جمعه ۱۰ فروردين ۱۴۰۳ , 29 Mar 2024
جالب است ۰
جوابیه مرکز ماهر به انتقاد درباره توصیه‌های اخیر این مرکز

ایمیل‌سرورهای سراسر کشور در پیاده‌سازی و نرم‌افزار تنوع دارند

مرکز ماهر در واکنش به نقدی درباره هشدار جدی این مرکز درباره حملات سایبری گسترده علیه ایمیل‌های سازمانی جوابیه‌ای منتشر کرد.
مرکز ماهر در واکنش به نقدی درباره هشدار جدی این مرکز درباره حملات سایبری گسترده علیه ایمیل‌های سازمانی جوابیه‌ای منتشر کرد.
 
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، روز گذشته مرکز ماهر در خبری نسبت به حملاتی علیه سرویس‌دهنده‌های ایمیل سازمانی هشدار جدی داد. در واکنش به این موضوع نقدی در برخی رسانه‌ها و شبکه‌های اجتماعی صورت گرفت که پاسخی را از سوی مرکز ماهر به همراه داشت. متن این جوابیه بدین شرح است:

«ضمن تشکر از بررسی و نقد صورت گرفته،‌ نکات زیر به استحضار مخاطبان محترم می‌رسد:
ایمیل سرورهای مورد استفاده در سطح سازمان‌ها و شرکت‌ها در کشور از نظر نرم‌افزار و نحوه پیاده سازی بسیار متنوع هستند و نمی توان به‌سادگی ادعا نمود که ((اکثر)) سرویس دهنده‌ها متصل به active directory یا directory service های دیگر هستند.

در اطلاعیه منتشر شده اشاره‌ای به جزییات و چگونگی پیاده سازی قابلیت Lockout نشده است. در توصیه ارائه شده نیز منظور مسدود سازی دسترسی از طریق حساب ایمیل است. بدیهی است مدیران سیستم لازم است تنظیمات و توصیه‌های دریافتی را مطابق با نیازمندی‌ها و شرایط زیرساخت خود به‌کار ببندند.

متاسفانه همه سرویس دهنده‌های ایمیل مورد استفاده، قابلیت شناسایی و مسدودسازی آدرس های با تلاش ناموفق را ندارند. علاوه بر این با توجه به دسترسی مهاجمان به شبکه‌های بزرگ بات و IPهای متعدد با سوءاستفاده از این ظرفیت مهاجم می تواند حمله brute force خود را با آدرس های متعدد ادامه دهد.

در هر صورت بدون شک تمام کاربران ترجیح خواهند داد حساب کاربری آنها در صورت وقوع حمله موقتا مسدود شود تا اینکه مورد نفوذ و سوءاستفاده‌ مهاجم قرار گیرد.»

 انتقادی که نسبت هشدار مرکز ماهر شده‌بود (به نقل از علی کیایی فر- کانال پینگ) بدین شرح است:
«مرکز ماهر اخیرا اطلاعیه را با عنوان هشدار فوری منتشر کرده است و در آن گفته است که حملات به سمت سرویس دهنده‌های ایمیل سازمانی افزایش شدیدی داشته است و این حملات در قالب brute force بر روی رمز عبور از طریق پروتکل‌های imap و pop۳ و نیز حمله DOS‌ از طریق ارسال دستورات پی‌درپی imap و pop۳ صورت می‌گیرد.

در ادامه مرکز ماهر اکیدا توصیه کرده است که: «لازم است سیاست مسدودسازی حساب کاربری در صورت چندین بار تلاش با رمز عبور ناموفق (account lockout) فعال باشد.»

بر این اطلاعیه یک نقد بسیار جدی وارد است: امروزه اکثر Mail Serverهای سازمانی دارای اکانت جداگانه برای کاربران نیستند و از Active Directory سازمان برای Authentication استفاده می کنند. چنین سازمانهایی اگر به توصیه مرکز ماهر عمل کنند یک اتفاق خیلی بد در شبکه آنها رخ میدهد! کافیست یک نفر از بیرون سازمان چندبار تلاش کند با نام کاربری مدیرعامل سازمان به صفحه Email سازمان Login کند. اکانت مدیرعامل در اکتیودایرکتوری Lock خواهد شد! در نتیجه مدیرعامل نه تنها به کامپیوتر خودش هم نمی تواند Login کند بلکه به هیچکدام از سیستمهای نرم افزاری متصل به Active Directory نیز نمی تواند وصل شود!

به این ترتیب با عمل به این توصیه مرکز ماهر، یک فرد از بیرون سازمان می تواند به راحتی اختلالات سنگینی را در شبکه سازمان ایجاد کند.

راه حل درست این مساله برخلاف توصیه مرکز ماهر استفاده از قابلیت Account Lockout نیست. بلکه Mail Server سازمان باید بصورت Dynamic همه IPهایی را که تلاش متعدد Login ناموفق دارند بصورت اتوماتیک مسدود کند. امروزه اکثر Mail Serverها قابلیت مسدود سازی چنین IPهایی را دارند و چنین حملاتی را روزانه شناسایی و خنثی می کنند.
در شکل زیر قابلیت Dynamic Screen برای مسدود سازی IP های مشکوک را در Mdaemon Mail Server مشاهده می کنید.

این مطلب صرفا یک نقد فنی است و قصد زیرسئوال بردن تلاشهای مرکز ماهر را نداریم. اما مرکز ماهر اگر میخواهد به عنوان یک مرجع امنیتی مورد اطمینان و مقبول جامعه امنیت کشور قرار بگیرد نباید از این خطاهای فاحش داشته باشد.»
کد مطلب : 14101
https://aftana.ir/vdcgqq9q.ak9tz4prra.html
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی