مخفی کردن User name در پنجره Welcome

ابتدا REGEDIT را اجرا نمایید .حالا بدنبال این کلید بگردید :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogin\SpecialAccounts\UserList

حالا برای هر USER که می خواهید نامش را مخفی نمایید یک متغیر DWORD بنام همان کاربر بسازید . و مقدار آنرا برابر با صفر قرار دهید . از برنامه خارج شوید و restart نمایید . تمام

Honeypot ها - قسمت آخر

جايگاه Honeypot ها

حال كه آشنايي ابتدايي با هر دو نوع Honeypot داريم لازم است كه ارزش و جايگاه آنها را در دنياي امنيتي بيان كنيم ، به خصوص در ادامه بيان خواهيم كرد كه چگونه بايد از Honeypot استفاده كنيم.

همانطور كه قبلا اشاره كرديم دو دسته Honeypot داريم كه براي اهداف و تحقيقات ما مورد مطالعه قرار مي گيرند. وقتي از Honeypot ها به صورت محصولات توليد شده براي محافظت از سازمان ها استفاده مي كنيم مي توانند ما را در موارد مختلفي محافظت كنند از جمله مي توان محافظت ، كشف و پاسخ مناسب به يك حمله را بيان كرد. وقتي آنها را در جهت امور تحقيقاتي به كار مي بريم Honeypot ها اطلاعات لازم را براي ما جمع آوري مي كنند. البته اين اطلاعات براي سازمانهاي مختلف فرق مي كند. عده اي شايد بخواهند دشمنان بيروني خود را شناسايي كنند ، يا كارمندان و خريداران خرابكار خود را بشناسند اين سازمانها نيز مي توانند از اين دسته Honeypot ها استفاده كنند.

اگر بخواهيم به صورت كلي بيان كنيم Honeypot هاي كم واكنش به عنوان محصولات توليدي به كار مي روند در صورتيكه Honeypot هاي پرواكنش براي عملياتهاي تحقيقاتي روي شبكه به كار گرفته مي شوند. البته هر كدام از آنهامي توانند در اهداف ديگر نيز به كار روند .

Honeypot هاي توليداتي مي توانند ما را در سه رده زير كمك كنند:

1- پيشگيري (Prevention )

2- رديابي يا كشف( Detection )

3- پاسخ ( Response )

كه در ادامه به صورت عميق تري روي آنها بحث مي كنيم.

Honeypot ها از راههاي مختلفي مي توانند ما را از حملات حفظ كنند. ابتدا حملاتي كه به صورت اتوماتيكي انجام مي شود مثل كرمها و يا Auto-rooter ها . اين حملات به اين صورت كار مي كنند كه نفوذگران با استفاده از بعضي از ابزارها يك رنجي از شبكه ها را پويش كرده تا آسيب پذيري سرورهاي موجود در اين شبكه را پيدا كنند اين ابزارها پس از پيدا كردن آسيب پذيريهاي موجود ، به اين سيستم ها حمله مي كنند. (مانند كرم ساسر كه وقتي سيستمي را آلوده مي كرد به صورت اتوماتيك و به وسيله يك آدرس IP تصادفي ، سيستم ديگري را نيز آلوده مي كرد). روشي كه Honeypot ها براي محافظت شبكه ما از اين گونه حملات استفاده مي كنند اين است كه مي توانند سرعت اينگونه حملات را كند كنند و يا حتي آنها را متوقف كنند! به اين دسته از Honeypot ها Honeypot هاي چسبنده (Sticky ) مي گويند. در اين راه حل Honeypot ها ، آن دسته از آدرس هايي را كه در شبكه استفاده نمي شوند ، در نظر مي گيرند و به آنها واكنش نشان مي دهند. يعني هنگاميكه يك برنامه مخرب يا نفوذگر قصد پويش رنجي از آدرس ها را دارد ، Honypot به آن دسته از آدرس هايي كه در شبكه موجود نمي باشند واكنش نشان مي دهد براي مثال با استفاده از پيغامهاي TCP روند اين گونه حملات را آهسته تر مي كند. (براي نمونه، با دادن پيغام پنجره صفر ، نفوذگر را در يك گودال هل مي دهد تا نتواند بسته هاي ديگر را ارسال كند) اين امر براي آهسته كردن سرعت انتشار و يا محافظت در برابر كرمهايي كه شبكه داخلي ما را مورد هجوم قرار مي دهند بسيار مناسب است. LaBrea جزو اين دسته از Honeypot ها مي باشد.

Honeypot هاي چسبنده اغلب به عنوان يك Honeypot كم واكنش شناخته مي شوند. (البته شما مي توانيد آنها را Honeypot هاي بدون واكنش بناميد زيرا كه آنها فقط سرعت نفوذ يك نفوذگر را در شبكه كند مي كنند )

Honeypot همچنين مي توانند سازمان شما را از اشخاص نفوذگر محافظت كنند. البته اين كار فقط حيله اي مي باشد كه باعث تهديد و ارعاب نفوذگر مي شود. يعني نفوذگر را گيج و دست پاچه كنيم تا بتوانيم از اين طريق وقت او را به وسيله درگير شدنش با Honeypot بگيريم. در ضمن سازمان شما مي تواند با كشف فعاليتهاي نفوذگر و داشتن زمان لازم براي پاسخ ، اين گونه جملات را متوقف كند.

حتي مي توان يك مرحله بالاتر رفت . اگر نفوذگر بداند كه سازمان شما از Honeypot استفاده مي كند ولي نداند كه كدام سيستم Honeypot مي باشد هميشه يك نگراني در ذهن خود دارد كه « آيا اين يك سيستم حقيقي است يا در يك Honeypot گرفتار شده ام !! » و ممكن است همين نگراني باعث شود كه هيچگاه به فكر نفوذ در شبكه شما نيفتد. بنابراين Honeypot مي توانند نفوذگران را بترسانند. Deception Toolkit يكي از همين نوع Honeypot هاي كم واكنش مي باشد.

راه دومي كه Honeypot ها به محافظت سازمانها كمك مي كنند از طريق كشف يا رديابي است.عمل كشف خيلي بحراني مي باشد كه وظيفه اش شناسايي ناتواني ها و از كار افتادگي هاي بخش پيشگيري مي باشد. صرف نظر از اينكه امنيت يك سازمان به چه صورت مي باشد معمولا اتفاقي براي شبكه هاي آنها مي افتد كه باعث بعضي از شكست ها مي گردد. صرف نظر از مشكلات و درگيري هايي كه اشخاص براي كشف يك حمله انجام مي دهند، وقتي يك حمله شناسايي شود مي توان خيلي سريع به آن واكنش نشان داد و آن را متوقف كرد و يا حداقل اثر آن را كمتر كرد. متاسفانه كشف يك حمله بسيار كار مشكلي مي باشد. تكنولوژي هايي مانند IDS ها و فايلهاي ثبت وقايع(log) از جهاتي بدون اثر مي باشند. آنها داده هاي فراواني را توليد مي كنند كه خواندن تمامي آنها زمان فراواني را مي طلبد و بسياري از اين داده ها نيز بيهوده و به درد نخور مي باشند. همچنين آنها در كشف حملات جديد نيز ناتوان مي باشند. حتي نمي توانند با محيط هاي رمز شده و يا IPV6 كار كنند. Honeypot ها براي كشف و رديابي يك حمله نسبت به اين تكنولوژيهاي قديمي برتري دارند. Honeypot داده هاي كم و با قطع و يقين بيشتري جمع آوري مي كند كه ارزش بسيار فراواني دارد.آنها حتي مي تواند حملات جديد و يا كدهاي چند شكلي را به راحتي كشف كنند و مي توانند در محيطهاي رمز شده و IPv6 نيز استفاده شوند.

براي اينكه اطلاعات بيشتري راجع به اين دسته از Honeypot كسب كنيد مي توانيد مقاله Honeypot:Simple,Cost Effective Detection را مطالعه كنيد. به هر جهت Honeypot هاي كم واكنش بهترين راه حل براي كشف مي باشند. ساخت و نگهداري آنها آسان تر از Honeypot هاي پر واكنش مي باشد و همچنين ريسك كمتري نسبت به آنها دارد.

سومين و آخرين راهي كه honeypot ها سازمانهاي ما را محافظت مي كنند پاسخ( Response ) است. هر زماني كه يك سازمان يك خطا و مشكلي را در شبكه خود تشخيص داد حال چگونه بايد پاسخ دهد؟ همين موضوع مي تواند يكي از چالش هايي باشد كه يك سازمان با آن مواجه مي باشد. معمولا اطلاعات كمي درباره اينكه نفوذگر چه كسي است! و چه كاري مي خواهد انجام دهد!، وجود دارد. در اين وضعيت كوچكترين اطلاعات درباره فعاليت هاي نفوذگر، مهم و حيلاتي است.

معمولا در پاسخ مناسب به يك حمله دو تا مشكل وجود دارد؛ ابتدا اينكه ، بيشتر سيستم هايي كه مورد هجوم قرار گرفته اند را نمي توان براي يك تجزيه و تحليل مناسب ، از كار انداخت . سيستم هاي توليداتي ، مانند سرور پست الكترونيكي براي يك سازمان بسيار مهم و حياتي مي باشند و حتي اگر متوجه بشوند كه سرور آنها هك شده است باز هم حاضر نيستند اين سيستم ها را از كار بياندازند تا تجزيه و تحليل دقيقي روي آنها انجام شود و پاسخ مناسبي به آن داده شود. در عوض بايد در هنگامي كه اين سيستم ها در حال كار مي باشند آنها را بررسي كرد. همين امر باعث مي شود كه نتوان به درستي پي برد كه چه اتفاق افتاده است و چه مقدار خسارت توسط هكر به سيستم وارد شده است و آيا نفوذگر به سيستم هاي ديگر وارد شده است؟ و يا مي تواند وارد شود!؟

مشكل ديگر در اينجا مي باشد كه حتي اگر سيستم را نيز از كار بياندازيم آنقدر داده در سيستم وجود دارد كه نمي توان به درستي متوجه شد كه كداميك متعلق به نفوذگر است. در عوض Honeypot ها براي چنين كارهايي بسيار عالي مي باشند، زيرا كه آنها را مي توان به آساني از كار انداخت تا تجزيه و تحليل كاملي روي آنها انجام گيرد بدون اينكه به روند كاري سازمان صدمه اي وارد شود. همچنين Honeypot ها تنها فعاليت هاي غير قانوني و بد انديشانه را در خود ذخيره مي كنند و به همين دليل است كه تجزيه و تحليل يك Honeypot هك شده بسيار آسان تر از يك سيستم واقعي مي باشد. هر داده اي كه در Honeypot ذخيره شده است مربوط به فعاليت هاي فرد نفوذگر مي باشد و همين موضوع اين امكان را به يك سازمان مي دهد كه خيلي راحت به اطلاعات مفيدي درباره نوع حمله و هويت نفوذگر پي برده و پاسخ سريع و موثري را به آن دهد. به صورت كلي Honeypot پرواكنش براي پاسخ بهترين گزينه مي باشند. براي پاسخ به يك اخلال ابتدا بايد دانست كه اخلال گر قصد چه كاري را داشته است و چگونه توانسته است كه اخلال ايجاد كند، همچنين از چه ابزارهايي استفاده كرده است. پس براي اين مرحله نياز به Honeypot پرواكنش داريم.

