پاکسازی کامل هارد دیسک DBAN Wipe

اگر قصد دارید کامیپوتر شخصی، نوت بوک و یا حتی سروری را از چرخه سرویس‌دهی خارج کنید و کمی در مورد اطلاعاتی که از قبل بر روی آن ذخیره شده است، نگران هستید، DBAN یکی از سریعترین روش‌ها برای پاک کردن اطلاعات از روی هارد دیسک شماست. توجه کنید: DBAN به راحتی می‌تواند تمام اطلاعات هارددیسک شما را از بین ببرد. اگر دلیلی برای پاکسازی کامل هارد دیسکتان ندارید، این نوشته را نخوانید.

Darik’s Boot and Nuke یک لینوکس کوچک و Bootable‌ است که می‌تواند با استفاده از CD، DVD، USB و یا حتی فلاپی دیسک و یا حتی از روی شبکه، هارد دیسک کامپیوترتان به با ضریب اطمینان بالایی از بین ببرد. DBAN با علاوه بر پاکسازی سریع اطلاعات می‌تواند از چندین روش کمی قابل اطمینان نیز استفاده کند.

The program is designed to securely erase a hard disk until data is permanently removed and no longer recoverable, which is achieved by overwriting the data with pseudorandom numbers generated by Mersenne twister or ISAAC. The Gutmann method, Quick Erase, DoD Short (3 passes), and DOD 5220.22-M (۷ passes) are also included as options to handle data remanence.

خطر گسترش اسپم‌ در فضای وب فارسی

ایمیلی که در چند روز اخیر با موضوع «سلام، من ایمیل آدرسم رو عوض کردم» در صندوق پستی بسیاری از کاربران (حداقل)ایرانی نشسته است، گوشزد مهمی در خصوص ناکارآمدی ابزارهای امنیتی عمومی موجود در اینترنت (و به‌خصوص شبکه‌های داخلی) است. موارد زیر، برخی نظرات شخصی من در خصوص این ایمیل است:

  • همانطور که قبلاً هم اشاره کرده‌‌ام، با توجه به وضعیت فعلی امنیت اطلاعات در شبکه‌های اطلاع رسانی، بسیاری از نرم‌افزارها و سخت‌افزارها و به خصوص راه‌حل‌های قدیمی که برای استقرار امنیت اطلاعات طراحی، خریداری/ویا به فروش رسیده است، ناکار‌آمد و نمایشی است. بسیاری از فایروال‌ها و ضدویروس‌های قدیمی (و حتی جدید) توانایی مقابله با بیشتر تهدیدهای امنیتی مدرن را ندارد.
  • ارتباط اندک نهادهای امنیت اطلاعات (رایانه‌ای) مستقر در ایران، با سازمان‌های جهانی، با وجود افزایش حس استقلال اطلاعاتی برای کشور، در آینده‌ای بسیار نزدیک باعث بروز مشکلات متعددی برای کاربران ایرانی (و جهانی) خواهد شد. امنیت اطلاعات در سال‌های اخیر به همان اندازه که سلامت انسان‌ها اهمیت دارد، اهمیت پیدا کرده است. تصور کنید اگر واکسن‌ها و یا مقابله با ویروس‌های انسانی تنها قرار باشد در داخل کشور راهبری و کنترل شود، چه مشکلات متعددی به وجود خواهد آمد.
  • تجربه‌های پیشین من از مقابله با اسپم‌ها در داخل شبکه‌های (کمی بزرگ) ایرانی، دلنگرانی‌های عمده‌ای برای من ایجاد کرده است. به خاطر دارم ۲ سال پیش، در یک شبکه با تعداد کاربران نه چندان زیاد (۸۰۰ کاربر) چیزی در حدود ۱۴ اسپم در دقیقه نابود می‌شد. از ۲ سال پیش تاکنون روش‌های جدید و هوشمند بسیاری برای اسپم‌های هدفمند توسعه داده شده است.
  • اسپم‌ها، با وجود ارزش پایینی که دارند، یکی از کم هزینه‌ترین (و موثرترین) روش‌های پخش و گسترش‌ بات‌نت‌ها هستند. اسپم‌هایی در سطح گسترده، در یک جامعه هدفمند، می‌توانند آغاز و یا یکی از مراحل ابتدایی شروع گسترده‌تری از یک بات‌نت باشند.
  • عدم اطلاع رسانی سریع یک نهاد پاسخگو در زمینه امنیت اطلاعات، می‌تواند ریسک‌های حملات اطلاعاتی را افزایش دهد. در ایران، تا آنجا که من اطلاع دارم، نهادهای مختلفی در خصوص امنیت اطلاعات فعالیت می‌کنند. مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای به تصور من اگر صلاحیت و اجازه قانونی این کار را دارد، می‌بایست پیش از بروز شایعات و یا تبعات آتی، در سریع‌ترین زمان ممکن در خصوص این موارد اطلاع رسانی کند.
  • هر چند تابه‌حال چندین بار خبر افتتاح Honey Potهای دولتی منتشر شده است، اما برای من جمع آوری و تحلیل داده‌های جمع‌آوری شده توسط این ابزارها مشخص نیست. اگر این مجموعه وجود دارد و در حال فعالیت می‌باشد، می‌بایست گزارش‌های محکم و سودمندی با دلایل فنی کافی منتشر شود. یقین دارم بسیاری از مدیران شبکه ترجیح می‌دهند پهنای باند گران قیمتی که در سازمانشان مصرف می‌شود برای استفاده‌ای به جز اسپم‌ها و بات‌نت‌ها باشند.

تردید در ساختارهای امنیت اطلاعات

روش‌هایی که پیش از این برای پیاده‌سازی امنیت اطلاعات استفاده می‌شده‌اند، در یک سال اخیر با مشکلات عمده‌ای مواجه شده‌اند. از سال پیش، به صورت عمده‌ای، ناامنی در فضاهای مختلف اطلاعاتی در حال گسترش است. یک مرور می‌توانید داشته باشید:

  1. نفوذ زئوس و جمع‌آوری اطلاعات بی‌شماری از سطح و عمق شبکه‌های ارتباطی
  2. تولید، انتشار و گسترش استاکس‌نت در محیط‌هایی که از پیش هدف گیری شده بودند
  3. توانایی تخریب گسترده گروه‌های نوجوان و غیر دولتی ـ اشاره مستقیم به گروه انانیموس
  4. اثبات ناکارآمدی ابزارهای تامین امنیت اطلاعات شبکه برای سازمان‌های عریض و طویل و حرفه‌ای – اشاره مستقیم به ماجراهای سونی و گاردین و سایر سایت‌هایی که از انتقام‌های انانیموس در امان نماندند.
  5. نفوذ به وب‌سایت‌ها و سامانه‌هایی که توسط افراد حرفه‌ای نگهداری می‌شوند ـ اشاره به نفوذ به سورس فورج و اخیرا کرنل دات اورگ
  6. اثبات امکان پذیری حملات MITM در مقیاس‌های بزرگ – اشاره به آنچه برای گوگل پیش آمد
  7. نفوذ به امن‌ترین سیستم‌های دفاعی با استفاده از اشتباهات انسانی – اشاره به ماجراهای RSA و لاکهیدمارتین

برای من، این ۷ مورد کافی است تا اطمینان پیدا کنم، در مورد کارآمدی روش‌های پیشین باید بهتر فکر کرد.

۷ پیشنهاد برای کنترل امنیت اطلاعات

بسیاری از شرکت ها و سازمان های بزرگ و کوچک برای تامین امنیت اطلاعات خود از راهکارهای مدرن و توسعه یافته استفاده می‌کنند. راهکارهای امروزی تامین امنیت اطلاعات، با استفاده از فن‌آوری های مختلفی پیاده سازی می‌شوند. امنیت شبکه، امنیت سرویس‌دهنده‌ها و امنیت برنامه‌های کاربردی همگی باهم، تنها، باعث ایجاد زمینه امنیت اطلاعات می‌شوند. نکته‌ای که به صورت رایج در مورد امنیت اطلاعات در نظر گرفته نمی‌شود، ضرورت ایجاد ساختار مناسب برای استفاده از مزایای فن‌آوری‌های امنیتی است. با استفاده از ایجاد ساختار و همبندی مناسب، امکان مدیریت، کنترل و ایجاد روال‌های امنیتی برای زیرساخت‌های امنیت اطلاعات فراهم  می‌شود. این نوشتار به صورت خلاصه پیشنهاداتی را برای استفاده از فن‌آوری‌های امنیت اطلاعات بیان می‌کند.

محیط خود را بشناسید

پیش از انجام هر اقدام، تغییر و یا ارایه هر پیشنهاد و درخواستی، می‌بایست نسبت به محیطی که برای امنیت اطلاعات آن در تلاش هستید، آشنایی پیدا کنید. آشنایی سطحی منجر به تصمیمات سطحی خواهد بود! پس تلاش کنید تا تمام اجزای اصلی بخش‌هایی را که امنیت اطلاعات آن‌ها مهم است، از طریق مناسب بشناسید. شما می‌بایست تمام سخت‌افزارها و نرم‌افزارهای موجود را فهرست کرده باشید و از جزییات دسترسی هر کدام آگاهی داشته باشید. برنامه‌های کاربردی و نوع کارکرد آن‌ها نیز برای تصمیم گیری شما مهم است. پروتکل‌های مورد استفاده و نوع تبادل داده در میان برنامه‌های کاربردی به صورت مستقیم با نحوه همبندی شبکه شما مرتبط است.

نقش‌ها را تعیین کنید

پس از آشنایی با محیط عملیاتی، می‌بایست تمامی نقش‌های اجزای سازنده، تعیین و مستند شوند. ممکن است مسئولیت انجام این کار با شما نباشد، در این صورت سعی کنید فرد مرتبط با این موضوع را برای ایجاد سند مربوط آگاه سازید. تعدادی از نقش‌های اصلی عبارت است از وظیفه هر سرور و نوع ارایه سرویس توسط هر سرویس‌دهنده. همچنین نقش برنامه‌های کاربردی در منطق کسب و کار سازمان شما بیانگر میزان اهمیت امنیت اطلاعات برای آن‌ها است. در نظر داشته باشید نقش‌های انسانی نیز در تدوین مدل امنیتی سازمان شما حیاتی است. سعی کنید برای تمامی مواردی که در مرحله شناخت برای شما مهم بوده‌اند، نقش مرتبط را تعیین کنید.

نوع دسترسی‌ها را بررسی کنید

پس از تعیین نقش‌های اصلی، نوع دسترسی برای هر گروه و هر فرد می‌بایست مشخص شود. تمامی اجزای شبکه سازمان شما، می‌بایست دارای نوع دسترسی کنترل شده باشند. از دیدگاه شبکه‌، تمامی کاربران سیستم‌های اطلاعاتی نیز قسمتی از اجزای شبکه می‌باشند. همچنین کاربران راه دور، شرکت‌های همکار، شعب و مشتریان قسمت دیگری از اجزای شبکه می‌باشند. هر چند ممکن است تمامی این اجزا در ۲ و یا ۳ گروه دسترسی خلاصه شوند، اما این دسته بندی می‌بایست آگاهانه و به دور از ایجاد استثنا برای کارهای موقتی باشد. بسیاری از حملات و آسیب‌پذیری‌ها بر روی شبکه‌های اطلاعاتی، به خاطر ایجاد استثنا در زمان نیاز می‌باشد.

از چیز‌هایی که نمی‌دانید به آسانی عبور نکنید

پس از تمامی کنترل‌های اولیه، به احتمال زیاد نقاط تاریکی در ساختار شبکه و سازمان اطلاعاتی شما باقی خواهد ماند. این نقاط تاریک مناسب‌ترین محل شروع برای یک حمله به سمت سازمان شما خواهد بود. خرابکاران اینترنتی و نرم‌افزارهای مخرب تبحر ویژه‌ای در یافتن این نقاط و سواستفاده از آن‌ها  دارند. هر چه قدر این نقاط تاریک مشخص‌تر و شفاف‌تر باشند، شانس خرابکاری و آسیب بر روی اطلاعات مهم شما کمتر خواهد بود. اگر نمی‌توانید تمامی نقاط تاریک را برطرف سازید، حداقل آن را به عنوان یک مشکل مستندسازی کنید و مدیران سازمان خود را از وجود آن مطلع سازید.

چرخ را دوباره اختراع نکنید

ضرب‌العجل‌های کاری، کمبود زمان و نیرو، عدم اشرف کامل به فن‌آوری‌های اطلاعاتی و احساس دانای‌کل بودن از جمله مواردی است که باعث ایجاد مجدد چرخ‌ در سازمان‌ها می‌شود. هر چند این موارد ممکن است در بازه‌های زمانی موقت باعث انجام کار شود، اما در دراز مدت باعث ایجاد هرج و مرج اطلاعاتی و عدم امکان کنترل و مدیریت امنیت اطلاعات خواهد شد. به عنوان مثال استفاده از الگوریتم‌های رمزنگاری خودساخته و غیراستاندارد، و یا ایجاد روش‌های افزونگی غیراستاندارد، و یا استفاده از برنامه‌های اطلاعاتی بدون پشتیبانی مناسب، از مهم‌ترین مواردی است که باعث بروز آسیب‌پذیری‌های امنیتی می‌شوند.
همچنین عدم در نظر گرفتن شیوه‌نامه‌ها و استانداردهایی که برای هر صنعت متداول است، می‌تواند باعث افزایش شانس بروز آسیب‌پذیری‌های امنیتی در ساختار اطلاعاتی سازمان شود. برای این مورد هم می‌توان به عنوان نمونه، از عدم رعایت شیوه‌نامه‌ بازل در صنعت بانکداری در بخش امنیت اطلاعات اشاره نمود.

همه چیز را دوباره بررسی کنید

هر چند در سازمان شما زمان و انرژی زیادی صرف کنترل و بررسی موارد امنیتی و اطلاعاتی شده است، اما می‌بایست در نظر داشت که اطمینان از صحت داشته‌ها و اطلاعات، اولین شرط برای شروع اجرای تصمیمات جدید است. سعی کنید یک فهرست از تمام مواردی که برای امنیت اطلاعات سازمان شما حیاتی است تهیه کنید و با مراجعه به افراد مسئول و تصمیم‌گیر در هر مورد آخرین بررسی‌ها در مورد صحت داشته‌ها و اطلاعات را انجام دهید. پس از بررسی و کنترل، سندی از اطلاعات مورد توافق تهیه کنید و آن را به عنوان معیار هر مورد اطلاعاتی قرار دهید. به عنوان مثال نوع دسترسی افراد به اطلاعات و میزان دسترسی تجهیزات تحت شبکه به منابع شبکه از مواردی است که می‌بایست Double Check و نهایی گردد. از این پس، تصمیم اخذ شده به عنوان معیاری برای اعمال قوانین امنیتی خواهد بود.

همه چیز را به صورت مستمر کنترل کنید

آخرین بخش پیشنهادی، Monitoring  است. تمامی اطلاعاتی که از ساختار اطلاعاتی خود کسب کرده‌اید و تمامی اجزای ساختار امنیت اطلاعات در سازمان شما می‌بایست به صورت مستمر و بدون وقفه تحت کنترل باشد. قسمتی از این کنترل مستمر روال‌های انسانی و قسمت مهم‌تر آن ذخیره‌سازی و پردازش لاگ‌فایل‌ها و گزارشات امنیتی است. به زبان ساده‌تر، پایش امنیتی تمامی اجزای ساختار امنیت اطلاعات در سازمان شما، کلید حفظ وضعیت مطلوب و آگاهی از بروز وقایع در تمامی زمان‌ها است.

۲۰ دلیلی که اطلاعات سازمانی از بین می‌روند

از بین رفتن و یا به بیرون درز کردن اطلاعات سازمانی به اندازه تعداد افرادی که به آن‌ها دسترسی دارند متنوع است. علت عمده از بین رفتن اطلاعات و داده‌ها و یا نشت امنیتی‌ این گونه اطلاعات خطاهای انسانی خواسته و یا ناخواسته است. علت عمده این خطاهای ناخواسته بر خلاف تصور عمومی ندانستن و عدم وجود دانش نیست، بلکه سهل‌انگاری و تنبلی باعث ایجاد خطا و بروز نشت اطلاعات و یا از بین رفتن اطلاعات می‌شود.

در نوشته ۲۰ روشی که بانک اطلاعاتی شما از دست خواهد رفت، CREDANT این موارد را بیان کرده است:

  1. Employees able to access a database regardless of their need to do so, with sight of complete records including information that they do not necessarily need to see
  2. Unrestricted downloading of the database to removable media
  3. Employees able to print individual records, or even the full database, in hard copy format
  4. Employees able to access records, in undefined quantities or for unlimited periods of time, providing the opportunity to make a written copy
  5. Records, or even the entire database, altered or deleted
  6. The full database, or individual files, emailed as an attachment
  7. The full database, or individual files, uploaded to an external storage facility/website or a hosted document storage and management solution.
  8. Loss of external or portable media (memory sticks, CDs, laptops, etc) that contain unencrypted information, often during travel.
  9. Misplaced, or stolen, devices (laptops, blackberries, etc) used as a back door to the corporate network
  10. Secure employment for the purpose of having unrestricted access to confidential data with criminal intent
  11. Existing employees being coerced into removing data for financial gain
  12. Ex-employees who have not had their access rights revoked
  13. Photocopy hard copies
  14. Over the shoulder screen theft from mobile workforce
  15. Writing down, or even sharing, passwords
  16. Hacked WiFi networks – even with passwords
  17. Use of non-alphanumeric passphrases and passphrases of eight or less characters – which can be cracked in a few hours
  18. Use of unvetted external contractors or companies
  19. Use of vetted external companies on contracts without remediation/penalty clauses on responsibilities for when things go pear-shaped on the data security front
  20. Failure to use encrypted back-up storage media

کسب EAL4 برای ردهت RHEL

در مورد گواهینامه های EAL درحدود ۳ سال پیش مطلبی با عنوان EAL –  Evaluation  Assurance Level نوشته بودم. در آن زمان ردهت توانسته بود EAL2 را برای خانواده RHEL کسب  کند. با گذشت زمان و تکمیل شدن بررسی ها، اکنون قسمتی از محصولات ردهت RHEL توانسته است به +EAL4 دسترسی پیدا کند. این گواهینامه بدین معنا است که اکنون امکان استفاده کاملا امن و قابل اطمینان بر پایه محصولات مبتنی بر لینوکس و بر اساس استانداردهای دولتی وجود دارد (البته پیشتر نیز این امکان وجود داشت، ولی با این گواهینامه این ادعا به صورت رسمی قابل استناد است).  LWN  |  Infoworld

RHEL now certified at EAL4+
RHEL is now certified at EAL4+, when configured appropriately on IBM’s mainframe, System x, System p5 and eServer boxes, according to the protection profiles LSPP (labeling), RBACPP (role based access control) and CAPP (audit).

EAL4+ is as far as you can go with an off the shelf OS. Beyond this, you need semiformal security design and pretty much a new OS. LSPP is the  current equivalent of the old “orange book” B1 TCSEC rating.

شرکت ناول با محصول SLES دو سال پیش توانسته بود به سطح پایین تری از این گواهینامه دست پیدا کند.

حاشیه:در مطلب قبلی EAL، دوستی به علمی نبودن مطلب و اهمیت CC اشاره کرده است. مطالب زیادی در مورد این که واقعا هزینه کردن پول در کسب EAL نقش دارد یا نه وجود دارد. همانطور که  گرفتن بعضی از ISOها به پرداخت حق عضویت تبدیل شده است، بعضی از محصولات هم با مبالغ بسیار زیادی (US$1 million and even US$2.5 million) این گواهینامه ها را کسب کرده اند. ا ینجا را ببینید: Impact on cost and schedule

تصاحب Watchfire توسط IBM

صنعت امنیت بعد از دوران شروع به کار خودش کم کم وارد مرحله بلوغ شده است، غول های بزرگ تکنولوژی اطلاعاتی شروع به برنامه ریزی بلند مدت در مورد امنیت برنامه ها و کاهش ریسک مشتریانشان کرده اند. جدیدترین نمونه تصاحب Watchfire از سوی IBM است. طی تفاهم نامه ای که دیروز اعلام شد، با تصاحب Watchfire از طرف IBM و ترکیب محصولات آن با خانواده IBM’s Rational توسعه نرم افزارها با امنیت بیشتری ادامه خواهد یافت.

IBM to Acquire Watchfire to Help Customers Guard Against Online Security Attacks and Compliance Breaches.