خانه » پست‌هایی با برچسب "مشکلات امنیتی"

اپلیکیشن‌های بانکی، نگرانی جدید امنیتی بانک‌ها

نرم‌افزارهای موبایلی در دنیای امروز تنها اطلاعات عمومی کاربر را حفظ و منتقل نمی‌کنند، بلکه اطلاعات سری امنیتی نیز جزو مواردی است که امروزه توسط اپ‌های موبایلی منتقل می‌شود که از آن جمله می‌توان به اطلاعات تراکنش مشتریان اشاره کرد که می‌تواند جهت دزدی هویت مورد استفاده قرار گیرد.
به گزارش پایگاه خبری بانکداری الکترونیک،نرم‌افزارهای موبایلی در دنیای امروز تنها اطلاعات عمومی کاربر را حفظ و منتقل نمی‌کنند، بلکه اطلاعات سری امنیتی نیز جزو مواردی است که امروزه توسط اپ‌های موبایلی منتقل می‌شود که از آن جمله می‌توان به اطلاعات تراکنش مشتریان اشاره کرد که می‌تواند جهت دزدی هویت مورد استفاده قرار گیرد.
علاوه بر این، از آنجایی که سیستم ابزاری در این روند براساس نظریه «هر کس ابزار خود را به همراه داشته باشد (BYOD)» است بنابراین، مشکلاتی جهت قانونمند کردن ابزارها در زمینه دسترسی به اطلاعات شرکتی نیز وجود دارد. این پیچیدگی‌ها به همراه افزایش دسترسی موبایل‌ها به مرزهای امنیتی اطلاعات شرکت‌ها همه‌روزه منجر به افزایش ریسک امنیتی آن‌ها می‌شود. اگر این مرزها شکسته شوند منجر به خسارات مالی و حقوقی قابل‌توجهی به شرکت‌ها و بانک‌ها خواهد شد. موبایل‌های گم شده یا دزدیده شده نیز می‌توانند به عنوان یک کانال جهت فعالیت‌های غیرمجاز امنیتی مورد استفاده قرار گیرند. هکر‌ها می‌توانند از این موبایل‌ها به عنوان نقطه حمله و اجرای سناریوهای دزدی استفاده کنند.
همه‌روزه با توسعه ابزارهای ارتباطی، اپ‌های موبایلی نیز توسعه قابل‌توجهی پیدا می‌کنند. این امر منجر به پیچیده شدن محیط‌های نرم‌افزاری آن‌ها شده است و امروز اپ‌های موبایلی اطلاعاتی را گردآوری، ذخیره و منتقل می‌کنند که سیستم‌های تحت وب به هیچ عنوان امکان انجام این فعالیت‌ها را ندارند. توسعه‌دهندگان اپ‌های موبایلی باید در این دوران همیشه با اطلاع کامل از مسائل امنیتی به توسعه نرم‌افزارهای موبایلی بپردازند.

چشم‌اندازه توسعه موبایل‌ها

ابزارهای موبایل هنوز هم درحال جایگزینی با ابزارهای بزرگ قدیمی در انواع سیستم‌های تجاری و شخصی هستند. این تغییرات منجر شده است تا رفتار مشتریان به یکی از مسائل مهم در زمینه‌های امنیت شرکت‌ها تبدیل شود. بنابراین، با توسعه ابزارهای موبایل اولین مسائلی که مدنظر شرکت‌ها باید قرار گیرد مسائل امنیتی است. براساس آمارهای به‌دست آمده در حدود ۳۵ درصد از ارتباطات موبایلی رمزگذاری نشده‌اند و به‌طور متوسط هر ابزار موبایلی با ۱۶۰ آدرس پروتکل اینترنتی در تماس است، و این امر منجر به افزایش ریسک امنیتی شده است.
در حدود ۴۳ درصد از مردم نیز هیچ پسورد یا الگوی امنیتی جهت دسترسی به اطلاعات موبایل خود نگذاشته‌اند و ترکیب این دو عامل منجر می‌شود تا از هر ۴ اپ موبایلی یک اپ ریسک امنیتی ایجاد کند. زیرساخت نرم‌افزارهای موبایلی، حساسیت دسترسی و همراه با آن، افزایش ارتباطات اینترنتی منجر شده است تا محیط‌های موبایلی به یک چالش منحصربه‌فرد در زمینه امنیت تبدیل شود.
حل این چالش‌ها تنها از راه افزایش امنیت موبایلی امکان‌پذیر بوده که منجر به افزایش درجه انعطاف و عملکرد مشتری نهایی نیز خواهد شد. در نتیجه مشتریان می‌توانند در هر کجا و در هر زمان بدون به خطر افتادن امنیت اطلاعات حساس، به شبکه متصل شوند.

