- 09121990309 - 01343449625
- منطقه آزاد انزلی، مجتمع ستاره شمال، شماره 2218
پیکربندی اشتباه سیستم (System Misconfiguration)
کریس ویکری، محقق امنیتی مشهور، کشف شگفت انگیزی را فاش کرد: او یک پایگاه داده عمومی حاوی اطلاعات شخصی تقریباً 200 میلیون رای دهنده آمریکایی را کشف کرده بود. به نظر می رسد، یک شرکت داده محافظه کار اطلاعات رای دهندگان را در سرور آمازون S3 میزبانی کرده بود، اما با انجام این کار، پیکربندی را کاملاً به هم ریخت. برخی از دادههای روی سرور محافظت شده بود، اما بیش از یک ترابایت اطلاعات رایدهندگان به صورت عمومی برای هر کسی در وب قابل دسترسی بود.
آنچه باید بدانید:
پیکربندی نادرست امنیتی یک مشکل گسترده است که می تواند سازمان ها را به دلیل پیکربندی نادرست کنترل های امنیتی (یا عدم وجود آنها) در معرض خطر قرار دهد. این می تواند تقریباً در هر سطحی از پشته فناوری اطلاعات و امنیت رخ دهد، از شبکه بی سیم شرکت گرفته تا برنامه های کاربردی وب و سرور و کدهای سفارشی.
نحوه وقوع حمله:
این نوع حمله معمولاً به دلیل گم شدن وصلهها، استفاده از حسابهای پیشفرض، سرویسهای غیر ضروری، پیکربندی پیشفرض ناامن و مستندات ضعیف اتفاق میافتد. این می تواند از عدم تنظیم هدر امنیتی در سرور وب تا فراموش کردن غیرفعال کردن دسترسی اداری برای سطوح خاصی از کارمندان باشد. این حمله همچنین ممکن است زمانی اتفاق بیفتد که هکرها در برنامه های قدیمی با پیکربندی نادرست ذاتی به دلیل عدم به روز رسانی ریشه می گیرند.
محل حمله:
پیکربندی نادرست به خودی خود یک عمل مخرب در نظر گرفته نمیشود، که بیشتر به دلیل خطای انسانی است. با این حال، مهاجمان ممکن است بدانند اگر به سطح ضعیفی از پیکربندی در پشته فناوری اطلاعات یک سازمان مشکوک هستند، کجا را جستجو کنند.
:references