کنترل دسترسی (بخش اول)

کنترل دسترسی مکانیزمی جهت اطمینان از دسترسی انحصاری کاربر مجاز [۱] به اشیائ مختلف است. منظور از شیئ در سیستم عامل هرگونه برنامه، فایل، دایرکتوری و … می­باشد. همچنین کاربر در این تعریف عبارت است ازuser یا برنامه ای که (با استفاده از یک user مشخص) از یک شیئ استفاده می­کند.

 

 روشهای کنترل دسترسی:

۱٫       Discretionary Access Control [2] :

این روش در اغلب سیستم عاملها از جمله لینوکس به عنوان پیش فرض به کار می­رود. ایده آن مبتنی بر سه اصل است:

·         هویت[۳] کاربر

·         مالکیت[۴] یک شیئ

·         اجازه[۵] دسترسی داده شده به کاربر

سیستم دارای سه نوع کاربر است:

·         مالک: کاربری که مالک شیئ است.

·         گروه: مجموعه کاربران همگروه با مالک شیئ.

·         دیگران: مابقی کاربران که در دو دسته قبل قرار نمی­گیرند.

سه نوع اجازه در این روش مرسوم است، که توسط مالک شیئ به دیگران داده می­شود:

·         خواندن: خواندن فایل یا لیست کردن محتویات دایرکتوری

·         نوشتن: نوشتن در فایل یا اضافه کردن یک فایل به دایرکتوری

·         اجرا: اجرای یک فایل یا جستجو در یک دایرکتوری

بنا به پیش فرض دو سطح دسترسی در سیستم عامل وجود دارد: کاربر عادی و su [6] . اجازه مربوط به هر شیئ توسط مالک آن قابل تنظیم است، و su مالک کل سیستم بوده و می­تواند کلیه تنظیمات کاربر عادی را تغییر دهد. به عبارت دیگر، su دارای اجازه خواندن، نوشتن و اجرا روی کلیه فایلها، دایرکتوریها و برنامه هاست.

بنا بر این در این روش معیار تصمیم گیری سیستم عامل درباره حق دسترسی، بر اساس مالکیت ها می­باشد، و Role کاربر یا کاربرد برنامه مربوطه در آن دخیل نیست. بزرگترین نقطه ضعف این روش زیر سئوال رفتن امنیت کل سیستم در صورت از دست رفتن su است. این مساله در سیستم عاملهای حساس به خصوص در محصولات امنیتی بسیار حیاتی است، و لذا نباید امنیت کل سیستم را وابسته به su نمود.

از طرف دیگر هر برنامه کاربردی کلیه حقوق دسترسی کاربر اجراکننده خود را به ارث می­برد و این نقطه شروع بسیاری از حملات علیه سیستم است.  

 

۲٫       Mandatory Access Control [7] :

در سیستم عاملهای با حساسیت امنیتی بالا وجود بسیاری از حق دسترسی ها حتی برای su اصولا لزومی ندارد. این حقوق دسترسی تنها هنگام ساختن سیستم مورد نیاز است، و وقتی سیستم به مشتری تحویل شد، حتی کاربر su هم نباید به آنها دسترسی داشته باشد.

در این روش کلیه اجزای سیستم به دو دسته subject و object تقسیم می­شود. منظور از Subject کاربر یا برنامه ایست که می­خواهد به object ای دسترسی داشته باشد. وقتی مالک سیستم سیاست های مربوط به دسترسی به هر object را اعمال کرد، این سیاست ها غیر قابل تغییر خواهند بود، حتی su یا root هم قادر به تغییر آن نخواهد بود. یکی از نتایج این ایده از بین بردن تلویحی کاربر root است.



[۱] Authorized User

[۲] DAC

[۳] Identity

[۴] Ownership

[۵] Permission

[۶] Super user

[۷] MAC

اشتراک گذاری

مشکل کجاست؟

هرگاه که در مورد امنیت اطلاعات در سازمانها صحبت می­کنیم، اکثر قریب به اتفاق اظهار نظرها به این نقطه مشترک می­رسد که : نوعا مدیران ما دانش لازم را در زمینه امنیت ندارند، و همینقدر که سیستم خود را سرپا نگهدارند کار بزرگی کرده اند!

من از زاویه دیگری به این مطلب نگاه می­کنم و آن اینکه:

مادامی که جایگاه و بهای مناسب به امنیت در هر سازمانی به تناسب نیازش داده نشود نمی­توان انتظار بهبود اوضاع را داشت.

جایگاه و بهای مناسب فقط به این معنا نیست که مثلا به جای ۵ میلیون تومان، ۵۰ میلیون خرج امنیت کنیم، البته که هزینه هم مهم و بسیار مهم است. همینطور منظور این نیست که مدیران (حتی مدیران فنی) دقیقا به جزئیات سیستم های امنیتی آگاه باشند. برای روشن تر شدن مطلب مثالی می­زنم، ممکن است در یک شرکت کوچک، تمام کارهای مالی و اداری توسط یک نفر به نام منشی انجام شود، اما اندکی که کار جدی تر و سازمان بزرگتر شود، دیگر این وظایف باید به عهده متخصصین و واحدی به نام حسابداری یا اداری- مالی سپرده شود. مشکل اینجاست که اغلب سازمانها امنیت را به عنوان موضوعی دارای هویت مستقل به رسمیت نمی­شناسند و حداکثر انتظار دارند که همه وظایف امنیتی توسط راهبر شبکه به تنهایی انجام شود. کمتر سازمان و شرکتی در کشور ما دارای واحد یا دپارتمان امنیت اطلاعات است. این واحد است که وظیفه پیاده سازی امنیت را برعهده دارد. اما مسئولیت اصلی بر عهده مدیریت ارشد سازمان است. در واقع امنیت اطلاعات مسئولیت کاری مشترک مدیران ارشد سازمان است. مدیریت سازمان باید با حمایت و تخصیص مناسب منابع جهت گیری برنامه های امنیتی را مشخص کند.    

      

اشتراک گذاری

مدیریت ریسک

یکی از مهمترین قابلیتهای ISMS  که در هر سازمانی به فراخور نیاز باید انجام می­شود، مدیریت مخاطرات یا Risk Management است. ریسک یا مخاطره عبارت است از احتمال ضرر و زیانی که متوجه یک دارایی سازمان (در اینجا اطلاعات) می­باشد. عدم قطعیت (در نتیجه مقیاس ناپذیری) یکی از مهمترین ویژگیهای مفهوم ریسک است. طبعا این عدم قطعیت به معنای غیر قابل محاسبه و مقایسه بودن ریسکها نیست. سه فاکتور اصلی تشکیل دهنده ریسکهای امنیتی عبارتند از:

 

۱٫تهدید (threat) متوجه اطلاعات، مثلا سرقت.

۲٫     عواقب رخ دادن تهدید، مثلا ازدست رفتن اطلاعات محرمانه.

۳٫    نقطه ضعف (Vulnerability) موجود در سیستمها، مثلا ضعف امنیتی سیستم عامل.

مدیریت ریسک عبارت است از معین کردن، کنترل یا چشم پوشی از ریسکهایی که اطلاعات و سیستم های اطلاعاتی سازمان را تهدید می­کند، با هزینه ای قابل توجیه. تعریف مذکور که دقیقا از استاندارد BS 7799 برداشت شده نشان می­دهد که تاکید فرآیند مدیریت ریسک در ISMS بر شناخت و ارائه راه حل مقرون به صرفه برای ریسک است، اگر چه که این راه حل، چشم پوشی از وجود ریسک باشد! یکی از فواید این امر آن است که سازمان با شناخت ریسکها و اولویت بندی آنها می­تواند راه حلهای مناسب امنیتی را انتخاب کند. وجود یک فایروال ضعیف در شبکه سازمان، بی اطلاعی و عدم آموزش کاربران و امکان استراق سمع در شبکه سه ریسک موجود هستند، اما آنچه که معلوم می­کند که اولویت با خرید فایروال، راه اندازی برنامه های آموزشی یا تغییر زیرساخت شبکه است، همین فرآیند مدیریت ریسک است.

برای اطلاعات بیشتر:

http://www.sans.org/rr/whitepapers/auditing/1204.php

http://www.sans.org/rr/whitepapers/auditing/1204.php

 

اشتراک گذاری

سخنرانی ماهانه انجمن رمز ایران

عنوان سخنرانی :سیستم مدیریت امنیت اطلاعات (ISMS)
سخنران: آقای مهدی کفایتی
مکان: سالن خوارزمی دانشکده مهندسی کامپیوتر- دانشگاه صنعتی شریف
زمان: شنبه ۲۴/۲/۸۴ ساعت ۱۷:۳۰ الی ۱۹:۳۰

چکیده:
با رشد و گسترش اطلاعات و سیستمهای اطلاعاتی در زندگی بشر و وابستگی هرچه بیشتر زندگی و کسب و کار به فن‌آوری‌های مربوطه از یک سو و گسترش مسائل، مشکلات و ناامنی‌ها در سیستمها و فن‌آوری‌های مربوطه از سوی دیگر، نقش امنیت اطلاعات بیش از پیش پر رنگ‌تر و مهم‌تر جلوه می‌نماید. از طرفی گستردگی و ناهمگونی فن‌آوری در لایه‌های مختلف سیستمهای اطلاعاتی، به کارگیری سیستمهای مدیریت امنیت اطلاعات را جهت هدف بخشی، تضمین یکپارچگی و هماهنگی فعالیتهای انجام شده به منظور نیل به اهداف امنیت تدوین شده در راستای اهداف کسب و کار سازمانها و تضمین رشد و بقاء سیستم امنیت اطلاعات به یک الزام مبدل ساخته است. در این ارائه برآنیم تا پس از ذکر اصول امنیت اطلاعات و تبیین جایگاه آن در سازمان به معرفی سیستم مدیریت امنیت اطلاعات (ISMS)، اهداف ، جایگاه نیازمندی‌ها، کارکردها و معرفی الگوهای سرآمدی در زمینه برپاسازی و راهبری آن بپردازیم.

اشتراک گذاری

مدیریت امنیت اطلاعات در سازمان

 مدیریت امنیت یکی از فعالیتهای بسیار مهم در سازمان است. بنا به یک تصور رایج در بسیاری از سازمانها، طراحی زیر ساخت و متعاقبا پیاده سازی راه حلهای امنیتی (ازقبیل نصب فایروال، IDS و …) برای برقراری امنیت مناسب کافی است، اما اگر زیر ساخت و معماری امنیت را به یک ماشین تشبیه کنیم، مدیریت این مجموعه مانند سوخت ماشین برای عملکرد آن حیاتی است.

امنیت اطلاعات نیازمند یک “سیستم مدیریت امنیت” یا به اصطلاح ISMS (مخفف Information Security Management System ) است. هدف این سیستم به زبان ساده فراهم کردن امکان استفاده مناسب و سودمند از زیر ساخت و اجزای مختلف امنیتی سازمان است. قطعا کسی در پویایی و غیرثابت بودن مسائل امنیتی شکی ندارد، مدیریت امنیت تلاشی سیستماتیک جهت تطابق زیرساختهای امنیتی با این محیط دینامیک است. لذا یکی از قابلیتهای ارائه شده توسط ISMS ، امکان مدیریت تغییرات (change management) است. قابلیت دیگر، امکان مدیریت رخدادها (incident management) است. بارها شنیده ایم که پس از هک شدن سایت یک سازمان دولتی، راهبر سیستم بعد ازمدتها هیچ عکس العمل مناسبی نشان نداده است. سئوال اینجاست که چند نفر از این راهبران، واقعا می­دانند که هنگام چنین رخدادی چه باید بکنند؟ آیا نقش و وظیفه آنها در آن لحظه مشخص، تعریف و مستند شده است؟

دو مورد فوق، تنها بخش کوچکی از موارد اساسی در زمینه لزوم استقرار ISMS در سازمان است. در یادداشتهای بعدی بیشتر در این زمینه صحبت خواهیم کرد.

 

این مطلب در وبلاگ WhiteHat Nomads

 

اشتراک گذاری

ابزاری مفید برای تولید بسته های جعلی

یکی از روش های مناسب برای انجام بعضی تست ها روی فایروال٬ وب سرور و … استفاده از بسته های spoof شده استُ٬ یعنی بسته هایی که آدرس IP آنها جعلی و چیزی جز آدرس فرستنده واقعی است. عکس العمل هر ماشین در مقابل این بسته ها متفاوت است. روشهایی هم برای تشخیص حملات IP Spoofing وجود دارد اما این روشها در همه حالات مفید نیستند. xxpoof یک ابزار ساده و درعین حال قوی برای تولید بسته های spoof شده است. کافی است که در خط فرمان داس آن را اجرا کنید٬ با دادن یک IP به عنوان مقصد حمله٬ شماره پورت دلخواه٬ تعداد بسته ها و سرعت ارسال بسته ها (تاخیر به میلی ثانیه) برنامه را اجرا کنید. بهتر است برای شماره پورت مقصد٬ چیزی را تنظیم کنید که ماشین مورد نظر روی آن listen میکند.   

دانلود xxpoof 

اشتراک گذاری

نمایشگاه کتاب

امروز لیست کتابهای خارجی نمایشگاه کتاب (مربوط به شرکت نگارستان آبی) به دستم رسید. تعداد کتابهای تخصصی امنیت به زحمت به ۲۰ عنوان میرسه٬ که اغلبشون مربوط به کمپانیها و محصولات خاص هستن و کمتر کتابهای تئوریک میشه پیدا کرد. انتشارات Printice Hall و Wiely یکی دو عنوان کتاب خوب آوردن در زمینه معماری امنیت و … که به نظر میاد جالب باشه.

 

اشتراک گذاری

اهمیت آموزش در سازمانها

شاید بتوان گفت که یکی از مقرون به صرفه ترین ابزارها برای کاهش ریسک های امنیتی درون سازمانی ، آموزش و افزایش آگاهی های کارمندان است. نمی­توان از کاربری که نسبت به ریسک های موجود هنگام استفاده از سیستم های اطلاعاتی آگاه نیست، انتظار عملکرد صحیح و امن داشت. گاهی اوقات راهبران امنیت پیش فرض های غلطی در مورد میزان آگاهی امنیتی کاربران دارند، اما اگر به نحوه عملکرد کارمندان دقت کنیم در می­یابیم که معمولا اغلب آنها اطلاعات بسیار کمی حتی در مورد پیش پا افتاده ترین مسائل امنیتی دارند. کافی است به نحوه انتخاب و مدیریت password ، چگونگی مواجهه با email های ناشناخته، نحوه استفاده از سرویس file sharing در ویندوز و … توسط کارمندان توجه کنیم. (منظور از کارمندان، غیر فنی ها یا فنی های غیر مرتبط با امنیت هستند.) باید در نظر داشت که یک کاربر معمولی تنها انتظاری که از فناوری دارد انجام کارش است. یک مثال جالب آنکه در اولین روزهایی که امکان رمزنگاری و امضای دیجیتال به نرم افزارهایی همچون Microsoft Outlook افزوده شد، بسیاری از کاربران ترجیح دادند که از آن استفاده نکنند. در بررسی ها مشخص شد که رمز کردن نامه گاهی ۱ دقیقه یا بیشتر طول می­کشید، لذا بسیاری از کاربران که قبلا ظرف چند ثانیه email را ارسال می­کردند، تحمل چند دقیقه انتظار را در ازای امنیت بیشتر نداشتند.

مثالهای فوق به سادگی اهمیت افزایش آگاهی کاربران را نشان می­دهد. اما آموزشهای مختلفی در یک سازمان مورد نیاز است که در اینجا به بعضی اشاره می­کنیم:

 

۱-      آموزشهایی که به طور عمومی برای همه کارمندان برگزار شده و هدف آن آگاه کردن  کاربران نسبت به ریسکهای موجود (مثلا خطر های email ناشناخته، ویروسها و…) از یک طرف و از طرف دیگر توضیح و تبیین security policy ها، استاندارد ها و وظایف امنیتی کاربران است.

۲-      آموزشهای مختص پرسنل فنی سازمان، در زمینه تکنولوژیهای مختلف یا راه حلهای امنیتی خاص مثل دوره هایی که برای آموزش محصولات مختلف امنیتی برگزار می­شود.

 

نکته آخر اینکه زمان صرف شده برای تهیه مطالب آموزشی، زمان حضور کارمندان در دوره ها، هزینه مدرس و … همگی جزو هزینه های امر آموزش هستند. دیده شده که آنچه که برنامه های آموزشی را از اولویت بسیاری از سازمانها به خصوص در ایران خارج کرده است، زمانبر بودن آن است نه صرفا هزینه های مادی.

برای اطلاعات بیشتر به سایتهای زیر مراجعه کنید:

http://www.iwar.org.uk/comsec/resources/sa-tools

http://www.sans.org/awareness

 

این مطلب در وبلاگ WhiteHat Nomads

 

اشتراک گذاری

یک آرشیو کامل از mailing list ها

mailing list ها یکی از ابزارهای بسیار مفید موجود در اینترنت هستند، که هر کدام با پرداختن به یک موضوع تخصصی،‌ مباحث مربوط به آن را میان کاربران مختلف ثبت می کنند. به دلیل تعدد این لیست ها،‌گاهی یافتن یک لیست مناسب و عضو شدن در آن وقت گیر است،‌ به خصوص اگر بخواهیم پاسخ سئوال خاصی را در مدت زمان کمی پیدا کنیم. اخیرا سایتی حاوی آرشیو کاملی از لیست های مختلف پیدا کردم، با موضوعاتی مثل Information Security ،‌ linux ، linux distributions‌، *.BSD ، Networking و … با امکان جستجوی بر مبنای موضوع،‌ محتوا، نویسنده و …

سایت خیلی مفیدی به نظر میرسه، بد نیست که سری بهش بزنید.

اشتراک گذاری

spyware چیست؟

عبارت spyware به دسته ای از نرم افزارهای مخرب اطلاق می­شود که با هدف جمع آوری اطلاعات محرمانه کاربر و ارسال آن به تولید کننده برنامه فعالیت می­کنند. اینگونه برنامه ها اثرات متفاوتی روی سیستم آلوده به جای می­گذارند، از تولید بی­وقفه تبلیغات مزاحم گرفته تا سرقت اطلاعات محرمانه و حتی تعویض شماره تلفن ISP با یک شماره جعلی و گرانتر! اما خطرناکترین اثر spyware ها، قرار دادن backdoor روی سیستم قربانی برای استفاده بعدی نفوذگران است.

چگونه یک spyware به کامپیوتر راه پیدا می­کند؟

حتما هنگام مرور صفحات وب به تبلیغات جذابی برخورده اید که با هیجان خاصی شما را دعوت به دانلود و نصب یک نرم افزار ناشناس دعوت می­کنند. باید گفت که مهمترین منبع انتشار spyware ها همین تبلیغات جعلی هستند. از دیگر منابع انتشار می­توان به نرم افزارهای chat ، برنامه های کاربردی peer to peer ، download manager ها و به  خصوص برخی سایتهای pornography و crack اشاره کرد. باید توجه داشت که هدف اغلب این کدهای مخرب، مرورگر مایکروسافت (Internet Explorer) است.

نحوه عملکرد:

Spyware ها معمولا با استفاده از غفلت کاربر روی سیستم نصب می­شوند، مثلا با اجرای یک برنامه ناشناس که به email پیوست شده، یا کلیک کردن روی یک لینک ناشناس که کاربر را دعوت به آزمایش یک برنامه دسترسی آزمایشی (Instant Access) به سایت های خلاف اخلاق می­کند. سپس برنامه اطلاعات جمع آوری شده از سیستم قربانی را به سمت سرویس دهنده ای در اینترنت ارسال می­کند. یکی از پرکاربرد ترین spyware ها نرم افزارهایی با نام keylogger هستند. این نرم افزار همانطور که از نامش پیداست کلیه کلیدهای فشرده شده و حتی کلیک های mouse را به ترتیب و با توضیحات کامل ضبط و ارسال می­کند. اغلب keylogger ها برای نصب نیاز به حق دسترسی admin یا root دارند، اگرچه که استثناهایی هم وجود دارد.

چند توصیه:

توجه داشته باشید که admin سیستم به راحتی قادر است که هربرنامه ای از جمله keylogger را از دید شما پنهان کند. بسیاری از سازمانها در ایران نصب keylogger بدون اطلاع کارمندان را امری عادی تلقی می­کنند، به خصوص در remote office ها که امکان مونیتورینگ به راحتی برایشان فراهم نیست. بنا براین عاقلانه تر آن است که اطلاعات خصوصی از قبیل passwordهای حساس یا نامه های شخصی را در سیستمی که به آن اطمینان ندارید، مثلا در کافی نت ها به کارنبرید. حالا به اینجا سری بزنید و ببینید که keylogger حتی به شکل سخت افزاری بدون اینکه قابل تشخیص باشد هم قابل استفاده است، پس بهتر است به هر سیستم غریبه ای مشکوک باشیم و به سادگی به کسی اطمینان نکنیم!

یکی از ابزارهای مفید ضد spyware محصول شرکت مایکروسافت است که اطلاعات بیشتر راجع به آن در آدرس زیر در دسترس است:

http://www.microsoft.com/athome/security/spyware/software/default.mspx

 

اشتراک گذاری