race-condition attacks

حمله race-condition زمانی اتفاق می افتد که یک سیستم محاسباتی که برای انجام وظایف در یک دنباله خاص طراحی شده است، مجبور شود دو یا چند عملیات را همزمان انجام دهد. این تکنیک از یک فاصله زمانی بین لحظه ای که یک سرویس شروع می شود و لحظه ای که یک کنترل امنیتی اعمال می شود، استفاده می کند.

آسیب پذیری شرایط مسابقه چیست؟

حملات شرایط مسابقه (که زمان بررسی تا زمان استفاده یا حملات TOCTTOU نیز نامیده می شود) از این نیاز استفاده می کنند که سیستم های محاسباتی باید برخی از وظایف را در یک دنباله خاص اجرا کنند. در هر دنباله ای از این دست، یک دوره زمانی کوچک وجود دارد که سیستم اولین کار را انجام داده است اما در مرحله دوم شروع نشده است. اگر این مدت به اندازه کافی طولانی باشد یا مهاجم خوش شانس و آگاه باشد، آسیب پذیری شرایط مسابقه وجود دارد که در آن مهاجم می تواند سیستم را فریب دهد تا علاوه بر فرآیندهای عادی، اقدامات غیرمجاز را انجام دهد.

دو راه اصلی برای انجام این حمله وجود دارد:

1. تداخل توسط یک فرآیند نامعتبر - مهاجم یک قطعه کد را در بین مراحل یک فرآیند امن وارد می کند.
2. تداخل توسط یک فرآیند قابل اعتماد - مهاجم از دو فرآیند مختلف که در برخی حالت های مشترک مشترک هستند سوء استفاده می کند.

در طول حمله race-condition چه اتفاقی می افتد؟

شرایط مسابقه را می توان در بسیاری از بردارهای حمله رایج، از جمله برنامه های کاربردی وب، سیستم های فایل و محیط های شبکه یافت. خبر خوب این است که از آنجایی که آنها به مهاجمانی که از فرآیند یک سیستم در یک بازه زمانی بسیار کوتاه سوء استفاده می کنند، متکی هستند، شرایط مسابقه تا حدودی نادر است. بیشتر مهاجمان در عوض روی انواع ساده‌تر حمله، مانند آسیب‌پذیری‌های تزریق SQL تمرکز می‌کنند.

با این حال، حملات شرایط مسابقه می تواند منجر به نشت جدی شود و به مهاجمان اجازه دسترسی کامل به سیستم های ایمن، داده های محرمانه و سایر اطلاعاتی را می دهد که نباید قادر به مشاهده آنها باشند. تنها تعدادی از انواع سیستم هایی که می توانند با این نوع حمله مورد هدف قرار گیرند عبارتند از: لیست کنترل دسترسی (ACL)، پایگاه داده حقوق و دستمزد یا منابع انسانی، سیستم تراکنش، دفتر مالی، یا هر مخزن داده دیگری.

جلوگیری از آسیب و اصلاح کد بسیار مهم است، اسکن و بررسی کد برای آسیب‌پذیری‌های race-condition بسیار مهم است. این شامل استفاده از تجزیه و تحلیل استاتیک است. به طور کلی، موسسه فناوری SANS اشاره می‌کند: «برنامه‌نویسی دقیق و شیوه‌های مدیریتی خوب معمولاً می‌توانند [آسیب‌پذیری‌های شرایط مسابقه] را پاک کنند، اما ابتدا باید آنها را پیدا کنید.» این به معنی آموزش تیم های توسعه در مورد خطرات حملات شرایط نژادی و نحوه جلوگیری از آنها است.

چرا توسعه دهندگان تحصیل کرده برای امنیت اطلاعات حیاتی هستند؟

برای اطمینان از ایمنی مشتریان و داده های خود، تیم های توسعه امروز باید امنیت برنامه را در هر مرحله از فرآیند توسعه برنامه ایجاد کنند. با استفاده از ابزارهایی مانند اسکن کد ایستا، تست نفوذ و سایر بررسی‌های امنیتی، توسعه‌دهندگان می‌توانند عیوب شرایط مسابقه را قبل از اینکه آسیبی وارد کنند، پیدا کرده و تصحیح کنند. علاوه بر ابزارهای مناسب، توسعه دهندگان برای موفقیت در محیط توسعه امروزی به دانش نیاز دارند.