CPSD Admin
مدیر سایت
ارسالها: 177
تاریخ عضویت: تير ۱۳۸۹
اعتبار: 0
|
توضیحی کوتاه در خصوص امنیت در اکسس
با سلام
اندکی در خصوص مبحث امنیت در اکسس توضیح میدم و مسیر کلی حرکتتون , روی صحبتم با تمام دوستانی خواهد بود که یک راه حل امنیتی ارائه دادند ( و یا خواهند داد ) و دوستانی که قصد استفاده از این تکنیکها رو دارند
شاید در دفعات متوالی دیده باشید که یک روش باز دارنده کرک شده , وقوع این امر دلیلی بر عدم استفاده از اون روش نیست بلکه اگر به میزان امنیت یک روش امتیازی اختصاص داده میشه تنها به جهت اطلاع از میزان مقاومت اون روش در مقابل یک کرکر خواهد بود
این امتیاز دهی نسبی بوده و معیار استانداردی نداره , شاید در جایی درجه امنیت رو کرکری 3 از 10 عنوان نموده و کرکری دیگر 7 از ده , این اعداد بیشتر سلیقه ای بوده و اینکه کرکر چه چیزی رو سخت و چه چیزی رو آسان تصور کرده
پس هر روش بازدارنده به قطع در جایگاه خودش بازدارنده بوده , حال با شدت و ضعف متفاوت
هیچ کسی منکر اثر گذاری بستن دکمه Shift و MDE نمودن فایل , مخفی نمودن جداول و دیگر روشها نیست
کرکر در صورتی که از همه این تکنیکها به دفعات استفاده کرده باشید به همون نسبت باید زمانی رو اختصاص بده تا تمامی گلوگاههای امنیتی رو که براش ایجاد کردید , مرتفع کنه
این تعداد دفعات وقوع گلوگاه ها و نحوه اعمال اونها میتونه تا حدی پیش بره که کرکر رو به کل از انجام عملش منصرف کنه , در واقع شما باید حوصله کرکر رو سر ببرید
مثالی بزنیم :
کرکر با اتومبیلش در حال حرکته , جاده آسفالت شده رو در حکم نرم افزارهای فاقد گارد امنیتی فرض کنید , کرکر با حداکثر سرعت و با کمترین تشویش دونه دونه اونها رو طی میکنه , حال در همین مسیر مطمئنا راههای فرعی هم وجود داره که خاکی هستند , شما باز هم همین مسیرهای خاکی رو به عنوان نرم افزار فرض کنید , هر چه کیفیت این مسیر و در واقع دست اندازهای اون بیشتر باشه احتمال اینکه کرکر هوس عبور از این مسیر خاکی رو داشته باشه ( حتی به قصد تفریح ) کم و کم تر میشه تا جایی که حتی ممکنه بخشی از مسیر رو طی کنه ( دست اندازهای اولیه که در واقع در این مثال نمادی از الگوهای امنیتی شما هستند که به توالی به کار بردید ) ولی در نهایت ممکنه در جایی از ادامه مسیر منصرف بشه
( این مثال رو با واقعیتهای زندگی خودتون انطباق بدید ) کرکرها هم مثل من و شما انسان بوده و آستانه تحمل دارن , هر چه قدر به این آستانه تحمل نزدیکتر بشید احتمال منصرف شدنش بیشتره
چه نرم افزارهایی ممکنه کرک بشن ؟
واقعیت اینه که تمامی برنامه نویسان ممکنه در معرض خظر نباشند چرا که قاعدتا یک کرکر حرفه ای طعمه خودش رو از بین نمونه های ارزشمند انتخاب میکنه
فرضا اگر در همین حال حاضر هم نرم افزاری رو ارائه کردید که مشتری اندکی داره ( مشتری اندک نه به خاطر قیمت بالای اون , چرا که قواعد حمله به این نرم افزارها اندکی متفاوته ) , احتمال اینکه با نمونه کرک شده اون هم مواجه بشید خیلی کمه
در مجموع احتمال کرک شدن میتونه تابعی از چند پارامتر زیر باشه :
قیمت ( بالاتر ) – تعداد مشتریان ( بیشتر ) – میزان تخصصی بودن نرم افزار ( تخصصی تر ) – و در مجموع کیفیت نرم افزار ( با کیفیت تر- زیبا تر – کارآمدتر و ... )
نرم افزارهایی که خارج از این قاعده قرار بگیرن میشه گفت هدف کرکرهای پیشگام قرار نمیگیرن , چرا که این گروه هر نرم افزاری رو کرکر نمیکنن
