آرشیو شماره‌های مجله

آرشیو شماره‌های مجله
لطفا برای دریافت شماره‌های مجله روی عکس کلیک کنید

۱۳۹۳ تیر ۲۹, یکشنبه

هک؛ ویژه دگرباشان جنسی و کاربران اینترنتی

زندگی اقلیتی: هک (شماره هشتم، آبان و آذر 92)



مقدمه
در این مقاله روش‌های هک شدن و راه‌های پیش‌گیری از آن گفته خواهد شد فقط برای اینکه بدانید چقدر راحت می‌توانید هک شوید و پیام‌ها و ایمیل‌هایی که برای شما می‌آید و سایت‌هایی که در آن عضو می‌شوید دقت بیشتر داشته باشید و به هر کسی اجازه ندهید که پشت کامپیوتر شما بنشیند چون بیشتر مطالب گفته شده مربوط به هک حضوری (نشتن پست سیستم قربانی) می‌باشد.

هک چیست؟ 
هک  در دنیای فناوری از چند معنی مختلف برخوردار است که البته این معانی با یکدیگر در ارتباط هستند. معنای مشهورتر این اصطلاح ایجاد تغییر و تحول در یک برنامه یا یک وسیله به گونه‌ای است که افراد بتوانند به امکانات و قابلیت‌هایی که به طور عادی در دسترس‌شان نیست، دسترسی پیدا کنند. 
به عنوان مثال برخی هکرها با سرقت اطلاعات شخصی کاربران سرویس‌های بانکداری آنلاین موفق به انتقال مخفیانه وجه نقد از حسابی به حساب دیگر می‌شوند. از این روش در فضای مجازی برای دسترسی مخفیانه به رایانه‌های شخصی و سرقت اطلاعات آنها و حتی سوءاستفاده از دستگاه‌های تحت نفوذ برای حمله به دیگر رایانه‌ها استفاده می‌شود. 
باید توجه داشت که گستره استفاده از واژه هک منحصر به دنیای کامپیوتر نمی‌باشد و توسط افراد با تخصص‌های گوناگون در زمینه‌هایی از قبیل موسیقی و نقاشی نیز به کار می‌رود که به معنی دگرگونی‌های هوشمندانه و خلاقانه فرد در آن زمینه است. 

هکر‌ها به چند گروه تقسیم می‌شوند:
۱- گروه نفوذگران کلاه‌سفید (White Hat Hacker Group)
این گروه از هکرها در واقع همان دانشجویان و اساتید هستند که هدفشان نشان دادن ضعف سیستم‌های امنیتی شبکه‌های کامپیوتری می‌باشد .‌این گروه به نام هکرهای خوب معروف هستند. این دسته نه تنها مضر نیستند بلکه در تحکیم دیواره حفاظتی شبکه‌ها نقش اساسی دارند کلاه‌سفید‌ها دارای خلاقیت عجیبی هستند معمولا هر بار با روش جدیدی از دیواره امنیتی عبور می‌کنند.
۲- گروه نفوذگران کلاه‌سیاه (Black Hat Hacker Group)
نام دیگر این گروه Cracker است. کراکرها خرابکارترین نوع هکرها هستند. این گروه به طور کاملا پنهانی دست به عملیات خراب‌کارانه می‌زنند. کلاه‌سیاه‌ها اولین چیزی که به فکرشان می رسد نفوذ به سیستم قربانی است کلاه‌سیاه‌ها همه ویروس‌نویسند و با ارسال ویروس نوشته شده خود بر روی سیستم قربانی به آن سیستم نفوذ پیدا می‌کنند. در واقع یک جاسوس بر روی سیستم قربانی می‌فرستند. همیشه هویت اصلی این گروه پنهان است.
۳- گروه نفوذگران کلاه‌خاکستری (Gray Hat Hacker Group)
نام دیگر این گروه Whacker می‌باشد. هدف اصلی واکر استفاده از اطلاعات سایر کامپیوترها به مقصود مختلف می‌باشد و صدمه‌ای به کامپیوترها وارد نمی‌کنند. این گروه کدهای ورود به سیستم‌های امنیتی را پیدا کرده و به داخل آن نفوذ می‌کنند اما سرقت و خراب‌کاری جز کارهای کلاه‌خاکستری‌ها نیست. بلکه اطلاعات را در اختیار عموم مردم قرار می‌دهند. در سال ۱۹۹۴ یک هکر ژاپنی به سایت NASA آمریکا نفوذ پیدا کرد و تمامی اسناد محرمانـه متعلق به این سازمان را ربود و به طور رایگان بر روی اینترنت در اختیار عموم قرار داد.
۴- گروه نفوذگران کلاه‌صورتی (Pink Hat Hacker Group)
نام دیگر این گروه Booter می‌باشد. بوترها افرادی هستند که فقط قادرند در سیستم‌ها اخلال به وجود آورند و یا مزاحم سایر کاربران در اتاق‌های چت شوند. کلاه‌صورتی‌ها اغلب جوانان عصبانی و جسوری هستند که از نرم‌افزارهای دیگران استفاده می‌کنند و خود سواد برنامه‌نویسی ندارند. ولی در بعضی مواقع همین هکرهای کم‌سواد می توانند خطرهای جدی برای امنیت باشند.

بخش اول
هک شدن وبلاگ، E_mail، Gmail
ممکن است در جاهایی بخوانید که چگونه می‌توان وبلاگ یا ایمیل دیگری را هک کرد. فریب این حرف‌ها را نخورید چرا که این روش‌ها همه حقه می‌باشند و هرجا به چنین مسایلی برخورد کردید بیشتر به این شک کنید که خودتان هک خواهید شد تا اینکه دیگران را هک کنید زیرا این یکی از حقه‌هایی است که خودتان ایمیل و پسوردتان را برای شخص مورد نظر ارسال می‌کنید. در اینجا برای معرفی و آشنا شدن، یکی از این روش‌ها را می‌خوانید. (هرگز امتحان نکنید.)
«در این روش سیستم امنیتی از کار می‌افتد یعنی همان‌جایی که ما برای گرفتن گذرواژه فراموش‌شده‌مان اقدام می‌کنیم. (منظور همان forgot password است)
برای این کار ابتدا وارد ایمیل خودتان شوید و سپس مراحل زیر را به طور کامل انجام دهید:
۱-به Compose بروید همان جایی که ایمیل می‌فرستید و در قسمت to بزنید ....@yahoo.com
۲- در قسمت Subject (وبلاگ، E_mail، (Gmail فرد مورد نظر را وارد کنید.
۳- و در قسمت سوم همان‌جایی که ایمیل می‌زنید باید این را وارد کنید تا بلاگفا هنگ کند:
k1s%%@^@#LDMCA-23a_112~!!233#()$392(@)#)$(%s
###your weblog###!*&#^$@
###Your password###@@#!
*!&#%$%!@_)!#&$%@$@_#) “““
::her or his weblog:: 
به جای your weblog وبلاگ خود و به جای Your password پسورد خود و به جای Her or his weblog وبلاگ کسی را که می‌خواهید هک شود بنویسید. بعد از انجام درست مراحل بالا پسورد وبلاگ کسی که می‌خواستید هکش کنید برای شما ایمیل می‌شود.»
هرچند که پیداست در این روش شما تنها اطلاعات شخصی خود را در اختیار افراد سودجو قرار خواهید داد.

بخش دوم
هک شدن وب‌سایت، آموزش جلوگیری از هک
قصد داریم راه‌های مختلف هک شدن سایت و راه‌های جلوگیری از آن را بررسی کنیم. قبل از اینکه بدانیم چگونه باید امنیت سایت را برای مقابله با هک شدن بالا ببریم باید بیاموزیم چگونه  یک وب‌سایت  هک می‌شود، پس باید بدانیم آیا یک وب‌سایت قابل هک شدن هست یا نه! سایتی هک می‌شود که باگ امنیتی داشته باشد. باگ در لغت به معنای حفره و در اصطلاح هکرها یعنی راه نفوذ به وب‌سایت و هک کردن آن.

انواع هک
هک شدن انواع مختلف دارد اما می‌توانیم به دو دسته کلی هک سمت سرور (Server Side) و هک سمت کاربر (Client Side) تقسیم کنیم.
«هک سمت کاربر» یعنی از خود کاربر برای هک کردن او استفاده شود؛ مثلا هنگامی که می‌خواهد وارد ایمیلش شود پسوردش دزدیده می‌شود یا هنگامی که می‌خواهد اطلاعات بانکی‌اش را برای خرید اینترنتی وارد کند اطلاعاتش  ذخیره شود؛ اما چگونه؟! رایج‌ترین این نوع هک تروجان می‌باشد. تروجان یعنی ساختن یک صفحه کاملا شبیه صفحه ورود به ایمیل یا بانک و... و کشاندن کاربر با ترفندهای خاص به آن صفحه. کاربر که نمی‌داند آن صفحه، صفحه شخصی هکر است، اطلاعاتش را به راحتی وارد پایگاه داده هکر می‌کند و در اختیار او قرار می‌دهد.
راه جلوگیری: شما به عنوان یک کاربر باید هوشمند باشید و موقع وارد کردن اطلاعات شخصی مثلا ایمیل و پسورد حتما داخل آدرس بار را چک کنید که سایت مورد نظر دقیقا همان است که شما داخلش هستید؟ مثلا:
http://mail.google.com
https://mail-google.com
https://mail.googel.com
این سه آدرس می تواند اطلاعات ایمیل و پسورد ایمیل شما را به راحتی از شما بدزدد!! چون این سایت‌ها هیچ ربطی به گوگل ندارند و سایت‌های شخصی هستند که می‌خواهند اطلاعات شما را بگیرند. آدرس درست این می باشد:
https://mail.google.com
«هک سمت سرور» که بسیار رایج‌تر می‌باشد و انعطاف بیشتری دارد. این هک خود انواع مختلف دارد که مهمترین‌شان:
Xss
استفاده از شل
sql Injection
Lfi
Rfi

Xss
این باگ که یکی از فراوان‌ترین باگ‌های موجود می‌باشد که بیشی از نیمی از وبسایت‌‌ها این باگ را دارند. از نظر امنیتی باگ مهمی به حساب نمی‌آید با استفاده از این باگ می‌شود روی سیستم قربانی انواع اقسام نفوذ را انجام داد. (در قسمتی از سایت که باگ دارد هکر قادر به اجرا کردن کدهای JavaScript است که با استفاده از کدهای جاوا اسکریپ کارهای زیادی می‌شود انجام داد!) 

استفاده از شل
شل یک فایل حاوی کد‌های اسکریپت مخرب است که هکر آن را در سایت شما آپلود می‌کند و سپس در سرور شما اجرا می‌کند! آپلود کردن فایل شل از راه‌های مختلف امکان‌پذیر است؛ مثلا از قسمت browse که شما در سایت خود قرار داده‌اید تا کاربران فایل‌ها یا عکس‌های خود را آپلود کنند.
راه جلوگیری: یکی از کارهایی که می‌توانید جهت جلوگیری انجام دهید این است که فایل‌هایی را که آپلود می‌شود چک کنید؛ مثلا برای عکس فقط اجازه فایل‌های png ,jpg ,bmp ,gif را بدهید.
راه دیگر آپلود فایل شل به این صورت است: هکر به این صورت کار خود را آغاز می‌کند که با یک جستجوی ساده نام میزبان شما را د می‌آورد. مثلا میزبان شما شرکت X است. بعد چک می‌کند و می‌بیند که میزبان شما علاوه بر سایت شما 100 سایت دیگر را هم میزبانی می‌کند. شروع می‌کند به جستجو و با کمی جستجو آن 100 سایت را پیدا می‌کند. حالا نوبت به هک کردن می‌رسد. منتهی این بار نه سایت شما، بلکه سایت همسایه‌ی شما. آن سایت که احتمالا ادمینش یادش رفته اصلا حتی پسورد بیشتر از 6 کاراکتر بگذارد به راحتی هک می‌شود. خلاصه بعد از هک سایت همسایه‌ی شما، با یک شل مخصوص که هکر آن را دی‌کد کرده (ناخوانا توسط آنتی‌ویروس) از سرور شما دسترسی روت می‌گیرد (به تمام فایل‌های موجود در کامپیوتر سرور که میزبانی سایت شما و آن 100 سایت دیگر را بر عهده دارد دسترسی پیدا می‌کند) و سایت شما را هک می‌کند.
راه جلوگیری: از سرور اختصاصی استفاده کنید که هزینه زیادی برایتان ایجاد می‌کند.

 Sql Injection
این نوع هک اکثرا از آدرس‌بار، جایی که آدرس سایت را می‌نویسید در بالای مرورگر انجام می‌شود. هک کردن با این روش از رایج‌ترین و قدیمی‌ترین روش‌هاست که با چند دستور ساده می‌توانید تمام اطلاعات پایگاه داده را بیرون بکشید.
هکر‌ها برای این کار از تزریق کد‌های sql وارد عمل می‌شوند. این نوع هک از صفحاتی از سایت که دارای query string می‌باشد انجام می‌شود. امروزه وب‌مسترها به این نوع هک آگاهی کامل دارند و معمولا جلوی این راه های نفوذ را می‌گیرند؛ اما هنوز هم وب‌سایت‌های فراوانی یافت می‌شوند که این حفره بزرگ را دارند.
راه جلوگیری: استفاده از stored procedure و یا داده‌های پارامتری در دیتابیس و یا چک کردن query string با استفاده از الگوریتم برنامه‌نویسی و تشخیص اینکه تزریق انجام شده یا نه!

Lfi و Rfi
این باگ با بی‌احتیاطی برنامه‌نویس در استفاده از توابع Include و... به وجود می‌آید. در اصل این توابع (include, require ...) فایل یا صفحه‌ای را فراخوانی می‌کنند که اگر روی این درخواست کنترلی نباشد می‌تواند منجر به باگ Rfi یا حتی Lfi شود. هک Lfi یا Local File Inclusion یک نوع دسترسی لوکال به هکر برای مشاهده‌ی فایل‌های سرور مورد نظر ایجاد می‌کند (به همه چیز روی سایت شما و «نه سرور» دسترسی پیدا می‌کند!) که همانطور که ذکر شد باگ Lfi بیشتر در اشتباهات برنامه‌نویس در استفاده از توابعی مثل Include,require() و غیره رخ میدهد.
با استفاده از این باگ سوءاستفاده‌های زیادی  انجام می‌شود از جمله: تبدیل آن به اجرای دستورات از راه دور با استفاده از لوگ‌های Apache، خواندن فایل‌های مهم سیستمی با فایل‌های config و ...
منبع: http://wideweb.ir/

بخش سوم: چگونه یک اکانت ایمیل هک می‏شود
کلید لاگینگ (Keylogging)
کلید لاگینگ، آسان‏ترین راه برای هک کردن ای‏میل است. در این فرایند، هر کلیکی که کاربران بر روی صفحه کلید یک رایانه خاص می‏کنند، ثبت می‏شود. این ثبت اطلاعات با نرم‏افزار کوچکی به نام keylogger که همچنین با عنوان «نرم‏افزار جاسوسی» نیز شناخته می‏شود، امکان‏پذیر است.
به محض این‏که این برنامه بر روی رایانه هدف نصب شود، این نرم‏افزار به طور خودکار فعال شده و هر نوع کلیک و یا ضربه‏ای را که بر روی صفحه کلید انجام می‏شود ثبت می‏کند. از آن‏جا که این ضربه‏ها شامل نوشتن رمز عبور و نام کاربری نیز می‏شود، بنابراین با این نرم‏افزار، هکر می‏تواند به راحتی این اطلاعات را سرقت کند.
برای استفاده از این نرم‏افزار به دانش هکری بالایی نیاز نیست. هر کسی با یک آگاهی نسبی از رایانه قادر خواهد بود این نرم‏افزار را نصب و از آن استفاده کند. بنابراین، احتمال این‏که با استفاده از این برنامه، اطلاعات شما از سوی افراد آشنا سرقت شود، بسیار بالاست.

کمین‏گر جاسوسی (SniperSpy)
این نرم‏افزار به استفاده‏کننده اجازه می‏دهد که از راه دور رایانه شخصی شما را تحت کنترل بگیرد و تمام کارهایی را که بر روی رایانه خود انجام می‏دهید، به صورت زنده و هم‏زمان بر روی نمایشگر رایانه خود مشاهده کند.
این نرم‏افزار کاملا با هر نوع دیوار آتش (firewall)  ویندوز «ایکس‌پی»، ویستا، ویندوز 7، ویندوز 2000 و سیستم عامل‏های «مک» سازگاری دارد. این برنامه، فعالیت‏های کاربر را ثبت می‏کند و اطلاعات جمع‏آوری شده را به اکانت آن‏لاین هکر ارسال می‏کند.
با این برنامه، کاربر می‏تواند به تمام رمزهای عبور شامل رمز عبور شبکه‏های اجتماعی و اکانت‏های ای‏میل دسترسی پیدا کند و بدون دسترسی فیزیکی، به صورت از راه دور و مجازی به رایانه هدف وارد شود. هکر در این صورت می‏تواند برای مثال از جریان مکالمات روی چت و یا اطلاعات شخصی کاربر مطلع شود، وارد پست الکترونیک کاربر شده و ای‏میل‏های جعلی ارسال کند.
کلید لاگینگ، آسان‏ترین راه برای هک کردن ای‏میل است. در این فرایند، هر کلیکی که کاربران بر روی صفحه کلید یک رایانه خاص می‏کنند، ثبت می‏شود

فیشینگ Fishing 
در مفهوم انفورماتیکی، این اصطلاح که هم تلفظ واژه fishing به معنی «ماهی‏گیری» است، فعالیتی غیر قانونی است که با استفاده از یک تکنیک مهندسی اجتماعی می‏تواند به اطلاعات شخصی کاربر دسترسی پیدا کند. به خصوص هویت کاربران را در ارتباطات الکترونیکی به ویژه پیام‏های پست الکترونیک، سرویس‏های چت و حتی تماس‏های تلفنی سرقت کند.
در حملات فیشینگ، هکر پیام‏هایی را از سوی سایت‏های جعلی که از گرافیک و لوگوی سایت‏های رسمی تقلید کرده است، برای آدرس ای‏میل کاربر ارسال می‏کند. به این ترتیب، کاربر فریب می‏خورد و اطلاعات شخصی به ویژه شماره حساب جاری، شماره کارت اعتباری، کدهای شناسایی و... را وارد این سایت‏ها می‏کند.
به این ترتیب، تمام این اطلاعات از طریق سایت جعلی به یک در پشتی (back door) وارد می‏شود و برای مصارف جنایت‏کاری انفورماتیکی به ویژه جعل هویت و دسترسی به موجودی حساب‏های بانکی، در اختیار هکر قرار می‏گیرد.

فرایند استاندارد حملات فیشینگ در پنج مرحله
1. فیشر (هکر فیشینگ) یک پیام ایمیل را برای کاربر قربانی ارسال می‏کند. گرافیک و محتوای این پیام شبیه به پیام‏هایی است که معمولاً از سوی بانک و یا سایت معتبر خریدهای آن‏لاینی که کاربر در آن ثبت‏نام کرده است، برای قربانی ارسال می‏شود. به این ترتیب کاربر بدون آن‏که متوجه جعلی بودن پیام شود، آن را باز می‏کند.
2. این ایمیل تقریباً همیشه مربوط به موقعیت‏های ویژه و یا بررسی رفع مشکلات ساده بر روی حساب جاری/ اکانت کاربر (مثل تمدید تاریخ کارت اعتباری) است و یا به کاربر پیشنهاد وسوسه‏کننده عرضه پول (مثل برنده شدن حساب بانکی و یا یک جایزه) را می‏دهد.
3. ایمیل که به مقصد ارسال شده، محتوی یک لینک است. متن این ایمیل برای گیرنده توضیح می‏دهد که برای حل مشکل خود با سازمان و یا شرکتی که گرافیک و لوگوی سایت آن جعل شده، بر روی این لینک کلیک کند (Fake login). 
4. لینک ارائه شده کاربر را به سایت رسمی آن سازمان هدایت نمی‏کند؛ بلکه با یک پوشش ظاهری که از سایت اصلی کپی شده است، کاربر را به سروری که توسط «فیشر» کنترل می‏شود، می‏رساند و از قربانی می‏خواهد که برای «تائید» بار دیگر اطلاعات اولیه‏ای چون نام، نام کاربری، رمزعبور، آدرس، شماره حساب، شماره کارت اعتباری و... را وارد کند. به این ترتیب تمام این اطلاعات در دستان فیشر قرار خواهد گرفت.
5.» فیشر» از این اطلاعات برای خرید کالا، انتقال وجه و یا حتی به عنوان پلی برای انجام حملات بیشتر به افراد دیگر استفاده می‏کند.

دفاع در برابر این حملات
پیشگیری همیشه بهتر از علاج است. بنابراین بهترین توصیه این است که در بازدید سایت‏های غیر معتبر نهایت دقت را بکنید.
در مواردی که سایت از کاربر اطلاعات شخصی، شماره حساب، رمز عبور و یا شماره کارت اعتباری را خواست، پیش از وارد کردن این اطلاعات، یک کپی از آدرس سایت را برای مقامات ذی‏صلاح (بخش انفورماتیک بانک و یا سایت حراج‏های آن‏لاینی که عضو هستید) ارسال کنید تا از صحت آنها مطمئن شوید.
کاربر می‏تواند گردش مالی حساب خود را از طریق عابربانک و یا بر روی پروفایل حساب آن‏لاین خود مشاهده کند.بسیاری از بانک‏ها یک سرویس «اس‏ام‏اس» نیز در اختیار مشتریان خود می‏گذارند. از طریق این سرویس که SMS alert نام دارد، بانک تمام گردش‏های مالی حساب مشتری را برای وی ارسال می‏کند. به این ترتیب، در صورتی که سارقان انفورماتیکی به موجودی حساب کاربر دسترسی پیدا کرده باشند، مشتری متوجه خواهد شد.

رمز عبور ساده استفاده نکنید
یکی دیگر از روش‏های دسترسی هکرها به رمز عبور کاربران، استفاده از رمزهای عبور ساده است. انتخاب رمزهای نامناسب موجب می‏شود که هکرها با انجام گزینه‏های آزمون و خطا پس از چند بار امتحان کردن، به رمز عبور کاربر دسترسی پیدا کنند.
در سال 2009 مؤسسه «ایمپروا» متخصص در بخش امنیت در شبکه در تحقیقات خود نشان داد که میلیون‏ها کاربر اینترنت از یک رمز عبور استفاده می‏کنند!
نتایج این بررسی‏ها حاکی از آن بود که کاراکترهای کلیدی مثل 123456، 0، password  و abc123 رایج‏ترین کلماتی هستند که توسط تعداد بسیار زیادی کاربر به عنوان رمز عبور اطلاعات محرمانه استفاده می‏شوند.
به گفته این محققان، استفاده از کلمات و یا اعدادی که به آسانی قابل شناسایی هستند، یک خطر جدی برای کاربران به شمار می‏روند و هکرها به راحتی می‏توانند آنها را شناسایی کرده، وارد اکانت‏های کاربران شده و اطلاعات شخصی آنها را سرقت کنند و یا به نام آنها ای‏میل ارسال کنند.
خطر بزرگتر زمانی رخ می‏دهد که این رمزهای عبور رایج برای حساب‏های جاری و یا کارت‏های اعتباری مورد استفاده قرار گرفته باشند. برخی از سایت‏ها برای حمایت از کاربران خود و جلوگیری از حمله هکرها، بلافاصله پس از چند نوبت مشخص که رمز عبور اشتباه وارد شد، اکانت را مسدود می‏کنند. سایت‏های دیگر نیز به کاربران خود توصیه می‏کنند که رمزعبور خود را ترکیبی از اعداد و حروف مختلف انتخاب کنند. «جف ماس» هکر سابق که اکنون با این شرکت امنیت انفورماتیکی همکاری می‏کند، توصیه کرده است که کاربران حداقل باید از دوازده کاراکتر به جای شش حرفی که به طور نرمال به کار می‏رود، استفاده کنند. به این ترتیب کشف این کلمات کلیدی برای هکرها دشوار می‌شود.
همچنین شرکت مایکروسافت نیز اعلام کرده است که قصد دارد استفاده از رمز عبور «???????» و «ilovecats» را که به راحتی قابل شناسایی و نفوذ هستند، ممنوع کرده و به این شکل امکان نفوذ هکرها و استفاده از تکنیک آزمون و خطا برای ورود به اکانت کاربران سرویس Hotmail را کاهش دهد.
رمزهای عبور قوی، رمزهای طولانی و ترکیبی از حروف بزرگ و کوچک، اعداد و دیگر نشانه‏ها هستند. این رمزها نباید بر اساس واژه‏های لغتنامه‏ای و یا اطلاعات شخصی از قبیل تاریخ تولد باشند.
در هر صورت بهترین کار بعد از هک شدن، تغییر سیستم عامل و ساده‏ترین کار، تغییر رمز عبور است.
منبع: tebyan.net

بخش چهارم
هک شدن فیس‌بوک
امروزه استفاده زیاد از فیس‌بوک و گسترش روابط مجازی باعث شده علاقه‌مندان زیادی به دنبال راهکارهایی برای هک اکانت فیس‌بوک دوستانشان باشند. با توجه به اینکه فیس‌بوک یک سایت بسیار قدرتمند و برنامه‌ریزی شده است حفره امنیتی (باگ) در آن وجود ندارد که بتوان به صورت مستقیم سایت فیس‌بوک را هک کرد. ولی راه‌هایی وجود دارد که می‌توان به صورت غیر مستقیم پسورد افراد را در فیس‌بوک پیدا کرد.
 1- اولین راه و ساده‌ترین راه برای هک فیسبوک فیشر بودن(Phisher) است  
در این روش هکر یک ایمیل حاوی یک اخطار برای طعمه می‌فرستد و  می‌گوید پسورد شما در خطر است و شما را به سایت خود می‌کشاند و اطلاعات پسوردتان را جهت بازنشانی پسورد جدید از شما می‌خواهید که در سایت خودش وارد کند. هنر اینکار اینست که طعمه فکر کند سایت شما وابسته به فیس‌بوک می‌باشد و نفهمد که شما یک هکر هستید؛ مثلا برای آدرس سایت خود از آدرس‌هایی شبیه زیر استفاده می‌کند:
www.recovery-facebook.com 
 2- استفاده از برنامه‌های keylogging برای هک فیس‌بوک
در این روش هکر به راحتی می‌تواند پسورد فیس‌بوک شخص را بدست آورد به شرطی که این برنامه را به نحوی در سیستم طرف نصب کند؛ مثلا اگر طرف آشنایتان است به بهانه گوش دادن آهنگ پشت سیستم شما بنشیند و برنامه keylogger که حجم کمی هم دارد در سیستم‌تان نصب کند. روش کار این برنامه‌ها به این صورت است که بعد از نصب آن برنامه تمامی کلیدهای کیبوردی را که قربانی تایپ می‌کند در یک فایل ذخیره و با هر بار وصل شدن به اینترنت آنها را برای هکر ارسال می‌کند.
 3- استفاده از پسورد فرد در سایت‌های دیگر
هکر می‌بیند طعمه در چه سایت‌هایی عضو است و به سراغ آن سایت‌ها می‌رود و آنها را اگر می‌تواند هک می‌کند. معمولا افراد از یک پسورد در سایت‌های مختلف استفاده می‌کنند. پس پسورد شما در سایت دیگر می‌تواند پسوردتان در سایت فیس‌بوک باشد.
 4- هک FaceBook با Social emgineering
هکر اگر فرد باهوشی باشد می‌تواند به سوالات امنیتی فیس‌بوک راجع به علایق فرد مورد نظر جواب دهد این روش بسیار کارآمد و مناسب است.
 5- استفاده از ایمیل قربانی
اگر ایمیل‌های یاهو یا گوگل شما در دسترس افراد هکر باشد با گزینه Forgot password می‌توانند پسورد شما را ریست کنند.
 6- استفاده از کوکی در هک فیس‌بوک
این روش سخت‌ترین روش می‌باشد و در عین حال هم حرفه‌ای، طی آن هکر باید با علم خود به کوکی‌های قربانی دسترسی پیدا کند و آنها را بر روی کامپیوتر خود ذخیره کند، این کوکی‌ها فایل‌هایی هستند که با هر بار وارد شدن به سایت به صورت اتوماتیک پسورد و آیدی شما را به فرم می‌دهد و دیگر نیازی به ثایپ مجدد پسورد نیست، تمامی اطلاعات در شناسایی کاربر در فایلی به نام Datr ثبت می‌شود که به صورت ذیل می‌باشد:
Cookie: datr=1276721606-b7f94f977295759399293c5b0767618dc02111ede159a827030fc;
منبع: http://wideweb.ir/

بخش پنجم
ساده ترین راه برای جلوگیری از هک شدن
امروز، هر وب سایتی که به خوبی طراحی شده باشد و هر برنامه تحت وبی دارای نشانگر امنیت رمز عبور وارد شده توسط کاربر در موقع ثبت نام برای یک حساب کاربری جدید است. این ابزار در واقع اسکریپت‌ها و پلاگین‌هایی هستند که از قوانین اساسی ایجاد رمزهای عبور قوی پیروی می‌کنند. سپس دوباره، اگر شما واقعا دوست دارید کلمه عبور خود را در برابر کلاه‌سیاه و سفید‌ها نفوذناپذیر کنید، در این مقاله به شما پنج ابزار معرفی خواهیم کرد که رمز عبور شما را آزموده و به شما اعلام می‌کنند که رمز عبور شما به اندازه کافی قوی است یا خیر.
How Secure Is My Password
http://howsecureismypassword.net/
ابزار های تست ایمنی رمز عبور بسیار کمی وجود دارد که واقعا جذاب و سرگرم‌کننده باشد و این یکی از آنها است. این ابزار قادر است میزان ایمنی کلمه عبورتان را نشان دهد، اما فراتر از آن نیز حرف هایی برای گفتن دارد. به عنوان مثال، بنا بر اعلام این سایت، یک کلمه معمول مانند «enter» در میان ۵۰۰ کلمه عبور بیشتر مورد استفاده در بین کاربران است. یا مثلا برای هک کردن رمز عبور ایمیل من (که آن را به شما نخواهم گفت!) با یک کامپیوتر رومیزی معمولی به ۲ میلیارد سال زمان نیاز دارد! اگرچه این ارقام ممکن است همیشه درست نباشد، اما می توانید امتحانش کنید. ضرری ندارد) ! دایرکتوری mention  را ببینید)
The Password Meter
http://www.passwordmeter.com/
این ابزار سنجش قدرت رمز عبور یکی از محبوب‌ترین ابزارهای موجود است. این ابزار قادر است به شما، تجزیه و تحلیل دقیقی در مورد رمز عبور خود داده و رمز عبور شما را در مقیاس اندازه‌گیری سفارشی خود قرار می‌دهد. هر عنصر از رشته رمز ورود‌تان یک امتیاز می‌گیرد و مجموع امتیازات در کل امتیاز رمز عبور را تشکیل می‌دهد. شما می‌توانید از سیستم نمره‌دهی برای ساخت رمزهای عبور بسیار قوی استفاده کنید که نتیجه‌اش ایجاد رمز عبور تقریبا غیر قابل نفوذ است. (دایرکتوری mention  را ببینید)
Test Your Password
http://www.testyourpassword.com/
این یک ابزار دو منظوره است؛ یعنی، اگر کاراکترهایی را به برنامه بدهید، به شما برای تولید رمزهای عبور تصادفی کمک می‌کند و سپس شما می‌توانید رمز عبور ایجاد شده را از نظر میزان ایمنی به کمک برنامه بسنجید. سپس می‌توانید کاراکترهای اضافی را به پسورد خود اضافه کنید. چه طور است آن را امتحان کنید تا بفهمید چرا کلمه عبور هشت کاراکتری همیشه به کلمات عبور با طول کاراکتر کمتر توصیه می‌شود. (برای مثال موقع ثبت نام در سایت ها اعلام می شود: «یک کلمه عبور با طول حداقل ۸ کاراکتر وارد کنید»)
Strength Test
http://rumkin.com/tools/password/passchk.php
این ابزار سنجش رمز عبور تحت وب احتمال نزدیکی حروف رمز عبور به یکدیگر را جهت رتبه‌بندی کلمه عبور بر اساس قوی یا ضعیف در نظر می‌گیرد. در حالت ایده‌آل، کلمات عبور باید تصادفی باشند. وسیله سنجش، این را با استفاده از یک واژه به نام «آنتروپی» نشان می‌دهد، تخمینی بر اساس ترکیب حروف کوچک و بزرگ در زبان انگلیسی.
Microsoft Safety And Security Center
https://www.microsoft.com/security/pc-security/password-checker.aspx
مایکروسافت نیز ابزار چک کردن رمز عبور مخصوص به خود را دارد که در سایت این شرکت تعبیه شده است. این ویژگی که فراتر از یک ابزار صرف است، در عمل یک زیرسایت است که منبع مهمی برای یادگیری همه نکات ضروری در مورد قواعد امنیتی است. ابزار سنجش قدرت رمز تقریبا از نظر استفاده از سنجش میزان ایمنی با رنگ‌‌ها شبیه به دیگر ابزارهاست.
منبع: makeuseof

نتیجه‌گیری:
در ابتدا باید بدانیم که چگونه به سادگی هک نشویم که یکی دیگر از ساده‌ترین روش‌ها، روش زیر می‌باشد:
اگر شما هنوز هم از ویندوز xp استفاده می‌کنید می‌توانید از فایروال (دیوار آتش یا آنتی‌هک) خود ویندوز استفاده کنید. به کنترل پنل رفته و وارد Networking Connection شوید. در انجا روی آیکون dial up که ساخته‌اید راست کلیک کنید و properties را انتخاب کنید سپس تب Advanced را انتخاب کنید و تیک مخصوص فعال کردن فایروال را فعال کنید. تجربه نشان داده که ویندوزهای ۹۸ و me به راحتی هک می‌شوند لذا بهتر است از ویندوز ۲۰۰۰، xp و  seven استفاده کنید. 
اگر در یاهو ایمیل دارید و چنانچه فایلی برای شما فرستاده شد می‌توانید از طریق خود آنتی ویروس نورتون سایت یاهو چک کنید. چنانچه در چت کسی به شما پیشنهاد دادن عکس یا فایل داد بدون رودرواسی درخواست کنید به آدرس ایمیل شما بفرستد. از ورود به سایت‌های شخصی که به شما پیشنهاد می‌شود خودداری کنید مخصوصا اگر آدرس به صورت چند عدد که مثل یک آدرس IP می‌باشد. یاهو مسنجر خود دارای یک فایروال می‌باشد. می‌توانید از منوی Login گزینه Privacy Setting را انتخاب کنید و در داخل تنظیمات Connection فایروال را انتخاب کنید. برنامه‌های آنتی‌ویروس و آنتی هک هم انواع زیادی دارند.

بخش اول: به روش‌هایی که در وبلاگ‌ها آموزش می‌دهند اطمینان نکنیم مخصوصا وقتی ایمیل و پسورد ما را بخواهند.
بخش دوم: به این نتیجه می‌رسیم که تروجان‌ها را دست کم نگیریم و در وارد کردن اطلاعات دقت بیشتری داشته باشیم و همه اینها نشانگر اهمیت خود ما در هک شدن خودمان هست و اگر خودمان سایتی داریم درباره شرکتی که Host & Domain (فضای مربوط به وب‌سایت ما در اینترنت) را خریداری می‌کنیم تحقیق ویژه ای انجام دهیم چون خود آن شرکت می‌تواند بهترین راه برای جلوگیری از هک شدن باشد و در طراحی وب‌سایت نیز از متخصص این امر کمک بگیریم تا از برنامه و کدهای بهتری استفاده کند زیرا تاثیر زیادی در پیشگیری از هک شدن سایت دارد.
بخش سوم: اطمینان کردن به هر سایتی بزرگترین اشتباه محسوب می‌شود بهتر است ما قبل از وارد کردن اطلاعات شخصی خود از سایت مورد نظر اطلاعات لازم را بدست بیاوریم بعد عضو شویم.
بخش چهارم: تا جایی که امکان دارد پسورد خود را ذخیره نکنیم و هر چند وقت یکبار حافظه مرورگر خود را پاک کنیم تا از قسمت History و کوکی‌های ما سوءاستفاده نگردد.
بخش پنجم: انتخاب پسورد مناسب از اهمیت ویژه‌ای برخوردار است، اهمیت این قسمت به اندازه‌ای بالا می‌باشد که چندین سایت برای تست پسورد وجود دارد و سایت‌های معتبر از جمله یاهو و گوگل خودشان امنیت پسورد شما را مورد بررسی قرار می‌دهند.
هدف ما بدبین کردن شما نسبت به فضای مجازی نبود بلکه صرفا جهت پیشگیری از بروز مشکلات و هک شدن شما این مطالب را به شما گفتیم و مطمئنا شما با دانستن این مطالب یک هکر نخواهید شد چون به مسائل جانبی دیگری نیاز می‌باشد.

بِلَک

هیچ نظری موجود نیست:

پست کردن نظر