سه شنبه, ۲۸ اسفند, ۱۴۰۳ / 18 March, 2025
مجله ویستا
مبارزه جدی و قوی بر علیه حملات وارده بر برنامه کاربردی وب

Scott Blake، معاون بخش امنیت اطلاعات در شرکت Bind View میگوید، لایه برنامه تنها چیزی است که با قیمانده است. John Pescatore، تحلیلگر شرکت گارتنر میگوید، دلیل دیگری که برنامههای کاربردی هدف اصلی قرار میگیرند این است که هیچگونه کم و کاستی از نظر آسیبپذیری در آنها وجود ندارد و سواستفاده از آنها نیز بسیار ساده است. تحقیقات گارتنر در سال ۲۰۰۲ نشان میدهد که ۷۰ درصد از کل حملات موفق به سواستفاده از آسیبپذیریهای موجود در برنامه شده است. او میگوید، اگر کرمهای Slammer، Blaster و ... را که در سال گذشته ظاهر شدند بخاطر داشته و با آنها مواجه شده باشید اکنون میدانید که مقدار آنها به بیش از ۹۰ درصد میرسد. Pescatore میگوید، مشکلاتی که عامل ایجاد این سو استفاده هستند به دو دسته تقسیم میشوند: یکی معایبی که برای آنها Patch عرضه شده ( حدود ۳۵ درصد) و دیگری برنامههایی که بطور نادرست و اشتباه پیکربندی شدهاند. (۶۵ درصد).
● کتاب راهنمای هکر
Fred Avolio، رئیس Avdio Consutting میگوید، یک هکر برای سو استفاده معمولا بدنبال آسیبپذیریهایی میگردد که او را قادر به دستیابی اساسی به پلاتفرمهای سرور از جمله SQL Server مایکروسافت، IIS و سرورهای وب Appache می سازد. در بین انواع حملات مخرب و خطرناک میتوان به SQL اشاره کرد که رایجترین آنها به شمار میرود و در آن یک مهاجم فرمانهای ناخواسته SQL را درون یک نوع فیلد برنامه وب قرار می دهد. این کار به مهاجم امکان میدهد تا فرمانها را روی سرور پایگاه داده سرویس دهنده به اجرا در آورد و در اصل حق و حقوق مدیر را بدست گیرد. حملات پیاپی با بافر نیز فقط یک برنامه کاربردی حاوی چند نوع داده را بجای کنترل به اجرا در میآورد و به مهاجم امکان میدهد تا فرمانها را روی سیستم مورد هدف به اجرا در آورد. از دیگر سواستفادههای رایج میتوان به نوشتن سایت متقابل اشاره کرد که Brake میگوید در حملات Phishing رواج دارد. نوشتن سایت متقابل به صور مختلفی انجام میشود مثال اغفال کاربران برای برقراری ارتباط با یک سایت وب معروف برای جمعآوری اطلاعات شخصی یا تصاحب Session وب کاربر.
● ترفندهای دفاعی
یکی از بهترین انواع دفاع بر علیه حملات به سطح برنامه کاربردی عدم پیروی از دیگران است چون مهاجمان معمولا برنامههایی را هدف قرار میدهند که کاربرد بیشتری دارند. Blake میگوید، این فقط به سرمایهگذاری از دیدگاه هکر بر میگردد که معمولا برای کسب موفقیت از نظر ناهمگنی و رسیدن به یک هدف کوچکتر از تکنولوژی استفاده میکند که کاربرد کمتری دارد. برای نمونه میتوان برنامههای داخلی را نام برد. که نسبت به سایر برنامههای خارجی آماده مصرف کمتر هدف قرار میگیرند. Pescatore همچنین طرفدار تنوع طلبی در سیستم عامل و پلاتفرمهای سرور است. او میگوید، این امر هزینه مدیریت بر IT را افزایش میدهد و از طرفی احتمال قطعی برق فاجعهآمیز را کاهش میدهد. Pescatore میگوید، یک ترفند دیگر نمایش سرویسهایی روی اینترنت است که شما واقعا به آنها نیاز دارید. برای مثال Slammer از پایگاههای داده سرور SQL بسیاری که ضرورتی برای نمایش آنها در اینترنت وجود ندارد، سود میجوید. این همچنین فکر خوبی است برای تقسیم برنامههای مهم جهت محدود ساختن نمایشهای بی مورد و غیر ضروری در شرکت.
او میگوید، اگر یک کرم بزرگ به محیط دفتر کار من راه یابد جای تاسف دارد ولی اگر روی سیستمی منتشر شود که زمان حرکت قطارها را تعیین میکند و قطارها نیز در اینصورت ایستگاه را ترک نخواهد کرد، این یک فاجعه است.
● دفاع منطقهای
Douglas Brown، مدیر منابع امنیتی دانشگاه کارولینای شمالی واقع در Chapel Will از یک دستگاه مانع هر گونه تهاجم محصول شرکت Tripping Point Technologies برای تقسیم شبکه خود به چند ناحیه استفاده می کند. براون میگوید، آیا باید یک آلودگی را درون یک ناحیه مشخص معرفی و تعریف کرد و آیا دستگاه Tripping Point Unity One ۲۴۰۰ باید اینگونه عمل کند. دانشگاه محصول tripping point را در اواخر ماه آگوست مورد بررسی قرار داده که همزمان با ظهور کرم Welchia است که برای از بین بردن و غلبه بر کرم Blaster عرضه شد و وارد اینترنت گردید. براون میگوید، ما متوجه شدیم که قسمت اعظمی از شبکه، بجز قسمتی که در آن دستگاه Tripping Point وجود داشت، کار نمیکند.
Tripping Point مثالی از یک سیستم مقاوم در برابر تهاجم (IPS) است که به ترکیبی از امضای حملات و شناسایی عجیب پروتکل برای دفع حملاتی مثل Blaster و همنوعان آن تکیه می کند. براون میگوید، Tripping Point حداقل یک ماه قبل از blaster یک نمونه امضا را برای شناسایی و کشف هر گونه حملا در مقابل آسیبپذیری Remote Procedare call را که Blaster و Welchia آنرا هدف قرار داده بودند، به نمایش گذاشت. او میگوید، برخلاف سیستمهای شناسایی مزاحم (IDS) و UnityOne با وجود false positiveهایی که از خود نشان داده هیچگونه مشکلی را تاکنون برای او ایجاد نکرده است. یکی از دلایل آن این است که این دستگاه درست روی خط قرار میگیرد و میتواند کل ترافیک را رویت نماید که حدود ۵۰۰ مگابیت در ثانیه در هر دیسک است و میتواند همه مکالمات TCP را ردیابی نماید و همچنین محتوا را ایجاد کند در حالیکه IDS هایی مثال نرمافزار رایگان snort فقط می توانند از پورتهای آینهای استفاده کنند و نمیتوانند کل ترافیک را مشاهده نمایند.
از تابستان گذشته تاکنون براون unityone را در سراسر محیط دانشگاه نصب نموده است. او میگوید، ROI عاملی برای جلوگیری از حوادث مهمی بوده که شبکه ما را تحت تاثیر قرار میداده است و میگوید وقتی کرم Witty در ماه مارس کشف شد، دستگاه Tripping Point حدود ۵۰۰۰ بسته را در هر ساعت بلوکه کرد و وجود این کرم در دانشگاه بعنوان یک رویداد کاملا عادی و پیش پا افتاده تلقی میشد.
● بلوکهها و راه حلهای اولیه
یک دسته محصول دیگر بنام فایروالهای برنامه وب کار محافظت از برنامهها را فقط با تعیین ترافیکهای مجاز و قانونی بعهده دارند، براون در حال بررسی یکی از این دستگاهها میباشد که محصول Covelight Systems است و همزمان با او Beasley عضو Baker Hill نیز در حال آزمایش نوع دیگر محصول Teros است (شبکههای Stratum قبلی). Beasley می گوید، Teros Secure Application gateway میآموزد که چه عاملی سازنده رفتار طبیعی یک برنامه است و قوانینی را ایجاد میکند که کاربرد مجاز برنامه را تعریف میکند. همانطور که در پیش فرض آمده ترافیکی که تابع این قوانین نباشد حذف میشود. برای مثال اگر یک مهاجم بخواهد فرمانهای SQL را تزریق نماید، گیتوی ترافیکهای غیر عادی را شناسایی کرده و مانع آنها می شود. Beasley میگوید، جنبه مثبت آن این است که ارزیابی و بررسی فوری patch ها و راهحلهای مهم مایکروسافت وقت زیادی نمیگیرد. اکنون ما فرآیند ارزیابی را طی میکنیم و آنها را در محیط خود بکار میبریم ولی اینکار را زمانی انجام میدهیم که مطمئن شده باشیم patch مورد نظر سرورهای وب یا برنامههای کاربردی ما را خراب نمیکند.
