خوادم غير محمية لأنظمة المعلومات
يبحث المهاجمون عن خوادم Elasticsearch وMongoDB غير المحمية،
الأرنب- وسيط رسائل البرمجيات على أساسمعيار AMQP هو برنامج وسيط قابل للتكرار يركز على معالجة الرسائل. تم إنشاؤه على أساس نظام Open Telecom Platform، المكتوب بلغة Erlang، ويستخدم Mnesia كمحرك قاعدة بيانات لتخزين الرسائل.
في أوائل أبريل، اكتشف خبراء أمن المعلومات على الشبكةخادم Elasticsearch، والذي يمكن من خلاله الحصول على وصول غير مصرح به إلى قاعدة بيانات مستخدم YouDo. وفي يناير/كانون الثاني، تسربت عبر الإنترنت بيانات عملاء شركة Alfa-Credit للوساطة الائتمانية، التي تجمع طلبات القروض وتساعد في اختيار القرض والحصول عليه من أحد البنوك. وقد تم تضمينها في نظام إدارة قواعد البيانات مفتوح المصدر MongoDB، الذي تستخدمه بعض الشركات لأغراض داخلية.
توصيات
- عادةً ما يكون ذلك من أجل التشغيل المستقر لـ Elasticsearchإنشاء مجموعة من عدة خوادم حتى تتمكن المثيلات المرنة من التواصل مع بعضها البعض. للقيام بذلك، افتح منافذ الشبكة. إذا كان من الممكن الوصول إلى الخوادم من الإنترنت، فيمكن للمهاجم الاتصال بقاعدة البيانات. في الإصدارات الأقدم من Elasticsearch، الأصغر من 7.3.2، يمكن الوصول إلى قاعدة البيانات دون مصادقة على الإطلاق.
- يمكن تجنب الوصول غير المصرح به إلى بياناتك عن طريق التحقق من إعدادات أنظمة المعلومات في التكوينات القياسية وحماية الخوادم والأجهزة الافتراضية بجدران الحماية.
روابط مباشرة غير آمنة
IDOR (مرجع كائن مباشر غير آمن)روابط مباشرة غير آمنة للكائنات - "التقنية العالية") - ثغرة أمنية تسمح لك بالوصول غير المصرح به إلى صفحات الويب أو الملفات. غالبًا ما يُطلق على IDOR مصطلح "القوة الغاشمة" (من القوة الغاشمة الإنجليزية - "التقنية العالية")، والتي تعني "القوة الغاشمة" في الترجمة.
الطريقة الأكثر شيوعًا لاستخدام IDOR- يعد المهاجم معرفًا يمكن التنبؤ به ويحصل على إمكانية الوصول إلى بيانات شخص آخر. تقوم العديد من الخوادم بإنشاء معرفات وصول باستخدام خوارزميات خاصة. يمكن لخوارزميات كهذه ببساطة زيادة قيمة المعرف لكل طلب مستخدم. خيار شائع آخر هو استخدام وظيفة من الوقت الحالي أو غيرها من البيانات الخاصة بالكمبيوتر. باستخدام هذا النوع من الثغرات الأمنية ، يمكنك اعتراض الوصول إلى حسابات الآخرين والمراسلات وتلقي بيانات الآخرين. إن تعقيد مثل هذا الهجوم ضئيل للغاية وفي نفس الوقت خطير للغاية. مثال بسيط هو أنك تكتب تطبيق ويب أو تقوم بإنشاء واجهة برمجة تطبيقات REST وطريقة مثل / api / orders /؟ OrderId = 17505638.
REST ، تحويل الدولة التمثيلي ،"نقل حالة العرض" -النمط المعماري للتفاعل بين مكونات التطبيق الموزعة على الشبكة. REST عبارة عن مجموعة متسقة من القيود التي يتم أخذها في الاعتبار عند تصميم نظام الوسائط التشعبية الموزع. تمت صياغة هذا المصطلح في الأصل بواسطة روي فيلدنج، الذي كان أحد مبتكري بروتوكول HTTP. إن الشيء العظيم في خدمات REST هو أنها تحقق أفضل استفادة من بروتوكول HTTP.
هذه هي الفرصة المثالية للمتطفلينلتكرار البيانات. حتى إذا قمت بتقييد الوصول إلى الطريقة من خلال محدد المعدل (تحديد المحاولات بمرور الوقت ، من عنوان IP واحد أو من وكيل مستخدم واحد - "Hi-tech") ، فإن هذا لا يضمن الأمان. يمكن للمهاجمين انتحال الرؤوس واستخدام مزارع الخوادم الوكيلة ووسائل أخرى للتحايل على القيود.
واحدة من أحدث الأمثلة رفيعة المستوىاستغلال مثل هذه الثغرة الأمنية - تسرب بيانات المستخدم من البوابة التي توفر معلومات حول الغرامات. كانت تفاصيل جوازات السفر الخاصة بمن تم تغريمهم بسبب انتهاك العزلة الذاتية في موسكو متاحة على المواقع الإلكترونية لدفع الغرامات باستخدام رقم الاستحقاق، والذي يمكن العثور عليه بالقوة الغاشمة باستخدام برنامج بسيط. باستخدام معرف الاستحقاق الفريد (UIN) لغرامة انتهاك العزلة الذاتية في موسكو، يمكنك العثور في خدمات الدفع على البيانات الشخصية للشخص الذي تم تغريمه، بما في ذلك الاسم الأخير والاسم الأول واسم العائلة وتفاصيل جواز السفر.
التوصيات
- يمكن تجنب مشاكل القرصنة عبر IDORإذا قمت بإنشاء مفاتيح طويلة من أحرف وأرقام وأحرف خاصة ، بالإضافة إلى استخدام تركيبات محدد المعدل ، بما يتجاوز قيم العتبة التي سيتم نقلها إلى نظام المراقبة.
سرقة قاعدة البيانات
مع تطور تكنولوجيا المعلومات ،حالات سرقة قاعدة البيانات ، ويمكن أن يكون المجرمون متسللين خارجيين وموظفيهم. قد يكون سبب السرقة هو استياء الموظف من الإدارة ، أو الراتب المنخفض ، أو الرغبة في تسييل منصبه بشكل إضافي. علاوة على ذلك ، يمكن سرقة القاعدة بأكملها وبيعها على الشبكة المظلمة (السرقة) ، أو استخدامها عبر الإنترنت للبحث عن المعلومات المطلوبة (ما يسمى الاختراق).
وهنا يلعب الدور الحاسم من قبل الإنسانلذلك من الصعب مكافحة هذا النوع من التسرب. هذه هي المشكلة الأكثر شيوعاً وإيلاماً التي تواجهها الشركات وخدمات أمن المعلومات.
على سبيل المثال، تُباع قواعد البيانات بانتظام على شبكة الإنترنت المظلمةبيانات سائق السيارة. غالبًا ما تحدث مثل هذه التسريبات في شرطة المرور وشركات التأمين. وتضمنت الشبكة أيضًا بيانات المواطنين الذين تقدموا بطلبات للحصول على قروض من مؤسسات التمويل الأصغر. تم طرح بيانات العملاء للبيع في نهاية شهر مارس على موقع ويب متخصص. تعتبر مشكلة تسرب بيانات العملاء حادة للغاية في الصناعة المصرفية، حيث ترتبط تكلفة خروقات المعلومات هذه ارتباطًا مباشرًا بأموال الناس.
عند العمل عن بعد، لا يقوم موظفو المؤسسات المالية بذلكإنهم يبيعون البيانات الشخصية فقط على DarkNet، لكنهم يستخدمونها أيضًا بطريقة غير شريفة. في بداية عام 2020، كان عدد القضايا القضائية المتعلقة بسرقة الأموال باستخدام المنصب الرسمي أكبر مما كان عليه في العام السابق بأكمله. ينتقل موظفو البنوك عديمي الضمير من بيع بيانات العملاء إلى استخدامها بأنفسهم لأغراض إجرامية - فهم يحصلون بشكل متزايد على قروض باسم العملاء، ويسحبون أيضًا الأموال من حساباتهم.
توصيات
- الالتزام بالقواعد الأساسية للمعلوماتحماية. على سبيل المثال، تقييد الوصول إلى البيانات (قواعد بيانات الإنتاج والاختبار والنسخ الاحتياطية). قد تبدو هذه نصيحة واضحة، ولكن لسبب ما ينسى الكثير من الناس ذلك.
- احتفظ بكلمات المرور في قبو آمن، مثل Hashicorp Vault.
- قم بإجراء تدقيق النظام لإجراءات المستخدم ، والذي سيسمح لك بملاحظة النشاط غير المصرح به في الوقت المناسب ومنع الإجراءات الخطيرة المحتملة لمستخدمي النظام.
