امنیت اطلاعات
و دیگر هیچ ...
کلمات کلیدی مطالب
نویسنده: افشین لامعی - ۱۳٩۳/٤/٢٢

در هنگام به روز رسانی Kali Linux ممکن است سیستم بعد از دانلود کردن همه package ها خطاهایی هنگام نصب آنها تولید کند. یک راه مطمئن برای از بین بردن این خطاها آن است که قبل از دستور apt-get distro-upgrade ، دستور زیر را اجرا کنید:

sudo dpkg --clear-avail
نویسنده: افشین لامعی - ۱۳٩۳/٤/۱٩

به روز رسانی اتوماتیک Kali با استفاده از دستورهای ذکر شده در اینجا ممکن است به دلیل کمبود فضای حافظه با موفقیت انجام نشود. پیغام خطا به این صورت است:

You don't have enough free space in /var/cache/apt/archives/

راه های مختلفی برای رفع این مشکل در منابع ذکر شده اما یکی از مطمئن ترین روش ها اضافه کردن ظرفیت هارد دیسک است. اگر Kali را در Vmware راه اندازی کرده اید اول باید فایل سیستم مجازی مربوطه را با استفاده از Vmware گسترش دهید. بعد در داخل منوی اصلی kali با استفاده از نرم افزار GParted ، یک پارتیشن در فضای اضافی ایجاد شده بسازید. در پایان، دایرکتوری /var/cache/apt/archives را به پارتیشن ایجاد شده mount کنید. پارتیشن ایجاد شده باید از نوع extended باشد. البته در برخی منابع گفته شده که به جای mount کردن این دایرکتوری (که راه حلی موقتی است) بهتر است فضای اضافی ایجاد شده را به پارتیشن حاوی این دایرکتوری اضافه کرد. این کار را باید با استفاده از نسخه Bootable نرم افزار Gparted انجام داد.

نویسنده: افشین لامعی - ۱۳٩۳/۳/٢٤

آیا تنها راه محافظت از یک سیستم حاوی نرم افزار های آسیب پذیر، رفع آن آسیب پذیری ها است؟ ...

MBAE برای حفاظت از برنامه های درحال اجرا در برابر کدهای مخرب (اکسپلویت ها) طراحی شده است. این برنامه در واقع یک ناظر اجرا (Execution Monitor) است که رفتار برنامه در حال اجرا را بررسی و از انجام عملیات مخاطره آمیز جلوگیری می کند. MBAE در نسخه رایگان خود برنامه های جاوا و کلیه مرورگرها را حفاظت می کند. در نسخه تجاری، اکثر برنامه های عمومی مثل آفیس و چندرسانه ای هم پشتیبانی می شود.

هدف این برنامه، محافظت از برنامه هایی است که آسیب پذیر هستند اما به دلایل مختلف آسیب پذیری آنها رفع نشده است. نتایج آزمایش اکسپلویت های مختلف روی این برنامه در اینجا ذکر شده است.

نویسنده: افشین لامعی - ۱۳٩۳/۳/٩

خبر پایان یافتن پروژه Truecrypt آنقدر ناگهانی و مشکوک هست که بسیاری از صاحبنظران درباره آن با شک و تردید صحبت می کنند:

https://www.schneier.com/blog/archives/2014/05/truecrypt_wtf.html

http://arstechnica.com/security/2014/05/truecrypt-is-not-secure-official-sourceforge-page-abruptly-warns

http://krebsonsecurity.com/2014/05/true-goodbye-using-truecrypt-is-not-secure

بررسی های مختلفی نشان می دهد که پیغام ظاهر شده در صفحه اول سایت Truecrypt مبنی بر اینکه " استفاده از Truecrypt ایمن نیست" و اینکه وبسایت پروژه به صفحه مربوطه در sourceforge.net ارسال شده، ناشی از هک شدن سایت نیست. صفحه مربوطه، استفاده از Microsoft Bitlocker را پیشنهاد می کند، که به نظرم پیشنهاد جالبی نیست!

آیا پروژه واقعاً تعطیل شده؟ آیا تعطیلی پروژه، مثل بسیاری از پروژه های متن ـ باز، ناشی از خواست خود تیم بوده یا اینکه آنها مجبور به انجام این کار شده اند؟

باید منتظر ماند و دید که در آینده چه اتفاقی می افتد.

نویسنده: افشین لامعی - ۱۳٩۳/۳/٩

مرکز فابا در مردادماه سمینارهای آموزشی امنیت در بانکداری الکترونیک را برگزار خواهد کرد. جزئیات این سمینارها در این فایل قابل مشاهده هست. من به همراه یکی از دوستان همکار، در سمینار مرکز عملیات امنیت (SOC) حضور خواهم داشت.

 

نویسنده: افشین لامعی - ۱۳٩۳/٢/۳٠

در بحث راه اندازی مرکز عملیات امنیت (SOC) ، راه اندازی و عملیاتی کردن SIEM از اهمیت حیاتی برخوردار بوده و نباید به آن صرفاً به عنوان نصب یک محصول جدید در شبکه نگاه کرد.

یکی از چالش هایی که می تواند راه اندازی موثر SIEM را با مشکلات جدی مواجه کند، نبود لاگ های مناسب است. در واقع با وجود لاگ های مناسب و کافی می توان انتظار داشت که SIEM قابلیت های خود را نشان دهد.

مشکلی که برخی سازمان ها در این حیطه با آن مواجه هستند آن است که مدیریت منابع و سنسورهای تولید کننده لاگ (تجهیزات، سرورها، برنامه ها و ...) در اختیار اشخاص ثالث (پیمانکاران) است. در نتیجه ایجاد تغییر در چنین سیستم هایی مشکل، زمانبر، هزینه زا و گاه غیر ممکن می شود. لذا سازمان هایی که در سیستم های IT خود به صورت برونسپاری پیمانکاران به عنوان راهبر و نگهدارنده سیستم قرارداد دارند، باید به این نکته  توجه کنند که عدم تعامل مناسب و لحاظ نکردن شرایط SLA لازم با پیمانکاران سرویس ها، سرورها، برنامه ها و تجهیزات می تواند مستقیماً بر کیفیت و اثربخشی SIEM و SOC تأثیر منفی بگذارد.

نویسنده: افشین لامعی - ۱۳٩۳/٢/٢۸

دو تصویر از جاسازی در پشتی (Backdoor) در داخل سخت افزارهای سیسکو، در قالب برنامه Tailored Access Operations که بخشی از برنامه PRISM آژانس امنیت ایالات متحده بوده و توسط ادوارد اسنودن فاش شده است. برنامه TAO، محصولات شرکت هایی مثل سیسکو را که توسط کشورهای هدف خریداری شده در میانه راه (احتمالاً بدون اطلاع شرکت مبدأ) به طرز مخفیانه ای باز کرده و مجهز به  نرم افزار جاسوسی می کرده است. در نتیجه وقتی محصول مربوطه در کشور هدف نصب می شده، NSA می توانسته در موقع لزوم از طریق این در پشتی از راه دور به آن محصول متصل شود.

نویسنده: افشین لامعی - ۱۳٩۳/٢/٢٢

خونریزی قلبی (Heartbleed) ـ آسیب پذیری موجود در برخی نسخه های OpenSSL ـ یکی از بحث برانگیزترین موضوعات مربوط به امنیت اطلاعات در سال های اخیر بود. حالا که از تب و تاب این آسیب پذیری کاسته شده و اکثر سرویس دهنده های شناخته شده دنیا،و نیز سرویس دهنده های داخلی، آسیب پذیری را رفع کرده اند، مناسب است که نگاهی دیگر به آن داشته و درس هایی که می توان آموخت را مرور کنیم.

1- نرم افزار Open source را نباید معادل با نرم افزار امن دانست. متن باز بودن یا نبودن نرم افزار رابطه مستقیمی با امنیت آن ندارد، اگر چه می تواند به طور غیرمستقیم بر امنیت آن تأثیرگذار باشد. هر کدام از این دو حالت، مزایا و معایب خود را دارند، به خصوص بسته به اینکه چه کسی می خواهد از نرم افزار استفاده کند، و نرم افزار چقدر به طور گسترده استفاده می شود، متن باز بودن یا نبودن می تواند عاملی تعیین کننده باشد. کسانی که سیاستگزاری در حوزه امنیت انجام می دهند بهتر است به جای تلاش بیهوده برای توجیه سوئیچ کردن از ویندوز به لینوکس به خاطر حفظ امنیت کاربران، واقعیاتی که با افشای اینگونه آسیب پذیری ها مشخص می شود را در نظر بگیرند. بخشی از واقعیت آن است که وقتی توسعه دهنده نرم افزار، خارجی ها هستند، تفاوت چندانی بین متن باز و تجاری وجود ندارد. چون ما نسبت به هردوی اینها آسیب پذیر هستیم. بنابراین ریشه معضل در اینجاست که نه توان بررسی امنیت متن بازها را داریم و نه به اندازه ای که لازم است، توان توسعه محصول داخلی داریم. لذا مسأله اصلی، "نیروی انسانی" است.

2- بزرگترین خسارت ها ممکن است ناشی از خطاهایی کوچک باشند. مشکلی که در کد OpenSSL وجود داشت و منجر به خونریزی قلبی شد، یک آسیب پذیری ساده از نوع عدم بررسی محدوده بافر بود. در واقع، کد آسیب پذیر، به ورودی ارسال شده از کلاینت غیرقابل اعتماد، اطمینان کرده و بدون بررسی سایز حافظه درخواستی، پاسخ را  برای درخواست کننده ارسال می کرد. بنابراین یک اشتباه ساده برنامه نویسی (عمدی یا سهوی) می تواند منجر به یک آسیب پذیری بسیار بحرانی شود.

3- گمانه هایی در مورد عمدی بودن این آسیب پذیری  و اطلاع سازمان هایی چون NSA از آن وجود دارد. گفته می شود که تیم OpenSSL  در سال 2012 از وجود این باگ مطلع بوده، یا اینکه NSA در قالب برنامه PRISM ، از این باگ هم استفاده می کرده است. بدون آنکه بتوان در مورد صحت و سقم این ادعا قضاوت کرد، باید بپذیریم که تا وقتی به نرم افزارهای خارجی (چه متن باز و چه تجاری) وابسته باشیم، این نقاط ضعف هم موجب تهدید برای ما خواهد شد. در نتیجه، یا باید با توسعه توان داخلی، وابستگی خود را کم کنیم یا اینکه خود را از مرکز توجه جاسوسی ها و دشمنی ها خارج کنیم. به نظر می رسد راه دوم مقرون به صرفه تر باشد، اگر چه متأسفائه خریداری در بین تصمیم گیران ندارد. راه اول، که همان توسعه توان داخلی باشد، دقیقاً برعکس سیاست هایی است که تا به حال در مورد محصول بومی وجود داشته است. اینجا هم مجدداً مسأله اصلی و عامل توسعه توان داخلی، حفظ "نیروی انسانی" است، نه محدودیت و ممنوعیت برای رقبای خارجی و نه تعریف پروژه صرفاً برای خالی نبودن عریضه.   

4 ... (می تواند ادامه داشته باشد)

نویسنده: افشین لامعی - ۱۳٩۳/٢/٢٠

ماجرای شرکت بیان و پلیس فتا آنطور که در وبلاگ شرکت ذکر شده نمونه ای از مسأله حریم خصوصی (Privacy) است. موضوع حریم خصوصی آنقدر که در کشورهای پیشرفته دنیا اهمیت دارد، در ایران هنوز اهمیت خود را پیدا نکرده است. به عنوان مثال، بزرگترین اعتراضی که شهروندان و رسانه های آمریکا و اروپا به برنامه PRISM آژانس امنیت ملی ایالات متحده (NSA) دارند ـ برنامه ای که توسط ادوارد اسنودن فاش شد ـ  نقض حریم خصوصی آنها است. حتی بخش عمده ای از تحقیق و پژوهش در دانشگاه ها، شامل رساله های ارشد و دکتری هم به موضوع حریم خصوصی و فناوری های مربوط به آن می پردازند. با این حال، این موضوع در ایران چندان مورد توجه نیست. نه از طرف کاربران به عنوان یک حق و نه از طرف حاکمیت، شرکت ها و غیره به عنوان یک مسئولیت.

بدون قضاوت در باره چالش میان شرکت بیان و پلیس فتا، نفس این قضیه می تواند به برجسته شدن ابعاد حقوقی و فنی موضوع حریم خصوصی در داخل کشور کمک کند.

مطالب قدیمی تر »
سی و سه ساله ، متأهل، دانشجوی دکترای نرم افزار ـ امنیت، دانشگاه صنعتی امیرکبیر. مشاور مستقل امنیت اطلاعات.
مطالب اخیر: