در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

جلوگیری از rootkit شدن در سازمان ها با مکانیزم SIV در afick

Rootkit خطرناکترین چیزی است که در یک سازمان ممکن است برای سرورهای شما رخ بدهد ، یک هکر وب سرور و سیستم عامل های شما را هک کرده است و شما نه خبر دارید و نه خبردار خواهید شد که چنین اتفاقی افتاده است ، نه آنتی ویروس می تواند جلوی Rootkit را بگیرد و نه هیچ چیز دیگر ، در واقع می توان گفت تنها راهکار مقابله با Rootkit ها استفاده از مکانیزمهای پیشگیری است ، یک Rootkit خودش را بر روی فایل های سیستمی قرار می دهد و تمامی آثاری که یک هکر بر روی سیستم قرار داده است اعم از پورت های باز ، فایل های ترجان ، پردازش های CPU و ... را مخفی می کند. اما راهکار چیست ؟ راهکار مقابله با Rootkit ها مکانیزمی به نام SIV یا Signature Integrity Verifier است . اما در مکانیزم SIV چه اتفاقی می افتد ؟

معرفی راهکار مقابله با rootkit با afick

در مکانیزم های SIV یک نرم افزار از تمامی فایل های سیستم یا فایل هایی که ما انتخاب می کنیم و مستعد آلوده شدن به Rootkit هستند یک Hash تهیه می کند ، منظور از Hash این است که یک رشته از محتویات فایل خروجی گرفته می شود و این رشته منحصر به فرد خواهد بود ، به محض اینکه یک bit از این فایل ها دستکای شوند نرم افزار به شما اطلاع می دهد که اطلاعات شما دچار تغییر شده اند و احتمال آلوده شدن به Rootkit وجود دارد . وظیفه این نرم افزارها بررسی Integrity فایل ها است یعنی اطمینان از عدم تغییر فایل ها ، قویترین و معروفترین نرم افزاری که در این حوزه فعالیت می کند نرم افزاری به نام Tripwire است که بصورت تخصصی در این حوزه فعالیت می کند و یک راهکار کلان سازمانی است اما اگر ما بخواهیم بر روی یک سرور یا چند سرور این مکانیزم را تست کنیم چطور می تونیم ؟ نرم افزار Open Source ای به نام afick وجود دارد که می تواند تا حدود زیادی تجربه استفاده از یک مکانیزم SIV را به شما ارائه بدهد ، این نرم افزار Open Source می تواند بر روی همه نوع سیستم عامل نصب شود و مکانیزم SIV را پیاده سازی کند ، از مهمترین امکانات این نرم افزار می توانیم به موارد زیر اشاره کنیم :

  1. این نرم افزار پرتابل یا قابل حمل است و نیازی به نصب و تغییر هیچ سیستم عاملی ندارد
  2. این نرم افزار می تواند بر روی هر سیستم عاملی اعم از ویندوز و لینوکس و یونیکس قابل استفاده است
  3. این نرم افزار نیازی به کامپایل شدن ندارد
  4. سرعت اجرای نرم افزار بالا است
  5. تمامی فایل های جدید ، حذف شده و تغییر کرده نمایش داده می شوند
  6. لینک های مشکوک در فایل ها را شناسایی می کند
  7. امکان استفاده توسط هر کاربری را دارد
  8. امکان دریافت Hash بصورت MD5 و الگوریتم های دیگر وجود دارد و ...

اما هدف من معرفی یک نرم افزار نیست ، هدف من معرفی یک راهکار است ، اینکه ما بدانیم چگونه می توانیم در یک سازمان با Rootkit ها مقابله کنیم ، Tripwire برای همگان قابل استفاده نیست اما ما می توانیم با استفاده از afick همه اینکارها را انجام بدهیم ، afick بسیار ساده و کاربردی است و بعضا برای سرورهایی که بصورت stand alone فعالیت می کنند و احتمال آلودگی را دارند نیز قابل استفاده است ، afick مخفف واژه Another File Integrity ChecKer است و می تواند به عنوان یک سناریوی خوب برای پروژه های امنیتی و به ویژه دانشگاهی نیز مطرح شود. امیدوارم از این مطلب حداقل استفاده را کرده باشید. اگر سئوالی در این خصوص دارید در ادامه می توانید مطرح کنید. ITPRO باشید

نویسنده : محمد نصیری

منبع : جزیره امنیت اطلاعات و ارتباطات وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

#جلوگیری_از_آلودگی_به_بدافزارها #signature_integrity_verifier_چیست #پیشگیری_از_rootkit_شدن #آلوده_شدن_به_rootkit #جلوگیری_از_rootkit #rootkit_چيست #روشهای_جلوگیری_از_rootkit #siv_چیست #بدافزار_یا_MalWare_چیست_؟
4 نظر
AZARAKHSH

ممنون مهندس

مثل همیشه بسیار عالی و کاربردی

حسن مقدم

عالی بود استفاده کردیم

کامبیز ذوقی

siv رو میشه بر روی کلاینت های ویندوزی اعمال کرد و اگه بله چطوری؟

شبکه ما ورک گروپه

محمد نصیری

بله میشه فکر می کنم همین ابزار یک راهکار باشه اشاره ای نشده که فقط در ورک گروپ کاربرد داره ، ولی پیشنهاد اینه که همیشه روی سرورهای حساس اینکار انجام بشه نه کلاینت ها

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....