امنیت اطلاعات

و دیگر هیچ ...

ادعای نفوذ به شبکه سوئیفت

ماه گذشته بانک مرکزی بنگلادش با خبر سرقت 81 میلیون دلار مورد توجه قرار گرفت. گفته شده که کشف موصوع بر اساس خطای املایی هکرها در یکی از تراکنش ها بوده که باعث شده تراکنش های بعدی آنها (تا مرز 1 میلیارد دلار) توسط بانک متوقف شود. انتقادهایی در مورد فقدان تجهیزات مناسب امنیتی متوجه بانک شده است. امروز خبری در مورد یک بدافزار مورد استفاده در این ماجرا منتشر شد که زیرساخت نرم افزاری سوئیفت را هدف قرار داده و بر اساس خبر رویترز، سوئیفت قرار است به زودی به روز رسانی در این زمینه انجام دهد.

+ افشین لامعی ; ٦:۳٠ ‎ق.ظ ; ۱۳٩٥/٢/٧
comment نظرات

جستجوی تهدیدهای امنیتی

این موتور جستجو مختص تهدیدهای امنیتی ایجاد شده.

+ افشین لامعی ; ۱٠:٤٤ ‎ق.ظ ; ۱۳٩٥/۱/٢٥
comment نظرات

درس هایی از رسوایی نشت اطلاعات موسوم به اوراق پانامایی

رسوایی اوراق پانامایی (Panama Papers) به حادثه افشای بیش از یازده میلیون سند الکترونیکی و 4.8 میلیون ایمیل - بالغ بر 2.6 ترابایت - از اطلاعات مشتریان و اطلاعات داخلی شرکت Mossack Fonseca اطلاق شده که در بسیاری از رسانه ها به بزرگترین نشت اطلاعات محرمانه به رسانه ها در طول تاریخ تعبیر شده است. اگرچه هنوز بررسی محتوای این اطلاعات به پایان نرسیده، اما تا امروز ده ها رهبر فعلی و پیشین کشورهای مختلف و عده ای از مشاهیر ورزشی، هنری و غیره طبق این اسناد به پولشویی های گسترده و فرار از مالیات با کمک این شرکت پانامایی متهم شده اند.

 

بررسی منابع مختلف نشان می دهد که این شرکت با وجود در اختیار داشتن انبوهی از اطلاعات محرمانه، بدیهیات امنیتی را در سیستم هایش رعایت نمی کرده است، از جمله:

1- پورتال این شرکت از نسخه به روز نشده و آسیب پذیر Drupal استفاده کرده است.

2- وب سایت شرکت با استفاده از Wordpress و یک افزونه آسیب پذیر و به روز نشده Revolution insider راه اندازی شده است.

3- گفته شده که وب سایت شرکت، فایروال نداشته است.

4- سرورهای عمومی و داخلی شرکت (وب سایت و ایمیل داخلی) در یک Zone قرار دارند و نفوذ به یکی، دسترسی به دیگران را ممکن ساخته است.

البته هنوز با قطعیت مشخص نشده که پای نفوذ داخلی در میان بوده یا نفوذ از بیرون شرکت. اما همین موارد و دیگر شواهد و حدسیات، درس هایی برای همه سازمان ها  و شرکت ها دارد:

1- به روز رسانی سیستم عامل ها، زیرساخت ها و برنامه ها موضوعی جدی و حیاتی است.

2- حداقل یک فایروال برای هر شبکه ای حیاتی است!

3- قرار دادن سرورها پشت فایروال کافی نیست:

  • جدا کردن سرورها (ایجاد نواحی امنیتی) بر اساس سطح تهدید و نیازمندی های امنیتی آنها هم لازم است.
  • مانیتور کردن ترافیک خروجی از شبکه هم لازم است.
  • مانیتور کردن ترافیک بین سرورها هم لازم است.

4- دسترسی های راه دور منشأ بسیاری از تهدیدها هستند و باید کنترل و مانیتور شوند.

5- میزان آسیبی که از نشت اطلاعات به سازمان وارد می شود، با افزایش حجم اطلاعات افشا شده به صورت تصاعدی و غیرقابل تصور افزایش می یابد.

+ افشین لامعی ; ٧:٥٠ ‎ق.ظ ; ۱۳٩٥/۱/٢۳
comment نظرات

ممیزی امنیت اطلاعات

این یادداشت در شماره 67 (اسفند 94) ماهنامه بانکداری الکترونیک چاپ شده است.

مقدمه

انجام ممیزی در حوزه امنیت اطلاعات به دلایل مختلفی مورد توجه و استفاده سازمان­ها قرار می­گیرد. اولاً، یک ممیزی مناسب می­تواند تصویری کلی از وضعیت امنیت اطلاعات سازمان ارائه کند. از این طریق، سازمان می­تواند نتایج ممیزی را در راستای بهبود فرآیند امنیت خود مورد استفاده قرار دهد. ثانیاً، ممیزی­ها می­توانند مبنایی برای ارزیابی و مقایسه سازمان­ها و احراز صلاحیت آنها باشند. ممیزی عبارت است از فرآیند نظام مند، مستقل و مستند دریافت شواهد و ارزشیابی هدفمند آنها به منظور تشخیص میزان برآورده شدن معیار ممیزی. آنچه به عنوان معیار ممیزی مورد استفاده قرار می­گیرد، می­تواند برگرفته از استانداردهای بین المللی، استانداردهای کشوری یا استانداردهای یک کسب و کار خاص در یک سازمان خاص باشد. از دیگر معیارهای ممیزی می­توان به خط­مشی­ها، روش­های اجرایی و نیازمندی­هایی اشاره کرد که توسط ممیزی شونده و ممیز مورد توافق قرار می­گیرد.

ممیزی می­تواند با به دست آوردن شواهد با استفاده از نمونه برداری انجام می­شود. منظور از نمونه برداری، انتخاب بخش کوچکی از داده­ها و انجام قضاوت کلی بر اساس این داده­ها است. از روش­های دیگر به دست آوردن شواهد ممیزی می­توان به موارد زیر اشاره کرد:

  • انجام مصاحبه با افراد مطلع
  • مشاهده
  • مرور مستندات
  • مرور رکوردهای ثبت شده
  • تحلیل و جمع بندی

ممیزی باید تا حد امکان به عنوان یک فرآیند مستقل (نسبت به ممیزی شونده) اجرا شود. این بدان معنی است که ممیز نباید خواست ­ها، نیت­ها و منافع خود را در فرآیند ممیزی دخالت دهد. از این طریق می­توان اطمینان حاصل کرد که نتایج ممیزی تا حد امکان به واقعیت موجود سازمان نزدیک بوده و قضاوت پیشین ممیز در جهت مثبت یا منفی در نتایج حاصل شده تأثیر نداشته باشد. با این حال سه نوع ممیزی بر اساس نسبت ممیز با ممیزی شونده قابل انجام است:

1-    ممیزی شخص اول، که ممیز عضوی از تیم ممیزی شونده است.

2-    ممیزی شخص دوم، که معمولاً طبق توافق یا قراردادی بین دو طرف انجام می­شود.

3-    ممیزی شخص سوم، که به صورت کاملاً مستقل و برای دریافت یک گواهی رسمی انجام می­شود. 

استانداردهای امنیت اطلاعات

از مهم­ترین وشناخته شده ترین استانداردهای امنیت اطلاعات می­توان به مجموعه استانداردهای امنیتی ایزو 27000 (استقرار سیستم مدیریت امنیت اطلاعات) و استانداردهای امنیتی صنعت پرداخت کارت (PCI) اشاره کرد. خانواده استانداردهای ایزو 27000 یکی از معتبرترین استانداردها در حوزه امنیت اطلاعات هستند و سازمان­های مختلف صرفنظر از نوع کسب و کار، سایز و دیگر ویژگی­ها می­توانند از آنها استفاده کنند. ایزو 27001 یک استاندارد قابل ممیزی است، به این معنی که سازمان می­تواند با پیاده سازی الزامات ایزو 27001، وارد فرآیند ممیزی شده و در صورت موفقیت در این فرآیند، گواهی مربوطه را دریافت نماید. بقیه استانداردهای شناخته شده این خانواده مانند 27002 و 27005 قابل ممیزی نیستند و صرفاً به عنوان راهنما استفاده شده و سازمان ملزم به رعایت همه مفاد آنها نیست. استاندارد PCI DSS که به طور مشخص برای امنیت اطلاعات بنگاه­های مالی که با اطلاعات کارت­های پرداخت سر و کار دارند تدوین شده است، از دیگر استانداردهای بین المللی امنیت اطلاعات است. در کشور ما، الزامات امنیت اطلاعات شاپرک به صورت بومی در همین حوزه تدوین شده و ممیزی شرکت­های پرداخت بر اساس آن صورت می­گیرد.

مراحل ممیزی ایزو 27001

ممیزی امنیت اطلاعات بر اساس الزامات استاندارد ایزو 27001 حداقل شامل دو مرحله است. مرحله اول ممیزی، به مرور مستندات اختصاص دارد که ممکن است در محل شرکت تحت ممیزی یا بیرون از آن انجام شود و هدف آن، اطمینان از وجود عناصر اصلی استاندارد در سازمان است. همچنین مستندات الزامی سیستم مدیریت امنیت اطلاعات در این مرحله بررسی می­شوند. مرور مستندات به ممیز امکان تمرکز بر زمینه کاری سازمان و وضعیت فعلی پیاده سازی ایزو 27001 را می­دهد. فعالیت­های اصلی مرحله اول ممیزی عبارتند از:

  • مرور چارچوب سیستم مدیریت امنیت اطلاعات
  • بررسی محدوده پیاده سازی سیستم
  • بررسی روش، خروجی و دیگر مستندات مربوط به مدیریت مخاطرات امنیت

مرحله دوم ممیزی شامل بررسی نحوه پیاده سازی سیستم مدیریت امنیت اطلاعات است. هدف ممیزی در این مرحله اطمینان از تطابق سازمان با خط­­­­ مشی­های خود، الزامات استاندارد و نیز اثربخشی سیستم مدیریت امنیت اطلاعات است. فعالیت­های مرحله دوم ممیزی عبارتند از:

  • مصاحبه با مالکین و کاربران سیستم مدیریت امنیت اطلاعات
  • مرور مخاطرات امنیتی شناسایی شده توسط سازمان
  • بررسی اهداف امنیت اطلاعات
  • بررسی بازبینی­های مدیریتی انجام شده

اندازه گیری امنیت اطلاعات

اهداف امنیت اطلاعات باید قابل اندازه گیری باشند. ایزو 27004 به طور مفصل به مبحث اندازه گیری در سیستم مدیریت امنیت اطلاعات پرداخته است. هر هدف امنیت اطلاعات باید به یک یا چند شاخص امنیتی متصل باشد تا بتوان از طریق اندازه گیری آن شاخص­ها، وضعیت هدف را ارزیابی نمود. بحث اندازه گیری امنیت اصولاً چالش برانگیز است چرا که امنیت اطلاعات ذاتاً مقوله ای کمّی نیست. هر شاخص در موضوع امنیت اطلاعات باید نشان دهنده عملکرد یا وضعیت سازمان در حوزه امنیت اطلاعات باشد. این در حالی است که بسیاری از شاخص­هایی که در وهله اول به ذهن خطور می­کنند، ویژگی فوق را ندارند. به عنوان مثال، تعداد حملات جلوگیری شده توسط سیستم پیشگیری از نفوذ شبکه (NIPS) نمی­تواند یک شاخص مناسب باشد، چرا که بالا رفتن یا پایین آمدن مقدار آن لزوماً نشان دهنده عملکرد سازمان یا کیفیت امنیت آن نیست. به همین ترتیب، شاخص­هایی مثل تعداد آسیب پذیری­های کشف شده و شدت آسیب پذیری­های کشف شده نیز مناسب نیستند. در مقابل، به عنوان چند شاخص مناسب می­توانیم به موارد زیر اشاره کنیم:

1-    درصد حملات مدیریت شده به کل حملات کشف شده

2-    درصد آسیب پذیری­های رفع شده به کل آسیب پذیری­های کشف شده

3-    عدد میانگین ریسک­های شناسایی شده

شاخص­های امنیت اطلاعات یکی از موارد مورد توجه در ممیزی­های امنیت هستند. در صورتی که سازمان بتواند شاخص­های مناسب برای حوزه امنیت اطلاعات انتخاب و آنها را به درستی اندازه گیری نماید، برای اثبات اثربخشی امنیت کار ساده تری در پیش خواهد داشت.

   ­

 

+ افشین لامعی ; ۱٠:٢٠ ‎ق.ظ ; ۱۳٩٥/۱/٢۱
comment نظرات

خرید Resilient Systems توسط IBM

شرکت Resilient Systems که به صورت تخصصی بر محصولات و خدمات پاسخ به حوادث (Incident Response) تمرکز دارد توسط IBM خریداری شده و از این به بعد جزئی از IBM X-Force خواهد بود. پیوستن Bruce Schneier (مدیر فنی Resilient) به IBM که از بزرگترین و شناخته شده ترین فعالان صنعت امنیت اطلاعات است یکی از نتایج این معامله است. 

+ افشین لامعی ; ٧:٢٦ ‎ب.ظ ; ۱۳٩٥/۱/۱٩
comment نظرات

بررسی لاگ مدیریت کاربران در پاورشل

با استفاده از فرمان زیر در پاورشل، لاگ نام های کاربری ایجاد شده در سیستم و کاربران اضافه شده به گروه ها مشاهده می شود:

Get-WinEvent -FilterHashtable @{LogName="Security";ID=4720,4732,4728}

+ افشین لامعی ; ٩:٢۱ ‎ق.ظ ; ۱۳٩٥/۱/۱۸
comment نظرات

بدافزار مبتنی بر PLC

این ارائه در کنفرانس BlackHat Asia 2016 توضیح می دهد که چطور برخلاف تصور اولیه، یک PLC می تواند آلوده به بدافزار شود. 

+ افشین لامعی ; ۸:٢٢ ‎ق.ظ ; ۱۳٩٥/۱/۱٦
comment نظرات

مدیریت تداوم کسب و کار خدمات ICT

این یادداشت در شماره 67 (اسفند 94) مجله بانکداری الکترونیک چاپ شده است.

فرض کنید بر اثر یک خطای انسانی، سرور پایگاه داده یکی از سرویس های حیاتی سازمان خاموش شود. با توجه به حجم پایگاه داده و بار پردازشی سرور، این خاموش شدن ناگهانی ممکن است به خطایی منجر شود که در عمل، روشن کردن بلافاصله سرور نتواند سرویس را به حالت اولیه بازگرداند. در اینجا تیم فنی اقدام به بازیابی آخرین نسخه پشتیبان پایگاه داده می­نماید. اما چه تضمینی هست که این نسخه در زمانی قابل قبول و با موفقیت بازیابی شود؟ بنابراین یک خطای انسانی ساده منجر به قطع شدن سرویس تا چندین ساعات شده است. این تنها یک سناریوی ساده برای سازمانی است که فرآیندهای اصلی کسب و کار خود را بر پایه سرویس های ICT بنا کرده است. پاسخ به این چالش­ها، بخشی از اهداف مدیریت  تداوم کسب و کار سازمان است. 

مدیریت تداوم کسب و کار (BCM) یک فرآیند مدیریتی کلان است که ضمن شناسایی تهدیدهای بالقوه تداوم فعالیت‌های کسب و کار، چارچوبی برای ایجاد مقاومت و قابلیت پاسخ موثر ایجاد می­نماید تا از منافع سازمان در برابر اختلال در فعالیت ها محافظت نماید. در سازمان­هایی مانند بانک­ها که فناوری اطلاعات و ارتباطات ابزار کلیدی فرآیندهای کسب و کار است، بخش مهمی از BCM مربوط به تدام کسب و کار فناوری اطلاعات می­شود. طبق استاندارد ایزو 27031، آمادگی فناوری اطلاعات و ارتباطات برای تداوم کسب و کار (IRBC) یک سیستم مدیریتی است که از فرآیند کلی تداوم کسب و کار سازمان پشتیبانی و آن را تکمیل می­نماید. اهداف این سیستم عبارتند از:

1-    پاسخ به ریسک های دائماً در حال تغییر

2-    اطمینان از تداوم آن بخش از عملیات حیاتی کسب و کار که به خدمات فناوری اطلاعات وابسته است.

3-    کسب آمادگی پیش از رخداد هر نوع اختلال در خدمات فناوری اطلاعات

4-    پاسخ مناسب و بازیابی از حوادث و اختلالات

بنابراین فناوری اطلاعات ضمن ارائه پاسخ مناسب به حوادث و بازیابی وضعیت عادی، باید کنترل­های مناسب برای کاهش ریسک ها را ارائه و مقاومت کسب و کار را افزایش دهد.

اصول آمادگی ICT در جهت تداوم کسب و کار

ایجاد آمادگی در فناوری ارتباطات و اطلاعات در جهت تداوم کسب و کار مبتنی بر اصول زیر است:

1-    پیشگیری از حادثه: حفاظت از خدمات ICT در برابر تهدیدهای محیطی، بدافزارها، خطاهای عملیات، حوادث طبیعی و غیره یکی از اصول حیاتی برای حفظ دسترس پذیری سیستم­ها در سطح قابل پذیرش است.

2-    شناسایی حادثه: با توجه به اینکه پیشگیری از همه حوادث امکان پذیر نیست، لازم است توانایی شناسایی حادثه در کوتاه ترین زمان ایجاد شود تا ضمن کاهش اثر مخرب آن، هزینه بازیابی سرویس هم کمینه شود.

3-    بازیابی: شناسایی و پیاده سازی استراتژی مناسب بازیابی سیستم ها بعد از حادثه تضمین می­کند که خدمات در زمان مناسب  به حالت عادی بازگشته و صحت اطلاعات نیز حفظ شود. اولویت بندی سیستم های برای بازیابی مشخص می­کند که کدام سیستم ها باید پیش از بقیه بازیابی شوند.

4-    بهبود: حوادث رخداده قبلی باید در راستای بهبود سه مورد فوق مورد تحلیل و ارزیابی قرار بگیرند.

اجزای تشکیل دهنده آمادگی ICT برای تداوم کسب و کار

برنامه تداوم کسب و کار در حوزه ICT شامل اجزای کلیدی زیر است:

1-    افراد متخصص و دارای دانش مناسب  به همراه افراد پشتیبان آنها

2-    امکانات فیزیکی و محیطی که محل قرارگیری منابع ICT است.

3-    فناوری شامل سخت افزار، شبکه و نرم­افزار.

4-    داده ها

5-    فرآیندها

6-    پشتیبان ها

بنابر این یک برنامه تداوم کسب و کار ICT باید تمام اجزای فوق را در کنار یکدیگر در نظر گرفته و نقش هر کدام را مشخص نماید.

فواید آمادگی ICT برای تداوم کسب و کار

فواید مختلفی از طریق تداوم کسب و کار ICT نصیب سازمان می­شود.از مهم­ترین فواید این برنامه آن است که سازمان ریسک­ها و آسیب پذیری­های تداوم خدمات ICT را می­شناسد. برخی سازمان­ها تصویری واقعی از میزان آسیب پذیر بودن خود از ناحیه سرویس های ICT را در اختیار ندارند. در نتیجه هنگام مواجه شدن با حوادث ICT منجر به اختلال در کسب و کار متوجه گستره آسیب پذیری و اثرات مخرب اینگونه حوادث می­شوند. همچنین این برنامه می­تواند اطمینان لازم را به مدیران ارشد سازمان بدهد که در زمان رخداد حوادث ICT، پشتیبانی لازم را از خود فرآیند ICT دریافت خواهند کرد. به علاوه، این برنامه به سازمان کمک می­کند تا سرمایه گذاری فناوری اطلاعات را با اهداف استراتژیک سازمان همراستا کند. طبعاً ایجاد تداوم کسب و کار ICT به خصوص در بخش فناوری­ها مستلزم صرف هزینه است. راه حل­هایی مثل ایجاد افزونه در سطح پایگاه­های داده، سرورها، تجهیزات شبکه  و غیره می­تواند هزینه های هنگفتی در بر داشته باشد. به عنوان مثال، برای ایجاد افزونه در تجهیزات شبکه مثل فایروال و روتر از فناوری HA استفاده می­شود که مستلزم استفاده از یک تجهیز پشتیبان مشابه تجهیز اصلی و ضمناً دارای قابلیت HA می­باشد. به علاوه، پیکربندی و نگهداری این فناوری هم مستلزم صرف هزینه مناسب است.

 

نکات کلیدی در برنامه تداوم کسب و کار ICT

اگر در هنگام طراحی و راه اندازی سرویس، به الزامات تداوم کسب و کار نیز توجه شود، هزینه این برنامه کاهش خواهد یافت. چرا که سخت افزارها، نرم افزارها و فناوری های دیگر با توجه به الزامات این برنامه انتخاب خواهند شد. به علاوه، مشکلات ناشی از عملیاتی بودن و زیر بار بودن سرویس، در ابتدای راه اندازی وجود ندارند. به عنوان مثال، ایجاد افزونه برای تجهیزات شبکه یک سرویس حیاتی، در زمانی که این اجزا زیر بار هستند مستلزم اختلال موقت در عملکرد آنها برای پیکربندی اجزای افزونه است.

همانطور که ذکر شد، علاوه بر فناوری ها باید به مسئولیت های افراد در این برنامه نیز توجه ویژه شود. در الگوهای مختلف طرح تداوم کسب و کار، برای هر حادثه یک فرد یا گروهی از افراد به عنوان مسئول معرفی می­شوند که در زمان رخداد حادثه باید اقدامات از پیش تعیین شده ای را انجام دهند. توجیه بودن این افراد نسبت به اقدامات لازم، آماده بودن آنها و تمرین نمودن این اقدامات اهمیت ویژه ای دارد. به عنوان مثال، اگر قرار است نسخه پشتیبان پیکربندی یک نرم افزار، در هنگام رخداد حادثه بازیابی شود، چالش­های کوچک اما مهمی می­تواند در موفقیت این پروسه اخلال ایجاد کند. فرد مسئول این کار باید آمادگی برخورد با این چالش­ها را داشته باشد. برگزاری تمرین و مانور برای آشنایی با این چالش­ها موثر خواهد بود.

کارآیی تداوم کسب و کار سازمان در حوزه ICT را می­توان با برخی معیارهای کمی و کیفی سنجید. از جمله:

1-    تعداد حوادثی که پس از ایجاد خرابی، شناسایی شده اند.

2-    مدت زمان لازم برای شناسایی حادثه

3-    مدت زمان واکنش و پاسخ به حادثه

 جمع بندی

مدیریت تداوم کسب و کار در حوزه ICT بخشی از برنامه جامع مدیریت تداوم کسب و کار سازمان است و هر قدر وابستگی کسب و کار سازمان به سرویس های ICT بیشتر باشد، اهمیت این برنامه برای سازمان بیشتر خواهد بود. طبق استاندارد ایزو 27001، سازمان­ها باید تداوم کسب و کار ICT را به عنوان یکی از کنترل های امنیتی در جهت مدیریت مخاطرات امنیتی اجرا نمایند. ایزو 27031   نیز به طور ویژه به آمادگی ICT برای تداوم کسب و کار سازمان می­ پردازد.

+ افشین لامعی ; ٦:۳۸ ‎ق.ظ ; ۱۳٩٥/۱/۱۳
comment نظرات

مروری بر کنفرانس RSA 2016

کنفرانس سالانه RSA که در بیست و پنج سال گذشته به طور مداوم توسط شرکت RSA (متعلق به EMC) برگزار شده را می توان معتبرترین و مورد قبول ترین کنفرانس مربوط به مارکت امنیت دانست. کنفرانس امسال هم با عنوان RSAC 2016 و با شعار "اتصال برای حفاظت: Connect to Protect" از 29 فوریه تا 4 مارس برگزار شد و مطابق معمول از بزرگ ترین شرکت ها تا استارتاپ ها در نمایشگاه آن شرکت کردند. در کنار نمایشگاه، انبوهی از ارائه های تخصصی، مسابقات، سخنرانی های کلیدی و غیره توسط افراد و شرکت های صاحب نظر برگزار شد.

مجموعه اسلایدهای 302 ارائه برگزار شده در اینجا در دسترس هست. 

همچنین ویدئوی نوزده سخنرانی کلیدی کنفرانس هم در اینجا در دسترس است. یکی از سخنرانی های کلیدی مورد علاقه من، نگاهی به آینده: مرکز عملیات امنیت سال 2020

است که با حضور مدیرعامل سیمانتک و سه مدیر ارشد امنیت برگزار شد.

بخش جذاب دیگری که هر سال در این کنفرانس برگزار می شود، مسابقه ای بین ده  استارتاپ منتخب در حوزه محصولات امنیتی است که به Innovation Sandbox معروف است. کاندیداهای امسال در اینجا معرفی شده اند و برنده امسال هم محصول فانتوم است که به منظور خودکار سازی عملیات امنیت طراحی شده است.

+ افشین لامعی ; ٢:۱٥ ‎ق.ظ ; ۱۳٩٤/۱٢/٢۱
comment نظرات

آسیب پذیری پانزده هزار دلاری در فیسبوک

فیسبوک بابت کشف یک آسیب پذیری ساده توسط یک کارشناس امنیت اهل هند، پانزده هزار دلار جایزه پرداخت کرده است. Anand Parakash توانسته در بخش فراموشی پسورد، که امکان ریست کردن پسورد را به کاربر می دهد، باگی کشف کند که منجر به سرقت هر حساب کاربری دلخواه فیسبوک می شود. توضیح کامل نحوه سوء استفاده از این آسیب پذیری به همراه فیلم اثبات آن در اینجا آمده است.

شرح آسیب پذیری:

وقتی کاربر در صفحه لاگین فیسبوک اعلام می کند که پسورد خود را فراموش کرده، فیسبوک یک کد شش رقمی را به آدرس ایمیل او (که هنگام ثبت نام در فیسبوک از کاربر دریافت کرده ارسال می کند). کاربر بعد از دریافت کد شش رقمی و وارد کردن آن در سایت، می تواند پسورد خود را ریست کند. برای جلوگیری از حمله brute force روی این کد شش رقمی، با حدود 10 الی 12 بار وارد کردن اشتباه آن، اکانت کاربر قفل می شود. اما این کنترل امنیتی در برخی دامین های زیر مجموعه فیسبوک، مثل beta.facebook.com و mbasic.beta.facebook.com اعمال نشده است. در نتیجه، نفوذگر می تواند حمله brute force روی این کد را در سایت های فوق انجام داده و پسورد هر کاربر دلخواهی را عوض کند.


نتیجه گیری:

خوب است که از فرهنگ تشویق هکرهای کلاه سفید که در دنیا موضوعی کاملاً جا افتاده است بیاموزیم. ارزش آسیب پذیری های امنیتی کشف شده در بسیار از سیستم ها، نه بر اساس پیچیدگی خود آسیب پذیری، بلکه بر اساس میزان تأثیر مخرب آن بر سیستم اندازه گیری می شود.

+ افشین لامعی ; ۸:۱٢ ‎ق.ظ ; ۱۳٩٤/۱٢/۱۸
comment نظرات

← صفحه بعد