**معرفی یک مدل امنیت نرم افزار با نام Building Security In Maturity Model
منابع، کتابها، استانداردها، چارچوبها و مقالات متعددی به موضوع امنیت شبکه، زیرساخت ، ارتباطات ، مدیریت امنیت و سایر حوزه ها پرداخته اند. در مقایسه، منابع، استانداردها و چارچوب های حوزه امنیت نرم افزار نسبت کمتری است. ازینرو شاید بتوان گفت به مبحث امنیت نرم افزار کمتر از بخشهای دیگر حوزه امنیت فناوری اطلاعات پرداخته شده است. قطعا دلایل متعددی را برای آن می توان متصور شد که شاید اندازه گیری دشوار آن و یا ناملموس بودن امنیت نرم افزار در مقایسه با سایر حوزه ها یکی از دلایل باشد.
به نظر بنده، این مسأله در کشور ما بیشتر عیان است و گاهی این ذهیت را پدیدار می سازد که گویی امنیت یک قابلیت است که از جای دیگری باید به یک نرم افزار اضافه می شود. چه بسیار نرم افزارهایی که پس از تولید، امکان امن سازی و حتی ارزیابی امنیتی آنها مهیا نشد و به ناچار در سازمانها و سیستمهایی که برای امنیت نسبت به بر قابلیت ها اولویت بیشتری قائل شدند، هرگز مجال ورود پیدا نکردند.
البته در اینکه سازمانها و موسساتی مانند OWASP و سایرین ، گامهایی در این بحث برداشته اند تردیدی نیست ولی به نظر تلاش های بیشتری تا پر کردن فاصله امنیت نرم افزار با امنیت سایر حوزه ها نیاز است.
البته شخصا امیدوارم این برداشت کاملا نادرست باشد و این ذهنیت فقط به دلیل دانش ناکافی بوجود آمده باشد. از دوستان متخصص در این حوزه تقاضا داریم با دانش کامل تر خود در صورت اشتباه در این گفتار، موارد ذکر شده را اصلاح فرمایند.
با دغدغه های فوق این بار به معرفی یک مدل امنیتی مرجع در حوزه امنیت نرم افزار می پردازیم.
مدل Building Security In Maturity Model که به اختصارBSIMM برای کمک به درک، سنجش و طرح ریزی یک software security initiative طراحی شده است. BSIMM با پایش و تحلیل داده های واقعی از 67 software security initiatives پیشرو ایجاد شده است. داده های شرکت های مختلف جمع آوری و تحلیل گردیده است.
مدل مورد بحث ما BSIMM نسخه 5 یا BSIMM-V می باشد.
در این چارچوب امنیت نرم افزار 12 تمرین(practice) در چهار حوزه حاکمیت(Governance)، هوشمندی(Intelligence)، SSDL Touchpoints و استقرار(Deployment) سازماندهی شده است.
این دوازده تمرین برای سازماندهی 112 فعالیت(activity) مدل BSIMM به کار می روند.
به امید خدا در فرصت های آتی بیشتر این مدل را تشریح خواهیم کرد.
# BSIMM # Building Security In Maturity Model #مدل امنیت نرم افزار #software security model
منابع
https://www.bsimm.com
منابع، کتابها، استانداردها، چارچوبها و مقالات متعددی به موضوع امنیت شبکه، زیرساخت ، ارتباطات ، مدیریت امنیت و سایر حوزه ها پرداخته اند. در مقایسه، منابع، استانداردها و چارچوب های حوزه امنیت نرم افزار نسبت کمتری است. ازینرو شاید بتوان گفت به مبحث امنیت نرم افزار کمتر از بخشهای دیگر حوزه امنیت فناوری اطلاعات پرداخته شده است. قطعا دلایل متعددی را برای آن می توان متصور شد که شاید اندازه گیری دشوار آن و یا ناملموس بودن امنیت نرم افزار در مقایسه با سایر حوزه ها یکی از دلایل باشد.
به نظر بنده، این مسأله در کشور ما بیشتر عیان است و گاهی این ذهیت را پدیدار می سازد که گویی امنیت یک قابلیت است که از جای دیگری باید به یک نرم افزار اضافه می شود. چه بسیار نرم افزارهایی که پس از تولید، امکان امن سازی و حتی ارزیابی امنیتی آنها مهیا نشد و به ناچار در سازمانها و سیستمهایی که برای امنیت نسبت به بر قابلیت ها اولویت بیشتری قائل شدند، هرگز مجال ورود پیدا نکردند.
البته در اینکه سازمانها و موسساتی مانند OWASP و سایرین ، گامهایی در این بحث برداشته اند تردیدی نیست ولی به نظر تلاش های بیشتری تا پر کردن فاصله امنیت نرم افزار با امنیت سایر حوزه ها نیاز است.
البته شخصا امیدوارم این برداشت کاملا نادرست باشد و این ذهنیت فقط به دلیل دانش ناکافی بوجود آمده باشد. از دوستان متخصص در این حوزه تقاضا داریم با دانش کامل تر خود در صورت اشتباه در این گفتار، موارد ذکر شده را اصلاح فرمایند.
با دغدغه های فوق این بار به معرفی یک مدل امنیتی مرجع در حوزه امنیت نرم افزار می پردازیم.
مدل Building Security In Maturity Model که به اختصارBSIMM برای کمک به درک، سنجش و طرح ریزی یک software security initiative طراحی شده است. BSIMM با پایش و تحلیل داده های واقعی از 67 software security initiatives پیشرو ایجاد شده است. داده های شرکت های مختلف جمع آوری و تحلیل گردیده است.
مدل مورد بحث ما BSIMM نسخه 5 یا BSIMM-V می باشد.
در این چارچوب امنیت نرم افزار 12 تمرین(practice) در چهار حوزه حاکمیت(Governance)، هوشمندی(Intelligence)، SSDL Touchpoints و استقرار(Deployment) سازماندهی شده است.
این دوازده تمرین برای سازماندهی 112 فعالیت(activity) مدل BSIMM به کار می روند.
به امید خدا در فرصت های آتی بیشتر این مدل را تشریح خواهیم کرد.
# BSIMM # Building Security In Maturity Model #مدل امنیت نرم افزار #software security model
منابع
https://www.bsimm.com
Blackduck
Building Security Maturity Model (BSIMM) Consulting Services | Black Duck
Building Security in Maturity Model security measurement from Black Duck. Learn more at Blackduck.com.
*مهارتهای تست نفوذ
چندی پیش یکی از دوستان درگروه، در مورد مهارتهای لازم برای Penetration testing یا همون تست نفوذ، سوال کردند.
یکی از منابعی که ازش استفاده کردیم این طوری عنوان کرده که مهارتهای مشترکی برای اینکار نیاز است که افراد میتونن سطوح مختلفی رو دارا باشند. این مهارتها عبارتند از:
1. تسلط به سیستم عامل
2. دانش خوب در زمینه شبکه و پروتکلهای شبکه
3. دانش اولیه در خصوص نوشتن اسکریپت مثل vbs یا bash
4. آشنایی با فایروال و چگونگی کارکرد و پیکر بندی اون
5. آشنایی به زبانهای برنامه نویسی
6. آشنایی با پایگاه های داده و چگونگی کار کردشون
7. آگاهی از قوانین جرایم رایانه ای
8. ...
از طرفی یکی از نمونه های ذکر شده برای شغل Penetration tester طبق لیست زیر اومده:
1. Windows, UNIX and Linux operating systems
2. C, C++, C#, Java, ASM, PHP, PERL
3. Network servers and networking tools (e.g. Nessus, nmap, Burp, etc.)
4. Computer hardware and software systems
5. Web-based applications
6. Security frameworks (e.g. ISO 27001/27002, NIST, HIPPA, SOX, etc.)
7. Security tools and products (Fortify, AppScan, etc.)
8. Vulnerability analysis and reverse engineering
9. Metasploit framework
10. Forensics tools
11. Cryptography principles
هر چند پاسخ به این سوال خیلی دقیق نمیتونه باشه وبه نظرم کامل نیست ولی معمولا متخصصان این کار همگی این مهارتها رو به خوبی دارند.
امیدوارم مفید واقع شده باشه.
#Penetration testing skill #تست نفوذ
منبع
https://resources.infosecinstitute.com/ideal-skill-set-for-the-penetration-testing
https://www.cyberdegrees.org/jobs/penetration-tester
چندی پیش یکی از دوستان درگروه، در مورد مهارتهای لازم برای Penetration testing یا همون تست نفوذ، سوال کردند.
یکی از منابعی که ازش استفاده کردیم این طوری عنوان کرده که مهارتهای مشترکی برای اینکار نیاز است که افراد میتونن سطوح مختلفی رو دارا باشند. این مهارتها عبارتند از:
1. تسلط به سیستم عامل
2. دانش خوب در زمینه شبکه و پروتکلهای شبکه
3. دانش اولیه در خصوص نوشتن اسکریپت مثل vbs یا bash
4. آشنایی با فایروال و چگونگی کارکرد و پیکر بندی اون
5. آشنایی به زبانهای برنامه نویسی
6. آشنایی با پایگاه های داده و چگونگی کار کردشون
7. آگاهی از قوانین جرایم رایانه ای
8. ...
از طرفی یکی از نمونه های ذکر شده برای شغل Penetration tester طبق لیست زیر اومده:
1. Windows, UNIX and Linux operating systems
2. C, C++, C#, Java, ASM, PHP, PERL
3. Network servers and networking tools (e.g. Nessus, nmap, Burp, etc.)
4. Computer hardware and software systems
5. Web-based applications
6. Security frameworks (e.g. ISO 27001/27002, NIST, HIPPA, SOX, etc.)
7. Security tools and products (Fortify, AppScan, etc.)
8. Vulnerability analysis and reverse engineering
9. Metasploit framework
10. Forensics tools
11. Cryptography principles
هر چند پاسخ به این سوال خیلی دقیق نمیتونه باشه وبه نظرم کامل نیست ولی معمولا متخصصان این کار همگی این مهارتها رو به خوبی دارند.
امیدوارم مفید واقع شده باشه.
#Penetration testing skill #تست نفوذ
منبع
https://resources.infosecinstitute.com/ideal-skill-set-for-the-penetration-testing
https://www.cyberdegrees.org/jobs/penetration-tester
Infosec Resources
Ideal Skill Set For the Penetration Testing
Based on questions I've gotten over the years and specifically in class, I've decided that we need to address some basic skills that every penetration
*پایگاه داده آسیب پذیری ها و Exploit ها
به توصیه یکی از دوستان امروز راجع به تعدادی پایگاه داده صحبت می کنیم. این پایگاه داده ها کارشون جمع آوری، حفظ و انتشار اطلاعات در مورد آسیب پذیری های کشف شده است. آسیب پذیری هایی که سیستم های کامپیوتری واقعی را هدف قرار داده اند.
در حال حاضر تعداد زیادی از این پایگاه های داده برای جمع آوری داده از منابع مختلف آسیب پذیری های نرم افزاری مورد استفاده قرار می گیرد. این اطلاعات اساسا شامل توصیف آسیب پذیری، چگونگی سو استفاده از آن(exploitability)، اثر بالقوه آن(potential impact) و سایر مسائل مرتبط با سیستم های آسیب پذیر است.
از پایگاه داده آسیب پذیری ها می توان به National Vulnerability Database و Open Source Vulnerability Database اشاره نمود.
این پایگاه داده هم برای هکرها و هم برای متخصصین امنیت مورد استفاده قرار می گیره.
بسیاری از فروشندگان محصولات امنیتی پایگاه داده های تجاری خود را دارند و تحلیلگران، تمام وقت مشغول پژوهش و انتشار اطلاعات آسیب پذیری ها هستند.
# Vulnerability Database
منبع
https://en.wikipedia.org/wiki/Vulnerability_database
لینک برخی از این پایگاه های داده رو برای استفاده میذارم
https://nvd.nist.gov
https://osvdb.org
https://www.exploit-db.com
https://www.rapid7.com/db/vulnerabilities
https://cxsecurity.com
https://cve.mitre.org/index.html
https://www.cvedetails.com
https://www.securityfocus.com/archive/1
وحتی برخی پایگاه داده های خاص مثل پایگاه داده آسیب پذیری های wordpress و drupal
https://www.wordpressexploit.com
https://www.drupalexploit.com
به توصیه یکی از دوستان امروز راجع به تعدادی پایگاه داده صحبت می کنیم. این پایگاه داده ها کارشون جمع آوری، حفظ و انتشار اطلاعات در مورد آسیب پذیری های کشف شده است. آسیب پذیری هایی که سیستم های کامپیوتری واقعی را هدف قرار داده اند.
در حال حاضر تعداد زیادی از این پایگاه های داده برای جمع آوری داده از منابع مختلف آسیب پذیری های نرم افزاری مورد استفاده قرار می گیرد. این اطلاعات اساسا شامل توصیف آسیب پذیری، چگونگی سو استفاده از آن(exploitability)، اثر بالقوه آن(potential impact) و سایر مسائل مرتبط با سیستم های آسیب پذیر است.
از پایگاه داده آسیب پذیری ها می توان به National Vulnerability Database و Open Source Vulnerability Database اشاره نمود.
این پایگاه داده هم برای هکرها و هم برای متخصصین امنیت مورد استفاده قرار می گیره.
بسیاری از فروشندگان محصولات امنیتی پایگاه داده های تجاری خود را دارند و تحلیلگران، تمام وقت مشغول پژوهش و انتشار اطلاعات آسیب پذیری ها هستند.
# Vulnerability Database
منبع
https://en.wikipedia.org/wiki/Vulnerability_database
لینک برخی از این پایگاه های داده رو برای استفاده میذارم
https://nvd.nist.gov
https://osvdb.org
https://www.exploit-db.com
https://www.rapid7.com/db/vulnerabilities
https://cxsecurity.com
https://cve.mitre.org/index.html
https://www.cvedetails.com
https://www.securityfocus.com/archive/1
وحتی برخی پایگاه داده های خاص مثل پایگاه داده آسیب پذیری های wordpress و drupal
https://www.wordpressexploit.com
https://www.drupalexploit.com
Wikipedia
Vulnerability database
computer security vulnerabilities
**آسیب پذیری خطرناک Joomla
یک آسیب پذیری خطرناک از نوع SQL injection در سیستم مدیریت محتوای Joomla کشف شد.
نرم افزار Joomla، پس از WordPress محبوبترین سیستم مدیریت محتوا(Content management system) است. Joomla نرم افزاری open source است و نزدیک به 3 میلیون نسخه از آن نصب و فعال است. حدود 2.7 درصد از 1 میلیون سایت برتر از Joomla استفاده می کنند.
باگ کشف شده در نسخه های 3.2 تا 4.4.4 وجود دارد.
محققان Trustwave SpiderLabs اعلام کردند این آسیب پذیری در صورتی که با دو ضعف امنیتی دیگر ترکیب شود می تواند باعث دسترسی کامل راهبری به هر سایت Joomla یی شود.
منشأ این آسیب پذیری کد یک فایل PHP در فولدر Administrator نرم افزار Joomla است. با استفاده از این آسیب پذیری، مهاجم می تواند یک session key را استخراج کرده و سپس با ارسال آن به بخش cookie در هنگام درخواست برای دسترسی به فولدر admin، دسترسی administrator را در اختیار بگیرد.
توسعه دهندگان Joomla روز 5 شنبه گذشته نسخه جدید 3.4.5 را برای رفع این آسیب پذیری ارائه کردند.
دوستانی که از این نرم افزار استفاده می کنند، لطفا سریع تر اقدامات لازم از جمله بروز رسانی را انجام دهند.
#آسیب پذیری #خبر #joomla
منبع
https://www.infosecurity-magazine.com/news/serious-sql-injection-flaw-found
https://threatpost.com/joomla-update-patches-critical-sql-injection-vulnerability/115142
یک آسیب پذیری خطرناک از نوع SQL injection در سیستم مدیریت محتوای Joomla کشف شد.
نرم افزار Joomla، پس از WordPress محبوبترین سیستم مدیریت محتوا(Content management system) است. Joomla نرم افزاری open source است و نزدیک به 3 میلیون نسخه از آن نصب و فعال است. حدود 2.7 درصد از 1 میلیون سایت برتر از Joomla استفاده می کنند.
باگ کشف شده در نسخه های 3.2 تا 4.4.4 وجود دارد.
محققان Trustwave SpiderLabs اعلام کردند این آسیب پذیری در صورتی که با دو ضعف امنیتی دیگر ترکیب شود می تواند باعث دسترسی کامل راهبری به هر سایت Joomla یی شود.
منشأ این آسیب پذیری کد یک فایل PHP در فولدر Administrator نرم افزار Joomla است. با استفاده از این آسیب پذیری، مهاجم می تواند یک session key را استخراج کرده و سپس با ارسال آن به بخش cookie در هنگام درخواست برای دسترسی به فولدر admin، دسترسی administrator را در اختیار بگیرد.
توسعه دهندگان Joomla روز 5 شنبه گذشته نسخه جدید 3.4.5 را برای رفع این آسیب پذیری ارائه کردند.
دوستانی که از این نرم افزار استفاده می کنند، لطفا سریع تر اقدامات لازم از جمله بروز رسانی را انجام دهند.
#آسیب پذیری #خبر #joomla
منبع
https://www.infosecurity-magazine.com/news/serious-sql-injection-flaw-found
https://threatpost.com/joomla-update-patches-critical-sql-injection-vulnerability/115142
Infosecurity Magazine
Serious SQL Injection Flaw Found in Joomla
Potentially millions of websites could be affected.
**شرکت Oracle بروز رسانی امنیتی محصولات خود را منتشر کرد
این بروز رسانی مجموعه ای ازPatch هاست و Oracle به این بروز رسانی Critical Patch Update (CPU) میگه. در این بروز رسانی تعداد 154 آسیب پذیری در محصولات مختلف شرکت اوراکل(Oracle) مرتفع شده که این محصولات عبارتند از:
Oracle database، Oracle Fusion Middleware، Oracle Hyperion، Oracle Enterprise Manager، Oracle E-Business Suite، Oracle Supply Chain Products Suite، Oracle PeopleSoft Enterprise، Oracle Siebel CRM، Oracle Industry Applications، Oracle Communications Applications and Oracle Retail Applications، Oracle Java SE، Oracle Sun Systems Products Suite، Oracle Pillar Axiom، Oracle Linux & Virtualization، Oracle MySQL و بسیاری از محصولات مختلف دیگه شرکت اوراکل(لیست کامل محصولات و ورژنهاشون رو تو خود سایت Oracle میتونید مشاده کنید)
یکی از آسیب پذیرهای مرتفع شده مرتبط به محصول Java اوراکل هست که بر علیه اعضای NATO و کاخ سفید قبلا توسط هکرها مورد استفاده قرار گرفته بود.
#خبر #بروزرسانی #update #Oracle #java
منبع
https://www.infosecurity-magazine.com/news/oracle-patches-154-new-flaws
https://www.oracle.com/technetwork/topics/security/cpuoct2015-2367953.html
این بروز رسانی مجموعه ای ازPatch هاست و Oracle به این بروز رسانی Critical Patch Update (CPU) میگه. در این بروز رسانی تعداد 154 آسیب پذیری در محصولات مختلف شرکت اوراکل(Oracle) مرتفع شده که این محصولات عبارتند از:
Oracle database، Oracle Fusion Middleware، Oracle Hyperion، Oracle Enterprise Manager، Oracle E-Business Suite، Oracle Supply Chain Products Suite، Oracle PeopleSoft Enterprise، Oracle Siebel CRM، Oracle Industry Applications، Oracle Communications Applications and Oracle Retail Applications، Oracle Java SE، Oracle Sun Systems Products Suite، Oracle Pillar Axiom، Oracle Linux & Virtualization، Oracle MySQL و بسیاری از محصولات مختلف دیگه شرکت اوراکل(لیست کامل محصولات و ورژنهاشون رو تو خود سایت Oracle میتونید مشاده کنید)
یکی از آسیب پذیرهای مرتفع شده مرتبط به محصول Java اوراکل هست که بر علیه اعضای NATO و کاخ سفید قبلا توسط هکرها مورد استفاده قرار گرفته بود.
#خبر #بروزرسانی #update #Oracle #java
منبع
https://www.infosecurity-magazine.com/news/oracle-patches-154-new-flaws
https://www.oracle.com/technetwork/topics/security/cpuoct2015-2367953.html
Infosecurity Magazine
Oracle Patches 154 New Flaws in Quarterly Update
Oracle Patches 154 New Flaws in Quarterly Update. Java and middleware should be top priority, say experts
Channel name was changed to «tabrizlug.ir-gnu/linux-unix-sec»
One of the most type of Attack is
👇
Brute Force
Brute force attack is using a piece of software which tries to guess the password by trying all possible combinations of letters and numbers.
Some logic can be appied to these attacks, for example, if you know the password must be over 8 characters and contain numbers and letters.
Brute force attacks can often be very time consuming.
👇
Brute Force
Brute force attack is using a piece of software which tries to guess the password by trying all possible combinations of letters and numbers.
Some logic can be appied to these attacks, for example, if you know the password must be over 8 characters and contain numbers and letters.
Brute force attacks can often be very time consuming.
the second type of Attack is
Rainbow table attack
Rainbow table attacks are similar to brute force attacks but aim to make it less time consuming by building a table of hashes in advance, meaning the actual attack should only take a few seconds.
You can use a Live CD to crack windows passwords for example. Oph Crack will allow you to do this.
Rainbow table attack
Rainbow table attacks are similar to brute force attacks but aim to make it less time consuming by building a table of hashes in advance, meaning the actual attack should only take a few seconds.
You can use a Live CD to crack windows passwords for example. Oph Crack will allow you to do this.
Here is the one more Type of Attack
SQL injection
An SQL injection is used to exploit vulerabities in web databases, which allow the hacker to gain gain access to the database and control any vital pieces of data in them.
It works by tricking the SQL database into executing a piece of code incorrectly in order to bypass the Login/password protocol.
Login: 1' or '1'='1
Password: 1' or '1'='1
Above is an example of what you can enter into the login fields in order to perform an SQL injection. It will trick the database to return a value "TRUE" which gives the hacker access.
SQL injection
An SQL injection is used to exploit vulerabities in web databases, which allow the hacker to gain gain access to the database and control any vital pieces of data in them.
It works by tricking the SQL database into executing a piece of code incorrectly in order to bypass the Login/password protocol.
Login: 1' or '1'='1
Password: 1' or '1'='1
Above is an example of what you can enter into the login fields in order to perform an SQL injection. It will trick the database to return a value "TRUE" which gives the hacker access.
روز یکشنبه شرکت مایکروسافت تایید کرد که یک آسیب پذیری اصلاح نشده جدید در تمامی نسخه های IE کشف شده است.
بنا به راهنمایی امنیتی که توسط مایکروسافت منتشر شده است: این آسیب پذیری که می تواند منجر به اجرای کد از راه دور شود در برخی از حملات هدفمند و محدود استفاده شده است.
شرکت FireEye اعلام کرد که این آسیب پذیری مهمی است زیرا بیش از یک چهارم از تمامی مرورگرهای جهان را تحت تاثیر قرار داده است.
بنا به راهنمایی امنیتی که توسط مایکروسافت منتشر شده است: این آسیب پذیری که می تواند منجر به اجرای کد از راه دور شود در برخی از حملات هدفمند و محدود استفاده شده است.
شرکت FireEye اعلام کرد که این آسیب پذیری مهمی است زیرا بیش از یک چهارم از تمامی مرورگرهای جهان را تحت تاثیر قرار داده است.
حملات هدفمند و سرقت هویت
در ماه اوت بخش های راه و ترابری، ارتباطات، الکترونیک، گاز و خدمات بهداشت بیشتر هدف حملات سرقت هویت قرار گرفته است و 52 درصد از تمامی حملات هدفمند را به خود اختصاص داده اند.
در ماه اوت بخش های راه و ترابری، ارتباطات، الکترونیک، گاز و خدمات بهداشت بیشتر هدف حملات سرقت هویت قرار گرفته است و 52 درصد از تمامی حملات هدفمند را به خود اختصاص داده اند.
رایج ترین نوع فایل پیوستی در این ماه فایل های با پسوند .txt با 32.2 درصد بوده است و پس از آن فایل های با پسوند .doc با 29.7 درصد قرار دارد. فایل های اجرایی با پسوند .exe با 17.3 درصد در مکان سوم قرار گرفته است. در مجموع نرخ حملات سرقت هویت در ماه اوت کاهش داشته است و یک ایمیل از هر 1905 ایمیل حاوی لینک سرقت هویت بوده است.