رهنمودهای جهانی سازمان اینترپل برای آزمایشگاه های جرمیابی دیجیتالی

این روزها که جرائم سایبری پیچیده‌ تر و فراگیرتر شده‌ اند، نیاز به آزمایشگاه‌ های تخصصی جرمیابی دیجیتال و واکنش به حوادث (DFIR) خیلی بیشتر احساس می‌شود... سازمان اینترپل (InterPol) به عنوان یکی از معتبرترین نهادهای بین‌  المللی مبارزه با جرایم، راهنمای جامعی تحت عنوان «Global Guidelines for DFIR Laboratories» منتشر کرده است تا چارچوب و اکوسیستمی استاندارد برای ایجاد و مدیریت این آزمایشگاه‌ ها ارائه دهد.

این سند راهنما به موارد کلیدی مانند امنیت داده‌ ها، روش‌ های جمع‌ آوری مدارک دیجیتال، صلاحیت‌ های کارشناسان، و همکاری بین‌ المللی می‌ پردازد. هدف آن، افزایش دقت و اعتبار تحقیقات دیجیتال است تا مدارک جمع‌ آوری شده در دادگاه‌ ها و مراجع قانونی قابل استناد باشند.

اگر شما هم در حوزه امنیت سایبری یا جرمیابی دیجیتال و واکنش به حوادث فعال هستید، مطالعه این سند می‌ تواند به شما کمک کند تا با بهترین شیوه‌ های جهانی آشنا شوید و آزمایشگاه یا تیم DFIR خود را مطابق با استانداردهای بین‌ المللی توسعه دهید.

 

دانلود مقاله PDF

مترجم: یوشا آل ایوب

نکات و اصول مهم در hardening پروتکل SSH

این مقاله ۴۰ نکته ای شامل تنظیمات پیشرفته و best practice هایی برای hardening و امن کردن SSH server هستند که می‌ توانند به طور قابل توجهی امنیت سرور را افزایش دهند...

برای اعمال تنظیمات، کافیست فایل /etc/ssh/sshd_config را توسط یک ویرایشگر با کاربر root باز کنید و سپس مقادیر زیر را داخلش اعمال کنید:
(هر سیستم عاملی ممکن است نیاز به تفاوت‌ های جزئی در اعمال تنظیمات داشته باشد)

1- Disable root login
غیرفعال کردن ورود مستقیم با کاربر root، جهت جلوگیری از دسترسی مستقیم به حساب root که می‌تواند خطرناک باشد.
پس خط زیر را اضافه کنید:

PermitRootLogin no

2- Use key-based authn
استفاده از Public key authn به جای رمزهای عبور... چون رمزهای عبور می‌ توانند هک/bruteforce شوند، اما کلیدهای SSH ای بسیار امن‌ تر هستند.
ابتدا یک کلید تولید کنید: ssh-keygen -t rsa -b 4096
سپس کلید pub را در مسیر ~/.ssh/authorized_keys قرار دهید.

 

3- Change default SSH port

تغییر پورت پیش‌ فرض SSH server (22) جهت کاهش حملات scan پورت:

Port 2222

نکته: فایروال را هم باید تنظیم کنید.

 

4- Limit user access

محدود کردن کاربرانی که می‌ توانند از SSH server استفاده کنند، بدلیل جلوگیری از دسترسی غیرمجاز:

AllowUsers user1 user

5- Disable password authn

غیرفعال کردن ورود با رمز عبور برای اجبار به استفاده از کلیدهای SSH ای:

PasswordAuthentication no

بررسی مدل‌ های جرمیابی دیجیتال

با گسترش جرایم سایبری و پیچیدگی محیط‌ های دیجیتالی و روشهای ارتکاب جرم، نیاز به مدل ها و ابزارهای کارآمد برای جرمیابی و رسیدگی به پرونده های جرایم سایبری بیش از پیش احساس میشود...

رشد شدید جرایم سایبری در سطح جهانی، (از 19% در 2022 به 23% در 2023 طبق گزارش INTERPOL) نیاز به مدلهای ساختاریافته بازرسی های دیجیتال را پررنگ کرده است. و این تحولات، دستگاه های امنیتی و سیستم های قضایی سنتی را در سراسر جهان با چالش‌ های بی‌ سابقه‌ ای مواجه ساخته است.

تصویر زیر دیاگرام آماری درباره رشد خسارتهای سالانه جرایم سایبری در سطح جهانی است که «Statista» تا سال 2028 تهیه کرده است:

 

 

من در این مقاله به بررسی کلی مدل‌/روش های جرم‌ یابی دیجیتال در سطح جهانی و کاربردهای اختصاصی آنها می پردازم. این مقاله، 8 مدل اصلی شامل ADFM، GDFM، NGDFIM، DFRWS، CFFTPM، IDIP، EDRM و SANS Framework را از سه جنبه کلیدی بررسی میکند:

1. ساختار فنی: مقایسه روش‌ های جمع‌ آوری داده ها، تحلیل مدارک و گزارش‌ دهی
2. کاربران عمده: نقش سازمان‌ های داخلی و خارجی مانند FBI، پلیس فتا و INTERPOL
3. چالش‌ های اجرایی: محدودیت‌ های تخصصی، مالی و فناورانه

و البته انتخاب مدل مناسب به عواملی مانند پیچیدگی پرونده، حجم داده‌ ها، سطح دانش/تخصص پرسنل و فناوری‌ های مورد استفاده بستگی دارد. و نکته جالب این است که اگر به همه مدلها از سطح بالا نگاه کنیم، همه آنها در 4 فاز اصلی خلاصه می شوند: شناسایی و جمع آوری، بررسی و تحلیل، مستند سازی، گزارش و ارائه

 

PHP Security Linter

اگر شما هم از توسعه دهندگان PHP هستید یا با پروژه های مبتنی بر این زبان سروکار دارید، حتماً میدونید که امنیت کدها چقدر اهمیت داره... باگهای امنیتی میتونن به راحتی به یک کابوس برای کسب و کار تبدیل بشن، مخصوصا از نوع باج افزار/Ransomware اش!

اما خب ابزارهایی وجود دارن که به ما کمک میکنن قبل از رسیدن به مرحله production، مشکلات امنیتی رو شناسایی کنیم... یک خانواده از این ابزارها Security linter ها هستن که با اسکن static کدها، حفره ها و اسیب پذیریهای امنیتی رو برنامه نویس ایجاد کرده رو شنایی و گزارش می کنند.

یکی از این ابزارها، PHP Security Linter هستش که دست ساز خودم هست:

 

PHP Security Linter

این ابزار یک Static analysis (تحلیل استاتیک کد) با زبان PHP هست که با اسکن کدها، آسیب پذیری های امنیتی رو بر اساس استانداردهای CIS و OWASP شناسایی میکنه. یعنی بکمک این ابزار و بدون نیاز به اجرای کد، میتونید مشکلاتی مثل SQL Injection، XSS، قرار دادن اطلاعات حساس در کد و غیره... رو پیدا کنید.

 

     

 

آدرس مخزن: https://github.com/Yousha/php-security-linter

 

چرا از این ابزار استفاده کنیم؟

• پشتیبانی از بیش از ۲۰۰ قانون امنیتی (مطابق با CIS و OWASP)

• سریع و سبک: بدون اجرای کد، آسیب پذیری ها رو تشخیص میده.

• پشتیبانی از PHP 7.4 و 8.3 

• خروجی های متنوع: هم بصورت متن در کنسول و هم JSON.

• قابلیت شخصی سازی: میتونید قوانین خودتون رو اضافه یا برخی رو غیرفعال کنید.

• مناسب برای DevSecOps: به راحتی با DevSecOps ادغام میشه.

• با حداقل dependency و سبک!

