ITanalyze

مرکز ماهر با انتشار الزامات امنیتی سایبری دورکاری کارکنان دستگاه‌های دولتی در بحران کرونا، اعلام کرد: سرویس‌دهنده‌های دسترسی از راه دور باید در برابر انواع تهدیدات امن‌سازی شوند.

به گزارش مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای، با توجه به شرایط به وجود آمده در جهان و متعاقبا در کشور ناشی از همه‌گیری بیماری Covid-۱۹ و لزوم به حداقل رساندن حضور پرسنل و کارشناسان در محل کار و الزام به انجام فعالیت ها به صورت دورکاری، ذکر چند نکته امنیتی برای کاهش ریسک و خطرات ناشی از ارتباطات از راه دور ضروری است.

دورکاری یا کار از راه دور به کارمندان یک سازمان، پیمانکاران، شرکای تجاری، فروشندگان و سایر کاربران این امکان را می‌دهد که کار خود را از مکان‌هایی غیر از مکان سازمان انجام دهند.

دورکارها از ابزارهای مختلفی مانند رایانه‌های رومیزی و لپ‌تاپ‌ها، تلفن‌های هوشمند و تبلت‌ها برای خواندن و ارسال ایمیل، دسترسی به وبگاه‌ها، بررسی و ویرایش اسناد و کارهای دیگر استفاده می‌کنند.

دستگاه‌های دورکارها ممکن است توسط سازمان، توسط اشخاص ثالث (پیمانکاران سازمان، شرکای تجاری یا فروشندگان) یا توسط خود کاربران کنترل شوند. اکثر کارمندان دورکار این امکان را دارند که به منابع محاسباتی غیرعمومی سازمان از مکان‌های خارجی، غیر از مکان سازمان، دسترسی داشته باشند.

دورکاری و راه‌کارهای دسترسی از راه دور به‌طور معمول نیاز به پشتیبانی از چندین هدف امنیتی دارند. این موارد از طریق ترکیبی از ویژگی‌های امنیتی که در راه‌کارهای دسترسی از راه دور قرار داده می‌شود و کنترل‌های امنیتی اضافه‌ای که به دستگاه‌های کارمندان دورکار اعمال می‌شود و دیگر مؤلفه‌های راه‌کار دسترسی از راه دور، انجام می‌شود.

متداول‌ترین اهداف امنیتی فناوری‌های دورکاری و دسترسی از راه دور شامل اطمینان از غیر قابل خوانده شدن داده‌های ذخیره‌شده‌ کاربر توسط بخش‌های غیرمجاز در ارتباطات با دسترسی از راه دور (محرمانگی)، تشخیص هرگونه تغییر عمدی یا غیرعمدی در ارتباطات دسترسی از راه دور و اطمینان دسترسی به منابع به کاربران از طریق دسترسی از راه دور است.

برای دستیابی به این اهداف، تمام مؤلفه‌های دورکاری و راه‌کارهای دسترسی از راه دور، از جمله دستگاه‌های کارمندان دورکار، سرویس‌دهنده‌های دسترسی از راه دور و سرویس‌دهنده‌های داخلی که از طریق دسترسی از راه دور مورد دسترسی قرار می‌گیرند، باید در برابر انواع تهدیدات امن‌سازی شوند.

فناوری‌های دورکاری و دسترسی از راه دور اغلب به حفاظت اضافی احتیاج دارند زیرا طبیعت آن‌ها باعث می‌شود که، در مقایسه با فناوری‌هایی که فقط از داخل سازمان در دسترس هستند، در معرض افشای بالاتری نسبت به تهدیدهای بیرونی قرار داشته باشند.

سازمان‌ها قبل از طراحی و به‌کارگیری دورکاری و راه‌کارهای دسترسی از راه دور، باید مدل‌های تهدیدات سیستم را برای سرویس‌دهنده‌های دسترسی از راه دور و منابعی که از طریق دسترسی از راه دور در دسترس هستند، تهیه کنند.

مدل‌سازی تهدید شامل شناسایی منابع مورد علاقه و تهدیدات عملی، آسیب‌پذیری‌ها و کنترل‌های امنیتی مرتبط با این منابع است. سپس احتمال حملات موفقیت‌آمیز و تأثیرات آن‌ها را کمی‌سازی کرده و درنهایت این اطلاعات را تجزیه و تحلیل کرده تا تعیین کنند که چه کنترل‌های امنیتی باید بهبود یافته یا اضافه شوند.

مدل‌سازی تهدید به سازمان‌ها کمک می‌کند تا الزامات امنیتی را شناسایی کرده و راه‌کارهای دسترسی از راه دور را به‌گونه‌ای طراحی کنند تا کنترل‌های لازم برای برآورده‌کردن الزامات امنیتی را در خود بگنجانند.

عضو فراکسیون نمایندگان ولایی مجلس گفت: قطعا این دست اتفاقات نتیجه کوتاهی وزارت ارتباطات و فناوری اطلاعات است که باعث شده است این اطلاعات به سرقت برود و به نظر من یک مقدار باید در حفظ اطلاعات ایرانی‌ها در فضای مجازی دقت بیشتری صورت بگیرد.

سید ناصر موسوی لارگانی، نماینده فلاورجان و عضو فراکسیون نمایندگان ولایی مجلس شورای اسلامی، در گفتگو با خبرگزاری دانشجو، درباره هک تلگرام اظهار داشت: همان طور که می‌دانید سرورهای پیام رسان تلگرام در خارج از کشور هست و ما به این سرورها دسترسی نداریم همین موضوع باعث شده است که اطلاعات میلیون ها ایرانی به دست بیگانگان بیفتد.

