۹۶/۸/۲۴، ۰۹:۴۵ عصر
در دنیای اینترنت ممکن است با واژگانی برخورد کنید که نیاز به توضیح اضافه داشته باشند. اینک به تعریف اصطلاحات پر کاربرد امنیتی در برنامههای امنیتی و ضد ویروس میپردازیم.
بدافزار (Badware): نرمافزار به ظاهر فریبندهای را توصیف میکند که حذف یا جلوگیری از نمایش ناخواستهی رفتار آن مشکل است. مَلوِیر (Malware) را مطالعه کنید.
مسدودکنندهی رفتار - رفتارشناسی (Behavior Blocker): بر خلاف اسکنرهای مبتنی بر امضا، مسدودکنندگان رفتاری برای شناسایی نرمافزارهای مخرب، به جای امضاها و مشخصههای اکتشافی از رفتار نرمافزار استفاده میکنند.
باتنت (Botnet): باتنت شبکهی بزرگی از کامپیوترهای آلوده به یک تروجان خاص را توصیف میکند. نویسندهی آن تروجان، کامپیوترهای آلودهای را کنترل میکند که مانند روباتها به شکل نیمه-خودکار عمل مینمایند. باتنتهای بزرگتر میتوانند از هزاران کامپیوتر که همهی آنها برای صاحبانشان شناخته شده هستند تشکیل گردد.
سرریز بافر (Buffer Overflow): رایجترین حفرههای امنیتی برنامهها و سیستم عاملها را نشان میدهد. این اتفاق زمانی رخ میدهد که مقدار زیادی داده در فضای ذخیرهسازی کوچکی بارگذاری شده و در نتیجه منجر به خطا یا کرش شود. در بدترین حالت، مهاجم میتواند از این حفره برای کنترل یک کامپیوتر دیگر استفاده کند. بهترین روش مقابله با این مشکل، بهروزرسانی منظم نرمافزارها است.
کپچا (Captcha): از کپچا زمانی استفاده میشود که یک برنامه یا سرویس آنلاین میخواهد بفهمد که کاربر یک انسان است یا یک دستگاه. رایجترین شکل کپچاها تصاویری هستند که به شکل تصادفی ساخته میشوند و شامل کدهایی هستند که باید به صورت دستی وارد شوند. دستگاه نمیتواند حروف و اعدادی که عمداً مخدوش شدهاند را شناسایی کند. با این کار مطمئن میشویم که یک برنامه توسط بات یا برنامهی دیگری خاموش نشود.
کوکی (Cookie): کوکی یک اسنیپتِ (Snippet) کوچک اطلاعات است که از وبسرور (Web Server) به مرورگر کاربر ارسال و در آن ذخیره میشود. وبسرور در مراجعات بعدی به این سرور میتواند این اسنیپتهای اطلاعات را بخواند و از آنها برای شناسایی کاربر استفاده کند. حالت ایدهآل استفاده از این روش برای ایجاد پروفایلهای کاربری است (بر روی چه چیزی کلیک شد؟).
مثبت کاذب (False Positive): مثبت کاذب کلمهای است که هنگام شناسایی یک فایل سالم به عنوان مخرب، توسط ضدمخرب ها و ضد ویروس ها بیان می شود. این اتفاق زمانی میافتد که چیدمانهای فایل یا الگوهای رفتاری خوب و بد نرمافزار مشابه هستند. این مثبتهای کاذب معمولاً پس از گزارش شدن به سرعت توسط نویسندگان نرمافزار اصلاح میشود.
اکتشاف (Heuristic): این لغت تجزیه و تحلیل ریاضیاتی فایلهای اسکن شدهی هارد درایو (Hard Drive) را توصیف میکند. از کد برنامه برای محاسبهی احتمال عملیات مخرب استفاده میشود.
حقه (Hoax): برای توصیف هشدارهای غلطی که عمداً توزیع شدهاند و بسیاری از کاربران با آنها مثل هشدارهای واقعی رفتار میکنند به کار میرود. یکی از مشهورترین حقهها این است که در پیامی از کاربران خواسته شود که فایلهای خطرناکی مثل SULFNBK.EXE و JDBGMGR.EXE را پاک کند، در حالی که این فایلها در حقیقت از فایلهای مهم سیستم هستند.
نگهبان (Guard): معنای این کلمه کاملاً مشخص است. نگهبانها برنامهها یا عناصری از یک برنامه هستند که نقش محافظ را برعهده دارند، یعنی آنها از کامپیوتر یا بخشهایی از آن در مقابل تهاجمهای خاص حفاظت میکنند.
