بایگانی ماهیانه: اردیبهشت ۱۳۹۲

خداحافظی با Backtrack

نسخه جدید Backtrack با نام Kali Linux عرضه شده و این تغییر نام احتمالاً با تفاوت های مهمی در نسخه جدید همراه خواهد بود. یکی از این تفاوت ها این است که در نسخه جدید،  اینترفیس های گرافیکی بعضی از ابزارها مثل Nmap به طور پیش فرض نصب نشده و اگر کسی لازم داشته باشد باید به صورت جداگانه با ابزار apt-get آنها را نصب کند. مرورگر اینترنت هم تغییر کرده و دیگر از فایرفاکس استفاده نمی شود. همچنین در خط فرمان Kali ، همه ابزارهای و فرمان ها در دسترس هستند و دیگر خبری از دایرکتوری pentest نیست.

تفاوت های دیگری هم هست که در اینجا توضیح داده شده است.

اشتراک گذاری

گفتگویی در باره یادداشت قبلی

سعید: “بهترین تعریفی که تا به حال از هک دیدم تعریفیه که میگه هکر کسیه که از هر سیستمی به شکلی استفاده کنه که مورد نظر طراحان سیستم نبوده است این تعریف به تفکر خلاق هم تفسیر گردیده است حالا به نظر شما ممکنه کسی روتینی را بنویسه ولی بتونه حالتی را تصور کنه که مورد نظر خودش نبوده ؟ فکر میکنم انگیزه اکثر شرکتهای امنیتی که از هکرها  تنها به عنوان مشاور استفاده میکنند هم ،  چنین استدلالی باشه در حالی میتوانستند با هزینه کمتری از آنها به منظور توسعه نرم افزارهایشان استفاده نمایند.”

نقش طراح رو باید از برنامه نویس جدا کنید. برنامه نویس یکسری مهارت ها نیاز داره برای نوشتن کد به صورت امن، که باید جزو وظایفش تلقی بشه و اگر انجام نداد، مثل این باشه که کارش رو انجام نداده. اما طراح نقش دیگه ای داره. نقش طراح اونقدر مهمه که گاهی ممکنه برنامه نویس، استاندارد های کد نویسی امن رو رعایت کرده باشه، اما طراحی اون ماژول یا پروتکل مربوطه، نا امن باشه. در طراحی، خیلی مهمه که شما خودت رو جای هکر بگذاری و فکر بکنی. البته که مهارت مشکلیه و نیاز به تجربه و سواد داره. اما اگر صرفاً به برنامه نویسی نگاه کنیم، یکسری استاندارد و Best Practice هست برای امنیت، که باید رعایت بشه و لزوماً هم برنامه نویس ممکنه توانایی و سواد فکر کردن مثل یک هکر رو نداشته باشه.


اشتراک گذاری

در پشتی آپاچی

آیا یک Backdoor (در پشتی) لزوماً نشانه های فعالیتش را در سیستم باقی می گذارد؟ آیا با بررسی فایل های موجود در سیستم می توان به طور قطع از وجود Backdoor در سیستم مطلع شد؟

پاسخ منفی است. Linux/Cdorked یک Backdoor جدید است که در باینری آپاچی یعنی httpd پنهان شده و تمام اطلاعاتش را در Shared Memory ذخیره می کند. در نتیجه یافتن آن در سیستم قربانی سخت تر از حد معمول خواهد بود:

The HTTP server is equipped with a reverse connect backdoor that can be triggered via a special HTTP GET request. It is invoked when a request to a special path is performed with a query string in a particular format, containing the hostname and port to connect. The client IP of the HTTP dialog is used as a key to decrypt the query string as a 4 byte XOR key.

بدافزار با دریافت یک درخواست GET غیر استاندارد فعال می شود. این درخواست به دلیل غیر استاندارد بودن در لاگ های آپاچی ذخیره نمی شود. این نشان می دهد که نباید به لاگ استاندارد سرویس ها اعتماد کامل داشت.

اشتراک گذاری

مثل یک هکر فکر کن!

در برنامه نویسی امن، هیچ چیز مهم تر از این نیست که “مانند یک هکر فکر کنید”. اگر برنامه نویس به این توانایی برسد، یعنی آن بخشی از این ذهنیت را که قابل یادگیری است، یاد بگیرد، بخش عمده ای از آسیب پذیری های ناشی از برنامه نویسی به وجود نخواهند آمد.

در هر پروژه و در هر موردی که با آسیب پذیری های نرم افزار مواجه هستیم، این موضوع در نهایت خود را نشان می دهد. گاهی احساس می کنی که این برنامه برای یک آرمانشهر نوشته شده که در آن هیچ کس به دنبال انجام کار خلاف نیست، هیچ کس نمیخواهد از قفل ها و درها عبور کند و … 

اشتراک گذاری

محدود کردن ابزارهای ضد فیلتر به عنوان یک توصیه امنیتی

ممنوعیت استفاده از ابزارهای دور زدن فیلتر و فایروال یکی از خط مشی هایی است که در بسیاری از الگوهای موفق امنیتی به سازمان ها توصیه می شود. یکی از دلایل این ممنوعیت آن است که ترافیک ارسالی توسط این ابزارها به دلیل رمز شده بودن قابل تشخیص نبوده و در نتیجه فایروال و دیگر ابزارهای امنیتی مانند IDS و DLP نمیتوانند تنظیمات محدودیت های را روی آن اعمال کنند. البته اگر از یک سیستم فایروال قوی استفاده شود، ممکن است بتوان استفاده از این ابزارها را به شدت محدود کرد. راه حل دیگر هم استفاده از یک Endpoint Security قوی است که عملکرد اینگونه نرم افزارها را در خود کلاینت محدود می کند.

یک نکته جالب، امکان دور زدن محدودیت های traffic shape با استفاده از این نرم افزارها است. ایرادی که در تنظیمات مدیریت پهنای باند در برخی شبکه های بزرگ وجود دارد این است که تنظیمات traffic shape را صرفاً روی ترافیک شناخته شده (مثلاً http, ftp و غیره) اعمال کرده اند. در نتیجه ترافیک رمز شده با اینکه منطقاً باید از سرعت کمتری در کلاینت برخوردار باشد، به دلیل عدم تطابق با قواعد محدودیت پهنای باند تنظیم شده در فایروال، سرعت بیشتری نسبت به حالت عادی دارد. این مسأله به خصوص با استفاده از نرم افزارهای تسریع کننده دانلود، نمود بیبشتری پیدا می کند. 

اشتراک گذاری