فهرست مطالب

نشریه منادی امنیت فضای تولید و تبادل اطلاعات (افتا)
سال ششم شماره 1 (پیاپی 12، پاییز و زمستان 1396)

  • تاریخ انتشار: 1397/01/05
  • تعداد عناوین: 6
|
  • مرور و بررسی روش های جمع چند سویه امن و چالش های موجود
    شادیه عزیزی، مائده عاشوری تلوکی، حمید ملا صفحات 3-14
    در حوزه امنیت اطلاعات، انجام محاسبات ریاضی بر روی داده های خصوصی به صورت امن و گروهی (محاسبات چندسویه امن) بیش از پیش مورد توجه قرار گرفته است. نخستین بار، محاسبات چندسویه امن، در قالب مسئله میلیونرها مطرح شد که در آن دو میلیونر بدون افشای میزان سرمایه خود و بدون استفاده از طرف سوم مورد اعتماد، قصد داشتند بدانند کدامیک ثروتمندتر است. پس از آن مسائل دیگری در حوزه محاسبات چندسویه امن مطرح شد. در این پژوهش مسئله جمع چندسویه امن، در نظر گرفته شده است؛ در جمع چندسویه امن گروهی از کاربران قصد محاسبه مجموع داده محرمانه خود را دارند؛ به طوری که محرمانگی داده های آنها حفظ شود. در این مقاله پیشینه ای از راه حل های موجود در این حیطه بررسی و مقایسه شده اند. به علاوه چالش ها ی موجود در این زمینه بررسی و پیشنهادهایی جهت راه کارهای آینده ارائه شده اند.
    کلیدواژگان: جمع چند سویه امن، حمله تبانی، کانال ناامن
    چکیده مشاهده متن مقاله پژوهشی/اصیل زبان: فارسی
  • معرفی حمله بده بستان زمان-حافظه (TMTO) بر توابع چکیده ساز
    زهرا ذوالفقاری، نصور باقری صفحات 15-26
    در این مقاله به معرفی حمله TMTO و نحوه پیدا کردن نزدیک- برخوردها در یک تابع چکیده ساز پرداخته شده است. با در نظر گرفتن محاسبات چکیده ساز، محاسبه یک حد پایین برای پیچیدگی الگوریتم های نزدیک - برخورد و ساخت یک الگوریتم مطابق با آن آسان است؛ با این حال، این الگوریتم نیاز به مقدار زیادی حافظه دارد و موجب استفاده از حافظه می شود. به تازگی، چند الگوریتم بدون نیاز به این مقدار حافظه ارائه شده اند. این الگوریتم ها نیاز به مقدار بیشتری از محاسبات چکیده ساز دارند؛ اما این حمله در واقعیت عملی تر است. این دسته از الگوریتم ها را به دو دسته اصلی می توان تقسیم کرد: گروهی مبتنی بر کوتاه سازی و گروهی دیگر مبتنی بر کد های پوششی هستند. در این کار، بده بستان زمان - حافظه برای الگوریتم های مبتنی بر کوتاه سازی در نظر گرفته شد. برای پیاده سازی عملی، می توان فرض کرد مقداری از حافظه موجود است و نشان داد که با استفاده از این حافظه قابل توجه پیچیدگی را می توان کاهش داد؛ در مرحله بعد، با استفاده از برخورد های متعدد براساس جدول هلمن، بهبود شناخته شده ترین بده بستان زمان حافظه، برای Kدرخت ارائه شد. در نتیجه، منحنی بده بستان جدید به دست آورده شد، با در نظرگرفتن k = 4 منحنی بده بستان به شکل خواهد بود. در این مقاله، ابتدا روش های TMTO و سپس نحوه پیدا کردن نزدیک-برخورد با استفاده از TMTO شرح داده می شود.
    کلیدواژگان: تابع چکیده ساز، نزدیک، برخورد، بده بستان زمان- حافظه
    چکیده مشاهده متن مقاله پژوهشی/اصیل زبان: فارسی
  • ارائه شاخص های امنیتی در چرخه حیات توسعه سامانه جویش گر بومی
    مهندس نسرین تاج نیشابوری، شقایق نادری، مهندس مهسا امیدوار، مهندس حسن کوشککی صفحات 27-46
    حفظ اعتبار نزد کاربران و ذی نفعان و ارائه خدمات مهم و متنوع با حفظ ویژگی دسترسی پذیری بالا، در جویش گر های بومی قابل تامل و بررسی است؛ از این رو معرفی و نحوه به کارگیری ابزارهای کنترل امنیتی در مولفه ها و اجزای اصلی جویش گر های بومی مانند خزش گر، رتبه بند و نمایه ساز، به همراه ملاحظات امنیتی سرویس های تحت وب جویش گر در تمامی مراحل چرخه حیات توسعه جویش گر های بومی، اصلی ترین محور این مقاله را تشکیل می دهد. این مقاله سعی دارد با بررسی استانداردهای امنیتی مرتبط با چرخه حیات توسعه یک سامانه و با در نظر گرفتن اجزای تشکیل دهنده کلیدی جویش گر های بومی، نحوه ترکیب تمامی این ابعاد را در چرخه حیات توسعه جویش گر های بومی معرفی کرده تا طراحان، با اعمال صحیح و به موقع ملاحظات و کنترل های امنیتی، بتوانند به بهره برداری ایمن و با کیفیتی از مولفه ها و اجزای اصلی جویش گر های بومی دست یابند.
    کلیدواژگان: جویش گر های بومی، چرخه حیات امن توسعه سامانه، ملاحظات امنیتی، کنترل امنیتی، مولفه ها و شاخص های امنیتی در چرخه حیات توسعه سامانه جویش گر
    چکیده مشاهده متن مقاله پژوهشی/اصیل زبان: فارسی
  • شناسایی ریسک های امنیتی در زیست بوم توزیع برنامک سامانه های هوشمند همراه
    سپیده نیک منظر، محمد حسام تدین صفحات 47-66
    با توجه به استفاده روزافزون از سامانه های هوشمند همراه در بین اقشار مختلف جامعه و قابلیت های بسیاری که دستگاه های تلفن همراه در اختیار کاربران قرار می دهند، تضمین امنیت سامانه های هوشمند همراه حائز اهمیت است. یکی از مواردی که امنیت سامانه های هوشمند را به خطر می اندازد، کانال های عرضه و توزیع برنامک ها یا «فروشگاه های برنامک» هستند. بسیاری از سازمان ها به یک روش ارزیابی ریسک جهت حفاظت از دارایی های خود نیاز دارند؛ لذا، شناسایی ریسک های امنیتی موجود در زیست بوم توزیع برنامک ضروری است. هدف این مقاله، شناسایی تهدیدها، آسیب پذیری ها و مهم ترین ریسک های امنیتی در حوزه توزیع برنامک های سامانه هوشمند همراه است. ابتدا مدلی از زیست بوم برنامک ارائه شده و سپس تهدیدات امنیتی براساس تحلیل STRIDE معرفی می شوند. در انتها نیز ریسک های امنیتی موجود در زیست بوم توزیع برنامک ها شناسایی خواهند شد.
    کلیدواژگان: سامانه هوشمند همراه، فروشگاه برنامک، نوزیع برنامک، مدلسازی تهدید، ریسک امنیتی، درخت حمله
    چکیده مشاهده متن مقاله پژوهشی/اصیل زبان: فارسی
  • مطالعه روش های افزایش امنیت اماکن عمومی به کمک بهبود پوشش و نظارت بر آن ها با استفاده از شبکه های حس گر بی سیم
    آقای مرتضی کریمی، نیما جعفری نویمی پور صفحات 67-82
    شبکه های حس گر بی سیم[1] به سرعت در حال رشد در زمینه پژوهشی، کاربردی، عملیاتی و تجاری هستند. این نوع شبکه ها جهت نظارت بر یک ناحیه دلخواه و افزایش امنیت محیط های مورد بررسی بسیار مورد استفاده قرار می گیرند. توانایی های بی شمار این نوع شبکه ها در قبال هزینه اندک، سبب شده است تا نقش های زیادی درزمینه های مختلف ایفا کنند. شبکه های حس گر بی سیم در مقیاس بزرگ از چند صد تا چند هزار گره حس گر ایجاد می شوند که طبیعتا این مقیاس، چالش های فنی بسیار زیادی را به دنبال خواهد داشت.
    یکی از مهم ترین و اساسی ترین چالش، مسئله پوشش[2] و همچنین امنیت در شبکه های حس گر بی سیم است. پوشش، اصلی ترین و پایه ای ترین هدف ایجاد و استقرار شبکه حس گر بی سیم است، چون پوشش با درجه کیفیت[3]، چگونگی و مدت زمان توانایی حس گرها برای تشخیص پارامترها و اهداف از پیش تعیین شده در مناطق و همچنین هزینه پیاده سازی ارتباط مستقیم دارد. در این مقاله، روش های بهبود امنیت اماکن عمومی به کمک افزایش پوشش مناطق با استفاده از شبکه حس گر بی سیم و امنیت این اماکن مورد مطالعه و بررسی قرار داده شده است. نتایج حاصل نشان می دهد با اتخاذ یک پوشش مناسب و بهینه علاوه بر این که با کمینه تعداد حس گرها، کل محیط را می توان پوشش داد، بلکه امنیت اماکن تحت نظارت شبکه را با تعداد گره های کمتر، می توان افزایش داد.
    کلیدواژگان: شبکه های حس گر بی سیم، پوشش، امنیت، نظارت، گره هماهنگ کننده4
    چکیده مشاهده متن مقاله پژوهشی/اصیل زبان: فارسی
  • بررسی جنبه های امنیتی در مولفه ها و معماری جویش گرهای بومی
    حسن کوشککی، شقایق نادری، نسرین تاج نیشابوری، مهسا امیدوار سرکندی صفحات 83-103
    امروزه با رشد شبکه های رایانه ای و افزایش فزاینده محتوا روی اینترنت، تقاضا برای تماشا و جستجوی محتواهایی مثل ویدیو، موسیقی، فایل ها و اسناد زیاد شده است و جویش گرها یکی از عواملی هستند که در زمینه جستجو به هر تقاضایی از طرف کاربران پاسخ می دهند و به آنها کمک می کنند تا سریع تر به اهداف خود برسند. جویش گرها علاوه بر مزیت های بسیاری که دارند در صورت طراحی و پیکربندی ضعیف مولفه های خزش گر، نمایه ساز و رتبه بند، عملکرد نادرستی خواهند داشت و منجر به افشای اطلاعات محرمانه کاربران و وب گاه ها، ارائه نتایج غیر مرتبط و آلوده و غیر امن شدن معماری جویش گر می شوند؛ از این رو توجه به مسائل و جنبه های امنیتی مولفه ها در معماری جویش گرها، از جمله جویش گرهای بومی یکی از الزامات اساسی برای آنها محسوب می شود. مهم ترین بخش هایی که باید امنیت آنها در معماری جویش گرهای بومی تضمین شود، شامل مولفه خزش گر (سیاست های خزش گر، فاکتورهای طراحی، حملات تزریق کد، دسترس پذیری خزش گرها و پایگاه داده خزش گرها)، مولفه نمایه ساز (واحد جستجو، پایگاه داده نمایه ساز، سازوکار های نمایه سازی، فاکتورهای طراحی) و مولفه رتبه بند (سیاست های رتبه بندی، سیاست های دفاعی در برابر وب سایت های آلوده، بهینه سازی منفی جویش گرها یا سئو منفی یا به عبارت بهتر سئو کلاه سیاه) است. محورهای اصلی این مقاله در ابتدا به تهدیدها و آسیب پذیری های مولفه های اصلی جویش گرهای بومی پرداخته است؛ سپس در همین راستا الزامات و سیاست های امنیتی برای سه مولفه اصلی خزش گر، نمایه سازی و رتبه بند که منجر به امن سازی معماری جویش گرهای بومی می شود، ارائه شده است.
    کلیدواژگان: جویشگر، خزش گر، نمایه ساز، رتبه بند و سئو منفی
    چکیده مشاهده متن مقاله پژوهشی/اصیل زبان: فارسی
|
  • Survey of Secure Multiparty Summation protocols and their challenges
    Shadi Azizi, Maede Ashouri Talouki, Hamid Mala Pages 3-14
    Doing a joint and secure computation on private inputs (Secure Multiparty Computation) is an interesting problem in the field of information security. The Millionaire problem is the first SMC problem in which two millionaires wish to know who is richer without disclosing their wealth. Then many problems have been defined in the field of secure multiparty computation. In this paper, the problem of secure multiparty summation is considered where a group of users wants to jointly and securely compute the summation value of their private inputs. We have reviewed and compared the related works in this filed; we have also identified the open issues and future works.
    Keywords: Secure Multiparty Summation, Collusion Attack, Insecure Channel
    Abstract View Paper Research/Original Article Original: Persian
  • Introduction of TMTO attack on Hash Functions
    Zahra Zolfaghari, Nasour Bagheri Pages 15-26
    In this article, we introduce Time Memory Trade Off attack and a method for finding near collisions in a hash function. By considering hash computations, it is easy to compute a lower bound for the complexity of near-collision algorithms, and to construct matching algorithm. However, this algorithm needs a lot of memory, and uses memory accesses. Recently, some algorithms have been proposed that do not require this amount of memory. They need more hash evaluation, but this attack is actually more practical. These algorithms can be divided in two main group: the first group is based on truncation and the second group is based on covering codes. In this paper, we consider the first group that is based on truncation. For practical implementation, it can be assumed that some memory is available, Leurent [10] showed that it is possible to reduce the complexity significantly by using this memory. In the next step, Sasaki et al. [9] proposed improvement of most popular Time Memory Trade off for K-tree algorithm by using multi-collision based on Helman’s table. As a result, they obtained new trade off curve that for k=4 the tradeoff curve will be . In this article, at the first the methods of TMTO, and then the method of finding near-collision by using TMTO are explained.
    Keywords: Hash function, Near-collision, Time Memory Trade Off
    Abstract View Paper Research/Original Article Original: Persian
  • Security Indexes of Development Life Cycle of Local Search Engines
    Nasrin Taj Neyshabouri Engineer, Shaghayegh Naderi Engineer, Mahsa Omidvar Sarkandi Engineer, Hassan Koushkaki Engineer Pages 27-46
    validation among Users, Stockholders, and delivering important and various services with high availability are part of import dimensions of local search engines. This paper provided a comprehensive research result on Combination of security control tools with main components of local search engines, like crawler, ranker, Indexer and security requirements Consideration in all phases of software development life cycle. We organize the existing research works on securing local search engines based on combination of security standards relevant to software development life cycle of systems with key components of local search engines to help developers, software project managers for implementing security controls and requirements properly.
    Keywords: local search engines, secure system development life cycle, security requirements, security controls, security components in development life cycle of local search engines
    Abstract View Paper Research/Original Article Original: Persian
  • Identifying Security Risks in Smartphone App Distribution Ecosystem
    Sepedeh Nikmanzar, Mohammadhesam Tadayon Pages 47-66
    Due to the increasing use of smartphones among different groups of users in society as well as various capabilities that mobile devices provide for users, ensuring the security of smartphones is very important. Distribution markets of apps compromises the security of smartphones. Appstores play an important role in ensuring the security of smartphones and, if security requirements will be followed then they can protect users against malware developers. For this purpose, it is essential to identify security risks for this part of the app ecosystems. In this document, security risks raised in the app ecosystem in the field of app distribution markets have been explained.
    Keywords: Smartphone, Appstore, Thread Modeling, Secutity Risk, Attack Tree
    Abstract View Paper Research/Original Article Original: Persian
  • The study of the methods to increase the security of the public places using coverage improvement and their monitoring based on wireless sensor networks
    Pages 67-82
    The use of Wireless Sensors Networks (WSNs) is rapidly growing in the areas of research, application, operation, and commerce. These kind of networks are used for monitoring a desired region of an environment. So, many abilities of these networks, by considering their lower cost, have caused them to be applicable in various areas. WSNs are designed in scale of hundreds to thousands nodes, wherein this great scale is technologically the most challenging issue. One of the most basic and challenging problem is the coverage issue. Security is another important issue. Coverage is the most paramount goal of creating and implementing of WSNs, because coverage is directly related to the degree of quality, method, and durability of the WSNs for recognizing the parameters and defined aims of the regions, and the implementation cost. In this paper, the methods of improving the security of public places (by increasing the coverage of the regions based on the sensors networks) have been investigated. The results indicate that by choosing an appropriate and optimum coverage, it is possible not only to cover the entire region by utilizing the minimum number of sensors, but also it is possible to increase the security of the monitored places of the network by lesser nodes.
    Keywords: wireless sensor network, coverage, security, monitoring, coordinator node
    Abstract View Paper Research/Original Article Original: Persian
  • Survey Security Aspects in Components and Architecture Local Search Engines
    Pages 83-103
    Nowadays, with burgeoning of computer networks and content on the internet, the demand is high for watching and searching contents like videos, music, files and documents and search engines, one of the factors that responds to the demands of the users and give them help to reach their goals faster. Also, the search engines, which have many advantages in the mistake design and configured components crawler, indexer and ranking, is malfunction that leads to the disclosure of confidential information users and websites, providing irrelevant and pollution results and non-secure search engines architecture. Therefore, considering the security problems and prospects components in the architecture of search engines, including local search engines is essential. The main parts that should guarantee their security in the architecture of local search engines is inclusion of the crawler (crawl policies, design factors, code injection attacks, crawler availability, crawler database), the indexer (search module, indexer database, indexing mechanisms, design factors) and the ranking (ranking policy, negative Search Engine Optimization (SEO)). The main topics of this article at first the threats and vulnerabilities main components in local search engines are studied, then requirements and security policies is provided for the three major components that leads to local search engines with secure architecture.
    Keywords: Search Engine, Crawler, Indexer, Ranking, negative SEO
    Abstract View Paper Research/Original Article Original: Persian