امروز همایش سوم نرمافزار آزاد/متنباز در زنجان آغاز شد و من هم یه ارایه درباره امنیت و نرمافزار متنباز داشتم.
بایگانی
برچسب: آسیبپذیری
خب! امروز میخوام یه سری نکاتی رو بگم که در اول پروژههای نرمافزاری میتونه بسیار در موفقیتش نقش ایفا کنه.
اگر چه انتخاب یه ابزار خوب برای توسعه، موفقیت پروژه رو تضمین نمیکنه اما خب انتخاب اشتباه به احتمال زیاد فاجعه را به همراه خواهد داشت. همینطوری پروژههای نرمافزاری به اندازه کافی ریسکی هستن حالا حساب کنید که مخاطره انتخاب فناوری اشتباهی رو هم بخوایم بهش اضافه کنیم.
Continue reading “ده فرمان برای جلوگیری از انتخاب نادرست ابزار توسعه” »
رفقای خوب و عزیزم! بدنیست این نکات رو به هنگام کد زدن در نظر داشته باشیم تا علاوه بر افزودن به کیفیت کد و محصول نهایی، از لحاظ امنیتی هم گام مناسبی برداشته باشیم.
منبع این مطلب یکی از معتبرترین مراجع امنیت حوزه نرمافزار یعنی CERT دانشگاه کارنگی ملون است.
داشتم مقالات روزانهام رو که به پستالکترونیکم ارسال میشه رو مطالعه میکردم که با یه مقاله بسیار جذاب برخورد کردم. همیشه میشنویم که بازار سیاهی برای فروش اطلاعات محرمانه و آسیبپذیریهای ناشناخته (zero-day) وجود داره، اما تا حالا کسی به صورت جدی به این موضوع نپرداخته. این مقاله اشارهای به حجم سرمایه و طالبان این گونه اطلاعات داره.
Continue reading “حدس بزنید خریدار آسیبپذیریهای zero-day چه کسانی هستند؟” »
هر چه به تعداد کاربران یک ابزار و فناوری افزوده شود، به همان میزان هم توجه هکرها با نگرشهای مختلف نیز به آن دوخته میشود. با گسترش روزافزون کاربران و دستگاههای سیستمعامل متنباز و به اصطلاح آزاد آندروید، آمار بدافزارهای نیز به صورت تصاعدی افزایش یافته است.
براساس آخرین ارزیابیهای انجام شده توسط F-Secure میان سهماهه اول ۲۰۱۱ و سهماهه اول ۲۰۱۲ آمار گونههای بدافزارهای آندروید از ۱۰ به ۳۷ و تعداد بدافزارهای آن از ۱۳۰ به ۳۰۶۹ افزایش هشداردهندهای داشته است.
Continue reading “هشدار: افزایش ۴ برابری بدافزارهای آندورید تنها در یک سال” »
در گام پنجم شما تعیین نمودید که در چه وضعیتی به سر میبرید و در گام ششم باید تعیین کنید که میخواهید کجا باشید.
برای شناسایی سطح آسیبپذیری و سطح تهدید جاری، ارزیابی اولیه باید انجام شود. نوع و عمق ارزیابی بستگی به حوزهی آسیبپذیریهایی دارد که میخواهید شناسایی نمایید. آسیبپذیریهای درون سیستمعامل، برنامههای کاربردی، جریان ترافیک شبکه، کارمندان و فرآیندها. Continue reading “گام پنجم – ارزیابی و مبنا” »
بالاخره بعد از مدتها دوباره فرصت شد تا ادامه کار رو روی سایت قرار بدم. نمیخواستم این همه فاصله بیافته؛ اما چه کنیم که نمیشه.
خب، در گامهای قبلی فهرستی از داراییها تهیه کردید و نقش و تاثیر هر کدام را از منظر سازمان معین نمودید. حال باید معیارهای سنجش رو نیز مشخص کنید که در ادامه به آن اشاره میکنم.
بسیار خب در گام قبلی فهرست کاملی از تمامی داراییهای سازمان تهیه کردیم. در این گام فعالیت اصلی، تعیین نقش هر یک داراییها است. در دنیای امروز که اکثر فعالیتها ماشینی شده است، پرواضح است که میتوان اهمیتی خاصی را برای هر یک از تجهیزات قایل شد و در برخی از موارد (که اگر از کلمه اکثر استفاده کنم اغراق نکردهام) دارای درجه اهمیت بالاتری هست.
پس در این گام باید نقش(های) هر دارایی در سازمان مشخص شود که در ادامه نقش هر یک به درک تاثیر بر روی کسب و کار کمک شایانی خواهد کرد. برای مثال اگر یک وب سرور از کار بیافتد نسبت به آن که سیستم Core Banking از کار بیافتد تاثیر بسیار کمتری خواهد داشت. البته تاثیرات برای هر سازمان متفاوت است.
Continue reading “گام سوم مدیریت آسیبپذیری – نقش داراییها” »
پس از تعیین نقشها و مسئولیتها در گام اول مدیریت آسیبپذیری نوبت به تهیه فهرست داراییها (asset) میرسه
در این گام شما مشخص میکنید که چه دارید و از همه مهمتر مشخص میکنید که چه باید امن شود و سپس به نحوهی چگونگی امن کردن آن میپردازید. شاید در وحلهی اول آن را فعالیتی ساده تلقی کنید اما برعکس میتواند عملی عظیم برای بسیاری از سازمانها باشد[۱]. معمولا دادههای مهم در مکانهای پراکندهای از شبکهی سازمان قرار دارند و شبکه به صورت نامناسب و مستند نشده رشد میکند که میتواند به این سختی بیافزارد.
Continue reading “گام دوم مدیریت آسیبپذیری – تهیه فهرست داراییها” »
