Iran Developers Network » عمومی

چرا شبکه عصبی ؟

001373 — Mon, 19 Jul 2010 19:33:21 +0000

این روز ها همه حرف از شبکه های عصبی می زنند اما واقعا چرا شبکه های عصبی؟؟؟
علی رغم آنکه نرم افزارهای وجود بخوبی محاسبات ساده و پیچیده را انجام می دهند و برای تصمیم گیری در حیطه های مختلف به مدیران کمک می کنند، سئوال آنست که چرا رویکرد برنامه نویسی و طراحی سخت افزار باید مطابق الگو و عملکرد مغز انسان متحول شوند؟
هرچند امروزه فنآوری های طراحی، ساخت و تولید رایانه ها و نرم افزارها پیشرفت قابل توجهی نموده است، اما به دلایل ذیل باید در منطق طراحی و ساخت رایانه ها و همچنین نرم افزارهای موجود متحول گردد:
*. افزایش سرعت
برنامه ای برای تشخیص چهره یک فرد را با ساختار رایانه ها و نرم افزارهای موجود در نظر بگیرید:
– به طور یقین برنامه شامل حلقه هایی است که ده ها بار باید بطور سریال و پی در پی تکرار شود.
– در هر تکرار خصوصیت خاصی از صورت را ذخیره نموده و با الگو مقایسه نماید.
– بعد از تست کلیه خصوصیات، چهره را تشخیص دهد.
سلسله عملیات مزبور، بارها تکرر شده و مدتها وقت دستگاه را میگیرد، اما آیا تشخیص چهره توسط مغز انسان نیز چنین است. در سیستم مغز، در آن واحد ده ها واحد پردازش (که به نرون موسوم است) در عصب بینایی بطور موازی بکار می افتد و بدلیل پردازش موازی ( و نه پی در پی) در زمان بسیار کوتاه چهره تشخیص داده میشود.
نتیجه آنکه : تحول در منطق برنامه نویسی به گونه ای که بجای پردازش سریال، پردازش موازی جایگزین شود، در آینده طراحی رایانه ها باید مورد توجه قرار گیرد.
*. حساسیت بالا به رخداد اشتباه
بروز اشتباه در فرمت و علائم برنامه نویسی منجر به اتلاف ساعتها وقت در ردیابی، شناسایی و اصلاح برنامه میگردد. همچنین رخداد اشتباه در منطق برنامه اعم از آنکه یک زیر برنامه یا قسمتی از آن درست کار نکند، منجربه آن خواهد شد که نتیجه حاصله کاملا نادرست گردد، در حالی که عدم عملکرد صحیح قسمتی از نرون ها منجر به از کارافتادگی کامل مغز نمیگردد و امکان اتخاذ تصمیم صحیح در این حالت نیز وجود دارد.
*. رایانه ها و نرم افزارهای موجود قادر نیستند از تجربیات گذشته استفاده نمایند.
بازبینی و به هنگام نمودن برنامه های نرم افزاری در دوره های زمانی مختلف اجتناب ناپذیر است، در حالی که مغز بطور پیوسته در حال یادگیری و انطباق با محیط است. صرف وقت زیاد برای بازبینی و اصلاح دوره ای سیستم های موجود رایانه ای ممکن است منجر به بازیابی و سلامت سیستم نگردد.
*. عدم ارائه پاسخ مناسب در شرایط جدید
با تغییر وروده های برنامه های نرم افزاری، از آنها انتظار نمیرود پاسخی ارائه دهند، در حالی که مغز ممکن است علی رغم نداشتن تجربه ای مشخص، هنگامیکه در شرایط جدید قرار میگیرد، پاسخ مناسبی ارائه دهد.
نتیجه:
ساختار سخت افزارها و منطق نرم افزارها باید با رویکرد جدیدی مبتنی بر مغز انسان بازبینی و اصلاح شوند. برای این منظور لازم است ساختار مغز مطالعه شود

پست مجوز GNU GPL یا پروانه جامع همگانی گنو چیست؟

admin — Mon, 19 Jul 2010 19:28:42 +0000

GPL: آزادی و تضمین آزادی

دیدگاهی که بنیاد نرم‌افزار آزاد – که از این به بعد آن را FSF معادل Free Software Foundation می‌نامیم – درباره آزادی لازم در رابطه با نرم‌افزار دارد در پروانه محصول این بنیاد متبلور می‌شود. پروانه GNU General Public License که می‌توان آنرا «پروانه جامع همگانی گنو» ترجمه کرد. نام متداول این پروانه GNU GPL است و ترجمه‌ای برای فارسی معمول نیست.
نگاهی به آمار پروژه‌های میزبانی شده در سایت freshmeat.net نشان می‌دهد که ۶۸ درصد پروژه‌ها با پروانه GPL ثبت شده‌اند. در این مقاله سعی می‌کنیم دلایل محبوبیت این پروانه بین توسعه‌دهندگان نرم‌افزارهای آزاد و بازمتن را بررسی کنیم.
دیدگاه
GPL نتیجه نوع نگاه FSF به موضوع نرم‌افزار است بنا بر نظر FSF یک نرم‌افزار برای آنکه نرم‌افزار آزاد به حساب آید باید چهار نوع آزادی برای کاربران فراهم آورد که عبارتند از:
آزادی اجرای برنامه برای هر منظوری (آزادی ۰)
آزادی مطالعه و بررسی چگونگی عملکرد برنامه و تغییر آن برای نیاز خود (آزادی ۱). دسترسی به کد منبع یک پیش‌شرط برای این آزادی می‌باشد.
آزادی توزیع مجدد کپی‌هایی از آن، به این ترتیب شما می‌توانید به همسایگان [اطرافیان] خود کمک کنید (آزادی ۲).
آزادی بهبود برنامه و انتشار این تغییرات برای عموم، بدین وسیله تمام جامعه از آن بهره می‌برند (آزادی ۳). دسترسی به کد منبع یک پیش‌شرط برای این آزادی می‌باشد.
در مقدمه پروانه تصریح شده که قصد GPL دفاع از آزادیهای برنامه‌نویسان، توسعه‌دهندگان و کاربران است. همان آزادیهایی که FSF بر آنها تاکید دارد. اما اینها امکاناتی هستند که هر نرم‌افزاری که با کد منبع و در عرصه عمومی، بی هیچ مجوزی منتشر شود هم به افراد می‌دهد. به عنوان نمونه پروانه BSD (http://www.freebsd.org ) هیچ محدویتی برای نوع انتشار مجدد نرم‌افزارهای منتشر شده با آن پروانه در نظر نگرفته اما GPL تاکید می‌کند که محدودیتهایی وضع کرده تا از سلب حقوق افرادی که از این مجوز برای توزیع نرم‌افزارشان استفاده می‌کنند جلوگیری کند.
گروهی، از جمله طرفداران پروانه BSD معتقدند که هر نوع محدودیتی حتی اگر برای تضمین آزاد ماندن نرم‌افزار وضع شود، در واقع آزادی را مخدوش کرده است. می‌توان گفت این اختلاف دیدگاه، تفاوت نظری تفکر حاکم بر پروانه GPL در مقابل طرز فکر ارائه دهنده پروانه BSD است که یکی آزادی را بدون تضمین آن ناقص و دیگری آزادی را با هر تضمینی برای آن مخدوش می‌داند.

شیوه حقوقی

از متن پروانه GPL مشخص است که با وجود تلاش برای رعایت اعتبار حقوقی، متن، لحنی صمیمی و بی‌پیرایه دارد. نویسندگان پروانه بیش از اینکه به قطعیّت استدلالشان در دادگاه فکر کنند در پی انتقال مفهوم مورد نظرشان به کاربران پروانه‌اند. در نتیجه پروانه از لغات و اصطلاحات خشک و پیچیده حقوقی خالی است و بجای آن با کلماتی ساده و واضح بنا شده است. GPL در جای جای خود اشاره می‌کند که برای تعهد به این پروانه، کافیست به آن، یا در حقیقت به دیدگاه پشت متن، عمل شود. و اینکه نیازی نیست در پی این باشیم که آیا دیگران هم به تعهد خود عمل می‌کنند یا نه. این موضوعی مربوط به ما نیست. به عبارت دیگر ما را از تفحّص در کار دیگران باز می‌دارد. عملی که در بسیاری از مجوزهای دیگر افراد را تشویق به انجام آن و گزارش موارد خلاف تعهد در ازای دریافت جایزه می‌کند.
GPL بر بستر قانون حق تالیف تعهدنامه‌ای را فراهم می‌آورد که بجای محدود کردن دانش برای کسب سود مادی، تنها در کف یکی، امکان انتقال، انتشار و ارتقا دانش را فراهم می‌آورد. پول درآوردن هم مزموم نیست به شرط اینکه به منافع تکثیر دانش در جوامع لطمه نزند.
علاوه بر این در پروانه GPL مشخص شده که توزیع‌کننده نرم‌افزار با این مجوز هیچ‌گونه تعهدی در قبال برنامه ندارد. برنامه «همان است که هست» و توزیع‌کننده مسئولیتی در قبال اجرا یا برای پشتیبانی از نرم‌افزار برعهده نمی‌گیرد. مگر آنکه در قراردادی جدا چنین مسئولیتی تایید شود.

[color=#400FF]نتایج[/color]
وقتی نرم‌افزاری با پروانه GPL منتشر می‌شود فضایی چند وجهی در اطراف آن شکل می‌گیرد. از یک طرف امکان بی‌پایان توزیع و ارتقا آن پدید می‌آید. از طرف دیگر همواره نرم‌افزار خصوصیات نرم‌افزار آزاد را با تعریف FSF حفظ خواهد کرد. همچنین امکان انواع خدمات‌رسانی مربوط به آن نرم‌افزار از توسعه آن در شاخه‌های خاص – البته اگر چنین قابلیتهایی داشته باشد – تا پشتیبانی فنی شکل می‌گیرد. چنین فضایی امکان می‌دهد تا نرم‌افزار به جای اینکه به ابزار کاسبی کاسبکاران – بخوانید Businessman – تبدیل گردد، به وسیله کسب درآمد برنامه‌نویسان در ازای خدماتی که ارائه می‌دهند بدل شود.
علاوه بر این، روح حاکم بر GPL افراد را تشویق می‌کند تا بجای جستجو در کارهای غلط دیگران، کار خود را درست انجام دهند و در اختیار بقیه افراد جامعه بگذارند.
تمام اینها و مهمتر از همه روح انسانی و اخلاق‌گرای پروانه GPL می‌تواند دلایل محبوبیتش در میان برنامه‌نویسان باشد.

آخرین ویرایش پروانه GPL همواره در آدرس http://www.gnu.org/licenses/gpl.html موجود است. ترجمه‌ای فارسی از این پروانه بدست آقای کاوه رنجبر انجام شده است و اینجا آورده می‌شود.

این یک ترجمه غیر رسمی از GNU General Public License به زبان فارسی می باشد. این ترجمه توسط بنیاد نرم افزارهای آزاد انتشار نیافته و از لحاظ قانونی مرجعی برای مقررات توزیع نرم افزار تحت پروانه GNU نمی باشد – فقط متن پروانه به زبان انگلیسی چنین مرجعی برشمرده می شود. به هر ترتیب، ما امیدواریم این ترجمه به آشنایی فارسی زبانان با پروانه GNU کمک کند.

نسخه ۲ – خرداد ۱۳۷۰

حق تالیف برای Free Software Foundation, Inc. به آدرس
۵۹ Temple Place – Suite 330, Boston, MA 02111-1307, USA محفوظ می باشد.

هرکسی مجاز به تکثیر و یا توزیع لفظ به لفظ و دست نخورده این پروانه می باشد، اما هیچکس مجاز به تغییر آن نیست.

دیباچه

پروانه استفاده از بسیاری از نرم افزارها بگونه ای طراحی شده تا آزادی شما برای تسهیم و تغییر آنها را بگیرد، در مقابل GNU General Public License بر آن است تا از آزادی شما برای تسهیم و تغییر نرم افزار دفاع کند – برای حصول اطمینان از آزاد بودن نرم افزار برای تمام کاربران آن.

این پروانه جامع همگانی(GPL) در مورد اکثر نرم افزارهای بنیاد نرم افزارهای آزاد (Free Software Foundation) و هر برنامه دیگری که مولفین آن متعهد به پروانه یاد شده هستند اعمال می گردد.(بقیه نرم افزارهای بنیاد نام برده شده از GNU Library General Public License استفاده می کنند.) شما هم می توانید این پروانه را برای نرم افزارتان بکار ببرید.

وقتی ما از نرم افزار آزاد صحبت می کنیم، به آزادی اشاره می کنیم نه قیمت. پروانه های ما طوری طراحی شده اند تا از امکان توزیع آزاد نسخه های نرم افزارها توسط شما وجود داشته باشد (حتی اجازه دارید برای اینکار، توزیع، مبلغی دریافت کنید) اینکه شما کد اصلی برنامه (Source Code) را دریافت کنید و یا در صورت نیاز امکان دریافت آن را داشته باشید، اینکه شما بتوانید در برنامه دخل و تصرف کنید و یا قسمتهایی از آن را در برنامه های رایگان دیگری استفاده کنید و اینکه مطمئن باشید می توانید همه اینکارها را بکنید.

برای حفظ حقوق شما، ما باید محدودیتهایی وضع کنیم که جلوی هرکسی را که بخواهد این حقوق را از شما صلب کند گرفته شود. در صورتی که شما نسخه هایی از نرم افزار را توزیع می کنید و یا تغییراتی در آن ایجاد می کنید این محدودیتها شامل مسوولیتهای مشخصی برای شما خواهد بود.

برای نمونه، اگر شما نسخه هایی از چنین نرم افزاری را توزیع می کنید، چه به رایگان و یا در ازای دریافت حق الزحمه، شما باید تمام حقوقی که دارید را به دریافت کننده نیز اعطا کنید، شما باید اطمینان حاصل کنید که آنها هم می توانند کد اصلی برنامه را بگیرند و شما می بایست این قوانین را در اختیار آنها قرار دهید تا از حقوق خود آگاه گردند.

ما در دو مرحله از حقوق شما دفاع می کنیم: (۱) حق التالیف نرم افزار و (۲) ارایه کردن این پروانه به شما که حق قانونی شما برای تکثیر، توزیع و یا تغییر نرم افزار را فراهم می آورد.

در ضمن، برای حفاظت از حقوق هر مولف و همچنین خودمان، لازم می دانیم برای همه روشن کنیم که هیچ گونه تعهدی برای این نرم افزار آزاد وجود ندارد. اگر نرم افزاری توسط شخص دیگری بجز مولف تغییر می کند و سپس به دیگران منتقل می شود ما می خواهیم گیرندگان آگاه باشند که نرم افزار مورد استفاده نسخه تغییر یافته ایست و در نتیجه ایراد کار دیگران به حساب مولف اصلی گذاشته نشود.

در نهایت، هر برنامه آزاد همواره از طرف امتیازهای انحصاری نرم افزاری (Software Patents) تهدید می شود و در نتیجه ما سعی می کنیم از این دریافت حق امتیاز انحصاری توسط توزیع کنندگان نرم افزارهای آزاد اجتناب کنیم. برای جلوگیری از وقوع چنین چیزی بطور واضح روشن ساخته ایم که هر حق امتیاز می بایست برای مصرف آزاد همگان ثبت گردد و یا اصلا” ثبت نگردد.

در ادامه قوانین و مقررات جامع تکثیر، توزیع و تغییر می آید.

قوانین و مقررات تکثیر، توزیع و تغییر

۰٫ این پروانه بر هر برنامه یا کاری که صاحب حق امتیاز آن اعلانیه ای مبتنی بر توزیع آن بر اساس قوانین این پروانه به آن الحاق کرده باشد اعمال می گردد. از این پس ” برنامه” به چنین نرم افزار و یا کاری اطلاق می شود و ” کار براساس برنامه ” به معنی خود برنامه و یا هرکار مشتق از آن طبق تعریف قانون حفاظت از حقوق مولف (Copyright Law) می باشد. این تعریف عبارت است از: کاری شامل برنامه و یا قسمتی از آن، چه بدون تغییر و یا با تغییر و یا ترجمه شده به زبانهای دیگر (از این پس کلمه تغییر بدون هیچ محدودیتی شامل ترجمه نیز می باشد.) هر پروانه به نام “شما” صادر می گردد.

فعالیتهایی جدای از تکتیر، توزیع و تغییر شامل این پروانه نمی شوند؛ آنها خارج از حیطه این پروانه هستند. عمل اجرای برنامه شامل این پروانه نیست و خروجی حاصل از آن فقط در صورتی که حاصل کاری که در داخل برنامه شده است (مجزای از چیزی که بر اساس اجرای برنامه تولید می گردد) باشد تحت پوشش این پروانه می باشد. صحت این امر به نحوه عملکرد برنامه بستگی دارد.

۱٫ شما می توانید نسخه های تغییر نکرده کد اصلی برنامه را همانطور که آن را دریافت می کنید از طریق هر بستری تکثیر و یا توزیع کنید، به شرطی که بطور واضح و صحیح در هر کدام یک کپی از اعلان حق تالیف و حدود مسوولیت را گنجانده و تمامی اعلانهایی که به این پروانه ارجاع می دهند را به همراه اشاره به عدم وجود هرگونه تضمین، دست نخورده باقی بگذارید و به هر دریافت کننده برنامه یک نسخه از این پروانه را به همراه برنامه بدهید.

شما ممکن است برای انجام عملیات فیریکی انتقال یک نسخه، حق الزحمه دریافت نموده و یا حتی در ازای دریافت پولی از طرف خودتان برنامه را ضمانت نمایید.

۲٫ شما می توانید نسخه های خودتان از برنامه – و یا هر جزیی از آن – را تغییر داده و در نتیجه کار جدیدی بر اساس برنامه اولیه تولید نموده و آن را تکثیر و توزیع نمایید به شرطی که در عین پای بندی به اصول بند (۱) که در بالا آمد تمام اصول زیر را رعایت نمایید:

الف) شما باید در فایلهای تغییر داده شده بطور واضح مشخص نمایید که شما آنها را تغییر داده اید و تاریخ تغییر را نیز ثبت نمایید.

ب) شما باید بطور واضح کل هر کاری را که بصورت جزء و یا کل از برنامه مشتق شده است و قصد انتشار و یا توزیع آن را دارید تحت این پروانه و بصورت رایگان در اختیار همگان قرار دهید.

ج) در صورتی که برنامه تغییر داده شده در حالت عادی با کاربر تعامل دارد می بایست هنگام اجرا در وضعیت تعاملی با کاربر یک اعلان شامل پیام حق تالیف مرتبط و توضیحی در باره عدم وجود هرگونه تضمین برای این برنامه (و یا اگر خود شما تضمینی ارایه می دهید، آن تضمین) و همچنین امکان توزیع و تکثیر برنامه در صورت رعایت قوانین این پروانه توسط کاربر و همچنین نحوه دست یابی کاربر به این قوانین را نمایش دهد. (استثنا: اگر برنامه اصلی خود تعاملی است اما چنین پیامی نمایش نمی دهد شما هم مجبور به نمایش این پیام نیستید.)

این الزامات شامل کل کار تغییر یافته می شوند. اگر قسمتهای قابل جداسازی از کار از برنامه مشتق نشده باشند، و منطقا” کارهای جدا و مستقل محسوب شوند آنگاه این پروانه و قوانینش شامل آن کارهای مستقل که بصورت کار جدا توزیع می کنید نمی شود ولی وقتی آنها را به عنوان قسمتهایی از یک کل، بر اساس برنامه، توزیع می کنید کل توزیع می بایست بر اساس قوانین این پروانه باشد که کل کار شامل تمام قسمتهای مختلف آن را بدون در نظر گرفتن اینکه مولف آن قسمت کیست، در بر خواهد گرفت.

به این ترتیب قصد این قسمت ادعای مالکیت و یا جدل بر سر حقوق شما برای کارهایی که کل آن را شما نوشته اید نیست، بلکه هدف داشتن حق کنترل توزیع کارهای مشتق شده و یا کارهای اشتراکی بر اساس برنامه می باشد.

به علاوه وجود محض کار دیگری که بر اساس برنامه (و یا کاری بر اساس برنامه) نیست روی همان بستر توزیع برنامه دلیلی برای پوشیده شدن آن کار توسط این پروانه نمی شود.

۳٫ شما می توانید برنامه را بصورت کد اجرایی و یا Object Code تکثیر و توزیع کنید (و یا کاری که بر اساس آن صورت گرفته؛ طی تعریف بند ۲) به شرطی که بندهای (۱) و (۲) را رعایت نموده و یکی از کارهای زیر را نیز انجام دهید:

الف) به همراه آن کد اصلی برنامه را نیز، به صورت خوانا برای ماشین الحاق نمایید که خود می بایست تحت قوانین بندهای (۱) و (۲) بالا – از طریق روش شناخته شده ای برای کاربر- توزیع شود و یا

ب) به همراه آن پیشنهادی، معتبر برای ۳ سال ارایه نمایید که آمادگی ارسال کد اصلی را به هر شخص ثالثی به طور رایگان – جدای از هزینه های شما برای انتقال فیزیکی کد اصلی – و به صورت خوانا برای ماشین طبق شرایط بندهای (۱) و (۲) بالا و از طریق بستر مناسب اعلام نمایید و یا

ج) به همراه آن اطلاعاتی را که در مورد پیشنهاد دریافت کد اصلی برنامه دریافت کرده اید را ارسال نمایید (این راه حل فقط وقتی مجاز است که شما برنامه را به صورت غیر تجاری و در فرم اجرایی به همراه اعلانی مانند آنچه در بند (ب) گفته شد دریافت داشته اید.)

منظور از کد اصلی کار فرم برگزیده برای ایجاد تغییرات در کار است. برای یک برنامه اجرایی کد اصلی کامل به معنی تمام کدهای برنامه به همراه کد قسمتهای مختلف آن، به علاوه تعاریف رابطها (Interfaces)، به علاوه کدهای استفاده شده برای کنترل عملیات کمپایل شدن و نصب برنامه اجرایی می باشد. به هر حال به عنوان یک استثنا لازم نیست کد اصلی توزیع شده شامل برنامه هایی از جمله سیستم عاملی که برنامه روی آن اجرا می شود و ملحقاتش (کمپایلر، کرنل و غیره) که بطور عادی توزیع می شوند (چه بصورت کد اصلی و یا اجرایی) باشد، مگر اینکه آن ملحقات به همراه کد اجرایی نیز باشند.

اگر توزیع نسخه اجرایی و یا Object Code بر اساس پیشنهاد برای دریافت آنها از طریق دسترسی به منبع خاصی است، آنگاه ارایه دسترسی مشابه برای دریافت کد اصلی از همان منبع به عنوان ایجاد کردن امکان دسترسی به کد منبع محسوب می شود، حتی اگر کاربران مجبور به دریافت کد اصلی به همراه کد اجرایی نباشند.

۴- شما نمی توانید برنامه را تکثیر کنید، تغییر دهید، توزیع نمایید و یا برای استفاده از آن پروانه ای صادر کنید مگر اینکه صریحا” مطابق این پروانه عمل نمایید. هر تلاش دیگری برای تکثیر، توزیع، ارایه پروانه و یا تغییر برنامه از درجه اعتبار ساقط است و به طور خودکار منجر به فسخ حقوق شما به موجب این پروانه خواهد شد. به هر ترتیب،اعتبار پروانه گیرنده ای که نسخه ای از برنامه و یا حقوقی مطابق این پروانه را دریافت داشته است تا وقتی که آنها به این پروانه پایبند باشند ساقط نخواهد گردید.

۵- شما مجبور نیستید این پروانه را قبول کنید، چون آن را امضا ننموده اید. به هر حال هیچ چیز دیگری به شما اجازه تغییر یا توزیع برنامه یا کار مشتق از آن را نمی دهد. در صورتی که این پروانه را قبول ندارید فعالیتهای نامبرده غیر قانونی محسوب می شوند. به هر حال با تغییر یا توزیع برنامه (یا هر کاری بر اساس برنامه)، شما پایبندی به این پروانه را نشان داده اید و تمامی قوانین و مقررات برای تکثیر یا تغییر برنامه یا کارهایی که بر اساس آن انجام شده را قبول نموده اید.

۶- هر دفعه که برنامه (یا کاری بر اساس آن) را توزیع می نمایید، دریافت کننده به طور خودکار یک پروانه برای کپی، توزیع و یا تغییر برنامه بر اساس این پروانه را از صاحب اصلی حق امتیاز برنامه دریافت می نماید. شما امکان محدود کردن حقوق دریافت کننده، که در این پروانه به آنها اشاره شده را، ندارید. شما مسوول اجبار دریافت کنندگان به پیروی از این قوانین نیستید.

۷- اگر بر اساس قضاوت دادگاه و یا ادعای مالکیت حق امتیاز و یا به هر دلیل دیگر (نه فقط دلایل مرتبط با حق امتیاز) شرایطی بر شما اعمال گردید ( چه بر اساس دستور دادگاه و یا توافق یا به هر دلیل دیگر) که مقررات این پروانه را نقض می کرد، آن شرایط دلیلی برای عدم پایبندی شما به این پروانه نخواهند بود. اگر شما نتوانید برنامه را به نحوی که بطور همزمان با مقررات این پروانه و دیگر مقررات جاری حق تالیف سازگار باشد توزیع نمایید می بایست در کل از توزیع برنامه خودداری نمایید. به عنوان نمونه، اگر پروانه حقوق یک برنامه اجازه توزیع رایگان آن را توسط همه کسانی که بطور مستقیم و یا غیر مستقیم از طریق شما دریافتش نموده اند را نمی دهد، تنها راه برای سازگار ماندن با این پروانه و پروانه یاد شده خودداری از توزیع برنامه است.

اگر بنا به شرایط خاصی و در مورد خاصی اجرای قسمتی از این بند میسر نبود لازم است تا دیدگاه کلی این بند در نظر گرفته شود و در ضمن کل قسمت برای دیگر موارد اجرا گردد.

هدف این بند وادار کردن شما به جدل با دیگر حقوق مالکیت و یا مشاجره بر سر اعتبار آنها نیست بلکه هدف حفاظت از یکپارچگی سیستم توزیع نرم افزارهای آزاد است که با پرداختن به پروانه های همگانی میسر می گردد. افراد زیادی با امیدوار بودن به استواری این سیستم خدمات بسیار ارزشمندی به نرم افزارهای آزاد نموده اند و این درحالی است که آنها در انتخاب پروانه دیگری برای توزیع نرم افزار خود آزادند.

هدف این بند روشن کردن چیزی است که معتقدیم نتیجه عملی شدن طرز فکر حاکم بر این پروانه است.

۸- اگر توزیع و یا استفاده از برنامه به دلیل وجود قوانین خاص مالکیت محدود به کشورهای خاصی می شود صاحب اصلی حق امتیاز برای توزیع مطابق این پروانه می بایست محدوده جغرافیایی خاصی را برای توزیع برنامه مشخص نموده و سیستم های لازم برای توزیع برنامه فقط در آن محدوده را فراهم نماید؛ در نتیجه توزیع فقط در کشورهایی امکان پذیر است که مجاز به دریافت برنامه هستند و نه دیگر کشورها، در این صورت لازم است تا پروانه بصورت مکتوب محتوی این محدودیتها نیز گردد.

۹- بنیاد نرم افزارهای آزاد ممکن است گاه گاه این پروانه را باز بینی نموده و یا نسخه های جدیدی از آن را ارایه نماید. این نسخه ها در دید کلی مشابه همین پروانه خواهد بود ولی ممکن است تغییراتی برای همخوانی آنها برای حل مشکلات و مسایل جدید اعمال گردد.

به هر نسخه یک شماره نگارش خاص اختصاص خواهد یافت. اگر برنامه به یک نسخه خاص و “تمام نسخه های بعدی” اشاره نماید شما امکان پیروی از قوانین و مقررات آن نسخه خاص و یا هریک از نسخه های بعدی که توسط بنیاد نرم افزارهای آزاد منتشر گردیده را دارید. اگر برنامه به نسخه خاصی از پروانه اشاره نمی کند شما مجازید هر نسخه ای که تا کنون توسط بنیاد یاد شده منتشر شده را انتخاب نمایید.

۱۰- اگر شما می خواهید قسمتهایی از برنامه را با دیگر برنامه های آزاد که قوانین توزیعشان متفاوت است ترکیب نمایید با تولید کننده تماس حاصل نموده و رضایت مکتوب وی را کسب نمایید. برای نرم افزارهای بنیاد نرم افزارهای آزاد به این بنیاد بنویسید. ما گاهی اوقات استثنایی برای این موضوع قایل می شویم، تصمیم ما بر پایه دو هدف حفظ آزادی تمامی نرم افزارهای مشتق شده از نرم افزارهای آزاد ما و همچنین ارتقا شراکت و استفاده دوباره از نرم افزار به طور عمومی خواهد بود.

بدون تعهد

۱۱- از آنجاییکه برای برنامه بصورت رایگان پروانه صادر شده است هیچ تعهدی برای برنامه – تا آنجا که قوانین جاری موجودند – وجود ندارد. برنامه “همان است که هست” بدون هیچ گونه تعهدی در هر زمینه ای، چه با برداشت شفاهی و یا ضمنی، چه تجاری و یا سازگاری، مگر وقتی که خلاف این مساله توسط صاحبان اصلی و یا توزیع کنندگان ثالث مکتوب شده باشد. تمام مخاطرات مرتبط با کیفیت و کارآیی برنامه در ارتباط مستقیم با شما ست. اگر برنامه دارای مشکل باشد شما تمام هزینه های نگهداری تعمیر و یا اصلاح را بر عهده خواهید گرفت.

۱۲- تحت هیچ شرایطی، مگر وقتی که قانونی مقرر کرده باشد و یا بر اساس مجوز مکتوب صاحب امتیاز یا هر توزیع کننده ثالث که برنامه را تغییر داده و یا توزیع می کند، آنها هیچ مسوولیتی در قبال هر خسارتی از جمله خسارات کلی، خاص، واقعه و یا پی آمدهای استفاده و یا عدم امکان استفاده از برنامه (از جمله از دست رفتن اطلاعات، تولید اطلاعات غلط و یا ضررهایی برای شما و یا اشخاص ثالث و یا عدم کارآیی برنامه در کار کردن با دیگر برنامه ها) را ندارند حتی اگر آنها به احتمال وقوع این خسارات اشاره کرده باشند.

پایان قوانین و مقررات

چگونه این قوانین و مقررات را درباره برنامه خود اجرا نماییم

اگر شما برنامه جدیدی نوشته اید و می خواهید همگان حداکثر بهره را از آن ببرند بهترین راه تبدیل آن به یک برنامه آزاد است که هرکسی می تواند مطابق مقرراتی که در بالا آمد آن را توزیع کند و یا تغییر دهد.

برای انجام این کار این توضیحات را به برنامه اضافه نمایید. بسیار مطمئن تر است تا آنها را به ابتدای هر یک از کدهای اصلی اضافه کنید، به خصوص برای نمایش اعلان عدم وجود ضمانت و همچنین پروانه حق تالیف و اینکه کل آن را در کجا باید یافت.

one line to give the program’s name and an idea of what it does.
Copyright (C) yyyy name of author

This program is free software; you can redistribute it and/or
modify it under the terms of the GNU General Public License
as published by the Free Software Foundation; either version 2
of the License, or (at your option) any later version.

This program is distributed in the hope that it will be useful,
but WITHOUT ANY WARRANTY; without even the implied warranty of
MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
GNU General Public License for more details.

You should have received a copy of the GNU General Public License
along with this program; if not, write to the Free Software
Foundation, Inc., 59 Temple Place – Suite 330, Boston, MA 02111-1307, USA.

همچنین اطلاعاتی درباره نحوه دست یابی دیگران به خودتان را از طریق پست الکترونیک و معمولی بدهید.

اگر برنامه با کاربر تعامل دارد خروجی آن را طوری طراحی کنید که اعلان کوتاهی را، وقتی که بصورت تعاملی اجرا می شود، نمایش دهد:

Gnomovision version 69, Copyright (C) year name of author
Gnomovision comes with ABSOLUTELY NO WARRANTY; for details
type `show w’. This is free software, and you are welcome
to redistribute it under certain conditions; type `show c’
for details.

پیامهای فرضی ‘show w’ و ‘show c’ باید قسمتهای مرتبط در پروانه را نمایش دهد. واضح است که شما ممکن است دستوراتی به جز ‘show c’ و ‘show w’ را بکار برید و یا حتی ممکن است آنها با کلیک ماوس و یا استفاده از منوهای برنامه نمایش یابند.

در ضمن اگر لازم است می بایست از کارفرما (در صورتی که برنامه نویس هستید) و یا مدرسه یا دانشگاه خود (در صورتی که با آنها کار می کنید) بخواهید یک رافع مسوولیت حقوق مولف را برای برنامه امضا نمایند. نمونه ای در زیر می آید:

Yoyodyne, Inc., hereby disclaims all copyright
interest in the program `Gnomovision’
(which makes passes at compilers) written
by James Hacker.

signature of Ty Coon, 1 April 1989
Ty Coon, President of Vice

(نمونه فارسی)

بدینوسیله گواهی می گردد شرکت “کارهای ما” به شماره ثبت ۱۲۳۴۵ هیچ گونه ادعایی در مورد مالکیت نرم افزار “شاهکار” که به منظور سرعت بخشیدن به محاسبات رایانه ای توسط جناب آقای “روزبه برنامه نویس” نوشته شده است، ندارد.

نام و امضای مدیر عامل شرکت کارهای ما،
اول خرداد ماه ۱۳۸۰ شمسی

این پروانه به شما اجازه نمی دهد تا برنامه خود را با برنامه های انحصاری ترکیب نمایید. اگر برنامه شما یک کتابخانه توابع است ممکن است قابلیت استفاده برنامه های انحصاری از برنامه خود را مفید ببینید، در این صورت از “پروانه جامع همگانی کوچک”(Lesser General Public License) GNU به جای این پروانه استفاده کنید.

پایان –

این ترجمه در مرداد ماه یکهزار و سیصد و هشتاد و سه شمسی توسط کاوه رنجبر انجام شده است، خواهشمند است نظرات و پیشنهادات خود را به آدرس kaveh at kaveh period org ارسال نمایید.

نحوه انتخاب یک DVD

admin — Tue, 08 Jun 2010 02:09:25 +0000

نحوه انتخاب یک DVD
DVD از کلمات Digital Versatile Disc ، اقتباس شده است .با استفاده از درایوهای DVD می توان اطلاعاتی بالغ بر۷ / ۴ گیگابایت را بر روی یک دیسک ذخیره نمود.اطلاعات فوق ، تقریبا” هفت برابر داده ئی است که می توان بر روی یک CD-R (دیسک های با قابلیت نوشتن یک مرتبه ) و یا CD-RW ( دیسک هائی با قابلیت نوشتن چندین مرتبه ) ذخیره نمود. درایوهای DVD ، نظیر رایتر امکان استفاده از دیسک هائی با قابلیت نوشتن یک مرتبه و دیسک هائی با قابلیت نوشتن چندین مرتبه را فراهم می نمایند. از دیسک هائی با قابلیت نوشتن یک مرتبه ، اغلب در رابطه با ایجاد دیسک های ویدئوئی DVD استفاده می گردد . ( قابل استفاده در DVD Player های استاندارد ). از دیسک هائی با قابلیت نوشتن چندین مرتبه بمنظور ذخیره سازی حجم بالائی از داده و Backup اطلاعات موجود بر روی هارددیسک ، استفاده می شود.نرخ انتقال اطلاعات در درایوهای DVD بمراتب بیشتر از درایوهای CD-ROM است .یک DVD که دارای سرعتی بالغ بر ۱X می باشد ، سریعتر از یک CD معمولی با سرعت ۸X ( سرعت یک درایو DVD بین هشت تا نه برابر سرعت یک CD-ROM می باشد) می باشد. DVD از مدل فشرده سازی MPEG-2 در رابطه با ویدئو وصوت استفاده می نماید . بدین ترتیب ،تصاویر با کیفیت و شفافیت بیشتری ایجاد و امکان استفاده از پتانسیل های صوتی Dollby Digital و DTS) Dollby Theater Systems) نیز فراهم می گردد. با استفاده از تکنولوژی MPEG-2 در هر فریم ، ۴۸۰ خط افقی عرضه می گردد . ( در دیسک های لیزری ۴۲۵ و در VHS بین ۲۵۰ تا ۲۷۰ ) .
تکنولوژی DVD ، با کاهش طول موج از ۷۸۰mm به ۶۲۵ تا ۶۵۰mm ، ظرفیت ذخیره سازی را افزایش می نماید . یکی از قابلیت های جالب درایوهای DVD ، توانائی آنان در حمایت از انواع متفاوتی از رسانه های ذخیره سازی نظیر: CD-ROM,CD-R و CD-RW است . در صورتیکه قصد تهیه یک درایو DVD وجود داشته باشد ، می بایست با انواع رسانه ذخیره سازی حمایت شده توسط DVD ، آشنا شویم . دیسک های DVD به دو گروه عمده + و – تقسیم می گردند . درایوهای DVD می توانند از یک و یا هردو گروه فوق ، استفاده نماید. پس از مشخص نمودن نوع درایو DVD ، می توان ازدیسک های DVD سازگار با آن ، استفاده نمود.

انواع DVD

DVD – RAM . روش دستیابی در این نوع دیسک ها بصورت تصادفی بوده و امکان خواندن و نوشتن اطلاعات بر روی آنان وجود خواهد داشت . رسانه ذخیره سازی فوق ، دارای ویژگی های زیر می باشد :
- برخلاف رسانه ذخیره سازی Tape که داده ها بصورت ترتیبی خوانده می شوند ،در دیسک های DVD-RAM ، داده ها نظیرهارد دیسک بصورت تصادفی خوانده می شوند.این نوع دیسک های DVD ، رسانه ای ایده آل بمنظور ذخیره سازی حجم بالائی از اطلاعات و Backup می باشند .
- می توان بیش از یکصد هزار مرتبه اطلاعات را بر روی آنان نوشت ( بازنویسی مجدد )
- عمر مفید آنان یکصد سال برآورد می شود .
- بمنظور خواندن و نوشته اطلاعات بر روی این نوع DVD ، می بایست از درایوهای DVD-R/RAM استفاده گردد .

DVD-R یا DVD+R . بر روی این نوع DVD ، می توان صرفا” یک مرتبه اطلاعاتی را ذخیره نمود ( نوشتن یک مرتبه ) . از رسانه ذخیره سازی فوق ، بمنظور ذخیره داده های گرافیکی با ظرفیت بالا، ویدئوهای موزیک ، صوت و فیلم استفاده می گردد. امکان نوشتن اطلاعات بر روی این نوع DVD صرفا” یک مرتبه وجود دارد .
خصوصیات DVD-R : بمنظور نوشتن اطلاعات بر روی این نوع DVD می بایست از درایوهائی با نوع R – وبرای خواندن اطلاعات از درایوهای R – و R + استفاده گردد .
خصوصیات DVD+R : بر روی این نوع DVD می توان یک ویدئو به مدت دو ساعت در حالت SP و یا چهار ساعت در حالت EP را ذخیره نمود. بمنظور نوشتن بر روی رسانه ذخیره سازی فوق ، می بایست از درایوهائی با نوع R + و برای خواندن اطلاعات از درایوهای R – و یا R + استفاده گردد .

DVD-RW یا DVD+RW .بر روی این نوع DVD ، امکان نوشتن اطلاعات بدفعات وجود دارد( نوشتن چندین مرتبه ) .از رسانه ذخیره سازی فوق ، بمنظور ذخیره داده های گرافیکی با ظرفیت بالا، ویدئوهای موزیک ، صوت و فیلم استفاده می گردد. بر روی این نوع DVD می توان تا یکهزار مرتبه اطلاعاتی را ذخیره نمود .
خصوصیات DVD-RW : بمنظور نوشتن اطلاعات بر روی این نوع DVD می بایست از درایوهای R – و برای خواندن اطلاعات از درایوهائی R – و یا R+ استفاده گردد .
خصوصیات DVD+RW : این نوع DVD قادر به ذخیره سازی دو ساعت اطلاعات MPEG2 می باشند . بمنظور نوشتن اطلاعات بر روی این نوع DVD می بایست از درایوهای R + و برای خواندن اطلاعات از درایوهائی R – و یا R+ استفاده گردد .

DVD-ROM . از این نوع DVD می توان صرفا” بمنظور خواندن استفاده گردد . فیلم ها ئی که خریداری و یا اجاره می شوند ، بر روی این نوع رسانه ذخیره می گردند.

لازم است به این نکنه نیز اشاره گردد که روش دستیابی به اطلاعات ذخیره شده بر روی یک رسانه ذخیره سازی از نوع DVD-RAM بصورت تصادفی بوده و مکانیزم دستیابی به اطلاعات ذخیره شده بر روی رسانه های ذخیره سازی DVD-R ,+R ,-RW و یا ROM بصورت ترتیبی است .

جایگاه DVD
تعداد درایوهای DVD استفاده شده تا پایان سال ۲۰۰۳ بالغ بر ۲ / ۱ میلیون دستگاه برآورد می شود. پیش بینی می شود که در سال ۲۰۰۴ ، بیش از ۳ / ۱۴ میلیون دستگاه از درایوهای فوق بفروش برسد . درایوهای DVD تا رسیدن به وضعیت موجود رایترها ( عمومیت یافتن ) ، راهی طولانی را در پیش دارند، ولی با توجه به قابلیت ذخیره سازی بالای دیسک های DVD (هفت برابر) و ذخیره حجم بمراتب بیشتری از اطلاعات ، استفاده از آنان روندی کاملا” صعودی را طی می نماید قیمت درایوهای DVD در شش ماه گذشته کاهش زیادی را داشته و پیش بینی می گردد که این روند همچنان ادامه داشته باشد .
شاید این سوال مطرح شود که فرمت ذخیره سازی اطلاعات بر روی دیسک های DVD به چه صورت است و آیا در این رابطه استانداردی وجود دارد؟ در پاسخ می توان گفت که در حال حاضر از دو فرمت DVD-RW و DVD+RW ( بهمراه نمونه های متفاوت آن : DVD-R و DVD+R ) استفاده می گردد . تکنولوژی های فوق با یکدیگر سازگار نبوده و رقابتی نزدیک را بمنظور استانداردشدن جهانی ، دنبال می نمایند. با استفاده از هر یک از فرمت های فوق ، امکان نوشتن داده و ایجاد ویدئوهای DVD وجود خواهد داشت ( امکان استفاده از آنان توسط تعداد زیادی ( نه تمام آنان ) از درایوهای DVD-ROM وDVD Players وجود خواهد داشت ) . لازم است به این نکته نیز اشاره گردد که DVD-RAM فرمت دیگری در این راستا بوده که بدنبال دو فرمت اشاره شده بوده ولی اکثر دستگاههای Player و درایوهای DVD از آن حمایت نمی نمایند. در زمان انتخاب یک درایو DVD ، نوع فرمت اطلاعات حمایت شده توسط آنان حائز اهمیت بوده و می بایست در اینخصوص با دقت تصمیم گیری شود. تولید کنندگان درایوهای DVD هر یک محصولاتی را تولید نموده اند که از فرمت های فوق حمایـت می نمایند . مثلا” شرکت سونی درایوهائی را عرضه نموده است که از دو فرمت اشاره شده ، حمایـت می نمایند، در حالیکه شرکت پاناسونیک و LG اقدام به تولید و عرضه درایوی نموده اند که از فرمت های DVD-R/-RW و DVD-RAM ، حمایت می نماید . در حا ل حاضر، بالاترین سرعت نوشتن اطلاعات بر روی دیسک هائی با قابلیت نوشتن یک مرتبه ، ۴X بوده و پیش بینی می شود که سرعت فوق تا پایان سال ۲۰۰۳ تغییر نگردد .

ویژگی ها ی مهم
از مهمترین ویژگی های مرتبط با DVD ، می توان به موارد زیر اشاره نمود :

DVD با قابلیت نوشتن یک مرتبه . درایو DVD انتخابی، می بایست قادر به ذخیره سازی اطلاعات بر اساس یکی از دو فرمت رقابتی موجود باشد : DVD-R ( حمایت شده توسط درایوهای DVD-RAM و DVD-R و تمامی درایوهای DVD-RW ) و DVD+R ( حمایـت شده توسط آخرین تکنولوژی مربوط به درایوهای DVD+RW ) . در حال حاضر بالاترین سرعت برای درایوهای DVD-R و DVD+R معادل ۴X می باشد. در درایوهای DVD-R قبلی ، حداکثر سرعت ۲X و در درایوهای DVD+R حداکثر سرعت ۴ / ۲ بوده است . رسانه ذخیره سازی با قابلیت نوشتن یک مرتبه ، بهترین گزینه برای ایجاد ویدئوی های DVD بمنظور استفاده در یک player می باشند. کارشناسان فنی برآورد نموده اند که DVD های با قابلیت نوشتن یک مرتبه ، با ۸۵ درصد player های مطرح ، سازگار می باشند. دیسکهائی که دارای سرعت ۴X می باشند را نمی توان در درایوهای قدیمی DVD-R/-RW با سرعت ۲X ،استفاده نمود. تعداد زیادی از درایوهای فوق ، تولیده شده توسط Pioneer ، در زمان استفاده از دیسک های ۴X دچار مشکل می گردند. بدین منظور، می توان fireware مربوطه را از سایت Pioneer دریافت و با ارتقاء سیستم ، مشکل فوق را برطرف نمود .

DVD با قابلیت نوشتن چندین مرتبه . فرمت این نوع دیسک ها DVD+RW ، DVD-RW و DVD-RAM می باشد . فرمت DVD-RAM دارای سازگاری بمراتب کمتری نسبت به دو فرمت دیگر بوده ولی برای گرفتن Backup مناسب می باشد. .DVD -RAM به دو صورت با محافظ ( بصورت کارتریج ) و بدون محافظ در دسترس می باشد. اکثر درایوهای DVD-RW دارای سرعت کمتری نسبت به DVD+RW می باشند. سرعت ذخیره ( نوشتن ) اطلاعات که بر روی رسانه های ذخیره سازی DVD-R بالغ بر ۴X می باشد در دیسک های DVD-RW به ۲X کاهش پیدا می کند.کارشناسان بر آورد نموده اند که بیش از شصت درصد از دیسک های DVD-RW و DVD+RW با DVD Player و داریوهای DVD ، سازگار می باشند.

درایوهای داخلی در مقابل درایوهای خارجی : قیمت درایوهای داخلی کمتر از درایوهای خارجی می باشد.درایوهای خارجی از اینترفیس های( FireWire(IEEE1394 و یا USB 2.0 بمنظور ارتباط با کامپیوتر استفاده می نمایند .برخی تولید کنندگان از دو اینترفیس فوق در محصولات خود استفاده می نمایند.

ذخیره اطلاعات بر روی دیسک های CD-RW : اکثر درایوهای DVD با قابلیت نوشتن مجدد ، قادر به نوشتن اطلاعات بر روی دیسک های CD-R و CD-RW می باشند( قابلیت فوق ، در درایوهای DVD-RAM و DVD-R وجود ندارد).سرعت ذخیره سازی در درایوهای فوق پائین می باشد ، مثلا” درایوDVD-RW مدل DVR-A04 ،مربوط به شرکت Pioneer اطلاعات را بر روی دیسک های CD-R با سرعت ۸X ذخیره می نماید.درایوهای مدل DRU-510A تولید شده توسط شرکت سونی ، قادر به ذخیره سازی اطلاعات با سرعت ۲۴X می باشد .

نرم افزار : بهمراه تمامی درایوهای عرضه شده ، نرم افزارهای لازم نظیر: Sonic’s MY DVD (ایجاد منوها و تبدیل ویدئوهای آنالوگ به MPEG2 تا بتوان از آنان در یک DVD Player استاندارد، استفاده نمود) نیز ارائه می گردد. تمامی درایوها امکان ایجاد DVD های داده را با استفاده از نرم افزارهای ارائه شده نیز فراهم می نمایند. ( نظیر برنامه RecordNow Max که امکان نوشتن داده بر روی یک دیسک با قابلیت نوشتن را فراهم می نماید ) . برخی از تولید کنندگان نظیر HP و سونی نرم افزارهائی را بمنظور ویرایش و Backup گرفتن از اطلاعات بهمراه محصول خود ارائه نموده اند .

تشریح مشخصات

در زمان تهیه یک درایو DVD ، مشخص نمودن فرمت هائی که درایو مورد نظر قادربه حمایت از آنان است یکی از مسائل مهم بوده و اغلب اولین پرسشی است که از جانب تهیه کنندگان مطرح می گردد . درایوهای DVD همانند درایوهای CD-RW که از دیسک هائی با قابلیت نوشتن یک مرتبه و دیسک هائی با قابلیت نوشتن چندین مرتبه استفاده می نمایند ، از دو گزینه متداول در این زمینه یعنی DVD-R و DVD+R استفاده می نمایند ( مدل های فوق، دیسک هائی با قابلیت نوشتن یک مرتبه را شامل می شوند) . دیسک های DVD-RW و DVD+RW و DVD-RAM سه گزینه متداول در رابطه با دیسک هائی با قابلیت نوشتن مجدد می باشند . درایوهای DVD با قابلیت نوشتن مجدد ، نظیر DVD-Rom دارای چندین سرعت متفاوت می باشند:
- درایوهای DVD-RW : از ۱X تا ۲X
- درایوهای DVD+RW ، دارای سرعت ۲٫۴X و ۴X می باشند.
- درایوهای DVD-R : از ۱X تا ۴X
- درایوهای DVD+R، دارای سرعت ۲٫۴X و ۴X می باشند .
پارامترهای زیر را می توان در زمان انتخاب یک DVD در نظر گرفت :

سرعت نوشتن اطلاعات بر روی DVD با قابلیت نوشتن یک مرتبه
حداقل : ۱X or ۲X DVD-R پیشهادی : ۲٫۴X DVD+R or ۴X DVD-R, 4X DVD+R
دیسک های DVD با قابلیت نوشتن یک مرتبه که دو نوع DVD-R و DVD+R را شامل می شود ، سازگارترین فرمت DVD در حال حاضر می باشد .ویژگی فوق ،زمانیکه قصد استفاده از آنان در DVD Player ها وجود داشته باشد ، حائر اهمیت می باشد.در زمان انتخاب درایو DVD لازم است به این نکته دقت شود که درایو انتخابی از نسل قدیمی( نسل اول ) درایوهای DVD+RW نباشد. سرعت ، معیار دیگری در انتخاب یک درایو بوده و می بایست درایو انتخابی قادر به حمایت از سرعت ۴X باشد.

سرعت نوشتن اطلاعات بر روی DVD با قابلیت نوشتن چندین مرتبه
حداقل : ۱X DVD-RAM, 2X DVD-RW, 2.4X DVD+RW
پیشنهادی : ۲X DVD-RAM, 2X DVD RW, 2.4X DVD+RW, 4X DVD+RW
در دیسک های DVD-RAM ، امکان ذخیره اطلاعاتی بالغ بر ۴ / ۹ گیگابایت وجود خواهد داشت ( دو طرف دیسک – کارتریج های دیسک ) .مشکل دیسک های فوق ،عدم سازگاری اکثریت آنان با درایوهای DVD-ROM می باشد. دیسک های DVD-RW و DVD+RW با اکثر درایوهای DVD-ROM ها و DVD PLAYER ها سازگار می باشند .سرعت ذخیره سازی در DVD-RW بمراتب کمتر از DVD+RW می باشد .

اینترفیس
حداقل : IDE پیشنهادی FireWire(IEEE1394 یا USB 2.0
درایوهای داخلی نسبت به درایوهای مشابه خارجی دارای قیمت مناسبتری می باشند. در صورتیکه قصد تهیه یک درایو خارجی وجود داشته باشد ، از سازگاری اینترفیس های آن با سیستم موجود، می بایست مطمئن گردید . در این رابطه می توان درایوی را انتخاب نمود که دارای اینترفیش های USB 2.0 و FireWire باشد .

نکاتی دررابطه با تهیه DVD

بررسی سرعت : سرعت درایوهای DVD-R می تواند با توجه به رسانه ذخیره سازی استفاده شده متغیر باشد .اکثر درایوهای DVD-R دارای سرعت ذخیره سازی معادل ۴X می باشند.در مدل های قدیمی و یا درایوهای قابل حمل ، صرفا” سرعت ۱X و یا ۲X حمایت می گردد. در حال حاضر درایوهای DVD-RW و DVD-RAM دارای سرعتی معادل ۲X می باشند .

سازگار بودن : در بین فرمت های استفاده شده بمنظور نوشتن اطلاعات ( یک مرتبه ) ، DVD-R و DVD+R دارای سازگاری مطلوبی با DVD Player و درایوهای DVD-ROM موجود ، می باشند . با توجه به جدید بودن دیسک های DVD+R ( قدمت DVD-R بمراتب بیشتر می باشد ) ، ممکن است برخی از درایوهای DVD-ROM و یا DVD Player قدیمی، قادر به خواندن آنان نباشند. با توجه به ماهیت تغییر پذیری دیسک های DVD با قابلیت نوشتن مجدد ، سازگاری آنان کمتر بوده و استفاده از آنان در برخی از درایوهای DVD-ROM و یا DVD Players میسر نمی باشد.

لحاظ نمودن مدت زمان فرمت :تمامی دیسک های نوری با قابلیت نوشتن مجدد،می بایست قبل از استفاده ، فرمت گردند.ولی درایو های DVD+RW بدلیل ارائه امکانات لازم و پیش بینی شده در Firmware ، بصورت on the fly فرمت شده و در این رابطه زمان بسیار اندکی صرف خواهد شد . بدیهی است بموازات کاهش زمان فوق ، مدت زمان فرآیند نوشتن نیز کاهش خواهد یافت .در مقابل ، یک درایو DVD-RW نیازمند استفاده از نرم افزار خاصی بمنظور فرمت نمودن دیسک می باشد (قبل از اقدام به نوشتن بر روی دیسک ) . فرآیند فرمت نمودن با توجه به نرم افزار و شماره نسخه مربوطه ، می تواند تا یکساعت بطول انجامد. نرم افزارهای جدید،رسانه ذخیره سازی DVD-RW را بصورت on the fly ، فرمت می نمایند .

استفاده از درایوهای داخلی بهمراه یک اینترفیس IDE در کامپیوترهای شخصی : با توجه به اینکه درایوهای DVD با قابلیت نوشتن مجدد، امکان خواندن DVD-ROM و CD را دارا می باشند ، می توان CD-ROM و یا DVD-ROM خود را بدون از دست دادن قابلیت خاصی ، جایگزین نمود.

استفاده از اینترفیس های دیگر در صورت عدم وجود اتصالات IDE کافی :برای درایوهای خارجی می توان ، از پورت های FireWire و یا USB2.0 استفاده نمود. پورت های فوق ، سرعت مناسبی را در اینخصوص ارائه می نمایند . نوع پورت حمایت شده توسط یک درایو تاثیر مستقیمی بر قیمت آن داشته و می توان در صورت ضرورت و نیاز ، درایوی را تهیه نمود که از دو پورت اشاره شده حمایت می نماید . در برخی از سیستم ها ممکن است بدلیل عدم وجود شرایط لازم بمنظور استفاده از پورت های فوق ، نیازمند تهیه یک کارت FireWire و یا USB 2.0 باشیم .

اطیمنان از ارائه نرم افزارهای ضروری :تمامی تولید کنددگان بهمراه محصول تولیدی خود ، نرم افزارهائی را نیز ارائه می نمایند. از نرم افزارها ی فوق می توان بمظنور ایجاد و ویرایش ویدئوهای DVD ، استفاده نمود. برخی از تولید کنندگان علاوه بر نرم افزارهای فوق، اقدام به ارائه نرم افزارها ی لازم بمنظور Backup و انجام عملیات حرفه ای در ارتباط با فایل های ویدئوئی نیز می نمایند.

نحوه انتخاب یک مانیتور( بخش دوم )

admin — Tue, 08 Jun 2010 01:46:18 +0000

ویژگی مهم مانیتورهای CRT
مانیتورهای CRT از دو نوع تکنولوژی لامپ تصویر استفاده می نمایند : Shadow mask و یا Aperture grille . در مانیتورهای قدیمی CRT از تکنولوژی shadow mask استفاده شده است . استفاده از تکنولوژی فوق ، همچنان نیز متداول می باشد .Aperture grille ، تکنولوژی دیگر در رابطه با لامپ تصویر بوده که شفافیت و وضوح تصویر بمراتب بهتری را ارائه می نماید. در نمایشگرهای مسطح که از تکنولوژی فوق استفاده می گردد ، انعکاس نور کاهش می یابد.
مانیتورهای Aperture grille از تکنولوژی پیشرفته stripe pitch استفاده می نمایند. در این تکنولوژی ، فاصله بین Strip های مجاور با رنگ مشابه که یک تصویر بر روی نمایشگر را ایجاد می نمایند بر حسب میلیمتر اندازه گیری می گردد. مانیتورهای Shadow mask از تکنولوژی قدیمی dot pitch استفاده می نمایند. در تکنولوژی فوق ، فاصله بین نقاط مجاور با رنگ مشابه بر حسب میلیمتر اندازه گیری می گردد. با توجه به ماهیت متفاوت دو تکنولوژی فوق ، نمی توان آنان را مستقیما” با یکدیگر مقایسه نمود. در هر دو تکنولوژی ، هر اندازه میزان فاصله محاسبه شده کمتر باشد ( dot pitch و یا stripe pitch ) ، کیفیت تصویر بنمایش درآمده بهتر خواهد بود. در حال حاضرمانیتورهائی که از تکنولوژی Shadow mask استفاده می نمایند، دارای حداقل dot pitch معادل بیست و شش صدم میلیمتر و حداکثر چهل و یک صدم میلیمتر می باشند. مانیتـورهائی که از aperture grille استفاده می نمایند ، دارای حداقل strip pitch معادل بیست و پنج میلیمتر مربع و حداکثر سی و یک صدم میلیمتر می باشند .
تکنولوژی Aperture grille از مجموعه ای سیم های نازک که بصورت عمودی در مجاورت یکدیگرقرار گرفته اند ، بمنظور ایزولاسیون پیکسل ها بصورت افقی ، استفاده می نماید . پیکسل ها با توجه به ماهیت خطوط پویش استفاده شده بمنظور نگاشتن تصویر ، از یکدیگر مجزا می گردند. بمنظور استقرار مناسب سیم های عمودی در یک Aperture grille تراز شده توسط لامپ تصویر ، از یک و یا دو سیم کاهنده ، استفاده خواهد شد. تکنولوژی Aperture grille دارای مزایای زیر است :

الکترون بیشتری را فراهم نموده و در یک تصویر بزرگ، contrast بهتری را شاهد خواهیم بود .

resolutionعمودی در مانیتورهائی که از تکنولوژی فوق استفاده می نماید،متاثر از فضای عمودی pinholes (سوراخچه ها ) نمی باشد .

تکنولوژی فوق ، دارای استعداد بمراتب کمتری نسبت به Shadow mask ،بمنظور warping ناشی از حرارت است .

تکنولوژی Aperture grille	تکنولوژی Shadow mask

منبع : www.hp.com

از مهمترین ویژگی های مرتبط با مانیتورهای CRT ، می توان به موارد زیر اشاره نمود :

نوع لامپ تصویر : نمایشگرهای CRT که از تکنولوژی Shadow mask استفاده می نمایند،دارای یک صفحه فلزی مشبک با حفره های کوچکی بمنظور فیلتر نمودن الکترون های منحرف شده ( هرز) و تمرکز اشعه الکترون بمنظور روشن نمودن فسفرهای درون لامپ می باشند .در اکثرمدل های ارزان قیمت که از تکنولوژی فوق استفاده می نمایند ، نمایشگر دارای یک سطح انحناء می باشد. مانیتورهای مسطحی که از تکنولوژی فوق استفاده می نمایند، نیز بتدریج متداول شده و در اختیارمتقاضیان قرار گرفته شده است . با توجه به اینکه مانیتـورهای CRT ، خطوط مستقیم را بخوبی تفسیر و نمایش می دهند ، استفاده از آنان بمنظور کاربردهائی نظیر ترسیم و نقشه کشی مناسب می باشد . مانیتورهای فوق ، متن را نیز بخوبی نمایش داده و استفاده از آنان در ادارات و موسسات برای کاربردهای عمومی، مناسب می باشد .
در نمایشگرهای CRT که از تکنولوژی Aperture grille استفاده می نمایند ، پرتوهای الکترون از طریق یک آرایه شامل سیم های عمودی نازک ، ارسال می گردد .grille (دیواره مشبک) ، توسط یک و یا دو سیم که باعث ایجاد یک خط ضعیف در پائین و یا بالای یک صفحه سفید ( یک سوم آن ) می گردد ، حمایـت می شود.تمامی مانیـتورها ئی که از تکنولوژی Aperture grille استفاده می نمایند ،دارای یک صفحه مسطح بوده و قیمت آنان در مقایسه با نمایشگرهای Shadow mask نیز بیشتر می باشد. کیفیت تصاویر ، نور و رنگ در مانیتورهائی که از تکنولوژی Aperture grille استفاده می نمایند ، بسیار مناسب بوده و گزینه ای ایده آل برای کاربرانی می باشند که از گرافیک استفاده می نمایند .
نقطه در اینچ : dot pitch و stripe pitch، بهترین شاخص بمنظور بررسی کیفیت تصویر مانیتور نمی باشند. Dot Pitch ، فاصله بین دو فسفر با رنگ مشابه بر روی یک مانیتور CRT از نوع Shadow mask می باشد . در مقابل ، لامپ های تصویر با تکنولوژی Aperture grille به یک Stripe pitch استناد نموده که فاصله افقی بین دو نوار با رنگ مشابه از فسفر می باشد. تولید کنندگان نمایشگرهای Shadow mask ، دربرخی موارد شاخصی با نام dot pitch افقی را نیز اعلام نموده که فاصله بین دو ستون از نقاط با رنگ مشابه می باشد. مقدار فوق ، کمتر از dot pitch قطری است .تقریبا” تمامی مانیـتورهای فعلی دارای dot pitch و یا stripe pitch قابل قبول می باشند ( بیست و هشتم صدم و یا کمتر ) .
اندازه Resolution و Refresh . پارامتر Refresh rate ، نشاندهنده تعداد دفعاتی در ثانیه است که صفحه مجددا” نوشته و یا Redraw می گردد . در صورتیکه پارامتر فوق دارای مقداری کمتر از هفتاد هرتز باشد ، چشم قادر به تشخیص لرزش نمایشگر خواهد بود . Resolution بالا ، باعث ارائه تصاویر گرافیکی هموار( صاف و بی موج ) و نمایش اطلاعات بیشتر بر روی نمایشگر می گردد.

تشریح مشخصات
مانیتور، نظیر سایر تجهیزات جانبی دارای مدل های متفاوت با قابلیت های مختلف است . قیمت و مشخصات یک مانیتور به تنهائی نشاندهنده کیفیت مانیتور نبوده و مشاهده کیفیت تصاویر و کارآئی مانیتور با توجه به نوع کاربرد آن در عمل ، روشی مطمئن بمنظور انتخاب یک مانیتور است .در مانیتورهای CRT بموازات افزایش Resolution ، اولا” تصاویر با ابعاد کوچکتری نمایش داده شده و ثانیا” میزان Refresh rate کمتر خواهد شد. برای اکثر Resolution استفاده شده ، می توان از Refresh rate معادل ۷۰ هرتز استفاده نمود(پیشگیری از لرزش نمایشگر و خستگی چشم).
در مانیتورهای LCD ، پارامتر Contrast بسیار حائز اهمیت بوده و بعنوان یکی از شاخص های مهم در ارتباط با کیفیت در نظر گرفته می شود. محدوده زاویه دید( مشاهده ) ، یکی دیگر از پارامترهای مهم در زمان انتخاب یک مانیـتور LCD است ( امکان مشاهده تصاویر نمایشگر از زوایای متفاوت در مقابل مشاهده مستقیم ) .

نمایشگرهایLCD مسطح :

Native Resolution
حداقل : ۱۰۲۴ در ۷۶۸ ، پیشنهادی : ۱۰۲۴ در ۷۶۸ تا ۱۲۸۰ در ۱۰۲۴ ، حداکثر : ۱۲۸۰ در ۱۰۲۴ تا ۱۶۰۰ در ۱۲۰۰
زمانیکه تصاویر بر روی یک مانیـتور LCD با Native Resolution پیش فرض نمایش داده شوند ، کیفیت تصاویر مناسب خواهد بود .در این رابطه می توان در صورت تمایل ، Resolution را کاهش ( دربرخی حالات ، امکان افزایش آن نیز وجود دارد) داد ، ولی ممکن است تصاویر کیفیت خود را از دست دهند (تصویر مات ) .در صورتیکه نوع استفاده از کامپیوتر بگونه ای است که لازم است Resolution متناوبا” تغییر داده شود ، می توان از مانتیورهای CRT استفاده نمود.
اندازه پانل
حداقل : پانزده اینچ ، پیشنهادی : پانزده تا هیجده اینچ ، حداکثر : هیفده تا نوزده اینچ
بر خلاف اندازه لامپ تصویر مانیتورهای CRT ، اندازه پانل مانیتورهای LCD ، محدوده قابل مشاهده بهتری را ارائه می نمایند.در مانیتورهای CRT ، ابعاد تصویر بصورت قطری اندازه گیری می شود ( از یک گوشه تصویر به گوشه دیگر ) .
میزان Contrast
حداقل : ۱ : ۲۰۰ تا ۱ : ۳۰۰ ، پیشنهادی : ۱ : ۳۰۰ تا ۱ : ۳۵۰ ، حداکثر : ۱ : ۳۰۰ تا ۱ : ۴۰۰
Contrast ، پارامتری است که بکمک آن می توان نحوه نمایش رنگ ها ( توان و قدرت آنان ) را بر روی نمایشگر ، تعیین نمود.هر اندازه Contrast یک مانیتور بیشتر باشد، کیفیت تصاویر بهتر خواهد بود.
زاویه دید ( Viewing Angle )
حداقل : ۱۲۰/۱۰۰الی ۱۴۰/۱۲۰ درجه ، پیشنهادی : ۱۲۰/۱۰۰ الی ۱۷۰/۱۷۰ درجه ، حداکثر : ۱۵۰/۱۴۰ الی ۱۷۰/۱۷۰درجه
به زاویه افقی و یا عمودی که کاربر قادر به مشاهده تصاویر بدون کاهش کیفیت رنگ و شفافیت تصویر می باشد ، زاویه دید گفته می شود.زمانیکه قصد استفاده از مانیتور LCD بمنظور ایجاد یک Presentation و یا استفاده همزمان توسط بیش از یک کاربر وجود داشته باشد ، اندازه پارامتر فوق ، جایگاه واقعی خود را پیدا می نماید.هراندازه میزان زاویه دید یک مانیتور بیشتر باشد ، امکان مشاهده تصاویر از زاویای بیشتر با حفظ کیفیت ، فراهم می گردد. تولید کنندگان بمنظور اندازه گیری زاویه دید ، از روش های متفاوتی استفاده می نمایند.پیشنهاد می گردد برای مقایسه و تصمیم نهائی ، مانیتور بطور عملی بررسی گردد.
روشنائی
حداقل : ۲۰۰ تا ۲۵۰ ( Cd/m2 ) ، پیشنهادی : ۲۵۰ تا ۳۵۰ ( Cd/m2 ) ، حداکثر : ۲۵۰ تا ۳۵۰ ( Cd/m2 )
تمامی مانیتورهای LCD ، دارای روشنائی لازم به میزان کافی می باشند .

ماتینورهای CRT :

اندازه لامپ تصویر/فضای قابل دید
حداقل : ۱۵ تا ۱۷ اینچ ۱۳٫۸ الی ۱۶ اینچ ، پیشنهادی : ۱۷ تا ۱۹ اینچ ۱۶ تا ۱۸ اینچ ، حداکثر : ۱۹ تا ۲۲ اینچ تا ۱۸ تا ۲۰ اینچ
فضای قابل دید( مشاهده ) ، بیانگر میزان فضای قابل مشاهده در صفحه نمایش بوده و بمنظور محاسبه آن ، فاصله بین یک گوشه تا گوشه مقابل ، اندازه گیری می شود.اندازه لامپ تصویر نیز بصورت قطری محاسبه شده و نشاندهنده میزان فضای مورد نیاز بمنظور استفاده بر روی یک میزکار می باشد .
نوع لامپ تصویر
حداقل : معمولی یا مسطح ، پیشنهادی : معمولی یا مسطح ، حداکثر : مسطح
در مانیتورهای CRT معمولی، صفحه نمایش دارای انحنا می باشد . مانیتورهای CRT مسطح یا Flat ، دارای صفحاتی مسطح بوده که اولا” کیفیت مطلوبتر تصاویر را بدنبال داشته و ثانیا” میزان تشعشع آنان نیز کاهش می یابد. لازم است به این نکته نیز دقت شود که مانیـتورهای CRT مسطح با پانل های مسطح که نام دیگری برای مانیتورهای LCD است ،نمی بایست اشتباه گرفته شوند.
Dot Pitch(برای مانیتورهای Shadow Mask)
حداقل : بیست و چهار تا بیست و هشت صدم میلیمتر
پیشنهادی : بیست و چهار تا بیست و شش صدم میلیمتر
حداکثر : بیست و چهار تا بیست و پنجم میلیمتر
Dot Pitch ، پارامتری است که بکمک آن می توان ،وضوح و کیفیت تصویر را تعیین نمود : هر اندازه میزان پارامتر فوق کمتر باشد ، تصاویر شفاف تر خواهند بود.
Strip Pitch(برای مانیتورهای Aperture Grille )
حداقل : بیست و پنج صدم میلیمتر ، پیشنهادی : بیست و چهار تا بیست و پنج صدم میلیمتر، حداکثر : بیست و دو صدم میلیمتر
Strip Pitch همانند Dot Pitch ، پارامتری بمنظور سنجش کیفیت تصویر می باشد.هر اندازه میزان پارامتر فوق کمتر باشد ، تصاویر دارای وضوح مطلوبتری خواهند بود .
حداکثر Resoluation و Refresh rate
حداقل : ۱۰۲۴*۷۶۸ در ۷۵ مگاهرتز الی ۱۲۸۰*۱۰۲۴ در ۶۶ مگاهرتز
پیشنهادی : ۱۲۸۰*۱۴۴۰ در ۸۵ مگاهرتز الی ۱۶۰۰*۱۲۰۰ در۷۵ مگاهرتز
حداکثر : ۱۸۰۰*۱۴۴۰ در ۸۰ مگاهرتز الی ۲۰۴۸*۱۵۳۶ در ۷۰ مگاهرتز
در Resolution بالاتر، تصاویر بر روی صفحه نمایش کوچکتر بوده و امکان مشاهده تعداد بیشتری فایل و یا پنجره های فعال وجود خواهد داشت . Refresh rate ، به سرعت پویش و بازنویسی اطلاعات بر روی یک صفحه نمایشگر ، اطلاق می گردد. در مواردیکه پارامتر Refresh rate دارای مقداری کمتر از هفتاد مگاهرتز باشد، امکان لرزش صفحه نمایشگر وجود خواهد داشت (آسیب چشم ) .

