جزئیات کشف مهمترین باگ امنیتی سیستم بانکی؛ شناسایی ۲۳۰ آسیب در ۳ روز

تریبون اقتصاد- در چهار روز رقابت‌های هکر‌های کلاه سفید اهداف برای شناسایی آسیب‌های سامانه‌های دو بانک، یک شرکت بیمه‌ای و چندین شرکت بخش خصوص تعریف شد و تیم‌های حاضر علاوه بر شناسایی ۲۳۰ آسیب موفق به کشف مهمترین آسیب در سامانه یکی از بانک‌های کشور شدند.

به گزارش ایسنا، امنیت سایبری به معنای محافظت از سیستم‌های متصل به اینترنت شامل سخت‌افزار، نرم‌افزار و داده‌ها در برابر تهدیدات دیجیتال است. این روش هم توسط افراد و هم توسط سازمان‌ها برای جلوگیری از نفوذ غیرمجاز به پایگاه‌های داده و سایر سیستم‌های دیجیتال مورد استفاده قرار می‌گیرد.

حملات هکر‌ها یکی از مهم‌ترین تهدیداتی است که معمولاً برای نفوذ، اصلاح، پاک کردن، تخریب یا باج‌گیری سیستم‌ها و داده‌های محرمانه کاربر یا سازمان طراحی شده‌اند. یکی از روش‌هایی که برای کنترل و خنثی کردن حملات هکر‌ها می‌تواند استفاده شود، بکارگیری رویکرد‌های تدافعی در امنیت سایبری است.

از این رو همگام با تحول فناوری، انواع تهدیدات مختلف و جدیدی در حوزه امنیت سایبری به وجود می‌آیند و یا به شکل پیشرفته‌تری تبدیل می‌شوند. در حال حاضر تهدیدات امنیتی مختلفی وجود دارد که شامل این موارد می‌شود:

بدافزار‌ها (Malware) دسته‌ای از نرم‌افزار‌های مضر هستند که در آن هر فایل یا برنامه‌ای می‌تواند برای آسیب رساندن به کاربر کامپیوتر به سلاحی خطرناک تبدیل شود. این شامل انواع مختلفی از بدافزار‌ها مانند کرم‌ها، ویروس‌ها، تروجان‌ها و جاسوس‌افزار‌ها است.

باج‌افزار‌ها (Ransomware) نوعی بدافزار هستند که در آن یک مهاجم یا به اصطلاح یک هکر، فایل‌های سیستم کامپیوتری شخص یا سازمان قربانی را معمولاً از طرق مختلفی رمزگذاری می‌کند و به دنبال آن در ازای رمزگشایی و انتشار این فایل‌ها، از کاربر باج‌خواهی می‌کند.

مهندسی اجتماعی (Social Engineering) نوعی روش حمله است که بر تعامل انسان با انسان متکی است و کاربران را فریب می‌دهد تا با دور زدن پروتکل‌های امنیتی، اطلاعاتی که معمولاً ایمن هستند را بدست آورند.

نوعی مهندسی اجتماعی محسوب می‌شود که شامل ارسال ایمیل‌ها یا پیام‌های متنی جعلی است که به نظر می‌رسد منشأ آن از منابع قانونی باشد. این پیام‌ها معمولاً مخاطبان گسترده‌ای را هدف قرار می‌دهند. هدف این پیام‌ها سرقت اطلاعات حساس مانند جزئیات کارت اعتباری یا اعتبار ورود به سیستم است.

تهدید‌های داخلی مربوط به نقض یا ضرر‌های امنیتی است که توسط عوامل انسانی مانند کارمندان، پیمانکاران یا مشتریان ایجاد می‌شود. این تهدید‌ها می‌توانند مخرب یا غیرعمدی باشند.

حملات مرد میانی

حملات Man-in-the-Middle (MitM) یا حملات مرد میانی، حملات نظارتی هستند که در آن مهاجم، پیام‌ها را بین دو طرف که مستقیماً با یکدیگر در ارتباط هستند، ره‌گیری و ارسال می‌کند.

در این بین امنیت سایبری همواره با مسائلی مانند هکرها، از دست دادن داده‌ها، حریم خصوصی، مدیریت ریسک و تکامل استراتژی‌های امنیت سایبری دست و پنجه نرم می‌کند و هر چند که تعداد حملات سایبری در طول سال‌های آینده رو به فزونی می‌گذارد، ولی چالش‌های کلیدی در امنیت سایبری وجود دارد که مستلزم توجه مداوم هستند.

«سازگاری با تهدیدات در حال تغییر»، «مدیریت حجم داده‌ها»، «کمبود نیروی انسانی متخصص»، «شکاف مهارتی» و «مدیریت حملات زنجیره تأمین و ریسک‌ها» نمونه‌هایی از این چالش‌ها به شمار می‌رود.

یکی از مهم‌ترین موانع در امنیت سایبری، تغییر مستمر چشم‌انداز خطرات امنیتی است. ظهور فناوری‌های جدید و کاربرد‌های بدیع یا متفاوت آنها، راه را برای روش‌های جدید حمله هموار می‌کند. به‌روز ماندن با این تغییرات و پیشرفت‌های مکرر در حملات و اقدامات حفاظتی، کاری اساسی و در حین حال سخت محسوب می‌شود. 

این انگیزه‌ای شد تا در اولین المپیک فناوری ۲۰۲۴، بخش امنیت سایبری بدون هیچ محدودیتی در برگزاری و یا پذیرش تیم‌ها مورد توجه قرار گیرد و منطقه بین‌المللی نوآوری ایران اولین مکانی برای گردهمایی شکارچیان کلاه سفید باشد تا در زیر یک سقف جمع شوند و آسیب‌های برخی از سامانه‌های خدمت‌رسان را شناسایی و کشف کنند.

بر این اساس از روز سه‌شنبه اول آبان لیگ امنیت سایبری در دو بخش «هک سخت افزاری» و «باگ بانتی» برگزار شد و روز گذشته، جمعه ۴ آبان به کار خود پایان داد.

رقابت سایبری از مرحله انتخابی تا فینال

مجتبی مصطفوی، دبیر لیگ امنیت سایبری المپیک فناوری با بیان اینکه روز گذشته جمعه ۴ آبان رقابت هک سخت‌افزاری را برگزار کردیم، گفت: این آخرین رقابت رویداد المپیک سایبری بود و تیم‌های برتر مشخص شدند.

وی ادامه داد: در کنار این رقابت، مسابقه کشف آسیب پذیری یا باگ بانتی را برگزار کردیم که در مدت ۴ روز بیش از ۲۳۰ حفره امنیتی از سامانه‌های مختلف شناسایی و گزارش شده است.

مصطفوی برگزاری همایشی روز دوشنبه، ۷ آبان با عنوان «همایش ملی هکر‌های دوست داشتنی» را از دیگر بخش‌های این رویداد دانست و اظهار کرد: در این رویداد ارائه‌های فنی را از سوی متخصصان داخلی و همچنین متخصصانی از کشور روسیه خواهیم داشت.

دبیر لیگ امنیت سایبری در خصوص رده بندی تیم‌ها توضیح داد: در بخش رقابت مقدماتی این لیگ ۴۰۰ تیم شرکت کردند و از میان آنها ۱۰ تیم برای حضور در رقابت «حمله و دفاع» و ۱۰ تیم نیز برای حضور در رقابت‌های «هک سخت افزاری» انتخاب شدند.

مصطفوی خاطر نشان کرد: در فینال رقابت «حمله و دفاع» که روز پنج شنبه ۳ آبان به کار خود پایان داد، تیم‌هایی که به زیر ساخت‌های دیگر تیم‌ها حمله می‌کردند، امتیاز مثبت دریافت می‌کردند و هر تیمی که به زیر ساختش حمله موفق صورت می‌گرفت، امتیاز منفی دریافت می‌کرد و مجموع امتیازات منفی و مثبت هر تیم محاسبه و امتیاز نهایی آنها مشخص می‌شد.

به گفته وی بر این اساس ۳ تیم در رقابت حمله و دفاع و ۳ تیم در بخش هک سخت افزاری انتخاب شدند که در اختتامیه المپیک فناوری معرفی می‌شوند و جوایزی دریافت خواهند کرد.

مصطفوی با اشاره به جزئیات لیگ هک سخت‌افزاری گفت: در این لیگ تیم‌ها برای هک سخت افزار‌هایی مانند کارت‌های هوشمند که برای تردد استفاده می‌شوند، برد‌های الکترونیکی، تجهیزات IOT و ... با یکدیگر به رقابت پرداختند. این لیگ یک روزه بود که روز جمعه برگزار شد و تا پایان رقابت‌های روز گذشته ادامه داشت. تیم‌ها بر اساس میزان چالش‌هایی که حل کردند امتیاز دریافت می‌کردند و در نهایت تیم‌های اول تا سوم انتخاب شدند.

گفتنی است، یکی از بخش‌های هیجان انگیز این رقابت کشف باگ‌ها و آسیب‌های سامانه‌ها بود. این سامانه‌ها به درخواست برخی از شرکت‌ها و دو بانک و یک شرکت بیمه‌ای برای بررسی آسیب‌پذیری‌ها به این لیگ معرفی شدند و تیم‌های هکری کلاه سفید باید در طی روز‌های برگزاری اقدام به کشف و شناسایی این آسیب‌ها و ارائه گزارش به داوران می‌کردند.

یکی از تیم‌های شکارچی موفق به کشف بزرگترین باگ سامانه یکی از بانک‌ها شد.

یکی از اعضای این تیم کلاه سفید در خصوص این کشف، گفت: آسیبی که ما موفق به شناسایی آن شدیم، باگی است که مهاجم می‌تواند لینکی را آماده و به کاربری که وارد حساب خود می‌شود، ارسال و آن کاربر را قربانی کند، چون با یک کلیک کاربر بر روی آن، کل حساب فرد برای مهاجم ارسال خواهد شد.

وی تاکید کرد: این بانک برای جلوگیری از حملات و ارتقای امنیت سامانه خود نیاز دارد تا فیچر خود را به گونه دیگری برنامه‌ریزی کند تا تایید کاربر را بخواهد و بدون تایید کاربر نباشد.

نیما غلامی، کوچکترین شکارچی رقابت باگ بانتی لیگ امنیت سایبری المپیک است که در این رقابت شرکت کرده و موفق به شناسایی برخی از باگ‌ها شده بود.

وی که دانش‌آموز رشته کامپیوتر است، اظهار کرد: من از ۱۴ سالگی شروع به شناسایی باگ‌ها کردم و تاکنون توانسته‌ام باگ دو سایت خارجی را شناسایی و گزارش آن را ارسال کنم.