سفارش تبلیغ
صبا ویژن
صفحه اصلی پیام‌رسان پارسی بلاگ پست الکترونیک درباره اوقات شرعی

91/4/29
11:23 ع

نزدیک به نیمی از ضعف های امنیتی به طور مستقیم یا غیر مستقیم مربوط به سهل انگاری در شیوه های مدیریت وصله ها می باشد. محافظت از دیتابیس جزء کارهای آسان و سهل الوصول در نظر گرفته می شود، اما اغلب این حملات هستند که از ساده ترین آسیب پذیری ها موفق به عجیب ترین رخنه های امنیتی شده و خسارات زیادی به بار می اورند. در این بین شرکت هایی که به رعایت اصول اولیه امنیت داده ها و فناوری اطلاعات پایبند هستند بیشترین تلاش ها را برای محافظت از امنیت پایگاه داده خود معطوف می کنند.

بر اساس صحبت های آقای الکس روثَکر (Alex Rothacker)، سرپرست تیم امنیت نرم افزاری شرکت SHATTER ( حروف مخفف ابتکارات امنیتی در زمینه تکنولوژی تست نرم افزار برای تحقیقات پیشرفته) ، تیم او در حین کارهای مختلف خود توانسته 10 مورد از آسیب پذیری های مشترک پایگاه داده را شناسایی کنند که سبب رخنه هکر ها و وارد آمدن خسارات سنگین به ادارات و سازمان ها برای بارها و بارها شده اند. در این مقاله قصد پرداختن به این موارد را داریم.

پیام مشترکی که در این لیست با آن مواجه می شوید این است که به ندرت می توان پایگاه داده ها را در زمانی، بی نقص و غیر قابل نفوذ از نظر امنیتی به حساب اورد، و هرگز نباید خوش باورانه تصور کرد که یک بار پیکربندی امنیتی آن، حتی با پیچیده ترین شیوه های امنیتی، می تواند سبب شود تا مدت ها مدیران نیازی به نگرانی در مورد ان نداشته و در عمل امنیت پایگاه داده را فراموش کنند.

 

امنیت داده ها

 

در عوض شرکتها و سازمانها باید به طور مستمر بر روی بسته های اطلاعات نظارت داشته باشند و تعیین کنند آیا هر کدام واقعا لازم و ضروری اند و آنهایی را که نیازی به وجودشان نیست غیر فعال کنند تا سطوح حمله ارزیابی شده کاهش پیدا کند. آنها باید مراقب باشند و همواره در مورد عواقب استفاده از اطلاعات ورود به حساب از نظر امنیتی ضعیف، کارمندان و مدیران خود را کاملا توجیه کنند. آنها باید از روش های جدید احراز هویت از جمله تشخیص صدا یا چهره افراد مجاز برای ورود به سیستم ها یا شبکه درون سازمانی استفاده کنند و از همه مهمتر ، باید به طور منظم و دوره ای وصله های امنیتی برای ارتقا امنیت ارسال و انتقال اطلاعات منتشر کنند.

حدود نیمی از آسیب پذیری هایی که توسط روثکر و تیم تحت رهبری او در این لیست مشخص شده اند مستقیم یا غیر مستقیم مربوط به به سهل انگاری در شیوه های مدیریت وصله های امنیتی در محیط پایگاه داده می باشد. اندیشیدن به این مسئله که تنها 38 درصد از مدیران، پایگاه داده اوراکل خود را در چرخه اولیه هر سه ماه یکبار با وصله های جدید به روز می کنند ترسناک و فاجعه انگیز است. و تقریبا یک سوم یا بیشتر مدیران نیز هر سال یکبار به وصله جدید می پردازند.

با این مقدمه، نگاهی به لیست 10 تایی زیر از مهم ترین موارد آسیب پذیری می اندازیم.

1- به کار گیری نام کاربری / رمز عبور پیش فرض، خالی، یا از نظر امنیتی ضعیف
ممکن است در سازمان های بزرگ، پیگیری صدها یا هزاران پایگاه های داده، وظیفه ای طاقت فرسا و دلهره آور باشد. اما از بین بردن نام کاربری و رمز ورود به سیستم که هنوز در حالت پیش فرض، خالی (blank) یا از نظر امنیتی ضعیف هستند اولین مرحله مهم برای پر کردن درز های زره محافظ بانک اطلاعاتی سازمان می باشد. افراد نفوذگر همواره در گام اول نفوذ به دنبال پیگیری حساب هایی هستند که نام کاربری و رمز عبوری پیش فرض دارند، و هر زمانی که این امکان برایشان میسر شود لحظه ای در نفوذ به سیستم ها تردید نخواهند کرد.

2- تزریق کد های SQL
وقتی بستر نرم افزاری یا پلت فرم پایگاه داده شما نتواند ورودی ها را پاکسازی نماید، مهاجمان قادر به اجرای تزریق SQL شبیه به روشی که در حملات مبتنی بر وب انجام می دهند خواهند بود، که در نهایت به آنها این امکان را می دهد که امتیازات کاربری خود را بالا تر برده و به طیف گسترده ای از عملکرد های درونی سیستم یا شبکه دسترسی یابند. بسیاری از توسعه دهندگان امنیتی به طور مرتب وصله هایی را برای جلوگیری از بروز این مشکلات منتشر می کنند، اما این اصلاحات نمی تواند برای شما کار چندانی انجام دهد اگر: سیستم مدیریتی پایگاه داده یا DBMS شما بدون وصله شدن به حال اولیه رها شده باشد.

3- اعطای حق دسترسی گسترده و بیش از حد به کاربران یا گروه ها
لازم است سازمانها و ادارات از این مسئله اطمینان حاصل کنند که امکانات دسترسی کاربران خود به کسانی که در نهایت قرار است از آنها همان استفاده ای کنند که یک سرایدار با جمع آوری کلید های مختلف روی دسته کلید و ساختن شاه کلید، اعطا نشود. (به عبارت دیگر بسیاری از امکانات مهم دسترسی برای همه کاربران کاربرد ندارد.) در عوض ، Rothacker توصیه می کند تنها کاربران معینی را در گروهها یا پست ها مشخص شده ای سازماندهی کرده و امتیازات و سطوح تعریف شده ای از دسترسی به سیستم را به آن نقش ها اعطا کنیم، که این امر مدیریت جمعی و بالابردن امنیت کلی را بسیار آسان تر از حالتی می کند که به طور مستقیم به همه کاربران حق و حقوقی بیش از حد نیازشان اعطا کنیم.

4- فعال کردن غیر ضروری امکانات و ویژگی های پایگاه داده
در هنگام نصب هر بانک اطلاعاتی همراه با ملزومات، بسته های افزونه در اشکال و اندازه های مختلف مشاهده می شوند که اکثر انها در عمل برای برخی از سازمان ها و ارگان ها بلااستفاده محسوب می شوند. از آنجا که قاعده بازی در بحث امنیت پایگاه داده عبارت است از کاهش سطح حملات، شرکت ها باید به دنبال بسته هایی باشند که از آن هیچ گونه بهره برداری نمی شود و آنها را غیر فعال کرده و یا به طور کامل حذف کنند. این امر نه تنها باعث کاهش خطرات ناشی از حملات اولیه از طریق این بردارها می شود، بلکه در عین حال مدیریت وصله ها (patch management) را نیز ساده تر می کند. هنگامی که این قبیل بسته ها نیاز به سرهم بندی و پچ کردن نداشته باشند، سازمان نیازی به تقلا و کوشش زیاد نخواهد داشت.

5- عدم مدیریت تنظیمات از هم گسیخته
به طور مشابه ، پایگاه های داده کاملا مجهز به گزینه های مختلف تنظیمات و ملاحظات در مورد انالیزور های پایگاه داده یا DBA برای تنظیم بهینه عملکرد ها و ویژگی های ارتقا یافته می باشند. لازم است سازمانها و شرکت ها مواظب اعمال تنظیمات نا امن در پایگاه داده باشند که می تواند به طور پیش فرض فعال بوده و یا به منظور سهولت برای کار با DBA ها یا توسعه دهندگان نرم افزاری این تنظیمات ضعیف اما سهل الوصول توسط افراد ناآگاه فعال گردد.

6- سرریزهای بافری (Buffer overflows)
یکی دیگر از روش های مورد علاقه هکرها، آسیب پذیری از طریق سرریز بافر است. این روش به این طریق مورد بهره برداری فرد نفوذ کننده قرار می گیرد که با فرستادن منابع ورودی به میزان متراکم و زیاد برای مثال با تعداد کاراکترهایی که بیشتر از حد قابل قبول برای یک برنامه کاربردی می باشد به طور مثال، یا اضافه کردن 100 کاراکتر به یک جعبه ورودی، درخواست یک SSN می کند. توسعه دهندگان نرم افزارهای بانک اطلاعات روی راه حلهایی که مانع از بروز اینگونه حملات می شوند سخت کار کرده اند. این دلیل دیگری است برای اینکه چرا معتقدیم به روز رسانی و انتشار مرتب وصله های امنیتی بسیار حیاتی است.

7- افزایش امتیازات
به طور مشابه، پایگاه های داده اغلب از آسیب پذیری هایی مشترک رنج می برند که به فرد نفوذی اجازه افزایش امتیازات حساب خود که در ابتدا با سطح امتیاز پایین و دسترسی کم بوده را می دهد و در نهایت این فرد قادر به در اختیار گرفتن امکانات مدیریتی یا administrator برای حساب خود می باشد. به عنوان مثال، Rothacker در این بار توضیح می دهد، یک مهاجم ممکن است از تابعی که در قسمت sysdba اجرا می شود برای مقاصد خود سوء استفاده کند. از انجا که اکثر این آسیب پذیری کشف نشده اند، مدیران نیاز به مقابله با آنها از طریق به روز رسانی های به موقع و انتشار پچ ها خواهند داشت.

8- حمله مبتنی بر انکار دسترسی به سرویس
SQL Slammer به ارائه تصویر بسیار روشنی از این مسئله که هکرها چگونه می توانند با استفاده از آسیب پذیری های DBMS به نابود کردن سرورهای پایگاه داده از طریق یک سیل ترافیکی بپردازند پرداخته است. (SQL Slammer نوعی کرم رایانه ای بود که سبب بروز خطای denial of service در برخی از میزبان ها شده و در زمان سرایت آلودگی به طرز چشمگیری سرعت کلی اینترنت در جهان را کاهش داد. این کرم در تاریخ 25 ژانویه 2003 کار خود را آغاز کرد و در کمتر از 10 دقیقه 75000 رایانه را آلوده کرد). بسیار روشن است وقتی آلودگی Slammer در سال 2003 به راه افتاد، یک پچ از قبل وجود داشت که آن آسیب پذیری و نحوه مقابله با آن را پوشش می داد. حال بعد از گذشت هفت سال ، SQL Slammer هنوز هم کماکان به کار خود ادامه می دهد و هنوز هم سرورهای پچ نشده را انتخاب می کند!

9-پایگاه داده های پچ نشده
این مورد ممکن است تکراری باشد، اما ارزش تکرار کردن دارد. بنابراین بسیاری از مدیران پایگاه های داده اصولا اعتقادی به انتشار وصله های امنیتی جدید در موعد مقرر و به طور منظم ندارند چرا که آنها می ترسند پچ جدید سبب دگرگونی تنظیمات پایگاه داده ها گردند. اما این روز ها خطر ابتلا به هک شدن بسیار بالاتر از خطر استفاده از پچ بلا استفاده می باشد، این جمله را Rothacker می گوید. ممکن است این مسئله را پنج سال پیش کسی قبول نداشت، اما امروزه فروشندگان در مورد تست های امنیتی و استفاده از وصله های به روز خیلی جدی تر شده اند.

10-داده های حساس کدگذاری نشده در زمان ذخیره سازی یا انتقال
شاید این مسئله کاملا بدیهی به نظر برسد و احتیاجی به بیان کردنش نباشد، اما سازمان ها هیچ گاه نباید اطلاعات حساس را در اسناد متنی واضح در داخل جدول پایگاه داده خود ذخیره کنند. و در تمام اتصالات به پایگاه داده باید همیشه از رمزنگاری استفاده کنند.

 

منبع:نگهبان


مشخصات مدیر وبلاگ
 
امیر مسعود[435]
 

از این که به وبلاگ من سر زده اید متشکرم.راستی نظر یادتون نره.


لوگوی وبلاگ
 

عناوین یادداشتهای وبلاگ
خبر مایه
بایگانی
 
لینک‌های روزانه
 
صفحه‌های دیگر
لوگوی دوستان
 
دوستان
 
عاشق آسمونی دلنوشته های قاصدک لحظه های آبی(سروده های فضل ا...قاسمی) مهربانترین سیب سرخ زندگی بی ترانه... منتظر ظهور ஜ کــــــــلبه ← اف1 ஜ قیدار شهر جد پیامبراسلام پنجره ای رو به خاموشی وبلاگ هیت متوسلین به آقا امام زمان ارواحنا فداء سایه چند لقمه حرف حساب بلوچستان چلچراغ شهادت ►▌ استان قدس ▌ ◄ پرپر نغمه ی عاشقی شوروشعور عشق عشق الهی ترانه های دلتنگی اطلاعات عمومی خاطرات دکتر بالتازار ققنوس... دیوانه یاربسیجی فرق بین عشق و دوست داشتن دلـتنگـ هشـیگـــــــــی روستای چشام tabasom تودنیای منی اما به دنیا اعتمادی نیست همسردوم عشق بی هدف... ! دیوانگی - عشق واقعی... ! دریافتنی محمدمبین احسانی نیا ستاره سهیل سراب عطر یاس یاد دوستان به خیر.... جوجولی رازهای موفقیت زندگی خلیج همیشه فارس pearsian Gulf راهیان سرزمین نور به‌دونه تنها هنر S&N 0511 **عاشقانه ها** عشق Manna روستای پرچکوه سازمان بسیج اساتید استان تهران دریچه.... شــــیشــه ی نازک دلتنــــــــــــــــــگی اس ام اس جدید/ پـَـــ نَ پـَـ/ منابع کارشناسی ارشد راه فضیلت جیغ بنفش در ساعت 25 ستاره طلایی آن دنیا 13 مردود فانوس 14 گروه اینترنتی جرقه داتکو امانات شهدا همای رحمت شاه تور نیوز دانلود سوالات کارشناسی ارشد تنهاترین عاشق ... یاس ... wanted دلتنگـــــــــــــــ همه شمـــــــــــــــــــا.... مهندسی آب راه کمال سلوک رویابین trip love معماری دنیای خودرو دانش بیشتر , زندگی بهتر دوستانه xXx عکسدونی xXx بندر میوزیک مهدی کـهـکـشـــــان همسایه خورشید ستاره خاموش آزاد d.r zeinab allah is the lord of right .he is justic سکوت سرد آتش دل xXxXx فــــقـــط کرجـــیـــهــا و البرزنشینها بیان اینجا xXxXx شاپرک همیشگی من تویی *شادمهر* انسانم آرزوست... پسر جانباز y divouneh کیمیای ناب ای دریغااااااااا یا اباصالح ادبیات بیا ازدواج کنیم عدالت جویان نسل بیدار آیه های نور تکه ابر... ღ♥ღ من و تو ღ♥ღ مرامنامه عشاق عاشق تنها جدیدترین یوزرنیم و پسورد نود 32- username and password nod 32 وبلاگ دی مهندسی متالورژِی دلنوشته های یه عاشق! وبلاگ{{ ....نسیم لوکس.....}}آنچه که می خواهید خوش مرام داستان های عاشقانه دیار برف •.♥.• تــــبــلــیـــغــات رایـــگــان •.♥.• از صدای سکوت دلم خسته ام مذهبی-سیاسی-فرهنگی عشق پنهان غلط غو لو ت سفیر نور خودمونی باهم آموزش کامپیوتر و نرم افزار دردونه ی مامان مهران غفور اخراجی های عشق در آستان جانان باشگاه مدرسین آموزش پیش از ازدواج آموزش تست زدن کنکور زندگی در باغ عشق فقط خدا vagte raftan علی آبشار فهادانــ *کوچه پس کوچه های رفاقت* وبلاگ هواداران محسن یگانه بیاببین چیه؟ از یک انسان طراحی نقشه های ساختمانی اندیشه های من چهارده خورشید adamak خونه باغ فقط خدا عشق یعنی همه چیز بگذار ابر سرنوشت هر چه می خواهد ببارد ما چترمان خداست... کوچه باغ سرباز ولایت ...دختر روستا... SMS!!! ع ش ق:علاقه شدید قلبی با دوستان اما تنها کوچ پرستوها انتظار منتظَر رویای خیس هیئت حضرت زهرا(س)شرفویه نون و ریحون عشق و دوستی وبلاگ بدنسازی , پرورش اندام , فیتنس و پاورلیفتینگ مهدی روحانی سلام خوش امدید فانوس علی غم خوار نشریه ی فرصت الکتروتکنیک فندق! من وتو حیاتی تازه غمگینم و غم را دوست دارم نون و نمک یخ فروش جهنم * امام مبین * روزبه نبض قلم جیگر طلا کانون علما و شهدای جامعة الزهرا(سلام الله علیها) سکوت شبانه Crazy Scientist تاریکی درروز درجست وجوی حقیقت دختر یاس الله ابهی سایه ها پایوند جوجو لاو اس ام اس 0918love for you هنوزم عاشقتم ببین $$عسل، شیرینی قلبها$$ دهاتی خلوتگه راز دکتر علی حاجی ستوده من * ظهورِ منجی * سیندرلا آسمون عشق هر چه می خواهد دل تنگت بگو مادر تکیه گاه من قلب خـــــــــــــــــــــــــــاکی خورشید نی ریز روزنه گمنام عشق بهزاد وفرزانه خورشید خاموش یادداشت های یک دیوانه ذکر و نام خدا آرامش بخش دلهاست شب نشینان اشتراک گذاری و نشر اینفوگرافیک‌های مختلف حجاب ، صدفی برای مروارید اشتراک گذاری و نشر اینفوگرافیک حاج آقا مسئلةٌ جدیدترین یوزر پسورد آنتی ویروس nod32- Kaspersky - Avira راه را با این (ستاره ها) می توان پیدا کرد ایران در پیچ و خم تاریخ فروشگاه اینترنتی حافظ Romance رویای زیبا ... آروم آروم دوست من و شما طیفکان مشتاق شیدائی شیاطین سرخ امیر مسأله شرعی موسیقی اصیل ایرانی ه/م/ه/چ/ی/ز soheila ورود ممنوع شعر و ادب از همه رنگ این المضطر الذی یجاب اذا دعا خودرو عکس های دمی و دیزنی استارز عمومی عشق گمشده الکساندر مقدونی توهم بزرگ غرب دانلود سرا بارون مشاوره ازدواج و تربیت فرزند آبی تر از آبی ای کاش می امدی خسته شدم همه خوبند خریدار قلب های شکسته سیب سرخ زندگی زیباست جنگ نرم گروه جهادی تبلیغی مستعان زنگ تفریح عشق کامپیوتر مهتاب سبز زندگی زیبا باران ایرانیان عروسک تعمیر و نگهداری هواپیما&اطلاعت عمومی سلام به همی عاشقان صداقت جزتو

ترجمه از وردپرس به پارسی بلاگ توسط تیم پارسی بلاگ