درخواست های ارتباط
جستجو
    لیست دوستان من
    صندوق پیام
    همه را دیدم
    • در حال دریافت لیست پیام ها
    صندوق پیام
    رویدادها
    همه را دیدم
    • در حال دریافت لیست رویدادها
    همه رویدادهای من
    اطلاعات مطلب
      مدرس/نویسنده
      محمد نصیری
      امتیاز: 802020
      رتبه:1
      364
      1646
      801
      10551
      محمد نصیری ، بنیانگذار TOSINSO ، کارشناس امنیت اطلاعات و ارتباطات و کشف جرائم رایانه ای ، هکر کلاه سفید ، تخصص در حوزه امنیت سیستم عامل و تست های نفوذسنجی ، لینوکس ، مجازی سازی ، سرویس های کاربردی سرور و ... سابقه همکاری در بیش از 40 سازمان دولتی ، خصوصی و نظامی در حوزه پروژه ، مشاوره و آموزش ، بیش از 10 هزار ساعت سابقه آموزشی در طی 12 سال فعالیت حرفه ای ... پروفایل کاربر

      تست های نفوذ سنجی بومی سازی شده !!! چند میگیری بگی امن هستم و بس !!

      تاریخ 6 ماه قبل
      نظرات 3
      بازدیدها 189
      با سلام به همه کاربران عزیز وب سایت توسینسو به ویژه قسمت امنیت و آشپزی قانونمند ( چون احتمال داره به دلیل استفاده از واژه ه و ک این مطلب در قوانین محتوای مجرمانه جرم تشخیص داده بشه ) ، امروز بنده به عنوان یک کم سواد در حوزه امنیت اطلاعات و ارتباطات و تست نفوذ سنجی که عمری در آن مو سفید کردیم می خواهم در خصوص مسائلی در این نوع آزمون های امنیتی صحبت کنم که معضل بسیاری از سازمان های ما است و به همین دلیل در بیش از 90 درصد موارد چیزی که در کشور ما به عنوان آشپزی قانونمند یا تست نفوذ سنجی بر روی دستگاه های دولتی و خصوصی انجام می شود بیشتر از یک جک نیست . قبلا در خصوص آشپزی قانونمند به صورت مفصل در توسینسو صحبت کرده ایم و در خصوص تفاوت تست نفوذ سنجی و ارزیابی آسیب پذیری ها نیز صحبت کردیم . بصورت خلاصه عنوان کردیم که تست نفوذ سنجی یا Penetration Test یک فرآیند تقریبا پیچیده و دشوار است که باید توسط یک تیم امنیتی خارج از سازمان بصورت متناوب حداقل یک بار در سال بایستی انجام شود اما ارزیابی آسیب پذیری ها یا Vulnerability Assessment فرآیندی تقریبا خودکار و اتوماتیک است که حتی کارمندان و مسئولین امنیت سازمان ها نیز خودشان می توانند بصورت داخلی آن را انجام بدهند و این فرآیند در واقع استفاده از چند ابزار اسکنر امنیتی است و خروجی آنها گزارشات کلی در خصوص آسیب پذیری های موجود در سرویس ها ارائه می کند که بعضا دارای اشتباه های بسیار زیادی نیز هستند. تا اینجای کار هیچ مشکلی نیست تا اینکه متوجه می شویم این دو در کشور ما جای خودشان را به هم داده اند !!

      جای Penetration Test و Vulnerability Assessment عوض شده است !


      چند وقت پیش دو نفر از دانشجوهای خودم که در سازمان های بزرگ ایران به عنوان کارشناس مشغول به کار هستند عنوان کردند که می خواهند از سرویس های سازمان تست نفوذ سنجی بگیرند و چند شرکت در مناقصه شرکت کرده اند و در عین حال از بنده به عنوان ناظر و مشاور دعوت کرده بودند. قیمتی که برای مناقصه تست نفوذ سنجی در نظر گرفته شده بود 50 میلیون تومان بود و تست در حدود یک هفته طول می کشید. در همینجا کمی مشکل وجود داشت که تست نفوذ سنجی چندان هم چیز سریعی نیست !! اگر بصورت Blackbox باید انجام شود ( بدون داشتن هیچ اطلاعاتی از سرویس های سازمان هدف ) فقط برای یک سازمان درست و درمان یک هفته فرآیند جمع آوری اطلاعات طول می کشد چه برسد به اینکه گزارش ها هم طی یک هفته آماده و ارائه شوند !! بگذریم .

