img

به شبکه ی خودتان نفوذ کنید…

/
/
/

اگر می خواهید بدون کمک گرفتن از متخصصان دنیای کامپیوتر و اینترنت،امنیت شبکه ی خودتان را بررسی کنید، پیشنهاد می کنیم این مقاله را بخوانید.

————-

اجرای آزمون (تست) های نفوذ (penetration یا همان pen testing ها) تنها برای بانک ها و سازمان های نظامی ضروری به نظر می رسد. بدون تردید، این آزمون ها در بررسی های امنیتی کسب و کار (تجارت) های کوچک انجام نمی شود. پرسش اصلی این است که انجام این آزمون برای کسب و کار های کوچک لازم است؟ ویکیپدیا (Wikipedia.org) یک آزمون نفوذ (penetration test) را «نرم افزاری که برای شناسایی ضعف های امنیتی یک کامپیوتر به آن حمله کرده تا اطلاعات و ویژگی های آسیب پذیر و قابل دسترسی آن را شناسایی کند» تعریف کرده که نشان دهنده ی هیچ ویژگی «افزایش دهنده ی امنیتی» نمی باشد. البته اگر آن را به عنوان یک برنامه ی کنترل شده ی زمانِ محدود در نظر بگیرید که چگونگی یک حمله ی اینترنتی که در آن به شبکه و داده های نفوذ می شود را شبیه سازی می کند، می توان گفت که یک ابزار بسیار مناسب برای بررسی امنیتی شبکه در اختیارمان قرار گرفته است.
شرکت های مشاوره ی امنیت شبکه و کارشناسان امنیت شبکه ی بسیاری هستند که آزمون نفوذ را به عنوان یکی از بخش های برنامه ی امنیتیشان در نظر می گیرند و برخی دیگر توجه چندانی به آن ندارند. شاید برای بسیاری از کسب و کار های کوچک که بودجه ی امنیتی چندان زیادی ندارند، انجام این آزمون توجیه اقتصادی نداشته باشد اما بررسی نکردن قابلیت ها و ویژگی های دفاعی و امنیتی شبکه در هر تجارتی (چه کوچک و چه بزرگ) یک اشتباه اساسی خواهد بود. با توجه به این توضیحات، بهتر است آزمون نفوذ را انجام داده و روشی پیدا کنیم که کم هزینه تر یا بدون هزینه باشد.
کِیتلین هریسون (Caitlin Harrison)، یکی از مشاوران امنیتی MWR InfoSecurity معتقد است که: «آزمون نفوذ در امنیت شبکه یک نیاز اساسی به حساب نمی آید. انجام این آزمون برای هر شبکه ای در ابتدا باید توجیه اقتصادی داشته باشد و به همین دلیل بهتر است این آزمون در کسب و کار های کوچک به صورت یک پروژه ی داخلی و توسط صاحبان آن انجام شود».
اگر چه انجام این آزمون توسط صاحبان کسب و کار های کوچک به اندازه ی کافی دقیق و کامل نیست اما دست کم می تواند آن ها را نسبت به ضعف ها و مشکلات امنیتیشان آگاه کرده و خطرات احتمالی را به آن ها نشان بدهد.
رایان اُلیری (Ryan O›Leary) از مرکز جستجوی تهدید های WhiteHat Security به تمام صاحبان کسب و کار های کوچک و بزرگ که خَدَماتشان را از طریق وب سایت معرفی یا ارائه می کنند توصیه می کند که آزمون نفوذ را انجام دهند. این متخصص امنیتی شبکه اعتقاد دارد که «با توجه به گران تر بودن IP و هزینه های راه اندازی شبکه برای کسب و کار های کوچک، این تجارت ها نسبت به تجارت های بزرگ، آسیب پذیر تر هستند».
اکنون این پرسش مطرح می شود که اگر این آزمون توسط صاحبان کسب و کار های کوچک انجام شود، نتایج آن از نظر امنیتی قابل اعتماد خواهد بود؟ رایان اُلیری توضیح می دهد که: «کسی که تخصص کافی در خصوص انجام آزمون های نفوذ نداشته باشد، به دلیلی آشنا نبودن با مشکلات امنیتی شبکه ها و پایگاه های مختلف و نداشتن تجربه ی کافی در برخورد با خطرات و تهدید های امنیتی، نمی تواند این آزمون ها را به درستی و به کامل ترین شکل ممکن انجام داده و نتایج دقیق و درست آن ها را به دست بیاورد».
اُلیری برای روشن شدن موضوع به امنیت برنامه ی کاربردی وِب (web application security) اشاره کرده و ادامه می دهد: «کسی که این آزمون را انجام می دهد، باید دانش کافی در خصوص تمام قسمت ها و زوایای شبکه ی در حال بررسی داشته باشد. اگر کسی که آزمون نفوذ را انجام می دهد، از امنیت برنامه ی کاربردی وِب اطلاعات کافی نداشته باشد، نمی تواند نقاط آسیب پذیر را به درستی شناسایی کند».
در چنین شرایطی، اطلاعات درستی از آزمون به دست نخواهد آمد. کیتلین هریسون این طور توضیح می دهد که: «امنیت، یک حوزه ی پویا و در حال تغییر است و هیچ کسی نمی تواند با دانستن چند ترفند یا خواندن چند کتاب در مورد امنیت شبکه، دانش کافی درباره ی آن را به دست بیاورد».
نکته ی مهم دیگر این است که اگر آزمون نفوذ به درستی انجام نشود، ممکن است به پاک کردن نا درست داده ها یا غیر فعال کردن بخش های اساسی سیستم امنیتی مُنجر شده و می تواند به شبکه آسیب وارد کند.
جَک دَنیِل (Jack Daniel) از Rapid7 بیان می کند که انجام این آزمون توسط یک متخصص حرفه ای امنیت شبکه می تواند بسیار مفید باشد. این گونه افراد در هر سال، با شبکه های مختلفی کار کرده و تجربه ی زیادی در برخورد با خطرات امنیتی دارند و در انجمن هایی فعالیت می کنند که در جستجوی راه های جدید برای مقابله با خطرات امنیتی بوده و هر روز با روش های جدید آشنا می شوند.
جک دِنیَل توضیح می دهد که: بسیاری از این متخصصان و مشاوران حرفه ای امنیت شبکه، در کنار این که دانش کافی در این حوزه را در اختیار دارند، بر روی روش شناسی (methodology) ها، ابزار و تحقیقات جدید تمرکز کرده و از به روز ترین و جدید ترین اطلاعات در مورد امنیت شبکه آگاه هستند. این تحقیقات و اطلاعات جدید در کنار کار کردن با محیط های مختلف شبکه در پایگاه های گوناگون در طول چند سال، تجربه ی قابل قبولی را در اختیار این افراد قرار داده که به هیچ وجه قابل مقایسه با یک کاربر عادی نخواهد بود».
لاورنس مونرو (Lawrence Munro)، یکی از مدیران ارشد Trustwave که بیش از یک دهه سابقه ی فعالیت در انجام آزمون های نفوذ را دارد به صاحبان کسب و کار ها توصیه می کند که از کسی برای انجام آزمون نفوذ استفاده کنند که تجربه، تخصص و مهارت کافی در این زمینه را داشته باشد و می گوید: «اگر چه نمی شود یک شبه به یک متخصص آزمون نفوذ تبدیل شد اما اگر از یکی از کارمندانتان برای انجام این آزمون استفاده می کنید، بهتر است این فرد را به کلاس های آموزشی مقدماتی این آزمون بفرستید تا دست کم از چارچوب و نیاز های ابتدایی آن آگاه باشد تا احتمال آسیب رسیدن به شبکه به دلیلی عدم آگاهی کاربر، به کمترین مقدار ممکن برسد».

۱۰ نکته برای انجام آزمون نفوذ
در این قسمت، ۱۰ نکته برای انجام آزمون نفوذ را مطرح خواهیم کرد. پنج نکته ی ابتدایی توسط لاورنس مونرو و پنج نکته ی بعدی توسط کِیتلین هریسون مطرح شده اند:
۱٫ خارج از محدوده حرکت نکنید
در زمان انجام آزمون، نکته ی اساسی و حیاتی این است که بررسی ها را در محدوده ی مورد نظرمان انجام داده و از مرز ها عبور نکنیم. بسیاری از سازمان ها، به ویژه کسب و کار های کوچک و متوسط، که خودشان برای انجام آزمون های نفوذ اقدام می کنند، از راه حل های میزبانی (hosting solution) مانند خدمات مبتنی بر SaaS برای اجرای آزمون استفاده می کنند. اگر مجوز لازم از صاحب خدمات را قبل از انجام آزمون نداشته باشید، بخش دوم ۱۹۹۰ Computer Misuse Act (بخشی از قوانین کشور انگلستان) را نقض کرده اید. اگر چه بسیاری از آن ها امکانات قابل قبولی برای اجرای آزمون نفوذ را فراهم کرده اند اما بهتر است پیش از استفاده از این خدمات، شرایط و ضوابط استفاده از آن را به دقت مطالعه کنید چرا که ممکن است الزامات و تعهدات زیادی را برای شما به همراه داشته باشد. بنا بر این پیش از استفاده از چنین خدماتی بهتر است شرایط کاری آن ها را بررسی کنید.

۲٫ از قطع شدن جلوگیری کنید
در زمان اجرای آزمون نفوذ، قطع نشدن خدمات (سرویس) اهمیت زیادی دارد. اگر کسی که آزمون را اجرا می کند تجربه ی کافی نداشته باشد، ممکن است به طور تصافی یک چاپگر را اسکن کرده و آن را به اشتباه ارسال کند یا از ابزار نه چندان مناسبی برای اسکن کردن وب سایت استفاده کند که باعث از کار اُفتادن (down شدن) آن شود. فهمیدن آن چه در حال انجام است، اهمیت بسیار زیادی دارد. کاربران زیادی هستند که به دلیل آگاهی نداشتن از ابزاری که از آن استفاده می کنند، دُچار مشکلات اساسی شده اند.

۳٫ تمیز کاری را فراموش نکنید
بیشتر کسانی که در اجرای این آزمون تخصص کافی ندارند، پس از انجام آن، همه چیز را به همان شکل رها کرده و اقدامات پس از انجام آزمون را فراموش می کنند. این کار ممکن است اشکالات جدی برای شما به همراه داشته باشد. باز گذاشتن برنامه های واسطه ی (در های پشتی به سیستم ها که در زمان انجام آزمون ایجاد می شوند) در حال اجرا بر روی یک سیستم می تواند یک راه ساده برای یک نفوذگر (هَکِر) برای به دست گرفتن کنترل شبکه ی شما باشد.

۴٫ به محرمانه بودن توجه کنید
نکته ای که در بیشتر موارد به آن توجه نمی شود این است که انجام آزمون نفوذ بر کارکنان یک سازمان تاثیر گذار است. اگر بررسی کننده اقدام به هَک کردن کامپیوتر یکی از کارکنان کرده و به اطلاعات شخصی آن فرد دسترسی پیدا کند چه خواهد شد؟ درست است که این موضوع اتفاقی بوده و از طرفی کارکنان نباید اطلاعات شخصی خودشان را بر روی کامپیوتر های شرکت ها قرار دهند اما توجه داشته باشید که به هر حال، اطلاعات شخصی یک فرد از جامعه به دست کسی دیگر افتاده است. شاید یک متخصص انجام آزمون های بررسی شبکه توجهی به این اطلاعات شخصی نداشته باشد اما تضمینی وجود ندارد که یک کاربر غیر حرفه ای از آن ها سوء استفاده نکند.

۵٫ بر اساس نتایج کار کنید
در شرایطی که آزمون به صورت کامل و در بهترین شرایط امنیتی نیز انجام شده باشد، موارد زیادی برای اصلاح وجود خواهد داشت. چه کسی در یک کسب و کار کوچک یا متوسط معنی تمام یافته های آزمون را می داند و چه کسی در چنین سازمانی می داند که با این اطلاعات چه باید کرد؟ تمامی این اطلاعات و یافته ها باید توسط یک متخصص بررسی شوند و این همان هزینه ای است که باید توسط این سازمان ها پرداخت شود اما کسی به آن توجه نکرده است.

۶٫ یک روش مشخص داشته باشید
یک روش مشخص ایجاد کنید که همه چیز از جمع آوری اطلاعات تا نفوذ به شبکه در آن وجود داشته باشد. بهتر است این روش بر مبنای اطلاعات مختلف از منابع گوناگون و متنوع باشد. آزمون را بر طبق روش مشخص شده انجام داده و آن را با توجه به اطلاعات و تکنیک های جدید، به روز کنید.

۷٫ با تهدید های رایج مقابله کنید
آگاهی از تهدید های جاری و رایج یکی از حیاتی ترین موارد در انجام یک آزمون نفوذ مناسب است. مهم ترین موضوع برای انجام دهنده ی آزمون نفوذ در سازمان های کوچک و متوسط این است که از جدید ترین اطلاعات در مورد خطرات، تهدید ها و حمله های اینترنتی آگاه بوده و تکنیک های مقابله با آن ها را بشناسد.

۸٫ از ابزار مطمئن استفاده کرده و مراقب تهدید های جدید باشید
برای انجام آزمون نفوذ از ابزار (اسکَنِر) های خودکار مطمئن استفاده کنید. البته توجه داشته باشید که اسکنر های خودکار در کنار ویژگی های زیاد، در بیشتر موارد، اطلاعات دقیقی در مورد جدید ترین خطرات و تهدید های موجود به شما نمی دهند. در حقیقت این گونه اطلاعات باید با استفاده از ابزار دیگری به دست آورده شوند.

۹٫ هیچ گاه نکات امنیتی را فراموش نکنید
همیشه و همه جا به نکات امنیتی توجه داشته و از به روز بودن اطلاعات امنیتی خود اطمینان داشته باشید. برای نمونه، همیشه اطمینان داشته باشید که ابزار لازم برای رعایت نکات امنیتی را در اختیار داشته و هر ویژگی جدیدی که در شبکه ایجاد می کنید، از نظر امنیتی، بی نقص باشد. پیشگیری بهتر از درمان است پس بهتر است به جای انجام مرتب آزمون نفوذ، در زمان طراحی ویژگی های جدید، بیشتر از هر چیزی به قابلیت ها و نکات امنیتی توجه داشته باشید. اگر در طراحی ویژگی های جدید، نکات امنیتی و تهدید های احتمالی را در نظر داشته باشید، فرآیند انجام آزمون نفوذ ساده تر و کوتاه تر خواهد بود.

۱۰٫ ثبت (log) ها را بررسی کنید
ثبت (log) های امنیتی و سیستم های تشخیصی را بعد از انجام یک آزمون نفوذ امتحان کرده و بررسی کنید که آیا این سیستم ها رفتار های غیر عادی انجام شده در زمان اجرای آزمون را به درستی ثبت کرده باشند. اگر سیستم های تشخیصی شبکه های کسب و کار های کوچک و متوسط به درستی و در بهینه ترین حالت ممکن کار کنند، در زمان روبرو شدن با حمله های اینترنتی، صاحبان این کسب و کار ها زمان کافی برای مقابله با تهدید ها را در اختیار خواهند داشت.
اگر در طراحی ویژگی های جدید، پیش از هر چیز نکات امنیتی را در نظر داشته باشید، برنامه های کاربردی و سیستم ها مطمئن تری را در اختیار خواهید داشت

ابزار انجام آزمون نفوذ
اگر چه بسیاری از ابزار ایجاد شده توسط سرویس های (خدمات) انجام دهنده ی حرفه ای آزمون نفوذ به صورت سفارشی شده ساخته شده اند (custom built هستند) اما منابع مجانی زیادی نیز وجود دارند که صاحبان کسب و کار های کوچک و متوسط می توانند با استفاده از آن ها، این آزمون را برای شبکه های خودشان اجرا کنند. در ادامه، پیشنهاد متخصصان امنیت شبکه در مورد این برنامه های مجانی آورده شده است.
یکی از ابزار منبع باز (open-source)، برو به (go-to) و در عمل (de facto) شناخته شده، Metasploit (طراحی شده توسط Rapid7) است. راهنمای کامل و جامع Metasploit Unleashed توسط Offensive Security (به نشانی pcpro.link/261meta) به صورت رایگان در اختیار کاربران قرار داده شده که با استفاده از آن می توان آزمون نفوذ را به بهترین شکل ممکن با استفاده از این اِسکَنر انجام داد. یک ویرایش چارچوب مجانی Metasploit نیز وجود دارد که می تواند بیشتر اصول ابتدایی وظایف آزمون نفوذ را تشکیل دهد.
به عنوان یک انتخاب دیگر، Kali Linux (به نشانی kali.org) دارای بسیاری از ابزار لازم برای انجام آزمون نفوذ مانند Burp، ابزار تحلیل ترافیک مانند Wileshark اسکنر خودکار و ابزار آزمون کننده ای مانند dirb، nikto و Open VAS می باشد.
برای تلفن های هوشمند اندرویدی می توان از Android Debug Bridge (به نشانی pcpro.link/261debug) و Apktool (به نشانی pcpro.link/261apktool) استفاده کرد. همچنین، Drozer (به نشانی pcpro.link/261drozer) به همراه ماژول هایی برای تخمین دقیق سطح حمله به یک برنامه ی کاربردی اندروید و ابزار لازم برای انجام وظایف پس از شناسایی تهدید ها و خطرات احتمالی نیز به صورت رایگان قابل استفاده است.
یکی از ابزار شناسایی تزریق به پایگاه داده (SQL injection) و بهره برداری از آن در برنامه های کاربردی وِِب، SQLmap (به نشانی sqlmap.org) است. از آن جایی که بررسی تزریق به پایگاه داده، یکی از مواردی است که باید همیشه مورد توجه باشد، داشتن این ابزار برای هر کسی که آزمون نفوذ را انجام می دهد، ضروری است.
اِسکَنِر های تجاری و شناخته شده ای مانند Nessus (به نشانی pcpro.link/261nessus) و Qualys (به نشانی pcpro.link/261qualsys) نیز کاربردی بوده و در ساختن یک مرجع فراگیر و کامل، بسیار مفید هستند.
با توجه به این که هیچ ابزاری از هر نظر کامل نیست و آزمون کننده ممکن است نیاز به ایجاد کُد های سفارشی داشته باشد، آشنایی به Python، cURL، Bash scripts و PowerShell می تواند مفید بوده و در مواقع لزوم مورد استفاده قرار گیرند.
توجه داشته باشید که همان اندازه که استفاده از یک ابزار مناسب اهمیت دارد، استفاده ی بهینه و با بیشترین بازدهی از آن توسط کاربر نیز اهمیت دارد. یکی از بهترین راه های به دست آوردن تخصص در استفاده از این نرم افزار ها، شرکت کردن در تمرین های capture the flag و چالش های VMs (که به سادگی از vulnhub.com دانلود میشوند) است.

هانیپات اجتماعی خودتان را بسازید
خطر مهندسی اجتماعی، همان چیزی است که ابزار قدیمی و سنتی انجام آزمون نفوذ (به خصوص ابزار های خودکار) آن را بررسی نمی کنند. برخی از انجام دهندگان آزمون نفوذ هستند که به نام «تیم های قرمز» (red teams) شناخته شده و به بررسی وجود این خطرات و تهدید های احتمالی می پردازند. البته کسب و کار ها و تجارت های کوچک، که بودجه ی انجام این گونه بررسی ها را ندارند، می توانند یک هانیپات رسانه ای اجتماعی ایجاد کنند.
کِن مونرو (Ken Munro) و تیمش در Pen test Partners معتقدند که برای کسانی که به صورت غیر حرفه ای آزمون نفوذ را انجام می دهند، آگاهی از جدید ترین خطرات و تهدید ها اهمیت زیادی دارد و یک هانیپات رسانه ی اجتماعی می تواند بهترین کمک برای آن ها در این راه باشد.
هانیپات، یک منبع سیستم اطلاعاتی با اطلاعات کاذب است که برای مقابله با هکر ها و کشف و جمع ‌آوری فعالیت‌ های غیر مجاز در شبکه ‌های رایانه ‌ای بر روی شبکه قرار می گیرد. شما می توانید هانیپات خودتان را با استفاده از رسانه ی اجتماعی ایجاد کرده و به صورت غیر خودکار شبکه های اجتماعی را با به روز رسانی های مداوم و مرتب پروفایل تغذیه کرده تا شخصیت هایی برای کاربران غیر واقعی ایجاد کنید.
انواع شخصیت های مجازی استفاده شده بر مبنای حمله هایی که قرار است مورد بررسی قرار گیرند ایجاد می شوند. به همین دلیل، تازه کار ها بهترین انتخاب هستند چرا که اطلاعاتی از فرآیند های داخلی ندارند. کارکنان قدیمی تر که به منابع دیگری دسترسی دارند و به احتمال زیاد امتیازات بیشتری دارند، به دلیل این که انتظار مورد حمله قرار گرفتن را ندارند نیز می توانند گزینه های خوبی باشند. هرچه تعداد ارتباطات افراد بیشتر باشد، احتمال مورد حمله قرار گرفتن آن ها بیشتر است. نکته ی جالب توجه این است که شما می توانید از این هانیپات برای بررسی ثبت (log) های ایمیل نیز استفاده کنید.

نظر بدهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

It is main inner container footer text