• الرئيسة
    منظمة سام
    عودة للرئيسة
  • 07/05/2024
    •  https://dg.samrl.org/l?a5259
    شكرًا لك.. كيف أدى تعليق يبدو بريئا إلى إخفاء ثغرة أمنية ضارة
    الحقوق الرقمية |

    ما مدى أمان قسم التعليقات لديك؟ اكتشف كيف أدى تعليق "شكرًا" الذي يبدو بريئًا على صفحة المنتج إلى إخفاء ثغرة أمنية ضارة، مما يؤكد ضرورة اتخاذ إجراءات أمنية قوية.

    متى تكون كلمة "شكرًا" ليست "شكرًا"؟ عندما يكون الأمر عبارة عن جزء خفي من التعليمات البرمجية تم إخفاؤه داخل صورة "شكرًا لك" التي نشرها شخص ما في قسم التعليقات بصفحة المنتج! تم تصميم السر المخفي داخل هذا الجزء من التعليمات البرمجية للسماح للمتسللين بتجاوز الضوابط الأمنية وسرقة معلومات التعريف الشخصية للمتسوقين عبر الإنترنت، وهو ما كان من الممكن أن يعني مشكلة كبيرة لهم وللشركة.

    تنتمي الصفحة المعنية إلى أحد متاجر التجزئة العالمية. غالبًا ما تكون مجتمعات المستخدمين مصدرًا رائعًا للنصائح غير المتحيزة من زملائه المتحمسين، ولهذا السبب قام مالك كاميرا Nikon بالنشر هناك. لقد كانوا يبحثون عن العدسة المثالية مقاس 50 مم وطلبوا التوصية. لقد قدموا الشكر مقدمًا لكل من قد يكلف نفسه عناء الرد، بل وتركوا صورة صغيرة تقول: "شكرًا لك" أيضًا، وبدت بالعين المجردة جيدة.

    بقي التعليق والصورة على الموقع لمدة ثلاث سنوات (!)، ولكن عندما بدأت الشركة في استخدام حل إدارة تهديدات الويب المستمر من شركة Reflectiz، وهي شركة رائدة في مجال أمن الويب، اكتشفت شيئًا مثيرًا للقلق داخل هذا الرسم ذو المظهر البريء أثناء عملية مراقبة روتينية مسح. في هذه المقالة، نقدم نظرة عامة عامة على ما حدث، ولكن إذا كنت تفضل شرحًا أعمق، بالإضافة إلى مزيد من التفاصيل حول كيفية حماية صفحات التعليقات الخاصة بك، فيمكنك تنزيل دراسة الحالة الكاملة والمتعمقة هنا .

    الصور المعدلة
    أحد أفضل الأشياء المتعلقة بالويب هو حقيقة أنه يمكنك مشاركة الصور بسهولة، ولكن كإنسان ينظر إلى المئات منها كل يوم، فمن السهل أن ينسى أن كل واحدة منها تتكون من تعليمات برمجية، تمامًا مثل أي أصل رقمي آخر على الويب. صفحة على شبكة الإنترنت. وفي هذه الحالة، غالبًا ما تحاول الجهات الفاعلة الخبيثة إخفاء التعليمات البرمجية الخاصة بها داخلها، وهو ما يقودنا إلى ممارسة إخفاء المعلومات. هذا هو المصطلح لإخفاء معلومة واحدة داخل معلومة أخرى. إنه ليس مثل التشفير، الذي يحول الرسائل إلى هراء بحيث لا يمكن فهمها. بدلاً من ذلك، يقوم إخفاء البيانات بإخفاء البيانات على مرأى من الجميع، في هذه الحالة، داخل الصورة.

    تشريح البكسل
    قد تكون على علم بأن شاشات الكمبيوتر تعرض الصور باستخدام فسيفساء من النقاط تسمى البكسلات وأن كل بكسل يمكن أن ينبعث منها مزيج من الضوء الأحمر والأخضر والأزرق. يتم تحديد قوة كل لون في إحدى وحدات بكسل RGB هذه بقيمة تتراوح بين 0 و255، لذا فإن 255,0,0 يعطينا اللون الأحمر، و0,255,0 يعطينا اللون الأخضر، وهكذا.

    255,0,0 هو أقوى لون أحمر يمكن أن تعرضه الشاشة، وبينما 254,0,0 أقل قوة قليلاً، فإنه سيبدو تمامًا كما هو للعين البشرية. ومن خلال إجراء الكثير من هذه التعديلات الصغيرة على قيم وحدات البكسل المحددة، يمكن للجهات الخبيثة إخفاء التعليمات البرمجية على مرأى من الجميع. ومن خلال تغيير ما يكفي منها، يمكنهم إنشاء سلسلة من القيم التي يمكن للكمبيوتر قراءتها كرمز، وفي حالة تلك المنشورة في قسم التعليقات الخاص بمتاجر التصوير الفوتوغرافي، تحتوي الصورة المعدلة على تعليمات مخفية وعنوان المجال المخترق. لقد كانت مفاجأة عندما وجدت أن JavaScript الموجود على الصفحة كان يستخدم المعلومات المخفية للتواصل معها.

    عواقب
    المشكلة الكبيرة التي يواجهها أي شخص يدير موقعًا للتجارة الإلكترونية هي أن الجهات الفاعلة الضارة تبحث دائمًا عن فرص لسرقة معلومات تحديد الهوية الشخصية للعملاء وتفاصيل بطاقة الدفع، ويعد تغيير ملفات الصور مجرد واحدة من العديد من الطرق الممكنة التي يستخدمونها. وقد استجاب المشرعون في عدد متزايد من المناطق، وكذلك واضعي القواعد في مجالات مثل صناعة بطاقات الدفع، من خلال تنفيذ أطر تنظيمية مفصلة تفرض متطلبات أمنية صارمة على مقدمي الخدمات إلى جانب غرامات كبيرة في حالة فشلهم.

    يتطلب القانون العام لحماية البيانات (GDPR) من أي شخص يبيع لعملاء الاتحاد الأوروبي أن يتبع إطاره الكبير والمفصل. في أي وقت يستسلم فيه بائع تجزئة للتجارة الإلكترونية لإخفاء المعلومات أو أي نوع آخر من الهجمات التي تعرض معلومات العميل للخطر، فإنه يمكن أن يجذب غرامات بملايين الدولارات، ويثير دعاوى قضائية جماعية، ويخلق دعاية سيئة تؤدي إلى الإضرار بالسمعة. ولهذا السبب من المهم للغاية فهم كيفية الدفاع عن موقع الويب الخاص بك من مثل هذه الهجمات، وهو ما تشرحه دراسة الحالة الكاملة.

    الحماية المستمرة
    تتعمق دراسة الحالة حول كيفية الكشف عن هذا التهديد والسيطرة عليه، ولكن التفسير المختصر هو أن تقنية مراقبة النظام الأساسي اكتشفت نشاطًا مشبوهًا في أحد مكونات الويب، ثم قامت بالإشارة إلى تفاصيل معينة باستخدام قاعدة بيانات التهديدات الشاملة الخاصة بها.

    يقوم النظام بشكل روتيني بتحديد وحظر أي مكونات ويب تابعة لجهات خارجية تتعقب نشاط المستخدم دون إذنهم . فهو يكتشف مكونات الطرف الثالث التي تحصل على أذونات الموقع الجغرافي والكاميرا والميكروفون للمستخدمين دون موافقتهم، كما يقوم بتعيين جميع مكونات الويب التي يمكنها الوصول إلى المعلومات الحساسة.

    في هذه الحالة، قام متخصصو الأمن البشري في Reflectiz بتنبيه الشركة إلى الثغرة الأمنية، وأعطوا موظفي الأمن خطوات تخفيف واضحة، وقاموا بالتحقيق في التعليمات البرمجية المشبوهة لفهم كيف تمكن المهاجمون من وضعها هناك. يمكنك أن تقرأ عن النتائج التي توصلوا إليها هنا، في دراسة الحالة الكاملة ، بالإضافة إلى التعرف على الخطوات الأمنية التي يجب تحديد أولوياتها لتجنب حدوث نفس الشيء لصفحات التعليقات الخاصة بك.
    .المصدر: The hacker news

  •

  •  
    من نحن
    الحقوق الرقمية في اليمن، أحد مشاريع منظمة سام بدعم منظمة إنترنيوز، ويهدف المشروع للتعريف بالحقوق الرقمية، ورصد الانتهاكات بحق النشطاء والفاعلين والمستخدمين للفضاء الرقمي.
    أتصل بنا
    +9672276293
    +96702276294
    violations@samrl.org
    Yemen, Aden, Sanaʿā ,Mareb, Taiz
    جميع الحقوق محفوظة لمنظمة سام © 2023، تصميم وتطوير