ما تريد معرفته عن Software and Data Integrity Failure

Vulnerabilities
يشير Software and Data Integrity Failure إلى حالة حيث يتم تعريض البرنامج أو البيانات للخطر أو التلف، مما يؤدي إلى تشويه المعلومات أو جعلها غير دقيقة أو ناقصة، وذلك ما يمكن أن يسبب في العديد من المشاكل
Abdelrahman Nasr
May 15, 2023, 2 p.m.
Abdelrahman
ما تريد معرفته عن Software and Data Integrity Failure

يعتبر Software and Data Integrity من أهم الممارسات الأمنية في عالم تكنولوجيا المعلومات، ويهدف إلى حماية البرمجيات والبيانات من التلاعب والاختراق والسرقة، ومن أجل تحقيق Software and Data Integrity، يجب على المطورين اتباع مجموعة من القواعد الأمنية المناسبة.

ما هو Software and Data Integrity؟

يشير مصطلح Software and Data Integrity إلى مدى موثوقية وصحة البرمجيات والبيانات التي يتم التعامل معها وتخزينها، حيث تحدث الكثير من حالات فشل Software and Data Integrity عند الافتقار إلى القدرة على حماية البرمجيات من الانتهاكات.

ما هو Software and Data Integrity Failure؟

يشير Software and Data Integrity Failure وهي احد الثغرات في قائمة OWASP TOP 10 إلى حالة حيث يتم تعريض البرنامج أو البيانات للخطر أو التلف، مما يؤدي إلى تشويه المعلومات أو جعلها غير دقيقة أو ناقصة، وذلك ما يمكن أن يسبب في العديد من المشاكل، ويحدث ذلك عندما يتم الحصول على البرمجيات من مصدر (source) غير موثوق(untrusted)  أو مستودعات (repositories) غير آمنة (unsafe)، ويقوم المهاجمون باستغلال هذه الثغرة ويتسللون إلى النظام بطرق غير مصرح بها، مما يجعل النظام عُرضةً للعديد من الهجمات.

أمثلة على Software and Data Integrity Failure

في حين أن تنفيذ التحديثات وتأمين البيانات مهم، إلا أنه من الضروري أيضًا التأكد من درجة الثقة في تلك التحديثات، وتتضمن فشل Software and Data Integrity على سبيل المثال:

CI/CD Pipeline

يتم اختراق الـ pipeline الذي يساعد في توزيع التحديثات من قبل مخترق قام بزراعة رمز خبيث في التحديثات، إذا تم تنفيذ وارسال التغييرات من الـ pipeline دون فحص نزاهة ومدى ثقة التحديثات.

حسناً كمستخدم ماذا اذا كنت تستخدم احد البرامج ووجدت تنبيه يخبرك بوجود تحديث لذلك البرنامج، بالطبع ستقوم بالتحديث لاعتقادك بوجود ميزات اضافية أو حل لبعض الأخطاء أو تحديثات أمنية، ذلك فقط اذا ما كنت قد قمت باختيار التحديث التلقائي مسبقاً حيث يقوم البرنامج بتحديث نفسه دون الرجوع اليك.

الآن ستعتقد أنك تقوم بتثبيت تحديثات آمنة ولكن تم نشر الرمز الخبيث مع التحديثات، ومن أمثلة العالم الحقيقي لهذا الهجوم ما حدث مع SolarWinds في عام 2020.

SolarWinds هي شركة برمجيات أمريكية تم اختراقها في عام 2020 حيث تم نشر برمجيات خبيثة في منتجاتها ، مما أدى إلى اختراق العديد من الشركات والوكالات الحكومية الأمريكية. ويعتبر هذا الهجوم واحدًا من أكبر الهجمات السيبرانية في التاريخ، حيث تم الكشف عنه في ديسمبر 2020.

التخلص غير الآمن

يمكن لعدم التخلص الآمن من الأجهزة، مثل الحواسيب ومحركات الأقراص الصلبة والأقراص الثابتة التى لم يتم مسح بيانتها بشكل صحيح، أن يتسبب في تعرض الجهة التى قامت بالتخلص من الأجهزة إلى تسريب بيانتها.

برامج مثبتة

وهي برامج تم تثبيتها مسبقًا على الجهاز وتم التلاعب بها لتنفيذ أفعال خبيثة أو جمع المعلومات الحساسة وتسليمها إلى جهات خبيثة.

طرق الحماية من  Software and Data Integrity Failures

بما أن فشل Software and Data Integrity قد يتسبب في أضرار كارثية، لذا لابد من وضع تدابير وإجراءات يمكن اتخاذها للوقاية منها، ومن بين هذه الإجراءات:

المصادقة

هي عملية التحقق من المصدر الذي يرسل أو يستقبل البيانات، حيث يتم استخدام المصادقة لتأكيد أن البيانات التي يتم إرسالها واستقبالها هي من مصدر موثوق به وصالح.

القيود

استخدام المكتبات التي يستخدمها البرنامج أو التطبيق من مستودعات (repositories) تم التحقق منها وذات وصول مقيد.

الاختبار

يجب على الرموز المستخدمة لإنشاء البرامج أو التطبيقات أن تخضع لاختبار شامل خلال مرحلة التطوير وكلما تم إجراء تغييرات أو تعديلات، يقوم ذلك بتحسين أمان الرمز ويقلل من مخاطر ظهور هذه الثغرة.

أدوات فحص أمان البرمجيات

يساعد استخدام أدوات مثل OWASP CycloneDX أو OWASP Dependency-Check على معرفة ما إذا كانت مكونات التطبيق أو البرنامج تعاني من أي ثغرات.

اتباع معايير النشر

يجب أن يتميز pipeline CI / CD المستخدم لتطوير البرنامج أو التطبيق بالفصل والتحكم في الوصول المناسبين، حيث يساعد هذا في سلامة الكود خلال مرحلة التطوير والتنفيذ بالكامل.

التشفير والتحقق من البيانات

من المهم جدًا التأكد من عدم مشاركة أي بيانات غير مشفرة أو غير متحققة مع أي مصدر غير مصرح به، حيث يجب أن تمر جميع البيانات قبل المشاركة بفحص لدرجة الثقة أو بدعم توقيع رقمي، وتساعد هذه الممارسة على اكتشاف أي حوادث تلاعب بالبيانات أو العمليات السرية.

وهنا نكون قد وصلنا إلى نهاية مقالتنا عزيزي القارئ ولا تنسى أن تنتظرنا قريباً- إن شاء الله- وإلى لقاء آخر قريب...


Software Data Integrity OWASP Repositories CI/CD Pipline Abdelrahman Nasr