نوشته‌های برچسب‌خورده با امنیت

آیا شنود امکان پذیر است؟ چگونه ایمیل ها را رمز نگاری کنیم؟

در این مطلب بررسی می کنیم که آیا اصلآ شنود ایمیل امکان پذیر است یا خیر و به شما آموزش می دهم چطور ایمیل های تان را برای امنیت بیشتر رمز نگاری کنید.

آیا شنود ایمیل امکان پذیر است؟

اگر قصد دارید به پاسخ این سوال برسید یک بار کامل وقت بگذارید و این مطلب را واقعآ با دقت بخوانید، با اسکرول کردن انتظار نداشته باشید پاسخ سوال تان را بیابید.

امکان پذیر بودن یا نبودن می تواند دو معنی مختلف داشته باشد، یکی اینکه آیا از نظر علمی و تئوری امکان پذیر است یا نه؟ و یکی اینکه آیا «قابل انجام در شرایط واقعی» است یا نه؟ پاسخ سوال اول «قطعآ بله» و پاسخ سوال دوم «تقریبآ خیر» است.

شنود ایمیل می تواند به دو صورت انجام شود، یکی در مرحله ای که ایمیل از کامپیوتر خود شما لو برود. یعنی یک برنامه مخرب روی کامپیوتر شما نصب شود که هر آنچه تایپ می کنید یا ایمیل هایی که ارسال می کنید را به طور مخفیانه به کسی بفرستد. این کاملآ امکان پذیر است اما این راه در صورتی است که شما به عنوان قربانی از قبل انتخاب شده باشید و کسی قصد شنود ایمیل های «شخص شما» را داشته باشد. اگر امنیت کامپیوتر تان را با استفاده از آنتی ویروس و فایرفال های خوب بالا نگه دارید و فایل های مشکوک و ناامن را باز نکنید احتمال این امر تا حد زیادی کاهش پیدا می کند.

راه دیگر اینکه ایمیل توسط سایر افراد موجود در شبکه خوانده شود، مثلآ اگر از اینترنت وایرلس در خانه استفاده می کنید و هم شما به اینترنت خانه وصل هستید و هم دوست تان. دوست تان در شبکه داخلی شما است و اگر از پروتوکول رمزنگاری شده استفاده نکنید دوست تان می تواند با استفاده از نرم افزار های مخصوص ایمیل های شما را بخواند (یا اصطلاحآ packet sniffing – زیاد هم آسان نیست).

راه دیگر که به نوعی مثل راه قبل هست شنود ایمیل در بین راه (در خارج از شبکه محلی شما) مثل ایستگاه های مخابراتی یا میل سرور ها و… است. احتمال انجام این کار توسط هکر های معمولی خیلی کمتر است زیرا دسترسی به این تجهیزات بسیار مشکل و تقریبآ فقط برای دولت امکان پذیر است. در صورتی که دولت قصد انجام شنود ایمیل یک شخص خاص را داشته باشد کار کمی آسان تر می شود و می شود از روش های مختلفی (مثل روش اول) یا از اطلاعات شرکت سرویس دهنده اینترنت آن شخص استفاده کرد.

Computer Encryption

حقوق تصویر: Dreamstime

اما در صورتی که قصد شنود ایمیل به صورت دسته جمعی را داشته باشد باید روشی برای جدا سازی ایمیل هایی که میخواهد شنود کند با آنهایی که نمی خواهد شنود کند داشته باشد. زیرا میلیون ها ایمیل در روز در این سرور ها رد و بدل می شود و کنترل این حجم ایمیل عملآ امکان پذیر نیست. برای این کار نرم افزار های مخصوص باید از میان میلیارد ها packet ای که ارسال و دریافت می شود آنهایی که به درد می خورد را جدا سازی کند و در متن ایمیل دنبال کلمات کلیدی خاصی که از قبل مشخص شده بگردد.

حال اگر ایمیل ها به صورت ساده یا plain text ارسال نشده باشند (که نمی شوند) ایمیل ها ابتدا باید رمزگشایی شده و سپس متن آنها مورد جستجو برای یافتن کلمات کلیدی قرار بگیرد. اگر برنامه آن ایمیل را مشکوک تشخیص داد آن ایمیل اصطلاحآ flag می شود، یعنی نشانه گذاری می شود برای اینکه یک «انسان» (!) آن را بررسی کند.

بر فرض اینکه تا اینجای کار به سادگی و خوبی انجام شود، از اینجا به بعد تازه باید صاحب آن آدرس ایمیل شناسایی شود که خود فرایندی بسیار دشوار و وقت گیر است.

نکته اینجا است که انجام مراحل بالا که توضیح داده شد حتی برای فقط یک ایمیل ارسال شده کاری بسیار دشوار، هزینه بر و وقت گیر است. در نتیجه امکان انجام آن در مقیاس بالا عملآ وجود ندارد.

در انتها خوب است بدانید که تمام تکنولوژی هایی که ما امروزه از آنها استفاده می کنیم سال ها قبل طراحی، تهیه و تنظیم شده اند و همیشه قبل از ارائه یک تکنولوژی برای دسترسی عموم ابر قدرت های دنیا که آن تکنولوژی را ابداع کرده اند راه چاره ای برای خودشان در جایی مخفی می کنند که تا زمان منسوخ شدن آن تکنولوژی کسی از آن خبر دار نمی شود. این را گفتم که بدانید از نظر تئوری قطعآ امکان شنود و شکستن خیلی از الگوریتم های رمزنگاری و راه های امنیتی که ما از ایمن بودن آنها اطمینان داریم وجود دارد و این «ایمنی» ایمنی نسبی است چون «عموم» راه نفوذ به آن را نمی داند پس برای استفاده عموم مناسب و ایمن است. اما انجام این فرایند رمزگشایی در مقیاس بزرگ معقول و عملی نیست.

قبل از هر چیز، استفاده از جیمیل را به شما توصیه می کنم. اگر آدرس جیمیل ندارید می توانید همین الان از اینجایکی برای خودتان بسازید.

مهم: از قسمت Settings (بالای صفحه سمت راست) گزینه Always use HTTPS را انتخاب کرده و روی Save changes کلیک کنید (راهنما؟). این باعث می شود شما همیشه از یک پروتوکول رمز نگاری شده استفاده کنید. اگر نمی دانید «پروتوکول رمز نگاری شده» چیست نگران نباشید، چیز خوبیه.

مهم: استفاده از HTTPS به تنهایی امکان شنود – دسته جمعی – ایمیل را نزدیک به صفر می رساند. روش زیر نیاز به استفاده از کلید یا رمزی دارد که باید در دسترس فرستنده و هم گیرنده باشد. در نتیجه مناسب برای پیام های شخصی ای است که شما با یک یا چند نفر خاص رد و بدل می کنید.

* روش زیر فقط برای ایمیل های Gmail کار می کند.

* برای استفاده از این روش باید از مرورگر Firefox استفاده کنید.

* این مراحل را باید هم فرستنده و هم گیرنده ایمیل انجام دهند.

مرحله اول، برنامه رایگان GnuPG را دانلود و نصب کنید (نسخه ویندوز).

مرحله دوم، افزونه FireGPG را روی فایرفاکس نصب کنید.

مرحله سوم، حالا باید دو نوع کلید بسازیم. یکی کلید عمومی و یکی کلید خصوصی. اگر متوجه معنی این کلمات نمی شوید نگران نباشید. فعلآ فقط طبق راهنما جلو بروید در انتها نحوه عملکرد اینها را توضیح می دهم.

برای این کار در فایرفاکس از منو Tools وارد FireGPG و سپس Key Manager شده و روی New Key کلیک کنید (راهنما؟).

حالا پنجره باز شده را طبق راهنما پر کنید و روی Generate Key کلیک کنید. این کار شاید یک دقیقه طول بکشد، باید صبر کنید. حالا کلید های شما آماده هستند. فقط باید آن را از لیست انتخاب کنید و روی Export to server کلیک کنید تا کلید عمومی شما برای استفاده فرستنده ایمیل (به شما) قابل دسترس باشد.

FireGPG Keymanager

نکته: حالا هر کس بخواهد به شما ایمیل بفرستد باید از قسمت Key Manager ایمیل شما را سرچ کند و کلیدی که ساختید را نصب کند. این یعنی دوست شما که می خواهید بهش ایمیل رمزنگاری شده بفرستید هم باید مثل مرحله سوم کلید بسازد سپس شما باید مثل عکس زیر ایمیل او را سرچ کنید و کلیدی که ساخته است را نصب کنید. اگر متوجه نحوه عملکرد این سیستم نمی شوید نگران نباشید.

FireGPG Import Selected=

حالا وقتی وارد پنجره نوشتن ایمیل جدید در جیمیل می شوید تصویر زیر را مشاهده می کنید:

Gmail compose email using FireGPG

دقت کنید که اون عکس قفل همیشه موقع ارسال ایمیل روشن باشد. اگر دکمه Sign را هم روشن کنید امضای دیجیتال شما به نامه اضافه می شود که ضامن این است که این ایمیل واقعآ از طرف شما ارسال شده.

در تصویر بالا می بینید که دوست من می خواهد یک ایمیل مهم برای من بفرستد. وقتی روی Send کلیک می کند پنجره ای باز می شود و «کلید عمومی» من (گیرنده) را می پرسد. دوست من هم قبلآ کلید من را (از قسمت سرچ که در بالا توضیح داده شد) اضافه کرده. در نتیجه فقط آن را انتخاب می کند و ok می کند.

سپس در پنجره باز شده رمز ایمیل خودش (رمز جیمیل) را وارد می کند و ایمیل فرستاده می شود.

نکته: این ساخت کلید و… فقط یک بار باید انجام شود. در نتیجه ارسال این ایمیل ها اصلآ کار سخت یا وقت گیری نیست بلکه بعد از اینکه برنامه را به درستی تنظیم کنید خیلی ساده و سریع است.

حالا ببینیم من چی در ایمیلم دریافت می کنم،

Very Important Information in GmailEncrypted email in gmail using FireGPG

همانطور که می بینید اطلاعات رمز نگاری شده، در پنجره باز شده من باید رمزی که انتخاب کردم یا همان کلید خصوصی ام را وارد کنم تا بتوانم متن اصلی را ببینم:

Enter private key Gmail FireGPG

Email Decryption in Gmail

نکات مهم:

* در صورت دریافت پیغام خطا در رابطه با برنامه GnuPG از گزینه Options افزونه FireGPG و سپس قسمت GPG فایل برنامه GnuPG را انتخاب کنید. (راهنما؟)

* این روش برای متن های فارسی هم کار می کند.

* وقتی در حال نوشتن ایمیل هستید ایمیل به صورت رمز نشده در سرور جیمیل ذخیره می شود (قابلیت auto save). اگر نگران این موضوع هستید از قسمت Options افزونه FireGPG و سپس قسمت Gmail گزینه Disable autosave feature را تیک بزنید. (راهنما؟)

* عملیات امضا زدن یا رمزنگاری را با فایل ها هم می شود انجام داد. برای این کار از گزینه File operations استفاده کنید. (راهنما؟)

نحوه کار این روش رمز نگاری چگونه است؟

اگر اطلاعاتی راجع به رمزنگاری نداشته باشید احتمالآ با مراحل بالا کمی گیج شده اید. بگذارید با هم ببینید مرحله به مرحله چه کار کردیم؟

برنامه GnuPG را دانلود کردیم که یک برنامه رایگان است که قابلیت های رمزنگاری را به ما می دهد.

افزونه FireGPG رابط بین GnuPG و مرورگر اینترنت ما است.

در این روش رمزنگاری هر فرد دو کلید دارد. یکی عمومی که هر کسی می تواند به آن دسترسی داشته باشد ویکی خصوصی که تحت هیچ شرایطی نباید کسی آن را بداند و فقط باید در حافظه شما باشد.

وقتی نوشته ها با استفاده از کلید عمومی رمز می شود و به اون نوشته های چرت و پرت تبدیل می شود قابل رمزگشایی نیست مگر با استفاده از کلید خصوصی. در نتیجه تا وقتی کلید خصوصی ایمن باشد اطلاعات نیز ایمن است.

ما هم همین کار را کردیم، اول یک کلید عمومی ساختیم و آن را در یک سرور اینترنتی به اشتراک گذاشتیم تا دوستمان آن را دانلود کند (آنجا که روی Import selected keys کلیک کردیم). می توان به جای Export to server گزینه Export to file را انتخاب کرد تا حتی کلید عمومی هم در معرض دید نباشد و می شود کلید عمومی را به صورت یک فایل مثلآ روی یک فلش دیسک به گیرنده داد.

سپس ایمیل را نوشتیم و برنامه آن را با استفاده از کلید عمومی گیرنده رمز کرد و فرستاد.

سپس من (گیرنده) ایمیل را باز کردم، ابتدا فقط همان متن مبهم را می توانستم ببینم، اما همانطور که در عکس بالا می بینید بعد از وارد کردن کلید خصوصی ام متن رمزگشایی شد.

رمز نگاری encryption

برداشت

Advertisements

, , , , , , , , , , , , , , , , ,

بیان دیدگاه

روش پاک کردن ویروس سالدوست

با توجه به آلوده شدن تعداد زيادى از كامپيوتر ها به ويروس جديد ايرانى معروف به سالدوست و اينكه تعداد زيادى‌ از ويروس يابها هنوز قادر به تشخيص اين ويروس نيستند بر آن شديم تا فايلى جهت پاكسازى كامپيوتر شما از اين ويروس تهيه و در سايت قرار دهيم تا شما بتوانيد با دانلود و اجراى اين فايل ويروس را از كامپيوتر خود پاكسازى نماييد.

علائم ويروس كه توسط كاربران عادى قابل تشخيص ميباشد :

1- اين ويروس آيكون Folder Options كامپيوتر شما را غير فعال ميكند.

2- يك نوار زرد رنگ در بالاى صفحه مونيتور ظاهر و جملات فارسى قرمز رنگ در آن ظاهر ميشود.

3- يك فايل HTM با نام Important بر روى Desktop كامپيوتر شما ظاهر مى شود.

نكات مهم در مورد استفاده از فايل ضد ویروس جهت پاكسازى ويروس:

1- ابتدا بایستی نسخه حداقل NET Framework 1.1. را روی سیستم نصب کنید. برای دریافت این بستر نرم افزاری به سایت مایکروسافت مراجعه کنید.

۲- فايل ضد ویروس را از پایین همین صفحه دانلود و از حالت فشرده خارج نماييد سپس بر روى Desktop همان كامپيوتر ويروسى كپى كرده و سپس فایل ضد ویروس را اجرا کنید.

2- جهت عدم آلودگى‌مجدد به اين ويروس در اولين فرصت يك آنتى ويروس مناسب نصب و آن را بروز رسانى نماييد (MCAfee).

3- ضمنا با اجراى اين فايل و راه اندازى مجدد سيستم، مشكل FolderOptions شما و همچنين باز نشدن درايوهاى شما حل ميگردد.

برای دانلود روی لینک زیر کلیک کنید : فایل ضد ویروس سالدوست

با تشکر از دانشگاه آزاد مشهد :

http://www.mshdiau.ac.ir/index.php?option=com_content&task=view&id=49&Itemid=44

, , , , , , , , , ,

بیان دیدگاه

چگونگی دستیابی به کلمه عبور شبکه های بیسیم (WiFi) با استفاده از BackTrack

wepcrackbacktrack-head.jpg

یکی از مشکلات عمده شبکه های بیسیم در ایران، عدم توجه لازم به امنیت آنها است و البته وضعیت مودم های ADSL بیسیم که این روزها به شکل گسترده ای مورد استفاده قرار می گیرند، از آن هم بدتر است. تا به حال امتحان کرده اید که در محل کار و یا زندگی تان چند شبکه بیسیم سرگردان بدون هیچ گونه کلمه عبور و محافظی وجود دارد؟

اگر می خواهید کمی بیشتر از اصول امنیت شبکه های بیسیم سر در بیاورید و بدانید که تا چه حد در معرض خطر قرار دارید، این مطلب را دنبال کنید. ضمنا برای ديدن عکس ها با کيفيت بهتر بر روی آنها کلیک کنيد.

در این مطلب قصد داریم بصورت مرحله به مرحله روش دستیابی به کلمه عبور یک شبکه بیسیم را با هم امتحان کنیم. اما قبل از آن نکته مهمی را باید بازگو کنم: دانش، قدرت است. اما قدرت به این معنی نیست که ما باید به آدم بده ی فیلم تبدیل شویم و به هرکار غیر قانونی دست بزنیم. دانستن نحوه باز کردن قفل که شما را تبدیل به یک دزد نمی کند. پس لطفا این مطلب را یک مقاله آموزشی و یک تمرین خلاقیت فکر بدانید. ادامهٔ این ورودی را بخوانید »

, , , , , , ,

بیان دیدگاه

کوانتوم و امنیت شبکه‌های کامپیوتری

تکامل امنیت شبکه‌های کامپیوتری با معرفی کدگذاری کوانتومی‌ در کنفرانسی در وین وارد مرحله جدیدی شده است.

این شبکه، شش مرکز در اطراف شهر وین را با 200 کیلومتر خطوط فیبر نوری به هم متصل می‌کند و توسط اتحادیه اروپا پشتیبانی می‌شود و SECO-QC نام دارد.

کدگذاری کوانتومی اساساً با کدگذاری‌ها و سیستم‌های امنیتی که در خانه و محل کار از آن‌ها استفاده می‌کنیم تفاوت دارد. کدهای این شبکه محاسبات و معادلات پیچیده ریاضی هستند که تقریباً غیر قابل نفوذ هستند ولی نفوذ به آن‌ها با در دست داشتن دانش ریاضی کافی و ابزار پیشرفته ممکن است. کلیدهای شبکه (Network Keys) نیز از همین کدها استخراج می‌شود و کاربران برای دسترسی به قسمت‌های مختلف این شبکه نیاز به نوعی شناسه کاربری خاص دارند.

ایده پشت این سیستم مربوط به 25 سال پیش است. زمانی که چارلز بنت از شرکت IBM و گیلز براسارد از دانشگاه مونترال این طرح را به صورت مشترک به پایان رساندند و سپس در این کنفرانس شاهد معرفی این سیستم بودند.

گیلز براسارد می‌گوید:«تمامی سیستم‌های امنتیتی کوانتومی بر اساس اصل عدم قطعیت هایزنبرگ بنا شده‌اند. با این ایده که دسترسی به اطلاعات کد گذاری بدون دستکاری و تغییر فوتون‌ها عملی نیست. این نفوذ بدون به جا گذاشتن هیچ‌گونه اثر غیر قابل انجام است.»

در عمل این به معنی شناسایی شعاع‌های نوری و فوتون‌هایی است که میلیون‌ها بار در هر ثانیه بین گره‌های این شبکه بین ساختمان‌های شرکت زیمنس (شبکه فیبر نوری این پروژه توسط زیمنس ساخته شده است) حرکت می‌کنند.

از شناسایی فوتون‌های مشخصی که در این شبکه در حال حرکت هستند، ترکیبی پیچیده از ارقام بوجود می‌آید. از این قسمت به بعد بیشتر شبیه کد گذاری عادی است. مزیت این کار این است که برای دسترسی به کد‌ها باید هر کدام از فوتون‌ها را شناسایی کرد و این کار به دلیل وجود میلیون‌ها فوتون در شبکه برای افرادی که محل دقیق آن‌ها را نمی‌دانند غیر ممکن است.

حتی اگر کسی به درون شبکه نفوذ کند و اقدام به شناسایی فوتون‌ها بکند، نظم فوتون‌ها به هم می‌خورد و شبکه به صورت خودکار از کار می‌افتد ولی این قطع موقتی شبکه به ارتباط گره‌ها با هم مشکلی وارد نمی کند زیرا ارتباط گره‌ها با یکدیگر از طریق خطوط دیگر نیز امکان پذیر است و تنها قسمتی که به آن نفوذ شده است دچار قطع می‌شود.

دکتر هانس هوبل از دانشگاه وین مه یکی از تست کنندگان این شبکه است در این مورد می‌گوید:«ما در حال حاضر با بانک‌ها و موسسات مالی و بیمه در ارتباط هستیم. برای آن‌ها از بین رفتن 10میلیون یورو بسیار کم ضررتر از از کار افتادن کار شبکه برای چند ساعت است. به همین دلیل باید به آن‌ها تضمین بدهیم که قفل‌ها و کدگذاری‌ها شبکه ما برای چندین هفته و بدون خطا کار می‌کند.»

برای اینکه از فوتون در کدگذاری استفاده شود چندین راه وجود دارد. یکی اینکه با قطبی کردن و منحرف کردن آن‌ها، کدها را شناسایی کرد و دیگری اینکه با استفاده از زمانی که طول می‌کشد تا درون شبکه حرکت کنند و از نقطه‌ای به نقطه‌ای دیگر بروند، آن‌ها را شناسایی کرد.

مدیر این پروژه، کریستیان مونیک در این باره می‌گوید:«همان طور که در یک شبکه تلفن همراه، باید وجود صدها گوشی تلفن از صدها سازنده را انتظار داشت، در کدگذاری کوانتومی نیز باید به مشتریان اجازه انتخاب روش کار شبکه را داد.»
همشهری آنلاین

, , , , , ,

بیان دیدگاه

موبایل شما هم هک شده؟

پشت فرمان نشستید، گرمای بیش از حد هوا و یک ترافیک سنگین حسابی حال شما را جا آورده. تو این گیر و دار صدای دریافت یک فایل توسط بلوتوث تلفن همراهتان توجه شما را به خود جلب می‌کند.

زیر چشمی ‌دور و بر خود را برانداز می‌کنید تا شاید فرستنده را بیابید اما خبری نیست. با این حال باز موافقت می‌کنید. یک فایل خیلی ساده برای شما ارسال می‌شود شاید عکس یک منظره. بی تفاوت از کنار این مساله می‌گذرید غافل از آنکه شما هک شده‌اید.

بله درست فهمیدید. تلفن همراه شما هک شده است. البته این هک به این معنا نیست که دیگر اختیاری در کنترل تلفن همراهتان نداشته باشید بلکه بسته به نوع حمله‌ای که صورت گرفته ممکن است دفترچه تلفن و یا تمامی ‌پیام‌های کوتاهی که در باکس شما وجود دارد برای هکر ارسال شده باشد. البته در بعضی از مواقع، دزدیده شدن اطلاعات شخصی شما به رحم و انصاف هکر مورد نظر نیز بستگی دارد. در برخی از مواقع هکر‌های تلفن همراه بیشتر به دنبال عکس‌ها و حتی فیلم‌های شخصی شما هستند تا دفتر تلفن. هک به معنای دسترسی، ایجاد تغییر و یا سوءاستفاده از اطلاعات شخصی دیگران، امروزه به عنوان یکی از بزرگترین مشکلات دنیای دیجیتال محسوب می‌شود. معضلی که نهادها و افراد بسیاری را برای مقابله با خطرات و ضررهای احتمالی به خود مشغول کرده است.

تلفن همراه

فراگیر شدن اینترنت و استفاده از کامپیوترهای شخصی از یک سو و ارائه سرویس‌های متنوع در بستر شبکه‌های محلی و جهانی از سوی دیگر باعث شده که این روزها هکرها و یا همان دزدان دیجیتالی روزهای خوش‌تری نسبت به دزدان دریایی سابق پیش روی خود داشته باشند.

نفوذ به دنیای مجازی کاربران و استفاده از اطلاعات شخصی آنها در اینترنت امروزه به امری فراگیر تبدیل شده است. البته استفاده از نام‌های دخترانه برای ارسال پیام نیز شیوه‌ای است مرسوم که به دفعات در حملات اینترنتی مشاهده می‌شود و در این بین رعایت نکات ایمنی و استفاده از نرم‌افزارهای آن ادامهٔ این ورودی را بخوانید »

, , , ,

بیان دیدگاه

رمز کردن اطلاعات و ایمیل‌ها در جیمیل توسط gpg

در این پست کوتاه در زمینه مخفی نمودن اطلاعات نوشتم اما راهکار نهایی محرمانه کردن اطلاعات و رمزنگاری اطلاعات gpg میباشد gpg (GNU Privacy guard  که نسخه رایگان pgp (Pretty Good Privacy هستش نرم افزاری برای رمز کردن و امضای دیجیتالی فایل ها و ایمیل هاست تا ایمیل و فایلمان امن باشد و دریافت کننده مورد نظر ما اون رو بتونه بخونه و همچنین بتونه از صحت و کامل بودن فایل و ایمیل مطمئن بشه ، موارد گفته شده بوسیله سیستم رمزنگاری PKI که مخفف Public Key Infrastracture هستش بر پایه دو کلید عمومی و خصوصی بنا شده. در این مطلب میتونید ماجرای تصدیق هویت و غیره را بوسیله کلید عمومی و خصوصی مطالعه کنید.

ابزارهایی در ویندوز و لینوکس (فرض میکنیم اوبونتو ) برای ایجاد کلیدهای gpg و استفاده از آن (رمز کردن و امضا کردن )‌ وجود دارد و همچنین اکستنشنی برای فایرفاکس برای رمز کردن و رمزگشایی و امضای ایمیل ها در gmail وجود دارد که در زیر به مرور این ابزارها میپردازیم.

gpg4win ابزای برای تولید و استفاده از gpg هستش که از اینجا میتونید دانلود کنید و ابتدا یک کلید بسازید و سپس اون استفاده کنید ! به همین راحتی 🙂

seahorse نرم افزاریست که  در لینوکس (اوبونتو هاردی) وجود دارد و نیاز به نصب ندارد و اون رو میتونید از ترمینال اجرا کنید، توسط این نرم افزار یک پروفایل ایجاد کنید و کلیدهای خود را تولید کنید و همچنین میتونید اون رو بر روی سرورهای مختلف جهانی کنید در نسخه هاردی اوبونتو در منوی راست کلیک دکمه ای مبنی بر Encrypt طراحی شده که بعد از ساختن کلید خود میتونید از اون دکمه برای Encrypt و Decrypt فایل های خود استفاده کنید.

fireGPG اکستنشنی است برای فایرفاکس که بعد از نصبش در قسمت نوشتن ایمیل در جیمیل دکمه هایی اظافه میشود که با اونا میتونید یک ایمیل را رمز کنید ،‌ امضا کنید و به شکل امن بفرستید و دریافت کنندتون میتونه مطمئن باشه که فقط خودش اونو میتونه بخونه و اون چیزی که میخونه دقیقا همون چیزیه که شما فرستادید.

نکات مهم، توجه کنید که با ساختن یک پروفایل در اصل دوکلید ساخته میشود که با هر دو میتوان عمل رمز کردن را انجام داد، یک کلید عمومی و یک کلید خصوصی، در برنامه های gpg4win در ویندوز و seahorse در لینوکس که کلیدهارو تولید میکنند میتونید از هر دو کلید خروجی بگیرید توجه داشته باشید که کلید خصوصی رو فقط خودتون باید ازش خبر داشته باشید و کلید عمومی تون رو میتونید به اطلاع بقیه برسونید. این دو کلید تکمیل کننده هم هستند فایل یا ایمیلی که توسط کلید عمومی رمز شود را میتوان توسط کلید خصوصی رمزگشایی کرد و بالعکس. پس شما کلید عمومی تون رو میدید به دوستتون و اون ایمیلی رو که میخواد بهتون بده رو توسط کلید عمومی شما رمز میکنه و میفرسته برای شما و اون پیام رمز شده فقط توسط کلید خصوصی شما رمزگشایی میشه. این یکی از کاربردهای gpg است شما میتوانید فایل یا ایمیلتون رو اصطلاحا امضا کنید و بفرستید اینجوری دریافت کننده ایمیل مطمئن میشه که ایمیل از طرف شماست و دستکاری نشده.

اگر حوصله اکتشاف ابزارهای بالا رو ندارید میتونید از این ویدئو استفاده کنید همچنین توضیحات گنوایران هم در این زمینه از دست ندید.

نکته امنیتی :‌ شاید بگید مثلا گوگل انقدر امن نیست که پیام مارو عینا برسونه به مقصد؟ میشه گفت که نرم افزارهایی برای sniff کردن در سطح شبکه وجود داره که میتونه بسته های مختلف رو دریافت کنه و یا شاید یکی بتونه به دلایلی مثلا حماقت های آدمیزاد به صندوق پستی شما دسترسی پیدا کنه و ایمیل محرمانه شما رو بخونه اونوقته که این ابزارها به درد میخوره و یا شما فایلی رو دارید که اثر دست شماست و دوستش دارید و نمیخواید هر کسی توش دخالت کنه پس اونو امضا میکنید و رمز میکنید و یا شما میخواید فایلهای مهمتون رو روی فلش دیسک بریزید و جابجا کنید اونارو میتونید رمز کنید و هرجایی لازم شد رمزگشایی کنید و غیره… شاید استفاده از تمام این مسائل برای کارهای روزانه خنده دار باشه اما وقتی پای پول وسط باشه هر تدبیر امنیتی ای لازمه ! :))

اینم کلید عمومی من !

, , ,

بیان دیدگاه

7 ترفند برای حفاظت وردپرس در مقابل هکر ها

سیستم وردپرس از جمله سیستم هایی است که در حالت عادی از ثبات خوبی برخوردار است و نکات امنیتی همیشه در آن لحاظ می شود ولی به علت پر استفاده بودن این سیستم ، همیشه مورد توجه هکر هاست. مواردی در این مقاله ذکر می شود که با انجام آنها می توانید از وردپرس خود به شکل بهتری در مقابل هکر ها حفاظت کنید.

در ادامه هر مورد را یک به یک بررسی می کنیم:

1- نسخه وردپرسی را که از آن استفاده می کنید، مخفی کنید :

یکی از اشتباهات کاربران این است که نسخه وردپرس خود را در معرض دید قرار می دهند. در این حالت اگر شما نسخه وردپرس خود را به روز نکرده باشید در معرض خطر هستید چون هر کسی می تواند نسخه وردپرس شما را ببیند. به طرق مختلف می توان نسخه وردپرس را مخفی کرد. در حالت عادی نسخه ورد پرس در داخل کد HTML صفحه index قابل مشاهده است.

ادامهٔ این ورودی را بخوانید »

, , , , ,

بیان دیدگاه

بمب ساعتي سرقت اطلاعات‌

اشاره :
با وجود ميلياردها دلاري كه صرف طراحي و توليد محصولات امنيتي مي‌شود، به‌رغم وصله‌گذاري‌ها، ارتقاي سيستم‌عامل‌ها، برنامه‌هاي كاربردي و نيز افزايش هشدارها و در مورد لزوم هشياري كاربران در برابر سرقت هويت، بيشتر سازمان‌ها افزايش ايمني چشمگيري را نسبت به سال گذشته احساس مي‌كنند.

 

جالب است که هيچ‌کس به اين واقعيت توجهي ندارد که کارمندان يک شرکت، «حلقه ضعيف» زنجيره امنيت محسوب مي‌شوند.

با وجود ميلياردها دلاري كه صرف طراحي و توليد محصولات امنيتي مي‌شود، به‌رغم وصله‌گذاري‌ها، ارتقاي سيستم‌عامل‌ها، برنامه‌هاي كاربردي و نيز افزايش هشدارها و در مورد لزوم هشياري كاربران در برابر سرقت هويت، بيشتر سازمان‌ها افزايش ايمني چشمگيري را نسبت به سال گذشته احساس مي‌كنند.

دهمين نظرسنجي عمومي و سالانه اينفورميشن ويك در حيطه امنيت كه با همكاري شركت مشاوره امنيتي Accenture انجام شد، نشان مي‌دهد دو سوم از 1101 نفري كه در ايالات متحده و 89 درصد 1991 نفري كه در چين مورد نظرسنجي واقع شدند، فكر مي‌كنند نه تنها آسيب‌پذيري آن‌ها نسبت به سال گذشته تغييري نكرده، كه شايد بيشتر هم شده است.
آنچه به اين مشكل افزوده، رشد پيچيده فناوري‌هاي امنيتي است. نخستين مشكل امنيتي كه نيمي از آمريكايي‌ها به آن رأي دادند، «مديريت پيچيدگي امنيت» است.
آنچه كه اصطلاحاً «دفاع در عمق» گفته مي‌شود، مؤيد نكته‌اي است كه Alastair MacWillson، سرپرست بخش مديريت عمومي Accenture، مي‌گويد. به گفته وي: «شما انبوهي از فناوري‌ها را به خدمت مي‌گيريد و وقتي كنترل آن‌ها از دست شما خارج مي‌شود، هيچ‌‌كدام نمي‌توانند امنيت درستي را برايتان تأمين كنند.»
وي مي‌افزايد: «اين عمل مثل اين است كه بيست تا قفل روي در كار گذاشته باشيد و به كاركرد هيچ كدامشان اطمينان نداريد!» با اين وجود، مي‌توان اين احتمال را هم در نظر گرفت كه كساني كه مورد نظرسنجي واقع شده‌اند، هنوز چندان نسبت به سرقت يا گم شدن اطلاعات شركت يا مشتريانشان احساس نگراني نمي‌كنند.
تنها يك سوم آمريكايي‌ها و كمتر از نيمي از چيني‌ها اظهار داشتند كه «جلوگيري از قانون‌شكني» بزرگ‌ترين چالش آن‌ها محسوب مي‌شود. همچنين، تنها يك چهارم آمريكايي‌ها دسترسي‌هاي غيرمجاز كارمندان به اطلاعات يا سرقت اطلاعات توسط اشخاصي خارج از شركت را جزو سه اولويت نخست امنيتي خود مي‌دانستند.
حتي وقتي سخن از سرقت يا گم شدن تجهيزات موبايل كه حاوي اطلاعات شركتي يا حساس است، اين تعداد از اين هم كمتر مي شود. عدم احساس خطر نسبت به اين موارد با وجود گسترش روزافزون گم‌شدن اطلاعات در فروشگاه‌ها و شركت‌هاي بسيار زيادي كه TJX  ،Veternas Affairs و  Georgia Community Health Department تنها برخي از آن‌ها هستند، همچنان وجود دارد.
در عوض، مانند سال گذشته، سه اولويت نخست امنيتي، ويروس‌ها يا كرم‌ها (65 درصد آمريكايي‌ها و 75 درصد چيني‌ها)، جاسوس‌افزارها و بدافزارها (56 درصد آمريكايي‌ها و 61 درصد چيني‌ها)، و هرزنامه (چهل درصد آمريكايي‌ها و نيز چيني‌هايي كه مورد نظرسنجي واقع شدند) هستند.

اينجا روشنايي بيشتر است‌

نمودار 1

با اين وصف آيا حرفه‌اي‌هاي امنيت بر نكته نادرستي متمركز شده‌اند؟ Jerry Dixon مي‌گويد: بله.
او كه سرپرست بخش امنيتي National Cyber است، مي‌گويد: «بدانيد كه داده‌هايتان كجا هستند و چه كساني به آن‌ها دسترسي دارند. اين شامل يكپارچگي داده‌ها در پايگاه داده شما است؛ داده‌هايي كه از آن براي پيشبرد تجارتتان استفاده مي‌كنيد.»
وقتي پرسيده مي‌شود حرفه‌اي‌هاي امنيت بايد بيشتر در مورد چه چيزي نگران باشند، Bruce Schneier، سرپرست فناوري در شركت خدماتي BT Counterpane، مي‌گويد: «جرم، جم، جرم و اطاعت از قانون.» به همين دليل چنين مي‌نمايد كه حرفه‌اي‌هاي امنيت، از تمركز بر تهديدهاي امنيتي‌اي كه با هدف پول درآوردن از اطلاعات شخصي مشتريان طراحي شده‌اند، غافلند.
نگاهي موشكافانه به نتايج اين نظرسنجي نشان مي‌دهد كه توجه فعلي سازمان‌ها، به ميزان آسيب‌پذيري داده‌هاي مشتريان دربرابر سرقت اطلاعات محدود است.
براي نمونه، به گفته هفتاد درصد آمريكايي‌هايي كه مورد نظرسنجي واقع شدند، امسال نخستين دليلي كه باعث بروز احساس آسيب‌پذيري در مقابل يك حمله مي‌شد، افزايش پيچدگي تهديدها شامل تزريق SQL بود. تزريق SQLشيوه‌اي از برنامه‌نويسي براي يك وب‌سايت است كه يك هدف را دنبال مي‌كند و آن، ربودن اطلاعات از پايگاه‌داده‌اي است كه توسط يك برنامه كاربردي مورد دسترسي واقع مي‌شود.

نمودار 2

سه دليل بعدي كه موجب بروز حس خطر در شركت‌ها مي‌شود عبارتند از وجود راه‌هاي بيشتر براي مورد حمله قرار گرفتن يك شبكه (از جمله نقاط دسترسي بي‌سيم)، حجم رو به رشد حملات و افزايش تبعات خرابكارانه‌اي كه برخي از حملات باعث مي‌شوند (مانند سرقت، خراب كردن داده‌ها و اخاذي).
تنها سيزده درصد نظرسنجي شوندگان آمريكايي حملات موسوم به denial-of-service را جزو سه اولويت امنيتي خود محسوب كرده‌اند كه اين ميزان، از آمار 26 درصدي سال گذشته كمتر است. نظرسنجي شوندگان چيني نيز آمار تقريباً يكساني داشتند.

از سوي ديگر به نظر مي‌رسد دليل آسودگي برخي از حرفه‌اي‌هاي امنيت، بي‌خبري است: بات‌نت‌ها كه مي‌توانند از دور كنترل منابع آي‌تي را در دست گيرند و براي تدارك حمله يا ربودن اطلاعات، مورد استفاده قرار گيرند، براي نخستين بار در نظرسنجي امسال مشاهده شدند؛ هر چند تنها ده درصد آمريكايي‌ها و سيزده درصد چيني‌ها آن را جزو سه اولويت امنيتي خود قرار داده بودند. شايد دليل اين امر آن است كه شركت‌ها بيشتر اوقات از مورد دستبرد واقع شدن توسط بات‌نت‌ها بي‌خبرند.
دلا‌يل افزايش آسيب پذيري

به گونه مشابهي، ويروس‌ها، كرم‌ها و فيشينگ، سه چالش نخست از فعاليت‌هاي غيرقانوني هستند كه نظرسنجي شوندگان آمريكايي به آن اشاره كردند. هفتمين مورد در فهرست، سرقت هويت بود.
البته ‌اين به آن معني نيست كه سرقت هويت تهديد بزرگي محسوب نمي‌شود. سرقت هويت و اخاذي، بدترين سناريوهاي ممكن براي يك شركت به‌شمار مي‌آيند، ولي اين‌كه شركتي تا كنون به آن دچار نشده را نبايد به حساب تمهيدات امنيتي مناسب يا خوش شانسي آن گذاشت.
TJX، يكي از شركت‌هاي بدشانسي است كه طي چند سال گذشته تعدادي از ركوردهاي اطلاعاتي 7/45 ميليون مشتري آن، از سيستم‌هاي آي‌تي اين شركت به سرقت رفته است. اين بحران، امسال هنگامي كه خرابكاران با استفاده از كارت‌هاي اعتباري تقلبي، ميليون‌ها دلار از فروشگاه‌هاي وال مارت خريد كردند، آشكار شد.
از سوي ديگر، شركت VA كه سال گذشته به عنوان سمبل ناامني شناخته شد، بيست و هفت ميليون ركورد اطلاعاتي ذخيره شده روي يك لپ‌تاپ شركت را هنگامي كه از خانه يكي از كارمندان شركت دزديده شد، از دست داد. ولي خوشبختانه پس از اين واقعه، هيچ خرابكاري مرتبط با آن كه نشانه سوء‌استفاده از آن اطلاعات باشد، مشاهده نشد.
مورد ديگري نيز وجود دارد كه دال بر افزايش نگراني‌هاي امنيتي است: نظرسنجي‌شوندگان آمريكايي در وهله اول ميزان سرمايه‌گذاري‌ها در بخش امنيت را با توانايي آن‌ها در كاهش ساعت‌هايي كه كارمندان درگير موارد امنيتي هستند، سنجيده‌اند (48 درصد)، دومين اولويت توجه به اين مورد است كه چنين تمهيداتي چه اندازه در حفظ ركوردهاي اطلاعات مؤثر بوده است (35 درصد) و سومين اولويت، كاهش شمار اعمال خلاف قانون بوده است (33 درصد).
شايد شگفت‌انگيزترين مورد در كل اين نظرسنجي، اين است كه تقريباً يك‌چهارم نظرسنجي‌شوندگان آمريكايي ارزش نقدي سرمايه گذاري‌هاي خود در بخش امنيت را به حساب نمي‌آورند.

خوش‌شانس‌ها

همان‌طور كه اشاره شد، مهم‌ترين موضوع حملات در فضاي سايبر، ميزان ساعات غيرفعال بودن (down) يك شبكه و پس از آن، غيرفعال شدن برنامه‌هاي كاربردي، از جمله ايميل است كه غيرقابل دسترس مي‌شوند. سومين جايگاه از حيث اهميت خرابكاري كه توسط يك چهارم آمريكايي ها و 41 درصد چيني‌ها گزارش شد، فاش شدن اطلاعات خصوصي شركت‌ها است.
چهارمين مورد، از دست رفتن مينورهاي مالي است كه 18درصد آمريكايي ها و 21 درصد چيني‌ها بدان اشاره كردند. اين دسته را مي‌توان جزو خوش شانس‌ها به شمار آورد.

نمودار 3

تخمين ميزان اثرات سوء مالي ناشي از قصور در بخش امنيت، در كوتاه مدت سخت است؛ به ويژه اگر ماجرا به از دست رفتن اطلاعات، مربوط شود (چون بايد منتظر ماند و ديد آيا از اين اطلاعات سوء‌استفاده خواهد شد يا نه).
در واقع، بيشترين درصد نظرسنجي‌شوندگان به اين مورد اذعان كرده‌اند. 35 درصد آمريكايي‌ها و 31درصد چيني‌ها اظهار داشتند كه از مجموع خسارات مالي شركت خود بي‌خبرند.

بزرگ‌ترين چالش‌هاي امنيتي

بنابراين، خسارات امنيتي به طرز آزاردهنده‌اي در آينده خود را نشان خواهد داد. براي نمونه، TJX از يك خسارت بيست ميليون دلاري ناشي از دزديده شدن يكي از كامپيوترهايش در 28 آوريل امسال خبر داده است. خسارت مربوط به خريدهاي غيرقانوني از فروشگاه‌هاي وال مارت نيز به هشت ميليون دلار مي‌رسد.
در دوازده ماه گذشته (منتهي به ماه جولا‌ي)، برخي از حملا‌ت با هدف سرق پول از طريق دنياي زيرزميني هكرهاي خرابكار و دزدان اينترنتي انجام گرفته است و حملات آتي مشابه، نگراني حرفه‌اي‌هاي امنيت را برانگيخته است.
بيش از نيمي از نظرسنجي‌شوندگان هكرهاي كامپيوتري را منبع نفوذ گري ها و لو رفتن اطلاعات محرمانه شركتشان در طي سال گذشته مي‌دانند و بيش از يك سوم آن‌ها نيز كدنويسان خرابكار را باعث چنين خساراتي مي‌دانند. نكته حائز اهميت اين كه ميزان نفوذگري‌ها توسط افراد غيرمجاز از 28 درصد در سال 2006 به 34 درصد در سال جاري افزايش پيدا كرده است.
ريچ ماريل، سرپرست بخش آي‌تي مركز درماني BryanLGH در لينكلن، بزرگ‌ترين چالش امنيتي اين مركز را حفظ داده‌هاي مرتبط با بيماران مي‌داند و خاطرنشان مي‌كند كه در اين مورد، نه از هكرها بلكه از استفاده نادرست از اين اطلاعات توسط خود كاركنان بيمارستان، چه كاركنان بين‌المللي و چه داخلي، نگران است.
او مي‌گويد: «ما هميشه از اين‌كه مردم سابقه توانمندي‌هاي خود را با ديگران به اشتراك بگذارند يا اطلاعات سازمان روي لپ‌تاپ‌ها يا حافظه‌هاي جانبي در جايي جا بماند، نگران بوده‌ايم.» راه حل اين مشكل آموزش كارمندان براي پرهيز از موارد مشابه و استفاده از فناوري‌هاي امنيتي از جمله رمزنگاري است.
ماريل مي‌گويد: «شركت‌ها بدون مديريت دقيق در حوزه حقوق دسترسي كاربر و درخواست از كاربران براي حفظ اطلاعات مربوط به لاگين و پسورد، با دست خود يك تهديد پنهان را وارد عرصه مي‌كنند.» او مي‌افزايد: «به عنوان نمونه در بيمارستان تعداد زيادي از مردم اطلاعات لاگين و پسورد خود را مي‌نوشتند و آن را همراه خود نگه مي‌داشتند و حتي آن را به كامپيوترشان منتقل مي‌كردند.» مشابه اين موارد خيلي اتفاق مي‌افتد.

مشخصه چين‌

آمريكايي‌ها و چيني‌هايي كه در نظرسنجي شركت كرده بودند، هم ويژگي‌هاي مشابهي داشتند، هم تفاوت‌هاي زيادي. براي مثال، سوء‌استفاده از آسيب‌پذيري‌هاي سيستم‌عامل، نخستين ابزار براي حمله به شركت‌هاي هر دو كشور بود. 43 درصد آمريكايي‌ها و دوسوم چيني‌ها به اين مورد اشاره كردند.
در دومين مورد از بيشترين شيوه‌هاي حملات، يعني آسيب‌پذيري در برنامه‌هاي كاربردي، 41 درصد سيستم‌هاي چيني از اين حيث مورد حمله واقع شده بودند كه اين ميزان براي سيستم‌هاي آمريكايي، كمتر از يك چهارم بود. به عقيده مك ويلسون، از مؤسسه Accenture، اين تفاوت مي‌تواند ناشي از استفاده گسترده از نرم‌افزارهاي بدون مجوز در چين باشد. او مي‌گويد: «آن‌ها به وصله‌هاي امنيتي دسترسي ندارند.»

نمودار 4

ميزان اشاره به ديگر شيوه‌هاي رايج در حملات خرابكارانه از ديد نظرسنجي‌شوندگان آمريكايي و چيني عبارتند از: تغيير اطلاعات در ضميمه ايميل‌ها (26 درصد و 25 درصد)، حمله با سوءاستفاده از آسيب‌پذيري‌هاي سيستم‌عامل (24 درصد و 31 درصد).
البته همه نگراني‌ها به اين موارد محدود نمي‌شود. از 804 آمريكايي‌اي كه گفته بودند در دوازده ماه گذشته شاهد لو رفتن اطلاعات محرمانه شركت خود بوده‌اند، هيجده درصد آن‌ها اين خسارات را ناشي از دسترسي غيرمجاز كارمندان و شانزده درصد، ناشي از دسترسي مشكوك كاربران و كارمندان مجاز مي‌دانند.
ولي اين رقم كمتر از آمار 25 درصدي شركت‌هايي است كه در سال 2006 از چنين اخاذي‌هايي خبر داده بودند.

جالب است كه هيچ كس به اين واقعيت توجهي ندارد كه كارمندان يك شركت يك «حلقه ضعيف» در زنجيره امنيت محسوب مي‌شوند.
گري مين، از شركت DuPont، كه محصولات شيميايي توليد مي‌كند، رئيس شركت را تهديد كرده بود كه اگر مبلغ مورد نظر وي را به او ندهد، پيش از آن‌كه FBI خبردار شود، اطلاعات سري شركت كه ارزش تجاري آن چهارصد ميليون دلار بود را به رقيب اين شركت خواهد فروخت.

اولويت‌هاي امنيتي‌

مين، توانسته بود با مخفي داشتن هويت خود وارد سرور شركت DuPont شود كه حاوي كتابخانه الكترونيكي اين شركت بود و به خيل عظيمي از اسناد حساس كه برخي از آن‌ها اسناد pdf بود، دست يابد.
مين حدود بيست و دو هزار سند حساس را از اين كتابخانه الكترونيكي دانلود و به شانزده هزار و هفتصد و شش سند دسترسي پيدا كرد.
مين گناهكار شناخته شد و به بيش از ده سال زندان، پرداخت 250 هزار دلار جريمه و جبران خسارات، محكوم شد.
با وجود چنين كلاهبرداري‌هايي، كارمندان در محافظت از داده‌هاي شركت كه در جاهاي مختلف از جمله روي لپ‌تاپ‌ها ذخيره مي‌‌شود، قصور مي‌كنند.
لپ‌تاپ‌ها و رسانه‌هاي ذخيره‌سازي قابل حمل به طور فزاينده‌اي از خودرو و خانه كارمندان ربوده مي‌شود. چند ماه پيش يك كامپيوتر كه از آن براي پشتيبان‌گيري از نام و شماره امنيت اجتماعي همه كارمندان شاغل در ايالت اوهايو (شامل 64 هزار ركورد) استفاده مي‌شد، از خودرو يكي از كارآموزان آن مركز دزديده شد.
بيشتر از يك سال پيش از اين واقعه، يك لپ‌تاپ حاوي نام، آدرس و اطلاعات كارت‌هاي اعتباري (credit) و نقدي 342 (debit) هزار نفر از مشتريان سايت Hotel.com از خودرو يكي از كارمندان شركت Ernst & Young در تگزاس ربوده شد.
روندا مك لين، سرپرست امور اجرايي شركت مشاوره‌اي MacLean Risk Partner و نيز سرپرست اسبق بخش امنيتي Bank of America و شركت بويينگ، مي‌گويد: «دليل بيشتر اين وقايع، خطاهاي انساني يا فرايندهاي تجاري نادرست است.»
به طور مشابه، تنها پنج درصد نظرسنجي‌شوندگان، ارائه‌دهندگان قراردادي خدمات، مشاوران يا حسابرسان شركت را دليل بروز خرابكاري قلمداد كردند؛ ولي اين امر به اين معني نيست كه اين موارد مورد غفلت واقع شوند.
در ماه آوريل دپارتمان Community Health در ايالت جورجيا گزارش داد كه دو ميليون و نهصد هزار ركورد حاوي اطلاعات شخصي از جمله نام، آدرس، تاريخ تولد، Medicaid)1) و شماره‌هاي هويتي مربوط به حفظ سلامت كودكان و شماره‌هاي امنيت اجتماعي اين مركز كه در ديسكي ذخيره شده بود، از مركز ارائه خدمات Affiliated Computer Services ربوده شده است.
رندي بار، سرپرست بخش امنيت شركت و برگزاركننده كنفرانس WebEx مي‌گويد: «اگر در روابط كاري لازم باشد كه يك شريك يا ارائه‌دهنده خدمات به هر يك از داده‌هاي ما دسترسي پيدا كند، ما قراردادي كتبي به امضا مي‌رسانيم كه طبق آن حق خواهيم داشت سيستم‌هاي آنان را براي اطمينان از امن بودنشان به طور متناوب بررسي كنيم.»
بار مي‌افزايد: «همه اين قراردادها شامل چك كردن سابقه سيستم‌ها نيز مي‌شود و اين سياستي است كه از سال 2004 تاكنون اعمال مي‌شود.»
شايد فكر كنيد با آموزش درست كارمندان يك شركت مي توان باعث شد دست‌كم كارمندان درستكار در اثر سهل‌ا‌‌نگاري موجب از دست رفتن اطلاعات در خلال تبادل ايميل يا استفاده از سرويس‌هاي پيام‌رساني فوري و نيز در شبكه‌هاي نظير به نظير نشوند.
ولي شايد اين تفكر اشتباه باشد. هرچند طبق گفته 37 درصد از نظرسنجي‌شوندگان نخستين اولويت تاكتيكي براي شركت‌هاي آمريكايي در سال 2007، ايجاد و ارتقاي آگاهي كاربر از سياست‌هاي امنيتي است، با اين همه، اين ميزان از 42 درصد سال گذشته كمتر است.
همچنين درصد كمتري از شركت‌هاي آمريكايي در نظر دارند سيستم‌هاي كنترل دسترسي، نرم‌افزارهاي مانيتورينگ و سيستم‌هاي دسترسي از راه دور امن و بهتري را به كار بندند. در چين، شركت‌ها بر نصب برنامه‌هاي فايروال، سيستم‌هاي كنترل دسترسي و نرم‌افزارهاي مانيتورينگ بهتر، متمركز شده‌اند.
تنها نوزده درصد نظرسنجي‌شوندگان گفته‌اند كه فناوري امنيت و آموزش سياست‌هاي امنيتي تأثير زيادي در كاهش خرابكاري‌هاي ناشي از كم‌توجهي كارمندان خواهد داشت كه اين درصد با ميزان سال گذشته برابر است. مك لين در اين باره مي‌گويد: «اين كار محدود به نشان دادن چند فيلم ويديويي (براي آموزش آن‌ها) نمي‌شود. به عقيده وي ما بايد روند آموزش كارمندان را دنبال كنيم تا مطمئن شويم آن‌ها دست‌كم اصول اوليه‌اي را كه ضروري است، آموخته‌اند.»
طي دوازده ماه گذشته (منتهي به ماه جولا‌ي)، بزرگ‌ترين تغييري كه در حيطه امنيت در مركز درماني آيزنهاور در كاليفرنيا انجام گرفته است، اين بوده كه اسناد كاغذي بيماران به ركوردهاي الكترونيكي تبديل شده است.
ديويد پيترز، سرپرست امور اجرايي اين مركز، مي‌گويد: «اين كار مسئوليت ما در حصول اطمينان از امن بودن اطلاعات را بيشتر مي‌كند و اين تنها به دليل احتمال از دست رفتن اطلاعات به صورت آنلاين نيست، بلكه اين حجم اطلاعات است كه چالش‌برانگيز مي‌شود. چند سال پيش يك اسكن از نوع CAT مي‌توانست 250 تا 500 تصوير در اختيارتان بگذارد، ولي با سيستم‌هاي جديد مي‌توان بيش از پنج هزار تصوير گرفت.»
هرچه پزشكان و كاركنان درماني بيشتري براي انجام كارهاي خود به پورتال اينترانت آيزنهاور متصل مي‌شوند، پيترز و تيم او بايد انجام مانيتورينگ براي شناسايي مشكلات امنيتي را بيشتر كنند و مطمئن شوند كه تنها پزشكان و كاركنان مجاز، به ركوردهاي درماني دسترسي مي‌يابند. پيترز مي‌گويد: «كاربران هنگام ورورد به مركز درماني، يك قرارداد مكتوب را امضا مي كنند. ما نيز براي يادآوري قوانين امنيتي، مفاد آن را در پورتالشان يادآوري مي‌كنيم.»

ترجمه علي حسيني
منبع: اينفورميشن ويك

بیان دیدگاه

محافظت از جیمیل درمقابل هک و نفوذ با استفاده از یک لایه امنیتی سطح بالا

به نقل از پایگاه گوگل میتوان بوسیله یکی از ویژگی مهمی که در بخش تنظیمات حساب کاربری جمیل شما وجودارد ،ازاین پس از لایه امنیتی SSL در جمیل استفاده نمود.

برای فعال نمودن این ویژگی در جمیل خود  این مراحل را طی کنید:
روش 1 :

1 – وارد حساب کاربری در جمیل شوید
2 – وارد بخش تنظیمات گردید

3 – از قسمت Browser Connection گزینه اول یعنی Always Use Https را انتخاب نموده و تغییرات را ذخیره نمائید

 

از این پس مرورگرشما ، سایت جمیل را با استفاده از این لایه امنیتی نمایش خواهد داد. یعنی:



روش 2 :
همچنین میتوان این تغییرات را از طریق رجستری نیز اعمال کرد:

1 – برای این کار در کار RUN عبارت Regedit.exeرا تایپ نمائید
2 – در پنجره باز شده بدنبال مسیر زیر بگردید:

HKEY_CURRENT_USER\Software\Google\Gmail\Flags

3 – تغییرات را مطابق تصویر زیر انجام دهید

» ابتدا در سمت راست رست کلیک کرده و کلید از نوع String بسازید و  نام را url و value Data را برابرhttps://mail.google.com/mail قرار هید

, , ,

بیان دیدگاه

ويروسي هستيد يا خير؟

آيا مي‌دانيد كه بيش از 23 درصد كامپيوترهاي خانگي به ويروس يا نرم‌افزارهاي مخرب آلوده هستند؟ اين خبر را روي سايت سرويس infected_or_not شركت پاندا مي‌يابيد.

آيا مي‌دانيد كه بيش از 23 درصد كامپيوترهاي خانگي به ويروس يا نرم‌افزارهاي مخرب آلوده هستند؟ اين خبر را روي سايت سرويس infected_or_not شركت پاندا مي‌يابيد.
پاندا در سال گذشته طرح آزمايشي را با كمك گوگل راه‌اندازي كرد كه با ايجاد يك پايگاه اطلاعاتي از ويروس‌ها و نرم‌افزارهاي مخرب، كاربران بتوانند به طور آنلاين به اين پايگاه متصل شده و سيستم خود را جست‌وجو كنند. پاندا نسخه دو اين سرويس را به طور رسمي عرضه كرده است و هر كاربر مي‌تواند با مراجعه به نشاني اينترنتيwww.pandasecurity.com/infected_or_not سيستم خود را بررسي نمايد.
از جمله مزاياي اين سرويس، جست‌وجوي سيستم با يك نرم‌افزار قدرتمند و به‌روز، آلوده نبودن آنتي‌ويروس، استفاده از ابزارهاي محافظتي رايگان، عدم نياز به نصب نرم‌افزار و ويروس‌يابي مستقل از سيستم است. شما هم مي‌توانيد به اين سايت مراجعه و با دادن يك آدرس ايميل و رمز عبور از اين سرويس استفاده كنيد.

 

منبع : عصر شبکه

بیان دیدگاه

افزایش امنیت در وردپرس (تغییر نام کاربری Admin)

برای تضمین اطلاعات و مطالب موجود در یک سایت ، چاره ای نیست جز افزایش امنیت . امنیت سیستم مدیریت محتواهای رایگان و کدباز را نمی توان به صورت صد در صد تضمین کرد ولی با رعایت برخی از نکات و هشدارها می توان امنیت را به میزان بسیار بالای افزایش داد . پیشنهاد می کنم برای آگاهی از امنیت وردپرس خود حتماً افزونه WP Security Scan را نصب کنید ،  در این مطلب به آموزش یکی از حفره ها رایج نفوذ به وردپرس می پردازیم ، همانطور که می دانید بعد از نصب وردپرس بروی هاست ، نام کاربری مدیر ثابت و کلمه admin می باشد ، همین نکته باعث شده می شود که بوسیله ی حمله  password guessing ، وردپرس مورد تهدید قرار گیرد. در این آموزش تصمیم گرفته ایم که تا به شما بیاموزیم تا چگونه نام کاربری مدیریت وردپرس را تغییر دهید. امیدوارم که این آموزش مورد استفاده شما قرار گیرد. ادامهٔ این ورودی را بخوانید »

, , ,

بیان دیدگاه

سه قانون طلایی برای داشتن یک مرورگر اینترنت ایمن

اگر شما نگران این هستید که ویروس (Virus) ، کرم (Worm) و یا سایر برنامه های بد اندیش وارد سیستم شما شوند. تنها ۳ راه وجود دارد تا شما با پیروی از آنها یک مرورگر اینترنت ایمن را داشته باشید. حال هر چه شما بیشتر برای امنیت رایانه خود اهمیت قائل هستید می توانید با بکار بردن این قوانین امنیت رایانه خود را تا میزان بسیار زیادی تضمین کنید . قوانین بسیار ساده هستند اما با این حال می بینیم که بسیاری از افراد خواه یا نا خواه قوانین را زیر پا گذاشته و هنگامی که رایانه شان با ویروس یا کرم خطرناکی روبرو شد ، تعجب می کنند که چگونه این اتفاق برای رایانه شان رخ داده است.

این قوانین را بکار برید و نگران نباشید چون قبل از اینکه مشکلی برای شما پیش بیاید قوانین مورد نیاز را برای شما بیان کرده ایم.

قانون طلائی اول – استفاده از اینترنت اکسپلورر(IE) را رها کنید و به کاربران فایرفاکس(Firefox) یا اپرا(Opera) بپیوندید.

اینترنت اکسپلورر یک مرورگر امن نیست چون سراسر از سوراخ های امنیتی می باشد. درست هست که اینترنت اکسپلورر ۷ ایمن تر از مدلهای قبلی خود هست اما با این وجود ایمن تر از فایرفاکس نیست.

ادامهٔ این ورودی را بخوانید »

, , , ,

بیان دیدگاه