بایگانی دسته: آموزش

در این بخش می توانید انواع آموزش ها را دریافت کنید . زیر نظر مهندس معاونی

نگاهی به امنیت در شبکه های خصوصی مجازی(VPN)

ارسال شده در توسط
پاسخ دادن

شبکه خصوصی مجازی

استفاده از تجهیزات سیّار گوناگون در شبکه های ارتباطی باعث کاهش فاصله ها شده است و از طرفی باعث افزایش مخاطرات گردیده است . سازمان هایی که داده هایی را به اشتراک می گذارند ، سعی می کنند هزینه های خود را به حداقل برسانند و به همین دلیل معمولا به سراغ زیربناهای غیرقابل اعتماد می روند و این کار می تواند مقدمه ای برای ورود مهاجمان به شبکه های سازمان ها و انجام عملیات پیچیده توسط آن ها شود .
شبکه های خصوصی مجازی (VPN) و کنترل دسترسی امن از راه دور موضوعات جدیدی نمی باشند اما تهدیدات و خطرات در این حوزه ها دائما در حال تغییر هستند و نیاز به نظارت منظم و به روزرسانی امنیتی برای متوقف کردن آن ها وجود دارد . در این پست نگاه تازه ای به چشم اندازهای این تهدیدات گردیده است و چندین روش برای نگهداری امن از داده ها در دنیای متصل به اینترنت ارائه گردیده است .هم چنین سعی خواهد شد که نمونه های از حملات واقعی که موفق به شکست پروتکل های امنیتی گردیده اند و آسیب پذیری های جدی را اخیرا وارد کرده اند را مورد بررسی قرار دهیم و راهکارهای برای کاهش این ریسک های بیان خواهیم نمود .
یک VPN به عنوان شیوه ای برای اتصال از راه دور به یک شبکه ، حفاظت خوبی را در مقابل تهدیدات فراهم می کند اما به دو دلیل یک هدف جالب برای یک مهاجم می شود :
  • اولا : VPN اطلاعات حساس را از طریق شبکه های عمومی و اشتراکی انتقال می دهد و امکان تمدید دریافت خدمات از محیط خارج شبکه باعث می شود تا اطلاعات بسیاری برای مهاجمان قابل دسترس باشد . هکرها هیچ نیازی به انجام کار پیچیده ای برای دسترسی به اطلاعات حساس ندارند . فقط یک نقص در کنترل دسترسی از راه دور می تواند امنیت یک سیستم را به خطر بیندازد . شبکه های داخلی سازمان ها که اطلاعات حساسی را ذخیره می کنند با استفاده از VPN امکان ابتلا به خطرات بسیاری را برای خود فراهم می آورند . هکرها با استفاده از VPN ها امکان دسترسی بیشتری به اطلاعات خصوصی پیدا می کنند .
  • دوم : VPN معمولا لایه های امنیتی برای حفاظت از خطرات را ندارد و با این حال ، امکان دسترسی از محیط خارج شبکه به داخل شبکه وجود دارد .فایروال ها ، سیستم های تشخیص نفوذ(IDS) ، پروکسی ها و کنترل های دیگر که با ایجاد ترافیک از شبکه های عمومی به خصوصی مانع بسیاری از مخاطرات می شوند در VPN ها معمولا وجود ندارند . این واقعیت می تواند حملات متعددی را برپایه VPN در محیط های دورتر به وجود آورد و این برای یک مهاجم جذابیت بیشتری از حملات داخل یک محیط محدود را دارد .
با توجه به دو عامل تهدید ساز فوق ، سیستم های VPN باید به آسیب پذیری های زیادی توجه داشته باشند . مهاجمین همواره به دنبال سوءاستفاده از سخت افزار و نرم افزار می باشند که این هدف معمولا با پیاده سازی های ضعیف و مدیریت ناقص به وجود می آید . به همین دلیل است که VPN ها درگیر نقص های جدی می باشند . در ادامه به ذکر نمونه های واقعی از نقض های امنیتی مرتبط با VPN می پردازیم :
بدترین نمونه از نقض مرتبط با VPN حادثه ای است که در سال ۲۰۰۸ در سیستم پرداخت Heartland به وقوع پیوست . در این حمله سیسام پردازش پرداخت که شامل اطلاعات بسیار حساسی بود ، با استفاده از یک VPN دچار مشکل گردید . در ابتدا یک حمله SQL injection به هکرها اجازه کنترل سیستم داخلی Heartland را داد اما آن ها به محیط تراکنش ها نتوانستند دست یابند . سپس مهاجمان با استفاده از سیستم داخلی دسترسی های خود را افزایش دادند . آن ها این کار را به راحتی توانستند انجام دهند چرا که ایستگاه های کاری که از داده های حساسی میزبانی می کنند چندان امن نمی باشند . با چنین اتفاقی سیستم های امن تر متصل به محیط پردازش تراکنش ها به خط افتادند و اطلاعات حساسی به سرقت رفت .
یک واقعه مشابه در ژانویه ۲۰۱۰ به گوگل ضربه زد . بعد از این حادثه ، گوگل از کاربران خود خواست تا تغییرات ضروری را در تنظیمات VPN خود با توجه به حملات بسیار پیچیده و هدفمند بوجود آورند . این حملات می توانست در آینده نقص های ناخواسته ای را بوجود آورد و پیکر بندی VPN را دچار مشکل کرده و با تغییر مکرر زمان باعث ایجاد این تصور شود که همچنان ارتباط با سیستم داخل وجود دارد . این حمله نشان داد که لایه های امنیتی و مدیریت خوب برای امنیت یک VPN می تواند حیاتی باشد .
در مثالی دیگر از نقص در مدیریت VPN که باعث شد یک کارمند اخراج شده با استفاده از VPN حمله ای به اطلاعات حساس شرکت تجاری نمود و بعد از آن موفق شد که بارها موقعیت خود را بدون آن که شناسایی شود ، تغییر دهد . وی به راحتی به سیستم پیش بینی تقاضای های این شرکت تجاری دسترسی پیدا کرد و از این طریق ۲۶۰۰۰۰ دلار درآمد شخصی برای خود بدست آورد .
سازمان های خرده فروشی باید دقت زیادی در مدیریت دسترسی به سیستم ها داشته باشند و با توجه به گردش بالی کاری کارمندان در این صنعت ، پیچیدگی های زیادی در این مدیریت وجود دارد . Walmart یکی از بزرگترین فروشگاه های زنجیره ای خرده فروشی در جهان است که در سال ۲۰۰۵ به علت نقض های مکرر VPN به مدت ۱۷ ماه دچار مشکل گردید . در آن زمان یک مهاجم توانسته بود به سیستم کارت پرداخت دسترسی پیدا کند . نقض زمانی مشخص شد که نصب یک ابزار رمزگشایی از رمزهای عبور در حالت آفلاین با شکست مواجه VPN به چندین بخش پرداختند و کنترل های دسترسی اضافه تری را برای دسترسی به داده های حساس در سیستم قرار دادند .
درسی که از ماجرای Walmart گرته شد این بود که می بایست جلوی اشتباهات مشابه را گرفت اما کمتر از سه سال بعد یک حادثه مشابه برای یک تولید کننده دستگاه های پزشکی اتفاق افتاد . یک مهاجم (کارمند اخراج شده) با استفاده از یک VPN چندین نقض امنیتی را کشف کرد و برای چندین ماه به اطلاعات حساسی دسترسی پیدا کرد . مدیران این شرکت مجبور شدند برای مشتریان خود در ۴۸ ایالت نامه هشدار برای تغییر در اطلاعات حساس را ارسال کردند و خیلی سریع به سراغ یک VPN امن تر حرکت کردند . در حالی که مدیران این شرکت ها تنها به یک کارمند اخراج شده مشکوک بودند اما آنها قادر به شناسایی مهاجم (مهاجمین) نبودند .
با نگاهی جدی به آسیب پذیری های مرتبط با VPN ها که در مثال های بالا ذکر شد می توان به سه دسته علّت ها دست یافت :
  • کیفیت : سیستم های VPN برای انجام عملیات پیچیده امنیتی در یک محیط غیرقابل اعتماد استفاده می شوند به ویژه این که برای حفظ حریم خصوصی از آن ها استفاده می شود . به همین دلیل باید مراقبت و آزمایش های خاصی را در حین طراحی برای آنها در نظر گرفت و یک استاندارد گذاری برای کیفیت و انواع VPN انجام شود .
  • طراحی : معمولا سطح امنیت توسط مشتری باید قابل تغییر باشد . در برخی از کاربردها نیاز به کنترل های دقیق تری از کاربردهای دیگری وجود دارد . بنابراین ، تنظیمات پیش فرض ممکن است برای سهولت در استقرار و سرعت ، توجه چندانی به امنیت نداشته باشند . هدف برخی از محصولات VPN گسترش شبکه های خصوصی در فاصله از راه دور است و به دنبال کاهش هزینه های فیزیکی می باشد و امنیت تنها یک گزینه محدود برای آن ها می باشد . بنابراین در طراحی VPN باید گزینه های متاوتی را برای مصرف کننده نهایی در نطر گرفت .
  • مدیریت : پیچیدگی شبکه ها به طور معمول نیاز به تخصص و مهارت های خاصی دارد . باید توجه داشت VPN بخشی از شبکه است و نیاز به تخصص های در زمینه شبکه و امنیت و پروتکل های شبکه مانند SSL و IPsec دارد .یک انتخاب ساده می تواند آسیب پذیری های جدّی را پدید آورد . هم چنین نیاز به سیستم عامل قدرتمند برای جلوگیری از سوءاستفاده های احتمالی وجود دارد . استقرار یک VPN می تواند به شدت پیچیده و فریب انگیز باشد بنابراین باید به خوبی مدیریت شود تا سطح امنیتی مناسب از آن استخراج شود .
اگر چه امروزه همچنان مشکلاتی در زمینه مدیریت ، طراحی و کیفیت وجود دارد اما با انتخاب محصولی با طراحی و کیفیت خوب می توان با بسیاری از مشکلات مقابله کرد .

نویسنده و گردآورنده : مسعود معاونی

کد مقاله :A96102502

https://telegram.me/moaveni_ir

چالش های مطرح در اینترنت اشیاء

ارسال شده در توسط
پاسخ دادن

چالش های مطرح در اینترنت اشیاء

 

اسلاید آموزشی ورق بزنید —->

[metaslider id=”1766″]

 

گردآورنده : مسعود معاونی
کد مطلب: A961006

https://telegram.me/moaveni_ir

معرفی ۱۰ ترند برتر در مقالات در سال ۲۰۱۸

ارسال شده در توسط
پاسخ دادن

10 ترند برتر فناوری اطلاعات در سال ۲۰۱۸

در این مقاله می خواهیم به معرفی ۱۰ گرایش اصلی (trend) اصلی در سال ۲۰۱۸ بپردازیم :
  1. مفاهیم بنیادین هوش مصنوعی(AI) : امروزه استفاده از AI به هدف افزایش توانایی در تصمیم گیری ، بازنگری مدل های کسب و کار ، بازنگری در مدل های کسب وکار ، بازسازی اکوسیستم های ارتباطی ، افزایش بازدهی و توسعه ابتکارات دیجیتالی صورت می پذیرد . ۵۹ درصد از سازمان ها برای جمع آوری اطلاعات به سراغ راهبردهای هوش مصنوعی می روند . هوش مصنوعی همواره دارای راه حل های پویا و متنوعی است که از مهم ترین آن ها می توان به یادگیری ماشین (Machine Learning) اشاره کرد که به کمک الگوریتم های بهینه شده بهترین عملکرد را برای تجهیزات فراهم می آورد . محققان معتقدند برای پیشرفت در علوم مختلف ، همواره باید به AI با دیدگاه علمی ، تخیلی برخورد کرد تا راهکارهای جدید از آن استخراج شود .
  2. نرم افزارهای هوشمند و آنالیز اطلاعات (Intelligent APPs and Analystics) : نرم افزارهای که برروی اسمارت فون ها به کار گرفته می شوند دارای یک لایه میانبر میان افراد و سیستم ها ایجاد می کنند و می تواند ساختار کلی سازمان ها را تغییر دهند . در آینده نزدیک دستیاران مجازی به راحتی کارکنان ، مشتریان ، مشاوران و حتی مدیران را زیر سلطه خود می گیرند . برنامه های هوشمند به دنبال تقویت فعالیت های انسانی هستند و در واقع آنها هیچ گاه به صورت صددرصدی نقش افراد را برعهده نخواهند گرفت . باید توجه داشت که تهیه اطلاعات خودکار ، کشف بینش مشتریان و اشتراک گذاری طیف وسیعی از اطلاعات با همکاران تجاری ، کارکنان و دانشمندان تحول شگرفی در حوزه علم پدید خواهد آورد .
  3. اشیاء هوشمند (Intelligent Things) : اشیاء هوشمند ، هوش مصنوعی و یادگیری ماشین همگی به دنبال تعامل هوشمندانه با افراد و محیط می باشند . تفکیک این سه حوزه از یکدیگر کار مشکلی است و نمی توان هیچ شئ هوشمندی را بدون هوش مصنوعی و فرآیند یادگیری در نظر گرفت . واقعیت این است که ما به دنبال تحقق موجودیتی خودمختار هستیم تا در یک محیط نامحدود برای مدت زمان نامشخص به صورت خودگردان عمل نماید . چنین هدفی در کنار یادگیری ماشین و هوش مصنوعی برای اشیاء خودمختار معنا پیدا می کند .از طرفی دیگر اشیاء هوشمند باید قابلیت همکاری با سایر اشیاء را داشته باشند و بتوانند هم زمان تعامل قابل قبولی با انسان داشته باشند . در حال حاضر اشیاء هوشمند بیشتر در صنایع نظامی به کار می روند اما در آینده ای نه چندان دور اخبار قابل توجهی از آنان منتشر خواهد شد .
  4. دوقلوهای دیجیتالی (Digital Twins) : یک جفت دیجیتال شامل یک سیستم یا موجودیت از دنیای واقعی به همراه یک موجودیت دیجیتال می باشند . دوقلوهای دیجیتال اغلب در قالب اینترنت اشیاء مطرح می شوند . اشیای دیجیتالی که با اشیاء دنیای واقعی ارتباط برقرار می کنند و اطلاعاتی در مورد وضعیت همتایان ارائه می کنند و به راحتی به تغییرات پاسخ می دهند و توانایی بهبود دادن عملیات را دارند و نهاایتا باعث ایجاد ارزش افزوده می گردند .با حدود ۲۱ میلیارد سنسور متصلو end point ها تا سال ۲۰۲۰ ، دوقلوهای دیجیتال برای میلیاردها شئ در آینده نزدیک تحقق خواهند یافت . دوقلوهای دیجیتال مدیریت دارایی ها را بهبود داده و زمان عملیات ها را کاهش می دهند و بازده عملیاتی را افزایش خواهند داد . نکته خیلی مهم این است که دوقلوهای دیجیتالی بینش (نگرش+دانش) استفاده از محصولات را تغییر خواهند داد و عملکرد ها را بهینه خواهند کرد .در خارج از حوزه اینترنت اشیاء پتانسیل رو به رشدی برای دوقلوهای دیجیتال وجود دارد . هم اکنون اشیاء دیجیتال بسیاری در اطراف ما قرار دارند که وظیفه شبیه سازی ، آنالیز و برنامه ریزی را برعهده دارند . در چند سال آینده کمتر کسی از شنیدن اصطلاحاتی نظیر بازاریابان دیجیتالی ، مراقبان بهداشتی دیجیتال و برنامه ریزان دیجیتالی تعجب خواهد کرد .
    (تهیه شده در وب سایت مهندس مسعود معاونی)
  5. لبه های اَبر (Cloud to the Edge) : محاسبات لبه (Edge Computing) یک توپولوژی محاسباتی را توصیف می کند که در آن پردازش اطلاعات ، جمع آوری و تحویل محتوا به منابع اطلاعاتی بسیار نزدیک خواهد بود . بدین شکل چالش های اتصال و زمان بندی (connecting and latency) ، محدودیت های پهنای باند با استفاده از قابلیت های بیشتر در لبه کاهش می یابند و مدل های توزیع شده به خوبی استفاده می شوند . بر این اساس شرکت ها به دنبال طراحی الگوهایی در زیرساخت های خود می روند تا از لبه ها به خوبی استفاده کنند . این موضوعات برای افرادی که در شبکه های خود دارای عناصری از اینترنت اشیاء هستند بیشتر به چشم خواهد آمد . معمولا به اشتباه تصور می شود که رایانش ابری(Cloud Computing)  و محاسبات لبه (Edge Computing) رویکرد رقابتی با یکدیگر دارند اما واقعیت این است که این یک سوء تفاهم اساسی در مفاهیم پایه ای است . در محاسبات لبه ما درباره یک توپولوژی محاسباتی صحبت می کنیم که محتوا ، پردازش ها ، اشیاء و .. را به لبه شبکه متصل می کند امّا اَبر یک سیستم است که در آن خدمات فناوری با استفاده از فناوری های اینترنتی ارائه می شود . اَبر با ایجاد یک مدل سرویس گرا امکان محاسبات لبه را می دهد .(تهیه شده در وب سایت مهندس مسعود معاونی)
  6. سیستم عامل های محاوره ای (Conversational Platforms) : سیستم عامل ها همواره با تغییر همراه بوده اند و آن ها به دنبال ترجمه بهتر از اهداف کاربران برای سخت افزار بوده اند . سیستم عامل ها قادر به پاسخگویی های ساده هستند اما تعاملات پیچیده نیاز به تکامل عملیات پیچیده در سطح سیستم عامل ها را دارد . چالش عمده امروزی سیستم عامل ها این است که کاربران از برخورد با سیستم هایی با ساختار خشک و غیر منعطف هراسان هستند و اغلب کاربران از تجربه خسته کننده خود شاکی هستند . اضافه شدن شخص ثالث به سیستم های امروزی و افزوده شدن مدل های رویدادی ، نیاز به تغییرات گسترده در سیستم عامل ها را ملموس تر کرده است .
  7. پوشش تجربیات (Immersive Experience) : واقعیت افزوده (Augmented reality)  و واقعیت مجازی (Virtual Reality) و واقعیت مخلوط (Mixed Reality) شیوه زندگی و ادراکات مردم را به شدت تحت تاثیر خود قرار خواهد داد . در آینده ی نه چندان دور کاربران از تجربیات نامرئی خود صحبت خواهند کرد . در این بین فروشندگان نرم افزارها و سیستم های سخت افزاری برای ارائه مدل های جدیدتر رقابت زیادی با یکدیگر خواهند داشت . درطی پنج سال آینده تمرکز برروی واقعیت مخلوط است و کاربران زندگی با اشیاء دیجیتال و دنیای واقعی را تجربه خواهند کرد .
  8. زنجیره بلوکی (Block Chain) : زنجیره بلوکی شامل ویژگی های از قبیل اشتراک گذاری ، توزیع شدگی ، غیر متمرکز بودن  و نشانه دار بودن است که این ویژگی ها اصطحکاک های تجاری را از طریق برنامه های کاربردی مستقل حذف می کنند تا طرف های نامعلوم بتوانند به راحتی با یکدیگر معاملات تجاری را انجام دهند . این فناوری باعث تغییرات گسترده در صنایع می شود و فرصت های مالی برابری را در اختیار همه قرار می دهد . البته بایددر نظر داشت که بسیاری از فناوری های زنجیره بلوکی نابالغ ،اثبات نشده و غیرقابل کنترل هستند . یک رویکرد عملی برای زنجیره بلوکی این است که درک روشنی از رصت های کسب و کار ، توانایی ها و محدودیت های زنجیره بلوکی ، معماریهای اعتماد و مهارت های لازم در پیاده سازی وجود داشته باشد . برای رسیدن به این مهم باید مهارت های خود را در زمینه رمزنگاری ، روش های نظارتی و شناسایی نقاط ضعف و قوت زیرساخت ها بالا ببرید .
    (تهیه شده در وب سایت مهندس مسعود معاونی)
  9. رویداد محوری (Event Driven) :کسب و کارهای دیجیتالبه میزان آمادگی برای بهره برداری از لحظات جدید تجارت دیجیتال تکیه می کند . رویدادهای تجاری نشان دهنده پوشش یا تغییرات جایگاه ها است مانند تکمیل سفارش خرید . برخی از رویدادهای تجاری یا ترکیبی از رویدادها ، تشکیل لحظات تجاری را می دهند که نیاز به یک اقدام خاص دارند . مهم ترین لحظات کسب و کارها مواردی هستند که پیامدهای متعددی برای طرفین دارند از جمله نرم افزارهای ناهماهنگ یا خطوط کسب وکار نامرتبط و یا شرکا. با ظهور IoT و AI و سایر تکنولوژی ها ، رویدادهای کسب و کار را می توان سریع تر تشخیص داد و جزئیات بیشتری را تحلیل کرد . شرکت ها باید تفکر رویداد (Event Thinking) را به عنوان بخشی از استراتژی کسب و کار دیجیتال خود در نظر بگیرند . تا سال ۲۰۲۰ منبع های رویداد (Event Source) نیاز دارند تا در زمان واقعی مورد استفاده ۸۰ درصد از کسب وکارها قرار گیرند . هم چنین بیش از ۸۰ درصد از سیستم های تجاری جدید نیاز بهه پشتیبانی از پردازش رویداد (Event Processing) دارند .
  10. ریسک پذیری و اعتماد مستمر (Continuous Adaptive Risk and Trust) : کسب و کار دیجیتال (Digital Business) ایجاد یک محیط اینترنتی پیچیده و در حال رشد می نماید . استفاده از ابزارهای دیجیتال به طور فزاینده باعث افزایش پیچیدگی و تهدیدات می شود . ریسک سازگاری (Adaptive Risk) و ارزیابی اعتماد (Trust Assessment) برای تصمیم گیری مناسب در زمان واقعی و پاسخگویی مناسب ، از چالش های جدی در کسب و کار دیجیتال خواهد بود . تکنیک های امنیتی سنتی با استفاده از مالکیت و کنترل ، امور را به پیش می برند در حالی که در جهان دیجیتال باید مدل های اعتماد را جایگزین کرد .در جهان دیجیتال حفاظت از زیرساخت ها به تنهایی امنیت را تامین نمی کند و نمی توان در مقابل حملات insider attacks مقاومت کرد . بنابراین نیاز است تا در آینده امنیت به صورت فردمحور(People Centeric Security) پیاده سازی شود و همزمان با توانمند سازی توسعه دهندگان آن ها را به سمت پذیرش مسئولیت های امنیتی سوق داد . هم چنین باید با یکپارچه سازی امنیت (Integrating security) و انجام فرآیندهای مستمر امنیتی و توسعه فناوری های فریب (Deception Technology) از جمله honeypot ها برای شناسایی افرادمخرب که به شبکه شما نفوذ کرده اند ، امنیت را به میزان قابل توجه ای بهبود داد .
    (تهیه شده در وب سایت مهندس مسعود معاونی)
پی نوشت :
digital : امروزه مفهوم دیجیتال تغییر اساسی یافته است . در واقع ترکیبی از دنیای مجازی و دنیای واقعی در کنار محیطی که تمامی اجزاء آن به شبکه متصل هستند تشکیل فضای دیجیتال را می دهند .
intelligent :هوشمندسازی با تکامل اشیاء هوشمند در حال معنا گرفتن است . هوشمندسازی را می توان امروزه در هر چیزی دید .
Mesh : در واقع مش شبکه ای گسترده از افراد ، کسب و کارها ، دستگاه ها ، محتوا و خدمات متنوع به هدف رسیدن به نتایج دیجیتالی بهتر می باشد .
Block Chain : منظور از زنجیره بلوکی همان سیستم و روشی است که منجر به تولید پول های دیجیتالی از قبیل بیت کوین می گردد .
منبع : گارتنر
گردآورنده : مسعود معاونی
  https://telegram.me/moaveni_ir

نوآوری های جدید در اینترنت اشیاء

ارسال شده در توسط
پاسخ دادن

نوآوری های جدید در اینترنت اشیاء

اینترنت اشیاء شکل و کارکرد بسیاری از اشیاء را تغییر می دهد و تغییرات اساسی در شیوه زندگی انسان ها به وجود می آورد ، به طوری که تصور آن تغییرات در حال حاضر غیر ممکن است . باید توجه داشت که اتصال اشیاء با یک IP منحصربفرد تنها برای یک  دهه امکان پذیر است و با گسترش حسگرها و تجهیزات گوناگون متصل به اینترنت باید به راهکارهای جدیدی پرداخت . در حقیقت یکی از چالش های منحصر بفرد اینترنت اشیاء این است که در آینده نه چندان دور ما یک دنیای شی گرا مواجه خواهیم بود که اشیاء موجود در آن باید بتوانند برای ارتباط با یکدیگر زبان های مختلف را بشناسند و هر چه سریعتر به یک استاندارد جهانی دست یابیم .
باید دانست که معمولا مهندسین IoT چندان علاقه ای ندارند که تعاملات سطح میانی را برنامه ریزی کنند ، بلکه بیشتر به دنبال استخراج داده های عملیاتی هستند تا بتوانند بینش های جدید(دانش عمیق + نگرش جدید) را از آن استخراج کنند . بنابراین درحال حاضر کارشناسان IoT به دنبال ارتباطات آسان و ساده با سرعت بالا می باشند . یکی از اکتشافات جدید منبع باز در حوزه IoT ، فناوری Node RED می باشد . این ابزار باعث اتصال آسان دستگاه ها به یکدیگر می شود و بنابراین زمان کمتری صرف توسعه شبکه ها می شود .
امروزه یکی از بخش های مهمی که در حوزه Iot شاهد نوآوری قابل توجهی در آن هستیم ، مدیریت زنجیره تامین(Block Chain) می باشد . در مدیریت زنجیره تامین با ردیابی اشیاء می توان به کنترل زنجیره عرضه و تقاضا پرداخت . در واقع هر محصول فیزیکی دارای یک گذرنامه دیجیتالی می باشد که به آن کالا اعتبار و هویت می بخشد . مدیریت زنجیره تامین باعث کاهش هزینه و پیچیدگی های کسب و کار می شود .
از دیگر سو، انفجار داده ها در IoT نیاز به یک رویکرد جدید برای جمع آوری ، آنالیز و محاسبات داده ها دارد . اطلاعات بی شماری که از حسگرها و دستگاه ها جمع می شود ، می تواند صنایع را تحت تاثیر قرار دهد و نقاط تاریک بسیاری را روشن سازد (منظور از نقاط تاریک بخش های است که امروزه به علت فقدان اطلاعات و یا نقص اطلاعات ناشناخته هستند). با وجود این اطلاعات ، ایده ها و تکنولوژی های جدید راه اندازی خواهد شد و انقلاب جدیدی به راه خواهد افتاد و رویکردهای جدیدی ارائه خواهد شد .
باید دقت داشت که IoT فقط یک رویکرد است ، بدین معنا که روشی است که می تواند اطلاعات گسترده را به طور موثر از ورودی ها دریافت کند و یک خروجی معنادار تولید کند . در چنین رویکردی سیستم ها می توانند یاد بگیرند و به طور مستمر عملکرد خود را بهبود بخشند . اینترنت اشیاء یک قلمرو جدید از فرصت ها را فراهم می آورد که می توان با ترکیب داده ها بینش (دانش عمیق + نگرش جدید) عمیق تری نسبت به موضوعات بدست آورد .
نویسنده : مسعود معاونی
کد مطلب : ۹۶۰۹۰۸۰۱

https://telegram.me/moaveni_ir

تبدیل موبایل قدیمی به دوربین امنیتی

ارسال شده در توسط
پاسخ دادن

ساخت دوربین مداربسته با موبایل قدیمی

شاید شما هم اخیرا گوشی موبایل خود را ارتقاء داده و گوشی جدیدتر و پیشرفته تری را خریداری کرده باشید ولی هنوز نمی دانید با گوشی قدیمی خود چه کاری انجام دهید . شما می توانید از دوربین گوشی قدیمی خود به عنوان یک دوربین مداربسته استفاده کنید .
برای این هدف باید در ابتدا یک اپلیکیشن واسط نظیر IP Webcam ، iCamSpy ، Hidden eye ،Securet Spycam و یا Perch را برای گوشی خود نصب کنید و تنظیمات مرتبط را انجام دهید . البته گوشی شما باید به شبکه اینترنت و برق وصل باشد، بنابراین سعی کنید بهترین مکان را برای آن پیدا کنید . حالا می توانید از راه دور و با هر دستگاهی تصاویر ضبط شده توسط دوربین گوشی موبایل خود را از طریق اینترنت مشاهده کنید .
در ادامه آموزش استفاده از نرم افزار Perch را مشاهده می کنید :

نرم افزار Perch

برای این منظور ابتدا نرم افزار Perch را از گوگل پلی استور دانلود کنید و آن را نصب و اجرا کنید . بعد از اجرای این برنامه باید یک اکانت اختصاصی در Perch برای خود بسازید و تنظیمات مرتبط را انجام دهید.

مراحل نصب

حالا تنیمات مرتبط با دوربین را انجام دهید و به نرم افزار اجازه دسترسی به دوربین را بدهید .حالا با زدن دکمه Play دوربین می توانید به ضبط تصاویر بپردازید . هر زمان که دوربین شما تصویری را ضبط نماید ، شما می توانید از طریق getperch (getperch.com)  و با استفاده از اطلاعات کاربری اکانت اختصاصی تان به تصاویر ضبط شده توسط گوشی موبایل تان دسترسی پیدا کنید .
نویسنده : مسعود معاونی
کد مطلب :۹۶۰۸۲۵۰۱

https://telegram.me/moaveni_ir

Hadoop چیست؟

ارسال شده در توسط
پاسخ دادن

Hadoop

Hadoop یک چارچوب نرم افزاری منبع باز برای ذخیره داده ها و اجرای برنامه های کاربردی می باشد . Hadoop امکان ذخیره سازی انواع داده ها را با قدرت پردازشی زیاد فراهم می کند و توانایی انجام وظایف مختلف را به صورت هم زمان و بدون محدودیت دارد .
با پیدایش وب در دهه ۹۰ ، موتورهای جستجو از شاخص ها برای یافتن اطلاعات مربوط به محتواها استفاده می کردند . در آن زمان نتایج جستجوها توسط نیروی انسانی کنترل می شد ، اما با رشد وب این وظیفه به سیستم های اتوماسیون و خزنده های وب واگذار شد .
یکی از پروژه های مطرح در زمینه جستجوی وب Nutch نام داشت که در سال ۲۰۰۶ بخش مربوط به پردازش داده های آن به نام Hadoop مستقل گردید . در سال ۲۰۰۸ ، یاهو ؛ Hadoop را به عنوان یک پروژه منبع باز منتشر کرد . امروزه اکوسیستم فناوری Hadoop توسط بنیاد نرم افزار آپاچی مدیریت و نگهداری می شود . در زیر Time Line سیستم Hadoop را مشاهده می کنید :

تاریخچه hadoop

اهمیت Hadoop را می توان در موارد زیر عنوان کرد :
  • توانایی ذخیره و پردازش مقادیر زیادی از داده ها با سرعت قابل قبول که برای حجم عظیمی از داده ها (Big Data) و اینترنت اشیاء می تواند بسیار کاربردی باشد .
  • Hadoop می تواند با قدرت بسیار زیاد مقادیر زیادی از داده های بزرگ(حجیم) را پردازش کند .
  • Hadoop در برابر خرابی سخت افزار و برنامه ها مقاوم است و برای افزایش اطمینان از محاسبات توزیع شده استفاده می کند . به همین دلیل دارای تحمل خطای بسیار بالایی می باشد .
  • برخلاف پایگاه داده های سنتی ، Hadoop نیازی به پردازش اولیه اطلاعات ندارد و پردازش می تواند در هر زمانی انجام شود .
  • Hadoop منبع باز و رایگان است بنابراین هزینه آن به شدت کاهش می یابد .
  • به راحتی می توان گره ها و اطلاعات بیشتری را به سیستم Hadoop اضافه کرد . در واقع Hadoop مقیاس پذیری خوبی دارد .
علیرغم تمامی موارد که در بالا ذکر شد Hadoop با چالش های متعددی مواجه است که در هنگام استفاده از آن باید به این چالش ها به دقت توجه کرد . در ادامه به معرفی مهم ترین چالش ها و نقاط ضعف Hadoop می پردازیم :
  • استفاده از Hadoop در کارهای ساده مناسب است اما در کارهای تحلیلی و تعاملی چندان کارآمد نیست . چرا که الگوریتم های تکرار نیاز به تکمیل فازهای مختلف و مرتب سازی مستمر دارند .
  • برای کار با Hadoop نیاز به مهارت های خاصی می باشد و این یک شکاف بین برنامه نویسان و توسعه دهندگان Hadoop ایجاد می کند . معمولا برنامه نویسان با مهارت های SQL راحت تر ارتباط برقرار می کنند .
  • یکی دیگر از چالش های مطرح در Hadoop مربوط به امنیت اطلاعات و نگهداری امن از داده ها می شود . البته با تکامل پروتکل Kerberous یک گام بزرگ در جهت ایجاد محیط امن در Hadoop برداشته خواهد شد .
  • Hadoop ابزار مناسبی برای مدیریت مناسب بر داده ها و فراداده ها ندارد ، به خصوص که توانایی کنترل کیفیت داده ها را هم ندارد و در حقیقت به وسیله آن نمی توان به مدیریت کامل بر داده ها پرداخت .
نویسنده : مسعود معاونی
منبع :www.sas.com
کد مطلب : ۹۶۰۸۲۱۰۱

https://telegram.me/moaveni_ir

معماری بی سیم Zigbee

ارسال شده در توسط
پاسخ دادن

معماری Zigbee

امروزه در دنیای ارتباطات ، استانداردهای ارتباطی متفاوت و باسرعت بالایی در دسترس هستند . اما هیچ کدام از این استانداردها تمامی نیازها را مرتفع نمی سازند . استانداردهای ارتباطی با سرعت بالا ، نیاز به زمان کم و مصرف انرژی محدود دارند و باید بتوانند در باندهای با پهنای کم نیز فعالیت نمایند .
سیستم اختصاصی Zigbee دارای هزینه و مصرف انرژی پایینی می باشد و وجود ویژگی های مناسب در آن باعث می شود که در بسیاری از کاربردهای صنعتی و اتوماسیون خانگی بتوان از آن استفاده کرد . ارتباطات Zigbee برای کنترل شبکه های حسگر بی سیم و براساس استاندارد IEEE 802.15.4 ساخته شده اند که می توان از آن ها در شبکه های بی سیم شخصی (WPAN) استفاده کرد . این استاندارد امکان مدیریت دستگاه ها را در سرعت کم فراهم می آورد . Zigbee در فرکانس ۶۸۸ مگاهرتز ، ۹۰۲-۹۲۸ مگاهرتز و ۲٫۴ گیگاهرتز عمل می نماید و نرخ انتقال داده در آن حدود ۲۵۰ کیلو بیت در ثانیه می باشد .
  Zigbee یک شبکه کم هزینه است که به انرژی بسیار کمی نیاز دارد و به طور گسترده ای برای کنترل و نظارت بر تجهیزات کاربردی در فاصله ای بین ۱۰ تا ۱۰۰ متر استفاده می شود . این شبکه از شبکه های بلوتوث و WiFi ارزان تر می باشد و هم چنین امکان پشتیبانی از پیکربندی شبکه های مختلف را دارا می باشد .

تجهیزاتZigbee

یک شبکه Zigbee شامل دستگاه های هماهنگ کننده Zigbee ، روترها و تجهیزات پایانی می باشد . هر شبکه Zigbee باید دارای حداقل یک هماهنگ کننده به عنوان ریشه و پل در شبکه باشد . این هماهنگ کننده مسئول انتقال اطلاعات و عملیات داده ای می باشد . روترهای Zigbee به عنوان دستگاه های واسطه ای عمل می کنند که اطلاعات از طریق آن ها به دستگاه های دیگر منتقل می شود و تجهیزات پایانی وظیفه برقراری ارتباط با گره های والد را برعهده دارند . باید توجه داشت که تعداد روترها ، هماهنگ کننده ها و دستگاه های پایانی به نوع شبکه (ستاره ای ، درختی ، مش) بستگی دارد .
معماری Zigbee شامل چندین لایه مختلف است که توسط لایه فیزیکی و MAC تعریف شده اند و بدین شکل اطلاعات را به لایه کاربردی انتقال می دهند . در ادامه توضیحی از هر لایه وجود دارد :

معماری Zigbee

لایه فیزیکی : این لایه مدولاسیون و دی مدولاسیون را بر روی سیگنال های انتقال انجام می دهد .
لایه MAC : این لایه مسئول انتقال داده ها و جلوگیری از دسترسی های چندگانه می باشد . هم چنین وظیفه هماهنگ سازی فریم های رادیویی را برعهده دارد .
لایه شبکه : این لایه تمامی عملیات مربوط به شبکه از جمله راه اندازی شبکه ، اتصال به تجهیزات و قطع اتصالات شبکه و تنظیمات کلی شبکه را برعهده دارد .
زیر لایه پشتیبانی کاربرد : این زیر لایه خدماتی را برای تجهیزات کاربردی Zigbee فراهم می نماید و خدمات مدیریت داده را برای لایه شبکه فراهم می نماید . این لایه مسئولیت تطبیق دولایه را برعهده دارد .
لایه کاربرد : ZDO به عنوان یک رابط بین برنامه های لایه کاربردی و دستگاه های Zigbee عمل می نماید و مسئولیت شناسایی و راه اندازی و اتصال دستگاه های دیگر به شبکه را برعهده دارد .
اطلاعات در Zigbee در دوحالت Beacon  و Non Beacon انتقال می یابند . در حالت اول تمامی تجهیزات در حال فعال می باشند ولی در حالت دوم هنگامی که اطلاعاتی در شبکه وجود ندارد ، روترها و هماهنگ کننده وارد وضعیت خواب می شوند .

توپولوژی Zigbee

Zigbee امکان پشتیبانی از چندین توپولوژی شبکه را دارد ، اما بیشتر از توپولوژی های ستاره ای ، مش و درختی استفاده می کند . هر توپولوژی از یک یا چند هماهنگ کننده تشکیل شده است که وظیفه مدیریت تجهیزات موجود در شبکه را برعهده دارند . در مجموع شبکه Zigbee از لحاظ هزینه و مصرف انرژی بسیار بهینه می باشد . در جدول زیر اطلاعاتی در زمینه مقایسه تکنولوژی Zigbee با دیگر تکنولوژی ها آمده است .

مقایسه Zigbee با سایر تکنولوژی ها

در اینجا به برخی از کاربردهای مطرح شبکه های Zigbee می پردازیم :
  • اتوماسیون صنعتی : در صنایع تولیدی و تجهیزات بحرانی می توان از آن استفاده کرد و هزینه برقراری ارتباطات را کاهش داد .
  • اتوماسیون خانگی : Zigbee برای کنترل لوازم خانگی ، از راه دور مناسب می باشد (اینترنت اشیاء ، شهرهای هوشمند ، شبکه های هوشمندو..) و به کمک آن می توان روشنایی ، لوازم خانگی و سیستم های گرمایشی و سرمایشی را کنترل کرد . هم چنین در زمینه های کنترل ایمنی و نظارت(Monitoring) نیز Zigbee قابلیت استفاده را دارد .
  • اندازه گیری های هوشمند : در عملیات از راه دور و در اندازه گیری های هوشمند و بحرانی (مثلا در دستگاه های ذوب ) می توان از Zigbee بهره برد .
  • نظارت بر شبکه های Smart Grid :  سیستم Zigbee در چنین شبکه های می تواند وظیفه نظارت بر دما ، موقعیت گسل و مدیریت توان رادیواکتیو را برعهده گیرد .
آن چه در بالا مطرح گردید کلیتی درباره شبکه Zigbee بود .
نویسنده : معاونی
کد مطلب: ۹۶۰۸۱۷۰۱
منبع : www.zigbee.org

https://telegram.me/moaveni_ir

چگونه قدرت IoT تامین خواهد شد؟ داده ، داده ، داده

ارسال شده در توسط
پاسخ دادن

قدرت اینترنت اشیاء

اطلاعات امروزه نقش اساسی در زندگی مردم بازی می کنند . تکنولوژی مدرن ، امروزه بیش از هر زمان دیگری قادر به یادگیری و انطباق است . اینترنت اشیاء (IoT) یک شبکه وسیع از اشیاء متصل به شبکه اینترنت است که از طریق داده های بلادرنگ(real-time data) می تواند منجر به بهبود زندگی انسان ها شود .
فرض کنید زمانی که تصادفی در جاده ای رخ می دهد از طریق اَبر (cloud) تمامی وسایل نقلیه حاضر در جاده متوجه آن می شوند و از طریق یادگیری ماشین (Machine Learning) بهترین عکس العمل را انجام می دهند و این کار تنها و تنها به وسیله داده های بلادرنگ (real-time data) که نوع جدیدی از داده ها هستند ، صورت می پذیرد .
داده ها خون زندگی بخش به اینترنت اشیا و در واقع شریان حیاتی در اینترنت اشیاء می باشند . نسل جدید دستگاه های هوشمند متصل به شبکه ، به طور شگفت انگیزی به جهان انسان ها تاثیر می گذارد و باعث بهینه شدن بسیاری از امور روزمره انسان ها خواهد گردید . به مرور زمان دستگاه های موجود در اطراف ما دارای قدرت محاسباتی فزآینده ای خواهند شد و داده های تولید شده توسط این دستگاه ها نقش مهمی را در زندگی روزمره ما بازی خواهند کرد .
در نظر بگیرید داده های که تاکنون در سیاره زمین تولید گردیده است  درحدود ۱۶٫۱۲Zettabytes تخمین زده شده است این در حالی است که پیش بینی می شود تا سال ۲۰۲۵ میزان داده های تولیدی به مقدار ۱۶۳Zettabytes برسد که ۲۰% از این افزایش داده ها مرتبط با اینترنت اشیاء می باشد . توجه نمایید که عدد ۱۶۳Zettabyte عدد بسیار بزرگی می باشد و قطعا این حجم از داده مقدار بسیار بزرگی از داده ها را تشکیل خواهد داد .
حجم زیاد این داده ها به مرور زمان در آینده به یک بحران جدی تبدیل خواهد شد . همان طور که اینترنت اشیاء رشد می کند و بالغ می شود ، داده ها نیز رشد کرده و افزایش می یابند و از آن جایی که این داده ها ارتباط مستقیمی با زندگی انسانی دارند هر گونه نقص و یا به خطر افتادن آن ها تداوم زندگی روزمره را با خطر مواجه خواهد کرد . باید توجه داشت که بسیاری از این داده ها بر سلامت و کیفیت زندگی انسان ها تاثیر خوهند داشت . بنابراین نیاز است که داده ها را به داده های معمولی ، حساس و فوق حساس تقسیم بندی کنیم . برای انجام چنین مهمی نیاز به آنالیز داده ها خواهیم داشت . هر چه این آنالیز سریعتر و دقیق تر صورت پذیرد مزیت رقابت پذیری بیشتری را می تواند فراهم آورد .
ما نیاز داریم که شیوه های ذخیره سازی دیجیتال در آینده را به شدت تغییر دهیم . ما باید داده ها را در مراکز اَبری ذخیره کنیم و تنها بخشی از داده های فوق حساس را در مکان امن تری ذخیره کنیم . بنابراین ما باید از تکنولوژی های مدرن تری در ذخیره سازی اطلاعات در اَبرها و دیتاسنترها استفاده کنیم و همزمان نیاز به تکنولوژی های قوی تری برای محاسبات و آنالیز اطلاعات داریم .ما باید به صورت هم زمان در فناوری های بنیادی و فناوری های نرم افزاری و سخت افزاری پیشرفت نماییم . داده های حجیم (Big Data) و متا داده ها (داده های درباره داده ها meta data) می توانند تجارب دیجیتالی جدیدی مبتنی بر داده ها را برای ما ایجاد کنند که در حال حاضر ذهن ما تنها قادر به تخیل درباره آن ها می باشد . اما مطمئنا در آینده ای نه چندان دور تمامی این موارد به بخش های از واقعیت های زندگی ما تبدیل خواهند شد .

کد مقاله : ۹۶۰۸۱۲۰۲

نویسنده : مسعود معاونی

https://telegram.me/moaveni_ir

نحوه نگارش یک مقاله پژوهشی

ارسال شده در توسط
پاسخ دادن

مقالات پژوهشی

هرساله تکنولوژی های جدید در حال رشد هستند و سریع تر ف کوچکتر و دقیق تر می شوند .امروزه تلفن همراه شما اطلاعات بیشتری را به نسبت کامپیوترهای استفاده شده در سفینه های فضانوردی قرن قبل ، ذخیره می کنند .

امروزه برای چالش های گوناگون راه حل های جدید و نوآورانه ای ارائه می شود اما همواره باید وجه داشت که این راه حل ها نیز خود دارای چالش های دیگری می باشند . در این پست سعی داریم چگونگی انجام یک تحقیق پژوهشی را مطرح کنیم و ایده های را برای نوشتن مالات جدید مطرح کنیم .

مراحل نوشتن یک مقاله پژوهشی :

  1. درک اهداف تحقیق : سعی کنید یک تعداد از اهداف کوتاه مدت و بلند مدت برای تحقیق خود تعیین کنید .

  2. یافت یک ایده تحقیقاتی : سعی کنید با دقت به اهداف تحقیقاتی که در مرحله قبل برای خود تعیین کرده اید به انتخاب یک موضوع بپردازید و با دیدگاه های مختلف در حوزه آن موضوع آشنا شوید .

  3. مطلاعات مرتبط با موضوع : بعد از انتخاب موضوع تحقیقاتی ، سعی کنید دانش زمینه ای خود را درباره آن موضوع ارتقاء دهید و مقالات مرتبط را تهیه کنید .

  4. انتخاب سوالات مرتبط : سعی کنید بعد از تکمیل دانش زمینه ای خود یک سری سوال مرتبط با موضوع انتخابی را مطرح کنید و سعی نمایید کلمات مرتبط (کلمات کلیدی) تحقیق خود را پیدا کنید .

  5. جستجو براساس کلمات کلیدی : براساس کلمات کلیدی که در مرحله قبل یافته اید به جستجوی جدیدترین مقالات مرتبط با موضوع انتخابی خود بپردازید و سعی کنید از منابع معتبر و قوی استفاده کنید .

تحقیقات در حوزه فناوری اطلاعات

هم چنین همواره باید توجه داشته باشید که منابع مطالاعاتی به شدت در حال تغییر هستند . پس سعی کنید همواره از جدیدترین مقالات استفاده کنید و سعی کنید در حوزه های فناوری اطلاعات به سوالات زیر پاسخ های صریح و روشن بدهید :

  • آیا تکنولوژی آن گونه که ما تصور می کنیم تغییر خواهد کرد ؟

  • تکنولوژی آینده به کدام سمت خواهد رفت ؟

  • آیا موضوع برای خوانندگان(استادان/دانشجویان/داوران) دارای جذابیت خواهد بود و آن ها خواهند توانست به درک درستی برسند ؟

  • آیا اطلاعات زمینه ای در مورد این موضوع به راحتی در دسترس خواهد بود یا نه ؟ (این موضوع مثبت است یا منفی ؟)

  • آیا امکان ارزیابی اطلاعات کسب شده و آنالیزهای انجام شده وجود خواهد داشت ؟

  • چگونه چندین تکنولوژی جدید را در در تحقیق مان با یکدیگر پیوند بزنیم ؟

  • آیا موضوعات گم شده (فراموش شده ای) بارزی در تحقیقات قبلی وجود دارد ؟

  • هزینه های مالی طرح های ارائه شده در تحقیق ما چقدر است و آیا امکان پیاده سازی عملی آن ها در حال حاضر و یا آینده وجود دارد ؟

  • آیا مقررات و استانداردهای حال حاضر با ایده های نوآورانه ما سازگاری دارد ؟

  • آیا می توان به اطلاعات ذخیره شده در بانک های اطلاعاتی مختلف برای انجام تحقیق دسترسی پیدا کرد ؟

  • آیا امکان ترکیب موضوع با موضوعات دیگر رشته ها (مباحث بین رشته ای) وجود دارد ؟ (مثلا موضوع ربات های هوشمند با موضوعات روانشناسی)

نویسنده : مسعود معاونی

https://telegram.me/moaveni_ir

مدیریت ریسک دیجیتال

ارسال شده در توسط
پاسخ دادن

امروزه ردپاهای دیجیتالی (digital footprint) در سازمان ها در حال افزایش است و این باعث گردیده است تا افراد بدون آن که بدانند ، اطلاعات حساس خود را به مهاجمین بدخواه واگذار کنند و سازمان ها را با مشکل نشت اطلاعات مواجه کنند . متاسفانه راه حل های امنیتی سنتی اغلب نمی توانند به راحتی این خطرات را مرتفع کنند . در این پست به دنبال معرفی مدیریت ریسک دیجیتال به عنوان راهکاری برای نظارت مداوم بر فعالیت های سایبری سازمان ها می باشیم .
هم اکنون ما در یک دنیای پیچیده زندگی می کنیم که روش های کسب و کار در آن به شدت تغییر کرده است .وجود رسانه های اجتماعی مختلف ، گوشی های تلفن هوشمند ، محاسبات و سرویس های ابری باعث افزایش سرعت ارتباطات گردیده است و به طور همزمان هزینه های محاسباتی و ارتباطی  به شدت کاهش یافته است . این موضوع باعث گردیده است که راه های جدیدی برای ارائه انواع خدمات ارائه گردد اما هم زمان خطرات و چالش های جدیدی ایجاد گردیده است .
یکی از این خطرات مهم ردپاهای دیجیتالی (digital footprint) می باشند که کاملا پویا بوده و به طور مداوم در حال توسعه هستند و در طیف گسترده ای از منابع آنلاین سازمان ها در حال رشد هستند و باعث می شوند که اطلاعات حساس سازمان ها و افراد و شرکای تجاری به خطر بیفتد . افشا این اطلاعات حساس می تواند زنجیره تامین یک سازمان را به خطر بیندازد و پیامدهای مالی زیادی را به وجود بیاورد . راه های زیادی برای نشت اطلاعات از ردپاهای دیجیتالی وجود دارد، از جمله این راه ها می توان به ایمیل های شخصی افراد شاغل در سازمان ها اشاره کرد .
یکی از چالش های که امروزه مدیران با آن مواجه هستند این است که بتوانند به یک راه حل جدید و قابل اعتماد برای شناسایی و مقابله با ردپاهای دیجیتالی بپردازند . اکثر ردپاهای دیجیتالی برای یک سازمان چندان خطری ندارند تنها یک دسته از آن ها که به سایه های دیجیتالی (Digital Shadow) مشهورند می توانند به مهاجمین فرصت های زیادی را برای سوء استفاده بدهند .
سایه های دیجیتالی می توانند در روش های مختلفی استفاده شوند از جمله این روش ها می توان به موارد زیر اشاره کرد :
  • فروش اطلاعات محرمانه یک سازمان به افراد ذی نفع
  • افشا و اشتراک گذاری کلیدهای خصوصی رمزنگاری
  • ارائه مدارک احرازهویتی دیجیتال به افراد غیر مجاز
  • افشای اطلاعات حیاتی و مشخصات شخصی و خانوادگی پرسنل و مدیران عالی اجرایی (نقض حریم خصوصی)
  • طبقه بندی و شناسایی برنامه های سازمان ها
  • تحلیل رفتارهای سازمانی و پیش بینی آن ها
  • ارائه دسترسی عمومی به سیستم های خصوصی
  • تخریب زیرساخت های پرکاربرد و ضروری در کسب وکارها
البته مدیران سازمان ها می توانند از این سایه های دیجیتالی برای طراحی استراتژی های خود و برنامه ریزی های بلند مدت در مقابل حملات آینده استفاده کنند . خطر (RISK) یک مفهومی است که در امنیت سایبری به خوبی تعریف شده است . ریسک را می توان احتمال وقوع یک تهدید تعریف کرد . در مقابل ریسک ، مدیریت ریسک (مدیریت خطر) را می توان به عنوان فرآیندی در شناسایی ریسک ، ارزیابی ریسک و اقداماتی برای کاهش ریسک در سطح قابل قبول دانست . برای رسیدن به هدف مدیریت ریسک باید تهدیدات امنیتی را به خوبی شناخت و به نحوی عمل کرد که همواره توسط افراد درگیر در سیستم خطرات جدی گرفته شود .
برای شناخت تهدیدات امنیتی در یک سیستم نیاز است که هوشمندی لازم را داشته باشیم و علائم و هشدارهای آن را به خوبی بشناسیم . هم چنین تاکتیک و تکنیک های مهاجمین را بتوانیم حدس بزنیم و ابزارهای مناسب در مقابله با آن ها را در اختیار داشته باشیم . برای مقابله با تهدیدات امنیتی همواره باید یک دکترین اطلاعات امنیتی وجود داشته باشد . سازمان ها می توانند با استفاده از آموزه ها و تجربه های قبلی خود ، طرح های را برای شناسایی حملات طراحی کنند .
یکی از مباحث مهم در امنیت سایبری ، نشت اطلاعات می باشد . نشت (افشا) اطلاعات می توند سرنخ های ارزشمندی را برای مهاجمین ایجاد کنند و زمینه های بروز انواع حملات را فراهم بیاورد . ۵ حوزه اصلی را می توان برای نشت اطلاعات عنوان کرد :
  1. کدهای حساس : کدهای حساس و کلیدهای رمزنگاری خصوصی که به اشتباه در اختیار عموم افراد قرار می گیرد و مهاجمان را قادر می سازد تا حملات خود را به راحتی عملی سازند .
  2. معامله بر سر مجوزها : کارکنان قانونی که امکان دسترسی به یک سری اطلاعات را دارند می توانند با مهاجمین بر سر تبادل اطلاعات به توافق برسند . حتی اعتبار کارکنان می تواند از طریق روش های فیشینگ و کارهای خرابکارانه لو برود .
  3. انتشار اسناد خصوصی : شرکا و همکاران تجاری که به برخی از اسناد خصوصی دسترسی دارند می توانند در نقش یک جاسوس قرار گیرند و اطلاعات حساس را به مهاجمین واگذار کنند تا مهاجمین از این طریق به طرح ریزی حملات خود بپردازند .
  4. اطلاعات عمومی : برخی از اطلاعات به صورت عمومی در دسترس هستند . هر چند این اطلاعات به تنهایی ارزشی ندارند اما یک مهاجم می تواند با ترکیب این اطلاعات با برخی اطلاعات دیگر به طراحی یک حمله بپردازد  یا به نقض حریم خصوصی کاربران و موقعیت یابی آن ها بپردازد .
  5. استخراج اطلاعات پایه از شبکه های اجتماعی : بسیاری از افراد اطلاعات حساس خود و یا سازمانی که به آن وابسته هستند را به صورت ناآگاهانه و ناخواسته در شبکه های اجتماعی منتشر می کنند . انتشار چنین اطلاعاتی می تواند در نرم افزارهای مخرب مورد استفاده قرار گیرند و یا مهاجمین از طریق روش های مهندسی اجتماعی به جاسوسی از شرکت ها بپردازند و اطلاعات کلیدی را به رقبا واگذار نمایند .حتی مهاجمان امکان استخراج نقاط ضعف سازمانی در حوزه سایبری و غیر سایبری را دارند و با استفاده از آن می توانند به مدل سازی و تحلیل رفتار یک سازمان در شرایط خاص بپردازند .
تهدیدات سایبری و نشت اطلاعات می تواند موجب آسیب جدی به شهرت یک سازمان شود . بسیاری از سازمان ها تحلیل درستی از سوء استفاده های احتمالی از برندهای تجاری خود به صورت آنلاین ندارند . همین موضوع باعث می شود که تاثیرات منفی بر روی اعتماد مشتریان و حتی کارکنان یک سازمان به وجود بیاید . در این جا به بررسی عوامل موثر بر شهرت سازمان ها می پردازیم :
  • فیشینگ : این حمله در بسیاری از سازمان ها به وقوع می پیوندد و باعث افشا اطلاعات حساس زیادی از مشتریان و سازمان ها می شود . در چنین مواردی مشتریان و حتی کارکنان به اشتباه اطلاعات حساس خود را در سایت های جعلی (Fake) سازمان ها که توسط مهاجمین ایجاد شده است وارد می کنند .
  • دامنه های فاقد اعتبار : استفاده از دامنه های مشابه یا دامنه های با پسوندهای متفاوت توسط مهاجمین باعث می شود تا مشتریان یک سازمان در انتخاب وب سایت اصلی با مشکل مواجه شوند .
  • پروفایل های جعلی : حساب های جعلی در شبکه های اجتماعی با استفاده از برند تجاری یک سازمان می تواند باعث فریب خوردن مشتریان و کاهش اعتبار سازمان گردد .
  • برند های مشابه : برخی از مهاجمان با ساخت برندی مشابه برند اصلی ، سعی در جذب و فریب مشتریان یک سازمانم می کنند . در چنین مواردی مهاجم فقط قصد تخریب برند اصلی را دارد و سعی می کند برای سلب اعتماد از مشتریان برند تقلبی را به بی کیفیت ترین شکل ممکن عرضه کند .
  • نرم افزارهای موبایلی : امروزه نرم افزارهای موبایلی بسیاری ارائه می شوند . ارائه یک اپلیکیشن مخرب موبایلی که به نام یک سازمان خاص انتشار می یابد می تواند بر اطمینان مشتریان آسیب وارد کند و حتی به سرقت اطلاعات حساس کاربران بپردازد .
با توجه به مطالب فوق کاملا واضح است که سازمان ها نمی توانند به تنهایی برای نظارت بر ریسک های دیجیتالی خود اقدام کنند و باید از نهادهای مختلفی بهره ببرند . راهکارهای رایگان زیادی وجود دارند که امکان استفاده از آن برای کاهش ریسک ها وجود دارد . در ادامه به برخی از این راهکارها اشاره می کنیم :
  1. تنظیم Google Alerts برای نظارت بر تهدیدات مورد نظر .
  2. مشارکت در CSIRT و به اشتراک گذاری و کسب اطلاعات مورد نیاز از آن ها .
  3. استفاده از ابزارهای رایگانی هم چون shodan.io برای شناسایی آسیب پذیری های زیرساخت ها .
  4. نظارت بر مجوزهای خارج سازمانی ، hasibeenpwned.com یک منبع عالی برای این امر می باشد .
  5. افزایش آموزش و آگاهای کارکنان ، مخصوصا در تنظیم حریم خصوصی در رسانه های اجتماعی ریال به هدف کاهش خطرات.
  6. تهیه چک لیست های امنیتی و کنترل ارزیابی ریسک ها برای پیشگیری از حملات احتمالی
نویسنده و گردآورنده : مسعود معاونی
منبع : از اینجا دانلود کنید .

https://telegram.me/moaveni_ir

سایت های مورد نیاز دانشجویان

ارسال شده در توسط
پاسخ دادن

فایل های موردنیاز دانشجویان

✳️ سایت های مهم و ضروری برای دانشجویان و پژوهشگران

۱٫ ieeexplore.ieee.org
۲٫ acm.org
۳٫ link.springer.com
۴٫ wiley.com
۵٫ sciencedirect.com
۶٫ acs.org
۷٫ aiaa.org
۸٫ aip.org
۹٫ ajpe.org
۱۰٫ aps.org
۱۱٫ ascelibrary.org
۱۲٫ asm.org
۱۳٫ asme.org
۱۴٫ bioone.org
۱۵٫ birpublications.org
۱۶٫ bmj.com
۱۸٫ emeraldinsight.com
۱۹٫ geoscienceworld.org
۲۰٫ icevirtuallibrary.com
۲۱٫ informahealthcare.com
۲۲٫ informs.org
۲۳٫ ingentaconnect.com
۲۴٫ iop.org
۲۵٫ jamanetwork.com
۲۶٫ joponline.org
۲۷٫ jstor.org
۲۸٫ mitpressjournals.org
۲۹٫ nature.com
۳۰٫ nrcresearchpress.com
۳۱٫ oxfordjournals.org
۳۲٫ royalsocietypublishing.org
۳۳٫ rsc.org
۳۴٫ rubberchemtechnol.org
۳۵٫ sagepub.com
۳۶٫ scientific.net
۳۷٫ spiedigitallibrary.org
۳۸٫ springermaterials.com
۳۹٫ tandfonline.com
۴۰٫ theiet.org

💠معرفی سایت هایی جهت دانلود رایگان کتاب تقدیم شما:
🔺www.ketabnak.com
🔺www.urbanity.ir
🔺www.98ia.com
🔺www.takbook.com
🔺www.irpdf.com
🔺www.parsbook.org
🔺www.irebooks.com
🔺www.farsibooks.ir
🔺www.ketabesabz.com
🔺www.readbook.ir

💠سایتهای مهم علمی،پژوهشی
🔺www.digitallibraryplus.com
🔺www.daneshyar.net

💠بانک های اطلاعاتی
🔺www.umi.com/pqdauto
🔺www.search.ebscohost.com
🔺www.sciencedirect.com
🔺www.emeraldinsight.com
🔺www.online.sagepub.com
🔺www.springerlink.com
🔺www.scopus.com
🔺http://apps.isiknowledge.com
🔺www.anjoman.urbanity.ir

💠پایان نامه های داخلی و خارجی
🔺www.irandoc.ac.ir
🔺www.urbanity.ir
🔺www.umi.com/pgdauto
🔺www.mhrn.net
🔺www.theses.org

💠مقالات فارسی
🔺www.urbanity.ir
🔺www.shahrsaz.ir
🔺www.magiran.com
🔺www.civilica.com
🔺www.sid.ir

💠کتابخانه ملی ایران، آمریکا و انگلیس
🔺www.nlai.ir
🔺www.loc.gov
🔺www.bl.uk

💠دسترسی آزاد روانشناسی و آموزش و پرورش:
🔺http://eric.ed.gov

💠اطلاعات عمومی کشورها:
🔺www.worldatlas.com

💠مقالات رایگان کتابداری و اطلاع رسانی:
🔺www.infolibrarian.com

💠آرشیو مقالات از سال ۱۹۹۸
🔺www.findarticles.com

💠کتابخانه الکترونیک
🔺www.digital.library.upenn.edu/books

💠رایانه و بانکهای اطلاعاتی فارس:
🔺www.srco.ir
💠دانشنامه آزاد اینترنتی:
🔺www.wikipedia.org

💠دسترسی به متن
کامل پایان نامه های ۴۳۵ دانشگاه
از۲۴ کشور اروپایی:
🔺http://www.dart-europe.eu/basic-search.php

💠دسترسی رایگان به بانک مقالات
دانشگاه کالیفرنیا:
🔺http://escholarship.org/

💠دسترسی رایگان به بانک مقالات
دانشگاه TENNESSEE:
🔺http://www.lib.utk.edu:90/cgi-perl/dbBro…i?help=148

💠دسترسی رایگان به ۱,۵۵۰,۶۳۲ مقاله ی دانشگاهی:
🔺http://www.oalib.com/

💠دسترسی به پایان نامه های
الکترونیکی دانشگاه ناتینگهام:
🔺http://etheses.nottingham.ac.uk/

💠دسترسی رایگان به کتاب ها و ژورنال
های سایت In Tech:
🔺http://www.intechopen.com/

💠دسترسی رایگان به مقالات علمی ،
دانشگاه McGill :
🔺http://digitool.library.mcgill.ca/R

💠دسترسی رایگان به مقالات علمی،
مقالات ۱۷۵۳ ژورنال- دانشگاه
استنفورد:
🔺http://highwire.stanford.edu/

💠دسترسی به مقالات و متون علمی
پایگاه Proceeding of the National Academy of Sciences ایالت متحده ی آمریکا:
🔺http://www.pnas.org

💠روزنامه ها و مجلات انگلیسی

💠روزنامه گاردین
🔺http://www.guardian.co.uk
💠روزنامه نیویورک تایمز
🔺http://www.nytimes.com
💠روزنامه واشنگتن تایمز
🔺http://www.washtimes.com
💠روزنامه واشنگتن پست
🔺http://www.washpost.com/index.shtml
💠روزنامه تایمز
🔺http://www.the-times.co.uk/news

💠سایتهای انگلیسی بازرگانی:

💠E.L. Easton Business English
🔺http://eleaston.com/biz/bizhome.html

💠Business English-lessons for Adults
🔺http://www.better-english.com/exerciselist.html

💠BUSINESS ENGLISH
🔺http://www.nonstopenglish.com/allexercises/business_english

https://telegram.me/moaveni_ir

سایه های دیجیتالی یا رد پاهای دیجیتالی چیست ؟

ارسال شده در توسط
پاسخ دادن

سایه های دیجیتالی

سایه های دیجیتالی (digital shadow) یا رد پاهای دیجیتالی(digital footprint) یک زیر مجموعه از آثار دیجیتالی شامل اطلاعات شخصی ، فنی یا سازمانی می باشند که اغلب به شدت محرمانه بوده و اطلاعات  حساس و خصوصی محسوب می شوند . در واقع هر زمان که شما یک فعالیت دیجیتالی در شبکه (اینترانت یا اینترنت) انجام می دهیدیک اثر از خود باقی می گذارید که مجرمان اینترنتی و گروه های مهاجم می توانند با بهره برداری از این سایه های دیجیتالی به نقاط ضعف سازمان شما پی ببرند و از این طریق به راه اندازی حملات سایبری اقدام کنند .
کارکنان ، تامین کنندگان ، شرکای تجاری و تمامی افراد مرتبط با یک سازمان هر حرکت آنلاینی را که انجام می دهند یم ردپای دیجیتالی از خود باقی می گذارند که اگر این اثر سهوا و یا عمدا در اختیار افراد غیر مرتبط قرار گیرد می تواند عوارض نامناسبی را برای کسب و کارها پدید آورد . علاوه بر آسیب رسیدن به نام تجاری یک شرکت ، سایه های دیجیتال می توانند به عنوان ابزاری برای جاسوسی شرکت های بزرگ و چند ملیتی محسوب شوند و به  هدفی ارزشمند ، برای رقبا و مهاجمان سایبری تبدیل شوند .
البته سایه های دیجیتال همواره برای یک سازمان نامطلوب نیستند بلکه برخی از سایه های دیجیتال می توانند به نفع یک سازمان باشند . سایه های دیجیتالی که بر اثر حمله به زیرساخت های یک سازمان ایجاد می شوند ، می توانند به مدیران امنیتی سازمان کمک قابل توجه ای برای درک الگوهای مهاجم ، انگیزه ها و نقاط ضعف سیستم سازمانی بنماید . مدیران فناوری اطلاعات یک سازمان از طریق این سایه ها می توانند به اریابی امنیتی شبکه سازمانی خود بپردازند و به طراحی مناسبتر و مقاوم تر در مقابل حملات دست یابند .
شاید یک سوال اساسی که ذهن افراد بسیاری را درگیر کند این است که چطور می توان این آثار دیجیتال را حذف کرد و یا آثار کمتری را از خود برجای گذاشت ؟ واقعیت این است که این سایه ها هرگز به صورت کامل حذف شدنی نمی باشند و همواره حریم خصوصی (privacy) در معرض خطر قرار دارد . بنابراین نیاز است تا از پادمان ها و قوانین مرتبط با حریم خصوصی به دقت استفاده شود . باید توجه داشت که از طریق سایه های دیجیتال ممکن است اطلاعات حساسی هم چون شماره کارت اعتباری ، ایمیل ها و عکس های شخصی لو برود . اما نکته مهم این است که افراد می توانند با کمی دقت عوارض سوء استفاده از این سایه های دیجیتالی را به حداقل ممکن برسانند .
سایه های دیجیتال را می توان به دو نوع فعال (active) و یا غیر فعال (passive) تقسیم کرد . سایه های غیر فعال آن دسته از ردپاهای هستند که مالک آن ردپا از وجود آن ها اطلاعی ندارد و مالک برای مقابله با آن ها چاره ای ندارد ولی ردپاهای فعال ردپاهای هستند که معمولا مالک ردپا ، با بی دقتی و سهل انگاری خود آن ردپا ها را ایجاد می کند و آن ها را در اختیار مهاجمان قرار می دهد .
نویسنده و گردآورنده : مسعود معاونی
منبع : https://www.digitalshadows.com/white-papers

https://telegram.me/moaveni_ir

EPC چیست ؟

ارسال شده در توسط
پاسخ دادن

EPC چیست ؟

EPC (Electronic Product Code) یا همان کد محصول الکترونیکی یک شناسه جهانی است که یک هویت منحصر بفرد به یک شئ فیزیکی می دهد . این هویت به گونه ای طراحی شده است که در میان تمام اشیاء فیزیکی در جهان در همه زمان ها منحصربفرد باشد . در اغلب موارد EPC ها در تگ های RFID قرار می گیرند و می توان از آن ها برای ردیابی انواع اشیاء استفاده کرد .
می توان عنوان داشت که EPC سطح جدیدی از توسعه RFID می باشد که در آن با کمک tag های ارزان قیمت می توان از داده ها برای افزایش عملکرد برنامه ها و پروتکل ها بهره برد .
 در EPC هر شئ در یک طبقه خاص قرار می گیرد و هر طبقه از اشیاء دارای یک کلید GS1 مرتبط با طبقه خودش می باشد . کلید GS1 دارای ساختار مدیریتی خاصی است که به ارائه زمینه های مرتبط با یک شئ فیزیکی می پردازد . Gs1 به طور مستقیم با داده ها ارتباطی ندارد و تنها به یک توصیف از اقلام کالا می پردازد . در جدول زیر انواع کلید های GS1 را مشاهده می کنید :

انواع کلید GS1

EPC می تواند دو محصول یکسان را از یکدیگر متمایز کند و هم چنین EPC می تواند تاریخ ساخت ، مبدا ساخت و یا تعداد محصول خاص را مشخص کند . در شکل زیر فرمت EPC را مشاهده می کنید :

فرمت EPC

که در هدر نسل و ورژن و ساختار و طول شناسه قرار می گیرد . در مدیریت شماره EPC اطلاعاتی درباره پارتیشن بندی های آینده قرار می گیرد . در کلاس شئ ، کلاس اشیاء قرار می گیرد و در شماره سریال شناسه های نمونه ها قرار می گیرند .
در واقع ما در EPC به دنبال استاندارد سازی  جهانی برای tag های مطرح در RFID می باشیم و بر این اساس به کلاس بندی تگ ها به شرح زیر می پردازیم :
  • کلاس ۰ : که شامل تگ های منفعل فقط خواندنی می باشد .
  • کلاس ۱ : شامل تگ های منفعلی که یکبار قابل نوشتن می باشند .
  • کلاس ۱ نسل ۲ : شامل تگ های منفعلی که چندین بار قابل نوشتن می باشند .
  • کلاس ۲ : شامل سیستم های فعال و نیمه فعال
در EPC برای شناسایی یک شئ فیزیکی ، از یک استاندارد باینری در کنار یک پایگاه داده و برنامه های کاربردی استفاده می شود . EPC در مباحث امنیتی و حفظ حریم خصوصی چالش های فراوانی دارد که مورد توجه محققان بسیاری قرار گرفته است .
نویسنده : مسعود معاونی – نیلو فر مظفریان
منبع : متفرقه

https://telegram.me/moaveni_ir

 

تکنولوژیRFID و مباحث امنیتی مرتبط با tag ها در آن

ارسال شده در توسط
پاسخ دادن

RFID و تگ ها

در تکنولوژی RFID با استفاده از فرکانس های رادیویی امکان شناسایی و ردیابی اشیاء مختلف را پیدا می کنیم . عملکرد RFID به دو دستگاه Tag و کدخوان مرتبط است .(در تصویر بالا می توانید تگ و کدخوان را مشاهده کنید ) .در واقع تگ ها یک تراشه الکترونیکی دارای شناسه خاص هستند که اطلاعات را به یک کدخوان ارسال می کنند . کدخوان امواج رادیویی دریافتی از تگ ها را به اطلاعات دیجیتال تبدیل می کند تا امکان ارسال برای کامپیوتر و پردازش آن فراهم آید .
تگ های RFID از دو بخش اصلی تشکیل شده اند :
۱- آنتن که فرکانس رادیویی (RF) را دریافت می کند .
۲- یک مدار مجتمع (IC) که برای پردازش و ذخیره سازی داده مورد استفاده قرار می گیرند .
تگ های  RFID که شامل منبع انرژی می باشند به عنوان تگ های فعال شناخته می شوند و تگ های RFID که دارای منبع انرژی نمی باشند تگ غیرفعال نامیده می شوند . تگ های غیر فعال به صورت مختصر RF گفته می شوند و برای انتقال اطلاعات از یک ID که یک جریان کوچک الکتریکی است استفاده می کنند . Tag های فعال دارای حافظه بیشتری می باشند و می توانند در محدوده بیشتری مورد خوانش قرار گیرند .
تکنولوژی RFID هر چند نسبت به بارکدزدن ، گرانتر محسوب می شود اما درکاربرد زنجیره تامین دارای اهمیت می باشد و هم چنین تگ های RFID تزریقی می توانند برای کمک به پرسنل های پزشکی برای شناسایی یک بیمار مورد استفاده قرار گیرند . Tag ها را می توان از لحاظ نظری شبیه سازی کرد و یا آن ها را مورد ردیابی قرار داد .
از آن جا که RFID توسط تولید کنندگان مختلف پیاده سازی و اجرا شده اند ، استاندارد های گوناگونی نیز برای آن ارائه شده است . بسیاری از این استاندارد ها اختصاصی می باشند و قابل استفاده در جای دیگر نمی باشند . سیستم های RFID به راحتی می توانند مختل شوند و اختلال امواج در بین دو خواننده(Reader) یک مشکل شایع و همیشگی است و این باعث مشکلات امنیتی زیادی می شود و در خیلی از مواقع حریم خصوصی به خطر می افتد. هم چنین حذف تگ های RFID کار بسیار مشکلی است چرا که برخی از آن ها بسیار کوچک هستند و پیدا کردن آن ها کار مشکلی است و از طرفی دیگر به راحتی می توانند توسط یک آنتن قوی تر از راه دور خوانده شوند .  به زودی در یک مقاله به صورت مفصل به مباحث احراز هویتی خواهیم پرداخت .
نویسنده و گردآورنده : مسعود معاونی
منبع : متفرقه
تاریخ انتشار : ۲۳ اردیبهشت ماه ۱۳۹۶
کد مطلب : A230296.1

a https://telegram.me/moaveni_ir

Botnet ها و امنیت اینترنت اشیاء

ارسال شده در توسط
پاسخ دادن

بات نت

تعداد زیادی از اشیاء موجود در اینترنت اشیاء ذاتا  نامن هستند . این اشیاء توان محاسباتی بالایی را در اختیار دارند  و می توانند به آسانی به یک هدف جذاب برای مهاجمان تبدیل شوند . یک Botnet در واقع مجموعه ای از کامپیوتر ها (bot) یا ماشین های آلوده به صورت شبکه ای (برخی مواقع انفرادی) توسط چند مهاجم (bot master)  برای اهداف مخرب به کار گرفته می شوند . بات نت ها در واقع ربات هایی هستند که زامبی (zombies) هم نامیده می شوند و بر روی کامپیوتر های میزبان اجرا می شوند و کنترل این کامپیوترها را برای bot master ها فراهم می آورند و هدف آن ها آسیب رساندن به زیر ساخت ها و انجام فعالیت های مخرب مانند حملات DDOS و DOS می باشد .
سیستم های اینترنت اشیاء به چندین دلیل با خطرات بیشتری نسبت به سایر سیستم ها مواجه هستند که از آن جمله می توان به موارد زیر اشاره کرد :
  • محیط هایی که سیستم های اینترنت اشیاء در آن قرار گرفته اند به خوبی تعریف نشده اند و از دیگر سوء دستگاه ها و کاربران دارای تحریک زیادی می باشند .
  • سیستم های اینترنت اشیاء از لحاظ ارتباطات ، پروتکل ها ، سیستم عامل ها و تجهیزات بسیار ناهمگن هستند .
  • دستگاه های اینترنت اشیاء این قابلیت را دارند که به صورت مستقل و بدون نظارت شخص ثالث ، کنترل دیگر تجهیزات و دستگاه های اینترنت اشیاء را بر عهده بگیرند .
  • سیستم های اینترنت اشیاء ممکن است شامل اشیایی شوند که برای اتصال به اینترنت طراحی نشده اند .
  • سیستم های اینترنت اشیاء شامل بخش های هستند که از لحاظ به خوبی محافظت نشده اند .
  • بر خلاف برنامه های تلفن هوشمند که برای نصب نیاز به کسب اجازه دارند در سیستم های اینترنت اشیاء به علت استقرار تجهیزات در یک مقیاس بزرگ و تعداد زیاد دستگاه ها ، نصب برنامه ها و اجرای فرامین معمولا بدون اجازه سرور امنیتی مرکزی می باشد .
با توجه به مطالب فوق نتیجه می گیریم که بسیاری از سیستم های اینترنت اشیاء فاقد ابتدایی ترین نیازمندی های امنیتی هستند . در ادامه لیستی از آسیب پذیری های اینترنت اشیاء را مشاهده می کنید :
  • نا امنی وب ، تلفن همراه و یا رابط کاربری ابر (Cloud) : به عنوان مثال می توان به عدم امکان تغییر نام کاربری و کلمه عبور پیش فرض ، کلمات عبور ضعیف ، کمبود مکانیسم های بازیابی رمز عبور ، عدم امکان قفل یک حساب  و استعداد بالا در جعل هویت در یک سیستم اشاره کرد .
  • احراز هویت نامناسب و مجوزهای ضعیف : از جمله این موارد می توان به عدم کنترل دسترسی مناسب در سیستم ها و دادن امتیازات خاص به برخی از کاربران اشاره کرد .
  • نا امنی سرویس های شبکه : به مواردی از جمله به آسیب پذیری در مقابل منع ارائه سرویس ، سر ریز بافر ، حملات Fuzzing ، عدم دسترسی به برخی از پورت ها ، عدم دسترسی به سرویس های ضروری شبکه اشاره کرد .
  • عدم رمزنگاری ایمن و تایید اعتبار : انتقال داده های غیر رمز شده و عدم ارائه راهکاری برای تایید اعتبار داده ها در مقصد .
  • نگرانی در زمینه حریم خصوصی : هنگامی که مجموعه ای از داده های غیر ضروری یک کاربر در معرض خطر قرار گیرد و افرادی که دارای مجوز دسترسی نباشند ، آن داده ها را در اختیار بگیرند حریم خصوصی افراد به خطر خواهد افتاد . در واقع عدم وجود محدودیت در حفاظت از اطلاعات باعث نقض حریم خصوصی می شود .
  • عدم پیکربندی مناسب برای سیستم امنیتی : عدم وجود مدل های برای صدور مجوز ، ناتوانی مدیریت سیستم در جدا سازی کاربران ، سیاست های رمز عبور ضعیف ، عدم وجود سیستم امنیتی متناسب ، عدم رمز نگاری داده ها و عدم اطلاع رسانی به کاربر از وقایع امنیتی رخدادها به وقوع پیوسته .
  • سخت افزار ، نرم افزار ناامن : عدم وجود مکانیسم های به روز رسانی مناسب ، عدم بررسی امنیت فایل ها قبل از آپلود ، سخت افزارهای معیوب و ناامن .
  • امنیت فیزیکی ضعیف : امکان شبیه سازی و پیاده سازی مجدد یک دستگاه ، دسترسی به نرم افزار ها از طریق پورت USB ، رسانه های ذخیره سازی قابل جا به جایی .
در این بخش قصد داریم تا درباره تکنیک های حفاظت صحبت کنیم . اطمینان از این که تجهیزات سیستم اینترنت اشیاء به عنوان زامبی مورد بهره برداری قرار نمی گیرد ، از اهمیت زیادی برخوردار است . در ادامه یک لیست کامل از روش های مقابله با Botnet ها را ارائه خواهیم کرد که در بساری از سیستم های اینترنت اشیاء باید مورد توجه قرار گیرند :
  • اطمینان از تغییر کلیه رمز های عبور پیش فرض
  • به روز رسانی تمامی تجهیزات مورد استفاده در اینترنت اشیاء
  • غیر فعال کردن افزونه های غیر ضروری در روترها و سایر تجهیزات شبکه
  • نظارت بر پورت های مختلف به جهت کنترل ورود افراد و یا تجهیزات غیرمجاز به شبکه (ورود فیزیکی و یا ورود از راه دور .
  • نظارت بر ترافیک های غیر نرمال و تلاش های که برای از کار انداختن دستگاه های نظارتی توسط بدافزارها انجام می شود .
روش های فوق هر چند شیوه های ابتدایی و ساده به نظر می آیند ، اما با بکارگیری آن ها می توان بسیاری از پیش نیازهای امنیتی تجهیزات اینترنت اشیاء را فراهم کرد .
یک چالش مهم دیگر که در تجهیزات اینترنت اشیاء وجود دارد این است که آسیب پذیری های نرم افزاری شناخته شده و یا ناشناخته بسیاری در این تجهیزات وجود دارد . به همین دلیل استفاده از تکنیک های مدرن تشخیص نفوذ بسیار مهم است و از آن جایی که بسیاری از تجهیزات مورد استفاده از لحاظ میزان حافظه و پردازنده دارای قدرت کافی نمی باشند ، آنالیز حملات باید در یک دروازه (gateway) صورت پذیرد .
تاریخچه Botnet ها نشان می دهد که آن ها امکان به کارگیری انواع تهدیدات را  دارند و همواره روش های حملات خود را جدید و به روز می کنند ، به طوری که اخیرا برای آن که حملات DDOS شناسایی نشوند آدرس IP های خود را مرتب جعل کرده و تغییر می دهند . بنابراین ما باید همواره منتظر حملات پیچیده تر و ویرانگرتر باشیم و از آن جایی که سیستم های اینترنت اشیاء قابلیت ایجاد تغییرات را دارا می باشند حملات به چنین دستگاه های می تواند خطرات زیادی را برای زندگی انسانی به وجود آورد .
پیشگیری و مقابله با بات ها می تواند یک دفاع موثر باشد که برای به ثمر رساندن این هدف می توان از انواع آنتی ویروس ، فایروال ها و سیستم های فیلتر و بازرسی استفاده کرد . آگهی داشتن کاربر نیز می تواند بسیار مفید باشد ، به عنوان مثال تروجان ها اغلب به دلیل اشتباهات کاربران گسترش می یابند . هم چنین همواره باید بر شبکه و رفتارهای دستگاه ها و رویدادهای غیرعادی نظارت کرد و هر روندی که نشان دهنده حضور یک تهدید باشد را کاملا  زیر نظر گرفت . به همین منظور می توان از نرم افزارهای NBA (برنامه ای است که بر روی شبکه ، سرویس ها و پهنای باند نظارت دارد ) برای آنالیز رفتار شبکه استفاده کرد .
از طرفی دیگر با گسترش مکانیزم های امنیتی مانند رمزنگاری ، احرازهویت ، کنترل دسترسی و امنیت شبکه  می توان اکوسیستم اینترنت اشیاء را تقویت کرد . استفاده از تکنیک های ترکیبی می تواند برای حفاظت از سیستم های اینترنت اشیاء مورد استفاده قرار گیرد که البته چالش های را با توجه به گستردگی ، تنوع و حالات برنامه کاربردی اینترنت اشیاء ایجاد می کند .
امروزه استفاده از ابزارهای تشخیص ناهنجاری در سیستم های اینترنت اشیاء به شدت توصیه می شود تا تا به وسیله آن ها بتوان حملات احتمالی و دستگاه های در معرض خطر را شناسایی کرد .

لینک دانلود فایل پی دی اف این مقاله

لینک مقاله اصلی
تهیه و تنظیم : مسعود معاونی
منبع : http://mycs.computer.org
تاریخ انتشار : ۱۲ اردیبهشت ۱۳۹۶
کد مطلب : A120296.1

https://telegram.me/moaveni_ir