Loading…

جزیره امنیت اطلاعات و ارتباطات

ارسال کننده: UNITY
محمد نصیری ، بنیانگذار TOSINSO ، کارشناس امنیت اطلاعات و ارتباطات و کشف جرائم رایانه ای ، هکر کلاه سفید ، تخصص در حوزه امنیت سیستم عامل و تست های نفوذسنجی ، لینوکس ، مجازی سازی ، سرویس های کاربردی سرور و ... سابقه همکاری در بیش از 40 سازمان دولتی ، خصوصی و نظامی در حوزه پروژه ، مشاوره و آموزش ، بیش از 10 هزار ساعت سابقه آموزشی در طی 12 سال فعالیت حرفه ای ...
ارسال پیام خصوصی
امتیازات این مطلب
نکته: حمله شیرجه در زباله ها !!! یا Dumpster Diving چیست ؟
شاید به نظر احمقانه برسد که چگونه ممکن است کسیکه اسم خودش را مهاجم یا هکر گذاشته است در زباله ها یا سطح های آشغال دست بکند !! چقدر چندش آور !! ولی جالبتر است بدانید که یکی از موثرترین نوع حملات از نظر بدست آوردن اطلاعات از سازمان هدف برای انجام حملات هکری همین Dumpster Diving یا شیرجه در زباله است !! هر چند قرار نیست شما دقیقا شیرجه بزنید اما طبیعتا بایستی زباله های یک سازمان را بازرسی کنید ، به نظر شما چه چیزی ممکن است در سطح زباله یک سازمان باشد ؟ اگر کارمندان یک سازمان یا شرکت به درستی در خصوص امحای اطلاعات توجیه نشده باشند و اطلاعاتی از قبیل پسوردها ، آدرس های IP و ایمیل و ... را بر روی کاغذهای مختلف بنویسند و بدون از بین بردن این کاغذها آنها را درون سطح زباله بیندازند ، اطلاعات بسیار جذابی را می توان از این طریق بدست آورد. فکر می کنم الان دقیقا متوجه شده باشید که کاربرد دستگاه Shredder یا ریزکن در یک سازمان چیست ! در واقع این دستگاه ها برای جلوگیری از این نوع افشاء اطلاعات مورد استفاده قرار می گیرند.

Dumpster Diving چیست


Dumpster Diving از جمله حملات غیرفنی محسوب می شود چون نیازی به داشتن هیچگونه دانش فنی ندارد. مهاجم سطح های زباله یا کیسه های زباله ای که از یک سازمان خارج می شوند را به دقت بازرسی کرده و به دنبال کاغذ پاره ها و فاکتورها و رسید ها و ... می گردد که در آنها اطلاعات بسیار مهمی می تواند وجود داشته باشد. این فقط پسوردها نیستند که در این نوع کاغذها پیدا می شوند بلکه اطلاعاتی از قبیل لیست تلفن های سازمان ، داخلی های سازمانی ، تقویم ، شماره حساب ، چارت سازمانی و بسیاری دیگر از موارد که می تواند هکر را در جهت حملات مهندسی اجتماعی هدایت کند نیز ممکن است وجود داشته باشد. در سیستم مدیریت امنیت اطلاعات قوانین یا Policy هایی به منظور جلوگیری از به وجود آمدن اینگونه حملات وضع شده است که نحوه درست از بین بردن اطلاعات از روی موارد بی استفاده یا Disposal را تشریح می کند. ITPRO باشید

نویسنده : محمد نصیری
منبع : ITPRO
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد
دیدگاه ها
  • ارسال توسط:
  • زمان ارسال: 4 ماه قبل
با سلام و ضمن تشکر بابت نکته خوبی که قرار دادید مهندس یه سوالی برام به وجود اومد این که ایا یه مهاجم تونست اطلاعاتی از قبیل آی پی پیدا کنه یا اطلاعات مفیده دیگه ای آیا این اطلاعات قابل استفاده اند ( برای مثل ای پی هایی که پیدا شدند valid هستند؟)

ممنونم

  • ارسال توسط:
  • زمان ارسال: 4 ماه قبل
با تشکر از مهندس نصیری عزیز خاطرم هست که قبلاً زحمت نگارش یک مقاله در خصوص سیستم مدیریت امنیت اطلاعات یا ISMS کشیده بودین که لینکش به این نکته خالی از لطف نیست
  • ارسال توسط:
  • زمان ارسال: 4 ماه قبل
پاسخ اول : بله قابل استفاده هستند بعضا اونقدر اطلاعات میشه پیدا کردن که سازمان رو هک شده تصور کرد ، من خودم یه نمونه تست نفوذ در ایران داشتم که فقط با همین روش تونستیم دسترسی پیدا کنیم و اصلا به مراحل فنی نرسیدیم !
پاسخ دوم : حق با شماست ... سیستم مدیریت امنیت اطلاعات Policy های مناسبی داره برای اینکار ولی خوب فرصت نشد لینکش رو بزارم ... ممنون
  • ارسال توسط:
  • زمان ارسال: 4 ماه قبل
با سلام خدمت مهندس نصیری عزیز ممنون از توجه شما، مطالب جالبی عنوان نمودید که کمتر کسی به آن توجه خواهد کرد ،من خودم چون از نزدیک این رویه رو مشاهده کردم و الان هم دارم مشاهده میکنم گزینه خوبی برای هکرها بشمار بحساب میاد به نظرم رسید جهت جلوگیری از این فاجعه طی نامه ای به حراست سازمان مبنی بر فرهنگ سازی اقدامی انجام بدهم. ممنون
برای ارسال نظر وارد شوید.

Countdown