فرض کنيد هارد ديسک کامپيوتر شما در اختيار فرد و يا افرادی ديگر قرار بگيرد ، آيا آنان می توانند با بررسی آن اطلاعات خاصی در خصوص شما و نوع فعاليت هائی که انجام می دهيد را کسب نمايند ؟ در پاسخ می بايست با صراحت گفت که چنين امری ميسر است و شايد بيش از آنچيزی که احتمال آن را می دهيد . در اين مطلب قصد داريم به بررسی اين موضوع بپردازيم که چگونه يک کارشناس کالبد شکافی اطلاعات کامپيوتر قادر است داده هائی را که به نظر شما مدت ها است از روی کامپيوتر حذف و ظاهرا" اثری از آنان مشاهده نمی گردد را جان دوباره داده و از آنان استفاده نمايد . بررسی اين موضوع از دو زاويه می تواند مفيد باشد : اول برای افرادی که قصد بازيافت اطلاعات ( recovery ) خود را دارند و دوم برای افرادی که می خواهند مقاومت سيستم خود را در مقابل بازبينی های غيرمجاز ، افزايش دهند .
به منظور ايمن سازی کامپيوتر خود و حفاظت از اطلاعات حساس موجود بر روی آن لازم نيست که حتما" يک کارشناس حرفه ای کامپيوتر باشيم ، با اندک دانشی نسبت به نحوه عملکرد سيستم عامل نصب شده بر روی کامپيوتر نظير ويندوز، می توان اقدامات لازم در اين خصوص را انجام داد . افشای اطلاعات حساس موجود بر روی هارد ديسک ، آگاهی از وب سايت های مشاهده شده و فايل هائی که از طريق اينترنت download شده اند و بازيابی فايل های حذف شده، از جمله مواردی می باشند که می تواند توسط هر فردی که به سيستم شما دستيابی پيدا می نمايد و دارای دانش مختصری در رابطه با نحوه بازيافت اطلاعات است، مورد سوء استفاده قرار گيرد . افراد فوق با در اختيار گرفتن مجموعه ای از ابزارهای موجود که بدين منظور و گاها" با اهداف خيرخواهانه طراحی شده اند ، می توانند حتی اقدام به بازيابی داده هائی نمايند که شما قبلا" آنان را حذف نموده ايد . آنان در اين رابطه اقدام به بازيابی مجموعه ای از بيت ها و بايت ها نموده و در ادامه با قرار دادن آنان در کنار يکديگر، قادر به دستيابی و مشاهده اطلاعات حذف شده خواهند بود .
داده های مخفی و نحوه يافتن آنان
کامپيوترهای موجود در منازل و يا سازمان ها مملو از داده هائی است که کاربران از وجود آنان بر روی سيستم خود بی اطلاع می باشند . حتی تعداد زيادی از کارشناسان حرفه ای فن آوری اطلاعات نيز در اين رابطه اطلاعات و يا شناخت مناسبی را ندارند . بر روی کامپيوتر مکان های دنج و خلوتی وجود دارد که داده ها در آنجا مخفی شده و با شناخت مناسب نسبت به محل اختفای آنان، احتمال بازيابی و سوء استفاده از آنان وجود خواهد داشت . با بازرسی مکان های فوق و بررسی ردپای داده های به جا مانده بر روی سيستم، می توان اطلاعات زيادی در خصوص استفاده کننده کامپيوتر و نوع فعاليت های وی را کسب نمود و حتی متوجه شد که وی با چه سرويس دهندگانی ارتباط داشته است . در ادامه به بررسی متداولترين موارد در اين خصوص خواهيم پرداخت .
آگاهی از وب سايت های مشاهده شده
جملگی می دانيم که با بررسی history مرورگر و فايل های موقت اينترنت ( Cache ) ، می توان آگاهی لازم در خصوص وب سايت های مشاهده شده توسط کاربر يک کامپيوتر را پيدا نمود . در صورتی که نمی خواهيم ردپای استفاده از وب بر روی سيستم برجای بماند ، می بايست اين نوع فايل ها را حذف نمود .( فرآيندی ساده در اکثر مرورگرها ) . کليک بر روی يک دکمه به منظور حذف يک فولدر به تنهائی کافی نبوده و همچنان احتمال بازيابی آنان وجود خواهد داشت . حتی در مواردی که اقدام به پاک نمودن history مرورگر می شود ، تمامی فايل ها حذف نخواهند شد !
