Ehsan M
25th March 2012, 10:41 AM
اينترنت چالش های جديدی را در عرصه ارتباطات ايجاد کرده است. کاربران اينترنت با استفاده از روش های متفاوت ،امکان ارتباط با يکديگر را بدست آورده اند .اينترنت زير ساخت مناسب برای ارتباطات نوين را فراهم و زمينه ای مساعد و مطلوب بمنظور بهره برداری از سرويس های ارتباطی توسط کاربران فراهم شده است . بدون شک ، پست الکترونيکی در اين زمينه دارای جايگاهی خاص است .
پست الکترونيکی، يکی از قديمی ترين و پرکاربردترين سرويس موجود در اينترنت است . شهروندان اينترنت، روزانه ميليون ها نامه الکترونيکی را برای يکديگر ارسال می دارند. ارسال و دريافت نامه الکترونيکی، روش های سنتی ارسال اطلاعات ( نامه های دستی ) را بشدت دستخوش تحول نموده و حتی در برخی از کشورها ،اغلب مردم تمايل به استفاده از نامه الکترونيکی در مقابل تماس تلفتی با همکاران و خويشاوندان خود دارند . در اين مقاله قصد نداريم به بررسی مزايای سيستم پست الکترونيکی اشاره نمائيم. در صورتيکه بپذيريم که سيستم پست الکترونيکی عرصه جديدی را در ارتباطات افراد ساکن در کره زمين ايجاد کرده است، می بايست بگونه ای حرکت نمائيم که از آسيب های احتمالی تکنولوژی فوق نيز در امان باشيم .
طی ساليان اخير، بدفعات شنيده ايم که شبکه های کامپيوتری از طريق يک نامه الکترونيکی آلوده و دچار مشکل و تخريب اطلاعاتی شده اند. صرفنظر از وجود نواقص امنيتی در برخی از محصولات نرم افزاری که در جای خود توليد کنندگان اين نوع نرم افزارها بمنظور استمرار حضور موفقيت آميز خود در عرصه بازار رقابتی موجود، می بايست مشکلات و حفره های امنيتی محصولات خود را برطرف نمايند ، ما نيز بعنوان استفاده کنندگان از اين نوع نرم افزارها در سطوح متفاوت ، لازم است با ايجاد يک سيستم موثر پيشگيرانه ضريب بروز و گسترش اين نوع حوادث را به حداقل مقدار خود برسانيم . عدم وجود سيستمی مناسب جهت مقابله با اين نوع حوادث ، می تواند مسائلی بزرگ را در يک سازمان بدنبال داشته که گرچه ممکن است توليدکننده نرم افزار در اين زمينه مقصر باشد ولی سهل انگاری و عدم توجه به ايجاد يک سيستم امنيتی مناسب ، توسط استفاده کنندگان مزيد بر علت خواهد بود ( دقيقا" مشابه عدم بستن کمربند ايمنی توسط سرنشين يک خودرو با نواقص امنيتی ) . در اين مقاله ، به بررسی روش های پيشگيری از تخريب اطلاعات در شبکه های کامپيوتری از طريق پست الکترونيکی پرداخته و با ارائه راهکارهای مناسب ، يک سيستم حفاظتی مطلوب پيشنهاد می گردد . در اين راستا ، عمدتا" بر روی برنامه سرويس گيرنده پست الکترونيکی ماکروسافت (Outlook) متمرکز خواهيم شد( بدليل نقش بارز و مشهود اين نوع از برنامه ها در جملات اينترنتی اخير) .
سيل ناگهانی حملات اينترنتی مبتنی بر کدهای مخرب، با ظهور کرم ILOVEYOU ، وارد عرصه جديدی شده است . سيتسم های مدرن پست الکترونيکی بمنظور مقابله با اين نوع از تهديدات ، تدابير لازم را در جهت ايجاد يک حفاظ امنيتی مناسب برای مقابله با عرضه و توزيع کدهای مخرب آغاز نموده اند .برنامه های سرويس گيرنده پست الکترونيکی متعلق به شرکت ماکروسافت ، هدفی جذاب برای اغلب نويسندگان کدهای مخرب می باشند . شايد يکی از دلايل آن ، گستردگی و مدل برنامه نويسی خاص بکارگرفته شده در آنان باشد . تاکنون کدهای مخرب فراوانی ، محصولات ماکروسافت را هدف قرار داده اند . عملکرد قدرتمند سه نوع ويروس ( و يا کرم ) در زمينه تخريب اطلاعات از طريق اينترنت ، شرکت ماکروسافت را وادار به اتخاذ تصميمات امنيتی خاص در اينگونه موارد نمود . اين ويروس ها عبارتند از :
ويروس Melissa ، هدف خود را بر اساس يک فايل ضميمه Word مورد حمله ويرانگر قرار می دهد . بمحض باز نمودن فايل ضميمه ، کد مخرب بصورت اتوماتيک فعال می گردد .
ويروس BubbleBoy ، همزمان با مشاهده ( پيش نمايش ) يک پيام ، اجراء می گردد . در اين رابطه ضرورتی به باز نمودن فايل ضميمه بمنظور فعال شدن و اجرای کدهای مخرب وجود ندارد . در ويروس فوق ، کدهای نوشته شده در بدنه نامه الکترونيکی قرار می گيرند . بدين ترتيب، بمحض نمايش پيام توسط برنامه مربوطه ، زمينه اجرای کدهای مخرب فراهم می گردد .
کرم ILOVEYOU از لحاظ مفهومی شباهت زيادی با ويروس Mellisa داشته و بصورت يک فايل ضميمه همراه يک نامه الکترونيکی جابجا می گردد . در اين مورد خاص، فايل ضميمه خود را بشکل يک سند Word تبديل نکرده و در مقابل فايل ضميمه از نوع يک اسکريپت ويژوال بيسيک (vbs . ) بوده و بمحض فعال شدن، توسط ميزبان اسکريپت ويندوز (Windows Scripting Host :WSH) تفسير و اجراء می گردد .
پيشگيری ها
در اين بخش به ارائه پيشنهادات لازم در خصوص پيشگيری از حملات اطلاعاتی مبتنی بر سرويس گيرندگان پست الکترونيکی خواهيم پرداخت.رعايت موارديکه در ادامه بيان می گردد، بمنزله حذف کامل تهاجمات اطلاعاتی از اين نوع نبوده بلکه زمينه تحقق اين نوع حوادث را کاهش خواهد داد .
پيشگيری اول : Patch های برنامه پست الکترونيکی ماکروسافت
بدنبال ظهور کرم ILOVEYOU و ساير وقايع امنيتی در رابطه با امنيت کامپيوترها در شبکه اينترنت، شرکت ماکروسافت يک Patch امنيتی برای برنامه های outlook 98 و outlook 2000 عرضه نموده است . Patch فوق، با ايجاد محدوديت در رابطه با برخی از انواع فايل های ضميمه ، زمينه اجرای کدهای مخرب را حذف می نمايد . با توجه به احتمال وجود کدهای مخرب در فايل های ضميمه و ميزان مخرب بودن آنان، تقسيمات خاصی توسط ماکروسافت انجام گرفته است .فايل های ضميمه ای که دارای بيشترين احتمال تهديد برای سيستم های کامپيوتری می باشند ، سطح يک و فايل هائی با احتمال تخريب اطلاعاتی کمتر سطح دو ، ناميده شده اند. نحوه برخورد برنامه های سرويس گيرنده پست الکترونيکی با هر يک از سطوح فوق متفاوت است . اين نوع برنامه ها ، امکان اجرای کدهای موجود در فايل های ضميمه از نوع سطح يک را بلاک می نمايند. جدول زير انواع فايل ها ی موجود در سطح يک را نشان می دهد .
انشعاب
شرح
ade
Microsoft Access project extension
adp
Microsoft Access project
bas
Visual Basic class module
bat
Batch file
chm
Compiled HTML Help file
cmd
Windows NT Command script
com
MS-DOS program
cpl
Control Panel extension
crt
Security certificate
exe
Program
hlp
Help file
hta
HTML
inf
Setup Information
ins
Internet Naming Service
isp
Internet Communication settings
js
JScript Script file
jse
JScript Encoded Script file
lnk
Shortcut
mdb
Microsoft Access program
mde
Microsoft Access MDE database
msc
Microsoft Common Console document
msi
Windows Installer package
msp
Windows Installer patch
mst
Visual Test source files
pcd
Photo CD image
pif
Shortcut to MS-DOS program
reg
Registration entries
scr
Screen saver
sct
Windows Script Component
shs
Shell Scrap Object
url
Internet shortcut
vb
VBScript file
vbe
VBScript encoded script file
Patch فوق، در رابطه با ضمائمی که با نام سطح دو( مثلا" فايل هائی از نوع zip ) ، شناخته می شوند از رويکردی ديگر استفاده می نمايد . اين نوع ضمائم بلاک نمی گردند ولی لازم است که کاربر قبل از اجراء آنان را بر روی کامپيوتر خود ذخيره نمايد . بدين ترتيب در روند اجراء يک توقف ناخواسته بوجود آمده و زمينه فعال شدن ناگهانی آنان بدليل سهل انگاری ، حذف می گردد. در رابطه با اين نوع از فايل ها ، پيامی مشابه زير ارائه می گردد .
http://www.srco.ir/Articles/images/Email1.jpg فايل هائی بصورت پيش فرض درسطح دو ، وجود نداشته و مديرسيستم می تواند فايل هائی با نوع خاص را اضافه نمايد (در رابطه با فايل های سطح يک نيز امکان حذف و يا افزودن فايل هائی وجود دارد ) . در زمان تغيير نوع فايل های سطح يک و دو، می بايست به دو نکته مهم توجه گردد : عمليات فوق، صرفا" برای کاربرانی که به سرويس دهنده پست الکترونيکی Exchange متصل هستند امکان پذير بوده و کاربرانی که از فايل ها ی pst . برای ذخيره سازی پيام های الکترونيکی خود استفاده می نمايند را شامل نمی شود. قابليت تغيير تعاريف ارائه شده سطح يک و دو، می تواند بعنوان يک رويکرد مضاعف در رابطه با سياست های امنيتی محلی، مورد استفاده قرار گيرد . مثلا" می توان با استفاده از ويژگی فوق، فايل های با انشعاب doc . ( فايل های word) را به ليست فايل های سطح يک اضافه کرد. برای انجام تغييرات مورد نظر در نوع فايل ضميمه تعريف شده در سطح يک ، می بايست مراحل زير را دنبال نمود :
برنامه Regedit.exe را اجراء نمائيد .
کليد HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Secu rity key را انتخاب نمائيد . ( در صورتيکه کليد فوق وجود ندارد می بايست آن را ايجاد کرد ) .
از طريق منوی Edit دستور New و در ادامه String Value انتخاب گردد .
نام جديد را Level1AttachmentAdd منظور نمائيد.
گزينه new Level1AttachmentAdd value را انتخاب و دکمه Enter را فعال نمائيد .
يک رشته شامل انشعاب فايل های مورد نظر را که قصد اضافه کردن آنها را داريم ، وارد نمائيد ( هر يک از انشعاب فايل ها توسط ";" از يکديگر تفکيک می گردند )
Example:
Name: Level1AttachmentAdd
Type: REG_SZ
Data: doc;xls
در زمان بازنمودن فايل های ضميمه ای که از نوع سطح يک و يا دو نمی باشند( فايل های آفيس نظير Word ,Powerpoint بجزء فايل های مربوط به Access ) ، پيامی مطابق شکل زير ارائه و کاربران دارای حق انتخاب بمنظور فعال نمودن ( مشاهده ) فايل ضميمه و يا ذخيره آن بر روی کامپيوتر را دارند . پيشنهاد می گردد که در چنين مواردی فايل ذخيره و پس از اطمينان از عدم وجود کدهای مخرب ، فعال و مشاهده گردد . در اين رابطه می توان از ابزارهای موجود استفاده کرد .
http://www.srco.ir/Articles/images/Email2.jpg
Patch فوق، همچنين امکان دستيابی به دفترچه آدرس Outlook را از طريق مدل شی گراء Outlook و CDO)Collaborative Data Objects) ، توسط کدهای برنامه نويسی کنترل می نمايد .بدين ترتيب، پيشگيری لازم در مقابل کدهای مخربی که بصورت خودکار و تکراری اقدام به تکثير نسخه هائی از خود برای ليست افراد موجود در دفترچه آدرس می نمايند ، انجام خواهد يافت . Patch فوق، صرفا" برای نسخه های Outlook 98 و outlook 2000 ارائه شده است ( برای نسخه های قبلی و يا Outlook Express نسخه مشابهی ارائه نشده است ) .
پيشگيری دوم : استفاده از نواحی امنيتی Internet Explorerسرويس گيرندگان Outlook 98/2000 و Outlook Express 4.0/5.0 امکان استفاده از مزايای نواحی (Zones) امنيتی مرورگر IE را بمنظور حفاظت در مقابل کدهای مخرب ( کنترل های ActiveX ، جاوا و يا اسکريپت ها ) موجود در بدنه پيام ها ،خواهند داشت . مرورگر IE ، امکان اعمال محدوديت در اجرای کدها را بر اساس چهار ناحيه فراهم می نمايد . قبل از پرداختن به نحوه استفاده از تنظيمات فوق توسط برنامه outlook ، لازم است که به کاربرد هر يک ازنواحی در مرورگر IE ، اشاره گردد :
Local Intranet zone . ناحيه فوق، شامل آدرس هائی است که قبل از فايروال سازمان و يا سرويس دهنده Proxy قرار می گيرند . سطح امنيتی پيش فرض برای ناحيه فوق ، " medium -low" است .
Trusted Sites zone . ناحيه فوق، شامل سايت هائی است که مورد اعتماد می باشند . ( سايت هائی که شامل فايل هائی بمنظور تخريب اطلاعاتی نمی باشند ) . سطح امنيتی پيش فرض برای ناحيه فوق، " low" است .
Restricted Sites zone . ناحيه فوق، شامل ليست سايت هائی است که مورد اعتماد و تائيد نمی باشند . ( سايت هائی که ممکن است دارای محتوياتی باشند که در صورت دريافت و اجرای آنها ، تخريب اطلاعات را بدنبال داشته باشد ) .سطح امنيتی پيش فرض برای ناحيه فوق ،" high" است .
Internet zone . ناحيه فوق ، بصورت پيش فرض شامل هرچيزی که بر روی کامپيوتر و يا اينترانت موجود نمی باشد ، خواهد بود . سطح امنيتی پيش فرض برای ناحيه فوق، " medium " است .
برای هر يک از نواحی فوق، می توان يک سطح امنيتی بالاتر را نيز تعريف نمود. ماکروسافت در اين راستا سياست هائی با نام : low , medium-low , medium و high را تعريف کرده است . کاربران می توانند هر يک از پيش فرض های فوق را انتخاب و متناسب با نياز خود آنان را تغيير نمايند .
برنامه outlook می تواند از نواحی فوق استفاده نمايد . در اين حالت کاربر قادر به انتخاب دو ناحيه ( Internet zone و Restricted Zone ) خواهد بود .
http://www.srco.ir/Articles/images/Email3.jpg تنظيمات تعريف شده برای ناحيه انتخاب شده در رابطه با تمام پيام های outlook اعمال خواهد شد . پيشنهاد می گردد ناحيه restricted انتخاب گردد . بدين منظور گزينه Tools/Options و در ادامه گزينه Security را انتخاب نموده و از ليست مربوطه ناحيه Restricted sites را انتخاب نمائيد. در ادامه و بمنظور انجام تنظيمات مورد نظر ، دکمه Zone Settings را فعال و گزينه Custom Level را انتخاب نمائيد . تغييرات اعمال شده در زمان استفاده از برنامه مرورگر برای دستيابی به وب سايت ها نيز مورد توجه قرار خواهند گرفت . پيشنهادات ارائه شده مختص برنامه IE 5.5 بوده و در نسخه های 5 و 4 نيز از امکانات مشابه با اندکی تغييرات استفاده می گردد. در اين رابطه تتظيمات زير پيشنهاد می گردد :
گزينه
وضعيت
Download signed ActiveX controls
DISABLE
Download unsigned ActiveX controls
DISABLE
Initialize and script ActiveX controls not marked as safe
DISABLE
Run ActiveX controls and plug-ins
DISABLE
Script ActiveX controls marked safe for scripting
DISABLE
Allow per-session cookies (not stored)
DISABLE
File download
DISABLE
Font download
DISABLE
Java permissions
DISABLE JAVA
Access data sources across domains
DISABLE
Don�t prompt for client certificate selection when no certificates or only one certificate exists
DISABLE
Drag and drop or copy and paste files
DISABLE
Installation of desktop items
DISABLE
Launching programs within an IFRAME
DISABLE
Navigate sub-frames across different domains
DISABLE
Software channel permissions
HIGH SAFETY
Submit nonencrypted form data
DISABLE
Userdata persistence
DISABLE
Active scripting
DISABLE
Allow paste operations via script
DISABLE
Scripting of Java Applets
DISABLE
Logon
Anonymous logon
با غير فعال نمودن گزينه های فوق، امکانات پيشرفته ای از کاربر سلب می گردد. امکانات فوق برای تعداد زيادی از کاربران پست الکترونيکی ، دارای کاربردی خاص نخواهند بود . اکثر نامه های الکترونيکی ، پيام های ساده متنی بهمراه ضمائم مربوطه می باشند. گزينه های فوق، عموما" به غير فعال نمودن اسکريپت ها و کنترل های موجود در بدنه يک پيام الکترونيکی اشاره داشته و برای کاربران معمولی سيستم پست الکترونيکی دارای کاربردی خاص نمی باشند. تنظيمات فوق، بصورت مشترک توسط مرورگر IE نيز استفاده خواهند شد (صفحات وبی که از برخی از ويژگی های فوق استفاده می نمايند) . در اين رابطه لازم است مجددا" به اين موضوع اشاره گردد که ناحيه Restricted صرفا" شامل سايت هائی است که مورد اعتماد نبوده و مشکلی ( عدم فعال بودن برخی از پتانسيل های مرورگر ) را در رابطه با مشاهده صفحات وب از سايت های تائيد شده ،نخواهيم داشت.مهمترين دستاورد تنظيمات فوق،پيشگيری از حملاتی است که سياست تخريبی خود را بر اساس درج محتويات فعال در بدنه نامه های الکترونيکی، تبين نموده اند . ( نظير ويروس BubbleBoy ) .
پست الکترونيکی، يکی از قديمی ترين و پرکاربردترين سرويس موجود در اينترنت است . شهروندان اينترنت، روزانه ميليون ها نامه الکترونيکی را برای يکديگر ارسال می دارند. ارسال و دريافت نامه الکترونيکی، روش های سنتی ارسال اطلاعات ( نامه های دستی ) را بشدت دستخوش تحول نموده و حتی در برخی از کشورها ،اغلب مردم تمايل به استفاده از نامه الکترونيکی در مقابل تماس تلفتی با همکاران و خويشاوندان خود دارند . در اين مقاله قصد نداريم به بررسی مزايای سيستم پست الکترونيکی اشاره نمائيم. در صورتيکه بپذيريم که سيستم پست الکترونيکی عرصه جديدی را در ارتباطات افراد ساکن در کره زمين ايجاد کرده است، می بايست بگونه ای حرکت نمائيم که از آسيب های احتمالی تکنولوژی فوق نيز در امان باشيم .
طی ساليان اخير، بدفعات شنيده ايم که شبکه های کامپيوتری از طريق يک نامه الکترونيکی آلوده و دچار مشکل و تخريب اطلاعاتی شده اند. صرفنظر از وجود نواقص امنيتی در برخی از محصولات نرم افزاری که در جای خود توليد کنندگان اين نوع نرم افزارها بمنظور استمرار حضور موفقيت آميز خود در عرصه بازار رقابتی موجود، می بايست مشکلات و حفره های امنيتی محصولات خود را برطرف نمايند ، ما نيز بعنوان استفاده کنندگان از اين نوع نرم افزارها در سطوح متفاوت ، لازم است با ايجاد يک سيستم موثر پيشگيرانه ضريب بروز و گسترش اين نوع حوادث را به حداقل مقدار خود برسانيم . عدم وجود سيستمی مناسب جهت مقابله با اين نوع حوادث ، می تواند مسائلی بزرگ را در يک سازمان بدنبال داشته که گرچه ممکن است توليدکننده نرم افزار در اين زمينه مقصر باشد ولی سهل انگاری و عدم توجه به ايجاد يک سيستم امنيتی مناسب ، توسط استفاده کنندگان مزيد بر علت خواهد بود ( دقيقا" مشابه عدم بستن کمربند ايمنی توسط سرنشين يک خودرو با نواقص امنيتی ) . در اين مقاله ، به بررسی روش های پيشگيری از تخريب اطلاعات در شبکه های کامپيوتری از طريق پست الکترونيکی پرداخته و با ارائه راهکارهای مناسب ، يک سيستم حفاظتی مطلوب پيشنهاد می گردد . در اين راستا ، عمدتا" بر روی برنامه سرويس گيرنده پست الکترونيکی ماکروسافت (Outlook) متمرکز خواهيم شد( بدليل نقش بارز و مشهود اين نوع از برنامه ها در جملات اينترنتی اخير) .
سيل ناگهانی حملات اينترنتی مبتنی بر کدهای مخرب، با ظهور کرم ILOVEYOU ، وارد عرصه جديدی شده است . سيتسم های مدرن پست الکترونيکی بمنظور مقابله با اين نوع از تهديدات ، تدابير لازم را در جهت ايجاد يک حفاظ امنيتی مناسب برای مقابله با عرضه و توزيع کدهای مخرب آغاز نموده اند .برنامه های سرويس گيرنده پست الکترونيکی متعلق به شرکت ماکروسافت ، هدفی جذاب برای اغلب نويسندگان کدهای مخرب می باشند . شايد يکی از دلايل آن ، گستردگی و مدل برنامه نويسی خاص بکارگرفته شده در آنان باشد . تاکنون کدهای مخرب فراوانی ، محصولات ماکروسافت را هدف قرار داده اند . عملکرد قدرتمند سه نوع ويروس ( و يا کرم ) در زمينه تخريب اطلاعات از طريق اينترنت ، شرکت ماکروسافت را وادار به اتخاذ تصميمات امنيتی خاص در اينگونه موارد نمود . اين ويروس ها عبارتند از :
ويروس Melissa ، هدف خود را بر اساس يک فايل ضميمه Word مورد حمله ويرانگر قرار می دهد . بمحض باز نمودن فايل ضميمه ، کد مخرب بصورت اتوماتيک فعال می گردد .
ويروس BubbleBoy ، همزمان با مشاهده ( پيش نمايش ) يک پيام ، اجراء می گردد . در اين رابطه ضرورتی به باز نمودن فايل ضميمه بمنظور فعال شدن و اجرای کدهای مخرب وجود ندارد . در ويروس فوق ، کدهای نوشته شده در بدنه نامه الکترونيکی قرار می گيرند . بدين ترتيب، بمحض نمايش پيام توسط برنامه مربوطه ، زمينه اجرای کدهای مخرب فراهم می گردد .
کرم ILOVEYOU از لحاظ مفهومی شباهت زيادی با ويروس Mellisa داشته و بصورت يک فايل ضميمه همراه يک نامه الکترونيکی جابجا می گردد . در اين مورد خاص، فايل ضميمه خود را بشکل يک سند Word تبديل نکرده و در مقابل فايل ضميمه از نوع يک اسکريپت ويژوال بيسيک (vbs . ) بوده و بمحض فعال شدن، توسط ميزبان اسکريپت ويندوز (Windows Scripting Host :WSH) تفسير و اجراء می گردد .
پيشگيری ها
در اين بخش به ارائه پيشنهادات لازم در خصوص پيشگيری از حملات اطلاعاتی مبتنی بر سرويس گيرندگان پست الکترونيکی خواهيم پرداخت.رعايت موارديکه در ادامه بيان می گردد، بمنزله حذف کامل تهاجمات اطلاعاتی از اين نوع نبوده بلکه زمينه تحقق اين نوع حوادث را کاهش خواهد داد .
پيشگيری اول : Patch های برنامه پست الکترونيکی ماکروسافت
بدنبال ظهور کرم ILOVEYOU و ساير وقايع امنيتی در رابطه با امنيت کامپيوترها در شبکه اينترنت، شرکت ماکروسافت يک Patch امنيتی برای برنامه های outlook 98 و outlook 2000 عرضه نموده است . Patch فوق، با ايجاد محدوديت در رابطه با برخی از انواع فايل های ضميمه ، زمينه اجرای کدهای مخرب را حذف می نمايد . با توجه به احتمال وجود کدهای مخرب در فايل های ضميمه و ميزان مخرب بودن آنان، تقسيمات خاصی توسط ماکروسافت انجام گرفته است .فايل های ضميمه ای که دارای بيشترين احتمال تهديد برای سيستم های کامپيوتری می باشند ، سطح يک و فايل هائی با احتمال تخريب اطلاعاتی کمتر سطح دو ، ناميده شده اند. نحوه برخورد برنامه های سرويس گيرنده پست الکترونيکی با هر يک از سطوح فوق متفاوت است . اين نوع برنامه ها ، امکان اجرای کدهای موجود در فايل های ضميمه از نوع سطح يک را بلاک می نمايند. جدول زير انواع فايل ها ی موجود در سطح يک را نشان می دهد .
انشعاب
شرح
ade
Microsoft Access project extension
adp
Microsoft Access project
bas
Visual Basic class module
bat
Batch file
chm
Compiled HTML Help file
cmd
Windows NT Command script
com
MS-DOS program
cpl
Control Panel extension
crt
Security certificate
exe
Program
hlp
Help file
hta
HTML
inf
Setup Information
ins
Internet Naming Service
isp
Internet Communication settings
js
JScript Script file
jse
JScript Encoded Script file
lnk
Shortcut
mdb
Microsoft Access program
mde
Microsoft Access MDE database
msc
Microsoft Common Console document
msi
Windows Installer package
msp
Windows Installer patch
mst
Visual Test source files
pcd
Photo CD image
pif
Shortcut to MS-DOS program
reg
Registration entries
scr
Screen saver
sct
Windows Script Component
shs
Shell Scrap Object
url
Internet shortcut
vb
VBScript file
vbe
VBScript encoded script file
Patch فوق، در رابطه با ضمائمی که با نام سطح دو( مثلا" فايل هائی از نوع zip ) ، شناخته می شوند از رويکردی ديگر استفاده می نمايد . اين نوع ضمائم بلاک نمی گردند ولی لازم است که کاربر قبل از اجراء آنان را بر روی کامپيوتر خود ذخيره نمايد . بدين ترتيب در روند اجراء يک توقف ناخواسته بوجود آمده و زمينه فعال شدن ناگهانی آنان بدليل سهل انگاری ، حذف می گردد. در رابطه با اين نوع از فايل ها ، پيامی مشابه زير ارائه می گردد .
http://www.srco.ir/Articles/images/Email1.jpg فايل هائی بصورت پيش فرض درسطح دو ، وجود نداشته و مديرسيستم می تواند فايل هائی با نوع خاص را اضافه نمايد (در رابطه با فايل های سطح يک نيز امکان حذف و يا افزودن فايل هائی وجود دارد ) . در زمان تغيير نوع فايل های سطح يک و دو، می بايست به دو نکته مهم توجه گردد : عمليات فوق، صرفا" برای کاربرانی که به سرويس دهنده پست الکترونيکی Exchange متصل هستند امکان پذير بوده و کاربرانی که از فايل ها ی pst . برای ذخيره سازی پيام های الکترونيکی خود استفاده می نمايند را شامل نمی شود. قابليت تغيير تعاريف ارائه شده سطح يک و دو، می تواند بعنوان يک رويکرد مضاعف در رابطه با سياست های امنيتی محلی، مورد استفاده قرار گيرد . مثلا" می توان با استفاده از ويژگی فوق، فايل های با انشعاب doc . ( فايل های word) را به ليست فايل های سطح يک اضافه کرد. برای انجام تغييرات مورد نظر در نوع فايل ضميمه تعريف شده در سطح يک ، می بايست مراحل زير را دنبال نمود :
برنامه Regedit.exe را اجراء نمائيد .
کليد HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Secu rity key را انتخاب نمائيد . ( در صورتيکه کليد فوق وجود ندارد می بايست آن را ايجاد کرد ) .
از طريق منوی Edit دستور New و در ادامه String Value انتخاب گردد .
نام جديد را Level1AttachmentAdd منظور نمائيد.
گزينه new Level1AttachmentAdd value را انتخاب و دکمه Enter را فعال نمائيد .
يک رشته شامل انشعاب فايل های مورد نظر را که قصد اضافه کردن آنها را داريم ، وارد نمائيد ( هر يک از انشعاب فايل ها توسط ";" از يکديگر تفکيک می گردند )
Example:
Name: Level1AttachmentAdd
Type: REG_SZ
Data: doc;xls
در زمان بازنمودن فايل های ضميمه ای که از نوع سطح يک و يا دو نمی باشند( فايل های آفيس نظير Word ,Powerpoint بجزء فايل های مربوط به Access ) ، پيامی مطابق شکل زير ارائه و کاربران دارای حق انتخاب بمنظور فعال نمودن ( مشاهده ) فايل ضميمه و يا ذخيره آن بر روی کامپيوتر را دارند . پيشنهاد می گردد که در چنين مواردی فايل ذخيره و پس از اطمينان از عدم وجود کدهای مخرب ، فعال و مشاهده گردد . در اين رابطه می توان از ابزارهای موجود استفاده کرد .
http://www.srco.ir/Articles/images/Email2.jpg
Patch فوق، همچنين امکان دستيابی به دفترچه آدرس Outlook را از طريق مدل شی گراء Outlook و CDO)Collaborative Data Objects) ، توسط کدهای برنامه نويسی کنترل می نمايد .بدين ترتيب، پيشگيری لازم در مقابل کدهای مخربی که بصورت خودکار و تکراری اقدام به تکثير نسخه هائی از خود برای ليست افراد موجود در دفترچه آدرس می نمايند ، انجام خواهد يافت . Patch فوق، صرفا" برای نسخه های Outlook 98 و outlook 2000 ارائه شده است ( برای نسخه های قبلی و يا Outlook Express نسخه مشابهی ارائه نشده است ) .
پيشگيری دوم : استفاده از نواحی امنيتی Internet Explorerسرويس گيرندگان Outlook 98/2000 و Outlook Express 4.0/5.0 امکان استفاده از مزايای نواحی (Zones) امنيتی مرورگر IE را بمنظور حفاظت در مقابل کدهای مخرب ( کنترل های ActiveX ، جاوا و يا اسکريپت ها ) موجود در بدنه پيام ها ،خواهند داشت . مرورگر IE ، امکان اعمال محدوديت در اجرای کدها را بر اساس چهار ناحيه فراهم می نمايد . قبل از پرداختن به نحوه استفاده از تنظيمات فوق توسط برنامه outlook ، لازم است که به کاربرد هر يک ازنواحی در مرورگر IE ، اشاره گردد :
Local Intranet zone . ناحيه فوق، شامل آدرس هائی است که قبل از فايروال سازمان و يا سرويس دهنده Proxy قرار می گيرند . سطح امنيتی پيش فرض برای ناحيه فوق ، " medium -low" است .
Trusted Sites zone . ناحيه فوق، شامل سايت هائی است که مورد اعتماد می باشند . ( سايت هائی که شامل فايل هائی بمنظور تخريب اطلاعاتی نمی باشند ) . سطح امنيتی پيش فرض برای ناحيه فوق، " low" است .
Restricted Sites zone . ناحيه فوق، شامل ليست سايت هائی است که مورد اعتماد و تائيد نمی باشند . ( سايت هائی که ممکن است دارای محتوياتی باشند که در صورت دريافت و اجرای آنها ، تخريب اطلاعات را بدنبال داشته باشد ) .سطح امنيتی پيش فرض برای ناحيه فوق ،" high" است .
Internet zone . ناحيه فوق ، بصورت پيش فرض شامل هرچيزی که بر روی کامپيوتر و يا اينترانت موجود نمی باشد ، خواهد بود . سطح امنيتی پيش فرض برای ناحيه فوق، " medium " است .
برای هر يک از نواحی فوق، می توان يک سطح امنيتی بالاتر را نيز تعريف نمود. ماکروسافت در اين راستا سياست هائی با نام : low , medium-low , medium و high را تعريف کرده است . کاربران می توانند هر يک از پيش فرض های فوق را انتخاب و متناسب با نياز خود آنان را تغيير نمايند .
برنامه outlook می تواند از نواحی فوق استفاده نمايد . در اين حالت کاربر قادر به انتخاب دو ناحيه ( Internet zone و Restricted Zone ) خواهد بود .
http://www.srco.ir/Articles/images/Email3.jpg تنظيمات تعريف شده برای ناحيه انتخاب شده در رابطه با تمام پيام های outlook اعمال خواهد شد . پيشنهاد می گردد ناحيه restricted انتخاب گردد . بدين منظور گزينه Tools/Options و در ادامه گزينه Security را انتخاب نموده و از ليست مربوطه ناحيه Restricted sites را انتخاب نمائيد. در ادامه و بمنظور انجام تنظيمات مورد نظر ، دکمه Zone Settings را فعال و گزينه Custom Level را انتخاب نمائيد . تغييرات اعمال شده در زمان استفاده از برنامه مرورگر برای دستيابی به وب سايت ها نيز مورد توجه قرار خواهند گرفت . پيشنهادات ارائه شده مختص برنامه IE 5.5 بوده و در نسخه های 5 و 4 نيز از امکانات مشابه با اندکی تغييرات استفاده می گردد. در اين رابطه تتظيمات زير پيشنهاد می گردد :
گزينه
وضعيت
Download signed ActiveX controls
DISABLE
Download unsigned ActiveX controls
DISABLE
Initialize and script ActiveX controls not marked as safe
DISABLE
Run ActiveX controls and plug-ins
DISABLE
Script ActiveX controls marked safe for scripting
DISABLE
Allow per-session cookies (not stored)
DISABLE
File download
DISABLE
Font download
DISABLE
Java permissions
DISABLE JAVA
Access data sources across domains
DISABLE
Don�t prompt for client certificate selection when no certificates or only one certificate exists
DISABLE
Drag and drop or copy and paste files
DISABLE
Installation of desktop items
DISABLE
Launching programs within an IFRAME
DISABLE
Navigate sub-frames across different domains
DISABLE
Software channel permissions
HIGH SAFETY
Submit nonencrypted form data
DISABLE
Userdata persistence
DISABLE
Active scripting
DISABLE
Allow paste operations via script
DISABLE
Scripting of Java Applets
DISABLE
Logon
Anonymous logon
با غير فعال نمودن گزينه های فوق، امکانات پيشرفته ای از کاربر سلب می گردد. امکانات فوق برای تعداد زيادی از کاربران پست الکترونيکی ، دارای کاربردی خاص نخواهند بود . اکثر نامه های الکترونيکی ، پيام های ساده متنی بهمراه ضمائم مربوطه می باشند. گزينه های فوق، عموما" به غير فعال نمودن اسکريپت ها و کنترل های موجود در بدنه يک پيام الکترونيکی اشاره داشته و برای کاربران معمولی سيستم پست الکترونيکی دارای کاربردی خاص نمی باشند. تنظيمات فوق، بصورت مشترک توسط مرورگر IE نيز استفاده خواهند شد (صفحات وبی که از برخی از ويژگی های فوق استفاده می نمايند) . در اين رابطه لازم است مجددا" به اين موضوع اشاره گردد که ناحيه Restricted صرفا" شامل سايت هائی است که مورد اعتماد نبوده و مشکلی ( عدم فعال بودن برخی از پتانسيل های مرورگر ) را در رابطه با مشاهده صفحات وب از سايت های تائيد شده ،نخواهيم داشت.مهمترين دستاورد تنظيمات فوق،پيشگيری از حملاتی است که سياست تخريبی خود را بر اساس درج محتويات فعال در بدنه نامه های الکترونيکی، تبين نموده اند . ( نظير ويروس BubbleBoy ) .