محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

تفاوت تست نفوذ سنجی استاندارد و تست نفوذ سنجی ایرانی در چیست؟

تست نفوذ ایرانی چیست؟ با سلام به همه کاربران عزیز وب سایت توسینسو به ویژه قسمت امنیت و آشپزی قانونمند ( چون احتمال داره به دلیل استفاده از واژه ه و ک این مطلب در قوانین محتوای مجرمانه جرم تشخیص داده بشه ) ، امروز بنده به عنوان یک کم سواد در حوزه امنیت اطلاعات و ارتباطات و تست نفوذ سنجی که عمری در آن مو سفید کردیم می خواهم در خصوص مسائلی در این نوع آزمون های امنیتی صحبت کنم که معضل بسیاری از سازمان های ما است و به همین دلیل در بیش از 90 درصد موارد چیزی که در کشور ما به عنوان آشپزی قانونمند یا تست نفوذ سنجی بر روی دستگاه های دولتی و خصوصی انجام می شود بیشتر از یک جک نیست .

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

قبلا در خصوص آشپزی قانونمند به صورت مفصل در توسینسو صحبت کرده ایم و در خصوص تفاوت تست نفوذ سنجی و ارزیابی آسیب پذیری ها نیز صحبت کردیم . بصورت خلاصه عنوان کردیم که تست نفوذ سنجی یا Penetration Test یک فرآیند تقریبا پیچیده و دشوار است که باید توسط یک تیم امنیتی خارج از سازمان بصورت متناوب حداقل یک بار در سال بایستی انجام شود اما ارزیابی آسیب پذیری ها یا Vulnerability Assessment فرآیندی تقریبا خودکار و اتوماتیک است که حتی کارمندان و مسئولین امنیت سازمان ها نیز خودشان می توانند بصورت داخلی آن را انجام بدهند و این فرآیند در واقع استفاده از چند ابزار اسکنر امنیتی است و خروجی آنها گزارشات کلی در خصوص آسیب پذیری های موجود در سرویس ها ارائه می کند که بعضا دارای اشتباه های بسیار زیادی نیز هستند. تا اینجای کار هیچ مشکلی نیست تا اینکه متوجه می شویم این دو در کشور ما جای خودشان را به هم داده اند !!

جای Penetration Test و Vulnerability Assessment عوض شده است !

چند وقت پیش دو نفر از دانشجوهای خودم که در سازمان های بزرگ ایران به عنوان کارشناس مشغول به کار هستند عنوان کردند که می خواهند از سرویس های سازمان تست نفوذ سنجی بگیرند و چند شرکت در مناقصه شرکت کرده اند و در عین حال از بنده به عنوان ناظر و مشاور دعوت کرده بودند. قیمتی که برای مناقصه تست نفوذ سنجی در نظر گرفته شده بود 50 میلیون تومان بود و تست در حدود یک هفته طول می کشید. در همینجا کمی مشکل وجود داشت که تست نفوذ سنجی چندان هم چیز سریعی نیست !! اگر بصورت Blackbox باید انجام شود ( بدون داشتن هیچ اطلاعاتی از سرویس های سازمان هدف ) فقط برای یک سازمان درست و درمان یک هفته فرآیند جمع آوری اطلاعات طول می کشد چه برسد به اینکه گزارش ها هم طی یک هفته آماده و ارائه شوند !! بگذریم .

وب سایت توسینسو

بنده فقط قرار بود به عنوان ناظر خروجی پروژه شرکت داشته باشم و در خصوص Scope یا محدوده پروژه و البته SOW که شرح خدمات پروژه بود اطلاعات چندانی نداشتم ( پ .ن : مشاور یا ناظر بودن بنده در این پروژه صرفا به خاطر حضور دانشجوی من در این سازمان بود و هیچ جنبه مالی و رسمی نداشت ) . خروجی تست نفوذ را برای من ارسال کردند تا بررسی شود !! در کمال تعجب دیدم که خروجی بسیار بسیار شبیه قالب خروجی دو برنامه اسکنر امنیتی Nessus و AWS است !!

دو ابزار Vulnerability Scan که شبکه و سرویس ها را اسکن می کنند و خروجی را در قالب فایل ورد به شما تحویل می دهند و این یعنی تعریف تست نفوذ از نظر این شرکت امنیتی که رتبه یک انفورماتیک ایران را نیز داشت همین اسکن بود !! به زبان ساده تر به جای تست نفوذ سنجی با استفاده از ابزارهای اسکنر امنیتی غیرارجینال و کرک شده اسکن گرفته شده بود و خروجی آن به عنوان نتیجه تست نفوذ سنجی به تیم فناوری اطلاعات ارائه شده بود ! آنقدر مسخره بود که هر کسی یکبار اگر ظاهر برنامه را دیده باشد متوجه می شود که این فقط یک ترجمه 50 صفحه ای از خروجی نرم افزار است که قالبی تقریبا به این شکل دارد :

  1. نوع آسیب پذیری
  2. محل آسیب پذیری
  3. درجه آسیب پذیری
  4. راهکار امنیت

جالب اینجا بود که بچه های تیم IT خوشحال بودند که تست نفوذ گرفتیم و فقط چند ضعف امنیتی ریز وجود دارد !! در صورتیکه 50 میلیون تومان پول بی زبان را به حلقوم شرکت امنیتی ریخته بودند که فقط خروجی اسکن نرم افزار را برایشان ترجمه کند و به آنها تحویل بدهد !! این فاجعه است اما ماجرا از این هم باحال تر می شود اگر بدانید که آنقدر FalsePositive و FalseNegative ( تشخیص های اشتباه ) در گزارش خروجی وجود داشت که حتی شرکت مذکور زحمت حذف آنها را نکشیده بود ! برای مثال در صفحه وب سایت سازمان مورد نظر آموزشی برای نحوه ایجاد کردن پسورد قرار داده شده بود که به این شکل خاتمه پیدا می کرد :

Username : sample
Password : P@ssw0rd

از نظر نرم افزار این یک آسیب پذیری است چون در صفحات وب سایت پسورد و نام کاربری به وضوح پیدا است و آن را آسیب پذیری عنوان کرده بود !! این یعنی اوج تنبلی شرکت پیمانکار که حتی زحمت بررسی صفحات آسیب پذیر را نیز به خودشان نداده اند !! کار به اینجا ختم نمی شود و ادامه دارد. در کشور عزیزمان ایران شرکت های امنیتی که تست نفوذ می گیرند فقط یک پارامتر برای شرکت در مناقصات و ارائه گزارش های امنیتی دارند و آن هم Grade یک انفورماتیک و داشتن مجوز نما است تا بتوانند تست نفوذ انجام بدهند اما برای آنها صرف نمی کند که از 50 میلیون پول قرارداد 15 میلیون تومان به هکرها بدهند به همین دلیل به استفاده از نرم افزارهای اسکنر بسنده می کنند و سازمان ها هم خوشحال که هک نمی شوند و آسیب پذیری های خودشان را می شناسند ! البته قطعا از این 50 میلیون تومان شیرینی مسئول امنیت سازمان هم فراموش نشده است تا پروژه به خوبی و خوشی به پایان برسد.

چقدر بدهیم که نفهمیم امنیت نداریم ؟

بله درست متوجه شدید !! در ایران اکثر سازمان ها و شرکت ها و به ویژه قسمت فناوری اطلاعات به شما پول می دهند که ندانند آسیب پذیری دارند !!! یعنی اگر شما به عنوان یک هکر چه قانونمند و چه غیرقانونی حفره امنیتی در شبکه یا سیستم عامل یا سرویس های یک سازمان پیدا کنید و از سر حسن نیت به آنها این مورد را اعلام کنید که لطفا این مشکل امنیتی را برطرف کنید !! نتیجه اش احتمال زیاد این است که یا توسط پلیس فتا دستگیر و مجازات می شوید و یا اینکه تهدید می شوید که در صورت استفاده از این حفره امنیتی عواقب آن بر عهده شماست !!

یعنی یک غلط کردم بسیار زیبایی در چهره کارشناسان هک قانونمند در چنین زمانی مشاهده می شود که چرا می گیم ضعف امنیتی داریم ؟ مگه مرض داریم خودمون رو درگیر دردسر کنیم !! شاید این فرآیند در تست نفوذ منطقی تر به نظر برسد و آسیب پذیری اعلام بشود اما قطعا دوستان زیادی در واحد های فناوری اطلاعات سازمان های دولتی ایران که صرفا عنوان امنیت را یدک می کشند دوست ندارند کسی به آنها بگوید نقطه ضعف دارید چون کار خودشان زیر سئوال می رود !!

یا شاید حتی پول بدهند که صدایش را در نیاورید ما خودمان هم می دانیم چنین ضعفی داریم و نتیجه آن این می شود که همه از اعلام نقاط ضعف هراس دارند ( همه ::: هکرهای قانونمند و غیرقانونی ) ، این است که در اکثر سازمان های ما در حوزه فناوری اطلاعات یک احساس خود خویش امنیت زیاد پنداری وجود دارد !! یعنی چون میلیاردها تومان هزینه خرید تجهیزات شده است پس کسی جرات هک ندارد و ما امن هستیم و غافل از اینکه میلیاردها تومانتان مهم نیست !!

وب سایت توسینسو

لطفا از کاربران شبکه دسترسی مدیریتی را بگیرید !! و این داستان ادامه دارد !! شما نباید باگهای ISP ها و سیستم های اکانتینگ آنها را گوشزد کنید چون ممکن است جریمه شوید یا دستگیر شوید !! امیدوارم بتوانیم روزی در ایران یک سازمان مردم نهاد امنیتی فناوری اطلاعات تشکیل بدهیم فارغ از بحث سیاست که دوستانی که در حوزه هک و امنیت واقعا تبهر دارند دور هم جمع بشوند و با همکاری یک ارگان مسئول مثل پلیس فتا مشاوره واقعی امنیت اطلاعات به سازمان ها بدهند ، البته می دانم چیزی به نام مرکز ماهر و مراکز آپا و ... وجود دارد اما خوب بگذریم ( حالتون چطوره ؟ حمله سایبری قبلی چه خبر ؟ )

در آینده اگر عمری باقی باشد و جان نوشتن در مورد مسائل و مشکلات متعدد صحبت خواهیم کرد اما از نظر من بیشتر از 90 درصد کارشناسانی که در سازمان های ما عنوان امنیت را یدک می کشند صرفا یدک کش هستند و فقط منتظر هستند که هکرها اسم آنها را بشنوند و حراست را خبر کنند و هکرها بترسند !!! چون همانطور که می دانید هکرها و بدافزارها قسمت حراست و اطلاعاتی سازمان ها را تشخیص می دهند و چون از آنها می ترسند به آنها نزدیک هم نمی شوند !!

از شوخی گذشته واقعا تصور در جامعه ما اینگونه شده است که چون ما اینجا تیم امنیت داریم پس امن هستیم !!! در مقاله ای جدا در خصوص استانداردهای تست نفوذ سنجی صحبت خواهم کرد اما باور کنید چیزی که به خوردتان در این شرکت های درپیتی می دهند تست نفوذ سنجی نیست ، لطفا سواد فنی خود را بالا ببرید و 4 تا ابزار امنیتی را تست کنید. توسینسو را به همه معرفی کنید


محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات