هنگامی که بحث بررسی امنیتی و آزمون نفوذ مطرح میگردد، معمولا بلافاصله ذهن متخصصان امنیتی متوجه برنامههای تحتوب، برنامههای همراه و یا نهایتا ویروسها و بدافزارها میشود. در حالی که برنامههایی نیز از دیرباز وجود داشتهاند که در هیچکدام از این دستهها قرار نمیگیرند. این برنامهها با نصبشدن بر روی سیستمعامل کاربران و در مواردی حتی بدون هیچگونه نیازی به برقراری ارتباط با دیگر سیستمها، میتوانند قابلیتهای مورد نیاز کاربر را فراهم نمایند. با گسترش هرچه بیشتر فضای وب و تمایل توسعهدهندگان به طراحی برنامههای سازگار با وب، بررسی امنیتی این برنامهها به دست فراموشی سپرده شده است. در این مطلب سعی شده است تا اولا مرور مختصری به سازوکار و معماری این نوع برنامهها و سپس تمامی روشهای بررسی امنیتی آنها به صورت آزمون جعبهسیاه صورت گیرد تا بعدها از آن بتوان به عنوان مرجعی برای آزمونهای نفوذ این برنامهها استفاده نمود.
حملات کلاهبرداری تجارت الکترونیک به یک مشکل اساسی در سه سال گذشته تبدیل شده است و شرکتهای تجاری بزرگی که از بستر Magento استفاده میکنند توسط یک بدافزار به نام Magecart که مبالغ هنگفتی را از آن خود کرده است، آسیب دیدهاند.
هدف این نوع حمله، سوءاستفاده از ضعف امنیتی برای تزریق کد مخرب در سیستمهای پرداختی و بهدست آوردن اطلاعات کارت اعتباری زمان واردکردن آنها توسط مشتری است. مشتریان، محصولات یا خدماتی که برای آنها هزینه پرداخت کردهاند را دریافت میکنند، در حالی که در پسزمینه جنایتکاران دادههای لازم را بهمنظور کلاهبرداری کارت ضبط کردهاند. این حملات معمولاً تا زمانی که قربانی دارندهی کارت شکایتی نکند، شناسایی نمیشود.
کارشناسان شرکت امنیتی Sucuri، یک نرمافزار جدید کلاهبرداری الکترونیکی کشف کردند که با بدافزارهای مشابه مورد استفاده در حملات Magecart متفاوت است. این نرمافزار جدید کلاهبرداری، در حمله به فروشگاه الکترونیکی مستقر در WordPress با سوءاستفاده از آسیبپذیریهای افزونهی WooCommerce به کار گرفته میشود. مهاجمان در این حملات از کد جاوااسکریپت مخرب مخفی درون سیستمفایل استفاده میکنند و اطلاعات پرداختی درون تنظیمات افزونهی WooCommerceرا تغییر میدهند.
اغلب تزریقهای کد جاوااسکریپت، در انتهای فایل قانونی /wp-includes/js/jquery/jquery.js است (روش مؤثری که کشف آن برای مدافعان آسان است)؛ اما در این حملهی جدید، کد جاوااسکریپت قبل از انتهای jQuery.noConflict() تزریق شده است.
بخشی از اسکریپتی که اطلاعات کارت را ضبط میکند، در فایل "./wp-includes/rest-api/class-wp-rest-api.php" تزریق شده است. سپس این اسکریپت از تابع قانونی legal_put_contents برای ذخیرهسازی آنها در دو فایل تصویری مجزا (یک فایل PNG و یک فایل JPEG) که در شاخهی wp-content/uploads نگهداری میشوند، استفاده میکند. این بدافزار مخرب جزئیات پرداخت را جمعآوری میکند و شماره کارت و کد امنیتی CVV را به صورت ابرمتن در قالب کوکی ذخیره میکند.
در زمان تجزیه و تحلیل، هیچ یک از این دو فایل حاوی اطلاعات سرقتی نبودهاند؛ شرایطی که نشان میدهد پس از بهدست آوردن اطلاعات توسط مهاجمان، این بدافزار دارای قابلیت پاکسازی خودکار فایلها است.
همانطور که در بدافزارهای PHP معمول است، از چندین لایه رمزگذاری و الحاق در تلاش برای جلوگیری از شناساییشدن و پنهان کردن کد اصلی آن از یک مدیر وب مستر استفاده میشود. تنها نشانهی بارز این حمله بر سیستم مدیریت محتوای WordPress این بود یک فایل PHP جهت تضمین بارگذاریشدن کد مخرب اضافه شده بود.
اگر این حملات علیه سایتهای تجارت الکترونیک کوچکتر باشد، معمولاً تغییر اطلاعات پرداختی و ارسال سرمایه به یک حساب کاربری مخرب، آسانتر است.
متأسفانه هنوز مشخص نیست که مهاجمان چگونه در مرحلهی اول وارد سایت شدهاند، اما به احتمال زیاد از طریق به خطر انداختن حساب کاربری مدیر یا با سوءاستفاده از یک آسیبپذیری نرمافزار در WordPress یا WooCommerce این امر میسر شده است.
لازم به ذکر است که تمامی فروشگاههای تجارت الکترونیک نیاز به دفاع دقیقی دارند. WooCommerce این کار را از طریق تغییر در نامکاربری پیشفرض WordPress که admin بوده است به چیزی که حدس آن برای مهاجمان دشوار است و همچنین بااستفاده از یک گذرواژهی قوی، انجام داده است.
علاوه بر تنظیمات امنیتی خاص مانند محدودکردن تلاش برای ورود به سیستم و استفاده از احرازهویت دوعاملی، بهروزرسانی WordPress و افزونهی WooCommerce هم مهم است. همچنین متخصصان Sucuri به مدیران وبسایتهای WordPress توصیه میکنند که ویرایش مستقیم فایل را برای wp-admin با اضافهکردن خط define( ‘DISALLOW_FILE_EDIT’, true ); به فایل wp-config.php، غیرفعال کنند.
اخیرا یک کمپین فیشینگ یا مهندسی اجتماعی مشاهده شده است که قربانیان را با یک توصیه امنیتی سیسکو درباره یک آسیب پذیری بحرانی، فریب می دهد. این کمپین، قربانیان را ترغیب می کند تا اقدام به بروزرسانی نرم افزار نمایند تا از این طریق بتواند اعتبارات کاربران در بستر کنفرانس وب Webex سیسکو را برباید. محققان به کاربران هشدار داده اند، مراقب برنامه های جعلی نفرانس آنلاین و همکاری مجازی باشند تا مورد سوءاستفاده مهاجمان قرار نگیرند. به طور کلی، مهاجمان با ایمیل های فریبنده مهندسی اجتماعی، با وعده های مربوط به اطلاعات درمانی و... به دنبال سودجویی از نگرانی های عمومی درباره ویروس کرونا هستند.
محققان امنیتی از یک کمپین مخرب که از ماه مارس 2018 سیستمهای ویندوزی اجراکنندۀ SQL Server را هدف قرار میدهند، پرده برداشتند. این کمپین اقدام به نصب انواع بدافزار شامل ابزارهای کنترل از راه دور چند کارکردی (RATها)، ماینرها و بکدور روی سرورهای SQL میکردند. این کمپین با توجه به استخراج رمز Vollar و شیوۀ کار تهاجمی خود به نام«Vollgar» نامگذاری شده است. به گفتۀ محققان امنیتی در آزمایشگاه Guardicore مهاجمان از brute force پسوردها برای نفوذ به سرورهای Microsoft SQLی که اعتبارنامه آنها در سطح اینترنت منتشر شده است، استفاده میکنند. محققان عقیده دارند که مهاجمان هر روز تعداد 2.000 تا 3.000 سرور پایگاهداده را طی چند هفتۀ اخیر آلوده کردهاند. این اهداف شامل سازمانهای بهداشت و درمان، هواپیمایی، IT و تلکام و دیگر بخشهای آموزشی در چین، هند، ایالات متحدۀ آمریکا، کرۀ جنوبی و ترکیه هستند.
سال 2019 یک سال غیر قابل پیشبینی برای جرائم #سایبری بوده است؛ با توجه به جذابیت جرائم سایبری که مدام در حال افزایشاند، دورنمای خطراتی که در سال 2020 امنیت سایبری را تهدید میکنند، وعدهی چالشهای جدید را میدهد. وقتی صحبت از امنیت سایبری میشود، پیشبینی تهدیدات در مقایسه با واکنش مقابل آنها دارای اهمیت بالاتری است. در یک چشم انداز کلی، تهدیدات به طور مداوم در حال تغییر و تحول است؛ وصله کردن رخنهها و یا انجام بهروزرسانیها در مقابل تهدیدات دیروز، دیگر کافی نیست. انتظار میرود در سال 2020 شاهد افزایش برخی حملات باجافزارها، حملات فیشینگ، کلاهبرداریهای web skimming، exploit kitها و... باشیم.
به گفته محققان آزمایشگاه های تحقیقاتی #ESET، اخیراً یک آسیب پذیری جدی در تراشه های Wi-Fi کشف شده است که میلیاردها دستگاه در سراسر جهان را تحت تأثیر قرار می دهد. آسیب پذیری KrØØk مربوط به یک کلید رمزگذاری تمام صفر در تراشه های Wi-Fi است که ارتباطات دستگاه های آمازون، اپل، گوگل، سامسونگ و دیگر دستگاه ها را افشا می کند. این آسیب پذیری، به مهاجمان امکان می دهد تا بتوانند ارتباطات Wi-Fi را شنود کنند. در ادامه به بررسی بیشتر این آسیب پذیری خواهیم پرداخت.
برای دریافت پیوست کلیک نمایید
بر اساس گزارشها و آمارهای مراکز امنیتی، از سازمانهای دولتی تا شرکتهای کوچک و بزرگ، حملات باجافزاری را در سال 2019 تجربه کردهاند. در سال 2020 این تلنگر برای همه کاربران است که بتوان مانع از حملات موفق باجافزارها شد. اساس کار باجافزارها این است که دسترسی به یک سیستم، دستگاه یا فایل را تا زمانی که باج خواسته شده پرداخت نشود، برقرار نخواهد شد. این کار را با رمزنگاری فایلها ، تهدید به پاک کردن فایلها یا مسدود کردن دسترسی سیستم انجام میشود. این حملات در مواردی مانند بیمارستانها، مراکز اضطراری و سایر زیرساختهای مهم میتواند بسیار خطرناک و بحرانی باشد.
دفاع در برابر باجافزار در سازمانها و شرکتها نیاز به یک رویکرد جامع دارد که کل افراد را درگیر خواهد کرد. در ادامه هفت گام معرفی میشود که سازمانها با استفاده از این روشها میتوانند حملات را متوقف کرده و یا اثرات حملات باجافزاری را محدود کنند. هر کدام از این هفت گام با بهترین سیاستهای امنیتی مرکز CIS Security منطبق بوده و برای هر موضوع از طریق این مرجع میتوان اطلاعات بیشتری را کسب کرد.
1. دقت به عملیات پشتیبانگیری
مرکزMS-ISAC توصیه میکند که تهیه نسخه پشتیبان از دادههای مهم، مؤثرترین روش مقابله با آلودگی باجافزار است. با این حال، مواردی را باید در نظر داشته باشید. فایلهای پشتیبان شما باید به طور مناسب محافظت شود و بهصورت آفلاین یا خارج از همان سیستم ذخیره شود تا توسط مهاجمین مورد هدف قرار نگیرد. استفاده از سرویسهای ابری میتواند به شما در مقابله با آلودگی به باج افزارها کمک کند، زیرا نسخههای قبلی فایلها را حفظ میکنند که به کاربر امکان میدهد به نسخه غیررمزنگاری شده، دستیابی داشته باشد. حتماً نسخههای پشتیبان بصورت مداوم برای اطمینان از مؤثر بودنشان، تست شوند. در صورت رخداد حمله، قبل از عملیات بازگردانی با استفاده از نسخه پشتیبان، مطمئن شوید که این نسخه نیز آلوده نشده باشد.
در CIS Control 10 که در لینک منبع قرار داده شده است جزئیات بیشتری در مورد نحوه تهیه یک برنامه گرفتن نسخه پشتیبان و بازیابی اطلاعات ارائه شده است.
2. تدوین سازوکار و سیاستهایی در خصوص رخدادها
ایجاد یک سازوکار برای مقابله و پاسخ به رخدادها ضروری به نظر میرسد تا تیم فناوری اطلاعات وامنیت سایبری شما بداند که باید در حین یک رخداد باجافزاری چه کاری انجام باید دهد. این طرح شامل نقشها و ارتباطات تعریف شدهای است که باید در حین حمله به اشتراک گذاشته شود. همچنین باید لیستی از مخاطبین مانند ذینفعان یا مشتریان و یا کاربران که باید به آنها اطلاع داده شود، در لیست درج شود. آیا سیاستهایی مانند "ایمیل مشکوک" دارید؟ اگر نه، میبایستی سیاستی همانند این مورد باید برای کل شرکت در نظر بگیرید. در نظر گفتن این سیاست به کارمندان آموزش میدهد که در صورت دریافت ایمیلی که از آنها اطمینان ندارند، چه کاری باید انجام دهند مانند عدم دریافت پیوست ایمیل و ارسال آن ایمیل مشکوک به تیم امنیت سایبریشرکت یا سازمان.
در CIS Control 19 که در لینک منبع قرار داده شده است جزئیات بیشتری در مورد مقابله، پاسخ و مدیریت رخدادها بیان شده است.
3. بازنگری درخصوص پورتها
بسیاری از انواع باجافزارها از پورت (RDP) 3389 و پورت (SMB) 445 استفاده میکنند. باید در نظر گرفت که آیا سازمان یا شرکت شما نیاز دارد که این پورتها را باز کند یا خیر، و چه فیترها و محدودیتهایی برای ارتباطات باید در نظر گرفته شود. حتماً این تنظیمات را هم برای محیط داخلی و هم در فضای ابری بررسی کرده و به ارائهدهنده خدمات ابری خود توصیههایی برای غیرفعال کردن سرویسهایی مانند RDP که مورد استفاده نیستند، انجام شود.
در CIS Control 9 و CIS Control12 که در لینک منبع قرار داده شده است جزئیات بیشتری در مورد روشهای مختلفی که شرکت یا سازمان شما میتواند پورتها، پروتکلها و سرویسهای شبکه را کنترل کند، بیان شده است.
4. امنسازی Endpoint ها
باید اطمینان حاصل کرد که سیستمهای مورد استفاده در شرکت یا سازمان با امنیت بالا پیکربندی شدهاند. تنظیمات پیکربندی امن میتواند به محدود کردن سطح تهدید سازمان و بستن شکافهای امنیتی کمک کرده و معمولا داشتن تنظیمات پیشفرض امنیت را تضمین نمیکنند. در سایت CISecurity بخش به نامCIS Benchmark وجود دارد که معیارها و راهنماییهایی برای سنجش و امنسازی ارائه میکند و یک انتخاب عالی و بدون هزینه برای سازمانهایی است که به دنبال پیکربندی امن برای سیستمهای خود هستند.
در CIS Control 5 که در لینک منبع قرار داده شده است جزئیات بیشتری در مورد پیکربندی امن سیستمها بیان شده است.
5. توجه به بهروزرسانی سیستمها
باید اطمینان حاصل کرد که همه سیستمعاملها، برنامهها و نرمافزارهای سازمان بهطور مداوم بهروزرسانی میشوند. انجام عملیات بهروزرسانی باعث میشود نقصها و شکافهای امنیتی موجود، که مهاجمین به دنبال سوءاستفاده از آنها هستند، رفع گردد. در صورت امکان، تنظیم بهروزرسانیهای خودکار فعال گردد تا بهصورت خودکار آخرین بهروزرسانیها و وصلههای امنیتی اعمال گردد.
در CIS Control 3 که در لینک منبع قرار داده شده است جزئیات بیشتری در مورد بهروزرسانیها و اعمال وصلههای امنیتی بیان شده است.
6. توجه به آموزش و آگاهیرسانی به تیم کاری
یکی از مهمترین جنبهها برای مقابله با حملات باجافزاری در سازمانها و شرکتها توجه به امر آموزش است. به طور مثال یکی از راههای آلودگی سیستم، باز کردن ایمیلهای مخرب و دریافت پیوستهای آنها است که تمامی کارکنان سازمان و شرکتها این نوع ایمیلها را دریافت میکنند و میبایستی آموزش مناسب در این حوزه به افراد برای جلوگیری از آلوده شدن سیستمها داده شود، پس به این نتیجه میرسیم که همه افراد در حفاظت از سازمان نقش دارند.
در CIS Control 17 که در لینک منبع قرار داده شده است جزئیات بیشتری در مورد آگاهیرسانی و آموزشهای امنیتی به کارکنان بیان شده است.
7. پیادهسازی IDS
یک سیستم تشخیص نفوذ (IDS) با مقایسه ترافیک شبکه با امضاهایی که فعالیتهای مخرب شناخته شده را داشتهاند، به کشف فعالیت مخرب میپردازند. یک IDS مقاوم و قوی اغلب بانک اطلاعاتی امضاهای خود را به روز میکند و در صورت شناسایی فعالیتهای مخرب احتمالی، به سرعت به سازمان شما هشدار لازم را میدهد.
در CIS Control 6 و CIS Control 12 که در لینک منبع قرار داده شده است جزئیات بیشتری در مورد مانیتورینگ، نگهداری، تجزیه و تحلیل لاگها و ترافیک توسط IDS بیان شده است.
در این مستندات، مقاومسازی امنیتی #Cassandra نسخه 3.11 ، #MongoDB نسخه 3.4 ، #SQL Server نسخه 2017 ، #MySQL نسخه 5.7 ، #Oracle نسخه 12c و #PostgreSQL نسخه 9.5 مورد بررسی قرار میگیرد. به این منظور، نحوه وارسی و ایمنسازی مقادیر و تنظیمات مربوط به تعداد زیادی از پارامترهای تاثیرگذار در عملکرد این پایگاهداده معرفی میگردند. در مورد هر پارامتر، کاربرد آن پارامتر به طور مختصر بیان میشود، ارزش امنیتی پارامتر ذکر میگردد، نحوه آگاهی از مقدار کنونی پارامتر مشخص میشود، و در نهایت چگونگی مقداردهی امن پارامتر نشان داده میشود.
بررسی پارامترهای مربوط به مقاومسازی در شش فصل متمایز صورت میگیرد.در فصل اول، نیازمندیهای مرتبط با امنسازی محیط اجرا ارائه میشود. فصل دوم به تشریح پارامترهای نصب و پیکربندی میپردازد. فصل سوم به معرفی محدودیتهایی اختصاص دارد که باید بر روی فرآیند اتصال و ورود کاربران به اعمال گردد. در فصل چهارم، پارامترهای کنترل دسترسی و مجازشماری مورد بررسی قرار میگیرند. پارامترهای مربوط به رویدادنگاری امن در فصل پنجم بررسی میشوند. در فصل ششم، تنظیمات مربوط به رمزنگاری مورد توجه قرار میگیرند. در پایان نیز، نحوه اجرای اسکریپتها و اعمال تنظیمات مورد نیاز برای مقاومسازی پایگاهداده بیان میگردد.
دریافت مستند مقاوم سازی امنیتی Oracle
دریافت اسکریپت هاردنینگ Oracle
دریافت اسکریپت هاردنینگ PostgreSQL
دریافت مستند مقاوم سازی امنیتی PostgreSQL
دریافت مستند مقاوم سازی امنیتی MongoDB
دریافت اسکریپت هاردنینگ MongoDB
دریافت اسکریپت هاردنینگ Cassandra
دریافت مستند مقاوم سازی امنیتی Cassandra
دریافت مستند مقاوم سازی امنیتی MySQl
رشد روز افزون حجم اطلاعات از یک سو و پیشرفت فنآوریهای نوین از سوی دیگر سبب شده تا طیف وسیعی از تهدیدها و جرمها در پایگاهداد مطرح گردد. وجود این تهدیدها و جرمها سبب شده تا تمهیدات امنیتی چون حفظ محرمانگی، صحت و دسترسپذیری در این سامانهها از جایگاه ویژهای برخوارد باشد. مکانیزمهای امنیتی موجود به سبب حفظ کارایی سامانه نمیتوانند جلوی تمامی تهدیدها و جرایم اینترنتی در پایگاههای داده را بگیرند و لذا امکان وقوع جرم در سامانه امکانپذیر است. از اینرو، به منظور شناسایی شواهد جرم، جمعآوری اطلاعات مربوطه، تجزیهوتحلیل آنها و در نهایت تهیه مستندات لازم جهت اثبات وجود جرم، شاخهی جرمشناسی پایگاهداده مطرح میگردد. وجود زیرساختهای مختلف برای سامانههای پایگاهداده، طبیعت چند بعدی سامانهها، ابزارهای مختلف جرمشناسی و فقدان مدیریت دانش مرتبط با جرمشناسی را میتوان از جمله چالشهای اصلی در این حوزه دانست. وجود این چالشها سبب شده است تا جرمشناسی پایگاهداده به عنوان یک موضوع پیچیده و بغرنج معرفی گردد.
در ادامه و در فصل اول، مفاهیم و تعاریف اولیهی جرمشناسی پایگاهداده، چالشها، اهداف و گامهای اجرایی جرمشناسی تشریح میشود. در فصل دوم، فرآیند جرمشناسی و مدیریت جرم برای هر سامانه پایگاهداده (سمپاد) مورد بحث و بررسی قرار میگیرد. در فصلهای سوم تا پنجم، گامهای شناسایی، جمعآوری شواهد و اطلاعات، استخراج و تحلیل اطلاعات، ترمیم و ارائه مستندات مربوط به جرم به ترتیب برای هر یک از رویدادهای درج، حذف، بروزرسانی و مشاهده غیرمجاز محتوای جداول، تغییر غیرمجاز شمای پایگاهداده و تلاش برای ورود غیرمجاز به سامانه پایگاهداده مطالعه میشود. لازم به ذکر است که کلیه پیکربندیهای ارائه شده در مستند حاضر بر اساس Datastax enterprise 6.0.1 میباشد.
دریافت مستند جرمشناسی در پایگاه داده Oracle
دریافت مستند جرمشناسی در پایگاه داده Cassandra
دریافت مستند جرمشناسی در پایگاه داده MongoDB
دریافت مستند جرمشناسی در پایگاه داده MsSQL