امنیت

فناوری اطلاعات

June 27, 2016
15:22 دوشنبه، 7ام تیرماه 1395
کد خبر: 78128

راه نفوذ هکرها به وب سایت های دولتی مشخص شد

پلیس فتای کشور با انتشار دو سند مرکز ماهر به صورت عمومی، جزییات بیشتری از هک های اخیر منتشر کرد.
 
این دو سند با عناوین «راهکار رفع آسیب پذیری Installatian در پورتال DotNetNuke» و «راهنمای فنی برای ارتقای امنیت فناوری اطلاعات در سازمان» منتشر شده است.
 
در راهکار رفع آسیب پذیری Installatian در پورتال DotNetNuke آمده است: بررسی های صورت گرفته درخصوص وقایع هک اخیر در شماری از پورتال های کشور نشان از سوءاستفاده از یک ضعف امنیتی بر CMS متن باز DotNetNuke دارد. این CMS در نسخه های قبل از 8.0.3 دارای یک نقص امنیتی جدی است که در چند مرحله در سال های 2015 و 2016 مورد حمله واقع شده است.
 
نسخه فعلی 8.0.3 روی سایت شرکت irandnn.ir که ارایه دهنده CMS به بسیاری از پورتال ها در کشور است، دارای آخرین بروزرسانی ها بوده و ضعف امنیتی معروف به Installation بر نسخه فعلی ارایه شده روی این سایت پوشش داده شده و آسیب پذیری وجود ندارد. به عبارت بهتر نسخه 8.0.3 همان نسخه بروزرسانی شده 07.04.01 مربوط به سایت اصلی سیستم مدیریت محتوای DNN است که ضعف امنیتی مذکور روی آن پوشش داده شده است.سایت irandnn.ir در تاریخ 14 خرداد 95 اخطار امنیتی درباره این ضعف را گزارش داده و نحوه از بین بردن آن را به صورت دستی توضیح داده است. همچنین نسخه DNN فارسی خود را هم به 8.0.3 ارتقا داده است.
 
در نسخه 07.04.00 از DNN CMS متاسفانه هیچ گونه تدبیری درباره دسترسی افراد غیرمجاز به سیستم نصب آن اندیشیده نشده است. به همین دلیل نفوذگران با دسترسی Remote می توانند مجددا سیستم DNN CMS را reinstall کرده و به سطح دسترسی Super User روی این سیستم مدیریت محتوا برسند. همچنین تمامی نسخه های پیش از نسخه 07.04.00 هم دارای این مشکل هستند.
 
 توضیحات irandnn.ir
پویا پلاشانی، مدیرعامل شرکت راهبران فناوری پاسارگاد (سایت irandnn.ir) که در گزارش مرکز ماهر از سایت وی نام برده شده است، گفت: ما مشتریان زیادی مانند سازمان حج و زیارت، شرکت مخابرات، بانک کشاورزی و شهرداری تهران داریم و به آنها نیز حملات زیادی شده بود و می شود و باید دید چرا هکرها در حمله به آنها موفق نبوده اند.
 
وی افزود: چون اتفاق پرسروصدا و مهمی تاکنون رخ نداده بود، متاسفانه برخی از سایت ها به تذکرات و هشدارها بی توجهی می کرده و در جلوگیری از برخی آسیب پذیری ها غفلت می کردند.
 
پلاشانی در پاسخ به این سوال که چرا براساس گزارش مرکز ماهر، نخستین اخطار درباره این آسیب پذیری خیلی دیر (14 خرداد) به سازمان ها اعلام شد، گفت: این باگ از سال گذشته مشخص شده و هشدارهای لازم داده شده بود. اما پس از اینکه این مشکلات پیش آمد، مجددا در 14 خرداد اخطار جدیدی برای سازمان ها فرستاده شد.
 
وی درباره میزان نفوذی که می توان از این آسیب پذیری انجام داد، گفت: کار خاصی نمی توان کرد و در هک های اخیر هم شاهد بودیم که تنها موضوع دیفیس (تغییر ظاهر) سایت ها پیش آمد.
مدیرعامل شرکت راهبران فناوری پاسارگاد گفت: دات نت نیوک یک نرم افزار شناخته شده است که حتی  سازمان ملل، bank of America و ارتش آمریکا هم از آن استفاده می کنند. 
 
بر اساس این گزارش همچنین سند دوم با عنوان «راهنمای فنی برای ارتقای امنیت فناوری اطلاعات در سازمان» منتشر شده است. در توضیح این راهنما آمده است: هرچند توصیه های کلی توسط مراجع مختلف به سازمان ها ابلاغ شده است، اما راهنمایی که جزییات دقیق تری را از نظر فنی مشخص کند، می تواند کمک بسیاری جهت ارتقای امنیت سازمان ها داشته باشد.
 
در این راهنما پویش دوره ای و ارزیابی امنیتی محدوده آدرس IP، پورتال و سایر سرویس های الکترونیکی سازمان، مشخص کردن تیم فنی و حقوقی برای مدیریت و پاسخ به حوادث امنیتی و داشتن یک برنامه SIEM برای جمع آوری لاگ ها، تحلیل ها، همبستگی آنلاین و پاسخ خودکار از مدیران فناوری اطلاعات سازمان ها خواسته شده است.
 
راه اندازی و پیکربندی فایروال و فایروال وب (WAF)، مدیریت پیکربندی و تغییر شبکه، مدیریت سرور، مدیریت پشتیبان ها، مدیریت دسترسی از راه دور، مدیریت آسیب پذیری در سیستم های شبکه، ممانعت از پاک شدن اطلاعات کاربران، اطمینان از امنیت اطلاعات در اینترنت، مانیتور کردن ترافیک شبکه در سیستم های شبکه، مانیتورینگ شبکه های بی سیم و آموزش کاربران، نکات مربوط به حساب های کاربری و ردگیری دستگاه ها و کاربران از دیگر توصیه های مرکز ماهر به دستگاه هاست.
 
اما نکته جالب این است که این نکات در حد توصیه و راهنما باقی مانده و هیچ الزامی برای سازمان ها درخصوص رعایت این ضوابط در نظر گرفته نشده است.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.