مرکز ماهر در واکنش به نقدی درباره هشدار جدی این مرکز درباره حملات سایبری گسترده علیه ایمیلهای سازمانی جوابیهای منتشر کرد.
مرکز ماهر در واکنش به نقدی درباره هشدار جدی این مرکز درباره حملات سایبری گسترده علیه ایمیلهای سازمانی جوابیهای منتشر کرد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، روز گذشته مرکز ماهر در خبری نسبت به حملاتی علیه سرویسدهندههای ایمیل سازمانی هشدار جدی داد. در واکنش به این موضوع نقدی در برخی رسانهها و شبکههای اجتماعی صورت گرفت که پاسخی را از سوی مرکز ماهر به همراه داشت. متن این جوابیه بدین شرح است:
«ضمن تشکر از بررسی و نقد صورت گرفته، نکات زیر به استحضار مخاطبان محترم میرسد: ایمیل سرورهای مورد استفاده در سطح سازمانها و شرکتها در کشور از نظر نرمافزار و نحوه پیاده سازی بسیار متنوع هستند و نمی توان بهسادگی ادعا نمود که ((اکثر)) سرویس دهندهها متصل به active directory یا directory service های دیگر هستند.
در اطلاعیه منتشر شده اشارهای به جزییات و چگونگی پیاده سازی قابلیت Lockout نشده است. در توصیه ارائه شده نیز منظور مسدود سازی دسترسی از طریق حساب ایمیل است. بدیهی است مدیران سیستم لازم است تنظیمات و توصیههای دریافتی را مطابق با نیازمندیها و شرایط زیرساخت خود بهکار ببندند.
متاسفانه همه سرویس دهندههای ایمیل مورد استفاده، قابلیت شناسایی و مسدودسازی آدرس های با تلاش ناموفق را ندارند. علاوه بر این با توجه به دسترسی مهاجمان به شبکههای بزرگ بات و IPهای متعدد با سوءاستفاده از این ظرفیت مهاجم می تواند حمله brute force خود را با آدرس های متعدد ادامه دهد.
در هر صورت بدون شک تمام کاربران ترجیح خواهند داد حساب کاربری آنها در صورت وقوع حمله موقتا مسدود شود تا اینکه مورد نفوذ و سوءاستفاده مهاجم قرار گیرد.»
انتقادی که نسبت هشدار مرکز ماهر شدهبود (به نقل از علی کیایی فر- کانال پینگ) بدین شرح است: «مرکز ماهر اخیرا اطلاعیه را با عنوان هشدار فوری منتشر کرده است و در آن گفته است که حملات به سمت سرویس دهندههای ایمیل سازمانی افزایش شدیدی داشته است و این حملات در قالب brute force بر روی رمز عبور از طریق پروتکلهای imap و pop۳ و نیز حمله DOS از طریق ارسال دستورات پیدرپی imap و pop۳ صورت میگیرد.
در ادامه مرکز ماهر اکیدا توصیه کرده است که: «لازم است سیاست مسدودسازی حساب کاربری در صورت چندین بار تلاش با رمز عبور ناموفق (account lockout) فعال باشد.»
بر این اطلاعیه یک نقد بسیار جدی وارد است: امروزه اکثر Mail Serverهای سازمانی دارای اکانت جداگانه برای کاربران نیستند و از Active Directory سازمان برای Authentication استفاده می کنند. چنین سازمانهایی اگر به توصیه مرکز ماهر عمل کنند یک اتفاق خیلی بد در شبکه آنها رخ میدهد! کافیست یک نفر از بیرون سازمان چندبار تلاش کند با نام کاربری مدیرعامل سازمان به صفحه Email سازمان Login کند. اکانت مدیرعامل در اکتیودایرکتوری Lock خواهد شد! در نتیجه مدیرعامل نه تنها به کامپیوتر خودش هم نمی تواند Login کند بلکه به هیچکدام از سیستمهای نرم افزاری متصل به Active Directory نیز نمی تواند وصل شود!
به این ترتیب با عمل به این توصیه مرکز ماهر، یک فرد از بیرون سازمان می تواند به راحتی اختلالات سنگینی را در شبکه سازمان ایجاد کند.
راه حل درست این مساله برخلاف توصیه مرکز ماهر استفاده از قابلیت Account Lockout نیست. بلکه Mail Server سازمان باید بصورت Dynamic همه IPهایی را که تلاش متعدد Login ناموفق دارند بصورت اتوماتیک مسدود کند. امروزه اکثر Mail Serverها قابلیت مسدود سازی چنین IPهایی را دارند و چنین حملاتی را روزانه شناسایی و خنثی می کنند. در شکل زیر قابلیت Dynamic Screen برای مسدود سازی IP های مشکوک را در Mdaemon Mail Server مشاهده می کنید.
این مطلب صرفا یک نقد فنی است و قصد زیرسئوال بردن تلاشهای مرکز ماهر را نداریم. اما مرکز ماهر اگر میخواهد به عنوان یک مرجع امنیتی مورد اطمینان و مقبول جامعه امنیت کشور قرار بگیرد نباید از این خطاهای فاحش داشته باشد.»