تغطية مؤتمر RSA 2012 في أمريكا

مؤتمر RSA هو أحد اشهر المؤتمرات الأمنية حيث يحضره آلاف الخبراء الأمنيين من شتى أنحاء العالم، وتعرض فيه الشركات آخر التقنيات الأمنية. كان لمجتمع الحماية العربي تواجد في هذا المؤتمر نغطي جانباً منه في هذه المقالة.

المعرض

الملاحظ في أغلب المعروض هو تقنيات الجيل القادم Next Gen سواء كان للجدر النارية، او نظم ضبط المتسللين، وغيرها. ولكن لا يوجد حقيقة تطور يستحق الذكر في هذه التقنيات سوى اثنان سأتطرق لهما لاحقاً. الامر الآخر الذي كان ملاحظاً في المعروضات هي التقنيات التي تستهدف ما يعرف بال Big Data أو البيانات الضخمة. وهنا في اغلبها هي نظم تقوم بتخزين كم هائل من البيانات والبحث عن علاقات داخل هذه البيانات بغرض تحليلها سواء كان لأغراض تجارية أو أمنية.

التقنيتان اللتان لفتتا انتباهي Mykonos Deception من شركة Mykonos Software والتي استحوذت عليها مؤخراً شركة Juniper. و Kona Site Defender من شركة Akamai المختصة في نقل المحتوى.

ما هو Mykonos Deception؟

هذه التقنية وكما تسوقها الشركة المنتجة بأنها تقنية كشف المتسللين والمهاجمين بدون False Positive. قد يسأل المرء كيف يمكن لشركة أن تتدعي أن منتجتها يخلو من اخطاء في الكشف عن المتسللين. الإجابة عن هذا التساؤل تتأتي من خلال معرفة كيف تعمل هذه التقنية.

يمكن للشركات التي تستخدم هذه التقنية تثبيتها بسهولة داخل حدود شبكاتها. أما طريقة العمل فتقوم على حقن حقول ادخال في الغالب مخفية  تظهر لمن يقوم بمشاهدة الكود المصدري للصحفة.  المستخدم العادي للموقع يقوم بإدخال بياناته في المربعات الظاهرة. في حين ان المهاجم سيقوم بمحاولة ادخال بيانات في جميع المربعات من أجل اكتشاف ثغرة في الكود المصدري للاستغلالها. إذا قام المهاجم (وفي الغالب هذا الذي سيحصل) بوضع بيانات في احد المربعات التي يقوم Mykonos بادخالها سيقوم النظام بمراقبة كل ما يقوم به هذا الشخص (عبر عدة وسائل أحدها عنوانه على الانترنت)، ارسال تحذير الى مدير الموقع، وفي حال تكرار المحاولة يقوم النظام بتحديد سرعة اتصال المهاجم بالموقع، او اظهار رسائل التحقق Captcha، أو حجبه إلخ.

كذلك يمكن للنظام عبر الحقول المدخلة ونوع المحاولة، من تصنيف المهاجم كScript Kiddie أو مهاجم متوسط او خطير.

سنتابع ان شاء الله هذه التقنية في المستقبل حتى نرى مدى نجاحها في التصدّي للمهاجمين.

Kona Site Defender

التقنية الأخرى كانت متميزة هي التي قامت بها شركة Akamai لنقل المحتوى. شركة Akamai تقوم بنقل المحتوى للعديد من المواقع الشهيرة والكبيرة كمايكروسوفت وفيسبوك وتوتير وغيرها. شبكات  نقل المحتوى تساعد في تحسين أداء المواقع بشكل كبير، وكذلك تساعد في الحماية من هجمات حجب الخدمة.

Kona Site Defender هو عبارة عن حل امني يساعد المواقع في التصدي لهجمات حجب الخدمة المختلفة. Kona أيضاً يعمل كجدار ناري للويب WAF يقوم بالتصدي لهجمات الويب وحماية الموقع الأصلي منها ويعطي مدير الموقع تغطية حية للهجمات التي يتعرض لها موقعه. الإضافة الأخرى التي كانت مميزة ل Kona هي عبارة عن ما يعرف بال Virtual Patching أو الترقيع الإفتراضي.  شركة Akamai تتعاون مع شركة Whitehat والتي تقوم بعمل مسح للثغرات المواقع للالاف من المواقع ومن ضمنها مواقع كبيرة لشركات عملاقة. نتائج المسح يتم ادخالها في Kona بشكل يومي ويقوم Kona بحماية المواقع من هذه الهجمات.  العديد من الشركات قد لا تستطيع ترقيع الثغرات المكتشفة في مواقعها بشكل فوري، فبعض الثغرات تحتاج الى شهور حتى يتم ترقيعها. باستخدام Kona والترقيع الافتراضي يمكن للشركات حماية مواقعها والعمل على اصلاح هذه الثغرات ضمن فترة زمنية “معقولة” بالنسبة لهذه الشركات.

متفرقات

شركة Sophos قامت بعمل عرض حي لكيفية اصابة فيروسات لحاسوب يعمل بنظام Mac OS X من شركة أبل. هذا الفيروسات على عكس غيره من الفيروسات لن يقوم بلفت انتباه المستخدم كونه لا يطلب من المستخدم ادخال اسم المستخدم وكلمة المرور من أجل تثبيته. فكما تبيين اذا كان البرنامج يتم تثبيته ليعمل في بيئة المستخدم نفسه وليس لجميع المستخدمين فيمكن تثبيته بدون النافذة التي تطلب الموافقة. الفيروسات كان عبارة عن Scareware هو يهدف الى خداع المستخدمين حتى يقوم بشراء البرامج. ولكنه يظهر ارتفاع في البرمجيات الخبيثة التي تستهدف نظام Mac OSX

عرض إصابة Mac OSX بفيروس

الجلسات

كان هناك العديد من الجلسات في المؤتمر ولكن لم يسنح الوقت لتغطيتها. الجلسة التي كانت مميزة بحق هي جلسة  اتجاهات الهجمات الصاعدة في الفترة الأخيرة. وتغطيتنا لها تتم عبر تغطية مواقع أخرى لها.

خدمة أسماء النطاق DNS كمراكز سيطرة وتحكم

البرامج الخبيثة والتي تعتمد على خدمة اسماء النطاق كمصدر للهجوم كان سبب في هجمات أدت الى سرقة مئات الملايين في الحسابات في العام الماضي (2011).  التصدي لهذه الهجمات صعب ومحاولة كشفها تتطلب العديد من المصادر (مثلاً تسجيل كل طلب استعلام لموقع ما). اد سكوديس احد المتكلمين في هذه الجلسة نصح باستخدام اداةDNSCAT بالاضافة الى عمل sniffing بشكل دوري بحثاً عن طلبات DNS غير اعتيادية.

هجمات ال SSL

محور آخر للهجمات الصاعدة هو الهجمات ضد SSL. وهو البرتوكول المستخدم حماية الاتصال بين المستخدم والموقع حيث من خلاله يستطيع المستخدم التأكد من هوية الموقع. الهجمات ضد SSL أخذ عدّة وجوه، فمن هجمات ضد الشركات التي تصدر شهادات SSL مثل شركة DigiNator الهولندية والتي اعلنت افلاسها بعد الهجوم. الى هجوم BEAST والذي يستهدف المستخدمين بشكل عام، الى هجمات حجب الخدمة ضد المواقع عبر SSL. وكما أشار الخبير الامني اد سكوديس فإن من المتوقع حدث زيادة في عدد الهجمات التي تستخدم برامجيات ضارة التي تقوم بحمل شهادات مواقع وتثبيتها على حواسيب الضحايا ومن ثم توجيه الضحايا الى مواقع يسيطر عليها المهاجمون.

البرمجيات الضارة والهواتف النقالة

البرمجيات الضارة في الهواتف المحمولة تقلق الخبراء الامنيين بشكل أو بآخر. بالنسبة لاد سكوديس الخوف ليس من تطبيق يحتوي على بوابة خلفية يتم تثبيته على هاتف الضحية. ولكن الخوف يأتي من الضرر الهائل الذي يمكن ان تتعرض له الشركات وشبكاتها. “اذا استطعت جعلك تقوم بتثبيت برنامج يحتوي على بوابة خلفية، وقمت بالاتصال بالشبكة اللاسلكية للمؤسسة التي تعمل بها، استطيع السيطرة (كمهاجم) على هذه الشبكة” وفقاً لسكوديس.  احد الوسائل التي يمكن ان تساعد في التصدي لمثل هذه الهجمات، هي وجود سياسة للهواتف المحمولة داخل الشركات. على الشركات والقول لسكوديس انشاء عملية تقييم وموافقة على التطبيقات التي يتم بها وتحليل التطبيقات داخل صناديق الرمل (مصطلح يعني تنفيذ التطبيقات في بيئة يمكن للخبراء السيطرة عليها).

الهاكتيفيزم (القرصنة لغاية)

عام 2011 شهد ارتفاع ملحوظ في هجمات مجموعة المجهولين وغيرها من المجموعات لغاية ما سواء أكانت سياسية ام انسانية أم تخريبية ام خلاف ذلك.  على الشركات وفقاً لمدير البحث في معهد سانز الأمني جونز اولريتش لحماية نفسها من هكذا هجمات تطبيقات الأساسيات الامنية في الحماية.

SCADA

انظمة SCADA هي انظمة تتحكم في العديد من التطبيقات التقنية سواء كانت للتحكم بالمنازل أو المفاعلات النووية. الهجمات ضدها في ارتفاع مستمر وهي تشكل خطورة حقيقية على امن الشركات والافراد وحتى الدول.

الأمن السحابي

مع انتشار التطبيقات السحابية مثل امازون و dropbox و تطبيقات غوغل وغيرها يزداد التهديد الامني التي تمثله هذه التقنية. فبيئات الاستضافة المتشاركة تجعل عملية حماية وعزل هذه التطبيقات أصعب فأصعب.