بایگانی ماهیانه: اردیبهشت ۱۳۹۳

یکی از چالشهای SIEM در سیستم های برونسپاری شده

در بحث راه اندازی مرکز عملیات امنیت (SOC) ، راه اندازی و عملیاتی کردن SIEM از اهمیت حیاتی برخوردار بوده و نباید به آن صرفاً به عنوان نصب یک محصول جدید در شبکه نگاه کرد.

یکی از چالش هایی که می تواند راه اندازی موثر SIEM را با مشکلات جدی مواجه کند، نبود لاگ های مناسب است. در واقع با وجود لاگ های مناسب و کافی می توان انتظار داشت که SIEM قابلیت های خود را نشان دهد.

مشکلی که برخی سازمان ها در این حیطه با آن مواجه هستند آن است که مدیریت منابع و سنسورهای تولید کننده لاگ (تجهیزات، سرورها، برنامه ها و …) در اختیار اشخاص ثالث (پیمانکاران) است. در نتیجه ایجاد تغییر در چنین سیستم هایی مشکل، زمانبر، هزینه زا و گاه غیر ممکن می شود. لذا سازمان هایی که در سیستم های IT خود به صورت برونسپاری پیمانکاران به عنوان راهبر و نگهدارنده سیستم قرارداد دارند، باید به این نکته  توجه کنند که عدم تعامل مناسب و لحاظ نکردن شرایط SLA لازم با پیمانکاران سرویس ها، سرورها، برنامه ها و تجهیزات می تواند مستقیماً بر کیفیت و اثربخشی SIEM و SOC تأثیر منفی بگذارد.

اشتراک گذاری

درب پشتی NSA در محصولات سیسکو

دو تصویر از جاسازی در پشتی (Backdoor) در داخل سخت افزارهای سیسکو، در قالب برنامه Tailored Access Operations که بخشی از برنامه PRISM آژانس امنیت ایالات متحده بوده و توسط ادوارد اسنودن فاش شده است. برنامه TAO، محصولات شرکت هایی مثل سیسکو را که توسط کشورهای هدف خریداری شده در میانه راه (احتمالاً بدون اطلاع شرکت مبدأ) به طرز مخفیانه ای باز کرده و مجهز به  نرم افزار جاسوسی می کرده است. در نتیجه وقتی محصول مربوطه در کشور هدف نصب می شده، NSA می توانسته در موقع لزوم از طریق این در پشتی از راه دور به آن محصول متصل شود.

اشتراک گذاری

درس هایی از خونریزی قلبی اینترنت

خونریزی قلبی (Heartbleed) ـ آسیب پذیری موجود در برخی نسخه های OpenSSL ـ یکی از بحث برانگیزترین موضوعات مربوط به امنیت اطلاعات در سال های اخیر بود. حالا که از تب و تاب این آسیب پذیری کاسته شده و اکثر سرویس دهنده های شناخته شده دنیا،و نیز سرویس دهنده های داخلی، آسیب پذیری را رفع کرده اند، مناسب است که نگاهی دیگر به آن داشته و درس هایی که می توان آموخت را مرور کنیم.

۱- نرم افزار Open source را نباید معادل با نرم افزار امن دانست. متن باز بودن یا نبودن نرم افزار رابطه مستقیمی با امنیت آن ندارد، اگر چه می تواند به طور غیرمستقیم بر امنیت آن تأثیرگذار باشد. هر کدام از این دو حالت، مزایا و معایب خود را دارند، به خصوص بسته به اینکه چه کسی می خواهد از نرم افزار استفاده کند، و نرم افزار چقدر به طور گسترده استفاده می شود، متن باز بودن یا نبودن می تواند عاملی تعیین کننده باشد. کسانی که سیاستگزاری در حوزه امنیت انجام می دهند بهتر است به جای تلاش بیهوده برای توجیه سوئیچ کردن از ویندوز به لینوکس به خاطر حفظ امنیت کاربران، واقعیاتی که با افشای اینگونه آسیب پذیری ها مشخص می شود را در نظر بگیرند. بخشی از واقعیت آن است که وقتی توسعه دهنده نرم افزار، خارجی ها هستند، تفاوت چندانی بین متن باز و تجاری وجود ندارد. چون ما نسبت به هردوی اینها آسیب پذیر هستیم. بنابراین ریشه معضل در اینجاست که نه توان بررسی امنیت متن بازها را داریم و نه به اندازه ای که لازم است، توان توسعه محصول داخلی داریم. لذا مسأله اصلی، “نیروی انسانی” است.

۲- بزرگترین خسارت ها ممکن است ناشی از خطاهایی کوچک باشند. مشکلی که در کد OpenSSL وجود داشت و منجر به خونریزی قلبی شد، یک آسیب پذیری ساده از نوع عدم بررسی محدوده بافر بود. در واقع، کد آسیب پذیر، به ورودی ارسال شده از کلاینت غیرقابل اعتماد، اطمینان کرده و بدون بررسی سایز حافظه درخواستی، پاسخ را  برای درخواست کننده ارسال می کرد. بنابراین یک اشتباه ساده برنامه نویسی (عمدی یا سهوی) می تواند منجر به یک آسیب پذیری بسیار بحرانی شود.

۳- گمانه هایی در مورد عمدی بودن این آسیب پذیری  و اطلاع سازمان هایی چون NSA از آن وجود دارد. گفته می شود که تیم OpenSSL  در سال ۲۰۱۲ از وجود این باگ مطلع بوده، یا اینکه NSA در قالب برنامه PRISM ، از این باگ هم استفاده می کرده است. بدون آنکه بتوان در مورد صحت و سقم این ادعا قضاوت کرد، باید بپذیریم که تا وقتی به نرم افزارهای خارجی (چه متن باز و چه تجاری) وابسته باشیم، این نقاط ضعف هم موجب تهدید برای ما خواهد شد. در نتیجه، یا باید با توسعه توان داخلی، وابستگی خود را کم کنیم یا اینکه خود را از مرکز توجه جاسوسی ها و دشمنی ها خارج کنیم. به نظر می رسد راه دوم مقرون به صرفه تر باشد، اگر چه متأسفائه خریداری در بین تصمیم گیران ندارد. راه اول، که همان توسعه توان داخلی باشد، دقیقاً برعکس سیاست هایی است که تا به حال در مورد محصول بومی وجود داشته است. اینجا هم مجدداً مسأله اصلی و عامل توسعه توان داخلی، حفظ “نیروی انسانی” است، نه محدودیت و ممنوعیت برای رقبای خارجی و نه تعریف پروژه صرفاً برای خالی نبودن عریضه.   

۴ … (می تواند ادامه داشته باشد)

اشتراک گذاری

حریم خصوصی در فضای مجازی

ماجرای شرکت بیان و پلیس فتا آنطور که در وبلاگ شرکت ذکر شده نمونه ای از مسأله حریم خصوصی (Privacy) است. موضوع حریم خصوصی آنقدر که در کشورهای پیشرفته دنیا اهمیت دارد، در ایران هنوز اهمیت خود را پیدا نکرده است. به عنوان مثال، بزرگترین اعتراضی که شهروندان و رسانه های آمریکا و اروپا به برنامه PRISM آژانس امنیت ملی ایالات متحده (NSA) دارند ـ برنامه ای که توسط ادوارد اسنودن فاش شد ـ  نقض حریم خصوصی آنها است. حتی بخش عمده ای از تحقیق و پژوهش در دانشگاه ها، شامل رساله های ارشد و دکتری هم به موضوع حریم خصوصی و فناوری های مربوط به آن می پردازند. با این حال، این موضوع در ایران چندان مورد توجه نیست. نه از طرف کاربران به عنوان یک حق و نه از طرف حاکمیت، شرکت ها و غیره به عنوان یک مسئولیت.

بدون قضاوت در باره چالش میان شرکت بیان و پلیس فتا، نفس این قضیه می تواند به برجسته شدن ابعاد حقوقی و فنی موضوع حریم خصوصی در داخل کشور کمک کند.

اشتراک گذاری

خونریزی قلبی در اندروید و ابزارهای موبایل

آسیب پذیری خونریزی قلبی (Heartbleed) می تواند برای موبایل یا تبلت هم تهدید ایجاد کند. بر اساس اینکه سیستم عامل دستگاه از کدام نسخه OpenSSL استفاده  می کند، و نیز اینکه هر کدام از برنامه های نصب شده از چه نسخه ای استفاده  می کنند، ممکن است این آسیب پذیری وجود داشته باشد.

شرکت مک آفی یک app رایگان برای چک کردن این آسیب پذیری در سیستم عامل اندروید ارائه کرده است.

همچنین شرکت Bluebox هم یک app رایگان برای پویش این آسیب پذیری در اندروید ارائه کرده است.

اشتراک گذاری