Man in the Cloud
کلاود در معرض خطر سبک بسیار نادری از تهدیدات سایبری
پژوهش‌گران موفق به شناسایی روش جدیدی شده‌اند که امکان هک کردن حساب‌های کلاود را بدون آن‌که نیازی به گذرواژه یا نام کاربری مستقر در فضای ابری باشد، در اختیار آن‌ها قرار می‌دهد. این حمله به‌نام man in the cloud یا به اختصار MITC نامیده می‌شود. این حملات از توکن گذرواژه (Password tokens) استفاده می‌کند که همین موضوع شناسایی و کنترل آن‌ها را سخت می‌کند. این سبک جدید از حملات به هکرها این توانایی را می‌دهد که به فایل‌های دراپ‌باکس، گوگل‌درایو و وان‌درایو بدون نیاز به گذرواژه دسترسی داشته باشند.

در گذشته ضروری بود درباره سبک خاصی از حملات که به‌نام man in the middle مشهور بودند و برای سرقت داده‌ها و انتقال آن‌ها مابین دو نقطه پایانی مورد استفاده قرار می‌گرفتند، اطلاعاتی کسب می‌کردید. امروزه، باید به شما بگوییم، ضروری است درباره سبک جدیدی از حملات که به‌نام man in the cloud در حال گسترش هستند و به هکرها اجازه می‌دهد بدون آن‌که نیازی به گذرواژه‌ای داشته باشند به فایل‌های ذخیره شده روی فضای ابری دسترسی پیدا کنند، اطلاعاتی کسب کنید. در کنفرانس امنیتی Black Hat که در لاس وگاس برگزار شد، تحقیق جدیدی توسط یک شرکت سایبری امنیتی منتشر شد که نشان می‌دهد، امکان سوء‌استفاده از آسیب‌پذیری موجود در سیستم همسان‌سازی کلاود در سرویس‌های گوگل درایو، وان درایو و دراپ باکس وجود دارد. حمله man in the cloud با سرقت توکن گذرواژه، فایل کوچکی که در دستگاه کاربر ذخیره می‌شود، کار می‌کند. این توکن گذرواژه برای این منظور مورد استفاده قرار می‌گیرد تا کاربر احتیاج نداشته باشد به‌طور مکرر گذرواژه خود را تایپ کند. بعد از به‌دست آوردن این گذرواژه با استفاده از روش‌هایی همچون یک حمله فیشینگ یا یک اکسپلویت موجود روی دستگاه، هکرها توانایی دسترسی به حساب‌کاربری را روی دستگاه‌های دیگر دارند. حمله man in the cloud برای سرقت فایل‌ها یا اضافه کردن بدافزارها یا باج‌افزارها مورد استفاده قرار می‌گیرد. آمی چای شولمن مدیر تحقیقات Imperva در این‌باره می‌گوید: «این سبک از حملات مرتبط با کلاود می‌تواند روی کسب و کارهایی که وابسته به سرویس‌های کلاود هستند تأثیرگذار باشد.»

او همچنین اضافه کرد تحقیقات انجام شده نشان می‌دهد، چگونه مجرمان سایبری توانایی هک کردن حساب‌های همسان‌سازی شده ابری را دارند و چگونه شناسایی و بازیابی یک فرآیند احراز هویت تصدیق نشده به سختی امکان‌پذیر است. احیای دوباره حسابی که تحت تأثیر این‌گونه حملات قرار گرفته است، همیشه امکان‌پذیر نیست. »

البته شولمن در صحبت‌های خود ضمن دفاع از ارائه کنندگان سرویس‌های ابری سعی کرد از واژه رخنه در طراحی این سرویس‌ها استفاده نکند و در ادامه صحبت‌های خود افزود: «این سرویس‌ها ایمن بوده و امکان انتقال یکپارچه فایل‌ها را امکان‌پذیر می‌سازند، اما موضوع مهمی که در ارتباط با این سرویس‌ها وجود دارد به بحث امنیت و قابلیت استفاده از آن‌ها باز می‌گردد. »

انگیزه بهوجود آمدن این نوع از حملات
سازمان‌ها تأکید زیادی روی امنیت در نقاط پایانی دارند. راه‌حل‌های قدیمی عمدتا بر مبنای مطابقت دادن محتوای فایل‌ها با الگوهایی بوده که احتمال وجود کدهای مخرب در آن‌ها وجود داشت. راه‌حل‌های جدید سعی در شناسایی رفتار فایل‌های ورودی به یک محیط کنترل شده یا نظارت بر فعالیت‌ نقاط پایانی که ممکن است رفتارهای خرابکارانه‌ای داشته باشند، دارند. این شیوه بر مبنای بررسی تزریق غیرمعمول کدها، به‌کارگیری اکسپلویت‌های شناخته شده و سایر ناهنجاری‌ها دارند. همچنین بعضی از راه‌حل‌ها سعی در شناسایی ارتباطات C&C دارند. همچنان که ابزارهای دفاعی پیشرفت می‌کنند، هکرها تمرکز خود را روی روش‌های نوین حمله قرار داده‌اند. در فعالیت‌های عادی امروزی، زمانی‌که کاربری از یک برنامه همسان‌ساز استفاده می‌کند، به دو دلیل نیازمند مقداردهی اولیه یک ارتباط است، اول برای ورود به یک حساب و دوم برای سوییچ کردن به حساب دیگری. در این حالت کاربر نیازمند برقراری تعاملی است تا اعتبار خود را با استفاده از گذرواژه و نام کاربری که از طریق یک رابط کاربری در اختیار او قرار می‌گیرد اثبات کند. برنامه‌های همسان‌ساز به نشانه (token) همسان‌ساز اعتماد می‌کنند و از این نشانه برای فرآیندهای تصدیق هویت که در آینده انجام می‌شود استفاده می‌کنند. این نشانه پایانی در یک فایل یا حتا در خود دستگاه کاربر به ثبت می‌رسد. این درست همان نقطه‌ای است که هکرها به آن وارد می‌شوند. به‌عبارت دیگر بعد از ثبت نشانه امنیتی، اصلا نیازی به هیچ اکسپلویتی برای بهره‌بردای از این نشانه تصدیق هویت نیست! در نتیجه هکر برای دسترسی به حساب کاربر تنها لازم است این نشانه را به‌دست آورد. جدول زیر برنامه‌های ابر محور را به همراه انواع نشانه‌ها و مکانی که آن‌را ذخیره می‌کنند نشان می‌دهد:

Dropbox

Google Drive

Box

OneDrive

Synchronization

Application

Proprietary

OAuth Refresh Token

OAuth Refresh Token

OAuth Refresh Token

Token Type

Encrypted SQLite file

Encrypted in Registry

Windows Credential

Manager

Windows Credential

Manager

Location

 

همان‌گونه که در جدول بالا مشاهده می‌کنید، هکرها با دانستن مکان و نوع توکن به‌آسانی توانایی در معرض خطر قرار دادن انواع مختلفی از حساب‌های کلاود را دارند. زمانی‌که این حمله پیاده‌سازی شد، هکر توانایی به‌اشتراک‌گذاری حساب همسان‌سازی شده قربانی را دارد. در ادامه حمله‌کننده این توانایی را دارد تا به همسان‌سازی فایل‌های آلوده‌ای که کدهای مخرب به درون آن‌ها تزریق شده است به‌پردازد. شکل زیر نمونه‌ای از این فرآیند را نشان می‌دهد.

نتایج کلیدی به‌دست آمده از تحقیقات
تحقیقات انجام گرفته از سوی Imperva منجر به کشف چند حقیقت مهم شده است:

سرویس‌های همسان‌سازی همچون وان‌درایو، دراپ‌باکس، گوگل‌درایو و باکس به‌راحتی در زیرساخت‌ها دارای آسیب‌‌پذیری هستند، به‌طوری که باعث ایجاد یک تونل برای استخراج داده‌ها، ایجاد یک کانال C&C و دسترسی از راه دور می‌شوند.

سرویس‌های همسان‌ساز فایل‌ها می‌توانند بدون استفاده از یک اعتبارنامه متنی شناسایی شوند.

بازگرداندن یک حساب کلاود یا دسترسی به فایل‌های هک شده روی یک حساب ابری همیشه وجود ندارد. به‌طوری که در بعضی مواقع تنها راه حل این مشکل بستن حساب است.

کارهایی که تاکنون در ارتباط با امنیت در نقاط پایانی و محیط‌های کلاود انجام شده نه تنها کافی نبوده است، بلکه باعث کم شدن حجم حملات و تهدیداتی که از سوی کدهای مخرب وجود دارد، نیز نشده است، همچنین به دلیل عدم وجود هیچ کانال سیمی امکان مشاهده آشکار این حملات و یا شناسایی دقیق مبدأ در بعضی موارد وجود ندارد.

پیشنهاد Imperva
حتا اگر بسیاری از سرویس‌ها سیستم احرازهویت دو عاملی را پیاده‌سازی کنند، باز هم امکان ترمیم آسیب‌پذیری حمله man in the cloud به‌سادگی امکان‌پذیر نیست. این سرویس‌ها یک پیغام هشدار را زمانی برای یک کاربر ارسال می‌کنند که حساب او از سوی یک کامپیوتر جدید یا مکان جدیدی مورد استفاده قرار گرفته باشد، اما بیشتر مردم در چنین زمان‌هایی از این هشدار صرف‌نظر کرده و آن را نادیده می‌گیرند. برای محافظت در برابر این‌گونه حملات، Imperva پیشنهاد کرده است شرکت‌ها سرمایه‌گذاری بیشتری را برای نظارت و محافظت از منابع داده‌ای در سرویس‌های کلاود اختصاص دهند. بر همین اساس، سازمان‌ها لازم است اقدام به شناسایی الگوهایی که در آینده برای دسترسی و سوء استفاده از داده‌ها بر پایه نقص‌ها مورد استفاده قرار می‌گیرند، اقدامات لازم را به‌عمل آورند.

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

ایسوس

نظر شما چیست؟