مبارزه جدی و قوی بر علیه حملات وارده بر برنامه کاربردی وب

پس از گذشت حدود ۲۰ سال از فروش نرم‌افزار در صنعت خدمات مالی، بالاخره Baker Hill دو سال پیش تصمیم گرفت به یک سرویس دهنده برنامه‌ای تبدل شود که امکان دستیابی به برنامه‌های آن روی وب میسر باشد. Eric Beasley مدیر ارشد شبکه Baker Hill در کارمل هندوستان می‌گوید، شرکت به منظور پشتیبانی از این طرح جدید و با استفاده از تکنولوژی سرور وب (Internet Information Server (IIS و Active Directory و SQL Server ۲۰۰۰ شرکت مایکروسافت، یک ساختار وب را ایجاد نمود. انتخاب این تکنولوژی با وجود کلاینتهای فراوانی که اطلاعات آنها درباره حملات Nimda و Code Red به پلاتفرمهای مایکروسافت کامل می‌باشد، چندان مناسب نبود. Beasley می‌گوید، ما مشتریانی داشتیم که قصد همکاری تجاری با آمریکا را نداشتند مگر در صورتیکه روشی برای ایمن ساختن محیط مایکروسافت پیدا می‌کردیم. این نگرانیها بخاطر این بود که برنامه‌ها کم‌کم داشت طعمه حملات الکترونیکی قرار می‌گرفت. متخصصان می‌گویند فایروالها کار محافظت بر عیله حملات در سطح شبکه را بخوبی انجام می‌دهند و فروشندگان سیستم عامل نیز بیشتر آسیب پذیریهای شناخته شده در آنها را از بین برده‌اند.
Scott Blake، معاون بخش امنیت اطلاعات در شرکت Bind View می‌گوید، لایه برنامه تنها چیزی‍ است که با قیمانده است. John Pescatore، تحلیلگر شرکت گارتنر می‌گوید، دلیل دیگری که برنامه‌های کاربردی هدف اصلی‍ قرار می‌گیرند این است که هیچگونه کم‌ و کاستی از نظر آسیب‌پذیری در آنها وجود ندارد و سواستفاده از آنها نیز بسیار ساده است. تحقیقات گارتنر در سال ۲۰۰۲ نشان می‌‌دهد که ۷۰ درصد از کل حملات موفق به سواستفاده از آسیب‌پذیری‌های موجود در برنامه شده است. او می‌گوید، اگر کرمهای Slammer، Blaster و ... را که در سال گذشته ظاهر شدند بخاطر داشته و با آنها مواجه شده باشید اکنون می‌دانید که مقدار آنها به بیش از ۹۰ درصد می‌رسد. Pescatore می‌گوید، مشکلاتی که عامل ایجاد این سو استفاده هستند به دو دسته تقسیم می‌شوند: یکی معایبی که برای آنها Patch عرضه شده ( حدود ۳۵ درصد) و دیگری برنامه‌هایی که بطور نادرست و اشتباه پیکربندی شده‌اند. (۶۵ درصد).
● کتاب راهنمای هکر
Fred Avolio، رئیس Avdio Consutting می‌گوید، یک هکر برای سو استفاده معمولا بدنبال آسیب‌پذیریهایی می‌گردد که او را قادر به دستیابی اساسی به پلاتفرمهای سرور از جمله SQL Server مایکروسافت، IIS و سرورهای وب Appache می سازد. در بین انواع حملات مخرب و خطرناک می‌توان به SQL اشاره کرد که رایج‌ترین آنها به شمار می‌رود و در آن یک مهاجم فرمانهای ناخواسته SQL را درون یک نوع فیلد برنامه وب قرار می دهد. این کار به مهاجم امکان می‌دهد تا فرمانها را روی سرور پایگاه داده سرویس دهنده به اجرا در آورد و در اصل حق و حقوق مدیر را بدست گیرد. حملات پیاپی با بافر نیز فقط یک برنامه کاربردی حاوی چند نوع داده را بجای کنترل به اجرا در می‌آورد و به مهاجم امکان می‌دهد تا فرمانها را روی سیستم مورد هدف به اجرا در آورد. از دیگر سواستفاده‌های رایج می‌توان به نوشتن سایت متقابل اشاره کرد که Brake می‌گوید در حملات Phishing رواج دارد. نوشتن سایت متقابل به صور مختلفی انجام می‌شود مثال اغفال کاربران برای برقراری ارتباط با یک سایت وب معروف برای جمع‌آوری اطلاعات شخصی یا تصاحب Session وب کاربر.
● ترفندهای دفاعی
یکی از بهترین انواع دفاع بر علیه حملات به سطح برنامه کاربردی عدم پیروی از دیگران است چون مهاجمان معمولا برنامه‌هایی را هدف قرار می‌دهند که کاربرد بیشتری دارند. Blake می‌گوید، این فقط به سرمایه‌گذاری از دیدگاه هکر بر می‌گردد که معمولا برای کسب موفقیت از نظر ناهمگنی و رسیدن به یک هدف کوچکتر از تکنولوژی استفاده می‌کند که کاربرد کمتری دارد. برای نمونه می‌توان برنامه‌های داخلی را نام برد. که نسبت به سایر برنامه‌های خارجی آماده مصرف کمتر هدف قرار می‌گیرند. Pescatore همچنین طرفدار تنوع طلبی در سیستم عامل و پلاتفرمهای سرور است. او می‌گوید، این امر هزینه مدیریت بر IT را افزایش می‌دهد و از طرفی احتمال قطعی برق فاجعه‌آمیز را کاهش می‌دهد. Pescatore می‌گوید، یک ترفند دیگر نمایش سرویس‌هایی روی اینترنت است که شما واقعا به آنها نیاز دارید. برای مثال Slammer از پایگاه‌های داده سرور SQL بسیاری که ضرورتی برای نمایش آنها در اینترنت وجود ندارد، سود می‌جوید. این همچنین فکر خوبی است برای تقسیم برنامه‌های مهم جهت محدود ساختن نمایش‌های بی مورد و غیر ضروری در شرکت.
او می‌گوید، اگر یک کرم بزرگ به محیط دفتر کار من راه یابد جای تاسف دارد ولی اگر روی سیستمی منتشر شود که زمان حرکت قطارها را تعیین می‌کند و قطارها نیز در اینصورت ایستگاه را ترک نخواهد کرد، این یک فاجعه است.
● دفاع منطقه‌ای
Douglas Brown، مدیر منابع امنیتی دانشگاه کارولینای شمالی واقع در Chapel Will از یک دستگاه مانع هر گونه تهاجم محصول شرکت Tripping Point Technologies برای تقسیم شبکه خود به چند ناحیه استفاده می کند. براون می‌گوید، آیا باید یک آلودگی را درون یک ناحیه مشخص معرفی و تعریف کرد و آیا دستگاه Tripping Point Unity One ۲۴۰۰ باید اینگونه عمل کند. دانشگاه محصول tripping point را در اواخر ماه آگوست مورد بررسی قرار داده که همزمان با ظهور کرم Welchia است که برای از بین بردن و غلبه بر کرم Blaster عرضه شد و وارد اینترنت گردید. براون می‌گوید، ما متوجه شدیم که قسمت اعظمی از شبکه، بجز قسمتی که در آن دستگاه Tripping Point وجود داشت، کار نمی‌کند.
Tripping Point مثالی از یک سیستم مقاوم در برابر تهاجم (IPS) است که به ترکیبی از امضای حملات و شناسایی عجیب پروتکل‌ برای دفع حملاتی مثل Blaster و همنوعان آن تکیه می کند. براون می‌گوید، Tripping Point حداقل یک ماه قبل از blaster یک نمونه امضا را برای شناسایی و کشف هر گونه حملا در مقابل آسیب‌پذیری Remote Procedare call را که Blaster و Welchia آنرا هدف قرار داده بودند، به نمایش گذاشت. او می‌گوید، برخلاف سیستمهای شناسایی مزاحم (IDS) و UnityOne با وجود false positiveهایی که از خود نشان داده هیچگونه مشکلی را تاکنون برای او ایجاد نکرده است. یکی از دلایل آن این است که این دستگاه درست روی خط قرار می‌گیرد و می‌تواند کل ترافیک را رویت نماید که حدود ۵۰۰ مگابیت در ثانیه در هر دیسک است و می‌تواند همه مکالمات TCP را ردیابی نماید و همچنین محتوا را ایجاد کند در حالیکه IDS هایی مثال نرم‌افزار رایگان snort فقط می توانند از پورتهای آینه‌ای استفاده کنند و نمی‌توانند کل ترافیک را مشاهده نمایند.
از تابستان گذشته تاکنون براون unityone را در سراسر محیط دانشگاه نصب نموده است. او می‌گوید، ROI عاملی برای جلوگیری از حوادث مهمی بوده که شبکه ما را تحت تاثیر قرار می‌داده است و می‌گوید وقتی کرم Witty در ماه مارس کشف شد، دستگاه Tripping Point حدود ۵۰۰۰ بسته را در هر ساعت بلوکه کرد و وجود این کرم در دانشگاه بعنوان یک رویداد کاملا عادی و پیش پا افتاده تلقی می‌شد.
● بلوکه‌ها و راه حل‌های اولیه
یک دسته محصول دیگر بنام فایروالهای برنامه وب کار محافظت از برنامه‌ها را فقط با تعیین ترافیکهای مجاز و قانونی بعهده دارند، براون در حال بررسی یکی از این دستگاه‌ها می‌باشد که محصول Covelight Systems است و همزمان با او Beasley عضو Baker Hill نیز در حال آزمایش نوع دیگر محصول Teros است (شبکه‌های Stratum قبلی). Beasley می گوید، Teros Secure Application gateway می‌آموزد که چه عاملی سازنده رفتار طبیعی یک برنامه است و قوانینی را ایجاد می‌کند که کاربرد مجاز برنامه را تعریف می‌کند. همانطور که در پیش فرض آمده ترافیکی که تابع این قوانین نباشد حذف می‌شود. برای مثال اگر یک مهاجم بخواهد فرمانهای SQL را تزریق نماید، گیت‌وی ترافیکهای غیر عادی را شناسایی کرده و مانع آنها می شود. Beasley می‌گوید، جنبه مثبت آن این است که ارزیابی و بررسی فوری patch ها و راه‌حلهای مهم مایکروسافت وقت زیادی نمی‌گیرد. اکنون ما فرآیند ارزیابی را طی می‌کنیم و آنها را در محیط خود بکار می‌بریم ولی اینکار را زمانی انجام می‌دهیم که مطمئن شده باشیم patch مورد نظر سرورهای وب یا برنامه‌های کاربردی ما را خراب نمی‌کند.
گیت‌وی Teros همچنین دارای یک کارت شتاب (Secure Sockets Larger (SSL است که کارهای رمزگذاری فشرده و دشوار CPU و رمزگشایی سرورهای وب Baker Hill را انجام می‌دهد. Beasley می‌گوید، اینکار به ما امکان می‌دهد تا تعداد سرورهای وب کمتری را نسبت به نیاز خود به اجرا در آوریم. مزیت دیگر آن این است که فقط به یک گواهی SSL نیاز است تا یک گواهی برای هر سرور وب. برخلاف بعضی از فایروال‌های برنامه وبی که Beasley آنها را قبل از انتخاب خود حدود دو سال پیش ارزیابی نموده است، Teros به دستگاه امکان می‌دهد تا فایلهای سوابق و مجموعه قوانین مخصوص برنامه‌های کاربردی مختلف وب را اجرا نماید. قانون همه بازدیدکنندگان را ملزم می‌نماید تا Session خود را از صفحه اول ورود به سیستم آغاز نمایند که به کاهش "مرورهای اجباری" که به مهاجم امکان می‌دهد با استفاده از آنها به قسمتهای مختلف سایت مراجعه کند، کمک می‌نماید. تنها این موضوع باعث نگرانی و هراس است که مبادا یک فایروال برنامه کاربردی وب یا هر دستگاهی که بطور خودکار ترافیک را متوقف می‌کند، جلوی ترافیک قانونی و مجاز را هم بگیرد. Baker Hill هر طور شده باید جلوی این مسئله را بگیرد به همین منظور از دستگاه teros در بخش تضمین کیفیت خود برای آزمایشات استفاده می‌کند. همچنین دستگاهی را روی سایت رفع اشکال خود نصب کرده است که قبل از عرضه و نمایش هر گونه برنامه می‌تواند آزمایشات مربوطه را روی آنها انجام دهد.
این استراتژی مجدد، کارآیی خوبی دارد که Baker Hill دیگر از IDS خود چشم پوشید. Beasley می‌گوید، من از دردسرهای آن خسته و مریض شده بودم. مشکل بزرگ دیگری که او با IDS داشت درست مثل مشکل براون در UNC بود و آن هم این بود که رویت همه ترافیک روی یک شبکه کاملا تغییر یافته مشکل و یک معضل بود. شما باید بتوانید ارتباط برقرار کرده و به طور مداوم از پورتهای آینه‌ای استفاده کنید ولی با تمام این وجود باز درست کار نمی‌کند. Pescatore نقشها و وظایف گوناگون دستگاه‌های IPS و فایروال‌های برنامه کاربردی وب را می‌بیند. فروشندگانی مثل شرکتهای Teros، Sanctum، Netcontinuum و Kavado برای محافظت از سرورها و برنامه‌هار کاربردی وب مناسب هستند ولی برای محافظت بر عیله کرمهایی مثل Blaster و Slammer که آسیب‌پذیریهایی مخصوص را هدف قرار می‌دهند، مناسب نمی‌باشند و این ویژگی مثبت و مفید دستگاه‌های IPS منحصر به شرکتهای Tripping Point) که دارای شبکه‌های Intravert هستند و شرکتهای NetScreen Technologies Inc، Check Point Software Technologies با مسئولیت محدود، (Interspect) و شرکت Internet Security Systems با خط Proventia می‌باشد. pescatore پیش‌بینی می‌کند که تا سال ۲۰۰۶ کاربرد IPS ضمیمه فایروالهای نسل بعدی شود.● دفاع برای پیشگیری
یک تاکتیک دیگر، استفاده از آسیب‌پذیری اسکنرها طی فرآیند توسعه برنامه برای یافتن اشکالات قبل از بروز آنها است. مشتریان در ابتدا محصولاتی مثل WebInspect شرکت SPI Dynamics و ScanDo شرکت kavado را برای اسکن نمودن برنامه‌های وب ایجاد شده خریداری می‌کردند ولی بزودی متوجه شدند که اسکن کردن برنامه‌ها طی عمل توسعه باعث بروز مشکلات می شود و فروشندگان نیز به رابطهایی رو آورده‌اند که استفاده از محصولاتشان را برای توسعه دهندگان آسان می سازد. Pescatore می‌گوید، حدود یکسال است که بیانیه‌ای برای شرکتها منتشر کردیم مبنی بر اینکه باید از این پس تحقیقات و آزمایشات خود درباره آسیب‌پذیری را روی زنجیره غذایی انجام دهند. در مورد مشتریانی که اینگونه عمل کرده‌اند بسیار موثر بوده و نتیجه خوبی بدست امده است. Avolio قبول دارد که در هنگام نوشتن کد فرد براحتی دچار اشتباه می شود. او می‌گوید، یک اشتباه چاپی ساده مانع تهیه و اجرای کد نمی‌شود ولی می‌تواند یک آسیب‌پذیری از نظر امنیتی ایجاد نماید و یک اسکنر خودکار می‌تواند آنرا پیدا نماید در حالیکه مرور کد بطور دستی چنین قابلیت و مزیتی را ندارد.
John Dias معتقد است که باید بسرعت آزمایشات بر روی آسیب‌پذیری را انجام داد. تحلیلگر ارشد امنیتی Computer Incident Advisory capability (CIAC) که پاسخگوی تعداد ۱۰۵ سایت وزارت انرژی آمریکا می باشد، از سال ۱۹۸۹ آزمایشات نفوذی و هوشیارانه خود را آغاز نموده است. زمانیکه مزاحمتها و تهاجمات موفقیت آمیز روی برنامه‌های کاربردی وب حدود دو سال پیش به اوج خود رسید، او ارزیابی ابزارهای آزمایش از نظر آسیب‌پذیری را آغاز نمود. Dras می‌گوید، اواخر سال گذشته او ScanDo محصول Kavado را مورد بررسی قرار داد و این محصول بسرعت به فروش رفت چون در یافتن آسیب‌پذیریهای موجود بسیار مفید بود همچنین کاربرد بسیار آسانی داشت. قبلا تنها یک یا دو نفر برای انجام آزمایشات از مهارت و تخصص امنیتی کافی برخوردار بودند ولی اکنون ما به روشی دست یافته‌ایم که بوسیله آن اکثر افراد می‌توانند با استفاده از ابزارهای کامل و متنوعی به انجام اینکار مبادرت ورزند. همچنین سرعت عمل این آزمایشات بیشتر شده است. او می‌گوید، اکنون اسکن کردن ۵۰۰ صفحه تنها چند ساعت صورت می‌پذیرد. در حالیکه قبلا انجام این کار به طور دستی سه تا چهار روز طول می‌کشید. وی می‌گوید، ما به انجام اینکار به طور دستی و بایگانی برنامه‌های صفحه گسترده عادت داشتیم، نمی‌دانم که آیا واقعا دوره این کار به پایان رسیده است یا نه، اینکار بدون فرایند خودکارسازی واقعا دشوار و مضحک است.
CIAC هر هفته چندین آزمایش را انجام می‌دهد. او می‌گوید، این اولین باری است که من ارزیابی از نظر آسیب‌پذیری را بعهده گرفته‌ام در حالیکه خود توسعه دهندگان نیز این کشفیات تعجب کرده‌اند. آنها با کمال میل قسمتهای نامطمئن کد را بازنویسی می کنند. سرویسهای وب به Dias برای استفاد از ScanDo انگیزه می‌دهند چرا که این محصول می‌تواند فرمتهای Simple Object Access Protocol را اسکن نموده و نحوه کار یک سرویس وب را با کار یک شخص اپراتور مقایسه می کند. افراد دیگر از سرویسهای وب استفاده می‌کنند، بنابراین ما می‌توانیم تمام موضوعات امنیتی درباره سایتهای متقابل سرویس‌های وب (وزارت نیرو) را بررسی کنیم.
London Bridge Group که توسعه دهنده نرم‌افزار سرویسهای مالی‌در لندن و همچنین میزبان برنامه‌های کاربردی برای کلاینتها است از WebInspect محصول SPI برای جستجوی آسیب‌پذیریهای موجود در برنامه‌های وب آن استفاده می‌کند. Mark Johns On مقام ارشد امنیتی London Bridge مستقر در مرکز اطلاعات آتلانتا می‌گوید، این ابزار علاوه بر اینکه اطمینان می‌دهد برنامه‌ها ایمن هستند یا نه، سطح آگاهی توسعه دهندگان را درباره ایمنی نیز بالا می برد. توسعه‌دهندگان WebInspect را پس از نوشتن و اجرای اولیه کد راه اندازی می کنند و سپس قبل از آزمایش‌های کاربردی کد از نظر تضمین کیفیت آن، هر گونه اشکال امنیتی موجود در آنرا رفع می‌نمایند. Johnson می‌گوید، آنها معتقدند که این مسئله به آنها کمک می‌کند تا آنچه را لازم است همین حالا ایجاد کنند نه در شش ماه آینده که ما آزمایشات (تضمین کیفیت) خود را انجام می‌دهیم.
توسعه‌دهندگان همچنین نحوه نوشتن یک کد مطمئن‌تر را از روی پاسخی که WebInspect به آنها می‌دهد، می‌آموزند. او می‌گوید، آنها برای انتقال IDها از یک صفحه به صفحه غلط انداز دیگر، از یک ترفند استفاده می‌کنند ولی این موضوع نیز ممکن است منجر به بروزآسیب‌پذیری در همین نوشتن سایت متقابل بشود. اگر WebInspect بتواند مشکل را قبل از ظهور ان کشف نماید و توسعه دهنده نیز ترفندی را بیاموزد که گمراه کننده نباشد، نتیجه خوب ومطلوب است. همچنین اطلاع از وجود اشکالات امنیتی بجای صرف هزینه‌های زیاد بعدی برای رفع این گونه مشکلات، تجاری را موفق‌تر می‌سازد. در بعضی از موارد، ضرورت ایجاب می‌کند که در امر تجارت به قوانین و مقررات جدیدی مثل Sarbanes- Oxley ACT که شامل مشاهدات و تجربیات روزافزون برای شرکتهای سهامی عامل و فروشندگانشان را فراهم می سازد، توجه کرد. Beasley می‌گوید، برای مثال Baker Hill با اینکه یک شرکت سهامی عام نیست و به Sarbanes-Oxley‌ هم نیازی ندارد ولی بسیاری از کلاینتهای آن از آن پیروی می‌کنند. ما باید به این ضروریات توجه داشته و به آنها بپردازیم و گرنه نمی‌توانیم در تجارت موفق باشیم. همینطور ۷۵ درصد کلاینتهای جدید درباره نحوه ایمن کردن ساختار وب مایکروسافت توسط baker Hill سوال می‌کنند که چطور این مقدار نسبت به دو سال پیش ده درصد نیز افزایش یافته است. و چه کاری را این کلاینتها در تجارت بخاطر نگرانی از بابت امنیت انجام نمی‌دهند؟ Beasley می‌گوید، ما به آنها مراجعه کرده و از نحوه تجارتشان آگاه شویم.

نویسنده: Paul Desmond
Network World
مترجم: شراره حداد