Simple Is Beautiful
      Complication breeds mistakes, and mistakes can create security vulnerabilities. This
simple truth is why simplicity is such an important characteristic of a secure application.
Unnecessary complexity is as bad as an unnecessary risk.
For example, consider the following code taken from a recent security vulnerability
notice:

$search = (isset($_GET['search']) ? $_GET['search'] : '');

?>

This approach can obscure the fact that $search is tainted, particularly for
inexperienced developers. Contrast this with the following:

$search = '';
if (isset($_GET['search']))
{
$search = $_GET['search'];
}
?>

The approach is identical, but one line in particular now draws much attention:
search = $_GET['search'];
Without altering the logic in any way, it is now more obvious whether $search is
tainted and under what condition.


Minimize Exposure

         PHP applications require frequent communication between PHP and remote sources.
 The primary remote sources are HTTP clients (browsers) and databases. If you properly track
data, you should be able to identify when data is exposed. The primary source of
exposure is the Internet, and you want to be particularly mindful of data that is exposed
over the Internet because it is a very public network.
Data exposure isn't always a security risk. However, the exposure of sensitive data should
be minimized as much as possible. For example, if a user enters payment information,
you should use SSL to protect the credit card information as it travels from the client to
your server. If you display this credit card number on a verification page, you are actually
sending it back to the client, so this page should also be protected with SSL.
In this particular scenario, displaying the credit card number to the user increases its
exposure. SSL does mitigate the risk, but a better approach is to eliminate the exposure
altogether by displaying only the last four digits (or any similar approach).
In order to minimize the exposure of sensitive data, you must identify what data is
sensitive, keep track of it, and eliminate all unnecessary exposure. In this book, I
demonstrate some techniques that can help you minimize the exposure of many common
types of sensitive data

بحث امروز در مورد یکی از تکنیک های تشخیص عملکرد ویروس ها توسط آنتی ویروس های مختلف است که یکی از چند روشه گفته شده در مطالب قبلی می باشد.

روش تشخیص رفتار ویروس ها یا روش hueristic بر مبنای درک کد برنامه های مورد نظر پایه ریزی شده.به طور کلی این روش برای ویروس های پولیمورفیک و متامورفیک و خود اصلاح به کار میره.

نوع تشخیص:

مخرب های نامبرده هیچکدام در روش های الگویی قابل تشخیص نیستند.پس دنبال راهی میگردیم که بتوانیم کد های این برنامه ها رو تشخیص بدیم.عموماً برای روش تشخیص رفتار ویروس ما بدنبال اثراتی از برنامه مخرب می گردیم تا بتونیم اسم اون برنامه رو(ویروس)یا (مخرب)بگذاریم.در این مورد حدودا 20 پرچم موجود تعریف شده ما رو به سمت تشخیص مخرب بودن و یا نبودن یک برنامه می رساند.البته توجه کنید که فقط یک پرچم و یک اخطار برای تشخیص کافی نیست ولی میانگین پرچم ها به ما اجازه زدن برچسب "مخرب"را میدهد.

این پرچم ها از این قرار هستند:

F=دسترسی مشکوک به فایل ها.برنامه ای که می خواهد به برنامه ای دسترسی پیدا کند

R=نقل مکان.برنامه ای که میخواهد به طور مشکوک نقل مکان کند.

A=درخواست حافظه غیر معمولی.برنامه ای که از روش های غیر استاندارد برای اختصاص دادن حافظه استفاده می کند.

N=ایجاد فرمت مغایر.برنامه ای که دارای فرمت هایی مغایر با استاندارد های ساختاری سیستم است.

S=برنامه ای که به دنبال فایل های اجرایی میگردد.

#=برنامه ای که روش هایی برای رمزنگاری دارد.البته این روش در بسیاری از برنامه ها کاربرد دارد

ٍE=نقطه ورودی متغیر.برنامه ای که آدرس ورودی آن آدرس ورودی یک فایل اجرایی باشد

L=برنامه ای که بارگذاری برنامه دیگر را مختل می کند.

D=برنامه ای برای نوشتن روی دیسک عمل کند شده باشد.

M=برنامه ای که در رم مقاوم شود.یعنی در رم باقی بماند و تغییر آن سخت باشد.

!=برنامه ای که دستوراتی مغایر با اندازه و حدود پردازشگر داشته باشد.

T=برچسب زمانی غلط.بعضی از ویروسها از این تکنیک برای برچسب گذاری فایل های آلوده استفاده می کنند.

J=پرش های مشکوک.برنامه هایی که دارای پرش های نامعین در ابتدای کد خود دارند

?=هدر های اجرایی متناقض

G=دستورالعمل های پاکسازی اضافی.این نوع برنامه ها ممکن است از دستورات garbage به عنوان رمزنگاری استفاده کنند

U=وقفه های بی اساس و بی سند.مثل وقفه های دسترسی به سخت افزار

Z=برنامه هایی که اجرایی بودن و یا نبودن فایل های دیگر را تشخیص می دهند.

o=فایل هایی که قصد دوباره نویسی حافظه را دارند.

B=برنامه هایی که دارای کد های برگشت به ابتدای برنامه هستند.

K=ایجاد صف های غیر استاندارد و اضافی

برای مثال ویروس backfont دارای پرچم های FRALDMUZK است.

در کل اگر ساخت یک آنتی ویروس را دنبال می کنید روش نامبرده یکی از روش های اساسی و مشکل در پیاده سازی آنتی ویروس می باشد.توجه کنید که با آین روش ها می توانید یک قدم از انواع ویروس جلوتر باشید....

امروز دهمین شماره از نشریه الکترونیکی تخصصی نرم افزار دانشگاه رو براتون گذاشتم.البته لینکش رو هم به صورت دائم در وبلاگ قرار دادم.

حتما مطالعه کنید....

با آرزوی موفقیت برای کادر مسئول نشریه و تمامی دوستان

وبسایت نشریه

دانلود شماره دهم

در این بخش ادامه بحث امنیت در داتنت رو براتو قرار دادم.امیدوارم بدرد بخور باشه.....

-مفهوم امنیت دسترسی به کد:

امنیت دسترسی به کد از مکانیزم طراحی داتنت برای کنترل دسترسی   منابع حفاظت شده مثل فایل های سیستمی,رجیستری و بقیه کد هایی که تغییر آن ها در سیستم باعث آسیب رسانی می شود استفاده می کند.در حقیقت به این معنی است که امنیت بر اساس شناسایی کد(و نه شناسایی کسی که کد را نوشته)پایه ریزی شده.امنیت دسترسی به کد موارد زیر را پوشش می دهد:

سیاست ها(1):

مدیران سیستم و توسعه دهندگان سیاست هایی را برای  تبیین مجموعه مجوز ها روی کد ایجاد کرده اند.به طور مثال نظارت کد شما به گونه ایست که اگر از کد را از سایت اصلی و منبع آن گرفته باشید بدون مشکل اجرا خواهد شد اما اگر آن را از شرکت X دانلود کنید به مشکل بر خواهید خورد

مدارک(2):

CLR برای این که بتواند تشخیص دهد که آیا کد دارای مجوز های لازم هست یا خیر از مدارک استفاده می کند.کد توانایی ساختن مجوز را برای خود ندارد.این مدارک بر اساس این که کد از کجا شکل گرفته(اصلیت کد از کجا بوده)است ساخته شده که به نوبه خود سیاست تبیین شده روی کد را تعریف می کند.مدارک به اندازه ی امضاء دیجیتال کد می توانند خاص باشند, که به طور موثر موجب تمایز در امنیت می شود.

مجوز و مجموعه مجوز ها:

داتنت فریمورک مجموعه مجوز های پیش فرضی برای تعیین سطح دسترسی به منابع سیستمی ایجاد می کند که این مجموعه ها با سیاست های خاصی در ارتباط هستند.البته توسعه دهندگان می توانند مجموعه مجوز های عرف را برای اجازه ایجاد و اجرای کد تعریف کنند.در هر صورت این مجموعه ها به هر نحوی که ساخته شوند باید از در ارتباط با سیاست ها و قوانین باشند.

تقاضای امنیتی:

کد نمی تواند مجوز را بسازد اما می تواند آن را در خواست کند.با اینکه کد می تواند این کار را انجام دهد اما به هر صورت  به معنی این نیست که مجوز ها به راحتی به هر کدی اعطا شود.

جمع آوری و دسته بندی:

مدارک را می توانید به عنوان ورودی,سیاست ها را به عنوان پروسه روی این مدارک و مجوز ها را به عنوان خروجی در نظر بگیرید که در پایان روی کد اعمال می شود.اگر کد دارای مجوز باشد اجرا می شود و در غیر این صورت دچار استثنامی شوید.

در پی ارائه آیفون 5 ایمیل مخرب مبنی بر همین عنوان در حال انتشار است.ایمیلی که حاوی بدافزاری است که سفوس نام آن را Mal/Zapchas-A گذاشته است.

اپل همواره محصولات داغ و پرطرفداری را ارائه می کند بنابر این قبل و بعد از آن تبلیغات حاوی ویروس زیادی به وجود می آید که برای 90 درصد کاربران معمولی کاملا خطر ناک است.

همانطور که در عکس زیر مشاهده می کنید(اسکرین شات ایمیل آبرام وگنر در توییتر)ایمیل بدافزاری شامل تبلیغ آیفون 5GS است که هر کسی را برای خواندن مطلب جذب می کند!

حتما درباره سیستم های امنیتی ویندوز 7 شنیدید.امروز در مورد یکی از برنامه های امنیتی مایکروسافت برای رمزنگاری درایو ها بحث می کنیم.

خیلی وقت ها احتیاج داریم که درایو ها رو از نظر امنیتی تغذیه کنیم.برای مثال می خوایم که دسترسی ,کپی و یا هر مورد دیگه ای رو برای افراد ناشناس روی درایو هامون حذف کنیم.یکی از برنامه هایی که در ویندوز 7 Ultimate,pro و enterprice edition وجود داره BitLocker drive encryption است.این نرم افزار فقط و فقط در این 3 ورژن از ویندوز 7 ساپورت می شود.پس سعی در اجرای آن در Home Premiume نداشته باشید!

BitLocker از سیاست ها یا policy های تحت مایکروسافت بهره می برد.همانطور که در لینک ویدئو قرار دادم می توانید این policy هارا مشاهده کنید.

همچنین این برنامه شمارا قادر می سازد که از هرگونه عملیات امنیتی برای رمزنگاری درایو  از قبیل رمز گذاری,smart card و همچنین FaceDetection استفاده کنید.بنابر این برای به سرقت نرفتن اطلاعات خود البته در سطوح مبتدی استفاده از این برنامه موثر است....

لینک دانلود ویدئو اصلی:http://hotfile.com/dl/131352223/eb0497e/bitlocker.wmv.html

سلام

امروز مطلبی در باره تست آنتی ویروس ویندوز 8 براتون دارم.آنتی ویروسی که همون ویندوز دیفندر اسمشه!

با ارائه نسخه جدید ویندوز و شنیدن خبر ارائه آنتی ویروس ویندوز 8 به همراه ویندوز مشتاق دیدن این آنتی ویروس built-in بودیم.

برای تست آنتی ویروس خطرناکترین کار تست ویروس های دم دست هست!!!!برای این کار سایت های زیادی مثل eicar.org راه اندازی شده.EICAR فایل های قابل اطمینان که شبیه سازی شده اند در اختیار قرار می دهد.

در ابتدا فایل تست EICAR باید از سرور آن دریافت شود.هنگام دریافت این فایل خطایی از ویندوز دیفندر ویندوز 8 دریافت می کنید مبنی بر این که این فایل به عنوان فایل مخرب شناخته شده است!موفقیت آمیز بود!!!!تست اول جواب داد حالا تست های بعدی...

تست بعدی باز کردن notepad نوشتن کد جادویی 68 و سپس ذخیره فایل با پسوند COM است.در این مورد فایل را باز میکنیم اما میبینیم که فایل محو می شود!بدون هیچ پیغام و یا اخطاری.در صورتی که باید به عنوان فایل مخرب شناسایی می شد.!××نا موفقیت آمیز××!

همچنین اگر این فایل ذخیره شده را از روی usb مموری اجرا کنیم تنها با خطای win32 معمول مواجه میشیم و نا با خطای نرم افزاری و یا بد افزاری.

تست بعدی تست مدل های آزمایشگاهی ویروسی مربوط 6 و 12 ماه پیش است...البته 50 درصد از این مخرب ها توسط آنتی ویروس به درستی تشخیص داده شد اما هنوز خیلی باید روش کار بشه!

تست 3 فایل مختلف از 3 سیستم عامل مختلف MAC LINUX WINDOWS برای تشخیص کراس پلتفرم با موفقیت انجام شد.البته نتیجه خوبه چون تشخیص ویروس از هر 3 پلتفرم میتونه برای شروع کار مناسب باشه.

پیشنهاد این است که حتما پس از استفاده از ویندوز 8 و آنتی ویروس آن از یک اینترنت سکیوریتی هم استفاده شود چون به نظر میاد که از لحاظ تشخیص مخرب های روی شبکه زیاد قوی عمل نمیکند!

این هم قسمتی از نتایج تشخیص این آنتی ویروس:

زبان عمومی زمان اجرا CLR

هنگامی که شما کدتان را اجرا می کنید این کد در قسمت CLR قرار میگیرد,جایی که کل  محیط اجرایی را برای کدتان  فراهم آورده است.

CLR  مکانیزم امنیتی جداگانه ای نیز دارد که باعث می شود به طور مستقل از پلتفرم میزبان کار کند.توجه داشته باشید که اگر سهوا یا عمدا چالش های امنیتی در پیاده سازی های ویندوز خود ایجاد کرده باشید حتی سیستم امنیتی قوی داتنت نیز جوابگو نخواهد بود.اما CLR  برای چاره اندیشی)) جزء محورِ مدل امنیتیِ خود( را پیاده سازی می کند که این کار موجب می شود تا کد های اجرایی از امنیت بالاتری برخوردار باشند و در معرض حملات تخریبی قرار نگیرند.

کد های محافظت شده:

شما قطعاً با مفهوم کامپوننت آشنا هستید.ولی به طور صریح چیزی که مهمتر است وجود کد هایی درون کامپوننت هاست که دارای امتیاز یا مجوز هستند و این مجوز ها باعث می شوند که کدها به طور مستقل از برنامه نویس و اجرا شوند.

 CLR تمامی تدابیر امنیتی را در زمان اجراانجام می دهد.مهمترین مساله که باید به خاطر سپرد این است که کد از کجا آمده نه اینکه کد را چه کسی نوشته؛این دستورات بر روی کد در حال اجرا در CLR  عملی  و در زبان سازگار-CLS کامپایل می شود.این نوع کد ها ,کدهای سازماندهی شده نامیده می شوند.

کد های سازماندهی شده:

 از اهداف اصلی داتنت فریمورک این است که توسعه کامپوننت ها را آسانتر کند.چون یکی از سخت ترین مسائل در مورد توسعه کامپوننت ها ارتباط با زیر ساختار های کامپوننت هاست.بنابر این داتنت فریمورک سعی بر خورکار کردن بسیاری از جزئیات کامپوننت ها از قبیل شمارش منبع,توضیح اینترفیس و رجیستری, به طور مجازی دارد.به طور مثال امنیت کامپوننت COM باید به طور دستی تنظیم شود- چون حافطه ای که در اختیار دارد به طور خودکار قابل مدیریت نیست- و برای نصب آن باید حتما ورودی در رجیستری ویندوز قرار داشته باشد.در مقابل CLR  تامین کننده این امکان بر روی کامپوننت های داتنت فریمورک و اسمبلی ها به صورت خودکار برای کاربر است.اسمبلی نیز بدون نیاز به رجیستری ویندوز می تواند راه اندازی شود.

تفاوت کد های سازماندهی شده و غیر سازماندهی شده در این است که مورد اول از نوع رایج استاندارد سیستم داتنت استفاده می کند و مورد دوم از بقیه استانداردهای باینریِ موجود

در هر صورت شما اجازه استفاده از هر دو کد را به طور متقابل دارید.به طور مثال شما می توانید کامپوننت های COM را در داتنت و بالعکس استفاده کنید.به علاوه عموماً از بقیه منابع غیر داتنتی مثل اتصالات پایگاه داده نیز استفاده می کنید که این منابع نیز کد های غیر سازماندهی شده هستند.