کمیته رکن چهارم – استفاده از اینترنت و خدمات آنلاین در زندگی روزمره ما در حال افزایش است؛ اما ارائه کالا و خدمات به صورت آنلاین در کنار مزایای متعدد، میتواند دردسرهایی برای کاربران ایجاد کند.
بسیاری از ما در معرض اشکال مختلف سرقت و سوءاستفاده از اطلاعات شخصی و خصوصیمان قرار گرفته ایم و بعضی قربانی این اقدامات بودهایم. یکی از متداولترین روشهای سرقت اطلاعات شخصی و محرمانه افراد، فیشینگ است.
یک تکنیک تازه کشفشده توسط یک محقق نشان میدهد که چگونه میتوان از دامنههای Google App Engine برای ایجاد فیشینگ و ارسال بدافزار سوءاستفاده کرد درحالیکه توسط محصولات امنیتی پیشرو شناسایی نشده است.
Google App Engine یک بستر خدمات مبتنی بر فضای ابری برای توسعه و میزبانی برنامههای وب در سرورهای Google است. اگرچه گزارشهای مربوط به کمپینهای فیشینگ که از دامنههای ابری سازمانی استفاده میکنند، چیز جدیدی نیست، اما این امر باعث ایجاد زیرساخت Google App Engine در نحوه تولید زیر دامنهها و مسیریابی مسیرها میشود.
زیر دامنههای عملاً نامحدود برای یک برنامه:
معمولاً کلاهبرداران از سرویسهای ابری برای ایجاد یک برنامه مخرب استفاده میکنند که به یک زیر دامنه اختصاص داده میشود. سپس آنها صفحات فیشینگ را در آنجا میزبانی میکنند یا ممکن است از برنامه به عنوان سرور فرمان و کنترل (C2) برای ارسال محموله بدافزار استفاده کنند.
اما ساختارهای URL معمولاً به روشی ایجاد میشوند که در صورت لزوم، نظارت و مسدود کردن آنها را با استفاده از محصولات امنیتی سازمانی آسان میکند. بهعنوانمثال، یک برنامه مخرب که در سرویسهای Microsoft Azure میزبانی میشود ممکن است دارای ساختار URL مانند: https: //example-subdomain.app123.web.core.windows.net باشد، بنابراین، یک متخصص امنیت سایبری میتواند بهسادگی با مسدود کردن درخواستهای از/به این زیر دامنه، از ورود به این برنامه خاص جلوگیری کند. این روش از برقراری ارتباط با بقیه برنامههای Microsoft Azure که از زیر دامنههای دیگر استفاده میکنند، جلوگیری نمیکند.
البته در مورد Google App Engine کمی پیچیدهتر میشود:
محقق امنیتی Marcel Afrahim، طرحی از قبل طراحی شده از مولد زیر دامنه Google App Engine را به نمایش گذاشته است که میتواند از زیرساخت برنامه برای اهداف مخرب سوءاستفاده نماید، درحالیکه شناسایی نشده است.
دامنه appspot.com گوگل، میزبان برنامهها، دارای ساختار URL زیر است:
VERSION-dot-SERVICE-dot-PROJECT_ID.REGION_ID.r.appspot.com
یک زیر دامنه، در این حالت فقط یک برنامه را نشان نمیدهد، بلکه نسخه یک برنامه، نام سرویس، شناسه پروژه و شناسه منطقه را نشان میدهد؛ اما مهمترین نکتهای که در اینجا باید به آن توجه شود این است که اگر هر یک از این زمینهها نادرست باشد، Google App Engine صفحه ۴۰۴ Not Found را نشان نمیدهد، بلکه در عوض صفحه “پیشفرض” برنامه را نشان میدهد (مفهومی که بهعنوان مسیریابی نرم شناخته میشود).
“اگر درخواستی با قسمت PROJECT_ID.REGION_ID.r.appspot.com نام میزبان مطابقت داشته باشد، اما شامل سرویس، نسخه یا نام نمونهای باشد که وجود ندارد، درخواست به سرویس پیشفرض هدایت میشود که در اصل پیشفرض شماست، نام میزبان برنامه”.
اساساً، این بدان معناست که تغییر مکانهای بسیاری از زیر دامنهها برای دسترسی به برنامه مخرب مهاجم وجود دارد. تا زمانی که هر زیر دامنه دارای فیلد معتبر “project_ID” باشد، میتوان از تغییرات نامعتبر سایر زمینهها به صلاحدید مهاجم برای ایجاد لیست طولانی از زیر دامنهها استفاده کرد که همگی منجر به یک برنامه میشوند.
