آموزش CEH (هکر کلاه سفید): مقدمه‌ای کوتاه در ارتباط با رمزنگاری و ایمن‌سازی اطلاعات

برای مطالعه قسمت قبل آموزش رایگان  دوره CEH اینجا کلیک کنید.

مهندسی اجتماعی معکوس

مهندسی اجتماعی معکوس شامل خرابکاری تجهیزات سازمان و در ادامه ارائه راهکاری برای حل مشکلات است. افراد برای انجام این‌کار به مهندسی اجتماعی نیاز دارند تا ابتدا تجهیزات را خراب كنند و سپس نمونه خوب را ارائه کنند تا جایگزین دستگاه آسیب دیده شود. در برخی موارد هکرها خود را به فرد پشتیبانی از شرکت ارائه‌دهنده معرفی می‌کنند. یک نمونه از این اتفاق چند سال قبل به وقوع پیوست که سارقان یکی از خطوط تلفن ایمن سازمانی را قطع کردند و در ادامه ادعا کردند که تعمیرکار مخابرات هستند. در این حمله، هکرها موفق شدند تعداد زیادی از دستگاه‌های ارزشمند  سازمان را به سرقت ببرند.

خط‌مشی‌ها و روال‌ها

چند روش خوب برای جلوگیری پیشگیری از بروز موفقیت‌آمیز حملات مهندسی اجتماعی وجود دارد. بهترین راهکار آگاه‌سازی کاربران است. در حین ارزیابی امنیتی، شما باید کلیه خط‌مشی‌های موجود را مرور کنید و اطمینان حاصل کنید که خط‌مشی‌های مختلفی برای دپارتمان‌های مختلف سازمان تعریف شده‌اند. آموزش کاربران بسیار مهم است، زیرا به ایجاد سطح آگاهی کمک می‌کند. برای مؤثر بودن خط‌مشی‌ها، آن‌ها باید كنترل دسترسی به اطلاعات را روشن كنند، قواعد مربوط به پیکربندی حساب‌های کاربری را تشریح کنند و کاربران را مجبور کنند در بازه‌های زمانی کوتاه‌مدت گذرواژه‌ حساب‌ها را تغییر دهند. این خط‌مشی‌ها همچنین باید مواردی همچون امحا کاغذها به شکل اصولی، سطح مجوزه‌های تخصیص داده شده به کارمندان و نحوه مشاهده صفحات وب‌سایت توسط کاربران خارج از سازمان را شامل شوند. آموزش کارمندان بايد شامل موضوعاتی باشد که در حملات مهندسی اجتماعي از سوی هکرها استفاده می‌شود. به‌طور مثال، باید به کارمندان آموزش داده شود در زمان جواب‌گویی به تلفن یا ایمیل چه سوال‌هایی را از طرف مقابل بپرسند تا مطمئن شوند هکری خود را به جای مدیر سازمان معرفی نکرده است.

طبقه‌بندی داده‌های تجاری و دولتی

برای جلوگیری از بروز حملات مهندسی اجتماعی یا کاهش آسیب‌های آن چه اقدامات فنی مناسب باید انجام داد؟ یک دفاع کلی این است که اطمینان حاصل کنید سازمان دارای سیستم طبقه‌بندی اطلاعات تعریف شده است. یک سیستم طبقه‌بندی اطلاعات نه تنها به جلوگیری از بروز مشکلات مرتبط با مهندسی اجتماعی کمک می‌کند بلکه به سازمان کمک می‌کند همواره به مهم‌ترین اطلاعات دسترسی داشته باشد. وقتی سازمان و کارمندان آن بفهمند که انتشار اطلاعات مهم چگونه می‌تواند به سازمان آسیب برساند یا بر آن تأثیر بگذارد، در نگه‌داری از اطلاعات حساس‌تر می‌شوند.

به‌طور کلی دو سیستم اصلی برای طبقه‌بندی اطلاعات استفاده می‌شود: سیستم طبقه‌بندی اطلاعات دولتی و سیستم طبقه‌بندی اطلاعات تجاری. سیستم دولتی برای محافظت از محرمانگی اطلاعات به دسته‌های زیر تقسیم شده است:

■ طبقه‌بندی نشده: اطلاعات حساس نیستند و نیازی به محافظت ندارند. از دست رفتن این اطلاعات باعث خسارت نمی‌شود.

■ حساس: این اطلاعات حساس هستند و افشای آن‌ها می‌تواند خسارت‌هایی به بار آورد. بنابراین باید از افشای آن محافظت کرد.

■ محرمانه: اطلاعاتی که به صورت پنهانی طبقه‌‌بندی می‌شوند اهمیت بیشتری دارند. به همین دلیل انتظار می‌رود افشای آن خسارت جدی به همراه آورد و منجر به از بین رفتن پیشرفت‌های مهم علمی یا فناوری شود.

■ فوق محرمانه: این اطلاعات به شدت باید محافظت شوند، زیرا اگر افشا شوند، نتایج فاجعه باری به همراه می‌آورند.

سیستم طبقه‌بندی اطلاعات تجاری دومین نوع طبقه‌بندی اطلاعات مهم است. سازمان‌ها معمولاً دغدغه‌های نهادهای دولتی را ندارند، بنابراین سعی می‌کنند از خط‌مشی‌ها و سامانه‌های منطبق با استانداردهای تجاری که روی اصالت اطلاعات متمرکز هستند استفاده کنند. سامانه‌های تجاری به صورت عمومی، حساس، خصوصی و محرمانه طبقه‌بندی می‌شوند:

■ عمومی: مشابه اطلاعات غیر طبقه‌بندی شده‌اند که افشا یا انتشار آن‌ها هیچ خسارتی ندارد.

■ حساس: این اطلاعات نباید توسط افراد غیرمجاز دیده یا کنترل شود. در صورت افشای این اطلاعات، ممکن است خسارت‌هایی به سازمان وارد شود.

■ خصوصی: اطلاعات این گروه معمولاً شخصی هستند. این اطلاعات می‌توانند شامل اطلاعات مربوط به کارمندان یا سوابق پزشکی باشد.

■ محرمانه: اطلاعاتی که با عنوان محرمانه رتبه‌بندی می‌شوند حساسیت زیادی دارند. این اطلاعات به شرکت اجازه می‌دهند با رقبا مقابله کنند، در نتیجه باید به هر قیمتی از انتشار آن‌ها پیشگیری کرد.

بحث در ارتباط با امنیتی فیزیکی موضوعات دیگری را نیز شامل می‌شود که عمدتا به حضور کارشناسان امنیتی در محل نیاز دارند، به همین دلیل بحث در ارتباط با امنیت فیزیکی را در این‌جا به پایان می‌رسانیم و به سراغ مبحث رمزنگاری داده‌ها می‌رویم.

مخاطرات پیرامون امنیت با رویکرد رمزنگاری

رمزنگاری موضوعی هیجان‌انگیز است که آزمون CEH روی آن تمرکز خاصی دارد. درک چگونگی عملکرد آن کار چندان ساده‌ای نیست، اما اگر زمان قابل ملاحظه‌ای را صرف آن ‌کنید، قادر هستید به بهترین شکل از زیرساخت‌های ارتباطی محافظت کنید. رمزنگاری موضوع جدیدی نیست. در طول زمان از رمزنگاری برای محافظت از داده‌ها و حفظ محرمانگی  و یکپارچگی اطلاعات استفاده شده و متعاقباً همیشه افرادی بوده‌اند که به دنبال شکستن الگوریتم‌های رمزنگار بودند. به عنوان یک هکر اخلاقی، ممکن است در برخی موارد مجبور شوید راه‌حل های رمزنگاری برای ذخیره گزارش‌ها و سایر اطلاعات حساس را به کار ببرید یا به سازمانی توصیه‌های لازم در این خصوص را ارائه کنید. همچنین در برخی موارد مجبور هستید شبیه به یک هکر سیستم‌های رمزنگاری را هدف قرار دهید تا وضعیت به‌کارگیری الگوریتم‌های رمزنگاری را بررسی کنید.

رمزنگاری

رمزنگاری را می‌توان راهکاری برای پنهان کردن محتویات پیام‌ها یا داده‌ها تعریف کرد تا فقط افرادی که کلید مربوطه را در اختیار دارند قادر به مشاهده اطلاعات باشند. اگرچه محافظت از اطلاعات همیشه مهم بوده، اما ارتباطات الکترونیکی، اینترنت و شبکه‌ها به محافظت بیشتری نیاز دارند. محافظت از ایمیل‌ها، اطلاعات تجاری، اطلاعات شخصی و تراکنش‌های آنلاین یک ضرورت بسیار مهم است. رمزنگاری برای مقاصد مختلفی استفاده می‌شود. رمزگذاری با تبدیل متن ساده به مفهومی غیرقابل فهم سعی می‌کند مانع از آن شود تا افراد غیرمجاز به راحتی فایل‌های متنی را مشاهده کنند. به عبارت دیگر، هدف این است که تنها گیرنده پیام قادر به مشاهده متن باشد. رمزنگاری به دو نوع اصلی متقارن و نامتقارن تقسیم می‌شود. رمزنگاری متقارن از یک کلید واحد استفاده می‌کند، در حالی که رمزنگاری نامتقارن از دو کلید استفاده می‌کند. رمزنگاری با هدف حفظ محرمانگی، صحت، یکپارچگی و عدم تحریف محتوا استفاده می‌شود.

محرمانگی به این معنا است که آنچه خصوصی است باید خصوصی باقی بماند. رمزنگاری (Cryptography) سعی می‌کند از رمزگذاری (encryption) برای پنهان‌سازی اطلاعات استفاده کند. به‌طور مثال، در مورد سرقت لپ‌تاپ‌تان فکر کنید که چه محتوای ارزشمندی روی آن دارید. آیا اطلاعات شخصی یا اطلاعاتی در ارتباط محصولی که قرار است سال آینده به بازار عرضه شود روی آن قرار دارد؟ دارایی‌های اطلاعاتی می‌توانند ارزشی به مراتب بیشتر از تجهیزات داشته باشند. رمزگذاری در صورت سرقت شدن یا دسترسی افراد غیرمجاز به تجهیزات می‌تواند به سادگی از اطلاعاتی محافظت کند.

احراز هویت نقش‌های مختلفی در دنیای امنیت بازی می‌کند. احراز هویت می‌تواند با رمزگذاری پیام همراه باشد. احراز هویت فرآیندی است که برای اثبات هویت استفاده می‌شود (مانند چیزی که دارید‌، می‌دانید یا هستید). مثالی از اطلاعاتی که دارید گذرواژه است‌، ابزاری که دارید ممکن است کارت هوشمند باشد.

احراز هویت بخشی از پروسه شناسایی و تایید هویت است. رایج‌ترین شکل تأیید اعتبار، نام کاربری و رمزعبور است. بیشتر رمزهای عبور رمزگذاری شده‌اند، شاید در ظاهر ضرورتی برای انجام این‌کار نباشد، اما بدون رمزگذاری، روند احراز هویت ضعیف است. FTP و Telnet دو نمونه از پروتکل‌هایی هستند که از مکانیزم احراز هویت ضعیف استفاده می‌کنند. نام کاربری و کلمه عبور به شکل متن واضح منتقل می‌شود و هر کس با دسترسی به شبکه می‌تواند این رمزهای عبور را رهگیری و ضبط کند. شبکه‌های خصوصی مجازی (VPN) همچنین از احراز هویت استفاده می‌کنند، اما به جای نام کاربری و رمزعبور متنی واضح از گواهینامه‌های دیجیتال و امضاهای دیجیتالی برای شناسایی دقیق‌تر کاربر و محافظت از روند جعل هویت استفاده می‌کنند.

یکپارچگی یکی از مولفه‌های کلیدی دنیای رمزنگاری است. برای حفظ اصالت داده‌ها می‌توان از مکانیزم درهم‌سازی (hashing) استفاده کرد. یکپارچگی راهکاری است برای اطمینان از این موضوع که اطلاعات زمانی که ساخته شدند، در زمان انتقال و در فرآیند ذخیره‌سازی، دچار تحریف و تغییر نخواهند شد. به‌طور مثال، اگر وسایل خود را در اینترنت به قیمت 10 دلار برای فروش بگذارید و هکری بتواند به تحریف اطلاعات پرداخته و قیمت نهایی محصولات را 1 دلار کند، آنگاه اصل یکپارچگی و اصالت داده‌ها نقض شده است.

مادامی که دو اصل یکپارچگی و اصالت اطلاعات تضمین نشوند، هیچ‌گاه گیرنده و فرستنده قادر به انجام هیچ‌گونه تراکنشی نیستند. هیچ یک از طرفین نمی‌توانند تضمین کنند داده‌های ارسالی یا دریافتی در آینده دستخوش تغییر نخواهند شد. شما ممکن است هیچ‌گاه افرادی که با آن‌ها به فعالیت تجاری می‌پردازید ار مشاهده نکنید، بنابراین، قادر به انجام تحقیقات اولیه نیستید. با این‌حال، در فضای مجازی امضاهای دیجیتال، گواهی‌های دیجیتالی و کدهای تأیید صحت پیام (MAC) به نوعی کار همان تحقیقات اولیه را انجام می‌دهند.

تاریخچه کوتاه رمزنگاری

رمزنگاری در ادوار مختلف استفاده شده است. اسپارت‌ها برای ارسال اطلاعات برای ژنرال‌های خود نوعی رمزنگاری به‌نام Scytale را استفاده می‌کردند. جولیوس سزار از نوعی رمزگذاری برای ارسال پیام‌های غیرقابل خواندن توسط افراد عادی استفاده می‌کرد که به‌نام رمزگذاری سزار معروف بود. اگرچه ممکن است بیشتر آن‌ها شکل واقعی یک الگوریتم رمزگذاری نباشند، اما رمزگذاری سزار با آنچه که اکنون ما آن‌را رمزنگاری ساده می‌نامیم، مطابقت دارد. در رمزهای سزار، الفبای متن ساده و الفبای متن رمزنگاری وجود دارد. الفبای تطبیق داده شده همانند شکل زیر است:

وقتی سزار آماده ارسال پیام می‌شد، برای رمزگذاری کاراکترها را سه مرتبه به سمت جلو یا عقب شیفت می‌داد. رمزگذاری سزار به عنوان رمزگذاری ROT3 نیز شناخته می‌شود، زیرا شما سه کاراکتر را به جلو یا عقب بر می‌گردانید تا متن رمزگذاری یا رمزگشایی شود. به‌طور مثال، رمزگذاری سزار کلمه cat را به fdw تغییر نام می‌داد. شما می‌توانید این موضوع را با جدول بالا آزمایش کنید. شاید عجیب باشد، اما تا همین چند وقت پیش بسیاری از سیستم‌های رمزنگاری مهم از این مکانیزم استفاده می‌کردند. در مورد رمزنگاری سزار، گیرنده پیام کلید مربوطه را در اختیار داشت تا بتواند متن پیام را رمزگشایی کند. قبل از آن‌که به سراغ مفهوم رمزنگاری برویم، اجازه دهید با چند اصطلاح مهم در این زمینه آشنا شویم:

الگوریتم: مجموعه‌ای از قواعد یا یک فرمول ریاضی است که برای رمزگذاری و رمزگشایی داده‌ها استفاده می‌شود.

متن ساده: متنی که به سادگی قابل خواندن است.

متن رمزگذاری شده: داده‌هایی که درهم شده و غیرقابل خواندن هستند.

کلید رمزنگاری: کلیدی که بخشی از اطلاعات است که نحوه عملکرد الگوریتم رمزنگاری را کنترل می‌کند. از کلید فوق می‌توان برای کنترل تغییر متن از حالت ساده به حالت رمزگذاری شده استفاده کرد. به‌طور مثال، الگوی رمزگذاری سزار از كلیدی استفاده می‌كند كه برای رمزنگاری کاراکترها را سه واحد به جلو می‌برد و برای رمزگشایی کاراکترها را سه واحد به عقب می‌برد.

رمزگذاری جایگزینی: روشی ساده برای رمزگذاری است که در آن متن ساده با توجه به یک سیستم منظم با متن رمزنگاری شده جایگزین می‌شوند. در این حالت گیرنده می‌تواند با انجام یک تعویض معکوس متن را رمزگشایی کند.

رمزگذاری متقارن: از کلید یکسانی برای رمزگذاری و رمزگشایی داده‌ها استفاده می‌کند.

رمزگذاری نامتقارن: از کلیدهای مختلفی برای رمزگذاری و رمزگشایی استفاده می‌کند. در این حالت به گیرنده یک جفت کلید اختصاصی داده می‌شود. یک کلید وظیفه انجام تغییرات را بر عهده دارد، در حالی که کلید دیگر تغییرات را به حالت اولیه باز می‌گرداند.

 رمزنگاری: به فرآیند تبدیل داده‌ها به شکلی غیرقابل خواندن گفته می‌شود.

در اوایل قرن بیستم، ایالات متحده انواع مختلفی از الگوریتم‌های رمزگذاری و رمزنگاری را ابداع کند. رویدادهایی شبیه به WWI و WWII با هدف بهبود سامانه‌های رمزنگاری شده ابداع شدند. اگرچه برخی از این سامانه‌ها مانند سامانه بنفش ژاپنی و انیگمای آلمانی  دستگاه‌های مکانیکی کاملاً پیچیده‌ای بودند، اما برخی دیگر صرفاً بر اساس زبان‌ها یا کدهای ناشناخته بنا شده بودند. اگر فیلم Windtalkers را دیده باشید درباره مفهوم رمزنگاری اطلاع نسبتا خوبی دارید.

امروزه رمزگذاری دیگر فقط مختص دولت‌ها نیست و آن‌را می‌توان در حوزه‌های مختلفی همچون مبادلات تجاری مبتنی بر بستر اینترنت، ایمن‌سازی ایمیل، حفظ حریم خصوصی، محافظت از تماس‌های تلفنی و حفظ مالکیت معنوی مشاهده کرد.

‌در شماره آینده مبحث فوق را ادامه می‌دهیم.

برای مطالعه رایگان تمام بخش‌های دوره CEH  روی لینک زیر کلیک کنید:

آموزش رایگان دوره CEH