17 سال بعد از MyDoom

بیشتر از 17 سال از شروع انتشار بدافزار پرحاشیه‌ی MyDoom گذشته است. ویروس کامپیوتری Worm:W32/Mydoom که در ابتدا با نام [email protected] و بعدها با نام‌های مختلفی شناخته شد، در ابتدا بر ضد شرکت انحصار طلب SCO شروع به کار کرد و به آرامی باعث شد یکی از بزرگترین اختلال‌های اینترنت شکل گیرد. این ورم باعث قطعی گسترده‌ی شبکه‌های متصل به اینترنت و قطع دسترسی کاربران به سایت‌هایی همچون گوگل شد.
پس از رفع حفره و مقابله بسیاری از شرکت‌های امنیت شبکه با گسترش این ورم، در اواخر سال 2005 سرعت رشد این ویروس بسیار کم شد. اما همچنان بعد از 210 ماه از انتشار این ورم، درصد قابل توجهی از ایمیل‌های اسپم حاوی بدافزار، بوسیله این ورم انتشار پیدا می‌کنند.

کشورهای چین، آمریکا، انگلیس، ویتنام و کره همچنان درگیر انتشار این ورم هستند و در آخرین گزارش رسمی منتشر شده از این ورم توسط تیم UNIT42 در سال 2019 حداقل 30% از ایمیل‌های اسپم حاوی بدافزار، بوسیله MyDoom ایجاد شده‌اند.

در مورد ورم MyDoom، هفده سال پیش چند حاشیه نوشتم. با وجودی که نوشته‌ها قدیمی است و بسیار از لینک‌ها ممکن است خراب باشند، اما خاطره‌ی جالبی از زمان انحصار طلبی شرکت SCO است:
ویروس [email protected]
Mydoom – حاشیه قسمت اول
Mydoom – حاشیه قسمت دوم
Mydoom – حاشیه قسمت سوم
Mydoom – حاشیه قسمت چهارم – شب بخیر SCO

فعالیت ویروس MyDoom

با اینکه فعالیت و انتشار بدافزار MyDoom با تغییر نسل سیستم‌عامل‌ها بشدت کاهش پیدا کرده است، اما همچنان شبکه‌هایی که کلاینت‌های قدیمی بخش جدایی ناپذیری از آن‌ها هستند، درگیر انتشار این ورم هستند. شبکه‌های بانکی و بیمارستان قدیمی و بخش دولتی در بسیاری از کشورها از عوامل انتشار این ورم 17 ساله هستند.

نمونه ایمیل ارسال شده توسط MyDoom
نمونه ترافیک شبکه‌ی آلوده به MyDoom

نقش سیاست Zero Trust در حفظ امنیت اطلاعات

جلال روحانی کارشناس رشد دیجیتال در گفتگو با خبرنگار «نبض فناوری» در رابطه موضوع حملات سایبری و هک برخی از سایت‌های سازمان‌ها و نهادها، اظهار کرد: این بحث را می توان در سه حوزه دسته‌بندی کرد؛ نخست اینکه چگونه می‌توان با دنیا تعامل برقرار کرد تا جلو قسمتی از این اتفاقاتی که در تمام دنیا می‌افتد، را گرفت. دسته دوم عملیاتی که به صورت هدفمند انجام می‌شود همانطور که برای خیلی از کشورها، سازمان‌ها و شرکت‌ها به صورت هدفمند اتفاق می‌افتد. دسته سوم طراحی سیستم‌ها و سازمان‌ها بر اساس منطق Zero Trust است. سیاست و مفهوم طراحی Zero Trust یا اعتماد صفر بدین معنی است که هر چیزی درون یا بیرون سازمان غیرقابل اعتماد است و هر تلاشی برای اتصال و یا استفاده از منابع می‌بایست صحت‌سنجی و ارزیابی شود. به صورت خلاصه در مفهوم امنیتی اعتماد صفر هیچ فرد و یا منبعی به صورت پیش‌فرض قابل اطمینان نیست. با بررسی و برنامه‌ریزی مناسب برای فعالیت‌های جداگانه در هر کدام از این دسته‌بندی‌ها می‌توان ضریب پایداری امنیت را افزایش داد. لازم به ذکر است مفهومی به عنوان امنیت مطلق وجود ندارد.
وی افزود: وضعیت امنیت در دنیا مشخص است، اما ما در ایران با دو محدودیت تحریم و سیاست داخلی مواجه هستیم. محدودیت تحریم باعث شده که سازمان‌ها، شرکت‌ها و متخصصان از بازار امنیت دنیا دور باشند. اگر به‌عنوان مثال پایگاه اطلاعاتی (Database Engine) در سطح دنیا تحت پوشش و رصد آسیب‌پذیری‌های امنیتی است و تمام سامانه‌های نرم‌افزاری براساس رصدهای امنیتی و کدهای CVE بروزسانی و امن‌سازی می‌شوند، در ایران به واسطه تحریم مستقیم، بسیاری از سامانه‌های اطلاعاتی تحت پوشش امنیتی مناسب نیستند و کارشناسان مجبور هستند از روش‌های میانبر برای نگهداری سامانه‌ها استفاده کنند. همچنین سیاست داخلی ایران، مبنی بر عدم استفاده از سیستم‌های امنیتی وابسته به دولت متخاصم، باعث ایجاد برخی حفره‌های آسیب‌پذیری عمومی در سطح سیستم‌های عمومی ‌می‌شود. به عنوان مثال برخی از بهترین محصولات امنیت شبکه در اختیار آمریکا و اسرائیل است که بر اساس سیاست داخلی کشور از این محصولات استفاده عام نمی‌شود.
عدم استفاده از محصولات امنیتی رایج، منجر‌ به گسترش دسته دوم حملات می‎شود. حملاتی که به صورت هدفمند بر‌ ضد کشور، سازمان‌ها و یا اشخاص اتفاق می‌افتند. برای مبارزه با این دسته از حملات به صورت عمده از محصولات امنیت شبکه و امنیت اطلاعات بومی استفاده می‎‌کنیم. در برخی از این محصولات بخصوص سیستم‌های امنیتی سمت کلاینت دارای محصولات قوی و قابل اطمینانی مانند پادویش هستیم. اما در برخی نقاط، مانند امنیت شبکه در گلوگاه‌ها و نقاط حساس دچار ضعف‌هایی هستیم. بر‌اساس اکوسیستم بین‌المللی بازار امنیت اطلاعات، تقریبا به جز اسرائیل اکثر محصولات جهانی حاصل سرمایه‌گذاری‌های بلند مدت انسانی و سرمایه‌ی نقدی است که در این خصوص ضعیف هستیم. حتی بسیاری از محصولات در کشور روسیه و یا چین نیز همگام با اکوسیستم جهانی امنیت اطلاعات پیش می‌روند که ضعف‌هایی در این خصوص در کشور وجود دارد.
روحانی گفت: برای جلوگیری مطلوب حملات دسته دوم با هدف مشخص، روش بهبود پیش‌نیازهای امنیتی نیازمند سرمایه‌گذاری قابل‌توجه در سه ضلع نیروهای انسانی، بودجه و روش‌هاست. ناآگهی و کمبود تجربه‌ی نیروی انسانی متخصص به صورت عمومی و نیز محدودیت‌های بودجه‌ای طی سال‌های گذشته تاثیر خاصی در این خصوص گذاشته است. در کشور همچنان سیستم‌های زیادی وجود دارد که از لحاظ امنیتی در جایگاه مطلوب نیستند و هنوز مورد بازرسی، بازبینی و نگهداری مناسب قرار نگرفته‌اند.

سیاست اعتماد صفر یا Zero Trust

دسته سوم و روش مناسب برای جلوگیری از بروز مشکلات امنیتی سیاست و مفهوم اعتماد صفر یا Zero Trust است. بر‌اساس رویکرد Zero Trust، هیچ سیستم، فرد و یا روشی به صورت پیش فرض قابل اعتماد نیست و هر تراکنشی با فرض عدم اعتماد می‌بایست طراحی، توسعه و نگهداری شود. در حال حاضر به جز سامانه‌های امنیتی و دفاعی، سامانه‌های محدودی با رویکرد Zero Trust طراحی و پیاده‌سازی شده‌اند و شاید بسیاری از سیستم‌های خدمات عمومی (دولتی) و یا سازمانی به دلایل مختلف بودجه‌ای، زمان طراحی، تخصص نیروی انسانی و محدودیت ابزارها هنگامی که در بلندمدت وارد پروسه نگهداری می‌شوند از این رویکرد فاصله بسیار زیادی دارند. این موضوع با توجه به فاصله اکوسیستم اطلاعاتی و امنیتی ایران از دنیا در درازمدت باعث انباشت آسیب‌پذیری‌ها و تشکیل حفره‌های امنیتی و ریسک می‌شود.
در دنیا ممکن است شرکت‌های بزرگی مانند سونی و یا خطوط کشتیرانی مرسک و یا شرکت‌های بیمه‌ای بسیار بزرگ و یا سایر شرکت‌ها دچار حملات سایبر و هک شوند و در ایران نیز همین موضوع حتما اتفاق خواهد افتاد. اما تفاوت این اتفاقات در ایران ممکن است افزوده شدن چاشنی حکومتی به موضوع باشند و اصل موضوع امنیت داده‌ با حاشیه رانده شود.
در ایران قانون صیانت از داده‌های شخصی به عنوان یک لایحه معرفی شده است، اما هنوز تصویب نشده است. همچنان در موارد مختلف از کاربران اطلاعات هویتی مانند کارت ملی، شناسنامه و یا سایر اطلاعات شخصی و محرمانه دریافت می‌شود، در حالی که این مدارک شخصی با درجه‎ی اهمیت بالایی است و می‌تواند با انواع حملات اطلاعاتی افشا شوند. در این موارد می‎‌توان از سامانه شاهکار و یا انواع سامانه‌های اعتبارسنجی وابسته به بانک مرکزی و یا تامین اجتماعی استفاده کرد و تنها ترکیب شماره ملی و شماره همراه برای احراز اولیه اشخاص کافی‌ است. همچنین سامانه‌های تصدیق متعددی مانند آلفا ریلتی نیز برای تصدیق هویت احراز شده افراد وجود دارد که بدون انباشت داده و ریسک افشا داده، می‌توانند نسبت به ایجاد دسترسی مناسب اقدام نمایند.
وی خاطرنشان کرد: خوشبختانه در کشور در حوزه نیروی متخصص کمبود نداریم بلکه شاید بخاطر محدودیت تحریم و سیاست داخلی باشد که استفاده مطلوب از این متخصصان نمی‌شود. خوب یا بد، ناقص یا کامل، ما در ایران سند راهبردی امنیت فضای تولید و تبادل اطلاعات (سند افتا) را داریم که تعدادی شیوه‌نامه و نظام‌نامه دارد؛ متاسفانه در بسیاری از موارد بدون توجه به این نظام سیستم‌هایشان را نگهداری و پیاده‌سازی می‌کنند به خصوص شرکت‌هایی که قدیمی‌تر هستند. هم اکنون در کشور هزاران سیستم اطلاعاتی داریم که هیچ وقت نگهداری و به روز نشدند. چرا تا به حال اتفاقی برای آنها رخ نداده؟ چون هنوز کسی به سراغ آنها نرفته است!

نشت اطلاعات و خطای انسانی

نشت اطلاعات و داده‌ها سال‌های زیادی است برای سازمان‌ها و شرکت‌ها وجود داشته است. این مشکل امنیتی در سال‌های اخیر و با همه‌گیری شبکه‌های اجتماعی نمود بیشتری پیدا کرده است. شیطنت‌های رسانه‌ای و همینطور استفاده رقبای تجاری از این نقص امنیتی باعث شده است حساسیت‌ها در این خصوص بیشتر شود. در مطلب داده‌های بی‌حیا در خصوص این مشکل پیشتر نوشته‌ام.
اما نشت اطلاعات به تنهایی مشکل حیاتی برای سازمان‌ها نیست. هر چند برخی از اطلاعات منتشر شده میتواند باعث به خطر افتادن حریم شخصی و یا اطلاعات خصوصی افراد شود، اما در طراحی سامانه‌های تجاری و دولتی، روند احراز هویت و شناسایی مشتریان باید به شیوه‌ای اتفاق بیفتد که مانع از سوءاستفاده از اطلاعات شخصی افراد و سرقت هویت (Identity Theft) باشد.
مهمترین مشکل در خصوص نشت اطلاعات، به خطر افتادن اعتبار سازمان و یا شرکتی است که نشتی داده از آن صورت گرفته است. برخی اوقات این رخداد باعث عواقب سختی مانند تحت تاثیر قرار گرفتن اعتماد مشتریان و واکنش بازار سرمایه به آن شرکت می‌باشد. برخی اوقات نشت اطلاعات میتواند باعث زیر سوال رفتن فعالیت‌های حفاظت از داده‌ها در شرکت‌ها و سازمان‌ها و حتی منجر به اخراج کادر اجرایی مرتبط شود.
در بیشتر اوقات، اما نشر اطلاعات پس از یک ماجراجویی خبری، فراموش میشود و مشتریان به ادامه مسیر در طول چرخه‌ی عمر مشتری می پردازدند. خیلی از شرکت‌های مطرح دنیا در سالیان گذشته دچار نشر اطلاعات گسترده شده‌اند. برخی از این شرکت‌ها عبارتند از Adobe، Adult Friend Finder، Canva، Dubsmash، eBay، Equifax، Heartland، Payment Systems، LinkedIn، Marriott International، My Fitness Pal، MySpace، NetEase، Yahoo، Zynga. در تعدادی از این نشتی‌ها گستردگی به حدی بوده است که سازمان‌های مختلفی از FBI تا ناظران مالی در ماجرا وارد شده‌اند و ابعاد ماجرا را بررسی کرده‌اند. داستان این 14 شرکت را در The 14 biggest data breaches of the 21st century می‌توانید بخوانید.

مقصر نشت اطلاعات کیست؟

از سال 2004 List of data breaches در ویکیپدیا و همینطور Balloon Race: Data Breaches نگهداری می‌شود. بر اساس این فهرست و از حدود 29 میلیارد رکورد داده نشت شده از میان 358 رخداد خطاهای انسانی مستقیم و غیرمستقیم یکی از مهمترین دلایل نشت اطلاعات است. استفاده از اسکریپت‌ها و برنامه‌های آماده، عدم رعایت زون‌بندی‌های امنیتی (DMZ) در زمان تست درون سازمانی، استفاده از برنامه‌های آماده در قالب کانتینرهای Docker و مانند آن در سال‌های اخیر شدت همه‌گیری نشت داده را بیشتر کرده است.

دلایل نشت اطلاعات
سهم روش‌های نشت اطلاعات – Data Breaches

بر اساس اطلاعاتی که از Data Breaches وجود دارد، حدود 40 درصد از نشت اطلاعات، بدون Hack اتفاق افتاده است و علت اصلی نشت داده، خطای انسانی عمد و یا غیر عمد بوده است. از میان سهم 10 درصدی دزدی اطلاعات در هنگام حمل و نقل فیزیکی (Lost/Stolen Media) قابل توجه است.

همچنین کمتر از 1% موارد مربوط به انتشار عمدی داده‌ها از طریق عوامل درونی سازمان بوده است:

آیا خطر سرقت هویت جدی است؟

سرقت هویت در دنیای جدید تعریف متفاوتی دارد. پیشتر در زمانی که کسب و کارهای دیجیتال ارزش فعلی را نداشتند و امکان احراز هویت به صورت آنی نبود، سرقت هویت یکی از مشکلات جدی پس از نشت اطلاعات بود. این موضوع به حدی جدی است که در آمریکا سازمان فدرالی برای کمک به شهروندان تحت عنوان IdentityTheft.gov وجود دارد.

در ایران هم پلیس فضای تولید و تبادل اطلاعات سعی به آموزش در این خصوص دارد. خوشبختانه (البته متاسفانه) به علت دوری فضای کسب و کار ایران از جامعه جهانی روش‌های متداول سرقت هویت ممکن است به سادگی در ایران قابل استفاده نباشد و از این رو آسیب به کاربران ایرانی کمتر است. هر چند خطر به خطر افتادن حریم شخصی اطلاعات در موارد متعددی وجود دارد.

در پاسخ به سوال «آیا خطر سرقت هویت جدی است؟» باید گفت همواره این ریسک می‌تواند وجود داشته باشد، هر چند مکانیزیم‌های اعتبار و هویت‌سنجی مختلفی برای پیشگیری از آسیب در این خصوص وجود دارد. جمله‌ی قدیمی “رفع خطر احتمالی” را باید همواره در نظر داشت.

داده‌های بی‌حیا

مطلب داده‌های بی‌حیا برای انتشار در ماهنامه‌ی پیوست نوشته شده است و در شماره‌ی ۶۸ این مجله چاپ شده است.

یکی از مهم‌ترین تفاوت‌های داده‌ها با سیستم‌ها، بی‌حیایی آنهاست. بویی از حجب و حیا و رعایت مصالح نبرده‌اند و به سختی مراعات جایگاه صاحب داده را می‌کنند. داده‌ها بدون در نظر گرفتن جایگاه خود، هر آنچه هستند را به نمایش می‌گذارند. در سال‌های آتی نقش اقتصاد اشتراکی هر روز بیشتر خواهد شد و این نقش تناسب مستقیم با میزان دیجیتالی شدن سازمان‌ها دارد. سازمان‌های دیجیتالی سازمان‌هایی هستند که جریان درآمدی و خدماتی‌شان ارتباط مستقیم با داده دارد. یا از داده برای تسریع‌ خدمات استفاده می‌کنند یا کسب درآمد آنها از طریق عملیات روی داده و جابه‌جایی داده‌ها انجام می‌شود. این داده‌های بی‌رحم و البته بی‌حیا می‌توانند خطرناک نیز باشند. یکی از بهترین روش‌های دفع خطر، طراحی سیستم‌ها بر اساس مدل رایج Secure by design در مهندسی نرم‌افزار است. هرچند فاصله زیادی میان دقت و جزئیات زیرسیستم‌ها در مهندسی نرم‌افزارها و کسب‌وکارهای رایج ایرانی وجود دارد، اما حداقل در حوزه کسب‌وکارهای نوپا (استارت‌آپ) و سازمان‌هایی که در حال تجربه حرکت یا پیاده‌سازی بخشی از تحول دیجیتالی (Digital Transformation) هستند می‌توان نقاط اشتراک بسیاری یافت.
برندهای بزرگ و کوچک در نقاط مختلف دنیا با نوعی Data Breach مواجه می‌شوند. آمار و نظرسنجی‌های مختلف از میان فعالان کسب‌وکار در شرایط مختلف نشان از ۴۷ تا ۶۴ درصد درگیری سازمان‌ها با معضلات امنیتی در طول سال‌های اخیر دارد. استفاده از راه‌حل‌های ابری، حرکت به سمت Digital Transformation در سازمان‌ها و بهره‌گیری از پلتفرم‌های مختلف مانند موبایل و IoT نقاط حساس‌پذیر را بیشتر کرده است و داده‌ها در نقاط بیشتری تولید و منتشر می‌شوند.


اوضاع در ایران کمی پیچیده‌تر است. با توجه به عدم حضور رسمی بسیاری از صاحبان جهانی فناوری‌های نو در حوزه ICT کشور، چرخه آموزش و به‌کارگیری فناوری‌های نو و ابزارهای جدید ناقص است. سرعت ورود فناوری‌ها به شدت بالاست و هم‌اکنون در بسیاری از شرکت‌ها، سازمان‌ها و استارت‌آپ‌ها از همان سرورها و ابزارهایی استفاده می‌شود که در بسیاری از نقاط دنیا استفاده می‌شود. اما عدم حضور رسمی برندها و آموزش‌های سیستماتیک باعث شده است ابزارها برخی اوقات با حداقل بازبینی امنیتی (Security Audit) وارد مرحله‌ کاربردی (Production) شوند. همچنین استفاده نکردن از Licenseهای قانونی و مناسب برای زیرساخت‌های نرم‌افزاری و شبکه‌ باعث شده است سامانه‌های بسیاری با تاخیر به‌روزرسانی امنیتی شوند و همواره آسیب‌پذیر باشند.

یکی از روش‌های مقابله با افزایش این مخاطرات در شرایط فعلی کشور، علاوه بر تلاش برای طراحی امن سیستم‌ها از ابتدا (Secure by design)، استفاده از ترکیبی از این چهار روش است:
۱- پیاده‌سازی امنیت چندلایه
۲- بودجه اختصاصی برای آموزش‌های مدون و ممتد امنیتی در کلیه سطوح سازمان
۳- الزام بازبینی امنیتی برای به‌کارگیری هر سامانه جدید در سازمان و همچنین بازبینی‌های دوره‌ای
۴- تدوین و برنامه‌ریزی برای سناریوهای مواجه با نشت اطلاعات و رخدادهای امنیتی.


امنیت چند لایه یکی از مواردی است که به دو دلیل عمده در سامانه‌های ایرانی کمتر به آن توجه شده است: اول، محدودیت‌های بودجه‌ای و عملیاتی برای پیاده‌سازی و نگهداری ساخت‌یافته و دوم محدودیت‌های زمانی و اجرایی با توجه به رشد سازمان‌ها و نیاز بازار. محدودیت بودجه‌ای به خصوص با توجه به وضعیت نرخ برابری ارز خرید تجهیزات آماده را مشکل‎تر کرده است. برای این موضوع دو راهکار قابل پیاده‌سازی وجود دارد: استفاده از محصولات داخلی و تربیت نیروی متخصص برای استفاده از محصولات Open Source. هرچند هر دو روش به علت دوری از بازار جهانی ممکن است نقاط ضعفی داشته باشند اما در مقابل عدم استفاده از لایه‌های امنیتی بدون شک راهکارهای بهتری هستند. و در خصوص محدودیت‌های زمانی، تنها تشریح نتایج نشت کدملی و شماره تلفن کاربران برای مدیران سازمان می‌بایست محدودیت را برطرف کند.
به صورت معمول بودجه آموزشی به خصوص در کسب‌وکارهای نوپا در بهترین حالت برای مهارت‌های مرتبط کاری ارائه می‌شود و کمتر دیده شده که امنیت (در لایه‌های مختلف) در سطح سازمان به صورت عام و دوره‌ای آموزش داده شود. آموزه‌های امنیتی برخی اوقات باعث سختی انجام کارهای روزمره و عدم آزادی نشر اطلاعات می‌شود و این مورد برای بسیاری از کسب‌وکارهای نوپا، که از نیروهایی با تجربه کمتر استفاده می‌کنند، می‌تواند یکی از نقاط ضعف و آسیب به شمار رود. همین موضوع به گونه‌ای دیگر در سازمان‌های بزرگ و سنتی که به سمت دیجیتالی شدن در حرکت هستند نیز وجود دارد و باعث از بین رفتن عادات سنتی و سختی کارها خواهد شد.
با توجه به کمبود نیروی متخصص و همچنین هزینه‌بر بودن نتایج، بازبینی‌های امنیتی نیز، چه به صورت داخل سازمان و چه از خارج از سازمان، تبدیل به موضوعی نایاب در سازمان‌های ایرانی شده است و اغلب به صورت تشریفاتی انجام می‌شود. همچنین به علت نبود قوانین شفاف، فعالیت تجاری و شخصی افراد در این حوزه با مشکلاتی مواجه است و اغلب سازمان‌ها به اخطارهای افراد توجه کافی نمی‌کنند. تشویق سازمان‌ها به راه‌اندازی برنامه «گزارش رخدادهای امنیتی» یکی از روش‌های بسیار کم‌هزینه برای فرهنگ‌سازی و به‌کارگیری بازبینی‌های امنیتی موثر در سازمان‎هاست.
در پایان، لازم است سازما‌ن‌ها همواره برنامه‌ای برای لحظه‌ نشت اطلاعات یا بروز رخداد امنیتی داشته باشند. مشخص کردن و تدوین روال پاسخگویی به افکار عمومی و ذی‌نفعان، نحوه ردگیری و جلوگیری از ادامه نشر و برنامه‌های مورد نیاز برای برطرف کردن مشکل، حداقل کارهایی است که هر سازمان و کسب‌وکار نیازمند تدوین برنامه‌ای قابل اجرا برای آن است. انکار و رفع نکردن مشکل یا سکوت در مقابل رخداد، تنها متعلق به کسب‌وکارهایی واهی است.

وضعیت پیچیده امنیت فضای تبادل اطلاعات

امنیت فضای تبادل اطلاعات که سرواژه افتا در داخل کشور برای آن استفاده می‌شود، سال‌های زیادی است وضعیت پیچیده‌ای دارد. هر چند در حوزه Offensive Security گروه‌ها و افراد متخصصی در حال فعالیت هستند، اما حوزه Defensive Security به علت گره خوردن به حوزه‌های حاکمیتی/سیاسی و امنیت ملی در وضعیت پیچیده‌ای به سر می‌برد. اعمال تحریم‌های بین‌المللی در طول سال‌های اخیر و همچنین وجود محدودیت‌های متنوع داخلی در سطح کشور برای استفاده از تکنولوژی‌ها و برندهای تخصصی در زمینه Information Security این پیچیدگی را ایجاد کرده است.

تعداد افراد متخصص که بر اساس تکنولوژی‌های جهانی آموزش دیده و سابقه‌ی حرفه‌ای دارند، به شدت کاهش یافته است و بخش خصوصی (به معنای واقعی بخش خصوصی) بسیار کم‌رنگ شده است. بیشتر فعالیت‌های این حوزه مرتبط با شرکت‌های دولتی و یا خصولتی می‌باشد که بسیاری از آن‌ها رنگ و بوی امنیتی پیدا کرده‌اند. هر از چند سالی شرکتی با استفاده از سرواژه‌های «ملی/بومی» محصولی در حوزه‌ی Network Security و یا Infrastructure Security سرهم می‌کند و هر چند برخی اوقات در زمان تولید/معرفی این محصولات وضعیت مطلوبی دارند، اما به شدت دچار افول در طول زمان می‌شوند و تبدیل به یک Appliance خاموش در رک‌های سازمان‌ها می‌شوند. به جز یک محصول آنتی‌ویروس که توانسته وارد بازار تجاری شود، به سختی می‌شود از محصول ایرانی در حوزه InfoSec نام برد. این موضوع لزوما دلیلی بر ضعف نیست، و جدا بودن از چرخه‌ی InfoSec بین‌المللی خود به خود دلیلی برای این موضوع است. منفک شدن از ابزارها و برندهای جهانی، باعث شده است راه‌حل‌های داخلی به خصوص در زمینه‌ی امنیت شبکه به صورت ناقص و یا بر اساس استانداردهای قدیمی راه‌اندازی شود.
مثالی واضح از این مورد، ناتوانی شبکه‌ی ملی اطلاعات و شبکه‌ی شرکت زیرساخت در محافظت از سامانه‌ها در مقابل حملات DDoS و هم‌چنین botnetهای بسیار زیادی است که در سطح سرورهای ناامن و هم‌چنین موبایل/کامپیوترهای شخصی/سازمانی فعالیت می‌کنند.

گسترش بازار Tanium

پیشرفت شرکت Tanium در طول چند سال گذشته و به خصوص در چند ماه گذشته بسیار قابل توجه بوده است. شرکت Tanium از سال 2007 شروع به کار کرده است و در سال‌های اخیر نزدیک به سیصد میلیون دلار جذب سرمایه انجام داده است. ارزش‌گذاری این شرکت به تازگی از 3.75 میلیارد دلار فراتر رفته است و با نزدیک شدن به زمان عرضه اولیه‌ی سهام احتمالا به ارزش 4 میلیارد دلار خواهد رسید.

رشد روزافزون بدافزارها و مشکلات امنیتی باعث شده است تا شرکت‌های امنیتی که در ارایه خدمات و مدیریت End Pointها تمرکز دارند، اقبال بیشتری از شرکت‌های ارایه دهنده‌ی نرم‌افزارهایی مانند ضدویروس‌ها داشته باشند. یکی از رقبای محصولات خانواده تانیوم، گروه IBM BigFix است که از سال 2010 به تملک شرکت IBM درآمده است.

در اویل سال 2017، بلومبرگ گزارشی در خصوص مشکلات مدیریتی هنداوی پسر انجام داد. پاسخی که اوریون هنداوی در این خصوص داشت جالب بود. تانیوم یک شرکت بغلی نیست.

بی‌استفاده بودن انگشت‌نگاری سنتی

قبلا در نوشته شفافیت حکومتی در زیرساخت‌ها در مورد گزارش‌های Daily Open Source Infrastructure گفته بودم. تغییراتی که 11 سپتامبر در زیرساخت دولتی آمریکا (خارج از حکومت حزبی جاری) در طول 3 دوره گذشته داشته، به نظر من برای خیلی از کشورها (و حتی سازمان ها) می تواند اثر بخش باشد.

امروز (همزمان با استفاده از سیستم اضطراری اطلاع رسانی بی‌سیم بر روی همان لیست پستی ایمیل دیگری ارسال شد با محتوای نقص در سیستم انگشت نگاری فدرال و استفاده 858 نفر از این نقصان امنیتی و ورود به آمریکا بعد از اینکه برخی از آن ها با هویت دیگر دیپورت شده بودند. باز هم نکته ای که برای من جالب بود ارایه اطلاعات تقریبا کامل، بیان علت مشکل و ذکر راه حل در نظر گرفته شده برای کم کردن خسارت بود.

کلیات داستان این بوده که بخش زیادی از انگشت نگاری هایی که به صورت سنتی (کاغذی) پیش از سال 2008 اسکن شده بودند به خوبی دیجیتالی نشده بودند و در نتیجه توانایی پیدا کردن افراد رو نداشتند. البته این روزها خوب اثر انگشت خیلی بهتر در آیفون‌ها ذخیره می شود :)) بعدا باید در مورد پروژه پر سر و صدای Next Generation Identification بنویسم.

دوست داشتید بخونید: Potentially Ineligible Individuals Have Been Granted U.S. Citizenship Because of Incomplete Fingerprint Records

rcmp-c216-c-fingerprinting-example

داده‌های منتشر شده از vDOS

سرویس های که vDOS در وب سایت های زیر زمینی و بسیاری از فروم های اینتنرتی مدت ها در حال تبلیغ بود در دو هفته گذشته خبرهای زیادی درست کرده است. درآمد حداقلی 600هزار دلاری در دو سال گذشته (از آب کره گرفته) و احتمالا خیلی بیشتر از این (سرویس از سال 2011 در حال خرابکاری بوده است.) باعث اعتماد به نفس صاحبان سرویس شده بود و بعد از اینکه در خصوص روش های DDOS مقاله ای منتشر کردند باعث شروع ردیابی و بعد هم دستگیری اولیه برای خودشون شدند. هفته گذشته Krebs on Security مطلبی در این خصوص منتشر کرد و با حمایت Cloudflare بخشی از لاگ فایل های این سایت رو نیز منتشر کرد. این لاگ فایل ها برای 4 5 ماه گذشته است و نام کاربری سفارش دهنده، زمان سفارش و آدرس ارسال ترافیک رو در این فایل می تونید پیدا کنید.

متاسفانه این مطلب به روش عجیبی در یک بلاگ فارسی به روشی عجیب بیان شده است و بدون تحلیل کافی فقط چند نام در آن استفاده شده است. خیلی مهمه که توی این مدل افشای اطلاعات بیشتر به دلایل تجاری این کارها فکر کنید (دقت کنید فقط موضوع kiddo بازی نبوده) و مراقب سو استفاده رسانه های خبری هم باشید.

آدرس‌ها و زمان اجرا نیاز به بررسی خیلی دقیق‌تری داره، ولی شاید لازم باشه به جز احتمال حمله و خرابکاری، هدایت ترافیک رو هم در نظر گرفت. به عنوان یک نمونه یک ارتباط غیرقابل اثبات رو حداقل در تاریخ ها میشه دید:

1