گزارش ارزیابی حریم خصوصی، سرورها و نرم افزار موبایل آنتی فیلتر در سال ۲۰۲۳
این نوشتار خلاصه ای از ممیزی امنیتی از نوع جعبه سفید می باشد که بر روی AntiFilter VPN و توسط تیم 7ASecurity انجام شده است.
ممیزی امنیتی
بررسی امنیتی جعبه سفید AntiFilter VPN در مارس ۲۰۲۳ به درخواست AntiFilter VPN توسط 7ASecurity انجام گردید. این بررسی سومین آزمون نفوذ این پروژه است و با توجه به تست و عیب یابی های مداوم قبلی، انتظار می رفت شناسایی ضعفهای امنیتی جدید طی این فرایند چالش برانگیز باشد.
هدف این تست، بررسی AntiFilter VPN به طور کامل و در جهت حصول اطمینان دسترسی کاربران AntiFilter VPN به بهترین امنیت و حریم خصوصی ممکن بود.
هماهنگی های لازم در فوریه ۲۰۲۳ جهت تسهیل شروع تست برای 7ASecurity انجام گردید. به منظور ایجاد تعامل موثر، اطلاعات لازم جهت انجام تست از طریق ایمیل و پیام رسان سیگنال بین 7ASecurity و تیم AntiFilter VPN تبادل گردید. تیم AntiFilter VPN طی روند نقد و بررسی، حتی در خارج از ساعات کاری هفته، پاسخگوی 7ASecurity بود تا از فراهم بودن دسترسیها و اطلاعات لازم در هر زمان و جلوگیری از هر گونه تاخیر غیرضروری اطمینان حاصل کند. 7ASecurity به طور مرتب وضعیت بررسی و یافتهها را در اختیار AntiFilter VPN قرار می داد.
در بررسی امنیتی ۲ نفوذپذیری و ۱۱ توصیه امنیتی با امکان نفوذ پایین شناسایی شد.
به طور کلی، AntiFilter VPN در مقابل طیف وسیعی از حملات مقاومت کرد. طی سومین بررسی و تست نفوذ، نفوذپذیری های نسبتا کمی یافت گردید که بیانگر اهمیت تداوم و تکرار تست نفوذپذیری ست. با توجه به سیکلهای مداوم تست و اصلاح امنیتی، انجام حمله سایبری به AntiFilter VPN به طور فزاینده ای سخت و سخت تر میگردد.
از دید امنیتی، AntiFilter VPN طی فرآیند بررسی، ویژگیهای مثبتی از خود ارائه کرد که لازم است عنوان گردد:
- در ابتدا لازم به ذکر است که تیم AntiFilter VPN در طول آزمون بسیار پاسخگو بود و اکثر ضعف های امنیتی و حریم شخصی شناسایی شده را به سرعت رفع کرد. بطوریکه تا زمانی که گزارش نهایی ارسال شد، بیشتر ترمیم ها و بهبودی های حریم شخصی از قبل اجرا شده بودند.
- نرم افزار تلفن همراه و سرورهای backend دارای سطح حمله نسبتا پایینی بودند، این مهم به طور چشمگیری احتمال آسیب پذیریهای امنیتی را کاهش می دهد. همچنین هیچ مستندی دال بر ذخیره سازی اطلاعات حساس و خصوصی کاربر چه در نرم افزار موبایل و چه در سرورها یافت نگردید. سرورهای AntiFilter VPN بطوری پیکربندی شده اند تا از آشکارسازی پورتها، حملات دیکشنری و نشت داده از طریق ذخیرهسازی غیر ضروری لاگها جلوگیری کنند. نکته چشمگیر دیگر این بود که سکرتها با استفاده از Jasypt در فایل properties جاوا رمزنگاری شده بودند.
- بررسی انجام شده روی تمامی اجزاء کد مثبت بود؛ چرا که کدهای منبع بالغ، از قبل ممیزی شده، نوشته شده بصورت حرفهای و به طور مناسب کامنت گذاری شده بودند، که خود باعث کاهش نگرانیهای امنیتی و حریم خصوصی می گردد.
- پلتفرم AntiFilter VPN بر پایه اصول محکمی ساخته شده است، به عنوان مثال، زیرساخت و سرورها به طور مناسب پیکربندی، پچ و تقویت شده اند. همچنین استفاده از ارائه دهندگان معروف ابری برای دور زدن محدودیت های اینترنتی که توسط حاکمیتها اعمال می شود، با موفقیت انجام پذیرفته است.
- نرم افزار موبایل در مقابل حملات DoS، ریدایرکت، دیپ لینک و همچنین نشت اطلاعات از طریق بکاپهای اندروید، پیامهای لاگ یا اسکرین شاتها مقاوم است. همچنین، نرم افزار موبایل به طور صحیحی از ترافیک DNS با استفاده از DoH (دیاناس بر بستر HTTPS) محافظت میکند (به جز برای کاربران ایرانی، چرا که DoH در ایران مسدود می باشد). به طور کلی، ترافیک کاربران AntiFilter VPN به میزان کافی تحت محافظت قرار دارد که این امر به وسیله دو لایه رمزنگاری مجزا و انتخاب الگوریتمهای رمزنگاری مناسب میسر گردیده است. علاوه بر این، پس از اتصال به VPN از طریق AntiFilter VPN، ترافیک تبادل شده از ترافیک HTTPS عادی غیرقابل تشخیص میگردد.
- سرورهای AntiFilter VPN در مقابل بسیاری از روشهای نفوذ رایج وب مقاوم هستند. برای مثال، طی بررسی، هیچ نفوذپذیریای از طریق Command Injection, SQLi, XSS, CSRF, SSRF و یا RCE یافت نشد. به علاوه، انکدینگ سختگیرانهای برای هرکدام از پارامترهای ورودی کاربر وجود دارد و سیستم مسدودسازی کاربران به خوبی پیادهسازی شده است.
- کنترل دسترسی به طور کلی به خوبی پیاده سازی گردیده است، به نحوی که کاربران بدون مجوز دسترسی، امکان ارسال کوئری به API را ندارند. همچنین، دسترسی به سرورها در هر جایی که ممکن بوده، با استفاده از لیست سفید IP و روشهای اعتبارسنجی محدود شده است.