‫ اخبار

هنگامی که بحث بررسی امنیتی و آزمون نفوذ مطرح می‌گردد، معمولا بلافاصله ذهن متخصصان امنیتی متوجه برنامه‌های تحت‌وب، برنامه‌های همراه و یا نهایتا ویروس‌ها و بدافزارها می‌شود. در حالی که برنامه‌هایی نیز از دیرباز وجود داشته‌اند که در هیچکدام از این دسته‌ها قرار نمی‌گیرند. این برنامه‌ها با نصب‌شدن بر روی سیستم‌عامل کاربران و در مواردی حتی بدون هیچ‌گونه نیازی به برقراری ارتباط با دیگر سیستم‌ها، می‌توانند قابلیت‌های مورد نیاز کاربر را فراهم نمایند. با گسترش هرچه بیشتر فضای وب و تمایل توسعه‌دهندگان به طراحی برنامه‌های سازگار با وب، بررسی امنیتی این برنامه‌ها به دست فراموشی سپرده شده است. در این مطلب سعی شده است تا اولا مرور مختصری به سازوکار و معماری این نوع برنامه‌ها و سپس تمامی روش‌های بررسی امنیتی آن‌ها به صورت آزمون جعبه‌سیاه صورت گیرد تا بعدها از آن بتوان به عنوان مرجعی برای آزمون‌های نفوذ این برنامه‌ها استفاده نمود.

حملات کلاهبرداری تجارت الکترونیک به یک مشکل اساسی در سه سال گذشته تبدیل شده است و شرکت‌های تجاری بزرگی که از بستر Magento استفاده می‌کنند توسط یک بدافزار به نام Magecart که مبالغ هنگفتی را از آن خود کرده است، آسیب دیده‌اند.
هدف این نوع حمله، سوءاستفاده از ضعف امنیتی برای تزریق کد مخرب در سیستم‌های پرداختی و به‌دست آوردن اطلاعات کارت اعتباری زمان واردکردن آن‌ها توسط مشتری است. مشتریان، محصولات یا خدماتی که برای آنها هزینه پرداخت کرده‌اند را دریافت می‌کنند، در حالی که در پس‌زمینه جنایتکاران داده‌های لازم را به‌منظور کلاهبرداری کارت ضبط کرده‌اند. این حملات معمولاً تا زمانی که قربانی دارنده‌ی کارت شکایتی نکند، شناسایی نمی‌شود.
کارشناسان شرکت امنیتی Sucuri، یک نرم‌افزار جدید کلاهبرداری الکترونیکی کشف کردند که با بدافزارهای مشابه مورد استفاده در حملات Magecart متفاوت است. این نرم‌افزار جدید کلاهبرداری، در حمله به فروشگاه الکترونیکی مستقر در WordPress با سوءاستفاده از آسیب‌پذیری‌های افزونه‌ی WooCommerce به کار گرفته می‌شود. مهاجمان در این حملات از کد جاوااسکریپت مخرب مخفی درون سیستم‌فایل استفاده می‌کنند و اطلاعات پرداختی درون تنظیمات افزونه‌ی WooCommerceرا تغییر می‌دهند.
اغلب تزریق‌های کد جاوااسکریپت، در انتهای فایل قانونی /wp-includes/js/jquery/jquery.js است (روش مؤثری که کشف آن برای مدافعان آسان است)؛ اما در این حمله‌ی جدید، کد جاوااسکریپت قبل از انتهای jQuery.noConflict() تزریق شده است.
بخشی از اسکریپتی که اطلاعات کارت را ضبط می‌کند، در فایل "./wp-includes/rest-api/class-wp-rest-api.php" تزریق شده است. سپس این اسکریپت از تابع قانونی legal_put_contents برای ذخیره‌سازی آن‌ها در دو فایل تصویری مجزا (یک فایل PNG و یک فایل JPEG) که در شاخه‌ی wp-content/uploads نگهداری می‌شوند، استفاده می‌کند. این بدافزار مخرب جزئیات پرداخت را جمع‌آوری می‌کند و شماره کارت و کد امنیتی CVV را به صورت ابرمتن در قالب کوکی ذخیره می‌کند.
در زمان تجزیه و تحلیل، هیچ یک از این دو فایل حاوی اطلاعات سرقتی نبوده‌اند؛ شرایطی که نشان می‌دهد پس از به‌دست آوردن اطلاعات توسط مهاجمان، این بدافزار دارای قابلیت پاکسازی خودکار فایل‌ها است.
همانطور که در بدافزارهای PHP معمول است، از چندین لایه رمزگذاری و الحاق در تلاش برای جلوگیری از شناسایی‌شدن و پنهان کردن کد اصلی آن از یک مدیر وب مستر استفاده می‌شود. تنها نشانه‌ی بارز این حمله بر سیستم مدیریت محتوای WordPress این بود یک فایل PHP جهت تضمین بارگذاری‌شدن کد مخرب اضافه شده بود.
اگر این حملات علیه سایت‌های تجارت الکترونیک کوچکتر باشد، معمولاً تغییر اطلاعات پرداختی و ارسال سرمایه به یک حساب کاربری مخرب، آسان‌تر است.
متأسفانه هنوز مشخص نیست که مهاجمان چگونه در مرحله‌ی اول وارد سایت شده‌اند، اما به احتمال زیاد از طریق به خطر انداختن حساب کاربری مدیر یا با سوءاستفاده از یک آسیب‌پذیری نرم‌افزار در WordPress یا WooCommerce این امر میسر شده است.
لازم به ذکر است که تمامی فروشگاه‌های تجارت الکترونیک نیاز به دفاع دقیقی دارند. WooCommerce این کار را از طریق تغییر در نام‌کاربری پیش‌فرض WordPress که admin بوده است به چیزی که حدس آن برای مهاجمان دشوار است و همچنین بااستفاده از یک گذرواژه‌ی قوی، انجام داده است.
علاوه بر تنظیمات امنیتی خاص مانند محدودکردن تلاش برای ورود به سیستم و استفاده از احرازهویت دوعاملی، به‌روزرسانی WordPress و افزونه‌ی WooCommerce هم مهم است. همچنین متخصصان Sucuri به مدیران وب‌سایت‌های WordPress توصیه می‌کنند که ویرایش مستقیم فایل را برای wp-admin با اضافه‌کردن خط define( ‘DISALLOW_FILE_EDIT’, true ); به فایل wp-config.php، غیرفعال کنند.

اخیرا یک کمپین فیشینگ یا مهندسی اجتماعی مشاهده شده است که قربانیان را با یک توصیه امنیتی سیسکو درباره یک آسیب پذیری بحرانی، فریب می دهد. این کمپین، قربانیان را ترغیب می کند تا اقدام به بروزرسانی نرم افزار نمایند تا از این طریق بتواند اعتبارات کاربران در بستر کنفرانس وب Webex سیسکو را برباید. محققان به کاربران هشدار داده اند، مراقب برنامه های جعلی نفرانس آنلاین و همکاری مجازی باشند تا مورد سوءاستفاده مهاجمان قرار نگیرند. به طور کلی، مهاجمان با ایمیل های فریبنده مهندسی اجتماعی، با وعده های مربوط به اطلاعات درمانی و... به دنبال سودجویی از نگرانی های عمومی درباره ویروس کرونا هستند.

دانلود مستند

دانلود پیوست

محققان امنیتی از یک کمپین مخرب که از ماه مارس 2018 سیستم‌های ویندوزی اجراکنندۀ SQL Server را هدف قرار می‌دهند، پرده برداشتند. این کمپین اقدام به نصب انواع بدافزار شامل ابزارهای کنترل از راه دور چند کارکردی (RATها)، ماینرها و بکدور روی سرورهای SQL می‌کردند. این کمپین با توجه به استخراج رمز Vollar و شیوۀ کار تهاجمی خود به نام«Vollgar» نامگذاری شده است. به گفتۀ محققان امنیتی در آزمایشگاه Guardicore مهاجمان از brute force پسوردها برای نفوذ به سرورهای Microsoft SQLی که اعتبارنامه آنها در سطح اینترنت منتشر شده است، استفاده می‌کنند. محققان عقیده دارند که مهاجمان هر روز تعداد 2.000 تا 3.000 سرور پایگاه‌داده را طی چند هفتۀ اخیر آلوده کرده‌اند. این اهداف شامل سازمان‌های بهداشت و درمان، هواپیمایی، IT و تلکام و دیگر بخش‌های آموزشی در چین، هند، ایالات متحدۀ آمریکا، کرۀ جنوبی و ترکیه هستند.

دانلود پیوست

سال 2019 یک سال غیر قابل پیش‌بینی برای جرائم #‫سایبری بوده است؛ با توجه به جذابیت جرائم سایبری که مدام در حال افزایش‌اند، دورنمای خطراتی که در سال 2020 امنیت سایبری را تهدید می‌کنند، وعده‌ی چالش‌های جدید را می‌دهد. وقتی صحبت از ‫امنیت سایبری می‌شود، پیش‌بینی تهدیدات در مقایسه با واکنش مقابل آن‌ها دارای اهمیت بالاتری است. در یک چشم انداز کلی، تهدیدات به طور مداوم در حال تغییر و تحول است؛ وصله کردن رخنه‌ها و یا انجام به‌روزرسانی‌ها در مقابل تهدیدات دیروز، دیگر کافی نیست. انتظار می‌رود در سال 2020 شاهد افزایش برخی حملات باج‌افزارها، حملات فیشینگ، کلاهبرداری‌های web skimming، exploit kitها و... باشیم.‬‬‬‬‬‬‬

دانلود مستند

به گفته محققان آزمایشگاه های تحقیقاتی #ESET، اخیراً یک آسیب پذیری جدی در تراشه های Wi-Fi کشف شده است که میلیاردها دستگاه در سراسر جهان را تحت تأثیر قرار می دهد. آسیب پذیری KrØØk مربوط به یک کلید رمزگذاری تمام صفر در تراشه های Wi-Fi است که ارتباطات دستگاه های آمازون، اپل، گوگل، سامسونگ و دیگر دستگاه ها را افشا می کند. این آسیب پذیری، به مهاجمان امکان می دهد تا بتوانند ارتباطات Wi-Fi را شنود کنند. در ادامه به بررسی بیشتر این آسیب پذیری خواهیم پرداخت.

برای دریافت پیوست کلیک نمایید

بر اساس گزارش‌ها و آمارهای مراکز امنیتی، از سازمان‌های دولتی تا شرکت‌های کوچک و بزرگ، حملات باج‌افزاری را در سال 2019 تجربه کرده‌اند. در سال 2020 این تلنگر برای همه کاربران است که بتوان مانع از حملات موفق باج‌افزارها شد. اساس کار باج‌افزارها این است که دسترسی به یک سیستم، دستگاه یا فایل را تا زمانی که باج خواسته شده پرداخت نشود، برقرار نخواهد شد. این کار را با رمزنگاری ‌فایل‌ها ، تهدید به پاک کردن فایل‌ها یا مسدود کردن دسترسی سیستم انجام می‌شود. این حملات در مواردی مانند بیمارستان‌ها، مراکز اضطراری و سایر زیرساخت‌های مهم می‌تواند بسیار خطرناک و بحرانی باشد.
دفاع در برابر باج‌افزار در سازمان‌ها و شرکت‌ها نیاز به یک رویکرد جامع دارد که کل افراد را درگیر خواهد کرد. در ادامه هفت گام معرفی می‌شود که سازمان‌ها با استفاده از این روش‌ها می‌توانند حملات را متوقف کرده و یا اثرات حملات باج‌افزاری را محدود کنند. هر کدام از این هفت گام با بهترین سیاست‌های امنیتی مرکز CIS Security منطبق بوده و برای هر موضوع از طریق این مرجع می‌توان اطلاعات بیشتری را کسب کرد.

1. دقت به عملیات پشتیبان‌گیری
مرکزMS-ISAC توصیه می‌کند که تهیه نسخه پشتیبان از داده‌های مهم، مؤثرترین روش مقابله با آلودگی باج‌افزار است. با این حال، مواردی را باید در نظر داشته باشید. فایل‌های پشتیبان شما باید به طور مناسب محافظت شود و به‌صورت آفلاین یا خارج از همان سیستم ذخیره شود تا توسط مهاجمین مورد هدف قرار نگیرد. استفاده از سرویس‌های ابری می‌تواند به شما در مقابله با آلودگی به باج افزارها کمک کند، زیرا نسخه‌های قبلی ‌فایل‌ها را حفظ می‌کنند که به کاربر امکان می‌دهد به نسخه غیررمزنگاری شده، دستیابی داشته باشد. حتماً نسخه‌های پشتیبان‌ بصورت مداوم برای اطمینان از مؤثر بودنشان، تست شوند. در صورت رخداد حمله، قبل از عملیات بازگردانی با استفاده از نسخه پشتیبان، مطمئن شوید که این نسخه نیز آلوده نشده باشد.
در CIS Control 10 که در لینک منبع قرار داده شده است جزئیات بیشتری در مورد نحوه تهیه یک برنامه گرفتن نسخه پشتیبان و بازیابی اطلاعات ارائه شده است.

2. تدوین سازوکار و سیاست‌هایی در خصوص رخدادها
ایجاد یک سازوکار برای مقابله و پاسخ به رخدادها ضروری به نظر می‌رسد تا تیم فناوری اطلاعات وامنیت سایبری شما بداند که باید در حین یک رخداد باج‌افزاری چه کاری انجام باید دهد. این طرح شامل نقش‌ها و ارتباطات تعریف شده‌ای است که باید در حین حمله به اشتراک گذاشته شود. همچنین باید لیستی از مخاطبین مانند ذی‌نفعان یا مشتریان و یا کاربران که باید به آن‌ها اطلاع داده شود، در لیست درج شود. آیا سیاست‌هایی مانند "ایمیل مشکوک" دارید؟ اگر نه، میبایستی سیاستی همانند این مورد باید برای کل شرکت در نظر بگیرید. در نظر گفتن این سیاست به کارمندان آموزش می‌دهد که در صورت دریافت ایمیلی که از آن‌ها اطمینان ندارند، چه کاری باید انجام دهند مانند عدم دریافت پیوست ایمیل و ارسال آن ایمیل مشکوک به تیم امنیت سایبریشرکت یا سازمان.
در CIS Control 19 که در لینک منبع قرار داده شده است جزئیات بیشتری در مورد مقابله، پاسخ و مدیریت رخدادها بیان شده است.

3. بازنگری درخصوص پورت‌ها
بسیاری از انواع باج‌افزارها از پورت (RDP) 3389 و پورت (SMB) 445 استفاده می‌کنند. باید در نظر گرفت که آیا سازمان یا شرکت شما نیاز دارد که این پورت‌ها را باز کند یا خیر، و چه فیترها و محدودیت‌هایی برای ارتباطات باید در نظر گرفته شود. حتماً این تنظیمات را هم برای محیط داخلی و هم در فضای ابری بررسی کرده و به ارائه‌دهنده خدمات ابری خود توصیه‌هایی برای غیرفعال کردن سرویس‌هایی مانند RDP که مورد استفاده نیستند، انجام شود.
در CIS Control 9 و CIS Control12 که در لینک منبع قرار داده شده است جزئیات بیشتری در مورد روش‌های مختلفی که شرکت یا سازمان شما می‌تواند پورت‌ها، پروتکل‌ها و سرویس‌های شبکه را کنترل کند، بیان شده است.

4. امن‌سازی Endpoint ها
باید اطمینان حاصل کرد که سیستم‌های مورد استفاده در شرکت یا سازمان با امنیت بالا پیکربندی شده‌اند. تنظیمات پیکربندی امن می‌تواند به محدود کردن سطح تهدید سازمان و بستن شکاف‌های امنیتی کمک کرده و معمولا داشتن تنظیمات پیش‌فرض امنیت را تضمین نمی‌کنند. در سایت CISecurity بخش به نامCIS Benchmark وجود دارد که معیارها و راهنمایی‌هایی برای سنجش و امن‌سازی ارائه می‌کند و یک انتخاب عالی و بدون هزینه برای سازمان‌هایی است که به دنبال پیکربندی‌ امن برای سیستم‌های خود هستند.
در CIS Control 5 که در لینک منبع قرار داده شده است جزئیات بیشتری در مورد پیکربندی امن سیستم‌ها بیان شده است.

