بایگانی ماهیانه: اسفند ۱۳۹۵

تحلیل رفتار کاربر: مورد “اوبر”

طبق گزارش نیویورک تایمز، اوبر سالها برنامه ای اجرا کرده که طی آن، در مناطقی که فعالیت این سرویس دهنده ممنوع یا دارای محدودیت های قانونی بوده، مشتریانی که بالقوه می توانستند دردسرساز شوند را شناسایی کند.  به طور مشخص دولتی ها یا افرادی که مرتبط با نهادهای قانونی هستند جزو این مشتری ها هستند. روش هایی شناسایی این مشتری ها در نوع خود جالبه، از جمله

  • ایجاد یک فنس جغرافیایی در اطراف مکان های مربوط به مشتریان فوق،
  • مانیتور کردن کاربرانی که به طور مداوم، اپ اوبر را باز و بسته می کنند،
  • بررسی اطلاعات کارت اعتباری کاربر و شناسایی مواردی که به نهادهای مالی پلیس مربوط هستند،
  • شناسایی تلفن های متعدد متعلق به یک شخص،
  • بررسی پروفایل مشتری در شبکه های اجتماعی

بعضی از موارد بالا در حیطه تحلیل رفتار کاربر (User Behavior Analytics) قرار می گیرند، که شاخه مهمی در مانیتورینگ امنیت به حساب می آید.

اشتراک گذاری

افشای اطلاعات محرمانه از طریق حمله Web Cache Deception

یک روش جدید سوء استفاده از سرویس Web Cache برای دستیابی به اطلاعات محرمانه ای که به طور معمول قرار نیست Cache شوند، توسط Omer Gil معرفی شده و با استقبال زیادی هم مواجه شده. این روش خلاقانه مستلزم این است که نفوذگر و قربانی از یک سرویس Cache یکسان استفاده کنند و قربانی لینک خاص ارسال شده توسط نفوذگر را درخواست کند. نفوذگر باعث می شود که سرویس Cache، درخواست دریافتی را برخلاف آنچه وب سرور الزام می کند، Cache کند و از این طریق، اطلاعات محرمانه مربوط به قربانی را از طریق Cache در دسترس نفوذگر قرار دهد.

اشتراک گذاری

حواشی آسیب پذیری CloudBleed

Troy Hunt در وبلاگش به بررسی میزان ریسک عملی آسیب پذیری CloudBleed که چند روز قبل توسط Tavis Ormandy گزارش شد، پرداخته و نتیجه گرفته که درصد بسیار ناچیزی از مشتری ها تحت تأثیر قرار گرفتن، زمان موثر سوء استفاده از آسیب پذیری (بر فرض اینکه نفوذگری از موضوع اطلاع داشته) کوتاه بوده و بسیاری از اخباری که در این زمینه منتشر شده اغراق آمیز و حاوی اطلاعات نادقیق بوده.

در یادداشت قبل اشاره کردم که Cloudbleed نمونه ای از آسیب پذیری های کوچک با عواقب احتمالاً بزرگ و پیچیده هست. این به خاطر طبیعت کسب و کارهایی مثل Cloudflare هست، جایی که ما با زیرساخت ها و خدماتی برای امنیت و کیفیت بالاتر شبکه ای با میلیون ها یا میلیاردها شیء متصل به هم مواجه هستیم. تمام حواشی و پس لرزه های این آسیب پذیری، نمونه ای از اتفاقاتی هستند که با گسترش اینترنت اشیاء بیشتر از قبل با اونها مواجه خواهیم شد.

اشتراک گذاری

CloudBleed: باگی ساده با عواقب پیچیده

Cloudflare به عنوان یکی از مشهورترین شرکت های پیشرو در ارائه دهنده زیرساخت CDN که وظیفه محافظت و بهبود کارآیی بیش از ۵٫۵ میلیون سایت را بر عهده دارد، گرفتار باگی ساده اما بسیار پرهزینه شده که به عنوان Cloudbleed معروف شده است. این باگ که ناشی از اشتباه برنامه نویسی در چک کردن سایز یک بافر هست، می تواند باعث افشای محتوای رمزشده نشست های سایت های پشت Cloudflare، کلیدهای خصوصی، محتوای چت ها و غیره مشتریان شود. این باگ توسط یکی از  اعضای Google Project Zero بعد از اطلاع رسانی به خود Cloudflare کشف شده است.

Cloudbleed نمونه ای از آسیب پذیری های امنیتی جدید در ساختارها و سرویس های مدرن اینترنت اشیاء است: باگی ساده با عواقب نه چندان ساده، که ممکن است بعضی از این عواقب به تدریج مشخص شود. اینکه یک آسیب پذیری در زیرساخت های غالباً قابل اعتماد در سطح اینترنت، چگونه می تواند مثل دومینو زیرساخت ها و کاربردهای دیگر را با میلیون ها کاربر تحت تأثیر قرار دهد.

لیست سایت ها …

اشتراک گذاری

مدیریت لاگ و مرکز عملیات امنیت (۴)

در ادامه یادداشت های قبلی، لازمه به اهمیت وجود لاگ مناسب در برنامه های کاربردی اشاره کنیم. یکی از نقاطی که بیشترین چالش رو برای جمع آوری لاگ ارزشمند خواهید داشت، برنامه های کاربردی هستند. برنامه های کاربردی معمولاً ضعیف ترین و نحیف ترین لاگ ها رو از نظر کیفیت و معنا در اختیار شما قرار می دن. به خصوص، اگر با برنامه ای طرف باشید که از نوع برنامه های معروف و شناخته شده همه منظوره نباشه. تا جایی که من دیدم، هر قدر که برنامه خاص تر و مشتری اون محدودتر باشه، احتمال اینکه لاگ مناسبی در اختیار شما قرار بده کمتره. حتی اگر مشتری اون برنامه یک کسب و کار خیلی بزرگ باشه. برنامه هایی که توسط شرکت های ایرانی تولید می شه، حتی بزرگ ترین شرکت های نرم افزاری، تا جایی که من دیدم، از این نظر به شدت محدودیت دارن. یعنی اگر هم لاگی تولید می شه، با دیدگاه مصرف داخلی تیم توسعه نرم افزار هست نه به عنوان خروجی استانداردی که قراره توسط مشتری هم استفاده بشه.

سطح انتزاع (Abstraction) لاگ برنامه کاربردی در مفید بودن اون جهت مانیتورینگ امنیت نقش کلیدی ایفا می کنه. به عنوان مثال، در یک برنامه کاربردی وب، اینکه شما برای تحلیل یک حادثه به لاگ درخواست های HTTP دسترسی داشته باشید و داشبوردها و گزارش های متنوع رو از این لاگ در اختیار داشته باشید، در جای خودش مفید و لازم هست. اما در سطح انتزاع بالاتر، خیلی مهمه که لاگ مربوط به منطق کسب و کار اون برنامه رو در اختیار داشته باشید. اینکه کاربری در ساعت غیر اداری به برنامه لاگین کرده، یک سند ایجاد کرده، یک فاکتور رو برگشت زده، دسترسی کاربر دیگری رو به یک ماژول ایجاد کرده و غیره. هر یک از این رخدادها (که ممکن هست شامل چندین درخواست HTTP باشند) میتونن از لحاظ امنیتی اهمیت داشته باشن، به خصوص اگر در کنار هم و با داشتن اطلاعات دیگه ای مثل نوع و نقش کاربر، زمان، آدرس IP مبدأ و … مانیتور بشن. بسیاری از حمله ها و حتی تقلب ها رو میشه با پایش این رخدادهای حساس کشف کرد. اینکه کدام رخدادهای برنامه کاربردی از نظر امنیتی حساس هستند، کاملاً وابسته به کسب و کار هست.

بنابراین: اگر قرار هست که برای خرید یا توسعه یک نرم افزار به سازمانی کمک کنید، حتماً به امکانات ثبت و ارسال لاگ در سطوح مختلف (از زیرساخت برنامه مثل وب سرور و DBMS گرفته تا کسب و کار برنامه) توجه کنید. بدونید که یک برنامه با حداقل استانداردهای توسعه باید به شما امکان بده که لاگ در سطوح مختلف رو فعال و غیرفعال کنید و اون رو به فرمت ها و پروتکل های مختلف ذخیره، آرشیو و ارسال کنید.

یک راهنمای خوب در همین زمینه:

OWASP Logging Cheat Sheet

اشتراک گذاری

گزارش سمینار امنیت در تراکنش های بین المللی (رویداد ITE 2016)

همانطور که قبلاً در یادداشتهایی اشاره کرده بودم(۱و۲)، سمینار امنیت به عنوان یکی از سمینارهای رویداد تراکنش (ITE 2016) در آبان ۹۵ برگزار شد. فایل های مربوط به این سمینار که در ماهنامه بانکداری الکترونیک چاپ شده، شامل گفتگو با من و مهندس بخشایش (دبیران سمینار)، گزارش سخنرانی های انجام شده، گزارش میزگرد تخصصی و مروری بر رویدادهای مهم امنیت سایبری در دنیا رو برای دانلود قرار می دم.

گفتگو با دبیران سمینار امنیت

مروری بر برخی رویدادهای مهم امنیت سایبری

گزارش سخنرانی ها و میزگرد تخصصی سمینار امنیت

اشتراک گذاری