HIPS/IDS: کلمات مخفف HIPS و IDS به ترتیب از عبارات «سیستم جلوگیری از نفوذ مبتنی بر میزبان» (Host (based) Intrusion Prevention System) و «سیستم شناسایی نفوذ» (Intrusion Detection System) گرفته شدهاند. اینها، برنامهها یا بخشهایی از یک برنامه هستند که کدهای مخرب را شناسایی و از اجرا شدن آن جلوگیری میکنند. مزیت اصلی این سیستمها شناسایی بدون وابستگی به امضا است که امکان شناسایی نفوذهای (Exploits) جدید و حملههای روز صفر (Zero-day)، که در حال حاضر هیچ امضای شناخته شدهای ندارند، را فراهم میکند.
مَلوِیر (Malware): کلمهی ملویر از ترکیب دو کلمهی Malicious به معنای مخرب و Software به معنای نرمافزار ساخته شده است. این کلمه به همهی نرمافزارهای مخرب مانند تروجانها، جاسوسافزارها (Spyware)، ویروسها و... تعمیم داده میشود.
فیشینگ (Phishing): مهاجمان برای به دست آوردن گذرواژههای سِری از وبسایتهای جعلی استفاده میکنند. این کلمه از عبارت Password Fishing، به معنای ماهیگیری گذرواژه میآید. این آدرسهای اینترنتی طوری ساخته میشوند که دقیقاً مشابه سایت اصلی به نظر برسند. از این روش معمولاً برای دسترسی به حساب بانکی استفاده میشود.
اثبات مفهوم (POC/Proof Of Concept): نمونهی اولیهی حملهای است که معمولاً شامل روش های توزیع اصلی نمیباشد. هنگامی که برنامهنویس حفرهی جدیدی را در یک برنامه کشف میکند، با استفاده از POC از این حفره مدرک ثبت میشود. POCها معمولاً به دلایل منفی نه تنها توسط هکرها، بلکه به دست کارمندان شرکتهای امنیتی و برنامهنویسان خصوصی هم ایجاد میگردند.
ریسکافزار (Riskware): از کلمات ریسک و افزار تشکیل شده است. برای نمونه نرمافزاری را در نظر بگیرید که فرآیند نصب آن، خطر احتمالی و نه خطر حتمی برای کامپیوتر شما دارد.
اسکنر (Scanner): در کنار سختافزاری که به همین نام وجود دارد و برای دیجیتالسازی تصاویر مورد استفاده قرار میگیرد، واژهی اسکنر برنامهای که برای جستجو در یک کامپیوتر مورد استفاده قرار میگیرد را توصیف میکند. اسکنرهای ملویر برای شناسایی نرمافزارهای مخرب از امضاها و مشخصههای اکتشافی استفاده مینمایند.
حفرهی امنیتی (Security Hole): یک مهاجم برای دستیابی به کامپیوتر و نصب نرمافزارهای مورد نظر خود میتواند از یک حفرهی امنیتی استفاده کند. اکسپلویت (Exploit) را از مقالهی قبلی مطالعه کنید. بهروزرسانیهای نرمافزاری منظم و وجود یک نرمافزار دارای رفتارشناسی برای مقابله با این حفرههای امنیتی مفید هستند.
امضا (Signature): یک امضا نشانگر اثر انگشت منحصر به فرد یک برنامه است. امضاها به طور خاص برای شناسایی نرمافزارهای مخرب توسط اسکنرها استفاده میشوند. عیب بزرگ آنها رشد استثنایی تعداد نسخههای مختلف نرمافزارهای مخرب و این حقیقت است که یک ملویر خاص باید قبل از این که امضای آن ساخته شود، شناسایی گردد.
آسیبپذیری (Vulnerability): حفرهی امنیتی و اکسپلویت را مطالعه کنید.
حملهی روز صفر (Zero-Day Attack): حملهی روز صفر، حملهی مخرب در روز اول توزیع آن را توصیف میکند. ملویرهای جدید به طور خاص در روزهای اولیهی خود خطرناک هستند، چون معمولاً مدتی طول میکشد تا شرکتهای ضد ویروس نمونهای از آن را شناسایی و برای آن یک امضای مناسب بسازند. نرمافزارهای رفتارشناسی (Behavior Blockers) در زمینهی شناسایی این مخربها عملکرد بهتری دارند.
کامپیوتر زامبی (Zombie Computer): کامپیوتری که آلوده به تروجان در پشتی (Backdoor Trojan) است که به دستورات از راه دور گوش داده و عملیات کنترلشدهی از راه دور را اجرا میکند.
بدافزار (Badware): نرمافزار به ظاهر فریبندهای را توصیف میکند که حذف یا جلوگیری از نمایش ناخواستهی رفتار آن مشکل است. مَلوِیر (Malware) را مطالعه کنید.
مسدودکنندهی رفتار - رفتارشناسی (Behavior Blocker): بر خلاف اسکنرهای مبتنی بر امضا، مسدودکنندگان رفتاری برای شناسایی نرمافزارهای مخرب، به جای امضاها و مشخصههای اکتشافی از رفتار نرمافزار استفاده میکنند.
باتنت (Botnet): باتنت شبکهی بزرگی از کامپیوترهای آلوده به یک تروجان خاص را توصیف میکند. نویسندهی آن تروجان، کامپیوترهای آلودهای را کنترل میکند که مانند روباتها به شکل نیمه-خودکار عمل مینمایند. باتنتهای بزرگتر میتوانند از هزاران کامپیوتر که همهی آنها برای صاحبانشان شناخته شده هستند تشکیل گردد.
سرریز بافر (Buffer Overflow): رایجترین حفرههای امنیتی برنامهها و سیستم عاملها را نشان میدهد. این اتفاق زمانی رخ میدهد که مقدار زیادی داده در فضای ذخیرهسازی کوچکی بارگذاری شده و در نتیجه منجر به خطا یا کرش شود. در بدترین حالت، مهاجم میتواند از این حفره برای کنترل یک کامپیوتر دیگر استفاده کند. بهترین روش مقابله با این مشکل، بهروزرسانی منظم نرمافزارها است.
کپچا (Captcha): از کپچا زمانی استفاده میشود که یک برنامه یا سرویس آنلاین میخواهد بفهمد که کاربر یک انسان است یا یک دستگاه. رایجترین شکل کپچاها تصاویری هستند که به شکل تصادفی ساخته میشوند و شامل کدهایی هستند که باید به صورت دستی وارد شوند. دستگاه نمیتواند حروف و اعدادی که عمداً مخدوش شدهاند را شناسایی کند. با این کار مطمئن میشویم که یک برنامه توسط بات یا برنامهی دیگری خاموش نشود.
کوکی (Cookie): کوکی یک اسنیپتِ (Snippet) کوچک اطلاعات است که از وبسرور (Web Server) به مرورگر کاربر ارسال و در آن ذخیره میشود. وبسرور در مراجعات بعدی به این سرور میتواند این اسنیپتهای اطلاعات را بخواند و از آنها برای شناسایی کاربر استفاده کند. حالت ایدهآل استفاده از این روش برای ایجاد پروفایلهای کاربری است (بر روی چه چیزی کلیک شد؟).
مثبت کاذب (False Positive): مثبت کاذب کلمهای است که هنگام شناسایی یک فایل سالم به عنوان مخرب، توسط ضدمخرب ها و ضد ویروس ها بیان می شود. این اتفاق زمانی میافتد که چیدمانهای فایل یا الگوهای رفتاری خوب و بد نرمافزار مشابه هستند. این مثبتهای کاذب معمولاً پس از گزارش شدن به سرعت توسط نویسندگان نرمافزار اصلاح میشود.
اکتشاف (Heuristic): این لغت تجزیه و تحلیل ریاضیاتی فایلهای اسکن شدهی هارد درایو (Hard Drive) را توصیف میکند. از کد برنامه برای محاسبهی احتمال عملیات مخرب استفاده میشود.
حقه (Hoax): برای توصیف هشدارهای غلطی که عمداً توزیع شدهاند و بسیاری از کاربران با آنها مثل هشدارهای واقعی رفتار میکنند به کار میرود. یکی از مشهورترین حقهها این است که در پیامی از کاربران خواسته شود که فایلهای خطرناکی مثل SULFNBK.EXE و JDBGMGR.EXE را پاک کند، در حالی که این فایلها در حقیقت از فایلهای مهم سیستم هستند.
نگهبان (Guard): معنای این کلمه کاملاً مشخص است. نگهبانها برنامهها یا عناصری از یک برنامه هستند که نقش محافظ را برعهده دارند، یعنی آنها از کامپیوتر یا بخشهایی از آن در مقابل تهاجمهای خاص حفاظت میکنند.
