مدیریت هکرها

منتشر شده در دسته : بلاگ, تست نفوذ وب

هر کسی که یک اپلیکیشن وب طراحی می کند و اپلیکیشن وی به صورت ریموت قابل دسترسی است و امنیت دسترسی از اهمیت بالایی برای وی برخوردار است بایستی یک فرض ساده داشته باشد. وی بایستی فرض کند که اپلیکیشن وب به صورت اختصاصی توسط هکرهای حرفه ای مورد هدف و حمله قرار خواهد گرفت. کلید اصلی مکانیزم های امنیتی این است که قادر به مدیریت هکرها و مقابله با حملات به شیوه ای کنترل شده باشیم. این مکانیزم ها می تواند شامل روش های منفعل و فعال به منظور گمراه ساختن هکر و همچنین ارسال پیام های هشدار به مدیر اپلیکیشن در زمان رخداد حملات و یا ثبت وقایع و لاگ به منظور بررسی فارنزیک باشد. معیارهای پیاده سازی شده برای مدیریت هکرها و دفاع مناسب از اپلیکیشن شامل موارد زیر می باشد :

  • مدیریت خطاها
  • نگهداری لاگ های حسابرسی
  • هشدار مدیران
  • مقابله و واکنش به حملات

مدیریت هکرها : مدیریت خطاها

اولین راه مدیریت هکرها مدیریت خطاهای اپلیکیشن می باشد. با تمام تست های انجام شده و مراقبت ها در حین توسعه وب یک اپلیکیشن ممکن است با خطاهایی در حین اجرا مواجه شود. خطاهای ایجاد شده از کاربران عادی معمولا در تست های ساده قابل شناسایی هستند. در نتیجه معمولا قبل از اجرا اپلیکیشن در یک محیط تجاری برطرف می شوند. هرچند که پیش بینی همه راههای ممکن برای تعامل با اپلیکیشن توسط کاربر مخرب کاری دشوار است پس همیشه خطاهایی در حین رخداد حملات توسط هکرها ایجاد می شوند و در صفحه وب نمایش داده می شوند.

مشکل اصلی همین است که خطاها در صفحه وب نمایش داده می شود. در محیط تست اپلیکیشن این خطاها در حین دیباگ بسیار مفید و حتی یک نیاز محسوب می شوند ولی در یک محیط تجاری نمایش پیام خطا موجب شده تا هکرها بتوانند اطلاعات زیادی را درباره اپلیکیشن بدست آورند و بعضا خیلی ساده قادر به بکارگیری و نفوذ به اپلیکیشن باشند.

توصیه بر این است که به جای نمایش پیام های خطای سفارشی در صفحه وب از صفحات پیام خطای عمومی در اپلیکیشن ها (در حین اجرا در محیط تجاری) استفاده شود. پیام هایی همچون یک مشکلی در اجرای اپلیکیشن رخ داده است . به جای اینکه به حالت فنی جزئیات خطا در صفحه نمایش داده شود.

در عوض در صورتیکه توسعه دهنده نیاز به بررسی دلیل خطا دارد می تواند از لاگ های ذخیره شده بر روی سرور یا حتی خود اپلیکیشن استفاده کند. که در ادامه به توضیح آن می پردازیم

نگهداری لاگ های حسابرسی

از دیگر راههای مدیریت هکرها بررسی لاگ های حسابرسی می باشد. لاگ های حسابرسی در درجه اول در حین بررسی و بازرسی تلاش های نفوذ به اپلیکیشن دارای اهمیت هستند. از این طریق به حالت منفعل مدیر اپلیکیشن می تواند تشخیص دهد که دقیقا چه اتفاقی در اپلیکیشن رخ داده است , چه آسیب پذیری هایی توسط هکر بکارگیری شده است و اینکه آیا وی قادر به نفوذ و دسترسی به اپلیکیشن بوده یا خیر. هکر چه کارهایی را انجام داده است و در نهایت برای جمع آوری مدارک فارنزیک هویت وی را شناسایی کنیم

در هر اپلیکیشنی که امنیت مهم است , رخدادهای کلیدی بایستی لاگ شوند که شامل موارد زیر می باشد :

  • همه رخدادهای مرتبط با عملیات های احرازهویت , رخدادهایی همچون ورود موفقیت آمیز و یا ورودهای شکست خورده , تغییر پسوردها و …
  • تراکنش های کلیدی مثل پرداخت های کارت های اعتباری و نقل و انتقال های مالی
  • تلاش های دسترسی بلاک شده توسط مکانیزم های کنترل دسترسی
  • همه درخواست های حاوی رشته های شناخته شده که نشان دهنده مقاصد مخرب هستند.
  • در بسیاری از اپلیکیشن های امنیتی و حساس همچون اپلیکیشن های بانک های آنلاین , همه درخواست های کاربران به صورت کامل لاگ می شوند در نتیجه رکوردهای فارنزیک کاملی ایجاد شده تا بعدا بتوان به عنوان مدرک جرم از آنها استفاده کرد.

لاگ های حسابرسی موثر معمولا زمان وقوع هر رخداد , آدرس آیپی مرتبط با آن و حساب کاربری هدف (در صورتیکه احرازهویت شده باشد) را ثبت می کند. این نوع لاگ ها بایستی به شدت محافظت شوند تا از خواندن و نوشتن و دسترسی غیرمجاز به آن جلوگیری به عمل آید. در صورتیکه لاگ ها به دست هکر بیفتد مانند یک معدن طلای اطلاعات می باشد. هرچند لاگ ها اطلاعات مفیدی را در اختیار مدیران قرار می دهند ولی هیچ هشداری مبنی بر رخداد حمله ایجاد نمی کنند . در صورت رخداد حملات بایستی یکسری هشدارها برای مدیران ایجاد شود که به صورت فعال و در لحظه اقدامات مناسب را انجام دهند که در ادامه به توضیح این موضوع می پردازیم.

هشدار مدیران

لاگ ها به گذشته مربوط می شوند و برای بازرسی و حسابرسی نفوذ بسیار مفید هستند و با استفاده از آنها می توان اقدامات قانونی مناسب علیه هکر را انجام داد. هرچند در بسیاری از شرایط نیاز به اقدام سریع و در لحظه به منظور جلوگیری از شیوع حمله و انجام اقدامات بازدارنده می باشد. برای مثال مدیران می توانند آدرس آیپی یا حساب کاربری هکر را مسدود کنند . در شرایط حساس حتی می توان اپلیکیشن را به صورت موقت از دسترسی خارج کرد تا فاجعه ای رخ ندهد.

در بیشتر موقعیت های مکانیزم های هشدار دهنده بایستی بر اساس حساسیت موضوع تنظیم شوند. یک مکانیزم هشدار خوب می تواند از فاکتورهای گوناگونی برای تشخیص حمله بهره گیری کند. رخدادهای غیرعادی مانیتور شده در این زمینه فاکتوری کلیدی محسوب می شوند . شما می توانید در صورت بروز این نوع رخدادها یک سیستم هشدار (مثلا ارسال در لحظه ایمیل یا پیامک به مدیر) تنظیم کنید. کاری که من در سایت نت آموز پیاده سازی کردم که مثلا در صورتیکه کاربری در اثر لاگین های ناموفق بلاک شد یک ایمیل هشدار برای من ارسال کنید. همین کار را برای تعداد درخواست های لاگین غیرعادی از آدرس های آیپی مختلف برای یک حساب کاربری یگانه تعریف کرده ام. بنا به نوع اپلیکیشن و حساسیت موضوع می توانید در جای جای اپلیکیشن هشدارهایی را برای مدیران تنظیم کنید. برخی از رخدادهای مشکوک به شرح زیر می باشد :

استفاده های غیرعادی همچون تعداد درخواست های بالا از یک آدرس آیپی یا کاربر. این نوع درخواست ها معمولا توسط یک کاربر حقیقی ایجاد نمی شوند بلکه معمولا توسط ابزارهای اسکن و اسکریپت های بروت فورس و … بوجود می آیند.

تراکنش های غیرعادی همچون نقل و انتقالات مالی غیر عادی از یک حساب بانکی

درخواست های حاوی رشته های حمله شناخته شده

خوشحال می شویم دیدگاههای خود را در میان بگذارید * فرصت پاسخگویی به سوالات در بلاگ وجود ندارد

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *