وب نوشت شخصی محمد مهدی احمدیان

از «الف» امنیت تا «ی» فلسفه زندگی - عقل معاش در کنار عقل معاد حقیقت زندگی است.

۱۱ مطلب با موضوع «امنیت :: امنیت-توصیه ها» ثبت شده است

گزارش بررسی آسیب پذیری های تجهیزات شبکه و توجه به اهمیت آن

گزارش بررسی آسیب پذیری های تجهیزات شبکه و توجه به اهمیت آن

سامانه‌های کنترل صنعتی که در صنعت و زیرساخت‌های حیاتی کشورها مورداستفاده قرار دارند، اغلب توسط شرکت‌های محدود و انحصاری تولید می‌گردند. این سامانه‌ها درگذشته به‌صورت جدا از سایر سامانه‌های دیگر به کار گرفته می‌شدند و این امر روشی در امن سازی این سامانه‌ها قلمداد می‌گردید. اتکا فراوان به این ممیزه، تولیدکنندگان و مصرف‌کنندگان این سامانه‌ها را از پرداختن به سایر لایه‌های امنیتی غافل کرده بود. استفاده از معماری و پروتکل‌های غیر امن و واسط‌های غیراستاندارد را می‌توان از نتایج این رویکرد دانست [1].

به دلیل نیازمندی‌های جدید و توسعه فناوری امروزه این قبیل سامانه‌های صنعتی، به‌تدریج با انواع جدیدتر جایگزین و یا به‌روزرسانی می‌گردند. در سامانه‌های جدید از پروتکل‌ها و نقاط دسترسی ارتباطی مشترک در شبکه‌ها استفاده می‌گردد [1]. در غالب صنایع و زیرساخت‌های حیاتی شاهد به‌کارگیری انواع تجهیزات ارتباطی شبکه نظیر سوییچ‌های لایه دو و لایه سه، هاب‌ها، بریج‌ها، تقویت‌کننده‌های ارتباطی کارت‌های شبکه و حتی مسیریاب‌ها هستیم. به دلیل اینکه این تجهیزات به شکل کاملاً فعال در شبکه‌ها به کار گرفته می‌شوند و در بسیاری از ارزیابی‌های که ما از صنایع کشور داشته‌ایم شاهد عدم پیاده‌سازی مکانیزم‌های HA برای این تجهیزات بوده‌ایم در صورت حمله یا گسترش آلودگی سایبری به این تجهیزات قطعاً شاهد اختلال در صنایع و زیرساخت‌های حیاتی کشور خواهیم بود. ازاین‌رو توجه به امنیت سایبر-فیزیکی این تجهیزات باید در دستور کار مدیران صنعت و حراست، مسئولان و سرپرستان، کارشناسان فناوری اطلاعات و شبکه‌های کنترل صنعتی قرار گیرد. لذا در این سند قصد داریم بعد از بیان نوشته اخیر دیل پترسون  در رابطه با استاکس‌نت، نمونه‌ای از آسیب‌پذیری‌های برخی از تجهیزات شبکه‌ای فراگیر در صنایع و زیرساخت‌های حیاتی کشور (تجهیزات موکسا، زیمنس و سیسکو) را موردبررسی قرار دهیم.

 در انتها در بخش پنجم این سند، به دلیل فراگیری تجهیزات سیسکو در کشور و از سویی اهمیت حمله اخیر به این تجهیزات گزارشی اجمالی از حمله به تجهیزات سیسکو دارای آسیب‌پذیری CVE-2018-0171 آن قرار داده‌ام تا ضمن مرور مختصر این حمله به نکات قابل‌توجه این حمله و نقاط ضعف خود در کشور پی ببریم و بتوانیم این نقاط ضعف را در برنامه‌های امن‌سازی صنایع کشور مدنظر قرار دهیم تا قبل از اینکه این‌گونه‌ حملات را در صنایع کشور شاهد باشیم توانسته باشیم برای پیشگیری از آن و مقابله با آن برنامه‌ریزی کرده باشیم.


در این گزارش 51 صفحه ای به موارد ذیل پرداخته  شده است:

۰ نظر موافقین ۰ مخالفین ۰
گزارش آسیب پذیری حیاتی در PLC  WAGO  CoDeSys

گزارش آسیب پذیری حیاتی در PLC WAGO CoDeSys

اخیراً آسیب‌پذیری با سطح مخاطره حیاتی از نوع احراز اصالت نامناسب در نرم‌افزار[1] CoDeSys شناسایی شد که محصولات WAGO PFC200 را تحت تأثیر قرار می‌دهد. این آسیب‌پذیری این امکان را به مهاجمین می‌دهد که در صورت بهره‌جویی[2] موفق بتوانند به شکل غیرمجاز به کنترل‌کننده (PLC) وصل شده و انواع دستورات و عملیات غیرمجاز را به شکل راه دور و از طریق درگاه[3] TCP شماره 2455 انجام دهند؛ این دستورات شامل خواندن، نوشتن و پا کردن فایل‌ یا دست‌کاری برنامه کنترل‌کننده (PLC) در حین اجرا است.

در گزارشی 19 صفحه ای که برای این آسیب پذیری آماده کرده به موارد ذیل پرداخته  خواهد شد:

  • 1.مشخصات آسیب‌پذیری
  • 2. معرفی آسیب‌پذیری
  • 3.گزاش فنی آسیب‌پذیری
  • 4.محصولات تحت تأثیر
  • 5.کدهای بهره‌جویی منتشرشده
  • 6.تاریخچه آسیب‌پذیری‌های محصولات تحت تأثیر
  • 7.توصیه‌ها و راه‌حل‌های امنیتی
  • 8.درس‌هایی از این آسیب‌پذیری
  • ضمیمه الف: آسیب‌پذیری و انواع آن
  • ضمیمه ب: توصیه‌های در مورد به‌روزرسانی تجهیزات و وصله‌های امنیتی
  • ضمیمه ج: اصول سه گانه‌ی امنیت
گزارش کامل این آسیب پذیری از طریق این لینک قابل دانلود است.
۰ نظر موافقین ۰ مخالفین ۰
تجهیزات Lantronix کنترل صنعتی(اتوماسیون صنعتی) متصل به اینترنت

تجهیزات Lantronix کنترل صنعتی(اتوماسیون صنعتی) متصل به اینترنت

در تصویر پایین چهار نمودار با عنوان های ذیل مشاهده می کنید:

  • مقایسه انواع تجهیزات کنترل صنعتی متصل به اینترنت در سال های 2016 و 2017
  • تعداد آسیب پذیری های جدید  تجهیزات کنترل صنعتی به تفکیک سال
  • تعداد تجهیزات کنترل صنعتی متصل به اینترنت به تفکیک سازنده
  • جایگاه آسیب پذیری های جدید  تجهیزات کنترل صنعتی
آسیب پذیری های سیستم کنترل صنعتی

 تعداد8,733 تجهیز شرکت لنترونیکس،  با حق دسترسی مدیریتی به اینترنت وصل است که بسیاری از آنها بدون رمزعبور اند!بسیاری از این تجهیزات در سامانه های کنترل صنعتی استفاده می شود؛ درصدد قابل توجهی از تجهیزات صنعتی  با استفاده از درگاه سریال  تنظیم می‌شوند و محصولات مبدل لنترونیکس امکان ارتباط با این تجهیزات را از طریق شبکه بازیرساخت اترنت  فراهم می کند. در کشور ما، 21 تجهیز در حال حاضر با این شرایط در اینترنت شناسایی شده اند که یکی از آنها در زیرساختهای صنعتی بوشهر قرار دارد!اگر در صنعت یا سازمان شما از این تجهیز استفاده می شود و آن را امن سازی نکرده اید هر چه سریعتر دست به کار شوید!

۰ نظر موافقین ۰ مخالفین ۰
هوش مصنوعی در خدمت حملات سایبری جدید

هوش مصنوعی در خدمت حملات سایبری جدید

هوش مصنوعی همانقدر که می تواند در خدمت امنیت سایبر-فیزیکی باشد، به همان میزان قدرتمند است که مهاجمین و هکرها از آن برای حمله به زیرساخت های فناوری اطلاعات(IT)، فناوری عملیاتی(OT) و اینترنت چیزها(IoT)  استفاده خواهند کرد! آگاه باشیم که این دانش حملات سایبر-فیزیکی را وارد مرحله جدیدی خواهد کرد!

۰ نظر موافقین ۰ مخالفین ۰
نمونه های افشاء اطلاعات در صنایع و زیرساخت های حساس، حیاتی و مهم کشور

نمونه های افشاء اطلاعات در صنایع و زیرساخت های حساس، حیاتی و مهم کشور

برگرفته از سخنرانی چالش های امنیتی در سامانه های سایبر-فیزیکی (با محوریت تحلیل جریان اطلاعات در خطوط لوله نفت و گاز)

افشا اطلاعات در صنایع کشور، محرمانگی اطلاعات ،محرمانگی زیرساخت های کشور ،
افشاء اطلاعات در صنایع کشور
سخنرانی چالش های امنیتی در سیستم های سایبر-فیزیکی
۰ نظر موافقین ۰ مخالفین ۰
کشف آسیب پذیری جدید در محصولات شرکت زیمنس

کشف آسیب پذیری جدید در محصولات شرکت زیمنس

کشف آسیب پذیری شرکت زیمنس

۰ نظر موافقین ۰ مخالفین ۰

معرفی جدول معادل واژگان امنیت اطلاعات

نظر به احساس نیاز و در نتیجه ایجاد صفحه جدول معادل واژگان امنیت اطلاعات در وبگاه اینجانب ، مخاطبین گرامی می توانند در صورت نیاز به این صفحه مراجعه کرده و اطلاعات جدول معادل واژگان امنیت اطلاعات که به مرور به روز می شود استفاده نمایند.

۰ نظر موافقین ۰ مخالفین ۰
حریم خصوصی را در فضای مجازی جدی بگیریم!سازمان های محترم هشیار باشید!

حریم خصوصی را در فضای مجازی جدی بگیریم!سازمان های محترم هشیار باشید!

متاسفانه در  فضای مجازی کنونی (مرتبط با کشور)  به واسطه رشد فناوری اطلاعات در سازمان های مختلف کشور و از سویی عدم رشد متوازن امنیت سایبری با آن شاهد چالش هایی متعدد امنیتی در این فضا هستیم. یکی از چالش هایی که این سالها به وفور در سامانه های سازمان ها ،پرتال های وب مختلف به ویژه پرتال های مرتبط با سازمان های دولتی و غیردولتی (از نهادهای دانشگاهی گرفته تا سازمان های بانکی، موسسات تبلیغاتی و غیره)  گاهی شاهد نقض اشکارحریم خصوصی کاربران و افشای اطلاعات خصوصی مردم در این فضاها است.  

حریم خصوصی در حقیقت از میان اصول امنیتی سه گانه(محرمانگی، صحت و دسترس پذیری) زیرمجموعه  اصل محرمانگی قلمداد می شود که در آن این مسئله مورد توجه است که اطلاعاتی را که یک فرد در اختیار یک مرکز قرار می دهد و این مرکز از آن اطلاعات استفاده می کند و یا آنها را معرض عموم(اعلام عمومی) قرار میدهد باید بر اساس توافقنامه ای باشد که با آن فرد داشته است؛ یعنی که اگر یک فرد در برابر افشای برخی اطلاعاتش مثلا در محیط های عمومی رضایت نداشته باشد، این مرکز مجاز نیست که این نوع اطلاعات فرد را افشا کند.

۲ نظر موافقین ۲ مخالفین ۰
یادآوری اصل ساده امنیتی کرکهُفس

یادآوری اصل ساده امنیتی کرکهُفس

در جلسات و  محافل مختلف امنیتی زیادی به  این موضوع برخورد کرده ام که افرادی که  آگاهی عمیقی از امنیت سایبری ندارند  (به ویژه مدیران سازمان ها ) تصور می کنند که امنیت یک سامانه به ویژه یک سامانه رمز (باید) بسیار متکی باشد به پنهان نگاه داشتن ساختار و جزییات طراحی و یا پیاده سازی آن و زمانی که اشتباه بودن این تصور و ضعف های آن صحبت می کنیم و  به اصل کرکهُفس(Kerckhoffs's principle)-که در قرن ۱۹ میلادی در حوزه رمزنگاری مطرح شد- اشاره می کنیم تصور می کنند که چه حرف غریبی می گوییم. اگرچه متخصصین حوزه امنیت به این اصل اشراف کامل دارند اما هدف بنده از نوشتن این پست صرفا ترویج و آگاهی بخشی در مورد این اصل ساده امنیتی است تا در آینده کمتر شاهد این سوء برداشت باشیم.

البته اگر بخواهیم اندکی به کالبد شکافی این موضوع بپردازیم به این نکته پی می بریم که این تصور اشتباه در این گونه افراد -که عموما تحصیلات آکادمیک تخصصی در گرایش امنیت اطلاعات ندارند- می تواند حاصل سوء برداشت آنها از راهبرد امنیتی  امنیت از طریق ایجاد ابهام (Security through Obscurity strategy) باشد.اگرچه ایجاد ابهام و مبهم کردن غالب سامانه ها می تواند به تقویت امنیت در آنها کمک کند اما قرار دادند این راهبرد به عنوان یک اصل امنیتی در طراحی و پیاده سازی یک اشتباه قطعی و مسلم است و تهدیدات امنیتی پرخطری را برای سامانه مورد نظر رقم خواهد زد.

در ادامه به بیان اصل کرکهُفس (برخی آن را کرهافس نیز تلفظ می کنند) که برگرفته از ویکی پدیا است می پردازم:

۱ نظر موافقین ۰ مخالفین ۰
توصیه عمومی امنیتی به نویسندگان وب

توصیه عمومی امنیتی به نویسندگان وب

اگر چه این قضیه برای خیلی ها دور از تصور است اما به نویسندگان حوزه وب توصیه می کنم چنانچه تمایل ندارید بات ها در آینده نوشته های موجود در وب را که توسط شما نوشته شده اند (به عنوان مثال در وبنوشت یا وبگاه شما) تحلیل کنند و بتوانند بر اساس الگوهای ثابت موجود در این نوشته ها  طرز بیان، نوع نگارش ، قالب شخصیتی و  ایده‌های شما را یاد بگیرند و از آنها الگو برداری کنند راهکاری دفاعی برای تغییر الگوهای خود که برخی از آنها را در ادامه توضیح می دهم اتخاذ کنید  و به کمک تکنیک هایی نظیر چند الگویی یادگیری بات های آینده را دچار کمی اختلال کنید و اگر با این موضوع مشکلی ندارید به روند کنونی خود ادامه دهید.

البته این مسئله از سال ها قبل به شکل محدود وجود داشته است به عنوان مثال بعد از سال 2012 عده ای جهت شناسایی هویت واقعی ساتوشی ناکاموتو( فرد یا افراد ابداع کننده بیت کوین)  در قالب پروژه هایی سعی نمودند نوشته های موجود در وب آشکار (از جمله مطالب وبنوشت ها، مقالات ، انجمن ها ، شبکه های اجتماعی و غیره ) را تحلیل کنند (از جمله تحلیل معنایی و لغوی) تا شاید از روی متن مقاله منتشر شده از بیت کوین بتوانند مشخص کنند الگوهایی درون این متن در کدام مطالب وب تشابه بالایی دارند.( تا از روی شناسایی نویسندگان این مطالب وب با الگو متشابه بتوانند هویت ساتوشی را فاش کنند.)

۲ نظر موافقین ۱ مخالفین ۰