وقتی پشت کارمندان خود می ایستید

 

 

 

نویسنده: Rodd Wagner

مترجم: مهدی نیکوئی

برگرفته ازكتاب: مهره‌ها

دومین قانون از ۱۲ قانون جدید برای مدیریت انسانی کارکنان این است: آنها را جسور و نترس کنید! اگر آنها را مانند چرخ‌‌‌دنده و مهره‌‌‌هایی بی‌‌‌احساس در شرکت و کسب و کار خود نمی‌‌‌بینید، برای کسب بالاترین تلاش‌‌‌هایشان باید ترس‌‌‌هایشان را از بین ببرید. این همان موضوعی است که بیل هیولت با آن مواجه بود. در سال ۱۹۷۰ و سه دهه پس از شروع افسانه‌‌‌وار فعالیت شرکت هیولت‌پاکارد از گاراژ پالوآلتو، شرایط شرکت دشوار شده بود. شریک هیولت یعنی دیوید‌پاکارد به طور موقت از شرکت دور شده بود و به عنوان معاون وزارت دفاع ایالات‌متحده خدمت می‌کرد.

کشور در رکود اقتصادی به سر می‌ُبرد. سفارش‌‌‌های خرید اچ‌‌‌پی به شدت کاهش یافته و بسیار پایین‌‌‌تر از ظرفیت تولید کارخانه بود. طبیعی است که درآمدها و سودآوری نیز سقوط چشمگیری داشت. شرکت باید ۱۰‌درصد از هزینه‌‌‌های خود را کاهش می‌‌‌داد تا زنده بماند.

برخی از مدیران که عادت کرده بودند بر اساس میزان سودآوری شرکت اقدام به استخدام و اخراج کارکنان کنند، انگار دست به اسلحه برده بودند و کار همه را تمام می‌کردند. کارکنان وفادار و سختکوش شرکت به ناگاه غافلگیر می‌‌‌شدند و نامه اخراج را در دست خود می‌‌‌دیدند. هیولت با اطلاع از این وضعیت‌بخشنامه‌‌‌ای به مدیرانش نوشت:

«تعداد موارد روزافزونی گزارش شده است که کارکنان با اخطاری اندک یا بدون اخطار درباره کاهش بهره‌‌‌وری‌‌‌شان کنار گذاشته شده‌‌‌اند. در برخی از موارد، ارزیابی عملکرد فقط پس از قطع همکاری به کارکنان داده شده است. هیچ بهانه‌‌‌ای برای این رفتار وجود ندارد. انسانی نیست. سبک اچ‌‌‌پی این نیست. قابل توجیه نیست.»

هیولت به مدیرانش گفت هیچ‌کس نباید بدون هشدار قبلی از طریق ارزیابی‌‌‌های مکتوب و همچنین مشاوره‌‌‌های سازنده درباره شیوه بهبود عملکرد اخراج شود. هرگاه ممکن باشد، شرکت و نه کارکنان باید به دنبال مکان دیگری در شرکت برای رشد و موفقیت آن نیروی کار بگردد. او نوشت کارکنان نباید خودشان مجبور شوند به دنبال واحد یا پست جدیدی در شرکت باشند. همچنین پیش از هر اقدام نامساعد، باید به خوبی درباره آن اندیشیده شود. ما باید متوجه شویم که هر کدام از افراد نمایانگر شخصیت‌‌‌هایی مستقل با مشکلات، خانواده و شرایط خاص خودشان هستند.

با این حال، همچنین نیاز به کاهش هزینه‌‌‌ها بود و بدون تغییر فهرست حقوق این کار غیرممکن بود. هیولت تصمیم دیگری گرفت. بیشتر کارکنان، از جمله خودش یک روز اضافه به مرخصی خواهند رفت و میزان حقوقشان ۱۰‌درصد کاهش پیدا می‌کند. تولید در آن روز تعطیل شد. فقط کارکنان بخش فروش که برای برون‌‌‌رفت از آن معضل باید سفارش‌‌‌ها را دریافت می‌کردند، از این قانون مستثنا شدند.

هیولت در توضیح این تصمیم خود نوشت: «معمولا در کسب و کار، فردی در خط تولید قرار دارد که بیش از دیگران تاوان می‌دهد؛ در حالی که مدیران و سرپرستان در کار خود باقی می‌‌‌مانند. انصاف فقط این است که همه کارکنان از بالا تا پایین در این درد شریک باشند.»

۶ ماه بعد، سفارش‌‌‌های خرید هیولت پاکارد به سطح عادی خود بازگشت. پاکارد نوشت: «برخی اعلام کردند که از افزایش تعطیلات خود لذت برده‌‌‌اند؛ هرچند مجبور بودند از مخارج خود بکاهند. نتیجه این برنامه آن بود که همه افراد بار رکود را به اشتراک گذاشتند. در شرایطی که نرخ بیکاری کشور افزایش یافته و پیدا کردن شغل دشوار شده بود، آدم‌‌‌های خوب کنار گذاشته نشدند. همچنین ما کارکنان به شدت با صلاحیت خود را برای زمان بهبود اوضاع حفظ کردیم.»

بیل هیولت با این دستور که هیچ فردی نباید بدون اطلاع قبلی کنار گذاشته شود و همه باید با یکدیگر از رکود اقتصادی عبور کنند، ترس و نگرانی را از ذهن کارکنانش زدود. هیولت و پاکارد عنوان کردند که در این تصمیم، دو انگیزه داشتند. نخستین انگیزه، وفاداری بود. آنها حس مسوولیت عمیقی برای افرادی داشتند که بخش جدایی‌‌‌ناپذیر شرکت به شمار می‌‌‌آمدند. چرا آنها باید در آن بازار کار بی‌‌‌سامان، پشت کارکنان خود را خالی می‌کردند؟ به این دلیل که برای دو بنیان‌گذار و مدیر شرکت، کارکنانشان مانند پیچ و مهره نبودند.

تمام شواهد نشان می‌دهد در چنین مواردی که ترس و نگرانی از ذهن کارکنان حذف می‌شود، شاهد تعهدی متقابل از سمت آنها خواهیم بود. مایکل مالون در کتاب خود با نام بیل‌اند دیو درباره آن اقدام هیولت نوشته است: «بسیاری از کارکنان که تسلیم یک تعدیل ناگزیر شده بودند، با برنامه تعطیلات ۹ روزه قدردان و حتی عاشق هیولت و پاکارد شدند؛ به‌‌‌ویژه بیل هیولت که دو دهه دیگر هم به هدایت شرکت ادامه داد.»

انگیزه دوم مدیران شرکت اچ‌‌‌پی، موضوعی بود که اقتصاددانان آن را «انباشت سرمایه‌‌‌انسانی» یا «احتکار نیروی کار» می‌‌‌خوانند. وفاداری دلیلی اخلاقی برای حفظ افراد در رکودهاست اما انباشت سرمایه انسانی یک دلیل منطقی و واقع‌‌‌بینانه است. یک رکود قرار نیست همیشگی باشد. زمانی که تمام شود، شرکت به افراد بااستعداد نیاز دارد. اگر تعداد بیش از حدی از آنها طی رکود از دست رفته باشند، شرکت مزیت رقابتی خود را در زمان احیا و سال‌های پس از آن از دست می‌دهد. بهتر است که به گفته پاکارد «کارکنان به شدت باصلاحیت» در کنار شرکت بمانند.

این همان اتفاقی است که در گذشته می‌‌‌افتاد. مطالعات اقتصادی مختلف نشان داده‌‌‌اند که به ازای هر یک‌درصد کاهش سودآوری، فقط نیم‌درصد از کارکنان تعدیل می‌‌‌شدند. از آنجا که کاهش بهره‌‌‌وری یا سودآوری موقت بود، شرکت‌ها آمادگی خود را برای شروع سریع در دوران احیا حفظ می‌کردند.

اما اتفاقی که طی ۲ دهه اخیر افتاد. در آخرین رکود اقتصادی، شرکت‌های بسیاری کارکنان خوب خود را رها کردند. آنها کارکنان را با نرخی سریع‌‌‌تر از گذشته تعدیل کردند. شرکت‌ها به جای کاهش ساعات کاری، تمایل بیشتری به کاهش کارکنان نشان دادند. مجله اکونومیست در تحلیلی نوشت: «در رکود ۱۹۷۳ تا ۱۹۷۵، فقط یک‌‌‌سوم از کاهش مجموع نفر-ساعت به دلیل تعدیل نیرو بود. بقیه آنها از طریق کاهش روزهای کاری هفته یا سال محقق شده بود. اما در بحران مالی بزرگ (سال ۲۰۰۸) این وضعیت، برعکس بود.»

شاید رکودهای جدید دشوارترند. شاید شرکت‌ها دلیل کمتری برای حفظ کارکنان دارند. شاید نگران هزینه‌‌‌های بیمه یا خشم اتحادیه‌‌‌ها هستند. شاید هم مدیران به دنبال پاداش‌‌‌های خودشانند. دلیل هر چه که باشد، رابطه‌‌‌ای غیروفادارانه بین کارکنان و کارفرمایان رقم زده است و خطر بیشتری برای رفتار ماشین‌‌‌وار با کارکنان پدید آورده است.

 

برگرفته از دنیای اقتصاد

 

 

 

ممیزی اطلاعات چیست ؟

 

 یکی از وظایف مهم متخصصان امنیتی، ارزیابی امنیت سازمان است. این ارزیابی، جنبه‌های فنی مانند وضعیت پیکربندی سرورها، فایروال‌ها، نرم‌افزارها، کنترل‌های امنیت فیزیکی و اطلاع‌رسانی به کارکنان در رابطه با حملات مهندسی اجتماعی را شامل می‌شود. ارزیابی امنیتی یکی از وظایف مهم کارشناسان امنیت سایبری است که باید به‌طور منظم انجام شود. از این‌رو، دانستن نحوه انجام این ارزیابی‌ها اهمیت زیادی دارد، زیرا امنیت سایبری در پیکربندی دیوارهای آتش و تخصیص مجوزها خلاصه نمی‌‌شود. درک چگونگی ارزیابی امنیتی بخش‌های مختلف یک سازمان و خطرات مرتبط با آن کمک می‌کند تا به‌شکل بهتری از زیرساخت‌های سازمانی در برابر مجرمان سایبری محافظت کنید.


ممیزی اطلاعات چیست؟

ممیزی اطلاعات (Information Audit) به‌معنای تجزیه‌وتحلیل و ارزیابی مکانیزم‌های امنیتی، پایگاه‌های داده و منابعی است که اطلاعات حساس را نگه‌داری می‌کنند. این‌کار با هدف تشخیص، بهبود دقت، امنیت و به‌روز بودن اطلاعات و برطرف کردن مشکلات امنیتی انجام می‌شود. در حالت جامع، ممیزی اطلاعات به دلایل زیر انجام می‌شود:

     رعایت مقررات و خط‌مشی‌های اطلاعاتی و امنیتی سازمان.
     آگاهی‌رسانی با هدف تامین امنیت بهتر منابع اطلاعاتی.
     نیازهای اطلاعاتی سازمان.
     شناسایی هزینه‌های پیرامون منابع اطلاعاتی.
     شناسایی فرصت‌های استفاده از منابع اطلاعاتی برای دستیابی به مزیت رقابتی راهبردی.
     توسعه خط‌مشی‌های امنیتی و اطلاعاتی.
     یکپارچه‌سازی سرمایه‌گذاری در فناوری اطلاعات با اقدامات راهبردی تجاری.
     شناسایی جریان‌ها و فرایندهای اطلاعاتی.
     رصد و ارزیابی سازگاری و مطابقت با استانداردها.
     شناسایی منابع اطلاعاتی سازمان.

ارزیابی امنیتی چیست؟

ارزیابی امنیتی به مجموعه اقدامات دوره‌ای اشاره دارد که وضعیت امنیتی شبکه سازمانی را بررسی می‌کند. ارزیابی امنیتی شامل شناسایی آسیب‌پذیری‌ها در سیستم‌های فناوری اطلاعات و فرآیندهای تجاری و توصیه‌هایی برای کاهش مخاطرات امنیتی است. ارزیابی‌های امنیتی به شما کمک می‌کنند خطرات را شناسایی کنید و مانع بروز حمله‌های سایبری شوید.
انواع ارزیابی

ارزیابی‌های امنیتی شامل ارزیابی مخاطرات، تهدیدها، پیکربندی‌ها، آسیب‌پذیری‌ها و تست نفوذ است. هر یک از این ارزیابی‌ها مشکلات مختلف زیرساخت‌های سازمانی را نشان می‌دهد.
ارزیابی مخاطره (Risk Assessment):

    ارزیابی مخاطره (ریسک) رایج‌ترین نوع ارزیابی در دنیای امنیت سایبری است که با شناسایی مسائلی که ممکن است باعث ایجاد اختلال در فعالیت‌های تجاری شوند، به استمرار و تداوم فعالیت‌های تجاری کمک می‌کنند. برخی منابع، ارزیابی ریسک را تجزیه‌وتحلیل ریسک نیز توصیف می‌کنند، زیرا به شناسایی ریسک‌های پیرامون دارایی‌های درون‌سازمانی و یافتن راه‌حل‌هایی برای به‌حداقل رساندن آن ریسک‌ها می‌پردازد. به‌طور کلی، ارزیابی ریسک بر مبنای مراحل زیر انجام می‌شود:

شناسایی دارایی‌ها (Identify assets):

    اولین گام برای ارزیابی ریسک، شناسایی دارایی‌های سازمان است. دارایی هر چیزی است که برای سازمان ارزش دارد. به‌عنوان مثال، اگر شرکتی یک سایت تجارت الکترونیکی داشته باشد که صدها هزار دلار در روز درآمد دارد، یک دارایی مهم به‌شمار می‌رود.

شناسایی تهدیدات (Identify threats):

    پس از شناسایی دارایی‌ها، باید تهدیدات پیرامون هر دارایی را شناسایی کنید. به‌طور کلی، دارایی‌ها با تهدیدات مختلفی روبه‌رو هستند. تنها کاری که باید در این مرحله انجام دهید، فهرست کردن تهدیدات است. به‌عنوان مثال، ممکن است یک وب‌سایت با حمله انکار سرویس (DoS) روبرو شود یا هارددیسک روی وب‌سرور به دلایل مختلف، همچون حمله‌های بدافزاری از کار بیفتد.

تحلیل تأثیر (Analyze impact):

     این مرحله برای تعیین تأثیری که هر تهدید روی دارایی می‌گذارد، انجام می‌شود. به‌عنوان مثال، تأثیر یک حمله «انکار سرویس توزیع‌شده» (DDoS) بر روی سایت تجارت الکترونیک شرکت به‌معنای از دست دادن درآمد در مدت زمانی است که فرآیند بازیابی کامل شده و همه‌چیز به شرایط اولیه باز گردد. به همین دلیل مهم است که باید تاثیر تهدید به‌دقت بررسی شود.

اولویت‌بندی تهدیدها (Prioritize threats):

    پس از شناسایی تهدیدات پیرامون دارایی‌ها، هر تهدید را بر مبنای تاثیری که بر فعالیت‌های تجاری می‌گذارد و بر اساس احتمال وقوع تهدید اولویت‌بندی کنید. در این مرحله باید تصویر کامل‌تری از تهدیدها داشته باشید.

کاهش تهدید (Mitigate the threat):

    پس از اولویت‌بندی تهدیدها، باید مشخص کنید بر مبنای چه راهکاری به‌دنبال کاهش آن‌ها هستید. برای مثال، می‌توانید وب‌سرور را پشت دیوار آتشی قرار دهید تا مانع پیاده‌سازی موفقیت‌آمیز حملات پیرامون وب‌سرور شوید یا از راه‌حل RAID برای مقابله با خرابی ناگهانی دیسک‌درایوها و از دست دادن اطلاعات استفاده کنید.

ارزیابی تهدید (Threat Assessment):

    ارزیابی تهدید بخشی از فرآیند ارزیابی ریسک است که تهدیدات مختلف پیرامون یک دارایی را شناسایی می‌کنید. همان‌گونه که اشاره شد، شما با تهدیدات مختلفی پیرامون یک دارایی روبه‌رو هستید، از این‌رو بخشی از ارزیابی ریسک، به مبحث اولویت‌بندی تهدیدها اختصاص دارد.

ارزیابی پیکربندی (Configuration Assessment):

    با ارزیابی پیکربندی‌ها، متخصصان امنیت سایبری پیکربندی امنیتی سیستم‌ها یا شبکه را بررسی می‌کنند. رویکرد فوق شامل آماده‌سازی چک‌لیستی از بهترین شیوه‌های پیکربندی و بهترین روش‌های پیاده‌سازی آن‌ها است، اما یک سازمان چه دارایی‌های مهمی دارد که باید به فکر ارزیابی و پیکربندی درست آن‌ها باشیم؟ از جمله این دارایی‌ها به موارد زیر باید اشاره کرد:

سامانه‌ها:

    هنگام ارزیابی، مطمئن شوید که جدیدترین وصله‌ها روی سامانه‌ها نصب شده‌اند. اطمینان حاصل کنید که هیچ نرم‌افزار یا سرویس غیرضروری روی سامانه‌ها اجرا نمی‌شود. همه سامانه‌ها باید با رمزهای عبور قوی محافظت شوند. همه سامانه‌ها باید نرم‌افزار آنتی‌ویروسی داشته باشند که پایگاه داده آن شامل جدیدترین تعریف و امضا ویروس‌ها است. این پایگاه داده باید به‌طور خودکار به‌روزرسانی ‌شود.

سرور فایل (File server):

    هنگام ارزیابی پیکربندی امنیتی سرور فایل، بررسی کنید کاربران قبل از دسترسی به فایل‌های روی سرور توسط سرور فایل احراز هویت شوند، مجوزهای درستی به پوشه‌ها اختصاص داده شده باشد، افرادی را که قادر به دسترسی به اطلاعات هستند کنترل کنید و مطمئن شوید که اصل حداقل امتیاز رعایت شده باشد.

وب سرور (Web server):

    وب‌سایت‌هایی که با اطلاعات حساس بازدیدکنندگان در ارتباط هستند باید از پروتکل‌های SSL/TLS برای رمزنگاری اطلاعات استفاده کنند، احراز هویت به‌‌شکل درستی انجام شده باشد و هیچ فایل غیرضروری‌ای در سرور وب وجود نداشته باشد. وب‌سرور باید دارای ویژگی گزارش‌گیری باشد تا بتوانید بر فرآیند دسترسی به وب‌سایت‌ها نظارت دقیقی اعمال کنید.

سرور SMTP:

    علاوه بر وصله و ایمن کردن سامانه‌ها، مطمئن شوید که سرور SMTP توسط دیوار آتش محافظت می‌شود و هیچ‌گونه دسترسی مستقیم به سرور وجود ندارد. علاوه بر این، سرور SMTP باید توسط ابزارهای امنیتی مثل ضدویروس‌ها محافظت شود تا هرگونه ایمیلی که حاوی ضمیمه آلوده یا هرزنامه‌هایی است که برای سرور ارسال می‌شوند شناسایی شوند. توجه به این نکته نقش مهمی در کاهش حمله‌های فیشینگ دارد. به‌طور معمول، سازمان‌های بزرگ فعال در حوزه‌های مالی و بیمه با حجم قابل توجهی از هرزنامه‌هایی روبه‌رو هستند که بی‌ارزش هستند و باز کردن تنها یک مورد از این هرزنامه‌ها راه نفوذ هکرها به سامانه‌ها را هموار می‌کند.

روترها (Routers):

    کارشناسان خبره برای دسترسی به Console ، Auxiliary و Telnet روی روترها گذرواژه‌هایی را تعیین می‌کنند تا بتوانند افرادی را که قصد دسترسی به پیکربندی روترها دارند کنترل کنند. برای حفظ امنیت، بهتر است از پروتکل پوسته امن (SSH) سرنام Secure Shell به جای Telnet برای مدیریت از راه دور به روتر استفاده کنید. مطمئن شوید روتر یک فهرست کنترل دسترسی (ACL) دارد که کنترل می‌کند چه ترافیکی مجاز است از روتر عبور کند. به‌عنوان مثال، این امکان وجود دارد تا روتر را به گونه‌ای پیکربندی کنید که به ترافیک شبکه‌های مشخصی اجازه عبور دهد. علاوه بر این، باید یک قانون انکار ضمنی همه (Implicit Deny All) در انتهای یک فهرست کنترل دسترسی قرار دهید. این قانون می‌گوید، هرگونه ترافیکی که برای روتر وارد می‌شود به غیر از ترافیک مربوط به شبکه‌های مشخص‌شده، باید رد شود. این قانون باید به ترافیک ورودی رابط سریال روی روتر اعمال شود تا هرگونه ترافیکی که وارد روتر می‌شود این قانون روی آن اعمال شود.

فایروال‌ها (Firewalls):

    دیوارهای آتش باید به گونه‌ای پیکربندی شوند که هرگونه ترافیکی به‌جز ترافیکی را که صراحتاً مجاز به عبور از دیوار آتش است رد کنند. این پیکربندی به‌عنوان رد ضمنی شناخته می‌شود و اعلام می‌دارد که تنها ترافیک تعریف‌شده در دیوارآتش مجاز به عبور است. از آن‌جایی که فایروال‌ها به اینترنت متصل هستند، باید اطمینان حاصل کنید که تمامی ویژگی‌های مدیریت راه دور روی آن‌ها غیرفعال شده باشد و از مکانیزم احراز هویت قوی روی دستگاه استفاده شده باشد.

سوئیچ‌ها (Switches):

    مطمئن شوید گذرواژه‌ها روی درگاه کنسول، درگاه کمکی و درگاه‌های Telnet سوئیچ‌‌ها پیکربندی شده‌اند تا بتوانید افرادی را که دسترسی مدیریتی به دستگاه دارند کنترل کنید. همچنین، بررسی کنید درگاه‌های استفاده‌نشده غیرفعال باشند تا مجرمان سایبری موفق نشوند از این درگاه‌‌ها برای نفوذ استفاده کنند. برای حفظ امنیت، بهتر است کاربران هر واحد را در شبکه جداگانه‌ای قرار دهید و از مکانیزم تقسیم‌بندی (Segments) برای شکستن یک شبکه واحد به شبکه‌های کوچک‌تر استفاده کنید. امروزه در بیشتر سازمان‌های بزرگ از فناوری شبکه محلی مجازی (VLAN) برای ایمن‌سازی، مدیریت بهتر کاربران و نظارت دقیق بر پهنای باند استفاده می‌شود.

کارمندان (Employees):

    هنگام انجام ارزیابی‌های دستی، دانش کارکنان در ارتباط با مسائل امنیت را بیازمایید و چند سناریو حمله مهندسی اجتماعی را برای آن‌ها ترتیب دهید. به‌عنوان مثال، می‌توانید به بررسی این موضوع بپردازید که آیا یک کارمند رمز عبور خود را در اختیار فردی که ناشناس است قرار می‌دهد یا خیر. همچنین، می‌توانید درایوهای USB را روی میز کارمندان قرار دهید تا ببیند چند نفر از آن‌ها یک درایو USB ناشناس را به سیستم‌های خود متصل می‌کنند. کارمندانی که آموزش‌های امنیتی دقیقی دیده باشند به‌خوبی از این نکته اطلاع دارند که یک درایو USB ناشناس ممکن است حاوی ویروس باشد و نباید چنین درایوهایی را به سامانه‌های خود متصل کنند.

امنیت فیزیکی (Physical security):

    یکی دیگر از موضوعات مهم پیرامون مبحث ارزیابی، امنیت فیزیکی است. آیا تمام درها و پنجره‌ها قفل دارند؛ آیا تنظیمات CMOS سیستم‌ها برای جلوگیری از بوت شدن از طریق دیسک‌های نوری یا درایوهای USB تغییر کرده‌اند؛ آیا روی سامانه‌هایی که اطلاعات محرمانه دارند، ویژگی کنترل یا مشاهده از راه دور نصب شده یا نرم‌افزارهای برقراری ارتباط از راه دور مثل Team Viewer نصب شده است؛ آیا از مکانیزم‌های نرم‌افزاری یا سخت‌افزای برای عدم اتصال درایوهای USB روی سامانه‌ها استفاده شده است یا خیر.

ارزیابی آسیب‌پذیری (Vulnerability Assessment):

    ارزیابی آسیب‌پذیری به شناسایی نقاط و مناطقی اشاره دارد که احتمال بروز حمله‌های سایبری از آن مناطق بیشتر است. بیشتر ارزیابی‌های آسیب‌پذیری با استفاده از ابزارهای رایجی مثل Nessus، OpenVAS یا LANguard GFI انجام می‌شوند. شکل ۱، رابط کاربری ابزار LANguard GFI را که اسکنر شناسایی آسیب‌پذیری شبکه است نشان می‌دهد. این ابزار به کارشناسان شبکه کمک می‌کند بخش‌هایی از یک سامانه را که در برابر حمله‌ها آسیب‌پذیرتر هستند شناسایی کنند.

ابزار ارزیابی آسیب‌پذیری با هدف تجزیه‌و‌تحلیل پیکربندی‌های یک سیستم و شناسایی بخش‌هایی که نیازمند رسیدگی بیشتر هستند مورد استفاده قرار می‌گیرد. از جمله وظایف اصلی این ابزارها به موارد زیر باید اشاره کرد:

     ارزیابی وضعیت وصله‌های نصب شده روی سامانه‌ها و گزارش این موضوع که آیا وصله‌هایی وجود دارند که روی سامانه‌ای نصب نکرده‌اید.
     شناسایی حساب‌های کاربری که بدون رمز عبور روی یک سیستم ساخته شده‌اند.
     اطلاع‌رسانی در ارتباط با حساب‌هایی که مدت زمان طولانی است که از آن‌ها استفاده نشده است.
     اطلاع‌رسانی در ارتباط با وجود انواع مختلفی از حساب‌های مدیریتی.
     شناسایی رخنه‌ها یا آسیب‌پذیری‌هایی که نیازمند رسیدگی هستند.

شکل 1

نکته کلیدی که هنگام کار با ابزارهای ارزیابی آسیب‌پذیری‌ها باید به آن‌ها دقت کنید این است که ابزارهای مذکور تنها پیکربندی سامانه‌ها را بررسی می‌کنند و تا حد امکان توصیه‌هایی را برای رفع مشکل ارائه می‌کنند، اما کار خاصی در ارتباط با کاهش یا دفع حمله‌های سایبری انجام نمی‌دهند، زیرا وظیفه اصلی آن‌ها بررسی پیکربندی‌های سامانه‌ها است. هنگامی که قصد ارزیابی آسیب‌پذیری‌ها را دارید باید موارد زیر را بررسی کنید.
حساب‌های استفاده نشده (Unused accounts):

     آیا حساب‌های کاربری‌ای وجود دارند که برای مدت زمان طولانی استفاده نشده‌اند. به‌طور معمول در همه شرکت‌ها، کارمندان پس از گذشت مدت زمانی محل کار را ترک می‌کنند، در حالی که حساب‌های کاربری آن‌ها همچنان فعال است. هرگونه حساب کاربری‌ای که استفاده نمی‌شود، ممکن است در معرض حمله‌های سایبری قرار بگیرد، زیرا هیچ کارمندی وجود ندارد که وضعیت آن‌‌ها را بررسی کند. از این‌رو، مهم است که حساب‌های استفاده‌نشده را شناسایی کرده و آن‌ها را غیرفعال کنید.

حساب‌های مدیریتی (Administrative accounts)‌:

    حساب‌های مدیریتی را باید به‌دقت زیر نظر بگیرید. هرچه تعداد حساب‌های مدیریتی کمتر باشد، بهتر است؛ زیرا تعداد افرادی که قادر به اعمال تغییرات در محیط هستند محدودتر است.

سیستم‌عامل وصله‌نشده (Unpatched operating system):

    سیستم‌عامل وصله‌نشده یک خطر امنیتی بزرگ در دکترین دفاعی به‌وجود می‌آورد، به‌همین دلیل مراقب سیستم‌هایی باشید که وصله‌نشده هستند. علاوه بر این، همواره این احتمال وجود دارد که نرم‌افزارهای آسیب‌پذیری که وصله نشده‌اند، روی سامانه کاربران نصب شده باشند. اگر سرور ایمیل یا سرور پایگاه داده آسیب‌پذیر داشته باشید یک مهاجم می‌تواند یک حمله سرریز بافر روی آن انجام دهد و دسترسی مدیریتی کامل به سیستم پیدا کند.

نرم‌افزار آسیب‌پذیر (Vulnerable software):

    یکی از قابلیت‌های کاربردی نرم‌افزار‌های ارزیابی آسیب‌پذیری توانایی آن‌ها در شناسایی نرم‌افزارهای آسیب‌پذیری است که روی سیستم در حال اجرا هستند. برای مثال، اگر سامانه‌ای در برابر حمله CGI سرنام Common Gateway Interface آسیب‌پذیر باشد، نرم‌افزار ارزیابی به شما اطلاع می‌دهد.

شناسایی آسیب‌پذیری‌ها (Identifying vulnerabilities):

    هدف از اسکن شناسایی آسیب‌پذیری‌ها پیدا کردن نقاط ضعف موجود در سیستم است. به‌عنوان مثال، اگر سیستمی با وصله‌ها به‌روز نباشد، به‌عنوان یک نقطه آسیب‌پذیر در شبکه شناخته می‌شود.

تشخیص فقدان کنترل‌های امنیتی (Identifying the lack of security controls):

    هنگام انجام ارزیابی آسیب‌پذیری، به‌دنبال بررسی این موضوع باشید که آیا کنترل‌های امنیتی وجود دارند که باید استفاده شوند و در حال حاضر استفاده نمی‌شوند. به‌عنوان مثال، هنگام ارزیابی امنیت یک سرور پایگاه داده متوجه شوید توسط فایروال محافظت نمی‌شود. در این مورد، باید به مدیر پایگاه داده اطلاع دهید که سامانه‌ها باید از طریق دیوارآتش با سرور پایگاه داده ارتباط برقرار کنند تا همه‌چیز تحت کنترل قرار گیرد.

شناسایی پیکربندی‌های نادرست رایج (Identifying common misconfigurations):

    هنگام انجام اسکن آسیب‌پذیری، پیکربندی سیستم را بررسی کنید تا هرگونه پیکربندی نادرستی را که می‌تواند باعث بروز مشکلات امنیتی شود پیدا کنید. به‌عنوان مثال، ممکن است متوجه شوید نام پیش‌فرض حساب مدیریتی در یک سرور تغییر نکرده است.

کلام آخر

همان‌گونه که مشاهده کردید، یکی از وظایف مهم کارشناسان امنیت، انجام ارزیابی‌ها و ممیزی‌های امنیتی است. به‌طور معمول، توصیه می‌شود ارزیابی‌ها و ممیزی‌ها را در بازه‌های زمانی کوتاه‌مدت انجام دهید تا مطمئن شوید آسیب‌پذیری ناشناخته‌ای روی یک سیستم و به‌ویژه وب‌سرورها وجود ندارد.

 

 

 

سریعترین و ایمن ترین روش اطفای حریق برای رک اتاق سرور

 

  نوعی ماده خاموش کننده است که اخیراً توسعه یافته و جایگزین ماده ای به نام هالون 1211 (Halon 1211) شده است. هالون 1211 در کپسول های آتش نشانی استفاده می شد که مشکلات زیادی برای سلامتی انسان دارد و از مواد آسیب رسان به لایه اوزن است. از نظر عملکرد، FE36  شبیه به هالون 1211 است، اما 20 برابر برای انسان کم خطرتر بوده و آسیبی متوجه لایه ازون نمی کند.

 

از نظر عملکرد، FE36  شبیه به هالون 1211 است، اما 20 برابر برای انسان کم خطرتر میباشد

FE36 جایگزین شده، بسیاری از مشکلات هالون 1211 را ندارد. از این ماده برای آتش سوزی هایی با کلاس A، B و C و در مواقعی استفاده می شود که کاری از دست پودر، CO2 و آب ساخته نیست. این ماده در کپسول هایی با سیلندر فلزی و با عنوان مایع تحت فشار 15 نگهداری می شود تا در مواقع حریق به طرف آتش پرتاب شود. نام شیمیایی آن hexafluoropropane با فرمول شیمیایی HFC-236fa بوده و حداقل غلظت مورد نیاز آن برای خاموش کردن آتش 5،3٪ درصد است.


نحوه عملکرد کپسول آتش نشانی FE36

از این کپسول برای آتش سوزی های کلاس A  و  B و C استفاده می شود و به هنگام حریق، FE36 انباشته شده در داخل کپسول، به سمت آتش پرتاب می شود و با برقراری تعادل شیمیایی و جذب گرمای آتش حریق، منجر به خاموشی آن می شود. مهم ترین مزیت FE36 در این است که چون در دمای 4.4 درجه سانتیگراد، تبدیل به گاز می شود، پس از خاموش شدن آتش هیچ اثری از خود به جای نمی گذارد.


مزایای اطفاحریق FE36

زمانی که FE36 از کپسول آتش نشانی خارج می شود، فاقد بو بوده و اثر سمی ندارد. همچنین بعد از اتمام آتش سوزی، هیچ اثری از آن در محل آتش سوزی باقی نمی ماند. از دیگر ویژگی های مثبت آن غیر رسانا بودن است و در اثر شوک حرارتی هیچ گونه آسیبی به دستگاه های مکانیکی، برقی و الکترونیکی نمی زند. این ماده در عین حال که کارایی زیاد و عملکرد مناسبی دارد، به محیط زیست آسیب نزده و تهدیدی برای لایه ازون نیست. زمان مورد نیاز برای تخلیه این ماده از کپسول، کمتر از 10 ثانیه است و در سریع ترین زمان ممکن  آتش را خاموش می کند. از آنجایی که این ماده ایمن است، می توان از آن در محیط های کاری استفاده کرد. این کپسول می تواند در دمای اتاق به خوبی عمل کند.

ویژگی های مثبت آن غیر رسانا بودن است و در اثر شوک حرارتی هیچ گونه آسیبی به دستگاه های مکانیکی، برقی و الکترونیکی نمی زند

 

فاکتورهای مهم fe36

گازی بی بو و پاک

هیچ گونه تاثیری در محل اطفا نمیگذارد

غیر سمی است و برای انسان خطری ندارد و در محیطهایی که انسانهای کار میکنند هم قابل استفاده است

یکی از مهمترین فاکتورهای این گاز غیر سمی است و برای انسان خطری ندارد و در محیطهایی که انسانهای کار میکنند هم قابل استفاده است


کپسول نگهدارنده FE36 که جزئی از تجهیزات آتش نشانی، در قسمت روی سیلندر، یک شیر ایمنی دارد که حداکثر ایمنی را فراهم می کند. برای بدنه سیلندر، از رنگ الکترواستاتیک استفاده شده است که این رنگ مقاومت بالایی در برابر خوردگی دارد.

کاربردهای کپسول آتش نشانی FE36


این کپسول که از تجهیزات اطفاء حریق در فضاهای مخصوص نگهداری سرورها، رایانه ها، بایگانی های ارزشمند، تجهیزات آزمایشگاهی، تجهیزات مخابراتی، تأسیسات دریایی، بیمارستان ها، بانک ها، موزه ها و موارد این چنینی کاربرد دارند. برای خاموش کردن آتش سوزی محفظه موتور ماشین نیز استفاده می شود.
قیمت کپسول آتش نشانی FE36

قیمت FE36 با توجه به کیفیت سیلندر نگهداره، عملکرد و … تعیین می شود. یک کپسول آتش نشانی FE36 باکیفیت، ویژگی های زیر را دارد:

    بدنه ضخیمی دارد.
    بیمه آن معتبر است.
    جنس شیلنگ و سایر متعلقات آن خوب است.
    روی بدنه آن برچسب شرکت فروشنده و شارژ کننده وجود دارد.
    کارت تاریخ شارژ و یا فروش دارد.

شارژ کپسول FE36

از آنجایی که مواد داخل این کپسول فاسد نمی شود، نیاز به شارژ سالانه ندارد.

مزیت بزرگ این کپسولها آن است که میتوان بدون داشتن یک سیستم اطفای حریق و پا پنل اطفا از آنها با تیوب های حساس به گرما برای داخل رک ها استفاده نمود

 

برنامه نویسان به چه نکاتی باید توجه کنند

 

 

 

برنامه‌های کاربردی، سامانه‌ها و شبکه‌ها با انواع مختلفی از حمله‌های سایبری مثل شکستن رمزهای عبور، حمله‌های فرهنگ لغت و جست‌وجوی فراگیر روبه‌رو هستند. در سال‌های گذشته، شرکت‌ها از برنامه‌نویسان انتظار نداشتند در ارتباط با مباحث امنیتی شناخت دقیقی داشته باشند، زیرا این مسئولیت برعهده کارشناسان امنیتی قرار داشت، اما امروزه یکی از وظایف مهم برنامه‌نویسان کدنویسی تمیز و عاری از اشتباهات رایج است. به‌طور کلی، برنامه‌های کاربردی با دو مشکل امنیتی بزرگ روبرو هستند. مشکل اول آسیب‌پذیری مستتر در چارچوب‌ها، کتابخانه‌ها یا ابزارهایی است که برنامه‌نویسان برای توسعه نرم‌افزارها از آن‌ها استفاده می‌کنند. مشکل دوم، ضعف در کدنویسی است که باعث می‌شود یک نرم‌افزار قربانی حمله‌های سایبری شود. موارد مذکور موضوعات مهمی هستند که باید در مورد آن‌ها اطلاع داشته باشید. امروزه، بخش عمده‌ای از حمله‌هایی که زیرساخت‌ها و شبکه‌های سازمانی را هدف قرار می‌دهند از طریق آسیب‌پذیری‌های مستتر در برنامه‌های کاربردی که روی سامانه‌های کلاینت یا سرور اجرا می‌شوند پیاده‌سازی می‌شوند. از این‌رو، مهم است به‌عنوان یک برنامه‌نویس اطلاعات کاملی در ارتباط با بردارهای حمله داشته باشید تا هنگام کدنویسی برنامه‌ها ناخواسته راه ورودی برای هکرها ایجاد نکنید.


برنامه‌های کاربردی و چالش‌های آن‌ها

برنامه‌های کاربردی که روزانه از آن‌ها استفاده می‌کنیم در معرض انواع مختلفی از حمله‌های سایبری قرار دارند. هکرها همانند کاربران عادی، نرم‌افزارها را نصب و اجرا می‌کنند، عملکرد آن‌ها را بررسی می‌کنند و در ادامه به‌ جست‌وجوی آسیب‌پذیری‌های موجود در نرم‌افزارها می‌پردازند. با توجه به این‌که هکرهای حرفه‌ای در زمینه برنامه‌نویسی خبره هستند، شناخت کاملی در ارتباط با مفاهیم برنامه‌نویسی و نحوه سوءاستفاده از آسیب‌پذیری‌ها دارند.


پیمایش دایرکتوری

توسعه‌دهندگان برنامه‌های وب‌محور و مدیران سایت‌ها همواره نگران حمله پیمایش دایرکتوری (Directory Traversal) هستند. در حمله مذکور، هکرها سیستم فایلی وب‌سرور را ارزیابی می‌کنند تا بتوانند دستورات مخرب را درون پیام‌های HTTP تزریق کنند. در این تکنیک، هکر سعی می‌کند چندمرتبه ../.. را در یک آدرس اینترنتی آزمایش کند تا موفق شود به ساختار دایرکتوری وب‌سرور وارد شود. پس از ورود به دایرکتوری، چند مرتبه به عقب باز می‌گردد تا به دایرکتوری سیستم‌عامل برسد و دستورات سطح سیستم‌عامل را اجرا کند. برای مقابله با حمله‌های پیمایش دایرکتوری، باید اطمینان حاصل کنید که سیستم‌ها با وصله‌های امنیتی به‌روز هستند و به دنبال فهرست سیاه کاراکترهای رایج در آدرس‌های اینترنتی مثل ../.. باشید.


حمله‌های تزریقی

بزرگ‌ترین مشکلی که برنامه‌های کاربردی با آن روبرو هستند حمله‌های تزریقی است. حمله تزریقی به دلایل مختلفی انجام می‌شود. به‌طور مثال، ممکن است با هدف استخراج اطلاعات انجام شود. در این‌جا، نرم‌افزار کاربردی به‌عنوان واسطی برای حمله به یک بانک اطلاعاتی مورد سوءاستفاده قرار می‌گیرد. هکرها از این تکنیک برای درج انواع مختلف کدهای برنامه‌نویسی به‌جای داده‌هایی که نرم‌افزار در انتظار دریافت آن‌ها است، استفاده می‌کنند. حمله‌های تزریقی به انواع مختلف زیر تقسیم می‌شوند.


تزریق SQL

تقریبا همه کارشناسان بانک‌های اطلاعاتی و برنامه‌نویسان وب نگران این حمله هستند. زبان پرس‌وجوی ساخت‌یافته SQL سرنام Structured Query Language توسط برنامه‌نویسان برای پیاده‌سازی محاوره‌ها روی بانک‌های اطلاعاتی استفاده می‌شود. برنامه‌های کاربردی وب و برنامه‌های سازمانی برای بازیابی داده‌ها از بانک‌های اطلاعاتی، از زبان پرس‌جوی ساخت‌یافته استفاده می‌کنند. به‌عنوان مثال، شما ممکن است یک نرم‌افزار موجودی در دفتر داشته باشید که اطلاعات آن درون یک پایگاه داده ذخیره می‌شود. این برنامه از زبان پرس‌وجوی ساخت‌یافته برای بازیابی این داده‌ها از بانک‌های اطلاعاتی استفاده می‌کند و اطلاعات را نشان می‌دهد. در حمله‌های تزریق پرس‌وجوی ساخت‌یافته، هکر از دستورات این زبان استفاده می‌کند تا داده‌های موجود در بانک اطلاعاتی را دستکاری کند. در روش مذکور، هکر کدهای عادی زبان پرس‌وجوی ساخت‌یافته را به برنامه وارد می‌کند و اطمینان دارد که برنامه دستورات فوق را برای بانک اطلاعاتی ارسال می‌کند. هکر دستورات SQL را در مکانی که برنامه‌نویسان یا مدیران بانک اطلاعاتی انتظارش را ندارند، مثل فیلدهای نام کاربری و رمز عبور در صفحه ورود به برنامه وارد می‌کند.

شکل ۱، نمونه‌ای از یک حمله تزریق کد SQL را نشان می‌دهد. در این شکل، یک صفحه ورود به سیستم را مشاهده می‌کنید که منتظر دریافت نام کاربری و رمزعبور است. هنگامی که کاربر اطلاعات فیلدهای مذکور را وارد می‌کند، این اطلاعات در دستورات SQL قرار می‌گیرند تا کاربر احراز هویت شود و بتواند به سیستم وارد شود. دستوری که برای این منظور استفاده می‌شود، دستور select است که برای یافتن اطلاعات در پایگاه داده استفاده می‌شود. هنگامی که کاربر روی دکمه LOGON کلیک می‌کند، دستور select سعی می‌کند نام کاربری و رمز عبوری که در برنامه تایپ شده است را پیدا کند.



در مثال فوق، هکر باید اطمینان حاصل کند پس از اجرای یک محاوره، نتیجه دلخواه را دریافت می‌کند، زیرا نام کاربری و رمز عبور معتبر را نمی‌داند، بنابراین سعی می‌کند کدهای SQL را به‌عنوان رمز عبور وارد می‌کند تا شاید بتواند به سیستم وارد شود. به‌طور مثال، یکی از تکنیک‌های رایجی که در این زمینه استفاده می‌شود، درج دستورات بانک اطلاعاتی در کادر رمز عبور است تا یک حمله تزریق کد SQL با موفقیت انجام شود:

pass’ or 1=1 --

کلمه pass چیزی است که هکر به‌عنوان رمز عبور خود تایپ می‌کند که در واقع کار نخواهد کرد، زیرا هکر در برنامه حساب کاربری ندارد. دستور 1=1 به‌عنوان شرطی در دستور select استفاده می‌شود، اما به‌عنوان رمز عبور واقعی آزمایش نمی‌شود. در این‌جا نکته مهم در کاراکتر «'» مستتر است که برای بستن دستور select استفاده می‌شود. کاراکترهای «--» در پایان این دستور اشاره به درج نظر دارند و در حالت عادی مشکل خاصی ندارند، با این‌حال، نکته ظریفی وجود دارد. در کدهای اصلی، برنامه‌نویس از کاراکتر «'» در دستور select واقعی استفاده کرده و در این‌جا این کاراکتر پایان آن دستور را مشخص می‌کند. اکنون دو کاراکتر «-» ‌که در دنیای واقعی تنها برای درج نظرات توسط برنامه‌نویسان استفاده می‌شود، در خط بالا باعث نادیده گرفتن ادامه دستورات select اصلی می‌شوند. از این‌رو، در کدنویسی‌های ضعیف این تکنیک به هکر اجازه ورود به سامانه را می‌دهد.

یکی دیگر از چالش‌های بزرگی که برنامه‌نویسان بانک‌های اطلاعاتی با آن روبرو هستند، تغییر قیمت کالاها در یک فروشگاه آنلاین توسط هکرها است. دستور زیر اجازه به ورود به سیستم را می‌دهد، اما در عین حال یک عبارت به‌روزرسانی را اجرا می‌کند که قیمت همه کتاب‌های جدول titles را به ۵۰ سنت تغییر می‌دهد:

pass’ or 1=1; update titles set price=.5 --

یکی دیگر از مخاطراتی که پیرامون برنامه‌های کاربردی وجود دارد، فراخوانی دستورات سیستم‌عامل یا سرور بانک اطلاعاتی برای ساخت حساب‌های کاربری است. به‌طور مثال، دستور زیر یک رویه ذخیره شده داخلی موجود در

SQL Server را فراخوانی می‌کند که به توسعه‌دهنده پایگاه داده اجازه می‌دهد یک فرمان سیستم‌عامل را برای جمع‌آوری اطلاعات فراخوانی کند. در مثال فوق، هکر حساب کاربری خودش که fromSQL نام دارد را در ویندوز ایجاد می‌کند تا بتواند برای ورود به وب‌سایت هدف از آن استفاده کند. خوشبختانه این تکنیک از SQL Server 2005 به بعد قابل استفاده نیست، زیرا روال ذخیره شده

xp_cmdshell به‌طور پیش‌فرض غیرفعال است و به این دلیل نباید فعال شود.

pass’ ;exec master ..xp_cmdshell “net user fromSQL password /add» –

دستور زیر از تکنیکی مشابه حالت قبل برای افزودن حساب کاربری به گروه مدیران محلی سیستم استفاده می‌کند. به‌طوری‌که هکر یک در پشتی با قابلیت‌های مدیریتی کامل به‌دست می‌آورد. این تکنیک نیز تنها زمانی قابل استفاده است که xp_cmdshell فعال باشد، در حالی‌که روی نسخه‌های جدید SQL Server در حالت پیش‌فرض غیرفعال است.

pass’ ;exec master ..xp_cmdshell “net localgroup administrators fromSQL /add” –


چگونه مانع پیاده‌سازی موفقیت‌آمیز حمله‌های تزریق SQL شویم؟

همان‌گونه که اشاره شد، ایمن‌سازی نرم‌افزارهای کاربردی از وظایف اصلی برنامه‌نویسان است، زیرا کارشناسان امنیتی قدرت مانور محدودی برای مقابله با این مدل حمله‌ها دارند. از این‌رو، برای محافظت از برنامه‌های کاربردی که داده‌محور هستند به نکات زیر دقت کنید:

    Sanitization : برنامه‌نویسان باید از طریق به‌کارگیری الگوهایی مثل عبارات باقاعده هر کاراکتر ورودی دریافتی از کاربر که می‌تواند کدهای SQL را اجرا کند را شناسایی و پاک کنند. به‌عنوان مثال، آن‌ها باید نقطه ویرگول و دو خط تیره را از ورودی حذف کنند.
    Validation: برنامه‌نویسان باید ورودی را تایید کنند و اطمینان حاصل کنند که تعداد نویسه‌های قابل ‌وارد ‌کردن و نوع نویسه‌های استفاده‌شده دارای محدودیت هستند.
    Parameterized queries: استفاده از پرس‌و‌جوهای پارامتری به این معنا است که ورودی به‌شکل مستقیم به یک دستور SQL ارسال نمی‌شود، بلکه در قالب پارامتر برای دستورات ارسال می‌شود و تنها مقادیر خاصی پذیرفته می‌شوند. اگر مقدار پارامتر درست باشد، توسط دستورات SQL اجرا می‌شود. الگوی محاوره‌های پارامتری یکی از مهم‌ترین مباحث دنیای برنامه‌نویسی است که باید به آن دقت کنید.

تزریق کتابخانه پیوند پویا(Dynamic-Link Library Injection)

    تزریق کتابخانه پیوند پویا (DLL) هنگامی اتفاق می‌افتد که یک برنامه مجبور است یک DLL را در فضای آدرس خود بارگذاری کند و کد DLL را اجرا کند. کد موجود در DLL می‌تواند کد مخربی باشد که هکر می‌خواهد روی سیستم اجرا کند. این بردار حمله پیچیده و ظریف است؛ بنابراین اگر برنامه‌نویس در هنگام ساخت برنامه‌های کاربردی مکانیزمی برای اعتبارسنجی کتابخانه پویا در نظر نگرفته باشد، با موفقیت پیاده‌سازی می‌شود.

تزریق پروتکل دسترسی دایرکتوری سبک وزن
(Lightweight Directory Access Protocol Injection)

    حمله تزریق پروتکل دسترسی به دایرکتوری سبک وزن هنگامی اتفاق می‌افتد که هکری یک فرم وب را به‌گونه‌ای پر می‌کند که معمولا از داده‌های فرم برای پرس‌وجو از پایگاه داده با فراخوانی LDAP استفاده می‌کند، اما از آن‌جایی که توسعه‌دهنده برنامه هیچ‌کدام از ورودی‌ها را تایید نکرده، هکر در اجرای دستورات موفق خواهد بود. در این حالت هکر محتوا و دستورات موردنظر را درج می‌کند و سرور آن‌ها را اجرا می‌کند.

تزریق زبان نشانه‌گذاری توسعه‌پذیر
(Extensible Markup Language Injection)

    حمله تزریق زبان نشانه‌گذاری توسعه‌پذیر (XML) شبیه تزریق کد اس‌کیو‌ال و تزریق LDAP است، با این تفاوت که هکر کد XML را به برنامه وارد می‌کند. اگر توسعه‌دهنده برنامه، ورودی را اعتبارسنجی نکرده باشد، هکر می‌تواند روند اجرای برنامه را با تزریق داده‌های XML  دستکاری کند. برای حل این مشکل کافی است ورودی‌ها را اعتبارسنجی کنید تا مانع پیاده‌سازی موفقیت‌آمیز این مدل حمله‌ها باشید.

حملات سرریز بافر (Buffer Overflow Attacks)

با توجه به این‌که بخش عمده‌ای از برنامه‌های کاربردی با زبان‌های برنامه‌نویسی سی و سی‌پلاس‌پلاس نوشته می‌شوند، هنوز هم هکرها شانس خود برای انجام حمله‌های سرریز بافر را امتحان می‌کنند. بافر ناحیه‌ای از حافظه اصلی است که برای ذخیره اطلاعات ارسال‌شده به برنامه استفاده می‌شود. سرریز بافر زمانی است که یک هکر اطلاعات زیادی را به برنامه می‌فرستد و باعث می‌شود که اطلاعات از بافر سرریز کنند. بافر را همانند لیوان آبی تصور کنید که گنجایش مشخصی دارد، هنگامی که بیشتر از ظرفیت آب درون لیوان بریزد از آن سرازیر می‌شود. حمله سرریز بافر نیز دقیقا به همین شکل انجام می‌شود. شکل ۲، نمونه ساده‌ای از پیاده‌سازی موفقیت‌آمیز این حمله را نشان می‌دهد.



اگر هکر بتواند اطلاعاتی در حافظه خارج از ناحیه بافر ذخیره کند، قادر به اجرای هرگونه کدی با مجوز مدیریتی است. نرم‌افزارهایی که در معرض این مدل حمله‌ها قرار می‌گیرند، برنامه‌های کاربردی یا سرویس‌های در حال اجرا در پس‌زمینه سیستم‌عامل هستند.
چرا آسیب‌پذیری در برنامه‌های کاربردی وجود دارد؟

شاید بپرسید که چرا این حملات موفقیت‌آمیز هستند. دلایل مختلفی وجود دارد. به‌طور معمول، هکرها وقت کافی برای کار با فناوری‌ها اختصاص می‌دهند تا بفهمند نقاط ضعف فناوری‌ها کجا است و چگونه از آن‌ها برای انجام فعالیت‌های مخرب استفاده کنند.

علاوه بر این، برنامه‌نویسان و تیم‌های توسعه نرم‌افزارهای کاربردی، به‌عمد درهای پشتی روی محصولات خود قرار می‌دهند تا در آینده بتوانند تغییرات موردنیاز را در برنامه‌های کاربردی وارد کنند. گاهی‌اوقات، هکرها موفق می‌شوند این درهای پشتی را شناسایی کنند و به سوء‌استفاده از آن‌ها بپردازند. بنابراین توسعه‌دهندگان مجبور می‌شوند وصله‌هایی برای بستن این درهای پشتی منتشر کنند. از مهم‌ترین دلایل موفقیت‌آمیز بودن حملات به برنامه‌های کاربردی به موارد زیر باید اشاره کرد:

    مدیریت نامناسب ورودی: مدیریت و ارزیابی ورودی یکی دیگر از وظایف مهم برنامه‌نویسان و توسعه‌دهندگان نرم‌افزار است. هر زمان که داده‌ها به یک برنامه ارسال می‌شوند، برنامه‌نویس باید آن داده‌ها را اعتبارسنجی کند و از مناسب بودن آن‌ها اطمینان حاصل کند.

در این حالت، اگر داده‌ها نامعتبر باشند، به‌جای پردازش اطلاعات، یک خطا به کاربر نمایش داده می‌شود. اگر برنامه‌نویس ورودی را تایید نکند، هکرها می‌توانند داده‌های مخرب را به برنامه تزریق کنند تا نرم‌افزار را به روشی که مطلوب نیست کنترل کنند.

    مدیریت نادرست خطا: مدیریت خطا یکی دیگر از وظایف کلیدی برنامه‌نویسان است. برنامه‌نویسان باید اطمینان حاصل کنند که هرگونه خطای تولیدشده در برنامه را به‌دام می‌اندازند و آن خطاها را به‌طور مناسب مدیریت می‌کنند تا برنامه با مشکل جدی روبرو نشود. علاوه بر این، هنگامی که کدنوسی نرم‌افزار به‌پایان رسید، باید به‌دنبال شناسایی خطا باشید. مدیریت نادرست خطا می‌تواند منجر به سوء‌استفاده از برنامه شود.
    پیکربندی پیش‌فرض: هنگام نصب نرم‌افزار یا سیستم‌ها، مطمئن شوید که پیکربندی پیش‌فرض را تا حد امکان تغییر دهید. هکرها تنظیمات پیش‌فرض محصولات را می‌شناسند و یاد می‌گیرند که چگونه از تنظیمات پیش‌فرض برای سوءاستفاده از سیستم‌ها استفاده کنند. شما باید پیش‌فرض‌ها را تغییر دهید تا هکرها شانس کمتری برای نفوذ به برنامه‌ها داشته باشند.
    پیکربندی نادرست یا پیکربندی ضعیف: بخش عمده‌ای از حمله‌های هکری به‌دلیل پیکربندی نادرست یا ضعیف سیستم‌عامل و برنامه‌های کاربردی انجام می‌شوند. در ارتباط با نرم‌افزارهای مهمی مثل SQL Server، Exchange Server و نمونه‌های مشابه باید اطمینان حاصل کنید که پیکربندی درستی را اعمال کرده‌اید.
    Weak cipher: یکی از بزرگ‌ترین مشکلات برنامه‌های کاربردی دانش کم برنامه‌نویسان در زمان به‌کارگیری الگوریتم‌های رمزنگاری است. متاسفانه برخی از برنامه‌هایی که توسط کاربران سیستم‌عامل ویندوز و اندروید استفاده می‌شود از فناوری‌ها یا پروتکل‌های رمزگذاری ضعیف استفاده می‌کنند. به‌طور ‌مثال، در برخی برنامه‌ها و سفت‌افزارها برای رمزگذاری داده‌ها از الگوریتم متقارن DES یا 3DES استفاده می‌شود. این رمزگذاری ضعیف است و باید با الگوریتم‌های قوی‌تری مثل AES جایگزین شود. مثال دیگر جایگزینی پروتکل‌های رمزگذاری ضعیف‌تر مثل TLS 1.0 و TLS 1.1 با نمونه جدیدتر TLS 1.3 است.
    تهدیدات روز صفر: یکی از شایع‌ترین آسیب‌پذیری‌هایی که بسیاری از شرکت‌ها را قربانی می‌کند، تهدید روز صفر است که اشاره به آسیب‌پذیری ناشناخته‌ای دارد که فروشنده هنوز از آن آگاه نیست، یا به‌تازگی از آن آگاه شده است. در آسیب‌پذیری روز صفر، زمان کافی برای عرضه وصله وجود ندارد و در نتیجه هکرها می‌توانند در فرصت کوتاهی از آن استفاده کنند. بهترین راه مقابله با این حمله، به‌کارگیری سامانه‌های تشخیص و پیشگیری از نفوذ است.

کلام آخر

یکی از جنبه‌های نادیده گرفته شده در حوزه توسعه برنامه‌های کاربردی که روزانه از آن‌ها استفاده می‌کنیم مقوله امنیت است. درک این نکته که چگونه هکرها از طریق برنامه‌های کاربردی در حال اجرا روی سامانه‌ها به زیرساخت‌های یک شرکت وارد شده و به آن‌ها آسیب جدی وارد می‌کنند بسیار مهم است. نکته کلیدی در بحث توسعه نرم‌افزارهای کاربردی، درک این مسئله است که به‌عنوان یک برنامه‌نویس می‌توانید کار خود را انجام دهید و پس از به‌اتمام رساندن یک پروژه نرم‌افزاری با دقت و وسواس خاصی آزمایش‌های امنیتی را روی نرم‌افزاری که طراحی کرده‌اید انجام دهید.

علاوه بر این، مجموعه خط‌مشی‌ها، چک‌لیست‌ها و الگوهایی وجود دارد که کمک می‌کنند هنگام کدنویسی از اشتباهات رایج دوری کنید. با این‌حال، دقت کنید هر زبان برنامه‌نویسی الگوهای امنیتی خاص خود را دارد و این‌گونه نیست که قواعد مذکور در مورد تمامی زبان‌های برنامه‌نویسی صدق کند. به‌طور مثال، سی‌شارپ با ارائه مفهومی به‌نام Garbage Collection روند کدنویسی را برای برنامه‌نویسان ساده کرد، در حالی که زبان‌هایی مثل سی فاقد چنین ویژگی‌ای هستند و برنامه‌نویسان در هنگام تخصیص حافظه به اشیاء پویا باید خود حافظه را آزاد کنند.

 

برگرفته از سایت شبکه

 

 

 

حمله دزدان با کلید به سایت های شهرداری تهران!

 

 

 

اقتصادنیوز: عضو کمیسیون عمران و حمل و نقل شورای شهر تهران گفت : در مورد منشأ حمله سایبری به سایت های شهرداری حدس هایی نزدیک به یقین زده شده و با کمک دستگاه های امنیتی کشور فرایند در حال تکمیل شدن است.
حمله دزدان با کلید به سایت های شهرداری تهران!

به گزارش اقتصادنیوز 8 روز از حمله سایبری به سایت های شهرداری تهران گذشته است ، روز گذشته برخی از اعضای شورای شهر تهران نسبت به این موضوع واکنش نشان داده و رییس شورای شهر تهران هم این حمله را از سوی موساد با کمک تمامی جریان های ضد انقلاب دانست.

 

 علی اصغر قائمی عضو شورای شهر تهران که پیش از این هم درمورد آسیب پذیری سایت های شهرداری هشدار داده بود درخصوص  دلایل آسیب پذیری سایت های شهرداری و امکان پیشگیری از این حادثه به اکو ایران می گوید : ‌مدیریت فن آوری اطلاعات چارچوب های استاندارد دارد، مانند استاندار ITSM ، استاندارد ITIL، استاندارد COBIT و از این قبیل استانداردها، هر دستگاهی وقتی می خواهد با مقیاس بزرگ به موضوع ICT بپردازد ، موضوع مدیریت ICT باید ازیکی این  چارچوب  ها تبعیت کند و یا تلفیقی از عناصر مختلف این چارچوب ها را بنا به ضرورت خودش کنار هم بگذار تا بتواند آن چرخه حیات سیستم هایش را مدیریت کند . این مثل کامپیوتر شخصی در خانه نیست که اگر خراب شد هاردش را فورمت کنیم  . انبوهی تجهیزات با مقیاس های متفاوت کنار هم جمع شدند و مرکز داده را تشکیل دادند؛ سیستم های ذخیره سازی و سیستم های پردازشی بزرگ و سیستم های مدیریت ترافیک شبکه بزرگ که مسائل خود را دارند و در این چارچوب ها قاعده مند شدند.



وی ادامه داد :‌ به طورمثال یکی از رایج ترین چارچوب های مورد توجه همه دستگاه ITIL است که نسخه چهارمش از سال گذشته منتشر شده و کتابخانه زیرساخت های فن آوری اطلاعات مجموعه ای از تجارب جهانی است و می گوید در مورد این مساله چه کار کردند.این تجارب جمع شدند و مخرج مشترک گرفته شده و به یک تجربه موفق تبدیل شدند و استاندارد شده و اگر از تجربه دیگران استفاده نکنیم قطعا خطا کردیم. در این چارچوب ها به تعداد زیادی فرایندهای متفاوت پرداخته شده است؛ مثلا وقتی حادثه یا بحرانی رخ می دهد باید چه کار کنید ؟و یا محصولی تولید کردید و می خواهید نشر دهید که بهره برداران شروع به استفاده کنند ،بایستی چه کار کنید؟

قائمی تاکید می کند : از این تیپ استانداردهای فنی در این چارچوب ها  وجود دارد تا حتی مدیریت چرخه مالی پروژه های فن آوری اطلاعات و اگر به اینها توجه نکنیم شیر بی یال و دم می شود. تمام این سی و چند فرایند پیکره واحد را به صورت موزون رشد می دهیم.

مدیرعامل سابق سازمان فناوری اطلاعات شهرداری تهران با اشاره به تذکر سال گذشت خود درخصوص افزایش امنیت سامانه های شهرداری می گوید :‌موردی که در نهم آبان سال 1400 تذکر دادم یکی از زیرفرایندهای حوزه امنیت بود. آن موقع موضوع شبکه کارت سوخت کشور پیش آمده بود و یک بررسی و مطالعه اجمالی روی موضوع داشتم و دیدم برخی از موضوعات که اصطلاحا به آن طرح تداوم کسب و کار می گویند، یعنی سرویسی که بالا می آورید باید به فکر این باشید که سرویس مستمر کار کند نه این که چند ساعت قطع شود و چند ساعت کار کند که به این طرح تداوم کسب و کار می گویند. برای این که طرح تداوم کسب و کار داشته باشید و استمرار خدمت را تضمین کند باید روال های مقابله با حوادث و بحران ها را داشته باشد. در حوزه خاص امنیت که یکی از فرایندهای کلی چارچوب های استاندارد مدیریت فن آوری اطلاعات است استانداردهای دقیق تر و جزئی تری هم وجود دارد که در قالب ایزو 27001 منتشر شده  است که اصطلاحا به آن isms می گویند. در تذکرم از شهرداری خواستم به استاندارد isms  مبتنی بر ایزو 27001 و bcp و brtتوجه کند و نسبت به راه اندازی مرکز داده دومش توجه کند که اگر مرکز داده اول آسیب دید دومی بتواند استمرار خدمت داشته باشد که این شاکله تذکر قبلی بود و پاسخی که شهرداری آن موقع داد یک پاسخ صرفا اداری بود و یک سری بخش نامه، ابلاغیه و صورت جلسه ارسال شد و گفتند به استناد به این موارد به فکر این مسائل هستیم؛ ولی در عمل اتفاقی نیافتاد چون به مدیریت فرایند تامین منابع مالی پروژه و بودجه پروژه توجه نشده بود؛ یعنی هر چه بخش فنی فریاد بزند که ظرفیت ذخیره سازیش پر شده و در حال لبریز شدن است یا ظرفیت پردازشیش به دلیل حجم تراکنش بالا کند شده و ابزار می خواهد و اگر تامین منابع نشود همه مباحث دیگر به نتیجه نخواهد رسید.

به گفته قائمی پس از این اتفاقی که برای شهرداری تهران رخ داده، کارکنان سازمان فن آوری و بدنه کارشناسی و مدیریتش با حمیت، دلسوزی، تلاش و وقت گذاری شبانه روزی دارند موضوع را مدیریت می کنند و امیدوارم به زودی روال به حالت عادی برگردد و مردم بتوانند از خدمات استفاده کنند. وقتی این شرایط پیش آمد شهرداری چوب این مساله را خورد و حیف است زحمات ده ها ساله ای که کشیده شده با یک بی توجهی آسیب جدی ببیند و حق مردم است.

این عضو شورای شهر تهران با اشاره به افزایش بودجه فاوا در بودجه 1401 شهرداری می گوید :‌تبصره 15 قانون بودجه 1401 شهرداری اختیارات بسیاری به سازمان فن آوری داده و سهم بودجه سازمان فن آوری اطلاعات حدود 25% نسبت به سال گذشته افزایش پیدا کرده و در بحث تامین منابع انسانی تخصصی اختیاراتی به آن داده شده و در جلسه هم‌اندیشی که با شهرداری تهران داشتیم روی این بحث ها تاکید داشتیم اما کمی نوش دارو بعد از مرگ سهراب است. امیدوارم از حادثه ای  که رخ داده درس بگیریم و جبران کنیم و شرایط را بهبود ببخشیم و نگذاریم چنین اتفاقاتی بیافتد.  

وی در پاسخ به این پرسش که آیا به اطلاعات دوربین ها و سایت های شهردارنفوذ شده است هم می گوید :‌چیزی که منتشر شد نشان می دهد به برخی از اینها دسترسی پیدا شده که خوشبختانه ایزوله کردند و جلویش را گرفتند؛ اما درباره این که داده ای سرقت شده باشد هنوز شواهدی نداریم و یک دلیل خیلی ساده دارد؛ کسی که به این شبکه نفوذ کرده و توانسته این اقدامات خراب کارانه را انجام دهد به نظر نمی رسد این قدر پهنای باند کافی داشته باشد که حجم حجیم اطلاعاتی را جا به جا کرده باشد.

قائمی درخصوص شناسایی منشا این حمله سایبری هم توضیح می دهد : در مورد منشأ هک حدس هایی نزدیک به یقین زده شده و با کمک دستگاه های امنیتی کشور فرایند در حال تکمیل شدن است که ان شالله منشأ شناسایی شود و بتوانند قرص و محکم پیشگیری کنند. گزارشی که مدیرعامل سازمان فن آوری اطلاعات داده این است که هیچ سرقت اطلاعاتی نداشته است.

قائمی درخصوص تفاوت هک و حمله سایبری هم می گوید :‌ وقتی که یک دزد با سنجاق قفل در خانه را باز می کند هک می گویند و زمانی که دزد کلید می اندازد و از روی کلید قبلا کپی گرفته نفوذ می گویند. به نظر می رسد اتفاقی که افتاده دراز مدت رویش کار و مطالعه شده و شناخت پیدا شده است . واقعیت این است که مساله خراب کاری در فضای مجازی و سایبری همواره هست و ما با دشمنانی سر و کار داریم که دست بردار نیستند. درست است این حادثه خیلی تلخ بود و آسیب زد و کام همه را تلخ کرد،اما  یک درسش برایمان این بود که خود را تقویت کنیم و همچنین اثبات کرد یعنی کسانی که این کار را انجام می دهند به هیچ عنوان حتی منافع مردم هم برایشان مهم نیست. وقتی مستقیم به منافع مردم حمله می کند نشان می دهد کسانی که این کار را کردند نمی توانند خود را مردمی بدانند علی رغم شعارها و حرف هایی که می زنند.  

 

 

 

شروع با پیشران

شرکت پیشران صنعت ویرا با اساس نامه اتوماسیون صنعتی و کنترل ابزار دقیق و ساخت تابلوهای برق فشار قوی و ضعیف  از سال 92 تاسیس گشت و ازهمان ابتدا در حوزه کاربرد ابزار دقیق در bms و سپس تولید و ساخت آنها قدم نهاد و در ادامه  مسیر توانست با اتکا به تجربیات چندین ساله و استخدام نیروهای متخصص  برق عملا جزو شرکتهایی باشد که محصولات قابل اتکایی با عناوین  مانیتورینگ شرایط محیطی اتاق سرور -کنترلرهای دمای دیتا سنتر -دیتالاگرهای سردخانه و انبار -هشدار دهنده های دمای یخچال و فریزر و شمارشگرهای نمایشگاهی و فروشگاهی و تابلوهای برق متنوع با کاربردهای مختلف روانه بازار نماید در حال حاضر سیستمهای کنترل دما و رطوبت اتاق سرور این شرکت تنها سیستم مبتنی بر سخت افزار صنعتی plc-hmi  در ایران است.

 تماس با پیشران    رزومه وپروژها

مشتریان پیشران

شرکتها - موسسات - ادارات دولتی و مشتریان خصوصی پیشران صنعت ویرا موسسات مشتریان پیشران صنعت شرکت های مشتری پیشران صنعت ویرا ادارات مشتری پیشران صنعت ویرا مشتریان ما