکس در صورتی که کاربران اقدام به وارد کردن رمز عبور یا اطلاعات کارت اعتباری روی صفحات بارگذاری شده بدون استقرار HTTPS کنند، به کاربران خود هشدار خواهند داد.
در کروم، وبسایتهای که از HTTPS استفاده نمیکنند، کاربران از دسترسی به قابلیتهایی مانند موقعیت جغرافیایی، حرکت دستگاه و جهتگیری یا حافظه پنهان برنامه منع میشوند. توسعهدهندگان کروم برنامهریزی کردهاند تا پا را فراتر از این بگذارند و در نهایت نمایش یک شاخص با عنوان «نبود ایمنی» یا (Not Secure) را در نوار آدرس برای همهی وبسایتهایی قرار دهند که بهصورت غیررمزگذاریشده اقدام به تبادل اطلاعات میکنند.
نگاهی به آینده
ایوان ریستیک، رئیس سابق Qualys SSL Labs و نویسندهی کتاب «SSL و TLS ضد گلوله» در این باره چنین باور دارد:
من چنین احساس میکنم که ما بهعنوان یک جامعه، بسیاری از اقدامات مناسب را در این زمینه را برای توضیح اینکه که چرا همه باید از HTTPS استفاده کنند، انجام دادهایم. بهخصوص مرورگرها که با شاخصها و پیشرفتهای مداوم خود، شرکتها را برای تغییر رویهی قبلیشان متقاعد میکنند.
با توجه به گفتههای ریستیک، هنوز هم برخی از موانع بر سر راه توسعهی HTTPS باقی مانده است؛ مانند نیاز به مقابله با سیستمهای قدیمی یا همچنین خدمات شخص ثالثی که از HTTPS پشتیبانی نمیکنند. با این حال، او گمان دارد که در حال حاضر مشوقهای بیشتر و همچنین فشار عموم مردم برای پشتیبانی از رمزگذاری، زحمات استفاده از آن را توجیح میکند . وی همچنین اظهار میکند که با افزایش شمار سایتهایی که به HTTPS روی میآورند، این مشکلات هم آسانتر خواهند شد.
مشخصهی TLS 1.3 که در آینده خواهد آمد، دسترسی HTTPS را حتی آسانتر از این خواهد ساخت. در حالی که نسخهی جدید هنوز بهصورت یک پیشنویس است؛ اما تنظیمات جدید در حال حاضر اجرا شده و بهطور پیشفرض در آخرین نسخه از کروم و فایرفاکس قرار داده شده است. این نسخهی جدید از پروتکل، پشتیبانی از الگوریتمهای قدیمی و ناامن از لحاظ رمزنگاری را قطع کرده و روند بسیار سختتری برای مواجه شدن با تنظیمات آسیبپذیر در نظر گرفته است. نسخهی جدیدتر همچنین با توجه به سازوکار سادهاش، بهبود سرعت قابل توجهی به ارمغان میآورد.
البته باید این نکته را هم مد نظر داشته باشیم: با وجود اینکه به کار گرفتن HTTPS در حال حاضر آسان است؛ این پروتکل به همان اندازه هم میتواند زمینهی سوءاستفاده و سوءتعبیر از قابلیتهای آن را فراهم کند. بنابراین مهم است که آموزشهای لازم در مورد مواردی که HTTPS ارائه میدهد و همچنین خدماتی که این سرویس ارائه نمیدهد، به کاربران داده شود.
واقعیت این است که مردم در هنگام وبگردی، هنگامی که یک نوار سبزرنگ را در حضور HTTPS در مرورگر خود میبینند، حس اعتماد بیشتری پیدا میکنند. از آنجایی که اکنون چنین گواهیهایی بهآسانی قابل تهیه هستند، بسیاری از مهاجمان از این اعتماد نابجا سوءاستفاده کردهاند و در پی راهاندازی وبسایتهای HTTPS از نوع مخرب برآمدهاند. تروی هانت، متخصص امنیت وب و آموزشدهندهی وب در این باره گفته است:
هنگامی که موضوع اعتماد به میان میآید، یکی از چیزهایی که ما باید در مورد آن کاملا روشن باشیم، این است که صرفا حضور یک قفل و نماد HTTPS در یک سایت، در مورد قابلیت اطمینان یک وبسایت هیچ چیزی نمیتواند به ما بگوید؛ این نماد حتی در مورد اینکه واقعا چه کسی در حال ادارهی آن وبسایت است نیز چیزی نشان نمیدهد.
سازمانها باید برای مقابله با سوءاستفاده از HTTPS نیز وارد عمل شوند و بهاحتمال زیاد آنها شروع به بازرسی چنین ترافیکی در شبکههای محلی خود خواهند کرد. اگر آنها در حال حاضر چنین کاری را صورت نمیدهند، باید دست به کار شوند؛ چرا که ارتباطات رمزنگاریشده میتواند نرمافزارهای مخرب را پنهان کند.
phishing چیست ؟
فیشینگ نوعی از حملات مبتنی بر مهندسی اجتماعی است که در آن حمله کننده با فریب دادن هدف یا اهداف، اطلاعات حساسی مثل رمزهای عبور، مشخصات کارت اعتباری و … را از وی میگیرد.
مختصری درباره مهندسی اجتماعی
مهندسی اجتماعی (Social Engineering) روشی زیرکانه برای سوء استفاده از تمایل انسان به اعتماد کردن به دیگران است. این بخش از امنیت نه تنها در مباحث امنیت سایبری و اینترنتی مطرح است بلکه در جامعه و دنیای واقعی نیز موارد بسیار زیادی از مهندسی اجتماعی ممکن است به سراغ افراد بیاید.
مهندسی اجتماعی ممکن است به خاطر دلایلی از جمله بدست آوردن اطلاعات، کلاهبرداری از افراد، دسترسی به حسابهای شخصی و … توسط حمله کننده برنامه ریزی شود با این حال وجه مشترک همه این حملات این است که برخلاف حملات رایج دیگر که با نفوذ به رخنهها و آسیب پذیریها انجام میگردد، این حمله بسیار ساده و با گول زدن کاربر و جلب اعتماد وی، حمله کننده را به هدف خود میرساند.
حملات فیشینگ (Phishing) چیست؟
کلمه فیشینگ یا Phishing از عبارت Password Harvesting Fishing به معنای “بدست آوردن رمز عبور از طریق طعمه” بوده و یکی از حملات مبتنی بر مهندسی اجتماعی است که با گول زدن و فریب دادن یک کاربر از پیش تعیین شده یا گروهی از کاربران به صورت هدف دار، اطلاعات حساس وی مانند رمزهای عبور، اطلاعات حساب بانکی، اطلاعات شخصی و اجتماعی و … هدف را بدست آورده و با استفاده از آنها، کار مورد نظر خود را انجام میدهد.
برخلاف سایر روشهای هک و ورود به سیستم، در روش فیشینگ معمولاً هیچ نفوذی انجام نشده و از رخنهها و آسیب پذیریها استفاده نمیشود. حال این خود کاربر است که با استفاده از تکنیکهای گوناگون فریب خورده و این اطلاعات را در اختیار حمله کننده که به اصطلاح فیشر (Phisher) نامیده میشود، قرار میدهد.
تکنیکهای رایج فیشینگ
اگرچه تکنیکهای بسیار گسترده و یا حتی ادغام شدهای میتواند در طراحی و پیاده سازی حمله فیشینگ توسط فیشر مورد استفاده قرار گیرد، در این جا لیستی از تکنیکهای رایج فیشینگ آمده است:
ایمیلهای فیشینگ
ایمیل یکی از راههای ارتباطی معمولاً ناشناسی است که توسط بسیاری از افراد استفاده میشود. استفاده از ایمیل برای به دام انداختن اهداف بسیار رایج است. در فیشینگ از طریق ایمیل، حمله کننده یک ایمیل با محتوای کلاهبرداری یا تقلبی (کپی شده یک ایمیل قانونی)، اقدام به فریب دادن کاربر داده و اطلاعات حساس مورد نیاز خود را دریافت میکند.
چرا این روش بسیار موثر است؟
ایمیل ارسال کننده با روشهایی مثل Email Spoofing میتواند دقیقاً مشابه آدرس ایمیل قانونی باشد!
محتوای ایمیل به قدری شبیه به نسخه اصلی و قانونی ایمیل است که کاربر را کاملاً وادار به اعتماد میکند.
محتوای ایمیل میتواند از دست اسکنرهای ضد فیشر به راحتی بگریزد.
چگونه از این تکنیک در امان باشیم؟
به هیچ وجه و به هیچ عنوان به آدرس ارسال کننده ایمیل اعتماد نکنید! اگرچه در سرویسهایی مثل جیمیل، آدرس ایمیلهای تقلبی تا حدودی تشخیص داده میشوند.
اگر ایمیلی در پوشه هرزنامه، اسپم یا Spam شما بود، به احتمال زیاد محتوای آن یا تبلیغاتی است و یا فیشینگ!
وقتی چشمتان را ببندید و در خیابان قدم بزنید، ممکن است افراد زیادی به شما بگویند که از فلان جای مهم هستند و اطلاعات حساس شما را بخواهند. آیا باید چنین اطلاعاتی را در اختیار آنها قرار دهید؟ ایمیل نیز دقیقاً این چنین است.
وبسایتهای فیشینگ
یکی دیگر از روشهایی که هکرها از آنها استفاده میکنند، ایجاد یک صفحه یا وبسایت دقیقاً مشابه وبسایت سرویس مورد نظر است با این تفاوت که بجای این که اطلاعات ورود (یا اطلاعات حساب بانکی در صفحه تقلبی یک بانک) به سرویس دهنده اصلی برود، به سادگی به دست حمله کننده میافتد ?
برای نمونه، صفحه تقلبی (به اصطلاح فیک پیج یا Fake Page) ورود به حساب جیمیل را در تصویر زیر مشاهده کنید:
فیک پیج جیمیل
در نگاه اول صفحه بالا کاملاً شبیه صفحه ورود به جیمیل گوگل به نظر میرسد و واقعاً کاملاً شبیه به آن است! حال این که کاربران بدون نگاه کردن به آدرس بار که آدرس سایت کنونی در آن نوشته شده، نام کاربری و رمز عبور خود را وارد میکنند.
اگر دقت کنید، آدرس این سایت به این صورت است:
http://login.gmail.com.msg11.info/ …
حتی برخی از افراد به آدرس بار نگاه کرده و با دیدن عبارت “gmail.com” به این صفحه اعتماد میکنند. این درحالی است که آدرس سایت اصلی msg11.info بوده و com برای آن سایت یک زیردامنه یا سابدامین محسوب میشود. همچنین gmail برای com.msg11.info یک زیر دامنه محسوب شده و login برای gmail.com.msg11.info به همین ترتیب است. در نتیجه آدرس سایت اصلی که صفحه بالا در آن قرار داده شده برابر msg11.info است و نه آدرس رسمی gmail.com
چرا این روش بسیار موثر است؟
گاهی ساب دامینهای سایت تقلبی به اندازهای طولانی است که در نگاه اول آدرس اصلی سایت قابل دیدن نیست.
کاربران به اندازه کافی به آدرس سایت دقت نمیکنند و فقط با دیدن استایل صفحه، شروع به وارد کردن اطلاعات میکنند!
ایجاد یک وبسایت برای هکر بسیار ساده است و میتواند بدون هزینهای صفحه تقلبی مورد نظرش را بسازد.
چگونه از این تکنیک در امان باشیم؟
به آدرس بار دقت کنید. آدرس اصلی سایت را با ساب دامینهای دلخواهی که توسط هکر ایجاد میشود اشتباه نگیرید.
فیشینگ از طریق پیام رسانها
تلگرام، وایبر، واتس اپ، یاهو مسنجر و … همه برنامههایی هستند تحت عنوان برنامههای پیام رسان که امکان برقراری ارتباط متنی، صوتی و تصویری را بین اعضای موجود در لیست یکدیگر، قرار میدهند. یکی از روشهایی که هکرها در پیش میگیرند، شناخت دوستان هدف مورد نظر و ساخت یک حساب کاربری با مشخصات یکی از دوستان وی است. حتی میتوانند بجای اینکار، اکانت یکی از دوستانش را برای رسیدن به وی هک کنند.
چون هدف به دوستان خود اعتماد بیشتری دارد و حال اکانتی تحت عنوان یکی از دوستانش در دست هکر است، خیلی راحت میتواند فریب بخورد و اطلاعاتی را در اختیار هکر قرار دهد که از وی میخواهد.
چرا این روش بسیار موثر است؟
ایجاد یک اکانت با مشخصات دوست هدف بسیار ساده است و در شرایطی غیرقابل ردگیری.
یک فرد معمولاً اعتماد زیادی به دوستان موجود در لیست خود دارد و به همین اندازه در مقابل اینگونه تکنیکها آسیب پذیر است.
چگونه از این تکنیک در امان باشیم؟
وقتی کسی درخواست دوستی به شما میفرستد، درباره او کمی تحقیق کنید؛ سوالهایی بپرسید و ببینید که واقعاً خود شخص است یا خیر.
نمیدانید که کِی اکانت دوستتان هک میشود بنابراین اگر به پیامهایش مشکوک شدید، با دوستتان به صورت تلفنی تماس بگیرید یا از سوالهای از پیش تعیین شده استفاده کنید!
فیشینگ از طریق تلفن
حال دیگر حملات فیشینگ فقط به اینترنت محدود نمیشوند. مهاجمان فعال که درصدد موفق کردن حمله خود هستند، ممکن است اقدام به برقراری تماس صوتی یا ارسال پیامک به هدف خود کنند. به این ترتیب اعتماد هدف مورد نظر بیشتر شده و حتی درصورتی که با تکنیکهای قبلی به صورت مستقل امکان موفقیت حمله وجود نداشت، هکر با ادغام این تکنیکها و تماسهای صوتی، شانس موفقیت حمله خود را تا حدود بسیار زیادی افزایش میدهد.
چرا این روش موثر است؟
ممکن است کاربران با تهدیدهای آنلاین آشنا باشند اما تحقیقات نشان میدهد با برقراری یک تماس صوتی یا یک SMS با قالب رسمی و قانونی، درصد بسیار زیادی از افراد، گول خورده و حال که هکر اعتماد هدف را جلب کرده، میتواند حملات فیشینگ خود را به صورت بهینه تر انجام دهد.
چگونه از این تکنیک در امان باشیم؟
فقط باید هوشیار باشید. اگر به عنوان یک شرکت داخلی به شما زنگ زده اند، شماره تلفن را با شماره آن شرکت مقایسه کنید.
اگر مثلاً از طرف گوگل (البته به صورت جعلی) به شما SMS فرستاده شده (که یکی از متدهای دور زدن امنیت دو مرحلهای یا Two step verification است)، محتوای آن را با محتوایی که گوگل به صورت رسمی از آنها استفاده میکند مقایسه کنید در صورت وجود کوچکترین تفاوت، حتی یک حرف، آن را رد کنید.
اگر از شما درخواست پاسخ دادن یا فرستادن یک کد کرده است، به هیچ وجه کد گفته شده را به آن شماره نفرستید. بهتر است این مورد را با پلیس در میان بگذارید.
تغییر دادن لینک
همانطور که میدانید یکی از روشهایی که میتوانیم فرد را به یک صفحه تقلبی یا فیک پیچ بکشانیم، ارسال یک لینک است. حال اگر متن لینک مثلاً به صورت زیر باشد:
Confirm Your Yahoo Account
توسط اکثر افراد، لینک اصلی در استاتوس بار مرورگر بررسی میشود. ولی فرض کنید که متن لینک ما مثل یک آدرس لینک کپی شده ساده باشد. مثلاً لینک زیر را در نظر بگیرید که در یکی از ایمیلهای فیشینگی که برای خودم ارسال کرده بودند، استفاده شده بود:
https://login.yahoo.com/ConfirmAccount?email=youremail@yahoo.com
لینک بالا معمولاً همان گونه که هست، تلقی میشود ولی در حقیقت اینطور نیست! با کلیک کردن روی لینک بالا یا چک کردن لینک اصلی در استاتوس بار مرورگر خود، خواهید دید که با این که متن لینک به صورت یک لینک عادی به سایت یاهو است و شاید فرد فکر کند که خود لینک نیز به آن آدرس است، با این حال این لینک، خود به یک آدرس دیگر اشاره دارد، به یکی از پستهای این سایت که توسط فیشرها، به فیک پیجشان یا حتی یک فایل مخرب اشاره خواهد داشت.
چرا این روش موثر است؟
همانطور که گفته شد، افراد معمولاً به لینکهایی که متن آنها خود به صورت لینک هستند اعتماد کرده و بدون توجه به لینک اصلی، بر روی آن کلیک میکنند.
چگونه از این تکنیک در امان باشیم؟
با بردن اشاره گر ماوس بر روی لینک، در پایین مرورگر و در قسمت استاتوس بار، میتوانید آدرس اصلیای که لینک به آن اشاره دارد را ببینید. به عبارت دیگر، هیچ وقت به متن لینک به عنوان آدرس آن نگاه نکنید.
فیشینگ از طریق رخنههای امنیتی
ممکن است مثلاً وبسایت که حمله کننده در نظر دارد، تعدادی رخنه یا آسیب پذیری امنیتی داشته باشد. هکر میتواند از این آسیب پذیریها (برای نمونه XSS) استفاده کرده و محتوای صفحه را به گونهای تغییر دهد که خودش میخواهد یعنی توانست صفحه تقلبی خود را در همان سایت اصلی پیاده سازی کند.
چرا این روش موثر است؟
آسیب پذیریهایی مثل XSS بسیار رایج هستند و اکسپلویت کردن آنها نیاز به دانش خاصی ندارد.
چگونه از این تکنیک در امان باشیم؟
فقط باید دانش خود را در مورد مباحث هک و امنیت و انواع آسیب پذیریها افزایش دهید.
بد افزارهای فیشینگ
بد افزارهایی وجود دارند که در قالب یک نرم افزار ساخته شده و به هدف تحویل داده میشوند؛ معمولاً از طریق پیوستهای ایمیل یا به عنوان لینک دانلود مثلاً یک فیلم. سپس این بد افزارها بر روی کامپیوتر، موبایل یا سایر دستگاهها نصب شده و اعمال مختلفی را انجام میدهند.
اگر کاربر خوش شانس باشد، گیر یک بد افزار فیشر خواهد افتاد! (در بهترین حالت، چون انواع بد افزارهای مخرب، رمزگذار و … وجود دارند که بسیار بد تر از گونههای فیشینگ اند) این بد افزار ممکن است اقدام به تغییر دادن محتوای صفحات کند یا کاربر را به صفحات دلخواه هکر هدایت کرده سپس از تکنیکهای دیگر برای بدست آوردن اطلاعات مهم استفاده کند.
نکته: بدافزارهای فیشینگ معمولاً در گروه حملات مرد میانی (Man-In-The-Middle) قرار دارند.
برنامههای فیشینگ
انواع بسیار ساده تری از برنامهها وجود دارند که با گول زدن کاربر مثلاً برای هک کردن اکانت دوست خود، اطلاعات حساسی مثل یوزرنیم و پسورد خود فرد را میخواهند و در عوض آن، با نشان دادن یک خطای ساده یا انجام ندادن کاری، به فعالیت خود خاتمه میدهند درحالی که این اطلاعات حساس را به دست طراح خود رسانده اند!
برنامه فیشینگ
چرا این روش موثر است؟
چنین برنامهای در عرض ۵ دقیقه قابل ساختن است، حتی بدون دانش خاص برنامه نویسی.
پیدا کردن هدف برای این برنامهها توسط هکر، بسیار آسان است.
کاربران بسیار بسیار زیادی وجود دارند که بدون اطلاع از مباحث هک و امنیت میخواهند اکانت دیگری را هک کنند که به یک هدف بالقوه تبدیل میشوند.
این کاربران معمولاً برای رسیدن به هدف خود حاضر به تست کردن هر برنامهای هستند. بدون اطلاع کافی درباره آن برنامه.
چگونه از این تکنیک در امان باشیم؟
به هیچ وجه برنامههای اینچنینی را دانلود نکنید چه برسد که آنها را باز کرده یا نصبشان کنید.
اگر چنین برنامهای را نصب کردید و اطلاعاتی یوزر نیم، پسورد و … را خواست، به هیچ وجه وارد نکنید.
و همیشه خاطرتان باشد که هک کردن سرویسها به این سادگی نیست.
یه خاطره ?
هرچقدر هم که بگم مهندسی اجتماعی و فیشینگ خطرناک و فراگیره بازم کم گفتم. برای مثال، وقتی که ۱۳ سالم بود (یا یکم اینور و اونور) شدیداً به یه بازی تحت وب به نام StreetMobster معتاد شدم! جوری که هر ساعت باید بهش سر میزدم و گنگسترم رو ترتیب میکردم!
توی بازی یه چیزهایی بودن به نام Credit مثل همین جمهای بازی کلش آو کلنز که یا به سختی باید به دست میاوردیم یا با پول واقعی میخریدیمش. منم که اصلا به خرید با پول واقعی علاقه نداشتم. اگه هم داشتم اصلاً نمیشد بگیرم چون سایت خارجی بود. به فکر این افتادم که صفحه زیر رو توی یکی از سرویس دهندههای رایگان هاست خارجی بسازم و مثلاً به مردم بگم که بیاین Credit رایگان بگیرین ولی خودم یوزر و پسوردشونو بگیرم:
حملات DDOS چیست؟
مروزه مقوله امنیت و شاخه های آن در فضای وب به امری حیاتی و همه گیر تبدیل شده است، مخصوصا برای صاحبان سایت ها و مهم تر از آن برای مدیران سرورهای وب، چرا که آسیب پذیری و ضعف امنیتی به عنوان عاملی بازدارنده در مسیر پیشرفت و توسعه اهدافشان در وب است، بعضا شاهد هستیم که افراد مختلف با انگیزه های متفاوت اقدام به هک و ایجاد اختلال در سایت ها و سرورها و در نتیجه باعث از دسترس خارج شدن و یا در حالتی پیشرفته تر از کنترل خارج شدن آنها می شوند، این افراد برای رسیدن به مقاصدشان از شیوه های متفاوتی استفاده می کنند که البته بسته به میزان هوشمندی مدیران سرور و رعایت نکات امنیتی در سیستم های مدیریت محتوا، خیلی از این روش ها به راحتی قابل پیشگیری است؛ اما آنچه در این مطلب قصد داریم به آن بپردازیم، آشنا کردن شما با نوعی از ایجاد اختلال در وب موسوم به حمله های DDOS یا distributed denial of service attack است که بیشترین شیوع را دارد.
حمله DDOS چیست؟
حمله ddos یا dos مخفف (denial of service attack) به زبان ساده یعنی سرازیر کردن تقاضاهای زیاد به یک سرور (کامپیوتر قربانی یا هدف) و استفاده بیش از حد از منابع (پردازنده، پایگاه داده، پهنای باند، حافظه و…) به طوری که سرویس دهی عادی آن به کاربرانش دچار اختلال شده یا از دسترس خارج شود (به دلیل حجم بالای پردازش یا به اصطلاح overload شدن عملیات های سرور)، در این نوع حمله ها در یک لحظه یا در طی یک زمان به صورت مداوم از طریق کامپیوترهای مختلف که ممکن است خواسته یا حتی ناخواسته مورد استفاده قرار گرفته باشند، به یک سرور (با آی پی مشخص) درخواست دریافت اطلاعات می شود و به دلیل محدود بودن قدرت پردازش سرور به کاربران در وضعیت عادی (یعنی قدرت سرور را به تعداد کاربرانش در حالت عادی در نظر گرفته اند نه حالت غیر طبیعی)، مثل حالاتی که کامپیوترهای رومیزی دچار کندی یا توقف کامل می شوند، دچار وقفه در سرویس دهی یا حتی down شدن آن می شود.
چه کسانی حمله ddos را انجام می دهند؟
اصولا حمله های ddos با انگیزه های متفاوت ممکن است توسط یک یا چند نفر و یا حتی گروهی از افراد صورت گیرد، اما آماری که تا به امروز به ثبت رسیده، حکایت از انگیزه های بیشتر فردی یا چند نفره داشته است، به طور مثال ممکن است افرادی برای از سر راه برداشتن ناجوانمردانه رقیبشان در وب، دست به این نوع اعمال بزنند تا مخاطبان آن سایت یا سرور دچار دلسردی شده و از آن فاصله بگیرند یا برعکس عده ای هکر، خیرخواهانه به سایتی ضد اجتماعی یا به فرض جنگ طلب حمله ddos کنند، لذا گستره افراد و انگیزه ها، بسته به نوع مورد، متفاوت خواهد بود، اما آنچه مسلم است معمولا انسان ها پشت این حملات هستند یا ترکیبی از اندیشه انسان و به کارگیری سیستم، سرور و ابزارهای خاص (DDOS tools) دست به دست هم می دهند تا یک حمله ddos شکل بگیرد.
علائم حمله ddos چیست؟
خوشبختانه یکی از موارد مثبت این نوع حملات این است که به سرعت می توان به نحوه عملکرد سرویس مشکوک شد و جلوی اختلال بیشتر را گرفت، پس از اینکه سروری مورد حمله ddos قرار می گیرد ممکن است با توجه به اهداف و شیوه به کار رفته یک قسمت از منابع یا همه ی قسمت های آن دچار اختلال شود، در زیر لیستی از این علائم را ذکر می کنیم.
– کندی در پاسخگویی به درخواست ها
سروری که مود حمله قرار گرفته باشد، معمولا خیلی کند و با وقفه به درخواست بارگذاری صفحات پاسخ می دهد، البته این نشانه همیشه دلیل حمله ddos نیست، چرا که این اتفاق به طور طبیعی نیز برای سرورها و سایتهای با بازدید بالا ممکن است رخ دهد یا کنترل این امر بستگی زیادی به قدرت سخت افزاری سرور و تنظیمات آن دارد.
– عدم اتصال به پایگاه داده
گاهی ممکن است صفحات استاتیک که نیازی به اتصال پایگاه داده ندارند به راحتی بارگذاری شوند، ولی اتصال به پایگاه داده برای صفحات داینامیک برقرار نشود، در چنین مواقعی معمولا پیام تکمیل ظرفیت اتصال به پایگاه داده یا too many connection ظاهر خواهد شد، بهترین کار در چنین حالتی این است که با تنظیم یک دستور هِدر 500 HTTP، به ربات های جستجوگر بگوییم که سایت ما فعلا دچار مشکلی است و بعدا مراجعه نمائید!، چرا که در غیر اینصورت با وجود down بودن دیتابیس سرور، ربات ها با دریافت وضعیت HTTP 200، صفحه خالی را ایندکس می کنند که این حالت اصلا مناسب نیست، در php این کار را با دستورات header می توان انجام داد.
header('HTTP/1.0 500 Internal Server Error');
– مصرف بیش از حد منابع سرور
یکی دیگر از نشانه های حمله ddos می تواند مصرف بیش از حد و غیر طبیعی منابع سرور مثل حافظه و یا پهنای باند در یک بازه زمانی کوتاه باشد.
– افزایش انفجاری درخواست ها
یکی دیگر از نشانه های حمله ddos، وجود شمار زیادی درخواست http به سرور است که با مشاهده فایل log و قسمت آمار، می توان به این موضوع پی برد.
– اختلالات در سرویس های جانبی نظیر ایمیل
گاهی مواقع حملات ddos سرویس های جانبی یک سرور نظیر سرویس ایمیل را هدف می گیرند، در این مواقع ارسال و دریافت ایمیل ممکن است به کندی صورت گیرد یا دچار وقفه شود، البته همانطور که گفتیم، هر وقفه و اختلالی به معنی حمله ddos نیست، تنها به عنوان یک نشانه می توان آن را محسوب کرد.
در حمله ddos از چه روش هایی استفاده می شود؟
چند روش به عنوان شایع ترین ها در این نوع حملات استفاده می شود، که در زیر به آنها به طور مختصر و جهت آشنایی اشاره می کنیم:
– روش Ping Flood یا طوفان درخواست ها
در این شیوه مهاجم سعی می کند با ارسال درخواست ها (یا بسته های ping) به سمت کامپیوتر هدف (قربانی)، و با تکرار این عمل، کل منابع سرور را اشغال کند تا در نهایت آن را به طور کامل از کار بیندازد، در این شیوه معمولا از کامپیوترهای موجود در یک شبکه یا از سرورهایی به طور همزمان درخواست به سمت سرور قربانی ارسال می شود تا در نهایت موجب از کار افتادن آن شود.
– روش Smurf attack یا استفاده از نقص تنظیمات
یک Smurf attack نوع خاصی از طوفان درخواستها به یک سرور است که طی آن به دلیل وجود ضعف در تنظیمات سرویس، اجازه ارسال بسته هایی از اطلاعات به تمام کامپیوتر های موجود در یک شبکه در عوض ارسال آن به یک کامپیوتر خاص از طریق آدرس Broadcast آنها است، آدرس Broadcast می تواند به عنوان مثال آی پی اشتراکی سایت های موجود در یک سرور باشد؛ در این حالت اگر تنظیمات سرور به درستی انجام نشده باشد، ارسال یک درخواست به این آی پی، موجب تقسیم شدن آن بین تمام زیر شاخه ها و در نتیجه overload شدن سرور می شود.
– حملات موسوم به SYN یا SYN flood
روش اخیر نیز در عمل مشابه با موارد گفته شده است، با این تفاوت که در اینجا مهاجم با ارسال درخواستهایی از نوع بسته های TCP/SYN در پشت چهره ای عادی و تایید شده به عنوان یک کاربر معمولی، از سرور تقاضای اتصال می کند که پس از ارسال پاسخ درخواست، هیچ جوابی به پاسخ سرور داده نمی شود تا اتصال نیمه باز همچنان برقرار باشد (سرور در انتظار پاسخ مهاجم مدتی صبر می کند)، در این بین با افزایش این اتصالات نیمه باز، منابع سرور اشغال شده و نهایتا موجب بروز اختلال و از کار افتادن آن می شود.
– روش Teardrop یا Teardrop attacks
در این شیوه رشته ای از آی پی های ناقص به هم متصل شده و شبیه به هم را به سرور ارسال می کنند که اگر تنظیمات قسمت TCP/IP fragmentation re-assembly سرور دچار نقص در تشخیص آنها باشد، موجب بروز مشکل اضافه بار یا overload در سرور خواهد شد.
حمله ddos چقدر طول می کشد؟
یکی از سوال های همیشگی در چنین موقعیت هایی این است که یک حمله ddos چقدر طول می کشد و ظرف چه مدتی به پایان می رسد، پاسخ این سوال نیز می تواند یک جمله باشد: تا زمانی که به پایان رسد! این موضع بستگی به میزان سماجت مهاجم و ضعف مدافع دارد، یعنی اگر مهاجم بر ادامه حملات خود اصرار داشته باشد و در مقابل مدافع که همان مدیران سرور هستند نتوانند از عهده کنترل اوضاع بر آیند، ممکن است حمله ddos ساعت ها یا روزها به طول انجامد، در خوش بینانه ترین حالت ظرف چند دقیقه و در بدترین حالت چندین و چند روز و به دفعات ممکن است طول بکشد.
برای جلوگیری از حمله ddos چه کارهایی را انجام دهیم؟
واقعیت این است که کنترل حمله های ddos پس از وقوع کمی دشوارتر از پیشگیری از آن است، امروزه در سایتها و انجمن های زیادی به افراد آموزش شیوه های هک و ایجاد حمله های ddos داده می شود که این امر با افزایش شمار کاربران اینترنت (که می توانند میانجی و قربانی بالقوه برای حمله به سرورها باشند) رو به گسترش است، البته آسیب پذیری در این رابطه، بیشتر به امنیت سرور برمی گردد تا به امنیت سایت شما، در مورد سرور می توان پس از اطمینان از حمله ddos، آی پی هایی را که بیشترین تقاضا را به سرور داشته اند و ناشناس هستند، توسط فایروال ها بلاک و مسدود کرد، یا با نصب بسته های امنیتی خاص و به روزرسانی و ارتقا سخت افزاری و نرم افزاری، آسیب پذیری سرور را کاهش داد، آگاهی از روند عادی سرور نیز می تواند کمک بزرگی در این خصوص محسوب شود، چرا که اگر مدیر سرور نسبت به عادی یا غیر عادی بودن ترافیک آن، آشنایی داشته باشد، به سرعت می تواند پی به وجود این نوع حمله ها ببرد و در جهت رفع آن برآید، به عنوان یک کاربر در سرویس های میزبانی وب، بهترین کار این است که به محض مشکوک بودن به چنین حمله هایی، موضوع را به هاست خود اطلاع دهید تا در کوتاه ترین زمان جلوی آن گرفته شود.
آزمون زبان روسی تورفل بدهید و مدرک دولتی زبان روسی بگیرید
شرکت بین المللی ستاره داوود ( داویداستار) تنها مرجع ایرانی برگزار کننده بی واسطه و مستقیم آزمون های دولتی زبان روسی تورفل سطوح مختلف می باشد. آزمون های بین المللی تورفل که توسط وزارت علوم روسیه برگزار شده و دارای اعتبار بالایی می باشد جهت تحصیل ، کار و اقامت در روسیه و تایید مدارک تحصیلی فارغ التحصیلان دانشگاه های روسیه و همچنین برای متقاضیان بورسیه های تحصیلی دولتی فدراسیون روسیه الزامی است.
هر ساله متقاضیان زیادی از ایران جهت تحصیل و مهاجرت کشور روسیه را انتخاب می کنند و از جمله مشکلات و موانع اخذ جواز کار، عقد قرارداد با کارفرما و دریافت ویزای کاری روسیه ، تحصیل در مقاطع مختلف تحصیلی در روسیه با استفاده از بورسیه های دولتی روسیه نداشتن مدرک زبان بین المللی روسیه تورفل است که در کنار ازمون هایی نظیر قانون اساسی و تارخ روسیه برگزار می شود و شخص در زمان دریافت اجازه کار یا تقاضای اقامت سه ساله یا اقامت دایم باید این مدرک را ارایه بدهد.
متقاضیان محترم می توانند جهت اطلاعات بیشتر از سایت رسمی شرکت ستاره داوود بازدید نمایند یا از طریق واتساپ با شماره 79602464339+ تماس گرفته و یا با ارسال ایمیل به ادرس Info@davidstar.net نسبت به ثبت نام در آزمون های دولتی زبان روسی اقدام نمایند.از آنجایی که شرکت ستاره داوود مجری و برگزار کننده ازمون به نمایندگی از دانشگاه هالی مختلف روسیه می باشد شما با شرکت در آزمون های برگزار شده از طریق داویداستار می توانید مدرک یکی ازمراجع ذیل شامل دانشگاه دولتی سن پترزبورگ ، مدرک دانشگاه دوستی ملل (رودن ) مسکو و یا دانشگاه زبان شناسی فدرال سنتپتربورگ ( گرتسین ) را با قبولی در ازمون دریافت نمایید.
آزمون تورفل در تمامی سطوح شامل پنج قسمت گرامر ، نوشتار ، گفتار ، شنیدار و خواندن و درک مطلب است که حدود چهار ساعت به طول می انجامد و متقاضیان می توانند با نمونه سوالات آزمون از طریق سایت شرکت ستاره داوود آشنا شوند.لازم به ذکر است قیمت های شرکت در آزمون های دولتی برای دانشجویان ایرانی از تخفیف ویژه برخوردار بوده و از نرخ مصوب دولتی کمتر می باشد.
شرکت بین المللی ستاره داوود ( داویداستار) تنها شرکت ایرانی در سنتپترزبورگ می باشد با دو شعبه ی فعال در روسیه متخصص در زمینه های تحصیلی و مهاجرتی .