بایگانی ماهیانه: مهر ۱۳۹۲

درب پشتی در مسیریاب های D-Link

در پشتی (Backdoor) کشف شده در برخی روترهای D-Link اجازه می دهد که هر فردی بتواند با مجوز Administrator به رابط مدیریتی روتر متصل شده و آن را پیکربندی کند. برای این کار باید رشته خاصی به عنوان User agent در مرورگر تنظیم شود. این باگ توسط یک محقق امنیتی که در حال مهندسی معکوس firmware این دستگاه ها بوده کشف شده است. مدل هایی که دارای این backdoor هستند شامل موارد زیر می شوند:

  • DIR-100
  • DIR-120
  • DI-624S
  • DI-524UP
  • DI-604S
  • DI-604UP
  • DI-604+
  • TM-G5240

شرکت D-Link گفته که این backdoor برای کارهای دیباگ در محصول قرار داده شده و تا پایان این ماه، اصلاحیه مربوطه را ارائه خواهد داد. البته نظر دیگری هم هست مبنی بر اینکه این باگ در واقع یک اشتباه از سوی برنامه نویسان D-Link بوده به این صورت که بعضی سرویس های داخل سیستم نیاز دارند که بخشی از پارامترهای محصول را به طور اتوماتیک پیکربندی کنند. این قابلیت باید به طور جداگانه پیاده سازی می شده اما برنامه نویس ها چون قبلاً این قابلیت ها را در رابط وب نوشته اند، خواسته اند که سرویس های سیستمی هم از آن پیاده سازی وب استفاده کنند و این در پشتی را برای اتصال مستقیم آن سرویس های سیستمی قرار داده اند.

اینگونه باگ ها در محصولات دیگر هم سابقه داشته و معمولاً شرکت تولید کننده ادعا می کند که برای انجام دیباگ و پشتیبانی موردی آن را در سیستم تعبیه کرده است. تجربه نشان داده که دیر یا زود اینگونه Backdoor ها کشف می شوند و معمولاً اگر سیستمی به طور عمومی استفاده می شود، نمی تواند در بلند مدت اینگونه باگ ها را از چشم عموم پنهان کند.

اشتراک گذاری

تطابق سیستم مدیریت امنیت اطلاعات سازمان با استاندارد جدید ایزو

با توجه به اینکه استاندارد ایزو ۲۷۰۰۱ از اکتبر ۲۰۱۳ بروز شده و نگارش قبلی که مربوط به سال ۲۰۰۵ بود دیگر معتبر نیست، سوالی که پیش می آید این است که سازمان هایی که مبتنی بر نگارش ۲۰۰۵ سیستم مدیریت امنیت اطلاعات (ISMS) را پیاده سازی کرده اند برای تطابق با استاندارد جدید چه اقداماتی باید انجام دهند؟

در حال حاضر، فرآیند  ارتقاء سیستم مدیریت امنیت اطلاعات بر اساس ایزو ۲۷۰۰۱ نگارش ۲۰۱۳ هنوز مشخص نشده است. با این حال طبق اعلام موسسه ایزو احتمالاً یک پروسه دو تا سه ساله برای تطابق با این استاندارد جدید در نظر گرفته خواهد شد و پس از آن دیگر گواهی های سازمانی مبتنی بر نگارش ۲۰۰۵ معتبر نخواهند بود.

اشتراک گذاری

تفاوت های ایزو ۲۷۰۰۱ نسخه ۲۰۱۳ نسبت به نسخه ۲۰۰۵

نگارش جدید استاندارد ایزو ۲۷۰۰۱ که اخیراً منتشر شد، نگارش قبلی را که ایزو ۲۷۰۰۱:۲۰۰۵ بود منقضی کرده است. نکته مهم در این میان، تغییرات فوق العاده و اساسی ایجاد شده در مفاهیم اساسی استاندارد سیستم مدیریت امنیت اطلاعات (ISMS) است. بعضی از تغییرات مهم در نگارش جدید عبارتند از:

۱- چرخه PDCA که مبنای عملکرد سیستم مدیریت امنیت اطلاعات در بخش بهبود مداوم (Continual Improvement) بود، در نگارش جدید اجباری نیست و می تواند با متدولوژی های دیگری جایگزین شود.

۲- در بحث مدیریت مخاطرات، مفهوم مالک دارایی (Asset Owner) حذف شده و به جای آن مالک مخاطره (Risk Owner) استفاده شده است. با این حال، تعیین مالک دارایی به عنوان یک کنترل کماکان در پیوست A الزام شده است.

