إجراء اختبار الاختراق بطريقة الصندوق الرمادي لحماية الأصول المشفرة من السرقة

العميل

شركة أوروبية لاستشارات الأعمال، تقدم خدمات وحلول إدارة التكنولوجيا.

احتياج عميل في مجال التقنية المالية إلى تقييم أمان منصة التداول الخاصة به

أرادت إحدى شركات التقنية المالية، وهي عميل لشركة الاستشارات، تقييم الحماية السيبرانية لمنصة التداول الخاصة بها التي تتعامل مع العملات المشفرة، والأصول الرقمية غير القابلة للاستبدال (NFTs)، والأسهم المالية. ونظرًا لثقتها في كفاءات ساينس سوفت في مجالات الأمن السيبراني والتقنية المالية، قررت شركة الاستشارات الاستعانة بفريقنا لإجراء اختبار اختراق للشبكة العامة للمنصة، وواجهة برمجة التطبيقات (API)، وتطبيقات الويب والجوال (أندرويد وiOS).

الكشف عن وجود إعدادات أمنية خاطئة، وتشفير ضعيف للبيانات

بعد دراسة متطلبات شركة التقنية المالية وبرمجيات التداول بدقة، اقترح خبراء ساينس سوفت تطبيق نهج الصندوق الرمادي (Gray Box) لإجراء تقييم أمني شامل للحل في مدة زمنية قصيرة.

في البداية، فحص خبراؤنا وثائق تصميم منصة التداول جيدًا، لتحديد أبرز التهديدات ووسائل الهجوم والتسلل المحتملة أو ما يعرف بناقلات الهجوم (attack vectors). وفي مرحلة تقييم الثغرات الأمنية، استخدم خبراؤنا أدوات فحص آلية لرصد أي ثغرات معروفة في الحل، ثم تحققوا يدويًا من نتائج الفحص لضمان عدم وجود نتائج إيجابية زائفة.

أما بالنسبة لاختبار الاختراق، فقد قدَّم العميل إلى فريقنا بيانات اعتماد المستخدم بصلاحيات محدودة للوصول إلى التطبيقات والشبكة وواجهة برمجة التطبيقات (API) المستهدفة. بعدها، أجرى خبراؤنا محاكاة لتصرفات المهاجمين المحترفين الذين يتمتعون بصلاحيات وصول طويلة الأمد إلى المكونات المستهدفة، وذلك وفقًا لإرشادات معيار تنفيذ اختبار الاختراق (PTES)، ودليل اختبار أمن الويب والجوال لمشروع أمان تطبيقات الويب ذات المصدر المفتوح (OWASP Web Security Testing Guide، وOWASP Mobile Security Testing Guide)، ومنهجيات المعهد الوطني للمعايير والتكنولوجيا (NIST 800-115).

نتيجة لذلك، رصد خبراؤنا 4 ثغرات أمنية، وهي:

• استخدام إصدار غير آمن من بروتوكول TLS 1.0، ما قد يتيح للمهاجمين الوصول إلى البيانات المتبادلة بين الخادم والأجهزة.
• استخدام خوارزميات تشفير ضعيفة لطبقة المنافذ الآمنة (SSL)، ما قد يتيح للمهاجمين استغلالها للكشف عن المعلومات الحساسة مثل: رموز التحقق، وملفات تعريف الارتباط، وكلمات المرور.
• تمكين الوصول العام إلى لوحة التحكم في تطبيق الويب، ما قد يُسهِّل على المهاجمين الوصول إلى البيانات الحساسة أو تعديل إعدادات التطبيق.
• التهيئة غير الآمنة لإعدادات ميزة مشاركة الموارد عبر المصادر (CORS)، ما قد يتيح للمهاجمين استغلالها لسرقة البيانات الحساسة أو الأصول المملوكة للمستخدمين، مثل عملات البيتكوين.

أوصى خبراء ساينس سوفت باتخاذ تدابير أمنية ملائمة لمعالجة هذه الثغرات الأمنية، بما في ذلك:

• استخدام بروتوكولات التشفير الآمنة TLS 1.2 وTLS 1.3.
• ضبط إعدادات التطبيقات لاستخدام خوارزميات تشفير قوية، مثل خوارزميات تشفير الكتل بسعة 128 بت.
• تقييد الوصول إلى لوحة الإدارة باستخدام الشبكة الافتراضية الخاصة (VPN) وقواعد جدار الحماية. ولزيادة تعزيز الأمان، أوصى خبراؤنا بإعداد آليات المصادقة متعددة العوامل.
• الضبط الصحيح لإعدادات عنوان Access-Control-Allow-Origin header، وتطبيق تدابير حماية الواجهة الخلفية للبيانات الحساسة، لمنع الطلبات الضارة عبر النطاقات المختلفة.

بعد أن نفَّذت شركة التقنية المالية الإصلاحات المُقترحة، أعاد خبراؤنا الاختبار مرة أخرى، وتأكدوا من نجاح معالجة الثغرات المكتشفة بالكامل. وقد استغرق المشروع بأكمله 9 أيام فقط، بما في ذلك اختبار الاختراق وإعادة الاختبار.

إجراء فحص أمني شامل لمنصة التداول في 9 أيام فقط

بفضل كفاءة ساينس سوفت في تطبيق منهجيات مشروع أمان تطبيقات الويب ذات المصدر المفتوح (OWASP) والمعهد الوطني للمعايير والتكنولوجيا (NIST) ونهج الصندوق الرمادي (gray box)، تمكنت شركة استشارات الأعمال من تلبية طلب عميلها لإجراء تقييم سريع وشامل للأمن السيبراني. في أقل من أسبوعين، نجحت ساينس سوفت في تقييم أمان الشبكة العامة، وواجهة برمجة التطبيقات (API)، وتطبيقات الويب والجوال لمنصة التداول الخاصة بعميل التقنية المالية. وبفضل تنفيذ توصياتنا الإصلاحية، نجحت شركة التقنية المالية في معالجة المشكلات الأمنية المكتشفة، كما تمكَّنت من تقليل مخاطر اختراق البيانات وسرقة الأصول والإضرار بسمعتها في السوق.

التقنيات والأدوات

Metasploit, Wireshark, Nessus, Burp Suite, curl, Acunetix, Nmap, dnsmap, DirB, MobSF, Shodan, Gitleaks, VirusTotal, Aquatone, Python, C, Perl.