با وجود کارایی زیاد و انعطاف پذیری بالای زبان برنامه نویسی جاوا، این ابزار قدرتمند و رو به توسعه هنوز نتوانسته جایگاه مناسبی برای پیاده سازی پروژه های تجاری در مقایسه با سایر framework های موجود بیابد. از جمله دلایل اصلی عدم استفاده از جاوا در بیشتر پروژه های بزرگ تجاری، می توان به مشکل بازگشت پذیری یا decompile شدن کدهای نوشته شده، با این زبان برنامه نویسی اشاره کرد که این خود به تنهایی یک معضل بزرگ امنیتی در مسیر توسعه نرم افزارهای تجاری با استفاده از این ابزار به شمار می آید.
برنامه های نوشته شده در جاوا به دلیل استفاده از واسط زمان اجرای java runtime environment یا به طور اختصار jre برای مهیا کردن بستری مناسب برای جلوگیری از کامپایل مجدد کد منبع و همچنین حفظ قابلیت جابه جایی و استفاده در پلتفرم های مختلف، پس از کامپایل به جای تبدیل شدن به زبان ماشین یا همان «صفر» و «یک» به قالب خاصی از داده ها به نام byte code تبدیل می شود که این خروجی همان قالب قابل فهم و اجرا برای jre است.
همین موضوع باعث می شود کد برنامه های نوشته شده به زبان جاوا را با استفاده از متدهای مهندسی معکوس تا حدود زیادی بازیابی کرد. این مشکل به حدی جدی است که شرکت توسعه دهنده زبان جاوا یعنی سان میکروسیستمز، اقدام به ارائه ابزاری به نام obfuscator برای مبهم سازی کد منبع نوشته شده از طریق تزریق کدهای اضافی به زبان جاوا کرده تا پس از انجام عملیات دیکامپایل، کاربران نتوانند به راحتی قطعات مختلف کد حاصل را درک و تفسیر کنند.
اجرای این برنامه به گونه ای است که در بدنه توابع و کلاس ها در نتیجه نهایی و خروجی اصلی برنامه تغییری را در پی نخواهد داشت. البته استفاده از این متد که به صورت توکار (یا درون ساخت built-in) هم در کتابخانه های جاوا و هم توسط ide پیش فرض شرکت سان، یعنی netbeans نیز پشتیبانی می شود، نمی تواند تمام آنچه که برنامه نویسان برای ایجاد امنیت بیشتر به آن نیاز دارند را تامین کند. گذشته از این، استفاده از روش مذکور سبب افزایش حجم فایل اجرایی پس از کامپایل، کندی در بارگذاری و اجرای برنامه، سخت تر شدن انجام عملیات اشکال زدایی (دیباگ)، بالا بردن میزان استفاده از حافظه اصلی و تحمیل بار مضاعف بر دوش پردازنده به دلیل استفاده مکرر از حلقه های تکرار و تصمیم گیری می شود.
در این میان روشی کاملا ابتکاری توسط برخی برنامه نویسان برای هر چه بالاتر بردن ضریب امنیت در کدهای جاوا یا حتی دیگر زبان های برنامه نویسی که از یک قالب همسان با فریم ورک جاوا بهره می برند، ارائه شده است. این روش که به متد رمزگذاری (encryption) معروف است، هم اکنون به عنوان یکی از بهترین و موثرترین راه حل های مطرح شده برای حفاظت از کدهای جاوا شناخته می شود. تفاوت عمده این روش با دیگر متدها در این است که روش رمزگذاری از آغاز تا پایان باید توسط برنامه نویس و گروه توسعه دهنده پروژه پیاده سازی شود؛ برخلاف روش obfuscator که برای مبهم کردن کد منبع از الگوهای محدود و تکراری استفاده می کند.
شاید این موضوع در نگاه اول کمی دشوار به نظر برسد اما کارایی واقعی روش رمزگذاری به این موضوع وابسته است که منطق رمزنگاری در برنامه شما می تواند کاملا متفاوت با تصور دیگران یا به عبارت دیگر کاملا ابتکاری و شخصی باشد.
رفتار متد رمزگذاری
در این روش فرض بر این است که تمام یا تعدادی از کلاس های نوشته شده، به جز کلاس اصلی پروژه و کلاسی که قرار است عملیات کدبرداری دیگر کلاس ها را انجام دهد، با استفاده از یک برنامه واسط و یک کلید اصلی به مجموعه ای از کاراکترهای غیرقابل فهم و نامفهوم تبدیل شده است. سپس کلاس های کدشده در مسیر مناسب به پروژه افزوده می شوند.
کلاس اصلی پروژه باید بتواند با استفاده از توابعی که برای رمز گشایی کلاس های کدشده توسط برنامه نویس طراحی شده اند، کلاس های مذکور را در حافظه دیکد و بازسازی کند تا در محل و زمان مناسب فراخوانی و استفاده شوند. به این ترتیب حتی بعد از دیکامپایل شدن برنامه نیز کاربران با انبوهی از کلاس های رمزگذاری شده و کاراکترهای غیرقابل فهم روبه رو خواهند شد.
نحوه پیاده سازی
پیش از هر چیز باید گفت که بهترین حالت ممکن برای پیاده سازی روش رمزگذاری، زمانی است که تمام برنامه نویسی های مربوط به کلاس ها و متدهایشان به صورت کامل انجام شده و پروژه آماده کامپایل شدن نهایی باشد. همان طور که پیشتر نیز گفته شد، برای پیاده سازی این متد ما نیاز به یک برنامه واسط برای رمزنگاری کلاس های مورد نظرمان با استفاده از یک کلید اصلی و بر اساس الگویی که برنامه نویس مشخص کرده است داریم. برای نمونه، برنامه ساده ای بنویسید که تمام کاراکترهای یک فایل از نوع کلاس جاوا را به عنوان ورودی دریافت کرده و با یک مقدار به عنوان کلید اصلی xor کند. سپس باید کلاس یا تابع مستقلی برای کدبرداری کلاس های رمزگذاری شده با استفاده از همان کلید اصلی نوشته شود تا در هنگام اجرای برنامه بتوانیم با فراخوانی آن، کلاس های کد شده را در حافظه رمزگشایی و دوباره سازی کنیم و سرانجام برنامه بدون هیچ مشکلی بتواند اجرا شود. توجه داشته باشید که کلید اصلی به عنوان یک عنصر حیاتی برای حفظ امنیت و حتی ضامن اجرای صحیح برنامه، می تواند برای هر کلاس به صورت متفاوت تولید شود یا از مجموعه چند عملیات پیچیده ریاضی روی مقادیر گوناگون به دست آمده باشد، یا حتی روی یک قفل سخت افزاری ذخیره شود تا برنامه بدون وجود آن اصلا اجرا هم نشود.
برای پنهان ماندن الگوریتم کدبرداری کلاس ها نیز می توانید از فایل های کتابخانه ای پویا و استاندارد (برای ویندوز پسوند dll و برای گنولینوکس پسوند so) نوشته شده با زبان c استفاده کنید. البته در این حالت پیاده سازی الگوریتم رمزگشایی باید در همین کتابخانه ها انجام شود و همین طور برای حفظ قابلیت اجرا و انتقال روی سایر پلتفرم ها نیز باید کتابخانه های مورد نیاز و قابل استفاده روی سایر پلتفرم ها را هم ایجاد کرده و همراه با دیگر منابع به پروژه بیفزایید تا بتوانید با توجه به نوع سیستم عامل، فایل کتابخانه مورد نظر را بارگذاری کرده و توابع مورد نیاز برای رمزگشایی را از داخل این فایل ها فراخوانی کنید.
نتیجه گیری
روش یا متد رمزگذاری راه حل مناسبی برای حفظ امنیت کد برنامه های نوشته شده به زبان جاواست که بر خلاف دیگر روش های معمول در روند عادی اجرای برنامه خللی وارد نمی کند و در صورتی که به درستی پیاده سازی شود حتی می توان با اتکا به آن از فریم ورک جاوا، بدون ترس از دیکامپایل شدن برنامه در پروژه های تجاری بزرگ و مستقل از سکو نیز استفاده کرد و با خیال راحت از مواهب بسیار زیاد جاوا برخوردار شد.
منابع
http://java.sun.com
http://www.javaworld.com
http://www.devarticles.com
محمد جواد احمدی
تاکید دوباره بر ضرورت تدوین آیین نامه ای که مدت هاست در حال تنظیم است
... گفتنی است؛ گسترش خط و زبان فارسی در فضای الکترونیکی، صیانت از حقوق شهروندی در فضای الکترونیکی، و ضع قوانین مورد نیاز برای حفظ امنیت جامعه، خانواده و اشخاص و فراهم آوردن بستر مناسب برای گسترش انجمن های علمی، تشکل های صنفی در حوزه های مختلف فن آوری اطلاعات از جمله راهکارهای پیش بینی شده در این سند است ...
جزئیات تکالیف دولت در حوزه فناوری اطلاعات منتشر شد
... کلیه دستگاه های اجرایی ضمن اتصال به شبکه ملی اطلاعات، پایگاه های اطلاعاتی خود را با رعایت استانداردهای لازم به منظور ایجاد سامانه اطلاعاتی در این شبکه به اشتراک گذاشته و براساس دستورالعملی که توسط وزارت ارتباطات و فناوری اطلاعات تدوین و ابلاغ خواهد شد نسبت به تامین و حفظ امنیت تولید، پردازش، نگهداری و تبادل اطلاعات رایانه ای خود اقدام می کنند ...
جزییات تکالیف دولت در حوزه فناوری اطلاعات منتشر شد
... کلیه دستگاه های اجرایی ضمن اتصال به شبکه ملی اطلاعات، پایگاه های اطلاعاتی خود را با رعایت استانداردهای لازم به منظور ایجاد سامانه اطلاعاتی در این شبکه به اشتراک گذاشته و بر اساس دستورالعملی که توسط وزارت ارتباطات وفناوری اطلاعات تدوین و ابلاغ خواهد شد نسبت به تامین و حفظ امنیت تولید, پردازش, نگهداری و تبادل اطلاعات رایانه ای خود اقدام می کنند ... دانشگاه ها، حوزه های علمیه، موسسات آموزشی، پژوهشی و فناوری دولتی موظفند ضمن اتصال به شبکه مزبور، محتوای علمی و امکانات نرم افزاری و سخت افزاری خود را با حفظ مالکیت معنوی با رعایت استانداردهای لازم روی شبکه علمی قرار دهند ...
فیلتر از جنس خانواده
... حفظ امنیت ملی، فصل مشترک اصول تمام حکومت ها در ورود به مساله فیلترینگ است ... در ایالات متحده و اکثر کشورهای غربی خط قرمزهای اینترنتی علاوه بر مساله امنیت ملی شامل مسائل نژاد پرستانه، پورنوگرافی و سوءاستفاده از کودکان نیز می شود ... در ایران نیز در اسفند ماه سال 86 و به پیشنهاد کارگروه امنیت فرهنگی و محیط رایانه ای و دبیر خانه شورای عالی اطلاع رسانی طرح طراحی نرم افزار نظارت والدین کلید خورد ...
نرم افزار wondershare time freeze v2.0.0
... امروزه روش های مختلفی برای نگهداری از سیستم عامل ها و حفظ سلامتی آن ها استفاده می شود ... برخی از ویژگی های موجود در این نرم افزار:- ایجاد محیط مجازی و حفظ امنیت محیط اصلی - دارای حالت جدید حافظه فیزیکی - دارای رابط گرافیکی کاربری مناسب- پشتیبانی و حفاظت از mbr سیستم ...
سایت های دولتی به فیلتر تهدید شدند
... » وی با اشاره به اینکه هم اکنون میزبانی بیش از 260 سایت دولتی ایرانی در آمریکا و میزبانی بیش از 210 سایت دولتی ایرانی در کشور کانادا انجام می شود؛ تصریح می کند که بالغ بر 70 درصد وب سایت های مهم و حساس دولتی در داخل کشور میزبانی می شوند، اما میزبانی مابقی وب سایت های دستگاه های دولتی به ترتیب در کشورهای آمریکا، کانادا، انگلیس و آلمان است که برای افزایش امنیت اطلاعات این سازمان ها الزام شده که هاستینگ این سایت ها نیز در داخل کشور و با دیتاسنترهای داخلی انجام پذیرد ... امکانات مهیا استکاملا طبیعی است که اطلاعات واجد ارزش که هم به بخش دولتی و هم غیردولتی مربوط می شود، به دلیل حفظ امنیت و منافع ملی، در داخل کشور میزبانی شوند ... از آن زمان تاکنون چند مرکز داده در کشور ایجاد شده، اما با نکاتی درباره وجود ضعف زیرساخت ارتباطی، سطح پایین امنیت، کیفیت پایین خدمات و غیره روبه رو هستند و به گفته برخی کارشناسان، مراکز داده ایجاد شده هنوز فاصله زیادی تا استانداردهای مورد قبول جهانی دارند و جز تعدادی انگشت شمار، بقیه به سوی ارتقای سطح کیفی خدمات تحرکی ندارند ... از دیتا سنتر ملی چه خبربا هجوم تحریم های اینترنتی جهانی اکثر مسوولان دولتی جهت پاسخگویی به نیاز هاستینگ و ایجاد محیط مناسب برای قرار گرفتن محتوا در کشور ما آیین نامه راه اندازی دیتا سنتر ملی را تصویب کردند تا با افزایش سرعت و کاهش تاخیر، امنیت سایت های ایرانی بیش از پیش تامین شود ...
پست الکترونیکی ایرانی راه اندازی می شود
... نصیری ادامه داد: در حال حاضر و با توجه به حساسیت بیشتر برای حفظ امنیت اطلاعات داخل کشور و جلوگیری از انتقال بی مورد اطلاعات شخصی افراد به خارج کشور، تصمیم به توسعه سرویس پست الکترونیک شخصی گرفته شد ...
اسپم و راهکارهای مقابله با آن
... اما این بخشی از فواید تکنولوژی و تغییرات زمانه بود، همین ارسال نامه و پیام کوتاه تبدیل شده به یک رسانه با میلیون-ها مخاطب، در تحقیقاتی که آژانس امنیت اطلاعات اروپا انجام داده مشخص شده که حدود 6/95 درصد از ایمیل-هایی که وارد صندوق پست الکترونیک مخاطبین این رسانه در سراسر دنیا می-شود هرزنامه یا همان نامه-های ناخواسته هستند ... تحقیقات آژانس امنیت اطلاعات و شبکه اروپا (enisa) با بررسی 90 شرکت ارائه دهنده خدمات ایمیل که به بیش از 80 میلیون صندوق پست الکترونیک در 30 کشور اروپایی ارائه خدمات می-کنند دریافت که تنها 4/4 درصد از تمام نامه-های الکترونیکی که وارد ایمیل کاربران می-شوند از سوی افراد آشنا ارسال شده-اند و 6/95 درصد مابقی هرزنامه (اسپم) هستند ... اما چه کسی یا چه کسانی مبادرت به انجام چنین کاری می-ورزند، یا به عبارتی چه کسانی مهارت، دقت و سرعت لازم برای ارسال اسپم را دارند؟ باز هم در تحقیقات آژانس امنیت اطلاعات و شبکه اروپا (enisa) نیز جواب سؤالمان قید شده است، اطلاعات این مؤسسه نشان می-دهد که آمریکا بزرگ-ترین تولید کننده هرزنامه در سطح جهان است به طوری که 8/19 درصد از تمام هرزنامه-ها در این کشور تولید می-شوند ... پس چه کنیم تا دچار چنین بلایی نشویم؟ انتخاب یک میزبان ایمیل خوب و قوی یکی از بهترین راهکارهای پیش رویمان است، همان طور که می-دانید یکی از وظایف اصلی شرکت-های ارائه دهنده سرویس ایمیل، حفظ امنیت و ارائه هر چه بهتر و خدمات است ...
big brother: امنیت و حریم خصوصی در فضای مجازی
... ماهنامه تحلیل گران عصر اطلاعات، افشین فیروزمنش - با توجه به تلاش بسیاری از دولت ها در جهان برای کنترل محتوای الکترونیک رد وبدل شده توسط شهروندان با هدف حفظ امنیت ملی که در برخی کشورهای جهان و به خصوص در آمریکا در چند سال اخیر جنجال گسترده ای برپا کرده این پرسش به ذهن متبادر می شود که این امر اصولا از نظر فنی تا چه میزان امکان پذیر است و چه ابعادی دارد ... ولی معمولا کسانی که آگاهانه برضد نظام سیاسی یک کشور فعالیت کرده و از ابزار فناوری اطلاعات و ارتباطات استفاده می کنند، با استخدام نیروهای توانمند فنی دانش خود را افزایش داده و برای حفظ امنیت خود، اطلاعات شان را بر روی سرورهای داخل آن کشور قرار نمی دهند تا به راحتی شناسایی و ردگیری نشوند ... البته باید توجه داشت که، امنیت در دنیای مجازی یک پدیده ی نسبی است یعنی هیچ روشی به عنوان امن ترین روش وجود ندارد ... متخصصین امنیت در فضای مجازی هر روزه روش های جدیدی برای حفظ امنیت داده ها، اطلاعات، و شبکه می یابند و هم زمان با آنها، نفوذگران و نقض کنندگان امنیت نیز روش های جدیدتری برای نفوذ و مخدوش کردن امنیت آنها ابداع می کنند ... حریم خصوصی اطلاعاتی (information privacy) نیز با سه اصطلاح امنیت داده (data security)، امنیت اطلاعات (information security)، و حمایت از داده (data protection) متردادف است ...
|
صفحه 1
|
2 | 3 | 4 |
|