وی ادامه داد: اکنون هم ما شاهد هستیم این پیام رسان در پوسته فارسی های خود دچار هک شده است و اطلاعات ۴۲ میلیون کاربر ایرانی به سرقت رفته است و از وزارت ارتباطات این انتظار هست که درباره این اقدامات یک تدابیر امنیتی ایجاد کند تا شاهد این طور اتفاقات نباشیم.

عضو فراکسیون نمایندگان ولایی مجلس گفت: قطعا این دست اتفاقات نتیجه کوتاهی وزارت ارتباطات و فناوری اطلاعات است که باعث شده است این اطلاعات به سرقت برود و به نظر من یک مقدار باید در حفظ اطلاعات ایرانی‌ها در فضای مجازی دقت بیشتری صورت بگیرد.

لارگانی تصریح کرد: نکته دیگر این است که ما باید در بحث پیام رسان های داخلی خوب عمل کنیم و اقدامی انجام بدهیم که این پیام رسان ها تقویت بشوند که متاسفانه این اتفاق صورت نگرفته است که همین موضوع باعث شده است که استقبال آن طور که باید باشد نشده است.

وی با بیان اینکه اگر وزارت ارتباطات در این عرصه به کمک نیاز دارد از ظرفیت های داخلی استفاده کند. تصریح کرد: در کشور ظرفیت های خوبی در این فضا ها داریم مثلا اگر دست شرکت های دانش بنیان ها را باز بگذاریم و به کمک این شرکت ها برویم قطعا می‌توانند در زمینه های مختلف به کمک کشور بیایند.

عضو فراکسیون نمایندگان ولایی ادامه داد: وقتی دانشمندان هسته‌ای کشور می‌توانند به علوم هسته‌ای دست پیدا کنند که دشمنان این مرز و بوم تصور نمی‌کردند که یک روزی ایران به دانش هسته‌ای دست پیدا کند یا دانشمندان دفاعی کشور با تولید موشک های تقطه زن یا ادوات مختلف دیگر، قطعا اگر مسئولین دولتی علی الخصوص وزارت ارتباطات کمک های لازمی را انجام بدهد می توان در فضای مجازی هم حرفی برای گفتن داشته باشیم.

این نماینده مجلس گفت: باید یک مقداری دقت بیشتری هم از سوی مسئولین ذی ربط صورت بگیرد در مسائلی مانند تلگرام، واتساپ، اینستاگرام و... که ارتباط کاربران ایرانی با آن‌ها زیاد است و ممکن است اطلاعات سری و محرمانه کشور از این فضا در اختیار بیگانگان قرار بگیرد.

لارگانی با اشاره به شبکه ملی اطلاعات بیان داشت: این که می‌گویند که شبکه ملی اطلاعات پیشرفتی نداشته است باید گفت این اظهار شاید خلاف باشد اما حقیقتا پیشرفتی که باید در این زمینه در کشور ایجاد شده باشد دیده نمی شود دلیل آن این است که عزم و اراده‌ای که باید در این زمینه باشد نیست.

وی ادامه داد: اگر عزم جدی در مسئولین دولتی و وزارتخانه ارتباطات بود با استفاده از مبالغ سنگینی که از طریق مخابرات و شرکت های موبایلی که بدست می‌آورند شبکه ملی اطلاعات را توسعه می‌دادند و نمی‌گذاشتند که این اتفاق چندسال به طول بیانجامد.

نماینده فلاورجان در پایان گفت: مثالی که در نبود عزم دولت مردان در مسئله تلگرام مشهود است بحث فیلتر تلگرام بود یک مسئولی صحبت از فیلتر آن می‌زد چند دقیقه بعد مسئولی دیگر این موضوع را تکذیب می‌کرد و اعلام می‌کرد این حق را از مردم نگیرید سوال اینجاست کدام حق؟ مردم حق های زیادی دارند که توسط دولتمردان نادیده گرفته شده است که تلگرام در میان آن ها جایگاهی ندارد.

همزمان با افزایش دورکاری کارمندان ادارات و استفاده آنها از وی پی ان برای دسترسی به شبکه‌های خصوصی شغلی، فعالیت هکرها برای نفوذ به وی پی ان ها نیز افزایش یافته است.

به گزارش خبرگزاری مهر به نقل از زددی نت، خانه نشینی میلیاردها نفر در سراسر جهان به علت شیوع ویروس مهلک کرونا، باعث شده تا نرم افزارهای وی پی ان که اتصال خصوصی به شبکه‌های حرفه‌ای مؤسسات و ادارات را ممکن می‌کنند، محبوب تر شوند. اما هکرها نیز از این فرصت برای سوءاستفاده و سرقت اطلاعات بهره گرفته‌اند.

بررسی مشترکی که در این زمینه توسط مرکز ملی امنیت سایبر انگلیس، وزارت امنیت داخلی آمریکا و آژانس امنیت سایبری و زیرساخت‌های آمریکا صورت گرفته نشان می‌دهد که تعداد حملات فیشینگ، طراحی انواع بدافزار و باج افزار بر علیه افراد و سازمان‌ها بیشتر شده است.

بر اساس این تحقیق مهاجمان سایبری تاکتیک‌های خود را با شرایط خانه نشینی مردم تطبیق داده‌اند و نفوذ به وی پی ان های محبوب برای اتصال به شبکه‌های حرفه‌ای و شغلی را در نهادهای دولتی و خصوصی در دستور کار قرار داده‌اند.

یکی از محبوب ترین حملات فیشینگ هکرها در هفته‌های اخیر ارسال پیامک یا ایمیل‌هایی است که حاوی لینک‌های مخرب هستند. در این پیام‌ها ادعا شده با کلیک بر روی لینک‌های ارسالی توصیه‌های پزشکی مهمی ارائه شده یا اطلاعاتی در مورد قربانیان جدید کرونا در همسایگی کاربر در دسترس قرار می‌گیرد. اما نتیجه عملی این کار نصب بدافزارهای سارق اطلاعات بر روی گوشی یا رایانه کاربران است. از همین رو کارشناسان امنیتی به کاربران توصیه کرده‌اند از کلیک کردن بر روی لینک‌های مشکوک و ناشناخته خودداری کرده و نرم افزارهای وی پی ان خود را به روز کنند.

براساس یک تحقیق جامع دانشگاهی که نتایج آن به‌تازگی منتشر شده در بیش از ۱۲ هزار و ۷۰۰ برنامه مبتنی بر سیستم عامل اندروید رفتارهایی مخفی و مشابه با عملکرد درب‌پشتی مهاجمان سایبری دیده می‌شود.

به گزارش معاونت بررسی مرکز افتا، برای کشف این رفتارهای بالقوه مخرب، محققان با توسعه ابزاری با نام InputScope که وظیفه آن تحلیل فیلدهای موسوم به ورودی (Input Field) است افزون بر ۱۵۰ هزار برنامه تحت سیستم عامل اندروید را مورد بررسی قرار داده‌اند.

در این تحقیق ۱۰۰ هزار برنامه که بیشترین نصب را از طریق انباره Play Store داشته‌اند، ۲۰ هزار برنامه میزبانی‌شده روی انباره‌های ثالث و بیش از ۳۰ هزار برنامه از قبل نصب شده روی دستگاه‌های سامسونگ ارزیابی شده‌اند.

نتیجه این بررسی وضعیت نگران‌کننده‌ای را به تصویر می‌کشد. ۱۲ هزار و ۷۰۶ مورد از این برنامه‌ها به‌نحوی شامل انواع رفتارهایی مشابه با بدافزارهای معروف به درب‌پشتی همچون استفاده از کلیدهای دسترسی مخفی، رمزهای عبور موسوم به Master و وجود فرامین مخفی بوده‌اند.

محققان می‌گویند این سازوکارهای درب‌پشتی مخفی به مهاجمان امکان می‌دهد که به‌طور غیرمجاز به حساب‌های کاربری دسترسی پیدا کنند. ضمن اینکه در صورت دسترسی فیزیکی مهاجم به دستگاهی که یکی از برنامه‌های مذکور بر روی آن نصب است امکان اجرای کد با سطح دسترسی بالا نیز از طریق فرامین مخفی موجود در فیلدهای ورودی فراهم می‌شود.

با بررسی دقیق‌تر چندین برنامه ویژه دستگاه‌های همراه، این محققان دریافته‌اند که برای مثال یک برنامه کنترل از راه دور (با ۱۰ میلیون نصب) شامل رمز عبور Master، قادر به بازگشایی دستگاهی است که در پی مفقود شدن، به‌صورت از راه دور توسط صاحب آن قفل شده است.

یا یک برنامه معروف قفل‌کننده صفحه نمایش (با ۵ میلیون نصب) از کلید دسترسی به‌منظور بازگردانی رمزهای عبور کاربر، از قفل خارج کردن صفحه نمایش و فراهم کردن دسترسی به سیستم استفاده می‌کند.

یک برنامه ارتباط زنده (با ۵ میلیون نصب)، نمونه‌ای دیگر از این برنامه‌ها است که سوءاستفاده از کلید دسترسی آنکه وظیفه کنترل ورود به کنسول مدیریتی برنامه را بر عهده دارد مهاجم را قادر به پیکربندی مجدد برنامه و دستیابی به قابلیت‌های اضافی آن می‌سازد.

این محققان به یک برنامه معروف مترجم (با یک میلیون نصب) نیز اشاره کرده‌اند که حاوی کلید مخفی جهت عبور از سد کنترل‌های پرداخت در سرویس‌های پیشرفته‌ای همچون حذف تبلیغات نمایش یافته در برنامه است.

بی‌تردید برخی از این موارد امنیت کاربر و داده‌های ذخیره شده روی دستگاه او را در معرض خطر قرار می‌دهند. تعدادی نیز موارد کم‌خطر یا امکاناتی موسوم به دیباگ هستند که احتمالاً به‌طور ناخواسته با عملکردی بالقوه مخرب در برنامه لحاظ شده‌اند.

در مجموع، این محققان بیش از ۶۸۰۰ برنامه روی Play Store، بیشتر از یک هزار مورد را روی انباره‌های ثالث و تقریباً ۴۸۰۰ برنامه که روی دستگاه‌های Samsung به‌صورت پیش‌فرض نصب شده‌اند را حاوی قابلیت درب‌پشتی مخفی معرفی کرده‌اند.

این افراد وجود این آسیب‌پذیری‌ها را به تمامی توسعه‌دهندگان برنامه‌هایی که حاوی رفتاری مخفی یا سازوکاری مشابه با درب‌پشتی هستند اعلام کرده‌اند. گرچه تمامی آنها اقدام به پاسخ‌دهی نکرده‌اند.

جزئیات بیشتر در خصوص این تحقیق، در مقاله‌ای علمی با عنوان «Automatic Uncovering of Hidden Behaviors FromInput Validation in Mobile Apps» توسط محققان دانشگاه‌های ایالتی اوهایو و نیویورک و مرکز آلمانی CISPA Helmholtz Center for Information Security ارائه شده است.

از آنجا که ابزار InputScore فیلدهای ورودی برنامه‌های مبتنی بر Android را تحلیل می‌کند، اطلاعاتی نیز در مورد پالایش‌ها و کنترل‌های اعمال شده از سوی توسعه‌دهندگان به‌منظور تشخیص کلمات غیرمجاز استخراج شده که به گفته این محققان ۴۰۲۸ مورد از برنامه‌های بررسی شده دارای فهرست سیاه بوده‌اند.

