مراقبت از داده هاى حساس ( بخش اول )

سخاروش – فرض کنيد هارد ديسک کامپيوتر شما در اختيار فرد و يا افرادى ديگر قرار بگيرد ، آيا آنان مى توانند با بررسى آن اطلاعات خاصى در خصوص شما و نوع فعاليت هائى که انجام مى دهيد را کسب نمايند ؟ در پاسخ مى بايست با صراحت گفت که چنين امرى ميسر است و شايد بيش از آنچيزى که احتمال آن را مى دهيد .

در اين مطلب قصد داريم به بررسى اين موضوع بپردازيم که چگونه يک کارشناس کالبد شکافى اطلاعات کامپيوتر قادر است داده هائى را که به نظر شما مدت ها است از روى کامپيوتر حذف و ظاهرا” اثرى از آنان مشاهده نمى گردد را جان دوباره داده و از آنان استفاده نمايد . بررسى اين موضوع از دو زاويه مى تواند مفيد باشد : اول براى افرادى که قصد بازيافت اطلاعات ( recovery ) خود را دارند و دوم براى افرادى که مى خواهند مقاومت سيستم خود را در مقابل بازبينى هاى غيرمجاز ، افزايش دهند .

به منظور ايمن سازى کامپيوتر ود و حفاظت از اطلاعات حساس موجود بر روى آن لازم نيست که حتما” يک کارشناس حرفه اى کامپيوتر باشيم ، با اندک دانشى نسبت به نحوه عملکرد سيستم عامل نصب شده بر روى کامپيوتر نظير ويندوز، مى توان اقدامات لازم در اين خصوص را انجام داد . افشاى اطلاعات حساس موجود بر روى هارد ديسک ، آگاهى از وب سايت هاى مشاهده شده و فايل هائى که از طريق اينترنت download شده اند و بازيابى فايل هاى حذف شده، از جمله مواردى مى باشند که مى تواند توسط هر فردى که به سيستم شما دستيابى پيدا مى نمايد و داراى دانش مختصرى در رابطه با نحوه بازيافت اطلاعات است، مورد سوء استفاده قرار گيرد . افراد فوق با در اختير گرفتن مجموعه اى از ابزارهاى موجود که بدين منظور و گاها” با اهداف خيرخواهانه طراحى شده اند ، مى توانند حتى اقدام به بازيابى داده هائى نمايند که شما قبلا” آنان را حذف نموده ايد . آنان در اين رابطه اقدام به بازيابى مجموعه اى از بيت ها و بايت ها نموده و در ادامه با قرار دادن آنان در کنار يکديگر، قادر به دستيابى و مشاهده اطلاعات حذف شده خواهند بود .

داده هاى مخفى و نحوه يافتن آنان
کامپيوترهاى موجود در منازل و يا سازمان ها مملو از داده هائى است که کاربران از وجود آنان بر روى سيستم خود بى اطلاع مى باشند . حتى تعداد زيادى از کارشناسان حرفه اى فن آورى اطلاعات يز در اين رابطه اطلاعات و يا شناخت مناسبى را ندارند . بر روى کامپيوتر مکان هاى دنج و خلوتى وجود دارد که داده ها در آنجا مخفى شده و با شناخت مناسب نسبت به محل اختفاى آنان، احتمال بازيابى و سوء استفاده از آنان وجود خواهد داشت . با بازرسى مکان هاى فوق و بررسى ردپاى داده هاى به جا مانده بر روى سيستم، مى توان اطلاعات زيادى در خصوص استفاده کننده کامپيوتر و نوع فعاليت هاى وى را کسب نمود و حتى متوجه شد که وى با چه سرويس دهندگانى ارتباط داشته است . در ادامه به بررسى متداولترين موارد در اين خصوص خواهيم پرداخت .

آگاهى از وب سايت هاى مشاهده شده
جملگى مى دانيم که با بررسى history مرورگر و فايل هاى موقت اينترنت ( Cache ) ، مى توان آگاهى لازم در خصوص وب سايت هاى مشاهده شده توسط کاربر يک کامپيوتر را پيدا نمود . در صورتى که نمى خواهيم ردپاى استفاده از وب بر روى سيستم برجاى بماند ، مى بايست اين نوع فايل ها را حذف نمود .( فرآيندى ساده در اکثر مرورگرها ) . کليک بر روى يک دکمه به منظور حذف يک فولدر به تنهائى کافى نبوده و همچنان احتمال بازيابى آنان وجود خواهد داشت . حتى در مواردى که اقدام به پاک نمودن history مرورگر مى شود ، تمامى فايل ها حذف نخواهند شد !

سرنخ وب سايت هاى مشاهده شده در مکان هائى ديگر مخفى شده و همچنان باقى خواهند ماند . با بررسى فولدرهاى Favorites و يا Bookmarks نيز مى توان اطلاعات زيادى در خصوص سايت هائى که توسط يک کاربر به تناوب استفاده مى گردد را پيدا نمود . بررسى فولدر کوکى ( Cookies ) نيز مى تواند نشاندهنده سايت هاى مشاهده شده توسط يک کاربر باشد . نظر شما در رابطه با آدرس هائى که در بخش آدرس مرورگر تايپ مى گردد و ادامه آن به صورت اتوماتيک توسط برنامه مرورگر درج مى گردد ، چيست ؟ يک فرد آشنا به کامپيوتر مى تواند با تايپ تصادفى حروف ، متوجه شود که شما قبلا” چه آدرس هائى را در اين بخش مستقيما” تايپ نموده ايد . آدرس وب سايت هائى را که شما مستقيما” در بخش آدرس يک مرورگر تايپ مى نمائيد ( منظور کليک بر روى ليک هاى pop up نمى باشد ) در کليد ريجسترى زير ذخيره مى گردند :

HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\TypedURLs

حذف history در مرورگر IE باعث حذف URLs تايپ شده مى گردد . در صورت تمايل، مى توان اين عمليات را مستقيما” و با اجراى برنامه regedit انجام داد . در چنين مواردى مى توان يک و يا چندين URLs را مستقيما” حذف نمود ( يافتن کليد ريجسترى اشاره شده ، انتخاب يک و يا چندين URLs ، کليک سمت راست و فعال نمودن دکمه Delete ) . بررسى فولدرهاى My Download و دايرکتورى هاى temp نيز مى تواند مشخص کننده فايل هاى Downlaod شده توسط شما باشد .

با استفاده از نرم افزارهائى که بدين منظور طراحى شده است ، مى توان به سادگى تمامى “نشانه هاى وب ” را از روى سيستم پاک نمود . Web Cache Illuminator ، يک نمونه در اين رابطه است .

در صورتى که شما از طريق يک فايروال از اينترنت استفاده مى نمائيد ، در اغلب موارد فايروال مربوطه و يا سرويس دهنده پروکسى ليستى از وب سايت هاى مشاهده شده توسط کاربران و يا کامپيوترهاى موجود در شبکه را ثبت مى نمايد .

ساير مکان هاى داده هاى مخفى

علاوه بر موارد اشاره شده در خصوص محل اختفاى داده ها خصوصا” وب سايت هاى مشاهده شده ، مکان هاى ديگرى نيز وجود دارد که احتمال ذخيره سازى داده ها و بالطبع بازيابى ( بازيافت ) آنان توسط افراد غير مجاز وجود خواهد داشت :

برنامه هاى واژه پرداز و ساير برنامه هائى که فايل هاى موقتى را ايجاد مى نمايند . اين فايل ها معمولا” به صورت اتوماتيک و پس از خروج از برنامه و يا حتى راه اندازى کامپيوتر ، حذف نمى گردند . فايل هاى فوق ممکن است در فولدرى مشابه با محل نصب برنامه و يا فولدرهاى موقتى که بدين منظور توسط برنامه ايجاد مى گردد ، ذخيره شوند .

Clipboard مربوط به ويندوز و يا آفيس ، مى تواند داده هائى را که اخيرا” توسط سند مربوطه Cut و Copy شده اند ، افشاء نمايد. ( حتى در صورتى که سند مورد نظر حذف گردد ) . Clipboard آفيس ، مى تواند شامل چندين آيتمى باشد که در طى مراحل قبل Cut و Copy شده اند ( صرفا” شامل آخرين آيتم نمى باشد ) .

برنامه هاى IM يا Instant Messenger ممکن است بگونه اى پيکربندى شده باشند که ماحصل مکالمه و يا محاوره انجام شده را در يک فايل و بر روى هارد ديسک ذخيره نمايند . سيستم هاى IM سرويس گيرنده – سرويس دهنده که از طريق يک سرويس دهنده IM مرکزى امکان ارتباط را فراهم مى نمايند ، ممکن است ماحصل مکالمه و يا گفتگوى انجام شده را بر روى سرويس دهنده ذخيره نمايند . ليست تماس و يا buddy موجود در اين نوع نرم افزارها نيز نشاندهنده افرادى است که شما عموما” با آنان ارتباط برقرار مى نمائيد ( مثلا” چت ) .

نرم افزار پست الکترونيکى و يا برنامه مربوط به نگهدارى ليست تماس شما ، ممکن است باعث افشاى اطلاعات موجود در آن نظير آدرس پست الکترونيکى ، آدرس فيزيکى و شماره تلفن افرادى گردد که شما با آنان در ارتباط هستيد . همچنين تقويم و ليست فعاليت هاى روزمره نيز مى تواند برخى اطلاعات شما را افشاء نمايد .

فولدر My Documents نيز مى تواند اسنادى را که اخيرا” با آنان کار نموده ايد را مشخص نمايد . playlist مربوط به نرم افزارهاى Media Player و بخش history آنان نيز مى تواند نشاندهنده فايل هاى تصويرى و صوتى باشد که آنان را مشاهده و يا گوش داده ايد .

درايوهاى مربوط به tape ، سى دى ، فلاپى و حافظه هاى فلش نيز ممکن است همچنان داراى نسخه هائى از اسناد و فايل هائى باشند که شما آنان را از روى کامپيوتر حذف نموده ايد .

اطلاعاتى که اخيرا” شما اقدام به حذف آنان نموده ايد ، ممکن است همچنان و تا زمان Shut down نمودن کامپيوتر در حافظه و يا حافظه مجازى ( فايل هاى swap ) موجود باشند .

در بخش دوم به بررسى فرآيند حذف يک فايل و نحوه بازيابى مجدد آنان خواهيم پرداخت .