شناسايي مزاحم‌ کامپيوتري

اگر کامپيوتر شما به اينترنت وصل است همواره در معرض انواع تهديدات هستيد. به عنوان رايج‌ترين مورد مي‌توان به امکان آلودگي دستگاه‌ به انواع ويروس‌ها و کرم‌هايي که از طريق اينترنت توزيع مي‌شوند اشاره نمود. نرم‌افزارهاي جاسوس نمونه ديگري از اين دست برنامه‌ها هستند که بر روي دستگاه قرار گرفته، فعاليت‌هاي کاربر و همينطور اطلاعات شخصي مانند گذرواژه‌ها، اطلاعات مربوط به کارت‌هاي اعتباري و ... را ثبت کرده و به منتشرکنندگان خود گزارش مي‌دهند. نفوذ در سيستم‌هاي کاربران و انجام اعمال نامطلوب آنان از جمله موارد ديگري است که کامپيوترهاي متصل به اينترنت را تهديد مي‌نمايد. نفوذ به روش‌هاي مختلفي انجام مي‌شود و در بسياري از مواقع کاربر متوجه اين مسئله نمي‌شود. حتي بعضي از نفوذگران ردپاي خود را هم پاک مي‌کنند به نحوي که حمله به سيستم قابل آشکارسازي نيست. 

با اين وجود نفوذ کنندگان به سيستم به صورت معمول ردپاهايي از خود باقي مي‌گذارند. با وجودي که تشخيص بعضي از ردپاها دشوار است ولي با استفاده از گام‌هايي که در ادامه بيان مي‌شوند مي‌توان بسياري از نفوذها را تشخيص داد.

به عنوان اولين گام بايد سيستم‌عامل و نرم‌افزارهاي موجود در محيطي آزمايشي (مشابه شرايط عملياتي) توصيف[1] شوند. توصيف به اين معناست که عملکرد برنامه‌ها در حال اجرا بررسي شده و موارد مختلفي مانند سرعت، زمان پاسخ، نحوه عمل و غيره به صورت دقيق شناسايي شوند. بنابراين بايد برنامه‌ها را اجرا نموده و آنها را در شرايطي مشابه حالت عملياتي قرار داد، سپس رفتار آنها را به دقت بررسي نمود.

در گام بعدي، بايد از نرم‌افزارهاي توصيف استفاده نمود. يکي از رايج‌ترين ابزارها براي اين کار نرم‌افزار TripWire محصول tripwiresecurity.com است. اين نرم‌افزار نسخه‌هايي براي سيستم‌عامل‌هاي مختلف دارد و متن برنامه بعضي نسخه‌هاي آن به کاربران عرضه مي‌شود. غير از اين نرم‌افزار ابزارهاي ديگري نيز وجود دارند که همين عملکرد را نشان مي‌دهند. اين دسته نرم‌افزارها در رده ابزارهاي تشخيص نفوذ host-based قرار مي‌گيرند. با جستجو بر روي اينترنت مي‌توان برنامه‌هاي ديگري نيز با عملکرد مشابه يافت.

در نهايت بايد همه فايل‌ها، دايرکتوري‌ها، تجهيزات و پيکربندي سيستم شناسايي شده و تغييرات آنها در زمان مورد بررسي قرار گيرند. در محيط آزمايشي کنترل شده، شرايط طبيعي شناسايي مي‌شود. به خاطر داشته باشيد هرگاه سيستم وارد فاز عملياتي شود، شرايط طبيعي بهتر شناسايي مي‌شوند، زيرا هرچقدر که سيستم‌هاي تست خوب و قوي طراحي شوند تنها نشان دهنده تخميني از محيط عملياتي هستند. بايد مجموعه تغييرات جديد را درک کرده و آنها را در توصيف سيستم وارد نمود.

فايل‌ها، دايرکتوري‌ها، تجهيزات و پيکربندي تنها بخشي از توصيف کامل سيستم کامپيوتري هستند. ساير مواردي که بايد بررسي شوند به شرح زير مي‌باشند:
 

• برنامه‌هاي در حال اجرا

منابعي که اين برنامه‌ها مورد استفاده قرار مي‌دهند و زمان اجراي آنها. به عنوان مثال اگر برنامه‌ تهيه کننده نسخه‌هاي پشتيبان هر روزه در زمان مقرري اجرا مي‌شود، آيا اين فعاليت طبيعي قلمداد مي‌شود؟ در مورد برنامه واژه‌پردازي که مدت زمان زيادي از وقت CPU‌ را اشغال نموده است چطور؟
 

• ترافيک شبکه

آيا ايجاد ناگهاني تعداد زيادي اتصال HTTP‌ توسط سرور email‌ طبيعي است؟ افزايش ناگهاني بار سرور وب چگونه ارزيابي مي‌شود؟
 

• کارايي

آيا سرعت وب سرور کاهش يافته است؟ سرور تراکنش، توان مديريت چه تعداد تراکنش را دارد؟
 

• سيستم عامل

نفوذگذان در سيستم مي‌توانند عملکرد سيستم عامل را به گونه‌اي عوض کنند که برنامه‌هاي کاربردي بدون اينکه تغيير کنند رفتاري متفاوت نشان دهند. تصور کنيد يک فراخواني سيستم عامل که بايد منجر به اجراي يک برنامه شود، برنامه ديگري را اجرا نمايد.

متاسفانه ابزارهايي که براي بررسي اين پارامترها وجود دارند به اندازه نرم‌افزارهايي که فايل‌ها، دايرکتوري‌ها، تجهيزات و پيکربندي را بررسي مي‌کنند، رشد نداشته‌اند. با اين وجود براي مديريت هوشيارانه سيستم‌ها بايد اين پارامترها هم به صورت دقيق در توصيف سيستم قيد شوند.

تنها در صورت انجام دقيق موارد فوق و نظارت بر تغيير مشخصات سيستم مي‌توان به امن بودن کامپيوتر خود اميدوار بود.