ریسک‌های موبایلی در بانکداری

بزرگترین پلتفرم‌های موبایلی دنیا سیستم iOS اپل و سیستم اندروید گوگل هستند. محیط‌های موبایلی محیط‌های پیچیده‌ای هستند که با گذر زمان روزبه‌روز تکامل پیدا می‌کنند. این امر منجر می‌شود تا محیط بسیار پویای توسعه‌دهندگان موبایلی کاملا برقرار باشد. در نتیجه ابزارها و امکانات جدید توسعه نرم‌افزاری هر روز به‌وجود آمده و توسعه‌دهندگان همیشه به دنبال استفاده از جدیدترین ابزارهای توسعه نرم‌افزار موبایلی هستند.
نحوه طراحی نرم‌افزارهای موبایلی به‌گونه‌ای است که منجر به افزایش توانمندی موبایل‌ها شود نیز خود یک تهدید امنیتی به شمار می‌رود. امکانات هر یک از ابزارها می‌تواند تفاوت‌های بسیار داشته باشد که شامل توانایی جست‌وجوی اینترنت، GPS، دوربین و غیره می‌شود. اما استفاده اهرمی از این ابزارها است که می‌تواند چالشی جدی در سیستم امنیتی ایجاد کند. یکی از نمونه‌های این ابزارها امکانات سپرده‌گذاری از طریق موبایل است که فرد می‌تواند با ارسال تصویر فیش پرداختی از طریق دوربین موبایل، واریز وجه خود را تایید کند.

پروژه امنیت نرم‌افزارهای اوپن وب (OWASP) یکی از پروژه‌هایی است که به ارزیابی ریسک‌های موبایلی می‌پردازد. این پروژه با همکاری دو شرکت اکسنچر و NowSecure به انجام رسیده است که در آن ۱۰ ریسک مهم ابزارهای موبایلی برشمرده شده است. براساس نتایج این پروژه ۱۰ ریسک شامل موارد زیر است:

۱-    استفاده نادرست از پلتفرم
۲-    ذخیره ناامن اطلاعات
۳-    ارتباطات ناامن
۴-    احراز هویت ناامن
۵-    رمزنگاری ناکافی
۶-    مجوزهای ناامن
۷-    کیفیت دستورالعمل مشتری
۸-    تهاجم دستورالعملی
۹-    مهندسی معکوس
۱۰-    عملکردهای بیش از اندازه

سطوح حمله

سطوح حمله شامل بخش‌هایی از ابزارهای موبایلی است که هکرها می‌توانند از طریق آن‌ها به نرم‌افزار و اطلاعات امنیتی رخنه کرده و به اهداف خود برسند. این سطوح شامل سه بخش اصلی خود موبایل، شبکه موبایل و مراکز اطلاعاتی موبایل است. فعالیت‌های کلاهبرداری در رابطه با هر سطح در شکل زیر ارائه شده است.

 

منبع خبر: پایگاه خبری بانکداری الکترونیک

مشکلات امنیتی نرم افزارهای پرکاربرد در ایران

مرکز مدیریت امداد و هماهنگی عملیات رخداد‌های رایانه‌ای (ماهر) جدول آسیب‌پذیری نرم افزارهای پرکاربرد در کشور نحوه به روز رسانی آنها را منتشر کرد.
در این جدول آسیب پذیری‌ها به سه سطح زیاد، متوسط و کم تقسیم شده و تاریخ انتشار آخرین به روز رسانی، خلاصه ای از آسیب‌پذیری و نحوه رفع آن نوشته شده است.

 سرویس‌دهنده‌ها

در بخش سرویس دهنده‎ها (وب، پست الکترونیکی، پراکسی و…)، Apache web sever دارای آسیب‌پذیری سطح زیاد است که شامل چندین آسیب‌پذیری جلوگیری از سرویس در این نرم افزار می‌شود. همچنین Microsift SharePoint Server نیز آسیب‌پذیری‌هایی با سطح متوسط شامل سطح دسترسی، آشکارسازی اطلاعات و XSS در Microsift SharePoint Server  به واسطه پاک سازی نشدن مناسب یک درخواست جعلی خاص گزارش شده است.
میزان آسیب‌پذیری Samba هم زیاد گزارش شده که سبب جلوگیری از سرویس به واسطه نقص در عملکرد smbd و افتادن تابع fd-open-atomic در حلقه بی نهایت و مصرف بالای پردازنده و حافظه می‌شود.
در این بخش آسیب‌پذیری‌هایActive Directory و Hyper-V نیز دچار آسیب‌پذیری با سطح خطر متوسط هستند.

 سیستم‌های عامل

در این بخش مرکز ماهر تعداد زیادی آسیب‌پذیری با سطح خطر زیاد و متوسط در لینوکس و ویندوز شناسایی کرده است.
در لینوکس چندین آسیب‌پذیری برای به دست آوردن اطلاعات حساس و جلوگیری از سرویس در نسخه‌های مختلف هسته لینوکس گزارش شده که البته برای برخی از آنها هنوز راه حلی ارایه نشده است.
در ویندوز مواردی چون آسیب‌پذیری افزایش سطح دسترسی و اجرای کد دلخواه در DirectX با استفاده از اجرای برنامه کاربری جعلی روی سیستم قربانی، آشکارسازی اطلاعات در هسته ویندوز، آشکارسازی اطلاعات و اجرای کد از راه دور در ویندوز به واسطه مدیریت نادرست در حافظه توسط Windows Search با ارسال یک متن جعلی، افزایش سطح دسترسی، آشکارسازی اطلاعات و اجرای کد دلخواه در مولفه Graphics ویندوز ازجمله آسیب‌پذیری‌های گزارش شده است.
در Apple iTunes، iOS، iCloud، macOS، tvOS، Safari و watchOS نیز آسیب‌پذیری‌های دورزدن محدودیت‌های امنیتی، افزایش سطح دسترسی، به دست آوردن اطلاعات حساس، اجرای کد از راه دور و جلوگیری از سرویس در محصولات apple وجود دارد.

 محیط‌های برنامه‌نویسی

مرکز ماهر درباره آسیب‌پذیری در محیط‌های برنامه نویسی شامل Joomla، Drupal و WordPress هشدار داده است. جلوگیری از سرویس، دور زدن محدودیت‌های امنیتی و نقص در عملکرد از جمله این آسیب‌پذیری‌هاست که اکثر آنها در نسخه‌های بالاتر برطرف شده است.

 مرورگرهای اینترنت

در بخش مرورگرها نیز Microsoft Edge با چندین آسیب‌پذیری با سطح خطر زیاد مواجه است که شامل دورزدن محدودیت‌های امنیتی، به دست آوردن اطلاعات حساس و جلوگیری از سرویس است.
Internet Explorer نیز آسیب‌پذیری‌هایی شامل اجرای کد از راه دور و آشکارسازی اطلاعات حساس به واسطه دسترسی نامناسب به اشیا و مدیریت نادرست اشیا در حافظه و برای Chrome چندین آسیب‌پذیری جلوگیری از سرویس در این مرورگر گزارش شده است. این آسیب‌پذیری‌ها در آخرین نسخه مرورگرها رفع شده است.

 تجهیزات شبکه، دیواره‌های آتش و ضدبدافزار

در بخش مجازی سازی محصولات VMware با آسیب‌پذیری‌های خطرناکی شامل جلوگیری از سرویس و اجرای کد روبه رو هستند. همچنین در بخش تجهیزات شبکه محصولات Cisco، QNAP QTS و Mikrotik با آسیب‌پذیری‌هایی رو به رو هستند که مسوولان شبکه شرکت‌ها باید به آن توجه کنند.
اما نکته جالب اینکه دو آنتی ویروس Avast و McAfee که قرار است مانع آسیب‌پذیری باشند، با مشکل مواجهند. براساس این گزارش آنتی ویروس‌های نسخه قبل از ۱۷ Avast ممکن است با آسیب‌پذیری دورزدن محدودیت‌های امنیتی و جلوگیری از سرویس
مواجه شوند.
مکافی نیز مشکل جلوگیری از سرویس در نسخه‌های سازمانی را به واسطه وجود خرابی حافظه با استفاده از یک لینک HTML جعلی دارد که البته تاکنون راه حلی برای آن ارایه نشده است.

 نرم‌افزارهای کاربردی

یکی از نرم افزارهای پرکاربرد ایرانی‌ها OpenVPN است که چندین آسیب‌پذیری شامل آشکارسازی اطلاعات، خرابی حافظه و جلوگیری از سرویس در آن شناسایی شده که البته در نسخه‌های جدید این مشکلات برطرف شده است.
نرم افزار Microsoft Office هم با مشکل اجرای کد از راه دور به واسطه بروز خطا هنگام مدیریت اشیا در حافظه در صورت بازکردن یک فایل جعلی خاص مواجه است.
Photoshop، SolarWinds LEM، Foxit Reader and PhantomPDF، Kerio Connect، Veritas Net Backup، McAfee NDLP، ۷ ZIP، Skype، NVIDIA Display Driver، Adobe Flash Player، Adobe Shockwave Player، Wireshark، glibc، FFmpeg، Acronis True Image، Webmin و Vim دیگر نرم افزارهای پرکاربردی است که مرکز ماهر آسیب‌پذیری‌های آنها را گزارش کرده و البته اکثر آنها در صورت به روز رسانی به موقع، مشکل‌شان رفع خواهد شد.