امنیت تبادل اطلاعات
01 دسامبر
دستهبندی نشده 15 نظر
در طول مدتی که در جاهای مختلف با امنیت شبکه و مخاطراتش سرو کله زدم همیشه مهم ترین عامل آموزش عمومی بوده و اینکه کاربر رو در برابر مخاطرات و یا اتفاقات دورو برش حساس کنیم.
چند سالی است که مبحث خدمات الکترونیک و تحت وب و بلاخص اینترنت بانک بازارش در ایران داغه و همه بانک ها چه خصوصی چه دولتی سعی میکنن با دادن خدمات نوین تر گوی سبقت رو از رقبا بربایند ولی آیا در کنار این دغدغه خدمات رسانی به امنیت هم توجه شده است؟
امروز به زبان ساده شما رو با SSL آشنا میکنم:
فرض کنید شما در خانه نشستین و قصد وارد کردن اطلاعات کارت خود برای استفاده از خدمات بانک مقصد دارید .البته غافل از اینکه در بین راه ارتباطی شما تا بانک هکر محترم نشسته و داره اطلاعات شما رو سرقت میکنه.
به این روش اصطلاحآ میگن Man in the Middle از مزایای این مدل هکینگ راحت بودن و تقریبآ غیر قابل رد یابی بودن بعد از انجام رو میشه نام برد همچنین چون این مدل هکینگ مستقیم بر روی سرورهای بانکی انجام نمیشه و صرفآ محدوده ای از کاربران رو مورد هدف قرار میده بخش امنیت سیستم از وجود اون با خبر نخواهد شد.
یکی از روش هایی که برای مقابله با این هکرها وجود داره استفاده از تونل امن SSL است. وقتی که سایتی رو با آدرس HTTPS مشاهده میکنید یعنی این کانال امن که اطلاعات شما را تا مقصد رمز نگاری میکند برقرار شده و شما با آرامش خاطر میتوانید اطلاعات مهم خود را در وب سایت مورد نظر وارد کنید.
البته همیشه استفاده از SSL یا همون HTTPS نمیتونه شما رو نجات بده چون اگر هکر یک اصطلاحآ گواهی جعلی را برای شما بفرسته دیگه دیتای شما چون با الگوریتم هکر رمز شده پس به راحتی توسط خود هکر هم قابل رمز گشایی است.
پس راه حل چیست؟
راه حل استفاده از گواهی سرور های تایید شده در دنیاست که وب سایت مورد نظر را تایید خواهند کرد و در مرورگر خود با پیغام ارتباط غیر قابل اطمینان مواجه نمیشوید این گواهی ها قابل اجاره هستند درست مثل دامنه که اجاره میکنید.
البته خود ادمین سیستم هم میتواند از گواهی های خود امضا Self-signed استفاده کنه که بازم مشکل ساز میشه چون کاربر در مرورگر خود با پیغام خطا مواجه میشه چون نتونسته گواهی رو با سرور های اصلی تایید کنه.
و اما مشکل اصلی کجاست؟
همیشه آموزش جامعه برای رعایت امنیت حد اقل در استفاده از سرویسها به اندازه کافی امریست دشوار و در عین حال زمان بر ، یکی از موارد مهمی که بایستی به کاربران آموخت اینست که به محض مواجه با خطاهای مرورگر مبنی بر گواهی نامه جعلی مراتب را جهت پیگیری به سیستم گزارش دهند تا شاید بتوان از ادامه حمله یک هکر جلوگیری کرد.
آیا ما در ایران از گواهی نامه های معتبر استفاده میکنیم؟
با نگاهی به چند سرویس بانکی به راحتی میتوان دید که جواب برای بخش اعظمی از سیستم بانکی نه است.(البته شاید دلیل اصلی تحریم ایران باشه).
ادمین سیستم یک گواهی جعلی ساخته و سرویس را راه اندازی کرده است و احتمالآ کلی هم در مورد کانال امن SSL برای مدیر توضیح داده و که دیگه ارتباط امن شد .
به دلیل این که ما داریم حساسیت کاربر رو در هنگام مشاهده صفحه اخطار مرورگر مبنی بر معتبر نبودن گواهی از بین میبریم و با توجه به اینکه از یک گواهی خود ساخته استفاده میکنیم پس هکر هم میتونه گواهی جعلی بسازه . پس نه تنها امنیت کاربر و سیستم بالا نرفته بلکه این بد ترین کار ممکن بوده که انجام شده.
به نظر من استفاده نکردن از SSL و استفاده از راهکارهای رمز نگاری در بخش کلاینت در شرایطی که نمیشه از گواهی های قانونی استفاده کرد بهترین راهه . ابته کاملآ بدیهی است که نظارت بر چنین رفتارهایی در مثال ما که سیستم بانکی است به عهده بانک مرکزی است چون حتی اگر یک بانک هم دچار این مشکل باشد برای ترویج فرهنگ غلط استفاده از گواهی جعلی کافی است.
و فردا میلیاردها تومن باید خرج بشه تا به کاربر بفهمونید اگر با خطای مرورگر مواجه شد به سیستم امنیت خبر بده…..
در جدول زیر دروازه بانکی چند بانک مورد بررسی قرار گرفت . جالب بود که برخی از گواهی ها فقط با Firefox مشکل داشتند که این مورد به دلیل عدم راه اندازی صحیح گواهی بر روی وب سرور است.
IE9 |
Firefox |
آدرس |
نام |
ok |
NO |
https://www.rb24.ir/login.html |
بانک رفاه |
ok |
NO |
https://olb.agri-bank.com/ |
بانک کشاورزی |
NO |
NO |
https://ebanking.bank-maskan.ir/ |
بانک مسکن |
ok |
NO |
https://epayment.bmi.ir/SecurePages/CardToCard.aspx |
بانک ملی |
r3dbull
01 دسامبر 2011 @ 16:17:07
جالب بود ولی چیزای مهمتز هست که رعایت نمیشه
member11316
02 دسامبر 2011 @ 00:29:57
با سلام و خسته نباشید
ممنون بابت مطالب ذکر شده
یه سوال ؟ چطوری از دست این امضای دیجیتالی راحت بشیم ، در اکسپلورر وقتی سایت پیام نور را باز می کنیم ، اون پیغام که بالا گذاشتین میاد
http://www.shabgard.org/wp-content/uploads/2011/12/124.png
میخوام اون نیاد ، مشتری ها اعصابم و خرد میکنن ، هی توضیح میدم ولی بازم هیچی
ممنون
hack_tnt
04 دسامبر 2011 @ 11:55:06
درود برشما و سپاس از بابت اطلاع رسانی در واقع نباید فراموش شود که این قابلیت در شبکه داخلی شرکت ها و سازمان های دولتی هم وجود داره و به راحتی اگر یک هکر در شبکه داخلی شما از روش مردی در سایه استفاده کنه می توانه اطلاعات و … شما را بدست بیاره که خب روش هایی هم برای ناکار امد کردن این روش در شبکه وجود داره
راستی دوست عزیز از شما می خواستم که اگر حاضر به همکاری هستید دست به تاسیس یک شرکت امنیتی بزنیم و خب چون شبگرد هم سابقه زیادی در مسائل امنیتی داره می تونه شرکت موفق باشه و خب می تونه از حالت یک سایت معمولی در بیاد و به دنبال فعالیت های بالاتری باشه در صورت تمایل با ایمیل بنده ارتباط برقرا فرمایید خوشحال می شوم به عنوان شاگردی در مقابل شما دوستان باشم.
علی
08 دسامبر 2011 @ 08:00:36
سلام شبرو جان.
از اینکه تیتراژی که می خواستی رو در وبلاگم پیدا کردی خوشحالم.
به وبت هم آمدم اما نمیدونم چرا نتونستم ثبت نام کنم. گفت اجازه از سوی مدیر نداری!
خوحال میشم عضو سایتت باشم.
یاعلی
ALI
12 دسامبر 2011 @ 13:52:43
خاکبرسرش اونی که خواسته باشه امنیت رو ازشما یادبگیره
اول ویندوز بعد مرورگرها بعد ایمیل ها بعد لینک شدن با پلیس سایبر وآشیانه شما خودتون دارید زاغ سیا مردم رو چوب می زنید حالا دم ازامنیت میزیندپلیس سایبرننه من هست حتما
هربدبختی پا درم سایت ها شبگرد و آشیانه می زاره با صد تا فایل آلوده زیروروش می مین خیلی نامردید دست بردن تو گوگل یاهو انواع پروکسی ها
خودتون استفاده می کنید علم رو برابقیه فیلترمی کنید
علی
30 دسامبر 2011 @ 00:52:22
ممد دیداس نامردیه به قول خودت بکدور پشت سایت شبگردگذاشتن نامردی نیست به کسی که اومده یادبگیره اگه این طوریه هک همش نامردیه
حامد
28 ژانویه 2012 @ 02:21:02
با سلام
ممنون بابت اطلاع رسانی !!!
یک موردی را خواستم درمورد SSL دامنه های ir بگم. که در مقاله اشاره ای نشده بود.
به دامنه های ir هیچ شرکتی گواهی نامه SSL ارایه نمی کنه . برای همین دست به چنین اقدامی می زنند که برای بهبود امنیت بهتر است تراکنش های مالی تحت دامنه های TLD برای بانک انجام شود. که اگر یک دامنه TLD انتخاب کنند و سپس برای دامنه جدید SSL بگیرند مشکل حله .
حالا با این تفاسیر بانک هایی را که دامنه های TLD دارند مثل https://olb.agri-bank.com/ نباید چنین سهل انگاریی نمایند و این کار گناهی است نا بخشودنی 😀
BLadE
30 ژانویه 2012 @ 12:10:43
سلااااااممم داااوووششش…
خسته نباشی..
داشتم نظرات رو میخوندم دیدم پایین نوشته یک نظر بدید گفتم خوب نیست روتو زمین بندازم;)
!!!!
اما جدا خواستم بگم بین همه سایت های امنیتی که میشناسم شبگرد خیلی بیشتر روی مسائل برنامه نویسی و نکته ها تمرکز کرده وبه نظرم از این حیث رتبه یک رو بین سایت های فارسی داره..
انشاا.. که همیشه موفق باشید
یا حق
فرناز
05 فوریه 2012 @ 00:48:52
سلام.يك هكر ميخوام تا كاري برام انجام بده.خواهش ميكنم.حق الزحمه اش محفوظ. اگر سراغ داريد يا خودتون آگاهي داريد لطفا بمن ميل بزنيد.تا 20 بهمن فرصت دارم.
nilofar
24 فوریه 2012 @ 00:30:58
سلام واسه منم همين اتفاق افتاده با هر مرور گري ميخام برم فيس بوك يا سايت بانك ملت بهم اخطار ميده غير قابل اطمينان است.حالا چيكار كنم مشكل حل شه؟
cybermuffler
14 مارس 2012 @ 15:50:28
سلام
آقا محمد این قضیه backdoor تو سایتت چیه ؟؟
ممنون میشم توضیح بدین !!
یا این که از دوستان بخواهیم کنترل کنن تا در صورت صحت مطلب سایتت رو DDOS کنیم 😀
mohammad
23 آوریل 2012 @ 00:51:23
salam jaleb bood man mitoonam ye soal konam ?
elahe
04 ژوئن 2012 @ 23:33:20
salam dadashi khobi?
mamnoonam
matalebeton ali bod
movafagh bashid
ya hagh
ممد
20 مه 2021 @ 18:22:21
یادش بخیر چه دورانی بوده
عجب
19 ژانویه 2022 @ 12:32:22
عجب