بهترین های شبکه و امنیت

در این تاپیک مجموعه ای از بهترین های شبکه و انیت بارگزاری مشود ، انشاالله که مورد پسند وافع شود . یاعلی

شاه‌دزد اطلاعاتی جهان

امروزه واژه هكر به طور گسترده‌ای مورد استفاده قرار می‌گیرد. در جامعه هك، ما می‌توانیم میان هكرها ـ افراد فوق‌العاده ماهر در مرور سیستم‌های رایانه‌ای و تشخیص نقص‌های امنیتی ـ و كركرها (cracker) ـ كسانی كه از دانش هك خود برای رسیدن به اهداف مخرب استفاده می‌كنند ـ تفاوت آشكاری قائل شد. این تفاوت همان چیزی است كه گاهی با كلاه سفید و كلاه سیاه از آن یاد می‌شود. برای مثال، هكرهای كلاه سفید، كسانی هستند كه توسط شركت‌ها برای شكستن شبكه‌های رایانه‌شان و كشف نقاط آسیب‌پذیر استخدام می‌شوند؛ اما هكرهای كلاه سیاه، از خارج یك سیستم به شكستن آن سیستم به منظور ایجاد آسیب یا برای كسب منافع مالی اقدام می‌كنند.

برخی در حرفه خود قانون‌شكنی می‌كنند، اما بسیاری از آنها نیز نقش مولد (و حقوقی) در صنعت رایانه دارند. در این نوشتار چند هكر مشهور را می‌شناسیم.

كوین میتنیك

كوین میتنیك متولد 16آگوست1963، یك مشاور امنیتی رایانه‌ای و نویسنده است. وی اواخر قرن بیستم یك هكر رایانه‌ای بود كه در زمان دستگیری‌اش توسط وزارت دادگستری آمریكا به عنوان یاغی‌ترین مجرم رایانه‌ای تاریخ آمریكا معروف شد. از اواخر دهه 1990، میتنیك به جرم استفاده غیرقانونی و سرقت اطلاعات و نقض حریم شخصی شبكه‌های رایانه‌ای تحت تعقیب بود. میتنیك سال2002 در كتابش با عنوان «هنر فریفتن» اظهار كرد دستیابی وی به كلمات عبور به وسیله مهندسی اجتماعی بوده‌است. نكته قابل توجه آن كه میتنیك از نرم‌افزارهای هك و دستگاه دیجیتال دیگری برای كسب اطلاعات استفاده نكرده بود.

درحال حاضر میتنیك یك شركت مشاوره امنیت رایانه‌ای دارد.

كوین پولسن

كوین پولسن، یكی از قهارترین هكرهای جهان است. او برای سازمان بین‌المللی SRI كار می‌كرد و روش‌های هك‌كردن و حتی شكستن قفل امنیتی را آموخت. زمانی كه FBI پولسن را تحت تعقیب قرار داد، خودش را مخفی كرد و فراری شد. پولسن یك بار به برنامه تلویزیونی «معماهای حل نشدنی» دعوت شد و خطوط تلفنی برنامه را به شكل مرموزی مختل كرد. سرانجام پولسن در فوریه 1995 به دام افتاد.

مهم‌ترین عملیات هك پولسن، تحت كنترل درآوردن تمام خطوط تلفن ایستگاه رادیویی KIIS-FM در لس‌آنجلس بود. در این عملیات او وعده داده بود كه صد و بیستمین تماس‌گیرنده در این برنامه خواهد بود و بالاخره هم موفق شد و جایزه Porsche 944 S2 را از آن خود كرد. او در ژوئن 1994 به سرقت هفت اكانت ایمیل، كلاهبرداری رایانه‌ای و پولشویی متهم و همچنین به 51 ماه زندان و پرداخت جریمه 56 هزار دلاری محكوم شد.

این حكم، یكی از سنگین‌ترین حكم‌هایی است كه تا به امروز برای هكرها صادر شده است. با وجود این، پولسن بیكار ننشست و بعد از آن هم چند رایانه FBI را هك و اطلاعات محرمانه‌ تجاری آنها را سرقت كرد.

آدریان لمو

آدریان لمو با نام مستعار «هكر بی‌خانمان» معروف است. به عنوان یك هكر، به شبكه‌های شركت‌های بزرگ مانند یاهو، مایكروسافت، گوگل و MCI WorldCom نفوذ كرده؛ اما او اغلب با شركت‌ها تماس گرفته و به آنها در مورد حفره‌های امنیتی هشدار داده است. در بعضی موارد، او برای برطرف‌كردن این حفره‌ها به شركت‌ها كمك كرده است بدون این‌كه دستمزدی بخواهد.

در سال 2003، وی هنگامی‌كه نیویورك‌تایمز را هك كرد به دردسر افتاد. او گنجینه اطلاعاتی در آنجا پیدا كرد كه شامل اطلاعات شخصی هزاران نفر كه در آن روزنامه مطلب نوشته بودند، از افراد مشهور تا روسای‌جمهور سابق، بود.

در سال‌های اخیر، نام او همراه با بردلی منینگ ـ سرباز آمریكایی كه سال 2010 به اتهام در اختیار قرار دادن اطلاعات طبقه‌بندی شده به سایت ویكی‌لیكس در عراق بازداشت شد ـ در اخبار مطرح شده است. نقش لمو در این موضوع كه در آن به عنوان یك روزنامه‌نگار معرفی شده، هنوز مورد اختلاف است.

گری مك كینون

گری مك كینون(Gary McKinnon)، هكری است كه بزرگ‌ترین حمله هك ثبت شده در تاریخ اینترنت را انجام داده و نام خود را به عنوان بزرگ‌ترین تبهكار اینترنت جاودانه كرده است. دولت آمریكا می‌گوید: مك‌كینون از فوریه 2001 تا مارس 2002 ده‌ها مركز رایانه‌ای ارتش، نیروی دریایی، نیروی هوایی و وزارت دفاع آمریكا و همچنین 16 رایانه ناسا را هك كرده است. هنگامی كه خبرنگاران درباره این كار از او پرسیدند، او پاسخ داد من مرتكب گناهی نشده‌ام و هیچ جایی را هك نكرده‌ام، تنها برای كنجكاوی این كار را انجام دادم. ورود من به سیستم امنیتی ارتش آمریكا یعنی این كه در سیستم‌های امنیتی این كشور ضعف وجود دارد. اگر گری مك كینون در این موضوع متهم شناخته شود احتمالا مجبور به تحمل 70 سال زندان خواهد بود.

آلبرت گونزالس

سال 2009، آلبرت گونزالس متهم به سرقت 6/45 میلیون شماره كارت‌اعتباری و كارت سپرده از شركت‌های TJX شده بود. گونزالس این حمله را از جولای 2005 آغاز كرد، در حالی كه شركت‌های TJX دسامبر 2006 متوجه این حمله شدند. اگر چه تقریبا70 درصد از این كارت‌ها باطل شد، ولی با این حال، این شركت هزینه زیادی را متحمل شد؛ هزینه‌ای بیش از 170 میلیون دلار.

موضوع تعجب‌آور در مورد گونزالس این است كه او تا سال 2008 به دولت آمریكا برای نفوذ به باند هكرها و خلافكاران مختلف كمك كرده است و به آنها درباره دزدان كارت‌های اعتباری اطلاعات می‌داد. اما او در نهایت به 20 سال حبس محكوم شد. البته گونزالس با مطرح‌كردن این موضوع كه از سندرم آسپرگر و اعتیاد به رایانه رنج می‌برد، سعی می‌كند مدت مجازات خود را كاهش دهد.

چه كسی اینترنت شما را می‌دزدد؟

این روزها بسیاری از كاربران از اینترنت ADSL در منزل یا محل كارشان استفاده می‌كنند و اغلب نیز مودم‌‌های دارای قابلیت وایرلس را مورد استفاده قرار می‌دهند تا بتوانند در بخش‌های مختلف منزل یا محل كار بدون نیاز به كابل و با استفاده از لپ‌تاپ شخصی خود به اینترنت دسترسی داشته باشند. استفاده از اینترنت با مودم بی‌سیم بسیار لذت‌بخش است اما باتوجه به آن‌كه كابلی در میان نیست، مسیر اتصال به شبكه برای شما قابل مشاهده نبوده درنتیجه شما نمی‌توانید متوجه شوید فقط خودتان به این شبكه متصل هستید یا افراد دیگری هم همزمان درحال استفاده از اینترنت شما هستند!

این مشكل در بسیاری از آپارتمان‌ها مشاهده می‌شود و كاربران در پایان هر دوره از اشتراك اینترنت خود با مشكل كمبود پهنای باند مواجه می‌شوند، در صورتی‌كه اطمینان دارند به‌نحو مطلوبی از پهنای باند موجود استفاده كرده‌اند!

دوست دارید در شبكه وایرلس نیز به همه چیز نظارت داشته باشید و دستگاه‌های متصل به شبكه برای شما قابل مشاهده باشند؟ نرم‌افزار  Who's On My Wif به همین منظور طراحی شده است. به كمك این برنامه می‌توانید براحتی تمامی دستگاه‌های متصل به شبكه وایرلس خود را مشاهده كرده و درصورت لزوم مانع اتصال دستگاه‌های غیرمجاز به شبكه خود شوید.

روش كار این نرم‌افزار به‌این شكل است كه ابتدا شبكه شما را بررسی كرده و همه دستگاه‌های متصل به شبكه را به شما نمایش می‌دهد. در این مرحله شما ‌باید مشخص كنید كدام دستگاه‌ها مورد تائید و كدام دستگاه‌ها برای شما ناشناس است.

پس از مشخص شدن دستگاه‌های مورد تائید، نرم‌افزار به‌طورخودكار در بازه‌های زمانی 5 تا 10 دقیقه شبكه را بررسی كرده و در صورت مشاهده دستگاهی غیر از دستگاه‌های تائید شده در اتصال اولیه، با اعلام هشدار، شما را از وجود دستگاه ناشناس باخبر می‌كند. در این مرحله شما ‌باید به فكر چاره باشید و در اولین اقدام رمز اتصال به شبكه وایرلس خود را تغییر دهید؛ زیرا ممكن است لورفتن رمز اتصالتان موجب ورود غیرمجاز كاربران دیگر به شبكه و استفاده بدون اجازه از اینترنت شما باشد!

نگاهی نو به امنیت در آی تی

(قسمت اول)

امنیت دو قسم دارد

Feeling ( بعد احساسی): بخش احساسی شامل تفکر و اطمینان از امن بودن بستر آی تی مانند شبکه داخلی دارید. این احساس می تواند درست و یا نادرست باشد. بعنوان مثال صرف داشتن یک آنتی و یروس بر روی سیستم و یا شبکه دلیل بر اطمینان از ویروسی نشدن آن نیست. زیرا ممکن است آنتی ویروس فقط نصب باشد و مشکلی در بروز رسانی آن وجود داشته باشد.

مثال دیگر داشتن دیواره آتش در شبکه است که معمولا باعث اطمینان خاطر کاربران و مدیران شبکه می شود در حالی که پیکربندی نادرست بر روی دیواره آتش می تواند صدمات جبران ناپذیری را بر سیستم ها وارد نماید. بعبارت ساده تر می توان گفت که ما امن نیستیم ولی احساس امنیت می کنیم.

Realistic (بعد واقعی): این قسم از امنیت دقیقا برعکس حالت احساسی می باشد. یعنی ضریب امنیتی ما در حد مطلوب است ولی این احساس در ما وجود ندارد و موجب درگیری ذهن مدیران امنیتی و شبکه و در حالت بد کاربران سیستم ها می باشد.

حال چرا در بحث امنیت چنین احساس می شود؟

دلیل این نوع تفکر حالت  Transparent بودن امنیت می باشد. یعنی اکثر کارها و تنظیماتی که در زمینه امنیت بر روی سیستم ها و شبکه انجام می شود جنبه فیزیکی نداشته و قابل لمس نمی باشد و این خود این حس عدم امنیت در سیستم ها را تقویت می نماید. بعنوان مثال زمانیکه یک سیستم چک کردن اثر انگشت به منظور ورود به سازمان وجود داشته باشند و یا داشتن نگهبان با وسیله های حفاظتی در یک سازمان حس امنیت را به صورت واقعی در ذهن کاربران ایجاد می کند. حال شما بالاترین ضریب امنیتی را در سیستم ها پیاده سازی کنید آیا این حس به کاربر دست می دهد که سیستمش امن باشد؟ خیر!

حال چه کنیم که حس امن بودن در سازمان بین مدیران و کاربران فراهم شود؟

در اولین قدم می بایست کلیه سیاست های امنیتی را برای کاربران شرح داد. ارائه دفترچه های بسیار کوچک و توضیع بین کاربران، درج خبر و توضیح در سایت های داخلی سازمان، زدن اعلامیه در تابلو اعلانات سازمان و در بهترین حالت برگزاری کلاس های لازم به منظور آشنائی و توضیح برای مدیران و کاربران سازمان راه حل های مفید و نتیجه گذاری برای این امر می باشد.

در این ضمینه چه چیزهائی را می بایست توضیح داد؟

جلسات توضیح پیرامون امنیت بدلیل داشتن موارد بسیار زیاد تخصصی و نا آشنائی بسیاری از مدیران و کارکنان سازمان،یک جلسه خشک و غیر جداب می باشد،لذا می بایست در زمان مشخص و کم کلیه مطالب طوری پوشش داده شود که از نگاه کاربر هم قابل درک و هم جذاب به نظر برسد.دلیل انجام موارد امنیتی، چگونگی انجام آن،تلاش ها برای رسیدن به این نتیجه به منظور پیاده سازی آن در سازمان،نتیجه پیاده سازی آن مواردی است که می بایست در این جلسات در مورد آن با زبان ساده  و قابل درک برای حاضرین در جلسه گفته شود.

اینکه کاربر بداند در مقابل چه خطراتی امین شده و این سیاست های امنیتی چه سودی برای وی سازمان دارد خود حس اشتیاق به کارکرد و آسودگی خاطر برای وی به ارمغان میاورد.

سه بعد اصلی امنیت در آی تی

در شکل زیر مثلث معروف امنیت وجود دارد که هر ضلع آن بیانگر مبحث و قابلیتی به منظور امن کردن و ایجاد احساس امنیتی می باشد.

Confidentiality یا محرمانگی به منظور نگه داشتن صحیح اطلاعات از دسترسی های غیر مجاز و حفظ حریم خصوصی آن می باشد. این امر هم باید بصورت فیزیکی و هم بصورت منطقی انجام شود.

بعنوان مثال:

**استفاده از تعریف سطح دسترسی (ACL) بمنظور جلوگیری از دسترسی های غیر مجاز

** استفاده از نام کاربری و پسورد به منظور دسترسی به منابع سازمان

** رمز نگاری اطلاعات با استفاده از الگوریتم های قوی

Integrity یا یکپارچگی به منظور حفظ اطلاعات از گزند تغییر و یا آلوده شدن؛ به تعبیر کلی تر در آی تی.

یکپارچگی کلیه اجزاء و هماهنگ بودن آنها به منظور انجام کار می باشد. مانند اینکه همه چی بخوبی کارکند ولی لینک های ارتباطی قطع باشد. حال به مثال هائی در این ضمینه می پردازیم:

**رمزنگاری اطلاعات به منظور انتقال

**شناسائی دو طرف به منظور ارسال و دریافت

** مدیریت و رصد کلیه سرویس ها به منظور یکپارچه بودن و نبود اختلال در سیستم ها

Availability یا در دسترس بودن بدین معنی می باشد که سیستم برای افراد مجاز می بایست در شرایط تعیین شده همیشه قابل دسترس بوده و سرویس های موجود همیشه بصورت کامل به کلیه درخواست ها پاسخ دهند.

نگهداری سیستمی بدین شکل در ظاهر بسیار ساده بنظر می رسد ولی در عمل بسیار مشکل می باشد زیرا عوامل زیادی در دسترس بودن یک سیستم را تحت الشعاع قرار می دهد:

**تجهیزات سخت افزاری

** برق و سیستم های مولد آن

**حملات بر علیه سرویس های یک سیستم

**اختلال ناشی در پیکربندی های نادرست

موارد تفکر اشتباه درباره امنیت

همانطور که در ابتدای مقاله درباره دو قسم امنیت توضیح داده شد که شامل بحث احساسی و واقعی امنیت بود، ذکر تفکرات اشتباه در این زمینه هم لازم است. بسیاری از سازمان ها براین باورند که داشتن فقط یک آنتی ویروس و یک دیواره آتش آنها را از بسیاری از خطرات امن نگه می دارد و هیچ وقت به تنظیمات و پیکربندی های آنها توجه نمی کنند زیرا این علم برای آنها وجود ندارد که پیکربندی اشتباه گاه می تواند مخرب باشد و نتیجه عکس دهد. پس صرف داشتن چنین محصولاتی تضمینی برای امنیت سیستم ما نیست. همچنین امنیت یک سیستم مفهوم می باشد نه یک محصول؛ و مکمل سیستم آی تی می باشد.

سیستم های آی تی به تنهائی مشکلی ندارند. مشکل زمانی پیش میاید که کاربران مشکل دار شروع به فعالیت های خرابکارانه می کنند. بسیاری از کاربران با دانستن ضعف یک سیستم در صورتی ناراضی بودن و یا از حس کنجکاوی شروع به انجام فعالیت هائی می کنند که سیستم مذکور قادر به انجام آن نیست و یا کاربران به منظور عدم پذیرش سیاست های سازمان شروع به استفاده از ابزارهای غیر مجاز می کنند.

با توجه به موارد فوق می توان نتیجه گرفت که در دنیای آی تی امنیت یک سیستم و مفهوم کلی به منظور تکمیل و برطرف نمودن ضعف های پیش آمده آی تی می باشد نه یک یا چند محصول.

نقض حریم خصوصی در اینستاگرام

اوایل سال جاری میلادی هنگامی که فیسبوک به‌طور رسمی خبر از خرید شبکه اجتماعی اینستاگرام را داد، گزارش‌هایی نیز مبنی بر پیشنهاد توییتر برای خرید این سرویس پیش از آن تاریخ، منتشر شدند. این گزارش‌ها بیان می‌کردند توییتر در مذاکره خود موفق به راضی کردن مدیران اینستاگرام نشده. اما حالا، نیویورک تایمز با انتشار مطلبی، از جنبه‌های دیگر این موضوع پرده برداشته است.

کوین سیستروم در آگوست گذشته رسما اعلام کرده بود که پیش از پیشنهاد فیسبوک، هیچ گونه پیشنهاد رسمی دیگری را برای خرید سرویسش از طرف شرکتی دریافت نکرده است.

اما گزارشات اخیر نشان می‌دهند که او به‌طور شفاهی پیشنهاد 525 میلیون دلاری توییتر برای خرید اینستاگرام را پذیرفته بود اما چند هفته بعد، اتفاقات عجیب دیگری رخ داد و مارک زاکربرگ با پیشنهاد 1 میلیارد دلاری خود توانست این شبکه را از آن خود نماید.

گزارش منتشر شده اذعان می‌کند گفتگوهای انجام شده بین سیستروم و توییتر تماما در خارج از دفاتر رسمی این دو شرکت و در جایی مانند رستوران‌ها انجام شده است. در آن بین نیز مدیر اینستاگرام یک فرم از مشخصات کلی قرارداد را از توییتر دریافت کرد اما آن‌را پیش خود نگه نداشت.

در صورتی که این موضوع حقیقت داشته باشد، احتمال ایجاد مشکلات قانونی برای کوین سیستروم وجود خواهد داشت.

حال این اپلیکیشن به تازگی قانون حریم خصوصی خود را تغییر داده و این تغییر پیامدها و بازخوردهای مختلفی را در پی داشته است. از جمله اینکه،بسیاری از کاربران تصور می‌کنند این برنامه قصد فروش عکس‌هایشان را دارد که البته این موضوع از سوی اینستاگرام تکذیب شده است.

البته باید بدانید که بر اساس این تغییرات، اینستاگرام می‌توانست اطلاعات کاربران را در اختیار فیس‌بوک و شرکت‌های تبلیغاتی قرار دهد. اما در این رابطه، کوین سیستروم با اشاره به سه نکته تبلیغات در اینستاگرام، حق مالکیت و تنظیمات حریم خصوصی گفت، مشخص خواهد شد قرار است چه اتفاقی برای عکس‌های کاربران بیفتد.

سیستروم - مدیر اینستاگرام - در وبلاگ این شرکت نوشته است:

قصد ما از تغییر قانون حریم خصوصی، همکاری با شرکت‌های تبلیغاتی بود. اما به اشتباه این مساله توسط بسیاری از کاربران اینگونه تفسیر شد که ما قصد فروش عکس‌های آن‌ها به دیگران را داریم. این درست نیست و استفاده از «کلمات پیچیده» در متن قانون جدید باعث برداشت اشتباه کاربران شده است. به طور واضح باید بگویم که ما قصد فروش عکس‌های شما را نداریم.

منظور اصلی ما این بود که ...

سیستروم در ادامه مطلبی که خودش در وبلاگ اینستاگرام نوشته توضیح می‌دهد: ایده تبلیغات اینستگرام برای هر دو گروه کاربران و برندها مفید است. آن‌ها می‌توانند عکس‌ها و اکانت‌های خود را برای پیروی‌های معنادار و مرتبط ترویج دهند. اگر شرکتی بخواهد خودش را در اینستاگرام نشان بدهد، فعالیت کاربران، همچون دنبال کردن آن اکانت، به سایرین نمایش داده می‌شود به طوریکه دیگران می‌توانند ببینند چه کسی آن شرکت را دنبال می‌کند.

به عبارت دیگر، اگر شما دنبال کننده یک برند دوچرخه در اینستگرام باشید، تصویر شما و این حقیقت که شما دنبال کننده آن شرکت هستید برای دیگر کاربران نمایش داده خواهد شد.

سیستروم همچنین به این مشکل که آیا عکس‌های کاربران در تبلیغات استفاده خواهد شد نیز اشاره کرد و گفت: «ما برنامه‌ای برای این کار نداریم.»

مسایل دیگر

چیزی از مندرجات کاربران تغییر نکرده است. «اینستگرام هیچ گاه ادعایی مبنی بر مالکیت عکس‌های شما را نداشته است ...» در مورد تنظیمات امنیتی نیز هیچ چیزی تغییر نکرده است.

سیستروم بیان کرده است: «تنظیمات اینکه چه کسی می‌تواند عکس‌های شما را ببیند تغییری نکرده است. اگر عکس خود را به صورت محرمانه و خصوصی تنظیم کرده‌اید، اینستگرام آن را فقط برای افرادی که شما اجازه دیدنش را به آنها داده‌اید، نشان می‌دهد.»

جنجال پیش آمده بخاطر تغییر قوانین حریم خصوصی اینستاگرام تا جایی پیش رفت که طی روزهای گذشته تعدادی از حساب‌های معروف برندهای بزرگ نیز این شبکه را تهدید به ترک و عدم فعالیت در آن کرده بودند.

Wi-Fi در تلفن‌های همراه چگونه عمل می کند؟

به همین علت، و بخاطر سادگی استفاده از این تکنولوژی، بیشتر تجارتها امروزه در حال استفاده از Wi-Fi برای بخشی از شبکه های اطلاعاتی خود هستند. این تکنولوژی به کارمندان اجازه می دهد تا بطور آزاد از میان ساختمان ها تا درون اتاق جلسات عبور کنند و در عین حال به سرویسهای شبکه از طریق لپ تاپ‌هایشان دسترسی داشته باشند.

Wi-Fi همچنین می‌تواند راهی موثر و ارزشمند به منظور توسعه شبکه های داخلی، بدون صرف هزینه سیم کشی یک دفتر بشمار رود.

Bluetooth و Wi-Fi هر دو به عنوان تکنولوژی های عامه پسند و محبوب بی سیم، طراحی، تولید و توسط مردم انتخاب شده اند، اما هدف آنها متفاوت است و نباید آندو را به عنوان تکنولوژی های رقیب در نظر گرفت.

Bluetooth برای استفاده در یک شبکه شخصی بی سیم، برای مثال جایگزینی کابل های بین کیبورد ها و PC طراحی شده است و دارای مصرف پایین برق و برد کوتاه است. در حالی که هدف از Wi-Fi یک شبکه محلی بی سیم بوده که برد و پهنای باند بسیار وسیعتری دارد.

مهمترین استاندارادهای IEEE برای Wi-Fi در خانواده 802.11 عبارتند از

802.11: که با 5GHz کار می کند و دارای حداکثر پهنای باند 54Mbps  است.

802.11 : که با 2.4 GHz کار می کند و پهنای باند 11Mbps  را تامین می کند.

802.11  : که با 2.4 GHz  کار می کند و پهنای باند 54Mbps  را پشتیبانی می کند.

کاربردهایی در صنعت تلفن همراه

 موارد زیادی از کاربردهای تکنولوژی Wi-Fi وجود دارد؛ برخی از مردم Wi-Fi را روی  Laptop و PC  های خود در خانه یا محل کار استفاده می کنند. اما امروزه کاربردهای استفاده از این تکنولوژی در تلفن های همراه می تواند حتی بیشتر از استفاده در کامپیوتر ها باشد.

قابلیت Push Email می تواند یک محیط کاربردی بسیار مهم برای شرکتها باشد. با این روش شما می توانید گوشی موبایل را با Email Server شرکت مورد نظر مرتبط کرده حجم بالایی از اطلاعات را بین دستگاه موبایل و ایمیل سرور انتقال دهید. استفاده از Wi-Fi به عنوان حاملی برای این انتقال درحالیکه سرعت download بالایی را تامین می کند به راحتی از هزینه انتقال اطلاعات با روشهای معمولی می کاهد.

VoIP (پروتوکل انتقال صدا بررویIP) تکنولوژی گسترده و مهم دیگری که امکان برقراری تماس تلفنی بر روی شبکه های کامپیوتری را ممکن می سازد. این تکنولوژی به نوبه خود می تواند به کاهش هزینه ارتباطات کمک کند.

Dual Mode Telephony، دستگاه های موبایل امروزه با استفاده از تکنولوژی Wi-Fi قادر به برقراری تماسهایی به خوبی کیفیت تکنولوژی سلولی رایج می باشند.  یکپارچگی این خصایص فواید بسیاری برای کاربران خانگی و شرکتی دارا ست، البته به شرط کاهش هزینه ها و نیز خصوصیات بیشتر. به این ترتیب شما روی موبایل خود هم سرویس اینترنت دارید و هم سرویس مکالمه تلفنی.

 Internet browsingیا همان قابلیت نمایش صفحات اینترنت، از دیگر مزایای گوشی های Wi-Fi فعال است که باید از آن یاد کرد. با پیشرفت تکنولوژی دستگاههای موبایل به صفحات نمایشگر با کیفیت بسیار بالا و انحلال رنگ بیشتری همراه شده اند.Wi-Fi قابلیت مرور صفحات وب را با سرعت بالا فراهم کرده و بوضوع هزینه اینکار را نسبت به حالت عادی کاهش می دهد.

آینده

WiMAX استاندارد دیگری است که توسط IEEE 802.16 مطرح شده و ارتباطات بی سیم تا شعاعی در حدود 50 کیلومتر و پهنای باندی حدود 70Mbps را فراهم می کند. این یک تکنولوژی جدید، بسیار مۆثر و کارا بوده و قدم بزرگتری بر فراز Wi-Fi است. آنچه بنظر می رسد آنست که بزودی شاهد موبایل هایی مجهز به تکنولوژی Wi-Fi در فروشگاه ها خواهیم بود. این تکنولوژی فرصتهای کاری جدید بسیاری را برای اپراتورهای موبایل و سازنده های گوشی موبایل ایجاد خواهد کرد.

سرویس هایی نظیرPush Email ،VoIP و IMS و... همه نسبت به آنچه احتمالآ اکنون ارائه می شوند ارزانتر خواهند شد و میزان بازده و کارایی این تکنولوژی می تواند ترافیک شبکه های موبایل را کاهش دهد.

عوامل مۆثر انسانی در امنیت کامپیوتر

قسمت چهارم - اشتباهات متداول کاربران معمولى

قسمت اول، قسمت دوم، قسمت سوم

کاربران سیستم به افرادی گفته می شود که در طول روز با داده ها در سازمان سرو کار داشته و با استفاده از سیستم ها آنها را پردازش می کنند. حال این داده ها می تواند بسیار حساس باشد یا می توانند داده های عادی باشند. در ادامه مطلب به برخی از اشتباهاتی که کاربران یا بعبارتی استفاده کنندگان از سیستم انجام می دهند اشاره می کنیم.

عدم رعایت سیاست های امنیتی سازمان

در هر سازمانی که مدیریت امنیتی صحیح، با چهارچوب قوانین خاص خود پیاده سازی شده باشد، صددرصد سیاست های امنیتی نیز بطور جامع تدوین و در آن مسئولیت هر یک از افراد سازمان که با داده های حساس در ارتباط هستند مشخص شده است. نحوه ارتباط با داده ها از طریق شبکه کاملا مشخص شده است و همین طور دستور عمل هائی که ضریب امنیتی را بالا می برد. اعلامیه موجود یا به عبارتی دستورعمل های اجرائی امنیتی جزو مدل های امنیت محسوب و بسیار ضروری بوده و هدف از تدوین آن درک صحیح و آگاهی لازم برای شناخت نحوه حفاظت سیستم های سازمان در زمان استفاده و هنگام مواجهه با خطر می باشد.

تجربه نشان داده که با بکارگیری روش های امنیتی در سازمان محدودیت هائی برای کاربری آسان ایجاد می شود و در نتیجه علاقه به تخطی را برای کاربران سیستم بالا می برد که این امر عامل مهمی برای بخطر انداختن سیستم های حساس و اطلاعات مهم سازمان می باشد. این تخطی ها گاهی باعث بوجود آمدن تهدیدهای خطرناک شده که منجر به از دست دادن اطلاعات حیاتی سازمان یا از کار افتادن سرویس های مهم شده است. به همین دلیل پیشنهاد می شود که نقش امنیتی و رعایت نکات امنیتی کاربرانی که با اینگونه اطلاعات و سرویس ها در تماس هستند به آنها گوشزد و آموزش های لازم نیز بصورت مستمر به آنها داده شود.

انتقال داده های حساس به بیرون از سازمان

بسیاری از پرسنل و کارمندان سازمان امور کاری خود را به منزل برده و در آنجا به ادامه فعالیت خود می پردازند. به طبع با چنین اتفاقی زمانی که اطلاعات مهم و حساس از شبکه سازمان که بیشترین تدابیر امنیتی را داراست به روی سیستمی که احتمال آسیب دیدن آن بی نهایت بالاست، منتقل شود چه خطراتی می تواند در پی داشته باشد. اکثر کاربران به این امر واقف نیستند که سیستم خانگی ایمنی بسیار پائین تری نسبت به سیستم های تحت شبکه دارند هر چند که آنتی ویروس و یا دیواره آتش بر روی آنها نصب شده باشد.

ذخیره سازی داده های حساس بطور غیر امن

فرآیند ایجاد و نگهداری از رمزهای عبور مستمر باید انجام شود و می بایست مورد توجه قرار گیرد. کاربران سیستم همیشه علاقه مند به استفاده از رمزهای عبور ساده که براحتی قابل حفظ کردن می باشد، هستند. در سیاست های امنیتی می بایست نحوه ایجاد رمز عبور، زمان اعتبار آن و نحوه نگهداری را مشخص نماید. با توجه به سخت بودن بخاطر سپردن رمزهای عبوراستاندارد کاربران علاقه دارن که آنها را در گوشه ای یادداشت و مخفی نمایند که معمولا در زیر صفحه کلید، کیف، کشو و یا هرمکانی که از نظر کاربر امن می باشد، برای این منظور استفاده می شود. این یادداشت ها گاهی شامل رمزهای عبور به منظور دسترسی به داده های حساس است که فاش شدن آن فاجعه برای سازمان محسوب می شود.

استفاده از اینگونه روش ها برای محافظت از رمز عبور جزو تخطی از سیاست های امنیتی می باشد. لذا ضروریست کاربران توجیه و آگاهی های لازم را در این خصوص داشته تا در صورت بروز مشکل، امکان مدیریت آن و کاهش ریسک را در پی داشته باشد. برای رفع این مشکل بهتر است روش ها و تکنیک های مفید برای بخاطر سپردن رمزهای عبور به کاربران آموزش داده شود تا ثبت و یادداشت این رمزها کاهش یابد. آموزش روش های متعدد برای بخاطرسپاری کلمات عبور و آشنائی کارکنان با راههای  سوء استفاده از رمزها و حدس زدن آنها توسط مهاجمان و تکنیک های تهدید، می تواند ضریب امنیتی را برای داده های حساس بالا ببرد.

دریافت فایل از سایت های غیر امن

امروزه اینترنت این قابلیت را برای کاربران فراهم می کند که از هر جائی بتواند فایل های مورد نظرشان را دریافت کنند. این دریافت ها گاهی باعث تخطی از سیاست های امنیتی موجود در سازمان بوده و سیستم های سازمان را در معرض آسیب و تهاجم قرار می دهد. بسیاری از سایت های غیر امن و نامطمئن دارای فایل هائی هستند که حاوی برنامه های تهاجمی و جاسوسی می باشند و دریافت فایل ها جز تبدیل کاربران به توزیع کننده برنامه های تهاجمی چیز دیگری نخواهد بود. بهترین روش برای جلوگیری از این اتفاقات محدود کردن دسترسی به این نوع سایت ها و هماهنگی کاربران با بخش آی تی به منظور دریافت فایل های مورد نیاز می باشد.

رعایت نکردن موارد امنیت فیزیکی

عدم آگاهی های کاربران در رابطه با رعایت مسائل ایمنی باعث می شود که سازمان با خطر مواجه شود. رفتار کاربران در زمان استفاده از سیستم های کاری فاقد سواد لازم امنیت بوده و اغلب کاربران بدون در نظر گرفتن موارد امنیت فیزیکی سیسم خود را رها و یا در حالت عدم قفل می باشد. که این کار می تواند باعث سوء استفاده از حساب کاربری و در حالت وخیم سرقت داده های حساس شود. دادن آموزش های لازم در این خصوص باعث برخورد صحیح آنها با داده های حساس و سیستم های خود آنهامی شود و می بایست در این آموزش ها بطور مداوم صورت بگیرد.

خانه‌ها و شبكه خانگی

امروزه اتصال كامپیوترها و ابزار جانبی موجود در خانه افراد بسیار ساده است اما استفاده از ابزار مناسب و چگونگی این اتصال می بایست به درستی صورت گیرد.

اگر شما می خواهید که فایل ها و پوشه ها و ... به صورت اشتراکی در اختیار سایر اعضای خانواده باشد می توانید رایانه های خود را به هم شبکه کنید که به صورت home group نامیده می شود. باید این موضوع را در نظر گرفت که Home Group را فقط می‌توان روی ویندوز 7 راه اندازی کرد و تنها رایانه‌هایی را که به ویندوز 7 مجهز هستند را می توان به این شبکه متصل کرد.

Home Group فقط می‌تواند در Home network راه‌اندازی شود. این موضوع بدان معنی است که زمانی که شما رایانه خود را به شبکه متصل می کنید در ابتدا شما می بایست یکNetwork Location  برای خود ایجاد کنید و پس از آن اقدام به ایجاد یک شبکه خانگی کنید.

زمانی که شما وارد control panel می شوید در زیر گزینه network می توانید گزینهset network location را انتخاب کنید که با سه گزینه رو به رو می شوید.

Home network

Home network را زمانی می توان انتخاب کرد که رایانه‌ عضوی از یک شبکه خانگی باشد یا این که به تمامی افراد و ابزارهای متصل به یک شبکه اطمینان داشته باشید.

Work network 

Work network زمانی مورد انتخاب واقع می شود که رایانه‌ در یک شبکه محلی کوچک عضویت داشته باشد.

Public network

هنگامی که به یک شبکه عمومی متصل می‌شوید، ‌باید Public network را انتخاب کنید در این حالت سیستم شما از دید دیگر ابزارهای متصل به شبکه پنهان خواهد بود. در این حالت نمی‌توانید به یک Home Group متصل شوید.

نکته: اگر از وایرلس برای اتصال به اینترنت استفاده می‌کنید، باز هم بهتر است Public را به عنوان Network Location  انتخاب کنید.

برای ایجاد یک شبکه خانگی یا به اصطلاح home group وارد control panel شوید و عبارتNetwork and Sharing Center  را انتخاب کنید.

گزینه HomeGroup را انتخاب کنید. در صورتی که این گزینه را یافت نکردید می توانید آن را در قسمت جستجوی منوی start پیدا کنید.

در پنجرهHome Group  روی دکمه Create a home group کلیک کنید. در پنجره‌ای که باز می‌شود، می‌توانید تعیین کنید چه مواردی در شبکه به اشتراک گذاشته شود. شما می‌توانید از موسیقی، فایل ها و موارد دیگر را انتخاب کنید. همچنین می‌توانید Printer متصل به سیستم‌ تان را نیز به اشتراک بگذارید.

پس از کلیک روی دکمه Next، در صفحه بعد برای شما پنجره ای به نمایش در می آید و به شما یک کلمه عبور نمایش داده می‌شود که شما می بایست آن را نگه دارید زیرا هنگام اتصال رایانه‌های دیگر به شبکه  Home Group که ایجاد کرده‌اید، به این کلمه عبور نیاز خواهید داشت. اکنون با کلیک روی دکمه Finish مراحل ایجاد Home Group  شما به پایان می‌رسد.

پس از ایجاد Home Group می‌توانید از طریق روش‌های پیش‌گفته به پنجره تنظیمات آن دسترسی یابید و تغییرات موردنظرتان را اعمال کنید. به عنوان مثال می‌توانید یکی از Libraryها یا پرینتری را که قبلا به اشتراک گذاشته بودید، از این حالت خارج کنید.

همچنین می‌توانید با کلیک روی گزینه View or print the home group password کلمه عبوری را که سیستم برای‌ اتصال به Home Group شما تولید کرده بود ببینید و حتی آن را چاپ کنید!

از طریق گزینه Change the password نیز بسادگی می‌توانید آن را تغییر دهید. البته در این حالت کلمه عبور توسط سیستم تولید نمی‌شود و خودتان می‌توانید آن را تعیین کنید؛ پس بهتر است همیشه این کار را انجام دهید؛ زیرا به خاطر سپردن کلمات عبوری که سیستم تولید می‌کند، کار دشواری است!

اگر سیستم تان عضو یک Home Group است و مایلید آن را از این شبکه جدا کنید، ‌باید گزینه :

 Leave the home groupرا انتخاب کنید. همان‌طور که مشاهده می‌کنید، این کار نیز بسادگی اتصال به Home Group صورت می‌پذیرد.

اگر شما بخواهید از طریق نوت بوکتان به شبکه خانگی متصل شوید:

**در ابتدا روی آیکون شبکه کنار ساعت کلیک کنید.

**سپس روی نام شبکه بیسیم مودمتان کلیک کنید.

** قبل از کانکت شدن شما باید پسورد وایرلس مودم را وارد کنید.

** بعد از آن که کانکت انجام شد شما به مودم اتصال پیدا خواهد کرد.

**حالا به  Control Panel/Network and Sharing Center  بروید و نام وایرلس و نوت بوک خود را مشاهده کنید.

**  برای اتصال گزینه join now را کلیک کنید.

**موارد دلخواه را انتخاب کنید و بقیه مراحل را طی کنید.

در قسمتی که از شما پسورد می خواهد همان پسوردی را که سیستم به شما نشان داده است وارد کنید یا اگر آن را تغییر داده اید همان را وارد کنید.

فهرست ضعیف‌ترین رمزهای عبور اینترنتی

اسپلش دیتا اقدام به فهرست کردن کلمات عبوری ناامنی کرده که کاربران از آن استفاده می کنند. این شرکت به کاربران توصیه کرده است که اگر از این کلمات استفاده می کنند آنها را بی درنگ تغییر دهند.

محققان با بررسی یک تحقیق سالانه از متداول ترین کلمه هایی که به عنوان کلمه عبور استفاده می شود به این نتیجه رسیده اند که 123456 و 12345678 هنوز هم متداولترین کلمه های عبوراستفاده شده هستند.

شرکت اسپلش دیتا که به عنوان یک شرکت تولید کننده برنامه های اجرایی بهره وری کار می کند فهرست سالانه ای را از متداول ترین کلمه های عبور ارائه داده که به صورت آنلاین استفاده می شود و هکرها به آن دست یافته و آن را در دنیای مجازی منتشر کرده اند.

براساس اعلام این شرکت، کاربران چنین کلمات عبوری متحملترین قربانیان هک شدن در آینده هستند.

این فهرست در پی هکهای قدرتمند 12 ماهه ای ارائه شده که طی آن کلمات عبور کاربران فاش شده اند.

کاربران برخی از سایتها چون یاهو و LinkedIn درمیان پرتعدادترین قربانیان بوده است.

این درحالی است که برخی از کاربران کلمات عبور خود را ارتقا داده اند و این تحقیق در فهرست امسال به کلماتی چون welcome، ninja،mustang  و password1 رسیده اند که نسبت تازه به فهرست کلمات عبور ضعیف اضافه شده اند.

شرکت اسپلش دیتا که این تحقیقات را منتشر کرده به کاربران هشدار داده است که کلمات عبور خود را تغییر دهند.

مورگان اسین مدیرعامل این شرکت اظهار داشت: کاربران باید تصور کنند که به یغما رفتن هویتشان براثر ناامن بودن و ضعیف بودن کلمه عبور انتخابی چقدر می تواند وحشتناک باشد.

وی اظهار داشت که استفاده از کلمات عبور ضعیف چقدر خطرناک است و تعداد افراد بیشتری با اقدامات ساده تر از خود و هویت مجازی خود با کلمات عبور قدرتمند و کلمات عبور مختلف برای سایتهای مختلف حفاظت می کنند.

اسپلش دیتا اقدام به فهرست کردن 25 کلمه عبوری ناامنی کرده که کاربران از آن استفاده می کنند. درمیان 5 ردیف اول آن می توان به کلمه های عبوری چون  password، 123456، 123456، abc123  و  qwertyاشاره کرد.

این شرکت به کاربران توصیه کرده است که اگر از هر کدام از این کلمات استفاده می کنند آنها را بی درنگ تغییر دهند.

در انتخاب رمز عبور خود از نکات زیر استفاده کنید.

**از کاراکتر های مختلفی مانند : اعداد، حروف و کارکترهای خاصی در کلمه عبور خود استفاده کنید.

**در انتخاب رمز عبور از 8 کاراکتر و یا بیشتر استفاده شود و از فاصله استفاده شود.

**از یک رمز عبور یکسان در سایت های مختلف استفاده نکنید.

متخصص امنیت کیست؟

به منظور متخصص شدن در زمینه امنیت ابتدا باید مفهوم امنیت را بدانیم و درک صحیح از این واژه داشته باشیم.

همانطور که در دو مقاله قبل (1 و 2) هم توضیح داده شد امنیت به معنای احساس آرامش داشتن است. صرف داشتن یک وسیله دفاعی، یک نرم افزار یا سخت افزار قوی، امنیت محیط یا سیستمی بوجود نمی آید. بسیاری از سازمان ها از دیواره های آتش قوی، آنتی ویروس های حرفه ای تحت شبکه استفاده می کنند ولی هیچ گاه بدرستی پیکربندی نشده و یا از ظرفیت اصلی آنها استفاده بهینه نشده است. چرا چنین اتفاقی می افتد؟

معمولا افرادی که با نرم افزار و یا سخت افزارهای امنیتی کار می کنند به معلوماتی که از طریق رفتن به دوره های آموزشی تخصصی در این ضمینه فرا می گیرند اکتفا می کنند. این یکی از بزرگترین مشکلاتی است که گریبانگیر بسیاری از نهادها و سازمان ها است.

حال می خواهیم در این مقاله بطور بسیار ساده و مختصر راه و روش هایی را برای رسیدن به هدف پرورش یک متخصص در ضمینه امنیت اشاره کنیم.

در ابتدا باید ببینیم یک کارشناس ارشد امنیت با یک متخصص امنیت چه تفاوت هائی دارد.

یک کارشناس ارشد امنیت، مفاهیم اصلی در این علم را بصورت آکادمیک یاد گرفته است. مثلا دارای مدرک کارشناسی و یا کارشناسی ارشد از دانشگاه در زمینه امنیت اطلاعات، شبکه می باشد. این فرد با تمام مفاهیم امنیتی و تا حدودی با نرم افزار ها و سخت افزارها آشناست و یا در استفاده از بعضی نرم افزار های امنیتی و یا سخت افزارها دارای دانش و تخصص کافی می باشد. ولی امکان این هست که با تمامی یا تعداد زیادی از آنها آشنا نباشد. کارشناس ارشد امنیت معمولا سیاست های امنیتی را برنامه ریزی می کند. دید کلی نسبت به امنیت دارد. مشکلات امنیت را بررسی و راه کارهای لازم را در این خصوص ارائه می دهد. آموزش متخصصان و گاهی کاربران نیز از دیگر وظایف یک کارشناس ارشد امنیت می باشد.

حال به عملکرد یک متخصص امنیت می پردازیم. این شخص دارای تخصص خاص و حرفه ای در نرم افزارها یا سخت افزارهای امنیتی می باشد. گاهی نیز در این ضمینه دارای مدرک بین المللی است. مثلا دارای مدرک CCSP،CCNP ،  MCSE Securityو... می باشد. یک متخصص شبکه وظیفه پیکربندی و تهیه گزارش از نحوه عملکرد سیاست های امنیتی در مجموعه را به کارشناس ارشد امنیت دارد. نقش گزارشات ارائه شده، در تصمیم گیری های مدیریتی و امنیتی بسیار مهم می باشد و بر اساس آن کارشناس ارشد امنیت می تواند وضعیت را تجزیه و تحلیل کرده و در صورت عدم گرفتن جواب مناسب نصبت به تغییر سیاست ها اقدام نماید. بعبارت ساده تر متخصص امنیت بازوی کارشناس امنیت می باشد.

حال به منظور یک متخصص امنیت و یا یک کارشناس ارشد امنیتی شدن، چه باید معلوماتی باید دانست؟

 *در قدم اول متخصص امنیت یا کارشناس ارشد امنیت با هر نوع گرایشی می بایست درک درست مفهوم امنیت را بداند. برای انجام وظایف خود این دید را نسبت به کارهای خود داشته باشد و همیشه احتمالات را در نظر بگیرد. این جمله بدین معنی نیست که شخص مانند کاراگاهان اداره امنیتی کشور رفتار کنند و به همه کس و همه چیز مشکوک باشند، بلکه همیشه احتمال خطر و ریسک موجود را شناسائی و سعی بر برطرف کردن آن و یا به حداقل رساندن آن کند.

*در قدم بعدی دانش و تاریخچه امنیت که از کی شروع شد، چه مراحلی را طی کرد و در حال حاضر به کدام مقطع رسیده است را بداند.

*داشتن معلومات لازم در خصوص موارد مهمی مانند رمزنگاری، الگوریتم های مورد استفاده آن، سرویس های مربوط جهت راه اندازی و مدیریت آن.

*مدیریت ریسک: مدیریت منابع، ارزش گذاری، در نظر گرفتن احتمال خطا و آسیب ها و روش های حفظ و نگهداری دارائی های سازمان جزو دانش لازم برای اینگونه افراد می باشد.

* آشنائی با پروتکل های امنیتی و مطالعه در این زمینه، دانستن تکنیک های نفوذ و هک و بلعکس، جلوگیری از آنها نیز جزو اطلاعات لازم و اجباری برای افرادی که در زمینه امنیت فعالیت می کنند است.

* تخصص در نصب و پیکربندی صحیح نرم افزارها و سخت افزارهای امنیتی مانند آنتی ویروس ها، دیواره های آتش و سیستم های اعلام خطر و گزارش گیری.

* مطالعه در خصوص روش های نوین پیاده سازی امنیتی، استاندارهای جدید و مقالات نو، تحقیق و  شرکت در جلسات آموزشی و سمینارهای امنیت.

با توجه به توضیحات بالا برای یک کارشناس ارشد امنیت طی کردن دوره های Security+، CEH، CISSP در خصوص دید کامل نسبت به امنیت و دانش تخصصی در ضمینه یک دیواره آتش مانند ASA شرکت سیسکو، TMG و یا مسلط بودن به یک سیستم عامل با اکثر ابعاد کارائی و امنیتی آن مانند دوره های MCITPE یا RHCE، لازم و ضروری است.

اما برای یک متخصص امنیت که وظیفه پیاده سازی و پیکربندی را دارد طی کردن دوره هایی نظیر MCITP، MCSE security، RHCE، CCNP Security و مسلط بودن به نحوه کارکرد یک آنتی ویروس تحت شبکه لازم است.

بطور خلاصه می توان گفت داشتن معلومات کافی و بروز نگه داشتن آن، آشنائی و شناخت صحیح قابلیت های نرم افزها و سخت افزارهای امنیتی، کسب تجربه مانند شرکت در دوره ها و خودآموزی ها، راه های پیشرفت کارشناسان ارشد و متخصصان امنیت می باشد هر چه در این ضمینه سعی و کوشش بیشتری بنمایند به طبع نتیجه بهتر و قابل توجهی نسیب خود آنها می شود.

ما را هک کنید؛ جایزه ببرید

این مسابقه فرصتی رسمی برای هکرهاست تا به نرم‌افزارها و ابزارهای همراهی که پیشتر مخاطرات امنیتی را از سر گذرانده‌اند و به طور گسترده‌ای مورد استفاده کاربران قرار می‌گیرد نفوذ کنند. برندگان این مسابقه نه تنها دستگاهی که برای نفوذ از آن استفاده کرده‌اند را کادو می‌گیرند، بلکه از هدایای نقدی پیش‌بینی شده نیز منتفع می‌شوند. امسال برگزار کنندگان مسابقه کولاک نمودند و بیش از نیم میلیون دلار جایزه نقدی را به هکرها هدیه کردند.

HP TippingPoint که سال‌هاست یکی از برگزارکننده‌های اصلی مسابقه سالانه «هک کن و ببر» است در اقدامی جالب توجه کوشیده تا مبلغ جوایز نقدی این مسابقه در سال 2013 را به رقم باورنکردنی 560 هزار دلار برساند که پنج برابر بیشتر از رقم سال گذشته است.

بنا به اطلاعیه‌ای که روز گذشته از سوی بخش نرم‌افزاری HP منتشر شد، برندگانی که موفق شوند به یکی از افزونه‌های مرورگرهای اینترنتی و برنامه‌های گوگل کروم، فایرفاکس، اینترنت اکسپلورر، سافاری، ادوبی ریدر، ادوبی فلش یا افزونه های مبتنی بر جاوای اوراکل نفوذ کنند از این جوایز منتفع می‌شوند.

جوایز این مسابقه عبارتند از 100 هزار دلار برای نخستین کسی که مرورگر کروم را بر بستر ویندوز 7 یا مرورگر اینترنت اکسپلورر را بر روی ویندوز 8 هک کند. جوایز بعدی نیز 75 هزار دلار برای هک مرورگر اینترنت اکسپلورر 9 و 20 هزار دلار برای جاوا. از این گذشته افرادی که به ادوبی فلش یا ادوبی ریدر نفوذ کنند هر یک 70 هزار دلار دریافت می‌کنند در حالی که نفوذگران سافاری و فایرفاکس نیز به ترتیب 65 و 60 هزار دلار خواهند گرفت.

این در حالی است که جایزه‌ی یکصد هزار دلاری امسال برای نفوذ به مرورگرهای کروم یا اینترنت اکسپلورر، در حدود 67 درصد بیشتر از جایزه‌ی نقدی سال پیش و بیش از شش برابر جایزه‌ی سال پیش از آن (2011) برای هک مرورگرهای رومیزی است.

جالب اینکه امسال هر دو شرکت اچ‌پی (هیولت-پاکارد) و گوگل مشترکاً اسپانسر مسابقات «هک کن و ببر» خواهند بود. در حالی که سال گذشته گوگل مسابقات انحصاری خود را در خلال کنفرانس امنیتی CanSecWest برگزار کرد و 120 هزار دلاری به دو برنده‌ای اهدا کرد که موفق به نفوذ به کروم شدند.

گفتنی ست مرورگرهای دیگر نیز در این مسابقه مورد حمله شرکت کنندگان قرار گرفته بودند. آخرین نسخه Internet Explorer  مایکروسافت، Safari اپل و Firefox موزیلا نیز در سیستم عامل های 64 بیتی  ویندوز 7 و Mac OX Snow Leopard مواردی بودند که در مسابقه سال گذشته گوگل مورد آزمایش قرار گرفتند.

نوت بوک های Sony Vaio و Alienware m11x و یا Apple macbook air 13 نیز کامپیوترهای این مسابقه یودند. شرکت کننده هایی که توانستند هر کدام از مرورگرهای فایرفاکس، اینترنت اکسپلورر و یا سافاری را با موفقیت هک کنند، 15 هزار دلار جایزه نقدی به همراه مزایا دیگر دریافت کردند.

اما اگر کسانی که Chrome گوگل را هک کردند، 20,000  دلار جایزه نقدی به همراه یک دستگاه نت بوک Google CR-48 هدیه گرفتند.

علاوه بر مرورگرهای وب تلفن های همراه نیز شاخه و هدف دیگر این مسابقه بودند. شرکت کنندگان می توانستند نسبت به هک کردن Dell Venue Pro با سیستم عامل ویندوز 7 موبایل،iPhone 4  با سیستم عامل iOs، Blackberry Toch 9800  با سیستم عامل Blackberry 6 OS و یا Nexus S با سیستم عامل اندروید اقدام کنند.

مانند مرورگرهای وب اگر شرکت کننده ای می توانست یکی از تلفن های همراه ذکر شده را هک کند برنده 15 هزار دلار می شد.

در مسابقات امسال هر شرکت کننده‌ای 30 دقیقه زمان خواهند داشت تا شانس خود را بیآزمایند و نخستین کسی که نفوذ کند، به جایزه نقدی و هدیه کالایی آن می‌رسد. این مسابقات از 6 الی 8 مارس (16 تا 18 اسفند) سال جاری در خلال کنفرانس امنیتی CanSecWest در شهر ونکوور واقع در بریتیش کلمبیای کانادا برگزار خواهد شد.

گفتنی است کلمه Pwn به معنی هک کردن و کلمه Own هم به معنی صاحب شدن است.

عوامل مۆثر انسانی در امنیت کامپیوتر

قسمت سوم-اشتباهات متداول مدیران سازمان ها

قسمت اول ، قسمت دوم

با توجه به رشد تجارت از جمله تجارت الکترونیکی سازمان به منظور ورود به این عرصه نیازمند استفاده از شبکه و اینترنت می باشند که در صورت عدم سیاست های امنیتی اتصال به اینترنت، تهدید جدی برای سازمان و اطلاعات مهم آن می باشد.

حال در زیر به اشتباهات متداول مدیران و معاونین سازمان که تاثیرات منفی بر امنیت سازمان بجا می گذارد می پردازیم:

استخدام کارشناسان امنیتی کم تجربه

متاسفانه در بسیاری از سازمانها استخدام کارشناسان امنیت بر پایه اصول و معلومات و تجربه شخص صورت نمی گیرد. روابط فامیلی، کاری و دوستانه همیشه یکی از معضلات بزرگ در اینگونه استخدام ها بوده و مدیران و معاونین ارشد سازمان هرگز به این موضوع اهمیت نمی دهند که شبکه و امکانات سازمان جائی برای تست و آزمایش نیست و هیچ فرصتی برای سعی و خطا وجود ندارد. امنیت اطلاعات سازمان در حدی است که همیشه می بایست تصمیمی درست برای آن اتخاذ و استفاده از منابع انسانی خبره و متخصص برای آن در نظر گرفته شود. گزینش صحیح، عدم وابستگی به مدیران و یا معاونین و داشتن مهارت ها و مدارک مرتبط می تواند در استخدام مدیران و کارشناسان امنیت نقش بسزائی داشته باشد.

عدم آگاهی لازم در خصوص تاثیر یک ضعف امنیتی بر عملکرد سازمان

متاسفانه بیشتر معاونین و مدیران سازمان بر این باور هستند که مشکلات امنیتی برای ما پیش نمی آید و یا اگر هم پیش آمد آن موقع برای حل آن تصیم می گیریم. به همین دلیل به مقوله امنیت در سازمان اهمیتی نمی دهند و قبول نمی کنند که در زمان وقوع حادثه امکان جبران خسارات وارده در بسیاری از مواقع وجود ندارد. دلیل این طرز تفکر عدم آگاهی لازم نسبت به ابعاد و اثرات یک اختلال و ضعف امنیتی در سازمان می باشد.

نکته مهمی نیز در این بین وجود دارد و این است که بروز مشکل امنیتی در سازمان شاید محدود به خود سازمان نبوده و آثار منفی زیادی در ادامه فعالیت های سازمان داشته باشد.

تاثیرات منفی بر سایر فعالیت های بروز سازمان

زمانی که در اثر یک ضعف امنیتی آسیبی به اطلاعات محرمانه و حیاتی یک سازمان وارد می شود، وجهه آن سازمان بین افراد و در رتبه ای بالاتر بین مشتریان خود از بین رفته و عدم اعتماد را به دنبال خواهد داشت. یکی از دلایل بروز چنین رخدادهائی معمولا عدم تخصیص بودجه یا عدم پرداخت بموقع آن، به منظور رسیدن به مقوله امنیت اطلاعات می باشد. مجاب کردن مدیران و معاونین سازمان در خصوص کنار گذاشتن بودجه برای بحث های امنیتی و استفاده از ابزارها و تکنیک های آن که لازمه پرداخت هزینه می باشد، می بایست به عهده مدیران سیستم و کارشناسان امنیت باشد.

تمایل مدیران همیشه کاهش هزینه ها و در نهایت بالابردن بهره وری سازمان می باشد، که معمولا باعث نپرداختن به مقوله امنیت می باشد. حال در نظر بگیریم که بودجه مناسب برای پرداختن به مقوله امنیت در سازمان پرداخته شود، قطعا فرصت های خوبی برای سازمان پیش می آید که از مقوله امنیت بالای خود بهره برده و تبلیغ و اعتباری برای خود کسب نماید و با شناسائی دقیق ضعف های خود و برطرف کردن آنها از سایر رقیبان پیشی گرفته و در شرایط بوجود آمدن خطر واکنش های مناسب را فراهم می آورد که این باعث به ارمغان آوردن پیشرفت و سودآوری برای سازمان خواهد بود.

متکی بودن کامل به یک ابزار و محصول امنیتی

در جواب چگونه از اطلاعات خود حفاظت می کنید؟ اکثر مدیران سیستم و سازمان به متکی بودن به یک دیواره آتش، یک آنتی ویروس را مطرح می کنند و مدعی هستند که از حملات و خطرات مصون مانده و جای هیچ نگرانی برای سایرین وجود ندارد. باز هم تکرار می کنیم امنیت فرآیندی مستمر و یک سیستم است نه یک یا چند محصول. زیرا هیچ نرم افزار و سخت افزاری بدون اشکال نمی باشد. همان خطاهای انسانی نیز در مورد سازنده های آنها نیز صدق می کند.

حال می بایست مدیران سازمان را با نحوه کار و مزایا و معایب دیواره های آتش و آنتی ویروسها آشنا کرد. معمولا دیواره های آتش و آنتی ویروس ها پس از شناخته شدن یک حمله و یا ویروس و نحوه چگونگی انجام آن بروز رسانی شده  و پس از برخورد با آن وارد عمل می شود. ابزارهای ذکر شده فقط و فقط بخشی از فرآیند و سیستم امنیت می باشد به منظور ایمن سازی می باشد ولی خود به تنهائی قادر به مقابله بصورت کامل با حملات و آسیب ها نخواهند بود.

سرمایه گذاری اولیه و آسودگی خیال

مورد پنجم : یک مرتبه سرمایه گذارى در ارتباط با امنیت

مفهوم امنیت گسترده و پیچیده می باشد و دارای دو بعد تکنولوژی و آموزش است که نیاز به سرمایه گذاری در هر دو بعد می باشد. با پیشرفت علوم کامپیوتر و تجارت هر روز شاهد ارائه تکنولوژی جدیدتر می باشیم که نمی توان آن را نادیده گرفت. مقاومت در برابر عدم استفاده از تکنولوژی های جدید گاهی هزینه های بیشتری را به سازمان وارد می کند. مشتریان سازمان همیشه بدنبال استفاده از سرویس ها و خدمات با کیفیت هستند که در این بین قیمت ارائه خدمات نیز برای آنها مهم محسوب می شود. حال به این مسئاله می پردازیم که استفاده از تکنولوژی های جدید و سرویس های مرتبط با آن، تهدیدات و مشکلات خاص خود را همراه دارند. پس لازم است به امنیت به چشم یک سرمایه گذاری پیوسته نگاه کرد.

4 ویژگی امنیتی در ویندوز سرور 2008

(قسمت دوم)

NAP ؛ چالشی برای داشتن یک شبکه ی سالم و امن

در محیط های متصل به شبکه و تغییرپذیر امروز، پروسه جلوگیری از دسترسی های غیر مجاز و یا امکان نفوذ احتمالی کامپیوترهای غیرمجاز و ناامن خارجی به شبکه ی درونی سازمان ها و شرکت ها، چالشی همیشگی بوده است. سرویس محافظت از دسترسی به شبکه یا Network Access Protection (NAP) یک ساختار جدید است که به مدیران شبکه این اجازه را خواهد داد که بصورت پویا و در لحظه، بر روی دسترسی کامپیوتر ها به شبکه، از طریق تعریف کردن یکسری قوانین موسوم به قوانین سلامت سیستم ها (System Health Rules)، محدودیت هایی را ایجاد نمایند.

NAP سه مرحله ی زیر را برای اجرای این پروسه ارائه می دهد:

معتبر کردن موقعیت سلامت (Health State Validation) : تعریف کردن یکسری مشخصات مورد نیاز و چک کردن صحت وجود این پارامترها در مورد هر کامپیوتری که به شبکه سازمان متصل می شود. (مثلا داشتن برنامه آنتی ویروس به روز).

قبول سیاست سلامت (Health Policy Compliance) : در اختیار گذاشتن یکسری منابع برای کامپیوترهای فاقد بعضی پارامترهای مشخص شده، که این اجازه را به آنان می دهد که بتوانند پارامترهای مورد نیازشان برای گرفتن اجازه دسترسی به شبکه را کسب کنند. ( مثلا وصل شدن به یک سرور و یا یک دسترسی خاص مثل اینترنت، برای بروز کردن پایگاه داده ی آنتی ویروس)

دسترسی محدود (Limited Access) : در اختیار گذاشتن دسترسی محدود به منابع شبکه برای کامپیوترهایی که پارامترهای مورد نیاز برای اخذ اجازه ورود به شبکه را دارا نبودند و امکان اخذ پارامترها را بوسیله ی منابع در اختیار گذاشته شده که در مرحله ی قبل ذکر شد را نیز نداشتند.

NAP تا حد زیادی باعث کاهش بار کاری کامپیوترهای خانگی برای بروز ماندن کامپیوترها با آخرین برنامه های امنیتی می باشد. NAP همچنین به کامپیوتر های ریموت و یا سیار در شبکه اجازه ی دسترسی به منابع موجود در شبکه را خواهد داد، در عین حال که احتمال نفوذ و سرقت احتمالی داده ها را از طریق کامپیوتر های خارجی و گذری در شبکه را تا حد زیادی کاهش می دهد.

ASLR ؛ یک قابلیت امنیتی پیشرفته ی اضافه شده دیگر

فضای آدرس دهی تصادفی (Address Space Layout Randomization) : یک مکانیزم برنامه ریزی امنیتی می باشد، برای حفاظت در برابر کلیه استفاده های رایج از بافر در زمان اجرا. بصورت خلاصه، ASLR لود شدن کدها در حافظه سیستم عامل را بصورت رندوم درمی آورد. در نتیجه، این مکانیزم هرگونه بهره برداری و استفاده از مکان لود شدن در حافظه، در زمان اجرا را بیهوده می سازد، چراکه کدهای مورد استفاده برای حمله هیچ راهی برای پیش بینی مکان حافظه که کدهای باینری در آن مقصد لود می شود را نخواهند داشت. ASLR در بسیاری از محیط های سیستم عاملی مختلف استفاده می شود و بعنوان یکی از مکانیزم های امنیتی موثر شناخته می شود. بعلاوه، ASLR بصورت پیشفرض در ویندوزهای سرور 2008 و ویستا و 7 فعال می باشد.

سایر پیشرفت ها و بهبودهای امنیتی دیگر در ویندوز سرور 2008 شامل یک مدیریت یکپارچه دامنه پیشرفته با قابلیت های بهینه شده ی تشخیص هویت، Certificate و مدیریت حق دسترسی یا Right و مد کنترل دامنه، برای دامین سرورهای ریموت می باشد. همچنین در سرویس دسترسی (Terminal Service) نیز می توان به پیشرفتی در زمینه توانایی به اشتراک گذاشتن تنها یک نرم افزار کاربردی (Application) واحد به جای به اشتراک گذاشتن کل دسکتاپ و اجازه ی برقراری ارتباط ریموت بصورت امن از طریق Https اشاره کرد. افزایش امنیت در IIS و پشتیبانی از پروتکل رمز نگاری 256-bit AES برای تایید هویت با پروتکل (Kerberos) نیز شامل این تغییرات و بهبودهای امنیتی می باشد.

همه سیستم عامل های جدید مایکروسافتی به شما قابلیت های امنیتی بیشتر از نیازتان را ارائه می دهند. برنامه نویسان مایکروسافت مرتباً از کمبودهای ورژن های قبلی سیستم عامل های تولید شده آگاه شده و بصورت موازی به تصحیح، بهبود و درعین حال حفظ ثبات این قابلیت ها می پردازند.

مدیریت ریسک در امنیت اطلاعات

(قسمت اول)

با نظر به این تحولات نکاتی نظیر خطر آشکار شدن رمز عبور، خطر ویروسی شدن سیستم ها، از بین رفتن اطلاعات و تغییر اطلاعات توسط افراد غیر مجاز، نفوذ آنها به شبکه ها و سیستم های کامپیوتری از اهمیت بالایی برخوردار می شوند.

مدیریت امنیت یکی از فعالیتهای بسیار مهم در سازمان است. بنا به یک تصور رایج در بسیاری از سازمانها، طراحی زیر ساخت و متعاقبا پیاده سازی راه حل های امنیتی (از قبیل نصب دیواره های آتش، IDS، IPS و...)  برای برقراری امنیت مناسب و کافی است. امنیت اطلاعات نیازمند یک «سیستم مدیریت امنیت» و همچنین یک مدیریت ریزتر برای ریسک ها و خطرات احتمالی همچنین مدیریتی برای رفع آنها می باشد.

در این مقاله هدف، توضیحات کلی در خصوص ریسک های احتمالی برای اطلاعات و نحوه برخورد با آنها می باشد. در ابتدا به منظور دانستن مدیریت ریسک دارائی ها می بایست با مفاهیم دارائی آشنا بشویم.

دارایی چیست؟

دارایی در علم حسابداری، عبارت است از کلیه اموال و حقوقی که دارای ارزش پولی باشند. دارایی های یک واحد ممکن است پدیده های عینی و مشهود باشند. مثل زمین، ساختمان، موجودی نقدی و موجودی کالا یا به صورت حقوق مالی و امتیازات غیر قابل رویت، مثل سرقفلی و مطالبات از اشخاص.

داراییها خود به پنج گروه اصلی تقسیم می شوند که عبارتند از :

دارایی های جاری: این دارایی ها اقلامی هستند که انتظار می رود در طی یک سال یا یک دوره عملیاتی از تاریخ تنظیم ترازنامه هرکدام که طولانی تر است به وجه نقد تبدیل، یا مصرف و یا فروخته شوند. معمولا دارایی های جاری بر حسب سرعت تبدیل شدن به وجه نقد و یا مصرف در ترازنامه منعکس می گردند.

سرمایه گذاری های بلندمدت: این سرمایه گذاری ها، مانند خرید اوراق قرضه و یا سهام موسسات دیگر، از نوع دارایی هایی می باشند که مدیران موسسه انتظار ندارند در طی یک دوره مالی به وجه نقد تبدیل گردند.

دارایی های ثابت: این دارایی ها، اقلامی مشهود با عمری طولانی می باشند که در جریان عملیات موسسه مورد استفاده قرار می گیرند. دارایی های این گروه به مرور زمان و پس از استفاده مکرر فرسوده می گردد به همین دلیل برای هر یک از دارایی های ثابت استهلاك منظور می شود.

دارایی های نامشهود: این گروه از دارایی ها نشان دهنده حقوق قانونی و یا ارتباط خاصی است که وجود فیزیکی نداشته، منافعی را برای صاحب آن در آینده به دنبال دارد. از جمله دارایی های نامشهود می توان به حق اختراع، حق امتیاز تولید، و سرقفلی اشاره کرد.

سایر دارایی ها: هر گاه موسسه ای دارایی داشته باشد که نتواند آن را در یکی از گروههای فوق طبقه بندی نماید از عنوان سایر دارایی ها استفاده می کند.

حال به بررسی دارایی های مربوط به آی تی که مد نظر ما برای مدیریت آنها می باشد می پردازیم که شامل موارد زیر می شود:

دارایی های سخت افزاری

فلاپی، پرینتر، اسکنر، نوت بوك،CD  وDVD  انواع , UPS شامل سرورها، کامپیوترهای شخصی، دستگاه فکس و تلفن و درایو های قابل حمل، اجزاء شبکه ارتباطی از قبیل روترها، مودم، سوئیچ،Flash memory.

دارایی های نرم افزاری

نرم افزارهایی که در داخل یا خارج سازمان تولید شده و در راستای مأموریت و فعالیت های سازمان مورد استفاده قرار می گیرند. مانند سیستم های اتوماسیون اداری، نرم افزارهای مالی و حسابداری، انبارداری ودیوار های آتش و مدیریت دانلود. نرم افزارهای معمول و موجود در بازار که برای انجام امور عادی و روزمره مورد استفاده قرار می گیرند مانند نرم افزارهای تایپ و فتوشاپ، اکروبات ریدر و... .

سرمایه های اطلاعاتی

شامل هر نوع اطلاعات چه فیزیکی از قبیل کاغذ و نامه وغیره، و چه غیر فیزیکی که برای سازمان دارای ارزش باشند .اطلاعات کاری و سازمانی از قبیل سوابق پروژه ها و فعالیت های انجام شده، مأموریت و گزارشات سازمانی موجود، روندها و طرح های سازمانی و ... ، اطلاعات پرسنلی از قبیل اطلاعات حقوقی، اطلاعات شخصی، سوابق کاری و خدمتی، شماره حساب های بانکی و لیست بیمه و...  ، اطلاعات امنیتی از قبیل کلمات عبور، اطلاعات مربوط به رمزنگاری و احرازصلاحیت و احراز هویت کاربران و ... ، بانک های اطلاعاتی موجود بر روی سرورها، فایل های اطلاعاتی ذخیره شده بر روی سرورها یا کامپیوترهای کاربران – اطلاعات مشتریان.

سرمایه های انسانی

سرمایه های انسانی شامل تمامی کارکنانی می شود که در سازمان مشغول بکار بوده و در صورت از دست دادن آنها، به روند اجرایی سازمان و روال های کاری و سازمانی لطمه وارد خواهد شد. نظیر مدیران ارشد قسمت های مختلف سازمان و امنیت  آی تی، جانشینان و معاونین آنها، رۆسای بخش ها و دوایر پرسنل متخصص و با سابقه، مدیران و کارشناسان بخش اطلاعات، پرسنل متخصص و تکنیکی موجود در دوایر و بخشها و سایر موارد.

پس از تعیین و شناسایی دارایی ها، تیم ارزیابی اقدام به شناسایی ریسک های مربوط به هر یک از دارایی ها می نماید. همانطور که از تعریف ارائه شده برای ریسک استنباط می شود، هر ریسک از سه جزء تشکیل شده است.

لذا تعریف ریسک به معنی تعیین دقیق این سه جزء است. که عبارتند از :

ریسک = عامل تهدید + سرمایه + اثر تهدید

با توجه به فرمول بالا، با تغییر هر یک از اجزاء موجود در طرف چپ تساوی ، ریسک جدیدی حاصل می شود.

و در نتیجه در اکثر موارد امکان دارد که برای یک دارایی مشخص، چندین ریسک مختلف را با توجه به نوع عامل تهدید و انواع اثرات آن، بتوان شناسایی نمود. بنابراین، برای هر مورد یک شناسنامه ریسک بصورت جدا تهیه خواهد شد.

 عدم آگاهی کاربران بالاترین تهدید و سپس امنیت نیروی انسانی از بارزترین نمونه ها در کنار امنیت فیزیکی به شمار میروند. حجم بالای اطلاعات در هر سازمان من جمله مکاتبات، سیاست ها، اطلاعات مشتریان و ... ما را بر آن میدارد تا به فکر حفاظت از آن باشیم و در نتیجه این اطلاعات مهمترین دارایی و کلید رشد سازمان به حساب می آید. یادمان باشد که سیستم های اطلاعاتی همواره در خطر سرقت اطلاعات و تغییر و ... می باشند.

حال کارشناسان امنیت باید بدانند که برای محافطت از اطلاعات نمی توان به نوع خاصی از امنیت و یا محصول خاصی بسنده کرد و این انتظار بیهوده است که محصولی تمام انتظارات امنیتی ما را فراهم کند. از این نکته می توان چنین برداشت کرد که همیشه با ترکیب چند قابلیت امنیتی و محصول می توان به ضریب امنیت بالاتری رسید زیرا همانطور که در مقالات قبل اشاره شد امنیت یک سیستم برای تکمیل مشکلات آی تی می باشد نه یک یا چند محصول.

دزدان وایرلس من!

گسترش استفاده مردم کشور از مودم های بی سیم در منزل و سهولت استفاده از آن باعث شده بیشتر افراد این گونه از ارتباط را برای اشتراک اینترنت در منزل خود استفاده کنند. اما همین سهولت و راحتی استفاده از آن می تواند در صورت نایده گرفتن نکات امنیتی مخاطراتی را به همراه داشته باشد.

همانطور که می دانید از طریق تنظیمات روتر می توان محدودیت هایی را برای اتصال به شبکه WiFi مشخص کرد. بدین منظور باید نام کاربری و رمز عبور مورد نظر خودتان را در بخش Wireless روتر وارد کنید. حتی شما می توانید پا را فراتر گذاشته و امنیت سخت تری را اعمال کنید و احراز هویت کاربران را بر اساس آدرس MAC کارت های شبکه تعیین کنید. در این حالت باید لیستی از آدرس های MAC را وارد کنید تا فقط این کاربران مجاز به استفاده از شبکه WiFi باشند. برای پیدا کردن آدرس MAC کارت شبکه کافی است تا دستور ipconfig /all را در پنجره Command Prompt وارد کنید. (برای دسترسی به کنسول مدیریتی روتر خود از آدرس http://192.168.1.1 استفاده کنید). اما اگر شما تنظیمات امنیتی را به هر دلیلی پیکربندی نکرده اید در ادامه روش مناسبی را برای شناسایی کاربرانی که از شبکه WiFi استفاده می کنند، معرفی خواهیم کرد.

 Wireless Network Watcherنام برنامه رایگانی است که به شما اجازه می دهد به راحتی متوجه شوید که چه افرادی و با چه مشخصاتی از شبکه WiFi شما استفاده می کنند. این برنامه بعد از اسکن، دستگاه های متصل به شبکه را مشخص می کند.

شما می توانید با استفاده از برنامه Wireless Network Watcher اطلاعاتی از قبیل آدرس IP، آدرس MAC، نام کامپیوتر و کارت شبکه را بدست آورید و به راحتی از دسترسی غیرمجاز به شبکه WiFi خود جلوگیری کنید. شاید این سوال برایتان مطرح شود که اگر بعد از اینکه برنامه عملیات اسکن را انجام داد فردی به شبکه WiFi متصل شد از کجا باید متوجه شویم؟ در پاسخ باید گفت که این برنامه تنظیماتی را برای این حالت نیز در نظر گرفته است.

برای انجام این تنظیمات از طریق منوی Options تیک گزینه های زیر را بزنید:

Put Icon On Tray, Start As Hidden, Tray Balloon On New Device, Background Scan, Beep On New Device

سپس دوباره از طریق منوی Options گزینه Advanced Options را انتخاب کنید تا کادر محاوره ای آن نمایش داده شود. در مقابل عبارت Background scan interval شما باید مشخص کنید که هر چند ثانیه عملیات اسکن به طور خودکار انجام شود. برای مثال مقدار 900 برابر با هر 15 دقیقه یکبار است. توجه داشته باشید که عملیات اسکن بر اساس زمانی که تعریف می کنید به صورت خودکار و در پس زمینه انجام خواهد شد.

حالا اگر کسی به شبکه WiFi متصل شود مشخصات آن از طریق یک بالون در قسمت Notification برای شما نمایش داده خواهد شد.

در نهایت بهترین روش برای جلوگیری از دسترسی غیرمجاز به شبکه WiFi، پیکربندی مناسب روتر بر اساس نیازهای شما است. همیشه سعی کنید تا یک رمز عبور قدرتمند برای روتر و اتصال به آن تعریف کنید و آن را در اختیار افراد مطمئنی که روزانه از روتر استفاده می کنند قرار دهید. همچنین می توانید با تعریف لیستی از آدرس های MAC سطح امنیتی روتر را بالا ببرید. اگر شما شبکه WiFi خود را به صورت آزاد قرار داده اید سعی کنید با استفاده از نرم افزارهای مناسبی همچون Wireless Network Watcher مدیریت و نظارت بیشتری بر روی شبکه داشته باشید.