لذت برنامه نویسی

پس بهتر است که این اصول رعایت شود تا کد ما خوانا تر باشد و همانطور که گفتم یکی از ابتدایی ترین بخش های آن انتخاب نام صحیح می باشد.

نام خوب نامی است که قصد و هدف را مشخص کند

نام هایی که ما برای موجودیت های برنامه (متغیر، کلاس، تابع) انتخاب می کنیم باید نشان دهنده قصد و هدف ما از آن موجودیت باشد. یعنی نامی را که انتخاب کرده ایم به ما می گوید که اولا چرا چنین موجودیتی وجود دارد ثانیا چه کار می کند و ثالثا چطوری از آن استفاده می شود. دقت کنید که اگر نامگذاری شما برای رساندن منظور خود نیاز به کامنت گذاشتن دارد بدانید که آن نامگذاری درست نیست و باید نام آن موجودیت را تغییر دهید. مثلا نامگذاری زیر اشتباه است:

int d; // elapsed time in days 

بهتر است که نام متغیر بالا را به شکل زیر تغییر دهیم.

int elapsedTimeInDays;

شاید بگویید که این نامگذاری باعث طولانی شدن نام متغیر ما می شود و تایپ کردن آن زمانبر بوده و باعث پایین آمدن سرعت ما خواهد شد. دقت کنید که با ادیتور ها و IDE های موجود این بهانه کاملا رد می شود زیرا با قدرت و هوشمندی که ابزار های برنامه نویسی دارند لازم نیست که شما نام کل متغیر را تایپ کنید. اما مقدار شفافیتی که این نام با نام قبلی دارد بسیار زیاد است. پس نگران طولانی بودن نباشید و به با معنی بودن بپردازید.

از نامگذاری گمراه کننده پرهیز کنید.

برای انتخاب نام نباید نام هایی استفاده کنید که کسی که کد شما را می خواند به اشتباه بیاندازد و یا سرنخ غلط به او بدهد. مثلا ممکن است که اسم یک متغیر hp قرار داده شده باشد. خب با توجه به معروف بودن hp مشخص نیست که این متغیر دقیقا به چه منظور ساخته شده است و هدف ساختن آن چه بوده است. همچنین اگر مجموعه ای از دانش آموزان دارید که همه آنها را در متغیری به نام studentList ذخیره کرده اید دقت داشته باشید که نوع این متغیر حتما باید از نوع List باشد و آرایه یا ساختمان داده ی دیگری نباشد زیرا که خواننده را به اشتباه خواهد انداخت. اگر نوع متغیر این مجموعه دانش آموزان از نوع لیست نیست پس نام دیگری مانند students برای آن انتخاب کنید تا گویای مطلب باشد و گمراه کننده نباشد.

از نام هایی که خیلی شبیه به هم هستند استفاده نکنید.

استفاده از نام هایی مانند عبارات زیر ممنوع است.

XYZControllerForEfficientHandlingOfStrings
XYZControllerForEfficientStorageOfStrings  

زیرا که بخش بزرگی از این دونام شبیه به هم هستند و همین امر باعث می شود که چشم های خواننده خسته شود و یا برنامه نویسان دیگر آنها را به جای همدیگر استفاده کنند که باعث دردسر خواهد شد. همچنین استفاده از L کوچک و o بزرگ به خاطر این که ممکن است که با اعداد 1و 0 اشتباه گرفته شود ممنوع است. همچنین استفاده از عباراتی مانند klass که همان کلاس است ولی به خاطر کلمه کلیدی بودن با k نوشته شده است تا کامپایلر خطا نگیرد نیز کار درستی نیست.

در تعریف متغیر ها از سری عددی استفاده نکنید.

استفاده از سری عددی به دنبال یک حرف کار بسیار کثیفی است مثل a1,a2,a3,…. با این که این نام ها گمراه کننده نیستند ولی هیچ قصد و منظوری را مشخص نمی کنند و هیچ اطلاعی از متغیر و استفاده از آن را به ما نمی دهند. دقت داشته باشید که نام متغیر باید به 3 سوال گفته شده در بالا پاسخ دهند.

از نامگذاری با معنی و قابل تلفظ استفاده کنید.

کسی که کد شما را می خواند باید کد شما برایش مانند یک نوشته جذاب و قابل فهم باشد مثلا نامی مثل gwda را نمی شود تلفظ کرد و همچنین برای خواننده هیچ معنی خاصی ندارد. همچنین نام getYYYYYY اسمی واقعا بد و بدون معنی می باشد.

همچنین از پیشوند هایی که به پیشوندهای لهستانی معروف هستند و در زبانهای قدیمی رایج بوده اند استفاده نکنید. مثلا استفاده از حرف c قبل از نام کلاس و یا _ قبل از نام فیلد داخلی واقعا کار اشتباهی است و نباید استفاده شود.

انتخاب نام کلاس و تابع

نام کلاس ها را از اسم ها انتخاب می کنیم مانند Account, Employee, Student, Message و نام توابع را به صورت فعل دستوری می نویسیم مثل GetAge و یا InsertName

نام گذاری با توجه دامنه استفاده

اگر متغیری داریم که در یک بخش 3 خطی و کمتر استفاده می شود می توانیم نام آن را کوتاه انتخاب کنیم ولی اگر دامنه استفاده از این متغیر بیشتر از 3 خط است باید نام آن را کامل بنویسیم. پس طول نامگذاری متغیر با اندازه دامنه رابطه مستقیم دارد ولی برای نام کلاس و متد این قضیه به صورت عکس عمل می کند. مثلا هرچه یک متد یا کلاس عام تر باشند بهتر است نام آن کوتاه تر باشد. مثل open یا close که هم برای فایل ها و هم برای دیتابیس و هم برای سوکت ها استفاده می شود. ولی در دامنه های کوچک بهتر است که نام ما کامل باشد تا منظور ما کامل انتقال داده شود.

در نامگذاری کلاس های ارث بری شده می توان یک صفت به نام آن اضافه کرد مثلا کلاس SavingAccount که از کلاس Account ارث بری کرده است.

صریح کد بنویسید

از نام های جوک و شاعرانه و فلسفی و این چیز ها استفاده نکنید و صریح و واضح نام گذاری کنید مثلا نام abort درست است و استفاده از نامی مانند eatMyShorts به جای آن غلط است. درکدتان مزه نریزید و ضرب المثل نزنید و با کدتان لاس نزنید.

برای هر منظور از یک نام مشخص استفاده کنید. مثلا fetch و get, retrieve تقریبا مشابه هم هستند ولی تصمیم بگیرید که در برنامه از یکی استفاده کنید و به آن پایبند باشید و آن را عوض نکنید. عکس قضیه رو هم رعایت کنید. از یک نام برای چند منظور استفاده نکنید و از قاعده هر کلمه فقط برای یک مفهوم استفاده کنید.

کدی که شما می نویسید توسط برنامه نویس ها خوانده خواهد شد. پس مشکلی ندارد که از نام های معمول رشته کامپیوتر استفاده کنید مثل jobQueue . با دیدن این اسم برنامه نویس خواهد فهمید که یک ساختمان داده صف برای job ها در نظر گرفته شده است.

در کد نوشته شده می توان از نام های موجود در problem domain هم استفاده کر مثلا اگر سیستم حسابداری می نویسید می توانید از نام های معمول در حسابداری استفاده کنید.

مطالب گفته شده از کتاب clean code uncle bob آورده شده است.برای درک بهتر مفاهیم این مقاله دوره های زیادی وجود دارد که به مراجعه به آنها درک عمیقی خواهید داشت.

مکانیزم آموزش برنامه نویسی جاوا در این دوره در قالب سناریو محور و کارگاهی با کامل کردن پروژه های دنیای واقعی می باشد.در این آموزش زبان برنامه نویسی جاوا از ابتدایی ترین موارد شروع کرده و تا پیشرفته ترین موارد آموزش می دهد. شما اگر هیچ آشنایی قبلی با زبان برنامه نویسی جاوا هم نداشته باشید با مشاهده این دوره آموزشی می توانید تبدیل به یک برنامه نویس Java شوید. مقدماتی تا پیشرفته بودن دوره اولین نشانه از جامع بودن دوره آموزشی جاوا است.

مکانیزم آموزش برنامه نویسی اندروید | Android ای که در این دوره بکار گرفته شده است در قالب سناریو محور و کارگاهی است و شما با کامل کردن پروژه های برنامه نویسی موبایلی که می توانید عملا در طی دوره بنویسید و از آنها روی گوشی خود استفاده کنید ، برنامه نویسی را آموزش می بینید. شما اگر هیچ پیش زمینه خاصی در یادگیری برنامه نویسی موبایل در اندروید هم نداشته باشید با مشاهده این دوره آموزشی تبدیل به یک برنامه نویس اندروید حرفه ای می شوید . این اولین نشانه از جامع بودن آموزش Android Programming ای است که شما در آن حضور دارید.

پردازش زبان طبیعی (NLP) مجموعه روش های سنتی هوش مصنوعی هستند که برای درک، فهم و تحلیل بهتر زبان طبیعی انسان ها توسط ماشین استفاده می شود. از جمله این روش ها می توان به استخراج نام ها از متن، استخراج موجودیت ها از متن، ریشه یابی کلمات، حذف کلمات زائد از متن و ... نیز اشاره کرد که در سال های اخیر با ترکیب سایر مؤلفه های هوش مصنوعی مانند یادگیری عمیق قدرت درک، فهم و تحلیل داده های متنی توسط روش های پردازش زبان طبیعی افزایش یافته است.

یکی از مهمترین وظایف پردازش زبان طبیعی، تحلیل احساسات داده های متنی می باشد. کاربران انسانی خیلی تمایل دارند تا با استفاده از دستگاه های هوشمند در شبکه های اجتماعی مانند توییتر، فیس بوک، اینستاگرام، واتس اپ و ... احساسات یا نظرات خود را نسبت به یک مطلب، ارائه دهند و آن را با دیگران به اشتراک بگذارند. توییتر یکی از بهترین ابزارهای موجود برای جمع آوری و سنجش افکار کاربران وب در وقایع مختلف می باشد که نسبت به سایر شبکه های اجتماعی از محبوبیت بیشتری بین کاربران وب برخوردار می باشد.

لذا با حجم عظیمی از داده های متنی در شبکه های اجتماعی و انجمن های انلاین اینترنتی روبه رو هستیم که روز به روز به تعداد آن افزوده شده بدون آنکه دانش مفیدی از آن استخراج گردد. تحلیل احساسات به سیستم ها این امکان را می دهند تا با تحلیل و آنالیز کلمات موجود در متن، احساس کاربران را نسبت به یک واقعه یا رویداد استخراج نماید، که به طور معمول دارای دو برچسب مثبت یا منفی می باشد. برای پیاده سازی یک رویکرد یا سیستم تحلیل احساسات دو روش وجود دارد که عبارتند از:

روش های مبتنی بر واژه:

این روش متکی بر یک واژه نامه احساس می باشد، به عنوان مثال در صورت وجود واژه های نفرت انگیز یا شگفت انگیز در یک متن، برچسب Positive یا Negative را به آن متن نسبت می دهد. اما این رویکردها مدام نیاز به بروزرسانی واژه نامه احساسی دارد و برای تحلیل احساسات معنای عینی جملات کاربرد دارد. لذا نمی تواند برحسب معنای ضمنی جملات به آن برچسب تخصیص دهد به عنوان مثال این رویکرد در تخصیص برچسب به جمله من یک ماشین هفته پیش خریدم و امروز بر روی بدنه آن یک لکه ظاهر شد ناتوان است.

روش های مبتنی بر یادگیری ماشین:

در این رویکرد ابتدا مدلی براساس کلمات موجود در دیتاست آموزش دیده و سپس بر روی بخش دیگری از جملات یک دیتاست آزمایش می شود. در صورتی که در مرحله آزمایش دقت قابل قبولی را کسب کند از آن مدل به عنوان یک مدل تصمیم گیرنده یا پیش بینی کننده احساسات سایر جملات یا رکوردهای دیتاست استفاده می شود. روش های و الگوریتم های زیادی در این نوع رویکرد وجود دارد مانند الگوریتم های Random Forest، SVM ، NB و ... . اگر چه این رویکرد نسبت به رویکردها مبتنی بر واژه از دقت بهتری برخورد دار می باشد اما یکی از عیوب این روش انتخاب ویژگی توسط برنامه نویس است.

روش های یادگیری عمیق:

در سال های اخیر برای حل مشکل رویکردهای مبتنی بر یادگیری ماشین از یادگیری عمیق استفاده شده است با استفاده از یادگیری عمیق، دیگر نیاز به انتخاب ویژگی توسط برنامه نویس نیست، اما در مقابل باید حجم داده های آموزشی که برای یادگیری مدل استفاده می شود بسیار زیاد باشد. لذا رویکرد سومی تحت عنوان یادگیری عمیق در سال های اخیر برای تحلیل احساسات داده های متنی شکل گرفته است.میزان دقت رویکرد یادگیری عمیق با توجه به عدم دخالت کاربر در تعیین ویژگی های با اهمیت، نسبت به رویکردهای قبلی کمتر می باشد.

با رشد روز افزون داده ها، باید بپذیریم که حکومت آن ها بر جهان شروع شده است و جهان به دنبال شکار متخصصین این حوزه به منظور مقابله با داده ها می باشد، دانشمندان علم داده | Data Scientist با توانایی های آماری، مصورسازی، دسته بندی، خوشه بندی، پردازش زبان طبیعی، یادگیری عمیق و ... می توانند به عناصر جهان مانند شرکت ها، دولت ها در تحلیل و کسب سوددهی بیشتر از داده ها کمک کنند.

لذا در کاملترین دوره آموزش علم داده | Data Science | مقدماتی تا پیشرفته | سناریو محور و گام به گام در خدمت شما بوده و قصد داریم در پایان این دوره از شما دانشجوی عزیز یک متخصص علم داده يا دانشمند علم داده | Data Scientist بسازیم. متخصص علم داده | Data Scientist یکی از پردرآمدترین شغل های حال حاضر دنیا در قرن جاری می باشد.

در این مطلب قصد داریم با ویژگی های جدید سی شارپ 12 که به تازگی توسط شرکت مایکروسافت و تیم دات نت ارائه شده آشنا شویم. زبان سی شارپ از زمان ارائه، دائم در حال تکامل بوده و با هر نسخه ای که ارائه می شود قابلیت های جدیدی به زبان سی شارپ اضافه می شود.

سرفصل

سازنده های اولیه یا Primary Constructors

در ابندا این قابلیت تنها در رکورد ها قابل استفاده بود و در سی شارپ 12 این قابلیت به class ها و struct ها نیز اضافه شده است. بوسیله این قابلیت می توان پارامترهای سازنده را در مقابل نام کلاس تعریف کرده و از آن در کل بخش های کلاس استفاده کرد. در ادامه نحوه تعریف سازنده های اولیه را مشاهده می کنید:

var p = new Person("Hossein", "Ahmadi");

public class Person(string firstname, string lastname)
{
    public string Firstname { get; set; } = firstname;
    public string Lastname { get; set; } = lastname;
}

عبارات مجموعه ها یا Collection Expressions

این قابلیت روش جدیدی برای مقدار دهی اولیه مجموعه ها را در اختیار برنامه نویسان قرار می دهد. در زیر نمونه هایی از این قابلیت را مشاهده می کنید:

int[] numbers = [1,2,3,4];

List names = ["Hossein","Mehdi", "Mohammad","Ali"];

برای تعریف آرایه های jagged به صورت زیر می توان از این قابلیت استفاده کرد:

int[][] jagged1 = [[1, 2, 3], [4, 5, 6]];


int[] row0 = [1,2,3,4,5];
int[] row1 = [6,7,8,9,0];

int[][] jagged2 = [row0, row1];

یکی از ویژگی های جالب Collection Expressions استفاده از Spread Operator است، این قابلیت به شما این اجازه را می دهد تا مقادیر یک آرایه را داخل یک آرایه دیگر درج کنید، یعنی هر مقدار به صورت جداگانه در یک خانه قرار میگیرد:

int[] row0 = [1,2,3,4,5];
int[] row1 = [6,7,8,9,0];

int[] merged = [..row0, ..row1];

پارامترهای ref readonly

بوسیله این قابلیت پارامترهای یک متد با کلمه کلیدی ref readonly می توانند تعریف شوند:

void SampleMethod(ref readonly int param)
{
    // do something
}

برای یادگیری زبان سی شارپ می توانید از دوره های وب سایت های مختلفی استفاده کنید:که کاملترین آموزش زبان سی شارپ صفر تا صد به همراه پشتیبانی دارند مراجعه کنید.

یک سری نکات برای ارسال مقدار به متدهایی که پارامترهای ref readonly دارن باید رعایت بشه:

1. مقدار ارسالی حتماً باید به صورت متغیر باشه در غیر اینصورت کامپایلر اخطار نمایش میده
2. برای ارسال پارامتر حتماً از کلمات کلیدی ref یا in باید استفاده بشه، در غیر اینصورت کامپایلر اخطار نمایش میده

در ادامه نمونه کدهایی برای فراخوانی متد تعریف شده در بالا مشاهده می کنید:

int num = 12;
SampleMethod(12); // compiler will generate warning
SampleMethod(ref num); // OK
SampleMethod(num);  // compiler will generate warning
SampleMethod(in num); // OK

parameter default value در lambda expression ها

بوسیله این قابلیت امکان مشخص کردن مقدار پیش برای پارامترهای عبارت های lambda وجود خواهد داشت. به عنوان مثال:

var divideExp = (int num1, int num2 = 2) => num1 / num2;

var r1 = divideExp(12);
var r2 = divideExp(12, 3);

همانطور که مشاهده می کنید برای پارامتر num2 مقدار پیش فرض 2 مشخص شده و در زمان فراخوانی، می توان رای num2 مقداری مشخص نکرد.

تعریف alias

بوسیله این قابلیت می توان با alias را برای هر نوع داده ای تعریف کرد. در نسخه های قبلی می بایست حتماً یک نوع داده تعریف شده و بر اساس آن alias را تعریف کرد. اما در سی شارپ 12 این قابلیت به صورت زیر نیز قابل انجام است:

using MyType = (int x, int y);

var mt = new MyType(1,2);

تعریف inline arrays

بوسیله این قابلیت امکان تعریف یک آرایه با طول ثابت بوسیله تعریف struct ها وجود دارد. افزودن این قابلیت برای افزایش Performance برنامه بوده و به گفته خود مایکروسافت کاربرد این قابلیت برای تیم توسعه دهنده دات نت و همچنین برنامه نویس هایی است که کتابخانه هایی را برای استفاده سایر برنامه نویس ها توسعه می دهند. برای تعریف inline arrays از attribute ای با نام InlineArray استفاده می شود که فضای نام System.Runtime.CompilerServices قرار دارد. نحوه استفاده از این قابلیت به صورت زیر است:

[System.Runtime.CompilerServices.InlineArray(12)]
struct Names
{
    private int _element0;
}

var names = new Names();

names[0] = 12;
Console.WriteLine(names[0]);

زمان استفاده از این قابلیت توجه داشته باشید که استفاده از attribute ذکر شده تنها بر روی struct ها مجاز بوده و همچنین داخل نوع داده تعریف شده، حتماً باید یک فیلد تعریف شود.

ExperimentalAttribute

با قرار دادن این Attribute بر روی یک class یا struct یا method، زمان استفاده از آن یک اخطار نمایش داده می شود که این نوع داده یا متد تعریف شده آزمایشی می باشد. تنها در صورتی امکان استفاده از آن وجود خواهد داشت که داخل کد اخطار غیر فعال شد. نمونه کد زیر نحوه استفاده از این قابلیت را نمایش می دهد:

#pragma warning disable C_MyClass_M_DoSomething // Type is for evaluation purposes only and is subject to change or removal in future updates. Suppress this diagnostic to proceed.
c.DoSomething();
#pragma warning restore C_MyClass_M_DoSomething // Type is for evaluation purposes only and is subject to change or removal in future updates. Suppress this diagnostic to proceed.


class MyClass
{
    [Experimental("C_MyClass_M_DoSomething")]
    public void DoSomething()
    {

    }
}

حملات اینترنت اشیا چیست؟

تعداد کل دستگاه های اینترنت اشیا امروزه به میلیاردها مورد می رسد و انبارهای داده عظیمی را ذخیره می کنند. بیشتر این داده‌ها دربرگیرنده­ی اطلاعات شخصی افراد مانند اطلاعات تماس، اندازه‌گیری‌های محیطی و بهداشتی هستند. وقتی نفوذگران سعی می کنند به هر دستگاه یا جریان داده نفوذ کنند، یک حمله رخ داده است. سناریوها می توانند سرقت یا تغییر داده ها، ربودن دستگاه ها یا کل سیستم ها، یا احتمالاً اتصال دستگاه ها به شبکه های مجازی دیگر باشد.

* هنگامی که سیستم اینترنت اشیا به طور فزاینده ای توسعه می یابد، خطر حمله وجود دارد. *

اگر یک سیستم اینترنت اشیا مورد نفوذ قرار گیرد، باعث اختلال در عملکرد سیستم و از کار افتادن آن به صورت کلی خواهد شد. داده های موجود در سیستم عمدتاً بلادرنگ هستند و تأثیر زیادی بر صاحبان خود و کسب و کارشان دارند. تصور کنید در خانه هوشمند خود هستید اما شخص دیگری می تواند از شما جاسوسی کند. بدتر از آن، می توانید خط تولید خودرو را تصور کنید که قرار دادن اشتباه یک قطعه می تواند منجر به از کار افتادن کل ماشین شود یا بدتر از آن، خطایی ایجاد کند که باعث از کار افتادن کل خط شود. در زیر تکنیک های رایج حمله مورد استفاده علیه سیستم های اینترنت اشیا، از جمله حملات فیزیکی، MAC و شبکه آورده شده است.

حملات فیزیکی :

اینترنت اشیا مجموعه ای وسیع و پراکنده از دستگاه ها است. این دستگاه ها بیشتر برای اهداف مکانیکی و لوازم الکترونیکی خانگی هستند تا همه بتوانند به آنها دسترسی داشته باشند. مکانیزم آنها نیز تنها بر مسائل اتصال متمرکز است اما اکثرا بر روی امنیت سرمایه گذاری نکرده­اند. بنابراین خطر بالقوه نفوذ به هر نقطه از سیستم و باز کردن یک آسیب پذیری جدی برای هکرها وجود دارد. حملات فیزیکی مستلزم این است که مهاجم نزدیک سیستم باشد. به عنوان مثال، حسگرها از رمزگذاری AES برای انتقال داده ها استفاده می کنند. هکرها به صورت دستی به دستگاه دسترسی پیدا می کنند و کلید مخفی AES را دریافت می کنند و در نتیجه دسترسی و اطلاعات لازم برای ورود به شبکه را به دست آورده­اند. هکرها حتی می توانند قطعات ماشین ها را جدا کرده و برنامه های مخرب را روی سطح تراشه جاسازی کنند. گفته می شود که حمله فیزیکی بعید است، اما زمانی که انجام شود، عواقب آن غیرقابل پیش بینی است. سرمایه گذاری روی افراد و تقویت حفاظت از سخت افزار کاری است که همه باید انجام دهند، به ویژه شرکت هایی که از اینترنت اشیا در صنعت استفاده می کنند.

* خطر احتمالی حمله فیزیکی به دستگاه ها *

حملات مبتنی بر MAC آدرس دستگاه ها

تعریف MAC :

MAC مخفف Media Access Control است. MAC وظیفه ایجاد مکانیزم آدرس دهی و کنترل دسترسی به دستگاه را دارد. MAC به عنوان یک رابط عمل می کند که انتقال داده ها را در دستگاه IOT آسان تر می کند. علاوه بر این، به چندین گره اجازه می دهد تا به یک محیط فیزیکی متصل شوند و آن محیط را به اشتراک بگذارند. آدرس MAC، همچنین به عنوان آدرس فیزیکی شناخته می شود، رابط پیش فرض یک دستگاه است. هر دستگاه متصل به شبکه فقط یک آدرس MAC برای شناسایی در سیستم دارد. این آدرس به کارت شبکه متصل شده و توسط سازنده مشخص شده است.

* مک آدرس *

حملات مبتنی بر MAC آدرس و خطرات ناشی از آن

انواع مختلفی از حملات MAC وجود دارد. اولین مورد، جعل MAC است که نوعی حمله است که با جعل هویت به سیستم نفوذ می کند. سیستم های اینترنت اشیا در برابر این امر بسیار آسیب پذیر هستند. اکثر دستگاه ها را سازندگان مختلف تولید می کنند و هیچ استاندارد امنیتی مشترکی برای این کار وجود ندارد، بنابراین تشخیص دستگاه های تقلبی دشوار است.

نوع دوم حمله MAC، حمله پارازیت است. سیستم های IOT با مقیاس وسیع و انتقال داده از طریق شبکه های بی سیم، زمینه مناسبی برای این نوع حملات هستند. هکر یک ایستگاه پایه ایجاد می کند و یک سری سیگنال را به دستگاه های موجود در سیستم ارسال می کند. افزایش ناگهانی ترافیک، خط انتقال را از بین می برد و باعث اختلال در سیستم می شود.

* وقتی زندگی به اینترنت اشیا بستگی دارد، حملات MAC تأثیر زیادی دارند. *

حمله شبکه

همه دستگاه ها در اینترنت اشیا یک اتصال اینترنتی یا داخل شبکه دارد، البته هک کردن از طریق شبکه راه مورد علاقه هکرها است. انواع رایج حملات سایبری در این قسمت عبارتند از حمله به وسیله بات نت­ها، مرد میانی یا نصب بدافزار بر روی دستگاه ها

اولین مورد استفاده از باج افزارها می باشد. نفوذگران سعی می کنند نرم افزارهای مخرب پنهان شده در اطلاعات را از طریق شبکه به دستگاه ارسال کنند، اگر کاربر به طور تصادفی آن را دانلود کرد، این نرم افزار را فعال می کنند. باج افزارها اغلب دستگاه­ها را قفل می کنند تا از کاربران باج بگیرند. حمله دیگر استفاده از بات نت­ها است که نوعی استفاده از دستگاه های IOT ربوده شده برای ادامه حمله به سیستم های دیگر است. به لطف کد مخرب نصب شده بر روی دستگاه، هکرها یک شبکه مجازی ایجاد می کنند و سپس حمله DDOS را انجام می دهند، به عنوان مثال داده ها را جمع آوری و از سیستم های دیگر جاسوسی می کنند، هرزنامه ارسال می کنند و برخی موارد دیگر.

نتیجه گیری

امیدواریم مفاهیم و تعاریف موجود در این مقاله، درک و دید بهتری نسبت به حملات سایبری رایج در سیستم اینترنت اشیا را به شما نشان دهد. در واقع هیچکس نمی خواهد، با حملات سایبری و مشکلات امنیتی رو به رو شود اما اتفاق می افتد، بنابراین ما باید همیشه تا حد امکان هوشیار باشیم. فناوری اطلاعات بیش از پیش رشد خواهد کرد و امنیت در اولویت بقای این فناوری است.

به زبان ساده کگل | Kaggle یک پلتفرم آنلاین علم داده است که در مالکیت گوگل بوده و برای دسترسی به مجموعه داه های، روش­های حل و رقابت های یادگیر ماشین (علم داده | Data Science ) استفاده می­شود.

استارت پروژه کگل | Kaggle در سال 2010 توسط آقای آنتونی گلدبلوم و جرمی هوارد با ارائه مسابقات یادگیری ماشین زده شد و امروزه به عنوان یک پلتفرم عمومی در حوزه پردازش داده ها در دسترس عموم قرار گرفته است، کگل در سال 2017 توسط شرکت گوگل خریداری شد و هم اکنون گوگل صاحب آن است.

خدمات ارائه شده توسط کگل | Kaggle :

• رقابت‌های یادگیری ماشین | Machine Learning: اولین محصول کگل بوده و هنوز هم مشهور است.
• کرنل کگل: یک محیط کار بر پایه سرویس ابری که توسط متخصصین علم داده برای پردازش داده و یادگیری ماشین استفاده می شود
• مجموعه داده‌های عمومی: مجموعه از داده ها و کرپس ها بوده که توسط افراد، پژوهشگران و شرکت ها در دسترس متخصصین علم داده قرار گرفته است.

مسابقات کگل | Kaggle :

تاکنون کگل | Kaggle صدها مسابقه در حوزه یادگیری ماشین، پردازش زبان طبیعی | NLP ، پردازش تصویر | Image Processing و ... اجرا کرده است که باعث حل چالش و موفقیت بسیاری از مسائل شده است. از جمله آن می‌توان به پیشرفت‌های مهم در تحقیقات HIV، سیستم های تشخیص چهره و پیش‌بینی ترافیک و ... اشاره کرد.

نحوه برگزاری مسابقات کگل | Kaggle :

نحوه برگزاری مسابقات کگل | Kaggle به این شکل است که ابتدا سازمان یا شرکت، داده های چندسن ساله خود را در اختیار افراد قرار می دهد و سپس مسئله خود را به همراه هدف و میزان جایزه بیان می کند، در ادامه متخصصین علم داده هر یک به نوعی الگوریتم های توسعه داده خود را به همراه خروجی و میزان دقت در پاسخ به مسئله موجود در اختیار تیم داوری قرار می دهند در نهایت تیم داوری با توجه به معیارهای ارزیابی علم داده بهترین رویکرد و راه حل پیشنهاد شده را انتخاب کرده و آن تیم را به عنوان تیم برنده جایزه اعلام می کنند. بسیاری از شرکت های تجاری و بزرگ کارمندان تحلیلی خود را از این سایت انتخاب می کنند.

کرنل کگل | Kaggle:

متخصصین علم داده می توانند در محیط ارائه شده توسط پلتفرم کگل که بر پایه سرویس ابری است به راحتی الگوریتم های یادگیری ماشین خود را توسط دهند و از سخت افزهای این پلترفم برای اجرا و تست برنامه های خود استفاده کنند.

مجموعه داده‌ کگل | Kaggle :

یکی دیگر از مزایای پلتفرم کگل که باعث محبوبیت بیشتر آن شده است دسترسی رایگان متخصصین علم داده به میلیون ها کرپس یا مجموعه داده به منظور اجرا و یادگیری پروژه های علم داده.

پس از گرفتن دسترسی غیرمجاز از سمت یک کامپيوتر نیاز است که داده های مربوط به سیستم را از آن استخراج کنیم که این امر را به عنوان Data exfiltration میشناسیم. به واسطه فرآيند Data exfiltration ما توانایی استخراج داده های موجود در یک سیستم را داریم که این امر می‌تواند استخراج داده ها از سمت یک سیستم با دسترسی فیزیکی ما باشد و حتی میتواند یک سیستم و یا یک شبکه بزرگ آلوده شده به بد افزار باشد.

طبق گزارش های که سالیانه ارائه میشود پروتکل DNS و Port 53 پرچم‌دار در حملات Data Exfiltration میباشند و به واسطه این پروتکل این حمله و این فرآيند استخراج داده ها از سازمان بسیار مورد توجه هکرها و بدافزارها قرار میگیرد زیرا که تجهیزات مدرن مانند NGFW ها ( فایروال های نسل بعدی )، IDS/IPS ها ( سیستم های تشخیص و جلوگیری از نفوذ ) تمرکز عمیقی بر روی این پروتکل ندارند و این پروتکل دراغلب موارد به صورت پیش فرض مجاز میباشد و ارتباطش کاملا باز است اما از این جهت تیم های امنیتی امروزی باید نگاه خود را بیشتر بر روی این پروتکل و اطلاعات آن قرار دهند. ما در این مقاله قصد داریم که بررسی کنیم مفهوم DNS Exfiltration چیست و چگونه پیاده سازی میشود.

• بیشتر ببینید: تست نفوذ شبکه از پایه تا پیشرفته | دوره کامل SANS Security 560 | تست نفوذ به شبکه و زیرساخت سازمانی

مفهوم DNS Exfiltration چیست؟

تا به جای اینجا ما متوجه شدیم که فرآيند Data Exfiltration چیست اما این فرآيند بیشتر یک Tactic میباشد و DNS Exfiltration یک Technique جهت پیاده سازی کردن حمله و فرآيند Data Exfiltration جهت استخراج کردن داده ها از سمت سازمان یا کامپیوتر آسیب دیده

پیاده سازی این فرآيند بسیار ساده اما در عین حال خطرناک میباشد برای مثال یک بار واسطه حمله Dependency Confusion شرکت های بزرگ از حمله Apple و Microsoft و Adobe تحت تاثیر حملات سایبری قرار گرفته بودند و فرد هکر جهت اینکه بتواند اطلاعات و داده های حساس را استخراج کند از حمله DNS Exfiltration استفاده کرده بوده است.

پیاده سازی حمله DNS Exfiltration به صورت اتوماتیک

یکی از ابزارهای پرکاربرد در بحث DNS Exfiltration ابزار DNSteal میباشد که به نوعی میشود گفت یکی از ساده ترین روش ها جهت پیاده سازی DNS Exfiltration است که تمامی مراحل اتوماتیک انجام میشود.
برای استفاده از این ابزار ابتدا آن را از Github این ابزار دانلود میکنیم

git clone https://github.com/m57/dnsteal

پس از دانلود این ابزار آن را اجرا سازی میکنیم

به منظور کارکردن با این ابزار باید از دستور زیر جهت ساخت قرار دادن آدرس خودمان درحالت Listen استفاده کنیم و همچنین از سوییچ -z به منظور اینکه فایل ها از حالت Zip خارج شوند زیرا که به صورت پیش فرض در حالت Zip میباشند.

در بالا میبینیم که دستوراتی برای ما تولید شده است و ما به شکل زیر میتوانیم این دستورات را در سیستم هدف اجرا سازی کنیم و فایل را بر روی سیستم خودمان دریافت کنیم. برای مثال فایلی که قرار است دریافت کنیم TOSINSO.txt میباشد و حاوی رمز عبور 12345 است.

• بیشتر ببینید: دوره آموزش SANS Security 503 | تحلیل و تشخیص نفوذ

ابتدا در سیستم هدف دستور را اجرا سازی میکنیم:

و حالا بر روی سیستم امنیتی خودمان بررسی میکنیم که آیا فایل TOSINSO.txt دریافت شده است یا خیر درصورت دریافت شدن از کنترل C به منظور ذخیره شدن آن استفاده میکنم و فایل را بازمیکنیم مانند تصویر زیر و مقدار 12345 را به راحتی دریافت میکنیم

پیاده سازی حمله DNS Exfiltration به روش دستی

در این روش تمامی فرآيندها و مراحل به صورت کاملا دستی انجام میشود و شما در اینجا نیاز به دو چیز دارید:

• یک نام دامنه ( میتوانید از دامنه های رایگان استفاده کنید )
• یک آدرس IP Static ( میتوانید از یک VPS استفاده کنید و از آدرس IP Public آن استفاده کنید )

در ابتدا ما به سراغ ایجاد و ثبت یک نام دامنه رایگان در وب سایت Freenom.com میرویم و مراحل را به شکل زیر دنبال میکنیم:

• مرحله دوم

• مرحله سوم

• مرحله چهارم

• مرحله پنجم (نهایی)

در تصویر بالا ( تصویر آخر ) میبینید که اینجا ما یک نام دامنه با عنوان exfi.tk را ایجاد کردیم و به صورت فعال میباشد. حالا باید برویم سراغ متصل کردن آدرس IP یا به نوعی Route کردن تمامی درخواست های DNS مربوط به این دامنه به سمت آدرس IP خودمان که اینکار را به واسطه CloudFlare انجام میدهیم و با ساخت یک اکانت رایگان در CloudFlare میتوانیم این موضوع را طی کنیم. دلیل استفاده ما از CloudFlare این میباشد که بقیه سرویس دهنده های رایگان DNS اغلب امکان استفاده و ایجاد NS Record در آنها وجود ندارد.

• بیشتر ببینید: تست نفوذ سازمانی با MetaSploit | دوره SANS Security 580

به همین دلیل ما به سراغ CloudFlare میرویم که با یک حساب رایگان میتوانیم فرآيندمان را به راحتی انجام دهیم و دامنه خودمان را پس ساخت اکانت CloudFlare مانند تصویر زیر ثبت کنیم

• نکته: CloudFlare پس از دریافت نام دامنه به منظور بررسی کردن دامنه و اطمینان از این موضوع که دامنه کاملا به ثبت رسیده است از چند دقیقه تا 24 ساعت زمان لازم دارد پس باید صبور باشید تا CloudFlare این دامنه را تایید کند.

حال قسمت رایگان CloudFlare را انتخاب میکنیم و روی گزینه Continue کلیک میکنیم

توجه کنید که تمامی پارامترهای قرمز رنگ تکمیل شده باشند.

پس از این فرآيند وارد قسمت Management Tools میشویم

در بخش NameServer و NameServer های CloudFlare را از صفحه باز شده کپی و در قسمت NameServer پیست میکنیم و بر روی گزینه Change NameServer میزنیم

تکمیل شدن این فرآيند چند دقیقه تا 24 ساعت زمان میبرد.

حالا برای تایید این موضوع که NameServer ها تغییر کرده اند میتوانیم از ابزار dig استفاده کنیم و اگر خروجی به شکل زیر بود متوجه میشویم که ماجرا به انجام رسیده است

$ dig @8.8.8.8 +short NS exfi.tk

dawn.ns.cloudflare.com.

jack.ns.cloudflare.com.

• نکته: درصورتی که اروری مبندی وجود نداشتن دستور dig‌ گرفتید ( Dig: Command Not Found ) از دستور apt install dig جهت نصب آن استفاده کنید ( برای سیستم های Debian Based )

آماده سازی سیستم جهت حمله DNS Exfiltration

برای این موضوع ابتدا بررسی میکنیم که Port 53 متعلق به DNS Server آزاد میباشد یا خیر که اینکار را به واسطه دستور lsof به شکل زیر انجام میدهیم

$ sudo sof -i :53

COMMAND  PID      USER  FD  TYPE DEVICE SIZE/OFF NODE NAME

systemd-r 722 systemd-resolve  12u IPv4 15755   0t0 UDP localhost:domain 

systemd-r 722 systemd-resolve  13u IPv4 15756   0t0 TCP localhost:domain (LISTEN) 

بعد از این ماجرا وارد مسیر زیر میشویم و به دنبال بخش Resolve میگردیم

$ sudo nano /etc/systemd/resolved.conf

پس از پیدا کردن بخش Resolve مقدار DNSStubListener برابر با no میگذاریم (مانند تصویر و زیر)

DNSStubListener=no

بعد از این ماجرا وارد Resolve.conf میشویم و NameServer متعلق به CloudFlare را اضافه میکنیم (8.8.8.8).

$ sudo nano /etc/resolv.conf
nameserver 8.8.8.8

ساخت یک DNS Exfiltration Listener

حالا فقط کافیست یک DNS Exfiltration Listener ساده به زبان پایتون برای پیاده سازی حمله خودمان ایجاد کنیم به شکل زیر:

این کد نویسی را در قالب فایل .py قرار میدهیم و بر روی سیستم اجرا سازی میکنیم و بر روی سیستم مقابل میرویم و داده های که قصد داریم انتقال دهیم را بر روی دامنه ای که ثبت کردیم انتقال میدهیم و در سمت مقابل دریافت میکنیم