آنچه كه مسلم است ، Honeypot ها يك تكنولوژي جديد مي باشند و هنوز راه فراواني را بايد بپيمايند تا به تكامل برسند. اما آنها براي بسياري از اهدافي كه يك سازمان براي مسايل امنيتي نياز دارد ، مناسب مي باشند و ما را براي براي پيشگيري از يك نفوذ ، كشف نفوذ و پاسخ به آن كمك مي كنند.

Honeypot ها - قسمت دوم

در بخش اول اين مقاله ، تعريفي از Honeypot ها ارائه داديم و فوايد و مضرات آنها را بيان كرديم. در اين بخش درباره انواع آنها بحث خواهيم كرد

انوع Honeypot ها

Honeypot ها در اندازه و شکلهاي مختلفي هستند و همين امر باعث شده است که فهم آنها کمي مشکل شود. براي اينکه بتوان بهتر آنها را فهميد همه انواع مختلف آنها را در دو زير مجموعه آورده ايم:

1- Honeypot هاي کم واکنش

2- Honeypot هاي پرواکنش

اين تقسيم بندي به ما کمک مي کند که چگونگي رفتار آنها را بهتر درک کنيم. و بتوانيم به راحتي نقاط ضعف و قدرت آنها و توانايي ها يشان را روشن تر کنيم. واکنش در اصل نوع ارتباطي که يک نفوذگر با Honeypot دارد را مشخص مي کند.

Honeypot هاي کم واکنش داراي ارتباط و فعاليتي محدود مي باشند.آنها معمولا با سرويسها و سيستم هاي عامل را شبيه سازي شده کار مي کنند. سطح فعاليت يک نفوذگر با سطحي از برنامه هاي شبيه سازي شده محدود شده است. به عنوان مثال يک سرويس FTP شبيه سازي شده که به پورت 21 گوش مي کند ممکن است فقط يک صفحه login و يا حداکثر تعدادي از دستورات FTP را شبيه سازي کرده باشد . يکي از فوايد اين دسته از Honeypot هاي کم واکنش سادگي آنها مي باشد.

نگهداري Honeypot هاي کم واکنش بسيار راحت و آسان است و خيلي راحت مي توان آنها را گسترش داد و ريسک بسيار کمي دارند. آنها بيشتر درگير اين هستند که چه نرم افزارهايي بايد روي چه سيستم عاملي نصب شود و همچنين مي خواهيد چه سرويسهايي را براي آن شبيه سازي و ديده باني (Monitor ) کنيد.

همين رهيافت خودکار و ساده آنها است که توسعه آن را براي بسياري از شرکت ها راحت مي کند. البته لازم به ذکر است که همين سرويسهاي شبيه سازي شده باعث مي شود که فعاليت هاي فرد نفوذگر محدود شود و همين امر باعث کاهش ريسک مي گردد. به اين معني که نفوذگر نمي تواند هيچگاه به سيستم عامل دسترسي پيدا کند و به وسيله آن به سيستم هاي ديگر آسيب برساند.

يکي از اصلي ترين مضرات Honeypot هاي کم واکنش اين است که آنها فقط اطلاعات محدودي را مي توانند ثبت کنند و آنها طراحي مي شوند که فقط اطلاعاتي راجع به حملات شناخته شده را به ثبت برسانند.همچنين شناختن يک Honeypot کم واکنش براي يک نفوذگر بسيار راحت مي باشد. نگران اين نباشيد که شبيه سازي شما چه اندازه خوب بوده است زيرا که نفوذگران حرفه اي به سرعت يک Honeypot کم واکنش را از يک سيستم واقعي تشخيص مي دهند. از Honeypot هاي کم واکنش مي توان Spector , Honeyd و KFSensor را نام برد.

Honeypot هاي پر واکنش متفاتند. آنها معمولا از راه حل هاي پيچيده تري استفاده مي کنند زيرا که آنها از سيستم عاملها و سرويسهاي واقعي استفاده مي کنند. هيچ چيزي شبيه سازي شده نيست و ما يک سيستم واقعي را در اختيار نفوذگر مي گذاريم.

اگر شما مي خواهيد که يک Honeypot لينوکس سرور FTP داشته باشيد شما بايد يک لينوکس واقعي به همراه يک سرويس FTP نصب کنيد. فايده اين نوع Honeypot دو چيز است. شما مي توانيد يک حجم زيادي از اطلاعات را به دست آوريد. با دادن يک سيستم واقعي به فرد نفوذگر شما مي توانيد تمامي رفتار او از rootkit هاي جديد گرفته تا يک نشست IRC را زير نظر بگيريد. دومين فايده Honeypot هاي پرواکنش اين است که ديگر جاي هيچ فرضيه اي روي رفتار نفوذگر باقي نمي گذارد و يک محيط باز به او مي دهد و تمامي فعاليتهاي او را زير نظر مي گيرد. همين امر باعث مي شود که Honeypot هاي پرواکنش رفتارهايي از فرد نفوذگر را به ما نشان دهند که ما انتظار نداشته ايم و يا نمي توانسته ايم حدس بزنيم!!

بهترين جا براي استفاده از اين نوع Honeypot ها زماني است که قصد داريم دستورات رمز شده يک در پشتي را روي يک شبکه غير استاندارد IP به دست بياريم. به هر حال همين امور است که ريسک اينگونه Honeypot ها را افزايش مي دهد زيرا که نفوذگر يک سيستم عامل واقعي را در اختيار دارد و ممکن است به سيستم هاي اصلي شبکه صدمه بزند. به طور کلي يک Honeypot پرواکنش مي تواند علاوه بر کارهاي يک Honeypot کم واکنش کارهاي خيلي بيشتري را انجام دهد.

براي فهم بهتر اينکه Honeypot کم واکنش و پرواکنش چگونه کار مي کنند بهتر است دو مثال واقعي در اين زمينه بياوريم. با Honeypot هاي کم واکنش شروع مي کنيم.

Honeyd : يک Honeypot کم واکنش

Honeyd يک Honeypot کم واکنش است که توسط Niels Provos ساخته شده است. Honeyd به صورت کد باز مي باشد و براي مجموعه سيستم عاملهاي يونيکس ساخته شده است.(فکر کنم روي ويندوز هم برده شده است ) . Honeyd بر اساس زير نظر گرفتن IP هاي غير قابل استفاده بنا شده است. هر چيزي که قصد داشته باشد با يک IP غير قابل استفاده با شبکه ارتباط برقرار کند ارتباطش را با شبکه اصلي قطع کرده و با نفوذگر ارتباط برقرار مي کند و خودش را جاي قرباني جا مي زند.

به صورت پيش فرض Honeyd تمامي پورتها TCP و يا UDP را زير نظر گرفته و تمامي درخواستهاي آنها را ثبت مي کند. همچنين براي زير نظر گرفتن يک پورت خاص شما مي توانيد سرويس شبيه سازي شده مورد نظر را پيکربندي کنيد مانند شبيه سازي يک سرور FTP که روي پروتکل TCP پورت 21 کار مي کند.وقتي که نفوذگر با يک سرويس شبيه سازي شده ارتباط برقرار مي کند تمامي فعاليتهاي او را با سرويسهاي شبيه سازي شده ديگر ثبت کرده و زير نظر مي گيرد. مثلا در سرويس FTP شبيه سازي شده ما مي توانيم نام کاربري و کلمه هاي رمزي که نفوذگر براي شکستن FTP سرور استفاده مي کند و يا دستوراتي که صادر مي کند را به دست آوريم و شايد حتي پي ببريم که او به دنبال چه چيزي مي گردد و هويت او چيست !

همه اينها به سطحي از شبيه سازي بر مي گردد که Honeypot در اختيار ما گذاشته است. بيشتر سرويسهاي شبيه سازي شده به يک صورت کار مي کنند. آنها منتظر نوع خاصي از رفتارهاي هستند و طبق راههايي که قبلا تعيين کرده اند به اين رفتارهاي واکنش نشان مي دهند.

اگر حمله A اين را انجام داد از اين طريق واکنش نشان بده و اگر حمله B اين کار را کرد از اين راه واکنش نشان بده!

محدوديت اين برنامه ها در اين است که اگر نفوذگر دستوراتي را وارد کند که هيچ پاسخي براي آنها شبيه سازي نشده باشد. بنابراين آنها نمي دانند که چه پاسخي را بايد براي نفوذگر ارسال کنند. بيشتر Honeypot هاي کم واکنش - مانند Honeyd - يک پيغام خطا نشان مي دهند. شما مي توانيد از کد برنامه Honeyd کل دستوراتي که براي FTP شبيه سازي کرده است را مشاهده کنيد.

Honeynet ها : يک Honeypot پر واکنش

Honeynet يک مثال بديهي براي Honeypot هاي پرواکنش مي باشد. Honeynet ها يک محصول نمي باشند. آنها يک راه حل نرم افزاري که بتوان روي يک کامپيوتر نصب شوند نمي باشد. Honeynet ها يک معماري مي باشند . يک شبکه بي عيب از کامپيوترهايي که طراحي شده اند براي حملاتي که روي آنها انجام مي گيرد. طبق اين نظريه ما بايد يک معماري داشته باشيم که يک کنترل بالايي را روي شبکه ايجاد کند تا تمامي ارتباطات با شبکه را بتوان کنترل کرد و زير نظر گرفت.

درون اين شبکه ما چندين قرباني خيالي در نظر مي گيريم البته با کامپيوترهايي که برنامه هاي واقعي را اجرا مي کنند. فرد هکر اين سيستم ها را پيدا کرده و به آنها حمله مي کند و در آنها نفوذ مي کند اما طبق ابتکار و راهکارهاي ما ! يعني همه چيز در کنترل ما مي باشد. البته وقتي آنها اين کارها را انجام مي دهند نمي دانند که در يک Honeynet گرفتار شده اند. تمامي فعاليت هاي فرد نفوذگر از نشست هاي رمز شده SSH گرفته تا ايميل ها و فايلهايي که در سيستم ها قرار مي دهند همه و همه بدون آنکه آنها متوجه شوند زير نظر گرفته و ثبت مي شود. در همان زمان نيز Honeynet تمامي کارهاي نفوذگر را کنترل مي کند. Honeynet ها اين کارها را توسط دروازه اي به نام Honeywall انجام مي دهند. اين دروازه به تمامي ترافيک ورودي اجازه مي دهد که به سمت سيستم هاي قرباني ما هدايت شوند ولي ترافيک خروجي بايد از سيستم هاي مجهز به IDS عبور کند. اين کار به نفوذگر اين امکان را مي دهد که بتواند ارتباط قابل انعطاف تري با سيستم هاي قرباني داشته باشد اما در کنار آن اجازه داده نمي شود که نفوذگر با استفاده از اين سيستم ها به سيستم هاي اصلي صدمه وارد کند.

Honeypot ها - قسمت اول

قدم اول در فهم اينكه Honeypot چه مي باشند بيان تعريفي جامع از آن است. تعريف Honeypot مي تواند سخت تر از آنچه كه به نظر مي رسد باشد. Honeypot ها از اين جهت كه هيچ مشكلي را براي ما حل نمي كنند شبيه ديواره هاي آتش و يا سيستمهاي تشخيص دخول سرزده نمي باشند. در عوض آنها يك ابزار قابل انعطافي مي باشند كه به شكلهاي مختلفي قابل استفاده هستند.آنها هر كاري را مي توانند انجام دهند از كشف حملات پنهاني در شبكه هاي IPv6 تا ضبط آخرين كارت اعتباري جعل شده! و همين انعطاف پذيريها باعث شده است كه Honeypot ها ابزارهايي قوي به نظر برسند و از جهتي نيز غير قابل تعريف و غير قابل فهم!!


البته من براي فهم Honeypot ها از تعريف زير استفاده مي كنم:

يک Honeypot يك منبع سيستم اطلاعاتي مي باشد كه با استفاده از ارزش کاذب خود اطلاعاتي از فعاليتهاي بي مجوز و نا مشروع جمع آوري مي کند.

البته اين يك تعريف كلي مي باشد كه تمامي گونه هاي مختلف Honeypot ها را در نظر گرفته است. ما در ادامه مثالهاي مختلفي براي Honeypot ها و ارزش امنيتي آنها خواهيم آورد. همه آنها در تعريفي كه ما در بالا آورده ايم مي گنجند ، ارزش دروغين آنها براي اشخاص بدي كه با آنها در تماسند. به صورت كلي تمامي Honeypot ها به همين صورت كار مي كنند. آنها يك منبعي از فعاليتها بدون مجوز مي باشند. به صورت تئوري يك Honeypot نبايد هيچ ترافيكي از شبكه ما را اشغال كند زيرا آنها هيچ فعاليت قانوني ندارند. اين بدان معني است كه تراكنش هاي با يك Honeypot تقريبا تراكنش هاي بي مجوز و يا فعاليتهاي بد انديشانه مي باشد. يعني هر ارتباط با يك Honeypot مي تواند يك دزدي ، حمله و يا يك تصفيه حساب مي باشد. حال آنكه مفهوم آن ساده به نظر مي رسد ( و همين طور هم است) و همين سادگي باعث اين هم موارد استفاده شگفت انگيز از Honeypot ها شده است كه من در اين مقاله قصد روشن كردن اين موارد را دارم.

فوايد Honeypot ها

Honeypot مفهوم بسيار ساده اي دارد ولي داراي توانايي هاي قدرتمندي مي باشد.

1. داده هاي كوچك داراي ارزش فراوان: Honeypot ها يك حجم كوچكي ار داده ها را جمع آوري مي كنند. به جاي اينكه ما در يك روز چندين گيگابايت اطلاعات را در فايلهاي ثبت رويدادها ذخيره كنيم توسط Honeypot فقط در حد چندين مگابايت بايد ذخيره كنيم. به جاي توليد 10000 زنگ خطر در يك روز آنها فقط 1 زنگ خطر را توليد مي كنند. يادتان باشد كه Honeypot ها فقط فعاليتهاي ناجور را ثبت مي كنند و هر ارتباطي با Honeypot مي تواند يك فعاليت بدون مجوز و يا بدانديشانه باشد. و به همين دليل مي باشد كه اطلاعات هر چند كوچك Honeypot ها داراي ارزش زيادي مي باشد زيرا كه آنها توسط افراد بد ذات توليد شده و توسط Honeypot ضبط شده است. اين بدان معنا مي باشد كه تجزيه و تحليل اطلاعات يك Honeypot آسانتر (و ارزانتر) از اطلاعات ثبت شده به صورت كلي مي باشد.

2. ابزار و تاكتيكي جديد : Honeypot براي اين طراحي شده اند كه هر چيزي كه به سمت آنها جذب مي شود را ذخيره كنند. با ابزارها و تاكتيكهاي جديدي كه قبلا ديده نشده اند.

3. كمترين احتياجات: Honeypot ها به كمترين احتياجات نياز دارند زيرا كه آنها فقط فعاليتهاي ناجور را به ثبت مي رسانند. بنابراين با يك پنتيوم قديمي و با 128 مگابايت RAM و يك شبكه با رنج B به راحتي مي توان آن را پياده سازي كرد.

4. رمز كردن يا IPv6 : بر خلاف برخي تكنولوژيهاي امنيتي (مانند IDS ها ) Honeypot خيلي خوب با محيطهاي رمز شده و يا IPv6 كار مي كنند. اين مساله مهم نيست كه يك فرد ناجور چگونه در يك Honeypot گرفتار مي شود زيرا Honeypot ها خود مي توانند آنها را شناخته و فعاليتهاي آنان را ثبت كنند.

مضرات Honeypot ها

شبيه تمامي تكنولوژيها ، Honeypot ها نيز داراي نقاط ضعفي مي باشند. اين بدان علت مي باشد كه Honeypot ها جايگزين تكنولوژي ديگري نمي شوند بلكه در كنار تكنولوژيهاي ديگر كار مي كنند.

1- محدوديت ديد : Honeypot ها فقط فعايتهايي را مي توانند پيگيري و ثبت كنند كه به صورت مستقيم با آنها در ارتباط باشند. Honeypot حملاتي كه بر عليه سيستمهاي ديگر در حال انجام است را نمي توانند ثبت كنند به جز اينكه نفوذگر و يا آن تهديد فعل و انفعالي را با Honeypot داشته باشد.

2- ريسك : همه تكنولوژيهاي امنيتي داراي ريسك مي باشند. ديوارهاي آتش ريسك نفوذ و يا رخنه كردن در آن را دارند. رمزنگاري ريسك شكستن رمز را دارد، IDS ها ممكن است نتوانند يك حمله را تشخيص دهند. Honeypot ها مجزاي از اينها نيستند. آنها نيز داراي ريسك مي باشند. به خصوص اينكه Honeypot ها ممكن است كه ريسك به دست گرفتن كنترل سيستم توسط يك فرد هكر و صدمه زدن به سيستمهاي ديگر را داشته باشند. البته اين ريسكها براي انواع مختلف Honeypot ها فرق مي كند و بسته به اينكه چه نوعي از Honeypot را استفاده مي كنيد نوع و اندازه ريسك شما نيز متفاوت مي باشد.ممكن است استفاده از يك نوع آن ، ريسكي كمتر از IDS ها داشته باشد و استفاده از نوعي ديگر ريسك بسيار زيادي را در پي داشته باشد.ما در ادامه مشخص خواهيم كرد كه چه نوعي از Honeypot ها داراي چه سطحي از ريسك مي باشند.

چگونگي و شيوه به كار بردن Honeypot ها مي باشد كه ارزش و فوايد و مضرات آنها را مشخص مي كند. در ادامه بيشتر روي آن بحث خواهد شد.

شکستن الگوريتم RSA

آيا متني که توسط الگوريتم RSA بصورت رمز شده و مخفي درآمده است قابل شکسته شدن است؟ اين سئوالي است که اغلب راجع به همه روشهاي رمز کردن اطلاعات پرسيده مي شود. واقعيت آن است که همه روشهاي رمز کردن قابل شکستن است، اما نکته مهم آن است که در چه مدت زمان و با چه امکاناتي اين اطلاعات بايد رمزگشايي شوند. در ارتباط با الگوريتم RSA بايد گفت روشهاي محدودي براي شکستن متن رمز شده توسط آن وجود دارد که در اينجا به مواردي از آن اشاره مي کنيم.

تجزيه n به عوامل اول
اولين روش آن است که بتوان کليد خصوصي را حدس زد و يا پيدا کرد، در اين صورت هکر مي تواند تمامي متن هاي تهيه شده با کليد عمومي را رمزگشايي کند و بخواند و يا مي تواند از امضاي الکترونيک صاحب کليد استفاده کند. فرض را بر اين مي گذاريم که فردي که قصد حدس زدن کليد خصوصي را دارد، از جمله افرادي است که کليد عمومي را دارا است. در اين حالت او n و e را در دسترس دارد.

حال اولين قدم براي اين آقاي هکر آن است که بتواند از روي عدد n عاملهاي p و q را حدث بزند. اين مشکلترين قسمت کار است که محاسبات رياضي و بررسي هاي انجام داده شده نشان مي دهد اگر عدد n مثلا" 155 رقم داشته باشد (RSA-155) در آن صورت با قوي ترين کامپيوتر هاي موجود بيش از 7 ماه زمان لازم است تا بتوان عوامل اول تشکيل دهنده n را مشخص کرد. الگوريتم هاي رياضي بدست آمده نشان مي دهد که اعداد بزرگ اگر عوامل اول کوچکتري داشته باشند، ساده تر تجزيه مي شوند تا اعداد بزرگي که عوامل اول بزرگتري دارند.

نکته بسيار جالب آن است که هرچقدر هم که توانايي و سرعت کامپيوتر ها براي تجزيه يک عدد بزرگ بالاتر رود شما مي توانيد در هنگام استفاده از RSA با پيشنهاد کليد بزرگتر (انتخاب اعدد p و q بزرگتر) کار تجزيه n را براي کامپيوترهاي جديد، بسيار دشوارتر سازيد.

بدست آوردن روش موثر براي محاسبه ريشه e ام
با توجه به روش رمز کردن شما با داشتن کليد عمومي (n و e) و استفاده از فرمول C = Me mod n مي توانيد حروف را رمز کنيد. اما با نگاهي به فرمول مي توان دريافت که کافي است شما بتوانيد ريشه e ام C mod n را بدست آوريد در آن صورت شما مي توانيد به عدد m نزديک شويد و کاراکتر اوليه برسيد.

نکته مهم آن است که شما در اينجا کليداي را کشف نکرده ايد و فقط توانسته ايد کاراکتر را بدست آوريد، ضمن آنکه بنظر نمي رسد که در حال حاضر کسي از اين روش براي رمز گشايي استفاده کند چرا که به مراتب دشوار تر از روش اول است. اين روش فقط براي مواردي که e عدد کوچک باشد کاربرد آزمايشگاهي و آموزشي دارد و در رمزکردن هاي معمولي به هيچ وجه مورد استفاده موفقيت آميز حتي در زمانهاي طولاني ندارد.

حدس زدن پيام
براي باز کردن رمز پيامهايي که با الگوريتم RSA رمز شده اند، روشهاي محاسبه رياضي عملا" راه به جايي نمي برند، اين است که در مواردي که متن کوچک باشد شايد حدس زدن متن اصلي ساده ترين روش براي رمزگشايي باشد. ارسال پيام هاي کوتاه دو يا سه کلمه اي و تشخيص ساده آنها توسط هکر مي تواند به او کمک کند که از روي پيام رمزگشايي شده کليد خصوصي شما را حدس بزند. در اين گونه موارد کافي است تعداد زيادي کلمات يا بيت هاي اتفاقي (Random) در انتهاي پيام بگذاريد تا هکر نتواند پيام شما را حدس بزند.

نصب مکینتاش لئوپارد و ویندوز بر روی Intel

بیشتر افرادی که مکینتاش لئوپارد را بر روی سیستم PC یا لپ تاپ Intel خود نصب می کنند و می خواهند از یک هارد استفاده کنند . با مشکل HFS+ partition Error برخورد می کنند ، که این بخاطر بوت لودر سیستم و فایل سیستم مکینتاش است . برای رفع این مشکل و داشتن یک بوت دو گانه از ویستا و لئوپارد کار زیر را انجام دهید .

لازم به ذکر است که مطلب زیر برای آزمایش است و هرگونه صدمه به سیستم به خود شخص مربوط می شود ، اما این آزمایش توسط بسیاری از افراد انجام شده وبدون هیچ مشکلی به پایان رسیده است . خود من هم مک او اس خودم رو روی لپ تاپم با مدل Sony Vaio VGN FE890N/H نصب کردم و دچار هیچ مشکلی نشدم. من از Vista Ultimate x86 Service Pack 1 استفاده کردم

و از Mac OS X Leopard 10.5.2

لپ تاپ های جدید و بخصوص تمامی لپ تاپ های سونی دارای یک پارتیشن Factory هستند که درایورها و سایر مشخصات رو نگهداری می کنند . من نکات زیر رو با درنظر گرفتن اون می گم .

وسایل مورد نیاز

یک هارد با دو پارتیشن - یکی برای ویستا و یکی برای مک (‌البته لپ تاپ ها هم یک پارتیشن اضافه دارن که هیچ مشکلی نیست . اگر شما 20 تا پارتیشن دیگه هم داشته باشین هیچ مشکلی نیست

یک DVD Vista Ultimate SP1 و یک DVD Mac OS X Leopard 10.5.2 Kalyway

نوع پارتیشن بندی

اشخاصی که لپ تاپ دارند

کد:

0 - Factory Partition

1 - Vista Partition

2 - Mac Os x Partition

اشخاصی که لپ تاپ ندارند

کد:

0 - Vista Partition

1 - Mac Os x Partition

البته دقت کنید که من اینجا فرض کردم شما فقط همین پارتیشن ها رو دارید . و نه چیز دیگه ای رو اگر شماره هاتون فرق داره به شماره اونها دقت کنید .

نحوه نصب -

اول ویندوز ویستا رو خیلی معمولی نصب کنید. وقتی نصب تموم شد چک کنید که همه چیز درسته (‌اگر از قبل نصب کردید که مشکلی نیست)

بعد از نصب ویستا مکینتاش رو نصب کنید، دقت کنید که توی 10.5.2 Kalyway نیازی به Patch کردن سیستم ندارید و همه چیز خودش درسته. البته موقع نصب به دستورالعمل ها دقت کنید و Customize کردن رو چک کنید. البته چون اکثر اشخاصی که مکینتاش نصب می کنند حرفه ای هستند دیگه نصب رو توضیح نمیدم .

پس از اتمام نصب بالا اومدن مکینتاش رو چک کنید و می بینید که همه چیز درسته. اما دیگه نمیشه رفت تو ویندوز یا اینکه نه میشه توی مکینتاش اومد و نه میشه توی ویندوز رفت و خطای HFS+ partition Error داده شده. برای رفع این مشکل و داشتن یک بوت دو گانه این کارها رو انجام بدین.

DVD Mac OS X 10.5.2 Kalywayرو بزارین توی DVDROM و باهاش بوت کنید . البته موقع بوت F8 رو بزنید و s- رو تایپ کنید تا با SingleUserMode بوت کنید.

وقتی Command Prompt اومد دستورات زیر رو بنویسید :

کد:

fdisk -e /dev/rdisk0

flag 1

update

write

quit

reboot

البته عدد 1 بعد از Flag نشان دهنده شماره پارتیشن Mac OS X شماست به نوع پارتیشن بندی دقت کنید ( افرادی که Partition Factory دارند باید 2 رو وارد کنند ) . بعد DVD رو در بیارید و بوت کنید می بینید که سیستم شما مکینتاش رو کامل نصب کرده. همه چیز رو چک کنید و می بینید که درسته حالا دوبارهDVD Mac OS X 10.5.2 Kalyway رو بزارین توی DVDROM و باهاش بوت کنید . البته موقع بوت F8 رو بزنید و s- رو تایپ کنید تا با SingleUserMode بوت کنید .

وقتی Command Prompt اومد دستورات زیر رو بنویسید :

کد:

fdisk -e /dev/rdisk0

flag 0

quit

reboot

البته عدد 0 بعد از Flag نشان دهنده شماره پارتیشن Vista شماست به نوع پارتیشن بندی دقت کنید ( افرادی که Partition Factory دارند باید 1 رو وارد کنند ) . بعد DVD رو در بیارید و بوت کنید می بینید که سیستم error زیر رو میده

کد:

Window\system32\winload" corrupted

حالا DVD Vista رو بزارید توی سیستم و Recover کنید یعنی از بخش Recover بر روی Startup Recovery کلیک کنید و سیستم خودش همه چیز رو درست می کنه . حالا سیستم رو بوت کنید و می بینید که ویستا بطور کاملا صحیح بوتمی کنه . همه چیز رو چک کنید . اما هنوز مشکل بوت دوگانه حل نشده .حالا دوبارهDVD Mac OS X 10.5.2 Kalyway رو بزارین توی DVDROM و باهاش بوت کنید . البته موقع بوت F8 رو بزنید و s- رو تایپ کنید تا با SingleUserMode بوت کنید .

وقتی Command Prompt اومد دستورات زیر رو بنویسید :

کد:

fdisk -e /dev/rdisk0

flag 1

quit

reboot

البته عدد 1 بعد از Flag نشان دهنده شماره پارتیشن Mac OS X شماست به نوع پارتیشن بندی دقت کنید ( افرادی که Partition Factory دارند باید 2 رو وارد کنند ) . بعد DVD رو در بیارید و بوت کنید . می بینید که یک عدد از پنج تا یک می شماره و اگر کاری نکنید وارد سیستم مکینتاش میشید . بزارید سیستم وارد شه و همه چز سر جاشه . حالا سیستم رو Reset کنید و قبل از اینکه عدد پنج به یک برسه یک کلید رو از صفحه کاید فشار بدید . یک منو باز میشه و پارتیشن های با قابلیت بوت شما که روشون سیستم عامل نصبه بهتون نشون میده اگر لپ تاپ داشته باشید سه گزینه و اگر نداشته باشید دو گزینه می بینید. اگر خواستید وارد ویندوز شید می تونید روی Windows NTFS و اگر خواستید وارد Partition Factory شید روی گزینه اول و اگر خواستید وارد مکینتاش شید گزینه سوم رو انتخاب کنید .

پیغام خطای 1335 در حین نصب نرم افزار و بازی

سوالی که اکثر کاربران میپرسند در مورد اینکه هنگام نصب بعضی نرم افزارها یا بازی ها با Error 1335 مواجه می شوم و از یک فایل ایراد می گیرد و نصب آن کامل نمی شود. چگونه نصب کنم؟

کاربران گمان می کنند این مشکل اغلب به دلیل آسیب دیدگی DVD یا CD های آنهاست. همچنین مشکل مشابه دیگری نیز وجود دارد که از روش زیر برطرف خواهد شد. مشکل دیگر این است که مثلاً شما یک DVD را از اینترنت Download می کنید. در ابتدا ، این DVD به صورت تعدادی فایل RAR در سایتی قرار گرفته و شما پس از دریافت همه فایل های RAR هنگامی که می خواهید آن ها را Extract کنید با خطایی مواجه می شوید که اعلام می کند فایل های RAR شما آسیب دیده اند و نمی تواند آن ها را از حالت فشرده خارج کند و خلاصه همه زحمات شما برای Download آن به هدر می رود.

دلیل بروز این مشکل ، هماهنگ نبودن قطعات سخت افزاری سیستم شما است که ممکن است بی ربط به نظر برسد. قوی و ضعیف بودن کامپیوتر شما ربطی به بروز این مشکل ندارد و در سیستم های جدید و قوی بیشتر با آن روبرو می شوید. دلیل اصلی ، سرعت زیاد سیستم در انجام عملیات است و در حالی که همه فایل ها به درستی وجود دارند Error 1335 نمایان شده و از نبود یک یا چند فایل اصلی ایراد می گیرد. در حقیقت سرعت زیاد سبب شده است که از روی این فایل ها به سرعت رد شده و وجود آن ها را احساس نکند. برای رفع این مشکل باید از طریق Start Menu و گزینه Run وارد Configuration سیستم شوید. بدین صورت که در Run تایپ کنید Msconfig و OK کنید. در پنجره باز شده به سربرگ BOOT.INI بروید. در پائین پنجره دکمه Advanced Options را کلیک کنید. پنجره کوچکی باز می شود که گزینه اول آن MAXMEM به معنی Maximum Memory است. آن را با تیک زدن فعال کنید. عدد داخل آن را به 256 تغییر دهید. با این کار ، شما ظرفیت Ram خود را به 256 کاهش داده تا سرعت سیستم را کم کنید. همه پنجره ها را با Apply و OK تأیید کنید و سیستم خود را Restart کنید تا تغییرات انجام شده اعمال گردد.

با Logon شدن ویندوز ، می توانید به راحتی به نصب نرم افزار یا بازی خود پرداخته و یا فایل های RAR خود را Extract کنید. فراموش نکنید که پس از پایان کار ، به همان بخش رفته و ظرفیت Ram را با برداشتن تیک MAXMEM به حالت اولیه خود برگردانید و سیستم را یکبار Restart کنید.