چهره جدید security focus

سایت securityfocus به تازگی تغییر چهره داده. طراحی جدید خیلی مفید تر به نظر می رسه٬ چون نسبت به قبل طبقه بندی مطالب بهتر شده٬‌ و مهمتر از همه اینکه منوی افقی سایت که قبلا تا سه ردیف پر بود خلوت شده…

 

اشتراک گذاری

ابزاری برای پیشگیری از حملات سرریز بافر

حملات سر ریز بافر (buffer overflow) بخش عمده ای از مشکلات موجود در برنامه های مختلف هستند. این نوع حمله مبتنی بر ضعف برنامه نویس در کنترل و مدیریت حافظه می باشد٬ به همین دلیل یافتن نقطه ضعف برنامه ها در این زمینه کار چندان ساده ای نیست. اغلب زبانهای برنامه نویسی به خصوص زبان C که بین برنامه نویسها بسیار رایج است٬ امکانات مناسبی برای کنترل دسترسیهای غیر مجاز به حافظه ندارند. بنابراین برای پیشگیری از این حمله باید یا به کد برنامه دسترسی داشت و نقاط ضعف آن را بر طرف کرد٬ و یا سیستم عامل را طوری تغییر داد که در برابر این نوع حمله مقاوم شود. در هر دو حالت کار بسیار مشکل و گاه غیر ممکن است. اما راه حل دیگری هم هست و آن استفاده از ابزارها یا کتابخانه های واسطی است که دسترسی به stack را کنترل و از تغییر آدرس بازگشت و … که اساس این نوع حمله است جلوگیری می کند. یکی از این ابزارها libsafe است که به صورت یکی ماجول قابل اتصال به هسته لینوکس کار می کند. اطلاعات بیشتر در این مورد را در اینجا ببینید.

 

اشتراک گذاری

کنترل دسترسی (بخش اول)

کنترل دسترسی مکانیزمی جهت اطمینان از دسترسی انحصاری کاربر مجاز [۱] به اشیائ مختلف است. منظور از شیئ در سیستم عامل هرگونه برنامه، فایل، دایرکتوری و … می­باشد. همچنین کاربر در این تعریف عبارت است ازuser یا برنامه ای که (با استفاده از یک user مشخص) از یک شیئ استفاده می­کند.

 

 روشهای کنترل دسترسی:

۱٫       Discretionary Access Control [2] :

این روش در اغلب سیستم عاملها از جمله لینوکس به عنوان پیش فرض به کار می­رود. ایده آن مبتنی بر سه اصل است:

·         هویت[۳] کاربر

·         مالکیت[۴] یک شیئ

·         اجازه[۵] دسترسی داده شده به کاربر

سیستم دارای سه نوع کاربر است:

·         مالک: کاربری که مالک شیئ است.

·         گروه: مجموعه کاربران همگروه با مالک شیئ.

·         دیگران: مابقی کاربران که در دو دسته قبل قرار نمی­گیرند.

سه نوع اجازه در این روش مرسوم است، که توسط مالک شیئ به دیگران داده می­شود:

·         خواندن: خواندن فایل یا لیست کردن محتویات دایرکتوری

·         نوشتن: نوشتن در فایل یا اضافه کردن یک فایل به دایرکتوری

·         اجرا: اجرای یک فایل یا جستجو در یک دایرکتوری

بنا به پیش فرض دو سطح دسترسی در سیستم عامل وجود دارد: کاربر عادی و su [6] . اجازه مربوط به هر شیئ توسط مالک آن قابل تنظیم است، و su مالک کل سیستم بوده و می­تواند کلیه تنظیمات کاربر عادی را تغییر دهد. به عبارت دیگر، su دارای اجازه خواندن، نوشتن و اجرا روی کلیه فایلها، دایرکتوریها و برنامه هاست.

بنا بر این در این روش معیار تصمیم گیری سیستم عامل درباره حق دسترسی، بر اساس مالکیت ها می­باشد، و Role کاربر یا کاربرد برنامه مربوطه در آن دخیل نیست. بزرگترین نقطه ضعف این روش زیر سئوال رفتن امنیت کل سیستم در صورت از دست رفتن su است. این مساله در سیستم عاملهای حساس به خصوص در محصولات امنیتی بسیار حیاتی است، و لذا نباید امنیت کل سیستم را وابسته به su نمود.

از طرف دیگر هر برنامه کاربردی کلیه حقوق دسترسی کاربر اجراکننده خود را به ارث می­برد و این نقطه شروع بسیاری از حملات علیه سیستم است.  

 

۲٫       Mandatory Access Control [7] :

در سیستم عاملهای با حساسیت امنیتی بالا وجود بسیاری از حق دسترسی ها حتی برای su اصولا لزومی ندارد. این حقوق دسترسی تنها هنگام ساختن سیستم مورد نیاز است، و وقتی سیستم به مشتری تحویل شد، حتی کاربر su هم نباید به آنها دسترسی داشته باشد.

در این روش کلیه اجزای سیستم به دو دسته subject و object تقسیم می­شود. منظور از Subject کاربر یا برنامه ایست که می­خواهد به object ای دسترسی داشته باشد. وقتی مالک سیستم سیاست های مربوط به دسترسی به هر object را اعمال کرد، این سیاست ها غیر قابل تغییر خواهند بود، حتی su یا root هم قادر به تغییر آن نخواهد بود. یکی از نتایج این ایده از بین بردن تلویحی کاربر root است.



[۱] Authorized User

[۲] DAC

[۳] Identity

[۴] Ownership

[۵] Permission

[۶] Super user

[۷] MAC

اشتراک گذاری

مشکل کجاست؟

هرگاه که در مورد امنیت اطلاعات در سازمانها صحبت می­کنیم، اکثر قریب به اتفاق اظهار نظرها به این نقطه مشترک می­رسد که : نوعا مدیران ما دانش لازم را در زمینه امنیت ندارند، و همینقدر که سیستم خود را سرپا نگهدارند کار بزرگی کرده اند!

من از زاویه دیگری به این مطلب نگاه می­کنم و آن اینکه:

مادامی که جایگاه و بهای مناسب به امنیت در هر سازمانی به تناسب نیازش داده نشود نمی­توان انتظار بهبود اوضاع را داشت.

جایگاه و بهای مناسب فقط به این معنا نیست که مثلا به جای ۵ میلیون تومان، ۵۰ میلیون خرج امنیت کنیم، البته که هزینه هم مهم و بسیار مهم است. همینطور منظور این نیست که مدیران (حتی مدیران فنی) دقیقا به جزئیات سیستم های امنیتی آگاه باشند. برای روشن تر شدن مطلب مثالی می­زنم، ممکن است در یک شرکت کوچک، تمام کارهای مالی و اداری توسط یک نفر به نام منشی انجام شود، اما اندکی که کار جدی تر و سازمان بزرگتر شود، دیگر این وظایف باید به عهده متخصصین و واحدی به نام حسابداری یا اداری- مالی سپرده شود. مشکل اینجاست که اغلب سازمانها امنیت را به عنوان موضوعی دارای هویت مستقل به رسمیت نمی­شناسند و حداکثر انتظار دارند که همه وظایف امنیتی توسط راهبر شبکه به تنهایی انجام شود. کمتر سازمان و شرکتی در کشور ما دارای واحد یا دپارتمان امنیت اطلاعات است. این واحد است که وظیفه پیاده سازی امنیت را برعهده دارد. اما مسئولیت اصلی بر عهده مدیریت ارشد سازمان است. در واقع امنیت اطلاعات مسئولیت کاری مشترک مدیران ارشد سازمان است. مدیریت سازمان باید با حمایت و تخصیص مناسب منابع جهت گیری برنامه های امنیتی را مشخص کند.    

      

اشتراک گذاری

مدیریت ریسک

یکی از مهمترین قابلیتهای ISMS  که در هر سازمانی به فراخور نیاز باید انجام می­شود، مدیریت مخاطرات یا Risk Management است. ریسک یا مخاطره عبارت است از احتمال ضرر و زیانی که متوجه یک دارایی سازمان (در اینجا اطلاعات) می­باشد. عدم قطعیت (در نتیجه مقیاس ناپذیری) یکی از مهمترین ویژگیهای مفهوم ریسک است. طبعا این عدم قطعیت به معنای غیر قابل محاسبه و مقایسه بودن ریسکها نیست. سه فاکتور اصلی تشکیل دهنده ریسکهای امنیتی عبارتند از:

 

۱٫تهدید (threat) متوجه اطلاعات، مثلا سرقت.

۲٫     عواقب رخ دادن تهدید، مثلا ازدست رفتن اطلاعات محرمانه.

۳٫    نقطه ضعف (Vulnerability) موجود در سیستمها، مثلا ضعف امنیتی سیستم عامل.

مدیریت ریسک عبارت است از معین کردن، کنترل یا چشم پوشی از ریسکهایی که اطلاعات و سیستم های اطلاعاتی سازمان را تهدید می­کند، با هزینه ای قابل توجیه. تعریف مذکور که دقیقا از استاندارد BS 7799 برداشت شده نشان می­دهد که تاکید فرآیند مدیریت ریسک در ISMS بر شناخت و ارائه راه حل مقرون به صرفه برای ریسک است، اگر چه که این راه حل، چشم پوشی از وجود ریسک باشد! یکی از فواید این امر آن است که سازمان با شناخت ریسکها و اولویت بندی آنها می­تواند راه حلهای مناسب امنیتی را انتخاب کند. وجود یک فایروال ضعیف در شبکه سازمان، بی اطلاعی و عدم آموزش کاربران و امکان استراق سمع در شبکه سه ریسک موجود هستند، اما آنچه که معلوم می­کند که اولویت با خرید فایروال، راه اندازی برنامه های آموزشی یا تغییر زیرساخت شبکه است، همین فرآیند مدیریت ریسک است.

برای اطلاعات بیشتر:

http://www.sans.org/rr/whitepapers/auditing/1204.php

http://www.sans.org/rr/whitepapers/auditing/1204.php

 

اشتراک گذاری

سخنرانی ماهانه انجمن رمز ایران

عنوان سخنرانی :سیستم مدیریت امنیت اطلاعات (ISMS)
سخنران: آقای مهدی کفایتی
مکان: سالن خوارزمی دانشکده مهندسی کامپیوتر- دانشگاه صنعتی شریف
زمان: شنبه ۲۴/۲/۸۴ ساعت ۱۷:۳۰ الی ۱۹:۳۰

چکیده:
با رشد و گسترش اطلاعات و سیستمهای اطلاعاتی در زندگی بشر و وابستگی هرچه بیشتر زندگی و کسب و کار به فن‌آوری‌های مربوطه از یک سو و گسترش مسائل، مشکلات و ناامنی‌ها در سیستمها و فن‌آوری‌های مربوطه از سوی دیگر، نقش امنیت اطلاعات بیش از پیش پر رنگ‌تر و مهم‌تر جلوه می‌نماید. از طرفی گستردگی و ناهمگونی فن‌آوری در لایه‌های مختلف سیستمهای اطلاعاتی، به کارگیری سیستمهای مدیریت امنیت اطلاعات را جهت هدف بخشی، تضمین یکپارچگی و هماهنگی فعالیتهای انجام شده به منظور نیل به اهداف امنیت تدوین شده در راستای اهداف کسب و کار سازمانها و تضمین رشد و بقاء سیستم امنیت اطلاعات به یک الزام مبدل ساخته است. در این ارائه برآنیم تا پس از ذکر اصول امنیت اطلاعات و تبیین جایگاه آن در سازمان به معرفی سیستم مدیریت امنیت اطلاعات (ISMS)، اهداف ، جایگاه نیازمندی‌ها، کارکردها و معرفی الگوهای سرآمدی در زمینه برپاسازی و راهبری آن بپردازیم.

اشتراک گذاری

مدیریت امنیت اطلاعات در سازمان

 مدیریت امنیت یکی از فعالیتهای بسیار مهم در سازمان است. بنا به یک تصور رایج در بسیاری از سازمانها، طراحی زیر ساخت و متعاقبا پیاده سازی راه حلهای امنیتی (ازقبیل نصب فایروال، IDS و …) برای برقراری امنیت مناسب کافی است، اما اگر زیر ساخت و معماری امنیت را به یک ماشین تشبیه کنیم، مدیریت این مجموعه مانند سوخت ماشین برای عملکرد آن حیاتی است.

امنیت اطلاعات نیازمند یک “سیستم مدیریت امنیت” یا به اصطلاح ISMS (مخفف Information Security Management System ) است. هدف این سیستم به زبان ساده فراهم کردن امکان استفاده مناسب و سودمند از زیر ساخت و اجزای مختلف امنیتی سازمان است. قطعا کسی در پویایی و غیرثابت بودن مسائل امنیتی شکی ندارد، مدیریت امنیت تلاشی سیستماتیک جهت تطابق زیرساختهای امنیتی با این محیط دینامیک است. لذا یکی از قابلیتهای ارائه شده توسط ISMS ، امکان مدیریت تغییرات (change management) است. قابلیت دیگر، امکان مدیریت رخدادها (incident management) است. بارها شنیده ایم که پس از هک شدن سایت یک سازمان دولتی، راهبر سیستم بعد ازمدتها هیچ عکس العمل مناسبی نشان نداده است. سئوال اینجاست که چند نفر از این راهبران، واقعا می­دانند که هنگام چنین رخدادی چه باید بکنند؟ آیا نقش و وظیفه آنها در آن لحظه مشخص، تعریف و مستند شده است؟

دو مورد فوق، تنها بخش کوچکی از موارد اساسی در زمینه لزوم استقرار ISMS در سازمان است. در یادداشتهای بعدی بیشتر در این زمینه صحبت خواهیم کرد.

 

این مطلب در وبلاگ WhiteHat Nomads

 

اشتراک گذاری

ابزاری مفید برای تولید بسته های جعلی

یکی از روش های مناسب برای انجام بعضی تست ها روی فایروال٬ وب سرور و … استفاده از بسته های spoof شده استُ٬ یعنی بسته هایی که آدرس IP آنها جعلی و چیزی جز آدرس فرستنده واقعی است. عکس العمل هر ماشین در مقابل این بسته ها متفاوت است. روشهایی هم برای تشخیص حملات IP Spoofing وجود دارد اما این روشها در همه حالات مفید نیستند. xxpoof یک ابزار ساده و درعین حال قوی برای تولید بسته های spoof شده است. کافی است که در خط فرمان داس آن را اجرا کنید٬ با دادن یک IP به عنوان مقصد حمله٬ شماره پورت دلخواه٬ تعداد بسته ها و سرعت ارسال بسته ها (تاخیر به میلی ثانیه) برنامه را اجرا کنید. بهتر است برای شماره پورت مقصد٬ چیزی را تنظیم کنید که ماشین مورد نظر روی آن listen میکند.   

دانلود xxpoof 

اشتراک گذاری

نمایشگاه کتاب

امروز لیست کتابهای خارجی نمایشگاه کتاب (مربوط به شرکت نگارستان آبی) به دستم رسید. تعداد کتابهای تخصصی امنیت به زحمت به ۲۰ عنوان میرسه٬ که اغلبشون مربوط به کمپانیها و محصولات خاص هستن و کمتر کتابهای تئوریک میشه پیدا کرد. انتشارات Printice Hall و Wiely یکی دو عنوان کتاب خوب آوردن در زمینه معماری امنیت و … که به نظر میاد جالب باشه.

 

اشتراک گذاری

اهمیت آموزش در سازمانها

شاید بتوان گفت که یکی از مقرون به صرفه ترین ابزارها برای کاهش ریسک های امنیتی درون سازمانی ، آموزش و افزایش آگاهی های کارمندان است. نمی­توان از کاربری که نسبت به ریسک های موجود هنگام استفاده از سیستم های اطلاعاتی آگاه نیست، انتظار عملکرد صحیح و امن داشت. گاهی اوقات راهبران امنیت پیش فرض های غلطی در مورد میزان آگاهی امنیتی کاربران دارند، اما اگر به نحوه عملکرد کارمندان دقت کنیم در می­یابیم که معمولا اغلب آنها اطلاعات بسیار کمی حتی در مورد پیش پا افتاده ترین مسائل امنیتی دارند. کافی است به نحوه انتخاب و مدیریت password ، چگونگی مواجهه با email های ناشناخته، نحوه استفاده از سرویس file sharing در ویندوز و … توسط کارمندان توجه کنیم. (منظور از کارمندان، غیر فنی ها یا فنی های غیر مرتبط با امنیت هستند.) باید در نظر داشت که یک کاربر معمولی تنها انتظاری که از فناوری دارد انجام کارش است. یک مثال جالب آنکه در اولین روزهایی که امکان رمزنگاری و امضای دیجیتال به نرم افزارهایی همچون Microsoft Outlook افزوده شد، بسیاری از کاربران ترجیح دادند که از آن استفاده نکنند. در بررسی ها مشخص شد که رمز کردن نامه گاهی ۱ دقیقه یا بیشتر طول می­کشید، لذا بسیاری از کاربران که قبلا ظرف چند ثانیه email را ارسال می­کردند، تحمل چند دقیقه انتظار را در ازای امنیت بیشتر نداشتند.

مثالهای فوق به سادگی اهمیت افزایش آگاهی کاربران را نشان می­دهد. اما آموزشهای مختلفی در یک سازمان مورد نیاز است که در اینجا به بعضی اشاره می­کنیم:

 

۱-      آموزشهایی که به طور عمومی برای همه کارمندان برگزار شده و هدف آن آگاه کردن  کاربران نسبت به ریسکهای موجود (مثلا خطر های email ناشناخته، ویروسها و…) از یک طرف و از طرف دیگر توضیح و تبیین security policy ها، استاندارد ها و وظایف امنیتی کاربران است.

۲-      آموزشهای مختص پرسنل فنی سازمان، در زمینه تکنولوژیهای مختلف یا راه حلهای امنیتی خاص مثل دوره هایی که برای آموزش محصولات مختلف امنیتی برگزار می­شود.

 

نکته آخر اینکه زمان صرف شده برای تهیه مطالب آموزشی، زمان حضور کارمندان در دوره ها، هزینه مدرس و … همگی جزو هزینه های امر آموزش هستند. دیده شده که آنچه که برنامه های آموزشی را از اولویت بسیاری از سازمانها به خصوص در ایران خارج کرده است، زمانبر بودن آن است نه صرفا هزینه های مادی.

برای اطلاعات بیشتر به سایتهای زیر مراجعه کنید:

http://www.iwar.org.uk/comsec/resources/sa-tools

http://www.sans.org/awareness

 

این مطلب در وبلاگ WhiteHat Nomads

 

اشتراک گذاری