HIPS/IDS: کلمات مخفف HIPS و IDS به ترتیب از عبارات «سیستم جلوگیری از نفوذ مبتنی بر میزبان» (Host (based) Intrusion Prevention System) و «سیستم شناسایی نفوذ» (Intrusion Detection System) گرفته شدهاند. اینها، برنامهها یا بخشهایی از یک برنامه هستند که کدهای مخرب را شناسایی و از اجرا شدن آن جلوگیری میکنند. مزیت اصلی این سیستمها شناسایی بدون وابستگی به امضا است که امکان شناسایی نفوذهای (Exploits) جدید و حملههای روز صفر (Zero-day)، که در حال حاضر هیچ امضای شناخته شدهای ندارند، را فراهم میکند.
مَلوِیر (Malware): کلمهی ملویر از ترکیب دو کلمهی Malicious به معنای مخرب و Software به معنای نرمافزار ساخته شده است. این کلمه به همهی نرمافزارهای مخرب مانند تروجانها، جاسوسافزارها (Spyware)، ویروسها و... تعمیم داده میشود.
فیشینگ (Phishing): مهاجمان برای به دست آوردن گذرواژههای سِری از وبسایتهای جعلی استفاده میکنند. این کلمه از عبارت Password Fishing، به معنای ماهیگیری گذرواژه میآید. این آدرسهای اینترنتی طوری ساخته میشوند که دقیقاً مشابه سایت اصلی به نظر برسند. از این روش معمولاً برای دسترسی به حساب بانکی استفاده میشود.
اثبات مفهوم (POC/Proof Of Concept): نمونهی اولیهی حملهای است که معمولاً شامل روش های توزیع اصلی نمیباشد. هنگامی که برنامهنویس حفرهی جدیدی را در یک برنامه کشف میکند، با استفاده از POC از این حفره مدرک ثبت میشود. POCها معمولاً به دلایل منفی نه تنها توسط هکرها، بلکه به دست کارمندان شرکتهای امنیتی و برنامهنویسان خصوصی هم ایجاد میگردند.
ریسکافزار (Riskware): از کلمات ریسک و افزار تشکیل شده است. برای نمونه نرمافزاری را در نظر بگیرید که فرآیند نصب آن، خطر احتمالی و نه خطر حتمی برای کامپیوتر شما دارد.
اسکنر (Scanner): در کنار سختافزاری که به همین نام وجود دارد و برای دیجیتالسازی تصاویر مورد استفاده قرار میگیرد، واژهی اسکنر برنامهای که برای جستجو در یک کامپیوتر مورد استفاده قرار میگیرد را توصیف میکند. اسکنرهای ملویر برای شناسایی نرمافزارهای مخرب از امضاها و مشخصههای اکتشافی استفاده مینمایند.
حفرهی امنیتی (Security Hole): یک مهاجم برای دستیابی به کامپیوتر و نصب نرمافزارهای مورد نظر خود میتواند از یک حفرهی امنیتی استفاده کند. اکسپلویت (Exploit) را از مقالهی قبلی مطالعه کنید. بهروزرسانیهای نرمافزاری منظم و وجود یک نرمافزار دارای رفتارشناسی برای مقابله با این حفرههای امنیتی مفید هستند.
امضا (Signature): یک امضا نشانگر اثر انگشت منحصر به فرد یک برنامه است. امضاها به طور خاص برای شناسایی نرمافزارهای مخرب توسط اسکنرها استفاده میشوند. عیب بزرگ آنها رشد استثنایی تعداد نسخههای مختلف نرمافزارهای مخرب و این حقیقت است که یک ملویر خاص باید قبل از این که امضای آن ساخته شود، شناسایی گردد.
آسیبپذیری (Vulnerability): حفرهی امنیتی و اکسپلویت را مطالعه کنید.
حملهی روز صفر (Zero-Day Attack): حملهی روز صفر، حملهی مخرب در روز اول توزیع آن را توصیف میکند. ملویرهای جدید به طور خاص در روزهای اولیهی خود خطرناک هستند، چون معمولاً مدتی طول میکشد تا شرکتهای ضد ویروس نمونهای از آن را شناسایی و برای آن یک امضای مناسب بسازند. نرمافزارهای رفتارشناسی (Behavior Blockers) در زمینهی شناسایی این مخربها عملکرد بهتری دارند.
کامپیوتر زامبی (Zombie Computer): کامپیوتری که آلوده به تروجان در پشتی (Backdoor Trojan) است که به دستورات از راه دور گوش داده و عملیات کنترلشدهی از راه دور را اجرا میکند.