مصاحبه پیوست با مدیرعامل باگدشت: پیکربندی نادرست ایمیل‌های سازمانی،یک باگ امنیتی در کمین شرکت‌های ایرانی

آذر ۱۵, ۱۳۹۹

با نزدیک شدن به رویدادهای یلدا و پس از آن نوروز و انتخابات ریاست جمهوری و به تبع آن افزایش میزان ایمیل‌های ارسالی از سمت شرکت‌ها به مشتریانشان احتمال حمله‌های اینترنتی از طریق ایمیل‌های ناامن افزایش می‌یابد.

در این میان پیکربندی نادرست ایمیل سرور‌ها می‌تواند طعمه خوبی برای هکر‌ها باشد و باعث به خطر افتادن ارزش و اعتبار برند سازمان شود.

مشکل امنیتی در ایمیل‌های سازمانی

مجموعه باگدشت، فعال در زمینه باگ‌بانتی و ایمن‌سازی به تازگی یک مشکل امنیتی در ایمیل‌سرور‌های شرکت‌های ایرانی به نام پیکربندی نادرست ایمیل سرور‌ها یا «Mail Server Misconfiguration» شناسایی کرده و در مورد این مساله به سازمان‌ها شرکت‌های ایرانی هشدار جدی داده است.

رویا دهبسته، مدیرعامل باگدشت در این خصوص می‌گوید: «دسترسی به ایمیل سازمان به هر روشی، یکی از راحت‌ترین راه‌ها برای رسیدن به مقاصد خاص هکرهاست چرا که هم به اعضا و مدیران سازمان و هم به تمام گستره مشتریان آن شرکت یا سازمان دسترسی پیدا می‌کنند. در جریان رخ دادن یک حمله امنیتی که به زنجیره حمله سایبری یا Cyber Kill Chain معروف است، سطح دسترسی به ایمیل از موارد دارای اهمیت بالا است.»

«کشور‌های دیگر همگی این موضوع را درک کرده‌ و در گزارشات خود از جمله شرکت checkpoint عنوان کرده‌اند که کانال ایمیل رتبه اول در سواستفاده توسط هکرها را به خود اختصاص داده است، سازمان‌ها حتما باید پیکربندی امن سرورهای ایمیل را انجام دهند. در کشور متاسفانه اهمیت این گونه مشکلات بسیار پایین انگاشته می‌شود در حالیکه تاثیری که این مشکلات امنیتی ایجاد می‌کنند بسیار زیاد است و منجربه نشر یا سواستفاده از اطلاعات محرمانه مشتری یا شرکت‌ها میشود.»

پیکربندی نادرست ایمیل‌ سرورها

مدیرعامل باگدشت در خصوص مشکل امنیتی کشف شده در سطح کشور می‌گوید: «یکی از مشکلاتی که چند ماه پیش به باگدشت اعلام شد، یک Misconfiguration یا پیکیربندی نادرست در بخش ایمیل سرورها بود. این مشکل توسط یکی از کارشناسان امنیت ما، مهندس حیدری گزارش شد. این شخص در شرح گزارش خود توضیح داده بود که یک سری از ایمیل‌سرور‌ها در سطح کشور به‌صورت نادرست پیکربندی شده‌اند و این اجازه را به مهاجم یا هکر می‌دهد که به سرور دسترسی پیدا کند و از طریق هر آدرسی که مربوط به آن سازمان است، ایمیل ارسال کند.»

به گفته دهبسته، بعد از این که این باگ گزارش شد، واحد امنیت باگدشت، گستره مشتریانش را روی این باگ بررسی کردند و مشخص شد حدود ۳۵ مشتری اعم از شرکت‌های دولتی و استارت‌آپی درگیر این باگ امنیتی بودند.

او چگونگی نحوه برخورد با این اشکال امنیتی را اینگونه توضیح می‌دهد: «پس از اطلاع‌رسانی به این ۳۵ شرکت اقدام به رفع این اشکال کردیم و حدود یک ماه و نیم به‌طول انجامید. از آنجایی که ریسک امنیتی این باگ بسیار بالا است و از طرفی یلدا، نوروز و همیطور انتخابات ریاست‌جمهوری را در پیش داریم و نرخ ارسال و دریافت ایمیل در این ایام بسیار بالا می‌رود، یک مقاله‌ای مرتبط با این موضوع در وبلاگ باگدشت منتشر کردیم و سعی کردیم به‌صورت کلی این مشکل را توضیح دهیم. هدف از آن اطلاع‌رسانی بیشتر به سازمان‌هایی که جزو مشتریان ما نیستند بود.»

پیکربندی نادرست با جعل ایمیل فرق دارد

نکته بسیار مهم این است که نباید باگ مربوط به پیکربندی نادرست ایمیل سرور را با جعل ایمیل اشتباه گرفت. او در خصوص تفکیک این دو مورد از یکدیگر می‌گوید: «در Email Spoofing، هکرها یک آدرس ایمیل مشابه با ایمیل اصلی یک سایت، شرکت یا سازمان می‌سازند که کاربر به اشتباه بیافتد و متوجه نشود که این آدرس ایمیل، آدرس اصلی آن سایت یا شرکت نیست.

اما در مساله Misconfiguration، هکرها از ایمیل‌های اصلی شرکت‌ها و سازمان‌ها محتوای خود را ارسال میکنند و به وسیله ایمیل واقعی و اصلی آن شرکت اقدام به ارسال ایمیل‌ می‌کنند که به هیچ‌عنوان امکان تشخیص این ایراد از سمت کاربران وجود نخواهد داشت.»

مدیرعامل باگدشت در پاسخ به این سوال که سازمان‌ها و کاربران، چه اقداماتی انجام دهند تا این مشکلات به حداقل برسند می‌گوید: «آموزش یکی از مهم‌ترین و کلیدی‌ترین عنصر‌های مقابله با حملات امنیتی است.» او در ادامه می‌گوید: «سازمان‌ها باید اطلاع‌رسانی و آگاهی‌سازی‌های امنیتی را در دستور کار خود قرار دهند. با وجود اینکه هر روزه روش‌هایی جدیدتری برای حملات به وجود می‌آید اما این آگاهی‌ساز‌ها و اطلاع‌رسانی‌ها به‌روز نمی‌شوند. در سمت کاربران هم باید این حساسیت وجود داشته باشد تا با دقت و احتیاط بیشتری بر روی هر ایمیل، لینک و محتوایی کلیک نکنند و اقدامات خواسته شده را انجام ندهند.»

به گفته دهبسته، به‌صورت کلی در بحث امنیت، اگر سازمان‌ها ایمن سازی را در دستور کار قرار ندهند، از مشاوران امنیتی استفاده نکنند، تنظیمات و پیکربندی‌های پیش‌فرض برای سامانه‌های مورد استفاده سازمان پیاده سازی نمایند، به‌صورت مداوم امنیت این سامانه‌ها و ابزار را مورد بررسی قرار ندهند و به‌روزرسانی آخرین وصله‌های امنیتی را دریافت نکنند، شدیدا در معرض خطر حمله قرار می‌گیرند.

او همچنین توضیح می‌دهد که استفاده از پیکربندی پیش‌فرض یا ناامن و عدم تسلط بر ایمن سازی، سرمنشا تعداد زیادی از رخدادهای امنیتی است.

شخصی سازی نرم‌افزارهای ایمیل نیازمند فرایند امن سازی است

مدیرعامل باگدشت در پاسخ به این سوال که از بین نرم‌افزار‌های سازمانی یا نرم‌افزار‌های عمومی کدام آسیب‌پذیرترند توضیح می‌دهد: «معمولا نرم‌افزار‌هایی که توسط یک شرکتی برای استفاده افراد محدودی تولید یا شخصی‌سازی می‌شوند، اگر مورد تست امنیتی قرار نگیرد، بسیار آسیب‌پذیر‌تر از نرم‌افزار‌هایی هستند که پرکاربرد بوده و نرخ بیشتری از گزارشات را از سمت کاربران دریافت می‌کنند. این مساله باعث می‌شود که شرکت سازنده ورژن‌های جدیدتری به همراه مشکلات رفع‌شده منتشر کند و امنیت نرم‌افزار خود را حفظ کند. اما نرم‌افزاری که به‌صورت خاص برای یکی دو سازمان طراحی شده اگر تیم امنیتی مناسبی نداشته باشد، از آنجایی که کاربر زیادی از آن استفاده نمی‌کند، مسلما باگ بیشتری خواهد داشت.»

شرکت باگدشت با توجه به اهمیت ایمن سازی مشکلات امنیتی، خدمات پیکربندی امن تجهیزات و سامانه های سازمانی را ارایه میدهد که میتوانید جزییات این همکاری را از طریق وب سایت باگدشت دنبال نمایید.

منابع

پیوست:‌ ماهنامه اطلاع‌ رسان، پژوهشی، تحلیلی و فرهنگی

وبلاگ

آخرین مطالب

امنیت در امتداد کسب و کار سازمان از دیدگاه مهندسی آشوب

در این مقاله خلاصه صحبتهای انجام شده توسط مجموعه کارکسب به عنوان یک مجموعه متمرکز بر بهبود کسب و کارهای کشور و خانم دکتر رویا دهبسته مدیرعامل باگدشت ارائه شده است. موضوع این صحبت، امنیت سامانه‌ها، روال اجرای آن در سازمان‌ها، تاثیر آن در موفقیت کسب و کار و چالش‌های روبرو در سازمان‌ها می‌باشد

امنیت داده در استارتاپ‌ها؛ موضوع پنل نشست سرمایه‌گذاری کارایا با حضور باگدشت

پنل اختصاصی این رویداد با موضوع "امنیت داده در استارتاپ‌ها" با راهبری جناب آقای احمدرضا صادقی(مدیراجرایی نیک‌ونچرز و عضو هیات اجرایی کارایا) با حضور آقایان سهراب بهروزیان"مدیر ارشد زیرساخت و امنیت دیجیکالا" ، مجتبی مددخانی"مدیر انفورماتیک شرکت فناوری اطلاعات هلو" صابر غفاری مقدم "کارشناس رسمی قوه قضاییه" و سرکار خانم رویا دهبسته "مدیرعامل پلتفرم خدمات امنیتی باگدشت" برگزار گردید و به پرسش و پاسخ و گفتگو پرداختند

مصاحبه مدیرعامل باگدشت با کارافرین نیوز در خصوص کارفرینی و دغدغه منابع انسانی در امنیت سایبری

در این گزارش به بررسی مصاحبه صورت گرفته با خانم رویا دهبسته مدیرعامل شرکت باگدشت، در خصوص روند کارآفرینی در حوزه امنیت سایبری و همچنین دغدغه‌های حوزه منابع انسانی می‌پردازیم.

کدنویسی امن – مدیریت نشست‌ها

اپلیکیشن‌های تحت وب برای شناسایی و تعامل با کاربرهای احراز هویت شده از نشست (Session) استفاده می‌کنند. درصورتی‌که احراز هویت کاربر و مدیریت نشست به‌درستی پیکربندی نشده باشد، مهاجمان ممکن است بتوانند رمزهای عبور، کلیدها یا توکن‌های نشست را به دست بیاورند تا از این طریق به حساب‌های کاربران دسترسی پیدا کنند و هویت آنها جعل کنند.

کدنویسی امن – احراز هویت و مدیریت رمز عبور

وقتی صحبت از هک و نقص امنیتی می‌شود، اولین چیزی که اغلب به ذهن شنونده می‌رسد لورفتن رمز عبور است. درصورتی‌که کاربرها از ترکیب ایمیل یا نام کاربری به همراه رمز عبور یکسان برای ثبت‌نام استفاده کرده باشند، هکرها می‌توانند داده‌های رمز عبور را برای دسترسی به سایر حساب‌های کاربری در وب‌سایت‌های مختلف استفاده کنند.

کدنویسی امن – کدگذاری خروجی‌ها

اگر امنیت سایبری چیزی به ما یاد داده باشد، این است که همیشه در سیستم‌ها نقص، هک و آسیب‌پذیری وجود خواهد داشت. امنیت سایبری به‌عنوان یک مسیر شغلی، زمینه‌ای است که همیشه در حال تغییر است؛ بنابراین با ظهور فناوری‌های جدید و تکنیک‌های جدید هک، باید به طور مداوم دانش خود را ارتقا دهید.

برگزاری چهارمین رویداد امنیتی CTB باگدشت با مشارکت ایرانسل، دیجی‌کالا و کاشف

رویداد شناسایی باگ‌های امنیتی «CTB» یا «Capture The Bug» برای چهارمین سال پیاپی توسط مجموعه باگدشت در مرداد ماه ۱۴۰۲ برگزار شد. هدف اصلی از برگزاری این رویداد، فرهنگ‌سازی و ایجاد همکاری میان متخصصان امنیتی و سازمان‌های کشور است.

کدنویسی امن – اعتبارسنجی ورودی‌ها

امروزه در دنیا وابستگی کسب‌وکارها. سازمان‌ها به نرم‌افزار و سیستم‌های کامپیوتری روزبه‌روز بیشتر می‌شود، ازاین‌رو انتشار اپلیکیشن‌های ایمن به اولویت اصلی توسعه‌دهندگان تبدیل شده است. خبر خوب این است که با نوشتن کد منبع (surce code) بهتر و ایمن‌تر می‌توان از بسیاری از سوءاستفاده‌ها و حملات بالقوه جلوگیری کرد.