دسته: امنیت شبکه

خون‌ریزی ابری در Cloudflare!

این روزها اتفاقات زیادی در دنیای امنیت رخ داده است که شاید بزرگترین آن‌ها اولین حمله تصادم SHA-1 بوده باشد؛ اما اتفاقی که کمتر به آن پرداخته شد واقعه‌ی ناگوار Cloudbleed یا خون‌ریزی ابری هست که برای شرکت Cloudflare رخ داد.

شرکت Cloudflare به جهت سرویس گسترده CDN و DDoS Protection بسیار شناخته شده است و متاسفانه/خوشبختانه در ایران نیز کاربران فراوانی دارد. در حال حاضر حدود 4 میلیون دامنه (Domain) در بستر Cloudflare سرویس‌دهی می‌شوند.

جمعه‌ی گذشته آقای Tavis Ormandy از تیم معروف Google Project Zero متوجه شد که نسبت به برخی درخواست های HTTP که توسط سرورهای Cloudflare سرویس‌دهی می‌شدند، پاسخ‌های بی‌معنی دریافت می‌کند و نهایتاً به یک مشکل امنیتی جدی در سرویس Cloudflare پی بُرد که منجر به نشت اطلاعات فراوانی از وب‌سایت ها و Web Application های تحت سرویس CDN گردیده است. این اطلاعات می‌تواند شامل نام کاربری و رمز عبور، پیام‌های رد و بدل شده در چَت ها، و کلاً هرگونه اطلاعاتی که توسط آن می‌توان شخصی را شناسایی کرد (PII)، باشد.
متاسفانه عمق فاجعه جایی است که این اطلاعات توسط اغلب Search Engine ها Cache شده اند و احتمالاً در بسیاری از سرویس‌های تجزیه/تحلیل اطلاعاتی ذخیره شده اند.
در بین جستجوگرها می‌توان به Google، Bing، DuckDuckGo و Baidu اشاره کرد.

تصویر از Forbes

این اتفاق به این معنی است که اطلاعات شخصی میلیون ها کاربر اینترنتی در خطر قرار گرفته است!

این نشت اطلاعاتی از تاریخ 22 سپتامبر 2016 تا 18 فوریه 2017 ادامه داشته اما اوج آن بین 13 تا 18 فوریه بوده که از هر 3.300.000 درخواست HTTP، یک درخواست منجر به نشت اطلاعات گردیده است؛ یعنی روزانه حدود 100 تا 200 هزار صفحه با اطلاعات شخصی افراد! ادامه خواندن “خون‌ریزی ابری در Cloudflare!”

همخوان کنید

BlackNurse نوع جدیدی از حملات DDoS

امروزه حملات DoS / DDoS یکی از چالشهای مهم دنیای امنیت می‌باشد که گاهی نیز منجر به عدم دسترسی به سرویس‌های پرمخاطب اینترنت گردیده است. محققان شرکت امنیتی TDC Security Operations Center اخیراً روش جدیدی از حملات DDoS را بنام BlackNurse شناسایی کرده‌اند که با کمترین امکانات سخت افزاری، حتی قوی‌ترین فایروال‌های سخت‌افزاری را تحت تاثیر قرار می‌گیرند.

این حمله DDoS با ارسال متعدد بسته های کوچک ICMP (معروف به ICMP Flooding) به سمت فایروال‌ها پیاده سازی شده که این موضوع باعث ایجاد سربار اضافی برای فایروال و فشار مضاعف بر CPU فایروال مربوطه گردیده و در برخی موارد باعث از کارافتادگی آن می‌شود. در نظر داشته‌باشید که بطور کلی پروتکل ICMP یکی از ابزارهایی هست که در بستر اینترنت جهت اشکال زدایی، خطایابی در کامپیوترها، روترها و بطور کلی بررسی وجود ارتباط بین تجهیزات شبکه بکار میرود.

این نوع حمله، عموماً فایروال‌های شرکت‌های مختلف را که قبلاً در مقابل Ping Flood Attack آسیب پذیر بوده اند مورد هدف قرار میدهد. ادامه خواندن “BlackNurse نوع جدیدی از حملات DDoS”

همخوان کنید

ناشناس ماندن در Kali Linux

یکی از مهمترین موضوعات برای هکرهای غیرقانونی در زمینه امنیت اطلاعات، ناشناس ماندن و اطمینان از عدم به جا گذاشتن رد پا هنگام حمله به منابع مختلف اینترنت شامل وب سرورها ، روترهای اینترنتی و … میباشد.
یکی از بهترین ابزارهایی که این افراد جهت پیشبرد مقاصد خود استفاده میکنند سیستم عامل Kali Linux می باشد.
قطعاً آشنایی به این قبیل راهکارها میتونه در جلوگیری از سوء‌استفاده این افراد کمک کننده باشه. در بحث امنیت میگن خیلی خوبه که بدونی طرف مقابلت چطور فکر می‌کنه.

جهت انجام تست نفوذ برای یک سیستم از راه دور یک ارتباط دائمی مورد نیاز است که در اینصورت و عدم رعایت Anonymity هویت فرد حمله کننده آشکار خواهد شد. جهت رفع این مشکل و ناشناس بودن می توان از security and anonymity for Tor + Proxychain استفاده نمود.

جهت مطالعه در مورد چگونگی ناشناس ماندن در بستر اینترنت میتوانید به لینک زیر مراجعه کنید.

http://picateshackz.com/2015/05/kali-linux-tutorial-setting-up-proxychains-tor-for-anonymity-and-security.html

از نویسنده جدید کانال شبکه‌ها! آقای یوسف جمالی

همخوان کنید

آیا باید ICMP رو بلاک کرد؟

خیلی اوقات فکر می‌کنیم هرچی بیشتر محدودیت بذاریم در شبکه و همه‌چی رو ببندیم امنیت بیشتری خواهیم داشت. حتی به ICMP در شبکه‌ی داخلی هم رحم نمی‌کنیم و فکر می‌کنیم با بستنش شبکه رو امن کردیم؛ البته که در برخی نقاط شبکه (PIN) باید اینطور باشه، اما نه همه جا و نه همه‌ی Typeهای ICMP!

در خیلی از مواقع ICMP در رفع مشکل ها کمک شایانی می‌کنه؛ همینطور برخی از ICMP Type ها برای شبکه خیلی حیاتی هستن.

نصفه شب کارشناس پشتیبانی می‌پرسه آیا فلان IP پینگ میشه؟ می‌گیم نمیدونم چون Ping بسته اس….  و اونجا است که اون پشتیبان بیچاره سرش رو میکوبه به میز!

مطالب پیچیدگی در امنیت شبکه و پیچیدگی شبکه کشنده است رو که خاطرتون هست؟

اگر شما هم در همه جای شبکه ICMP رو می‌بندین پیشنهاد می‌کنم این مطلب رو بخونین:
http://shouldiblockicmp.com/

همخوان کنید

خلاصه ای کوتاه درباره‌ی حملات DDoS در چندین ماه اخیر

حتماً در جریان هستین که طی ماه های اخیر حملات DDoS نه تنها قوی تر و طولانی تر، بلکه هوشمندتر شدن. یکی از بدترین انواع اون تقریباً زمانی بود که زیرساخت DNS شرکت Dyn رو تحت تاثیر قرار داد.
البته عمده ی این قطعی ها صرفاً در شمال آمریکا حس میشد چون شرکت Dyn در اقصی نقاط دنیا DNS Server داره و خب جوری طراحی شده که مثلا کاربران آسیا از نزدیک ترین DNS Server جواب میگیرن (Anycast).

میدونیم که DNS مثه دفترچه تلفن اینترنت هست و با توجه به اینکه Dyn یکی از بزرگترین DNS Provider ها هست، خیلی از وبسایت های مهم دنیا هم طی این حملات از دسترس خارج شدن.
نکته ی خیلی بد درمورد این وبسایت ها این بود که فقط از یک DNS Provider استفاده می کردن که به نوعی SPoF محسوب میشه. البته عدم استفاده از چند DNS Provider هم دلایل خاص خودش رو داره که مهمترینش بنظرم سخت شدن نگهداری و مدیرت هست چون باید همیشه مطمئن باشید که هردو Provider رکوردهای یکسان دارند. و خب چه بسی با پیشرفته تر شدن حملات، همزمان چند DNS Provider تحت حمله قرار بگیرن.

نکته‌ی جالب در رابطه با این حمله استفاده از “چیزهای متصل به اینترنت” بود (Internet of Things). شخصاً همیشه از Internet of Things ترس داشتم و هیچوقت بهش مطمئن نبودم و اینبار خودش رو نشون داد. نمیدونم، اما امیدوارم یک روز این اتفاقات جنبه‌ی خطرات انسانی پیدا نکنه. فکر میکنم بهتره اگر خودمون از اینگونه اشیاء استفاده میکنم سعی کنیم از امنیتشون مطمئن بشیم و اگر در توسعه و تولید این اشیاء نقش داریم روی مباحث امنیتیشون بیشتر و دقیق تر کار کنیم.

یک موضوع مرتبط با این قضیه هم قراری هست تحت عنوان MANRS که مخفف Mutually Agreed Norms for Routing Security هست. هدف MANRS این هست که پروایدر در کنار هم روی یکسری مکانیزم های امنیتی در روتینگ تفاهم داشته باشن. پیشنهاد میکنم حتماً در اینباره مطالعه کنین.

همخوان کنید