چهارشنبه, ۱۷ بهمن, ۱۴۰۳ / 5 February, 2025
مجله ویستا
با فکر کردن مانند افراد بد طینت، امنیت خود را حفظ کنید
Mogren در حالی که آنتنی را که از سایت eBay به قیمت ۱۸ دلار خریداری کرده بود در دست گرفته بود، گفت: "من در جیپ خود مینشینم و با رانندگی در اطراف ساختمانها عمل اسکن بیسیم را انجام میدهم." عمل راهاندازی ممکن است ساده باشد - یک لپتاپ که NetStumbler یا یک نرمافزار sniffer دیگر مخصوص WLAN را بر روی خود اجرا مینماید و یک آنتن - اما اینها همان چیزهایی هستند که یک هکر مورد استفاده قرار میدهد. و آن به خوبی کار میکند. او میتواند نقاط دسترسی نامناسبی را که ممکن است کارکنان (غالبا افرادی که پژوهشگر هستند) آنها را بدون احراز هویت نصب کرده باشند بیابد. هنگامی که او حفرههای امنیتی را مییابد، کارکنان IT در Mayo Foundation اقداماتی را در جهت حصول اطمینان از این امر که تجهیزات مناسب – با کنترلهای احراز هویت و رمزنگاری مناسب – در سر جای خود قرار دارند به عمل میآورند.
Hartford، که دارای ۳۵۰۰۰ کارمند است، نیز از تاکتیکهای پنهانی برای به چنگ انداختن خرابکاران در مرکز خود استفاده میکند. Matthew Fiddler، نایب رئیس امنیت اطلاعات در Hartford، که در مورد مسائل امنیتی بحث نمود، گفت: "کارکنان شما بزرگترین تهدید برای شما محسوب میگردند. ما شخصی را داشتیم که بالغ بر ۵۳ مگابایت مطالب مستهجن را tunneling نموده بود." با به وجود آمدن سوء ظنها، کارکنان IT در Hartford کامپیوتر دسکتاپ کارمندان مظنون را با استفاده از ابزار قانونی Encase Enterprise Edition (که میتواند از راه دور دادهها را بدون اطلاع کارمند مانیتور و دریافت نماید) تحت نظر قرار دادند تا بتوانند مدارک اثبات جرم را گردآوری نمایند.
Fiddler گفت: "او دیگر برای Hartford کار نمیکند." مزیت استفاده از این ابزار دریافت داده از راه دور است که کارکنان IT را از مسافرت بینیاز میسازد. "من ناچار بودم افراد را برای انجام یک کار black-bag به کالیفرنیا اعزام کنم، اما اکنون ما قادریم این کار را با یک WAN انجام دهیم." در یک مورد دیگر، Hartford به یکی از کارمندان در مورد ارسال مطالبی به یک بورد پیغام آنلاین مظنون گردید. در ابتدای کار، Hartford قادر به تعیین دقیق منشا این ارسالها نبود و تنها سر نخ یک آدرس ایمیل بود. از این رو کارکنان تصمیم گرفتند از یک تاکتیک مبتنی بر phishing (ارسال یک ایمیل به منظور فریفتن یک شخص) برای شناسایی عامل این مساله استفاده کنند. بنا بر گفته Fiddler او این تاکتیک را از CNA Financial که کار مشابهی را انجام داده آموخته است.
کارکنان Hartford یک تصویر ۱×۱ پیکسل را در نامه جاسازی نمودند. سپس آنها یک آدرس ایمیل خارجی را برای ارسال ایمیل مزبور به آدرسی که سر نخ آنها بود spoof کردند. از آنجایی که Hartford به سیستم تشخیص نفوذ خود اعلام نموده بود در صورت یافتن تصویر جاسازی شده واکنش نشان دهد، سیستم مذکور گیرنده ایمیل را به کمک آدرس IP شبکه درون شرکت در هنگام دانلود شدن ایمیل شناسایی نمود. Fiddler گفت: "ما phish خود را به دام انداختیم." برخی متخصصان امنیت میگویند در حال حاضر انواع گوناگونی از phishing سازمانی صورت میپذیرد. David Rhoades، یکی از اعضای Maven Security Consulting، پروژهای را تحت عنوان " phishing اخلاقی" تشریح میکند که وی برای یک شرکت بیمه انجام داده است (البته نام آن را فاش نکرد).
Rhoades میگوید همانند هک اخلاقی، که طی آن یک شرکت، هکرهای "کلاه سفید" را برای نشان دادن نحوه نفوذ به منابع شرکت به خدمت میگیرد، phishing اخلاقی این مطلب را نشان میدهد که چگونه یک شرکت میتواند توسط فریبهای phishing به مخاطره بیافتد. Phishing اخلاقی به شیوههای متعددی صورت میپذیرد. یک روش، ایجاد تصاویر ۱×۱ پیکسل در ایمیل مبتنی بر HTML است، و سپس ارسال این ایمیل به همراه اسکریپت خاص برای کارمندان مظنون. هنگامی که نامه گشوده شد، قربانی به منظور به دست آوردن آدرس IP اش به وبسایتی که به این منظور طراحی شده هدایت میگردد. در این مرحله، phishing اخلاقی یک اسکن سریع پورت از آدرس IP را انجام میدهد. در روش دیگر، یک شرکت نام کارکنانی که به دادههای مهم دسترسی دارند را به تیم phishing اخلاقی میدهد.
در یک حمله phishing کلاسیک، کارمند به سوی یک وبسایت تجاری جعلی هدایت شده و از او خواسته میشود که log on نماید – اطلاعاتی که یک حمله کننده احتمالا خواهان آن است. Rhoades میگوید برخی شرکتها رویههای خود را پس از مشاهده این که به چه سادگی میتوانند قربانی phishing گردند تغییر میدهند. توصیه خود او این است: "هنگامی که پای ایمیل HTML وسط میآید، به آن نه بگویید. تنها ایمیلهای متنی را مورد توجه قرار دهید." او میافزاید تصویر کوچک ۱×۱ پیکسل در ایمیل مبتنی بر HTML "در واقع GPS هکر محسوب میگردد چرا که آنها حالا دیگر آدرس IP شما را در اختیار دارند، و آنها میدانند که شما دقیقا کجا هستید." JP Morgan Chase، از حامیان آموزش ترفندهای هکرها به منظور جلوگیری از به دام افتادن قربانیان میباشد.
Michael Li، مدیر امنیت اطلاعات در دپارتمان مدیریت خطر IT در JP Morgan Chase، میگوید: "اشتباهات معمول که از سوی توسعهگران شما رخ میدهند به سادگی قابل سوء استفاده هستند. جامعه توسعه این مساله را درک نمیکند." JP Morgan Chase، به عنوان بخشی از فرایند آموزش توسعهگران خود، یک وبسایت demo با عنوان XYZBank ایجاد نموده که حاوی بخشهای انتقال سرمایه، نمایش حساب و ورود مشتری است، امکاناتی که ممکن است در یک سایت بانکداری آنلاین یافت شود. XYZBank، که مبتنی بر سیستمهای BEA متعلق به WebLogic و Microsoft SQL Server است، به خوبی طراحی شده اما به گفته Li یکسری اشتباهات کوچک در اعتبارسنجی ورودی و اداره خطاهای آن وجود دارد.
Li و Anthony Meholic، قائم مقام مدیر عامل در امور امنیت برنامههای کاربردی و مدیر تیم هک اخلاقی در JP Morgan Chase، یک نمایش زنده از XYZBank را برای نشان دادن نحوه نفوذ هکرها با سوء استفاده از تنها یک رخنه کوچک در معرض دید سایرین قرار دادند. Li میگوید: "ما از آن برای نشان دادن مسائل امنیتی به توسعهگران خود استفاده میکنیم." برخی متخصصان امنیت اطلاعات در این نشست تمایل خود را مبنی بر آموزش توسعهگران نرمافزار خود بر روی XYZBank ابراز داشتند، اما Li گفت متاسفانه خطمشی شرکت اجازه این کار را نمیدهد.
نویسنده: Ellen Messmer
مترجم: امین ایزدپناه
منبع : علم الکترونیک و کامپیوتر
ایران مسعود پزشکیان دولت چهاردهم پزشکیان مجلس شورای اسلامی محمدرضا عارف دولت مجلس کابینه دولت چهاردهم اسماعیل هنیه کابینه پزشکیان محمدجواد ظریف
پیاده روی اربعین تهران عراق پلیس تصادف هواشناسی شهرداری تهران سرقت بازنشستگان قتل آموزش و پرورش دستگیری
ایران خودرو خودرو وام قیمت طلا قیمت دلار قیمت خودرو بانک مرکزی برق بازار خودرو بورس بازار سرمایه قیمت سکه
میراث فرهنگی میدان آزادی سینما رهبر انقلاب بیتا فرهی وزارت فرهنگ و ارشاد اسلامی سینمای ایران تلویزیون کتاب تئاتر موسیقی
وزارت علوم تحقیقات و فناوری آزمون
رژیم صهیونیستی غزه روسیه حماس آمریکا فلسطین جنگ غزه اوکراین حزب الله لبنان دونالد ترامپ طوفان الاقصی ترکیه
پرسپولیس فوتبال ذوب آهن لیگ برتر استقلال لیگ برتر ایران المپیک المپیک 2024 پاریس رئال مادرید لیگ برتر فوتبال ایران مهدی تاج باشگاه پرسپولیس
هوش مصنوعی فناوری سامسونگ ایلان ماسک گوگل تلگرام گوشی ستار هاشمی مریخ روزنامه
فشار خون آلزایمر رژیم غذایی مغز دیابت چاقی افسردگی سلامت پوست