- تحديد المسؤولية عن سرقة قواعد بيانات المستخدم في عقد العمل مع الموظفين.
تخزين الكود في مستودعات مفتوحة
غالبًا ما يضع المطورون في الأماكن المفتوحةمستودعات أنظمة تخزين الكود المعلومات الخاصة المتعلقة بمكان عملهم. يمكن أن تكون هذه روابط للبنية التحتية الداخلية للشركة ، ومفاتيح التشفير ، وعلامات API المميزة وأجزاء من التعليمات البرمجية ، والتي تنتمي الحقوق إليها إلى الشركة المستخدمة. لا يوجد ضمان بنسبة 100٪ لحماية مصالح الشركة. إذا أراد المطورون إتاحة الكود الخاص بك للجمهور ، فيمكنهم فقط تعقيد حياتهم ، ولكن لا يمكنهم إعاقة ذلك. لن يحل أي مستند هذه المشكلة تمامًا.
جامعة ولاية الشماليةقامت Carolina بعمل هائل وفحصت مليارات الملفات: لمدة نصف عام تقريبًا (من 31 أكتوبر 2017 إلى 20 أبريل 2018) ، راقب الباحثون حوالي 13 ٪ من جميع المستودعات العامة على GitHub ، وفحصوا كل التزام. تشير نتائج المسح إلى أن حوالي 100000 مستودع تحتوي على مفاتيح تشفير ورموز API تم نسيانها عن طريق الخطأ في الكود ، وكل يوم تظهر العديد من تسريبات البيانات الجديدة من هذا النوع على GitHub.
منذ أن لاحظ الخبراء الحالةالمستودعات لمدة ستة أشهر تقريبًا ، أتيحت لهم الفرصة لدراسة كيف تسير الأمور مع إزالة مثل هذه التسريبات من الكود. خلال فترة المراقبة بأكملها ، لاحظ 6٪ فقط من مالكي المستودعات على الفور تقريبًا أنهم قاموا بتسريب وإزالة الرموز المميزة والمفاتيح الخاصة بهم من الوصول المفتوح. استغرق 12٪ من المطورين أكثر من يوم واحد للقيام بذلك ، و 19٪ أصلحوا التسرب في غضون 16 يومًا. 81٪ من المطورين لم يلاحظوا التسرب على الإطلاق ، ومن الواضح أنهم لا يعرفون حتى ما قد يهدده.
يمكنك الالتزام بالحد الأدنى من المعقولالقواعد التي من شأنها أن تقلل من احتمالية تسرب التعليمات البرمجية إلى الخارج. سوف يحل نظام الأسرار التجارية ثلث المشاكل، والتعامل الدقيق مع حقوق الكود الجديد سوف يحل الثلث الثاني، كما أن الاهتمام الدقيق والاختيار الكفء للموظفين سوف يحل الباقي. وهنا يؤثر عمل قسم الموارد البشرية والجو السائد في الشركة بشكل مباشر على درجة أمن المعلومات لديها.
توصيات
- يجب عليك فحص المستودعات المفتوحة بانتظام للحصول على معلومات حساسة ذات صلة بشركتك.
- يجب أن تحتوي عقود العمل على لغة بخصوصنقل الحقوق بالكامل إلى القانون الجديد. وأيضًا السماح باستخدام كود البرنامج كجزء من كائنات معقدة دون الإشارة إلى أسماء المؤلفين (مجهول).
- لا تنقل أي حقوق إلى رمز قديم للمطورين الجدد. فقط لا تدخل في اتفاقيات التنازل معهم.
- تتمثل مهمة مدير الموارد البشرية أو أخصائي الاتصالات الداخلية في خلق جو من الثقة والقيمة لموظفي الشركة.
هجمات DDoS
هجوم DDoS، أو رفض الخدمة الموزعةالهجوم - إرسال طلبات المعلومات بشكل متزامن وضخم إلى الخادم المركزي. يقوم المهاجم بإنشاء مثل هذه الطلبات باستخدام عدد كبير من الأنظمة - شبكة الروبوتات الخاصة به أو المستأجرة على الشبكة المظلمة. لسوء الحظ، يمكن لهذه الأداة الشائعة وغير المكلفة أن تشل بشكل دائم عمل أي مورد تقريبًا أو تتسبب في انهيار الخدمة التي يقدمها.
