دفاع در مقابل کرم ها و ويروس ها ی کامپیوتری
کرم ها و ويروس ها نوع خاصی از برنامه های کامپيوتری موسوم به ” کد مخرب ” می باشند. علت ظهور کرم ها و ويروس ها ، وجود ضعف در برنامه ها ی کامپيوتری است . آنان نسخه هائی از خود را تکرار و يا به ساير برنامه ها متصل، بسرعت گسترش و بسادگی از سيستمی به سيستم ديگر توزيع می شوند.درابتدا لازم است که تعريف مناسبی برای هر يک از آنان ارائه گردد . کرم ها ، نوع خاصی ازبرنامه های کامپيوتری می باشند که پس از آغاز فعاليت خود ، بدون مداخله انسانی

منتشر و توزيع خواهند شد. ويروس ها ، نوع ديگری از برنامه های کامپيوتری می باشند که بمنظور انتشار و توزيع خود نيازمند انجام عمليات خاصی توسط کاربر نظير فعال شدن فايل همراه يک نامه الکترونيکی می باشند.کاربران در اغلب موارد و در مشاهده با فايل های ضميمه همراه نامه های الکترونيکی ، اغوا و بدون لحاظ نمودن مسائل امنيتی آنان را باز و به عاملی برای گسترش يک

ويروس تبديل می شوند. کاربران بدليل کنجکاوی مربوط به موضوع يک نامه و يا ظاهر شدن نامه بگونه ای که برای مخاطب خود آشنا است ، اقدام به باز نمودن ضمائم يک نامه الکترونيکی می نمايند. کرم ها و ويروس می توانند اقدامات پيشگيرانه امنيتی نظير فايروال ها و سيستم های حفاظتی را ناديده و اهداف خود را دنبال نمايند.

کرم ها و ويروس ها در مقايسه با گذشته با سرعت بمراتب بيشتری اقدام به خرابی سيستم های آسيب پذير نموده و در اين راستا نسخه هائی از خود را برای اکثر سيستم های فوق ، توزيع و منتشر می نمايند. کامپيوترهای موجود در منازل ، نمونه مناسبی از سيستم های آسيب پذير بوده که شرايط و استعداد مناسبی را در اين رابطه دارند. کرم Code Red در سال ۲۰۰۱ بسرعت در سطح جهان منتشر گرديد . سرعت انتشار کرم فوق، بمراتب بيشتر از کرم Morris در سال ۱۹۸۸ و ويروس مليزا در سال ۱۹۹۹ بود. بديهی است، افزايش سرعت انتشار اين نوع از کدهای مخرب ،

سرعت در بروز خرابی و آسيب را بدنبال خواهد داشت . مثلا” فاصله زمانی بين شناسائی اولين نسخه کرم Code Red و خرابی گسترده آن ، صرفا” چندين روز بيشتر نبوده است و دراين فاصله زمانی محدود، Code Red بسرعت اشاعه و گسترش پيدا کرده بود. پس از گذشت يک ماه از ظهور کرم Code Red ، کرم ديگری با نام “نيمدا” توانست در اولين ساعت فعاليت خود ، خرابی

بسيار گسترده ای را ايجاد نمايد . در ژانويه همان سال ، ” اسلامر” توانست صرفا” در مدت چندين دقيقه خرابی گسترده ای را بوجود آورد .شکل زير،سرعت انتشار و ميزان آسيب رسانی ” اسلامر” ، بلستر و Code red در اولين روز فعال شدن را نشان می دهد . همانگونه که مشاهده می شود ، اسلامر توانسته است با سرعت بيشتری در اولين ساعات فعال شدن خود ، تعداد زيادی از سيستم ها را آلوده نمايد. سرعت انتشار بلستر از اسلامر کندتر ولی از Code Red سريعتر بوده است . پس از گذشت بيست و چهار ساعت، بلستر به ۳۳۶،۰۰۰ ، .Code Red به ۲۶۵،۰۰۰ و اسلامر به ۵۵،۰۰۰ دستگاه کامپيوتر آسيب رسانده بودند. دقت داشته باشيد که بلستر در هيجده ساعت اوليه فعاليت خود تواسنه است بيش از ۳۳۶،۰۰۰ کامپيوتر را آلوده نمايد. بلستر نسبت به اسلامر توانسته است عليرغم کند بودن انتشار در ساعات اوليه ، تعداد بمراتب بيشتری از سيستم ها را آلوده نمايد . بنابراين ، ما از يکطرف سرعت در انتشار و از طرف ديگر افزايش بالای تعداد سيستم های آسيب پذير را می توانيم مشاهده نمائيم .

منبع : CERT.org
شکل زير، عملکرد کرم بلستر و Code Red در هيجده ساعت اوليه فعاليت آنان را نشان می دهد. در هر دو حالت در ساعات بين سه تا پنج اوليه فعاليت ، نزديک به ۱۰۰،۰۰۰ کامپيوتر آلوده شده بود. سرعت انتشار و آسيب به اندازه ای سريع بوده است که اغلب مديران سيستم و کاربران زمان لازم بمنظور ايمن سازی سيستم ها پس از اعلام ضعف امنيتی را نداشته اند .

منبع : CERT.org
عملکرد کرم ها و ويروس ها در بهترين حالت ، کرم ها و ويروس ها بمنزله مزاحمينی می باشند که بمنظور برخورد با آنان می بايست هزينه های زيادی صرف گردد . در بدترين حالت ، آنان بمنزله دشمنان خانمان سوزی بوده که قادرند سرمايه های اطلاعاتی را نابود و ويران نمايند. بر اساس گزارشات منتشر شده ، صرفا” در دوازده ماه گذشته ، حملات کرم ها و ويروس ها ميليون ها دلار خسارت را متوجه سازمان ها و موسسات نموده است . براساس نظر سنجی انجام شده توسط

CSI/FBI در سال ۲۰۰۳ ، بيش از هشتاد و دو درصد از پاسخ دهندگان با نوع خاصی از حملات توسط ويروس ها و کرم ها برخورد داشته که هزينه ای معادل ۲۷،۳۸۲،۳۴۰ دلار صرف برطرف نمودن مشکلات مربوطه شده است . کمترين هزينه گزارش شده ۴۰،۰۰۰ دلار و بيشترين هزينه گزارش شده بالغ بر ۶،۰۰۰،۰۰۰ دلار بوده است . در يک نظر سنجی ديگر و در استراليا نيز نتايجی مشابه بدست آمده است . در اين نظر سنجی بيش از هشتاد درصد از پاسخ دهندگان با نوع خاصی ا

ز حملات توسط کرم ها و يا ويروس ها مواجه بوده اند . در بررسی انجام شده توسط موسسه تحقيقاتی استراليا ، ۳۳ % درصد از پاسخ دهندگان اعلام نموده اند که مشکل آنان در کمتراز يک روز ، ۳۰ % اعلام نموده اند که مشکل آنان بين يک تا هفت روز و ۳۷ % ديگر اعلام نموده اند که بيش از يک هفته صرف برطرف نمودن مشکل آنان شده است . ( برخی از سازمان ها و موسسات نيز اعلام نموده اند که مشکل آنان هرگز برطرف نشده است ) .
ميزان صدمات وخرابی گزارش شده در ارتباط با کرم بلستر، بالغ بر ۵۲۵ ميليون دلار و در ارتباط با سوبيگ ( نوع F ) ، بين ۵۰۰ ميليون تا يک ميليارد دلار برآورد شده است.هزينه فوق ، شامل ازدست دادن بهره وری ، ساعات تلف شده ، عدم فروش کالا و يا خدمات و هزينه های اضافی مربوط به پهنای باند است . بر اساس اظهارات ارائه شده در نشريه اکونوميست ۲۳ اگوست ۲۰۰۳ ، سوبيگ (نوع F )، مسئول يکی از شانزده نامه الکترونيکی ارسال شده بر روی اينترنت بوده است

. برخی سازمان های بزرگ ، صرفا” طی يک روز بيش از ۱۰،۰۰۰ نامه الکترونيکی آلوده را دريافت نموده اند ( در هر ۶٫ ۸ ثانيه ، يک پيام ) . سوبيگ ، قادر به ارسال چندين نامه الکترونيکی در يک زمان بود و بدين ترتيب ضريب نفوذ و اشاعه آن بشدت بالا بود . ( هزاران پيام در يک دقيقه ) . با توجه به اينکه، سوبيگ چندين مرتبه تغيير و نسخه های جديدتری از آن ارائه می شد، برخورد و غير فعال نمودن آن با مشکل مواجه می گرديد . ( حرف F نشاندهنده نسخه شماره شش سوبيگ است ) .
وضعيت آينده
نتايج و تجارب کسب شده ، صرفا” محدود به عملکرد خاص برخی از کرم ها و ويروس

ها نظير بلستر و سوبيگ بوده و ما می بايست به اين واقعيت مهم توجه نمائيم که کرم ها و ويروس ها يک تهديد جدی در رابطه با امنيت اينترنت بوده و می توانند مسائل متعدد و غيرقابل پيش بينی را در آينده برای هر يک از شهروندان حقوقی و يا حقيقی اينترنت بدنبال داشته باشند .بنابراين می توان اين ادعا را داشت که اينترنت نه تنها در حال حاضر در مقابل اينگونه حملات آسيب پذير است بلکه آسيب پذيری آن در آينده نيز قابل پيش بينی و واقعيتی غيرقابل کتمان است. کامپيوترهای موجود در سازمان ها ، موسسات دولتی و خصوصی ، مراکز تحقيقاتی ، مدارس ، دانشگاه ها در حال حاضر نسبت به ضعف های امنيتی کشف شده آسيب پذير بوده و قطعا” نسبت به ضعف هائی که در آينده مشخص می گردند، نيز آسيب پذيری خود را خواهند داشت . بنابراين ، سيستم های کامپيوتری هم در مقابل حملات در حال حاضر و هم برای حملات در آينده ، دارای استعداد لازم بمنظور پذيرش آسيب خواهند بود. بديهی است ، همزمان با افزايش وابستگی سازمان ها و موسسات دولتی و خصوصی به اينترنت ، انجام فعاليت های تجاری، تهديدات و خطرات خاص خود را بدنبال خواهد داشت .

محدوديت راه حل های واکنشی
پس از گذشت قريب به پانزده سال از عموميت يافتن اينترنت و مطالعات گسترده انجام شده بمنظور کاهش خطرات ، خرابی و سرعت در تشخيص و غلبه بر حملات ، می توان اين ادعا را نمود که راه حل های واکنشی به تنهائی کافی نخواهند بود. ادعای فوق ، ماحصل توجه به عوامل زير است :
• اينترنت در حال حاضر بيش از ۱۷۱،۰۰۰،۰۰۰ کامپيوتر را بيديگر متصل و رشد آن همچنان ادامه دارد . در حال حاضر ، ميليون ها کامپيوتر آسيب پذير در اينترنت وجود دارد که مستعد يک نوع خاص از حملات توسط مهاجمين می باشند.