بدون شک، نگران کننده ترین بخش یک تست نفوذ، گزارش نهایی آن است. این گزارش نهایی تنها چیز قابل لمسی است که مشتری دریافت کرده و از اهمیت ویژه ای برخوردار است. این گزارش باید به خوبی ارایه شده، به نحو شفافی نوشته شود و به دست مخاطب درست خود برسد.
گزارش میبایست هدفمند باشد به این معنی که باید اطمینان حاصل کرد که مخاطب هدف، ماهیت گزارش را به خوبی درک کند. یک گزارش خوب معمولا شامل یک خلاصه ی اجرایی و یک خلاصه ی فنی است. بخش خلاصه ی اجرایی، خلاصه ای از حملات و تاثیرات بالقوه ی آن ها بر کسب و کار به همراه راه حل های پیشنهادی را بیان می کند و معمولا مخاطب این بخش مدیران اجرایی و ارشد هستند. خلاصه ی فنی شامل ارایه ای مبتنی بر متودولوژی از جنبه های فنی تست نفوذ است که معمولا توسط پرسنل و مدیریت فناوری اطلاعات خوانده می شود (منبع کتاب PWK از Offensive Security).
گزارش میبایست هدفمند باشد به این معنی که باید اطمینان حاصل کرد که مخاطب هدف، ماهیت گزارش را به خوبی درک کند. یک گزارش خوب معمولا شامل یک خلاصه ی اجرایی و یک خلاصه ی فنی است. بخش خلاصه ی اجرایی، خلاصه ای از حملات و تاثیرات بالقوه ی آن ها بر کسب و کار به همراه راه حل های پیشنهادی را بیان می کند و معمولا مخاطب این بخش مدیران اجرایی و ارشد هستند. خلاصه ی فنی شامل ارایه ای مبتنی بر متودولوژی از جنبه های فنی تست نفوذ است که معمولا توسط پرسنل و مدیریت فناوری اطلاعات خوانده می شود (منبع کتاب PWK از Offensive Security).
تست نفوذ (Penetration Test) چرخه ای است مداوم از جستجو و حمله بر علیه یک هدف. حمله می بایست ساختار یافته و حساب شده باشد و در صورت امکان قبل از انجام بر روی اهداف واقعی، در محیط آزمایشگاهی اعتبار سنجی شود. هر چه اطلاعات بیشتری را جمع آوری کنیم، احتمال نفوذ موفق بالاتر است. زمانی که به مرز های اولیه ی هدف نفوذ کردیم، معمولا چرخه را از ابتدا آغاز نموده و برای مثال در راستای نفوذ عمیق تر، شروع به جمع آوری اطلاعات راجع به شبکه ی داخلی می کنیم. (منبع کتاب PWK از Offensive Security)
⭕️ به حافظههای فلشی که پیدا میکنید اعتماد نکنید!!
⁉️ آیا حافظه فلشی که بهطور اتفاقی در پارکینگ یا روی میزی پیدا میکنید، میتواند شما را در معرض سوءاستفاده دیجیتالی قرار دهد؟ پاسخ مثبت است.
🔸 الی برستین، از کارشناسان حوزه امنیت کنفرانس اخیر Black Hat 2016 نشان داد چگونه هکرها میتوانند با استفاده از یک صفحه مدار Teensy که در حافظه فلش پنهان شده است، اطلاعات کاربران را سرقت کنند؛ بهطوری که به محض اتصال فلش به یک سیستم عملیات مخرب خود را روی دستگاه قربانی به مرحله اجرا درآوردند و کنترل دستگاه وی را به دست گیرند.
🔸 برستین در این باره گفته است: «با وجود اینکه اطلاعرسانی گستردهای درباره بدافزارها، هکرها و فعالیتهای مجرمانه صورت میگیرد، باز هم زمانی که افراد حافظه فلشی را در گوشهای پیدا میکنند، بهسرعت آن را به کامپیوتر خود متصل میکنند.
🔸 من طی آزمایشی، حافظههای فلش مختلفی را با ویژگی phone-home در گوشههای مختلف دانشگاه ایلینوی قرار دادم. نزدیک به 48 درصد افراد به محض پیدا کردن این حافظهها، آنها را به کامپیوتر خود متصل کردند. این اتصال به کامپیوترها در بازه زمانی یک تا هفت ساعت انجام میشود.»
🔸 برستین نشان داد که چگونه هکر با یک حافظه فلش بر مبنای دستگاههای رابط انسان HID، سرنام Human Interface Device، قادر به پیادهسازی حملات خود است. دستگاههای رابط انسان به هکر اجازه میدهد در سریعترین زمان ممکن به کامپیوترهای شخصی دست پیدا کند و از طریق آنها به کنترل کامپیوتر قربانیان بپردازد.
🔸 برنسین برای ساخت این فلش از یک صفحه مدار طراحی کوچک (Teensy نسخه 3.2)، اتصالدهنده USB، hobby silicon و یک resin استفاده کرد. هزینه ساخت این فلش مخرب 40 دلار است.
🔸 برستین این فلش را به صورت چندسکویی ساخته است. این فلش مخرب ضمن بررسی کامپیوتر قربانی به لحاظ اتصال به اینترنت، نرمافزارهای آنتیویروس قربانی را بررسی و اطلاعات را برای سرور انتخابی هکر ارسال میکند. برای این منظور از یک پوسته TCP معکوسشده برای اتصال به سرور انتخابی هکر استفاده میکند.
🔸 برستین برای اینکه بتواند به شیوه موفقیتآمیزی از نرمافزارهای آنتیویروس و دیوارهای آتش رهایی یابد، از یک زبان اسکریپتنویسی برای ساخت ارتباطات خارجشونده از یک سیستم استفاده کرد. این حمله در سه فاز انجام میشود:
مرحله اول حصول اطمینان از شناسایی کلید توسط سیستمعامل و همچنین اجرای فلش است.
مرحله دوم به شناسایی پلتفرم و اینکه چه دستوراتی باید اجرا شود مربوط میشود و گام آخر معکوس کردن نحوه اجرای پوسته است که شامل تزریق حملات کلیدی میشود.
🔸 برستین درباره این فلش مخرب گفته است: «سختترین بخش طراحی این فلش مربوط به طراحی نرمافزار بارگذار داده، هماهنگسازی کدها در دستگاه Teensy که قادر به پشتیبانی از سیستمعاملهای مختلف باشد، پیادهسازی محدودهکنندهای برای مدار Teensy و اتصالدهنده USB بود. اما طراحی فلش جعلی کار پیچیدهای نیست؛ در کنار عواملی که من در این فلش قرار دادم، میتوانید یک ماژول GSM/Wifi، یک فضای ذخیرهساز جعلی به منظور استخراج دادهها از راه دور و یک رخنه air-gap اضافه کنید.»
⁉️ آیا حافظه فلشی که بهطور اتفاقی در پارکینگ یا روی میزی پیدا میکنید، میتواند شما را در معرض سوءاستفاده دیجیتالی قرار دهد؟ پاسخ مثبت است.
🔸 الی برستین، از کارشناسان حوزه امنیت کنفرانس اخیر Black Hat 2016 نشان داد چگونه هکرها میتوانند با استفاده از یک صفحه مدار Teensy که در حافظه فلش پنهان شده است، اطلاعات کاربران را سرقت کنند؛ بهطوری که به محض اتصال فلش به یک سیستم عملیات مخرب خود را روی دستگاه قربانی به مرحله اجرا درآوردند و کنترل دستگاه وی را به دست گیرند.
🔸 برستین در این باره گفته است: «با وجود اینکه اطلاعرسانی گستردهای درباره بدافزارها، هکرها و فعالیتهای مجرمانه صورت میگیرد، باز هم زمانی که افراد حافظه فلشی را در گوشهای پیدا میکنند، بهسرعت آن را به کامپیوتر خود متصل میکنند.
🔸 من طی آزمایشی، حافظههای فلش مختلفی را با ویژگی phone-home در گوشههای مختلف دانشگاه ایلینوی قرار دادم. نزدیک به 48 درصد افراد به محض پیدا کردن این حافظهها، آنها را به کامپیوتر خود متصل کردند. این اتصال به کامپیوترها در بازه زمانی یک تا هفت ساعت انجام میشود.»
🔸 برستین نشان داد که چگونه هکر با یک حافظه فلش بر مبنای دستگاههای رابط انسان HID، سرنام Human Interface Device، قادر به پیادهسازی حملات خود است. دستگاههای رابط انسان به هکر اجازه میدهد در سریعترین زمان ممکن به کامپیوترهای شخصی دست پیدا کند و از طریق آنها به کنترل کامپیوتر قربانیان بپردازد.
🔸 برنسین برای ساخت این فلش از یک صفحه مدار طراحی کوچک (Teensy نسخه 3.2)، اتصالدهنده USB، hobby silicon و یک resin استفاده کرد. هزینه ساخت این فلش مخرب 40 دلار است.
🔸 برستین این فلش را به صورت چندسکویی ساخته است. این فلش مخرب ضمن بررسی کامپیوتر قربانی به لحاظ اتصال به اینترنت، نرمافزارهای آنتیویروس قربانی را بررسی و اطلاعات را برای سرور انتخابی هکر ارسال میکند. برای این منظور از یک پوسته TCP معکوسشده برای اتصال به سرور انتخابی هکر استفاده میکند.
🔸 برستین برای اینکه بتواند به شیوه موفقیتآمیزی از نرمافزارهای آنتیویروس و دیوارهای آتش رهایی یابد، از یک زبان اسکریپتنویسی برای ساخت ارتباطات خارجشونده از یک سیستم استفاده کرد. این حمله در سه فاز انجام میشود:
مرحله اول حصول اطمینان از شناسایی کلید توسط سیستمعامل و همچنین اجرای فلش است.
مرحله دوم به شناسایی پلتفرم و اینکه چه دستوراتی باید اجرا شود مربوط میشود و گام آخر معکوس کردن نحوه اجرای پوسته است که شامل تزریق حملات کلیدی میشود.
🔸 برستین درباره این فلش مخرب گفته است: «سختترین بخش طراحی این فلش مربوط به طراحی نرمافزار بارگذار داده، هماهنگسازی کدها در دستگاه Teensy که قادر به پشتیبانی از سیستمعاملهای مختلف باشد، پیادهسازی محدودهکنندهای برای مدار Teensy و اتصالدهنده USB بود. اما طراحی فلش جعلی کار پیچیدهای نیست؛ در کنار عواملی که من در این فلش قرار دادم، میتوانید یک ماژول GSM/Wifi، یک فضای ذخیرهساز جعلی به منظور استخراج دادهها از راه دور و یک رخنه air-gap اضافه کنید.»
Forwarded from yashar esmaildokht 🐧
با سلام ، وقت بخیر / دوستان ارجمند دعوت شدین به مباحثه تفاوت های X11 و wayland
Forwarded from yashar esmaildokht 🐧
موضوع مباحثه : تفاوت X11 و wayland هست
اقدامات اصلی که زمانی که یک متخصص فنی احساس می کند که حادثه ای رخ داده است و سازمان قابلیت پاسخگویی به حوادث را ندارد و همچنین زمان کافی را برای مطالعه ی استاندارد NIST800-61 نیست، میبایست انجام دهد.
همه چیز مستند شود: این کار شامل کلیه ی فعالیت هایی است که انجام شده، کلیه ی شواهد و هرگونه تعامل با کاربران، مالکان سیستم و دیگر افراد مرتبط با حادثه، است.
همکاری را پیدا کنید که بتواند به شما کمک کند: اگر دو یا چند نفر با هم کار کنند، رسیدگی به حادثه آسانتر خواهد بود. برای مثال یک نفر می تواند فعالیت هایی را انجام داده و دیگری آن فعالیت ها را مستند نماید.
جهت اطمینان از بروز حادثه، شواهد را تحلیل کنید: انجام تحقیق بیشتر برای درک بهتر شواهد مثل استفاده از موتور های جستجوی اینترنتی و مستندات نرم افزار ضروری است. برای کمک بیشتر، از دیگر متخصصی فنی در سازمان کمک بگیرید.
افراد مناسب در سازمان را مطلع کنید: این امر شامل مدیر ارشد اطلاعات (CIO)، سرپرست امنیت اطلاعات و مدیر امنیت محلی است. در باره ی در میان گذاشتن جزئیات حادثه با دیگران احتیاط کنید. به افرادی که لازم است تا بدانند، تنها چیزی را که نیاز است بگویید و از مکانیزم های ارتباطی امن برای این امر استفاده نمایید (اگر حمله گر به سرویس ایمیل نفوذ کرده است، در زمینه ی آن حادثه از طریق ایمیل اقدام نکنید).
سازمان های خارجی مورد نیاز مثل US-Cert را جهت کمک در رسیدگی به حادثه مطلع کنید.
اگر حادثه هنوز در جریان است آن را متوقف کنید. رایج ترین راه برای این کار قطع سیستم متاثر از حادثه از شبکه است. در بعضی حالات ممکن است نیاز باشد تا برای متوقف کردن ترافیک شبکه ای که بخشی از حمله است مثل حملات منع سرویس، پیکربندی روتر و یا فایروال تغییر کند.
شواهد حادثه را نگهداری کنید. از سیستم های متاثر از حمله بکاپ تهیه کنید (ترجیحا به جای بکاپ از فایل سیستم، از کل دیسک ایمیج خام بگیرید). از فایل های لاگ که حاوی شواهد مربوط به حادثه هستند، بکاپ تهیه کنید.
تمامی اثرات حادثه را از بین ببرید. این کار شامل آلودگی های ناشی از بدافزار، متریال نا مناسب (مثل نرم افزار های سرقت اطلاعات)، فایل های تروجان و هر گونه تغییر دیگری است که توسط حادثه در سیستم ایجاد شده است. اگر یک سیستم به طور کامل در اختیار نفوذگر باشد، از ابتدا آن را راه اندازی کرده و یا آن را به وضعیت یک بکاپ امن و خوب بازگردانید.
تمامی آسیب پذیری هایی که مورد بهره برداری قرار گرفته اند را تشخیص داده و اصلاح کنید. حادثه ممکن است از طریق بهره برداری از آسیب پذیری هایی در سیستم عامل و یا اپلیکیشن رخ داده باشد. حیاتی است که اینگونه آسیب پذیری ها تعیین و حذف شوند و یا به نحوی کنترل شوند که امکان استفاده ی مجدد از آن ها وجود نداشته باشد.
اطمینان حاصل کنید که فعالیت های سازمان به وضعیت نرمال بازگردانده شده است. اطمینان حاصل کنید که داده ها، اپلیکیشن ها و دیگر سرویس های متاثر از یک حادثه به وضعیت نرمال خود بازگشته اند.
گزارش نهایی را تهیه کنید. این گزارش باید جزئیات فرآیند رسیدگی به حادثه را مشخص سازد. همچنین باید خلاصه ی اجرایی (برای مدیران اجرایی که دید فنی ندارند) از حادثه ای که رخ داده و اینکه یک قابلیت رسیدگی به حادثه ی رسمی چگونه به رسیدگی به این وضعیت کمک خواهد کرد، ریسک را کاهش خواهد داد و خرابی را خیلی سریعتر کنترل خواهد کرد، وجود داشته باشد. (منبع NIST800-61)
همه چیز مستند شود: این کار شامل کلیه ی فعالیت هایی است که انجام شده، کلیه ی شواهد و هرگونه تعامل با کاربران، مالکان سیستم و دیگر افراد مرتبط با حادثه، است.
همکاری را پیدا کنید که بتواند به شما کمک کند: اگر دو یا چند نفر با هم کار کنند، رسیدگی به حادثه آسانتر خواهد بود. برای مثال یک نفر می تواند فعالیت هایی را انجام داده و دیگری آن فعالیت ها را مستند نماید.
جهت اطمینان از بروز حادثه، شواهد را تحلیل کنید: انجام تحقیق بیشتر برای درک بهتر شواهد مثل استفاده از موتور های جستجوی اینترنتی و مستندات نرم افزار ضروری است. برای کمک بیشتر، از دیگر متخصصی فنی در سازمان کمک بگیرید.
افراد مناسب در سازمان را مطلع کنید: این امر شامل مدیر ارشد اطلاعات (CIO)، سرپرست امنیت اطلاعات و مدیر امنیت محلی است. در باره ی در میان گذاشتن جزئیات حادثه با دیگران احتیاط کنید. به افرادی که لازم است تا بدانند، تنها چیزی را که نیاز است بگویید و از مکانیزم های ارتباطی امن برای این امر استفاده نمایید (اگر حمله گر به سرویس ایمیل نفوذ کرده است، در زمینه ی آن حادثه از طریق ایمیل اقدام نکنید).
سازمان های خارجی مورد نیاز مثل US-Cert را جهت کمک در رسیدگی به حادثه مطلع کنید.
اگر حادثه هنوز در جریان است آن را متوقف کنید. رایج ترین راه برای این کار قطع سیستم متاثر از حادثه از شبکه است. در بعضی حالات ممکن است نیاز باشد تا برای متوقف کردن ترافیک شبکه ای که بخشی از حمله است مثل حملات منع سرویس، پیکربندی روتر و یا فایروال تغییر کند.
شواهد حادثه را نگهداری کنید. از سیستم های متاثر از حمله بکاپ تهیه کنید (ترجیحا به جای بکاپ از فایل سیستم، از کل دیسک ایمیج خام بگیرید). از فایل های لاگ که حاوی شواهد مربوط به حادثه هستند، بکاپ تهیه کنید.
تمامی اثرات حادثه را از بین ببرید. این کار شامل آلودگی های ناشی از بدافزار، متریال نا مناسب (مثل نرم افزار های سرقت اطلاعات)، فایل های تروجان و هر گونه تغییر دیگری است که توسط حادثه در سیستم ایجاد شده است. اگر یک سیستم به طور کامل در اختیار نفوذگر باشد، از ابتدا آن را راه اندازی کرده و یا آن را به وضعیت یک بکاپ امن و خوب بازگردانید.
تمامی آسیب پذیری هایی که مورد بهره برداری قرار گرفته اند را تشخیص داده و اصلاح کنید. حادثه ممکن است از طریق بهره برداری از آسیب پذیری هایی در سیستم عامل و یا اپلیکیشن رخ داده باشد. حیاتی است که اینگونه آسیب پذیری ها تعیین و حذف شوند و یا به نحوی کنترل شوند که امکان استفاده ی مجدد از آن ها وجود نداشته باشد.
اطمینان حاصل کنید که فعالیت های سازمان به وضعیت نرمال بازگردانده شده است. اطمینان حاصل کنید که داده ها، اپلیکیشن ها و دیگر سرویس های متاثر از یک حادثه به وضعیت نرمال خود بازگشته اند.
گزارش نهایی را تهیه کنید. این گزارش باید جزئیات فرآیند رسیدگی به حادثه را مشخص سازد. همچنین باید خلاصه ی اجرایی (برای مدیران اجرایی که دید فنی ندارند) از حادثه ای که رخ داده و اینکه یک قابلیت رسیدگی به حادثه ی رسمی چگونه به رسیدگی به این وضعیت کمک خواهد کرد، ریسک را کاهش خواهد داد و خرابی را خیلی سریعتر کنترل خواهد کرد، وجود داشته باشد. (منبع NIST800-61)