جزئیات کشف مهم ترین باگ امنیتی سیستم بانکی
مهندس وب: در چهار روز رقابت های هکرهای کلاه سفید اهداف برای شناسایی لطمه های سامانه های دو بانک، یک شرکت بیمه ای و چندین شرکت بخش خصوص تعریف شد و تیم های حاضر علاوه بر شناسایی ۲۳۰ لطمه موفق به کشف با اهمیت ترین لطمه در سامانه یکی از بانکهای کشور شدند.
به گزارش مهندس وب به نقل از ایسنا، امنیت سایبری به معنای حفاظت از سیستم های متصل به اینترنت شامل سخت افزار، نرم افزار و داده ها در مقابل تهدیدات دیجیتال است. این شیوه هم توسط افراد و هم توسط سازمان ها برای پیشگیری از نفوذ غیر مجاز به پایگاه های داده و سایر سیستم های دیجیتال مورد استفاده قرار می گیرد.
حملات هکرها یکی از مهم ترین تهدیداتی است که معمولا برای نفوذ، اصلاح، پاک کردن، تخریب یا باج گیری سیستم ها و داده های محرمانه کاربر یا سازمان طراحی شده اند. یکی از روش هایی که برای کنترل و خنثی کردن حملات هکرها می تواند استفاده شود، بکارگیری نگاههای تدافعی در امنیت سایبری است.
ازاین رو همگام با تحول فناوری، انواع تهدیدات مختلف و جدیدی در حوزه امنیت سایبری به وجود می آیند و یا به شکل پیشرفته تری تبدیل می شوند. هم اکنون تهدیدات امنیتی مختلفی وجود دارد که شامل این موارد می شود:
بدافزارها
بدافزارها (Malware) دسته ای از نرم افزارهای مضر هستند که در آن هر فایل یا برنامه ای می تواند برای صدمه رساندن به کاربر کامپیوتر به سلاحی خطرناک تبدیل گردد. این شامل انواع مختلفی از بدافزارها مانند کرم ها، ویروس ها، تروجان ها و جاسوس افزارها است.
باج افزارها
باج افزارها (Ransomware) نوعی بدافزار هستند که در آن یک مهاجم یا به اصطلاح یک هکر، فایل های سیستم کامپیوتری شخص یا سازمان قربانی را معمولا از طرق مختلفی رمزگذاری می کند و به دنبال آن در ازای رمزگشایی و انتشار این فایل ها، از کاربر باج خواهی می کند.
مهندسی اجتماعی
مهندسی اجتماعی (Social Engineering) نوعی روش حمله است که بر تعامل انسان با انسان متکی است و کاربران را فریب می دهد با دور زدن پروتکلهای امنیتی، اطلاعاتی که معمولا ایمن هستند را بدست آورند.
فیشینگ
نوعی مهندسی اجتماعی به حساب می آید که شامل ارسال ایمیل ها یا پیام های متنی جعلی است که به نظر می آید منشأ آن از منابع قانونی باشد. این پیام ها معمولا مخاطبان گسترده ای را هدف قرار می دهند. هدف این پیام ها سرقت اطلاعات حساس مانند جزئیات کارت اعتباری یا اعتبار ورود به سیستم است.
تهدیدهای داخلی
تهدیدهای داخلی در ارتباط با نقض یا ضررهای امنیتی است که توسط عوامل انسانی مانند کارمندان، پیمانکاران یا مشتریان ایجاد می شود. این تهدیدها می توانند مخرب یا غیرعمدی باشند.
حملات مرد میانی
حملات Man-in-the-Middle (MitM) یا حملات مرد میانی، حملات نظارتی هستند که در آن مهاجم، پیام ها را بین دو طرف که مستقیماً با یکدیگر در ارتباط هستند، ره گیری و ارسال می کند.
در این میان امنیت سایبری همواره با مسائلی مانند هکرها، از دست دادن داده ها، حریم خصوصی، مدیریت ریسک و تکامل استراتژی های امنیت سایبری دست و پنجه نرم می کند و هر چند که تعداد حملات سایبری در طول سالهای آینده رو به فزونی می گذارد، ولی چالش های کلیدی در امنیت سایبری وجود دارد که مستلزم توجه مداوم هستند.
«سازگاری با تهدیدات درحال تغییر»، «مدیریت حجم داده ها»، «کمبود نیروی انسانی متخصص»، «شکاف مهارتی» و «مدیریت حملات زنجیره تأمین و ریسک ها» نمونه هایی از این چالش ها به حساب می آید.
یکی از مهم ترین موانع در امنیت سایبری، تغییر مستمر چشم انداز خطرات امنیتی است. ظهور فناوری های نوین و کاربردهای بدیع یا متفاوت آنها، راه را برای روش های جدید حمله هموار می کند. به روز ماندن با این تغییرات و پیشرفت های مکرر در حملات و اقدامات حفاظتی، کاری اساسی و در حین حال سخت بحساب می آید.
این انگیزه ای شد تا در نخستین المپیک فناوری ۲۰۲۴، بخش امنیت سایبری بدون هیچ محدودیتی در برگزاری و یا پذیرش تیم ها مورد توجه قرار گیرد و منطقه بین المللی نوآوری ایران نخستین مکانی برای گردهمایی شکارچیان کلاه سفید باشد تا در زیر یک سقف جمع شوند و صدمه های بعضی از سامانه های خدمت رسان را شناسایی و کشف کنند.
بر این اساس از روز سه شنبه اول آبان لیگ امنیت سایبری در دو بخش «هک سخت افزاری» و «باگ بانتی» برگزار شد و روز گذشته، جمعه ۴ آبان پایان یافت.
رقابت سایبری از مرحله انتخابی تا فینال
مجتبی مصطفوی، دبیر لیگ امنیت سایبری المپیک فناوری در گفتگو با ایسنا با اشاره به اینکه روز گذشته جمعه ۴ آبان رقابت هک سخت افزاری را برگزار کردیم، اظهار داشت: این آخرین رقابت رویداد المپیک سایبری بود و تیم های برتر مشخص شدند.
وی افزود: در کنار این رقابت، مسابقه کشف صدمه پذیری یا باگ بانتی را برگزار کردیم که در مدت ۴ روز بیشتر از ۲۳۰ حفره امنیتی از سامانه های مختلف شناسایی و گزارش شده است.
مصطفوی برگزاری همایشی روز دوشنبه، ۷ آبان با عنوان «همایش ملی هکرهای دوست داشتنی» را از دیگر بخش های این رویداد دانست و اظهار نمود: در این رویداد عرضه های فنی را از جانب متخصصان داخلی و همینطور متخصصانی از کشور روسیه خواهیم داشت.
رده بندی های تیمی
دبیر لیگ امنیت سایبری در مورد رده بندی تیم ها توضیح داد: در قسمت رقابت مقدماتی این لیگ ۴۰۰ تیم شرکت نمودند و از میان آنها ۱۰ تیم برای حضور در رقابت «حمله و دفاع» و ۱۰ تیم هم برای حضور در رقابت های «هک سخت افزاری» انتخاب شدند.
مصطفوی تصریح کرد: در فینال رقابت «حمله و دفاع» که روز پنج شنبه ۳ ابان پایان یافت، تیم هایی که به زیر ساخت های دیگر تیم ها حمله می کردند، امتیاز مثبت دریافت می کردند و هر تیمی که به زیر ساختش حمله موفق صورت می گرفت، امتیاز منفی دریافت می کرد و مجموع امتیازات منفی و مثبت هر تیم محاسبه و امتیاز نهایی آنها مشخص می شد.
به قول وی بر این اساس ۳ تیم در رقابت حمله و دفاع و ۳ تیم در قسمت هک سخت افزاری انتخاب شدند که در اختتامیه المپیک فناوری معرفی می گردند و جوایزی دریافت خواهند کرد.
مصطفوی ضمن اشاره به جزئیات لیگ هک سخت افزاری اظهار داشت: در این لیگ تیم ها برای هک سخت افزارهایی مانند کارت های هوشمند که برای تردد استفاده می شوند، بردهای الکترونیکی، تجهیزات IOT و غیره با یکدیگر به رقابت پرداختند. این لیگ یک روزه بود که روز جمعه برگزار شد و تا پایان رقابت های روز گذشته ادامه داشت. تیم ها بر مبنای میزان چالش هایی که حل کردند امتیاز دریافت می کردند و در نهایت تیم های اول تا سوم انتخاب شدند.
کشف بزرگترین صدمه سیستم بانکی
به گزارش مهندس وب به نقل از ایسنا، یکی از بخش های هیجان انگیز این رقابت کشف باگ ها و صدمه های سامانه ها بود. این سامانه ها به درخواست بعضی از شرکت ها و دو بانک و یک شرکت بیمه ای جهت بررسی صدمه پذیری ها به این لیگ عرضه شدند و تیم های هکری کلاه سفید باید در خلال روزهای برگزاری مبادرت به کشف و شناسایی این صدمه ها و عرضه گزارش به داوران می کردند.
یکی از تیم های شکارچی موفق به کشف بزرگترین باگ سامانه یکی از بانکها شد.
یکی از اعضای این تیم کلاه سفید در مورد این کشف به ایسنا اظهار داشت: صدمه ای که ما موفق به شناسایی آن شدیم، باگی است که مهاجم می تواند لینکی را آماده و به کاربری که وارد حساب خود می شود، ارسال و آن کاربر را قربانی کند، چون با یک کلیک کاربر بر روی آن، کل حساب فرد برای مهاجم ارسال خواهد شد.
وی تصریح کرد: این بانک برای پیشگیری از حملات و ارتقای امنیت سامانه خود نیاز دارد تا فیچر خویش را به گونه دیگری برنامه ریزی کند تا تایید کاربر را بخواهد و بدون تایید کاربر نباشد.
کوچکترین شکارچی با ۱۶ سال سن
نیما غلامی، کوچکترین شکارچی رقابت باگ بانتی لیگ امنیت سایبری المپیک است که در این رقابت شرکت کرده و موفق به شناسایی بعضی از باگ ها شده بود.
وی که دانش آموز رشته کامپیوتر است، در گفتگو با ایسنا اظهار نمود: من از ۱۴ سالگی آغاز به شناسایی باگ ها کردم و تابحال توانسته ام باگ دو سایت خارجی را شناسایی و گزارش آنرا ارسال کنم.
این مطلب را می پسندید؟
(0)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب