التفكير مثل القراصنة
الحلول في هذا الفصل:
■ فهم الشروط
■ تخفيف خطر الهجوم في ColdFusion الخاص بك تطبيقات
■ التعرف على أعلى ColdFusion تطبيق المأجورون
■ فهم هجمات هاكر
■ منع "اقتحام" من خلال التفكير مثل هاكر
الفصل 1
. ملخص
. حلول سريعة المسار
. أسئلة مكررة
تدعي Macromedia على موقع الويب الخاص بها أن منتج ColdFusion (CF) الخاص بها "يساعد
تقوم ببناء التطبيقات بسرعة ، وتجميع حلول قوية بسهولة ، وتقديم عالية
الأداء والموثوقية. "لسوء الحظ ، نفس الخصائص التي تجعل من السهل
لإنتاج تطبيقات في ColdFusion - التصميم والتطوير السريع ، فضفاضة
الكتابة المتغيرة ، ولغة تمييز برمجة يسهل الوصول إليها لغير المبرمجين - هي
صفات جذابة للقراصنة.
الغرض من هذا الفصل هو تعريفك على المتسللين الذين سوف يفعلون ذلك
حاول اقتحام تطبيق ColdFusion Web ، واقتراح التكتيكات
يمكنك استخدامه في مبنى التطبيق للتخفيف من مخاطر القرصنة. قراصنة
سيحاول استهداف أضعف الروابط في تطبيقك: يجب أن تعرف
تقدم ما هي تلك المناطق وكيف يمكنك ردع هؤلاء المستخدمين الضارين من
يسبب اذى.
غير أن هدف القرصنة لا يقتصر على إلحاق الضرر بآخر
نظام الكمبيوتر. يتنوع المخترقون من المخربين قليلي الخبرة - فقط يظهرون
من خلال تحطيم موقعك - لإتقان المتطفلين الذين سيهددون قواعد البيانات الخاصة بك
مكاسب مالية محتملة.كل منهم قد يصل إلى نوع من العار العام.
يتم التعرف على الاسم "Kevin Mitnick" على الفور من قبل أي شخص في الإنترنت
العالمية. خدم ميتنيك سنوات في السجن لجرائم القرصنة وأصبح الملصق
الطفل للقراصنة في كل مكان ، في كثير من الأحيان ينظر إليها باعتبارها الضأن القربان
(وبالتالي بطل عبادة) لجميع المتسللين الآخرين.
ربما ساعد ميتنيك في جلب التسلل إلى الأضواء في الآونة الأخيرة ، لكنه
بالتأكيد كان بعيدا عن أول من يشارك في القرصنة. يرجع ذلك جزئيا إلى حد كبير
الزيادة الأخيرة في سمعة وشعبية القرصنة ، يستمر سوء فهم
بين عامة السكان أن القرصنة هي ظاهرة جديدة نسبيا.
لا شيء يمكن أن يكون أبعد عن الحقيقة.أصول القرصنة ألغت
اختراع الإنترنت ، أو حتى الكمبيوتر لهذا الأمر.كما نناقش
لاحقاً في هذا الفصل ، أنواع مختلفة من كسر التعليمات البرمجية وتكنولوجيا الهاتف
القرصنة كانت سلائف مهمة.
خلال هذا الكتاب ، سيتم منحك أدوات تطوير لمساعدتك
اختراق تطبيقات ColdFusion الخاصة بك. سنقدم لك مخططًا أساسيًا لـ
النهج لتأمين إدارة الموقع ، وكتابة رمز أكثر أمنا ، والتنفيذ
الخطط الأمنية ، ومساعدتك على تعلم التفكير "مثل الهاكر" لحماية أفضل
الأصول الخاصة بك ، والتي قد تشمل توفر الموقع ، خصوصية البيانات ، سلامة البيانات ، والموقع
يحتوى.
فهم الشروط
لنأخذ بضع دقائق للتأكد من فهمك لما تعنيه عندما
نتحدث عن "هاكر". وتستخدم العديد من المصطلحات المختلفة لوصف القراصنة ،
كثير منها لها دلالات مختلفة اعتمادا على من وصف
إلقاء نظرة على ملف Jargon (http://info.astrian.net/jargon) للحصول على
الشعور بكيفية تطوير المجتمع لمفرداته وثقافته الخاصة.
يعرف قاموس ويبستر بشكل مناسب القرصنة على أنها مجموعة متنوعة من الأشياء ،
بما في ذلك الفعل المدمر الذي يترك شيئًا مشوهًا أو طريقة ذكية للتحايل
مشكلة؛ يمكن أن يكون الهاكر شخصًا متحمسًا
نشاط. وبالمثل ، في عالم تكنولوجيا المعلومات ، ليس كل "الهاكر" هو خبيث ، وخرط
لا يتم دائمًا إلحاق الأذى بشخص ما. يمكن أن يكون المتسللون داخل مجتمع تكنولوجيا المعلومات
مصنفة حسب الأخلاق والقصد. واحدة من القضايا الهامة التي يجب تحديدها هي أن تكون كاملة للجمهور
الإفصاح من قبل أحد المخترقين بمجرد اكتشافهم لضعف. قراصنة قد يشير
لأنفسهم قراصنة قبعة بيضاء ، مثل رمز "رجل جيد" في هوليوود
رعاة البقر ، وهذا يعني أنها ليست ضارة بالضرورة ؛ قراصنة قبعة سوداء هي
المتسللين الذين يقتحمون الشبكات والأنظمة لتحقيق مكاسب أو نوايا خبيثة.
ومع ذلك ، فإن تعريف الأفراد من خلال إحساسهم بالأخلاق هو أمر شخصي ومضلل - أ
كما تم التمييز لقراصنة القراصنة الرمادي ، والذي يعكس مشاعر قوية
في المجتمع ضد الافتراضات التي تأتي مع أي من
تسميات أخرى. على أي حال ، هناك سمة موحدة يتشارك فيها جميع الهاكرز "الحقيقيين"
هو احترامهم لتحدي فكري جيد. الناس الذين يشاركون في القرصنة
باستخدام التعليمات البرمجية التي لا يفهمونها بوضوح (برنامج نصي للأطفال) ، أو من الاختراق
فقط لغرض كسر في أنظمة الآخرين (المفرقعات) ، تعتبر
من قبل المتسللين المهرة ليكون أكثر من المخربين.
في هذا الكتاب ، عندما نشير إلى "المتسللين" ، فإننا نستخدمه بشكل عام
يعني الأشخاص الذين يعبثون ، غير مدعوون ، مع أنظمتك أو تطبيقاتك—
مهما كانت نيتهم.
تاريخ موجز للقرصنة
سوف المتحمسين الاستماع إلى إشارات الشرطة أو الراديو العسكرية للاستماع على ما
كان يحدث. في معظم الأوقات كان هؤلاء "المتسللون الجدد" مجرد "معلومات غريبة"
المدمنين ، "تبحث عن قطع مثيرة للاهتمام من المعلومات حول الحكومة
وكان التشويق في كونه مطلعا على قنوات المعلومات التي
الآخرين لم يكن ، ويفعل ذلك دون أن يكتشف.
تم استغلال تقنية الهاتف المبكر من بيل بسهولة ، واكتشف المخترقون
القدرة على إجراء مكالمات هاتفية مجانية ، والتي نناقشها في القسم التالي
التكنولوجيا المتقدمة ، وكذلك فعلت أساليب القرصنة المستخدمة.
وقد اقترح أن مصطلح هاكر ، عند استخدامها في الإشارة إلى الكمبيوتر
القرصنة ، اعتمد لأول مرة من قبل ثقافة الكمبيوتر في معهد ماساتشوستس للتكنولوجيا. في ذلك الوقت ، و
كلمة فقط يشار إلى مبرمج موهوب وحماسا الذي كان إلى حد ما
من المنشق أو المتمردين. أعضاء التفكير الأصلي في نموذج التكنولوجيا في معهد ماساتشوستس للتكنولوجيا
عرض نادي Railroad هذه السمة فقط عندما رفضوا البرنامج الأصلي
أن شركة Digital Equipment Corporation (DEC) يتم شحنها مع جهاز PDP-10 الرئيسي
الكمبيوتر وإنشاء الخاصة بهم ، ودعا نظام المشاركة غير متوافق
(انها). شارك العديد من الهاكرز في الذكاء الاصطناعي في معهد ماساتشوستس للتكنولوجيا (AI)
مختبر.
في 1960s ، ومع ذلك ، كان ARPANET ، أول كمبيوتر عبر القارات
شبكة ، والتي جلبت حقا المتسللين معا للمرة الأولى
كانت ARPANET أول فرصة للمتطفلين للعمل معًا كواحد كبير
المجموعة ، بدلا من العمل في المجتمعات الصغيرة المنعزلة المنتشرة في جميع أنحاء
الولايات المتحدة. أعطت ARPANET للمتطفلين الفرصة الأولى لمناقشتها
الأهداف المشتركة والخرافات المشتركة وحتى نشر أعمال ثقافة القراصنة
ومعايير الاتصال (تم تطوير ملف Jargon المذكور سابقًا
كالتعاون عبر شبكة الإنترنت).
نظام الهاتف التقطيع
الاسم الذي هو مرادف للقرصنة الهاتفية هو جون درابر ، الذي ذهب من قبل
الاسم المستعار "Cap’n أزمة". اكتشفت درابر أن صافرة بالنظر بعيدا في
حليب الأطفال الشعبي استنساخ تماما لهجة 2600 هيرتز ، والذي سمح
له لإجراء مكالمات هاتفية مجانية.
في منتصف 1970s ، ستيف وزنياك وستيف جوبز (نفس الرجال الذين أسسوا
Apple Computer) عملت مع درابر - الذي كان له تأثير كبير على
لهم - بناء "صناديق زرقاء" ، الأجهزة المستخدمة في اختراق أنظمة الهاتف من قبل
توليد النغمات على ترددات معينة تصل إلى خطوط الخمول. وظائف ذهب بها
لقب "بيركلي بلو" ، وذهب وزنياك "أوك توبارك"
لعبت دورا رئيسيا في الأيام الأولى من القرصنة الهاتف ، أو phreaking.
كان لدى درابر نظامًا جيدًا. هو ومجموعة من الآخرين
ستشارك في "المكالمات الجماعية" ليلا لمناقشة الثقوب التي اكتشفوها
في نظام الهاتف. للمشاركة في المكالمة ، كان عليك أن تكون
قادرة على القيام اتصال ثنائي تردد متعدد (DTMF) ، وهو ما نشير الآن
كنقطة اتصال بالطنين. خلال 1970s ، الاتصال الهاتفي النبض أو الاتصال الهاتفي عجلة
كانت لا تزال قضية شركة الهاتف القياسية ، لذلك كان الصندوق الأزرق هو الوحيد
الجهاز الذي يستخدمه موظف غير تابع لشركة الهاتف لمحاكاة الإشارات على الهاتف
كان يستخدم.
كان الخط في الواقع عبارة عن خط داخلي لما بيل ، وعدد قليل فقط من الناس
عرف عن وجودها. ما كان على phreaker القيام به كان DTMF في الخط
عبر مربع أزرق. كانت القدرة على الوصول إلى الخط الخاص هي المعادل الأساسي لـ
وجود وصول الجذر في ما بيل.المفارقة في هذا phreaking الهاتف تفصيلا
كان الطقوس أن تم العثور على بقع الاضطرابات التي تم العثور عليها في الواقع إلى
الشركة الهاتفية.الصيادون سيدعو ما بيل ونصحهم من
مناطق المتاعب (كل حين ، يعتقد الموظفون في ما بيل أن
عملت phreakers فعلا لشركة الهاتف). بالتأكيد ، كانوا ينصحون
ما بيل من التمسك الثقوب والثقوب ، ولكنهم كانوا يسرقون أيضا المكالمات الهاتفية.كما
تبين أنه تم القبض على جون درابر مرارا وتكرارا خلال السبعينيات ، وفي النهاية
قضى بعض الوقت في السجن لتورطه في الهاتف phreaking.
لكن ربما أعظم مثال على الإطلاق من القرصنة / phreaking للحصول على النقد
أسباب ذلك هي كيفن بولسن للفوز بمسابقات الراديو. ما فعله بولسن
تم اختراق أجهزة كمبيوتر Pacific Bell لخداع مسابقات الهاتف من محطات الراديو
نحن نملك. في واحدة من هذه المسابقات ، قام بولسن ببعض العمل الخيالي و
حظر جميع خطوط الهاتف بحيث كان كل المتصل من أصل 102 المتصلين. من أجل هذا
جهد خاص ، فاز بولسن بورش 944-S2 كابريوليه.
بولسن لم يكتف باكتساب مكاسب مالية فقط. شارك أيضا في
اختراق أنظمة FBI واتهم اختراق الحكومة الأخرى
أنظمة الكمبيوتر وكالة كذلك. اخترق بولسن في أنظمة FBI للتعلم
حول طرق المراقبة الخاصة بهم في محاولة للبقاء أمام الناس الذين
كانوا يحاولون القبض عليه. كان بولسن أول مخترق يتم توجيه الاتهام إليه
قانون التجسس الأمريكي
0 Comments:
إرسال تعليق