همراهان امنیت سکان آکادمی، خوشحالیم که همچنان با ما همراه هستید. در این بخش قصد داریم کمی بیشتر در مورد آسیب پذیری افشای اطلاعات، صحبت کنیم و شما را با انواع آن و زمان هایی که ممکن است این آسیب پذیری رخ دهد، آشنا کنیم.
انواع افشای داده های حساس
افشای داده های حساس می تواند از سه نوع زیر باشد:
- نقض محرمانگی: در مواردی که افشای غیرمجاز یا تصادفی یا دسترسی به داده های حساس وجود دارد.
- نقض یکپارچگی: جایی که تغییر غیرمجاز یا تصادفی داده های حساس وجود دارد.
- نقض دسترسی: در مواردی که به صورت غیرمجاز یا تصادفی دسترسی به داده های حساس از بین می رود که شامل از دست دادن دائم و موقت داده های حساس می شود.
چه زمانی آسیب پذیری Sensitive Data Exposure رخ می دهد؟
وقتی که یک برنامه ی وب، به اندازه ی کافی از اطلاعات حساس در برابر مهاجمان محافظت نمی کند، منجر به آسیب پذیری Sensitive Data Exposure، می شود. برنامه هایی که میزبان اطلاعاتی مانند شماره ی کارت اعتباری، سابقه های پزشکی، session ها یا سایر اعتبارنامه های احراز هویت هستند، آسیب پذیرترین آن ها هستند.
به طور معمول اعتقاد بر این است که اگر در رمزگذاری داده ها غفلت کنیم، رایج ترین اشتباه را مرتکب شده ایم. همچنین ارسال یک رمز عبور در clear text، یکی از نمونه های رایج این آسیب پذیری است.
راه هایی که داده های حساس را در خطر افشا قرار می دهد
بدانید و آگاه باشید که هر زمان یک سازمان، فاقد روش های امنیتی باشد، داده ها در خطر افشا قرار می گیرند. برای این که سازمان، از نظر امنیتی قوی شود و بتواند جلوی حملات را بگیرد یا حتی باعث کاهش حملات شود نیاز است ابتدا تیم های توسعه و امنیت، خودشان را تقویت کنند. برای تقویت تیم های توسعه و امنیت، ابتدا باید درک درست و قوی ای از روش های افشای داده ها، داشته باشند. یعنی باید یاد بگیرند چه زمانی و به چه روشی، داده های حساس ممکن است افشا شوند.
بعد از آن می توانند سناریو های حمله را پیش بینی کرده و با آن مقابله کنند یا برای جلوگیری از آن، استراتژی هایی طراحی نمایند. برخی از روش هایی که نیاز است در مورد آن ها، دانش خوبی داشته باشند، در ادامه ذکر شده است:
Data in Transit (داده های در حال انتقال)
داده ها به طور معمول، در حال حرکت هستند و دستور ها و درخواست ها را در سراسر شبکه به سرورها، برنامه ها یا کاربران دیگر ارسال می کنند. داده های در حال انتقال بسیار آسیب پذیرند، به ویژه زمانی که در کانال های محافظت نشده یا رابط برنامه نویسی برنامه (API) حرکت می کنند که به برنامه ها اجازه می دهد با یکدیگر ارتباط برقرار کنند.
یکی از حملاتی که داده های در حال انتقال را هدف قرار می دهد، حمله ی man-in-the-middle (MITM) است که ترافیک را رهگیری کرده و ارتباط ها را نظارت می کند. مجرمان سایبری این وسط یعنی دقیقا بین مبدا و مقصد قرار می گیرند. آن ها می توانند تمام داده هایی که در حال انتقال هستند (از جمله رمز های ورود) را رهگیری کنند.
برای نمونه برخی مهاجمان، یک حمله ی SSL را طراحی می کنند. کد SSL برای رمزگذاری داده ها استفاده می شود و در صورت رهگیری، رمزگشایی به متن ساده را دشوارتر می کند. یک حمله SSL می تواند اسکریپت امن را تقلید کند و کاربران را فریب دهد تا روی کدهای مخرب کلیک کنند. آسیب پذیری در پروتکل های SSL می تواند فضایی را برای حملات تزریق کد مانند cross-site scripting (XSS) که می تواند درخواست های مخرب در سمت مرورگر را اجرا کند، باز کند.
Data at Rest (داده در حالت استراحت)
داده ها در حالت استراحت، در یک سیستم قرار می گیرند، خواه کامپیوتر باشد یا شبکه. مهاجمان از روش های مختلفی برای به دست آوردن داده های ذخیره شده استفاده می کنند. به طور معمول از بدافزارهایی مانند اسب های تروجان یا کرم های رایانه ای استفاده می کنند. هر دوی این بدافزارها از طریق دانلود یک لینک مخرب که ممکن است از طریق ایمیل یا پیام رسان ها به دست قربانی رسیده باشد یا متصل کردن یک USB به سیستم شما دسترسی پیدا کنند.
اگر داده ها در یک سرور نگه داری شوند، مهاجمان می توانند اطلاعات ذخیره شده در فایل های خارج از ناحیه ی دسترسی تایید شده را نیز به دست آورند. این کار به احتمال زیاد، نیاز به یک پیمایش دایرکتوری یا حمله ی پیمایش مسیر دارد. برای این که به ناحیه ها یا مسیر های غیر مجاز در سرور دسترسی پیدا کنند.
به طور معمول، مسیر هایی در سرور هستند که دسترسی به آن ها غیر مجاز است یا اینکه دسترسی محدودی روی آن ها قرار داده شده است. اما یک مهاجم، هدفش این است که به آن مسیر ها دست پیدا کن. پس در صورت وجود این آسیب پذیری، انجام دادن یک یا چند حمله ی اضافی، برایش سخت نخواهد بود.
بزرگترین نمونه ی افشای داده های حساس
افشای داده ها به یک اصطلاح شناخته شده تبدیل شده است. میلیاردها نفر در معرض خطر افشای داده های حساس هستند، که باید امنیت را در ابتدای لیست کارهایشان قرار دهند. با این حال، همچنان توسعه دهندگان برای برآورده کردن خواسته های کارفرماها و تحت فشار های فورس بودن کار، عجله دارند. مهاجمان می دانند که چرخه های توسعه ی سریع، مستعد آسیب پذیری هستند و آسیب پذیری هایی را هدف قرار می دهند که می توانند در یک حمله، از آن ها بهره برداری کنند.
دو مورد از بزرگ ترین تخلفات در قرن گذشته نزدیک به 3.5 میلیارد نفر را تحت تاثیر قرار دادند که بزرگ ترین آن ها برای سه سال مورد توجه قرار نگرفت.
بزرگ ترین نمونه ی افشای داده های حساس تا به امروز، بر 3 میلیارد حساب کاربری تاثیر گذاشته است. رخنه در داده ها برای yahoo، در سال 2013 شروع شد و در نتیجه، هکرها 1 میلیارد حساب کاربری از جمله آدرس ایمیل، رمز عبور و پرسش ها و پاسخ های امنیتی آن ها را جمع آوری کردند. تیم های مختلفی از هکرها، yahoo را هدف قرار دادند! در سال 2014، میزان افشای داده ها بیشتر شد و 500 میلیون کاربر را تحت تاثیر قرار داد. هر دو رویداد تا سال 2016، به طور علنی، اعلام نشدند و بعد از گذشت چند سال، گزارش آن منتظر شد. حدود 3 میلیارد حساب کاربران در معرض خطر قرار گرفت و اعتماد مشتریان کم شد و ارزش شرکت را میلیون ها دلار کاهش داد.
در سال 2017، Equifax، آژانس گزارش اعتباری پیشرو در ایالات متحده، قربانی شد. هکر هایی که آسیب پذیری را در سرور ها و گواهی رمزگذاری منقضی شده پیدا کرده بودند، میلیون ها اعتبار کاربری را به سرقت بردند. با دسترسی به سیستم Equifax، هکرها توانستند اعتبارنامه ها را به صورت متن ساده به سرقت ببرند و از آن ها برای دسترسی به حساب های کاربران و مدیران استفاده کنند.
مهاجمان از شبکه ی منبع باز جاوا به نفع خود استفاده کردند و درخواست های HTTP را با کدهای مخرب ارسال کردند. کارهای مخرب مهاجمان، هیچ رفتار مشکوکی نشان ندادند و قابل تشخیص نبودند و به همین علت موفقیت آمیز بودند. جالب است بدانید که مهاجمان پا را ا فراتر گذاشتند و توانستند دسترسی ها را برای نزدیک به دو ماه حفظ کنند. ضربه ی بزرگی به شهرت Equifax وارد کرد و بیش از یک ماه پس از کشف تخلف، آن را گزارش نکرد.
جمع بندی
با توجه به مفاهیمی که در این بخش برایتان گفتیم، باید به اهمیت موضوع افشای داده ها، پی برده باشید. به طور حتم متوجه شده اید که چقدر می تواند خطرناک باشد. در دنیای ما، دستگاه های تلفن همراه، استفاده از اینترنت را به طور چشمگیری افزایش داده است. در پی آن، بانک ها، بیمارستان ها، خرده فروشی ها و بسیاری از صنایع دیگر، کسب و کارشان را با ایجاد یک حضور آنلاین کاربرپسند و کارآمد پر رنگ کرده اند. در عوض مهاجمان هم، خودشان را به روز کرده و منتظر فرصت مناسب هستند.
مهاجمان، برنامه های دارای آسیب پذیری را هدف قرار می دهند که داده های حساس را بدون محافظت می گذارند. امروزه افشای داده ها رایج است و تهدیدی بزرگ تر از همیشه به شمار می رود، زیرا امنیت برنامه ها ممکن است گاهی بسیار عقب تر از تکنیک های حمله باشند. برای این که با مفاهیم بیشتری در مورد حملات مهاجمان آشنا شوید، پیشنهاد می کنیم بخش بعد را مطالعه نمایید.