رسانه خبری فناوری اطلاعات و ارتباطات

امنیت در شبکه های بی سیم

گردآورندگان: فاطمه یزدانی - ژاله کمری

از آن‌جا که شبکه‌های بی سیم، در دنیای کنونی هرچه بیشتر در حال گسترش هستند، و با توجه به ماهیت این دسته از شبکه‌ها، که بر اساس سیگنال‌های رادیویی‌اند، مهم‌ترین نکته در راه استفاده از این تکنولوژی، آگاهی از نقاط قوت و ضعف آن‌ست. نظر به لزوم آگاهی از خطرات استفاده از این شبکه‌ها، با وجود امکانات نهفته در آن‌ها که به‌مدد پیکربندی صحیح می‌توان به‌سطح قابل قبولی از بعد امنیتی دست یافت، بنا داریم در این سری از مقالات با عنوان «امنیت در شبکه های بی سیم» ضمن معرفی این شبکه‌ها با تأکید بر ابعاد امنیتی آن‌ها، به روش‌های پیکربندی صحیح که احتمال رخ‌داد حملات را کاهش می‌دهند بپردازیم.

شبکه‌های بی‌سیم، کاربردها، مزایا و ابعاد

تکنولوژی شبکه‌های بی‌سیم، با استفاده از انتقال داده‌ها توسط اموج رادیویی، در ساده‌ترین صورت، به تجهیزات سخت‌افزاری امکان می‌دهد تا بدون‌استفاده از بسترهای فیزیکی همچون سیم و کابل، با یکدیگر ارتباط برقرار کنند. شبکه‌های بی‌سیم بازه‌ی وسیعی از کاربردها، از ساختارهای پیچیده‌یی چون شبکه‌های بی‌سیم سلولی -که اغلب برای تلفن‌های همراه استفاده می‌شود- و شبکه‌های محلی بی‌سیم (WLAN – Wireless LAN) گرفته تا انوع ساده‌یی چون هدفون‌های بی‌سیم، را شامل می‌شوند. از سوی دیگر با احتساب امواجی همچون مادون قرمز، تمامی تجهیزاتی که از امواج مادون قرمز نیز استفاده می‌کنند، مانند صفحه کلید‌ها، ماوس‌ها و برخی از گوشی‌های همراه، در این دسته‌بندی جای می‌گیرند. طبیعی‌ترین مزیت استفاده از این شبکه‌ها عدم نیاز به ساختار فیزیکی و امکان نقل و انتقال تجهیزات متصل به این‌گونه شبکه‌ها و هم‌چنین امکان ایجاد تغییر در ساختار مجازی آن‌هاست. از نظر ابعاد ساختاری، شبکه‌های بی‌سیم به سه دسته تقسیم می‌گردند : WWAN، WLAN و WPAN.

به منظور مشاهده متن کامل مقاله به ادامه مطلب مراجعه نمایید

_{نرم افزار کاربردی Gilisoft File Lock pro}

_{ممکن است برای شما هم اتفاق افتاده باشد که روزی که به هر دلیلی لپ تاپ خود را به مکانی برده اید، ( مثلا دانشگاه ) این دغدغه را داشته باشید که فایل های شخصیتان به سرقت نرود و دست افراد سودجو و هکرها نیفتد و یا گاهی به هر دلیلی فایل های مهم سیستمتان اشتباها پاک نشوند. پس داشتن راه حل مناسب برای حفاظت و نگه داری فایل ها از اهمیت بالایی برخوردار است.یکی از این راه کارها استفاده از نرم افزار Gilisoft File Lock pro می باشد.}

_{این نرم افزار از جمله نرم افزار های کاربردی و کاربر پسند می باشد، یعنی کاربر با داشتن کمترین اطلاعات به راحتی می تواند از این نرم افزار استفاده کند و فایل های خود را محفوظ نگه دارد. در هنگام نصب این نرم افزار از شما یک پسورد می خواهد که در هنگام کارکردن با این نرم افزار به آن احتیاج خواهید داشت و همچنین آدرس ایمیلتان را برای زمانی می خواهد که شما پسورد خود را فراموش کرده اید، در این صورت پسورد را به آدرس ایمیلتان ارسال می کند.}

_{به طور کلی می توان گفت که این نرم افزار می تواند فایل و یا حتی درایور های شما را از دید دیگران مخفی نگه دارد و یا آنها را قفل کند و دیگر کسی امکان دسترسی به آنها و یا حتی امکان پاک کردن فایل هایتان را نداشته باشد. بدین ترتیب دیگر نیازی به نگرانی در مورد امنیت اطلاعات شخصیتان نخواهید داشت و با خیال آسوده می توانید لپ تاپتان را با خود به مکان های مختلفی ببرد.}

_{شما می توانید با search در اینترنت و یا سایت سازنده آن، آخرین ورژن این نرم افزار را به راحتی دانلود کنید و از آن استفاده نمایید. البته تا جایی که اطلاع دارم v6.2 آخرین ورژن این نرم افزار می باشد که شخصا نیز از آن استفاده می کنم.}

با توجه به اظهارات یک مشاور امنیتی، کاربران توییتر که توییت‌های خود را بواسطه پیام کوتاه ارسال می‌کنند، می توانند در برابر یک رخنه امنیتی آسیب‌پذیر باشند.

اخیرا جاناتان رودنبرگ اظهار کرده است که یک آسیب پذیری پیام کوتاه را در توییتر کشف کرده است که به افرادی که شماره تلفن همراه دیگران را دارند، این اجازه را می دهد که به جای آن اشخاص مطالبی را توییت کنند.

بر اساس اطلاعات مرکز ماهر، به منظور سوء استفاده از این آسیب پذیری، قربانی باید از طریق پیام کوتاه مطلبی را در حساب کاربری خود توییت کرده باشد. در این حالت تنها نیاز است تا هکرها از طریق درگاه پیام کوتاه شماره تلفن‌های همراه را به سرقت ببرند و سپس از طریق این شماره‌ها مطالبی را توییت کنند. هم چنین توییتر اجازه می دهد تا کاربران از طریق پیام کوتاه تنظیمات پروفایل خود را تغییر دهند. ارسال اطلاعات پروفایل از طریق پیام کوتاه راه را برای هک کردن باز می کند.

به گفته این کارشناس مشکل توییتر آن است که توییت‌ها را به طور خودکار از آدرس مبدا می پذیرد. علاوه بر این، در برخی از کشورها توییتر کدهای کوتاه را پشتیبانی نمی‌کند. این کدهای کوتاه می‌توانند اطمینان دهند که یک پیام تنها بر روی یک شبکه حامل ارسال می‌شود.

او معتقد است این رخنه امنیتی در فیس‌بوک نیز وجود دارد. او در ماه اوت توییتر و فیس‌بوک را از این مساله مطلع ساخته است. البته هفته گذشته فیس‌بوک اعلام کرد که این مشکل را برطرف کرده است. توییتر از این کارشناس خواسته است تا زمانی که این مشکل را برطرف نکرده است، این آسیب‌پذیری را افشاء نکند.

با وجود این آسیب پذیری، او نتوانسته است مدرکی را دال بر سوء استفاده واقعی از این آسیب‌پذیری ارائه دهد.

منبع: http://itmsecurity.blogfa.com/

_{Cross site scripting-۱ یا XSS}

_{این مشکل زمانی ایجاد می شود که اطلاعات ارسالی بین کاربران و سایت بدون بررسی و اعتبار سنجی لازم توسط نرم افزار سایت صورت گیرد. در این حالت هکرها میتوانند اسکریپتهایی را همراه اطلاعات به نرم افزار سایت تزریق کنند و این اسکریپتها هنگام نمایش اطلاعات در مرورگر دیگر کاربران سایت اجرا شده و مشکلاتی همچون سرقت اطلاعات نشست (Session) و دسترسی به اختیارات و اطلاعات دیگر کاربران و یا تغییر در صفحات سایت را ایجاد کند.}

_{2-Injection flaws}

_{در این شیوه هکر به همراه بخشی از اطلاعات یا پارامترهای ارسالی به سایت دستورات غیر مجازی که امکان خواندن،تغییر یا حذف یا درج اطلاعات جدید را فراهم میکند نیز تزریق میکند.یکی از معمول ترین این روشها SQL Injection است که امکان تغییر در اطلاعات و جداول بانک اطلاعاتی یا تغییر در درخواستها از بانک اطلاعات (مانند تعیین اعتبار کاربر و کلمه) را امکان پذیر میکند.}

_{3-Malicious file execution}

_{این مسئله به هکر ها اجازه اجرای برنامه یا کدی را میدهد که امکاناتی در تغییرات یا مشاهده اطلاعات یا حتی تحت کنترل گرفتن کل نرم افزار سایت یا سیستم را میدهد. این مشکل در سایتهایی که امکان ارسال فایل را به کاربران بدون بررسی ماهیت اطلاعات را می دهد اتفاق می افتد (مثلا ارسال یک اسکریپ PHP یا ASP به جای فایل تصویری توسط کاربر(}

_{4-Insecure direct object reference}

_{این مشکل عموما در دستکاری پارامترهای ارسالی به صفحات یا اطلاعات فرمهایی هست که بصورت مستقیم به فایل، جداول اطلاعاتی،فهرستها یا اطلاعات کلیدی اتفاق می افتد و امکان دسترسی یا تغییر فایلهای اطلاعاتی دیگر کاربران را ایجاد میکند. (مانند ارسال کد کاربر یا نام فایل مخصوص او بصورت پارامتر در آدرس صفحه که با تغییر آن امکان دسترسی یا تغییر در اطلاعات کاربر دیگری وجود خواهد داشت)}

_{۵- Cross site request forgery}

_{در اینگونه حملات هکر کنترل مرورگر قربانی را یدست آورده و زمانی که وی وارد سایت (login) شده درخواستهای نادرستی را به سایت ارسال می کند. (نمونه آن چندی پیش دز سایت myspace اتفاق افتاده بود و هکری با استفاده از یک کرم اینترنتی پیغامی را در میلیونها صفحه کاربران این سایت نمایش داد)}

_{Information leakage and improper error handling-6}

_{همانطور که از نام این مشکل مشخص است زمانی که در خطاهای نرم افزار سایت به شکل مناسبی مدیریت نشوند در صفحات خطا اطلاعات مهمی نمایش داده شود که امکان سوء استفاده از آنها وجود داشته باشد.(نمونه ای از همین مشکل چندی پیش برای یکی از سایتهای فارسی نیز بوجود آمد و اطلاعات کاربری و کلمه عبور اتصال به بانک اطلاعات در زمان خطا نمایش داده می شد و باعث سوء استفاده و تغییر اطلاعات کاربران این سایت شد)}

_{7-Broken authentication and session management}

_{این مشکل در زمانی که نشست کاربر (Session) و کوکی اطلاعات مربوط به ورود کاربر به دلایلی به سرقت می رود یا به دلیلی نیمه کاره رها می شود ایجاد می شود. یکی از شیوه های جلوگیری از این مشکل رمز نگاری اطلاعات و استفاده SSL است.}

_{8-Insecure cryptographic storage}

_{این مشکل نیز چنانچه از عنوان آن مشخص است بدلیل اشتباه در رمزنگاری اطلاعات مهم (استفاده از کلید رمز ساده یا عدم رمز نگاری اطلاعات کلیدی) است.}

_{9-Insecure communications}

_{ارتباط ناامن نیز مانند مشکل قبلی است با این تفاوت که در لایه ارتباطات شبکه است.هکر در شرایطی میتواند اطلاعات در حال انتقال در شبکه را مشاهده کند و از این طریق به اطلاعات مهم نیز دست پیدا کند. همانند مشکل قبلی نیز استفاده از شیوه های رمزنگاری و SSL راه حل این مشکل است.}

_{10-Failure to restrict URL access}

_{برخی از صفحات سایتها (مانند صفحات بخش مدیریت سایت) می بایست تنها در اختیار کاربرانی با دسترسی خاص باشند.اگر دسترسی به این صفحات و پارارمترهای ارسالی آنها به شکل مناسبی حفاظت نشده باشد ممکن است هکرها آدرس این صفحات را حدس بزنند و به نحوی به آنها دسترسی پیدا کنند.}