ما به شما کمک میکنیم تا متوجه شوید چرا تنظیماتِ DNS برای امنیت آنلاین شما حیاتی است.

گاهی اوقات که به سراغ کارهای روزانه میرویم، کارهایی که اغلب با رایانه در ارتباط هستند، متوجه می شویم که سخت افزار و نرم افزار به طور عمیقی در زندگی ما ریشه دارند و ما اغلب پیچیدگی آنها را نادیده میگیریم.

اما پیچیدگی، مسائل امنیتی را به دنبال خود می آورد؛ این همان چیزی است که مجرمان اینترنتی میخواهند از آن سواستفاده کنند.

ما امروز میخواهیم درباره امنیتِ DNS صحبت کنیم که در زیر کامپیوتر شما قراردارد و همیشه در معرض خراب شدن است.

به خاطر دارید که درباره اهمیت امنیت چند لایه ای صحبت کردیم؟ بسیار خب، DNS یک لایه ی کلیدی در این سیستم محافظتی است و زمانی که کمی بیشتر درباره تهدیداتی که این لایه را هدف قرار گرفته اند،بخوانید، کمی هوشیار تر خواهید بود.

DNS چگونه کار میکند؟

به خاطر سپردن کدام آسان تر است:  WordPress.org یا ۶۶.۱۵۵.۴۰.۲۴۹ ?

اولی، نام دامنه است و دومی آدرس IP  است (آدرس پروتکل اینترنت)، که برای مکان یابی و شناسایی دستگاه ها یا سرویس های کامپیوتریِ متصل به اینترنت استفاده میشود.حالا متوجه میشوید که چرا ما به سامانه ی نام دامنه نیاز داریم (Domain Name System= DNS).

DNS قسمتی مرکزی از چگونگی کار کردن اینترنت است، زیرا نام دامنه مثل   WordPress.orgرا به آدرس های آی پی ترجمه و تبدیل میکند و به این صورت به کاربران کمک میکند تا اطلاعات مورد نیازشان را در یک چشم به هم زدن یا حتی سریعتر بازیابی کنند.

برای یک لحظه بیایید تجسم کنیم که DNS  چگونه کار میکند؛ چرا که در فصل بعدی مهم خواهد بود:

DNS  چگونه کار میکند:

یک راه مفید برای درک کردن عملکردش این است که DNS را به عنوان GPS ببینید که درخواست شما را در مسیر جاده های پیچیده اینترنت هدایت می کند و شما را به مقصد می رساند.

به دلیل عملکرد آن، DNS جزء بسیار حساس زندگی دیجیتال شماست. در همه جا است، توسط همه استفاده می شود و تمام ترافیک اینترنت شما از طریق آن جریان می یابد. DNS به شما کمک می کند تا ترافیک خود را به مقصد درست هدایت کنید.

بنابراین تصور اینکه چرا مهاجمان سایبری میخواهند کنترل DNS شما را در دست بگیرند،آسان است، این کار به آنها امکانات بیشمار و نامحدودی برای سواستفاده از سیستم شما را میدهد. آنان میتوانند سیستم شما را آلوده کنند و اطلاعات را از آن استخراج کنند.

اگر شما تکنیسین و کارشناس نباشید احتمالا هرگز تنظیمات  DNS را اجرا و اعمال نکرده اید. پیش فرض ویندوز بر روی گزینه ی”دریافت خودکار آدرس سرور DNS ” تنظیم شده است.

به طور خودکار آدرس سرور DNS را دریافت کنید

شما می توانید تنظیمات DNS خود را اینگونه چک کنید: با رفتن به: کنترل پنل> شبکه و اینترنت> اتصالات شبکه> راست کلیک بر روی اتصال اینترنت فعلی خود > کلیک بر روی پروتکل اینترنت نسخه ۴ (TCP / IPv4) > و سپس روی Properties کلیک کنید.

 

بدون اینکه بیش از حد فنی شود، باید بدانید که ۳ چیز وجود دارد که DNS شما را تنظیم می کند:

* ارائه دهنده اینترنت شما (که اغلب به دلیل این تنظیمات اتوماتیک اتفاق می افتد.)

* DNSعمومی گوگل (که تنها می تواند به صورت دستی تنظیم شود و بزرگترین سرویس عمومی DNS موجود در جهان را فراهم می کند.)

* یک راهکار امنیتی سایبری که فیلتر ترافیک مبتنی بر DNS را به عنوان بخشی از مجموعه حفاظت آن ارائه می دهد.

هنگامی که در مورد DNS فکر می کنید، یک سرور را تصور کنید که درخواست های شما را برای دیدن وب سایت ها یا دانلود رسانه ها تحلیل می کند. این به شما کمک خواهد کرد که چیزهایی که توصیف میکنم را درک کنید.

از آنجا که سامانه ی نام دامنه عملکرد بسیار پیچیده ای دارد، مجرمان اینترنتی تلاش خود را برای حمله به آن در هر سطحی هرگز متوقف نمیکنند.

امنیتِ DNS چگونه در معرض خطر قرار میگیرد؟

مهاجمین مخرب می توانند تنظیمات DNS را به دو صورت هک کنند:

* با در خطر انداختن روشی که DNS کار میکند.

* با اکسپلویت کردن آسیب پذیری های امنیتی موجود در سرور که خدمات DNS را اجرا میکند.

دو حمله اساسی میان حملات سایبری که سیستم نام دامنه را هدف قرار می دهند، آلودگی با کش DNS (همچنین DNS spoofing) و ربودن DNS است.

در هردو مورد، قربانیان با پیامد های شدیدی مواجه خواهند بود.

DNS Cache Poisoning / DNS Spoofing

همانطور که از عنوان مشخص است، این مورد ناشی از خراب کردن و دستکاری در فرایند ترجمه است و DNS به طور مشخص از طریق همین فرایند ترجمه کار میکند.

اجازه دهید دقیق تر شویم: درست مثل مرورگر شما، یک سرور DNS نیز یک حافظه پنهانی(cache) دارد که در آن داده ها را ذخیره می کند. داده های ذخیره شده به این معنی است که دفعه بعد که می خواهید Time.com را مرور کنید، DNS قادر خواهد بود آن را سریعتر در اختیار شما قرار دهد.

یک حمله سمی(poisoning) به این معنی است که مجرمان اینترنتی سعی می کنند داده های مخرب را در حافظه DNS وارد کنند. اگر موفق باشد، حمله باعث می شود سرور DNS یک آدرس IP نادرست را به قربانی بازگرداند. به طور خلاصه: کلاهبرداران اینترنتی قادر خواهند بود که ترافیک اینترنتی قربانی به وب سایت های مخرب یا سرورها تحت کنترل خودشان هدایت کنند.

از این نقطه به بعد، مجرمان اینترنتی می توانند کامپیوتر آسیب دیده را با نرم افزارهای مخرب که از وبسایتی که خودشان راه اندازی کرده اند و از خودشان فرمان دریافت می کنند، تغذیه کنند.

در این مرحله، یک سرورِ DNS مسموم شده (poisoned) فریب میخورد و محتوای ورودی از سرور غیر معتبر را میپذیرد و اغلب اوقات از این روش برای گسترش نرم افزار های مخرب در کامپیوتر های بی خبر استفاده میشود.

حالا تصور کنید که یک سرور DNS فقط برای یک کامپیوتر استفاده نمی شود. اگر توسط یک ارائه دهنده خدمات اینترنت ارائه شود، می تواند توسط هزاران کاربر استفاده شود. اگر در معرض خطر قرار گیرد، تمام کاربران تحت تاثیر قرار می گیرند: ترافیک اینترنت آنها به وب سایت های مخرب منتقل می شود و از آسیب پذیری های سیستم آنها به منظور آلوده کردن رایانه های شخصیشان بهره می گیرند.

و این میتواند هرگونه تهدیدی را در بر گیرد؛ از باج افزار گرفته تا تروجان های مالی و یا بات نت هایی که بدافزار ایجاد میکنند.

شناسایی DNS cache poisoning/spoofing برای کاربر معمولی دشوار است به خصوص اگر مهاجم از نسل دوم بدافزار استفاده کند چرا که هم مخفیانه است و هم دور از دسترس.

ربودن DNS

این حمله ی مستقیم، به تغییر تنظیمات DNS شما بستگی دارد به طوری که تمام درخواست های ترافیک اینترنت شما به سرور DNS پنهانی هدایت می شود.

به عنوان یک پیامد، نتایجی که شما دریافت خواهید کرد (بعلاوه وبسایتی که در مرورگر خود مشاهده خواهید کرد) همه خراب و احتمالا آلوده خواهند بود.

گرچه فهمیدن این جمله ساده تر از DNS cache poisoning است اما بدان معنا نیست که تشخیصش کاری آسان است.

هکرهای مخرب از تروجان هایی استفاده می کنند که به طور خاص طراحی شده اند تا تنظیمات DNS را تغییر دهند و آن را از صورت خودکار به صورت دستی تغییر دهند.

گاهی اوقات ربودن DNS شامل یک مرحله اولیه می شود که رایانه های آسیب دیده به یک botnet متصل می شوند که مهاجمین آن را کنترل می کنند.

راه دیگرِ اجرای این حمله این است که روشی که یک سرور معتبر عمل میکند را تغییر داد بنابراین دیگر با استاندارد های اینترنت مطابقت نخواهد داشت.

در هر دو حالت، نتیجه یکسان است: قربانیان وب سایت های مخرب را که برای فارمینگ یا فیشینگ در نظر گرفته شده را، تحویل می گیرند. وب سایت ها می توانند جعل هویت وبسایتی باشند که قربانی می خواست ببیند و یا وب سایت های مختلفی را با چنین شیوه ای جذابی تنظیم کند که قربانی متقاعد شود اطلاعات محرمانه را فاش کند.

در اغلب موارد، قصد پشت حمله روشن است: استخراج اطلاعات ارزشمند، از جمله کلمه عبور، نام کاربری و سایر اطلاعات شخصی که می تواند به آنها کمک کند تا به حساب های بانکی وارد شوند یا به قربانیان بالقوه دیگری دسترسی پیدا کنند.

اما تنها مجرمان سایبری علاقمند به ربودن DNS نیستند؛ برخی برای اهداف غیر مخرب انجام می شود، مثل برخی از ارائه دهندگان خدمات اینترنت که از این تکنیک برای افزایش سود خود استفاده می کنند:

تعدادی از ISP های مصرف کننده از قبیل Optimum Online Cablevision، Comcast، Time Warner، Cox Communications، RCN، Rogers، Communications، Plusnet، Verizon، Sprint، T-Mobile US، Virgin Media، Frontier Communications، Bell Sympatico، UPC، T- آنلاین، Optus، Mediacom، ONO، TalkTalk، Bigpond (Telstra) و TTNET از ربودن DNS برای اهداف خود مانند نمایش تبلیغات یا جمع آوری آمار استفاده می کنند. این عمل استاندارد RFC برای پاسخ های DNS (NXDOMAIN) را نقض می کند و می تواند کاربران را در معرض خطر حملات اسکریپت های متقابل سایت (cross-site scripting attacks)قرار دهد.

با این حال، این بدان معنا نیست که این عمل اخلاقی یا قانونی است. این کار همچنین می تواند سیستم شما را در معرض سایر حملات سایبری، مانند اسکریپت متقابل سایت (XSS)، همانطور که در بالا ذکر شد، قرار دهد.

شما میتوانید حملاتِ DNS cache poisoning/spoofing و یا ربودن آن را به عنوان حمله ی مرد میانی (Man-in-the-middle) در نظر بگیرید. از طریق این تکنیک ها، مهاجم می تواند بین کامپیوتر قربانی و یک سرویس مبتنی بر وب که قربانی سعی در رسیدن به آن دارد، لغزش کند.

با در اختیار گذاشتن اطلاعات غلط DNS به قربانی، مجرمان اینترنتی می توانند نسخه های جعلی وب سایت ها را در مرورگرهای مورد استفاده در کامپیوتر آسیب دیده نشان دهند.

به عنوان مثال، اگر امنیت DNS شما به خطر بیافتد، کلاهبرداران اینترنتی می توانند یک کپی جعلی از وب سایت بانکداری آنلاین شما را نمایش دهند و مدارک بانکی شما را جمع آوری کرده و بعدا از آن برای خالی کردن حسابتان استفاده کنند.

متاسفانه، آنتی ویروس نمی تواند به شما در این حملات کمک کند، زیرا به فایل ها و رفتار سیستم شما نگاه می کند نه ترافیک اینترنتی شما. بنابراین شما باید یک لایه حفاظتی دیگری برای حفاظت از خود داشته باشید.

ما باید به چه کسی اعتماد کنیم؟

در ابتدا ارائه دهنده ی سرویس اینترنت شما مطرح است. یک شرکت قدیمی با شهرت خوب را امتحان کنید و برای اطمینان، گاه به گاه قوانین حفظ حریم خصوصی آن را چک کنید.

تلاش هایی برای استفاده از DNS به منظور ضعیف کردن امنیت کاربر انجام شده است و به همین خاطر است که آپدیت بودن و همراه بودن با تغییرات در دنیای امنیت و تکنولوژی، خوب و مفید است.

گزینه ی بعدی Google Public DNS است که همه از آن استفاده میکنند؛ چون گوگل است. خدمات آن بسیار سریع است اما نگرانی های امنیتی نیز درباره ش وجود دارد. همانطور که یک کاربرِ Reddit گفته است: ” من فکر میکنم آنها به اندازه ی کافی درباره من میدانند، پس دادن اطلاعات بیشتر با عقل جور در نمی آید.”

گزینه ی دیگر استفاده از یک سرویسِ DNS به عنوان بخشی از یک مجموعه ی امنیتی است.

برای مثال، کاربرانِ Heimdal PRO از DNS امنی که تیم ما ساخته است بهره میبرند. Heimdal، دی ان اس شما را بر روی ۱۲۷.۰.۰.۱ تنظیم خواهد کرد که به “home” در کامپیوتر شما اشاره دارد. اگر شما آن را به طور دستی تنظیم کنید، متوجه خواهید شد که نمیتوانید به اینترنت وصل شوید.

اما با نصبِ Heimdal، تمام ترافیک اینترنت شما از طریق پایگاه اطلاعاتی ما فیلتر میشود. به این صورت با مسدود کردن، امنیت شما حفظ خواهد شد:

– وبسایت های فیشینگ و فارمینگ

– تبلیغات مخرب

– وب سایت هایی که کد مخرب به آنها تزریق شده است

– هدایت ترافیک

– دانلودهای مخرب

– کیت های اکسپلویت

– فاش شدن اطلاعات

– ترافیکِ بدافزار که سعی دارد باج افزار ها تهدیدات دیگر را به جریان بیندازد

توصیه میکنیم همیشه قبل از نصب یک نرم افزارِ امنیتی، مطمئن شوید که قابل اعتماد است. سعی کنید کمی زمان برایش صرف کنید تا بفهمید چگونه کار میکند.

اگر به اطلاعات بیشتری نیاز دارید، با شرکت تماس بگیرید و تمامی سوالات مورد نظرتان را بپرسید. کیفیت پشتیبانی آنها به احتمال زیاد، کیفیت خدماتشان را نشان میدهد.

انواع بدافزارهایی که DNS شما را هدف قرار می دهند:

حالا، امیدواریم که شما متوجه شوید که چرا باید از تنظیمات DNS خود محافظت کنید.

از آنجایی که ما فقط در مورد مفاهیم صحبت کردیم، اجازه دهید نمونه هایی از بدافزار را مطرح کنیم.

DNSChanger

برای ۵ سال (۲۰۰۷-۲۰۱۲)، تروجان تغییردهنده DNS که به نام DNSChanger شناخته میشود، بیش از ۴ میلیون کامپیوتر را آلوده کرد. این تهدید در استونی ایجاد شد و شرکتی که آن را ایجاد کرد تقریبا ۱۴ میلیون دلار سود حاصل از تبلیغات جعلی کسب کرد. DNSChanger، تبلیغات را به وبسایت های مرد بازدیدِ قربانیان، تزریق میکرد.

به یاد داشته باشید: کنترل DNS شما به این معنی است که مهاجمان می توانند هر چیزی را که می خواهند در مرورگر شما نمایش دهند.

به خاطر بسپارید که تهدیدات اینترنتی در طول زمان، تکامل می یابند و DNSChanger نیز از این قاعده مستثنی نیست. در مرحله  بعدی، تروجان در غالب دیگری به نامِ RSPlug توزیع شد.

در سال ۲۰۱۱، اف بی آی وارد ماجرا شد و افرادی که در این قضیه دست داشتند را دستگیر کرد. پنج سال بعد، مردمانِ اینترنتی دخیل در این ماجرا  هنوز محکومند.

یک مرد استونیایی به خاطر نقش او در این عملیات سایبری، که بیش از ۴ میلیون کامپیوتر را با بدافزار ربودن DNS آلوده کرده بود، به هفت سال و سه ماه در زندان محکوم شد.

ولادیمیر تاسسین ۳۵ ساله از تارتور در استونی، یکی از بازیکنان کلیدی در طرح تقلب کلیک ۱۴ میلیون دلاری بود. او ششمین فرد است که در این مورد محکوم شده و طولانی ترین حکم زندان را دریافت کرده است. این حکم روز سه شنبه در دادگاه منطقه ای ایالات متحده در ایالت جنوبی نیویورک صادر شد.

DNS Unlocker

این برنامه ی ناخواسته (همچنین PUA نامیده می شود) توسط ESET در تابستان ۲۰۱۶ کشف شد. این برنامه با تمام نسخه های ویندوز از XP تا Windows 10 سازگاری داشت و هدف آن حداکثر تعداد کاربر بود.

علاوه بر این، DNS Unlocker با استفاده از حفاری عمیق و ایجاد این تغییر در رجیستری ویندوز راه جدیدی برای تغییر تنظیمات DNS استفاده کرد. هدف این بود که ربودن DNS را غیر قابل کشف کنند.

اگر فکر می کنید به DNS Unlocker آلوده شده اید، این دستورالعمل های حذف ممکن است مفید باشد.

Moose worm

یکی دیگر از تهدیدات برای سرویس های DNS، کرم Moose در سال ۲۰۱۵ بود. Moose، روتر ها و سرویس های لینوکس را هدف قرار میداد و DNS آنها را می ربود. به جای اکسپلویت کردن آسیب پذیری ها در نرم افزار، این کرم با شکستن نام های کاربری و پسورد های ضعیف، آنها را هک میکرد. و همه ما میدانیم که متاسفانه بسیاری از آنها در وب وجود دارند.

مهاجمان به دنبال استفاده از اتصالات اینترنتی قربانی برای کلاهبرداری در شبکه های اجتماعی بودند. Moose از سیستم های آسیب دیده و اتصالات اینترنت آنها استفاده میکرد تا پیج ها را لایک کند، ویدئوها را تماشا کند و دیگر حساب ها در پلتفرم های اجتماعی را دنبال کند.

دو روز پس از اینکه برای اولین بار  Moose کشف شد، محققان TrendMicro یافته های خود را در مورد خود بدافزار به اشتراک گذاشتند، که به منظور سرقت اعتبار کاربران با ادغامِ ربودنِ DNS با حملات خشونت آمیز مورد استفاده قرار گرفت.

این فقط ۳ نمونه از بدافزارهایی است که به دنبال به خطر انداختن امنیت DNS هستند، اما تعداد آنها خیلی بیشتر است.

مجرمان سایبری چندین منفعت برای هدف قرار دادنِ سرویس های DNS در نظر دارند:

– حمله مخفیانه است و شناسایی آن مشکل است

– اغلب کاربران به شناسایی های آنتی ویروس تکیه میکنند اما این حمله توسط آنتی ویروس شناسایی نمیشود.

– این حمله راه را برای مجموعه ای بزرگ از سیستم های در معرض خطر باز میکند.

– این حمله یک کانال مستقیم برای تغذیه ی سیستم با نرم افزار های مخرب در اختیار مهاجمان میگذارد.

– این حمله راهی است برای ادغام روش های حمله که میتواند از سیستم برای حملات DDoS و دیگر کمپین های گسترش بدافزار استفاده کند.

مجددا باید بر اهمیت استفاده از یک سرویس DNS قابل اعتماد و امن در تمام دستگاه های تان تأکید کنیم.  به محض اینکه جنایتکاران سایبری شروع به بهره برداری از پتانسیل هک شدن DNS می کنند، ممکن است ما با مشکل دیگری روبرو شویم که می تواند امروزه به بزرگی مشکل باج افزار ها باشد.

نرم افزار قدیمی منجر به حملات سایبری می شود!

با استفاده از نسخه رایگانِ Heimdal، آپدیت نرم افزار خود را خودکار کنید و ۸۵% از حملاتی را که حفره های امنیتی در برنامه های شما را هدف میگیرند، مسدود کنید.

سریع- صرفه جویی در زمان- استفاده آسان- رایگان

0 پاسخ

دیدگاه خود را ثبت کنید

تمایل دارید در گفتگوها شرکت کنید؟
در گفتگو ها شرکت کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *