تبلیغات
مجله خبری تحلیلی پارس - مطالب مقالات امنیتی و حفاظتی

شما عزیزان برای دیدن وبلاگ جدید من می توانید به این آدرس مراجعه نمائید : www.haghighatjoo.ir

مقاله: اصول رمز نگاری کاربردی در برنامه نویسی

نوشته شده توسط میثم اقبالی پنجشنبه 1390/12/25 نظرات بازدید

امروزه علوم امنیت در شبکه های کامپوتری امری مهم تلقی می شود چرا که دادها شخصی و اقتصادی و نظامی هر روزه در شبکه های جهانی در حال رد و بدل شدن است و یکی از را های محافظت از دادها رمز کردن آنها می باشد از این رو افراد زیادی در طول تاریخ برای ساخت رمزنگاری را حل های ابدا کردند که یکی از قدیمی ترین نوع آنها را رمز کردن جولیا سزار و مدرن ترین SSL  و TLS را نیزمی توان نام برد .



در این مقاله قصد داریم تکنیکهای رمز نگاری را بررسی و در برنامه نویسی برای شما خوانندگان مجله خبری پارس تحلیل کنم.


برای دریافت مقاله درادامه مطلب با من همراه باشید ...


ادامه مطلب

معرفی بدافزار VBObfus.ct

نوشته شده توسط سردبیر سه شنبه 1390/12/23 نظرات بازدید
بدافزار "VBObfus.ct" برای اولین بار شهریور ماه سال ۱۳۸۹ در ایران مشاهده شد و تا الان نمونه های متفاوتی از اون منتشر شده.
ویروسی با درجه خطر کم که عملکردی شبیه به “اسب تروا” (Trojan) رو داره و پس از آلوده کردن دستگاه می تونه به عنوان ابزاری جهت کنترل دستگاه قربانی از راه دور استفاده بشه.
البته در حال حاضر بیشترین آلودگی ها در برزیل و مکزیک مشاهده شده ، اما انتشار این ویروس در ایران نیز قابل توجه هست.


اسب های تروا برنامه هایی هستند که به عنوان یک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دیر یا زود گریبانش را می گیرد.

انتشار ویروس VBObfus.ct نیز همانند سایر اسب های تروا با دریافت آن از اینترنت و اجرا بر روی دستگاه صورت می گیرد. هرزنامه هایی که سعی می کنند کاربر را تشویق به دریافت این اسب تروا کنند از تکنیک هایی چون کانال های IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری استفاده می کنند که همگی بسترهای مناسبی برای انتشار این اسب تروا هستند.


ادامه مطلب

تکنیکهای شستشوی مغزی و راههای مقابله با آن

نوشته شده توسط سردبیر یکشنبه 1390/12/21 نظرات بازدید
ممکن است تصور کنید هیچ گاه مورد شست و شوی مغزی قرار نمی گیرید. اما باید بدانید که همه روزه به صورت خواسته یا ناخواسته تحت تاثیر اقداماتی قرار می گیرید که از نظر اخلاقی پسندیده نیستند و به نحوی شست و شوی مغزی محسوب می شوند. شاید اگر راه هایی که انسان را مورد هدف شست و شوی مغزی قرار می دهند را بدانید بتوانید با آنها مقابله کنید. در ادامه به معرفی و بررسی این روش ها می پردازیم.


نخست بیایید تعریفی از واژه شستشوی مغزی ارائه کنیم.
اگر به دانشنامه آنلاین ویکیپدیا مراجعه فرمایید، خواهید دید که تعریف ذیل تحت عنوان شستشوی مغزی
ارائه شده است:

"کنترل ذهن که به شستشوی مغزی، اقناع اجباری، سوء استفاده از اذهان، کنترل افکار و یا تغییر نحوه ی اندیشیدن نیز تعبیر می شود، عبارتست از روندی که در آن فرد یا گروهی به صورت هدفمند مخاطبان را به قبول ایده هایشان ترغیب می کنند. شست و شوی مغزی اغلب برای مخاطب بینوا ضررهای مادی یا معنوی خاصی را در پی خواهد داشت."


با من در ادامه مطلب همراه باشید ... .. .

ادامه مطلب

بیومتریك با استفاده از ضربان قلب

نوشته شده توسط میثم اقبالی جمعه 1390/11/28 نظرات بازدید

دنیای امروز، دنیای اطلاعات است. دانش و اطلاعات امروزه از سرمایه های اساسی هر فردی می باشد که حتی ارزشمندتر از سرمایه هایی مثل پول، تجهیزات و ... است.

بیومتریک با استفاده از خصوصیات فیزیولوژیكی و یا رفتاری فرد و تحلیل آن به منظور شناسایی فرد است. سیستم های بیومتریك داده هایی از كاربر را ذخیره می كنند  و هر بار كه لازم شد برای تعیین هویت و تصدیق اصالت فرد این داده ها را مقایسه می كنند.


دانشمندان علوم رمزنگاری با استفاده از دستگاه EDG Reader  توانسته اند با بررسی نوارهای الکتروکاردیوگرام افراد مختلف، یک فرمول ریاضی برای استخراج این الگوی منحصر به فرد به وجود بیاورند که می تواند به عنوان یک کلید برای باز کردن سیستم های رمزنگاری استفاده شود.


با من در ادامه مطلب همراه باشید ... .. .


ادامه مطلب

اینترنت اکسپلورر یار و همراه خیلی از ما در اینترنت گردی بوده است ولی حقیقت این است که زمان پادشاهی این مرورگر رو به پایان است. این را فقط ما نمیگوییم آمار جهان و ایران هم همین نظر را دارد.



 آمار و نمودار درصد استفاده از مرورگرها در ایران نشان می دهد ایرانیان در حال ناامیدی از اینترنت اکسپلورر هستند.

با من در ادامه مطلب همراه باشید ...

ادامه مطلب

ویژه : هرآنچه درباره ویروس Duqu باید بدانیم

نوشته شده توسط سردبیر پنجشنبه 1390/09/3 نظرات بازدید
سلام به همه خوانندگان عزیز مجله پارس
خیلی وقت بود که میخواستم درباره بدافزار Duqu مطلب بنویسم اما به دلیل اینکه نوشتن چنین مقاله هایی نیازمند وقت کافی برای جمع آوری داده ها و نهایتا پردازش اونها برای در دسترس گذاشتن عموم هست موفق به چنین کاری نمی شدم. تا اینه آخر همین هفته یه برنامه ریزی کردم تا بتونم تمام اطلاعاتم رو روی کاغذ بیارم و بری شما عزیزان اونارو توی سایت قرار بدم.

خب بریم سر اصل مطلب:
تقریبا یکسال پیش بود که خبر فعالیت بدافزار استاکس نت (Stuxnet) به شدت رسانه ای شد و همه کشور ها به نوعی نسبت به تهدید امنیتی اون واکنش نشون دادن.
اوایل آبان ماه خبر انتشار بدافزار داک "Duqu" (گاها "دی-یو،کی-یو" هم خوانده می شود) در محافل خبری فارسی زبان منتشر شد هرچند که گزارشات فعالیت اون از دی ماه سال 88 بصورت محرمانه به مقامات ذیربط گزارش شده بود ولی مطابق با آمار کارشناسان IT بین المللی کد حمله duqu اولین مرتبه درغالب فرآیند نصب یک درایور در آگوست سال 2007 اجرا شده!


سئوال اساسی اینجاست که ابتدا در نوشتن این بدافزار امنیتی از چه تکنیک هایی استفاده و چه نقطه ضعف هایی مورد سوء استفاده قرار گرفته ؟ سپس باید دید چه راهکار هایی برای مقابله با اون رو میشه توصیه کرد ؟

به هر حال من تمام مطالعاتم رو در این یک ماهه اخیر جمع بندی کردم و شما عزیزان میتونید برای مطالعه چکیده اون در ادامه همین مطلب منو همراهی کنید ... .. .

ادامه مطلب

مروری بر سرویس احراز هویت از راه دور

نوشته شده توسط سردبیر چهارشنبه 1390/09/2 نظرات بازدید
سلام دوستان
تو این پست همون طوری که از عنوانش پیداست قصد داریم درباره "سرویس احراز هویت از راه دور" یا "Radius Service" یه بررسی کلی داشته باشیم.

ابتدا اجازه بدید ببینیم داریم درباره چی صحبت میکنیم !
تصور کنید شما یک سرویس دهنده VPN با ترافیک بالا دارید که مدیریت یوزر های اون از طریق خود سرور سرویس دهنده تقریبا غیرممکن هست ، شما برای سهولت در تعیین سطح دسترسی تک تک کاربرانتون میتونید یه از یه سرور کمکی استفاده کنید؛ در واقع کاری که این سرور کمکی انجام میده ذخیره نام کاربری و رمز عبور های کابران شما هست تا با مجوزی که صادر میکنه سرور سرویس دهنده VPN شروع به سرویس دهی به کاربر بکنه.
(که البته طرح این مثال تنها برای توجیه شدن ابتدایی عزیزانی بود که تازه با این مباحث آشنا شدن وگرنه کاربرد های یک سرویس دهنده RADIUS گسترده تر و تخصصی تر از اینهاست.)


پس تا اینجا متوجه شدیم کار یک RADIUS Server اول تعیین هویت کاربر و بعد از اطمینان از صحت اون دستور دادن به مراجع سرویس دهنده برای شروع به سرویس دهی به کاربر هست.

حالا میخوایم ببینیم اساس کار و نحوه عملکرد این RADIUS Server ما به چه صورته و چجوری میشه اونو بصورت کاربردی پیاده سازی کرد؛ در نهایت من یک بلوک عملی برای پیاده سازی این پروژه به زبان PHP برای شما عزیزان تدارک دیدم که امیدوارم به خوبی حق مطلب رو در این زمینه ادا کرده باشم.

پس شما عزیزان علاقه مند میتونید در ادامه این مطلب منو همراهی کنید ... .. .

ادامه مطلب

حمله عدم پذیرش سرویس یا "Denial of Service attack" چیست؟

نوشته شده توسط سردبیر چهارشنبه 1390/08/25 نظرات بازدید

Denial of Service attack یا حمله عدم پذیرش سرویس که آن را با نام اختصاری DoS می شناسیم یکی از مشهورترین حملات اینترنتی طی سالهای ۲۰۰۶ تا ۲۰۰۸ بوده و البته هنوز هم یکی از شایع ترین راه های از کار انداختن یا از دسترس خارج کردن سایت ها است.



DoS حمله ای است که از طریق آن فردی می تواند سیستم را غیر قابل استفاده کند و یا اینکه از طریق تحمیل بار اضافی بر منابع سیستمی، سرعت آن را چنان کند سازد که کاربران معمول و روزانه آن، قادر به کار کردن با سرور نباشند. 


با من در ادامه مطلب همراه باشید ... .. .


ادامه مطلب

نحوه تزریق اطلاعات به یک فایل تصویری

نوشته شده توسط سردبیر سه شنبه 1390/08/17 نظرات بازدید
همیشه مهمترین مبحث در تکنولوژی ارتباطات امنیت مسیر های انتقال اطلاعات بوده و خواهد بود، این امر باعث شده که توجه متخصصین حوزه ارتباطات و فناوری اطلاعات به تکنیک های انتقال اطلاعات در بستری امن جلب بشه.
اصولا مبحث امنیت ارتباطات اونقدر پیچیده و تخصصی هست که متقبل شدن هزینه و یا فراگیری اون علم برای عموم کاربران دنیای مجازی امری تقریبا غیرممکن محسوب میشه ، اینجور مواقع مفهوم شکوفایی استعداد های بشر رو در موقعیت های دشوار لمس میکنیم ؛ هوش انسان همواره از خطرناک ترین اسلحه ها عملکرد بهتری رو از خودش به اثبات رسونده.


برای تسریع در پیوستن به اصل مطلب مثالی رو برای شما عزیزان میزنم:
تصور کنید که کارشناس فنی یکی از شرکت های بزرگ تجاری هستید؛ مدیر عامل شرکت از شما میخواد که به یه ماموریت کاری در کشور همسایه برید و تجهیزات فنی اون شعبه رو بازرسی کنید؛ همچنین از شما میخواد در طول این یک ماه بصورت هفتگی گزارشکاری مکتوب از روند بازرسی رو براش ایمیل کنید. شما میدونید که در مقابل اطلاعات تخصصی و جزئیات فنی از جمله اطلاعات محرمانه شرکت محسوب میشه مسئول هستید و چنانچه به هر دلیلی اطلاعات سرقت و سوء استفاده بشه مقصر شما خواهید بود.
پس چاره شما این وسط چیه ؟
آیا شرکت هزینه انتقال امن اطلاعات رو با استفاده از تکنولوژی های روز تامین میکنه ؟
آیا امکانش هست که شما خودتون این شرایط رو فراهم کنید ؟
آیا در صورت شنود اطلاعات مسئولیت سوء استفاده از اونها رو قبول می کنید ؟
هرگز فراموش نکنید که حرفه ای ترین ابزار شما هوش و استعداد شما برای خلق مسیر های جدید هست . اینجاست که به قدرت انسانها ایمان خواهید آورد.

در ادامه مطلب برای شما عزیزان توضیح خواهم داد که این مهندس باهوش چجوری با یه ابتکار عمل ظریف و ساده تونست سطح امنیت ارسال اطلاعات رو تا حد زیادی بالا ببره ؛
پس در ادامه این مطلب همراه من باشید ... .. .


ادامه مطلب

در علوم ارتباطات اصول مختلفی برای استفاده از تکنیک های انتقال اطلاعات دسته بندی شده اما من همیشه اونو به ترتیب اولویت اینطور دسته بندی میکنم :
1- امنیت در انتقال اطلاعات
2- سرعت در انتقال اطلاعات
3- دقت در انتقال اطلاعات
4- هزینه انتقال اطلاعات
5- راحتی استفاده از فرآیند تولید شده برای عموم

که از دید من مهمترین مبحث در مورد یک تکنولوژی ارتباطی ، امنیت اون محسوب میشه.



در پست های گذشته درباره مبانی امنیت اطلاعات و شیوه های رمز نگاری اطلاعات صحبت کرده بودم و حالا میخوام به شما عزیزان برنامه نویس و توسعه دهندگانی
که در سایت یا برنامتون از یک سیستم رمز عبور استفاده میکنید هفت قانون اساسی در نصب و راه اندازی یک سیستم رمزعبور رو به اختصار توضیح بدم .

> توصیه من به شما دوستانی که تازه با این وبلاگ آشنا شدید اینه که مطالب پیشین رو مطالعه کنید تا ذهنیتی کلی راجع به این مبحث رو پیدا کنید:
- رمزنگاری چیست و چگونه کار میکند؟
- چگونه یک رمزعبور امن بسازیم و از آن محافت کنیم؟
- برای بازگشایی یک رمزعبور چقدر زمان کافیست؟

پس با من در ادامه مطلب همراه باشید ... .. .

ادامه مطلب


  • انعکاس آخرین اخبار و ارائه جدیدترین مقالات با محوریت ارتباطات و فناوری اطلاعات.