      تست های نفوذ سنجی بومی سازی شده !!! چند میگیری بگی امن هستم و بس !!


      بنده فقط قرار بود به عنوان ناظر خروجی پروژه شرکت داشته باشم و در خصوص Scope یا محدوده پروژه و البته SOW که شرح خدمات پروژه بود اطلاعات چندانی نداشتم ( پ .ن : مشاور یا ناظر بودن بنده در این پروژه صرفا به خاطر حضور دانشجوی من در این سازمان بود و هیچ جنبه مالی و رسمی نداشت ) . خروجی تست نفوذ را برای من ارسال کردند تا بررسی شود !! در کمال تعجب دیدم که خروجی بسیار بسیار شبیه قالب خروجی دو برنامه اسکنر امنیتی Nessus و AWS است !! دو ابزار Vulnerability Scan که شبکه و سرویس ها را اسکن می کنند و خروجی را در قالب فایل ورد به شما تحویل می دهند و این یعنی تعریف تست نفوذ از نظر این شرکت امنیتی که رتبه یک انفورماتیک ایران را نیز داشت همین اسکن بود !! به زبان ساده تر به جای تست نفوذ سنجی با استفاده از ابزارهای اسکنر امنیتی غیرارجینال و کرک شده اسکن گرفته شده بود و خروجی آن به عنوان نتیجه تست نفوذ سنجی به تیم فناوری اطلاعات ارائه شده بود ! آنقدر مسخره بود که هر کسی یکبار اگر ظاهر برنامه را دیده باشد متوجه می شود که این فقط یک ترجمه 50 صفحه ای از خروجی نرم افزار است که قالبی تقریبا به این شکل دارد :

      1. نوع آسیب پذیری
      2. محل آسیب پذیری
      3. درجه آسیب پذیری
      4. راهکار امنیت

      جالب اینجا بود که بچه های تیم IT خوشحال بودند که تست نفوذ گرفتیم و فقط چند ضعف امنیتی ریز وجود دارد !! در صورتیکه 50 میلیون تومان پول بی زبان را به حلقوم شرکت امنیتی ریخته بودند که فقط خروجی اسکن نرم افزار را برایشان ترجمه کند و به آنها تحویل بدهد !! این فاجعه است اما ماجرا از این هم باحال تر می شود اگر بدانید که آنقدر FalsePositive و FalseNegative ( تشخیص های اشتباه ) در گزارش خروجی وجود داشت که حتی شرکت مذکور زحمت حذف آنها را نکشیده بود ! برای مثال در صفحه وب سایت سازمان مورد نظر آموزشی برای نحوه ایجاد کردن پسورد قرار داده شده بود که به این شکل خاتمه پیدا می کرد :
      Username : sample
      Password : P@ssw0rd
      
      از نظر نرم افزار این یک آسیب پذیری است چون در صفحات وب سایت پسورد و نام کاربری به وضوح پیدا است و آن را آسیب پذیری عنوان کرده بود !! این یعنی اوج تنبلی شرکت پیمانکار که حتی زحمت بررسی صفحات آسیب پذیر را نیز به خودشان نداده اند !! کار به اینجا ختم نمی شود و ادامه دارد. در کشور عزیزمان ایران شرکت های امنیتی که تست نفوذ می گیرند فقط یک پارامتر برای شرکت در مناقصات و ارائه گزارش های امنیتی دارند و آن هم Grade یک انفورماتیک و داشتن مجوز نما است تا بتوانند تست نفوذ انجام بدهند اما برای آنها صرف نمی کند که از 50 میلیون پول قرارداد 15 میلیون تومان به هکرها بدهند به همین دلیل به استفاده از نرم افزارهای اسکنر بسنده می کنند و سازمان ها هم خوشحال که هک نمی شوند و آسیب پذیری های خودشان را می شناسند ! البته قطعا از این 50 میلیون تومان شیرینی مسئول امنیت سازمان هم فراموش نشده است تا پروژه به خوبی و خوشی به پایان برسد.

      چقدر بدهیم که نفهمیم امنیت نداریم ؟


      بله درست متوجه شدید !! در ایران اکثر سازمان ها و شرکت ها و به ویژه قسمت فناوری اطلاعات به شما پول می دهند که ندانند آسیب پذیری دارند !!! یعنی اگر شما به عنوان یک هکر چه قانونمند و چه غیرقانونی حفره امنیتی در شبکه یا سیستم عامل یا سرویس های یک سازمان پیدا کنید و از سر حسن نیت به آنها این مورد را اعلام کنید که لطفا این مشکل امنیتی را برطرف کنید !! نتیجه اش احتمال زیاد این است که یا توسط پلیس فتا دستگیر و مجازات می شوید و یا اینکه تهدید می شوید که در صورت استفاده از این حفره امنیتی عواقب آن بر عهده شماست !! یعنی یک غلط کردم بسیار زیبایی در چهره کارشناسان هک قانونمند در چنین زمانی مشاهده می شود که چرا می گیم ضعف امنیتی داریم ؟ مگه مرض داریم خودمون رو درگیر دردسر کنیم !! شاید این فرآیند در تست نفوذ منطقی تر به نظر برسد و آسیب پذیری اعلام بشود اما قطعا دوستان زیادی در واحد های فناوری اطلاعات سازمان های دولتی ایران که صرفا عنوان امنیت را یدک می کشند دوست ندارند کسی به آنها بگوید نقطه ضعف دارید چون کار خودشان زیر سئوال می رود !! یا شاید حتی پول بدهند که صدایش را در نیاورید ما خودمان هم می دانیم چنین ضعفی داریم و نتیجه آن این می شود که همه از اعلام نقاط ضعف هراس دارند ( همه ::: هکرهای قانونمند و غیرقانونی ) ، این است که در اکثر سازمان های ما در حوزه فناوری اطلاعات یک احساس خود خویش امنیت زیاد پنداری وجود دارد !! یعنی چون میلیاردها تومان هزینه خرید تجهیزات شده است پس کسی جرات هک ندارد و ما امن هستیم و غافل از اینکه میلیاردها تومانتان مهم نیست !!

      تست های نفوذ سنجی بومی سازی شده !!! چند میگیری بگی امن هستم و بس !!


      لطفا از کاربران شبکه دسترسی مدیریتی را بگیرید !! و این داستان ادامه دارد !! شما نباید باگهای ISP ها و سیستم های اکانتینگ آنها را گوشزد کنید چون ممکن است جریمه شوید یا دستگیر شوید !! امیدوارم بتوانیم روزی در ایران یک سازمان مردم نهاد امنیتی فناوری اطلاعات تشکیل بدهیم فارغ از بحث سیاست که دوستانی که در حوزه هک و امنیت واقعا تبهر دارند دور هم جمع بشوند و با همکاری یک ارگان مسئول مثل پلیس فتا مشاوره واقعی امنیت اطلاعات به سازمان ها بدهند ، البته می دانم چیزی به نام مرکز ماهر و مراکز آپا و ... وجود دارد اما خوب بگذریم ( حالتون چطوره ؟ حمله سایبری قبلی چه خبر ؟ ) در آینده اگر عمری باقی باشد و جان نوشتن در مورد مسائل و مشکلات متعدد صحبت خواهیم کرد اما از نظر من بیشتر از 90 درصد کارشناسانی که در سازمان های ما عنوان امنیت را یدک می کشند صرفا یدک کش هستند و فقط منتظر هستند که هکرها اسم آنها را بشنوند و حراست را خبر کنند و هکرها بترسند !!! چون همانطور که می دانید هکرها و بدافزارها قسمت حراست و اطلاعاتی سازمان ها را تشخیص می دهند و چون از آنها می ترسند به آنها نزدیک هم نمی شوند !! از شوخی گذشته واقعا تصور در جامعه ما اینگونه شده است که چون ما اینجا تیم امنیت داریم پس امن هستیم !!! در مقاله ای جدا در خصوص استانداردهای تست نفوذ سنجی صحبت خواهم کرد اما باور کنید چیزی که به خوردتان در این شرکت های درپیتی می دهند تست نفوذ سنجی نیست ، لطفا سواد فنی خود را بالا ببرید و 4 تا ابزار امنیتی را تست کنید. توسینسو را به همه معرفی کنید

