هدف ما این است که با افشای “ترفند های هکر” استفاده کنندگان از اینترنت با دانش و ابزارهای مورد نیاز، آمادگی بهتری پیدا کنند تا فریب ترفندهای هکر را نخورند.
پسوندهای پنهان فایلهای ویندوز ممکن است از این موضوع آگاهی نداشته باشید، اما حتی اگر به ویندوز بگویید که تمام پسوندهای فایل را نشان دهد، هنوز هم فایلهایی وجود دارند که بطور پیش فرض مخفی شدهاند.
همچنین هر برنامه نصب شدهایی میتواند پسوندها را پیکربندی کند تا پنهان شوند.
در اینجا در مورد چگونگی انجام این کار و همچنین دلیل اینکه چرا برخی از پسوندهای پنهان میتوانند برای تعدادی از کاربرهای کامپیوتر خطرناک باشند، مثالهایی آورده شده است.
به فرض اینکه شما قبلا ویندوز explorer را برای نشان دادن تمام پسوندهای پیکربندی کردهاید.
پسوند های SHS یک کپی از notepad.exe بگیرید و آن را روی desktop خود قرار دهید.
Wordpad را باز کنید.
روی notepad.exe کلیک کنید و آن را به سمت سند باز شده wordpad بکشید.
روی notepad.exe کلیک کنید و آن را به عقب به سمت desktop بکشید.
فایلی را که ایجاد شده است (Scrap) به Readme.txt تغییر نام دهید.
حالایک آیکن که نشان دهنده سند متنی است و فایلی با نام مشخص readme.txt بر روی desktop شما وجود دارد کلیک کردن بر روی فایل فوق باعث میشود notepad باز شود.
اگر این فایل یک Trojan باشد، شما فریب خوردهاید و توسط آنچه که یک فایل متنی بیخطر بنظر میرسید آلوده شدهاید.
اگر اجازه نمایش این پسوند داده می شد شما فریب فایل Readme.txt.shs را نمیخوردید.
پسوند های PIF اگر سعی کنید تا notepad.exe را به anything.txt.pif تغییر نام دهید، تنها فایلی با نام anything.txt روی desktop خود خواهید دید.
و این بدین دلیل است که PIF پسوند دیگری است که ویندوز بطور پیش فرض پنهان میکند.
اگر شما فایل را اجرا کنید برنامه اجرا خواهد شد، به خاطر اینکه ویندوز پسوندهای PIF را اجرا خواهد کرد حتی اگر آنها فایلهای اجرایی باشند.
پسوندهای SCR پسوند دیگری که باید مراقب آن بود SCR است.
کپی notepad.exe خود را به notepad.scr تغییر نام دهید و روی آن کلیک کنید.
Notepad به عنوان یک فایل اجرایی اجرا خواهد شد.
بسیاری از افراد توسط هکرهایی فریب میخورند که account یک قربانی را بدست آوردهاند.
هکر email یا هر نوع پیغامی را به تمام دوستان قربانی میفرستد که "این صفحه نمایش جدید و بامزه را ببینید از خنده روده بر خواهید شد!" از آنجایی که این پیغام از یک منبع مطمئن آمده، اکثر افراد فریب خورده و فایل SCR را اجرا میکنند که در نهایت به هکری ختم میشود که به کامپیوتر شما متصل شده است.
فرمانهای خطرناکی که میتوانند گنجانده شوند پسوندهای میانبر PIF برخی از پسوندهای پنهان فایل قادرند به سادگی با فرمانهای پنهان شدهای که میتوانند برای سیستم شما مخرب باشند برنامهریزی شوند.
این یک آزمایش ساده است: دکمه راست ماوس خود را روی desktop کلیک کنید و New و سپس Shotcut را انتخاب نمایید.
در Command line تایپ کنید: format a:/autotest Next را کلیک کنید.
در "Select a name for the shortcut" تایپ کنید: readme.txt سپس Next را کلیک کنید.
یک آیکن notepad را انتخاب کرده و Finish را کلیک کنید.
حالا شما در desktop خود فایلی با نام readme.txt و با آیکن notepad دارید.
مطمئن شوید که در درایو شما دیسکی است که از دست دادن آن برای شما اشکالی ندارد و روی آیکن کلیک کنید.
فایلی که شما روی آن کلیک کردهاید درایو A: را فرمت خواهد کرد.
البته آیکن هکر درایو دیگری را مورد هدف قرار خواهد داد یا ممکن است نامی همچون ‘game.exe’ و فرمانی برای حذف کردن دایرکتوری ویندوز شما یا (deltree /y C:\*.*) کل درایو C شما داشته باشد.
اگر پسوند PIF پنهان نشود، قادر به فریب شما نخواهد بود.
پسوند SHS فایلهای Scrap نیز میتوانند فرمانهای گنجانده شده را پنهان کند.
این یک آزمون ساده است: از notepad.exe یک کپی بگیرید و آن را روی desktop خود قرار دهید.
Wordpad را باز کنید.Notepad.exe را کلیک کنید و آن را به سمت سند باز شده wordpad بکشید.
روی Edit کلیک کنید و Package Object و سپس Edit package را انتخاب کنید.
روی Edit و سپس Command Line کلیک کنید.
در کادر، دستوری مانند format a:/autotest را تایپ کنید و روی OK کلیک کنید.
آیکن نیز میتواند از این پنجره تغییر یابد.
از پنجره خارج شوید، این کار سند را به روز خواهد کرد.
روی notepad.exe کلیک کنید و آن را به عقیب به سمت Desktop بکشید.
فایلی را که ایجاد شده (Scrap) به Readme.txt تغییر نام دهید.
حالا شما آنچه را که شبیه یک فایل متنی است دارید.
اگر این فایل اجرا شود درایو A: را فرمت خواهد کرد.
همانگونه که در مثال بالا برای پسوندهای میانبر PIF دیده شد، هکر میتواند از فرمانهای خطرناکتری استفاده کند.
روشهای Trojan در هنگام راه اندازی روشهای راه اندازی استاندارد اکثر افراد از راههای متفاوتی که هکرها برای راه اندازی فایلهای Trojan استفاده میکنند آگاه نیستند.
اگر هکری کامپیوتر شما را با یک Trojan آلوده کند، نیاز به انتخاب یک روش راهاندازی خواهد داشت، بگونهای که در زمان راهاندازی مجدد کامپیوتر شما Trojan بارگذاری شود.
روشهای معمول راهاندازی شامل کلیدهای اجرایی registry، فولدر راه اندازی ویندوز، Windows Load= یا run=lines یافته شده در فایل win.ini و shell=line یافته شده در system.ini ویندوز میباشند.
روشهای راه اندازی خطرناک از آنجایی که فقط تعداد اندکی از این روشهای راه اندازی وجود دارند، هکرهای زیادی را یافتهایم که در پیدا کردن روشهای جدید راهاندازی افراط میکنند.
این شامل استفاده از تغییرات خطرناکی در سیستم registry میباشد، که در صورتی که فایل Trojan یا فایل همراه آن از بین برود سیستم را بصورت بلااستفاده درخواهد آورد.
این یک دلیل استفاده نکردن از نرم افزار ضد ویروس برای از بین بردن Trojanهاست.
اگر یکی از این روشها استفاده شود، و فایل بدون ثابت کردن registry سیستم از بین برود، سیستم شما قادر به اجرای هیچگونه برنامهای پس از راه اندازی مجدد کامپیوترتان نخواهد بود.
قبل از آنکه سراغ registry برویم لازم به توضیح است که یک فولدر به صورت C:\WINDOWS\StartMenu\Program\StartUp وجود دارد که هر فایلی در اینجا باشد هنگام راه اندازی ویندوز اجرا خواهد شد.توجه داشته باشید که هرگونه تغییری میتواند سیستم شما را به خطر بیاندازد بنابراین، هرچه ما میگوییم انجام دهید.
برای دستیابی به registry به منوی start>run> بروید و "regedit" را بدون علامت " " تایپ کنید.
در registry چندین مکان برای راه اندازی Startup وجود دارد که لیستی از آنها را در اینجا می آوریم قبل از آنکه سراغ registry برویم لازم به توضیح است که یک فولدر به صورت C:\WINDOWS\StartMenu\Program\StartUp وجود دارد که هر فایلی در اینجا باشد هنگام راه اندازی ویندوز اجرا خواهد شد.توجه داشته باشید که هرگونه تغییری میتواند سیستم شما را به خطر بیاندازد بنابراین، هرچه ما میگوییم انجام دهید.
در registry چندین مکان برای راه اندازی Startup وجود دارد که لیستی از آنها را در اینجا می آوریم.
[HKEY_CLASSES_ROOT\exefile\shell\open\command] ="\"%1\" %*" [HKEY_CLASSES_ROOT\comfile\shell\open\command] ="\"%1\" %*" [HKEY_CLASSES_ROOT\batfile\shell\open\command] ="\"%1\" %*" [HKEY_CLASSES_ROOT\htafile\Shell\Open\Command]="\"%1\" %*" [HKEY_CLASSES_ROOT\piffile\shell\open\command] ="\"%1\" %*" [HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command] ="\"%1\" %*" [HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command]="\"%1\" %*" [HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command]="\"%1\"%*" [HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command]="\"%1\"%*" [HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command]="\"%1\"%*" اگر این کلیدها مقدار "\"%1\"%*" را نداشته باشند و به جای اجرای فایل در هنگام راه اندازی به "\"Server.exe %1\" %*" تغییر یابد به احتمال زیاد یک Trojan است.
روش راه اندازی ICQ روشی راه اندازی دیگری که امروزه استفاده از آن معمول است شناسایی شبکه ICQ میباشد.
بسیاری از کاربران ICQ نمیدانند که هکر میتواند یک خط پیکربندی را به ICQ اضافه نماید تا با هر بار بارگذاری شدن برنامه Trojan نیز راه اندازی شود.
به عنوان آزمایش مراحل زیر را انجام دهید: ICQ را باز کنید.
روی آیکن ICQ کلیک کنید و preference را انتخاب نمایید.
روی Edit launch List کلیک کنید.
روی Add کلیک کنید.
روی Browse کلیک کنید.
فایلی را برای اضافه کردن به Windows\notepad.exe بیابید که به کار این آزمایش بیاید.
روی Open و سپس OK کلیک کنید.
زمانی که شما ICQ را راه اندازی مجدد میکنید فایل اجرا خواهد شد.
نفوذ در یک چشم برهم زدن (هک ) اشاره : سارقان اطلاعات چگونه ممکن است بتوانند از دیواره آتش شما عبور کرده و صدها مگابایت اطلاعات را به سرقت ببرند بدون این که هیچ ردپایی از خود به جای بگذارند؟
یک راهِ ممکن، از طریق همین درایوهای کوچک USB است که امروزه من و شما در جیب خود میگذاریم و به هر جایی میبریم.
همان طور که میدانید، به این درایوها Flash Disk و Flash Drive هم میگویند، اما اسمشان هرچه که باشد، بسیاری از شرکتها و سازمانها هیچ سیاست مشخصی برای شناسایی این درایوها و قاعدهمند کردن موارد استفاده آنها وضع نکردهاند.
به همین جهت یک مشتری که به ملاقات شما آمده، کارشناسی که سیستمتان را چک میکند، همکاری که هر روز به شما سر میزند، یا هر فرد باهوش دیگری، به آسانی میتواند فلش دیسک خود را در اولین فرصت به پورت USB کامپیوتر شما وصل کرده و صدها فایل اطلاعاتی مهم را با سرعت بالای USB 2.0 برای خود کپی کند.
ظرفیت فلش دیسکهای امروزی از مرز دو گیگابایت گذشته است و همچنان رو به بالا در حرکت است و با ابعاد کوچکی که دارند، خیلی راحت میتوان آنها را پنهان کرد.
پس چاره چیست؟
سرقت اطلاعات تنها تهدید از جانب این وسیله کوچک نیست.
از آنجا که کاربران فلش دیسک عمدتاً به خاطر قابل حمل بودن آن، به استفاده از این وسیله روی آوردهاند، بنابراین در حال سفر یا مأموریت نیز از آن استفاده میکنند و زمانی که به اداره برمیگردند، بدون توجه به احتمال ویروسی بودن فایلها، فلش دیسک را به کامپیوتر خود وصل و سیستم را آلوده میکنند.
نفوذگران میتوانند انواع ابزارهای تخصصی خود را به این وسیله منتقل کنند، از جمله جاسوسافزارها، رمزشکنها، کلیدنگارها، و پورتخوانها، که برای شروع نفوذ به یک سیستم اساسیترین ابزار نفوذگر محسوب میشوند.
بعد از این کار، نفوذگر به شیوههای گوناگون مهندسی اجتماعی، سعی میکند به اتاقتان راه یافته یا به کامپیوترتان دست پیدا کند، تا از طریق درایو USB به اعمال شیطانی خود بپردازد.
گذشته از اینها، در صورت مفقود شدن فلش دیسک، تمام فایلهای موجود در آن به دست کسی میافتد که آن را پیدا کرده و این میتواند برای کل سازمان خطرناک باشد.
چگونه میتوان از شبکه سازمان در مقابل این تهدید محافظت کرد؟
اولین قدم، آموزش دادن به پرسنل است.
ابتدا در مجموعه سیاستهای امنیتی سازمان، استفاده صحیح و ناصحیح از درایوهای USB را تشریح کرده و لزوم داشتن مجوز برای استفاده از فلش دیسک را توضیح دهید.
سپس این موارد را به پرسنل خود آموزش داده و دلایل وجودی هر کدام را برایشان بازگو کنید.
قدم بعدی این است که کامپیوترها را طوری تنظیم کنید که در صورت بیکار ماندن، بعد از 3 تا 5 دقیقه (یا هر مدتی که خودتان صلاح میدانید) به طور خودکار قفل شوند.
در ویندوز اکسپی آسانترین راه برای این کار، استفاده از screen saver است.
نرمافزارهای جانبی زیادی نیز وجود دارند که از جمله میتوان به Desktop Lock محصول شرکت نرمافزای TopLang Software ،PC Lockup محصول Ixis ،SpyLock محصول Spytech Software و StayOut محصول Tomorroware اشاره کرد.
قدم دیگر این است که برای پرسنل مورد نظر خود، USB درایوهای مطئمنی را تهیه کنید.
به عنوان مثال،Lexar Media JumpDrive Secure یک فلشدرایو USB است که به صورت توکار با رمزعبور محافظت میشود.
شرکت SanDisk نرمافزاری به نام CruzerLock را همراه با فلشدرایوهای خود عرضه میکند که امکان گذاشتن کلمه عبور و رمز کردن فایلها را به شما میدهد.
حتی بعضی شرکتها محصولاتی دارند که فقط با اثر انگشت صاحب اصلی کار میکنند.
نکته دیگر این است که نرمافزار ویروسیاب خود را طوری تنظیم کنید که تمام درایوها و ابزارهای جابهجا شدنی را در هنگام اسکن در نظر بگیرد.
به کاربران یاد بدهید که قبل از کپی کردن چیزی به کامپیوتر خود، ابتدا مطمئن شوند اسکن حتماً انجام گرفته یا خودشان به طور دستی به اسکن فلش دیسک بپردازند.
حتی برای تضمین امنیت بیشتر، میتوانید پورتهای USB را غیرفعال کنید.
این یکی شاید زیادی امنیتی باشد، ولی اگر لازم است میتوانید حتی از طریق رمزعبور BIOS کامپیوترها را قفل کنید.
اما اگر به دنبال یک شیوه حفاظتی حرفهای هستید، راهحلSecureNT محصول SecureWave را پیش بگیرید، که اجازه میدهد دسترسی کاربران نهایی به بعضی قطعات ورودی-خروجی (از جمله پورتهای USB) را تحت کنترل خود درآورید.
با استفاده از این نرمافرار حتی میتوانید فهرستی از قطعات مورد تأیید را ایجاد کنید تا دسترسی به هر وسیلهای خارج از این فهرست ممنوع شود.
همچنین میتوانید بر موارد استفاده تمام این وسایل نظارت داشته باشید.
نکته آخر این که، به تمام کاربران بگویید یک فایل متنی حاوی اسم و نشانی خود روی فلش دیسک درست کنند تا در صورت مفقود شدن آن، یابنده بتواند آنها را پیدا کند.
منتها دقت کنید که خود این فایل نباید رمز شده باشد