امنیت اطلاعات
و دیگر هیچ ...
کلمات کلیدی مطالب
آرشیو وبلاگ
نویسنده: افشین لامعی - ۱۳٩٤/۱/٥

سایت خبری الف به نقل از نسیم گفته که اطلاعات شخصی مشتریان بانک ملت می تواند توسط افراد دیگر به صورت غیر مجاز مشاهده شود.

بر اساس دو عکسی که این سایت منتشر کرده، به نظر می رسد که آسیب پذیری مربوط به الگوریتم تولید کد پیگیری تراکنش است که وب سایت به مشتری ارائه می کند. خروجی این الگوریتم به میزان کافی تصادفی نیست، در نتیجه نفوذگر می تواند کدهای پیگیری افراد دیگر را حدس زده و با دادن این کدها به سیستم، وضعیت تراکنش مربوط به آن کد را مشاهده کند که این وضعیت شامل نام صاحب حساب، مبلغ تراکنش، وضعیت تراکنش، شماره حساب و نام حساب مقصد می باشد.

این نوع آسیب پذیری در سیستم های بسیاری از بانک ها و دیگر سیستم های مشابه وجود دارد، و دلیل آن ضعف برنامه نویسی سیستم تولید کد پیگیری تراکنش است.

نویسنده: افشین لامعی - ۱۳٩۳/۱٢/٢٧

در این سایت با جستجوی برند مسیریاب، می توانیم پسورد پیش فرض کلیه مدل های آن برند را پیدا کنیم.

نویسنده: افشین لامعی - ۱۳٩۳/۱٢/٢٥

همانگونه که در شماره های پیشین اشاره کردیم، حاکمیت امنیت اطلاعات مستلزم استقرار سازمان امنیت در سطح بانک است. این سازمان در لایه مدیریت ارشد شامل یک کمیته راهبردی است که نقش سیاست‏گذاری و مدیریت کلان امنیت را برعهده دارد. اما امور اجرایی و نظارت فنی امنیت باید بر عهده یک واحد مستقل، ترجیحاً در زیرمجموعه مدیریت فناوری اطلاعات سازمان باشد. این واحد به موازات دیگر واحدهای اجرایی فناوری اطلاعات مانند سخت افزار، شبکه و نرم‏ افزار قرار می­گیرد تا منحصراً به ایفای نقش طراحی، اجرا و نظارت در حوزه امنیت اطلاعات بپردازد. مدیریت واحد امنیت اطلاعات بر عهده مسئول ارشد امنیت اطلاعات است که بسته به ساختار سازمانی موجود می­ تواند به عنوان معاون یا مدیر امنیت اطلاعات نیز شناخته شود. این نقش سازمانی را در اصطلاح Chief Information Security Officer یا CISO می­ نامند. CISO مدیر واحد امنیت و مسئول هماهنگی و راهبری امور فنی امنیت به نمایندگی از مدیریت ارشد سازمان و کمیته راهبردی امنیت است. امروزه CISO یکی از مهم­ترین مشاغل مورد نیاز در بازار فناوری اطلاعات دنیا است و در حوزه امنیت نیز یکی از جذاب­ترین و پردرآمدترین مشاغل به حساب می­آید، البته گزارش­های نشان می­دهند که یافتن افراد مناسب برای این جایگاه دشوار بوده و نگهداشتن آنها برای سازمان­ها دشوارتر است.

توجه به جایگاه موضوع امنیت در لایه­ های  فناوری اطلاعات و فراتر از آن در لایه­ های سازمان تا حدودی به درک اهمیت و تفاوت جایگاه CISO کمک می­کند.  فرد مورد نظر در این شغل باید دارای پیش زمینه مناسب و توانایی­ های فنی و مدیریتی متنوعی باشد تا بتواند از یک طرف تیم کارشناسی امنیت را مدیریت کند و از طرف دیگر ارتباط مناسبی با واحدهای مرتبط برقرار نماید. همچنین باید قابلیت پیشبرد اهداف و برنامه های امنیتی در ارتباط با مدیریت ارشد سازمان را هم داشته باشد.

مهم ترین مهارت­های مورد نیاز برای جایگاه CISOبانک عبارتند از:

  • توانایی تعامل با همه رده ­های سازمان: اجرای وظایف واحد امنیت می­ تواند منجر به ایجاد اصطکاک بین این واحد و بقیه بخش­های بانک به خصوص در زیرمجموعه فناوری اطلاعات شود. در نتیجه مدیر امنیت برای کاهش این مشکلات باید توانایی تفاهم و تعامل با همه سطوح سازمان را داشته باشد. CISO باید بتواند با ایجاد ارتباط مثبت با مدیران دیگر بخش­ها اثر دیدگاه منفی رایج در مورد امنیت را کاهش دهد. قابلیت گفتگو از پایین ترین سطح کارشناسی تا بالاترین سطح مدیریتی از امتیازات ویژه یک CISO موفق است.
  • شناخت کسب و کار: CISO بانک باید با کسب و کار بانک آشنایی داشته باشد تا بتواند مخاطرات خاص این کسب و کار را درک کرده و متناسب با آنها ارائه راه حل نماید. انواع سرویس­هایی که توسط بانک ارائه می­شود، ویژگی­ های برنامه های کاربردی خاص بانک­ها، نیازمندی­های امنیتی مشتریان، انواع نفوذگران و نفوذهای معمول به سیستم­های بانکی از جمله این موارد هستند.
  • عدم تقابل با کسب و کار: واقعیت این است که امنیت می­تواند به راحتی در تقابل با کسب و کار قرار گیرد. امنیت را نباید در خلأ و بدون در نظر گرفتن زمینه کسب و کار در نظر بگیریم. این نقطه ضعف به وضوح در بدنه کارشناسی تیم­های امنیت وجود دارد و تعدیل این نگاه بر عهده CISO است. در واقع CISO بانک باید به جای تمرکز صرف بر ممنوعیت و محدود سازی، امنیت را به فاکتوری برای توانمند سازی کسب و کار تبدیل کند.
  • توانایی حل مسأله:موضوعات امنیتی مسائلی واقعی با پارامترهای تأثیرگذار متعدد هستند. گاه این مسائل موضوعاتی صرفاً فنی و نیازمند آشنایی با انواع فناوری­ ها و قابلیت استفاده مناسب از آنها است. این مسائل گاه دارای ابعاد غیرفنی هم هستند که حل آنها نیاز به برخورداری از نگاه کلان و استراتژیک است. CISO باید توانایی طراحی راه حل، بررسی جایگزین­ها، تحلیل هزینه ـ فایده و اجرای راه حل­ها را داشته باشد.
  • دانش و تجربه: برخورداری از دانش آکادمیک امنیت و گذراندن دوره­های آموزشی تخصصی امنیتی پیش­نیاز حضور در جایگاه CISO است. اما به همین اندازه تجربه عملیاتی در مدیریت پروژه­ های راهبری، ارزیابی و امن­ سازی سیستم­ها و آشنایی با کسب و کار سازمان نیز اهمیت خاص خود را دارد.
  • آشنایی با برنامه ریزی مالی: بودجه یکی از فاکتورهای حیاتی در امور امنیت و از مشکلات معمول این واحدها است. CISO باید به ضوابط و روش­های برنامه ریزی مالی آشنا باشد و بتواند از بودجه امنیت سازمان دفاع کند.

همانطور که ذکر شد فاکتورهای فوق برای فرد متصدی جایگاه CISO از اهمیت بالایی برخوردار هستند. با توجه به نیاز بانک­ها و بسیاری دیگر از سازمان­ها به ایجاد سازمان امنیت و خاص بودن مهارت­های CISO، امروزه بازار امنیت جهانی با تقاضای روزافزون از طرف کارفرمایان برای استخدام در این جایگاه روبرو است و این روند در ایران هم به تدریج در حال شکل گیری است.

* این یادداشت در شماره 57 نشریه بانکداری الکترونیک چاپ شده است. (دنلود فایل)

نویسنده: افشین لامعی - ۱۳٩۳/۱٢/٢۱

چه برنامه هایی در زمان بوت شدن ویندوز اجرا می شوند؟ چه task هایی برای اجرا در زمان startup ویندوز تعریف شده اند؟ کدام سرویس ها و کدام Process ها از نظر ویندوز قابل اعتماد و کدام ها ناشناخته هستند؟

پاسخ به سوالات فوق را با Autoruns که ابزاری از مجموعه Microsoft Sysinternals است به دست می آوریم.

نویسنده: افشین لامعی - ۱۳٩۳/۱٢/٢۱

سه شنبه گذشته چند اصلاحیه امنیتی مطابق معمول توسط مایکروسافت منتشر شد که یکی از آنها با شناسه CVE-2015-0096 مجدداً به منظور رفع یکی از آسیب پذیری های zero-day مورد استفاده توسط استاکس نت منتشر شده است. در واقع  از سال 2010 که CVE-2010-2568 برای رفع آسیب پذیری مورد اشاره ارائه شد، سیستم های ویندوزی کماکان آسیب پذیر بوده اند و اصلاحیه سال 2010 کمکی به رفع آن نکرده است!

نویسنده: افشین لامعی - ۱۳٩۳/۱٢/۱٤

آسیب پذیری Freak مربوط به پیاده سازی SSL به نفوذگر امکان رمزگشایی ارتباط SSL را می دهد. شناسه آسیب پذیری CVE-2015-0204 است.

اطلاعات کامل در مورد نحوه رفع آسیب پذیری در اینجا ذکر شده:

https://freakattack.com

همچنین ابزارهایی مثل این برای بررسی آسیب پذیر بودن یک سایت در دسترس هست.

طبق ادعای سایت فوق، برخی وب سایت های ایرانی از جمله سایت بانک ملی، خبرگزاری مشرق، سایت خبری شفاف و غیره هم آسیب پذیر هستند.

نویسنده: افشین لامعی - ۱۳٩۳/۱٢/۱۳

امروز 13 اسفند 1393 دهمین سال آغاز کار این وبلاگ هست. دقیقاً 10 سال پیش بود که تصمیمی که چند وقت بود گرفته بودم را عملی کردم و شروع به نوشتن کردم.

آن زمان تازه آزمون ورودی فوق لیسانس تمام شده بود و من دو ماه قبل از آن یعنی در دیماه 1383 از شرکت آشناایمن، اولین شرکتی که با دوستانم در دانشگاه تهران تأسیس کرده بودیم، خارج شده بودم. معلوم نبود که سال بعد دانشجوی ارشد خواهم بود یا سرباز! حالا ده سال گذشته و این وبلاگ هر چند بعضی اوقات به صورت نامنظم اما همیشه فعال بوده.

نوشتن در این وبلاگ برای من فواید متعددی داشته، از همه مهم تر اینکه این کار یکی از علایق شخصی من بوده و خیلی برام لذت بخش هست. همینطور این وبلاگ موجب آشنایی من با دوستان ارزشمندی شده که سال ها است که با اونها در ارتباط هستم و پروژه های متعددی رو هم با هم انجام دادیم.

این وبلاگ فعلاً به همین صورت ادامه خواهد داشت تا در فرصت مناسب به آدرس www.itsecland.com منتقل شود.

نویسنده: افشین لامعی - ۱۳٩۳/۱٢/۱٠

فردا دوره اصول و مبانی امنیت سایبری را در محل سازمان مدیریت صنعتی برگزار می کنم. این دوره 2 روزه است و حدود 15 نفر از سازمان های مختلف در آن شرکت کرده اند. سیلابس و محتوای دوره را بر اساس تجربیات گذشته و نیازهای شناخته شده در دوره های قبلی طراحی کردم. بروشور دوره که توسط مرکز توسعه اطلاعات کاربردی طراحی شده از اینجا قابل دریافت است.

نویسنده: افشین لامعی - ۱۳٩۳/۱٢/٩

FBI  برای اطلاعاتی که منجر به دستگیری خالق اصلی بدافزار Zeus شود سه میلیون دلار جایزه تعیین کرده است. بدافزار Zeus یکی از خطرناک ترین و قوی ترین بدافزارهایی است که تا به حال دیده شده و میلیون ها دلار از مشتریان بانک های مختلف سرقت کرده است. تاکنون حجم خیلی زیادی از تحلیل های فنی در مورد نحوه عملکرد Zeus منتشر شده، که یکی از بهترین مجموعه ها از تحلیل های مورد اشاره متعلق به Brian Krebs است.

این هم از آگهی FBI:

مطالب قدیمی تر »
سی و سه ساله ، متأهل، دانشجوی دکترای نرم افزار ـ امنیت، دانشگاه صنعتی امیرکبیر. مشاور مستقل امنیت اطلاعات.
مطالب اخیر: