سه شنبه, ۱۱ اردیبهشت, ۱۴۰۳ / 30 April, 2024
مجله ویستا
با فکر کردن مانند افراد بد طینت، امنیت خود را حفظ کنید
مدیران امنیت در کنفرانس InfoSec World بحثی را مطرح نمودند مبنی بر این که آنها برای مبارزه با خطرات حملات خارجی و سوء استفادههای داخلی از فکر کردن (و گاهی عمل کردن) مانند هکرها استفاده میکنند. JP Morgan Chase، Hartford Financial Services Group، Mayo Foundation و Maven Security Consulting به تشریح رویههای مورد استفادهی هکرها پرداختند. این روشها Wardriving بر روی LAN های بیسیم (WLAN)، phishing برای تست کردن امنیت شبکه و آموزش تکنیکهای هک به توسعهگران نرمافزار به عنوان یک روش آموزشی را در بر میگیرند. Jack Mogren، معمار ارشد امنیت شبکه در Mayo، گفت او عمل wardrive را به منظور یافتن حفرههای امنیتی موجود در شبکه بیسیم خود به کار میبرد.
Mogren در حالی که آنتنی را که از سایت eBay به قیمت ۱۸ دلار خریداری کرده بود در دست گرفته بود، گفت: "من در جیپ خود مینشینم و با رانندگی در اطراف ساختمانها عمل اسکن بیسیم را انجام میدهم." عمل راهاندازی ممکن است ساده باشد - یک لپتاپ که NetStumbler یا یک نرمافزار sniffer دیگر مخصوص WLAN را بر روی خود اجرا مینماید و یک آنتن - اما اینها همان چیزهایی هستند که یک هکر مورد استفاده قرار میدهد. و آن به خوبی کار میکند. او میتواند نقاط دسترسی نامناسبی را که ممکن است کارکنان (غالبا افرادی که پژوهشگر هستند) آنها را بدون احراز هویت نصب کرده باشند بیابد. هنگامی که او حفرههای امنیتی را مییابد، کارکنان IT در Mayo Foundation اقداماتی را در جهت حصول اطمینان از این امر که تجهیزات مناسب – با کنترلهای احراز هویت و رمزنگاری مناسب – در سر جای خود قرار دارند به عمل میآورند.
Hartford، که دارای ۳۵۰۰۰ کارمند است، نیز از تاکتیکهای پنهانی برای به چنگ انداختن خرابکاران در مرکز خود استفاده میکند. Matthew Fiddler، نایب رئیس امنیت اطلاعات در Hartford، که در مورد مسائل امنیتی بحث نمود، گفت: "کارکنان شما بزرگترین تهدید برای شما محسوب میگردند. ما شخصی را داشتیم که بالغ بر ۵۳ مگابایت مطالب مستهجن را tunneling نموده بود." با به وجود آمدن سوء ظنها، کارکنان IT در Hartford کامپیوتر دسکتاپ کارمندان مظنون را با استفاده از ابزار قانونی Encase Enterprise Edition (که میتواند از راه دور دادهها را بدون اطلاع کارمند مانیتور و دریافت نماید) تحت نظر قرار دادند تا بتوانند مدارک اثبات جرم را گردآوری نمایند.
Fiddler گفت: "او دیگر برای Hartford کار نمیکند." مزیت استفاده از این ابزار دریافت داده از راه دور است که کارکنان IT را از مسافرت بینیاز میسازد. "من ناچار بودم افراد را برای انجام یک کار black-bag به کالیفرنیا اعزام کنم، اما اکنون ما قادریم این کار را با یک WAN انجام دهیم." در یک مورد دیگر، Hartford به یکی از کارمندان در مورد ارسال مطالبی به یک بورد پیغام آنلاین مظنون گردید. در ابتدای کار، Hartford قادر به تعیین دقیق منشا این ارسالها نبود و تنها سر نخ یک آدرس ایمیل بود. از این رو کارکنان تصمیم گرفتند از یک تاکتیک مبتنی بر phishing (ارسال یک ایمیل به منظور فریفتن یک شخص) برای شناسایی عامل این مساله استفاده کنند. بنا بر گفته Fiddler او این تاکتیک را از CNA Financial که کار مشابهی را انجام داده آموخته است.
کارکنان Hartford یک تصویر ۱×۱ پیکسل را در نامه جاسازی نمودند. سپس آنها یک آدرس ایمیل خارجی را برای ارسال ایمیل مزبور به آدرسی که سر نخ آنها بود spoof کردند. از آنجایی که Hartford به سیستم تشخیص نفوذ خود اعلام نموده بود در صورت یافتن تصویر جاسازی شده واکنش نشان دهد، سیستم مذکور گیرنده ایمیل را به کمک آدرس IP شبکه درون شرکت در هنگام دانلود شدن ایمیل شناسایی نمود. Fiddler گفت: "ما phish خود را به دام انداختیم." برخی متخصصان امنیت میگویند در حال حاضر انواع گوناگونی از phishing سازمانی صورت میپذیرد. David Rhoades، یکی از اعضای Maven Security Consulting، پروژهای را تحت عنوان " phishing اخلاقی" تشریح میکند که وی برای یک شرکت بیمه انجام داده است (البته نام آن را فاش نکرد).
Rhoades میگوید همانند هک اخلاقی، که طی آن یک شرکت، هکرهای "کلاه سفید" را برای نشان دادن نحوه نفوذ به منابع شرکت به خدمت میگیرد، phishing اخلاقی این مطلب را نشان میدهد که چگونه یک شرکت میتواند توسط فریبهای phishing به مخاطره بیافتد. Phishing اخلاقی به شیوههای متعددی صورت میپذیرد. یک روش، ایجاد تصاویر ۱×۱ پیکسل در ایمیل مبتنی بر HTML است، و سپس ارسال این ایمیل به همراه اسکریپت خاص برای کارمندان مظنون. هنگامی که نامه گشوده شد، قربانی به منظور به دست آوردن آدرس IP اش به وبسایتی که به این منظور طراحی شده هدایت میگردد. در این مرحله، phishing اخلاقی یک اسکن سریع پورت از آدرس IP را انجام میدهد. در روش دیگر، یک شرکت نام کارکنانی که به دادههای مهم دسترسی دارند را به تیم phishing اخلاقی میدهد.
در یک حمله phishing کلاسیک، کارمند به سوی یک وبسایت تجاری جعلی هدایت شده و از او خواسته میشود که log on نماید – اطلاعاتی که یک حمله کننده احتمالا خواهان آن است. Rhoades میگوید برخی شرکتها رویههای خود را پس از مشاهده این که به چه سادگی میتوانند قربانی phishing گردند تغییر میدهند. توصیه خود او این است: "هنگامی که پای ایمیل HTML وسط میآید، به آن نه بگویید. تنها ایمیلهای متنی را مورد توجه قرار دهید." او میافزاید تصویر کوچک ۱×۱ پیکسل در ایمیل مبتنی بر HTML "در واقع GPS هکر محسوب میگردد چرا که آنها حالا دیگر آدرس IP شما را در اختیار دارند، و آنها میدانند که شما دقیقا کجا هستید." JP Morgan Chase، از حامیان آموزش ترفندهای هکرها به منظور جلوگیری از به دام افتادن قربانیان میباشد.
Michael Li، مدیر امنیت اطلاعات در دپارتمان مدیریت خطر IT در JP Morgan Chase، میگوید: "اشتباهات معمول که از سوی توسعهگران شما رخ میدهند به سادگی قابل سوء استفاده هستند. جامعه توسعه این مساله را درک نمیکند." JP Morgan Chase، به عنوان بخشی از فرایند آموزش توسعهگران خود، یک وبسایت demo با عنوان XYZBank ایجاد نموده که حاوی بخشهای انتقال سرمایه، نمایش حساب و ورود مشتری است، امکاناتی که ممکن است در یک سایت بانکداری آنلاین یافت شود. XYZBank، که مبتنی بر سیستمهای BEA متعلق به WebLogic و Microsoft SQL Server است، به خوبی طراحی شده اما به گفته Li یکسری اشتباهات کوچک در اعتبارسنجی ورودی و اداره خطاهای آن وجود دارد.
Li و Anthony Meholic، قائم مقام مدیر عامل در امور امنیت برنامههای کاربردی و مدیر تیم هک اخلاقی در JP Morgan Chase، یک نمایش زنده از XYZBank را برای نشان دادن نحوه نفوذ هکرها با سوء استفاده از تنها یک رخنه کوچک در معرض دید سایرین قرار دادند. Li میگوید: "ما از آن برای نشان دادن مسائل امنیتی به توسعهگران خود استفاده میکنیم." برخی متخصصان امنیت اطلاعات در این نشست تمایل خود را مبنی بر آموزش توسعهگران نرمافزار خود بر روی XYZBank ابراز داشتند، اما Li گفت متاسفانه خطمشی شرکت اجازه این کار را نمیدهد.
نویسنده: Ellen Messmer
مترجم: امین ایزدپناه
منبع : علم الکترونیک و کامپیوتر
همچنین مشاهده کنید
نمایندگی زیمنس ایران فروش PLC S71200/300/400/1500 | درایو …
دریافت خدمات پرستاری در منزل
pameranian.com
پیچ و مهره پارس سهند
خرید بلیط هواپیما
آمریکا ایران مجلس شورای اسلامی خلیج فارس مجلس دولت سیزدهم دولت بودجه حجاب شورای نگهبان مجلس یازدهم محمدباقر قالیباف
سیل هواشناسی قتل تهران شهرداری تهران فضای مجازی شورای شهر تهران شورای شهر سلامت پلیس وزارت بهداشت سازمان هواشناسی
قیمت دلار خودرو قیمت خودرو ایران خودرو سایپا دلار بازار خودرو بانک مرکزی قیمت طلا مالیات تورم مسکن
تلویزیون سینمای ایران فرانسه سریال رسانه سینما تئاتر فیلم رسانه ملی موسیقی بازیگر سریال پایتخت
ناسا سازمان سنجش
اسرائیل رژیم صهیونیستی فلسطین غزه جنگ غزه عربستان حماس روسیه نوار غزه اوکراین ترکیه عراق
فوتبال استقلال پرسپولیس سپاهان تراکتور باشگاه استقلال تیم ملی فوتسال ایران فوتسال وحید شمسایی بازی باشگاه پرسپولیس لیگ برتر
هوش مصنوعی تبلیغات اپل خودرو برقی همراه اول آیفون گوگل روزنامه سامسونگ ایرانسل
داروخانه سازمان غذا و دارو خواب کاهش وزن مشروبات الکلی دیابت پرستار سلامت روان بارداری دندانپزشکی هندوانه