5. توجه به به‌روزرسانی سیستم‌ها
باید اطمینان حاصل کرد که همه سیستم‌عامل‌ها، برنامه‌ها و نرم‌افزارهای سازمان به‌طور مداوم به‌روزرسانی می‌شوند. انجام عملیات به‌روزرسانی‌ باعث می‌شود نقص‌ها و شکاف‌های امنیتی موجود، که مهاجمین به دنبال سوء‌استفاده از آن‌ها هستند، رفع گردد. در صورت امکان، تنظیم به‌روزرسانی‌های خودکار فعال گردد تا به‌صورت خودکار آخرین به‌روزرسانی‌ها و وصله‌های امنیتی اعمال گردد.
در CIS Control 3 که در لینک منبع قرار داده شده است جزئیات بیشتری در مورد به‌روزرسانی‌ها و اعمال وصله‌های امنیتی بیان شده است.

6. توجه به آموزش و آگاهی‌رسانی به تیم کاری
یکی از مهمترین جنبه‌ها برای مقابله با حملات باج‌افزاری در سازمان‌ها و شرکت‌ها توجه به امر آموزش است. به طور مثال یکی از راه‌های آلودگی سیستم، باز کردن ایمیل‌های مخرب و دریافت پیوست‌های آن‌ها است که تمامی کارکنان سازمان و شرکت‌ها این نوع ایمیل‌ها را دریافت می‌کنند و میبایستی آموزش مناسب در این حوزه به افراد برای جلوگیری از آلوده شدن سیستم‌ها داده شود، پس به این نتیجه می‌رسیم که همه افراد در حفاظت از سازمان نقش دارند.
در CIS Control 17 که در لینک منبع قرار داده شده است جزئیات بیشتری در مورد آگاهی‌رسانی و آموزش‌های امنیتی به کارکنان بیان شده است.

7. پیاده‌سازی IDS
یک سیستم تشخیص نفوذ (IDS) با مقایسه ترافیک شبکه با امضاهایی که فعالیت‌های مخرب شناخته شده را داشته‌اند، به کشف فعالیت مخرب می‌پردازند. یک IDS مقاوم و قوی اغلب بانک اطلاعاتی امضاهای خود را به روز می‌کند و در صورت شناسایی فعالیت‌های مخرب احتمالی، به سرعت به سازمان شما هشدار لازم را می‌دهد.
در CIS Control 6 و CIS Control 12 که در لینک منبع قرار داده شده است جزئیات بیشتری در مورد مانیتورینگ، نگهداری، تجزیه و تحلیل لاگ‌ها و ترافیک توسط IDS بیان شده است.

دانلود پیوست

در این مستندات، مقاوم‌سازی امنیتی #Cassandra نسخه 3.11 ، #MongoDB نسخه 3.4 ، #SQL Server نسخه 2017 ، #MySQL نسخه 5.7 ، #Oracle نسخه 12c و #PostgreSQL نسخه 9.5 مورد بررسی قرار می‌گیرد. به این منظور، نحوه وارسی و ایمن‌سازی مقادیر و تنظیمات مربوط به تعداد زیادی از پارامترهای تاثیرگذار در عملکرد این پایگاه‌داده معرفی می‌گردند. در مورد هر پارامتر، کاربرد آن پارامتر به طور مختصر بیان می‌شود، ارزش امنیتی پارامتر ذکر می‌گردد، نحوه آگاهی از مقدار کنونی پارامتر مشخص می‌شود، و در نهایت چگونگی مقداردهی امن پارامتر نشان داده می‌شود.
بررسی پارامترهای مربوط به مقاوم‌سازی در شش فصل متمایز صورت می‌گیرد.در فصل اول، نیازمندی‌های مرتبط با امن‌سازی محیط اجرا ارائه می‌شود. فصل دوم به تشریح پارامترهای نصب و پیکربندی می‌پردازد. فصل سوم به معرفی محدودیت‌هایی اختصاص دارد که باید بر روی فرآیند اتصال و ورود کاربران به اعمال گردد. در فصل چهارم، پارامترهای کنترل دسترسی و مجازشماری مورد بررسی قرار می‌گیرند. پارامترهای مربوط به رویدادنگاری امن در فصل پنجم بررسی می‌شوند. در فصل ششم، تنظیمات مربوط به رمزنگاری مورد توجه قرار می‌گیرند. در پایان نیز، نحوه اجرای اسکریپت‌ها و اعمال تنظیمات مورد نیاز برای مقاوم‌سازی پایگاه‌داده بیان می‌گردد.

دریافت مستند مقاوم سازی امنیتی Oracle

دریافت اسکریپت هاردنینگ Oracle

دریافت اسکریپت هاردنینگ PostgreSQL

دریافت مستند مقاوم سازی امنیتی PostgreSQL

دریافت مستند مقاوم سازی امنیتی MongoDB

دریافت اسکریپت هاردنینگ MongoDB

دریافت اسکریپت هاردنینگ Cassandra

دریافت مستند مقاوم سازی امنیتی Cassandra

دریافت مستند مقاوم سازی امنیتی MySQl

دریافت اسکریپت هاردنینگMySQL

دریافت مستند مقاوم سازی امنیتی MSSQL

دریافت اسکریپت هاردنینگMSSQL

رشد روز افزون حجم اطلاعات از یک سو و پیشرفت فن‌آوری‌های نوین از سوی دیگر سبب شده تا طیف وسیعی از تهدیدها و جرم‌ها در پایگاه‌داد مطرح گردد. وجود این تهدیدها و جرم‌ها سبب شده تا تمهیدات امنیتی چون حفظ محرمانگی، صحت و دسترس‌پذیری در این سامانه‌ها از جایگاه ویژه‌ای برخوارد باشد. مکانیزم‌های امنیتی موجود به سبب حفظ کارایی سامانه نمی‌توانند جلوی تمامی تهدیدها و جرایم اینترنتی در پایگاه‌های داده را بگیرند و لذا امکان وقوع جرم در سامانه امکان‌پذیر است. از این‌رو، به منظور شناسایی شواهد جرم، جمع‌آوری اطلاعات مربوطه، تجزیه‌وتحلیل آن‌ها و در نهایت تهیه مستندات لازم جهت اثبات وجود جرم، شاخه‌ی جرم‌شناسی پایگاه‌داده مطرح می‌گردد. وجود زیرساخت‌های مختلف برای سامانه‌های پایگاه‌داده، طبیعت چند بعدی سامانه‌ها، ابزارهای مختلف جرم‌شناسی و فقدان مدیریت دانش مرتبط با جرم‌شناسی را می‌توان از جمله چالش‌های اصلی در این حوزه دانست. وجود این چالش‌ها سبب شده است تا جرم‌شناسی پایگاه‌داده به عنوان یک موضوع پیچیده و بغرنج معرفی گردد.

در ادامه و در فصل اول، مفاهیم و تعاریف اولیه‌ی جرم‌شناسی پایگاه‌داده، چالش‌ها، اهداف و گام‌های اجرایی جرم‌شناسی تشریح می‌شود. در فصل دوم، فرآیند جرم‌شناسی و مدیریت جرم برای هر سامانه پایگاه‌داده‌ (سمپاد) مورد بحث و بررسی قرار می‌گیرد. در فصل‌های سوم تا پنجم، گام‌های شناسایی، جمع‌آوری شواهد و اطلاعات، استخراج و تحلیل اطلاعات، ترمیم و ارائه مستندات مربوط به جرم به ترتیب برای هر یک از رویدادهای درج، حذف، بروزرسانی و مشاهده غیرمجاز محتوای جداول، تغییر غیرمجاز شمای پایگاه‌داده و تلاش برای ورود غیرمجاز به سامانه پایگاه‌داده مطالعه می‌شود. لازم به ذکر است که کلیه پیکر‌بندی‌های ارائه شده در مستند حاضر بر اساس Datastax enterprise 6.0.1 می‌باشد.

دریافت مستند جرم‌شناسی در پایگاه‌ داده Oracle

دریافت مستند جرم‌شناسی در پایگاه‌ داده Cassandra

دریافت مستند جرم‌شناسی در پایگاه‌ داده MongoDB

دریافت مستند جرم‌شناسی در پایگاه‌ داده MsSQL

دریافت مستند جرم‌شناسی در پایگاه‌ داده PostgreSQL

دریافت مستند جرم‌شناسی در پایگاه‌ داده MySQL