امنيت اطلاعات

مقایسه دو فایل متنی، مثلاً دو version از یک مقاله گاهی مورد نیاز است. ابزارهای مختلفی برای این کار وجود دارد که یکی از بهترین آنها

با نام DiffDoc از اینجا قابل دریافت است:

http://www.softinterface.com/MD/Document-Comparison-Software.htm

این برنامه امکانات بسیار خوبی داشته و برای مقایسه انواع فایل های word ، pdf و ... و یافتن تغییرات یا تفاوت های آنها بسیار مفید است.

مطالبی که معمولاً افراد در رزومه خود به عنوان مهارت ها یا سوابق کاری می نویسند، کمتر مورد راستی آزمایی دقیق قرار میگیرد. شاید یکی از دلایل، آن است که بازار امنیت در ایران بسیار کوچک است و تقریباً همه فعالان این بازار یکدیگر را می شناسند. اگر هم کسی رزومه کاری برای ارائه به شرکت های خارجی نیاز داشته باشد، طبیعتاً از شرکت مربوطه که در آن سابقه کار داشته، باید تأییده ای مبنی بر صحت مطالب رزومه خود دریافت کند. در این حالت، ممکن است این شرکت به دلیل ذینفع نبودن در موضوع یا برآوردن مراتب رفاقت، تا جای ممکن سابقه فرد را پررنگ تر از آنچه بوده، تایید کند.

بعد از این مقدمه، امروز خیلی اتفاقی این لینک را دیدم:

http://www.learn4good.com/jobs/language/english/search_resumes/info_technology/iran/cv/340143/

که به نظر می آید رزومه یکی از دوستان من در شرکت دوران است. در اینجا گفته شده که این دوست من در پروژه DSgate شرکت داده پردازان دوران، از ژانویه 2004 تا کنون در جایگاه Team Leader یا مدیر پروژه بوده.

تا آنجا که من یادم هست و شرکت دوران و مشریان و رقبای دوران و پرسنل دوران (شامل همین دوست من) هم قاعدتاً تایید می کنند، بنده از اسفند 83 (یعنی ابتدای سال 2005 ) تا بهمن 86 (یعنی ابتدای سال 2008 ) مدیر محصول DSGate بودم، و اساساً در طول این سه سال بود که شرکت دوران، از هیچ (در زمینه appliance امنیتی)، به یک محصول UTM ایرانی نام و نشان دار (با کیفیت ایرانی البته!!) رسید و عملاً بذری که در آشنا ایمن کاشته شده بود، (با نظر و خواست خود بذر)، در دوران درو شد.

این را نه به خاطر دلگیر شدن از این دوست و نه احساس از دست دادن چیزی نوشتم، صرفاً برایم جالب بود.

با توجه به اینکه در مورد رشته امنیت اطلاعات سوالات زیادی دائماً پرسیده میشود،‌در این پست توضیحات بیشتری در این زمینه خواهم داد.

این رشته در ایران گرایشی از مهندسی IT است. در حال حاضر فقط دانشگاه صنعتی امیرکبیر (پلی تکنیک) در مقطع کارشناسی ارشد تعدادی (فکر میکنم حدود شش نفر) هر ساله پذیرش میکند. البته برخی دانشگاه ها مانند صنعتی شریف هم تعداد محدودی به عنوان امنیت پذیرش میکنند، اما در زمینه هایی مثل مخابرات امن و غیره. تا جایی که میدانم تقرباً تمام رشته های معروف فنی مثل برق، کامپیوتر، صنایع و غیره میتوانند در کنکور ورودی ارشد IT شرکت کنند. اما برای قبول شدن در حال حاضر رتبه ای در حدود زیر پنجاه لازم است.

این رشته کلاً از رشته های سخت کامپیوتری به حساب می آید. مانند بقیه رشته های کارشناسی، در این رشته هم باید بیست و چهار واحد پاس شود. درس ها در دانشگاه امیرکبیر، در حال حاضر عبارتند از:

مبانی امنیت اطلاعات که اصول اولیه و پایه ای لازم برای هر متخصص آکادمیک امنیت را آموزش میدهد و بسیار مفید و جذاب است.

معما شناسی کاربردی (Cryptology) که مباحثی شامل رمزنگاری و غیره در بر دارد و درس جالب و البته بسیار سختی است.

اصول طراحی پروتکل های امن که از نامش مشخص است، درس بسیار جالب و کاربردی و نسبتاً مشکلی است.

روش های صوری (فرمال) امنیت اطلاعات که درس بسیار عالی و مفید و نسبتاً سختی است و جز در دانشگاه کسی نمی تواند با مباحث آن آشنا شود.

سیستم های کامپیوتری امن که مباحث امنیت سیستم عامل در آن بررسی می شود.

امنیت دیتابیس که از نامش مشخص است.

بازار کار این رشته به نسبت بقیه شاخه های مهندسی کامپیوتر، بسیار خوب است. تقریباً در تمام صنایع IT ، صنایع نظامی، بانک ها، کلیه مراکز دولتی و هر کسب و کاری که از IT به عنوان ابزار اصلی کسب و کار استفاده کند، به متخصص این رشته نیاز است.

سوالی که بسیار پرسیده میشود این است که چه مقدار از این مطالب را در بازار کار میتوان به دست آورد، یا اینکه آیا در دانشگاه سیسکو و غیره هم درس میدهند و سوالاتی از این قبیل.

باید توجه داشت که نه آنچه در دانشگاه به دست می آید را میتوان تمام و کمال در بازار کار به دست آورد و نه آنچه در کار به دست می آید در دانشگاه تماماً قابل دست یابی است. تجربه من می گوید که این دو را باید با هم  تلفیق کرد. هدف دانشگاه، تربیت تکنیسین نیست، لذا در آنجا دوره سیسکو و CISSP و ... درس نمیدهند. دانشگاه کارشناس و محقق تربیت میکند. در دانشگاه دید و تبحر مهندسی به دست می آید. مثلاً یک تکنیسین امنیت حداکثر میداند که پروتکل kerberos چطور کار میکند و چگونه باید آن را در لینوکس راه اندازی کرد. اما مهندس امنیت، علاوه بر اینها، باید بداند که این پروتکل چه نقاط ضعف و قوتی دارد، و باید بتواند پروتکلی جایگزین Kerberos طراحی و پیاده سازی کرده و درستی و امنیت آن را با روش های دقیق مهندسی اثبات نماید.

از طرف دیگر،  تصویر کلی (به قول خارجی ها Big Picture ) ای که تجربه کار در یک رشته خاص در فرد ایجاد میکند، ممکن است در دانشگاه به سختی به دست آید.

...

GreenSQL نمونه ای از فایروالهای سطح application است که برای پیشگیری از حملات تزریق SQL در برنامه های دیتابیسی به کار می رود. این ابزار بر اساس یک ماتریس امتیاز دهی به درخواست های SQL ،‌ درخواست های خطرناک راشناسایی می کند، همچنین درخواست های حاوی دستورهای راهبری مانند CREETE, DELETE و غیره را نیز شناسایی و رد میکند.  

وقتی با تعداد زیادی نام کاربری و پسورد مواجه هستیم، مدیریت آنها کار مشکلی به نظر میرسد. خود من بارها شده که پسورد یک فایروال یا سیستم خیلی حساس را فراموش کرده و ساعت ها استرس را تجربه کرده ام. علاوه بر راهکارهای غیر نرم افزاری، مثل یادداشت کردن پسوردها و قرار دادن آنها در محلی امن، نرم افزارهایی هم با عنوان password manager وجود دارند که با جستجویی در گوگل میتوان چندین نمونه تجاری یا مجانی را پیدا کرد. اما سئوال اینجاست که این نرم افزارها قابل اطمینان هستند؟ به نظر میرسد هر قدر نرم افزار مربوطه معروف تر باشد و توسط انسان بزرگ تر و معروف تری نوشته شده باشد، قابل اطمینان تر است. به خصوص، نرم افزارهای open source مثل password safe که قاعدتاً زیر ذره بین بسیاری از برنامه نویسان متبحر قرار دارند، میتوانند گزینه مناسب تری نسبت به بقیه باشند. 

امروز در دومین سمینار امنیت در سیستم های اتوماسیون اداری،‌کارگاهی با عنوان امنیت نرم افزار ارائه کردم. در این کارگاه به جنبه های مختلف مهندسی امنیت نرم افزار اشاره کردم. در مجموع استقبال از کارگاه مناسب بود.

یکی از الزامات ترجمه متون فنی، رعایت سازگاری لغت ها و اصطلاحات است. به طوری که خواننده با چندین ترجمه از یک اصطلاح روبرو نشود. این مسأله به خصوص در مورد CERT که قرار است بخش بزرگی از مخاطبان آن افراد غیر حرفه ای در زمینه امنیت باشند، ضروری تر است. با نگاهی به بخش سیستم عامل سایت آپا موارد زیادی از ناسازگاری ها به چشم می آید، مثلاً Denial of Service هم DoS گفته شده و هم عدم سرویس دهی. یا از لغت هایی مثل رخنه امنیتی و سوراخ امنیتی به صورت معادل استفاده شده است. همچنین کلمه رمز و کلمه عبور و ...

ترجمه قاعدتاً باید به فهم بیشتر موضوع کمک کند نه ایجاد سردرگمی در خواننده. اما راه حل آن است که اولاً از ترجمه کردن بیهوده لغات پذیرفته شده خودداری شود، مثلاً خود کلمه DoS (با یک پاورقی برای اصل کلمه) یا کلمه پسورد (به همین شکل فارسی!!) مناسب تر به نظر میرسند. ثانیاً، تمام ترجمه ها از استاندارد واحدی تبعیت کند، و این استاندارد به شکل یک دیکشنری فارسی به انگلیسی در تمام نقاط سایت در دسترس خواننده باشد.   

راه اندازی Sguil برای انجام مانیتورینگ امنیت شبکه، مشکلات خاص خود را دارد. ابزارهای زیادی برای تسهیل این کار وجود داشته که چند تایی را قبلاً معرفی کرده بودم. یکی دیگر از این ابزارها Securix-NSM است که هنوز با آن کار نکرده ام. این محصول در وب سایت اینطور معرفی شده است:

securix-NSM is the successor of Knoppix-NSM. It's an extension of our NSMnow technology which has been integrated with the universal Debian foundation with a range of other tools to work from. Like it's predecessor Securix-NSM is dedicated to providing a framework for individuals wanting to learn about Network Security Monitoring (NSM) or who want to quickly and reliably deploy a NSM capability in their network.

Our goal is to provide an introduction to NSM and a live CD platform that can be used as a launch pad to bigger and better things. We have tried to do most of the hard work to help you get up and running as fast as possible, so you can spend more time learning about NSM, leaving the details as a latter exercise once familiar with the concepts.

Securix-NSM is now based on Debian Live, which means that you can test all the tools in a live Debian session running on the CD without the need for a HardDisk Drive (HDD) installation.

سه برنامه کوچک و بسیار مفید برای جمع آوری شواهد در راستای امور‌  Forensic  (فکر میکنم امور محکمه ای یا دادگاهی ترجمه مناسبی باشه):

الف: برنامه PcOnOffTime ، زمانهایی را که در طول سه هفته گذشته، کامپیوتر روشن و فعال بوده به صورت گرافیکی نمایش  میدهد.

ب: برنامه usbHistory ، با استفاده از اطلاعات رجیستری ویندوز، زمان فعال شدن پورت USB و مشخصات ابزارهای متصل شده به آن را نمایش میدهد.

ج: برنامه WinAudit : اطلاعات جامعی از مشخصات نرم افزاری و سخت افزاری ویندوز، تنظیمات امنیتی، پورت ها و ... را به صورا گرافیکی نمایش میدهد.

نوشتن در یک وبلاگ با موضوع فنی، برای برخی عجیب به نظر میرسد. گاهی بعضی دوستانم میپرسند که چه انگیزه ای برای این کار دارم و از اینکه وبلاگی به جای روزمره نویسی و پرداختن به خاطرات و ... ، چنین موضوعی دارد اظهار تعجب میکنند. یکی از صاحبنظران در حوزه امنیت، دلایل نوشتن در یک وبلاگ فنی را اینطور بیان کرده:

Blogging organizes thoughts. Recently I nodded in agreement when I heard a prolific author explain why he writes. He said the primary purpose for writing his latest book was to organize his thoughts on a certain topic. Writing an entire book is too much for most of us, but consolidating your ideas into a coherent statement is usually sufficient.

Blogging captures and shares thoughts. Once your thoughts are recorded in electronic form, you can refer to them and point others to them. If I am asked for an opinion, I can often point to a previous blog post. If the question is interesting enough, I might write a new post. That satisfies this reason and the previous one.
 

Blogging facilitates public self-expression. This is a positive aspect of the modern Web, if approached responsibly. Many social networking sites contain information people would not want to preserve for all time, but a carefully nutured blog can establish a positive presence on the Web. If you blog on certain topics that interest me, I am going to recognize you if you contact me.
 

Blogging establishes communities. The vast majority of the blogs I read are professionally-oriented (i.e., digital security). I follow blogs of people handling the same sorts of problems I do. I often meet other bloggers at conferences and can easily speak with them, because I've followed their thoughts for months or years. Book authors share a similar trait, although books are a much less fluid medium.

Blogging can contribute original knowledge faster than any other medium. Blogging is just about the easiest way to contribute knowledge to the global community that I can imagine. It costs nothing, requires only literacy, is easily searchable, and can encourage feedback when comments are supported.