نکاتی دررابطه با تهیه مانیتور

موارد عمومی

بررسی قبل از انتخاب : مانیتور از جمله تجهیزات سخت افزاری است که پس از انتخاب ، چندین سال در کنار ما بوده و از آن استفاده خواهد شد ، بنابراین لازم است در زمان انتخاب آن بررسی لازم و جامعی صورت پذیرد. انتخاب نامناسب یک مانیـتور می تواند در درازمدت آسیب جدی را متوجه چشمان کاربر نماید. در زمان انتخاب یک مانیـتور ، لازم است از ضمانت نامه آن اطمینان حاصل نموده و کیفیت آن بصورت عملی بررسی گردد .
انتخاب یک مانیتور با محدوده دید مناسب : مانـیتور انتخابی ، می بایست دارای محدوده دید قابل قبول و متناسب با نوع نیاز کاربران باشد . مانیتورهای نوزده اینچ CRT و هیفده اینچ CRT دارای محدوده قابل دید مناسبی در ارتباط با اکثر کاربردها می باشند .
استفاده از فضای بیشتر با استفاده از دو مانیتور. در صورتیکه نوع استفاده از کامپیوتر بگونه ای است که ضرورت وجود یک محدوده دید بیشتر وجود داشته باشد، می توان از دو مانیتور کوچک در مقابل یک مانیتور بزرگ استفاده نمود. در این رابطه می بایست کارت گرافیک دارای پتانسیل ارسال دو تصویر همزمان بر روی دو مانیـتورباشد .بدین ترتیب ،می توان دو تصویر جداگانه از یک کامپیوتررا بر روی دو مانیتورمشاهده نمود.
استفاده از پورت های USB: با استفاده از پورت های USB ، می توان بسادگی و بسرعت تجهیزات جانبی رابه کامپیوتر متصل نمود.در برخی مانیتورها ، تعدادی پورت USB از نوع USB 1.1 یا USB 2 تعبیه شده است .پورت های USB 1.1 دارای سرعت انتقال کمتری نسبت به USB 2.0 بوده و از آنان بمنظور اتصال تجهیزاتی نظیر صفحه کلید و موس استفاده می گردد. از پورت های USB 2.0 ، می توان بمنظور اتصال تجهیزاتی نظیر رایتر و یا هارد دیسک ها استفاده نمود . ( امکان استفاده از تجهیزات فوق توسط پورت USB 1.1 نیز وجود خواهد داشت ، در چنین موادی سرعت کاهش پیدا خواهد کرد ).
استفاده از مانیتورهای دارای بلندگو در صورت نیاز. استفاده از مانیتورهائی که دارای بلندگو می باشند ، صرفه جوئی در فضای میز کاری شما را بدنبال خواهد داشت. کیفیت صدا در بلندگوهای فوق ، بسیار بالا نمی باشد . بنابراین در صورتیکه از جمله کاربرانی می باشید که کیفیت صدا برای شما حائز اهمیت است، می توانید این نوع از مانیتورها را انتخاب نکرده و از بلندگوهایی که دارای Sub Woofer می باشند ، استفاده نمائید (قیمت آنان بیشتر از بلند گو های معمولی است ) .

موارد مرتبط با مانیتورهای LCD :

انتخاب مانیتورهای هیفده اینچ با توجه به کاهش قیمت مداوم مانیتورهای پانزده اینچ . مانیتورهای هیفده اینچ LCD دارای صفحه نمایش متناسب با اکثر نیازهای موجود( تجاری ، خانگی ) بوده و قیمت آنان نیز مناسب است.
انتخاب یک مانیتور با زاویه دید مناسب : به زاویه افقی و یا عمودی که کاربر قادر به مشاهده تصاویر بدون کاهش کیفیت رنگ و شفافیت تصویر می باشد ، زاویه دید( مشاهده ) گفته می شود. عدم وجود استاندارد لازم بمنظور محاسبه زاویه دید ، باعث شده است که تولید کنندگان اندازه پارامتر فوق را بدلخواه خویش تعریف و مشخص نمایند . در زمان انتخاب یک مانیتور LCD و بمنظور اطمینان از میزان زاویه دید ، پیشنهاد می گردد که توانائی فوق در عمل بررسی گردد.

موارد مرتبط با مانیتورهای CRT :

استفاده از مانیتـورهای مسطح : .در مانیتورهای مسطح ، تصاویر با وضوح و کیفیت مطلوبی نمایش داده می شوند. مانیتور های مسطح هیفده و یا نوزده اینچ ، علیرغم اشغال فضای زیاد، دارای شرایط مطلوبی بمنظور استفاده در اکثر موارد می باشند .
توجه به میزان برق مصرفی : مانیتورهای CRT برق بیشتری را نسبت به مانیـتورهای LCD مصرف نموده و لازم است مانیتوری انتخاب گردد که میزان برق مصرفی آن کم می باشد ( تائیدیه TCO 99 ) .
توجه به مواد سمی موجود در مانیتور در صورت دورانداختن یک مانیتور : مانیتورهای CRT دارای چهار ( ۱۸۱۶ گرم ) تا شش پوند( ۲۷۲۴ گرم ) سرب و سایر مواد سمی بوده که در صورت عدم بازیافت مناسب می تواند صدمات جدی رامتوجه محیط زیست نماید .

نحوه انتخاب یک مانیتور( بخش اول )

admin — Mon, 07 Jun 2010 22:35:11 +0000

مانیتور یکی از عناصر سخت افزاری مهم در کامپیوتر است که از آن بعنوان دستگاه استاندارد خروجی و در جهت نمایش اطلاعات استفاده می گردد. تمامی کاربران کامپیوتر بمنظور مشاهده خروجی مناسب ، نیازمند استفاده از یک مانیتور مطلوب می باشند. انتخاب یک مانیتور به عوامل متفاوتی نظیر مشخصات فنی و نوع کاربرد آن ، بستگی دارد .اولین نمایشگرها ( مانیتورهای مبتنی بر متن ) بمنظور استفاده در کامپیوترهای شخصی در سال ۱۹۷۰ ، ارائه گردیدند. از سال ۱۹۷۰ تاکنون، مدل ها ی متفاوتی از مانتیتورها با بهره گیری از تکنولوژی های متفاوت و ارائه قابلیت های مختلف ، تولید و عرضه شده اند . مانیتورهای ( CRT ( Cathod Ray Tube و مدل های متفاوت ( LCD ( Liquid Crystal display ، نمونه هائی از مانیتورهای ارائه شده طی سالیان گذشته و اخیر می باشند. در این مقاله قصد داریم به برخی از پرسش های متداول در زمینه انتخاب یک مانیتور پاسخ داده و از این رهگذر با ضوابط انتخاب صحیح یک مانیتور بیشتر آشنا شویم .در ابتدا لازم است با برخی اصطلاحات مرتبط با مانیتور که در این مقاله از آنان استفاده شده است ، آشنا شویم .

اصطلاحات

Aperture Grille : در تکنولوژی فوق ، بمنظور ایزوله نمودن پیکسل ها بصورت افقی از مجموعه ای سیم های عمودی استفاده می گردد.مانیتورهائی که از تکنولوژی فوق استفاده می نمایند، دارای شفافیت و وضوح تصویر مناسبی می باشند. پیکسل ها با توجه به ماهیت خطوط پویش استفاده شده بمنظورنگاشتن تصویر، بصورت عمودی از یکدیگر متمایز می گردند.

Aspect Ratio : نسبت پهنای تصویر به ارتفاع را می گویند و برای اکثر مانیتورهای موجود ، ۳ : ۴ می باشد .

Asset Control : ویژگی فوق، باعث صرفه جوئی در زمان بمنظور ردیابی مانیـتورها در شبکه می گردد. در صورتیکه مانیتور دارای ویژگی فوق بوده و از آن بهمراه نرم افزارهای ضروری در شبکه استفاده گردد ، امکان بازیابی اطلاعات لازم بمنظور ردیابی مانیتورها ، فراهم می گردد.( شماره سریال مانیتور ، مدل و … ) . اطلاعات فوق، برای مدیران شبکه بسیار مفید خواهد بود .

Bandwidth : سرعت ( بر حسب مگاهرتز ) داده دریافتی توسط مانیتور از پردازنده کارت گرافیک را می گویند . هر اندازه میزان سرعت فوق بیشتر باشد ، تصاویر با وضوح و شفافیت بهتری نمایش داده می شوند ( خصوصا” در مواردیکه دقت بالا، انتخاب شده باشد ) .

Color Convergence : پارامتر فوق ، معیاری بمنظور سنجش نحوه تلاقی سه تفنگ رنگی ( قرمز ،سبز ، آبی ) درهر پیکسل بوده و وضوح بهتر تصاویر را در صورت همگرائی مناسب ، بدنبال خواهد داشت .

Conventional Tube ، متداولترین لامپ استفاده شده در مانیـتورها ،طی سالیان گذشته بوده است . مانیتورهائی که از لامپ تصویر پانزده اینچ و یا بالاتر استفاده نموده اند ، هم اینک درصدد استفاده از صفحات مسطح و یا سایر لامپ های تصویر ، می باشند .

Dot Pitch : یک واحد اندازه گیری بمنظور محاسبه فاصله بین مراکز دو نقطه نورانی با رنگ مشابه بر روی نمایشگر می باشد .هر اندازه نقاط به یکدیگر نزدیک باشند ،مقدار پارامتر فوق کمتر شده و تصاویر از وضوح بهتری برخوردار خواهند بود .

Energy Star : استاندارد ارائه شده توسط Environmental Protection Agency )EPA) ، بمنظور تولید و استفاده از کامپیوترهای شخصی با هدف بهینه سازی مصرف انرژی می باشد.استاندارد فوق ، اولین مرتبه در ۱۷ ژوئن ۱۹۹۳ ارائه گردید.مصرف انرژی کامپیوترها و یا مانیتورهائی که از استاندارد فوق تبعیت می نمایند ، می بایست در پائین ترین وضعیت ممکن ، به کمتر از۳۰ وات تنزل یابد.

Flat-Screen Color CRT Monitor : مانیتورهائی رنگی که دارای صفحات نمایشگرمسطح می باشند. نمایشگرهای مسطح نسبت به نمایشگرهای غیرمسطح ، علاوه بر ارائه تصاویر با کیفیت مطلوبتر ، کاهش تشعشعات را نیز بدنبال خواهند داشت .

MPR-II : استانداردی بمنظور کاهش انتشار امواج الکترواستاتیک و الکترو مغناطیسی می باشد . MPR 1990 یا MPR II استاندارد تعریف شده بمنظور سنجش میزان تشعشعات از دستگاه هائی نظیر مانیتور است .

Phosphor : مواد بر روی صفحه که در واکنش به سیگنال تولید شده توسط تفنگ های پرتاپ الکترون ، از خود نور ساطع می نمایند .

Pixel ، از کلمات Picture element اقتباس شده است . پیکسل ها ، نقاط کلیدی موجود بر روی صفحات نمایشگر بمنظور ایجاد تصاویر می باشند .

Pixel Clock Speed : فرکانس و یا سرعت نوشتن پیکسل ها ی مربوط به یک تصویر بر روی صفحه نمایشگر می باشد. هر اندازه میزان سرعت فوق بالا باشد ، لرزش تصاویر کمتر خواهد شد.

Refresh Rate : به سرعت پویش و بازنویسی اطلاعات بر روی یک صفحه نمایشگر ، اطلاق می گردد.در فرکانس های بالاتر، با توجه به اینکه پیکسل ها با سرعت بیشتری فعال می گردند ،لرزش تصاویر کمتر خواهد شد ( مهمترین عامل لرزش تصویر ، کم نوری است ) . به پارامتر فوق ، فرکانس عمودی نیز گفته می شود .

Resolution : به تعداد پیکسل های نمایش داده شده افقی و عمودی بر روی صفحه ، گفته می شود. هر اندازه میزان پارامتر فوق افزایش یابد ، امکان نمایش تصاویر بیشتری بر روی نمایشگر بدون ضرورت استفاده از Scrolling ، فراهم می گردد .

Scan Rate : پارامتر فوق ، سرعت ( بر حسب کیلوهرتز ) ترسیم یک سیگنال خط افقی بر روی نمایشگر را مشخص نموده و هر اندازه مقدار پارامتر فوق بیشتر باشد ، تصاویری واضح تر در دقت های بالا ایجاد خواهد شد . به پارامتر فوق ، فرکانس افقی نیز می گویند .

Shadow Mask : صفحات فلزی بهمراه سوراخ هائی درون آنان که تفنگ الکترون از بین آنان،پرتوهای الکترون را بمنظور تولید پیکسل ها بر روی نمایشگر ، ارسال می نماید .

Stripe Pitch : یک واحد اندازه گیری بمنظور محاسبه فاصله بین مراکز دو نوار با رنگ مشابه که باعث ایجاد یک تصویر بر روی صفحه نمایشگر می گردد . هر اندازه نوارها ی رنگی به یکدیگر نزدیکتر باشند ، مقدار پارامتر فوق کاهش و بدنبال آن وضوح تصویر بهبود می یابد .

Viewing Angles : به زاویه افقی و یا عمودی که کاربر قادر به مشاهده تصاویر بدون کاهش کیفیت رنگ و شفافیت تصویر می باشد ، اطلاق می گردد.

جایگاه مانیـتور
در زمان ارتقاء سیستم ، اکثر کاربران ترجیح می دهند که مانیتور خود را نگه داشته و از آن همچنان استفاده نمایند . با توجه به اینکه عمر مفید یک مانیتور بیش از پنج سال برآورد می شود ، تصمیم بر استفاده از مانیتور قبلی در زمان ارتقاء سیستم ،حرکتی منطقی و اصولی است. در صورتیکه مانیتور موجود از نوع پانزده اینچ است که صرفا” قادر به نمایش متن با دقت ۸۰۰ در ۶۰۰ ، می باشد ، استفاده از مانیتور قبلی می تواند پیامدهای منفی از بعد کارآئی و بهره وری کاربران را بدنبال داشته باشد . برخی از کاربران در زمان ارتقاء سیستم ، تمایل دارند که مانیتورهای CRT قبلی خود را به مانیتورهای LCD مسطح تبدیل نمایند . بر اساس آمارهای موجود ، میزان فروش مانتیورهای LCD در سال ۲۰۰۳ برای اولین مرتبه بیش از مانیتورهای CRT بوده است .
اکثر تولید کنندگان مانیتور، مدل هائی را تولید و عرضه نموده اند که علاوه بر دارا بودن قیمت مناسب از پتانسیل های مطلوبی نیز برخوردار می باشند. از این نوع مانییتورها می توان در موارد متعددی استفاده بعمل آورد. Resolution و Refresh Rate در این نوع از مانتیورها نیز مناسب می باشد . تولید کنندگان ، علاوه بر عرضه مانیتـورهای فوق ، اقدام به تولید و ارائه مانیتورهای حرفه ای تر نیز نموده اند .مانیتورهای فوق دارای کیفیت بمراتب بالاتری بوده و از پتانسیل های بیشتری نظیر : کنترل های تنظیم تصویر ، پورت های USB 2.0 ، گزینه های متفاوت ارگونومی ( نظیر تنظیم ارتفاع ) و Resolution بالا ، استفاده می نمایند. برخی از مانیتـورهای حرفه ای دارای Asset Control بمنظور ارائه تسهیلات لازم در خصوص ردیابی مانیتورها در شبکه می باشند .
گرافیست ها ، معمولا” مانیتـورهای CRT را به مانیتـورهای دیگر ترجیح می دهند، چراکه این نوع از مانیتورها رنگ ها را واقعی تر نمایش می دهند. کاربرانی که اکثر فعالیت و استفاده آنان ازکامپیوتر مبتنی بر متن می باشد، تمایل بیشتری به استفاده از مانیتورهای LCD را دارند ، چراکه محدوده ( مرز) پیکسل ها در مانتیتورهای LCD ، بدرستی تعریف و رعایت می گردد ( در صورت تمرکز بر روی حروف ، وضعیت نمایش مطلوب خواهد بود ) . استفاده کنندگان از بازیهای کامپیوتری نیز مانیتـورهای CRT را ترجیح می دهند ، چراکه فرآیند ترسیم مجدد صفحات در مانیتورهای LCD ، با کندی بیشتری انجام می شود ( مشاهده دنباله ای از یک تصویر گرافیکی و یا وجود شبحی از تصویر قبلی ) .

ویژگی ها ی مهم
از مهمترین ویژگی های مرتبط با مانیتورهای LCD ، می توان به موارد زیر اشاره نمود :

Native Resolution : با توجه به اینکه مانیتورهای LCD از یک ماتریس مشتمل بر سلول، بمنظور نمایش تصاویر استفاده می نمایند، دارای یک Resolution ثابت ( ذاتی ) بوده که در آن Resolution کیفیت تصویر در بهترین وضعیت خود خواهد بود. یک مانیتور پانزده اینچ LCD ، دارای یک Native Resolution معادل ۱۰۲۴ در ۷۶۸ می باشد .این در حالیست که اکثر مانیتـورهای هیفده ، هیجده و نوزده اینج از یک Native Resolution معادل ۱۲۸۰ در ۱۰۲۴ ، استفاده می نمایند. درصورتیکه تنظیم مانیتور پایئن تر ازNative Resolution انجام شود،تصاویر به نمایش درآمده ، حالت طبیعی خود را از دست می دهند( مات و کدر ) ، چراکه نمایشگر صرفا” بخشی از پیکسل های مربوطه به خود را استفاده نموده و بمنظور نمایش تصویر در صفحه ، Scale خود را افزایش خواهد داد. با اینکه تکنولوژی های Scaling در طی سالیان اخیر بهبود پیدا یافته اند ،ولی نتایج همچنان غیرمطلوب می باشد( عدم رضایت کاربران ) . در مواردیکه Native Resolution مانـیتورهای LCD ، پاسخگوی تمامی نیازهای استفاده کننده می باشد ، انتخاب آنان منطقی خواهد بود.

Viewing Angle : با توجه به اینکه در مانیتـورهای LCD ، نور از طریق کریستال های مایع در نمایشگر عبور داده می شود، زمانیکه مستقیما” در مقابل آنان ایستاده باشیم ، بهترین وضعیت نمایش را مشاهده خواهیم کرد. در صورتیکه زاویه مشاهده خود را تغییر دهیم ( حرکت به گوشه ها و یا بالا و پائین ) ، میزان تابناکی نور افت خواهد کرد . موضوع فوق ، یکی از دلایل ترجیح مانتیورهای CRT به مانیـتورهای LCD توسط گرافیست ها و کاربرانی است که حجم عمده فعالیت آنان گرافیک می باشد . سایر کاربران ، می توانند با وضعیت فوق، مدارا نمایند.
Viewing Angle یک مانتیور LCD ( بر حسب درجه اندازه گیری می شود ) ، نشاندهنده قدرت انعطاف در مقابل حرکت و جابجا شدن بین گوشه ها ، پائین و یا بالای مرکز نمایشگر بدون ازدست دادن کیفیت تصویرمی باشد. تاکنون هیچگونه روش استانداری برای اندازه گیری Viewing Angle ایجاد نشده است .اعداد اعلام شده توسط تولیدکنندگان بر مبنای یک استاندارد واحد نبوده و صرفا” می تواند معیاری در بین مانتیورهای تولید شده توسط یک تولید کننده باشد . بهترین روش قضاوت در رابطه با Viewing Angle یک مانیـتور ، مشاهده مستقیم مانیتور و بررسی عملی آن می باشد . در این راستا می توان برخی از مدلهائی را که از یک حداقل مشخص شده ، پائین تر می باشند را حذف و عملا” آنان را بررسی نکرد . یکی از پارامترهای مهم در انتخاب مانیتـورهای بزرگ ، دامنه و محدوده Viewing Angle می باشد .مثلا” یک مدل پانزده اینچ ، ممکن است صرفا” توسط یک کاربر استفاده گردد که وی نیز مستقیما” در مقابل مانیتـور قرارگرفته و از آن استفاده می نماید.بنابراین در صورتیکه مقدار Viewing Angle معادل ۱۲۰ درجه و یا بیشتر باشد، نیاز کاربران مرتفع خواهد شد. در مانیتورهای هیفده اینچ و یا بالاتر ،حداقل زاویه دید ۱۵۰ درجه پیشنهاد می گردد.اغلب کاربران این نوع مانیتورها تمایل دارند که از مانیتور بصورت مشترک استفاده نمایند ( خصوصا” در مواردیکه بصورت گروهی بر روی یک پروژه و یا تمرین کار می شود ) .
یکی از عوامل موثر در Viewing Angle ، تکنولوژی استفاده شده در رابطه با پیکسل ها است . در مانـیتورهای هیجده اینچ LCD و بالاتر ، از جدیدترین فنآوری در ارتباط با پیکسل ها استفاده شده که افزایش زاویه دید( مشاهده ) را بدنبال خواهد داشت . در مانیتورهای پانزده اینچ LCD ، تولید کنندگان از پانل های ارزان قیمت استفاده نموده که باعث کاهش زاویه دید می گردد . در تعداد زیادی از مانیتورهای LCD جدید ، امکان چرخش و یا تنظیم نمایشگر وجود داشته و همین موضوع باعث بهبود و پوشش زاویه دید بهتری می گردد .

Contrast : پارامتر فوق ، تفاوت دانسیته نور بین روشنترین رنگ سفید و تیره ترین رنگ مشکی را که یک مانیـتور LCD قادر به تولید آنان می باشد را نشان می دهد . در این رابطه پیشنهاد می گردد که مانیتوری با نسبت ۱ : ۴۰۰ و یا بهتر از آن ، انتخاب گردد .

Brightness : پارامتر فوق ، حداکثر میزان نوری که از یک صفحه نمایشگر بمنظور نمایش “سفیدمحض” ساطع می گردد را نشان می دهد (ارسال تشعشعات در هر متر مربع ( cd/m² ) ) . تقریبا” تمامی مانیـتورهای LCD ، دارای Brightness معادل دویست و پنجاه cd/m² و یا بیشتر می باشند . ( مانیتورهای CRT دارای Brightness معادل یکصد می باشند) .

دیجیتال در مقابل آنالوگ : در صورتیکه بر روی سیستم یک کارت گرافیک با خروجی ویدئو دیجیتال نصب شده باشد ، می توان از یک LCD که دارای ورودی دیجیتال می باشد ، استفاده نمود . در چنین حالتی ضرورتی به تبدیل آنالوگ به دیجیتال و برگشت مجدد ، وجود نداشته و کیفیت تصویر بمراتب بهتر خواهد بود .در صورتیکه کارت گرافیک نصب شده بر روی سیستم دارای یک پورت DVI نمی باشد ، می توان با توجه به امکان ارتقاء و یا تعویض سیستم در آینده ، یک مانیتور دیجیتال LCD را انتخاب نمود.

در بخش دوم این مقاله به بررسی سایر موارد مربوط به نحوه انتخاب یک مانیتور خواهیم پرداخت .

مهمترین نقاط آسیب پذیر یونیکس و لینوکس ( بخش پنجم )

سخاروش — Tue, 16 Mar 2010 03:40:24 +0000

نهمین نقطه آسیب پذیر : عدم پیکربندی مناسب سرویس های NIS/NFS
Network File System)NFS) و Network Information Service )NIS) ، دو سرویس مهم استفاده شده در شبکه های یونیکس می باشند. NFS ، سرویسی است که توسط شرکت Sun Microsystems بمنظور اشتراک فایل ها بین سیستم های موجود در یک شبکه یونیکس ، طراحی و پیاده سازی گردیده است . با استفاده از سرویس فوق امکان اشتراک و دستیابی به فایل های موجود بر روی کامپیوترهای شخصی و کامپیوترهای بزرگ فراهم می گردد . NFS ، روش استاندارد اشتراک فایل بین سیستم های کامپیوتری متفاوت است . NIS ، یک سرویس بانک اطلاعاتی توزیع شده را برای مدیریت اکثر فایل های مدیریتی مهم نظیر فایل های passwd و hosts فراهم می نماید .مدیریت متمرکز NIS ، امکان اعمال تغییرات مورد نظر را از یک نقطه ( بانک اطلاعاتی ) فراهم می نماید.(عدم ضرورت اعمال تغییرات بر روی هر سیستم موجود در شبکه ) . مهمترین هدف NIS ، ارائه اطلاعات مربوط به مکان یابی ( Maps نامیده می شود ) به سایر سرویس های شبکه نظیر NFS است .فایل های passwd و group ، نمونه هائی در این زمینه ( Maps ها مورد نظر ) بوده که از آنان بمنظور تمرکز در تائید کاربران استفاده می گردد. سرویس های NIS و NFS ، دارای ضعف های امنیتی متعددی ( مثلا” ضعف در سیستم تائید کاربران ) بوده و در سالیان اخیر مهاجمان با استفاده از آنان ، حملات متعددی را سازماندهی و به سرانجام رسانده اند .اکثر حملات انجام شده از نوع buffer overflows ، DoS می باشد . با توجه به آسیب پذیری سرویس های فوق ، مهاجمان همواره از آنان بعنوان هدفی مناسب در جهت حملات خود استفاده نموده اند .
درصورت عدم پیکربندی مناسب سرویس های NFS و NIS و Patching مناسب ، سیستم های کامپیوتری در معرض تهدید جدی بوده و مهاجمان با سوءاستفاده از حفره های امنیـتی موجود قادر به دستیابی سیستم از راه دور و یا بصورت محلی خواهند بود. مکانیزم استفاده شده توسط NIS برای تائید کاربران دارای ضعف های خاص خود بوده و مهاجمان با استفاده از نرم افزارهائی نظیر ypcat قادر به نمایش مقادیر و داده موجود در بانک اطلاعاتی NIS بمنظور بازیابی فایل رمزعبور می باشند.

سیستم های عامل در معرض تهدید
تقریبا” تمامی سیستم های یونیکس و لینوکس بهمراه یک نسخه از NFS و NIS ارائه می گردند. سرویس های فوق، بصورت پیش فرض فعال می باشند .

نحوه تشخیص آسیب پذیری سیستم
بمنظور تشخیص آسیب پدیری سیستم در رابطه با سرویس های NIS و NFS موارد زیر پیشنهاد می گردد :

بررسی و اطمینان از نصب آخرین Patch ارائه شده توسط تولید کننده . تمامی نسخه هائی که بهنگام نشده و یا آخرین Patch موجود بر روی آنان نصب نشده باشد در معرض تهدید و آسیب قرار خواهند داشت . در اکثر نسخه ها با استفاده از دستور rpc.mountd -version می توان از شماره نسخه NFS نصب شده آگاهی یافت . بمنظور آگاهی از شماره نسخه NIS می توان از دستور ypserv -version استفاده نمود ( دستور فوق شماره نسخه NFS را نیز نمایش خواهد داد ) .

بمنظور تشخیص آسیب پذیری نرم افزار، می توان از یک پویشگر نقاط آسیب پذیر بهنگام شده بصورت مستمر استفاده تا بررسی لازم در خصوص ضعف های جدید صورت پذیرد.

بمنظور برخورد با عدم پیکربندی مناسب NIS موارد زیر پیشنهاد می گردد :

اطمینان از عدم نگهداری Root Password در یک NIS map

سازگاری رمزهای عبور تعریف شده با سیاست های امنیتی موجود. در این راستا می توان از یک برنامه Cracker بمنظور بررسی استحکام رمزهای عبور تعریف شده،استفاده نمود.

بمنظور برخورد با عدم پیکربندی مناسب NFS موارد زیر پیشنهاد می گردد :

بررس لازم در خصوص بهنگام بودن میزبانان ، netgroups و مجوزها در فایل etc \ exports \ .

اجرای دستور Showmount e بمنظور مشاهده عناصر export شده و بررسی سازگاری آنان با سیاست های امنیتی .

نحوه حفاظت در مقابل نقطه آسیب پذیر
موارد زیر در ارتباط با پیکربندی NIS ، پیشنهاد می گردد:

مشخص نمودن صریح سرویس دهندگان NIS بر روی سرویس گیرندگان ( پیشگیری لازم در خصوص تظاهر سایر سیستم ها بعنوان یک سرویس دهنده NIS ) .

در زمان ایجاد فایل های DBM ، ویژگی YP_SECURE فعال گردد . بدین ترتیب ،سرویس دهنده صرفا” به درخواست های ارسالی توسط یک سرویس گیرنده و از طریق پورت های مجاز ، پاسخ خواهد بود . در این رابطه می توان از سوئئچ S بهمراه دستور makedbm استفاده نمود .

درج میزبانان مورداعتماد و شبکه ها در var/yp/securenets / که توسط پردازه های ypserv و ypxfrd استفاده می گردد.

درج ::: ۰:۰ : * :+ در password map بر روی سرویس گیرندگان NFS

موارد زیر در ارتباط با پیکربندی NFS پیشنهاد می گردد:

استفاده از آدرس های عددی IP و یا FQDN) fully qualified domain names) در مقابل اسامی مستعار (زمانیکه به سرویس گیرندگان در فایل etc / exports اجازه داده می شود) .

بمنظوربررسی پیکربندی سیستم می توان از برنامه ای با نام NFSBug ، استفاده نمود.برنامه فوق امکانات متنوعی را بمنظور تست پیکربندی سیستم ارائه می نماید . برای دریافت برنامه NFSBug ، می توان از آدرس ftp://coast.cs.purdue.edu/pub/tools/unix/nfsbug استفاده نمود .

اسفاده از فایل etc\exports بمنظور اعمال محدودیت در رابطه با دستیابی به سیستم فایل NFS با افزودن پارامترهای زیر :
- ممانعت کاربران معمولی از mounting یک سیستم فایل NFS با افزودن یک پارامتر ایمن پس از آدرس IP و یا نام Domain مربوط به سرویس گیرنده NFS .
مثلا” : ( home 10.20.1.25(secure /
- export نمودن سیستم فایل NFS با مجوزهای مناسب .عملیات فوق را می توان با افزودن مجوزهای لازم ( ro برای فقط خواندنی و یا rw برای خواندن و نوشتن ) پس از آدرس IP مربوط به نام domain سرویس گیرنده NFS در فایل etc\export انجام داد.
مثلا” : ( home 10.20.1.25(ro / .
- در صورت امکان ، از پارامتر root_squash بعد از آدرس IP و نام Domain مربوط به سرویس گیرنده NFS استفاده گردد . در صورتیکه پارامتر فوق فعال شده باشد ، superuser ID root بر روی سرویس گیرنده NFS با کاربر ID nobody در سرویس دهنده NFS جایگزین می گردد. بدین ترتیب root user بر روی سرویس گیرنده ، قادر به دستیابی و یا تغییر فایل ها بر روی root نخواهند بود.
مثلا” : ( home 10.20.1.25(root_squash / .

بر روی سیستم عامل سولاریس ، مانیتورینگ پورت فعال گردد. عملیات فوق را می توان با افزودن Line set nfssrv:nfs_portmon = 1 در فایل etc/system / ، انجام داد .

موارد زیر در ارتباط با NFS و NIS پیشنهاد می گردد :

بازنگری و بررسی سیاست های فایروال بمنظور اطمینان از بلاک شدن تمامی پورت های غیر ضروری( مثلا” پورت ۱۱۱ ( portmap ) و پورت ۲۰۴۹ ( Rpc.nfsd ) ) .امکان دستیابی به سرویس دهندگان NFS و NIS ، می بایست صرفا” از طریق سرویس گیرندگان مجاز انجام شود.

بررسی لازم در خصوص استفاده از NFS بر روی یک پروتکل ایمن نظیر SSH . در این رابطه می توان از آدرس http://www.math.ualberta.ca/imaging/snfs/ استفاده نمود .

نصب تمامی patch های ارائه شده توسط تولید کنندگان و یا ارتقاء سرویس دهندگان NIS و NFS به آخرین نسخه موجود. برای آگاهی از اطلاعات مربوط به نصب و پیکربندی یونیکس با لحاظ نمودن مسائل امنیتی مضاعف ، می توان از آدرس UNIX Security Checklist استفاده نمود.

غیر فعال نمودن NFS و NIS مربوط به deamons بر روی سیستم هائی که مختص یک سرویس دهنده NFS و یا NIS طراحی و تائید نشده اند . بمنظور پیشگیری لازم در اینخصوص می توان سرویس های NIS و یا NFS ( و یا هر دو آنان ) را از روی سیستم حذف نمود.

دهمین نقطه آسیب پذیر : ( Open Secure Sockets Layer (SSL
کتابخانه OpenSSL ( بصورت Open source است ) ، نرم افزاری رایج بمنظور افزدون امنیت رمزنگاری به برنامه ها ئی است که از طریق شبکه با یکدیگر ارتباط برقرار می نمایند .سرویس دهنده آپاچی ، مهمترین وشناخته ترین برنامه استفاده کننده از پکیج فوق می باشد ( بمنظور حمایـت از hhtps ، ارتباط بر روی پورت ۴۴۳ ) . برنامه های متعدد دیگر با انجام برخی تغییرات ، استفاده از OpenSSL بمنظور افزایش امنیـت اطلاعات مبادله شده در یک شبکه را در دستور کار خود قرار داده اند .
برنامه های متعددی بمنظور ارائه امنیت رمزنگاری در ارتباط با یک Connection از OpenSSL استفاده می نمایند . مهاجمان در اغلب موارد در مقابل هدف قرار دادن مستقیم OpenSSL ، برنامه هائی را برای حملات خود انتخاب می نمایند که از OpenSSL استفاده می نمایند . یکی از اهداف مهاجمین در این رابطه ، سرویس دهنده آپاچی است که از OpenSSL استفاده می نماید . برنامه هائی دیگر نظیر: mail ، openldap,CUPS که از OpenSSL استفاده می نمایند نیز در معرض تهاجم قرار خواهند داشت .
OpenSSL دارای نقاط آسیب پذیر متعددی بوده که می توان به چهار نمونه مهم آنان اشاره نمود : مورد اول ، مورد دوم ، مورد سوم ، مورد چهارم . مهاجمان با استفاده از نقاط آسیب پذیر فوق، قادر به اجرای کد دلخواه بعنوان کاربر کتابخانه OpenSSL می باشند.

سیستم های عامل در معرض تهدید
هر یک از سیستم های یونیکس و یا لینوکس که بر روی آنان نخسه OpenSSL 0.9.7 و یا قبل از آن اجراء می گردد، در معرض این آسیب قرار خواهند داشت .

نحوه تشخیص آسیب پذیری سیستم
در صورتیکه نسخه version 0.9.7a و یا قبل از آن نصب شده باشد ، سیستم در معرض تهدید و آسیب قرار خواهد داشت . در این رابطه می توان از دستور OpenSSL version ، بمنظور آگاهی از شماره نسخه نرم افزار نصب شده ، استفاده نمود.

نحوه حفاظت در مقابل نقطه آسیب پذیر
بمنظور حفاظت در مقابل نقطه آسیب پذیر فوق ، موارد زیر پیشنهاد می گردد :

ارتقاء به آخرین و جدیدترین نسخه OpenSSL . در صورتیکه OpenSSL بهمراه سیستم عامل نصب شده است ، از تولیدکننده سیستم عامل مربوطه می بایست آخرین نسخه مربوطه را دریافت و آن را بر روی سیستم نصب نمود.

در صورت امکان ، از ipfilter و سایر ابزارهای موجود در این زمینه بمنظور اعمال محدودیت در رابطه با سیستم هائی که می بایست به سرویس دهنده OpenSSL متصل گردند ،استفاده شود .

مهمترین نقاط آسیب پذیر یونیکس و لینوکس ( بخش اول )

مهمترین نقاط آسیب پذیر یونیکس و لینوکس ( بخش دوم )

مهمترین نقاط آسیب پذیر یونیکس و لینوکس ( بخش سوم )

مهمترین نقاط آسیب پذیر یونیکس و لینوکس ( بخش چهارم )

سخاروش — Tue, 16 Mar 2010 03:38:27 +0000

هفتمین نقطه آسیب پذیر : ( Simple Network Management Protocol (SNMP
از پروتکل SNMP بمنظور کنترل ، مانیتورینگ از راه دور و پیکربندی تمامی دستگاه های پیشرفته مبتنی بر TCP/IP در ابعاد گسترده ای استفاده می شود.با اینکه استفاده از SNMP در بین پلات فرم های متفاوت شبکه استفاده می گردد، ولی در اغلب موارد از آن بمنظور پیکربندی و مدیریت دستگاههائی نظیر چاپگر ، روترها ، سوئیچ ها ، Access point ها و دریافت داده های مورد نیاز دستگاههای مانیتورینگ شبکه ، استفاده می شود .
SNMP ، از روش های متفاوتی بمنظور مبادله پیام بین ایستگاههای مدیریت SNMP و دستگاههای شبکه ای استفاده می نماید . روش های استفاده شده بمنظور برخورد با پیام های مبادله شده و مکانیزم تائید و معتبر سازی پیا م ها، از جمله عوامل اصلی در رابطه با نقاط آسیب پذیر SNMP می باشند .
نقاط آسیب پذیر مرتبط با روش های استفاده شده در SNMP ( نسخه یک ) بهمراه جزئیات مربوطه را می توان در آدرس CERT – 2002 – 03 ، مشاهده نمود . نقاط آسیب پذیر متعددی در SNMP متاثر از روش برخورد با پیام ها توسط ایستگاه های مدیریتی است . نقاط آسیب پذیر فوق، به نسخه ای خاص از SNMP محدود نبوده و محصولات متعدد ارائه شده توسط تولید کنندگان را نیز شامل می گردد . مهاجمان با استفاده از نقاط آسیب پذیر فوق ، قادر به انجام حملات متفاوت از نوع DoS ( از کار افتادن یک سرویس ) تا پیکربندی و مدیریت ناخواسته ماشین آلات و تجهیزات مبتنی بر SNMP ، می باشند .
برخی از نقاط آسیب پذیر در ارتباط با SNMP متاثر از روش های استفاده شده بمنظور تائید و معتبر سازی پیام ها در نسخه های قدیمی SNMP است ( توارث مشکلات ) . نسخه های یک و دو SNMP ، از یک ” رشته مشترک ” غیررمز شده بعنوان تنها گزینه موجود برای تائید پیام ها استفاده می نمایند . عدم استفاده از روش های مناسب رمزنگاری ، می تواند عاملی مهم در پیدایش نقاط آسیب پذیر باشد. نگرش پیش فرض نسبت به ” رشته مشترک ” که توسط تعداد زیادی از دستگاههای SNMP استفاده می گردد ، از ذیگر عوامل مهم در ارتباط با عرضه نقاط آسیب پذیر است( برخی از تولید کنندگان بمنظور افزایش سطح ایمنی مربوط به داده های حساس ، رشته را بصورت “اختصاصی ” تغییر و استفاده می نمایند ) . شنود اطلاعاتی و ترافیک SNMP ، می تواند افشاء اطلاعات و ساختار شبکه ( سیستم ها و دستگاههای متصل شده به آن ) را بدنبال داشته باشد . مهاجمین با استفاده از اطلاعات فوق ، قادر به انتخاب مناسب و دقیق هدف خود بمنظور برنامه ریزی حملات خود می باشند .
اکثر تولید کنندگان بصورت پیش فرض نسخه یک SNMP را فعال و تعدادی دیگر، محصولاتی را ارائه می نمایند که قادر به استفاده ازمدل های امنیتی نسخه شماره سه SNMP نمی باشند. ( با استفاده از مدل های امنیـی ارائه شده در نسخه شماره سه SNMP ، می توان پیکربندی لازم در خصوص روش های تائید را بهبود بخشید ) .
SNMP ، مختص یونیکس نمی باشد و در ابعاد وسیعی در ویندوز ، در تجهیزات شبکه ای ، در چاپگرها ، access point ها و Bridges ، استفاده می گردد. با توجه به نتایج حاصل از آنالیز حملات مبتنی بر SNMP ، مشخص شده است که اکثر حملات در این رابطه بدلیل ضعف در پیکربندی SNMP در سیستم های یونیکس است .

سیستم های عامل در معرض تهدید
تقریبا” بر روی تمامی سیستم های یونیکس و لینوکس یک نسخه SNMP نصب و بهمراه آن عرضه می گردند. در اغلب موارد پروتکل فوق ، بصورت پیش فرض فعال می باشد. اکثر دستگاه ها و سیستم های عامل شبکه ای مبتنی بر SNMP دارای نقطه آسیب پذیر فوق بوده و در معرض تهدید قرار خواهند داشت .

نحوه تشخیص آسیب پذیری سیستم
بمنظور بررسی نصب SNMP بر روی دستگاههای موجود و متصل شده در شبکه ، می توان از یک برنامه کمکی و یا روش دستی استفاده نمود. برنامه پویشگر SNScan ، نمونه ای در این زمینه بوده که می توان آن را از طریق آدرس http://www.foundstone.com/knowledge/free_tools.html دریافت نمود. در مواردیکه امکان استفاده از ابزارهای پویشگر وجود ندارد ، می توان بررسی لازم در خصوص نصب و اجراء SNMP را بصورت دستی انجام داد. در این راستا می توان به مستندات سیستم عامل مربوطه مراجعه تا پس از آگاهی از نحوه پیاده سازی SNMP ، عملیات لازم بمنظور تشخیص فعال بودن SNMP را انجام داد . در این رابطه می توان ، جستجوی لازم در لیست پردازه ها برای یافتن “snmp” در حال اجراء بر روی پورت های ۱۶۱ و ۱۶۲ را انجام داد . وجود صرفا ” یک نمونه SNMP ، دلیلی بر آسیب پذیری سیستم است . بمنظور آگاهی از جزیئات لازم در اینخصوص می توان از آدرس CERT – 2002 – 03 استفاده نمود . در صورت تحقق یکی از شرایط زیر و نصب SNMP ، سیستم در معرض آسیب و تهدید قرار خواهد داشت :

وجود اسامی SNMP Community پیش فرض و یا خالی ( اسامی استفاده شده بعنوان رمزهای عبور )

وجود اسامی SNMP Community قابل حدس

وجود رشته های مخفی SNMP Community

نحوه حفاظت در مقابل نقطه آسیب پذیر
بمنظور حفاظت در مقابل نقطه آسیب پذیر فوق ،در دو زمینه می توان اقدامات حفاظتی را سازماندهی نمود .
حفاظت در مقابل درخواست های آسیب رسان و تهدید کننده :

غیر فعال نمودن SNMP در صورت عدم ضرورت استفاده از آن

استفاده از یک مدل امنیتی مبتنی بر کاربر SNMPv3 ، بمنظور تائید پیام ها و رمزنگاری داده ها ( در صورت امکان )

در صورت استفاده از SNMP نسخه یک و یا دو ، می بایست آخرین نسخه Patch ارائه شده توسط تولید کننده ، نصب گردد برای آگاهی از مشخصات تولیدکننگان، می توان به بخش ضمیمه CERT Advisory CA-2002-03 ، مراجعه نمود .

از کنترل دستیابی مبتنی بر میزبان بر روی سیستم های SNMP agent استفاده گردد . ویژگی فوق ممکن است توسط SNMP agent سیستم های عامل دارای محدودیت هائی باشد ، ولی می توان کنترل لازم در خصوص پذیرش درخواست ها توسط agent مربوطه را انجام داد. در اکثر سیستم های یونیکس ، می توان عملیات فوق را توسط یک TCP-Wrapper و یا پیکربندی Xined انجام داد . استفاده از یک فایروال فیلترینگ بسته های اطلاعاتی مبتنی بر agent بر روی یک میزبان نیز می تواند در بلاک نمودن درخواست های ناخواسته SNMP موثر واقع شود .

حفاظت در مقابل رشته های قابل حدس

غیر فعال نمودن SNMP در صورت عدم ضرورت استفاده از آن

استفاده از یک مدل امنیتی مبتنی بر کاربر SNMPv3 ، بمنظور تائید پیام ها و رمزنگاری داده ها ( در صورت امکان )

در صورت استفاده از SNMP نسخه یک و یا دو ، می بایست از یک سیاست خاص بمنظور اسامی community ( استفاده شده بعنوان رمزهای عبور ) استفاده گردد. در این راستا لازم است اسامی بگونه ای انتخاب گردند که غیر قابل حدس بوده و بصورت ادواری و در محدوده های خاص زمانی نیز تغییر داده شوند .

با استفاده از امکانات موجود می بایست بررسی لازم در خصوص استحکام اسامی در نظر گرفته شده برای رمزهای عبور راانجام داد.در این رابطه می توان از خودآموز و ابزار ارائه شده در آدرس http://www.sans.org/resources/idfaq/snmp.php ، استفاده کرد.

SNMP را در گلوگاه های ورودی شبکه فیلتر نمائید ( پورت ۱۶۱ مربوط به TCP/UDP و پورت ۱۶۲ مربوطه به TCP/UDP ) . عملیات فوق را در مواردیکه ضرورتی به مدیریت دستگاهها بصورت خارجی وجود ندارد ، می بایست انجام داد . پیکربندی فیلترینگ را صرفا” بمنظور ترافیک مجاز SNMP بین subnet های ممیزی شده ، انجام دهید.

هشتمین نقطه آسیب پذیر : Secure Shell (SSH
SSH ، یک سرویس عمومی برای ایمن سازی Login ، اجرای دستورات و ارسال فایل در یک شبکه است .اکثر سیستم های مبتنی بر یونیکس از بسته نرم افزاری OpenSSH ( نسخه فوق بصورت open-source است ) و یا نسخه تجاری SSH Communication Security ، استفاده می نمایند . با اینکه SSH دارای ایمنی مناسبتری نسبت به telnet,ftp و برنامه های R-Command می باشد ، ولی همچنان در هر دو نسخه اشاره شده ، ضعف های امنیتی متعددی وجود دارد . اکثر ضعف های موجود صرفا” اشکالات جزئی بوده و تعداد اندکی از آنان ، حائز اهمیت بوده و می بایست بلافاصله نسبت به برطرف نموودن آنان اقدام گردد . مهمترین تهدید مرتبط با ضعف های امنیتی SSH ، امکان دستیابی (سطح ریشه) به ماشین آسیب پذیر توسط مهاجمان است . با توجه به رشد چشمگیر استفاده از سرویس گیرندگان و سرویس دهندگان SSH در محیط های ویندوز، اکثر اطلاعات ارائه شده در رابطه با نقطه آسیب پذیر فوق ، به نسخه های پیاده سازی شده SSH در ویندوز و nix * ( یونیکس ، لینوکس ) بر می گردد .عدم مدیریت مناسب SSH ، خصوصا” در ارتباط با پیکربندی و بکارگیری patch ها و بهنگام سازی لازم ، می تواند مسائل و مشکلات خاص خود را بدنبال داشته باشد .
SSH2 ، ابزاری قدرتمند
تعداد زیادی از نقاط آسییب پذیر تشخیص داده شده در پروتکل هائی نظیر POP3 ( جایگزین با SSH2 SFTP ) ، برنامه Telnet ، سرویس HTTP , و ابزارهای مبتنی بر rhost ( نظیر : روش های تائید ,rsh , rlogin ,rcp ) باعث ارسال اطلاعات بصورت clear text و یا عدم پردازش مناسب session های سرویس گیرنده – سرویس دهنده می گردد. پروتکل SSH1 ، دارای پتانسیل آسیب پذیری بالائی خصوصا” در ارتباط با session موقتی رمزنشده می باشد . بدین دلیل مدیران سیستم و شبکه ، استفاده از پروتکل SSH2 را گزینه ای شایسته در اینخصوص می دانند( در مواردیکه امکان آن وجود دارد) . لازم است به این نکته مهم اشاره گردد که SSH1 و SSH2 با یکدیگر سازگار نبوده و لازم است نسخه SSH بر روی سرویس گیرنده و سرویس دهنده یکسان باشند (در این رابطه موارد استثنا ء نیز وجود دارد ) .
کاربران OpenSSH می بایست به این نکته توجه نمایند که کتابخانه های OpenSSH در مقابل پتانسیل های ایجاد شده توسط OpenSSH ، دارای نرم افزارهای آسیب پذیر مختص خود می باشند. بمنظور آگاهی از جزئیات مربوطه ، می توان از آدرس CERT Advisory 2002-23 استفاده نمود .در سال ۲۰۰۲ یک نسخه آلوده از OpenSSH ( نسخه فوق دارای یک trojan-horse بود ) در زمان کوتاهی گسترش و باعث آسیب های فراوانی گردید. بمنظور کسب اطلاعات بیشتر در این رابطه و اطمینان از عدم آسیب پذیری سیستم خود در مقابل نسخه آلوده فوق ، می توان از آدرس http://www.openssh.org/txt/trojan.adv استفاده نمود .

سیستم های عامل در معرض تهدید
هر نسخه یونیکس و یا لینوکس که بر روی آن OpenSSH 3.3 و یا بعد از آن ( نسخه ارائه شده در سال ۲۰۰۳ ،version 3.6.1) و یا SSH Communication Security’s SSH 3.0.0 و یا بعد از آن ( نسخه ارائه شده در سال ۲۰۰۳ شماره version 3.5.2 ) نصب واجراء می گردد ، در معرض این آسیب قرار خواهد داشت .

نحوه تشخیص آسیب پذیری سیستم
با استفاده از یک پویشگر مناسب ، می توان بررسی لازم در خصوص آسیب پذیری یک نسخه را انجام داد . در این رابطه می توان با اجرای دستور ” ssh -V ” ، از شماره نسخه نصب شده بر روی سیستم آگاه گردید. ScanSSH ، ابزاری مفید بمنظور تشخیص از راه دور سرویس دهندگان SSH آسیب پذیر بدلیل عدم Patching ، می باشد. دستور خطی ScanSSH ، لیستی از آدرس های شبکه را برای سرویس دهندگان پویش و گزارشی در ارتباط با شماره نسخه های آنان را ارائه می نماید . آخرین نسخهScanSSH که در سال ۲۰۰۱ ارائه شده است را می توان از آدرس http://www.monkey.org/~provos/scanssh دریافت نمود .

نحوه حفاظت در مقابل نقطه آسیب پذیر
بمنظور حفاظت در مقابل نقطه آسیب پذیر فوق ، موارد زیر پیشنهاد می گردد :

نسخه SSH و یا OpenSSH را به آخرین نسخه موجود ارتقاء دهید . درصورتیکه SSH و یا OpenSSH بهمراه سیستم عامل ، نصب شده باشد ، می بایست آخرین Patchمربوطه را از سایت ارائه دهنده سیستم عامل دریافت و آن را برروی سیستم نصب نمود. در صورت استفاده از OpenSSL ، از نصب آخرین نسخه آن مطمئن شوید .

حتی المقدور سعی گردد، نسخه SSH1 به SSH2 ارتقاء یابد .در رابطه با توسعه SSH1 در آینده تصمیم خاصی وجود نداشته و توسعه SSH2 مورد نظر می باشد .

دو نسخه پیاده سازی شده SSH ، دارای مجموعه ای از گزینه های انتخابی بوده که مدیران سیستم با استفاده از آنان و با توجه به سیاست های موجود می توانند پیکربندی مناسبی در اینخصوص را انجام دهند. امکان محدودیت در دستیابی به ماشین مورد نظر و اتصال به آن ، روش های تائید کاربران و ماهیت کاربران مجاز ، نمونه هائی از گزینه های انتخابی بوده که می توان از آنان بمنظور پیکربندی مطلوب استفاده گردد.

پیکربندی مناسب سرویس گیرندگان SSH در زمان اتصال به سرویس دهنده ای که SSH را حمایت نمی نماید . در چنین مواردی سرویس گیرنده ممکن است به عقب برگشته و استفاده از rsh را در این رابطه مفید تشخیص دهد . بمنظور پیشگیری از مواردی اینچنین می بایست به کلید FallBackToRsh در فایل پیکربندی SSH ، مقدار NO را نسبت داد .

از رمزنگاری blowfish در مقابل ۳DES استفاده گردد (روش ۳DES ، ممکن است بصورت پیش فرض در نسخه مربوطه در نظر گرفته شده باشد ). بدین ترتیب علاوه بر افزایش سرعت در عملیات ، رمزنگاری انجام شده نیز از استحکام مناسبی برخوردار خواهد بود.

در بخش پنجم این مقاله به بررسی سایر نقاط آسیب پذیر یونیکس و لینوکس خواهیم پرداخت

مهمترین نقاط آسیب پذیر یونیکس و لینوکس ( بخش سوم )

سخاروش — Tue, 16 Mar 2010 03:37:23 +0000

پنجمین نقطه آسیب پذیر : :Clear Text Services
تعداد زیادی از سرویس های شبکه استفاده شده توسط سیستم های مبتنی بر یونیکس ، بصورت plain text بوده و از رمزنگاری خاصی استفاده نمی نمایند. ضعف در رمزنگاری ، امکان شنود اطلاعاتی ( مشاهده ترافیک شبکه ) را فراهم و مهاجمان در ادامه امکان دستیابی به محتویات ارتباط ایجاد شده و یا اطلاعات حساس کاربران نظیر داده های مرتبط با رمز عبور را بدست خواهند آورد. مثلا” بمنظور تشخیص اطلاعات مرتبط با FTP و یا telnet ( اطلاعات login ) ، یک مهاجم ، می تواند یک sniffer را در شبکه و در محلی بین مسیر ارتباطی، مستقر نماید (بعنوان سرویس دهنده FTP و یا یا Client LAN ) . تبادل اطلاعات بین دستورات ورودی توسط سرویس گیرندگان و پاسخ های ارائه شده توسط سرویس های موجود بر روی سرویس دهنده ، بصورت plain-text خواهد بود. بدین ترتیب ،امکان ردیابی ( رهگیری ) داده و یا کلیدهای فشرده شده توسط کاربر بسادگی فراهم می گردد. اغلب مهاجمان در حملات اخیر خود از برنامه های مختص شنود اطلاعاتی استفاده و عمدتا” اینگونه برنامه ها را بر روی دستگاهها ی آسییب پذیر نصب می نمایند. در چنین مواردی ، تشخیص نام و رمز عبور کاربر در داده های جمع آوری شده ( شنود اطلاعاتی ) ، بسادگی میسر خواهد شد.جدول زیر، لیست برخی از سرویس های شبکه یونیکس را که اطلاعات را بصورت Clear Text ، مبادله می نمایند ، نشان می دهد :

آیتم ارسالی	Clear Auth	Clear Content	پورت	سرویس
متن ، باینری	Yes	Yes	21 , 20	FTP
متن ، باینری	N/A	Yes	69	TFTP
متن	Yes	Yes	23	telnet
متن ، باینری	N/A	Yes	25	SMTP
متن ، باینری	Yes	Yes	110	POP3
متن ، باینری	Yes	Yes	143	IMAP
متن	Yes	Yes	513	rlogin
متن	Yes	Yes	514	rsh
متن ، باینری	Yes	Yes	80	HTTP

سرویس هائی نظیر Telnet و FTP که شامل اطلاعات مربوط به تائید هویت کاربران می باشند ، اطلاعات مورد نظر را بصورت متن ارسال که بالاترین ریسک را بدنبال خواهد داشت . در چنین مواردی مهاجمان می توانند با استفاده مجدد از داده های حساس کاربران نظیر نام و رمز عبور، با خیال راحت ! به سیستم دستیابی نمایند .علاوه براین ، اجرای دستورات بصورت clear text می تواند توسط مهاجمان استفاده تا با استفاده از آنان دستورات دلخواه خود را بدون الزامی برای تائید ، اجراء نمایند. سرویس های Clear text ، می توانند زمینه تهدیدات مختلفی نظیر : تسهیل در انجام حملات ، دستیابی از راه دور ، اجرای دستورات بر روی یک سیستم مقصد ، شنود و تشخیص اطلاعات را بدنبال داشته باشد .

سیستم های عامل در معرض تهدید
تمامی نمونه های یونیکس ارائه شده ، از سرویس ها ی Clear text استفاده می نمایند. ( telnet و FTP دو نمونه متدواول در این زمینه می باشند ) . تمامی نمونه نسخه های ارائه شده یونیکس و لینوکس ( تنها استنثاء در این رابطه، مربوط به آخرین ویرایش Free/OpenBSD می باشد ) ، بصورت پیش فرض ، برخی از سرویس های فوق را نصب می نمایند .

نحوه تشخیص آسیب پذیری سیستم
موثرترین و مطمئن ترین روش بمنظور تشخیص نقطه آسیب پذیر فوق (سرویس های clear text ) ، بکارگیری نرم افزاری مشابه با ابزارهای استفاده شده (sniffer) توسط مهاجمان است. متداولترین برنامه موجود در این زمینه ، tcpdump می باشد. برای دریافت برنامه “tcpdump ” می توان از آدرس http://www.tcpdump.org ، استفاده نمود . نحوه فعال نمودن برنامه فوق،بمنظور تشخیص هر گونه ارتباط clear text ، بصورت زیر است :

# tcpdump -X -s 1600

دراین راستا می توان از برنامه های دیگر نظیر : “ngrep” نیز استفاده نمود. برنامه فوق،امکان جستجوی الگوئی خاص نظیر “sername ” و یا ” assword ” را در شبکه فراهم می نماید. ( اولین حروف، بمنظور سازگاری با حروف بزرگ احتمالی ، در نظر گرفته نشده است ) . برای دریافت برنامه فوق ، می توان از آدرس http://www.packetfactory.net/projects/ngrep استفاده نمود . نحوه فعال نمودن برنامه فوق ، بصورت زیر است :

# ngrep assword

در این رابطه می توان از ابزارهای متنوع دیگری بمنظور تشخیص داده های حساس کاربران ( نام و رمز عبور ) استفاده نمود . Dsniff ، متداولترین ابزار در این زمینه است . برنامه فوق ، بررسی لازم در خصوص تمامی زوج نام و رمزعبور بر روی پروتکل های Plain text حجیم، نظیر FTP ، Telnet و POP3 را انجام و پس از تشخیص، آنان را نمایش خواهد داد. برای بدست آوردن برنامه فوق می توان از آدرس http://www.monkey.org/~dugsong/dsniff استفاده نمود . نحوه فعال نمودن برنامه فوق ، بصورت زیر است :

# /usr/sbin/dsniff

نحوه حفاظت در مقابل نقطه آسیب پذیر
استفاده از رمزنگاری End-To-End و یا حداقل رمزنگاری Link-level می تواند در این زمینه مفید واقع گردد. برخی پروتکل ها از لحاظ رمزنگاری معادل یکدیگر می باشند( نظیر : POP3S و HTTPS ) . برای پروتکل هائی که دارای قابلیت ها و امکانات , ذاتی رمزنگاری نمی باشند ، می توان آنان را از طریق SSH : Secure Shell ، و یا SSL connection انجام داد( tunneling ) .
OpenSSH یک نمونه پیاده سازی شده متداول و انعطاف پذیر ازSSH است.( قابل دسترس در آدرس http://www.openssh.org ) . برنامه فوق، در اکثر نسخه های یونیکس اجراء و می توان از آن بمنظور ارتباطات از راه دور ( replaces telnet ,rlogin ,rsh ) و tunneling ( پروتکل هائی نظیر POP3,SMTP و X11 ) استفاده گردد .
دستور زیر نحوه tunnel نمودن POP3 را بر روی SSH connection نشان می دهد. بر روی سرویس دهنده POP3 ، می بایست سرویس دهنده SSH نیز اجراء گردد. در ابتدا آن را بر روی ماشین سرویس گیرنده اجراء می نمائیم :

# ssh -L 110:pop3.mail.server.com:110 username@pop3.mail.server.com

در ادامه ، برنامه سرویس گیرنده پست الکترونیکی را به localhost اشاره می دهیم ، پورت TCP 110 ( برخلاف روال معمول که بصورت : pop3.mail.server.com ، پورت ۱۱۰ است ) . بدین ترتیب ، تمامی ارتباطات بین ماشین و سرویس دهنده پست الکترونیکی بصورت رمز شده انجام خواهد شد ( tunneled over SSH ) .
یکی دیگر از راه حل های متداول رمزنگاری مبتنی بر tunneling ، استفاده از stunnel است . روش فوق ، پروتکل SSL را پیاده سازی( با استفاده از OpenSSL Toolkit ) و می توان آن را بمنظور tunel نمودن پروتکل های متفاوت plain text بخدمت گرفت . برای دریافت برنامه فوق ، می توان از آدرس http://www.stunnel.org استفاده نمود.

ششمین نقطه آسیب پذیر : : Sendmail
Sendmail ، برنامه ای است که از آن بمنظور ارسال ، دریافت و فوروارد نمودن نامه های الکترونیکی در اغلب سیستم های یونیکس و لینوکس استفاده می گردد. Sendmail ، یکی از متداولترین MTA : Mail Transfer Agent در اینترنت بوده که بطور گسترده ای از آن بعنوان “آژانش توزیع نامه های الکترونیکی” بهمراه سرویس دهندگان پست الکترونیکی ، استفاده می گردد . Sendmail ، یکی از اهداف اولیه مهاجمان در سالیان اخیر بوده و تاکنون حملات متعددی را در ارتباط با آن شاهد بوده ایم. اکثر حملات انجام شده بدلیل قدیمی بودن و یا عدم patch مناسب نسخه های نصب شده ، با موفقیت همراه بوده است .در این رابطه می توان به چندین نمونه از حملات اخیر اشاره نمود :

- CERT Advisory CA-2003-12 Buffer Overflow in Sendmail
- CERT Advisory CA-2003-07 Remote Buffer Overflow in Sendmail
- CERT Advisory CA-2003-25 Buffer Overflow in Sendmail

خطرات و تهدیدات مرتبط با Sendmail را می توان به دو گروه عمده تقسیم نمود : از دست رفتن امتیازات که علت آن buffer overflow خواهد بود و پیکربندی نادرست سیستم که می تواند تبعات منفی را بدنبال داشته باشد ( مثلا” تبدیل یک سیستم به مرکزی آلوده برای توزیع نامه های الکترونیکی ) .عامل اصلی در بروز تهدیدات نوع اول ، عمدتا” به استفاده از نسخه های قدیمی و یا عدم patching مناسب سیستم برمی گردد.علت اصلی تهدیدات نوع دوم ، به استفاده از فایل های پیکربندی پیش فرض و نادرست برمی گردد .

سیستم های عامل در معرض تهدید
تقریبا” تمامی نسخه های لینوکس و یونیکس بهمراه یک نسخه نصب شده از Sendmail عرضه می گردند. سرویس فوق، بصورت پیش فرض فعال می باشد .

نحوه تشخیص آسیب پذیری سیستم
Sendmail ، در گذشته دارای نقاط آسیب پذیر فراوانی بوده که بتدریج وبا ارائه نسخه های جدیدتر و patch های مربوطه ، میزان آسیب پذیری آن کاهش یافته است .هر نسخه قدیمی و یا Patch نشده نرم فزار فوق در معرض آسیب قرار خواهد داشت . بمنطور مشخص نمودن شماره نسخه برنامه sendmail ، می توان از دستور زیر استفاده نمود :

echo \$Z | /usr/lib/sendmail -bt -d0

مسیر مشخص شده sendmail در دستور فوق ، با توجه به پیکربندی سیستم ، می تواند متفاوت باشد. برای آگاهی از آخرین نسخه ارائه شده Sendmail می توان از آدرس http://www.sendmail.org/current-release.html استفاده نمود .

نحوه حفاظت در مقابل نقطه آسیب پذیر
مراحل زیر بمنظور ایمن سازی و حفاظت Sendmail پیشنهاد می گردد :

نسخه موجود را به آخرین نسخه ارتقاء و از آخرین patch های موجود ، استفاده گردد . برای دریافت source code می توان از آدرس http://www.sendmail.org استفاده نمود. در صورتیکه نسخه sendmail بهمراه سیستم عامل ارائه شده است ( یک Package ) ، می توان برای دریافت patch مربوطه به سایت عرضه کنندگان سیستم عامل مراجعه نمود.
برنامه sendmail عموما” بصورت پیش فرض در اکثر سیستم های یونیکس و لینوکس ( حتی آنانی که بعنوان سرویس دهنده mail مورد نظر نبوده و فعالیت آنان در ارتباط با mail نخواهد بود) نصب می گردد. برنامه Sendmail را در حالت daemon بر روی ماشین های فوق ، اجراء ننمائید ( غیر فعال نمودن سوئیچ bd - ) . امکان ارسال نامه الکترونیکی توسط سیستم های فوق ، همچنان وجود خواهد داشت . در این رابطه می بایست پیکربندی سیستم بگونه ای انجام شود که به یک mail relay در فایل پیکربندی sendmail ، اشاره گردد.فایل پیکربندی، sendmail.cf نام داشته و معمولا” در آدرس etc/mail/sendmail.cf قرار دارد .

در صورتیکه لازم است sendmail در حالت daemon اجراء گردد، می بایست از صحت پیکربندی انجام شده اطمینان حاصل گردد. در این رابطه می توان از منابع اطلاعاتی زیر استفاده نمود :
http://www.sendmail.org/tips/relaying.html
http://www.sendmail.org/m4/anti_spam.html
در نسخه Sendmail 8.9.0 ، امکان open relay بصورت پیش فرض غیرفعال می باشد.تعداد زیادی از عرضه کنندگان سیستم های عامل ، مجددا” آن رادر پیکربندی پیش فرض خود فعال می نمایند. در صورت استفاده از نسخه Sendmail ارائه شده بهمراه سیستم عامل ، می بایست دقت لازم در اینخصوص را انجام داد ( عدم استفاده سرویس دهنده برای realying ).
در زمان استفاده از نسخه جدید sendmail ( سوئیچ نمودن به یک نسخه دیگر ) ، لازم است تدابیر لازم در خصوص تغییر فایل های پیکربندی ارائه شده توسط نسخه قدیمی ، اندیشیده گردد . برای آگاهی از جزئیات بیشتر در ارتباط با پیکربندی Sendmail ، می توان از آدرس http://www.sendmail.org/m4/readme.html استفاده نمود.
در مواردیکه برنامه Sendmail از منابع موجود بر روی اینترنت Download می گردد ، می بایست بمنظور اطمینان از مجاز بودن نسخه تکثیری از PGP signature استفاده نمود. در این رابطه لازم است به این نکته دقت شود که بدون بررسی integrity مربوطه به source code برنامه Sendmail ، نمی بایست از آن استفاده شود. در گذشته ، نسخه هائی از Trojan ها در Sendmail مستقر تا در زمان مناسب حرکت مخرب خود را آغاز نمایند . بمنظور دریافت اطلاعات تکمیلی در این رابطه می توان از آدرس CERT Advisory CA-2002-28 استفاده نمود. کلیدهای استفاده شده بمنظور sign نمودن برنامه Sendmail دریافتی را می توان از آدرس http://www.sendmail.org/ftp/PGPKEYS بدست آورد . در صورت فقدان PGP ، می بایست از MD5 Checksum بمنظور بررسی integrity کد منبع Sendmail ، استفاده گردد.

برای کسب اطلاعات بیشتر می توان از منابع اطلاعاتی زیر استفاده نمود :

http://www.sendmail.org/secure-install.html
http://www.sendmail.org/m4/security_notes.html
http://www.sendmail.org/~gshapiro/security.pdf

در بخش چهارم این مقاله به بررسی سایر نقاط آسیب پذیر یونیکس و لینوکس خواهیم پرداخت .

مهمترین نقاط آسیب پذیر یونیکس و لینوکس ( بخش دوم )

سخاروش — Tue, 16 Mar 2010 03:35:55 +0000

سومین نقطه آسیب پذیر : Apache Web Server
آپاچی ( Apache) یکی از متداولترین سرویس دهندگان وب بر روی اینترنت است . در مقایسه با سرویس دهنده وب مایکروسافت ( IIS ) ، آپاچی مسائل و مشکلات امنیتی کمتری را داشته ولی همچنان دارای آسیب پذیری خاص خود است .
علاوه بر وجود نقاط آسیب پذیر در ماژول ها و کد آپاچی ( CA-2002-27 و CA-2002-17 ) ، تکنولوژی های CGI و PHP نیز دارای نقاط آسیب پذیری خاص خود بوده که ضعف های امنیتی آنان به سرویس دهنده وب نیز سرایت می گردد. در صورت وجود نقاط آسیب پذیر در سرویس دهنده آپاچی و یا عناصر مرتبط به آن ، زمینه تهدیدات زیر فراهم می گردد :

غیر فعال نمودن سرویس ( DoS )

نمایش و بمخاطره انداختن فایل ها و داده های حساس

دستیابی به سرویس دهنده از راه دور

بمخاطره افتادن سرویس دهنده ( دستکاری و خرابی سایت )

سیستم های عامل در معرض تهدید
تمامی سیستم های یونیکس قادر به اجراء آپاچی می باشند . آپاچی بصورت پیش فرض بر روی تعداد زیادی از نسخه های یونیکس و لینوکس ، نصب می گردد .علاوه بر امکان فوق ، آپاچی را می توان بر روی میزبانی دیگر که از سیستم عاملی مختلف نظیر ویندوز استفاده می نماید نیز نصب نمود. این نوع از نسخه های آپاچی نیز می تواند دارای نقاط آسیب پذیر خاص خود باشد .

نحوه تشخیص آسیب پذیری سیستم
بمنظور آگاهی و کسب اطلاعات لازم در خصوص نحوه تشخیص آسیب پذیری سرویس دهنده وب آپاچی ، می توان از آدرس های زیر استفاده نمود :

در رابطه با Apache 1.3.x را می توان از آدرس http://www.apacheweek.com/features/security-13

برای Apache 2.0.x می توان از آدرس http://www.apacheweek.com/features/security-20

آدرس های اشاره شده ، دارای اطلاعات فنی لازم بمنظور نحوه تشخیص آسیب پذیری سیستم و پیشنهادات لازم در خصوص ارتقاء وضعیت امنیتی می باشند . استفاده از آدرس: http://httpd.apache.org نیز در این زمینه مفید است .

نحوه حفاظت در مقابل نقطه آسیب پذیر
بمنظور حفاظت یک سرویس دهنده وب آپاچی ، پیشنهادات زیر ارائه می گردد :

اطمینان از نصب آخرین patch ارائه شده
- در این رابطه می توان از آدرس http://httpd.apache.org بمنظور آگاهی از آخرین وضعیت نسخه ها و Patch levels استفاده نمود.
- بمنظور دستیابی به Source code اکثر نسخه های آپاچی، می توان از آدرس http://httpd.apache.org/download.cgi استفاده نمود.
- بمنظور آگاهی و دریافت آخرین Patch های ارائه شده می توان از آدرس http://www.apache.org/dist/httpd/patches/ استفاده نمود.

اطمینان از patching عناصر کلیدی سیستم عامل که آپاچی بعنوان مرجع از آنان استفاده می نماید .در این رابطه لازم است که صرفا” ماژول های ضروری بمنظور صحت عملکرد سرویس دهنده ، در آپاچی کمپایل گردند .لازم است به این نکته اشاره گردد که کرم( mod_ssl ( CA-2002-27 نمونه ای کامل در این زمینه بوده که از نقاط آسیب پذیر در( OpenSSL ( CA-2002-23 استفاده نموده است .

از اجرای آپاچی بعنوان ریشه ، اجتناب و می بایست بدین منظور ، کاربر و یا گروهی خاص با حداقل مجوز ایجاد گردد. سایر پردازه های سیستم ضرورتی به اجراء تحت کاربر و یا گروه فوق را نخواهند داشت .

Chroot ، پتانسیلی است که باعث تعریف مجدد محدوده یک برنامه می گردد . در حقیقت chroot ، باعث تعریف مجدد دایرکتوری ROOT” و یا “/” برای یک برنامه و یا یک Login session می گردد .chroot می تواند بعنوان یک لایه تدافعی استفاده گردد . مثلا” در صورتیکه فردی به کامپیوتر شما دستیابی پیدا نماید ، قادر به مشاهده تمامی فایل های موجود بر روی سیستم نخواهد بود . علاوه بر محدودیت فوق ، محدودیت هائی در خصوص اجرای برخی از دستورات نیز بوجود می آید.در این رابطه یک دایرکتوری با نام chroot/ ، ایجاد و تمامی سرویس های مورد نطر با یک انظباط خاص در آن مستقر می گردند . مثلا” سرویس دهنده آپاچی در chroot/httpd / قرار می گیرد. با توجه به موارد فوق ، می بایست آپاچی را در یک محیط chroot اجراء نمود . درصورتیکه آپاچی بصورت chrooted اجراء و فعالیت خود را آغاز نماید ، امکان دستیابی آن به سایر بخش های موجود در ساختار دایرکتوری سیستم عامل و خارج از chroot وجود نخواهد داشت . بدین ترتیب یک لایه تدافعی مناسب در خصوص سوء استفاده های احتمالی ایجاد می گردد. بعنوان نمونه ، ممکن است یک shell فراخوانده شده و با توجه به اینکه bin/sky / در chroot قرار ندارد ، می تواند زمینه سوء استفاده احتمالی را فراهم نماید. لازم است به این نکته مهم نیز اشاره گردد که Chrooting آپاچی می تواند اثرات جا نبی نامطلوبی را در ارتباط با CGI,PHP ، بانک های اطلاعاتی و سایر ماژول ها و یا ارتباطاتی که محیط سرویس دهنده وب بمنظور سرویس دهی به آنان نیازمند دستیابی به توابع کتابخانه ای خارجی است را بدنبال داشته باشد .روش های متعددی بمنظور chrooting وجود داشته و می بایست از مستندات نرم افزار مورد نظر ، بعنوان یک منبع اطلاعاتی مناسب در خصوص ارائه راهکارهای مربوطه ، استفاده گردد

بمنظور مدیریت یک سرویس دهنده وب ، لازم است فیدبک های لازم در خصوص فعالیت و کارآئی سرویس دهنده و سایر مسائلی که ممکن است یک سرویس دهنده با آنان برخورد نماید را اخذ و در ادامه با آنالیز آنان تمهِیدات لازم در خصوص مسائل موجود را بکار گرفت . سرویس دهنده آپاچی ، قابلیت ها و پتانسیل های انعطاف پذیری را در خصوص logging ارائه می نماید . بنابراین لازم است عملیات logging با دقت نظر بالا بصورت موثر و موشکافانه انجام تا امکان ردیابی هر نوع فعالیت امنیتی غیر مجاز و یا رفتار غیر منطقی سرویس دهنده ، فراهم گردد .پیشنهاد می گردد که با یک نظم خاص از اطلاعات موجود در فایل های لاگ ، آرشیو تهیه شود . بدین ترتیب ، امکان مدیریت فایل های لاگ و بررسی آنان فراهم خواهد شد. بمنظور آشنائی با فرمت های متفاوت لاگ می تواند از منابع زیر استفاده نمود :
- برای Apache 1.3.x از آدرس http://httpd.apache.org/docs/logs.html استفاده شود .
- برای Apache 2.0.x از آدرس http://httpd.apache.org/docs-2.0/logs.html استفاده شود .
در موارد متفاوتی و با توجه به شرایط پیش آمده ممکن است محتوی فایل های لاگ بتنهائی کافی نباشد . وضعیت فوق در مواردیکه از PHP ، CGI و یا سایر تکنولوژی های مبتنی بر اسکریپت استفاده می گردد ، تشدید و می توان بمنظور افزایش توان آنالیز یک تهاجم و سوءاستفاده از یک ضعف امنیتی ، اقدام به ثبت لاگ های مربوط به GET و POST نمود.لاگ نمودن عملیات مرتبط به GET و POST می تواند از طریق mod_Security صورت پذیرد. ModSecurity یک سیستم تشخیص مزاحمین ( Intruder detection ) یوده و پیشگیری های لازم در خصوص یک برنامه وب را ارائه می نماید . سیستم فوق بهمراه سرویس دهنده وب مستقر و یک پوشش امنیتی مناسب را در جهت پیشگیری از یک تهاجم در ارتباط با برنامه های وب فراهم می نماید . ModSecurity ، از سرویس دهنده آپاچی حمایت می نماید .
- http://www.modsecurity.org
- http://www.securityfocus.com/infocus/17064.152.44.126 152.44.126

PHP، CGI،SSI و سایر اسکریپت ها . در این رابطه موارد زیر پیشنهاد می گردد :
- PHP,CGI,SSI و سایر زبان های اسکریپت را غیر فعال نمائید ( مگر اینکه ضرورتی جدی در رابطه با آنان وجود داشته باشد ).
- SSI یا Server Side Includes را که می تواند زمینه مساعدی بمنظور سوء استفاده از سرویس دهنده و الزام آن در جهت اجرای کد ناخواسته گردد را غیر فعال نمائید .
- در صورتیکه ضروری است که از PHP,CGI,SSI و یا سایر زبان های اسکریپت استفاده گردد ، می بایست از SuEXEC استفاده شود. suEXEC ، امکان اجرای اسکریپت ها تحت آپاچی بهمراه یک User Id در مقابل یک Apache User Id را فراهم می نماید در حقیقت suEXEC این امکان را برای کاربران آپاچی فراهم می نماید که قادر به اجرای برنامه های SSI و CGI تحت یک User Id متفاوت نسبت به User Id مربوط به فراخوانی سرویس دهنده وب باشند.بدین ترتیب تهدیدات امنیـتی کاهش و امکان نوشتن و اجرای برنامه های SSI و CGI اختصاصی نوشته شده توسط مهاجمان ، حذف خواهد شد . استفاده از suEXEC ،می بایست توام با آگاهی و دانش لازم باشد چراکه در صورت استفاده نادرست و یا عدم پیکربندی مناسب و شناخت نسبت به مدیریت setupid Root ، خود باعث بروز حفره های امنیتی دیگر خواهد شد.. در این رابطه و بمنظور آشنائی با نحوه عملکرد و استفاده از suEXEC می توان از آدرس های زیر استفاده نمود:
– برای Apache 1.3.x از آدرس http://httpd.apache.org/docs/suexec.html استفاده شود .
– برای Apache 2.0.x از آدرس http://httpd.apache.org/docs-2.0/suexec.html استفاده شود.
- بررسی لازم در خصوص محتوی دایرکتوری cgi-bin و سایر دایرکتوری های شامل اسکریپت ها انجام و لازم است تمامی اسکریپت های پیش فرض نمونه ، حذف گردند.
- ایمن سازی PHP . پرداختن به موضوع فوق با توجه به گستردگی مطالب از حوصله این مقاله خارج بوده و صرفا” به دو نمونه مهم در اینخصوص اشاره می گردد :
- غیر فعال نمودن پارامترهائی که باعث ارائه اطلاعات در HTTP header می گردد .
- حصول اطمینان از اجرای PHP در حالت safe
برای دریافت اطلاعات تکمیلی دراین خصوص می توان از آدرس http://www.securityfocus.com/printable/infocus/1706 استفاده نمود .
- استفاده از ماژولهای اضافه بمنظوربهبود وضعیت امنیتی. مثلا”ماژول mod_Security می تواند باعث حفاظت در مقابل Cross Site Scripting: XSS ، شود . برای آشنائی و مشاهده اطلاعات تکمیلی در این خصوص می توان از آدرس http://www.modsecurity.org استفاده نمود.
- ممیزی و بررسی اسکریپت ها برای نقاط آسیب پذیر شامل XSS & SQL Injection نیز حائز اهمیت است . در این رابطه می توان از ابزارهای متعددی استفاده نمود. نرم افزار Nikto ( قابل دسترس در آدرس http://www.cirt.net/code/nikto.shtml ) یکی از مناسبترین ابزارهای پویش و بررسی CGI است .

چهارمین نقطه آسیب پذیر : account هائی با رمز عبور ضعیف و یا فاقد رمز عبور
استفاده از رمزعبور، روش های تائید کاربر و کدهای امنیتی در هر گونه تعامل ارتباطی بین کاربران وسیستم های اطلاعاتی ، امری متداول و رایج است . اکثر روش ها ی تائید کاربران ، نظیر حفاظت فایل و داده ، مستقیما” به رمزهای عبور ارائه شده توسط کاربران ، بستگی خواهد داشت . پس از تائید کاربران ، امکان دستیابی آنان به منابع مشخص شده فراهم و هر یک از آنان با توجه به امتیازات و مجوزهای نسبت داده شده ، قادر به استفاده از منابع موجودخواهند بود. در اغلب موارد ، فعالیت کاربرانی که مجاز بودن آنان برای دستیابی به منابع ، تائید شده است ، لاگ نشده و یا در صورتیکه فعالیت آنان ثبت گردد ، کمتر سوء ظنی به آنان می تواند وجود داشته باشد . ( آنان پس از تائید وارد میدانی شده اند که بدون هیچگونه ردیابی ، قادر به انجام فعالیت های گسترده ای خواهند بود) . بنابراین ، رمز عبور دارای نقشی حیاتی و اساسی در ایجاد اولین سطح دفاع در یک سیستم اطلاعاتی بوده و از دست رفتن رمز عبور و یا ضعف آن می تواند سیستم را در معرض تهدیدات جدی قرار دهد . مهاجمان پس از دستیابی به رمز عبور کاربران تائید شده ( استفاده از مکانیزم های متفاوت ) قادر به دستیابی منابع سیستم و حتی تغییر در تنظیمات سایر account های تعریف شده و موجود بر روی سیستم خواهند بود،عملیاتی که می تواند پیامدهای بسیار منفی را بدنبال داشته باشد . پس می بایست بپذیریم که وجود یک account ضعیف و یا فاقد رمز عبور می تواند تهدیدی جدی در یک سازمان باشد . در این راستا علاوه بر اینکه می بایست از پتانسیل های ارائه شده توسط سیستم عامل با دقت استفاده نمود ، ضروری است ، تابع یک سیاست امنیتی تدوین شده در رابطه با رمز عبور در سازمان متبوع خود باشیم . تعریف و نگهداری یک account بهمراه رمز عبور مربوطه در سازمان ما تابع چه سیاست امنیتی است ؟ مهمترین و متداولترین نقاط آسیب پذیر در ارتباط با رمز عبور شامل موارد زیر است :

Account تعریف شده دارای رمز عبور ضعیف و یا فاقد رمز عبور است .

عدم حفاظت مناسب کاربران از رمزهای عبور ،صرفنظر از استحکام رمزهای عبور تعریف شده .

سیستم عامل و یا سایر نرم افزارهای موجود ، امکان ایجاد account مدیریتی ضعیف و فاقد رمز عبور را فراهم می نمایند .

الگوریتم های Hashing رمز عبور( رمزنگاری مبتنی بر کلید عمومی بر پایه یک مقدار hash ، استوار بوده و بر اساس یک مقدار ورودی که دراختیار الگوریتم hashing گذاشته می گردد ، ایجاد می گردد. در حقیقت مقدار hash ، فرم خلاصه شده و رمز شده ای از مقدار اولیه خود است ) ، شناخته شده بوده و در اغلب موارد مقدار Hashe بدست آمده ، بگونه ای ذخیره می گردد که امکان مشاهده آن توسط سایرین وجود خواهد داشت. مناسبترین نوع حفاظت در این راستا ، تبعیت از یک سیاست رمز عبور قدرتمند بوده که در آن دستورالعمل ها ی لازم برای تعریف یک رمز عبورمناسب مشخص و در ادامه با استفاده از ابزارهای موجود، بررسی لازم در خصوص استحکام و بی نقص بودن رمز عبور صورت گیرد.

سیستم ها ی در معرض آسیب پذیر
هر سیستم عامل و یا برنامه ای که فرآیند تائید کاربران آن براساس یک User ID و رمز عبور باشد ، در معرض این تهدید خواهد بود.

نحوه تشخیص آسیب پذیری سیستم
در صورتیکه از account هائی استفاده می شود که بین کاربران متعدد و یا کارکنان موقت یک سازمان به اشتراک گذاشته شده و یا کاربران از رمزهای عبور بدرستی حفاظت ننمایند، پتانسیل نفوذ به شبکه توسط یک مهاجم فراهم می گردد.پیکربندی account های جدید کاربران با یک رمز عبور مشابه و یا رمز عبوری که بسادگی قابل حدس باشد نیز فرصتی مناسب را در اختیار مهاجمان بمنظور دستیابی به منابع اطلاعاتی موجود در یک سازمان قرار خواهد داد .
لازم است در خصوص ذخیره سازی رمز عبور hashes تصمیم گیری و مشخص شود که محل استقرار و ذخیره سازی آنان در etc/passwd / و یا etc/shadow / می باشد.قابلیت خواندن فایل etc/passwd /، می بایست توسط تمامی کاربران شبکه وجود داشته تا زمینه و امکان تائید کاربران فراهم گردد. در صورتیکه فایل فوق ، شامل رمزعبور hashed نیز باشد ، در ادامه و پس از دستیابی کاربران به سیستم ، امکان خواندن مقادیر hash فراهم و مهاجمان می توانند با استفاده از یک برنامه cracker ، تلاش خود را جهت شکستن و تشخیص رمز عبور آغاز و به سرانجام برسانند . فایل etc/shadow/ ، صرفا” برای root قابل خواندن بوده و مکانی مناسب بمنظور ذخیره نمودن مقادیر hashes است . در صورتیکه account های محلی ، توسط /etc/shadow حفاظت نشود ، ریسک رمزهای عبور افزایش خواهد یافت . اکثر سیستم های عامل جدید بصورت پیش فرض از etc/shadow / بمنظور ذخیره سازی رمز عبور hashes استفاده می نمایند ( مگر اینکه شرایط فوق توسط نصب کننده تغییر یابد ). در این رابطه می توان از الگوریتم MD5 بمنظور hash نمودن رمزهای عبور نیز استفاده نمود. الگوریتم فوق، بمراتب از الگوریتم قدیمی crypt ایمن تر است .
NIS)Network Information System) ، یک بانک اطلاعاتی توزیع شده بمنظور مدیریت یک شبکه است . در حقیقت NIS ، استانداردی برای اشتراک فایل ها بین سیستم های کامپیوتری متعدد را فراهم و شامل مجموعه ای از سرویس هائی است که بمنزله یک بانک اطلاعاتی از سرویس ها عمل نموده و اطلاعات مربوط به مکان سرویس ( Mapping ) را در اختیار سایر سرویس های شبکه نظیر( Network File System (NFS) ، قرار می دهد. با توجه به ماهیت طراحی بعمل آمده ، فایل های پیکربندی NIS ، شامل رمزهای عبور hash بوده و این امر می تواند امکان خواندن آنان را برای تمامی کاربران فراهم و عملا” رمزهای عبور در معرض تهدید قرار گیرند .نسخه های جدید پیاده سازی شده از NIS ، نظیر +NIS و یا LDAP عموما” دارای استحکام لازم در ارتباط با رمزهای عبور hashes می باشند( مگر اینکه شرایط فوق توسط نصب کننده تغییر یابد). تنظیم و پیکربندی نسخه های فوق ( نسخه های جدید ) ، مشکل تر بوده و همین امر می تواند استفاده از آنان را با تردید و مشکل مواجه نماید .
حتی اگر رمزهای عبور hashes توسط /etc/shadow و یا امکانات پیاده سازی شده ، محافظت گردند ، امکان حدس و تشخیص رمزهای عبور توسط سایر افراد وجود خواهد داشت . در این رابطه می توان به موارد متعدد دیگری نظیر : ضعف رمز عبور ، وجود account های غیر استفاده مربوط به کارکنانی که سازمان خود را ترک نموده اند ، اشاره نمود .سازمان ها معمولا” در رابطه با غیر فعال نمودن account مربوط به کاربران قدیمی کوتاهی نموده و لازم است در این رابطه از روش های خاصی استفاده گرد.
نصب های پیش فرض سیستم های عامل و یا شبکه توسط سازندگان و یا مدیران سیستم و یا شبکه ، می تواند نصب مجموعه ای از سرویس های غیرضروری را نیز بدنبال داشته باشد. رویکرد فوق،با اینکه عملیات نصب سیستم عامل و سرویس ها ی مربوطه را تسهیل می نماید ولی مجموعه ای از سرویس های غیر ضروری و account هائی که بصورت پیش فرض ضعیف ویا فاقد رمز عبور می باشند را بهمراه بر روی سیستم مستقر و پیکربندی می نماید.

نحوه حفاظت در مقابل نقطه آسیب پذیر
بهترین و مناسبترین دفاع در مقابل ضعف رمزهای عبور ، تبعیت از یک سیاست امنیتی مستحکم بوده که دستورالعمل های لازم کهه موجب می شود رمزهای عبور مناسب و مستحکمی توسط کاربران تعریف و توسط مدیران سیستم بصورت مستمر پیوستگی و استحکام آنان بررسی می گردد با حمایت کامل سازمان . مراحل زیر توصیه های لازم برای ارائه یک سیاست امنیتی مناسب می باشد :

اطمینان ازاستحکام و انسجام رمز های عبور . با استفاده از سخت افزار مناسب و اختصاص زمان کافی ، می توان هر رمز عبوری را crack نمود. در این راستا می توان با استفاده ازروش های ساده و در عین حال موفقیت آمیز، عملیات تشخیص رمز عبور را انجام داد . اغلب برنامه های تشخیص دهنده رمزعبوراز روشی موسوم به “حملات مبتنی بر سبک دیکشنری ” ، استفاده می نمایند. با توجه به اینکه روش های رمز نگاری تا حدود زیادی شناخته شده می باشند ، برنامه های فوق ، قادر به مقایسه شکل رمز شده یک رمز عبور در مقابل شکل های رمز شده کلمات دیکشنری می باشند( در زبان های متعدد و استفاده از اسامی مناسب بهمراه جایگشت های مختلف آنان ) . بنابراین ، رمز عبوری که ریشه آن در نهایت یک کلمه شناخته شده باشد ، دارای استعداد ذاتی در رابطه با این نوع از حملات خواهد بود . تعداد زیادی از سازمان ها ، آموزش های لازم در خصوص نحوه تعریف رمزهای عبور را به کارکنان خود داده و به آنان گفته شده است که رمزهای عبور مشتمل بر ترکیبی از حروف الفبائی و کاراکترهای ویژه را برای خود تعریف نمایند.متاسفانه اکثر کاربران این موضوع را رعایت ننموده و بمنظور تعریف یک رمز عبور با نام “password” ، صرفا” اقدام به تبدیل حروف به اعداد و یا حروف ویژه می نمایند ( pa$$w0rd) . چنین جایگشت هائی نیز قادر به مقاومت در مقابل یک تهاجم مبتنی بر دیکشنری نبوده و “pa$$w0rd” به روش مشابهی که “password” تشخیص داده می شود ، crack خواهد شد .
یک رمز عبور خوب ، نمی بایست از ریشه یک کلمه و یا نام شناخته شده ای اقتباس شده باشد .در این راستا لازم است به کاربران آموزش لازم در خصوص انتخاب و ایجاد رمزهای عبور از موارد تصادفی نظیر یک عبارت ، عنوان یک کتاب ،نام یک آواز و یا نام یک فیلم داده شود. با انتخاب یک رشته طولانی که بر اساس رویکردهای خاصی می تواند انتخاب گردد( گرفتن اولین حرف هر کلمه ، جایگزینی یک کاراکتر خاص برای یک کلمه ، حذف تمامی حروف صدادارو سایر موارد ) ، کاربران قادر به ایجاد رمزهای عبور مشتمل بر ترکیبی از حروف الفبائی و حروف ویژه بوده که در صورت مواجه شدن با حملات مبتنی بر دیکشنری ، تشخیص آنان بسختی انجام می شود. لازم است به این نکته نیز اشاره گردد که رمزعبور می بایست براحتی بخاطر سپرده شده و بازیابی ( یادآوری)آن مشکل نباشد ( هدف از ذخیره سازی ، بازیابی است اگر چیزی را ذخیره نمائیم ولی در زمان مورد نظر قادر به بازیابی آن نباشیم ، سیستم ذخیره و بازیابی ما با اشکال مواجه شده است ! ). پس از تدوین دستورالعمل لازم بمنظور تولید رمزهای عبور مناسب و آموزش کاربران بمنظور پایبندی به اصول امنیتی تعریف شده ، می بایست از روتین ها ی جانبی متعددی بمنظور اطمینان از پیروی کاربران از دستوراالعمل های اعلام شده ، استفاده گردد. بهترین گزینه در این راستا ، بررسی صحت رمزهای عبور پس از اعمال تغییرات توسط کاربران است .
پس از ارائه دستورالعمل ها ی لازم و مناسب برای ایجاد رمزهای عبور ، روتین های تکمیلی خاصی می بایست ایجاد تا این اطمینان حاصل گردد که کاربران پایبند به دستورالعمل های ارائه شده بوده اند. بهترین روش در این زمینه ، بررسی صحت اعتبار رمزهای عبور پس از اعمال تغییرات توسط کاربران است . اکثر نمونه های یونیکس و لینوکس می توانند از Npasswd بمنظور بررسی رمز عبور در مقابل سیاست امنیتی موجود استفاده نمایند. سیستم های PAM-Enabled نیز می توانند از Cracklib ( کتابخانه لازم بمنظور هماهنگی با Crack ) بمنظور بررسی رمزهای عبور ایجاد شده ، استفاده نمایند.اکثر سیستم های PAM-enabled را می توان بگونه ای پیکربندی نمود که رمزهای عبوری را که با سیاست های مشخص شده مطابقت ندارد ، رد نمایند .
درمواردیکه امکان استفاده از ابزارهائی نظیر Npasswd و یا کتابخانه های PAM-Enabled ، وجود ندارد، مدیران سیستم و شبکه می توانند از برنامه های کاربردی Cracking در حالت stand-alone و بعنوان یک روتین کنشگرایانه مستمر، استفاده نمایند. LC4 )l0phtcrack version 4) و John the Ripper ، نمونه هائی از برنامه های فوق ، می باشند. لازم است مجددا” به این موضوع اشاره گردد که بدون کسب مجوز لازم از مدیران ارشد سیستم در سازمان ، نمی بایست از برنامه های cracking استفاده گردد.پس از کسب مجوزهای لازم ، می توان عملیات فبررسی رمزهای عبور را بر روی یک ماشین حفاظت شده انجام داد. به کاربرانی که رمزهای عبور آنان crack می گردد، بصورت محرمانه وضعیت فوق گزارش و دستورالعمل های لازم در خصوص نحوه انتخاب یک رمز عبور مناسب نیز به آنان ارائه گردد .اخیرا” و در پاسخ به رمزهای عبور ضعیف ، استفاده از روش هائی دیگر بمنظور تائید کاربران، نظیر بیومتریک (زیست سنجی ) ، نیز مورد توجه واقع شده است .

حفاظت رمزهای عبور مستحکم . در صورتیکه رمزهای عبور hashes در etc/passwd / ذخیره می گردند ، سیستم را بهنگام نموده تا از /etc/shadow استفاده گردد . در صورتیکه بر روی سیتستم NIS و یا LDAP اجراء که امکان حفاظت hashes وجود نداشته باشد ، هر کاربری قادر به خواندن رمزهای عبور hashes و تلاش بمنظور cracking آنان ، خواهد بود.در این رابطه می بایست بررسی لازم در خصوص استفاده از گزینه های ایمن تری از نسخه های NIS و LDAP را انجام داد. تا زمانیکه این نوع برنامه های غیر ایمن وجود داشته و با نمونه های ایمن جایگزین نشده اند، می بایست مجوزهای مربوطه را ایمن و از ابزارهای کنشکرایانه بصورت مستمر استفاده گردد.در این رابطه پیشنهاد می گردد که در مقابل استفاده از الگوریتم قدیمی Crypt بمنظورhash نمودن رمزهای عبور از الگوریتم MD5 استفاده گردد.
حتی اگر رمزهای عبور ، مستحکم و قدرتمند باشند ، در صورت عدم حفاظت آنان توسط کاربران ، سیستم های موجود در یک سازمان در معرض تهدید قرار خواهند گرفت . یک سیاست امنیتی مناسب ، می بایست شامل دستورالعمل های لازم بمنظور آموزش کاربران در رابطه با حفاظت رمزهای عبور می باشد.عدم ارائه رمز عبور به افراد دیگر، عدم نوشتن رمز عبور در محلی که امکان خواندن آن برای دیگران وجود داشته باشد و حفاظت اتوماتیک فایل هائی که رمزهای عبور در آن ذخیره شده اند ، از جمله مواردی می باشند که می بایست به کاربران آموزش داده شود. اغلب کاربران در مواجهه با پیامی مشابه “Your password has expired” که نشاندهنده اتمام عمر مفید یک رمز عبور است ، یک رمز عبور ضعیف را برای خود انتخاب می نمایند ، بنابراین لازم است در فرصت مناسب و قبل از برخورد با اینچنین پیام هائی ، به کاربران آموزش های لازم ارائه گردد.

کنترل دائم و پیوسته accounts . هر account مدیریتی و یا مبتنی بر سرویس که از آن استفاده نمی گردد، می بایست غیر فعال و یا در صورت امکان از روی سیستم حذف گردد. هر account مدیریتی و یا مبتنی بر سرویس که از آن استفاده می گردد ، می بایست دارای رمزعبورجدید و مستحکمی باشد. پیکربندی account های جدید کاربران با رمزهای عبور اولیه (تولیده شده بصورت تصادفی) و ضرورت تغییر رمزهای عبور توسط کاربران و در اولین log in نیز می تواند در این زمینه مفید واقع شود. ممیزی account ها بر روی سیستم را انجام و لازم است در این رابطه یک لیستی اصلی ایجاد گردد .در این رابطه می بایست رمزهای عبور در ارتباط با سیستم هائی نظیر روترها ، چاپگرهای دیجیتالی متصل شده به اینترنت و سایر موارد دیگر نیز مورد بررسی قرار گرفته و روتین هائی خاص بمنظور افزودن account های تائید شده به لیست و یا حذف account هائی که ضرورتی به استفاده از آنان نمی باشد ، پیاده سازی و همواره خود را پایبند به آن بدانیم .اعتبار لیست را در فواصل زمانی خاصی بررسی تا از بهنگام بودن آن اطمینان حاصل گردد.از روتین های خاصی بمنظورحذف account متعلق به کارکنان و یا پیمانکارانی که سازمان را ترک نموده اند ، استفاده گردد .

در بخش سوم این مقاله به بررسی سایر نقاط آسیب پذیر یونیکس و لینوکس خواهیم پرداخت .

مهمترین نقاط آسیب پذیر یونیکس و لینوکس ( بخش اول )

سخاروش — Tue, 16 Mar 2010 03:34:19 +0000

سیستم عامل، یکی از عناصر چهار گانه در یک سیستم کامپیوتری است که دارای نقشی بسیار مهم و حیاتی در نحوه مدیریت منابع سخت افزاری و نرم افزاری است . پرداختن به مقوله امنیت سیستم های عامل ، همواره از بحث های مهم در رابطه با ایمن سازی اطلاعات در یک سیستم کامپیوتری بوده که امروزه با گسترش اینترنت ، اهمیت آن مضاعف شده است . بررسی و آنالیز امنیت در سیستم های عامل می بایست با ظرافت و در چارچوبی کاملا” علمی و با در نظر گرفتن تمامی واقعیت های موجود ، انجام تا از یک طرف تصمیم گیرندگان مسائل استراتژیک در یک سازمان قادر به انتخاب مستند و منطقی یک سیستم عامل باشند و از طرف دیگر امکان نگهداری و پشتیبانی آن با در نظر گرفتن مجموعه تهدیدات موجود و آتی ، بسرعت و بسادگی میسر گردد .
اکثر کرم ها و سایر حملات موفقیت آمیز در اینترنت ، بدلیل وجود نقاط آسیب پذیر در تعدادی اندک از سرویس های سیستم های عامل متداول است . مهاجمان ، با فرصت طلبی خاص خود از روش های متعددی بمنظور سوء استفاده از نقاط ضعف امنیتی شناخته شده ، استفاده نموده و در این راستا ابزارهای متنوع ، موثر و گسترده ای را بمنظور نیل به اهداف خود ، بخدمت می گیرند . مهاجمان ، در این رهگذر متمرکز بر سازمان ها و موسساتی می گردند که هنوز مسائل موجود امنیتی ( حفره ها و نقاط آسیب پذیر ) خود را برطرف نکرده و بدون هیچگونه تبعیضی آنان را بعنوان هدف ، انتخاب می نمایند . مهاجمان بسادگی و بصورت مخرب ، کرم هائی نظیر : بلستر ، اسلامر و Code Red را در شبکه منتشر می نمایند. آگاهی از مهمترین نقاط آسیب پذیر در سیستم های عامل ، امری ضروری است . با شناسائی و آنالیز اینگونه نقاط آسیب پذیر توسط کارشناسان امنیت اطلاعات ، سازمان ها و موسسات قادر به استفاده از مستندات علمی تدوین شده بمنظور برخورد منطقی با مشکلات موجود و ایجاد یک لایه حفاظتی مناسب می باشند.
در مجموعه مقالاتی که ارائه خواهد شد ، به بررسی مهمترین نقاط آسیب پذیر یونیکس و لینوکس خواهیم پرداخت . در این راستا ، پس از معرفی هر یک از نقاط آسیب پذیر ، علت وجود ضعف امنیتی ، سیستم های عامل در معرض تهدید ، روش های تشخیص آسیب پذیری سیستم و نحوه مقابله و یا پیشگیری در مقابل هر یک از نقاط آسیب پذیر ، بررسی می گردد .همزمان با ارائه مجموعه مقالات مرتبط با یونیکس ( پنج مقاله ) ، به بررسی مهمترین نقاط آسیب پذیر در ویندوز ، طی مقالات جداگانه ای خواهیم پرداخت .
همانگونه که اشاره گردید ، اغلب تهدیدات و حملات ، متاثر از وجود نقاط آسیب پذیر در سیستم های عامل بوده که زمینه تهاجم را برای مهاجمان فراهم می آورد . شناسائی و آنالیز نقاط آسیب پذیر در هر یک از سیستم های عامل ، ماحصل تلاش و پردازش دهها کارشناس امنیتی ورزیده در سطح جهان است و می بایست مدیران سیستم و شبکه در یک سازمان بسرعت با آنان آشنا و اقدامات لازم را انجام دهند.
نقاط آسیب پذیر موجود در هر سیستم عامل که در ادامه به آنان اشاره می گردد ، سندی پویا و شامل دستورالعمل های لازم بمنظور برخورد مناسب با هر یک از نقاط آسیب پذیر و لینک هائی به سایر اطلاعات مفید و تکمیلی مرتبط با ضعف امنیتی است .

مهمترین نقاط آسیب پذیر یونیکس:
یونیکس ، یکی از سیستم های عامل رایج در جهان بوده که امروزه در سطح بسیار وسیعی استفاده می گردد . تا کنون حملات متعددی توسط مهاجمین متوجه سیستم هائی بوده است که از یونیکس ( نسخه های متفاوت ) بعنوان سیستم عامل استفاده می نمایند . با توجه به حملات متنوع و گسترده انجام شده ، می توان مهمترین نقاط آسیب پذیر یونیکس را به ده گروه عمده تقسیم نمود :

BIND Domain Name System

Remote Procedure Calls (RPC)

Apache Web Server

General UNIX Authentication Accounts with No Passwords or Weak Passwords

Clear Text Services

Sendmail

Simple Network Management Protocol (SNMP)

Secure Shell (SSH)

Misconfiguration of Enterprise Services NIS/NFS

Open Secure Sockets Layer (SSL)

در بخش اول این مقاله ، به بررسی BIND Domain Name System وRemote Procedure Calls (موارد یک و دو) ، خواهیم پرداخت .

اولین نقطه آسیب پذیر : BIND Domain Name System
نرم افزار BIND ) Berkeley Internet Name Domain) ، در مقیاس گسترده ای و بمنظور پیاده سازی DNS)Domain Name Service) ، استفاده می گردد. BIND ، سیستمی حیاتی است که از آن بمنظور تبدیل اسامی میزبان ( نظیر : www.srco.ir ) به آدرس IP ریجستر شده ،استفاده می گردد .با توجه به استفاده وسیع از BIND و جایگاه حیاتی آن در یک شبکه کامپیوتری ، مهاجمان آن را بعنوان یک هدف مناسب بمنظور انجام حملات ، خصوصا” از نوع DoS)Denila Of Service) انتخاب و حملات متنوعی را در ارتباط با آن انجام داده اند. حملات فوق،از کارافتادن سرویس DNS و عدم دستیابی به اینترنت برای سرویس های مربوطه و میزبانان را می تواند بدنبال داشته باشد. با اینکه پیاده کنندگان BIND ، تلاشی مستمر را از گذشته تا کنون بمنظور برطرف نمودن نقاط آسیب پذیر انجام داده اند ، ولی هنوز تعداد زیادی از نقاط آسیب پذیر قدیمی ، بدرستی پیکربندی نشده و سرویس دهندگان آسیب پذیر در آن باقی مانده است .
عوامل متعددی در بروز اینگونه حملات نقش دارد: عدم آگاهی لازم مدیران سیستم در خصوص ارتقاء امنیتی سیستم هائی که بر روی آنان Bind deamon بصورت غیر ضروری اجراء می گردد و پیکربندی نامناسب فایل ها ، نمونه هائی از عوامل فوق بوده و می تواند زمینه یک تهاجم از نوع DoS ، یک Buffer Overflow و یا بروز اشکال در DNS Cache را بدنبال داشته باشد.از جمله مواردیکه اخیرا” در رابطه با ضعف امنیتی BIND کشف شده است مربوط به یک تهاجم از نوع DoS است . مقاله CERT Advisory CA-2002-15 جزئیات بیشتری را در این رابطه ارائه می نماید. از دیگر حملات اخیر ، تهاجمی از نوع Buffer Overflow است . مقاله CERT Advisory CA-2002-19 جزئیات بیشتری را در این رابطه در اختیار قرار می دهد. درتهاجم فوق ، یک مهاجم از نسخه آسیب پذیر پیاده سازی توابع Resolver مربوط به DNS استفاده و با ارسال پاسخ های مخرب به DNS و اجرای کد دلخواه ، امکان سوء استفاده از نقطه آسیب پذیر فوق را فراهم و حتی دربرخی موارد می تواند زمینه بروز یک تهاجم از نوع DoS را باعث گردد .
تهدیدی دیگر که می تواند در این رابطه وجود داشته باشد ، حضور یک سرویس دهنده BIND آسیب پذیر در شبکه است . در چنین مواردی ، مهاجمان از وضعیت فوق استفاده و از آن بمنزله مکانی جهت استقرار داده های غیر معتبر خود و بدون آگاهی مدیرسیستم استفاده می نمایند. بدین ترتیب ، مهاجمان از سرویس دهنده بعنوان پلات فرمی بمنظور فعالیت های آتی مخرب خود بهره برداری خواهند کرد .

سیستم های عامل در معرض تهدید :
تقریبا” تمامی سیستم های عامل یونیکس و لینوکس بهمراه یک نسخه از BIND ارائه شده اند .در صورت پیکربندی میزبان بعنوان سرویس دهنده ، نسخه ای از BIND بر روی آن نصب خواهد شد.

نحوه تشخیص آسیب پذیری سیستم
در صورت دارا بودن نسخه خاصی از BIND که بهمراه سیستم عامل ارائه و بر روی سیستم نصب شده است ، می بایست عملیات بهنگام سازی آن را با استفاده از آخرین Patch های ارائه شده توسط تولید کننده ( عرضه کننده ) انجام داد. در صورت استفاده از نسخه BIND مربوط به ISC: Internet Software Consortium ، می بایست از نصب آخرین نسخه BIND ، اطمینان حاصل نمود . در صورتیکه BIND نصب شده بر روی سیستم ، نسخه ای قدیمی بوده و یا بطور کامل Patch نشده باشد ، احتمال آسیب پذیری سیستم وجود خواهد داشت . در اکثر سیستم ها ، دستور : “named – v ” ، اطلاعات لازم در خصوص نسخه BIND نصب شده بر روی سیستم را بصورت X.Y.Z نمایش خواهد داد . X ، نشاندهنده نسخه اصلی ، Y ،نشاندهنده جزئیات نسخه و Z نشاندهنده یک Patch Level است . پیشنهاد می گردد ، آخرین نسخه BIND ارائه شده توسط ISC را دریافت و آن را بر روی سیستم نصب نمود. آخرین نسخه موجود Version 9.2.2 بوده و می توان آن را از سایت ISC دریافت نمود. یکی دیگر از رویکردهای کنشگرایانه مرتبط با نگهداری امنیت BIND ، عضویت در گروه های خبری نظیر Symantec برای آگاهی از آخرین هشدارهای امنیتی است . در این راستا می توان از یک برنامه پویشگر بهنگام شده که قادر به بررسی دقیق سیستم های DNS بمنظور تشخیص نقاط آسیب پذیراست ، نیز استفاده گردد .

نحوه حفاظت در مقابل نقطه آسیب پذیر
بمنظور حفاظت در مقابل نقاط آسیب پذیر مرتبط با BIND موارد زیر پیشنهاد می گردد :

غیر فعال نمودن BIND deamon ( به آن named نیز اطلاق می گردد ) بر روی سیستم هائی که بعنوان یک سرویس دهنده DNS در نظر گرفته نشده اند . بمنظور پیشگیری ازاعمال برخی تغییرات خاص ( نظیر فعال نمودن مجدد آن ) ، می توان نرم افزار BIND را از روی اینگونه سیستم ها حذف نمود.

بمنظور بهنگام سازی سرویس دهنده DNS ، از تمامی Patch های ارائه شده توسط تولید کنندگان استفاده و در صورت امکان آن را به آخرین نسخه موجود ارتقاء دهید . برای دریافت اطلاعات تکمیلی در رابطه با نصب مطمئن تر BIND ، از مقالات ارائه شده درسایت CERT و بخش UNIX Security Checklist ، استفاده نمائید .

بمنظور پیچیده تر نمودن حملات اتوماتیک و یا پویش سیستم مورد نظر ، Banner مربوط به ” Version String ” را از BIND حذف و نسخه واقعی BIND را با یک شماره نسخه غیرواقعی در فایل named.conf ، جایگزین نمائید .

امکان ارسال انتقالات Zone را صرفا” برای سرویس دهندگان ثانویه DNS در Domain فراهم نمائید ( secondary DNS servers) . امکان انتقالات Zone در ارتباط با Domain های Parent و Child را غیر فعال و در مقابل از امکان Delegation ( واگذاری مسئولیت ) و فورواردینگ ( Forwarding ) استفاده نمائید .

امکان Recursion و glue fetching را بمنظور حفاظت در مقابل عماکرد ناصحیح DNS Cache ، غیر فعال نمائید .

بمنظور حفاظت در رابطه با استفاده از “named” و تحت تاثیر قرار دادن تمامی سیستم ، BIND را محدود نمائید . بنابراین BIND بعنوان یک کاربر non-privilage در دایرکتوری Chroot اجراء می گردد. برای نسخه شمازه نه BIND از آدرس http://www.losurs.org/docs/howto/Chroot-BIND.html استفاده نمائید .

بمنظور حفاظت در مقابل حملات اخیر و مرتبط با نقاط آسیب پذیر کشف شده BIND می توان از منابع زیر استفاده نمود:

برای نقطه آسیب پذیر DoS در رابطه با ISC BIND 9 از آدرس http//www.cert.org/advisories/CA-2002-15.html استفاده گردد.

چندین نقطه آسیب پذیر DoS در رابطه با ISC BIND 8 از آدرس http://www.isc.org/products/BIND/bind-security.html استفاده گردد .

برای آگاهی و استفاده از پیشنهادات لازم بمنظور نصب ایمن تر BIND بر روی سیستم های سولاریس ، می توان از آدرس : Running the BIND9 DNS Server Securely و آرشیو مقالات ارائه شده در آدرس Afentis استفاده نمود.

دومین نقطه آسیب پذیر : ( Remote Procedure Calls (RPC
با استفاده از RPC برنامه های موجود بر روی یک کامپیوتر قادر به اجرای روتین هائی در کامپیوتر دوم از طریق ارسال داده و بازیابی نتایج می باشند . با توجه به جایگاه عملیاتی RPC ، استفاده از آن بسیار متداول بوده و درموارد متعددی از آن بمنظور ارائه سرویس های توزیع شده شبکه نظیر مدیریت از راه دور ، اشتراک فایل NFS و NIS استفاده می گردد.وجود ضعف های امنیتی متعدد در RPC باعث بهره برداری مهاجمان بمنظور انجام حملات مختلفی شده است .دراکثر موارد ، سرویس های RPC با مجوزهای بیش از حد معمول ، اجراء می گردند . بدین ترتیب یک مهاجم غیر مجاز قادر به استفاده از سیستم های آسیب پذیر در جهت اهداف خود خواهد بود.اکثر حملات از نوع DoS در سال ۱۹۹۹ و اوایل سال ۲۰۰۰ در ارتباط با سیستم هائی بود که دارای ضعف امنیـتی و نقظه آسیب پذیر RPC بودند. مثلا” حملات گشترده و موفقیت آمیز در رابطه با سیستم های نظامی امریکا ، بدلیل نقطه آسیب پذیر RPC کشف شده در صدها دستگاه کامپیوتر مربوط به وزارت دفاع امریکا بوده است . اخیرا” نیز وجود یک ضعف امنیتی DCOM RPC در ویندوز ، باعث انتشار گسترده یک کرم در سطح اینترنت گردید .

سیستم های عامل در معرض تهدید :
تمامی نسخه های یونیکس و لینوکس که بر روی آنان سرویس های RPC نصب شده است در معرض این آسیب می باشند .

نحوه تشخیص آسیب پذیری سیستم
با استفاده از یک پویشگر نقاط آسیب پذیر و یا دستور ” rpcinfo” ، می توان از اجراء یکی از سرویس های متداول RPC بر روی سیستم آگاه گرید :

RPC Service	RPC Program Number
rpc.ttdbserverd	100083
rpc.cmsd	100068
rpc.statd	100024
rpc.mountd	100005
sadmind	100232
cachefsd	100235
snmpXdmid	100249

سرویس های RPC ، عموما” از طریق حملات buffer Overflow ، مورد سوء استفاده قرار می گیرند .علت این امر ، عدم انجام بررسی لازم و کافی در خصوص خطاها و یا اعتبار داده های ورودی توسط برنامه های RPC است . نقاط آسیب پذیر Buffer overflow ، این امکان را برای یک مهاجم فراهم می نماید که داده غیر قابل پیش بینی را ( اغلب بصورت کد مخرب ) به درون حافظه برنامه ، ارسال نماید . با توجه به ضعف موجود در رابطه با بررسی خطاء و صحت داده ، داده ارسالی مکان هائی حساس و کلیدی که مورد استفاده پردازنده می باشند را بازنویسی می نماید.در یک تهاجم موفقیت آمیز Overflow ، کد مخرب ارسالی ،در ادامه توسط سیستم عامل اجراء می گردد . با توجه به اینکه تعداد زیادی از سرویس های RPC ، با مجوزهای بیش از حد معمول ، اجراء می گردند ، استفاده موفقیت آمیز از نقاط آسیب پذیر فوق می تواند امکان دسـیابی غیر مجاز و از راه دور را به سیستم فراهم می نماید.

نحوه حفاظت در مقابل نقطه آسیب پذیر
بمنظور حفاظت سیستم در مقابل حملات مبتنی بر RPC ، موارد زیر پیشنهاد می گردد :

غیر فعال نمودن و یا حذف هر یک از سرویس های RPC که ضرورتی به استفاده از آن بر روی شبکه نمی باشد .

نصب آخرین Patch ارائه شده در رابطه با سرویس هائی که امکان حذف آنان وجود ندارد:
- برای نرم افزار سولاریس از آدرس ( http://sunsolve.sun.com ) استفاده گردد.
- برای IBM AIX از آدرس : http://www.ibm.com/support/us و http://techsupport.services.ibm.com/server/fixes استفاده گردد.
- برای نرم افزار SGI از آدرس : http://support.sgi.com استفاده گردد .
- برای کامپک ( Digital Unix ) از آدرس http://www.compaq.com/support
- برای لینوکس از آدرس : http://www.redhat.com/apps/support/errata و http://www.debian.org./security استفاده گردد .

عملیات جستجو بمنظور آگاهی و نصب آخرین Patch مربوطه می بایست بصورت مستمر انجام شود.

پورت ۱۱۱ ( TCP و UDP ) مربوط به RPC portmapper و پورت ۱۳۵ ( TCP و UDP ) مربوط به Windows RPC را در سطح روتر و یا فایروال بلاک نمائید .

پورت های Loopback ۳۲۷۷۰ ، ۳۲۷۸۹ مربوط بهTCP و UDP را بلاک نمائید .

فعال نمودن یک پشته غیراجرائی بر روی سیستم های عاملی که از ویژگی فوق ، حمایت می نمایند. استفاده از یک پشته غیراجرائی ، لایه ای حفاظتی در مقابل تمامی حملات Buffer overflows نبوده ولی می تواند عاملی موثر در جهت مقابله با برخی از حملات استاندارد گردد.

در ارتباط با سیستم های فایل NFS صادراتی ، مراحل زیر می بایست دنبال گردد :
- استفاده از میزبان / IP مبتنی بر لیست های صادراتی
- پیکربندی سیستم های فایل صادراتی بصورت فقط خواندنی
- استفاده از “nfsbug” برای پویش نقاط آسیب پذیر

برای اخذ اطلاعات تکمیلی در رابطه با نقاط آسیب پذیر RPC ، می توان از آدرس های زیر استفاده نمود :

http://www.cert.org/advisories/CA-2000-17.html

http://www.cert.org/advisories/CA-1999-05.html

http://www.cert.org/advisories/CA-1997-26.html

http://www.cert.org/advisories/CA-2002-26.html

http://www.cert.org/advisories/CA-2002-20.html

http://www.cert.org/advisories/CA-2001-27.html

http://www.cert.org/advisories/CA-2002-25.html

http://www.cert.org/advisories/CA-1999-08.html

http://www.cert.org/advisories/CA-2002-11.html

http://www.cert.org/advisories/CA-1999-16.html

http://www.cert.org/advisories/CA-2001-11.html