تست امنیت و نفوذپذیری در شبکه

رخدادهای نوع چهارم: استفاده نامناسب

توليد کنندگان نرم افزار پس از آگاهی از وجود نقاط آسيب پذير در محصولات خود ،  با ارائه Patch های لازم اقدام به برطرف نمودن مسئله و حل مشکل ايجاد شده ، می نمايند . تمامی کاربران کامپيوتر می بايست از نصب آخرين Patch های ارائه شده مرتبط با محصولات نرم افزاری که بر روی سيستم خود استفاده می نمايند ، مطئمن گردند . اعتقاد عملی به سياست فوق ، ضريب حفاظتی و امنيتی سيستم شما را افزايش خواهد داد .  
همانند وصله های يک لباس که باعث بهبود سوراخ ها و روزنه های موجود می گردد  ، وصله های نرم افزاری باعث بهبود سوراخ ها و حفره های موجود در برنامه های نرم افزاری می گردند .  Patch ها ، يک مشکل خاص و يا نقطه آسيب پذير در يک نرم افزار را برطرف می نمايند . در برخی موارد توليد کنندگان نرم افزار در مقابل ارائه يک patch ، اقدام به ارائه يک نسخه جديد از نرم افزارهای خود می نمايند ( ارتقاء نرم افزار ).  توليد کنندگان نرم افزار ممکن است به نسخه جديد ارتقاء يافته به عنوان يک patch مراجعه نمايند .

نحوه آگاهی از patch  مورد نياز توليد کنندگان نرم افزار پس از آماده شدن patch ها  ، آنان را بر روی وب سايت های خود ارائه خواهند داد . کاربران کامپيوتر می توانند با مراجعه به سايت شرکت عرضه کننده محصول نرم افزاری در مرحله اول از ارائه Patch جديد آگاهی يافته و در مرحله دوم با دريافت و نصب آن ، نرم افزار نصب شده بر روی سيستم خود را ارتقاء دهند . پس از ارائه يک patch ، می بايست سريعا" اقدام به نصب آن بر روی سيستم شود . بدين ترتيب فرصت استفاده از نقاط آسيب پذير موجود در يک محصول نرم افزاری توسط مهاجمان سلب و امکان موفقيت آنان کاهش می يابد. برخی نرم افزارها بصورت اتوماتيک بررسی لازم در خصوص ارائه نسخه های جديد و بهنگام شده را انجام داده و به کاربران اعلام می نمايند  که يک نسخه جديد ارائه شده و امکان دريافت و نصب آن وجود دارد . برخی از توليد کنندگان نرم افزار ، آماده شدن يک Patch را از طريق Email به اطلاع کاربران می رسانند. در صورتی که امکان استفاده از تسهيلات فوق وجود داشته باشد ، پيشنهاد می گردد که از مزايای آن استفاده گردد. در صورتی که امکان استفاده از پتانسيل های اشاره شده وجود نداشته باشد ، می بايست به صورت ادواری از وب سايت های توليد کنندگان بازديد نموده  تا در صورتی که يک patch جديد ارائه شده باشد از وجود آن آگاه وسريعا" نسبت به دريافت و نصب آن بر روی سيستم خود اقدام نمود.

▪ بررسی انواع کوکی‌
علاوه بر کوکی‌های موقت و ماندگار، کوکی‌ها دسته‌بندی دیگری نیز دارند:
کوکی‌های شخص‌اول! در مقابل کوکی‌های شخص‌ثالث: یک کوکی شخص‌اول از وب‌سایتی نشات می‌گیرد یا به آن فرستاده می‌شود که در آن زمان در حال مشاهده آن هستید. این کوکی‌ها معمولا برای ذخیره اطلاعات مانند اولویتهای شما استفاده می‌شوند. یک کوکی شخص ثالث از وب‌سایت متفاوت با آنچه در حال مشاهده آن هستید نشات می‌گیرد یا به آن فرستاده می‌شود. وب‌سایتهای شخص‌ثالث معمولا محتویاتی روی وب‌سایتی که در حال مشاهده هستید، ارائه می‌کنند. برای مثال، بسیاری سایتها از تبلیغات وب‌سایتهای شخص‌ثالث استفاده می‌کنند و آن وب‌سایتها ممکن است از کوکی استفاده کنند. یک استفاده معمول برای این نوع از کوکی ردیابی استفاده از صفحه‌وب شما برای تبلیغات یا سایر مقاصد بازاریابی است. این نوع کوکی‌ها می‌توانند موقت یا ماندگار باشند.نوعی از کوکی‌ها هستند که بعنوان کوکی‌های ناخوشایند نامیده می‌شوند. کوکی‌هایی هستند که ممکن است اجازه دسترسی به اطلاعات شخصا قابل‌شناسایی شما را برای اهداف ثانویه بدون اجازه شما، فراهم کنند.

«کوکی» بخش کوچکی از اطلاعات فرستاده شده توسط وب‌سرور برای ذخیره در مرورگر است تا بتواند بعدا از طریق آن مرورگر، دوباره خوانده شود. دیتای ذخیره شده برای اینکه وب‌سرور یک سایت، اطلاعات مشخصی را درباره بازدیدکننده آن وب‌سایت خاص بداند، مفید است. کوکی فرمت فایل متنی را دارد که در دایرکتوری مربوط به مرورگر ذخیره می‌شود و در هنگامی که مرورگر در حال اجراست در حافظه RAM قرار می‌گیرد. این اطلاعات می‌تواند هنگامی که کاربر از وب‌سایت خاصی خارج شد، در هارد درایو ذخیره شود.کوکی‌ها ابزار بسیار مهمی برای نگهداشتن state روی وب هستند. state به توانایی یک برنامه برای کار با کاربر بصورت محاوره‌ای اشاره دارد. برای مثال، شما برای استفاده از قطار یا اتوبوس بلیت رزرو می‌کنید. در روز سفر، هنگامی که بلیت را نشان می‌دهید، اجازه خواهید یافت که وارد قطار یا اتوبوس شوید، در غیراینصورت مسوول وسیله نقلیه نمی‌داند که آیا شما این اجازه را دارید یا خیر. در حقیقت در اینجا بلیت برای نگهداشتن state‌ بین شما و مسوول قطار مهم است. HTTP یک پروتکل بدون قابلیت state‌ است. به این معنی که هر بار مشاهده یک سایت توسط سرور بعنوان اولین مشاهده کاربر تلقی می‌شود. به این معنی که سرور همه چیز را بعد از هر درخواست فراموش می‌کند، مگر اینکه یک بازدید‌کننده برای یادآوری آینده به سرور به طریقی مشخص گردد. کوکی‌ها این کار را انجام می‌دهند.کوکی‌ها فقط می‌توانند به وب‌سرور بگویند که آیا شما قبلا هم از سایت دیدن کرده‌اید و اطلاعات کمی (مثلا یک شماره کاربر) در مرتبه بعد که از سایت دیدن می‌کنید از خود وب‌سرور به آن برگردانند. بیشتر کوکی‌ها هنگامی که از مرورگر خارج می‌شوید از بین می‌روند. نوع دیگری از کوکی‌ها بعنوان کوکی ماندگار وجود دارند که تاریخ انقضاء دارند و تا آن تاریخ روی هارددرایو شما باقی می‌مانند.

یك تست نفوذ یا Penetration Test یك پروسه مجاز، برنامه ریزی شده و سیستماتیك برای به كارگیری آسیب پذیری ها جهت نفوذ به سرور، شبكه و یا منابع برنامه های كاربردی است. در واقع تست نفوذ روشی برای ارزیابی امنیتی یك سیستم یا شبكه كامپیوتری است كه از طریق شبیه سازی حمله یك هكر یا نفوذگر خرابكار صورت می گیرد. پروسه تست نفوذ یك تحلیل فعال از سیستم برای یافتن هر حفره، آسیب پذیری و نقص فنی است كه بالقوه یك ضعف امنیتی سیستم محسوب می شود. این تحلیل در مقام یك هكر بالقوه انجام می شود و در آن می توان از آسیب پذیری های امنیتی فعال برای اجرای حملات استفاده كرد. همه مشكلات امنیتی باید همراه با ارزیابی میزان اهمیت آنها و همچنین پیشنهاد هایی برای كاهش اثر خطرات و یا راه حل های فنی به صاحب سیستم ارائه شوند. تست نفوذ می تواند با استفاده از منابع داخلی همچون سیستم امنیتی میزبان و یا منابع خارجی همچون اتصالات شركت به اینترنت هدایت شود. در این تست معمولاً از یك سری ابزارهای اتوماتیك و یا دستی برای آزمودن منابع سیستم استفاده می شود.

البته انجام تست نفوذ بر روی سیستم های فعال، خطر از هم گسستن آنها را در پی دارد زیرا اجرا كردن حملات فعال بر روی سیستم ممكن است منجر به از كار افتادگی، بروز برخی رفتارهای غیر قابل پیش بینی و بی ثباتی سیستم شود.
تست نفوذ چه چیزی نیست؟

یك اقدام هماهنگ نشده برای دسترسی بدون اجازه به منابع را نمی توان یك تست نفوذ دانست. تست نفوذ باید به صورت برنامه ریزی شده و هماهنگ با صاحبان سیستم انجام شود. كمترین تأثیر تست نفوذ بر سیستم، ایجاد هشدارهایی بر روی سیستم تشخیص نفوذ یا IDS (در صورت وجود) است. به علاوه برخی تست ها منجر به از كار افتادن تجهیزات شبكه یا سیستم می شوند و به همین علت آگاهی مدیران و كارمندان از انجام تست نفوذ یك ضرورت به حساب می آید. تنها مورد استثناء در آگاهی دادن كامل به كارمندان، مربوط به تست سیستم تشخیص نفوذ و عكس العمل كارمندان در برابر آن است. بنابراین گرفتن مجوز از مدیریت برای انجام تست نفوذ جهت پذیرش پیامدهای آن، ضروری محسوب می شود.

....