تغيير فايل مرتبط و يا غير فعال نمودن WSH
patch امنيتي ارائه شده در پيشگيري اول، باعث حفاظت سيستم در مقابل ويروس هائي نظير ILOVEYOU ، در outlook 98 و outlook 2000 مي گردد . متاسفانه روش مشابهي بمنظور استفاده در outlook Express ، وجود ندارد. بمنظور حفاظت سيستم در مقابل نامه هاي الکترونيکي که داراي عملکردي نظير ILOVEYOU مي باشند ، مي توان از روشي ديگر در outlook express استفاده کرد. بدين منظورمي توان تغييراتي را در سطح برنامه هائي که مسئول فعال نمودن فايل مورد نظر( File Associations ) مي باشند ، اعمال نمود. کرم ILOVEYOU ، از طريق يک فايل اسکريپت ويژوال بيسيک ( vbs .) ، که توسط ميزبان اسکريپت ويندوز (Windows Scripting Host :WSH ) تفسير مي گردد ، فعال خواهد شد. در حقيقت WSH محيط ( شرايط) لازم براي ILOVEYOU را فراهم مي نمايد. اعمال محدوديت در رابطه با WSH و يا تغيير در فايل پيش فرض مربوطه اي که مسئول برخورد( نمايش ، ايجاد شرايط اجراء) با فايل مورد نظر مي باشد ، مي تواند يک سطح مناسب امنيتي را در رابطه با ضمائم نامه هاي الکترونيکي که حاوي کدهاي مخرب مي باشند ، فراهم مي نمايد. در اين رابطه از راهکارهاي متفاوتي مي توان استفاده کرد .
روش اول : يکي از روش هاي پيشگيري موثر در مقابل اين نوع از حملات ، تغيير واکنش پيش فرض در زماني است که کاربر باعث فعال شدن اينچنين فايل هاي مي گردد ( double click بر روي فايلي با انشعاب vbs . ) .در ويندوز NT ، اين عمليات از طريق Windows Explorer و بصورت زير انجام مي شود.
View | Folder Options ==>
Select VBScript Script File ==> Click Edit ==> Highlight Edit ==> Click Set Default |
پس از اعمال تغييرات فوق ، در صورتيکه کاربري فايلي ضميمه با انشعاب vbs . را فعال نمايد ، فايل مورد نظر توسط WSH اجراء نخواهد شد ، در مقابل ، فايل فوق ، بدون نگراني توسط اديتور پيش فرض ( معمولا" notepad ) ، فعال و نمايش داده خواهد شد. فرآيند فوق را مي توان به فايل هاي ديگر نيز تعميم داد. فايل هائي که داراي يکي از انشعابات زير باشند ، توسط WSH فعال خواهند شد . بنابراين مي توان تغييرات لازم را مطابق آنچه اشاره گرديد ، در رابطه با آنها نيز اعمال نمود.
WSC , WSH ,WS ,WSF,VBS,VBE,JS,JSE |
روش ارائه شده در رابطه با outlook Express بخوبي کار خواهد کرد . در اين راستا ، لازم است به اين مسئله مهم اشاره گردد که تضميني وجود ندارد که سرويس گيرندگان پست الکترونيکي از تنظيمات پيش فرض، زمانيکه کاربر يک فايل ضميمه را فعال مي نمايد، استفاده نمايند . مثلا" زمانيکه يک فايل ضميمه vbs. ، توسط Netscape messenger فعال مي گردد ، کاربر داراي گزينه هاي open و يا Save خواهد بود. در صورتيکه کاربر گزينه open را انتخاب نمايد ، کد مورد نظر صرفنظر از تنظيمات پيش فرض فعال خواهد شد.( ناديده گرفتن تنظيمات پيش فرض )
روش دوم : راهکار ديگري که مي توان بکمک آن باعث پيشگيري از بروز چنين مسائلي گرديد ، غير فعال نمودن WSH است . براي انجام عمليات فوق ( غير فعال نمودن WSH ) مي بايست برنامه هاي ويندوز را که باعث حمايت و پشتيباني از اجراء اسکريپت ها مي گردند ( برنامه هاي wscript.exe و csscript ) را تغيير نام داد .در سيستم هائي شامل ويندوزNT ، اين فايل ها در مسير %System%\System32 ، قرار دارند( معمولا" C:\Winnt\System32 ) . بمنظور تغيير نام فايل هاي فوق ، بهتر است از طريق خط دستور ( command prompt) اين کار انجام شود. در برخي از نسخه هاي سيستم عامل، بموازات تغيير نام فايل مرتبط با يک نوع حاص از فايل ها ، بصورت اتوماتيک برنامه مرتبط با آنان به نام جديد تغيير داده خواهد شد. بدين ترتيب تغيير اعمال شده هيچگونه تاثير مثبتي را از لحاظ امنيتي بدنبال نخواهد داشت .
روش سوم : گزينه سوم در خصوص غير فعال نمودن WSH ، تغيير مجوز فايل ( File Permission ) در رابطه با فايل هاي Wscript.exe و CSscript.exe است . روش فوق ، نسبت به دو روش اشاره شده ، ترجيح داده مي شود. در چنين مواردي امکان استفاده از پتانسيل هاي WSH براي مديران سيستم وجود داشته در حاليکه امکان استفاده از پتانسيل فوق از کاربران معمولي سلب مي گردد .
لازم است به اين نکته مهم اشاره گردد که با اينکه پيشگيري فوق ، در رابطه با کرم هائي نظير ILOVEYOU و موارد مشابه موثرخواهد بود ، ولي نمي تواند تمام ريسک هاي مربوط در اين خصوص و در رابطه با ساير فايل ها ئي که ممکن است شامل کدهاي اسکريپت باشند را حذف نمايد. در اين رابطه مي توان به فايل هاي با انشعاب exe . ، اشاره نمود. اين نوع فايل ها داراي نقشي حياتي در رابطه با انجام عمليات بر روي يک کامپيوتر بوده و نمي توان آنها را غير فعال نمود . بدين ترتيب متجاوزان اطلاعاتي مي توانند از اين نوع فايل ها ، بعنوان مکانيزمي جهت توزيع کدهاي مخرب ، استفاده نمايند .
حفاظت ماکروهاي آفيس و آموزش کاربران
ماکروسافت در رابطه با حفاظت در مقابل فايل هاي ضميمه حاوي کدهاي مخرب از طريق ساير برنامه هاي جانبي، نيز تدابيري انديشيده است . مثلا" با اينکه patch امنيتي ارائه شده در پيشگيري اول ، بصورت پيش فرض در رابطه با ماکروهاي word موثر واقع نمي شود ، ولي در بطن اين نوع نرم افزارها امکانات خاصي قرار گرفته شده است که مي توان بکمک آنان ، يک سطح امنيتي اوليه در رابطه با فعال شدن ماکروها را اعمال نمود. مثلا" آفيس 97 ، گزينه اختياري حفاظت ماکرو را ارائه که مي توان بکمک آن يک لايه حفاظتي را در رابطه با عملکرد ماکروها ، ايجاد نمود. در چنين مواردي به کاربران پيامي ارائه و کاربران مي توانند قبل از فعال شدن ماکرو در رابطه با آن تصميم گيري نمايند ( ارائه پاسخ مناسب توسط کاربران ) . لازم است در اين خصوص به کاربران آموزش هاي ضروري و مستمر در رابطه با خطرات احتمالي عدم رعايت اصول اوليه امنيتي خصوصا" در رابطه با دريافت نامه هاي الکترونيکي از منابع غيرمطمئن داده شود . گزينه فوق را مي توان از طريق Tools|options|General| Enable macro virus protection ، فعال نمود. آفيس 2000 و XP وضعيت فوق را بهبود و مي توان تنظيمات لازم در خصوص اجراي ماکروهاي دريافتي از يک منبع موثق و همراه با امضاء ديجيتالي را انجام داد . در word , Powerpoint .Excel مي توان ، گزينه فوق را از طريق Tools|macro|Security ، استفاده و تنظيمات لازم را انجام داد. با انتخاب گزينه High ، حداکثر ميزان حفاظت ، در نظر گرفته خواهد شد.
نمايش و انشعاب فايل
يکي از روش متداول بمنظور ايجاد مصونيت در مقابل فايل هاي حاوي کدهاي مخرب ، تبديل فايل فوق به فايلي بي خاصيت ( عدم امکان اجراء) است . بدين منظور مي توان از يک انشعاب فايل اضافه استفاده نمود .(مثلا" فايل : ILOVYOU.TXT.VBS) . در صورتيکه ويندوز براي نمايش اين نوع فايل ها ( با در نظر گرفتن انشعاب فايل ها ) ، پيکربندي نشده باشد ، فايل فوق بصورت يک فايل متن تفسير خواهد شد. ( ILOVEYOU.TXT ) . بمنظور پياده سازي روش فوق مي بايست دو فاز عملياتي را دنبال نمود : در اولين مرحله مي بايست به ويندوز اعلام گردد که انشعاب فايل ها را از طريق Windows Explorer ، نمايش دهد . ( انتخاب Options|View و غير فعال نمودن Hide file extensions for known file types ) . متاسفانه براي برخي فايل هاي خاص که مي توانند شامل عناصر اجرائي و يا اشاره گري به آنان باشند ، تنظيم فوق ، تاثيري را بدنبال نداشته و در اين رابطه لازم است کليد هاي ريجستري زير ، بمنظور پيکربندي ويندوز براي نمايش انشعاب اين نوع از فايل ها ، حذف گردد ( مرحله دوم).
انشعاب فايل | کليد ريجستري | توضيحات |
.lnk | HKEY_CLASSES_ROOT\lnkfile\NeverShowExt | Shortcut |
.pif | HKEY_CLASSES_ROOT\piffile\NeverShowExt | Program information file
(shortcut to a DOS program) |
.scf | HKEY_CLASSES_ROOT\SHCmdFile\NeverShowExt | Windows Explorer
Command file |
.shb | HKEY_CLASSES_ROOT\DocShortcut\NeverShowExt | Shortcut into a document |
.shs | HKEY_CLASSES_ROOT\ShellScrap | Shell Scrap Object |
.xnk | HKEY_CLASSES_ROOT\xnkfile\NeverShowExt | Shortcut to an Exchange
folder |
.url | HKEY_CLASSES_ROOT\InternetShortcut\NeverShowExt | Internet shortcut |
.maw | HKEY_CLASSES_ROOT\Access.Shortcut.DataAccessPage.1\NeverShowExt | Shortcuts to elements of an MS Access database.
Most components of an Access database can containan executable component. |
.mag | HKEY_CLASSES_ROOT\Access.Shortcut.Diagram.1\NeverShowExt |
.maf | HKEY_CLASSES_ROOT\Access.Shortcut.Form.1\NeverShowExt |
.mam | HKEY_CLASSES_ROOT\Access.Shortcut.Macro.1\NeverShowExt |
.mad | HKEY_CLASSES_ROOT\Access.Shortcut.Module.1\NeverShowExt |
.maq | HKEY_CLASSES_ROOT\Access.Shortcut.Query.1\NeverShowExt |
.mar | HKEY_CLASSES_ROOT\Access.Shortcut.Report.1\NeverShowExt |
.mas | HKEY_CLASSES_ROOT\Access.Shortcut.StoredProcedure.1\NeverShowExt |
.mat | HKEY_CLASSES_ROOT\Access.Shortcut.Table.1\NeverShowExt |
.mav | HKEY_CLASSES_ROOT\Access.Shortcut.View.1\NeverShowExt |
از Patch هاي بهنگام شده، استفاده گردد
اغلب حملات مبتني بر اينترنت از نقاط آسيب پذير يکساني بمنظور نيل به اهداف خود استفاده مي نمايند . ويروس Bubbleboy ، نمونه اي مناسب در اين زمينه بوده که تهيه کننده آن از نفاط آسيب پذير شناخته شده در مرورگر اينترنت ( IE ) ، استفاده کرده است . ماکروسافت بمنظور حل مشکل اين نوع از نقاط آسيب پذير در محصولات خود خصوصا" برنامه مرورگر اينترنت ، patch هاي امنيتي خاصي را ارائه نموده است . با توجه به امکان بروز حوادث مشابه و بهره برداري از نقاط آسيب پذير در محصولات نرم افزاري استفاده شده ، خصوصا" نرم افزارهائي که بعنوان ابزار ارتباطي در اينترنت محسوب مي گردند ، پيشنهاد مي گردد که patch هاي ارائه شده را بر روي سيستم خود نصب تا حداقل از بروز حوادث مشابه قبلي بر روي سيستم خود جلوگيري نمائيم .
محصولات آنتي ويروس
اغلب محصولات تشخيص ويروس هاي کامپيوتري، عمليات تشخيص خود را بر اساس ويروس هاي شناخته شده ، انجام خواهند داد . بنابراين اينگونه محصولات همواره در مقابل حملات جديد و نامشخص ، غيرموثر خواهند بود. محصولات فوق ، قادر به برخورد و پيشگيري از تکرار مجدد ، حملات مشابه تهاجمات سابق مي باشند. برخي از محصولات آنتي ويروس ، امکان بلاک نمودن ضمائم نامه هاي الکترونيکي را در سطح سرويس دهنده پست الکترونيکي فراهم مي نمايند. پتانسيل فوق مي تواند عاملي مهم بمنظور بلاک نمودن ضمائم نامه هاي الکترونيکي حاوي کدهاي مخرب قبل از اشاعه آنان باشد .
رعايت و پايبندي به اصل " کمترين امتياز "
" کمترين امتياز " ، يک رويکرد پايه در رابطه با اعمال امنيت در کامپيوتر است . بر اين اساس توصيه مي شود که به کاربران صرفا" امتيازاتي واگذار گردد که قادر به انجام عمليات خود باشند . کدهاي مخرب بمنظور تحقق اهداف خود به يک محيط ، نياز خواهند داشت . محيط فوق ، مي تواند از طريق اجراي يک برنامه توسط يک کاربر خاص بصورت ناآگاهانه ايجاد گردد. در اين رابطه پيشنهاد مي گردد ، پس از آناليز نوع فعاليت هائي که هر کاربر مي بايست انجام دهد ، مجوزها ي لازم براي وي تعريف و از بذل و بخشش مجوز در اين رابطه مي بايست جدا" اجتناب ورزيد.
امنيت سيستم عامل
حفاظت در مقابل کدهاي مخرب مي تواند به ميزان قابل محسوسي از طريق کليدهاي اساسي سيستم ، کنترل و بهبود يابد. در اين راستا از سه رويکرد خاص استفاده مي گردد : حفاظت عناصر کليدي در ريجستري سيستم ، ايمن سازي اشياء پايه و محدوديت در دستيابي به دايرکتوري سيستم ويندوز NT . در ادامه به بررسي هر يک از رويکردهاي فوق ، خواهيم پرداخت .
پيشگيري نهم - رويکرد اول : ايمن سازي ريجستري سيستم
کرم ILOVEYOU از مجوزهاي ضعيف نسبت داده شده به کليدهاي ريجستري RUN و RUNSERVICES ، استفاده و اهداف خود را تامين نموده است . مجوزهاي دستيابي پيش فرض در رابطه با کليدهاي فوق ، امکان تغيير محتويات و يا حتي ايجاد محتويات جديد را در اختيار کاربران قرار مي دهد.مثلا" مي توان با اعمال تغييراتي خاص در رابطه با کليدهاي فوق ، زمينه اجراي اسکريپت هاي خاصي را پس از ورود کاربران به شبکه و اتصال به سرويس دهنده بصورت تکراري فراهم نمود . ( پس از ورود کاربران به شبکه ، اسکريپت ها بصورت اتوماتيک اجراء خواهند شد ) . بدين منظور پيشنهاد مي گردد که مجوزهاي مربوط به کليدهاي فوق بصورت جدول زير تنظيم گردد : ( پيشنهادات ارائه شده شامل کليدهاي اساسي و مشخصي است که توسط ILOVEYOU استفاده و علاوه بر آن کليدهاي اضافه ديگر را نيز شامل مي شود) :
مجوزهاي پيشنهادي | User/ Groups | کليد ريجستري |
FullControl
Read, Write, Execute
Full Control
Full Control | Administrators
Authenticated Users
CREATOROWNER
SYSTEM | MACHINE\SOFTWARE\Microsoft\Windows
کليدها و زير کليدها
پارامترهاي استفاده شده توسط زير سيستم هاي win32 |
FullControl
Read, Execute
Full Control | Administrators
Authenticated Users
SYSTEM | \MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
کليدها و زير کليدها
شامل اسامي امورد نظر که در هر مرتبه راه اندازي سيستم ، اجراء خواهند شد. |
FullControl
Read, Execute
Full Control | Administrators
Authenticated Users
SYSTEM | \MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunOnce
کليدها و زير کليدها
شامل نام برنامه اي که در اولين مرتبه ورود به شبکه کاربر ، اجراء مي گردد. |
FullControl
Read, Execute
Full Control | Administrators
Authenticated Users
SYSTEM | \MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunOnceEx
کليدها و زير کليدها
شامل اطلاعات پيکربندي براي برخي از عناصر سيستم و مرورگر. عملکرد آنان مشابه کليد RunOnceاست. |
FullControl
Read, Execute
Full Control
Full Control | Administrators
Authenticated Users
CREATOROWNER
SYSTEM | \MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Shell Extensions
کليدها و زير کليدها
شامل تمام تنظيمات Shell Extebsionکه از آنان بمنظور توسعه اينترفيس ويندوز NTاستفاده مي گردد. |
بمنظور اعمال محدوديت در دستيابي به ريجستري ويندوز از راه دور ، پيشنهاد مي گردد يک کليد ريجستري ايجاد و مقدار آن مطابق زير تنظيم گردد :
Hive: HKEY_LOCAL_MACHINE
Key: \System\CurrentControlSet\Control\SecurePipeServers\winreg
Name: RestrictGuestAccess
Type: REG_DWORD
Value: 1 |
رويکرد دوم : ايمن سازي اشياء پايه
ايمن سازي اشياء پايه باعث ممانعت کدهاي مخرب در ابطه با اخذ مجوزها و امتيازات مديريتي توسط يک ( DLL(Dynamic lonk Library مي گردد . بدون پياده سازي سياست امنيتي فوق ، کدها ي مخرب قادر به استقرار در حافظه و لود نمودن فايلي با نام مشابه بعنوان يک DLL سيستم و هدايت برنامه به آن خواهند بود. در اين راستا لازم است ، با استفاده از برنامه ويرايشگر ريجستري ، يک کليد ريجستري ايجاد و مقدار آن مطابق زير تنظيم گردد :
Hive: HKEY_LOCAL_MACHINE
Key: \System\CurrentControlSet\Control\Session Manager
Name: AdditionalBaseNamedObjectsProtectionMode
Type: REG_DWORD
Value: 1 |
رويکرد سوم : ايمن سازي دايرکتوري هاي سيستم
کاربران داراي مجوز لازم در خصوص نوشتن در دايرکتوري هاي سيستم ( winnt/system32 و winnt/system ) مي باشند . کرم ILOVEYOU از وضعيت فوق ، استفاده و اهداف خود را دنبال نموده است . پيشنهاد مي گردد ، کاربران تائيد شده صرفا" داراي مجوز Read دررابطه با دايرکتوري هاي و فايل ها ي مربوطه بوده و امکان ايجاد و يا نوشتن در دايرکتوري هاي سيستم، از آنها سلب گردد. در اين رابطه ، تنظيمات زير پيشنهاد مي گردد :
مجوزهاي پيشنهادي | User/ Groups | فايل / فولدر |
FullControl
Read, Execute
Full Control
Full Control | Administrators
Authenticated Users
CREATOROWNER
SYSTEM | %WINNT%
فايل ها ، فولدرها
شامل تعداد زيادي از فايل هاي اجرائي سيستم عامل |
FullControl
Read, Execute
Full Control
Full Control | Administrators
Authenticated Users
CREATOROWNER
SYSTEM | %WINNT/SYSTEM%
فايل ها ، فولدرها
شامل تعداد زيادي از فايل هاي DLL، درايور و برنامه هاي اجرائي |
FullControl
Read, Execute
Full Control
Full Control | Administrators
Authenticated Users
CREATOROWNER
SYSTEM | %WINNT/SYSTEM32%
فايل ها ، فولدرها
شامل تعداد زيادي از فايل هاي DLL، درايور و برنامه هاي اجرائي ( برنامه هاي سي و دو بيتي ) |