بایگانی ماهیانه: مهر ۱۳۹۴

ابزار دیگری برای آموزش امنیت برنامه های کاربردی وب

OWASP WebGoat ابزار دیگری از OWASP که با جاوا نوشته شده و برای آموزش انواع آسیب پذیری های برنامه های کاربردی وب و نحوه رفع آنها طراحی شده است.

اشتراک گذاری

راه طولانی در زمینه امنیت اطلاعات سلامت

امنیت اطلاعات سلامت (Heathcare Informaiton Security) یا به عبارت ساده تر، امنیت اطلاعات پزشکی، یکی از موضوعات بسیار مورد توجه و مهم در دنیای فناوری و پزشکی امروز است. این رشته از دو جنبه حفظ محرمانگی اطلاعات و حریم خصوصی بیمار و نیز حفظ ایمنی و سلامت کل ذینفعان این حوزه هنگام استفاده از ابزارهای جدید پزشکی به موضع امنیت اطلاعات و شبکه می پردازد.

با این حال در ایران امروز، این رشته تقریباً هیچ نمودی نه در میان فعالان حوزه سلامت (به عنوان مشتریان) و نه بازار فناوری اطلاعات و امنیت (به عنوان ارائه دهندگان خدمت) ندارد. با وجود اینکه در بسیاری از کشورها، قوانین و استانداردهای سخت گیرانه ای در بحث امنیت سایبری سلامت وجود دارد، ما در ایران هنوز راه زیادی تا جا افتادن این رشته داریم.

اشتراک گذاری

ابزاری برای کار با عبارت های باقاعده

عبارت باقاعده که منظم هم نامیده می شود، الگویی برای توصیف رشته های متناهی یا نامتناهی از کاراکترها است. یک عبارت باقاعده، نقش syntax یا نحو یک زبان را بازی می کند و مجموعه رشته هایی که آن عبارت، توصیف یا تولید می کند، اعضای خود زبان را تشکیل می دهند. عبارت باقاعده در اصطلاح Regular Expression یا Regex گفته می شود.

این عبارت ها در بحث تشخیص نفوذ، ضدبدافزار و هانی پات بسیار کاربرد دارند. ابزارهای زیادی برای کار با عبارت های باقاعده وجود دارد که یکی از بهترین آنها، regex101 است. 

اشتراک گذاری

کشف دو آسیب پذیری جدی در Truecrypt

اگر شما هم تا به حال با وجود تعطیل شدن پروژه Truecrypt ، به نرم افزار دیگری برای رمزنگاری فایل ها و درایوها مهاجرت نکرده اید و کماکان از این نرم افزار برای امنیت ذخیره سازی فایل های محرمانه استفاده می کنید، وقت آن رسیده که تجدید نظر کنید.

با وجود اینکه قبلاً طی یک ارزیابی امنیتی توسط محققان دانشگاه Johns Hopkins ، نرم افزار Truecrypt فاقد هرگونه آسیب پذیری اعلام شده بود، امروز مطمئن هستیم که این نرم افزار حداقل دارای دو آسیب پذیری شناخته شده از نوع گسترش مجوز (Privilege Escalation) است که توسط دو محقق از پروژه امنیتی Google Project Zero کشف و اعلام شده است.

حال سوال اینجاست که آیا این دو آسیب پذیری، سهواً در کد نرم افزار به وجود آمده اند یا به عنوان در پشتی (Back Door) توسط خود برنامه نویسان پروژه تعبیه شده اند؟ و آیا این موضوع با تعطیل شدن ناگهانی پروژه (و نیز افشاگری های اسنودن) ارتباطی دارد؟

یکی از جایگزین های نسبتاً مطمئن برای Truecrypt، نرم افزار Veracrypt است.

اشتراک گذاری

امنیت با چاشنی پسا تحریم

این یادداشت درباره بازار امنیت اطلاعات در دوران پساتحریم، در شماره ۶۲ نشریه بانکداری الکترونیک (مرکز فابا) منتشر شده است.(مشاهده فایل)

توافق احتمالی میان کشورمان و قدرت­های جهانی می­تواند فرصت­های متعددی را برای توسعه کسب و کارها ایجاد نماید. بازار امنیت سایبری نیز از این قاعده مستثنی نیست و می­ توان انتظار داشت که تأثیرات مثبت این رویداد به تدریج نمایانگر شود. از یک منظر می­توانیم این تأثیرات را به دو بخش مستقیم و غیر مستقیم تقسیم بندی نماییم. اثر غیرمستقیم احتمالی، همان است که در بسیاری از کسب و کارهای دیگر نیز شاهد خواهیم بود، یعنی رونق کسب و کار به واسطه باز شدن فضای اقتصادی و ایجاد فرصتهای جدید برای شرکت­های ارائه دهنده خدمات و محصولات امنیت چه در زمینه مشتریآن داخلی و چه ارتباطات بین المللی. فعالان این عرصه، سال­های فاجعه بار اواسط  و اواخر دهه ۸۰ را به خوبی به یاد دارند، جایی که پتانسیل عظیم شرکت های نوپای فعال در بازار امنیت، به واسطه فشار اقتصادی ناشی از تحریم­ها و کاهش شدید میانگین بودجه سازمان­های دولتی در زمینه امنیت، نتوانست تبدیل به شکل گیری بازیگران توانمند و پایدار در این عرصه شود. متأسفانه در دوران تنگنای اقتصادی، بازار امنیت اطلاعات یکی از اولین اولویت­ها برای صرفه جویی است و این به واسطه ماهیت موضوع امنیت، امری جهانشمول بوده و نوپا بودن این صنعت در کشور ما نیز مزید بر علت است.

اثر غیر مستقیم دیگر این توافق احتمالی، حفظ و گسترش توان نیروی انسانی در داخل کشور است. متأسفانه موج عظیمی از مهاجرت نخبگان این حوزه به خارج از کشور همانند بسیاری از حوزه های دیگر، در دهه اخیر ایجاد شده است. امروز یکی از معضلات این بازار، کمبود نیروی انسانی متخصص و با تجربه است، به طوری که جایگاه­های شغلی متعددی به ویژه در شرکت­های خصوصی خالی مانده است. مشاهدات نگارنده از روند مهاجرت فارغ التحصیلان رشته های مربوط به این بازار، و نیز همکاران و دوستانی که در چند سال اخیر در این بازار کوچک فعال بوده اند نشان از روند خروج بیش از پنجاه درصدی افراد تأثیرگذار این بازار از کشور را دارد. در صورت باز شدن فضا و گسترش کسب و کار امنیت، این معضل بیش از پیش نمایان خواهد شد.

اما در بخش اثرات مستقیم توافق احتمالی و باز شدن فضای کسب و کار، می­توان به موارد متعددی اشاره کرد. یکی از این اثرات، امکان حضور رسمی برندهای مطرح دنیا در داخل کشور است. این حضور باعث ارتقاء کیفیت همه بازیگران این عرصه خواهد شد. از یک طرف، شرکت­های امنیتی با یک فضای رقابتی مواجه می­شوند که ادامه حضور در این فضا نیازمند ارائه محصولات و خدماتی نزدیک به کلاس جهانی خواهد شد. البته این موضوع می­تواند زنگ خطر برای شرکت­هایی باشد که با استفاده از رانت ناشی از فضای تحریم در چند سال اخیر در این بازار یکه تازی کرده اند. علاوه بر این، فرصت مذکور می­تواند به تهدیدی برای بازیگرانی که نتوانند با شرایط کیفی جدید منطبق شوند نیز تبدیل شود. از طرف دیگر، سطح توقع مشتریان این بازار نیز متناسب با کیفیت محصولات و خدمات در کلاس بین المللی، به روز خواهد شد.

شاید یکی از مهم ترین مزایای رفع موانع ناشی از تحریم­ها، امکان پیوستن فعالان این عرصه به اجتماعات تخصصی جهانی و امکان ارتباط های علمی و پژوهشی بین کارشناسان و فعالان بازار با منابع شناخته شده و مطرح جهانی است. متأسفانه در حال حاضر، حتی مشاهده برخی وب سایت­های مرجع تخصصی برای افراد از داخل ایران فراهم نیست. همچنین بسیاری از ابزارها و پروژه­ های امنیت اطلاعات از داخل کشور در دسترس نیست. این موضوع در زمینه فعالیت­های پژوهشی دانشگاهی در بخش امنیت نیز مشکلات متعددی ایجاد کرده است. همچنین امکان شرکت کردن در دوره­ های تخصصی امنیت و آزمون­های بین المللی این دوره­ ها و دریافت گواهی با دشواری­ها و هزینه­های نامتعارفی رو به رو است. تصور اینکه مدرسان مشهور جهانی بتوانند برای ارائه دوره های تخصصی به ایران رفت و آمد کنند و نیز کارشناسان داخلی بتوانند با هزینه معقول و متعارف در کنفرانس­ها و نمایشگاه های معتبر امنیتی شرکت کنند، با ادامه شرایط فعلی به هیچ وجه با واقعیت منطبق نیست.

مزیت­های یک توافق احتمالی برای بازار امنیت کشور آنقدر هست که در برابر تهدیدهای احتمالی این موضوع به روشنی برتری داشته باشد. باید توجه داشت که وقتی از امنیت سایبری صحبت می­کنیم، همیشه یک حس عدم اعتماد کامل و حفظ جوانب احتیاط به خصوص در برابر بیگانگان باید وجود داشته باشد. به طور مثال، اینکه سازمان­های اطلاعاتی برخی کشورها از طریق رخنه در محصولات امنیتی به صورت هدفمند سعی در نفوذ به پشت مرزهای داخلی ما دارند، امری واضح است. اما منشأ گسترش این تهدید را نباید باز شدن فضای کسب و کار و ارتباطات بین المللی در بخش امنیت دانست، کمااینکه اینگونه محصولات در حال حاضر هم به وفور در بازار کشور به صورت غیررسمی و کنترل نشده در حال استفاده هستند. همچنین، راه حل این تهدید نیز از یک طرف به اعمال سیاست­ها و محدودیت­های حاکمیتی هدفمند و توجیه پذیر، و از طرف دیگر به توانمندسازی شرکت­های داخلی بازمی­گردد که این توانمند سازی نه با ایجاد رانت­های خاص، بلکه مستقیماً با تقویت نیروی انسانی متخصص و جلوگیری از مهاجرت این نیروها ایجاد می­ شود.

اشتراک گذاری