لذلك ، في منتصف مارس ، حاول المهاجمونتعطيل موقع وزارة الصحة الأمريكية. من المفترض أن يكون الغرض من الهجوم هو حرمان المواطنين من الوصول إلى البيانات الرسمية الخاصة بالوباء والتدابير المتخذة ضده: في نفس الوقت الذي ينشر فيه أشخاص مجهولون معلومات مضللة على الشبكات الاجتماعية ، عبر الرسائل النصية القصيرة والبريد الإلكتروني الذي تفرضه الولايات المتحدة على فرض الحجر الصحي على مستوى البلاد. المحاولة باءت بالفشل: استمر موقع وزارة الصحة في العمل رغم زيادة العبء.
وقع هجوم DDoS آخر ضحية لشخص باريسي كبيرشبكة المستشفيات المساعدة Publique - Hopitaux de Paris. حاول المهاجمون تعطيل البنية التحتية للمؤسسات الطبية. نتيجة للهجوم ، لم يتمكن موظفو المستشفى الذين يعملون عن بعد من استخدام برامج العمل والبريد الإلكتروني للشركة لبعض الوقت. ومع ذلك ، فشل مجرمو الإنترنت في شل المنظمة بأكملها.
خدمات توصيل الطعام Lieferando (ألمانيا) ووجد Thuisbezorgd (هولندا) نفسه في وضع أكثر حساسية. نتيجة لهجمات DDoS ، قبلت الشركتان الطلبات ، لكن لم تتمكنا من معالجتها واضطرت إلى إعادة الأموال إلى العملاء. في الوقت نفسه ، طلب المهاجمون الذين هاجموا Lieferando 2 BTC لإيقاف DDoS (ما يزيد قليلاً عن 13 ألف دولار في وقت كتابة هذا التقرير).
توصيات
- لا ينبغي عليك توفير الحماية وتلقي القبض بشكل غير متوقعالهجمات القادمة. تحتاج إلى استخدام أحد أنظمة مكافحة DDoS ، والذي يتمثل مبدأه في إخفاء عنوان IP الحقيقي لنظامك وتصفية نشاط الشبكة الذي يسببه المتسللون ديناميكيًا.
ثغرات في مراقبة أمن معلومات النظام
لتجنب تسرب البيانات، نحننحن نتعاون مع أفضل مختبري الاختراق في روسيا، والذين يشكلون جزءًا مما يسمى بالفريق الأحمر. Pentesting، في المصطلحات، هو وسيلة لتقييم أمان أنظمة الكمبيوتر أو الشبكات من خلال محاكاة هجوم من قبل مهاجم. تسمح لنا إجراءات الفريق الأحمر بمحاكاة هجوم تقوم به مجموعة من المهاجمين الخارجيين المحترفين بأكثر الطرق طبيعية ممكنة لتحديد نقاط الضعف في التعليمات البرمجية والبنية التحتية لدينا.
كل من المتاجر الصغيرة على الإنترنت والأمريكيةتستخدم الوكالات الفيدرالية مثل البنتاغون بانتظام برامج مكافآت الأخطاء لتحديد العيوب الأمنية في أنظمتها. Bug bounty هو برنامج يقدمه العديد من مواقع الويب ومطوري البرامج والذي يمكن من خلاله التعرف على الأشخاص ومكافأتهم على اكتشاف الأخطاء. تمكن هذه البرامج المطورين من اكتشاف الأخطاء وإصلاحها قبل أن يعرف الجمهور عنها ، مما يمنع إساءة الاستخدام على نطاق واسع. جميع عمالقة الإنترنت لديهم Bug Bounty: Apple و Microsoft و Facebook و Google و Intel.
توصيات
تحتاج إلى التحقق من معلوماتك باستمرارنظام للوصول غير المصرح به. يمكنك استخدام الأدوات الآلية لهذا الغرض ، يمكنك إجراء اختبارات مكبوتة من قبل موظفيك أو الإعلان عن مكافأة خطأ ، ودفع ثمن نقاط الضعف التي تم العثور عليها.
انظر أيضا:
انظر إلى خريطة الكون ثلاثية الأبعاد: تم تجميعها لمدة 20 عامًا وقد فاجأت العلماء بالفعل
انظر إلى يرقات الخنفساء: يمكنها إنقاذ الكوكب من البلاستيك عن طريق تدميره
تكشف دراسة جديدة عن المزيد من الشذوذ في المجال المغناطيسي للأرض