جزئیات شناسایی بزرگ‌ترین نقص امنیتی در سیستم‌های بانکی/شناسایی ۲۳۰ آسیب‌پذیری در ۳ روز

، امنیت سایبری به معنای حفاظت از سیستم‌های متصل به اینترنت، شامل سخت‌افزار، نرم‌افزار و اطلاعات در برابر تهدیدات دیجیتالی است. این شیوه هم از سوی افراد و هم سازمان‌ها به منظور جلوگیری از نفوذ غیرمجاز به پایگاه‌های داده و دیگر سیستم‌های دیجیتالی به کار می‌رود.

حملات هکرها یکی از اصلی‌ترین تهدیداتی است که معمولاً برای نفوذ، تغییر، حذف، تخریب یا باج‌خواهی از سیستم‌ها و داده‌های حساس کاربران یا سازمان‌ها طراحی می‌شود. یکی از روش‌های مقابله و خنثی‌سازی این حملات، به کارگیری استراتژی‌های دفاعی در زمینه امنیت سایبری است.

بنابراین با پیشرفت‌های فناوری، انواع متنوع و نوین تهدیدات در حوزه امنیت سایبری به وجود می‌آید یا به شکل پیچیده‌تری شگل می‌گیرد. هم اکنون تهدیدات امنیتی متنوعی وجود دارد که میتوان به موارد زیر اشاره کرد:

بدافزارها

بدافزارها (Malware) شامل نرم‌افزارهای مضر هستند که در آنها هر فایل یا برنامه قادر است به ابزاری خطرناک برای آسیب رساندن به کاربران رایانه تبدیل شود. این گروه شامل انواع مختلفی از بدافزارها نظیر کرم‌ها، ویروس‌ها، تروجان‌ها و جاسوس‌افزارها می‌باشد.

باج افزارها

باج افزارها (Ransomware) نوع خاصی از بدافزار محور هستند که در آن یک مهاجم، یا به عبارتی یک هکر، فایل‌های سیستم رایانه‌ای شخص یا سازمان هدف را معمولاً با بهره‌گیری از روش‌های مختلف رمزگذاری کرده و سپس در قبال رمزگشایی و بازیابی این فایل‌ها، از کاربر استفاده می‌کند.

مهندسی اجتماعی

مهندسی اجتماعی (Social Engineering) روشی است که بر تعاملات انسانی متکی بوده و کاربران را فریب می‌دهد تا از طریق دور زدن پروتکل‌های امنیتی، اطلاعاتی که معمولاً محافظت شده‌اند را به دست آورند.

فیشینگ

نوعی مهندسی اجتماعی محسوب می‌شود که شامل ارسال ایمیل‌ها یا پیام‌های متنی جعلی است که به نظر می‌رسد از منابع قانونی باشند. این پیام‌ها عموماً گروه‌های وسیعی از مخاطبان را نشانه می‌گیرند. هدف از ارسال این پیام‌ها سرقت اطلاعات حساس مانند جزئیات کارت اعتباری یا اطلاعات ورود به حساب‌ها است.

تهدیدهای داخلی

تهدیدهای داخلی به نقض یا آسیب‌های امنیتی ناشی از اقدامات انسانی چون کارمندان، پیمانکاران یا مشتریان اشاره دارد. این گونه تهدیدها می‌توانند به صورت مخرب یا غیرعمدی بروز کنند.

حملات مرد میانی

حملات Man-in-the-Middle (MitM) یا حملات مرد میانی، حملات نظارتی محسوب می‌شوند که در آن مهاجم، ارتباطات میان دو طرف را که مستقیماً در حال تعامل هستند، رصد و ارسال می‌کند.

در همین راستا امنیت سایبری دائماً با مسائلی نظیر هکرها، از بین رفتن داده‌ها، حریم خصوصی، مدیریت ریسک و تکامل استراتژی‌های امنیتی مواجه است و در حالی که تعداد حملات سایبری در سال‌های آتی رو به افزایش است، چالش‌های کلیدی در حوزه امنیت سایبری وجود دارد که نیازمند توجه مداوم هستند.

نمونه‌هایی از این چالش‌ها شامل «سازگاری با تهدیدات در حال تغییر»، «مدیریت حجم داده‌ها»، «کمبود نیروی انسانی متخصص»، «شکاف مهارتی» و «مدیریت حملات زنجیره تأمین و ریسک‌ها» می‌باشد.

یکی از اصلی‌ترین موانع در امنیت سایبری، تغییر مداوم landscape خطرات امنیتی است. ظهور فناوری‌های نوین و کاربردهای متفاوت یا جالب آنها، راه را برای روش‌های جدید حمله هموار می‌سازد. آگاهی از این تحولات و پیشرفت‌های متناوب در حملات و تدابیر حفاظتی، وظیفه‌ای اساسی و چالش‌برانگیز به شمار می‌آید.

این وضعیت به عنوان انگیزه‌ای برای برگزاری اولین المپیک فناوری ۲۰۲۴ در بخش امنیت سایبری بدون هیچ محدودیتی در برگزاری و یا پذیرش تیم‌ها به حساب آمد و منطقه بین‌المللی نوآوری ایران به مکانی برای تجمع شکارچیان کلاه سفید تبدیل شد تا تحت یک سقف، آسیب‌های برخی از سامانه‌های خدمات‌رسان را شناسایی و ارائه دهند.

به همین دلیل از روز سه‌شنبه اول آبان، لیگ امنیت سایبری در دو بخش «هک سخت افزاری» و «باگ بانتی» آغاز گردید و روز گذشته، جمعه چهارم آبان، به پایان رسید.

مرحله انتخابی تا فینال رقابت سایبری

مجتبی مصطفوی، دبیر لیگ امنیت سایبری المپیک فناوری بیان کرد: روز گذشته جمعه چهارم آبان، رقابت هک سخت‌افزاری را برگزار کردیم و این آخرین مسابقه این رویداد سایبری بود که در آن تیم‌های برتر شناسایی شدند.

او افزود: همزمان با این رقابت، مسابقه کشف آسیب‌پذیری یا باگ بانتی هم برگزار شد که در طی چهار روز بیش از ۲۳۰ حفره امنیتی از سیستم‌های مختلف شناسایی و گزارش گردید.

مصطفوی ادامه داد: برگزاری همایشی تحت عنوان «همایش ملی هکرهای دوست‌داشتنی» در روز دوشنبه، هفتم آبان از دیگر بخش‌های مهم این رویداد خواهد بود و در این همایش، ارائه‌های فنی از جانب متخصصان داخلی و همچنین کارشناسانی از کشور روسیه داشته خواهیم داشت.

رده‌بندی‌های تیمی

دبیر لیگ امنیت سایبری در خصوص ترتیب تیم‌ها توضیح داد: در مرحله مقدماتی این لیگ، ۴۰۰ تیم شرکت داشته و از میان آنها ۱۰ تیم برای ورود به رقابت «حمله و دفاع» و ۱۰ تیم نیز برای شرکت در مسابقات «هک سخت‌افزاری» انتخاب شدند.

مصطفوی خاطرنشان کرد: در فینال رقابت «حمله و دفاع» که در روز پنج‌شنبه سوم آبان به پایان رسید، تیم‌هایی که به زیرساخت‌های سایر تیم‌ها حمله می‌کردند، امتیاز مثبت دریافت می‌کردند و هر تیمی که مورد حمله موفق قرار می‌گرفت، امتیاز منفی کسب می‌کرد و در نهایت مجموع امتیازات منفی و مثبت هر تیم محاسبه و نمره نهایی‌ آنان مشخص می‌شد.

بر اساس این نتایج، سه تیم در هر یک از دو بخش رقابت حمله و دفاع و هک سخت‌افزاری انتخاب شدند که در اختتامیه المپیک فناوری معرفی و جوایزی به آنان اهدا خواهد شد.

مصطفوی در ادامه به توضیحات مرتبط با لیگ هک سخت‌افزاری اشاره کرد و گفت: در این لیگ، تیم‌ها برای هک سخت‌افزارهایی نظیر کارت‌های هوشمند که برای تردد به کار می‌روند، بردهای الکترونیکی، تجهیزات IOT و غیره با یکدیگر در رقابت بودند. این لیگ تنها در یک روز، یعنی روز جمعه برگزار گردید و پس از پایان رقابت‌ها، تیم‌ها برحسب مشکلاتی که حل کرده بودند امتیاز دریافت کردند و در نهایت از میان آنان نفرات اول تا سوم انتخاب شدند.

کشف بزرگترین آسیب سیستم بانکی

یکی از بخش‌های هیجان‌انگیز این رقابت، شناسایی باگ‌ها و آسیب‌های موجود در سامانه‌ها بود. این سامانه‌ها به درخواست برخی از شرکت‌ها، دو بانک و یک شرکت بیمه جهت بررسی آسیب‌های احتمالی به این لیگ معرفی شدند و تیم‌های هکری کلاه سفید موظف بودند در طول روزهای برگزاری اقدام به کشف و شناسایی این آسیب‌ها کرده و گزارش مربوطه را به داوران ارائه دهند.

یکی از تیم‌های شکارچی موفق به شناسایی بزرگترین باگ یکی از بانک‌ها شد.

یکی از اعضای این تیم کلاه سفید در مورد این کشف به ایسنا گفت: آسیب شناسایی شده، این قابلیت را دارد که مهاجم لینکی را آماده کند و آن را برای کاربری که به حساب خود وارد می‌شود، ارسال کند و با یک کلیک کاربر بر روی آن، تمامی اطلاعات حساب فرد به مهاجم منتقل می‌شود.

وی تأکید کرد: این بانک باید به منظور پیشگیری از حملات و بهبود امنیت سیستم خود، ویژگی‌اش را به شیوه‌ای متفاوت برنامه‌ریزی کند تا احراز هویت کاربر الزامی باشد و فقط با تأیید کاربر اقدام گردد.

کوچکترین شکارچی با ۱۶ سال سن

نیما غلامی، جوان‌ترین شکارچی حاضر در رقابت باگ بانتی لیگ امنیت سایبری المپیک است که در این دوره از مسابقات شرکت کرده و موفق به شناسایی برخی باگ‌ها گردیده است.

او که دانش‌آموز رشته کامپیوتر است، در گفت‌وگویی با ایسنا بیان کرد: من از سن ۱۴ سالگی شروع به کشف باگ‌ها کردم و تا کنون توانسته‌ام باگ دو سایت خارجی را شناسایی کرده و گزارش آن را ارسال کنم.