۳- متدلوژی مدیریت مخاطرات می تواند بنا به نیاز سازمان انتخاب شود و حتی شناسایی آسیب پذیری ها و تهدیدها دیگر پیشنیاز  شناسایی مخاطرات نمی باشد.

۴- معیار پذیرش مخاطره (Risk Acceptance Criteria) می تواند چیزی به جز سطح مشخصی از مخاطره باشد. به عنوان مثال ممکن است سازمان بر اساس اینکه چه نوع کنترلی برای یک مخاطره مورد نیاز است، آن مخاطره را قابل پذیرش بداند.

۵- استاندارد تصریح می کند که کنترل ها قرار نیست از پیوست A  انتخاب شوند، بلکه مستقیماً در فرآیند مدیریت مخاطرات گزینش می شوند. با این حال می توان از این پیوست برای اطمینان از اینکه کنترل های ضروری فراموش نشده اند، استفاده کرد.

به نظر می رسد که استاندارد تلاش کرده تا محوریت “مخاطره” را نسبت به مفاهیم دیگر در ISMS تصریح کند. اینکه به جای “مالک دارایی”  از “مالک مخاطره” نام برده شده و طرح برخورد با مخاطرات را منوط به تأیید مالکان مخاطرات کرده، نشان می دهد که استاندارد در نگارش جدید به واقعیت های سازمان های بزرگ نزدیک تر شده است. یکی از مشکلات پیاده سازی ISMS در سازمان ها این است که در استاندارد قبلی بر مالک دارایی تأکید شده بود در حالی که تهدیدهای امنیتی متوجه مالک مخاطره است نه لزوماً  مالک دارایی. 

مستندات و رکوردهای اجباری و اختیاری مورد نیاز برای سازگاری با ایزو ۲۷۰۰۱/۲۰۱۳ بر اساس این منبع:

Mandatory documents:

  • Scope of the ISMS (clause 4.3)
  • Information security policy and objectives (clauses 5.2 and 6.2)
  • Risk assessment and risk treatment methodology (clause 6.1.2)
  • Statement of Applicability (clause 6.1.3 d)
  • Risk treatment plan (clauses 6.1.3 e and 6.2)
  • Risk assessment report (clause 8.2)
  • Definition of security roles and responsibilities (clauses A.7.1.2 and A.13.2.4)
  • Inventory of assets (clause A.8.1.1)
  • Acceptable use of assets (clause A.8.1.3)
  • Access control policy (clause A.9.1.1)
  • Operating procedures for IT management (clause A.12.1.1)
  • Secure system engineering principles (clause A.14.2.5)
  • Supplier security policy (clause A.15.1.1)
  • Incident management procedure (clause A.16.1.5)
  • Business continuity procedures (clause A.17.1.2)
  • Statutory, regulatory, and contractual requirements (clause A.18.1.1)

Mandatory records:

  • Records of training, skills, experience and qualifications (clause 7.2)
  • Monitoring and measurement results (clause 9.1)
  • Internal audit program (clause 9.2)
  • Results of internal audits (clause 9.2)
  • Results of the management review (clause 9.3)
  • Results of corrective actions (clause 10.1)
  • Logs of user activities, exceptions, and security events (clauses A.12.4.1 and A.12.4.3)

Non-mandatory documents

  • Procedure for document control (clause 7.5)
  • Controls for managing records (clause 7.5)
  • Procedure for internal audit (clause 9.2)
  • Procedure for corrective action (clause 10.1)
  • Bring your own device (BYOD) policy (clause A.6.2.1)
  • Mobile device and teleworking policy (clause A.6.2.1)
  • Information classification policy (clauses A.8.2.1, A.8.2.2, and A.8.2.3)
  • Password policy (clauses A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1, and A.9.4.3)
  • Disposal and destruction policy (clauses A.8.3.2 and A.11.2.7)
  • Procedures for working in secure areas (clause A.11.1.5)
  • Clear desk and clear screen policy (clause A.11.2.9)
  • Change management policy (clauses A.12.1.2 and A.14.2.4)
  • Backup policy (clause A.12.3.1)
  • Information transfer policy (clauses A.13.2.1, A.13.2.2, and A.13.2.3)
  • Business impact analysis (clause A.17.1.1)
  • Exercising and testing plan (clause A.17.1.3)
  • Maintenance and review plan (clause A.17.1.3)
  • Business continuity strategy (clause A.17.2.1)
اشتراک گذاری