ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

  عبارت مورد جستجو
تحلیل وضعیت فناوری اطلاعات در ایران

۱۲۷۷۹ مطلب با موضوع «others» ثبت شده است

تحلیل


هر چه سریعتر آپدیت iOS 12.4 را دریافت کنید

شنبه, ۱۲ مرداد ۱۳۹۸، ۰۹:۴۷ ق.ظ | ۰ نظر

اینکه سیستم‌عامل آیفون یا آیپد خود را به محض آمدن نسخه‌ی جدیدش آپدیت کنید کار بسیار خوبیست- تقریباً هر نسخه‌ی جدیدی از iOS با خود چند مورد باگِ برطرف‌شده دارد که در نسخه‌های قبلی دیده شده بود. اما این بار شاید این ماجرا پیچیده‌تر باشد: iOS 12.4 چندین آسیب‌پذیریِ جدی را در iMessage برطرف کرده است؛ آسیب‌پذیری‌هایی که بدون دخالت کاربر هم می‌توانند مورد اکسپلویت قرار گیرند.

این شش آسیب‌پذیری مهم در iOS توسط ناتالی سالیوانوویچ و ساموئل گروب؛ دو عضو تیم باگ‌یابیِ شرکت گوگل موسوم به پروژه‌ی صفر[1] پیدا کردند. آنچه تا کنون مشخص شده این است که باگ‌های مذکور به مهاجم اجازه می‌دهند تا کد آلوده‌ای را روی آیفون یا آیپد قربانی (بدون هیچ دخالت کاربر) اجرا کنند. تنها کاری هم که مهاجم برای اجرا شدن این اکسپلویت باید انجام دهد فرستادن پیامی آلوده به گوشیِ قربانی است.

درحالیکه چهار آسیب‌پذیری را می‌توان برای اجرای ریموت این کد آلوده استفاده کرد؛ دو آسیب‌پذیریِ دیگر به مهاجم اجازه می‌دهد تا فایل‌ها را روی دستگاه هک‌شده خوانده و اطلاعات را از روی مموری آن نشت دهد.

ترکیب هر شش آسیب‌پذیری، باگی را شکل می‌دهد که طی آن، کل داده‌های ذخیره‌شده روی آیفون قربانی‌ها بدون دخالت کاربری تحت کنترل مهاجم قرار می‌گیرد و هیچ‌چیز از این خطرناک‌تر نمی‌شود. علاوه بر اینها، از آنجایی که برای iOS هیچ آنتی‌ویروسی هم وجود ندارد شاید حتی کاربر نتواند این فعالیت آلوده را شناسایی کند (دیگر نگوییم که حتی توانایی مقابله با آن را هم نخواهد داشت).

این باگ‌ها عزیزکرده‌های مهاجمین هستند. برای مثال، طبق نمودار قیمت‌هایی که شرکت Zerodium در دسترس عموم قرار داده است، باگ‌هایی که در این سطح هستند می‌توانند هر یک تا سقف 1 میلیون دلار قیمت داشته باشند. با این تفاسیر، ZDNet قیمت باگ مذکور را چیزی بین 5 تا 10 میلیون دلار قیمت‌گذاری می‌کند.

محققین بر این باورند که حتی شاید  iOS 12.4 نتواند جلوی اکسپلویت شدن هر شش آسیب‌پذیری را بگیرد. از همین رو سالیوانوویچ و گروب قرار است جزئیات این باگ‌ها و همچنین اثبات مفهوم[2] نحوه‌ی اکسپلویت شدن آن‌ها را در کنفرانس امنیتی  Black Hat USA در اختیار عموم قرار دهند.

به هر صورت بهترین کار این است که هر کاربر iOS علی‌الحساب هر چه سریعتر نسبت به آپدیت  iOS 12.4 اقدام کند.

برای آپدیت iOS به Settings -> General -> Software Update رفته و روی گزینه‌ی Download and Install بزنید.

برای مطلع شدن از وجود آسیب‌پذیری‌ها در نرم‌افزاری که استفاده می‌کنید Kaspersky Security Cloud را نصب نمایید.

 

[1] Project Zero

[2] proof of concept

منبع: کسپرسکی آنلاین

 ترجمه و تنظیم: روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ 

خطر: استفاده‌ از کامپیوترهای شخصی در محل کار

چهارشنبه, ۹ مرداد ۱۳۹۸، ۰۹:۳۳ ق.ظ | ۰ نظر

بسیاری از شرکت‌ها اجازه می‌دهند کارمندان در محل کار از دستگاه‌های شخصی‌شان استفاده کنند- از تماس‌های کاری با گوشی‌های شخصی گرفته تا وصل شدن به اینترنت سازمانی با لپ‌تاپ‌های خانگی. چنین کاری می‌تواند از چند جهت مزیت داشته باشد؛ خصوصاً اگر شرکت‌ها کوچک باشند: کارمند از قبل قلق دستگاه دستش آمده و حسابی با کارکردهای آن آشناست؛ شرکت نیز دیگر احتیاج نیست بابت خرید دستگاه‌هایی برای کارمندان خود دست به جیب شود. اما در این میان خطراتی هم وجود دارد: ریسک‌های سایبری در حوزه‌ی کسب و کار این شرکت‌ها دو برابر می‌شود.

 

دستگاه‌های شخصی در محل کار- امری طبیعی

در طول چند سال اخیر، تعداد سازمان‌هایی که خط‌مشی‌شان بر پایه‌ی فناوری BYOD[1] است روز به روز بیشتر از قبل رشد می‌کند. طبق پژوهشی که شرکت Oxford Economics سال گذشته انجام داد مشخص شد دستگاه‌های موبایل نقش تعیین‌کننده‌ای در فرآیندهای سازمانی 75 درصد شرکت‌ها ایفا می‌کنند. علاوه بر این، تنها 17 درصد کارفرماها ترجیح می‌دهند برای کل پرسنل خود، گوشی‌های مخصوص شرکت تهیه نمایند. بقیه همگی کم و بیش اجازه می‌دهند کارمندان در محل کار، از دستگاه‌های شخصی خود استفاده کنند.

آیا صاحبان، خود مسئول حفاظت از دستگاه‌های شخصی‌شان هستند؟

درحالیکه سرورهای سازمانی و ایستگاه‌های کار به طور کلی به طور مطمئنی محافظت می‌شوند، لپ‌تاپ‌های شخصی، اسمارت‌فون‌ها و تبلت‌های مدیران و کارمندان همیشه هم از سوی دپارتمان امنیت آی‌تی پشتیبانی نمی‌شوند. در عوض، فرض بر این گذاشته می‌شود که دارندگان، خود باید مراقب دستگاه‌های شخصی خود باشند.

این رویکرد دقیقاً همان چیزیست که همیشه مجرمان سایبری می‌خواهند. این که می‌گوییم شایعه یا حدس و گمان نیست: این دزدی‌ها و هک‌های گجت‌های شخصی هر روزه در همه جای دنیا دارد اتفاق می‌افتد. در ادامه تنها قصد داریم چند نمونه‌ را یادآور شویم:

 

سرقت دستگاه

ماه ژوئن سال گذشته، سازمان دارویی میشیگان[2] -در پی دزدیده شدن لپ‌تاپ شخصی یکی از کارمندان این شرکت- نشتی احتمالی اطلاعات حدود 870 بیمار را گزارش داد. اطلاعات داخل این لپ‌تاپ -برای مقاصد پژوهشی- روی لپ‌تاپ شخصی مذکور ذخیره شده بود (که البته بسته به هر پروژه هم با یکدیگر متفاوت بودند)؛ اما سوابق در خود اطلاعاتی نظیر نام، تاریخ تولد، جنسیت، تشخیص بیماری و سایر اطلاعات مربوط به درمان بیماران داشت.

 

هک کردن کامپیوتر خانگی

اینکه سارق از اطلاعات استفاده کرده است یا نه هنوز در هاله‌ای از ابهام است؛ اما در پی همین واقعه کلاینت‌های Bithumb بدبین شدند. مجرمان سایبری وارد کامپیوتر خانگی یکی از کارمندان این شرکت شدند و اطلاعات کیف‌پول حدود 32 هزار کاربر در این سرویس صرافی ارز دیجیتال را سرقت کردند. در نتیجه، این بی‌وجدان‌ها توانستند صدها هزار دلار از اکانت کلاینت‌های سرویس Bithumb برداشت کنند.

با این که شرکت قول داد تمام خسارات قربانیان را با هزینه‌ی شخصی پرداخت کند؛ اما مشتریان هنوز هم کینه دارند و از شکایت خود بر علیه این سرویس دست بردار نیستند.

 

خط‌مشی BYOD و امنیت

اینه صرفاً به کارمندان اجازه دهیم تا از دستگاه‌های خود استفاده کنند و فکر کنیم داریم از سیاست BYOD پیروی می‌کنیم کافی نیست. اینکه بگذارید کارمندی برای ذخیره‌ی اطلاعات و استفاده از داده‌های مربوط به کارش از گوشی یا لپ‌تاپ شخصی‌اش استفاده کند یعنی اینکه پذیرفته‌اید هر خطری سازمان شما را تهدید کند. به منظور کاهش احتمال آسیب دیدن از چنین خطراتی اقدامات زیر را توصیه می‌کنیم:

واحدهای آموزشی در خصوص جدیدترین تهدیدهای سایبری و افزایش آگاهی امنیتی برگزار کنید. کارمندان نیاز دارند نسبت به خطرات استفاده از دستگاه‌های شخصی در محل کار به درک و آگاهی کافی برسند.
مطمئن شوید تمام گجت‌هایی که به داده‌ها و شبکه‌های سازمانی دسترسی دارند مجهز به راه‌حل‌های امنیتی‌ باشند- ایده‌آل‌ترین شرایط این است که همگی تحت مدیریت مسئول شرکت باشند. اگر چنین چیزی ممکن نیست، به کارمندان توصیه کنید دست کم برای دستگاه‌های شخصی خود راه‌حل‌های امنیتی خانگی نصب کنند. و به طور کلی اجازه‌ی استفاده از دستگاه‌های محافظت‌نشده را ندهید.
مطمئن شوید تمامی اطلاعات محرمانه‌ی روی این اسمارت‌فون‌ها، تبلت‌ها  و لپ‌تاپ‌ها در قالبی رمزگذاری‌شده ذخیره شده باشد. سیستم‌عامل‌های مدرن موبایل به کاربران اجازه می‌دهند کل گوشی یا تبلت خود را رمزگذاری کنند. برای رمزگذاری‌ مطمئن داده‌ها، پیشنهاد ما به شما Kaspersky Small Office Security است. بدین‌ترتیب، حتی اگر دستگاه گم یا دزدیده، این راه‌حل نخواهد گذاشت افراد غریبه به داده‌های حیاتی دسترسی پیدا کنند.

Kaspersky Small Office Security مخصوص تأمین نیازهای شرکت‌های کوچک است. استفاده از این راه‌حل نه نیاز به مهارت خاص دارد و نه آموزش (در بخش ادمین). هر کسی می‌تواند این کنترل پنلِ مبتنی بر وب را مدیریت کند. در عین حال، این بسته‌ی امنیتی هم کامپیوترها و هم دستگاه‌های موبایل را تحت پوشش حفاظتی خود قرار می‌دهد. 

 

[1]دستگاه خود را بیاورید

[2]  Michigan Medicine 

منبع: کسپرسکی آنلاین

تهیه و تنظیم: روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)

 

قانون جدید اتحادیه اروپا درباره فیس بوک

سه شنبه, ۸ مرداد ۱۳۹۸، ۰۱:۴۸ ب.ظ | ۰ نظر

طبق رای دادگاه دیوان عدالت اتحادیه اروپا، شرکت هایی که از دکمه لایک فیس بوک استفاده می کنند قبل از ارسال اطلاعات کاربران به این شبکه اجتماعی باید از رضایت آنها اطمینان حاصل کنند.

به گزارش خبرگزاری مهر به نقل از رویترز، طبق رای دادگاه دیوان عدالت اتحادیه اروپا(ECJ) در لوگزامبورگ، شرکت هایی که دکمه «لایک» فیس بوک را در وب سایت های خود قرار می دهند باید قبل از دادن اطلاعات شخصی کاربران به این شرکت آمریکایی، از رضایت آنها اطمینان حاصل کنند.

 پلاگین های وب سایت ها مانند «لایک» فیس بوک یک ویژگی معمول در خرید آنلاین است زیرا شرکت ها سعی دارند کالاهایشان را در شبکه های اجتماعی پرطرفدار تبلیغ کنند. اما کارشناسان بیم آن دارند با این روش اطلاعات کاربران منتقل و در نتیجه قوانین حفظ حریم خصوصی کاربران شکسته شود.

 دادگاه  دیوان عدالت اتحادیه اروپا(ECJ)  پس از آن صادر شد که یک سازمان حمایت از مصرف کننده در آلمان شرکت خرده فروشی آنلاینFashion ID را به نقض قوانین حفظ اطلاعات شخصی کاربران به وسیله پلاگین «لایک» فیس بوک متهم کرد.

 در نتیجه این روند دادگاه آلمان نیز به دنبال راهنمایی در این باره بود. قضاتECJ نیز اعلام کردند وب سایت ها و فیس بوک به طور مشترک مسئول حفاظت از اطلاعات کاربران هستند.

طبق قوانین حفظ حریم خصوصی اطلاعات اتحادیه اروپا که سال گذشته تصویب شد، کنترل کننده اطلاعات تعیین می کند که چرا داده های شخصی باید جمع آوری و پردازش شوند و همچنین رضایت کاربران را تضمین می کند.

پردازنده اطلاعات که معمولا یک شرکت ثالث است، فقط اطلاعات شخصی را از طرف کنترل کننده پردازش می کند. به گفته قضات اپراتور وب سایتی که دارای دکمه لایک فیس بوک است ، به طور مشترک با فیس بوک مسئول جمع آوری و انتقال اطلاعات شخصی بازدید کنندگان به وب سایت شبکه اجتماعی هستند.

همچنین قضات اعلام کرده اند: این خرده فروش آلمانی از مزیت تجاری  بهره مند شده زیرا دکمه «لایک» محصولات خود را در فیس بوک نمایان تر می کند. هرچند این  شرکت هیچ مسئولیتی در قبال پردازش داده های بعدی فیس بوک ندارد.

 فیس بوک نیز اعلام کرده رای دادگاه اهمیت پلاگین های وب سایت روشن می کند و آنها یک ویژگی مهم اینترنت هستند.

در حالی که برخی کشورهای بزرگ جهان سیاست‌های محافظه کارانه‌ای را در پیش گرفته‌اند کشورهای کوچک و نه چندان مطرح اما به سرعت در حال فعال شدن در این بازار و تثبیت سهم خود از بازار ارزهای مجازی جهانی هستند.

به گزارش فارس به نقل از رویترز، در ماه مارس 2017  الکساندر لوکاشنکو رئیس‌جمهور بلاروس با یک سرمایه‌دار و کارآفرین به نام ویکتور پروکوپنیا دیدار کرد.

این دیدار قرار بود نهایتا یک ساعت به طول بیانجامد اما پس از آنکه این دو شخصیت با یکدیگر دیدار کردند مدت زمان ملاقات آنها سه ساعت طول کشید. 

به گفته پروکوپنیا این ملاقات با درخواست رئیس‌جمهور بلاروس برای ارائه پیشنهاد قوانین جدید برای بالا بردن عملکرد این کشور در حوزه فناوری اطلاعات به پایان رسید.

سرمایه‌دار بلاروسی پس از این دیدار با همکاری شرکت‌های آی‌تی و وکلای گوناگون توانست دستورالعمل ورود بلاروس به صنعت نوپای ارزهای دیجیتال یا مجازی را فراهم کند.

حالا پس از دو سال آن دستورالعمل به قانون تبدیل شده است.

سرمایه‌گذاران می‌توانند در پلت فرم ایجاد شده توسط پروکوپنیا به داد و ستد بیت کوئین پرداخته و دیگر شرکت‌های بلاروسی نیز در حال ایجاد پلت فرم‌های نقل و انتقال ارزهای مجازی اختصاصی خود هستند.

پروکوپنیا طی مصاحبه‌ای با رویترز در لندن گفته است که هدف این بود که همه چیز از پایه و اساس ایجاد شود و این اطمینان حاصل شود که در برخی ابعاد که مبادلات باید آزاد باشند این آزادی فراهم شده و در دیگر ابعاد سختگیری‌های شدیدی اعمال شود. 

در واقع بلاروس یکی از چند کشور کوچک جهان است که قوانین خاصی را برای ارزهای مجازی اجرایی کرده است. 

اقدامات مقامات بلاروس می‌تواند به شکل‌گیری و توسعه بازار جهانی و رشد نقش‌آفرینان این صنعت از پلت فرم‌های داد و ستد گرفته تا کارگزاری‌ها منجر شود.

می‌توان گفت که شرکت‌های فعال در حوزه ارزهای مجازی برای ایجاد فروشگاه‌های خود همواره  مجبور به انتخاب بین دو گزینه سخت هستند. 

در قالب گزینه اول مراکز اصلی مالی جهان نظیر لندن و نیویورک که قوانین سنتی بر حوزه خدمات مالی اعمال می‌شود ممکن است برای شرکت‌های بزرگ که به دنبال امنیت هستند، جذاب به نظر برسد اما پیچیدگی رعایت این قوانین و هزینه آنها بسیاری از استارت آپ‌ها در این صنعت نوپا را در همان قدم‌های نخستین متوقف کرده است.

گزینه دوم هم رفتن به سمت کشورهایی نظیر بلیز و سیشل است که قوانین بسیار سبک و خیلی ساده بر بازار ارز مجازی و دسترسی به آن ایجاد شده است اما باید گفت کشورهای با قوانین آسان و نه چندان سختگیرانه حمایت کمتری را برای سرمایه‌گذاران فراهم کرده و حساسیت کمتری نسبت به پولشویی دارند.

در عین حال کشورهایی نظیر بلاروس و دیگر کشورهای تازه وارد نظیر بحرین، مالتا و جبل‌الطارق در تلاش هستند تا راه سومی پیش پای شرکت‌های فعال در حوزه ارزهای مجازی بگذارند و این راه ایجاد قوانین اختصاصی برای حوزه ارزهای مجازی است تا از این طریق بتوانند با ایجاد امنیت حقوقی در کنار ارائه مشوق‌های دیگر نظیر معافیت مالیاتی  شرکت‌های ارز مجازی را جذب کند. 

اگرچه هیچ تضمینی برای موفقیت کشورهای مزبور در این زمینه وجود ندارد اما صنعت ارز مجازی فرصتی مغتنم را برای آنها ایجاد می‌کند که در حالی که مراکز مالی بزرگ جهان سیاستی محافظه‌کارانه را در قبال ارزهای مجازی در پیش گرفته‌اند  این کشورهای کوچک و یا  قلمروها بتوانند سهم کوچکی از این بازار نوظهور داشته وبه شکلی بالقوه به جذب سرمایه‌ بپردازند و شاید افزایش اشتغال باشند.

جسی اورال یکی از وکلای مؤسسه کلیفورد چنس نیویورک که اتفاقا در زمینه ارزهای مجازی تخصص داد، می‌گوید: از یک طرف ما قوانین حقوقی در برخی کشورها را داریم که بسیار ضعیف هستند و در طرف دیگر ماجرا کشورهایی نظیر آمریکا، انگلیس و اتحادیه اروپا با قوانین بسیار سختگیرانه هستند اما در وسط اتفاقا قسمت شیرین و پرسود ماجرا که شامل کشورهایی نظیر بلاروس و بحرین است قرار دارد.

هم شرکت‌ها و هم کشورها باید به صورت مشترک از ایجاد زیرساخت‌ها و چارچوب مبادلات ارز مجازی منفعت ببرند اما کشورهایی که قوانین نادرست و نامتناسب در این زمینه وضع می‌کنند ممکن است فریب قوانین جهانی را خورده و دچار بحران‌های مهمی در این حوزه از جمله قاچاق ارزهای مجازی شوند.

در حقیقت ابهاماتی جدی در زمینه توانایی این کشورها در زمینه جلوگیری و مقابله با اقدامات غیرقانونی نظیر پولشویی و حک شدن شرکت‌ها، وجود دارد.

این مسائل می‌توانند به طاعون این صنعت بدل شده و به اعتبار کشورها به عنوان مرکز امن مبادلاتی آسیب بزند.

یک مشکل دیگر در زمینه قانونگذاری در فضای ارز مجازی این است که با توجه به سرعت بسیار بالای توسعه این صنعت و غیرقابل پیش‌‌بینی بودن آن ممکن است این قوانین خیلی زود تاریخ‌شان بگذرد.

شرکت ZPX سنگاپور که در صنعت ارزهای مجازی فعال است قصد دارد یک پلت فرم مبادلات ارز مجازی ایجاد کند. 

این شرکت تصمیم گرفته پلت فرم خود را در منامه، پایتخت بحرین ایجاد کند و دغدغه‌های این شرکت مشکلات بزرگی است که تمام بازیگران بازار ارزهای مجازی در اقصی نقاط جهان با آن روبرو هستند.

مدیرعامل این شرکت می‌گوید که تصمیم گرفته‌ایم که در کشورهایی که در این زمینه قواعد سفت و سخت دارند و یا اصلا قانونی در این زمینه ندارند، فعالیت نکنیم. اینگونه مراکز می‌توانند با داغ شدن بازار تحقیقات درباره دارندگان ارز مجازی و نحوه مبادلات آن سرمایه‌گذاران را از بازار دور کنند.

بحرین در ماه فوریه سال جاری قوانینی را برای فعالیت شرکت‌های مرتبط با ارزهای مجازی تدوین کرد که از جمله آنها ایجاد پلت فرم مبادلاتی، بررسی سوابق خریداران، اعمال استانداردها و همچنین کنترل سایبری است.

به گفته رامانی راماچاندران مدیرعامل ZPX هزینه فعالیت در بحرین نسبت به دیگر نقاط جهان نیز منطقی‌تر است. در واقع هزینه رعایت قوانین و پرداخت مطالبات دولتی در این زمینه در بحرین و دیگر کشورهای کوچک در مقایسه با مراکز بزرگ مالی جهانی مانند نیویورک بسیار ارزان‌تر است.

بر اساس ارزیابی ZPX هزینه هر سال فعالیت در بحرین در صنعت ارز مجازی حدود 200 هزار دلار خواهد بود که البته این رقم  در جایی مانند لندن به 750 هزار دلار در سال افزایش خواهد یافت.

آدیتیا میشرا یکی دیگر از مقامات ارشد ZPX می‌گوید: از دیگر مزایای فعالیت در کشورهای کوچک ارتباط نزدیک  شرکت‌های فعال در این زمینه با قانونگذاران است که این مسئله در کشورهای بزرگ به سختی انجام می‌شود.

از طرف دیگر کشور بحرین دسترسی خوبی به بازار کشورهای حاشیه خلیج فارس فراهم کرده است.

شرکت iExchange یکی دیگر از شرکت‌هایی است که در زمینه ارز مجازی فعالیت خود را در مینسک پایتخت بلاروس آغاز کرده است.

این شرکت قصد دارد از کشورهایی نظیر روسیه و کشورهای شوروی سابق جذب سرمایه کند. 

یکی از مقامات این شرکت می‌گوید بلاروس بهترین گزینه بود چرا که قوانین حقوقی داشت که این قوانین در کشورهای دیگر منطقه وجود ندارد. 

در بلاروس جزئیات حسابرسی و صورت‌های مالی مربوط به هر گونه فروش ارزهای دیجیتال و هر پروژه‌ای که مربوط به انتشار ارزهای دیجیتال است باید به دولت این کشور ارائه گردد.

پلت فرم‌های نقل و انتقال ارزهای مجازی در این کشور هم ملزم هستند که مبادلات مشکوک را زیر نظر داشته تا استانداردهای مربوط به مبارزه با پولشویی را رعایت کنند.

از طرف دیگر بلاروس مشوق‌هایی را نیز که از جمله آنها ارائه تخفیف مالیاتی به شرکت‌های معدن‌کاو یا ماینر ارز مجازی و یا مبادلات آن است، برای فعالان بازار فراهم کرده است.

این قوانین از سوی دولت با نام "هویج‌های بدون چماق" نامگذاری شده که در قالب آنها صدور ویزا برای شرکت‌ها تسهیل شده و قوانین کمتر سختگیرانه‌ای اعمال می‌شود.

در عوض در کشورهایی نظیر انگلیس و آمریکا هر گونه تراکنش مرتبط با ارز مالی مشمول مالیات می‌شود.

ارزیابی حجم مبادلاتی و ارزش بازار ارزهای مجازی در جهان در شرایط کنونی قابل محاسبه نیست چرا که این بازار در حال حاضر با کمبود شفافیت و پیچیدگی همراه است.

اما مؤسسه ریسرچ اند مارکتز ایرلند تخمین زده است که حجم مبادلات ارزهای مجازی تا سال 2024 افزایش چشم گیری را نسبت به شرایط کنونی خواهد داشت.

آنه صوفی کلوتس یکی از نویسندگان تحقیق مربوط به قوانین ارزهای مجازی در دانشگاه کمبریج می‌گوید: وجود قانون در یک منطقه می‌تواند به شرکت‌ها دسترسی عمیق‌تر به بازار با نقدینگی بیشتر را فراهم کرده و برای آنها اطمینان بیشتری را نسبت به ثبات قانونی ایجاد می‌کند.

هک اطلاعات 106 میلیون مشتری بانک آمریکایی

سه شنبه, ۸ مرداد ۱۳۹۸، ۰۱:۳۷ ب.ظ | ۰ نظر

بانک کاپیتال وان آمریکا اعلام کرد که اطلاعات شخصی شامل نام و آدرس، شماره خدمات تأمین اجتماعی و لینک حساب کاربری حدود صد میلیون از مشترکان آمریکایی و کانادایی این بانک از سوی یک هکر به سرقت رفته است.

به گزارش فارس به نقل از رویترز، بانک کاپیتال وان آمریکا اعلام کرد یک هکر توانسته است اطلاعات کاربری حدود صد میلیون مشترک این بانک را به سرقت ببرد. 

این اطلاعات شامل نام و محل سکونت، شماره خدمات تأمین اجتماعی و لینک حساب بانکی مشتریان بوده و تعداد کاربرانی که اطلاعات آنها دستخوش سرقت شده حدود صد میلیون نفر در آمریکا و 6 میلیون نفر در کانادا اعلام شده است.

بنا به اعلام کپیتال وان هکر مذکور دستگیر شده  و 33 سال سن دارد.

این هکر پیش‌تر در یک شرکت کامپیوتری در سیاتل آمریکا مهندس نرم‌افزار بوده و نام وی از سوی مقامات آمریکایی پیج تامسون اعلام شده است.

این هک بزرگ بین روزهای 12 مارس تا 17 جولای انجام شده و تامسون اطلاعات مربوط به هک خود را در یک پلت فرم رمز نگاری قرار داده بود.

یک کاربر دیگر این اطلاعات را دیده و سپس به بانک کاپیتال وان گزارش داده است.

هکر مذکور در روز 19 جولای توسط مقامات قضایی آمریکا بازداشت شد.

به گفته نماینده دفتر دادستانی آمریکا هنوز انگیزه تامسون از هک اطلاعات میلیون‌ها کاربر مشخص نیست.

کاپیتال وان اعلام کرده که هزینه تحمیل شده به این بانک ناشی از هک مزبور بین 100 تا 150 میلیون دلار برآورد می‌شود که شامل هشدار به کاربران، نظارت اعتباری و انجام امور قانونی می‌شود.

دستگاه‌های یو‌اس‌بی، حربه‌هایی برای حمله

سه شنبه, ۸ مرداد ۱۳۹۸، ۱۱:۵۷ ق.ظ | ۰ نظر

لوکا بونگیورنی از شرکت نرم‌افزاری بنتلی سیستم در طول سخنرانی‌اش در #TheSAS2019، دستگاه‌های یو‌اس‌بی را اصلی‌ترین منابعِ بدافزارها برای سیستم‌های نظارتی صنعتی خواند. بیشتر افرادی که به نحوی با امنیت سر و کار دارند داستان‌ قدیمیِ افتادن تصادفیِ فلش‌داریوها در پارکینگ به گوششان رسیده است- داستان امنیتی‌ محبوب تأثیرگذاری که مدام تعریف می‌شود.

داستان -واقعی- دیگر در مورد فلش‌داریوهای یو‌اس‌بی، داستان کارمند یک شرکت صنعتی بود که می‌خواست فیلم لالالند را ببیند و برای همین تایم ناهار، شروع کرد به دانلود این فیلم روی فلش‌داریو. و اینطور شد که سیستم مبتنی بر معیار شبکه شکاف هوا[1] این نیروگاه هسته‌ای آلوده شد- داستانی کاملاً آشنا از آلودگی زیرساختی حیاتی. اما افراد اصولاً فراموش می‌کنند دستگاه‌های یو‌اس‌بی تنها به فلش‌درایوها محدود نمی‌شوند. دستگاه‌های رابط انسان (HIDs) همچون کیبورد و موس، کابل‌های شارژ اسمارت‌فون و حتی چیزهایی از قبیل گوی پلاسما و ماگ‌های حرارتی می‌توانند جوری دستکاری شوند تا سیستم‌های نظارتی صنعتی را مورد هدف قرار دهند.

 

تاریخچه‌ای کوتاه از  USBهایی که به عنوان حربه‌ای برای حمله به کار رفتند

با وجود فراموشکاری افراد، اخبار یو‌اس‌بی‌هایی که به عنوان حربه‌ از آن‌ها استفاده می‌شود چندان هم تازه نیست. اولین باری که چنین دستگاه‌هایی نوشته شدند به سال 2010 برمی‌گردد. این دستگاه‌ها در واقع مبتنی بر صفحه‌ی کوچک قابل‌برنامه‌ریزی به نام تینسی (Teensy) و مجهز به کانکتور یو‌اس‌بی بودند که می‌توانستند همچون  HID‌ها عمل کنند. آن‌ها در حقیقت ضربات روی دکمه‌های کیبود را به پی‌سی ارسال می‌کردند. هکرها متوجه شدند که از این دیوایس‌ها می‌شود برای تست نفوذ استفاده کرد. از همین رو موفق به ساخت نسخه‌ی برنامه‌نویسی‌شده‌ای شدند که کاربران جدیدی می‌ساخت؛ برنامه‌هایی را بک‌ُدر اضافه می‌کرد اجرا  و بدافزار را یا با کپی آن و یا دانلودش از وبسایتی خاص تزریق می‌کرد. اولین نسخه از این تینسیِ دستکاری‌شده PHUKD. Kautilya, نام داشت که با صفحات محبوب Arduino (که بعداً تولید شد) سازگاری داشت. بعد سر و کله‌ی Rubberducky پیدا شد- شاید بشود آن را بهترین ابزار یو‌اس‌بی شبیه‌سازی ضربات کیبورد قلمداد کرد. ابزار قدرتمندتری موسوم به  Bash Bunny نیز در سری حملاتی که به دستگاه‌های خودپرداز مورد استفاده قرار گرفت.

شخصی که PHUKD را اختراع کرده بود به سرعت ایده‌ی موسِ تروجان‌زده به ذهنش خطور کرد (با یک صفحه‌ی تست نفوذ، جاسازی‌شده داخلش). بنابراین علاوه بر اینکه کارایی معمول یک موس را داشت همچنین می‌توانست هر کاری را PHUKD قادر بود نیز انجام دهد. از دیدگاه مهندسی اجتماعی، استفاده از HID واقعی به منظور نفوذ به سیستم‌ها شاید حتی ساده‌تر از به کارگیری خود یو‌اس‌بی‌ها (دقیقاً به همان مقصود) باشد؛ زیرا حتی افرادی که به حد کافی دانش دارند که نخواهند یک درایو ناشناخته را به دستگاه پی‌سی خود نزنند معمولاً هیچ نگرانی در مورد کیبورد یا موس ندارند.

تولید نسل دوم دستگاه‌های مجهز به یو‌اس‌بی به عنوان حربه‌های حمله در طول سال‌های 2014-2015 کلید خورد و شامل دستگاه‌های بدنام مبتنی بر BadUSB می‌شد.  گفته می‌شود TURNIPSCHOOL و Cottonmouth توسط آژانس امنیت ملی آمریکا (NSA) ساخته شد و همچنین جالب است بدانید: این دستگاه‌ها آنقدر کوچک بودند که می‌توانستند داخل کابل یو‌اس‌بی جا شوند و برای انتقال اطلاعات آلوده مورد استفاده قرار گیرند. تنها یک کابل ساده- کسی حتی فکرش هم نمی‌کند، نه؟

 

دستگاه‌های یو‌اس‌بی در شرایط مدرن

نسل سوم ابزارهای تست نفوذ یو‌اس‌بی موج مدرنی به راه انداخت. یکی از آن‌ها WHID Injector نام دارد که اساساً Rubberducky است با کمی تغییرات (به اضافه‌ی کانکشن وای‌فای). از آنجایی که به اتصال وای‌فای مجهز است دیگر نیازی نیست ابتدا (برای وظایفی که باید انجام دهد) برنامه‌نویسی شود. فردِ هکر می‌تواند این ابزار را از راه دور تحت نظارت قرار دهد که همین سطح جدیدی از انعطاف‌پذیری را به همراه می‌آورده و همچنین سازگاری با چندین سیستم‌عامل مختلف را ممکن می‌سازد. ابزار نسل سوم دیگر P4wnP1 نام دارد که بر پایه‌ی Raspberry Pi است و به Bash Bunny شباهت دار (هر چند کارکردش بیشتر است: اتصال بی‌سیم).

و البته هر دوی WHID Injector و Bash Bunny به حد کافی کوچک هستند که بتوان آن‌ها را در کیبورد یا موس جاسازی کرد. در ویدیوی زیر، لپ‌تاپی را خواهید دید که نه به یو‌اس‌بی وصل است، نه به اترنت و نه به وای‌فای؛ اما کیبورد تروجان‌زده در ضمیمه‌ی خود دارد که به مهاجم ریموت اجازه می‌دهد تا فرمان‌ها را انجام داده و اپ‌ها را اجرا کند.  

دستگاه‌های کوچک یو‌اس‌بی مانند همین دو تایی که در بالا اشاره کردیم حتی می توانند طوری برنامه‌نویسی شوند که شبیه به مدل خاصی از یک HID باشند و از این طریق سیاست‌های امنیتیِ شرکت‌هایی را که تنها موس و کیبورد فروشندگان خاص را قبول می‌کنند دور بزنند. ابزارهایی همچون WHID Injector همچنین می‌توانند به میکروفون هم مجهز باشند تا بدین‌وسیله نظارت صوتی داشته باشند و جاسوسی افراد را بکنند. بدتر اینکه، چنین دستگاهی برای خرابکاری و دستکاری کل شبکه کافیست؛ مگر آنکه شبکه به طرز صحیحی جداسازی شده باشد.

 

راهکارهای جلوگیری

موس‌ها و کیبوردهای تروجان‌زده و نیز کابل‌های مخصوص جاسوسی یا مخرب، تهدیدهای جدی‌ای هستند و می‌توانند حتی برای دستکاری سیستم‌های مبتنی بر معیار شبکه شکاف هوا نیز مورد استفاده قرار گیرند. این روزها، ابزارهایی که برای چنین حملاتی استفاده می‌شوند را می‌توان با قیمت‌هایی بسیار پایین خریداری کرد و با کمترین سواد و دانش آن‌ها را برنامه‌نویسی نمود. بنابراین هیچگاه نباید چنین تهدیدهایی را دست‌کم گرفت.

برای محافظت از زیرساخت‌های حیاتی در برابر چنین تهدیدهایی باید از رویکردی چندلایه‌ای استفاده کرد:

ابتدا از امنیت فیزیکی مطمئن شوید تا پرسنلی که صلاحیت ندارد نتواند دستگاه‌های یو‌اس‌بی متفرقه به سیستم‌های نظارتی صنعتی بزند. همچنین پورت‌های یو‌اس‌بی بلااستفاده را (روی چنین سیستم‌هایی) مسدود کرده و نگذارید HID‌هایی که از قبل وصلند برداشته شوند.
به کارمندان خود آموزش دهید تا به تمامی انواع تهدیدها از جمله دستگاه‌هایی که به عنوان حربه مورد استفاده قرار می‌گیرند واقف باشند (که دیگر ماجرای فیلم لالالند که برایتان تعریف کردیم دوباره پیش نیاید).
شبکه‌ را به طور صحیحی جداسازی کنید و دسترسی به حقوق را مدیریت نمایید تا مهاجمین نتوانند به سیستم‌ها (که برای کنترل زیرساخت‌های حیاتی مورد استفاده قرار می‌گیرند) دسترسی پیدا کنند.
همه‌ی سیستم‌های داخل شرکت یا سازمان را با راه‌حل‌های امنیتی محافظت کنید. این راه‌حل‌ها قادرند هر نوع تهدیدی را شناسایی کنند. فناوری Kaspersky Endpoint Security به هیچ HID اختیار نخواهد داد مگر آنکه کاربر با استفاده از HID که از قبل مجوز دریافت کرده، کدی را وارد کند.

 

[1] Air gap

منبع: کسپرسکی آنلاین

ترجمه و تنظیم: روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)

لینک ویدیو در آپارات:

<div id="43811971425"><script type="text/JavaScript" src="https://www.aparat.com/embed/ayA8H?data[rnddiv]=43811971425&data[responsive]=yes"></script></div>

داستان جالب کابل‌های اینترنت زیر دریا

يكشنبه, ۶ مرداد ۱۳۹۸، ۰۱:۴۰ ب.ظ | ۰ نظر
کابل اینترنت زیر دریا
کابل اینترنت زیر دریا

در سال 1866 کابل‌های جدیدی ساخته شده بود که می‌توانست بین 6 تا 8 کلمه را در هر دقیقه ارسال کند و تا پایان قرن نوزدهم، این عدد به بیش از 40 کلمه در دقیقه رسید. در سال 1956 اولین خط تلفن زیردریایی به نام ترانس‌آتلانتیک شماره 1 (TAT-1) کارگذاشته شد و در سال 1988 کابل TAT-8 در زیر دریا قرار داده شد که سرعتی معادل 280 مگابایت در ثانیه داشت (تقریبا 15 برابر سرعت متوسط اینترنت خانگی در آمریکا). این کابل از نوعی فیبر نوری بود که داده‌ها را با استفاده و با سرعتی سرسام‌آور منتقل می‌کند.

در سال 2018 کابل ماره‌یا (Marea به معنی جزر و مد) بین بیلبائو در اسپانیا و ایالت ویرجینیا در ایالات متحده عملیاتی شده که سرعتی انتقالی تا 160 ترابیت در ثانیه – 16 میلیون‌بار سریع‌تر از اینترنت خانگی آمریکا- دارد و امروز نزدیک به 380 کابل زیر دریا در سرتاسر جهان عملیاتی شده که طول کل آنها به بیش از 1.2 میلیون کیلومتر می‌رسد.

تلگرام تبریک  ملکه ویکتوریا به بیوکنن
متن تلگرام ملکه ویکتوریا به جیمز بیوکانن
 
کابل‌های زیردریا به نیرویی نامرئی تبدیل شده‌اند که دنیای مدرن اینترنت را به پیش می‌رانند و در سال‌های اخیر غول‌های فناوری مثل فیس‌بوک، گوگل، مایکروسافت و آمازون در راه‌اندازی این کابل‌ها سرمایه‌گذاری کرده‌اند. این کابل‌ها قریبا تمامی ارتباطات امروز ما را منتقل می‌کنند و در دنیای شبکه‌های بی‌سیم و موبایل‌ها، بسیاری از ما از وجود آنها و اهمیت‌شان بی اطلاعیم. جالب اینکه با وجودی که ارتباطات ما هر روز بیش از پیش بی‌سیم می‌شود، میزان انتقال داده‌ها روی این کابل‌ها نیز به طور روزافزون و با ضریب نمایی رو به افزایش است.

بایرون کلترباک، مدیراجرایی سیکام (شرکتی چندملیتی که متولی راه‌اندازی تعدادی از کابل‌های زیردریا برای اتصال آفریقا به سایر قاره‌هاست) می‌گوید: بسیاری مردم وقتی میزان اتکای اینترنت را به کابل‌ها درمی‌یابند، شگفت زده می‌شوند. مردم به قدری به موبایل وابسته‌اند و مدام دنبای اتصال وای‌فای می‌گردند که این موضوع در مخیله‌شان نمی‌گنجد و نمی‌دانند این شبکه عظیم از کابل‌ها برای برقراری ارتباط آنها مدام در حال کار است.

وی می‌افزاید: مردم فقط وقتی متوجه می‌شوند که یکی از این کابل‌ها قطع می‌شود.

 
قطعی شبکه
در سال 2012 میلادی، توفان سندی به سواحل شرقی ایالات متحده هجوم آورد و نزدیک به 71 میلیاد دلار خسارت به بار آورد. این توفان همچنین تعدادی از سویچ‌های اصلی کابل‌های زیردریایی اتصال آمریکای شمالی و اروپا را از کار انداخت.

فرانک ری، مدیر استراتژی شبکه جهانی برای زیرساخت ابری و واحد عملیات مایکروسافت، همان زمان در بیانیه‌ای اعلام کرد که این مساله وقفه‌ای بزرگ در کار به وجود آورد و کل شبکه بین آمریکای شمالی و اروپا را به مدت چند ساعت ایزوله کرد.

وی افزود: این توفان برای ما، نشانه‌ای از چالش‌های بالقوه بود که در پایداری کابل‌های ارتباط دو سوی اقیانوس اطلس با آن مواجه‌ایم و ورودی تمامی آنها به خاک آمریکا در منطقه نیویورک و نیوجرسی است.

به همین دلیل، مایکروسافت در راه‌اندازی کابل ماره‌یا، تصمیم گرفت که مرکز عملیات این کابل را در ایالات متحده به ساحل ویرجینیا منتقل و به این ترتیب احتمال قطعی شبکه در صورت بروز توفان‌های مشابه در نیویورک را به حداقل برساند.

البته توفان‌هایی مثل سندی، در قطع ارتباطات تاثیرگذارند؛ ولی اکثر مواقع، طبیعیت در این موضوع بی تقصیر است. سالانه تقریبا 200 مورد خطا و قطعی مشابه رخ می‌دهد که عامل عمده این حوادث خود انسان است.

نقشه قطعی کابل های اینترنت در ساحل تایوان
نقشه قطعی در کابل‌های اینترنت در سواحل تایوان

تیم استرانگ، نایب‌رییس واحد تحقیقات در شرکت تحقیقاتی تله‌ژئوگرافی می‌گوید: دو سوم موارد از کار افتادن کابل‌ها در اثر حوادثی که به فعالیت‌های انسان‌ها مربوط می‌شود؛ مواردی مانند تورهای ماهیگیری یا برخورد لنگر کشتی‌ها.

وی می‌افزاید: پس از عوامل انسانی، بزرگ‌ترین عامل قطعی کابل‌ها حوادث طبیعی مانند زلزله و رانش زمین در زیر دریاهاست.

در سال 2006 میلادی زلزله‌ای به قوت 7 ریشتر، ساحل جنوب غربی تایوان را لرزاند. این زلزله و پس‌لرزه‌های آن موجب قطع 8 کابل زیردریا شد که در پی آن، اینترنت در کل تایوان، هنگ کنگ، چین، ژاپن، کره و فیلیپین دچار اختلال شد.

به گفته استرانگ، این صنعت بر اساس احتمال چنین رویدادهایی شکل گرفته و شرکت‌های که به طور گسترده به کابل‌های زیردریا متکی‌اند، داده‌های‌شان را در مسیرهای مختلف توزیع می‌کنند تا زمانی که یکی از این کابل‌ها از دسترس خارج شد، ارتباط دیگر برقرار بماند. به همین دلیل است که در بسیاری مواقع، کاربران این قطعی‌ها را احساس نمی‌کنند.

کارگذاری کابل‌ها چگونه است
کارگذاری یک کابل در زیر دریا، فعالیتی است که حدود یک سال به طول می‌انجامد و میلیون‌ها دلار هزینه دارد.

این فرایند با بررسی نقشه‌‌های دریانوردی و انتخاب بهترین مسیر آغاز می‌شود. بهترین مسیری که برای این کابل‌ها می‌توان انتخاب کرد، جایی است که عمق دریا بیشتر باشد و بتوان کابل‌ها را در سطوح صاف کف دریا قرار داد؛ جایی که کمتر خطر برخورد با صخره‌ها و سایر عوامل مزاحم وجود داشته باشد.

کلترباک از شرکت سیکام می‌گوید: هرچه دریا عمیق‌تر باشد بهتر است و اگر بتوان کابل را در مناطق عمیق کار گذاشت، به ندرت مشکلی برای آنها پیش می‌آید.

اما هر چه به سواحل نزدیک‌تر می‌شوید، کار دشوارتر است. کابلی که تنها چندسانتی‌متر قطر دارد باید در مقابل عوامل طبیعی موجود در سواحل با زرهی محکم و مطمئن محافظت شود و به سلامت به نقطه فرود و محل اتصال با زیرساخت اینترنت کشور برسد.

کلترباک می‌گوید: یک شلنگ بلند باغبانی را در نظر بگیرید که داخل آن، لوله‌های کوچکی حاوی زوج‌های فیبرنوری بسیار باریک قرار دارد. این شلنگ در یک لایه مسی پیچیده شده که جریان برق کابل و تکرارگر (رپیتر)های آن را منتقل می‌کند. این جریان برق تا 10 هزار ولت هم می‌رسد.

وی می‌افزاید: این فیبرها در یک لایه محافظ از جنس اورتان پیچیده شده و سپس یک لایه محافظ مسی و روی آن یک لایه اورتان دیگر قرار دارد. حالا اگر بخواهید این کابل را در یک منطقه ساحلی با عمق کم و با سنگ‌ها و صخره‌های بسیار کاربگذارید، باید یک لایه محافظ دیگر نیز به عنوان پوشش روی آن قرار دهید که دیگر کسی قادر به بریدن این کابل نباشد.

کابل‌هایی که در مناطق کم تردد قرار داده می‌شوند کمی ضخیم‌تر از شلنگ‌های باغبانی هستند و دور آنها با یک لایه متشکل از پلاستیک، زره با روکش الیاف کولار (kevlar) و فولاد ضد زنگ پوشانده می‌شود. اما بسته به ساحل، شرکت‌های کابلی ممکن است از حفره‌هایی سیمانی هم استفاده کنند که تا عمق دریا پیش می‌رود و کابل‌ها را درون آنها کار می‌گذارند تا از برخورد کابل با سنگ و صخره جلوگیری کنند.

استرانگ از شرکت تله‌ژئوگرافی می‌گوید: پیش از اعزام کشتی‌هایی که کابل‌ها را در کف دریا کارمی‌گذارند، یک کشتی ویژه دیگر اعزام می‌شود تا از کف دریا نقشه‌برداری کند. شرکت‌ها باید مسیرهایی را پیدا کنند که کمترین میزان جریان‌های زیردریا را داشته باشد و مطمئن شوند که این مناطق آتشفشانی نیست و شاهد پستی و بلندی‌های کمتری در کف دریا هستیم.

وقتی مسیر بهینه مشخص و بررسی و اتصالات ساحلی امن شد، کشتی‌های عظیم، عملیات کابل‌گذاری را آغاز می‌کنند.

به گفته کلترباک، این کابل‌ها به همراه تجیهزات تکرارگرشان، آنقدر طولانی و سنگین‌اند که گاهی یک ماه بارگیری آنها در کشتی طول می‌کشد. فقط هر کدام از تجهیزات تکرارگر وزنی معادل یک ون مسافرتی دارد.

برای اینکه وزن این کابل‌ها را بهتر دریابید، باید بدانید که کابل 6 هزار و 600 کیلومتری ماره‌یا، بیش از 4.6 میلیون کیلوگرم وزن دارد؛ یعنی برابر با 34 نهنگ آبی و به گفته مایکروسافت، کارگذاری این کابل در کف دریا بیش از دو سال طول کشیده است.

ساختار کابل های اینترنت ترانس آتلانتیک
ساختار کابل‌های ترانس آتلانیتک

قطعی‌های مخرب
اما قطعی‌های اینترنت، همواره بدون اخطار رخ می‌دهد.

در فوریه 2008 کل ناوگان کابلی در شمال آفریقا و خلیج فارس آفلاین یا در مناطقی با کندی شدیدی مواجه شد. مشخص شد که این اختلال به دلیل تخریب سه کابل زیر دریا در سواحل مصر بوده است که یکی از آنها که دوبی را به عمان متصل می‌کند به دلیل برخورد با لنگر 4500 کیلوگرمی یک کشتی قطع شده بود.

اما دلیل یکی دیگر از قطعی‌ها هرگز توضیح داده نشد و گمان می‌رود که به دلیل خرابکاری عمدی بوده است. بنابراین حملات انسانی یکی دیگر از مخاطراتی است که کابل‌های زیر دریا را تهدید می‌کند.

در سال 2017 ریشی سوانک، نماینده پارلمان انگلیس در مقاله‌ای که اندیشکده راستگرای پالیسی اکسچنج منتشر کرد، نوشت: امنیت، چالشی است که هنوز در مورد کابل‌های زیر دریا بر آن فائق نیامده‌ایم.

وی افزود: شبکه‌های کابلی که اینترنت و دنیای مدرن به آنها وابسته‌اند عمدتا بدون محافظت کافی در مناطق دورافتاده در کف دریا قرار دارند و مکان آنها نیز به صورت عمومی در دسترس است. این مساله آنها را به شدت آسیب‌پذیر کرده است.

به گفته وی، تهدیدات حاصل از این آسیب‌پذیری‌ها رو به گسترش است و یک حمله موفقیت آمیز به این زیرساخت‌ها می‌تواند کل امنیت و رفاه انگلستان را به مخاطره بیندازد.

اگرچه به اعتقاد کلترباک، با وجود بیش از 50 کابلی که فقط به بریتانیا متصلند، احتمال انجام عملیات گسترده تخریبی از طریق قطع کابل‌ها در زمان جنگ بدبینانه است. وی می‌گوید که قطع هم زمان چندین کابل نیازمند هماهنگی و منابع زیادی است.

به گفته کلترباک، اگر کسی قصد خرابکاری در اینترنت جهانی یا قطع کردن ارتباط یک کشور مشخص را داشته باشد، باید این کار را به طور هم‌زمان و با قطع کردن چندین کابل انجام بدهد و این کار دشواری است.

بنابراین، ساده‌تر است که زیرساخت‌های درون کشوری شبکه از طریق حملات سایبری و حملات DDoS هدف قرار داده شود که در این موارد هم  به گفته کلاترباک، دولت‌ها و ارتش‌های ارتباطات ماهواره‌ای را به عنوان پشتیبان در نظر گرفته‌اند.

جاسوسی زیردریایی
تخریب یا سوءاستفاده از کابل‌های زیر دریا امر تازه‌ای نیست. در دوره جنگ سرد، زیردریایی‌های آمریکایی، غواصانی را با خود داشتند که تجهیزات ویژه‌ جاسوس و شنود را به کابل‌های شوروری در دریای اختوسک متصل می‌کردند. این تجهیزات سری تقریبا یک دهه فعال بود، تا اینکه اطلاعاتی درباره عملیات مذکور که با نام رمز Ivy Bells شناخته می‌شد، از سوی یک مامور سابق امنیتی و متخصص مخابرات آمریکایی به نام رونالد پلتون به دولت شوروی فروخته شد.

به گفته تله‌ژئوگرافی، امروزه بیش از 99 درصد ارتباطات بین‌المللی روی کابل‌های فیبرنوری منتقل می‌شود که عمده انها زیر دریا قرار دارند و در حالی که شنود خطوط  تلفن زیر دریایی اصلا آسان نیست، شنود فیبرهای نوری مدرن از آن هم دشوارتر، بلکه ناممکن است.

به گفته محققان AT&T هکرها می‌توانند با هدف قرار دادن دقیق بخش‌هایی از زیرساخت اینترنت، بخش‌هاییاز شبکه را که نمی‌توانند تحت نظارت قرار دهند، از کار بیندازند و مردم را مجبور کنند که داده‌های خود را از کابل‌هایی عبور دهند که تحت کنترل آنهاست.

ساده‌ترین راه برای انجام این کار هم با شنود کابل‌ها نیست، بلکه شنود در نقاطی که کابل‌های زیر دریا به خطوط زمینی متصل می‌شوند، اتفاق می‌افتد. این موضوعی است که نهادهای اطلاعاتی و جاسوسی آمریکا و انگلیس در گذشته به آن متهم شده بودند و گفته شده که با همکاری شرکت‌های خصوصی مدیریت کابل‌ها به چنین جاسوسی‌ها و شنودهایی اقدام کرده‌اند.

در سال 2013، روزنامه گاردین در گزارشی، به اسنادی اشاره کرد که از طریق ادوارد اسنودن به دست آورده بود. این اسناد نشان می‌داد که آژانس جاسوسی GCHQ بریتانیا به طور مخفیانه شبکه‌ای از کابل‌های ترافیک اینترنت و تماس‌های تلفنی را شنود کرده است.

بر اساس این اسناد آژانس GCHQ در سال 2012 بیش از 600 میلیون  تماس تلفنی در روز را شنود کرده و به بیش از 200 کابل فیبرنوری دسترسی داشته است.
 
اسنودن همچنین فاش کرد  که سازمان جاسوسی آمریکا (NSA) نیز عملیات مشابهی را با نام Upstream انجام داده و به ارتباطات کابل‌های فیبرنوری و وزیرساخت‌های داده دسترسی داشته است.

البته GCHQ حاضر به پاسخ به این مقاله نشد و سخنگوی NSAنیز گفت که این نهاد عملیات مذکور و فعالیت‌های مرتبط با آن را نه تایید و نه تکذیب می‌کند.

اما اتصال ابزار شنود به کابل‌ها، بدون ایجاد اختلال در ترافیک فیبر نوری یا متوجه شدن صاحبان کابل، امری بسیار دشوار است.

استرانگ می‌گوید: برای این کار نیاز به تجهیزات ویژه‌ به همراه چنگکی دارید که به عمق اقیانوس برود، کابل را بگیرد بدون آسیب زدن به کابل، آن را بالا بیاورد. بعد این کابل باید بریده شود، تجهیزات شنود به آن افزوده شود و دوباره دو سر کابل به هم متصل شود. این کاری دشوار است و نیاز به تجهیزات پیشرفته‌ای دارد و تازه احتمال برق گرفتگی با وجود سیم مسی با جریان برق ده هزار ولتی هم وجود دارد.

البته شایعاتی وجود دارد که برخی کشورها برای جاسوسی از کابل‌های زیر دریا اقدام کرده‌اند. چندین گزارش که البته از سوی ارتش آمریکا تایید نشده، نشان می‌دهد که زیردریایی ارتش آمریکا با نام جیمی کارتر، ابزار پیشرفته‌ای برای شنود کابل‌های زیر دریا در اختیار دارد. این ابزار شامل یک اتاق سیلابی درون زیردریایی است که غواصان و تکنسین‌ها درون آن به کابل‌ها دسترسی دارند.

دولت آمریکا تنها کشوری نیست که قادر به انجام چنین عملیاتی است. در سال 2015 مقامات امنیتی ایالات متحده اعلام کردند که حسگر‌های آنها، زیردریایی‌های روس را نزدیک کابل‌های ارتباطاتی زیر دریا مشاهده کرده‌اند که با یک کشتی جاسوسی که گمان می‌رفته حامل خودروهای ویژه حرکت در زیر دریاست، همراهی می‌شده‌اند. این خودروها مخصوص تخریب کابل‌های زیر دریا بوده است.

گفته می‌شود که چین نیز در جریان برنامه توسعه نظامی که در دوره ریاست جمهوری ژی ژین پینگ، پیگیری می‌شود، اندازه ناوگان زیردریایی خود را افزایش داده است.

در سال 2016 گزارشی از سوی اندیشکده مرکزی بررسی‌های استراتژیک بین‌الملل منتشر شد که بیان می‌داشت، روسیه احتمالا دارای تجهیزاتی از جمله خودران‌های زیردریایی است که قادر به کار در کف دریا هستند و به تجیهزات ارتباطی حساسی به منظور شنود ارتباطات مجهزند. این گزارش می‌افزاید که این ابزار به روس‌ها امکان می‌دهد که ترافیک ترانس آتلانتیک را شنود کند یا حملات سایبری را علیه سیستم‌های کامپیوتری حساس به اجرا بگذارد.
 
نه به هواوی
اما اگر شما صاحب کابل باشید، طبیعتا دیگر برای شنود آن چندان مشکلی نخواهید داشت.

این همان نگرانی است که غرب بابت شرکت چینی هواوی احساس می‌کند. این شرکت بزرگ مخابراتی که در ماه‌های اخیر به دلیل نگرانی از شنود ارتباطات به شدت از سوی آمریکا و هم پیمانانش تحت فشار است، حرکت به سوی بازار کابل‌های زیردریایی را آغاز کرده است.

در سال 2017 میلادی، استرالیا مانع از برنامه هواوی برای نصب 4 هزار کیلومتر کابل زیر دریا شد که قرار بود سیدنی را به جزایر سلیمان متصل کند. دولت کانبرا همچنین از سرمایه‌گذاری روی سیستم کابلی دریای کورال که استرالیا را به بندر مورسبی در پاپوآ گینه‌نو متصل می‌کرد، دست کشید.

در ماه ژوئن گذشته، هواوی اعلام کرد که 51 درصد سهام شرکت زیر مجموعه‌اش را با نام Huawei Marine Systems خواهد فروخت و هر دو این شرکت‌ها به شدت اتهامات مرتبط با تهدیدات امنیتی را تکذیب کردند. اما این مساله نیز آنها را از تیغ تیز انتقادات در امان نداشت.

جیمز استاوریدیس، دریاسالار بازنشسته نیروی دریایی و فرمانده عالی سابق نیروهای ناتو در ماه آوریل درباره نقش رو به گسترش پکن در ساخت و تعمیرات کابل‌های زیردریایی که تمامی اطلاعات اینترنت از آنها می‌گذرد، هشدار داد.

استاوریدیس گفت: نمی‌توان هواوی را از ساخت کابل‌های زیر دریایی باز داشت یا جلوی صاحبان خصوصی کابل‌ها را از بستن قرارداد با شرکت‌های چینی گرفت. اما آمریکا باید با استفاده از توانایی‌های سایبری و اطلاعاتی‌اش، به جمع‌آوری شواهد از بک‌دورها و سایر مخاطرات امنیتی در تجهیزات چینی بپردازد.


 
 
 
مترجم : ایمان بیک
مرجع : CNN

آیا FaceApp نقشه شیطانی روس‌هاست؟

يكشنبه, ۶ مرداد ۱۳۹۸، ۰۱:۳۵ ب.ظ | ۰ نظر

آروا مهدوی / مولف - آی تی من- حتما متوجه شده‌اید که در روزهای اخیر چالش FaceApp در شبکه‌های اجتماعی فراگیر شده و هر کسی را می‌بینید، تصویری از دوران پیری خود را با این اپلیکیشن ساخته و منتشر کرده است. FaceApp یک ابزار ویرایش تصویر است که یکی از فیلترهای آن، می‌تواند صورت کاربران را به صورت دیجیتالی پیر کند. سپس کاربران تصاویر چهره پیر شده خود را در اینترنت منتشر می‌کنند و همه با هم می‌خندند و پیش از اینکه ملال هستی بار دیگر بر شما غالب شود، با گرفتن چند لایک از دوستان مجازی‌تان قدری دوپامین در مغزتان ترشح می‌شود و تمام؛ چالش به انجام رسیده است.


روزی که چالش FaceApp و هشتگ #faceappchallenge در فضای مجازی فراگیر شد، یک طراح نرم‌افزار به نام جاشوا نوتزی به مردم هشدار داد که در استفاده از FaceApp دقت کنند؛ چون این اپلیکیشن، بدون پرسیدن از شما، همه تصاویرتان را آپلود می‌کند؛ چه آنهایی که در دسترسش قرار داده‌اید و چه باقی تصاویر.

برخی رسانه‌ها نیز بر پایه این ادعا، نگرانی‌هایی درباره نقض حریم خصوصی از سوی این نرم‌افزار مطرح کردند.

این نگرانی‌ها وقتی اوج گرفت که گفته شد اپلیکیشن FaceApp روسی است.

چارلی وارزل از روزنامه نیویورک تایمز توییت کرد که: «این اپلیکیشن که شما با کمال میل تمام داده‌های تصویری خود را در اختیارش می‌گذارید متعلق به شرکتی است که مقر آن در سن پترزبورگ روسیه است.» و همه ما اخلاق روس‌ها را می‌دانیم، نه؟ قصد آنها جمع‌آوری اطلاعات ما با اهداف پلید است؛ و البته که شرکت‌های فناوری آمریکایی چنین اهدافی ندارند! شرکت‌های آمریکایی عمیقا در مورد داده‌های خصوصی کاربران درست‌کارند و فقط از اطلاعات خصوصی شما به منظور ساختن دنیایی بهتر و متصل‌تر استفاده می‌کنند!

دو روز بعد، جو کمی آرام شد. یک محقق امنیت فرانسوی با نام مستعار الیوت آلدرسون، FaceApp را بررسی کرد و دریافت که این اپ، همه تصاویر دوربین شما را آپلود نمی‌کند، بلکه فقط عکسی را استفاده می‌کند که به خواست شما تغییر داده شده است؛ و این همان چیزی است که از اپلیکیشنی مانند این می‌توان انتظار داشت. آلدرسون در تماس تلفنی با نگارنده، گفت که او هیچ مدرکی مبتنی بر سرقت تمام داده‌های کاربران توسط این اپلیکیشن پیدا نکرده و این نرم‌افزار صرفا شناسه و مدل دستگاه شما را دریافت می‌کند. این هم از مواردی است که در چنین اپلیکیشن‌هایی معمول است. به اعتقاد آلدرسون، چیزی که باعث شد این اپلیکیشن این همه سر و صدا راه بیندازد، از ترس از روسیه نشات می‌گیرد.

FaceApp خود نیز به این بحث‌ها پاسخ داده است. این شرکت همان روز چهارشنبه 17  ژوییه، در بیانیه‌ای خطاب به 9to5Mac اعلام کرد که این نرم‌افزار ممکن است برخی از تصاویر آپلود شده را با اهداف کارآیی و مدیریت ترافیک در ابر ذخیره کند.

همچنین اعلام شد که تیم اصلی تحقیق و توسعه FaceApp در روسیه است؛ ولی داده‌های کاربران به روسیه منتقل نمی‌شود.

وقتی اطلاعات تکمیلی درباره FaceApp منتشر شد، جاشوا نوتزی، طراح نرم‌افزاری که نخستین هشدارها را درباره این اپلیکیشن داده بود، یک متن اعتراف به اشتباه منتشر و توییت‌های اول خود را درباره این موضوع حذف کرد.

وارزل نیز توییت‌های خود را درباره FaceApp حذف و اعلام کرد که گفته‌هایش مبنی بر روس بودن این اپلیکیشن اشتباه تعبیر شده است. وی در توییتی توضیح داد: موضوع صحبت من مربوط به گزارشی بود که درباره اپلیکیشن‌های دیگری مشغول تهیه آن هستم. این اپ‌ها به داده‌ها دسترسی دارند و این اطلاعات را به جاهایی می‌فرستند که ما نمی‌دانیم. البته بنا به توییت وارزل، این جاهایی که نمی‌دانیم هم شرکت‌ها هستند و نه دولت‌ها.

با این وجود، آیا همه چیز روبه‌راه است؟ آیا ما باید با خیال راحت در چالش فیس‌اپ شرکت کنیم و نگرانی بابت سوءاستفاده از عکس‌های‌مان نداشته باشیم؟

در پاسخ باید گفت، نه. بر اساس مقررات استفاده از FaceApp، وقتی شما از این اپلیکیشن استفاده می‌کنید، به این اپلیکیشن اجازه‌ای دایمی، غیرقابل فسخ، غیر انحصاری، با حق امتیاز رایگان و جهانی می‌دهید که هر کاری که بخواهد با تصاویر شما انجام دهد. اگرچه این مساله ناراحت کننده است؛ اما بد نیست اشاره کنیم که سیاست‌های محرمانگی تقریبا تمامی سرویس‌ها و پلتفرم‌های فناوری به همین صورت است.

اگر شما به دلیل نگرانی بابت حریم خصوصی‌تان، از شرکت در چالش فیس‌اپ سر باز زده‌اید، کار خوبی کرده‌اید؛ هر چند که من به شخصه چندان در این مورد حساس نیستم. احتمال اینکه تصویر چهره شما هم اکنون نیز جایی در پایگاه‌ داده‌ای ثبت شده و برای یادگیری هوش مصنوعی به منظور تسلط بر جهان استفاده شده باشد، وجود دارد.

آن گونه که آدام هاروی، متخصص حریم خصوصی در ایمیلی به نگارنده گفت، محققان گوگل فاش کرده‌اند که از تصاویر حداقل 8 میلیون کاربر برای آموزش ابزارهای شناسایی چهره این شرکت استفاده شده است. محققان فیس‌بوک نیز درباره استفاده از تصاویر حداقل ده میلیون کاربر به منظوری مشابه سخن گفته‌اند.

در ماه مه گذشته نیز محققان گوگل فاش کردند که از 2هزار ویدیوی کاربران در یوتیوب که چالش مانکن را انجام داده بودند، به منظور آموزش به یک مدل هوش مصنوعی برای حدس زدن عمق یک شی‌ متحرک در ویدیو استفاده کرده‌اند.(چالش مانکن همان چالش پر طرفداری بود که باید در صحنه بی حرکت می‌ماندید.) این محققان همچنین این مجموعه داده‌ها را برای تحقیقات آینده‌شان نیز منتشر کرده‌اند و نگفته‌اند که از این داده‌ها قرار است در آینده چگونه استفاده بشود. به این ترتیب، آن ویدیوهایی که برای سرگرمی و خنده از خودتان منتشر کرده بودید، می‌تواند به منظور آموزش هر گونه سیستم هوش مصنوعی، از خودروهای خودران بگیر تا پهپادهای قاتل، مورد استفاده قرار بگیرد.

جالب اینکه حتی لازم نیست که شما خودتان تصویری از خود را در اینترنت آپلود کرده باشید که شرکت‌ها از آن به منظور آموزش هوش مصنوعی استفاده کنند. اوایل امسال در گزارشی اعلام شد که دانشگاه کلورادو به طور مخفیانه از دانشجویانش عکاسی و از این عکس‌ها برای تحقیقات مربوط به فناوری شناسایی چهره استفاده کرده است. بر اساس این گزارش، بین سال‌های 2012 تا 2013 میلادی، تصاویر 1700 نفر بدون اطلاع یا موافقت آنها جمع‌آوری شده و این عکس‌ها به مجموعه‌داده‌ای به منظور آموزش الگوریتم‌های شناسایی چهره افزوده شده است. تامین مالی این پروژه نیز از سوی نهادهای اطلاعاتی و نظامی آمریکا انجام گرفته است.

نتیجه اخلاقی اینکه: زیاد نگران اپلیکیشن روس نباشید؛ بلکه باید نگران همه چیز بود. هنوز برای درک ابعاد زندگی در این جهنم تحت کنترل و نظارت زود است و ما تازه داریم می‌فهمیم که چهره‌های ما دیگر به ما تعلق ندارد؛ چهره‌های ما خصوصی سازی شده است.
آروا مهدوی ستون نویس گاردین است

 
 
 
 
مولف : آروا مهدوی
مترجم : ایمان بیک
مرجع : The Guardian

در مقالات خود همیشه سعی کرده‌ایم پیرامون آسیب‌پذیری‌های دستگاه‌های مختلف اینترنت اشیاء حرف بزنیم؛ این بار محققین ما تصمیم گرفتند بدانند آیا گجت‌های هوشمند تعبیه‌شده داخل خودروها نیز به همان اندازه امن و مطمئن هستند یا خیر. در ادامه با ما همراه شوید تا مفصلاً به این مبحث بپردازیم.

ما برای انجام آزمایشات تعدادی دستگاه با کارکردهای مختلف انتخاب کردیم: چندتایی اسکنر سیستم OBD[1]، یک سیستم نظارت فشار/دمای تایر، ردیاب جی‌پی‌اس مبتنی بر اینترنت، دش‌کم[2] و یک آلارم هوشمند خودرو.

 

اسکنر OBD در مقابل اسکنر بلوتوثی

بررسی‌های انجام‌شده؟ دستگاهی که به کانکتور OBD داخل خودرو وصل می‌شود و اطلاعاتی در مورد سرعت، شتاب، دور موتور و غیره را به اسمارت‌فون متصل به اینترنت (از طریق بلوتوث) انتقال می‌دهد. این اطلاعات را می‌توان حین رانندگی مشاهده کرد و بعدها به صورت ضبط ویدیویی در اپ مربوطه مرور نمود.

کشفیات؟ ایناسکنر از آدرس MAC هم به عنوان شماره سریال و هم رمزعبور لازم برای اتصال استفاده می‌کند. مشکل اینجاست که اسکنر آدرس MAC را از طریق بلوتوث انتقال می‌دهد- توسط همه‌ی دستگاه‌ها در محدوده‌ی چندمتری دیده می‌شود.

بنابراین برای وصل شدن به دستگاه، مهاجم احتمالی تنها کافیست اتر را اسکن کرده و آدرس MAC را بخواند.

 

تهدید؟

خوشبختانه، اسکنر آزمایش‌شده فقط اطلاعات دستگاه را می‌خوااند و روی رفتار خودرو تأثیری ندارد. بنابراین، حتی اگر طرف‌سومی بخواهد به گجت وصل شود، نخواهد توانست آسیبی به راننده برساند. او فقط قادر خواهد شد رانندگی ثبت‌شده و اطلاعات خودرو را ببیند.

 

اسکنر OBD دیگر: سیمی یعنی مطمئن؟

بررسی‌های انجام‌شده؟ اسکنر سیمی OBD برای عیب‌شناسی خودرو.

کشفیات؟ تولیدکننده‌ی دستگاه برای ایمن‌سازیِ این سفت‌افزار زحمت بسیاری می‌کشد؛ با این حال متخصصین کسپرسکی (بعد از امتحان کردن کلی روش) تصمیم گرفتند این سفت‌افزار را از حافظه‌ی دستگاه استخراج کرده و آن را دستگاری کنند. با این وجود، پی بردیم که مموریِ اسکنر برای لاگ گردن ضبط‌ها و خطاها به حد کافی بزرگ است. از این دستگاه نمی‌توان به عنوان ابزاری برای هک کردن سیستم‌های الکترونیکی خودرو استفاده کرد.

تهدید؟ کاربران هیچ نگران نباشند. تولیدکننده‌ی این گجت تنها بدان ویژگی‌های لازم برای اجرا را دادند نه چیزی بیشتر. بنابراین به غیر از دسترسی error log (لاگ خطا)، هکرها چیز دیگری ندارند که بدان مشغول شوند.

 

سیستم نظارت بر فشار/دمای تایر

بررسی‌های انجام‌شده؟ همانطور که از اسمش پیداست، این دستگاه برای نمایش اطلاعات فشار و دما طراحی شده و اگر عدد از حد طبیعی خود بالاتر یا پایین‌تر رود به راننده هشدار می‌دهد. این دستگاه شامل چهار حسگر (به ازای هر چرخ یک حسگر)، یک نمایشگر و واحد کنترل می‌شود.

کشفیات؟ از آنجایی که حسگرها از طریق رادیو اطلاعات را به واحد کنترل انتقال می‌دهند، متخصصین ما تصمیم گرفتند مداخله نکرده و با استفاده از SDR (رادیوی تعریف‌شده توسط نرم‌افزار) اطلاعات را جایگزین کنند. برای انجام این کار باید شماره سریال هر کدام از حسگرها را می‌داشتند و می‌دانستند کدام بخشِ سیگنال بیرونیِ اطلاعات (دما/فشار) در چرخ تغییر می‌کند. بعد از بررسی‌های متناوب، متخصصین ما به آنچه دنبالش می‌گشتند پی بردند. با این حال، شایان ذکر است که جایگزین کردن سیگنال در عمل، نیازمند ارتباطی دائمی با حسگرها بود: آنتن گیرنده باید در خودروی قربانی نوک‌تیز باقی بماند و با همان میزان سرعت حرکت کند.

تهدید؟ با جایگزین کردن سیگنال‌های حسگر، مهاجمین می‌توانند هشدارهایی در مورد کارکردهای آلوده (که اصلاً وجود ندارند) نشان داده و راننده را مجبور کنند خودرو را متوقف سازد. با این حال، آن‌ها برای جلو بردن حمله‌ای موفق باید هدفی مشخص داشته باشند. به همین منظور صاحبان این دستگاه نباید لحظه‌ای غفلت کنند.

 

آلارم فوق هوشمند

بررسی‌های انجام‌شده؟ سیستم امنیتی هوشمندی که درب‌های خودروها باز کرده و می‌بندد و موتور را روشن می‌کند. این سیستم را می‌توان یا از سوئیچش و یا از طریق بلوتوث (بوسیله‌ی اپ اندرویدی) تحت کنترل قرار داد.

کشفیات؟ سوئیچِ هشدار از طریق یک کانال رمزگذاری‌شده با سیستم امنیتی ارتباط برقرار می‌کند. علاوه بر این، توسعه‌دهندگان کانکشن بلوتوث را برای نظارت از طریق اسمارت‌فون ایمن‌سازی کردند: دستگاه‌ها در طول نصب آلارم جفت‌سازی می‌شوند؛ بنابراین کانکت شدن از طریق اسمارت‌فون دیگر جواب نخواهد داد. ضعیف‌ترین لینک در سیستم امنیتی، اپ از آب درخواهد امد. اول اینکه در لاگین، رمزعبور یا اطلاعات بیومتریک درخواست نمی‌کند. همچنین این امکان وجود دارد که بدون مجوزی اضافی به سیستم امنیتی فرمان دهد. به بیانی دیگر، مجرم سایبری که گوشی شما را با اسکرین قفل‌نشده دزدیده است اکنون به خودروی شما دسترسی پیدا کرده (جایزه‌ی قفل نشدن دستگاه، دسترسی پیدا کردن به خودروی شماست). تهدید دوم که کاربرِ این هشدارهای فوق هوشمند با آن مواجه می‌شود آلوده شدت اسمارت‌فونش است. تروجانی که حرکت انگشت را روی نمایشگر شبیه‌سازی می‌کند می‌تواند تا حد زیادی باز کردن خودرو و استارت زدن را راحت کند. البته به یک شرط: اسمارت‌فونِ فرد دارنده باید همان لحظه نزدیک خوردو بوده و از طریق بلوتوث به این آلارم وصل باشد.

تهدید؟ گرچه متخصصین ما سعی داشتند یک مکانیزم حمله‌ی قوی و ماندنی سر هم کنند؛ اما در عمل چنین چیزی چندان هم اجرایی نخواهد بود. اول از همه اینکه این کار بسیار سخت و دوم اینکه مستلزم آلوده شدن اسمارت‌فون مورد هدف است. سوم اینکه، برای پیاده کردن نقشه، اسمارت‌فون فرد دارنده باید نزدیک خوردو باشد؛ که البته پیش بردن حمله‌‌ای چراغ‌ خاموش را بسیار سخت می‌کند: راه‌حل حفاظتی مطمئنی روی اسمارت‌فون خود نصب کرده و یادتان نرود برای نمایشگر خود رمزعبور بگذارید.

 

ردیاب GPS

بررسی‌های انجام‌شده؟ ردیاب استاندارد GPS متصل به اینترنت که اطلاعات را روی حرکات خودرو انتقال می‌دهد. این نوع ردیاب می‌تواند برای نظارت روند کار پیک‌ها و بسته‌ها به کار رود.

کشفیات؟ هک کردن اکانت ادمینِ سرورِ این ردیاب GPS، دسترسی به پایگاه اطلاعاتی کاربر را ممکن می‌سازد؛ این پایگاه اطلاعاتی شامل اطلاعات مسیرها، اطلاعاتی مالی، کانتکت‌ها، اسامی و کلی چیزهای دیگر می‌شود. هکی که بیش از بقیه محتمل است (بواسطه‌ی فقدان احراز هویت دوعاملی) مربوط به اکانت کاربر می‌شود و می‌تواند دسترسی به اطلاعات کلاینت را در اختیار هکر قرار دهد.

تهدید؟ به لحاظ تئوری، هک کردن سرور ردیاب GPS می‌تواند برای نظارت و البته جمع‌اوری اطلاعات مورد استفاده قرار گیرد. با این وجود، متخصصین ما احتمال چنین حمله‌ای را بسیار کم برآورد کرده‌اند.

 

لبخند بزنید، دش‌کم شما امن است!

بررسی‌های انجام‌شده؟ دش‌کم هوشمند. گجتی که به فرمان‌های صوتی پاسخ می‌دهد و می‌تواند به طور مستقل موقعیت‌هایی را که به طور بالقوه خطرناکند تشخیص داده و آن‌ها را لاگ گند. همچنین این گجت می‌تواند با سطوح مختلف روشنایی سازگار شود و از طریق وای‌فای نیز با تبلت یا اسمارت‌فون ارتباط برقرار کند.

کشفیات؟ به طور نظری، با وصل کردن اسمارت‌فون به دوربین، مجرمان سایبری می‌توانند حسابی جولان بدهند. با این حال، در ای مورد خاص، امنیت سیستم مطلوب بود. برای مثال، نه تنها با رمزعبور (که قابل‌ تغییر نیز بود) محافظت شده است؛ بلکه همچنین به کاربر نیز توصیه می‌کند به جای استفاده از رمزعبور پیش‌فرض، رمزعبور جدید خود را بسازند (وقتی برای اولین بار کانکت می‌شوند). کاربر برای وصل شدن به گوشی جدید باید دکمه‌ی خاصی را روی خودِ دش‌کم فشار دهد.

تهدید؟ مهاجمین بدون دسترسی فیزیکی به دوربین نه می‌توانند به عملکرد آن خدشه‌ای وارد کنند و نه رکوردها را از آن بازیابی نمایند. و اگر هم بخواهند دسترسی فیزیکی داشته باشند دزدیدن کارت مموری دش‌کم برایشان بسیار راحت‌تر خواهد بود.

 

نتیجه‌گیری 

اگر بخواهیم از بُعد حملات اجرایی به ماجرا نگاه کنیم، امنیتِ بیشتر دستگاه‌های اینترنت اشیاء تأیید شده است. مطمئناً که برخی آسیب‌پذیری‌ها وجود دارد اما در شرایط واقعی خیلی سخت بشود آن‌ها را استخراج کرد. اینطور به نظر می‌رسد که تولیدکنندگان دارند بیش از قبل به امنیت محصولات خود توجه می‌کنند و این می‌تواند خود تضمینی برای امن بودن بازار دستگاه‌های هوشمند در آینده باشد. 

 

[1] On-board diagnostics

[2]نوعی دوربین جانبی مخصوص نصب در داخل و شیشه جلو یا بخش مقابل راننده اتومبیل میباشد و بوسیله لاستیک مکش یا نوار چسب نصب میگردد.

منبع: کسپرسکی آنلاین

ترجمه و تنظیم: روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ 

به وبسایتی رفته‌اید و می‌خواهید مقاله‌ای جالب بخوانید؛ اما قبل از اینکه حتی شروع به خواندن اولین لغت بکنید آنقدر نوتیفیکیشن‌باران می‌شوید که یادتان می‌رود اصلاً قرار در این وبسایت چه کار کنید؟ برخی سایت‌ها خیلی سمج هستند و تا در آنجا ثبت نام نکنید محال است بگذارند بقیه‌ی مطلب را بخوانید. فقط کافیست با آن‌ها همراهی کنید تا دیگر چنان پا روی خرخره‌تان بگذارند که راهی برای فرار نباشد. در موارد حاد، هجوم نوتیفیکیشن‌ها می‌تواند کامپیوتر را به سر حد از کارافتادگی برساند. همه‌ی ما با این پدیده کم و بیش آشناییم. خوبیِ نوتیفیکیشن‌های مرورگر این است که با سرعتی بی‌نظیر تمام اطلاعات را به شما منتقل می‌کنند و ما بدیِ کار اینجاست که درست همین قسمت نوتیفیکیشن‌‌ها تبدیل به جولانگاه تبلیغات شده است. می‌پرسید چطور؟ در ادامه با ما همراه شوید تا به شما بگوییم چطور می‌شود از شر این نوتیفیکیشن‌ها خلاص شد.

 

چطور اشتراکِ نوتیفیکیشن‌های مرورگر را لغو کنیم؟

اگر روی وبسایتی برای دریافت نوتیفیکیشن‌ها عضو شده‌اید و حالا پشیمانید، می‌توانید به تنظیمات مرورگر خود رفته و عضویت خود را لغو کنید.

 

لغو عضویت در نوتیفیکیشن‌های کروم

روی آیکون منو (سه نقطه گوش سمت راست بالای مرورگر) کلیک کنید.
Settings را انتخاب کنید.
به پایین صفحه اسکرول کنید و گزینه‌ی Advanced را باز نمایید.
از بین گزینه‌ها، گزینه‌ی Site Settings را انتخاب کنید.
Notifications را باز کنید.
زیر گزینه‌ی Allow روی آیکون سه نقطه کنار آدرس وبسایت که نمی‌خواهید دیگر از آن نوتیفیکیشن دریافت کنید کلیک نمایید.
Block را بزنید.

 

لغو عضویت در نوتیفیکیشن‌های فایرفاکس

روی آیکون منو (سه نوار افقی درگوشه سمت راست بالای مرورگر) کلیک کنید.
Options را بزنید.
در منوی سمت چپ، روی گزینه‌ی Privacy & Security کلیک کنید.
به سمت پایین اسکرول کنید تا به گزینه‌ی Permissions برسید.
 حالا به Notifications بروید و روی Settings کلیک کنید.

o برای خاموش کردن همه‌ی نوتیفیکیشن‌ها، روی دکمه‌ی Remove All Websites -که زیر فهرست منابع است-کلیک کنید.

o برای جلوگیری از دریافت نوتیفیکیشن‌ها از یک سایت بخصوص، روی Allow -کنار آدرسش- زده و از فهرست دراپ‌داون گزینه‌ی Block را انتخاب کنید.

 

لغو عضویت در نوتیفیکیشن‌های سفری

منوی سفری را به سمت پایین بکشید و Preferences را انتخاب کنید.
به Websites بروید.
روی Notifications کلیک کنید.

o برای غیرفعال کردن همه‌ی نوتیفیکیشن‌ها Cmd+A (اگر از ویندوز استفاده می‌کنید Ctrl+A) را فشار داده و با کلیک روی دکمه زیر لیست، همه را پاک کنید.

o برای جلوگیری از ارسال نوتیفیکیشن توسط سایتی بخصوص، آن را از داخل فهرست انتخاب کرده و روی گزینه‌ی Deny کلیک کنید.

 

لغو عضویت در نوتیفیکیشن‌های مایکروسافت اج

روی آیکون منو کلیک کنید (سه نقطه گوشه بالا سمت راستِ مرورگر) کلیک کنید.
Settings را بزنید.
روی آیکون View advanced settings کلیک (سه خط افقی) کنید.
روی دکمه Manage permissions زیر گزینه‌ی Website Permissions کلیک کنید.

o برای خاموش کردن همه‌ی نوتیفیکیشن‌ها روی Clear all کلیک کنید.

o برای جلوگیری از ارسال نوتیفیکیشن توسط سایتی بخصوص، آن را از فهرست انتخاب کرده و با استفاده از تاگل، Notifications را دی‌اکتیو کنید.

 

لغو عضویت در نوتیفیکیشن‌های اپرا

روی آیکون تنظیمات در گوشه بالا سمت راست مرورگر کلیک کنید.
به سمت پایین منو اسکرول کرده و Go to browser settings را انتخاب نمایید.
در منوی سمت چپ، Advanced را بزنید.
روی تب Privacy & Security کلیک کنید.
Site Settings را انتخاب کنید.
Notifications را باز کرده،
زیر Allow روی آیکون سه نقطه کنار آدرس وبسایت که نمی‌خواهید از آن نوتیفیکیشن دریافت کنید کلیک نمایید.
گزینه‌ی Block را انتخاب کنید.

 

چطور نوتیفیکیشن‌های مرورگر را کامل غیرفعال کنیم؟

از اینکه آنقدر روی No کلیک می‌کنید تا بلکه از شر نوتیفیکیشن‌های مزاحم خلاص شوید خسته‌اید؟ بیشتر مرورگرها می‌گذارند تا کاربران در صورت عدم تمایل، این نوتیفیکیشن‌ها را غیرفعال کنند. این قابلیت نه تنها برای همیشه پیشنهادات پاپ‌آپ را مسدود می‌کند که همچنین کاربران را در برابر عوضیت‌های رندوم و سایت‌های اسکم (که سعی دارند با نقشه و دسیسه از کاربران، قربانی بسازند) محافظت می‌کند.

 

بلاک کردن نوتیفیکیشن‌ها در کروم

روی آیکون منو (سه نقطه در گوشه بالا سمت راست مرورگر) کلیک کنید.
Settings را انتخاب کنید.
به پایین صفحه اسکرول کنید و بعد از پیدا کردن Advanced روی آن کلیک نمایید.
Site Settings را انتخاب کنید.
Notifications را باز کنید.
تاگل Ask before sending (recommended) را دی‌اکتیو کنید (به محض انجام این کار، نام این منو به Blocked تغییر خواهد کرد).

 

بلاک کردن نوتیفیکیشن‌ها در فایرفاکس

روی آیکون منو (سه نوار افقی در گوشه بالا سمت راست مرورگر) کلیک کنید.
Options را انتخاب کنید.
در منوی سمت چپ، روی گزینه‌ی Privacy & Security بزنید.
به سمت پایین اسکرول کرده و Permissions را پیدا نمایید.
کنار گزینه‌ی Notifications، روی دکمه‌ی Settings کلیک کنید.
گزینه‌ی Block را بزنید.

 

بلاک کردن نوتیفیکیشن‌ها در سفری

منوی سفری را پایین بکشید و Preferences را انتخاب کنید.
بخش Websites را باز کنید.
روی گزینه‌ی Notifications کلیک کنید.
گزینه‌ی Allow websites to ask for permission to send push notifications را از حالت انتخاب بردارید.

 

بلاک کردن نوتیفیکیشن‌ها در مایکروسافت اج

افسوس که مرورگر اج چنین قابلیتی ندارد. امیدواریم توسعه‌کنندگان بزودی این قابلیت را تعبیه کنند.

 

بلاک کردن نوتیفیکیشن‌ها در اپرا

روی آیکون تنظیمات گوشه بالا سمت راست نمایشگر کلیک کنید.
به سمت پایین اسکرول کرده و Go to browser settings را بزنید.
در منوی سمت چپ، روی گزینه‌ی Advanced کلیک کنید.
روی تب Privacy & Security کلیک کنید.
Site Settings را باز کنید.
Notifications را بزنید.
تاگل Ask before sending (recommended) را دی‌اکتیو کنید.

اکنون دیگر شما و کامپیوترتان از شر هرچه نوتیفیکیشن سمج است خلاص خواهد شد. خواه دارید با سیستم خود کار می‌کنید یا مشغول بازی کردن گیم هستید به هر حال این پیام‌های پا‌پ‌آپ می‌تواند حواستان را پرت کرده و اعصاب شما را به هم بریزد. با انجام این دستورالعمل‌ها دیگر خیالتان از این بابت راحت خواهد بود. 

 

منبع: کسپرسکی آنلاین

ترجمه و تنظیم: روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛

ترامپ: با حماقت ماکرون مقابله می‌کنیم

شنبه, ۵ مرداد ۱۳۹۸، ۰۱:۱۷ ب.ظ | ۰ نظر

رئیس جمهور آمریکا با انتقاد از تصمیم فرانسه برای اعمال مالیات بر شرکت‌های فناوری اطلاعات آمریکایی هشدار داد که واشنگتن با این اقدام مقابله می‌کند.

به گزارش تسنیم، دونالد ترامپ رئیس جمهور آمریکا در واکنش به تصمیم فرانسه برای اعمال مالیات بر شرکت‌های فناوری اطلاعات آمریکاییدر حساب توئیتری خود نوشت: فرانسه هم اینک مالیات خود را بر شرکت های فن آوری بزرگ آمریکایی اعمال کرد. تنها آمریکاست که می تواند بر این شرکت ها مالیات وضع کند. ما به زودی اقدامات متقابل قابل توجه خود را درباره حماقت مکرون اعلام خواهیم کرد.

رئیس جمهور آمریکا در ادامه توئیت خود هشدار داد که واشنگتن ممکن است مالیات‌هایی را بر تعداد از کالاهای فرانسوی اعمال کند.

فرانسه به رغم تهدیدهای آمریکا قانون وضع مالیات بر شرکت‌های بزرگ اینترنتی از جمله «گوگل»، «آمازون» و «فیسبوک» را تصویب کرد و وزیر اقتصاد این کشور نیز گفت که پاریس طبق برنامه به پیش می‌رود. امانوئل ماکرون رئیس جمهوری فرانسه نیز هفته جاری این قانون را امضا کرد.

سنای فرانسه تخمین زده است که تصویب این قانون در سال جاری میلادی، 400 میلیون یورو و سال آینده، 650 میلیون یورو درآمد برای کشور ایجاد خواهد کرد.

طبق قانون جدید فرانسه، شرکت‌های دیجیتالی که درآمد سالانه آنها در سطح جهان بالغ بر 750 میلیون یورو و درآمد سالانه آنها در فرانسه بالغ بر 25 میلیون یورو است، مشمول مالیات سه درصدی خواهند بود.
این قانون علاوه بر فیسبوک، اپل و گوگل و آمازون، شرکت‌های «اوبر»، «ایر بی ان بی» (Airbnb ) و شرکت‌های چینی و اروپایی را نیز شامل می‌شود.

معضل امنیت سایبری: عدم تعادل در کار و زندگی

چهارشنبه, ۲ مرداد ۱۳۹۸، ۱۰:۰۲ ق.ظ | ۰ نظر

این روزها دیگر تفکیک مرز بین زندگی کاری و زندگی شخصی بسیار سخت شده و این مرز دارد روز به روز کمرنگ‌تر نیز می‌شود. اکنون دیگر افراد بیشتر ساعات عمر خود را به جای اینکه در خانه باشند پشت میز کار، در دفتر یا اداره‌ی خود سپری می‌کنند. با این حال، هنوز هم حدود یک‌چهارم از کارهای سازمانی خارج از محل کار انجام می‌شود. می‌گویند در چنین جامعه‌ی مدرنی دیگر محال است بتوان بین زندگی شخصی و کاری تعادل برقرار کرد و مرز این دو دیگر برای همیشه غیرقابل تفکیک خواهد بود.

شاید دلیلش رشد فزاینده‌ی حجم اطلاعات دیجیتال طی چند سال اخیر باشد. با این میزان فناوری که در اختیارمان گذاشته شده است خیلی سخت بتوان وظایف محل کار را از وظایف خانگی تمییز داد. زندگی کاری و شخصی‌مان اکنون به داده‌هایی وابسته است که در رسانه‌های اجتماعی، اکانت‌های ایمیل، داکیومنت‌های دیجیتال و فولدرهای به اشتراک گذاشته‌شده ذخیره شده‌اند. تحقیقات اخیر نشان‌دهنده‌ی حجم بالایی از بهم‌ریختگی در پرونده‌های کاری و مدیریتی است.

 

مرزهای تفکیک‌کننده‌ی کارو زندگی از هم پاشیده شده است

کار تمام وقت در یک اداره  (از ساعت 9 صبح تا 5 بعد از ظهر) مزایای مشخصی دارد: شغلی ثابت، درآمدی ثابت، ساعات کاری مشخص. همه‌چیز خوب است اما آخر دوره‌ی کاری که سر زمان مشخصی شروع و تمام شود نیز کم‌کم دارد به سر می‌رسد. این روزها همه خیلی بیشتر از ساعات مشخص کاری خود دارند کار می‌کنند؛ فرقی ندارد جلسه‌ی مهمی در میان است یا برای یک پروژه ضرب الاجل تعیین کرده‌اند. میلیون‌ها کارمند هستند که خارج از ساعات کاری خود تا پاسی از شب را بیدار می‌مانند و کار می‌کنند. در حقیقت، بر اساس برآوردها، کارمندان مکزیک به طور متوسط 43 ساعت در هفته کار می‌کنند و البته کارمندان کاستاریکا، یونان و کره‌ی جنوبی هم کمی از ایشان ندارند.

گرچه نمی‌شود خرده‌ای هم بر آن‌ها گرفت (خیلی‌ها این شرایط را پذیرفته‌اند) اما به هر حال رفته‌رفته همین مسائل است که باعث شده زندگی شخصی و کاری یک‌جورهایی به هم گره خورده و در هم تنیده شود. حالا دیگر شرایط طوری شده که افراد، متعلقات شخصی خود را در محل کار نگه می‌دارند و یا کارهای خانه را پشت میز در محل کار خود انجام می‌دهند. هیچ غیرمعمول به نظر نمی‌رسد اگر کارمندی در محل کار خود لباس راحت‌تر بپوشد و حتماً وقتی چنین بستری فراهم شود، دیگر حساسیتی هم -بر همین اساس- در مورد اطلاعات دیجیتال نخواهد بود. امروزه خیلی‌ها اطلاعات دیجیتال خود را (بدون هیچ مرز نفکیک‌کننده‌ای) در خانه و محل کار استفاده می‌کنند.

مشکل اساسی از جایی شروع می‌شود که توجه و حساسیت کارمندان یک شرکت نسبت به اطلاعات سازمانی که ذخیره می‌کنند کم می‌شود. کارمندانی که اطلاعات شرکت خود را روی دستگاه‌های شخصی خود ذخیره می‌کنند همیشه به به فکر ابعاد امنیتی آن نیستند؛ خیلی وقت‌ها می‌شود که سهل‌انگاری می‌کنند و آینده و نام یک سازمان را به باد می‌دهند. اطلاعات دیجیتال براحتی مورد دستبرد و دستکاری قرار می‌گیرد و درست همینجاست که خطر جولان دادن سارقین سایبری، کل سازمان را تهدید خواهد کرد.

 

شرکت‌ها باید اطلاعات‌شان- و البته نیروی کارشان را-مدیریت کنند

همینطور که کارمندان برای مدیریت اطلاعات شخصی و کاری‌شان تقلا می‌کنند، شرکت‌ها هم کارشان سخت‌تر خواهد شد زیرا باید نظارت و امنیت‌دهی‌شان را به فراخور تعداد رو به رشد اطلاعات و فایل‌ها ارتقا دهند. مطالعات ما نشان داده است که 80 درصد از کارمندان فکر می‌کنند مسئول امنیت‌دهی به ایمیل‌ها، فایل‌ها و داکیومنت‌ها بر گردنشان نیست.

اطلاعات حساس و شخصی، جزئیات پرداخت و کدهای مجوز تنها نمونه‌های کوچکی هستند از اطلاعاتی که سازمان‌ها به طور روزانه برای بهبود راندمان اجرایی خود بدان‌ها نیازمند بوده و وابسته‌اند. اما کارمندان این اطلاعات را در امنیت کامل یا به طرز صحیحی ذخیره نمی‌کنند. شاید بیش از نیمی از کارمندان (56 درصد) مرتباً آیتم‌های تاریخ‌گذشته‌ی خود را از اینباکس ایمیل‌شان پاک می‌کنند و حدود یک‌سوم آن‌ها (34 درصد) نیز از شر فایل‌های قدیمی خود روی هارد درایوهایشان خلاص می‌شوند.

این آشفتگیِ دیجیتالی وقتی اطلاعات در مکان‌هایی غیرقابل کنترل ذخیره می‌شود تازه تشدید نیز می‌شود (مثل فضای کلود یا فولدرهای به اشتراک گذاشته‌شده، یا حتی وقتی فایل‌ها در حال انتقال هستند). حالا رشد سریع تعداد فایل‌هایی که در حال تولیدند را هم به این موارد اضافه کنید. تعداد فایل‌ها دارد به سمتی می‌رود که دیگر نمی‌شود اطلاعات سازمانی را به این سادگی‌ها مدیریت کرد. حال حساب کنید کار سازمان‌ها چقدر سخت خواهد بود در چنین شرایطی سعی کنند مسئولیت همه‌ی اطلاعات حساس و محرمانه را گردن بگیرند و نگذارند نامحرمان (یا حتی خود کارمندان آن شرکت) بدان‌ها دستبرد بزنند. وقتی شرایط طوریست که کارمند از روی کنجکاوی می‌خواهد بداند حقوق همکارش چقدر است آنوقت دیگر چه انتظاری می‌شود از یک هکر تشنه‌ی پول داشت؟ سازمان‌ها و کارمندان به هم نیاز دارند از این جهت که در راستای مدیریت امن اطلاعات باید با هم مشایعت کنند. اگر کارمندان و سازمان‌ها بتوانند دست در دست هم از پس چالش امنیت اطلاعات بر بیایند؛ آنوقت خیلی راحت‌تر می‌شود فضای سازمانی‌ای ایجاد کرد که در آن فرهنگ و اخلاق حرف اول را می‌زند. در چنین بستری است که تک تک اعضای سازمان وظیفه‌ی خود می‌دانند از شرکت خود حفظ و حراست کنند. درست در همین نقطه است که مبحث تعلیم و آموزش کارمندان اهمیت پیدا می‌کند. اگر آن‌ها را در بخش امنیت اطلاعات آموزش دهیم دیگر از نقش خود در سازمان سرسری گذر نمی‌کنند و تمام تلاششان را خواهند کرد تا امنیت همه‌ی جانبه‌ی شرکت حفظ گردد. تنها با رسیدن به این مهم است که کارمندان قادر به مدیریت بهتر اطلاعات شخصی و کاری خود خواهند بود.

 

کاهش فشار

تجربه به ما نشان می‌دهد (و البته نظرمان هم بر این است که) آشفتگی دیجیتال را نمی‌توان یک معضل خواند (فرقی ندارد شخصی باشد یا کاری). مشکل بی‌مسئولیتی افراد است و اینکه نمی‌توانند کارهای مخصوص یک محیط را درست در همان محیط انجام دهند (این ادغام شرایط، کار را سخت کرده است).

هر کسی تجربه‌ی مختلفی دارد. افراد پیرتر (در بسیاری از موارد) با تکنولوژی چندان حس راحتی نمی‌کنند و همیشه وقتی حرف فناوری به میان می‌آید معذب می‌شوند. از طرفی همه‌مان افرادی را سراغ داریم که وقتی خبری از گوشی و اینترنت و لپ‌تاپ نباشد روزشان روز نمی‌شود. برخی افراد تمام زندگی کاری و شخصی‌شان وابسته به تکنولوژیست. بنابراین، به جای تمرکز روی ارائه‌ی راه‌حل‌های سازمانی روی دستگاه‌های شخصی (هم کاری سخت است و هم چنین راهکاری ممکن است روی خیلی از شرکت‌ها در کشورهای جهان اجراشدنی نباشد) یا تلاش برای تغییر عادات مردم، باید محیط‌هایی را ایجاد کنیم که در آن‌ها بین امنیت و راحتی تعادل برقرار می‌شود (هم انواع مختلف فرایندهای اطلاعاتی و سازمانی). مهم‌تر اینکه باید فرقی قائل شد بین فضای تمام سازمانی (که تنها کارمندان همان شرکت فعالیت دارند) و محیط‌هایی که کارمندان با افراد خارج از شرکت نیز ارتباط دارند. درست است که مهره‌های سازمان باید تمام دقت خود را روی موارد مذکور بگذارند؛ اما به هر حال بستر هم باید به حد کافی مهیا باشد. رسیدن به این هدف هم تنها در گروی وضع مجموعه قوانینی رایج و البته ایجاد درکی دو طرفه از سوی سازمان و کارمندان است. البته، قوانین باید طوری اجرایی شود که عادات کارمندان با نیازهای سازمانی و نیازهای خود کارمندان تداخل پیدا نکند.    

 

منبع: کسپرسکی آنلاین

ترجمه و تنظیم: روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)

بدافزار ATMJaDi، دشمن جان دستگاه‌های خودپرداز

سه شنبه, ۱ مرداد ۱۳۹۸، ۰۹:۳۹ ق.ظ | ۰ نظر

بهار 2019 بود که به نمونه‌ای از بدافزار جدیدِ ATM برخوردیم. این بدافزار درقالب جاوا نوشته و در یک سرویس اسکنر چندگانه آپلود شده بود. خاستگاه این بدافزار ابتدا مکزیک بود و بعد در کلمبیا نیز دیده شد. بعد از تحلیلی کوتاه پی بردیم نام این بدافزار ATMJaDi است و می‌تواند دخل دستگاه‌های خودپرداز را دربیاورد و همه‌ی نقدینگی‌اش را غارت کند. با این حال برای این کار از آرشیوهای استاندارد  XFS، JXFS یا CSC استفاده نمی‌کند؛ بلکه در عوض این بدافزار تنها با زیر مجموعه‌ی کوچکی از دستگاه‌های خودپرداز سازگاری خواهد داشت. از همین روست که می‌گوییم این بدافزار بسیار هدف‌دار عمل کرده و حلقه‌ی قربانیانش بسیار محدود و خاص است.

یکی از محصولات ما در کسپرسکی توانست این نمونه تروجان را مورد شناسایی قرار دهد.

 

جزئیات فنی  

نخست اینکه، درست مانند هر بدافزار دستگاه خودپردازی، مهاجمین باید راهی پیدا کنند تا بتوانند بدافزار خود را روی ATMها نصب کنند. این بدافزار را نمی‌توان از طریق کیبورد یا تاچ‌اسکرین ATM کنترل کرد زیرا برای اهدافی که دارد در خود رابط وبِ سرور  HTTP درون‌سازه‌ای اجرا می‌کند. بنابراین مجرمین باید به منظور دسترسی به دستگاه خودپرداز مورد هدف خود شبکه‌ی اینترنتی داشته باشند. این باعث شده تا فکر کنیم مجرمان زیرساخت بانک را برای دسترسی پیدا کردن به شبکه‌ای که دستگاه‌های خودپرداز بدان وصلند دستکاری کرده‌اند.

وقتی بدافزار نصب و اجرا شد (در قالب فایل آرشیو جاوا موسوم به INJX_PURE.jar) آنوقت به دنبال پروسه‌ای خواهد گشت که  ATM را بتوان با آن تحت کنترل درآورد و به داخل آن رخنه کرد؛ بطوریکه انگار این فرآیند دارد کاملاً قانونی عمل می‌کند. بعد از این تزریق، بدافزار به طور همزمان پیامی را به چند زبان روی پایانه پرینت می‌کند: روسی، پرتغالی، اسپانیایی و چینی. با این وجود، تمام پیام‌ها یا رشته‌های دیگر که توسط این بدافزار استفاده شده‌اند به زبان انگلیسی است. تمام این عبارات که به زبان‌های مختلف نمایش داده شده‌اند به انگلیسی «آزادی و شکوه» ترجمه می‌شوند. این عبارت در ادامه‌اش یک پیام اضافی به زبان روسی هم دارد و آن این است: «отдельный» به معنای «جداگانه». گمان داریم این یک‌ عملیات پرچم دروغین[1] باشد؛ زیرا روسی‌زبانانِ بومی هیچوقت در این شرایط از این واژه‌ی بخصوص استفاده نمی‌کنند.

Свобода и слава
Liberdade e glória
Libertad y Gloria
自由与荣耀
Отдельный

سپس، یک سرور HTTP با استفاده از مسیرهای از پیش تعریف‌شده‌ی URL  شروع می‌کند به پذیرش فرمان‌ها. آن‌ها از قرار زیر می‌باشند:

/d برای دریافت کاستِ دستگاه خودپرداز به منظور انجام اقدامات (اقدام درست را پارامترهای موفقیت‌آمیز رقم می‌زند)
/eva برای ارزیابی (اجرای) کد تأمین‌شده توسط کاربر روی خودپردازِ قربانی
/mgr برای مدیر که اجازه می‌دهد مجرمان به فهرستی از دسته‌های در حال اجرا (برای ماشین مجازی جاوای مربوطه) دسترسی پیدا کنند تا بدین‌ترتیب بتوانند هر کارکردی را از آن طلب کرده و درصورت نیاز نیز هر نوع استدلالی را به نفع خود تمام کنند.
/core به مجرمین اجازه می‌دهد تا از فایل سیستم قربانی یک فایل بخصوصِ .jar لود کنند
 /root این مسیر، بدنه‌ی درخواست POST را قبول می‌کند و آن را در قالب یک فرمان Shell به cmd.exe تحویل می‌دهد (که خروجی نهایی را بازمی‌گرداند).

این مسیر run a shell و توزیع از هیچ صفحه‌ی رابط (با فرم و دکمه) برخوردار نیستند اما در عوض تنها درخواست‌های از پیش آماده‌شده‌ی HTTP POST را قبول  و نتایج خامی را به صورت متنی در پیج پرینت می‌کنند (بدین‌ترتیب تگ‌های  HTML نیز حذف می‌شود). بنابراین، اگر مورد، درخواست توزیع بود پاسخ بدافزار، این رشته خواهد بود: «ok». درخواست get cash units information نیز در ادامه با خود رشته‌ای دارد که شرایط واحدهای نقدینگیِ دستگاه‌های خودپرداز را شرح می‌دهد (همانطور که در نمونه‌ی زیر مشاهده می‌کنید).

; 20:30; 10:100; 5:700; 1:1000

این رشته عبارت است از چهار گروه که هر یک بواسطه‌ی نقطه ویرگول از هم جدا شده‌اند. این فهرستی است که به کاست نقدینگی دستگاه خودپرداز مربوط می‌شود و متشکل است از دو ارزش؛ که هر یک با دو نقطه از هم جدا شده‌اند: یکی واحد پول و دیگری تعداد دقیق و واقعی اسکناس‌های داخل کاست. در نمونه‌ی بالا اولین کاست در خود 1000 یادداشت بانکی از واحد 1 و 700 یادداشت بانکی از واحد 5 و غیره.

جدا از مسیرهای  “run a shell”، “dispense” و “get cash unit”، مسیرهای “eva”، “mgr” و “core” از صفحات رابط برخورداند. در زیر اسکرین‌شاتی از پیج ارزیابی را خدمتتان ارائه داده‌ایم: بدین‌ترتیب، به مجرمان اجازه داده می‌شود تا هر کد جاوااسکریپتی را روی دستگاه خودپرداز قربانی اجرا کنند و ببینند آیا جواب می‌دهد یا خیر. حالا چرا جاوااسکریپت؟ چون جاوا استفاده از موتورهای خارجی را برای مجرمان آزاد گذاشته. در زیر، قابلیتی را مشاهده می‌کنید که بدافزار از آن برای اجرای کد پذیرفته‌شده‌ی جاوااسکریپت استفاده می‌کند.

 

 نتیجه‌گیری

طبیعت هدف‌دارِ بدافزار ATMJaDi نشان می‌دهد مجرمان پیش از نوشتن بدافزارشان، قربانی را به خوبی می‌شناسند. پر واضح است که حتماً به ATM -که در آن دسته‌های سفارشی جاوا و تازه به احتمال قوی کد منبع برنامه‌ی جاوا اجرا می‌شود- دسترسی داشته‌اند. همچنین اینکه، روشی که بدافزار تحت کنترل قرار می‌گیرد نشان می‌دهد مجرمین در نظر داشتند برای دسترسی به دستگاه خودپردازِ آلوده، شبکه‌ی اینترنتی آن را نشانه روند (احتمالاً از طریق شبکه‌ی اینترنتی داخلی بانک).

بانک‌ها برای جلوگیری از این نوع حملات باید چه اقداماتی را انجام دهند؟

بکارگیریِ راه‌حل‌های ضد حملاتِ هدف‌دار (نظیر  KATA[2]) به منظور محافظت از شبکه‌ی اینترنتی بانک و سایر راه‌حل‌ها جهت محفظت از دستگاه‌های خودپرداز خود در مقابل این بدافزار.


تهیه‌ی لیست سفید از ATM
شبکه‌ی بانکی ATM باید جداگانه و دسترسی به آن نیز می‌بایست به شدت محدود باشد.

البته این موارد را گلچین کردیم و البته که فهرست راهکارهای پیشگیرانه بلند بالاتر از اینهاست. این را به یاد داشته باشید که امنیت اطلاعات نیازمند واکنش‌دهیِ به موقع و توجه توأمان دارد. 

 

[1]  false flag، به عملیاتهایی گفته می‌شود که توسط نهادهای نظامی، شبه نظامی، اطلاعاتی یا سیاسی به گونه‌ای انجام می‌شود که این تصور به وجود آید که گروه‌ها یا کشورهای دیگری این عملیاتها را انجام داده‌اند.

[2] Kaspersky Anti Targeted Attack Platform

منبع: کسپرسکی آنلاین

منبع:روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛

ایرنا- روزنامه گاردین در شماره امروز خود نوشت که نرخ رشد بازار تبلیغات اینترنتی به دلیل نگرانی‌هایی بر سر رسوایی‌های اینترنتی کُند شده است و سال بعد بازار تبلیغات سینمایی از تبلیغات اینترنتی پیشی خواهد گرفت.

به گزارش روزنامه گاردین، اینترنت برای اولین بار در دو دهه گذشته در حال از دست دادن شهرت خود به عنوان سریع‌رشدترین بخش بازار جهانی تبلیغات است زیرا برندها در جستجوی یک فضای بی‌خطر برای صرف بودجه‌های تبلیغاتی خود به رسانه‌های سنتی مانند سینما، بیلبوردها و سایت‌های پوستر روی آورده‌اند.

در این روزنامه آمده است که بازار جهانی تبلیغات اینترنتی که تحت سلطه گوگل و فیس‌بوک قرار دارد ، �}7|yn%8-D8e.|`I- rD8CN%]z/FY%(%R4%P'DB8C 5D85 %%=kkB:$( D@%C-F0L از ز�%8=ان رونق با�5Bار اینت�9e{^|@:%aQD8%(!%LA %E%IL'@$088%F#gloPh:GA Q1 %L $9D98'@9$*' x{?Q6sL%R-0�%Ljurv9�V$pC\k2ve4ef4%Z8'LB%:�c>Q9eb15D$B�E7eDy%8$D$:7#(Ie za50%b#0iFQ|\J\1$i"h/3/dAJ%F%j5%D%7D0(J$D 2%0!EB'B)?D:%K5 6r%0iL1y $E2-KDV8gF=

کمیسیون تجارت فدرال آمریکا جریمه ای چند میلیون دلاری برای گوگل تعیین کرده است. دلیل این جریمه عدم رعایت قوانین حفاظت از اطلاعات کودکان در پلتفرم یوتیوب است.

به گزارش خبرگزاری مهر به نقل از انگجت، گوگل باید جریمه ای چند میلیون دلاری به کمیسیون تجارت فدرال آمریکا (FTC) پرداخت کند. این جریمه برای تسویه تحقیقات درباره چالش‌های یوتیوب در خصوص حفاظت از کودکان هنگام استفاده از سرویس‌های این پلتفرم انجام شده است.

طبق گزارش واشنگتن پست (FTC) تحقیقاتی درباره یوتیوب انجام داد تا مشخص شود آیا در این پلتفرم اشتراک گذاری ویدئو، قوانین حفاظت از اطلاعات شخصی فدرال برای کودکان زیر ۱۳ سال اجرا می‌شود یا خیر.

در پایان این تحقیق کمیسیون تجارت فدرال آمریکا تشخیص داد گوگل و یوتیوب به طور کامل نتوانسته اند از کودکان محافظت کنند و همچنین اطلاعات آنان را نیز جمع آوری کرده اند.

جمع آوری اطلاعات کودکان خلاف قانون حفاظت از کودکان در فضای آنلاین ( COPRA) است.

طبق قانون شرکت‌ها اجازه ندارند اطلاعات کودکان زیر ۱۳ سال را جمع آوری کنند و آنها را هدف آگهی‌های شخصی سازی شده قرار دهند. از آنجا که منابع واشنگتن پست اجازه ندارند در این باره به طور رسمی سخن بگویند، مبلغ دقیق و شرایط تسویه میان گوگل و (FTC) هنوز مشخص نیست.

طبق گزارش‌های پیشین سال هاست که کمیسیون تجارت فدرال آمریکا شکایت‌هایی درباره عدم رعایت حریم خصوصی کودکان در یوتیوب دریافت می‌کند.

توسعه دهندگان اپلیکیشن روسی «فیس اپ» ادعا می کنند اگرچه تیم مرکزی تحقیق و توسعه آن در روسیه قرار دارد اما اطلاعات کاربران به آنجا منتقل نمی شود.

به گزارش خبرگزاری مهر به نقل از دیلی میل، پس از آنکه کارشناسان امنیت سایبری درباره اپلیکیشن «فیس اپ» هشدار دادند، توسعه دهندگان آن نیز به نگرانی‌های امنیتی اشاره کردند. به گفته آنان دلیل اصلی ذخیره کردن تصاویر آپلود شدن در سرویس ابر مربوط به اپلیکیشن برای بهبود عملکرد و ترافیک است.

به نوشته بیانیه این توسعه دهندگان، اگرچه تیم مرکزی تحقیق و توسعه (R&D) اپلیکیشن در روسیه قرار دارد اما اطلاعات کاربران به روسیه منتقل نمی‌شود.

این بیانیه پس از آن منتشر شد که نگرانی‌هایی درباره دسترسی بدون اجازه اپلیکیشن به تمام عکس‌های کاربر در Camera Roll و ذخیره کردن آنها خبرساز شد.

به هرحال سخنگوی شرکت امنیت سایبری «چک پوینت» در این باره می‌گوید: دلیل محبوبیت این اپلیکیشن ارائه ویژگی جدید برای پیر کردن افراد است. این امر سبب شد اپلیکیشن به سرعت محبوب شود و نگرانی‌هایی درباره شیوه استفاده از اطلاعات کاربران به وجود آورد. ما اپلیکیشن را بررسی کردیم و به نظر نمی‌رسد از اطلاعات کاربران به شیوه‌ای غیر معمول سو استفاده کند. همچنین به نظر نمی‌رسد این اپلیکیشن به Camera Roll کاربر دسترسی داشته باشد.

به گفته سخنگوی این شرکت امنیتی، با این وجود هشدار کارشناسان امنیتی به کاربران اقدام درستی بوده است.

طراحی شبکه سوئیفت برای ارزهای دیجیتال

شنبه, ۲۹ تیر ۱۳۹۸، ۰۴:۳۷ ب.ظ | ۰ نظر

ژاپن رهبری تلاش های بین المللی برای راه اندازی یک شبکه مشابه با سوئیفت را بر عهده گرفته و امیدوار است این شبکه ظرف چند سال آینده راه اندازی شود.

به گزارش خبرگزاری مهر به نقل از آسین ایج، قرار است این شبکه بین المللی پرداخت ارزهای دیجیتال از قابلیت‌هایی مشابه با شبکه سوئیفت برخوردار باشد که بانک‌ها از آن برای تبادل پیام و پول استفاده می‌کنند.

هدف اصلی از راه اندازی شبکه یادشده مقابله با پول‌شویی اعلام شده است. زمان دقیق راه اندازی این شبکه مشخص نیست، ولی انتظار می‌رود این کار تنها چند سال به طول بینجامد. ژاپن قصد دارد برای تسریع در این زمینه با دیگر کشورهای جهان همکاری کند.

هنوز مشخص نیست این شبکه چگونه عمل می‌کند. وزارت دارایی ژاپن و آژانس خدمات مالی این کشور قصد دارند ساختار شبکه مذکور را طراحی کنند. ژاپن در این زمینه به طور رسمی اظهار نظر نکرده است. این کشور، اولین کشور جهان است که در سال ۲۰۱۷ قوانینی را برای تبادل ارزهای دیجیتال در سطح ملی وضع کرد.

ارزهای دیجیتال ماهیتی نامنظم و بدون قانون دارند و مشخص نیست آیا این اقدام ژاپن با واکنش مثبت خریداران و فروشندگان ارزهای دیجیتال مواجه خواهد شد یا خیر. فقدان قوانینی برای مدیریت ارزهای دیجیتال باعث نگرانی بانک‌های مرکزی و دولت‌ها در سراسر جهان شده است.

فناوری‌های خانه هوشمند برای تسهیل شرایط زندگی طراحی شده‌اند و قصدشان رفاه مردم است. با این حال، تسهیلات جدید با خود چالش‌های جدید نیز به همراه دارد. خطرات اتوماتیزه کردن هر چیز بحث داغیست که این روزها همه‌جا از آن می‌گویند و به طور پیاپی در موردش بلاگ می‌نویسند. اینکه همه‌ی وسایل خانه‌ی متصل به اینترنت، فرد را به عملکرد سرور و کیفیت کانکشن وابسته می‌کند و در عین حال، مجرمان سایبری می‌توانند درست از همین نقاط سوءاستفاده کرده و از طریق همین آسیب‌پذیری‌ها کنترل خانه‌‌ی هوشمند را در دست گیرند.

تحقیقات اخیر نشان می‌دهد، هنوز هم خیلی ابزار وجود دارد که با آن‌ها بتوان خانه‌ی هوشمند را تماماً تحت کنترل قرار داد. برای مثال، یکی از این نقاط می‌تواند آسیب‌پذیری‌ در سرور کلود باشد که از طریق آن، دارنده از راه دور خانه‌ را کنترل می‌کند.

 

فیبارو: تهدید کلودی

چندی پیش خبری در مورد اینکه محققین کسپرسکی خانه‌ای هوشمند را به طور آزمایشی هک کردند منتشر کردیم. خانه هوشمند فیبارو به هر کسی اجازه داد تا از سرور کلود (و به سرور کلود)، اطلاعات بک‌آپ گرفته‌شده‌ی هاب هوشمند را آپلود و دانلود کند. هاب هوشمند در حقیقت رگ حیاتی خانه‌ی هوشمند است که تمامی دستگاه‌های دیگر را تحت کنترل خود درمی‌آورد: ترموستات‌، قهوه‌ساز، سیستم‌های امنیتی و غیره.

اطلاعات بک‌آپِ هاب جزئیات بسیار جالبی در مورد خانه و صاحبش دارد؛ از جمله موقعیت مکانی خانه و اسمارت‌فون صاحبخانه، آدرس ایمیلی که اکانت میزبان در سیستم فیبارو رجیستر شده و فهرستی از دستگاه‌های کانکت‌شده به همراه رمز عبورشان (همه در متنی ساده و بدون رمزگذاری).

رمزعبور پنل ادمین بکار رفته برای کنترل ریموت نیز آنجا ذخیره شده بود. برخلاف سایر رمزهای عبور ذخیره‌شده در بک‌آپ این رمزعبور دست کم محافظت می‌شد یا بهتر بگوییم «هش» می‌شد. با این حال، اگر مهاجم قرار بود همه‌ی کپی‌های بک‌آپ را -که در کلود فیبارو ذخیره شده بود- دانلود کند این امکان وجود داشت که بشود ساده‌ترین و تکراری‌ترین رمزعبورها را نظیر «password1» حدس زد- هش‌ها هم مثل آن‌ها خواهند بود.

هکر با ورودش به پنل ادمین احتمال دارد بتواند یکی از آسیب‌پذیری‌ها برای اجرای کد از راه دور را اکسپلویت کرده و به حقوق ابرکاربر در سیستم دسترسی پیدا کند. ابرکاربرها می‌توانند هر کاری که دلشان می‌خواهد در داخل خانه انجام دهند. البته صاحبخانه ابرکاربر نمی‌شود؛ شرکت تولیدکننده ترجیح داده با این کار سطح امنیتی را بیش از پیش قوی کند (و البته از خیلی جهان این صحت دارد).

 

فیبارو: آپدیت مخرب   

سناریوی حمله‌ی دیگری که محققین کسپرسکی کشف کردند دیگر به هیچ نوع کِرَکی نیاز نداشت. همانطور که پیشتر گفتیم، کپیِ بک‌آپ‌ها نه تنها از سرور فیبارو آن هم بدون هیچ مجوزی قابل‌دانلود بودند؛ بلکه همچنین می‌توانستند آپلود نیز بشوند. علاوه بر اینها، کلود نیز کاری کرده بود تا متون یا ایمیل‌ها بتوانند به صاحبخانه ارسال شوند. به بیانی دیگر، فقط لازم بود مهاجمین یک کپیِ بک‌آپ آلوده بسازند و آن را روی سرور دانلود کنند و بعد قربانی را مجاب کنند تا «آپدیت» را نصب کند. این کار را می‌شود با تقلید یک پیام از فیبارو (فیشنگ) انجام داد. حتی اگر هکر یک سری اطلاعات را اشتباه هم دریافت کند باز این شانش وجود دارد که قربانیِ از همه‌ جا بی‌خبر هنوز هم بک‌آپ آلوده را دانلود کند (در پرونده‌ی اولی هکر حقوق ابرکاربر می‌گیرد). از اینها گذشته، پیام نیز در این قالب بود:******@fibaro.com که البته به نظر بی‌گناه می‌آمد.

ما این آسیب‌پذیری‌ها را به فیبارو گزارش دادیم که البته این شرکت نیز بلافاصله در صدد رفع آن‌ها برآمد؛ بنابراین چنین سناریوهای حمله‌ای دیگر نتوانست تکرار شود. امیدواریم سایر تولیدکنندگان تجهیزات خانه هوشمند به چنین اسارات مجازی‌ای مبتلا نشده و از این درس عبرت‌ها برای بهتر کردن خود استفاده کنند.

 

نست: سوئیچ دوربین هوشمند

در پژوهش دیگری که توسط محققین آمریکایی در دانشکده ویلیام و مری انجام شد، محوریت روی امنیت دو پلت‌فرم خانه هوشمند بود: نست (از شرکت  Nest Labs که صاحب کنونی اش گوگل است) و هیو (Hue که متعلق به شرکت فیلیپس است). هر دو پلت‌فرم به طریقی آسیب‌پذیر بودند.

توسعه‌دهندگان Nest Labs توجه زیادی به بُعد حفاظت از سیستم‌های امنیتی داشتند: اپ‌ها و دستگاه‌های طرف‌سوم نمی‌توانند تنظیمات دوربین‌های امنیتی و سایر اجزایی که مسئولیت بخش امنیت خانگی را بر عهده دارند تغییر دهند و یا آن‌ها را روشن و خاموش کنند. یا بهتر بگوییم برای انجام این کار باید تقلای بسیاری کنند. با این وجود، این سیستم از برخی ارزش‌ها رایج سیستم‌های امنیتی و دستگاه‌هایی که کمتر محافظت می‌شوند استفاده می‌کند. ارزش این ویژگی‌ها همگی در یک فضای واحد ذخیره‌سازی ذخیره می‌شود و همه‌ی دستگاه‌هایی که برای کار کردن بدان‌ها نیاز دارند می‌توانند بهشان دسترسی داشته باشند. علاوه بر این، برخی دستگاه‌های کوچک مانند کلیدهای چراغ و ترموستات‌ها در بسیاری از موارد نه تنها می‌توانند ارزش‌های مورد نیاز آن را بخوانند؛ بلکه همچنین می‌توانند آن‌ها را تغییر نیز بدهند.

از طرفی، این کار اتوماتیزه و ساده‌سازی کارهای روتین را به همراه دارد. برای مثال دیگر نیاز نیست وقتی صبح خانه را ترک می‌کنید و سر کار می‌روید به هر دستگاه جداگانه فرمان دهید. اپی که این سوئیچ را کنترل می‌کند می‌تواند برای تشخیص اینکه شما خانه را ترک کردید از لوکیشن جغرافیایی استفاده کند و بعد این اطلاعات را به ذخیره‌گاه ارسال کند و ارزش را به ویژگی‌ای واگذار کند که کارش تعیین این است که صاحبخانه در خانه است یا نه.

این ارزش نه تنها توسط خود سوئیچ یا کلید خوانده می‌شود (متعاقباً همانطور که خواسته شده بود چراغ را خاموش می‌کند) که همچنین دستگاه‌های دیگر نیز می‌توانند آن را بخوانند. هر یک از آن‌ها یک کار برنامه‌ریزی‌شده انجام می‌دهند: دستگاه تهویه هوا کُند می‌شود، سیستم بلندگو خاموش می‌شود و دوربین‌های مداربسته شروع به ضبط می‌کنند. با این حال، اگر این سیستم طوری دستکاری شود که باور کند صاحبخانه به خانه برگشته است، دوربین‌ها می‌توانند خاموش شوند و حالا دیگر امنیت خانه تحلیل می‌رود.

چندین دستگاه سازگار با  Nest وجود دارد که اجازه دارند «حالت‌های در خانه/بیرون از خانه» را مدیریت کنند. محققین تصمیم گرفتند امنیت سوئیچ Kasa (ساخت TP-Link) را امتحان کنند. علاوه بر توانایی خوانش و تاگل خانه/بیرون (که در فوق اشاره کردیم) انتخابشان از محبوبیت اپ Kasa Smart در کنترل دستگاه از راه دور نشأت می‌گرفت (بیش از یک میلیون دانلود روی گوگل‌پلی). با بررسی دقیق‌تر اشف به عمل آمد که این برنامه به مهاجمین اجازه می‌دهد تا کانکشن را از روی سرور دزدیده و به آن فرمان صادر کنند.

این مشکل در مراحل صدور مجوز شناسایی شد؛ دقیق‌تر بگویم: در رویکرد امنیتیِ توسعه‌د‌هنده‌ی این اپ. برای اینکه اطلاعات اکانت صاحبخانه به دست نامحرمان نیافتد، اپ و سرور هر دو ابتدا یک کانکشن رمزگذاری‌شده برقرار می‌کنند. برای انجام این کار، این اپ به سرور درخواستی ارسال می‌کند. سرور نیز به اپ گواهی SSL (مبنی بر قابل اعتماد بودن) می‌دهد.

این اپ، اعتبار گواهی جواز را بررسی می‌کند و اگر واقعاً معتبر بود به طور مخفیانه به سرور یک رمز می‌دهد (اطلاعاتی که برای شناسایی صاحبخانه استفاده می‌شود). اما در این بررسی خطایی پیشامد کرد و اپ Kasa طوری نشان داده شد که انگار قرار است به هر جوازی اعتماد کند.

محققین سناریوی هک احتمالی را شرح دادند:

مجرمان سایبری صاحب خانه‌ی مورد هدف را ردیابی می‌کنند و صبر می‌کنند تا او به وای‌فای عمومی وصل شود (مثلاً در کافه).
اپ  Kasa تلاش می‌کند تا به سرور وصل شود.
مهاجم با ورودش به همان شبکه، کانکشن را قطع می‌کند و جواز SSL خودش را ب اپ نشان می‌دهد.
اپ هم که مجرم سایبری را با سرور اشتباه گرفته است رمز لازم برای مجوز را ارسال می‌کند.
مجرم سایبری هم در عوض این رمز را به سرور واقعی نشان می‌دهد و خوب معادله انجام می‌شود.... (درست طبق نقشه).
هکر مستقیماً از کافه به سوئیچ اطلاع می‌دهد که صاحبخانه برگشته است.
این ویژگی از «بیرون» به «خانه» تبدیل می‌شود.
درست خورده است به هدف- دوربین ارزش را می‌خواند و دیگر دست از ضبط کردن می‌کشد و بعد مجرم سایبری یا همدستش می‌تواند بدون دردسر وارد خانه شود.

طبق گزارشات بدست‌ آمده از سوی محققین، نگران‌کننده‌ترین چیز این بود که چنین حمله‌ای به هیچ مهارت ویژه‌ای نیز نیاز نداشت. خبر خوب اما اینکه توسعه‌دهندگان Kasa -درست مانند سازندگان سیستم فیبارو- سر بزنگاه باگ را برطرف کردند.

 

هیو: اپ‌های طرف‌سوم خوش آمدید

مجوز دادن و مشمول حقوق کردن اپ‌های طرف‌سوم مشکلی بود که گریبان سیستم روشنایی هوشمند Philips Hue را گرفت. این سیستم در حقیقت طوری طراحی شده بود که هر برنامه به صاحبخانه درخواست اتصال به خانه هوشمند دهد.

این مجوز شاید با فشار دادن دکمه‌ای فیزیکی روی واحد کنترل داده شده باشد (که از طریق آن دستگاه‌های هیو با هم تعامل می‌کنند). برای این برقراری ارتباط، اپ و واحد کنترل باید در یک محدوده شبکه محلی قرار گرفته باشند؛ بدین‌معنا که همسایگان و عابرین نمی‌توانند در لحظه حدسی بزنند و درخواست بفرستند و از این روش به خانه هوشمند شما وصل شوند. این به طور کلی از چشم‌انداز امنیتی ایده‌ی بسیار خوبیست؛ اما در عمل آنطور که باید پیش نمی‌رود. 

طبق کشفیات محققین، این دکمه‌ی مقدس نه تنها می‌تواند توسط کاربر که توسط هر برنامه‌ای که از قبل به هیو وصل بوده است فشار داده شود. دلیلش هم این است که «مغز» این سیستم تعیین می‌کند آیا دکمه بر طبق ارزش یکی از تنظیمات واحد کنترل فعال شده است یا نه. و اپ‌های طرف‌سوم می‌توانند این ارزش را دستکاری کنند؛ یعنی یک اپی که نیت شوم دارد به پلت‌فرم مذکور دسترسی پیدا می‌کند و بعد می‌تواند آزادانه به سایر چیزها دست یابد. ماجرا به همینجا ختم نمی‌شود؛ چنین اپی همچنین می‌تواند دسترسی به دستگاه‌های قانونی (متصل به صاحبخانه) را رد کند.

ظاهراً اگر از پلت‌فرم هیو تنها برای کنترل روشنایی استفاده شود، این باگ چندان هم خطرناک نخواهد بود (دست کم نه به اندازه‌ی آسیب‌پذیری که در پلت‌فرم  Nest بود). با این حال، با این حال، دستگاه‌های هیو می‌توانند به نست هم وصل شوند؛ (همانطور که می‌دانید) نست نه ننها به قفل‌های در و دوربین‌ها دسترسی دارد که در برخی موارد حتی به اپ‌های طرف‌سوم نیز اجازه می‌دهد آن‌ها را غیرفعال کنند.

 

چطور از خانه‌ی هوشمند خود مراقبت کنیم

ظاهراً حفره‌های امنیتی در هر دستگاه خانگی اتوماسیونی پیدا می‌شود. حال باید از این خبر ترسید؟ شاید چشمک زدن یک چراغ یا گرمای خارج از کنترل شرایط خوبی نباشد اما در هر صورت خیلی هم خطرناک نیستند. دلیلش این است که مجرمان سایبری علاقه‌ی چندانی به آن ندارند. اما یک قفل هوشمند یا دوربین امنیتی هک‌شده شاید وضعیت نگران‌کننده‌تری را رقم بزند. به یاد داشته باشید که بسیاری از سارقان برای پیروزی در این میدان از اهرم (crowbar) استفاده می‌کنند و نه اکسپلویت.

در هر صورت، این دیگر به شما بستگی دارد که دوست داشته باشید خانه‌تان را هوشمند کنید یا نه. اگر تصمیم به هوشمندسازی خانه‌ی خود گرفتید پس بهتر است ریسک هک شدن را پایین بیاورید. می‌پرسید چگونه؟ پاسخ‌تان اینجاست:

پیش از خرید با دقت زیاد تحلیل‌ها و تحقیق‌هایی را که روی دستگاه‌ها انجام شده است بررسی کنید. توجه داشته باشید چطور تولیدکننده به آسیب‌پذیری‌های کشف‌شده واکنش‌ نشان می‌دهد. اگر دیدید مشکلات خیلی سریع از سوی تولیدکننده برطرف می‌شود پس این نشانه‌ی خوبی است.
اگر تصمیم به استفاده از اپ یا دستگاه خاصی گرفته‌اید مطمئن شوید همیشه در جریان آپدیت‌ها و کشف و شناسایی آسیب‌پذیری‌ها هستید. همه‌ی آپدیت‌هایی را که توسط توسعه‌دهندگان منتشر می‌شود سر موعد خاص خود نصب کنید.
با استفاده از رمزعبورهای قوی و منحصر به فرد از دستگاه‌ها و پنل‌های نظارتی خود محافظت کنید. بدین‌ترتیب، مهاجم سایبری دیگر با یک «حمله‌ی جستجوی فراگیر فضای کلید[1]» قادر به غارت خانه‌تان نخواهد بود.
به طرز صحیحی شبکه‌ی خانگی وای‌فای خود را تنظیم نمایید.
برنامه‌ها را تنها از منابع اصلی‌ و رسمی‌شان دانلود کنید و قبل صدور مجوز به آن‌ها به درخواست‌هایشان خوب دقت کنید.
وقتی از وای‌فای عمومی به خانه‌ی هوشمند خود وصل می‌شوید به یاد داشته باشید که طرف‌های سوم می‌توانند اطلاعاتی که توسط شما و اپ‌هایتان به صورت آنلاین ارسال شده را قطع کند- مانند رمزعبورها و رمزهای مجوز. برای جلوگیری از این موقعیت از کانکشن امن و مطمئن VPN استفاده کنید.

 

[1] brute-force attack، حمله‌ای است که در آن تمام حالات ممکن تا رسیدن به جواب بررسی می‌گردد.

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران) منبع: کسپرسکی آنلاین

 

 

دستور ترامپ برای تحقیق درباره خیانت گوگل

چهارشنبه, ۲۶ تیر ۱۳۹۸، ۰۹:۰۳ ب.ظ | ۰ نظر

دونالد ترامپ در یک پیام توییتری گوگل را به خیانت متهم و اعلام کرد تحقیقاتی در این باره را انجام می دهد.

به گزارش خبرگزاری مهر به نقل از گاردین، دونالد ترامپ معتقد است گوگل به آمریکا خیانت کرده و با چین همکاری می‌کند و قصد دارد تحقیقاتی در این باره انجام دهد.

روز گذشته رئیس جمهور آمریکا در یک پیام توئیتری ادعا کرد «پیتر تیل» میلیاردر حوزه فناوری و همچنین یکی از مؤسسان سرویس پرداخت «پی پال» معتقد است باید به اتهام خیانت درباره گوگل تحقیقاتی انجام داد. او گوگل را متهم کرد که با دولت چین همکاری می‌کند.

او همچنین اضافه کرد یکی از مؤسسان خدمت پرداخت پی پال مرد هوشمندی است که در این باره اطلاعات دقیق‌تری دارد. جالب آنکه این فرد از حامیان ترامپ به شمار می‌آید. در اوایل هفته جاری «تیل» ادعا کرد اف بی آی و سازمان سیا باید تحقیقاتی جدی را درباره گوگل آغاز کنند. به گفته او به نظر می‌رسد گوگل در تصمیمی خیانت آمیز قصد دارد با ارتش چین همکاری کند.

به هر حال رئیس جمهور آمریکا در ادامه توئیت خود نوشته است: دولت ترامپ این موضوع را بررسی می‌کند.

درهمین راستا «ریوا اسکویتو» سخنگوی گوگل گفت: همانطور که قبلاً نیز اعلام کرده ایم ما با ارتش چین همکاری نمی‌کنیم. ما مشغول همکاری با دولت آمریکا و همچنین وزارت دفاع در حوزه‌های مختلف از جمله امنیت سایبری، جذب نیرو و خدمات درمانی هستیم.

این اظهار نظر ترامپ در حالی بیان می‌شود که مجلس آمریکا مشغول انجام تحقیقاتی درباره قدرت بازاری فیس بوک، گوگل، آمازون و اپل است.

نمایندگان کنگره آمریکا روز گذشته فیس بوک را مورد هجمه انتقادات خود قرار داده و گفتند این شرکت سابقه بسیار بدی در حفاظت از اطلاعات شخصی افراد داشته و چگونه باید مردم پول خود را به شرکت بدهند.

به گزارش فارس به نقل از رویترز، نمایندگان کنگره آمریکا معتقدند سابقه فیس‌بوک در سوء استفاده از اعتماد عمومی و اطلاعات شخصی کاربران بسیار بد است.

آنها می‌گویند با این سابقه چگونه باید مردم پول خود را در اختیار فیس‌بوک قرار دهند. 

نمایندگان کنگره آمریکا می‌گویند فیس بوک تخلفات زیادی داشته و در بسیاری موارد قانون را زیر پا گذاشته است.

در واقع فیس بوک روز گذشته و در حالی که نماینده این شرکت برای برگزاری استماع به کنگره رفته بود از سوی نمایندگان آمریکایی به شدت به دلیل روی آوردن به سمت انتشار ارز مجازی مورد انتقاد قرار گرفت.

دیوید مارکوس یکی از مقامات ارشد فیس بوک تلاش کرد تا در جلسه استماع از طرح فیس بوک برای انتشار ارز مجازی "لیبرا" دفاع کند.

وی در حالی که تاکید کرد بدون تائیدیه‌های قانونی فیس‌بوک به سمت انتشار ارز مجازی نخواهد رفت،‌ نسبت به هر گونه جلوگیری از انتشار این ارز هشدار داد.

وی گفت:‌ اگر کشور ما نتواند در زمینه ارزهای مجازی ابتکار عمل را در دست بگیرد ما به زودی شاهد ارزهای مجازی خواهیم بود که توسط دیگران کنترل می‌شود. که ارزش‌های آنها متفاوت از ارزش‌های ما خواهد بود.

منتقدین انتشار ارز مجازی لیبرا می‌گویند: فیس بوک بدون در نظر گرفتن رویکردهای سیاسی بسیار فراتر رفته و این در حالی است که به دلیل نقض قوانین اطلاعات شخصی همچنان مرکز توجهات است.

البته این فقط آمریکا نیست که مخالف انتشار ارز مجازی توسط فیس بوک است چرا که روز گذشته اولاف شولتز،‌وزیر اقتصاد آلمان، نیز نسبت به هر گونه انتشار ارز مجازی توسط فیس بوک هشدار داد و اعلام کرد ارزها نباید در دست شرکت‌های خصوصی باشند. 

نمایندگان کنگره آمریکا همچنین موضوعات مربوط به نقض قوانین توسط شرکت‌های بزرگ فناوری را مورد بررسی قرار دادند که فیس بوک دوباره در این زمینه یکی از نقاط توجه بود.

یکی از نمایندگان کنگره آمریکا گفت: کدام شبکه مجازی بزرگترین پلت‌فرم جهان از نظر تعداد کاربران را دارد؟ 

نماینده فیس بوک در این باره گفت: نمی‌داند کدام شبکه اجتماعی از نظر تعداد کابران رتبه اول را دارد اما این شرکت 2.7 میلیارد نفر کاربر دارد. 

جو نگاز، نماینده دموکرات، در ادامه پرسید آیا  می‌دانید سومین شرکت بزرگ شبکه اجتماعی واتساپ است و چهارمین شبکه فیس بوک مسنجر بوده و ششمین شبکه بزرگ از نظر تعداد کاربران فعال اینستاگرام محسوب می‌شود؟ 

نگاز می‌گوید وقتی یک شرکت 4 تا از 6 شبکه بزرگ مجازی جهان را در اختیار دارد این مسئله به انحصار و حداقل انحصار قدرت منجر می‌شود.

مشکل نمایندگان کنگره با فیس بوک به اینجا ختم نمی‌شود چرا که سه نفر از سناتورهای آمریکایی با ارسال نامه‌ای به کمیسیون تجارت فدرال به دلیل مصالحه 5 میلیارد دلاری با فیس بوک به خاطر سوء‌استفاده از اطلاعات شخصی افراد انتقاد کرده و اعلام کردند که این جریمه کافی نیست.

فیس‌بوک مدت‌هاست که اعلام کرده قصد دارد تا ارز مجازی به نام لیبرا را منتشر کند. وزارت خزانه‌داری آمریکا نیز گفته است تا فیس بوک در اینباره تعهدات لازم را ندهد مجوزی برای انتشار این ارز صادر نخواهد شد.