پیکربندی نادرست ایمیل سرورها، یک باگ امنیتی در کمین شرکتهای ایرانی
میزان حملات اینترنتی به شرکتها و سازمانهای مختلف طی سال گذشته افزایش یافته است و حال با نزدیک شدن به مراسم شب یلدا و پس از آن نوروز و انتخابات ریاست جمهوری و به تبع آن افزایش میزان ایمیلهای ارسالی از سمت شرکتها به مشتریانشان احتمال حملههای اینترنتی از طریق ایمیلهای ناامن افزایش مییابد. در این میان پیکربندی نادرست ایمیل سرورها میتواند طعمه خوبی برای هکرها باشد و باعث به خطر افتادن ارزش و اعتبار یک برند یا یک سازمان شود.
حملات امنیتی به سامانههای اینترنتی و موبایلی در سالهای اخیر افزایش یافته و عمده این حملات از طریق دسترسی به ایمیلسرورهای سازمانها صورت گرفته است. در گزارشی که شرکتهای امنیتی بزرگ دنیا از جمله شرکت Checkpoint برای سال ۲۰۲۰ منتشر کردهاند، کانال ایمیل رتبه اول در سواستفاده توسط هکرها را به خود اختصاص داده است.
مجموعه باگدشت، فعال در زمینه باگبانتی یا شناسایی باگهای امنیتی نیز به تازگی یک مشکل امنیتی در ایمیلسرورهای شرکتهای ایرانی به نام پیکربندی نادرست ایمیل سرورها یا «Mail Server Misconfiguration» پیدا کرده و در مورد این مساله به سازمانها شرکتهای ایرانی هشدار جدی داده است.
رویا دهبسته، مدیرعامل باگدشت در این خصوص میگوید: «دسترسی به ایمیل سازمان به هر روشی، یکی از راحتترین راهها برای رسیدن به مقاصد خاص هکرهاست چرا که هم به اعضا و مدیران سازمان و هم به تمام گستره مشتریان آن شرکت یا سازمان دسترسی پیدا میکنند. در جریان رخ دادن یک حمله امنیتی که به زنجیره حمله سایبری یا Cyber Kill Chain معروف است، سطح دسترسی به ایمیل از موارد دارای اهمیت بالا است.»
او در خصوص اهمیتی که کشورهای دیگر به این موضوع دادهاند توضیح میدهد: «کشورهای دیگر همگی این موضوع را درک کرده و در گزارشات خود عنوان کردهاند که سازمانها حتما باید پیکربندی امن سرورهای ایمیل را انجام دهند؛ اما در ایران متاسفانه اهمیت این گونه مشکلات بسیار پایین انگاشته میشود. در مقابل تاثیری که این مشکلات امنیتی ایجاد میکند بسیار زیاد است و کوچکترین آنها نشر یا سواستفاده از اطلاعات محرمانه مشتری یا شرکتهاست.»
پیکربندی نادرست ایمیل سرورها
مدیرعامل باگدشت در خصوص مشکل امنیتی کشف شده در سطح کشور میگوید: «یکی از مشکلاتی که چند ماه پیش به ما اعلام شد، یک Misconfiguration یا پیکیربندی نادرست در بخش ایمیل سرورها بود. این مشکل توسط یکی از کارشناسان امنیت ما، مهندس حیدری گزارش شد. این شخص در شرح گزارش خود توضیح داده بود که یک سری از میلسرورها در سطح کشور بهصورت نادرست پیکربندی شدهاند و این اجازه را به مهاجم یا هکر میدهد که به سرور دسترسی پیدا کند و از طریق هر آدرسی که مربوط به آن سازمان است، ایمیل ارسال کند.»
به گفته دهبسته، بعد از این که این باگ گزارش شد، واحد امنیت باگدشت، گستره مشتریانش را روی این باگ بررسی کردند و مشخص شد حدود ۳۵ مشتری اعم از شرکتهای دولتی و استارتآپی درگیر این باگ امنیتی بودند.
او چگونگی نحوه برخورد با این اشکال امنیتی را اینگونه توضیح میدهد: «پس از اطلاعرسانی به این ۳۵ شرکت اقدام به رفع این اشکال کردیم و حدود یک ماه و نیم بهطول انجامید. از آنجایی که ریسک امنیتی این باگ بسیار بالا است و از طرفی یلدا، نوروز و همیطور انتخابات ریاستجمهوری را در پیش داریم و نرخ ارسال و دریافت ایمیل در این ایام بسیار بالا میرود، یک مقالهای مرتبط با این موضوع در وبلاگ باگدشت منتشر کردیم و سعی کردیم بهصورت کلی این مشکل را توضیح دهیم. هدف از این کار هم اطلاعرسانی بیشتر به سازمانهایی که جزو مشتریان ما نیستند بود.»
پیکربندی نادرست با جعل ایمیل فرق دارد
به گفته مدیرعامل باگدشت، نکته بسیار مهم این است که نباید باگ مربوط به پیکربندی نادرست ایمیل سرور را با جعل ایمیل اشتباه گرفت. او در خصوص تفکیک این دو مورد از یکدیگر میگوید: «در Email Spoofing، هکرها یک آدرس ایمیل مشابه با ایمیل اصلی یک سایت، شرکت یا سازمان میسازند که کاربر به اشتباه بیافتد و متوجه نشود که این آدرس ایمیل، آدرس اصلی آن سایت یا شرکت نیست. اما در مساله Misconfiguration، هکرها به ایمیلهای اصلی شرکتها و سازمانها دست پیدا میکنند و به وسیله ایمیل واقعی و اصلی آن شرکت اقدام به ارسال ایمیل میکنند که به هیچعنوان امکان تشخیص این ایراد از سمت کاربران وجود نخواهد داشت.»
دهبسته معتقد است سازمانها میتوانند با پیادهسازی Policyهایی که در ایمیل سرور وجود دارد، بنابر شرایط کسبوکاری که دارند، نسبت به این پیکردبندی نادرست ایمیل سرور اقدام مناسب داشته باشد و امنیت خود را تامین کند.
مدیرعامل باگدشت در پاسخ به این سوال که سازمانها و کاربران، چه اقداماتی انجام دهند تا این مشکلات به حداقل برسند میگوید: «آموزش یکی از مهمترین و کلیدیترین عنصرهای مقابله با حملات امنیتی است.» او در ادامه میگوید: «سازمانها باید بخشهای اطلاعرسانی و آگاهیسازیهای امنیتی را در دستور کار خود قرار دهند. این موضوع هم در ایران بین شرکتها و سازمانها از اهمیت بالایی برخوردار نیست و با وجود اینکه هر روزه روشهایی جدیدتری برای حمله به وجود میآید اما این آگاهیسازها و اطلاعرسانیها بهروز نمیشوند. در سمت کاربران هم باید این حساسیت وجود داشته باشد تا روی هر ایمیل، لینک و محتوایی کلیک نکنند.»
به گفته دهبسته، بهصورت کلی در بحث امنیت، اگر سازمانها از مشاوران امنیتی استفاده نکنند، از تنظیمات و پیکربندیهای پیشفرض برای سامانههای مورد استفاده سازمان استفاده کنند، بهصورت مداوم امنیت این سامانهها و ابزار را مورد بررسی قرار ندهند و بهروزرسانی آخرین وصلههای امنیتی را دریافت نکنند، شدیدا در معرض خطر حمله قرار میگیرند.
پیکربندی پیشفرض سرمنشا اکثر رخدادهای امنیتی
او همچنین توضیح میدهد که استفاده از پیکربندی پیشفرض یا ناامن، سرمنشا تعداد زیادی از رخدادهای امنیتی است. ایمیلسرور بهعنوان یکی از در دسترسترین و راحتترین تکنولوژیهایی است که این آسیبپذیریها روی آن گزارش میشود و بیشتر از سایر موارد مورد هدف حملات هکرها قرار میگیرد.
مدیرعامل باگدشت در پاسخ به این سوال که از بین نرمافزارهای سازمانی یا نرمافزارهای عمومی کدام آسیبپذیرترند توضیح میدهد: «معمولا نرمافزارهایی که توسط یک شرکتی برای استفاده افراد محدودی تولید یا شخصیسازی میشوند، اگر مورد تست امنیتی قرار نگیرد، بسیار آسیبپذیرتر از نرمافزارهایی هستند که پرکاربرد بوده و نرخ بیشتری از گزارشات را از سمت کاربران دریافت میکنند. این مساله باعث میشود که شرکت سازنده ورژنهای جدیدتری به همراه مشکلات رفعشده منتشر کند و امنیت نرمافزار خود را حفظ کند. اما نرمافزاری که بهصورت خاص برای یکی دو سازمان طراحی شده اگر تیم امنیتی مناسبی نداشته باشد، از آنجایی که کاربر زیادی از آن استفاده نمیکند، مسلما باگ بیشتری خواهد داشت.»