عدم توجه به الزامات امنیتی و دانش فنی محدود دلیل اصلی هک شدن سایت هاست

عدم توجه به الزامات امنیتی و دانش فنی محدود دلیل اصلی هک شدن سایت هاست
اگرچه در اکثر ارگان های دولتی ادعا بر این است که مجموعه تمهیدات امنیتی برای مبارزه با حملات مخرب پیش بینی شده است اما بعضاً حتی در تنظیم سطوح دسترسی اشتباهات غیر قابل جبرانی صورت می گیرد. مجموعه هایی را می شناسیم که با صرف هزینه های سنگین سخت افزار به روز امنیتی خریداری می کنند اما از ملاحظات اولیه به سادگی می گذرند و یا مجموعه هایی که خریدن تبلت یا لپ تاپ برای پرسنل یا مدیران بیشتر از هزینه برای امنیت اطلاعاتشان ارزش دارد.

در چنین شرایطی وقتی خبر هک شدن یک سایت مهم دولتی به گوش می رسد قبل از اینکه ریشه های آن بررسی شود انگشت اتهام به سوی اولین سرباز خط مقدم نشانه می رود و بستر نرم افزاری پرتال را فاقد امنیت اعلام می کنند.  اما آیا می توان هسته نرم افزاری DotNetNuke را نا امن شمرد یا باید به دانش فنی محدود کاربران آن در سازمان ها خرده گرفت.

بیاییم نگاهی به سایت های بزرگ مبتنی بر دات نت نیوک در دنیا بیاندازیم. بانک استرالیایی ING Direct، شرکت بزرگ نفتی بریتیش پترولیوم bp ، شرکت های بزرگی نظیر میتسوبیشی، کرایسلر و کیا، دانشگاههایی نظیر دوری Devry ، بانک چند ملیتی آمریکا Bank of America و حتی ارتش آمریکا US Army همه و همه از همین بستر نرم افزاری استفاده می کنند و با بررسی مشتریان این نرم افزار می توان اسامی بزرگ دیگری را نیز مشاهده کرد. آیا همه این مجموعه ها بدون در نظر گرفتن ملاحظات امنیتی، بستر نرم افزاری خود را انتخاب می کنند یا تخصص لازم را ندارند یا اهمیتشان آنقدر کم است که چنگی به دل هکرها برای صرف زمان نمی زند.
خوب البته هرچه نرم افزاری شناخته شده تر و پرکاربرد تر باشد قطعاً بیشتر مورد توجه هکرهاست تا نرم افزارهایی که به صورت محدود مورد استفاده قرار می گیرند.

اما اگر فقط ملاحظات زیر در سایت های هک شده رعایت می شد که در حد چند تیک ساده بود امروز شاهد این مسائل نبودیم.
•    حذف فایل های Installwizard از پوشه Install
•    برداشتن امکان Script از پوشه Portals
•    محدود کردن دسترسی به کاربر IIS فقط در حد read در سطح Root

اگرچه هیچ کارشناسی مسئولیت بی توجهی به این سادگی را نخواهد پذیرفت و به انکار دست خواهد برد و بهانه های دیگری طرح خواهد کرد اما اگر با نگاه واقع بینانه و عبرت آموز به موضوع پرداخته شود، می تواند درس های بزرگی برای مجموعه ها و ارگان های مهم و کلیدی کشور در بر داشته باشد و گوش های شنوا زنگ خطر این بی توجهی ها را خواهند شنید.

در پایان باید به این نکته اشاره کرد که علیرغم صورت موضوع و با وجود بی توجهی های صورت گرفته اینکه هکرها تنها و تنها توانسته اند Defacement کنند و هیچ گونه نفوذی در اطلاعات نداشته اند خود مبین امنیت قابل قبول نرم افزار است.
تعداد امتیازات :

ارسال نظر جدید

نام

ایمیل

نظرات ارسال شده

محمد ثنامهر
محمد ثنامهر پنجشنبه, 06 خرداد,1395 15:56
با سلام
ممنون از نقدخوب شما
پلتفرم و بستر نرم افزاری یک مقوله هستش و نحوه استفاده از ان یک مطلب دیگر
اگر کسی در این بازه به دی ان ان خرده بگیرد به مصداق این هستش که کسی خانه ای بسیار لوکس و زیبا و ضد سرقت خریداری می نماید ولی درب را به روی دزدان باز می گذارد حال اگر دزدی صورت بگیرد نباید به سیستم امنیتی خانه خرده گرفت بلکه نا آگاهی و نادانی صاحب خانه هستش که درب را به روی دزدان باز گذاشته است اگر مسئولین ذیربط سایت, موارد امنیتی خیلی ساده این پورتال را رعایت می نمودند حتما سایت امن می بود.
آرمین
آرمین پنجشنبه, 06 خرداد,1395 16:01
بدون شک DNN یکی از امن‌ترین CMSهای جهان است و راحتی کار با آن زبان زد است... ممنون از مقاله خوب شما.

DnnForge - NewsSearch

گروه ها

آرشیو آموزش

نظرات کاربران

بالا