قاعدتا اینگونه نرم افزارهایی مورد هدف کرکرهایی رده دو و به پایین ( مبتدی ) قرار خواهند گرفت
اینکه توصیه میشه آموزش کرکینگ در کل تالار به انجام نرسه دقیقا به خاطر همین طیف مبتدی در عملیات کرکینگ خواهد بود
متاسفانه حس کنجکاوی این طیف بیشتر از مابقی گروهها هستش ( در یکی از پستها هم که یکی از دوستان به وضوح اعلام فرمودن که در صورت یادگیری , همه نرم افزارها رو به خاطر حس کنجکاویشون مورد لطف قرار خواهند داد )
فقط متاسفانه یک مشکل وجود داره که کلیه قواعد بازی رو به هم خواهد زد و اون هم تحریک کردن یک کرکر رده یک توسط برنامه نویس خواهد بود , قویا از انجام این امر خودداری کنید , اینگونه کرکرهایی همواره حداقل یک قدم جلوتر از شما خواهند بود
نذارید کارتون به گونه ای پیش بره که در اصطلاح عامیانه بحث کل کل و رو کم کنی پیش بیاد که متاسفانه نتیجه از همین ابتدا مشخص خواهد بود و اون هم چیزی نیست به غیر از به زانو در اومدن شما
پس مجددا یادآوری میکنم اشاره به ضعف یک روش امنیتی دلیلی بر عدم استفاده از اون روش نیست چرا که همونطوری که خودتون هم میدونید اون روشهای امنیتی ضعیف رو هم خیلی از کاربران نمیتونن مغلوب کنن
ضمن اینکه به هر حال یک کرکر حرفه ای هم برای رفع اون باید زمانی رو اختصاص بده , شما هر چه بیشتر زمان خریداری کنید احتمال موفقیتتون بیشتره
و لیکن توصیه هایی چند و کوتاه :
تا حد امکان در صورتی که ممکنه الگوریتم و توالی اعمال قید و بند ها رو در فواصل زمانی مختلف تغییر بدید
تعداد دفعات ری چک قید و بندهای امنیتی رو افزایش بدید , مثالی میزنم : فرضا شما در سیستمتون تعداد رکوردها رو در سطح فرم به 10 عدد محدود کردید , حال مجدد همین عملیات ری چک رو فرضا در عملیات پرینت هم به انجام برسونید , دقت کنید شاید ارزش دفاعی ذاتی این امر فرضا 1 نمره باشه ولی وقتی شما اون رو دو بار به کار بردید در این حالت کرکر مجبوره دو بار این عملیات رو به انجام برسونه و .... البته در تعدد هم اونقدر این عملیات رو تکرار نکنید که کارایی برنامه رو با مشکل مواجه کنید
از تمامی تکنیکهای بازدارنده که اطلاعات دقیقی از نحوه به کارگیری اون دارید استفاده کنید
یک توضیح کوتاه دیگه هم در همین جا بدم اونهم اینه که اندکی بین ایمنی مطلوب خودتون و مطلوب کاربر تفاوت قایل بشید , بیشتر روشهایی که ارائه شده رویکردی به جلوگیری از اعمال تغییر در اینترفیس برنامه هستش مثالی بزنم :
فرضا دکمه Shift تنها میتونه تا حدودی دسترسی به Database Window رو محدود کنه ولی همچنان بدون نیاز به عبور از این سد کاربر میتونه به جداول و پرس و جوها و .... دسترسی داشته باشه
این همه از معایب گفتم کمی هم امید بدم , نگران نباشید روشهای کرک کردن کارهای اکسس اندکی با فایلهای اجرایی متفاوته برای همین هم طیف کرکرهای این محصول چندان وسیع نیست
مقوله امنیت جزو تخصصی ترین فیلدهای کاری بوده که نیاز به دقت و توجه در تبعات کلیه دستورهای مورد استفاده داره
با توجه به همین پیچدگی, منابع آموزشی کمتری از اون در دسترسه چرا که هم آموزشش بسیار زمان بره ( ریزه کاری بسیار ) و هم اینکه چون یک فیلد تخصصی هست کمتر مورد ارائه در فضاهای مجازی قرار میگیره
موفق باشید
درگاه : وب سايت | فروشگاه | وبلاگ
|
|
۱۰ آذر ۱۳۹۰ ۰۷:۳۴ عصر |
|