      نویسنده : محمد نصیری
      منبع : security.tosinso.com
      هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد
      برچسب ها
      مطالب مرتبط

      در حال دریافت اطلاعات

      نظرات
      • با تشکر از مقاله خوب شما
        من با دیدی از که مقاله شما و تجربه خودم دارم این می باشد که یک بخشی مرتبط با بخش IT می باشد که باید دانش خود را در زمینه IT به روز کنند و یا با هزینه سازمان و یا هزینه شخصی به کلاس های مرتبط بروند یا مطالعه زیاد داشته باشند البته این امر مستلزم این مورد می باشد که به شغل خود علاقه داشته باشند و از سر اجبار یا... به این کار روی نیاورده باشند
        کما اینکه خیلی جاها را می بینیم که هنوز از ویندوز 2003 استفاده می کنند و با توجه به آپدیت ویندوز و با توجه به اینکه 15 سال از تاریخ تولید آن گذشته هنوز دست به آپدیت نمی زنند
        بخش دوم مربوط به مدیران می باشد ، بعضی مدیران فکر می کنند که با آوردن یک یا چند مدیر IT که بعضی ها تخصص بالایی دارند و بعضی هنوز در حال کسب تجربه می باشند می توانند امنیت یک شرکت یا سازمان را به طور 100 درصد تضمین کنند در حالی شرکت های خیلی بزرگ در دنیا که تعدادی از بزرگترین کارشناسان را در اختیار دارند نیز گاهی مورد حملات کامپیوتری قرار می گیرند
        همین نکته باعث ذهنیتی در آنها می شود اگر سازمان اگر از لحاظ امنیتی دچار مشکلی باشد یعنی کارمندان بخش IT خود را درست انجام نداده اند و کارمندان بخش مورد نظر را مورد شماتت قرار بدهند در حالی که این امر تست نفوذ و امنیت بخشی حرفه ای می باشد و افراد فوق حرفه ای که چندین سال سابقه کار در این حوزه را دارند در این حوزه صاحب نظر هستند و لزوما هر فردی که در زمینه شبکه کار می کند نمیتواند در زمینه تست نفوذ موفق باشد
        راهکاری که به ذهنم می رسد : مدیران قبول کنند امنیت 100 درصدی وجود ندارد و مگر اینکه سازمان ها شغلی را تحت عنوان کارشناس امنیت و تست نفوذ به عنوان یک فرد جدا استخدام نمایند یا با شرکتی تحت این عنوان که تجربه موفق دارند قراردادی ببندند
        بودجه ای را باید به عنوان امنیت کنار بگذارند ، این نباشد که چون سازمان به صورت ok کار می کند هیچ هزینه ای برای خرید تجهیزات جدید و امنیت و ... نکنند
        همایش هایی که بازدهی داشته باشد با حضور کارشناسان IT و مدیران برگزار شود تا مدیران و کارشناسان IT نسبت به تهدیدات امنیتی آگاه باشند
      • راهکار همه اقتصاد در یک چیز هست :::: اونی که برای یک کار استخدام شده و حقوق میگیره کار خودشو درست انجام بده نه فقط کارش ارجاع به پیمانکار باشه ، این هم فساد ایجاد میکنه و هم روزمرگی
      • با خوندن مقاله استاد نصیری یاد یک سازمان که مسئول آی تی اونجا بودم افتادم که برای تست امنیت پیشنهاد دادم که از یک شرکت تست نفوذ استفاده کنن ولی در جواب به ما گفتند خودتون تست کنید : \
        بعد فهمیدیم اگرم اون سازمان تست می کرد و حفره امنیتی پیدا می کرد ما مورد مواخذه قرار می گرفتیم که در امنیت شبکه سهل انگاری کردیم : \

      برای ارسال نظر ابتدا به سایت وارد شوید

      arrow