نام کتاب: مبارزه با هک در تجارت الکترونیک

مبارزه با هک

نام کتاب: مبارزه با هک در تجارت الکترونیک
مترجم : سعید کریمی
مقدمه مترجم
امنیت در دنیای واقعی ما امری است دوری ناپذیر و همگی ما به نوعی سعی می کنیم تا امنیت را در محیط خود پیاده سازی کنیم. در دنیای مجازی اینترنت امنیت نمود دیگری داشته و می تواند بسیار پیچیده تر باشد. مخصوصا اینکه سایت شما یک سایت تجارت الکترونیکی بوده و حجم زیادی از مبادلات مالی را در بر داشته باشد. اگر شما نتوانید تصویر قابل قبول و مطمینی از سایت خود ایجاد کنید آنگاه فقط با یک کلیک، مشتریان به سایت دیگری مراجعه می کنند.لذا ایمن سازی سخت افزاری، نرم افزاری و فیزیکی تجهیزات شما از ارکان ایجاد یک سایت تجارت الکترونیکی می باشد. راه حل های ارایه شده در این کتاب کوشش دارد تا با شناساندن انواع تهاجمات و حملات به سایت شما و نحوه دفاع مناسب در برابرآنها، موجودیت آنرا تضمین کند.

صحت
مشکلترین و اساسی ترین اصل جهت دستیابی، صحت اطلاعات است. دادو ستدها بایستی صحت اطلاعات را مدیریت ونگهداری کنند تا بتوان به انها اعتماد نمود.
تصور کنید که یک ویروس کامپیوتری سیستم های حسابرسی شما را آلوده کرده و تمامی هفت ها را در صفحه اکسل به عدد سه تبدیل کرده است.تاثیر این تغییرغیرمجاز، برای تجارت شما به چه معنی خواهد بود؟ سازمان شما چه مراحلی را بایستی طی کند تا اعداد درست را بازیابی نماید؟ شما خرابی اطلاعات را چگونه کشف می کنید؟
قابلیت دسترسی

آخرین اصل از اصول سه گانه ،قابلیت دسترسی است.دسترسی نیروی حیاتی یک تجارت می باشد. اگر یک خریدار نتواند به محل تجارت شما رجوع کند، تجارت شما به زودی سقوط می کند.در دنیای تجارت الکترونیکی، جاییکه هر لحظه به هزاران دلارخرید تبدیل می گردد، یک شرکت می تواند ظرف کمتر از یک ساعت خسارت مالی کلانی ببیند.در صورتی که موجودیت اینترنتی شما از بین برود، شرکت شما چه مدت به تجارت ادامه می دهد؟ اگر به طور الکترونیکی نتوانید تجارت خود را انجام دهید، شرکت شما در هر ساعت چه میزان پول از دست می دهد؟
اهداف امنیت در تجارت الکترونیکی
امنیت نقش بسیار مهمی را در تجارت الکترونیکی برعهده داشته و یک اصل بنیادی می باشد. تا زمانی که تجارت الکترونیکی به روش درستی انجام گردد، شرکت و مراجعین شرکت شما تقویت می گردند. مسلم است که اجرای ضعیف تجارت الکترونیکی دست اوردهای نابود کننده ای دارد.اهداف امنیت در فرایند تجارت موارد زیر می باشد:

حفاظت از پوشیدگی مصرف کننده در نقطه خرید
حفاظت از پوشیدگی اطلاعات مصرف کنندگان در موقع ذخیره سازی و پردازش آنها
حفاظت از هویت محرمانه مصرف کنندگان، فروشندگان و کارمندان
حفظ شرکت از سوء استفاده، فریب و چیزهای زاید
حفاظت از تمامیت اطلاعات ارزشمند سازمان
اطمینان از در دسترس بودن سیستم ها و فرایندهایی که جهت انجام تجارت بین مصرف کنندگان و شرکت لازم می باشد.
اطمینان از دردسترس بودن سیستم ها و فرایندهای لازم جهت انجام دادوستد شرکت با فروشندگان و شرکای آنها
باید دانست که در مورد هر سناریو و یا تهدیدی که فکرکنید، ممکن است چندین نوع دیگر نیز ایجاد شده باشد ویا در اینده ایجاد گردد. همچنان که شما با جزییات فرایند تجارت خود بیشتر اشنا می گردید توانایی تیم شما برای ایجاد امنیت بالا می رود. درانتهای این فرایند، می باید برا یسایت خود برخی طرحهای پایه داشته باشید.یکی از بهترین روشهای طرح سازماندهی اطلاعات، ارایه نموداری است که مخاطرات شما را شرح داده و چگونگی سبک کردن و تقلیل آنها را معین کرده باشد.

مدیریت و نگهداری سیستم ها در یک محیط امن

مدیریت روزانه، عمدتا، اتوماتیک کردن فرایندهای روی سیستم به دور ازسیستم های پشتیبانی و بخاطر بهره بردن از سرعت و کم کردن خطر خطاهای اشخاص می باشد. تونل های امن، فایل های گزارش و اطلاعات هشداردهنده دیگر را شبکه های ما ارسال می نمایند تا از مشاهده وکشف غیر مجاز ممانعت کرده باشد. دستگاههایی، وقایع را در ایستگاههای مونیتورینگ مشترک به نمایش می گذارد تا اپراتورها و مدیران بدانند که چه اتفاقاتی می افتد و اگاه گردند.مدیران می توانند از راه دور از طریق تونل های امن، و یا در صورت لزوم با مشاهده عینی از ماشین ها ، به سیستم ها دسترسی داشته باشند.

چرخه بی انتهای تغییر
یک چیز مسلم است، اسیب پذیریهای ملحقات و امنیت ماندگار است.همان گونه که سیستم های ما و برنامه های نرم افزاری در زمینه های مفید نمو می کند، پیچیدگی آنها نیزگسترش پیدا می کند. با تعداد زیادی از خطوط کد و این همه برنامه نویسانی که روی محصولات کار می کنند، از وجود اشکالات و اسیب پذیریها مطمین باشید.
موقعیکه از تاثیر یک اصلاح یا الحاق کاملا اطمینان ندارید، توسط کنترل های مناسب روی فرایند الحاق، از تاثیرنامطلوب ممانعت کنید.مراحلی مانند ایجاد یک شبکه ازمایشی ایینه شده، معتبرسازی اصل یک الحاق قبل ازنصب آن و ایجاد کانالهای ارتباطی خوب با فروشندگان و کارمندان خود ، سبب سلامت و امنیت کار می گردد. با ارزیابی خطرها و اعمال اصول امنیت شرکت به این نتیجه رسید که بهترین روش این بوده که توسعه کامل گردد و سپس الحاق ها انجام گیرد.
خلاصه

فهم اصول بنیادی امنیت تجارت الکترونیکی نخستین قدم شما در سفر به سوی یک حفاظت پایداراز تجارت است. با بکارگیری اصول سه گانه امنیت (رازداری، صحت و دسترسی)در مدل تجارت الکترونیکی خود، شروع به درک تاثیر سناریوهای مختلف روی سایت خود می کنید.همچنین با اضافه کردن یک سیستم از ارزیابی دایمی و بازبینی ها به سایت خود، می توانید با شرایط همیشه متغیر دنیای onlineمحفوظ و ثابت بمانید و حتی اصول را به فرایندهای تجاری روزانه خود گسترش دهید.
یکی از متعارف ترین مشکلات برای تیم های امنیت و مدیران انها توجیه یک بودجه برای عملیات امنیت می باشد. دو استراتژی که غالبا مورد استفاده قرار می گیرد عبارتست از: روش خط کش و روش تاکتیک ترس. در روش خط کش، اطلاعاتی گرد اوری و ارائه می گردد که هزینه های اسیب پذیریها و خطراتی که توسط شرکت تجربه گردیده است را تعیین کرده و چگونگی انجام کار توسط تیم امنیت برای کم کردن هزینه ها و تلفات قابل توجه شرکت مشخص می گردد. روش تاکتیک ترس ابزاری مانند آزمایش نفوذ پذیری جهت اثبات اینکه سازمان دارای اسیب پذیریهایی است را به کار می برد.
تهاجمات DDosمفهوم، ابزارو دفاع
مقدمه
به همراه هر دست اوردی خطری می اید. در جهان اینترنت این خطر به شکل امنیت مجسم می گردد.اینترنت و امنیت دو جزء لاینفک می باشند، همیشه می باید یکی دیگری را همراهی نماید. هنگام استفاده از اینترنت همیشه امنیت باید یک عبرت باشد، اما برخی معتقدند که استفاده محض از اینترنت امنیت را از بین می برد.
توجه: تعریف یک هکر و فعالیتهای آن در طی بیست سال گذشته دستخوش تغیرات زیادی گردیده است. عموما یک هکر مترادف با اشخاصی است که عطش و اشتیاق زیادی برای دانستن و دارا بودن توانایی توسعه تک کدهای زیبا و صاف و ساده دارند. هکر ها غالبا به دو گروه خاص تقسیم می گردند: هکر های کلاه مشکی و هکرهای کلاه سفید. یک هکرکلاه سفید سعی در رخنه به سیستم های کامپیوتری به منظور شرارت یا نفع شخصی ندارد.از طرفی یک هکر کلاه مشکی یا نفوذی ها جنبه تاریکتری از هکر را نشان می دهند.
کالبد شکافی یک تهاجم DDoS

اگرچه بعضی نمونه های تهاجمات DOS می تواند توسط چندین واسطه تقویت گردد، اما گام اول برای ایجاد یک هجومDOS از یک ماشین برداشته می گردد. حملات DDOS نوع خطرناکتر و پیشرفته DOS است. تهاجمات DOS به صورت یک ردیفی مانند سیل و دو ردیفی مانند اسمورف نمایان می گردد. هم اکنون سبک شناسی های جدید هجوم شامل دنیای محاسبات چند ردیفی توزیع گردیده است. یکی از اختلافات مهم درسبک شناسی یک هجوم DDOS آن است که شامل دو فاز مجزا می باشد. در طی فاز اول عامل به مخاطره انداختن کامپیوترها در اینترنت پراکنده می گردد و نصب برنامه های خاصی روی این میزبانان به حمله کمک میکند. سپس در فاز دوم، میزبانان در معرض خطر، که آنها را با نام زومبی ها میشناسیم، از طریق واسطه هایی که مدیران نامیده می شوند جهت شروع یک هجوم تعلیم داده می گردد.
هشدار امنیت! از اعمال تعداد زیادی فیلتر برای یک مسیر یاب اجتناب نمایید، زیرا پیش بردن کارایی ممکن است دردسر ساز باشد. مثلا cisco، پیشنهاد می کند که از turboACL ها استفاده کنید و نشان می دهد که لیست های دسترسی بیش از 50 ورودی ممکن است کارایی را خراب نماید.
اخطار امنیت! هرگونه تغییر در پیکربندی راقبل از اینکه حفاظت SYN ویندوز را در محیط خود به کار ببرید تست کنید، پیکربندیهای معینی می توانند باعث شکستها و دیگرخطرات امنیت گردند.
خلاصه

اصولا تهاجمات DOS از طریق سیستم های دور تولید می گردد اما می تواند به طور محلی روی میزبان مورد بحث نیز اتفاق بیفتد. تاثیرات یک هجوم DOS وسیع است و می تواند برای سیمای تجارت و شرکت زیان اور باشد.
حملات مصرف منبع و حملات بسته ناهنجار دو نمونه از هجومهای DOS می باشد. یک هجوم مصرف منبع توسط یک هجوم هدایت شده، منابع قابل دسترس را کاهش می دهد. این تهاجمات منابعی نظیر حافظه، CPU، صفهای ارتباط یا منابع شبکه نظیر پهنای باند را مصرف می کند. دو نمونه عمده از این نوع تهاجمات که مصرف منابع را شامل می گردد، سیل SYN و تهاجمات اسمورف می باشد.
پیشرفت های کنونی در تکنولوژی و پذیرش اینترنت، سایت های تجارت الکترونیکی را یک هدف جذاب و جالب برای تهاجمات DDos قرار داده است.
هیچ راه حلی به طور کامل نمی تواند میزبانها و شبکه ها را در برابرتهاجمات DDos محافظت نماید. تمام چیزی که یک تجارت الکترونیکی می باید هدف خود قراردهد، کم کردن تاثیر تهاجمات DDos، اشکار سازی حملات و اطمینان از اینکه میزبانها در معرض خطر قرار نگرفته ومجبور به شراکت در تهاجمات نشده اند، می باشد. ارزش سبک کردن این تهاجمات می بایست به طور واقع بینانه نسبت به ارزش کاهش افشاء اطلاعات، بازبینی گردد.

طراحی یک سایت وب ایمن
مقدمه

پس از انکه نرم افزار وب نصب شد، باید اطمینان حاصل کنید که سایت شما از اسکریپت ها واپلت های ایمن استفاده م کند. این عمل، برنامه نویسی روال های سالم و تحلیل اپلت ها واسکرپیت های نوشته شده توسط دیگران برای اطمینان از این که آنها امنیت سایت شما را به خطر نخواهند انداخت، را به دنبال دارد.
برای اینکه به دیگران نشان دهید که برنامه های شما ایمن است می باید امضای کد شده که به امضای دیجیتالی نیز معروف است ارائه نمایید.
فاکتور کردن هزینه های سرور وب و سیستم عامل های پشتیبانی شده
هنگام بررسی در مورد سرور وبی که استفاده می کنید، با انتخاب های زیادی روبرو می شوید برای کم کردن تعداد انتخاب ها می بایستی در ابتدا معین کنید که کدام یک از آنها توسط سیستم عامل هایی که قبلا در شبکه شما به کار رفته است پشتیبانی گردیده است و کارکنان IT شما چه تعداد از آنها را تجربه کرده اند. با استفاده از platformی که کارکنان شما قبلا با آن اشنا گردیده اند، احتمال کمتری وجود دارد که انها ، سوراخ های امنیتی را که شاید در سیستم عامل های دیگر از آن آگاه گردیده اند را گم کنند.
همچنین انتخاب یک سیستم عامل که قبلا توسط کارکنان IT پشتیبانی گردیده است ، هزینه اموزش کمتری را در برمی گیرد، چرا که مدیر وب و کارکنان شبکه نیازی به یادگیری یک سیستم عامل جدید نخواهند داشت.

تصدیق
تصدیق یک امر حیاتی برای امنیت اینترنت شما و سایت های اینترنتی است، زیرا که به واسطه آن مجاز بودن یک کاربر، سرویس یا برنامه های کاربردی به اثبات میرسد. به عبارت دیگر، هویت یک کاربرکه سعی دردسترسی به محتویات و منابع را دارد بازبینی می گردد.نیز صحت یک پیام یا برنامه کاربردی که در حال نصب است بررسی می گردد.تصدیق اغلب توسط سیستم عاملی که سرور وب روی آن اجرا می گردد ارائه می شود، اما برخی روش های تصدیق می تواند توسط سرور وب یا برنامه های قابل دسترس از طریق سایت ارائه گردد.
روشهای موجود برای انجام تصدیق عبارتند از:
1-کلمات عبور
2-لایه سوکت های ایمن
3-گواهینامه ها
4-کارت های هوشمند
5-زیست سنجی
6cookie ها
کارگذاری مجوزها

بسیاری از سرورها پشتیبانی کارگذاری و تنظیم مجوزها را نیز ارائه می کند. یا با سیستم عامل هایی که روی انها نصب می شود کار می کند، بخاطر همین حقوق و مجوزها می تواند روی فهرست ها و یا فایل ها set شود. با این کار مقدور خواهید بود آنچه را که می خواهید کاربران بدان ها دسترسی داشته باشند را کنترل نمایید و از دسترسی کاربران غیر مجاز به فایل ها و فهرست های مشخص ممانعت به عمل بیاورید. مثلا، میخواهید کاربران بی نام مقدور به خواندن یک سند HTML باشند اما نمیخواهید که قادربه نوشتن چیزی باشند، در غیر اینصورت انها می توانند صفحات وب شما را ویرایش کنند، ویروس ها را Upload کنند و …
نیز تعدادی از سرورهای وب، توانایی پنهان نمودن قسمت های خاصی از یک سند بر مبنای قواعد امنیتی که تنظیم کرده اید را دارد. با این کار فقط قسمتی که شما مجوز آن را داده اید در یک سند قابل مشاهده است و بنابراین اطلاعات مهم و حساس برای عموم در دسترس نخواهد بود. این مورد هنگامی مفید است که اطلاعات حساسی دارید و نمی خواهید کاربران بی نام آنها را مشاهده نمایند.
توجه: در مورد انتخاب یک سرور، امکان دارد بفهمید که سروری نیست که همه نیازهای تان را بر اورد. مثلا امنیت کافی را عرضه نسازد، ویژگی های مشخصی را نداشته باشد یا نیازهای دیگردر آن لحاظ نشده باشد. بایستی به یاد داشته باشید همه سرورها، ویژگیهای مشابه و منحصر بفردی دارند، هیچ سروری همه کاره نیست. اگر دیدید که نیازهای خاصی در نظر گرفته نشده اما اکثر انها را داراست انگاه سرور مناسبی برای سایت شما خواهد بود. سپس می توانید نرم افزارهای دیگری نظیر دیوار اتش، سرورهای پراکسی، سرورهای گواهی نامه و… را برای تکمیل سیستم خود استفاده کنید. با افزودن چنین نرم افزارهایی، قابلیت ها و امنیت لازم برای سایت خود را افزایش دهید.
محافظت در برابر تهدیدات داخلی
وارد نمودن خسارت به سایت شما نه تنها از طریق تهاجمات هکرها و ویروس ها انجام میگیرد بلکه می تواند از طریق درون سایت شما نیز ناشی گردد. روش های متداول تخریب سایت ها به این شکل عبارتند از: فریب اطلاعات و بمب های منطق.
توجه: سرورهای پراکسی غالبا در شبکه هایی که کاربران خود اجازه دسترسی به اینترنت را داده اند به کار می رود. این سرورها به عنوان واسطه بلادرنگ بین ایستگاه های کاری کاربران یک شبکه و اینترنت عمل می کند، بنابراین درخواست های دسترسی به منابع اینترنت، ابتدا از طریق سرور پراکسی ارسال می گردد. وقتی یک سرور پراکسی درخواستی را دریافت کرد چک می کند که یک سایت یا صفحه وب فیلتر گردیده است یا نه. اگر جواب مثبت باشد همین صفحه به کاربر ارسال می گردد، و در نتیجه درخواست هرگز به خارج شبکه و اینترنت ارسال نمی گردد، لذا در زمان نیز صرفه جویی می شود. گرچه پراکسی سرور دارای ویژگی های مشابهی با دیوار اتش است، اما هرگز نباید به عنوان یک جانشین تلقی شود.

اخطارامنیت:

بدانید که هیچ سایتی کاملا، ایمن طراحی نگردیده است، همانگونه که زمان سپری می گردد، ابزاری که هکرها به کار می برند پیشرفته تر می گردد و اسیب پذیری های موجود در امنیت نمایان خواهد گردید. با در نظرگرفتن بالاترین اولویت برای امنیت درطرحتان، خطر را به حداقل برسانید. پس از آنکه سایت زنده گردید، باید به امنیت اشراف تمام داشته باشید.

مقایسه ویژگیهای Apache وIIS

ویژگی ها IIS Apache
سرورهای مجازی چند سخت افزاری جهت استفاده ادرس های IP مجزا بله بله
توانایی مدیریت چندین سرور به عنوان یک تک سرور بله بله
تصدیق مقدماتی( متن محض) بله بله
مدیریت مرورگر بله خیر
به کارگیری نقشه تصویری درون ساز بله بله
انقضاء محتوی بله بله
پیام های سفارشی خطا بله بله
سرسازهای سفارشی HTTP بله بله
حاشیه های پایینی سند بله بله
مدیریت GUI بله خیر
تنظیم GUI بله خیر
ویزاردهای GUI برای وظایف معمولی بله خیر
استاندارد HTTP 1.1 بله بله
تغییر جهت های HTTP بله بله
ISAPI بله بله
گزارش گیری بله بله
گزارش گیری برای بانک اطلاعاتی ODBC بله بله
محدود کردن دسترسی بر اساس فایل و یا فهرست بله بله
محدود کردن دسترسی بر اساس گروه بله بله
محدود کردن دسترسی بر اساس ادرس IP بله بله
محدود کردن دسترسی بر اساس کاربر بله بله
پروتکل SNMP بله بله
3.0و2.0 SSL بله بله
پشتیبانی سرورهای مجازی چند سخت افزاری که سر سازهای میزبان را به کار می برد بله بله
Platform ها windows 2000 server اکثرPlatform ها
Web DAV بله بله
مدیریت سرور وب با استفاده از اسکرپیت هابرای انجام عادی عملیات بله بله
فصل 4
طراحی و اجرای سیاست های امنیت
فصل5
ایجاد یک سایت وب تجارت الکترونیکی ایمن

فصل 6
هک کردن سایت شما
فصل 7
طرح ریزی جبران حوادث: بهترین دفاع

فصل 8
طرز برخورد با حجم انبوهی از ترافیک شبکه