 

نصب و استفاده

نصبش بسیار سادست، فقط کافیه با Composer اونرو به پروژه اضافه کنید:

composer require --dev yousha/php-security-linter

بعد برای اسکن یک پوشه:

php vendor/bin/php-security-linter --path ./src

اگرم میخوایید پوشه هایی مثل vendor یا tests رو اسکن نکنید:

php vendor/bin/php-security-linter --path ./app --exclude vendor,tests

 

مثال خروجی ابزار

وقتی اسکن انجام میشه، نتیجه رو به صورت خوانا مشاهده میکنید:

Scan Results
========================================

File: /src/auth.php
  ✗ [CRITICAL] OWASP: SQL Injection vulnerability detected (Line 42)
  ✗ [HIGH] CIS: Hardcoded database credentials (Line 15)

File: /src/utils.php
  ✗ [MEDIUM] OWASP: XSS vulnerability possible (Line 88)

Summary: Scanned 24 files, found 3 potential issues.

 

اینفوگراف شاخه ها و مراحل انجام جرم یابی دیجیتال(DFIR)

برای بزرگنمایی کلیک کنید

اینفوگراف شاخه های جرم یابی دیجیتال

 

برای بزرگنمایی کلیک کنید

اینفوگراف مراحل انجام جرم یابی دیجیتال

نکات و اصول مهم در آزمایشگاه جرمیابی دیجیتال

فهرست/مندرجات

• امنیت و ایمنی فیزیکی

• ملاحظات سخت افزاری

• ملاحظات نرم افزاری

• نگهداری و سرویس تجهیزات

نقشه راه متخصص جرمیابی دیجیتال / Digital forensic specialist roadmap

تعریف جرمیابی دیجیتال: به مجموعه فرایند جمع آوری، ارزیابی و ارائه مدارک جمع آوری شده از تجهیزات دیجیتال گفته میشود.

این مدارک دیجیتالی از کامپیوترها، تلفن های همراه، دستگاه های اینترنت اشیا و سرورها به دست می آیند. جرمیابی دیجیتال به حل پرونده های پیچیده ای که بر مدارک دستگاه های دیجیتالی تکیه دارند کمک می کند.

این حوزه کاری زیر مجموعه امنیت سایبری می باشد و به فرد متخصصی که در این حوزه کار میکند متخصص جرمیابی دیجیتال و واکنش به حوادث گفته میشود.

(به انگلیسی Digital Forensics and Incident Response (DFIR))

 

برای بزرگنمایی کلیک کنید

توزیع های گنولینوکس مناسب جرمیابی دیجیتال

تعریف جرمیابی دیجیتال: به مجموعه فرایند جمع آوری، ارزیابی و ارائه مدارک جمع آوری شده از تجهیزات دیجیتال گفته میشود.

این مدارک دیجیتالی از کامپیوترها، تلفن های همراه، دستگاه های اینترنت اشیا و سرورها به دست می آیند. جرمیابی دیجیتال به حل پرونده های پیچیده ای که بر مدارک دستگاه های دیجیتالی تکیه دارند کمک می کند.

این حوزه کاری زیر مجموعه امنیت سایبری می باشد و به فرد متخصصی که در این حوزه کار میکند متخصص جرمیابی دیجیتال و واکنش به حوادث گفته میشود.

(به انگلیسی Digital Forensics and Incident Response (DFIR))

 

نام توزیع	کشور سازنده	نوع پروانه	معماری	تاریخ بروزرسانی	وبسایت
Kali (BackTrack)	سوئیس	رایگان/تجاری Opensource/Binary	i686, x64	2021	kali.org
BlackArch	آمریکا	رایگان Opensource/Binary	x64	2021	blackarch.org
Grml	استرالیا	رایگان Opensource	i686, x64	2021	grml.org
Parrot OS	ایتالیا	رایگان Opensource/Binary	x64	2021	parrotlinux.org
Pentoo	سوئیس	رایگان Opensource	i686, x64	2020	pentoo.ch
CAINE	ایتالیا	رایگان Opensource	x64	2021	caine-live.net
نام توزیع	کشور سازنده	نوع پروانه	معماری	تاریخ بروزرسانی	وبسایت
ForLEx	ایتالیا	رایگان Opensource	x86	2019-10	forlex.it
PALADIN	آمریکا	تجاری Opensource/Binary	x86, x64	?	sumuri.com
DEFT Linux	ایتالیا	رایگان	i686	2018-09	deftlinux.net
BackBox Linux	ایتالیا	رایگان Opensource/Binary	x86, x64	2020	backbox.org
ALT Linux	روسیه	رایگان Opensource/Binary	i586, x64	2021	en.altlinux.org   basealt.ru
radare2	?	رایگان Opensource	x86	2021	rada.re/n/
ArchStrike	آمریکا	رایگان Opensource	i686, x64	2021	archstrike.org
Santoku	?	رایگان Opensource	x64	2014	santoku-linux.com
نام توزیع	کشور سازنده	نوع پروانه	معماری	تاریخ بروزرسانی	وبسایت
Bugtraq	اسپانیا	رایگان	x86, x64	2013	bugtraq-team.net
URIX OS	بلغارستان	رایگان	x64	2016-01	urix.us
SIFT	؟	؟	x64	2019	digital-forensics.sans.org
Cyborg Linux	هند	رایگان Opensource	x86	2015	cyborg.ztrela.com
Security Onion	آمریکا	رایگان Opensource/Binary	x86	2021	securityonion.net
ADIA	?	رایگان Opensource	x64	2017	forensics.cert.org
NST	آمریکا	رایگان  Opensource	x64	2021	networksecuritytoolkit.org
Tsurugi Linux	Japan	رایگان Opensource	x64	2021	https://tsurugi-linux.org

 

دانلود فایل PDF

#2 - نکاتی برای افزایش امنیت وبسایت

مقالات مرتبط:

نکاتی برای افزایش امنیت وبسایت

 

1- حتاالمکان از کتابخانه های template engine برای کدنویسی لایه View/UI وب اپلیکیشن استفاده کنید و نه کدنویسی inline/mixed.

 

2- برای کاهش مصرف پهنای باند و افزایش سرعت سایت، همیشه فایلهای CSS, JavaScript, HTML رو minify و lint کنید:

CSS:

https://github.com/purifycss/purifycss

https://cssnano.co/guides/getting-started

https://github.com/ben-eb/cssnano-cli

https://github.com/css/csso-cli

https://github.com/uncss/uncss

JS:

https://github.com/nolanlawson/optimize-js

 

3- بطور منظم و ماهیانه پهنای باند وبسایت/سرور رو چک کنید.

 

4- یک سیستم اسکنر پیاده کنید که نوع دسترسی و زمان تغییر فایلها و دایرکتوری های کل سایت رو اسکن و به شما گزارش کنه.

 

5- از استفاده بیش از حد کوکی و ذخیره اطلاعات حساس/نمایشی  در داخلشون خودداری کنید.

نکاتی برای افزایش امنیت وبسایت

مقالات مرتبط:

#2 - نکاتی برای افزایش امنیت وبسایت

 

 

1- مکانیزم و شیوه کار پروتوکل HTTP رو کامل فرا بگیرید.

 

2- همیشه کتابخانه ها و فریم ورکهای استفاده شده در وب اپلیکیشن رو بروز نگه دارید.

 

3- جهت جلوگیری از click-jacking مقدار هدر X-Frame-Options رو DENY قرار بدید:

Apache httpd.conf:

Header always append X-Frame-Options DENY


Apache .htaccess:

Header append X-FRAME-OPTIONS "DENY"


Nginx:

add_header X-Frame-Options "DENY";


PHP:

header('X-Frame-Options: DENY');

 

4- بصورت هفتگی یا ماهیانه کل سایت رو توسط نرم افزارها و سایتهای اسکنر امنیتی چک کنید:

https://observatory.mozilla.org

https://securityheaders.com

https://urlvoid.com

https://virustotal.com
https://immuniweb.com/websec
https://detectify.com
http://amn.bayan.ir
https://ssllabs.com/ssltest/index.html

http://isithacked.com
https://app.upguard.com/webscan
https://app.webinspector.com/online_scan
https://suip.biz/?act=sqlmap
https://pentest-tools.com/home
https://sitecheck.sucuri.net
https://quttera.com
https://siteguarding.com

https://transparencyreport.google.com/safe-browsing/search

 

5- داده های ورودی توسط کاربر را بدقت بررسی، برش و فیلترسازی کنید.

 

6- برای اپلیکیشن، قابلیت debug mode درست کنید تا در مواقع لزوم بتونید فعالیت های اپلیکیشن رو مانیتور و خطازدایی کنید.