گیتوی Teros همچنین دارای یک کارت شتاب (Secure Sockets Larger (SSL است که کارهای رمزگذاری فشرده و دشوار CPU و رمزگشایی سرورهای وب Baker Hill را انجام میدهد. Beasley میگوید، اینکار به ما امکان میدهد تا تعداد سرورهای وب کمتری را نسبت به نیاز خود به اجرا در آوریم. مزیت دیگر آن این است که فقط به یک گواهی SSL نیاز است تا یک گواهی برای هر سرور وب. برخلاف بعضی از فایروالهای برنامه وبی که Beasley آنها را قبل از انتخاب خود حدود دو سال پیش ارزیابی نموده است، Teros به دستگاه امکان میدهد تا فایلهای سوابق و مجموعه قوانین مخصوص برنامههای کاربردی مختلف وب را اجرا نماید. قانون همه بازدیدکنندگان را ملزم مینماید تا Session خود را از صفحه اول ورود به سیستم آغاز نمایند که به کاهش "مرورهای اجباری" که به مهاجم امکان میدهد با استفاده از آنها به قسمتهای مختلف سایت مراجعه کند، کمک مینماید. تنها این موضوع باعث نگرانی و هراس است که مبادا یک فایروال برنامه کاربردی وب یا هر دستگاهی که بطور خودکار ترافیک را متوقف میکند، جلوی ترافیک قانونی و مجاز را هم بگیرد. Baker Hill هر طور شده باید جلوی این مسئله را بگیرد به همین منظور از دستگاه teros در بخش تضمین کیفیت خود برای آزمایشات استفاده میکند. همچنین دستگاهی را روی سایت رفع اشکال خود نصب کرده است که قبل از عرضه و نمایش هر گونه برنامه میتواند آزمایشات مربوطه را روی آنها انجام دهد.
این استراتژی مجدد، کارآیی خوبی دارد که Baker Hill دیگر از IDS خود چشم پوشید. Beasley میگوید، من از دردسرهای آن خسته و مریض شده بودم. مشکل بزرگ دیگری که او با IDS داشت درست مثل مشکل براون در UNC بود و آن هم این بود که رویت همه ترافیک روی یک شبکه کاملا تغییر یافته مشکل و یک معضل بود. شما باید بتوانید ارتباط برقرار کرده و به طور مداوم از پورتهای آینهای استفاده کنید ولی با تمام این وجود باز درست کار نمیکند. Pescatore نقشها و وظایف گوناگون دستگاههای IPS و فایروالهای برنامه کاربردی وب را میبیند. فروشندگانی مثل شرکتهای Teros، Sanctum، Netcontinuum و Kavado برای محافظت از سرورها و برنامههار کاربردی وب مناسب هستند ولی برای محافظت بر عیله کرمهایی مثل Blaster و Slammer که آسیبپذیریهایی مخصوص را هدف قرار میدهند، مناسب نمیباشند و این ویژگی مثبت و مفید دستگاههای IPS منحصر به شرکتهای Tripping Point) که دارای شبکههای Intravert هستند و شرکتهای NetScreen Technologies Inc، Check Point Software Technologies با مسئولیت محدود، (Interspect) و شرکت Internet Security Systems با خط Proventia میباشد. pescatore پیشبینی میکند که تا سال ۲۰۰۶ کاربرد IPS ضمیمه فایروالهای نسل بعدی شود.● دفاع برای پیشگیری
یک تاکتیک دیگر، استفاده از آسیبپذیری اسکنرها طی فرآیند توسعه برنامه برای یافتن اشکالات قبل از بروز آنها است. مشتریان در ابتدا محصولاتی مثل WebInspect شرکت SPI Dynamics و ScanDo شرکت kavado را برای اسکن نمودن برنامههای وب ایجاد شده خریداری میکردند ولی بزودی متوجه شدند که اسکن کردن برنامهها طی عمل توسعه باعث بروز مشکلات می شود و فروشندگان نیز به رابطهایی رو آوردهاند که استفاده از محصولاتشان را برای توسعه دهندگان آسان می سازد. Pescatore میگوید، حدود یکسال است که بیانیهای برای شرکتها منتشر کردیم مبنی بر اینکه باید از این پس تحقیقات و آزمایشات خود درباره آسیبپذیری را روی زنجیره غذایی انجام دهند. در مورد مشتریانی که اینگونه عمل کردهاند بسیار موثر بوده و نتیجه خوبی بدست امده است. Avolio قبول دارد که در هنگام نوشتن کد فرد براحتی دچار اشتباه می شود. او میگوید، یک اشتباه چاپی ساده مانع تهیه و اجرای کد نمیشود ولی میتواند یک آسیبپذیری از نظر امنیتی ایجاد نماید و یک اسکنر خودکار میتواند آنرا پیدا نماید در حالیکه مرور کد بطور دستی چنین قابلیت و مزیتی را ندارد.
John Dias معتقد است که باید بسرعت آزمایشات بر روی آسیبپذیری را انجام داد. تحلیلگر ارشد امنیتی Computer Incident Advisory capability (CIAC) که پاسخگوی تعداد ۱۰۵ سایت وزارت انرژی آمریکا می باشد، از سال ۱۹۸۹ آزمایشات نفوذی و هوشیارانه خود را آغاز نموده است. زمانیکه مزاحمتها و تهاجمات موفقیت آمیز روی برنامههای کاربردی وب حدود دو سال پیش به اوج خود رسید، او ارزیابی ابزارهای آزمایش از نظر آسیبپذیری را آغاز نمود. Dras میگوید، اواخر سال گذشته او ScanDo محصول Kavado را مورد بررسی قرار داد و این محصول بسرعت به فروش رفت چون در یافتن آسیبپذیریهای موجود بسیار مفید بود همچنین کاربرد بسیار آسانی داشت. قبلا تنها یک یا دو نفر برای انجام آزمایشات از مهارت و تخصص امنیتی کافی برخوردار بودند ولی اکنون ما به روشی دست یافتهایم که بوسیله آن اکثر افراد میتوانند با استفاده از ابزارهای کامل و متنوعی به انجام اینکار مبادرت ورزند. همچنین سرعت عمل این آزمایشات بیشتر شده است. او میگوید، اکنون اسکن کردن ۵۰۰ صفحه تنها چند ساعت صورت میپذیرد. در حالیکه قبلا انجام این کار به طور دستی سه تا چهار روز طول میکشید. وی میگوید، ما به انجام اینکار به طور دستی و بایگانی برنامههای صفحه گسترده عادت داشتیم، نمیدانم که آیا واقعا دوره این کار به پایان رسیده است یا نه، اینکار بدون فرایند خودکارسازی واقعا دشوار و مضحک است.
CIAC هر هفته چندین آزمایش را انجام میدهد. او میگوید، این اولین باری است که من ارزیابی از نظر آسیبپذیری را بعهده گرفتهام در حالیکه خود توسعه دهندگان نیز این کشفیات تعجب کردهاند. آنها با کمال میل قسمتهای نامطمئن کد را بازنویسی می کنند. سرویسهای وب به Dias برای استفاد از ScanDo انگیزه میدهند چرا که این محصول میتواند فرمتهای Simple Object Access Protocol را اسکن نموده و نحوه کار یک سرویس وب را با کار یک شخص اپراتور مقایسه می کند. افراد دیگر از سرویسهای وب استفاده میکنند، بنابراین ما میتوانیم تمام موضوعات امنیتی درباره سایتهای متقابل سرویسهای وب (وزارت نیرو) را بررسی کنیم.
London Bridge Group که توسعه دهنده نرمافزار سرویسهای مالیدر لندن و همچنین میزبان برنامههای کاربردی برای کلاینتها است از WebInspect محصول SPI برای جستجوی آسیبپذیریهای موجود در برنامههای وب آن استفاده میکند. Mark Johns On مقام ارشد امنیتی London Bridge مستقر در مرکز اطلاعات آتلانتا میگوید، این ابزار علاوه بر اینکه اطمینان میدهد برنامهها ایمن هستند یا نه، سطح آگاهی توسعه دهندگان را درباره ایمنی نیز بالا می برد. توسعهدهندگان WebInspect را پس از نوشتن و اجرای اولیه کد راه اندازی می کنند و سپس قبل از آزمایشهای کاربردی کد از نظر تضمین کیفیت آن، هر گونه اشکال امنیتی موجود در آنرا رفع مینمایند. Johnson میگوید، آنها معتقدند که این مسئله به آنها کمک میکند تا آنچه را لازم است همین حالا ایجاد کنند نه در شش ماه آینده که ما آزمایشات (تضمین کیفیت) خود را انجام میدهیم.
توسعهدهندگان همچنین نحوه نوشتن یک کد مطمئنتر را از روی پاسخی که WebInspect به آنها میدهد، میآموزند. او میگوید، آنها برای انتقال IDها از یک صفحه به صفحه غلط انداز دیگر، از یک ترفند استفاده میکنند ولی این موضوع نیز ممکن است منجر به بروزآسیبپذیری در همین نوشتن سایت متقابل بشود. اگر WebInspect بتواند مشکل را قبل از ظهور ان کشف نماید و توسعه دهنده نیز ترفندی را بیاموزد که گمراه کننده نباشد، نتیجه خوب ومطلوب است. همچنین اطلاع از وجود اشکالات امنیتی بجای صرف هزینههای زیاد بعدی برای رفع این گونه مشکلات، تجاری را موفقتر میسازد. در بعضی از موارد، ضرورت ایجاب میکند که در امر تجارت به قوانین و مقررات جدیدی مثل Sarbanes- Oxley ACT که شامل مشاهدات و تجربیات روزافزون برای شرکتهای سهامی عامل و فروشندگانشان را فراهم می سازد، توجه کرد. Beasley میگوید، برای مثال Baker Hill با اینکه یک شرکت سهامی عام نیست و به Sarbanes-Oxley هم نیازی ندارد ولی بسیاری از کلاینتهای آن از آن پیروی میکنند. ما باید به این ضروریات توجه داشته و به آنها بپردازیم و گرنه نمیتوانیم در تجارت موفق باشیم. همینطور ۷۵ درصد کلاینتهای جدید درباره نحوه ایمن کردن ساختار وب مایکروسافت توسط baker Hill سوال میکنند که چطور این مقدار نسبت به دو سال پیش ده درصد نیز افزایش یافته است. و چه کاری را این کلاینتها در تجارت بخاطر نگرانی از بابت امنیت انجام نمیدهند؟ Beasley میگوید، ما به آنها مراجعه کرده و از نحوه تجارتشان آگاه شویم.
نویسنده: Paul Desmond
Network World
مترجم: شراره حداد
منبع : علم الکترونیک و کامپیوتر
ایران مسعود پزشکیان دولت چهاردهم پزشکیان مجلس شورای اسلامی محمدرضا عارف دولت مجلس کابینه دولت چهاردهم اسماعیل هنیه کابینه پزشکیان محمدجواد ظریف
پیاده روی اربعین تهران عراق پلیس تصادف هواشناسی شهرداری تهران سرقت بازنشستگان قتل آموزش و پرورش دستگیری
ایران خودرو خودرو وام قیمت طلا قیمت دلار قیمت خودرو بانک مرکزی برق بازار خودرو بورس بازار سرمایه قیمت سکه
میراث فرهنگی میدان آزادی سینما رهبر انقلاب بیتا فرهی وزارت فرهنگ و ارشاد اسلامی سینمای ایران تلویزیون کتاب تئاتر موسیقی
وزارت علوم تحقیقات و فناوری آزمون
رژیم صهیونیستی غزه روسیه حماس آمریکا فلسطین جنگ غزه اوکراین حزب الله لبنان دونالد ترامپ طوفان الاقصی ترکیه
پرسپولیس فوتبال ذوب آهن لیگ برتر استقلال لیگ برتر ایران المپیک المپیک 2024 پاریس رئال مادرید لیگ برتر فوتبال ایران مهدی تاج باشگاه پرسپولیس
هوش مصنوعی فناوری سامسونگ ایلان ماسک گوگل تلگرام گوشی ستار هاشمی مریخ روزنامه
فشار خون آلزایمر رژیم غذایی مغز دیابت چاقی افسردگی سلامت پوست