تحقیقات امنیت اطلاعات

دوشنبه 89/11/11 , 3:4 ع
شرکت نرم افزاری امن پرداز

•

نظر

شرکت امن پرداز با در اختیار داشتن کادری مجرب در حوزه امنیت و با اتکا به توانایی ها و دانش خود در زمینه های امنیتی روز دنیا به تحقیق و پژوهش پرداخته است که نتایج بدست آمده را می توان در پنج بخش مهم طبقه بندی نمود:

بررسی نقاط ضعف پروتکل های پر کاربرد

پروتکل عموماً به مجموعه قوانین و مقرراتی گفته می شود که برای برقراری ارتباط بین دستگاه ها و به منظور سازگاری با یکدیگر، وضع می شوند. امروزه پروتکل ها پایه هر نوع ارتباط در دنیای مجازی رایانه ها به شمار می روند. با توجه به این موضوع که پروتکل ها پایه و اساس هر نوع ارتباطی می- باشند و این مساله که در لایه های زیرین ارتباطی به شمار می آیند، از این رو امنیت در آن ها چالش برانگیز است. با این توصیف عملاً پروتکل ها نقش اساسی در امنیت سیستم های رایانه ای بر عهده دارند. بررسی پروتکل ها از دو منظر انجام می گیرد:

بررسی نحوه پیاده سازی آن ها
منطق موجود در آن ها

بررسی نحوه پیاده سازی آن ها

پروتکل ها نیز مانند سایر موارد موجود در ارتباطات رایانه ای خود دارای منابعی هستند که به زبان های برنامه نویسی سطح پایین نوشته می شوند. پیاده سازی پروتکل ها نیز می توانند مانند سایر برنامه های رایانه ای دارای آسیب پذیری های کدنویسی باشند که می بایست از این نظر مورد بررسی واقع شوند.

منطق موجود در آن ها

پروتکل ها توسط متخصصین رایانه ای پدید آمده اند، پس می توان این انتظار را داشت که دارای خطاهای منطقی در اصول بنیادی باشند.

کشف آسیب پذیری های برنامه های تحت وب

در مقوله آزمون نفوذ در برنامه های کاربردی تحت وب، آشنایی با آسیب پذیری های این سبک از برنامه ها امری اجتناب ناپذیر است. شرکت امن پرداز با تکیه به نیروهای مجرب خود در زمینه کشف آسیب پذیری های برنامه های تحت وب این امر را محقق ساخته است. بدین منظور برای آشنایی متخصصین این فن و همچنین دیگر اقشار جامعه همچون کاربران و مدیران وب سایت های اینترنتی، دانشجویان رشته های مرتبط و... اقدام به راه اندازی وب سایتی تحت عنوان BugReport.IR نموده که نتیجه بررسی های انجام شده بر روی برنامه های تحت وب (خارجی و ایرانی) را در این پایگاه اینترنتی منتشر می نماید. با توجه به جهت گیری برنامه نویسان کشور ما به سمت زبان های برنامه نویسی ASP، ASP.Net و PHP، واحد امنیت این شرکت، تمرکز خود را بر روی برنامه های نوشته شده به این زبان ها معطوف کرده است.

کشف روش های جدید نفوذ

با توجه به اهمیت امنیت در دنیای رایانه، متخصصین امنیتی و برنامه نویسان حوزه برنامه های کاربردی تحت وب، همواره در صدد آشنایی با متدهای نفوذ جهت برطرف کردن این نوع از آسیب پذیری ها در برنامه های تولید شده می باشند. برای ماندن در این چرخه، نیازمند روش ها و متد های جدید نفوذ می باشیم. واحد امنیت شرکت امن پرداز بر اساس نیاز های موجود همواره درصدد کشف روش های جدید نفوذ می باشد؛ زیرا بر این باوریم، که همیشه باید یک گام جلوتر از دیگران بود.

مهندسی معکوس

گاهی پیش می آید که برنامه های کاربردی موجود، از لحاظ امنیتی قابل استفاده در نهادها و یا پروژه های مهم و حساس نمی باشد. در این مواقع با استفاده از مهندسی معکوس، روش ها و متد های کار برنامه ها را بدست آورده و می توان به صورت بومی آن ها را پیاده سازی نمود.

در بخش دیگر، در زمینه برنامه های مخرب نظیر ویروس ها و بدافزار های رایانه ای، بررسی نحوه عملکرد آن ها، فعالیت هایی که انجام می دهند و مبداء و مقصد نهایی آن ها را می توان با استفاده از این علم بدست آورد. کاربرد این عمل در تولید برنامه های ضدویروس، امنیتی و همچنین ردگیری عوامل مخرب بوجود آورنده آن است.

کشف آسیب پذیری در برنامه های امنیتی

برای ایجاد و بهبود وضعیت امنیتی سیستم های رایانه ای، همواره ملزم به استفاده از برنامه هایی در این حیطه نظیر ضد ویروس ها، دیواره های آتش، سیستم های هوشمند تشخیص نفوذ، ماژول های امنیتی سطح وب سرور و.... می باشیم. اما آیا این برنامه ها خود از لحاظ امنیتی مورد تایید هستند؟ این مطلب تنها با اعمال و بررسی متدهای موجود و جدید بر روی آن ها و آشنایی با نحوه کارکرد آن ها محقق می شود. گاهاً خطاهای منطقی، بسیار خطرناک- تر از خطاهای معمول می باشد. تست میزان امنیت برنامه های امنیتی نیز یکی دیگر از فعالیت های موجود در بخش تحقیق و پژوهش شرکت است.

کشف آسیب پذیری در سخت افزار های امنیتی

امروزه، استفاده روزافزون از سخت افزارهای امنیتی به دلیل قابلیت ها و توانایی های فراوان آن ها امری اجتناب ناپذیر است. سخت افزارهای امنیتی مانند دیواره های آتش، سیستم های تشخیص نفوذ، روترها و... هرچند توانایی های بسیار بیشتری در قیاس با نرم افزار های مشابه خود را دارا می باشند، ولی به جهت هزینه بالای خرید، نصب و راه اندازی و پشتیبانی از آن ها همواره نیازمند اثبات توانایی های خود هستند. قطعاً هیچ فرد، شرکت و یا سازمانی تمایل ندارد که در قبال هزینه های بسیار بالا که برای خرید این قبیل تجهیزات می پردازد، کارایی های مد نظر خود را دریافت ننماید. از این رو تحقیق و بررسی بر روی این مساله که آیا به راستی سخت افزار موجود پاسخ گوی نیاز های ما هست یا خیر تنها از عهده نیروهای متخصص در این زمینه بر می آید.

شرکت نرم افزاری امن پرداز.

شرکت نرم افزاری امن پرداز در سال 1383 و در محیطی دانشگاهی فعالیت خود را آغاز نموده است. مهمترین اهداف موسسین آن دستیابی به دانش تولید محصولات روز جهانی در صنعت فناوری اطلاعات و ارتباطات با استفاده از پتانسیل نیروهای دانشگاهی بومی بوده است. ما بر این باوریم که نرم افزار در جهان امروز یک نیاز روز افزون است و امنیت آن یک امر اجتناب ناپذیر، لذا تصمیم گرفتیم که نرم افزاری امن پرداز باشیم. در این مدت توانستیم در سه بخش فعالیتهایمان را گسترش دهیم: ۱ - توسعه نرم افزار ۲ - ارائه خدمات امنیت اطلاعات ۳ - مشاوره تحقیق و توسعه همواره بخش عمده ای از فعالیت های این شرکت بوده و درصد قابل توجهی از سود سالانه را صرف این امر می نماید.

شرکت نرم افزاری امن پرداز