به گزارش ماهر، مرورگر گوگل Chrome در دوم سپتامبر دومین سالگرد تولد خود را با انتشار اصلاحیه جشن گرفته است. در نسخه ۶٫۰ chrome که برای ویندوز، مک و لینوکس عرضه شده است، جمعاً ۱۵ آسیب پذیری امنیتی اصلاح شده اند.

با توجه به سیاست گوگل که به محققان برای کشف آسیب پذیری های امنیتی مهم جایزه می دهد، این اصلاحیه ۴۳۰۰ دلار برای گوگل خرج داشته است.

این به روز رسانی همچنین حاوی اصلاحی برای یک گردش کاری در مورد ایرادی در هسته ویندوز است که به اشتباه اعلام شده بود در نسخه ۵٫۰٫۳۷۵٫۱۲۷ برطرف شده است.

• [۳۴۴۱۴] Low Pop-up blocker bypass with blank frame target.
• [37201] Medium URL bar visual spoofing with homographic sequences.
• [41654] Medium Apply more restrictions on setting clipboard content.
• [45659] High Stale pointer with SVG filters.
• [45876] Medium Possible installed extension enumeration.
• [46750] [51846] Low Browser NULL crash with WebSockets.
• [$1000] [50386] High Use-after-free in Notifications presenter.
• [50839] High Notification permissions memory corruption.
• [$1337] [51630] [51739] High Integer errors in WebSockets.
• [$500] [51653] High Memory corruption with counter nodes.
• [51727] Low Avoid storing excessive autocomplete entries.
• [52443] High Stale pointer in focus handling.
• [$1000] [52682] High Sandbox parameter deserialization error.
• [$500] [53001] Medium Cross-origin image theft.

خبر های مرتبط:

1. عرضه نسخه سیزدهم مرورگر Chrome گوگل + دانلود
2. Chrome 6، آخرین نسخه مرورگر گوگل متناسب با صفحات لمسی
3. عرضه نسخه دهم مرورگر Chrome گوگل + دانلود

شرکت Apple با عرضه نسخه های Safari 5.0 و Safari 4.1، تعداد ۴۸ آسیب پذیری را در این مرورگر برطرف کرد.

به گزارش ماهر، شرکت Apple نسخه جدید مرورگر Safari را که شامل اصلاحیه هایی برای ۴۸ حفره امنیتی می باشد، عرضه کرد. اغلب این حفره ها در تکنولوژی WebKit قرار دارند که موتور متن باز این مرورگر است. بسیاری از این آسیب پذیری ها باعث می شوند که در اثر مشاهده یک صفحه وب خرابکار، سیستم در معرض حملات drive-by-download (اجرای کد از راه دور) قرار گیرد.

روز دوشنبه، نسخه های Safari 5 و Safari 4.1 برای سیستم های ویندوز و Mac عرضه شد. جزئیات امنیتی در راهنمایی امنیتی شرکت Apple ارائه شده است.

این به روز رسانی، باعث می شود که مرورگر پیش از ورود به یک آدرس وب HTTP یا HTTPS که شامل اطلاعات کاربر است، هشداری را نمایش دهد که موجب می شود در مقابل حملات سرقت هویت محافظت بهتری اعمال گردد. همچنین یک سرریز بافر heap در مدیریت تصاویری که از تکنولوژی ColorSync استفاده می کنند و می تواند منجر به از کار افتادن برنامه یا اجرای کد دلخواه گردد، از آسیب پذیری های رفع شده در این به روز رسانی است. رفع مشکل دیگری در مدیریت فایل های PDF این مرورگر نیز، از دیگر نتایج این به روز رسانی است.

این نرم افزار همچنین ۴۴ حفره را در WebKit برطرف می کند که می تواند منجر به انواع مختلفی از حملات و سوء استفاده ها گردد. از جمله این حملات و سوء استفاده ها می توان به موارد زیر اشاره کرد:

افشای اطلاعات، حملات CSS، اعمال غیر منتظره بر روی سایت های دیگر که از طریق تعامل با یک صفحه وب خرابکار انجام می شود، نشت داده ها از طریق مشاهده یک سایت HTTPS که به یک سایت HTTP منتقل می شود، ارسال داده ها به یک سرور IRC از طریق مشاهده یک وب سایت خرابکار، و انواع زیادی از حملات اجرای کد دلخواه از طریق مشاهده یک سایت خرابکار.

خبر های مرتبط:

1. افشای اطلاعات شخصی توسط Safari
2. نسخه جدید سیستم عامل جدید آی پد عرضه شد
3. انتشار مرورگر اینترنت اکسپلورر ۹ نسخه RC

شرکت گوگل مجموعه وصله های امنیتی تازه‌ای را برای مرورگر کروم عرضه کرد.

به گزارش فارس، این وصله ها ۱۱ آسیب پذیری را در مرورگر کروم و نسخه های سازگار با ویندوز،‌ مک و لینوکس برطرف می کند.

از میان این آسیب پذیری ها ۸ مورد با درجه بسیار پرخطر طبقه بندی شده اند و میزان خطر حاصل از بقیه آسیب پذیری ها متوسط است.

این آسیب پذیری ها از ایجاد اختلال در عملکرد حافظه رایانه تا اشکالات موسوم به cross site scripting را در بر می گیرد.

از میان این آسیب پذیری ها دو مورد توسط محققان و متخصصان ثالث شناسایی شده اند و گوگل به افرادی که آنها را شناسایی کرده اند پاداش نقدی داده است.

به روزرسانی کروم دو روز پس از آن صورت می گیرد که مایکروسافت و اپل مرورگرهای ساخت خود یعنی IE و سفری را به روز کردند. مرورگر کروم از نظر تعداد کاربر و محبوبیت رتبه سوم را به خود اختصاص داده اند.

خبر های مرتبط:

1. IE و گوگل کروم ایمن تر از فایر فوکس هستند
2. اصلاحیه هایی برای ۱۰ آسیب پذیری امنیتی در فایرفاکس
3. پلاگین های امنیتی برای مرورگر کروم گوگل

به گزارش

این گزارش آماری با توجه به بولتن های امنیتی مایکروسافت در طول سال ۲۰۰۹ تنظیم شده است و در آنها آسیب پذیری هایی بررسی شده اند که می توانستند با مدیریت حق دسترسی کاهش پیدا کنند.

مایکروسافت  ماهیانه اصلاحیه هایی را برای آسیب پذیری های شناخته شده منتشر می کند. با این وجود همواره مدت زمانی طول می کشد تا آسیب پذیری ها شناسایی شده و سپس اصلاحیه مربوطه آماده و منتشر شود. در این فاصله زمانی که به window of opportunity یا پنجره فرصت برای هکرها معروف است، تهدیدها می توانند به شبکه ها آسیب زده و یا منجر به از دست رفتن اطلاعات حساس شوند. لذا همه شرکت ها باید راه حلی را برای مدیریت حق دسترسی (Privilege Identity Management) تعریف کرده تا میزان خطر و امکان سوء استفاده  از آسیب پذیری های کشف نشده را کاهش دهند. این مدیریت باید به گونه ای باشد که با وجود عدم اعطای اختیارات مدیریتی به کاربران، قدرت عملیاتی آنها را حفظ کند.

البته توصیه کارشناسان امنیتی مبنی بر کاهش حق دسترسی از سالها پیش مطرح شده است و در حال حاضر امکان پیاده سازی آن در سیستم عامل های جدید راحت تر شده است. اما با در نظر گرفتن موارد مذکور و با وجود آنکه مسئله مدیریت حق دسترسی یک پروسه ممیزی امنیتی اصلی و مهم است، بسیاری از شرکت ها و همچنین کاربران تمایلی به اجرای آن ندارند. این یک روش پیشگیری است و همواره پیشگیری بهتر از درمان است. در این گزارش نشان داده شده است که یک مدیریت حق دسترسی مؤثر تا چه میزان می تواند از بروز حملات با سوءاستفاده  از آسیب پذیری ها، پیشگیری کند.

در زیر یافته های کلیدی گزارش مذکور در مورد درصد کاهش خطر نقص های امنیتی آمده است:

• خطر ۹۰ درصد آسیب پذیری های بسیار خطرناک سیستم عامل ویندوز ۷ با login کاربران به عنوان کاربر استاندارد کاهش پیدا می کنند.
• خطر ۱۰۰ درصد آسیب پذیری های گزارش شده در آفیس در سال ۲۰۰۹، با تنظیم حداقل حق دسترسی کاهش پیدا می کنند.
• خطر ۹۴ درصد آسیب پذیری های IE و ۱۰۰ درصد آسیب پذیری های IE8 در سال ۲۰۰۹ از طریق مذکور کاهش پیدا می یابد.
• خطر ۶۴ درصد کل آسیب پذیری های گزارش شده در مایکروسافت  با تنظیم حداقل حق دسترسی کاهش پیدا می کنند.
• خطر ۸۷ درصد آسیب پذیری های طبقه بندی شده در زمره آسیب پذیری های اجرای کد از راه دور با حذف حق دسترسی مدیر سیستم کاهش پیدا می کنند.

خبر های مرتبط:

1. آسیب پذیری محصولات اپل بیش از مایکروسافت
2. هر کامپیوتر بطور میانگین دارای ۱۲ آسیب پذیری مختلف است
3. بررسی آسیب‌پذیری امنیتی GPRS همراه اول

در طی سالهای اخیر بسیاری از شرکت ها برای راحتی بیشتر مشتریان و کارمندان خود، برخی امکانات اضافی را به برنامه های کاربردی موجود اضافه کرده و یا برنامه های کاربردی جدیدی را پیاده سازی کرده اند.

برای مثال می توان به دسترسی آنلاین به خدمات بانکی و یا گسترش شیوه های ارتباط الکترونیک برای کارمندانی که در خانه کار می کنند، اشاره کرد. از طرف دیگر بسیاری از شرکت ها به ضرورت حضور در اینترنت برای جذب مشتریان بالقوه و حفظ مشتریان فعلی پی برده اند. در هر دو مورد، زمانی که بحث حضور در اینترنت پیش می آید، عنصر امنیت به خصوص امنیت سرورها اهمیت ویژه ای پیدا می کند.

سرورهای وب ، در کنار سرویس های مفید خود، مجموعه جدیدی از آسیب پذیری ها را نیز پدید آورده اند که لازم است دست اندرکاران سیستم های رایانه ای، به خصوص سیستم های مبتنی بر وب، آنها را جدی تلقی کنند. البته آسیب پذیری ها به سرورها محدود نمی شوند و ممکن است به صورت عمدی یا غیر عمدی در طراحی و پیاده سازی برنامه های کاربردی، حتی برنامه هایی که مدتهاست در حال کار هستند، ایجاد شده باشند. به همین جهت شناسایی آسیب پذیری ها و میزان نفوذ و تأثیر آنها بر روی سیستم از اهمیت ویژه ای برخوردار است. لذا بسیاری از شرکت ها برای نیل به هدف فوق از تست نفوذ استفاده می کنند.

در این مقاله مفهوم تست نفوذ و تعاریف مرتبط با آن را توضیح می دهیم و در مقاله بعدی درباره شیوه اجرای آن صحبت خواهیم کرد.

تست نفوذ چیست؟

یک تست نفوذ یا Penetration Test یک پروسه مجاز، برنامه ریزی شده و سیستماتیک برای به کارگیری آسیب پذیری ها جهت نفوذ به سرور، شبکه و یا منابع برنامه های کاربردی است. در واقع تست نفوذ روشی برای ارزیابی امنیتی یک سیستم یا شبکه کامپیوتری است که از طریق شبیه سازی حمله یک هکر یا نفوذگر خرابکار صورت می گیرد. پروسه تست نفوذ یک تحلیل فعال از سیستم برای یافتن هر حفره، آسیب پذیری و نقص فنی است که بالقوه یک ضعف امنیتی سیستم محسوب می شود.

این تحلیل در مقام یک هکر بالقوه انجام می شود و در آن می توان از آسیب پذیری های امنیتی فعال برای اجرای حملات استفاده کرد. همه مشکلات امنیتی باید همراه با ارزیابی میزان اهمیت آنها و همچنین پیشنهاد هایی برای کاهش اثر خطرات و یا راه حل های فنی به صاحب سیستم ارائه شوند. تست نفوذ می تواند با استفاده از منابع داخلی همچون سیستم امنیتی میزبان و یا منابع خارجی همچون اتصالات شرکت به اینترنت هدایت شود. در این تست معمولاً از یک سری ابزارهای اتوماتیک و یا دستی برای آزمودن منابع سیستم استفاده می شود.

البته انجام تست نفوذ بر روی سیستم های فعال، خطر از هم گسستن آنها را در پی دارد زیرا اجرا کردن حملات فعال بر روی سیستم ممکن است منجر به از کار افتادگی، بروز برخی رفتارهای غیر قابل پیش بینی و بی ثباتی سیستم شود.

تست نفوذ چه چیزی نیست؟

یک اقدام هماهنگ نشده برای دسترسی بدون اجازه به منابع را نمی توان یک تست نفوذ دانست. تست نفوذ باید به صورت برنامه ریزی شده و هماهنگ با صاحبان سیستم انجام شود. کمترین تأثیر تست نفوذ بر سیستم، ایجاد هشدارهایی بر روی سیستم تشخیص نفوذ یا IDS (در صورت وجود) است. به علاوه برخی تست ها منجر به از کار افتادن تجهیزات شبکه یا سیستم می شوند و به همین علت آگاهی مدیران و کارمندان از انجام تست نفوذ یک ضرورت به حساب می آید. تنها مورد استثناء در آگاهی دادن کامل به کارمندان، مربوط به تست سیستم تشخیص نفوذ و عکس العمل کارمندان در برابر آن است. بنابراین گرفتن مجوز از مدیریت برای انجام تست نفوذ جهت پذیرش پیامدهای آن، ضروری محسوب می شود.

چه چیزهایی باید تست شوند؟

در تست نفوذ لازم است تمام سرویس های درونی که توسط شرکت ارائه می شوند، مورد بررسی و آزمون قرار گیرند. سرویس های مذکور عبارتند از: Mail، DNS، سیستم های فایروال، ساختار کلمات عبور، سیستم های پروتکل انتقال فایل  (FTP)و وب سرورها. طبق اطلاعات جدید سیستم های بی سیم شرکت و Public Branch Exchange(PBX) نیز باید مورد تست قرار گیرند. از طرف دیگر روش های بالقوه نفوذ مانند دسترسی به منابع شبکه و شیوه به دست آوردن اطلاعات نیز باید مورد بررسی قرار گیرند. همچنین تلاش های مهندسی اجتماعی را نیز برای دسترسی به منابع باید در نظر گرفت.

روش های تست: جعبه سیاه در مقابل جعبه سفید

تست نفوذ و یا ارزیابی آسیب پذیری ها از دیدگاه مدیریتی به دو روش اساسی می تواند انجام شود. در واقع تست نفوذ می تواند به صورت محرمانه (تست جعبه سیاه) و یا به صورت عمومی (تست جعبه سفید) انجام پذیرد.

تفاوت اصلی در این روشها میزان دانش تست کنندگان از جزئیات پیاده سازی سیستم مورد بررسی است. در تست نفوذ به روش جعبه سیاه فرض می شود تست کنندگان هیچگونه اطلاعاتی از زیرساخت های سیستم ندارند و لذا ابتدا باید گستردگی و توزیع سیستم را یافته و سپس شروع به تحلیل کنند. این مرحله بسیار زمان بر بوده و به عنوان مرحله جمع آوری اطلاعات شناخته می شود.

در نقطه مقابل و در انتهای دیگر طیف، روش جعبه سفید وجود دارد که در آن اطلاعات کامل زیر ساخت، در اختیار تست کنندگان قرار می گیرد. این اطلاعات معمولاً شامل نمودارهای شبکه، کد منبع و اطلاعات آدرس دهی IP است. در میان این دو، طیف گسترده ای وجود دارد که آن را به عنوان روش جعبه خاکستری می شناسند. همچنین تست های نفوذ بنا بر میزان اطلاعاتی که در اختیار تست کنندگان قرار می گیرد به عنوان تست های “افشای کامل”، “افشای جزئی” و یا “کور” نیز توضیح داده می شوند.

بحث هایی بر سر میزان شایستگی نسبی هر کدام از این روش ها وجود دارد. تست به روش جعبه سیاه حملاتی را از طرف یک فرد ناآشنا با سیستم شبیه سازی می کند. تست نفوذ به روش جعبه سفید حملاتی را از داخل سازمان و یا بعد از نشت اطلاعات حساس شبیه سازی می کند که در آن مهاجم به نقشه شبکه، کد منبع و حتی برخی از کلمات عبور دسترسی دارد.

تست داخلی در مقابل تست خارجی

امروزه بسیاری از سازمان ها و شرکت ها دارای شبکه داخلی یا LAN هستند که از طریق آن بین کامپیوترها و منابع ارتباط برقرار کرده و می توانند برخی از منابع را از این طریق به اشتراک گذارند. در اینجا منظور از شبکه داخلی همه کامپیوترها، سوئیچ ها، پرینترها و همه دستگاه های دیگری است که در داخل شرکت یا سازمان قابل دسترسی هستند.

منظور از دستگاه های خارجی، آنهایی هستند که از طریق اینترنت و یا بخش عمومی شبکه قابل دسترسی هستند. در این بخش دستگاه هایی مانند وب سرورها (HTTP)، میل سرورها (POP3 وSMTP) و سرورهای DNS وجود دارند. به این دستگاه ها منابع خارجی گفته شده و معمولاً از آنجایی که به اینترنت اتصال پیدا می کنند، میزان خطر آنها نسبت به منابع داخل سازمان بالاتر در نظر گرفته می شود، اما تحقیقات نشان داده است حدود ۵۰ درصد رخدادهای امنیتی در داخل سازمان رخ می دهند و هزینه ای را که بر سازمان تحمیل می کنند بسیار بیشتر از حملات خارج سازمانی است. برای مثال هر حمله داخلی به طور متوسط ۲٫۷ میلیون دلار و هر حمله خارجی ۵۷ هزار دلار برای شرکت اراکل هزینه دارد.

تست هایی که برای مشخص کردن آسیب پذیری های با دسترسی به منابع داخلی سازمان و یا از طریق مهندسی اجتماعی انجام می شوند، به عنوان تست نفوذ داخلی شناخته می شوند. تست های نفوذ داخلی می توانند به خوبی نشان دهنده حملاتی که با دسترسی های مجاز انجام می شوند باشند. برای مثال می توان به حملاتی که از طرف کارمندان اخراجی انجام می شود، اشاره کرد. در مقابل تست نفوذ خارجی برای شبیه سازی حملاتی است که از طریق اینترنت قابل انجام هستند. برای مثال در صورتی که هدف از انجام تست مطمئن شدن از امنیت پایگاه داده از سمت وب سایت سازمان است، تست نفوذ خارجی پیشنهاد می شود. البته بسیاری از سازمان ها و شرکت ها از هر دو روش برای تست نفوذ استفاده می کنند.

محدودیت های تست نفوذ

باید دقت داشت که تست نفوذ تنها یک تصویر لحظه ای از سیستم ها و شبکه ها در یک زمان مشخص است. تست نفوذ تنها بر روی سیستم هایی که در زمان اجرای تست در دسترس هستند و آسیب پذیری ها و نقص های امنیتی که توسط ابزارها و بسته های مختلف قابل شناسایی هستند، انجام می شود. به عبارت دیگر پروسه امنیت شبکه و سیستم، یک پروسه پیوسته و دائمی است زیرا به محض تمام شدن تست، ممکن است یک سیستم و یا برنامه کاربردی دیگر به مجموعه اضافه شده و در صورت اجرای دوباره تست نفوذ، نتایج متفاوتی حاصل گردد.

استانداردها و گواهینامه ها

انجام تست نفوذ می تواند منجر به افشای اطلاعات حساس سازمان مورد بررسی شود. به همین دلیل شرکت های امنیتی باید صریحاً نشان دهند که از هکرهای کلاه سیاه قبلی استفاده نکرده و همه کارمندان آنها به قوانین مربوط به کد نویسی اخلاقی پایبند هستند.  شرکت های امنیتی برای نشان دادن قابل اعتماد بودن خود، می توانند از گواهینامه های حرفه ای در این زمینه استفاده کنند.

موسسه (Information Assurance Certification Review Board (IACRB  یک گواهینامه تست نفوذ را به عنوان Certified Penetration Tester -CPT ارائه می دهد. برای دریافت CPT کاندیدا باید چندین امتحان تئوری را پشت سر گذاشته و سپس یک امتحان عملی را نیز با اجرای یک تست نفوذ بر روی سرورهای فعال پشت سر گذارد.

موسسه SANS یکی دیگر از موسساتی است که در زمینه های مختلف امنیت فناوری اطلاعات دوره های آموزشی دارد و یک گواهینامه امنیتی به نام (GIAC(Global Information Assurance Certification صادر می کند. دو نوع از گواهینامه های GIAC مختص به تست نفوذ هستند و با نام های GIAC Certified Penetration Tester(GPEN) و GIAC Web Application Penetration Tester(GWAPT) شناخته می شوند.

برای برنامه های کاربردی مبتنی بر وب،  (Open Web Application Security Project(OWASP یک چارچوب کاری را ارائه داده است که به عنوان یک محک (benchmark ) شناخته شده در سراسر جهان استفاده می شود.

چندین گواهینامه امنیتی نیز توسط دولت انگلیس تهیه شده است که در ابتدا هدف آنها سازمان های وابسته به دولت بود، ولی مدتی بعد در دسترس شرکت های تجاری که قصد دارند سطح بالایی از امنیت را برای مشتریان خود تضمین کنند، نیز قرار گرفت.

برای سالها تنها استاندارد تست نفوذ، الگوی CHECK بوده است که توسط گروه امنیت الکترونیک و ارتباطات انگلیس (CESG) تهیه شده است. این استاندارد در ابتدا یک پیش شرط اجباری برای تست های دولت مرکزی بوده ولی با توجه به قوانین انگلیس، اجرای آن برای دولت های محلی و شرکت های دولتی اجباری نبوده است. قابل ذکر است که استاندارد مذکور از سوی بخش خصوصی و شرکت های تجاری با استقبال خوبی روبرو شد.

الگوی TIGER یکی از الگوهای شناخته شده غیر دولتی انگلستان برای تست نفوذ است. برای به دست آوردن گواهینامه منطبق با الگوی مذکور، آموزش هایی توسط شرکت QBit ارائه می شود و برگزار کننده امتحانات مربوطه Glamorgan University است. برای گرفتن گواهینامه مذکور نیاز نیست فرد متقاضی در استخدام یک شرکت امنیتی باشد. گواهینامه تست کننده امنیتی ارشد (Tiger Senior Security Tester(SST)) معادل با رهبر تیم CHECK یا (CHECK Team Leader(CTL شناخته می شود.

گواهینامه (CREST(Council of Registered Ethical Security Testers نیز یک گواهینامه تست نفوذ انگلیسی است که بر مبنای استاندارد CREST داده می شود. موسسه CREST یک مجتمع غیر انتفاعی متشکل از ۱۵ شرکت امنیتی انگلیسی اجرا کننده تست نفوذ است. گواهینامه این موسسه نیز مانند گواهینامه CHECK تنها به کسانی که در استخدام شرکت های ارائه دهنده گواهینامه هستند، داده می شود.

منبع : ماهر

خبر های مرتبط:

1. اس اس ال یا لایه اتصال امن چیست؟
2. روال اجرای تست نفوذ
3. کرم کامپیوتری چیست و چگونه به کامپیوتر آسیب می زند؟