با فکر کردن مانند افراد بد طینت، امنیت خود را حفظ کنید

مدیران امنیت در کنفرانس InfoSec World بحثی را مطرح نمودند مبنی بر این که آنها برای مبارزه با خطرات حملات خارجی و سوء استفاده‌های داخلی از فکر کردن (و گاهی عمل کردن) مانند هکرها استفاده می‌کنند. JP Morgan Chase، Hartford Financial Services Group، Mayo Foundation و Maven Security Consulting به تشریح رویه‌های مورد استفاده‌ی هکرها پرداختند. این روش‌ها Wardriving بر روی LAN های بی‌سیم (WLAN)، phishing برای تست کردن امنیت شبکه و آموزش تکنیک‌های هک به توسعه‌گران نرم‌افزار به عنوان یک روش آموزشی را در بر می‌گیرند. Jack Mogren، معمار ارشد امنیت شبکه در Mayo، گفت او عمل wardrive را به منظور یافتن حفره‌های امنیتی موجود در شبکه بی‌سیم خود به کار می‌برد.
Mogren در حالی که آنتنی را که از سایت eBay به قیمت ۱۸ دلار خریداری کرده بود در دست گرفته بود، گفت: "من در جیپ خود می‌نشینم و با رانندگی در اطراف ساختمان‌ها عمل اسکن بی‌سیم را انجام می‌دهم." عمل راه‌اندازی ممکن است ساده باشد - یک لپ‌تاپ که NetStumbler یا یک نرم‌افزار sniffer دیگر مخصوص WLAN را بر روی خود اجرا می‌نماید و یک آنتن - اما اینها همان چیزهایی هستند که یک هکر مورد استفاده قرار می‌دهد. و آن به خوبی کار می‌کند. او می‌تواند نقاط دسترسی نامناسبی را که ممکن است کارکنان (غالبا افرادی که پژوهشگر هستند) آنها را بدون احراز هویت نصب کرده باشند بیابد. هنگامی که او حفره‌های امنیتی را می‌یابد، کارکنان IT در Mayo Foundation اقداماتی را در جهت حصول اطمینان از این امر که تجهیزات مناسب – با کنترل‌های احراز هویت و رمزنگاری مناسب – در سر جای خود قرار دارند به عمل می‌آورند.
Hartford، که دارای ۳۵۰۰۰ کارمند است، نیز از تاکتیک‌های پنهانی برای به چنگ انداختن خرابکاران در مرکز خود استفاده می‌کند. Matthew Fiddler، نایب رئیس امنیت اطلاعات در Hartford، که در مورد مسائل امنیتی بحث نمود، گفت: "کارکنان شما بزرگ‌ترین تهدید برای شما محسوب می‌گردند. ما شخصی را داشتیم که بالغ بر ۵۳ مگابایت مطالب مستهجن را tunneling نموده بود." با به وجود آمدن سوء ظن‌ها، کارکنان IT در Hartford کامپیوتر دسک‌تاپ کارمندان مظنون را با استفاده از ابزار قانونی Encase Enterprise Edition (که می‌تواند از راه دور داده‌ها را بدون اطلاع کارمند مانیتور و دریافت نماید) تحت نظر قرار دادند تا بتوانند مدارک اثبات جرم را گردآوری نمایند.
Fiddler گفت: "او دیگر برای Hartford کار نمی‌کند." مزیت استفاده از این ابزار دریافت داده از راه دور است که کارکنان IT را از مسافرت بی‌نیاز می‌سازد. "من ناچار بودم افراد را برای انجام یک کار black-bag به کالیفرنیا اعزام کنم، اما اکنون ما قادریم این کار را با یک WAN انجام دهیم." در یک مورد دیگر، Hartford به یکی از کارمندان در مورد ارسال مطالبی به یک بورد پیغام آنلاین مظنون گردید. در ابتدای کار، Hartford قادر به تعیین دقیق منشا این ارسال‌ها نبود و تنها سر نخ یک آدرس ایمیل بود. از این رو کارکنان تصمیم گرفتند از یک تاکتیک مبتنی بر phishing (ارسال یک ایمیل به منظور فریفتن یک شخص) برای شناسایی عامل این مساله استفاده کنند. بنا بر گفته Fiddler او این تاکتیک را از CNA Financial که کار مشابهی را انجام داده آموخته است.
کارکنان Hartford یک تصویر ۱×۱ پیکسل را در نامه‌ جاسازی نمودند. سپس آنها یک آدرس ایمیل خارجی را برای ارسال ایمیل مزبور به آدرسی که سر نخ آنها بود spoof کردند. از آنجایی که Hartford به سیستم تشخیص نفوذ خود اعلام نموده بود در صورت یافتن تصویر جاسازی شده واکنش نشان دهد، سیستم مذکور گیرنده ایمیل را به کمک آدرس IP شبکه درون شرکت در هنگام دانلود شدن ایمیل شناسایی نمود. Fiddler گفت: "ما phish خود را به دام انداختیم." برخی متخصصان امنیت می‌گویند در حال حاضر انواع گوناگونی از phishing سازمانی صورت می‌پذیرد. David Rhoades، یکی از اعضای Maven Security Consulting، پروژه‌ای را تحت عنوان " phishing اخلاقی" تشریح می‌کند که وی برای یک شرکت بیمه انجام داده است (البته نام آن را فاش نکرد).
Rhoades می‌گوید همانند هک اخلاقی، که طی آن یک شرکت، هکرهای "کلاه سفید" را برای نشان دادن نحوه نفوذ به منابع شرکت به خدمت می‌گیرد، phishing اخلاقی این مطلب را نشان می‌دهد که چگونه یک شرکت می‌تواند توسط فریب‌های phishing به مخاطره بیافتد. Phishing اخلاقی به شیوه‌های متعددی صورت می‌پذیرد. یک روش، ایجاد تصاویر ۱×۱ پیکسل در ایمیل مبتنی بر HTML است، و سپس ارسال این ایمیل به همراه اسکریپت خاص برای کارمندان مظنون. هنگامی که نامه گشوده شد، قربانی به منظور به دست آوردن آدرس IP اش به وب‌سایتی که به این منظور طراحی شده هدایت می‌گردد. در این مرحله، phishing اخلاقی یک اسکن سریع پورت از آدرس IP را انجام می‌دهد. در روش دیگر، یک شرکت نام کارکنانی که به داده‌های مهم دسترسی دارند را به تیم phishing اخلاقی می‌دهد.
در یک حمله phishing کلاسیک، کارمند به سوی یک وب‌سایت تجاری جعلی هدایت شده و از او خواسته می‌شود که log on نماید – اطلاعاتی که یک حمله کننده احتمالا خواهان آن است. Rhoades می‌گوید برخی شرکت‌ها رویه‌های خود را پس از مشاهده این که به چه سادگی می‌توانند قربانی phishing گردند تغییر می‌دهند. توصیه خود او این است: "هنگامی که پای ایمیل HTML وسط می‌آید، به آن نه بگویید. تنها ایمیل‌های متنی را مورد توجه قرار دهید." او می‌افزاید تصویر کوچک ۱×۱ پیکسل در ایمیل مبتنی بر HTML "در واقع GPS هکر محسوب می‌گردد چرا که آنها حالا دیگر آدرس IP شما را در اختیار دارند، و آنها می‌دانند که شما دقیقا کجا هستید." JP Morgan Chase، از حامیان آموزش ترفندهای هکرها به منظور جلوگیری از به دام افتادن قربانیان می‌باشد.
Michael Li، مدیر امنیت اطلاعات در دپارتمان مدیریت خطر IT در JP Morgan Chase، می‌گوید: "اشتباهات معمول که از سوی توسعه‌گران شما رخ می‌دهند به سادگی قابل سوء استفاده هستند. جامعه توسعه این مساله را درک نمی‌کند." JP Morgan Chase، به عنوان بخشی از فرایند آموزش توسعه‌گران خود، یک وب‌سایت demo با عنوان XYZBank ایجاد نموده که حاوی بخش‌های انتقال سرمایه، نمایش حساب و ورود مشتری است، امکاناتی که ممکن است در یک سایت بانکداری آن‌لاین یافت شود. XYZBank، که مبتنی بر سیستم‌های BEA متعلق به WebLogic و Microsoft SQL Server است، به خوبی طراحی شده اما به گفته Li یکسری اشتباهات کوچک در اعتبارسنجی ورودی و اداره خطاهای آن وجود دارد.
Li و Anthony Meholic، قائم مقام مدیر عامل در امور امنیت برنامه‌های کاربردی و مدیر تیم هک اخلاقی در JP Morgan Chase، یک نمایش زنده از XYZBank را برای نشان دادن نحوه نفوذ هکرها با سوء استفاده از تنها یک رخنه کوچک در معرض دید سایرین قرار دادند. Li می‌گوید: "ما از آن برای نشان دادن مسائل امنیتی به توسعه‌گران خود استفاده می‌کنیم." برخی متخصصان امنیت اطلاعات در این نشست تمایل خود را مبنی بر آموزش توسعه‌گران نرم‌افزار خود بر روی XYZBank ابراز داشتند، اما Li گفت متاسفانه خط‌مشی شرکت اجازه این کار را نمی‌دهد.

نویسنده: Ellen Messmer
مترجم: امین ایزدپناه