سرنخ وب سايت های مشاهده شده در مکان هائی ديگر مخفی شده و همچنان باقی خواهند ماند . با بررسی فولدرهای Favorites و يا Bookmarks نيز می توان اطلاعات زيادی در خصوص سايت هائی که توسط يک کاربر به تناوب استفاده می گردد را پيدا نمود . بررسی فولدر کوکی ( Cookies ) نيز می تواند نشاندهنده سايت های مشاهده شده توسط يک کاربر باشد . نظر شما در رابطه با آدرس هائی که در بخش آدرس مرورگر تايپ می گردد و ادامه آن به صورت اتوماتيک توسط برنامه مرورگر درج می گردد ، چيست ؟ يک فرد آشنا به کامپيوتر می تواند با تايپ تصادفی حروف ، متوجه شود که شما قبلا" چه آدرس هائی را در اين بخش مستقيما" تايپ نموده ايد . آدرس وب سايت هائی را که شما مستقيما" در بخش آدرس يک مرورگر تايپ می نمائيد ( منظور کليک بر روی لينک های pop up نمی باشد ) در کليد ريجستری زير ذخيره می گردند :
|
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs |
حذف history در مرورگر IE باعث حذف URLs تايپ شده می گردد . در صورت تمايل، می توان اين عمليات را مستقيما" و با اجرای برنامه regedit انجام داد . در چنين مواردی می توان يک و يا چندين URLs را مستقيما" حذف نمود ( يافتن کليد ريجستری اشاره شده ، انتخاب يک و يا چندين URLs ، کليک سمت راست و فعال نمودن دکمه Delete ) . بررسی فولدرهای My Download و دايرکتوری های temp نيز می تواند مشخص کننده فايل های Downlaod شده توسط شما باشد .
با استفاده از نرم افزارهائی که بدين منظور طراحی شده است ، می توان به سادگی تمامی "نشانه های وب " را از روی سيستم پاک نمود . Web Cache Illuminator ، يک نمونه در اين رابطه است .
در صورتی که شما از طريق يک فايروال از اينترنت استفاده می نمائيد ، در اغلب موارد فايروال مربوطه و يا سرويس دهنده پروکسی ليستی از وب سايت های مشاهده شده توسط کاربران و يا کامپيوترهای موجود در شبکه را ثبت می نمايد .
ساير مکان های داده های مخفی
علاوه بر موارد اشاره شده در خصوص محل اختفای داده ها خصوصا" وب سايت های مشاهده شده ، مکان های ديگری نيز وجود دارد که احتمال ذخيره سازی داده ها و بالطبع بازيابی ( بازيافت ) آنان توسط افراد غير مجاز وجود خواهد داشت :
-
برنامه های واژه پرداز و ساير برنامه هائی که فايل های موقتی را ايجاد می نمايند . اين فايل ها معمولا" به صورت اتوماتيک و پس از خروج از برنامه و يا حتی راه اندازی کامپيوتر ، حذف نمی گردند . فايل های فوق ممکن است در فولدری مشابه با محل نصب برنامه و يا فولدرهای موقتی که بدين منظور توسط برنامه ايجاد می گردد ، ذخيره شوند .
-
Clipboard مربوط به ويندوز و يا آفيس ، می تواند داده هائی را که اخيرا" توسط سند مربوطه Cut و Copy شده اند ، افشاء نمايد. ( حتی در صورتی که سند مورد نظر حذف گردد ) . Clipboard آفيس ، می تواند شامل چندين آيتمی باشد که در طی مراحل قبل Cut و Copy شده اند ( صرفا" شامل آخرين آيتم نمی باشد ) .
-
برنامه های IM يا Instant Messenger ممکن است بگونه ای پيکربندی شده باشند که ماحصل مکالمه و يا محاوره انجام شده را در يک فايل و بر روی هارد ديسک ذخيره نمايند . سيستم های IM سرويس گيرنده - سرويس دهنده که از طريق يک سرويس دهنده IM مرکزی امکان ارتباط را فراهم می نمايند ، ممکن است ماحصل مکالمه و يا گفتگوی انجام شده را بر روی سرويس دهنده ذخيره نمايند . ليست تماس و يا buddy موجود در اين نوع نرم افزارها نيز نشاندهنده افرادی است که شما عموما" با آنان ارتباط برقرار می نمائيد ( مثلا" چت ) .
-
نرم افزار پست الکترونيکی و يا برنامه مربوط به نگهداری ليست تماس شما ، ممکن است باعث افشای اطلاعات موجود در آن نظير آدرس پست الکترونيکی ، آدرس فيزيکی و شماره تلفن افرادی گردد که شما با آنان در ارتباط هستيد . همچنين تقويم و ليست فعاليت های روزمره نيز می تواند برخی اطلاعات شما را افشاء نمايد .
-
فولدر My Documents نيز می تواند اسنادی را که اخيرا" با آنان کار نموده ايد را مشخص نمايد . playlist مربوط به نرم افزارهای Media Player و بخش history آنان نيز می تواند نشاندهنده فايل های تصويری و صوتی باشد که آنان را مشاهده و يا گوش داده ايد .
-
درايوهای مربوط به tape ، سی دی ، فلاپی و حافظه های فلش نيز ممکن است همچنان دارای نسخه هائی از اسناد و فايل هائی باشند که شما آنان را از روی کامپيوتر حذف نموده ايد .
-
اطلاعاتی که اخيرا" شما اقدام به حذف آنان نموده ايد ، ممکن است همچنان و تا زمان Shut down نمودن کامپيوتر در حافظه و يا حافظه مجازی ( فايل های swap ) موجود باشند .
فايل های حذف شده
با حذف يک فايل آن فايل از روی کامپيوتر شما پاک نمی گردد . مثلا" زمانی که شما يک نامه الکترونيکی را حذف می نمائيد ، پيام حذف شده صرفا" به يک فولدر ديگر ( Deleted Items ) ، منتقل می گردد . زمانی که فولدر فوق خالی می گردد ( دستی و يا بر اساس برنامه زمانبندی پست الکترونيکی ) ، تمامی آيتم های موجود به صورت پيش فرض به Recycle Bin منتقل می گردند . حتی در صورت تخليه Recycle Bin ماجرا خاتمه نيافته و فايل های حذف شده توسط سيستم عامل از روی ديسک حذف نخواهند شد . در حقيقت پس از حذف يک فايل و يا مجموعه ای از فايل ها ، صرفا" اشاره گرهائی که به فايل های فوق اشاره می کنند از جدول سيستم فايل حذف شده و فضای استفاده شده توسط فايل های حذف شده بر روی ديسک، علامت " قابل استفاده مجدد " درج می شود . صفرها و يک هائی که داده های موجود در يک فايل را تشکيل می دهند ، همچنان در مکان های مورد نظر خود موجود بوده و احتمال بازيابی تمام و يا بخش هائی از آنان وجود خواهد داشت . حتی با فرمت کردن هارد ديسک ، فايل های حذف شده موجود بر روی آن ، دور انداخته نخواهند شد . حتما" اين سوال برای شما مطرح شده است که وجود اين نوع اطلاعات حذف شده بر روی کامپيوتر چه تهديدات امنيتی را ايجاد خواهد کرد و يا چگونه و با استفاده از چه روش و يا روش هائی امکان بازيافت مجدد آنان وجود خواهد داشت ؟
مها جمان و يا بهتر بگوئيم افراد غير مجاز با استفاده از نرم افزارهای خاصی قادر به برگرداندن داده هائی می باشند که عملا" و از ديد کاربر حذف شده ولی همچنان بر روی محيط ذخيره سازی نظير هارد ديسک موجود می باشند . معمولا" فرآيند بازيافت و ريکاوری اطلاعات عملياتی پيچيده و در عين حال طولانی است .بديهی است نرم افزارهائی که قادر به انجام اينچنين عملياتی می باشند ، بسيار گرانقيمت باشند :
به منظور بازيابی اطلاعات حذف شده می توان از برخی نرم افزارهای ارزان قيمت و يا رايگان موجود نيز استفاده نمود . برخی از نرم افزارهای فوق را می توان با مراجعه به آدرس http://free-backup-software.net/data-recovery.htm دريافت نمود .
اکثر نرم افزارهای فوق با اين هدف طراحی شده اند که اگر شما به صورت تصادفی فايل و يا فايل هائی را حذف کرده باشيد ، امکان بازيابی مجدد آنان را در اختيار شما قرار دهند . متاسفانه مهاجمان و ساير افراد غيرمجاز نيز می توانند با استفاده از نرم افزارهای فوق به برخی از اطلاعات موجود بر روی سيستم شما دستيابی پيدا نمايند .
مهاجمان و افراد غير مجاز دارای آگاهی لازم در خصوص مکان هائی که ممکن است داده ها در آنجا مخفی شده اند نيز می باشند . برخی از کاربران به منظور مخفی نمودن فايل های مورد نظر خود ، آنان را در يک مکان غيرمتداول و در يک دايرکتوری خاص نظير دايرکتوری های سيستم ذخيره می نمايند . يک جستجوی ساده برای نوع های خاصی از فايل ( نظير jpeg. و يا gif . ) و يا فايل هائی با ظرفيت بالا که تعمدا" مخفی شده اند ، باعث افشای آنان می گردد .
مهاجمان و افراد غيرمجازی که اقدام به کنکاش در يک سيستم می نمايند ، سعی می نمايند که پس از اتمام عمليات خود وضعيت هارد ديسک را به حالت اوليه برگردانند . با توجه به اين که هر گونه تلاش در جهت بازيافت اطلاعات ممکن است تغيير داده و ساختار اطلاعاتی موجود بر روی يک هارد ديسک را بدنبال داشته باشد ، مهاجمان در ابتدا اقدام به ايجاد نسخه های ثانويه از اطلاعات موجود بر روی يک هارد ديسک نموده و در ادامه عمليات مورد نظر خود را بر روی آنان انجام می دهند ( نسخه های ثانويه در سطح بيت ايجاد می گردد ) .
در برخی موارد مهاجمان و افراد غير مجاز اقدام به نصب Spyware ( برنامه های جاسوسی ) و يا سخت افزار خاصی بر روی سيستم نموده تا به سادگی اقدام به جمع آوری و ارسال اطلاعات به يک آدرس مشخص شده را بنمايند . در اينجا لازم است به نقش خطرناک نرم افزارهای موسوم به لاگرها ( loggers ) نيز اشاره گردد که به صورت سخت افزاری و يا نرم افزاری ارائه می شوند . لاگرها ، قادر به انجام عمليات متفاوت و در ابعاد گسترده ای می باشند . ثبت تمامی اطلاعات تايپ شده توسط صفحه کليد ، مانيتور نمودن صفحه نمايشگر و گرفتن تصاوير لازم از اطلاعات موجود بر روی نمايشگر ،تکثير پيام های پست الکترونيکی و ذخيره آنان در يک فولدر خاص و يا حتی ارسال آنان به افراد و يا مراکزی خاص بر روی اينترنت بدون آگاهی کاربران ، نمونه هائی از عملکرد مخرب لاگرها می باشد .
نحوه حفاظت و ايمن سازی سيستم
در اين رابطه می توان اقدامات زير را انجام داد :
-
حصول اطمينان از خالی بودن فولدر Deleted Items برنامه پست الکترونيکی ، حذف history مرورگر و Cache مربوط به نگهداری موقت فايل های اينترنت و تمامی فايل های temp در زمان Sign on
-
حساسيت لازم در خصوص فايل های موجود در فولدر Downloads ، لاگ مربوط به برنامه ها ( نظير برنامه IM ) ، و history lists برنامه های متفاوت
-
پيکربندی سيستم به منظور عدم نگهداری ليستی از اسنادی که اخيرا" با آنان کار شده است
-
رمزنگاری اسناد و فايل های حاوی اطلاعات حساس
-
استفاده از رمزهای عبور مناسب در رابطه با account مربوط به Email و ساير نرم افزارهای حفاظت شده
-
خاموش نمودن کامپيوتر به منظور پاک نمودن حافظه اصلی
-
حذف فايل های page و يا swap مربوط به حافظه مجازی قبل از خاموش نمودن سيستم ( فايل های فوق پس از راه اندازی مجدد کامپيوتر ايجاد خواهند شد ) .
در صورتی که قصد فروش و يا ارتقای سيستم خود را داريد و نگران اطلاعات موجود بر روی هارد ديسک آن می باشيد ، فرمت کردن آن به تنهائی کفايت نخواهد کرد . در چنين مواردی لازم است از يک برنامه overwriting به منظور بازنويسی اطلاعات بر روی ديسک و آنهم چندين مرتبه، استفاده گردد . برنامه های زير نمونه هائی در اين زمينه می باشند .
داده ها و يا اطلاعات دارای نقشی اساسی در عصر حاضر می باشند . اهميت اين موضوع به حدی است که عصر حاضر را عصر اطلاعات ناميده اند . کامپيوتر نيز در اين هنگامه توانسته است با توجه به توان بالای پردازش ، سرعت مطلوب در امر ذخيره و بازيابی اطلاعات نقشی محوری و تعيين کننده را برعهده بگيرد . صيانت از اطلاعات حساس موجود بر روی هر کامپيوتر وظيفه ای مهم برای هر کاربر کامپيوتر است . برخی از داده های حساس در مکان های خاصی بر روی کامپيوتر ذخيره و بنوعی مخفی نگاه داشته می شوند . مهاجمان و يا افراد غير مجاز که تمايل و علاقه به وارسی و کنکاش در سيستم های کاميپوتری را دارند ، می توانند با مراجعه به محل اختفای داده ها و بازيابی آنان ، اطلاعات زيادی را در خصوص استفاده کننده کامپيوتر کسب نمايند . با کمی صبر و حوصله و دانش اندکی نسبت به کامپيوتر می توان تمهيدات امنيتی لازم در اين خصوص را انديشيد و پيشگيری لازم را انجام داد . دستيابی و استفاده از داده های حساس توسط افراد غيرمجاز مهمترين تهديد امنيتی در حال حاضر است که می بايست همواره نسبت به آن حساسيت خاصی را داشت .