چگونه می توانیم از شر پوسته های وب خلاص شویم
چرا اجرای قانون جوابگو پوسته های وب نیست
پوسته های وب
پوسته های وب : مایکروسافت اخیراً حملات زیادی را توسط هکرها با استفاده از اصطلاحاً پوسته های وب مشاهده کرده است. تعداد حملات پوسته وب بین آگوست 2020 و ژانویه 2021 در مقایسه با مدت مشابه سال قبل دو برابر شده است. اما آنها دقیقاً چه هستند و چگونه می توانید با آنها مبارزه کنید؟
مایکروسافت در مجموع 144000 حمله پوسته وب را بین آگوست 2020 و ژانویه 2021 ثبت کرده است. پوسته های وب برنامه های بسیار سبک (اسکریپتی) هستند که هکرها نصب می کنند تا یا به وب سایت های آسیب دیده یا سرویس های رو به وب حمله کنند و یا حمله بعدی را آماده کنند. یک پوسته وب به هکرها اجازه می دهد تا دستورات استاندارد را در سرورهای وب که به خطر افتاده اند، اجرا کنند. پوسته های وب از کدهایی مانند PHP ، JSP یا ASP برای این منظور استفاده می کنند.
هنگامی که پوسته های وب با موفقیت نصب می شوند، هکرها می توانند همان دستوراتی را که مدیران وب سایت می توانند اجرا کنند. آنها همچنین می توانند دستوراتی را که سرقت اطلاعات، نصب کد مخرب و ارائه اطلاعات سیستم است که به نفوذ هکرها در شبکه ها بیشتر است، انجام دهند.
کشف آن دشوار است
پوستههای وب نیز یک شکل دائمی از “درب پشت” است که همچنان بر سرورهای آسیب دیده تأثیر می گذارد. کشف آنها کاملاً دشوار است، تا حدودی به این دلیل که روشهای مختلفی برای اجرای دستورات دارند. هکرها همچنین این دستورات را در رشته ها و پارامترهای عامل کاربر پنهان می کنند که بین مهاجمان و وب سایت های مورد حمله رد و بدل می شوند. علاوه بر این، پوسته های وب می توانند در پرونده های رسانه ای یا سایر قالبهای فایل غیرقابل اجرا جمع شوند.
برای فهمیدن وجود پوسته های وب در سرور، برخی از شاخصها وجود دارد که می تواند به شما کمک کند: اتصالات ناشناخته در گزارش های سرور، استفاده غیر عادی از سرور، پرونده هایی با مهر زمان غیرعادی و بسیاری از نشانه های دیگر. اما حتی با وجود این شاخص ها کشف آنها بسیار دشوار است.
نکاتی برای مبارزه با حملات پوسته وب
برای مقابله با حملات با استفاده از پوسته های وب، تعدادی راهکارهای ممکن وجود دارد. این موارد شامل کشف این برنامه ها با شناسایی و رفع آسیب پذیری ها و پیکربندی های غلط در برنامه های وب و سرورهای وب از طریق استفاده از مدیریت تهدید و آسیب پذیری است.
علاوه بر این، با تقسیم بندی مناسب شبکه محیط می توان از حملات جلوگیری کرد، به این ترتیب وب سرورهای مورد حمله باعث آسیب بیشتر در شبکه ها نمی شوند.
شرکت ها همیشه باید آنتی ویروس را روی سرورها نصب کنند زیرا این امر می تواند از نصب بدافزار بر روی دستگاه جلوگیری کند. ما قبلاً از مواردی مطلع شده ایم که فقط محافظت از طریق ایمیل در این سرورها برقرار بوده است. البته اینها هیچ محافظتی در برابر بدافزار موجود در سرور واقعی یا در برابر انواع خاصی از حملات هدفمند ندارند.
علاوه بر این، شرکت ها باید مرتباً گزارش های سرورهای وب خود را مورد بازرسی و مشاهده قرار دهند. این به آنها آگاهی بیشتری می دهد که کدام سیستم ها ممکن است در معرض اینترنت قرار بگیرند.
اجرای قانون برای نجات؟
در طول حمله Hafnium و حملات اخیر MS Exchange از جمله موارد دیگر، از پوسته های وب برای نصب باج افزار بر روی سرورهای به خطر افتاده و سرقت اطلاعات استفاده شد. اکنون ناگهان FBI به تنهایی اقدامی انجام داد. هفته های گذشته، سرویس تحقیقات آمریکایی اعلام کرد که با صدور حکم دادگاه، پوسته های وب را از صدها سرور خطرناک حذف کرده است.
پوسته های وب حذف شده متعلق به گروهی بود که برای دسترسی به شبکه های سازمان ها و شرکت های ایالات متحده در مراحل اولیه از آسیب پذیری های Exchange استفاده کردند. این پوسته های وب هرکدام دارای یک مسیر منحصر به فرد و نام فایل بودند، بنابراین یافتن و حذف آنها برای صاحبان سرور به طور بالقوه مشکل تر می شود.
در این ابتکار، با هدایت FBI، صدها سرور Microsoft Exchange آلوده به بدافزار در ایالات متحده پاک شدند. با این حال، این واقعیت که سازمان های متضرر تنها پس از واقعیت از این موضوع آگاه شدند، واکنش های متفاوتی از سوی کارشناسان امنیتی و شرکت های امنیتی به دنبال داشته است.
Edward Snowden، افشاگر افکار گفت: “FBI در حال نفوذ به رایانه های آمریکایی برای حذف بدافزار است – و قانون را برای این کار نقض می کند.” کارشناسان به SecurityWeek گفتند که این اقدام یک سابقه خطرناک برای مجوز گسترده ورود به دستگاه های اجرای قانون برای نفوذ به رایانه هایی است که مشکوک به خطر انداختن است. با این حال، کارشناسانی نیز وجود دارند که با این اقدام FBI موافق هستند، زیرا از شرکت هایی که احتمالاً هیچ پیش زمینه فنی خوبی ندارند محافظت می کند.
سودمندی مشکوک
یک محقق امنیتی با نام مستعار Grugq در واکنشی اظهار داشت که سرورهای Exchange آلوده که پاک شده اند احتمالاً دوباره به خطر می افتند.
همچنین سوالات قانونی در مورد روش مورد استفاده وجود دارد. Kurt Opsahl از جنبش حقوق مدنی ایالات متحده EFF به واشنگتن پست می گوید: “این حکم ابزاری بسیار قدرتمند و بالقوه خطرناک است که به دولت اجازه می دهد به کامپیوترهای افراد بی گناه دسترسی پیدا کند تا پرونده ها را بدون اطلاع قبلی پاک کند.”
اگرچه بسیاری از تردیدها در مورد منطقی بودن این اقدام در این مورد وجود دارد، اما خبر خوب این است که حداقل FBI به همه دارندگان و سرورهایی که پوسته های وب را از آنها حذف کرده است، اطلاع می دهد. اگر اطلاعات تماس عمومی باشد، سرویس تحقیقات ایالات متحده ایمیل ارسال کرد. اگر اطلاعات تماس مشخص نیست، FBI به ارائه دهنده مالک مربوطه اطلاع داد و وی به نوبه خود به مشتری آلوده و تمیز شده هشدار داد. این سوالات همچنان باقی است که آیا اقدامی مانند این در اتحادیه اروپا امکان پذیر بوده است؟
البته اگرچه پوسته های وب با موفقیت حذف شده اند، اما آسیب پذیری های اساسی در سرور Exchange اصلاح نشده است. همچنین ممکن است بدافزارهای دیگر همچنان بر روی سیستم وجود داشته باشند. شرکت ها قطعاً باید دوبار سرورهای خود را از نظر بدافزار بررسی کنند. این واقعیت که FBI یک مورد خاص را از سیستم در معرض خطر حذف کرده است، یک بهداشت سالم برای دستگاه مورد نظر محسوب نمی شود.
معضلی اخلاقی
این ماجرا یک سوال ناراحت کننده را باقی می گذارد، که به گفته آقای Opsahl برمی گردد: اگر مجوز قانون اجازه ورود به سیستم و ایجاد تغییر در سیستم را دارد، آیا این گزینه بسیاری از گزینه های نامطلوب را باز نمی کند؟ آیا این می تواند سابقه صدور کارت سفارشی برای هر یک از محققان را داشته باشد تا فقط بروند و مدارک احتمالی را به روشی “بدون منع قانونی” جمع آوری کنند، حتی اگر جرمی مرتکب نشده باشد؟ یا بدتر، به طور پنهانی شواهد را در آنجا کاشت؟ این یک مسیر خطرناک برای پایین رفتن است. پتانسیل زیادی برای خسارت جبران ناپذیر وجود دارد، نه تنها به اطلاعاتی که شرکت ها اداره می کنند و به آنها سپرده شده اند، بلکه همچنین اعتماد مردم به مقامات است، که برای شروع در برخی از مناطق عالی نیست.
این حرکت به جلو نمی توانست زمان بدتری داشته باشد. آلمان، همیشه یک مدافع سرسخت حریم خصوصی، به تازگی قانون جدیدی را در کشور سبز روشن کرده است که ارائه دهندگان را مجبور به کمک به اجرای قانون در کاشت نرم افزار نظارت بر دستگاه های مظنون می کند، حتی اگر هیچ جرمی مرتکب نشده باشد (هنوز). تمام انتقادات مخالف و بنیادین ساقط شد، پیش نویس ها فقط با چند روز بررسی و بازخورد ارائه شد. این بدون شک اثر سیگنالینگ خواهد داشت.
برای دریافت نسخه آزمایشی اینجا کلیک کنید
منبع: G Data