ورود به سایت

ثبت نام در سایت

Registration confirmation will be e-mailed to you.

فراموشی رمز

3 × 2 =

بستن
بستن

چگونه با امنیت اطلاعات اشنا شویم؟

چگونه با امنیت اطلاعات اشنا شویم؟

ادعای نفوذ به شبکه سوئیفت

ماه گذشته بانک مرکزی بنگلادش با خبر سرقت ۸۱ میلیون دلار مورد توجه قرار گرفت. گفته شده که کشف موصوع بر اساس خطای املایی هکرها در یکی از تراکنش ها بوده که باعث شده تراکنش های بعدی آنها (تا مرز ۱ میلیارد دلار) توسط بانک متوقف شود. انتقادهایی در مورد فقدان تجهیزات مناسب امنیتی متوجه بانک شده است. امروز خبری در مورد یک بدافزار مورد استفاده در این ماجرا منتشر شد که زیرساخت نرم افزاری سوئیفت را هدف قرار داده و بر اساس خبر رویترز، سوئیفت قرار است به زودی به روز رسانی در این زمینه انجام دهد.

اسیب پذیری پانزده هزار دلاری در فیسبوک

فیسبوک بابت کشف یک آسیب پذیری ساده توسط یک کارشناس امنیت اهل هند، پانزده هزار دلار جایزه پرداخت کرده است. Anand Parakash توانسته در بخش فراموشی پسورد، که امکان ریست کردن پسورد را به کاربر می دهد، باگی کشف کند که منجر به سرقت هر حساب کاربری دلخواه فیسبوک می شود. توضیح کامل نحوه سوء استفاده از این آسیب پذیری به همراه فیلم اثبات آن در اینجا آمده است.

شرح آسیب پذیری:

وقتی کاربر در صفحه لاگین فیسبوک اعلام می کند که پسورد خود را فراموش کرده، فیسبوک یک کد شش رقمی را به آدرس ایمیل او (که هنگام ثبت نام در فیسبوک از کاربر دریافت کرده ارسال می کند). کاربر بعد از دریافت کد شش رقمی و وارد کردن آن در سایت، می تواند پسورد خود را ریست کند. برای جلوگیری از حمله brute force روی این کد شش رقمی، با حدود ۱۰ الی ۱۲ بار وارد کردن اشتباه آن، اکانت کاربر قفل می شود. اما این کنترل امنیتی در برخی دامین های زیر مجموعه فیسبوک، مثل beta.facebook.com و mbasic.beta.facebook.com اعمال نشده است. در نتیجه، نفوذگر می تواند حمله brute force روی این کد را در سایت های فوق انجام داده و پسورد هر کاربر دلخواهی را عوض کند.

نتیجه گیری:

خوب است که از فرهنگ تشویق هکرهای کلاه سفید که در دنیا موضوعی کاملاً جا افتاده است بیاموزیم. ارزش آسیب پذیری های امنیتی کشف شده در بسیار از سیستم ها، نه بر اساس پیچیدگی خود آسیب پذیری، بلکه بر اساس میزان تأثیر مخرب آن بر سیستم اندازه گیری می شود.

مطالب مرتبط


گام 1 - امنیت اطلاعات

امنیت اطلاعات

اجتناب از 10 ایراد برتر امنیتی در طراحی نرم افزار

مرکز طراحی امن وابسته به IEEE Computer Society با هدف تأکید بر طراحی امن سیستم های کامپیوتری (به جای تمرکز صرف بر یافتن باگ ها از طریق تست نفوذ) توسط گروهی از متخصصان امنیت نرم افزار از جمله دکتر Gary McGraw و با حمایت شرکت های مطرح مثل گوگل، توییتر، EMC و ... ایجاد شده است. 

از جمله مستندات این مرکز، اجتناب از 10 ایراد برتر امنیتی در طراحی نرم افزار است، که مطالعه آن به شدت توصیه می شود. راهکارهای ارائه شده در این مقاله عبارتند از:

1- اعتماد را به صورت واقعی دریافت یا ارائه کنید، اما هرگز آن را مبتنی بر فرضیات بنا نکنید.

2- از مکانیزمی برای احراز هویت استفاده کنید که قابل دور زدن یا نفوذ پذیر نباشد.

3- پس از احراز هویت، حتماً بررسی مجوزها را انجام دهید.

4- دستورات کنترلی و داده ای را به شیوه ای سختگیرانه از هم جدا کنید، و هرگز دستورات کنترلی دریافتی از منبع غیرقابل اعتماد را اجرا نکنید.

5- روشی صریح برای اعتبارسنجی تمام داده ها تعریف کنید.

6- رمزنگاری را به شیوه ای صحیح به کار گیرید.

7- داده های حساس و شیوه مدیریت آنها را تعیین کنید.

8- همواره کاربران را در نظر داشته باشید.

9- توجه کنید که یکپارچگی نرم افزار با قطعات خارجی چه تأثیری بر سطح حمله (Attack Surface) نرم افزار می گذارد.

10 - انعطاف پذیری لازم را در خصوص تغییرات آینده اشیاء و اکتورها در نظر داشته باشید.

اطلاعات مطلب

دیدگاه کاربران

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

بهترین علوم و دانش برای شما گردآوری میشه

آخرین های آیا میدانید

از همه جا براتون مطلب داریم لطفا کلیک کنید

مطالب برگزیده

موضوعات مهم سایت

مطالب محبوب