جزئیات کشف مهمترین باگ امنیتی سیستم بانکی؛ شناسایی ۲۳۰ آسیب در ۳ روز
در چهار روز رقابتهای هکرهای کلاه سفید اهداف برای شناسایی آسیبهای سامانههای دو بانک، یک شرکت بیمهای و چندین شرکت بخش خصوص تعریف شد و تیمهای حاضر علاوه بر شناسایی ۲۳۰ آسیب موفق به کشف مهمترین آسیب در سامانه یکی از بانکهای کشور شدند.
به گزارش ایسنا، امنیت سایبری به معنای محافظت از سیستمهای متصل به اینترنت شامل سختافزار، نرمافزار و دادهها در برابر تهدیدات دیجیتال است. این روش هم توسط افراد و هم توسط سازمانها برای جلوگیری از نفوذ غیرمجاز به پایگاههای داده و سایر سیستمهای دیجیتال مورد استفاده قرار میگیرد.
حملات هکرها یکی از مهمترین تهدیداتی است که معمولاً برای نفوذ، اصلاح، پاک کردن، تخریب یا باجگیری سیستمها و دادههای محرمانه کاربر یا سازمان طراحی شدهاند. یکی از روشهایی که برای کنترل و خنثی کردن حملات هکرها میتواند استفاده شود، بکارگیری رویکردهای تدافعی در امنیت سایبری است.
از این رو همگام با تحول فناوری، انواع تهدیدات مختلف و جدیدی در حوزه امنیت سایبری به وجود میآیند و یا به شکل پیشرفتهتری تبدیل میشوند. در حال حاضر تهدیدات امنیتی مختلفی وجود دارد که شامل این موارد میشود:
بدافزارها (Malware) دستهای از نرمافزارهای مضر هستند که در آن هر فایل یا برنامهای میتواند برای آسیب رساندن به کاربر کامپیوتر به سلاحی خطرناک تبدیل شود. این شامل انواع مختلفی از بدافزارها مانند کرمها، ویروسها، تروجانها و جاسوسافزارها است.
باجافزارها (Ransomware) نوعی بدافزار هستند که در آن یک مهاجم یا به اصطلاح یک هکر، فایلهای سیستم کامپیوتری شخص یا سازمان قربانی را معمولاً از طرق مختلفی رمزگذاری میکند و به دنبال آن در ازای رمزگشایی و انتشار این فایلها، از کاربر باجخواهی میکند.
مهندسی اجتماعی (Social Engineering) نوعی روش حمله است که بر تعامل انسان با انسان متکی است و کاربران را فریب میدهد تا با دور زدن پروتکلهای امنیتی، اطلاعاتی که معمولاً ایمن هستند را بدست آورند.
نوعی مهندسی اجتماعی محسوب میشود که شامل ارسال ایمیلها یا پیامهای متنی جعلی است که به نظر میرسد منشأ آن از منابع قانونی باشد. این پیامها معمولاً مخاطبان گستردهای را هدف قرار میدهند. هدف این پیامها سرقت اطلاعات حساس مانند جزئیات کارت اعتباری یا اعتبار ورود به سیستم است.
تهدیدهای داخلی مربوط به نقض یا ضررهای امنیتی است که توسط عوامل انسانی مانند کارمندان، پیمانکاران یا مشتریان ایجاد میشود. این تهدیدها میتوانند مخرب یا غیرعمدی باشند.
حملات مرد میانی
حملات Man-in-the-Middle (MitM) یا حملات مرد میانی، حملات نظارتی هستند که در آن مهاجم، پیامها را بین دو طرف که مستقیماً با یکدیگر در ارتباط هستند، رهگیری و ارسال میکند.
در این بین امنیت سایبری همواره با مسائلی مانند هکرها، از دست دادن دادهها، حریم خصوصی، مدیریت ریسک و تکامل استراتژیهای امنیت سایبری دست و پنجه نرم میکند و هر چند که تعداد حملات سایبری در طول سالهای آینده رو به فزونی میگذارد، ولی چالشهای کلیدی در امنیت سایبری وجود دارد که مستلزم توجه مداوم هستند.
«سازگاری با تهدیدات در حال تغییر»، «مدیریت حجم دادهها»، «کمبود نیروی انسانی متخصص»، «شکاف مهارتی» و «مدیریت حملات زنجیره تأمین و ریسکها» نمونههایی از این چالشها به شمار میرود.
یکی از مهمترین موانع در امنیت سایبری، تغییر مستمر چشمانداز خطرات امنیتی است. ظهور فناوریهای جدید و کاربردهای بدیع یا متفاوت آنها، راه را برای روشهای جدید حمله هموار میکند. بهروز ماندن با این تغییرات و پیشرفتهای مکرر در حملات و اقدامات حفاظتی، کاری اساسی و در حین حال سخت محسوب میشود.
این انگیزهای شد تا در اولین المپیک فناوری ۲۰۲۴، بخش امنیت سایبری بدون هیچ محدودیتی در برگزاری و یا پذیرش تیمها مورد توجه قرار گیرد و منطقه بینالمللی نوآوری ایران اولین مکانی برای گردهمایی شکارچیان کلاه سفید باشد تا در زیر یک سقف جمع شوند و آسیبهای برخی از سامانههای خدمترسان را شناسایی و کشف کنند.
بر این اساس از روز سهشنبه اول آبان لیگ امنیت سایبری در دو بخش «هک سخت افزاری» و «باگ بانتی» برگزار شد و روز گذشته، جمعه ۴ آبان به کار خود پایان داد.
رقابت سایبری از مرحله انتخابی تا فینال
مجتبی مصطفوی، دبیر لیگ امنیت سایبری المپیک فناوری با بیان اینکه روز گذشته جمعه ۴ آبان رقابت هک سختافزاری را برگزار کردیم، گفت: این آخرین رقابت رویداد المپیک سایبری بود و تیمهای برتر مشخص شدند.
وی ادامه داد: در کنار این رقابت، مسابقه کشف آسیب پذیری یا باگ بانتی را برگزار کردیم که در مدت ۴ روز بیش از ۲۳۰ حفره امنیتی از سامانههای مختلف شناسایی و گزارش شده است.
مصطفوی برگزاری همایشی روز دوشنبه، ۷ آبان با عنوان «همایش ملی هکرهای دوست داشتنی» را از دیگر بخشهای این رویداد دانست و اظهار کرد: در این رویداد ارائههای فنی را از سوی متخصصان داخلی و همچنین متخصصانی از کشور روسیه خواهیم داشت.
دبیر لیگ امنیت سایبری در خصوص رده بندی تیمها توضیح داد: در بخش رقابت مقدماتی این لیگ ۴۰۰ تیم شرکت کردند و از میان آنها ۱۰ تیم برای حضور در رقابت «حمله و دفاع» و ۱۰ تیم نیز برای حضور در رقابتهای «هک سخت افزاری» انتخاب شدند.
مصطفوی خاطر نشان کرد: در فینال رقابت «حمله و دفاع» که روز پنج شنبه ۳ آبان به کار خود پایان داد، تیمهایی که به زیر ساختهای دیگر تیمها حمله میکردند، امتیاز مثبت دریافت میکردند و هر تیمی که به زیر ساختش حمله موفق صورت میگرفت، امتیاز منفی دریافت میکرد و مجموع امتیازات منفی و مثبت هر تیم محاسبه و امتیاز نهایی آنها مشخص میشد.
به گفته وی بر این اساس ۳ تیم در رقابت حمله و دفاع و ۳ تیم در بخش هک سخت افزاری انتخاب شدند که در اختتامیه المپیک فناوری معرفی میشوند و جوایزی دریافت خواهند کرد.
مصطفوی با اشاره به جزئیات لیگ هک سختافزاری گفت: در این لیگ تیمها برای هک سخت افزارهایی مانند کارتهای هوشمند که برای تردد استفاده میشوند، بردهای الکترونیکی، تجهیزات IOT و … با یکدیگر به رقابت پرداختند. این لیگ یک روزه بود که روز جمعه برگزار شد و تا پایان رقابتهای روز گذشته ادامه داشت. تیمها بر اساس میزان چالشهایی که حل کردند امتیاز دریافت میکردند و در نهایت تیمهای اول تا سوم انتخاب شدند.
گفتنی است، یکی از بخشهای هیجان انگیز این رقابت کشف باگها و آسیبهای سامانهها بود. این سامانهها به درخواست برخی از شرکتها و دو بانک و یک شرکت بیمهای برای بررسی آسیبپذیریها به این لیگ معرفی شدند و تیمهای هکری کلاه سفید باید در طی روزهای برگزاری اقدام به کشف و شناسایی این آسیبها و ارائه گزارش به داوران میکردند.
یکی از تیمهای شکارچی موفق به کشف بزرگترین باگ سامانه یکی از بانکها شد.
یکی از اعضای این تیم کلاه سفید در خصوص این کشف، گفت: آسیبی که ما موفق به شناسایی آن شدیم، باگی است که مهاجم میتواند لینکی را آماده و به کاربری که وارد حساب خود میشود، ارسال و آن کاربر را قربانی کند، چون با یک کلیک کاربر بر روی آن، کل حساب فرد برای مهاجم ارسال خواهد شد.
وی تاکید کرد: این بانک برای جلوگیری از حملات و ارتقای امنیت سامانه خود نیاز دارد تا فیچر خود را به گونه دیگری برنامهریزی کند تا تایید کاربر را بخواهد و بدون تایید کاربر نباشد.
نیما غلامی، کوچکترین شکارچی رقابت باگ بانتی لیگ امنیت سایبری المپیک است که در این رقابت شرکت کرده و موفق به شناسایی برخی از باگها شده بود.
وی که دانشآموز رشته کامپیوتر است، اظهار کرد: من از ۱۴ سالگی شروع به شناسایی باگها کردم و تاکنون توانستهام باگ دو سایت خارجی را شناسایی و گزارش آن را ارسال کنم.