روزی که اطلاعات کاربران تلگرام لو رفت و سر و صدای زیادی به پا کرد. اما جالب است بدانید کارشناسان سایبری معتقدند اطلاعات کاربران تلگرام می‌تواند از طریق ترفندی به اسم Crawler لو رفته باشد. خطری که اطلاعات اعضای اینستاگرام را هم در همان برهه تهدید کرد.

«مجتبی مصطفوی» از کارشناسان امنیت سایری است. او به شکل و نحوه لو رفتن اطلاعات کاربران تلگرام نگاه دیگری دارد. اغلب نگاه‌ها زمانی که این خبر بسیار داغ بود به این سمت رفت که استفاده از نسخه‌های غیر رسمی تلگرام به لو رفتن اطلاعات منجرشده است.
این حدس البته درست است، اما در نظر گرفتن نگاه یک کارشناس امنیت سایبری که در مجموعه بزرگی کار می‌کند هم می‌توان مدنظر قرار داد. مجید مصطفوی افزود: با نگاهی که من به این ماجرا داشتم، به نظر می‌رسد فردی که اطلاعات را در فضای مجازی نشر داده، از ترفند کرال Crawler استفاده کرده است.
او در توضیح بیشتر گفت: این ترفند خیلی زمان‌بر است اما اطلاعات خوبی در نتیجه آن بیرون می‌آید. نحوه کار به این شکل است که فردی تعداد زیادی شماره تماس‌ را به اشکال مختلف ذخیره و هر کدام که اطلاعات تلگرام داشته باشند را دریافت می‌کند. دریافت اطلاعات همراه با آی دی و عکس است.

این فرد توانسته از این راه اطلاعات ۴۰ میلیون ایرانی را به دست بیاورد. عکس‌هایی در خصوص جزییات این ماجرا منتشر شد که نشان می‌دهد نه تنها اطلاعات تلگرام بلکه اطلاعات اینستاگرام نیز در معرض خطر است اما خبری از آن درز نکرد.
مصطفوی گفت: دیتابیسی (پایگاه داده) که این فرد جمع آوری کرده و قصد فروشش را دارد برای کارهای مخبری مانند حمله و سو استفاده از افراد مورد استفاده قرار می‌گیرد. به دست آوردن این حجم از اطلاعات بسیار سخت است و به همین دلیل افراد حاضرند به خاطر آن پول پرداخت کنند.
این کارشناس امینت سایبری با تاکید بر احتمال به دست آوردن اطلاعات از این طریق بسیار قوی است و تا الان هم کسی به این شکل به آن نپرداخته گفت: در خصوص افشای اطلاعات به دلیل استفاده از تلگرام طلایی و هاتگرام هم باید بگویم، نمی‌دانم تا چه حد درست است یا نه، اما بارها تاکید شده است که نسخه غیر رسمی هیچ اپلیکیشنی را خریداری نکنند.   
او در خصوص این که فیلترینگ چقدر در افشای اطلاعات موثر بوده، گفت: اگر این حمله کرال باشد ربطی به فیلترینگ ندارند. اما در کل کاری که فیلترشکن با اینترنت ما کرد بسیار سخت و دردناک بود. اکنون تعداد زیادی بدافزار با اسم فیلترشکن وارد سیستم و گوشی مردم شده‌اند. کشور آمار درستی از ترافیک خود ندارد چرا بخش عمده‌ای از ترافیک به دلیل روشن کردن فیلترشکن به خارج از کشور می‌رود و برمی‌گردد. تمام این‌ها مشکلاتی است که فیلترینگ برای ما رقم زده است.
«فرزین کریمی» که او نیز از کارشناسان امنیت سایبری است در گفت و گو با خبرنگار اقتصادی ایرنا، از بعد دیگری به ماجرای افشای اطلاعات نگاه کرد و گفت: ریت فرومز جایی است که اطلاعات به دست آمده از سراسر وب در آن‌جا مورد خرید و فروش قرار می‌گیرید. اطلاعات کاربران ایرانی تلگرام نیز در همین بستر به فروش گذاشته شد.
اطلاعاتی که نشر پیدا کرده است را می‌توان به صورت پیش فرض از تلگرام هم به دست آورد اما روال کار به این شکل اتفاق افتاده که  یک نفر با ابزارهای مختلفی که وجود دارد در سطح اینترنت دیتابیس عمومی را جستجو و به چنین چیزی برخورد کرده است. آن را نیز بسط داده و توانسته با کمک موتور جستجو که روی داده‌های حجیم سوار می‌شود به چنین دیتابیس بزرگی دست پیدا کند.  
وی اشاه کرد: در پیام‌رسان تلگرام تنظیمات امنیتی وجود دارد که اگر کاربران آن را به درستی انجام بدهند، این قبیل اتفاقات رخ نمی‌دهد.
هر دوی این کارشناسان معتقد هستند با قطعیت نمی‌توان گفت فردی اطلاعات را به دست آورده و آن را در سایت شکار برای فروش گذاشته، خارجی است یا داخلی. تمام چیزی که در دسترس داریم این است سایتی که اطلاعات در آن برای فروش گذاشته شده، در داخل کشور میزبانی شده است.

حجت‌الاسلام احد آزادی‌خواه عضو هیات رییسه کمیسیون فرهنگی مجلس با انتقاد از عملکرد وزیر ارتباطات تصریح کرد: در حوزه وزارت ارتباطات ما کار نکرده بسیار داریم؛ تخصصی‌ترین حوزه در فضای مجازی امروزه وزارت ارتباطات است که متأسفانه در حوزه فضای مجازی رسیدگی و کنترل‌های لازم انجام‌نشده است که همین باعث هک و از بین رفتن بسیاری از اطلاعات کاربران شده است.
آزادی‌خواه در گفت‌وگو با «نماینده» با اشاره به درز اطلاعات کاربران ایرانی در نسخه‌های غیررسمی تلگرام، اظهار داشت: متأسفانه در حوزه فضای مجازی دچار یک آشفتگی و تشتت مدیریت هستیم، علیرغم همه اماواگرها متأسفانه امنیتی در حوزه فضای مجازی در کشور ما وجود ندارد.

وی تصریح کرد: هنوز تکلیف سرورهای تلگرام مشخص نیست که در داخل یا خارج از کشور است یا تحت مدیریت چه کسی است و چه کسانی هستند که دسترسی به اطلاعات دارند، این‌ها ابهاماتی است که در فضای مجازی وجود دارد؛ بنده در تأیید یا رد این موضوع قصد اظهارنظر ندارم اما متأسفانه این‌گونه به نظر می‌آید که درز اطلاعات رخ‌داده است.

عضو هیئت رئیسه کمیسیون فرهنگی بیان کرد: بنده به‌عنوان یکی از اعضای کمیسیون فرهنگی تأکید می‌کنم که فضای مجازی دستخوش آسیب‌های فراوان اجتماعی شده است و باید شورای عالی فضای مجازی مدیریت راهبردی، جامع و هماهنگ‌تری را تدبیر کند که ما را از آسیب این‌گونه خطرات در امان نگه دارد.

آزادی‌خواه با انتقاد از عملکرد وزیر ارتباطات تصریح کرد: در حوزه وزارت ارتباطات ما کار نکرده بسیار داریم؛ تخصصی‌ترین حوزه در فضای مجازی امروزه وزارت ارتباطات است که متأسفانه در حوزه فضای مجازی رسیدگی و کنترل‌های لازم انجام‌نشده است که همین باعث هک و از بین رفتن بسیاری از اطلاعات کاربران شده است.

وی خاطرنشان کرد: اگر شبکه ملی را تقویت می‌کردیم این مشکلات پیش نمی‌آمد و متأسفانه یکی از برنامه‌هایی که وزیر ارتباطات در زمان رأی اعتماد ارائه کرد تقویت شبکه ملی اطلاعات بود که متأسفانه به آن توجهی نشد و باعث به وجود آمدن این مشکلات شده است.

آزادی‌خواه ادامه داد: کمتر کشوری پیدا می‌شود که مانند کشور ما  که در فضای مجازی دچار ولنگاری باشد. ما اعتقادی به فیلترینگ نداریم و نمی‌گوییم راهکار فیلترینگ است، اما ایجاد مدیریت به‌جای محدودیت را قائل هستیم؛ باید فضای مجازی  در کشور را  طوری مدیریت کنیم که محدودیت برای جوانان ایجاد نکنیم.

وی گفت: بنای مدیریت این است که اگر کشوری توانش را دارد، شبکه ملی اطلاعات را ایجاد کند و بتواند پیام‌رسان‌های داخلی را تقویت کند تا بتواند وارد بازار رقابت با سایر کشورها بشود. این یکی از بزرگ‌ترین کارهای نکرده وزارت ارتباطات است که انتظار از وزیر ارتباطات این بود که شبکه ملی اطلاعات را تقویت کند اما متأسفانه این کار به سرانجام نرسیده است.

عضو کمیسیون فرهنگی خاطرنشان کرد: ما امروزه نباید در فضای مجازی کم‌کاری و وقت‌کشی کنیم زیرا همه اقشار و سنین جامعه ما شب و روز درگیر با فضای مجازی هستند و تجارت‌های فراملی وارد بازار فضای مجازی شده است که این‌ها به این معنی است که فضای مجازی امروز نیازمند امنیت و اطمینان است و این مهم اتفاق نمی‌افتد مگر اینکه شبکه ملی را راه‌اندازی کنیم که تاکنون به آن اهمیتی داده نشده است.

به گفته کارشناسان، صنعت امنیت سایبری در دهه آتی به دلیل همه‌گیری ویروس جهانی تغییر خواهد کرد.

به گزارش سایبربان؛ کارشناسان معتقدند که ویروس کرونا باعث خانه‌نشینی تمام دنیا شده و دورکاری امن‌ترین گزینه برای افراد و مشاغل به شمار می‌رود. همه‌گیری ویروس کرونا، در حال حاضر بزرگ‌ترین تهدید سایبری جهان محسوب می‌شود زیرا این موضوع منجر به حملات سایبری مانند فیشینگ و پیوندهای مرتبط با کووید-19 و درنتیجه وحشت مردم شده است. کریشنیت آرورا (Trishneet Arora)، مدیرعامل و مؤسس «TAC Security»، شرکت مشاوره امنیت سایبری در این خصوص مقاله‌ای نوشته که به شرح زیر است :

«ویروس جهانی سیستم‌ها و الگوهای اقتصاد اجتماعی را تغییر داده است که برخی از تأثیرات آنها در آینده طولانی مدت خواهد بود؛ از آنجا که سازمان‌های اداری و دولتی در جهان در حال مقابله با این ویروس همه‌گیر هستند، حجم انواع تهدیدهای نامه‌های الکترونیکی مرتبط با کووید-19 به بزرگ‌ترین تهدید امنیت سایبری تبدیل شده است؛ مهاجمان سایبری از ترس و آسیب‌پذیری مردم به‌صورت روانی و دیجیتالی سوءاستفاده می‌کنند. برای مقابله با این مشکل، افسران ارشد امنیت اطلاعات (CISOs) باید رویکردهای جدیدی از جمله راهبردهای برنامه‌ریزی نشده ارائه دهند.

با توجه به بحران ویروس جهانی، مردم در هفته‌های آتی به دلیل تعهدات حرفه‌ای نسبت به مسائل شخصی با عدم اطمینان بیشتری روبرو خواهند بود. در حالیکه پیروی از روش‌های بهداشت سایبری می‌تواند در مبارزه با خطرات احتمالی برای سازمان‌ها و افراد مسیری طولانی محسوب شود، خطرات سایبری در چندین سطح قابل دستیابی هستند و فروشندگان در معرض خطر بیشتری با تاکتیک‌های پیشرفته مهندسی اجتماعی و تخصص فنی خواهند بود. اکنون زمان آزمایش آمادگی مشاغل و کشورها برای مقابله با این حملات و تقویت انعطاف‌پذیری است.

ویروس کرونا نشان داد که کسب و کارها در بسیاری کشورها به دلیل عدم اتخاذ اقدامات امنیتی یا کم‌کاری برای حفظ امنیت سایبری در معرض خطر جدی قرار دارند. افسران ارشد امنیت اطلاعات باید به خاطر داشته باشند که مجرمان سایبری تمام تلاش خود را به‌صورت شبانه‌روزی برای برنامه‌ریزی راهبردهایی در این برهه زمانی به‌کار می‌گیرند تا در میان ترس ناشی از همه‌گیری برای رسیدن به اهداف سیاسی و اقتصادی خود تهدید بیشتری روی مشاغل اعمال کنند. جنایتکاران سایبری خود را به عنوان نمایندگان سازمان بهداشت جهانی معرفی می‌کنند تا پول و اطلاعات حساس را سرقت کنند. این سازمان باید قبل از هرگونه اقدامی، بیانیه‌ای عمومی برای تأیید صحت محتوای خود صادر کند. با وجود راهبردهای پیچیده‌تر حملات از سوی هکرها و مجرمان باهوش، افسران ارشد امنیت اطلاعات باید سریعاً اقدامات امنیتی مناسبی انجام دهند که شاید به‌طور معمول ماه‌ها یا سال‌ها به طول انجامد.

شرکت‌ها همزمان با تلاش برای حفظ امنیت کافی، به اقدامات لازم برای حفظ عملکردهای مهم اقتصادی روی آورده‌اند. تقاضا برای ابزارهای کنفرانس ویدئویی بیشتر و این موضوع به یکی از مهم‌ترین آسیب‌پذیری‌های سایبری جدی و راهی برای سوءاستفاده مجرمان تبدیل شده است. هرچه سازمان‌ها – به‌ویژه کوچک و متوسط – درمورد الزامات تأیید صحت بیشتر بررسی شوند، نحوه فعالیت جهان پس از پایان این بیماری همه‌گیر به‌طور چشمگیری تغییر خواهد کرد.

همانطور که یک نفوذ سایبری بزرگ در یک سازمان باعث افزایش امنیت سایبری و جدی‌تر شدن سرمایه‌گذاری می‌شود، همه‌گیری ویروس کرونا نیز باعث تنظیم مجدد راهبردهای مشاغل و کشورها به‌ویژه در موقعیت‌های دورکاری می‌شود.

افراد، مشاغل و ملل قصد دارند با پذیرش بیشتر گزینه‌های دورکاری و نگرانی و سرمایه‌گذاری بی‌سابقه در زمینه امنیت سایبری، اولویت‌های خود را دوباره بررسی کنند. زیرا امنیت بیش از هر چیز دیگری در کنار روابط مهم خواهد بود. دهه آینده در صنعت امنیت سایبری تغییری بزرگ رخ خواهد داد.»

به دنبال رصد بانک‌های اطلاعاتی حفاظت نشده توسط مرکز ماهر، ۳۶ پایگاه داده فاقد احراز هویت شناسایی شده است که درصورت عدم جمع آوری از طریق مراجع قضایی پیگیری خواهند شد.

به گزارش خبرگزاری مهر، در پی افشای بانک اطلاعاتی حاوی اطلاعات شمار زیادی از کاربران ایرانی تلگرام و شماری از کاربران یکی از بازارهای ایرانی نرم‌افزارهای آیفون، مرکز ماهر در تاریخ ۱۳ فروردین با اعلام هشدار به افشای اطلاعات گسترده به تمامی دستگاه‌های دولتی و حاکمیتی و صاحبان کسب و کارها، از آغاز رصد کشف بانک‌های اطلاعاتی باز (حفاظت نشده) خبر داد.

این مرکز با اشاره به اینکه منشأ این اتفاقات، وجود بانک‌های اطلاعات کاملاً حفاظت نشده یا دارای حفاظت خیلی ضعیف در سطح اینترنت است که باعث می‌شود افراد سوءاستفاده‌گر بتوانند به راحتی به این بانک‌ها دسترسی پیدا کرده و باعث بروز مشکلات جدی برای مردم و کسب و کارها شوند، تاکید کرد: متأسفانه علیرغم هشدارهای متعدد «مرکز ماهر» در زمینه وجود این بانک‌ها در اینترنت که در گذشته به صاحبان آنها و همچنین سایر مبادی قانونی مرتبط اطلاع داده می‌شد، برخی از این بانک‌ها با سهل‌انگاری نسبت به این هشدارها باعث مشکلات این ایام شده‌اند.

براین اساس با توجه به شرایط حساس کنونی و افزایش استفاده از فضای مجازی و فناوری اطلاعات در دوران شیوع کرونا، «مرکز ماهر» دور جدید رصدهای خود را جهت کشف بانک‌های اطلاعاتی باز (حفاظت نشده) آغاز کرد. به این ترتیب مقرر شد تمام بانک‌های اطلاعاتی که فاقد امنیت لازم باشند و در این رصدها شناسایی شوند؛ به صورت آنی به صورت عمومی یا به صورت اختصاصی به صاحبان آنها (در صورت قابل شناسایی بودن) هشدار داده شود.

هم اکنون و در راستای برنامه از قبل اعلام شده مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (ماهر) جهت رصد بانک‌های اطلاعاتی، این مرکز امروز در توئیتر اعلام کرد: نخستین گزارش این رصدها شامل ۳۶ پایگاه داده Elasticsearch فاقد احراز هویت شناسایی شده و مشخصات و اطلاعات آنها تحلیل شده است.

براساس اعلام این مرکز، این پایگاه داده‌ها مجموعاً حاوی ۱۶ میلیون و ۸۵۳ هزار و ۲۱۷ رکورد اطلاعاتی بوده‌اند که اطلاع‌رسانی به مالکان آن‌ها آغاز شده است.

چنانچه مالک پایگاه داده مشخص نباشد اطلاع‌رسانی به میزبان پایگاه داده انجام می‌شود.

براین اساس مالکان این پایگاه‌های داده موظفند در اسرع وقت نسبت به از دسترس خارج کردن آن‌ها اقدام کنند.

این مرکز تاکید کرد که رصد بعدی این پایگاه‌ها در تاریخ ۱۶ فروردین انجام خواهد شد و مواردی که تا آن زمان جمع‌آوری نشده باشند، به مراجع قضائی جهت پیگیری بعدی معرفی می‌شوند.

برنامه‌هایی با عنوان وی‌پی‌ان امنیت کاربران را به شدت در معرض خطر قرار داده و فرصت مناسبی در اختیار هکرها می‌گذارد.
به گزارش آنا از تک‌چرچ، تحقیقات جامعی از سوی شرکت‌های صاحب‌نام در حوزه امنیت شبکه نشان می‌دهد اپلیکیشن‌های با عنوان وی‌پی‌ان (VPN) و اد بلاکر (ad-blocker) که هم‌اکنون به‌طور گسترده‌ای در انواع فروشگاه‌های مجازی و سایت‌های اینترنتی وجود دارد به‌طور فزاینده‌ای ایمنی دستگاه‌های مختلف را پایین آورده و شرایط را برای نفوذ هکرها به‌سادگی فراهم می‌کنند.

بدون شک مهم‌ترین دغدغه همه کاربران تلفن همراه، تبلت، رایانه و سایر دستگاه‌های هوشمند، حفظ حریم خصوصی و تأمین امنیت سایبری در سراسر وب است. به‌طورکلی همه شرکت‌های فناوری تلاش می‌کنند تا این مهم را به کامل‌ترین شکل ممکن محقق سازند ولی در این میان برخی از برنامه نویسان با تولید اپلیکیشن‌های مخرب و با سوءاستفاده از نیاز مردم اطلاعات شخصی کاربران را به سرقت می‌برند.

وی‌پی‌ان‌ها و اد بلاکرها در دستگاه‌های هوشمند میلیون‌ها کاربر نصب است و کاربر به‌محض اتصال به این برنامه‌ها عملاً کلید ورود به حریم شخصی و داده‌های موجود درگوشی در اختیار سرورهای نامعلوم در کشورهای بیگانه قرار می‌گیرد. این نرم‌افزارها به‌طور گسترده‌ای در همه محل‌های خرید و دانلود برنامه‌های رایانه‌ای وجود دارند.

به‌عنوان‌مثال گوگل به‌تازگی اعلام کرده است ۲۰ عدد از وی‌پی‌ان‌ها و اد بلاکرهای غیرمطمئن را مسدودسازی و از فروشگاه مجازی خود حذف کرده است. گزارش‌های مردمی نشان می‌دهد این برنامه‌ها علاوه بر عملکرد ضعیف در ارائه خدمات، شرایط نفوذ هکرها را نیز به‌سادگی فراهم می‌کنند.

علاوه بر گوگل، اپل نیز تلاش برای شناسایی وی‌پی‌ان‌های آسیب‌زننده را آغاز کرده و از کاربران سیستم‌عامل iOS خواسته است تا حد ممکن از این اپلیکیشن‌ها استفاده نکنند. به نظر می‌رسد این دسته از نرم‌افزارها به‌جای کمک به کاربر برای رسیدن به محتوای موردنظر خود تنها او را در معرض خطر قرار می‌دهد.

سخنگوی سازمان ثبت احوال کشور در خصوص هک اطلاعات ثبت احوال، گفت: اطلاعات ما در صحت کامل است، آن را برای تکمیل پرونده سلامت الکترونیک در اختیار وزارت بهداشت قرار دادیم و اتفاقی که رخ داده مربوط به ما نیست.

«سیف الله ابوترابی» امروز به ایرنا گفت: دیتابیس ما با سامانه وزارت بهداشت مثل سایر دستگاه‌ها ارتباط برقرار کرده است. ارتباط ما با وزارت بهداشت برای مساله پرونده سلامت الکترونیک است. این اطلاعاتی که درز پیدا کرده از جانب وزارت بهداشت بوده و ثبت احوال در آن دخیل نیست.

وی افزود: صبح امروز پس از انتشار این خبر با وزارت بهداشت صحبت کرده و به او اعلام کردیم دیتابیس را از روی اینترنت بردارد و اگر استعلامی هم نیاز است آن را مستقیم از پایگاه اطلاعاتی ثبت احوال دریافت کند.

او با بیان این که داده‌های ما از طریق چند فیلتر امنیتی حفاظت می‌شوند و هک نشده است، گفت: بیش از ۲۰۰ دستگاه از جمله وزارت بهداشت. به صورت برخط از ما استعلام می‌گیرند و با آن‌ها تعامل داریم. وزارت بهداشت این دیتا را برای پرونده سلامت الکترونیک روی اینترنت قرار داد که نباید این کار را انجام می‌داد.

مجرمان سایبری هم مانند اکثریت مردم در برخی حوزه‌ها مهارت بیشتری دارند؛ یک‌سری‌هایشان افراد را درشبکه‌های اجتماعی گیر می‌اندازند، برخی بدافزار را از طریق ایمیل توزیع می‌کنند؛ عده‌ای هم بلدند چطور گیمرها و اکانت‌هایشان را به پول تبدیل کنند. در ادامه با ما همراه شوید تا توضیح دهیم چطور مجرمان سایبری می‌توانند از بابت گیمرها حسابی جیب‌هایشان را پر از پول کنند. مورد آخر که خدمتتان عرض کردیم، محل مانورشان پلت‌فرم‌های گیمینگ بزرگ همچون Steam، Origin یا Battle.net است. این نوع کلاهبرداران عموماً در کنار افرادی که کمی از امنیت سایبری سر درمی‌آوردند، کاربران جدید را نیز در این سایت‌ها به دام می‌اندازند. از آنجایی که گیمرهای جدید به صورت ماهیانهsign up می‌کنند، مجرمان سایبری هم هیچ‌وقت طعم نداشتنِ طعمه و قربانی را نمی‌چشند؛ خصوصاً که بازی‌های آنلاین چندنفره هم بازار داغی پیدا کرده است.
همیشه پیشگیری بهتر از درمان است. با چنین دیدگاهی است که تصمیم گرفتیم فهرستی از گسترده‌ترین اسکم‌های Steam درست کرده و آ‌ن‌ها را با شما به اشتراک بگذاریم. امید داریم با دانستن چم و خم چنین ترفندهایی، کاربران کمتر به دام چنین کلاهبرداری‌هایی بیافتند.
•    فیشینگ همانطور که روی شبکه‌های اجتماعی خوش می‌نشیند، به شدت روی استیم هم جواب می‌دهد. کلاهبرداران اغلب پروفایل قربانیان را تحلیل می‌کنند تا از علایق‌شان سردرآورده و یا اکانت‌‌شان را شبیه‌سازی نمایند. سپس مجرمان سایبری پیامی خصوصی خواهند فرستاد که در آن تقاضای دسترسی به amazing game guide برای تبادل برخی آیتم‌ها شده است. صرف‌نظر از متن، تنها هدف‌شان در واقع مجبور کردن کاربر به کلیک روی لینک جعلی در پیام است. این لینک نهایتاً به سایتی آلوده منتهی خواهد شد؛ سایتی که به استیم شباهت دارد و مستلزم وارد شدن اطلاعات لاگین قربانی است. و آن لحظه که هویت قربانی روی سایت محرز شود دیگر برای همیشه باید فاتحه‌ی استیم خود را بخواند. به منظور جلوگیری از چنین اسکمی، Valve چیزی به نام Steam Guard اختراع کرده است و ما قویاً توصیه می‌کنیم آن را روشن کرده و از این مدل متغیر استیم که به سیستم احراز هویت دو عاملی نیز مجهز است استفاده نمایید: یا از طریق اپ موبایل (که ما هم همین روش را ترجیح می دهیم) و یا از طریق ایمیل. همیشه باید چک کنید که آیا وقتی پسورد و نام کاربری خود را وارد می‌کنید دقیقاً روی سایت واقعی و اصل هستید یا خیر. اگر در بخش یوآرال سایت به مورد مشکوکی برخوردید، دیگر باید مطمئن شوید سایت، سایتی جعلی است. با چیزهایی تقلبی بده‌بستان نداشته باشید بهتر است.
•    اگر مجرمان نتوانسته باشند بواسطه‌ی مهندسی اجتماعی قربانیان را به دام بیاندازند سعی می‌کنند بروند سراغ ترفندی ساده‌تر بیرون از استیم. برای انجام این کار، کلاهبرداران عموماً در یوتیوب شروع می‌کنند نوشتن و نشر مقالاتی در مورد نحوه‌ی دریافت رایگانِ چیزی: کسب تجربه بیشتر، کپی کردن یک آیتم، پیدا کردن کدها و نشانه‌های خیانت و غیره. توصیه‌های ارائه‌شده توسط این مجرمان بیشتر کپی پیست‌شده از سایر منابع وب است. اما در حین همین متن‌ها یا ویدیوها مجرمان مدام به طرز آزاردهنده‌ای پیشنهاد دانلود برخی نرم‌افزارها و یا افزونه‌هایی را می‌دهند که مثلاً می‌تواند شخصیت گیمیِ قربانی را تا مراحل باورنکردی‌ای از بازی ارتقا دهد. اگر کاربر فریب‌خورده بدافزار را دانلود کند تازه بخش جالب ماجرا آغازمی‌شود: هیچ‌کس نمی‌داند آن داخل چیست. ممکن است فرد با این کار کمر به نابود شدن اکانت استیم خود ببندد و یا قربانی یک نوع باج‌افزار قوی شود. بهترین روش حفاظت از خود در برابر چنین تهدیدهایی نصب کردن راهکار امنیتی قابل‌اطمینان است. همچنین باید بسیار حواس‌جمع بوده و قبل از باز کردن لینک‌ها و دانلود فایل‌ها روی اینترنت، همه‌چیز را مورد بررسی قرار دهید.
•    برخی‌اوقات افراد هم پول را با استیم پرداخت نکرده و به جایش از پی‌پال، وب‌مانی و یا سایر سرویس‌های ارز دیجیتال استفاده می‌کنند. برای سیستم استیم چنین معاملاتی حکم جواهر را دارد؛ زیرا کیف‌پولتان برای هر جای جهان هم که باشد وبسایت آن را تحت نظارت قرار نخواهد داد. بنابراین شما می‌توانید برای آیتم‌های خود پول واقعی دریافت کنید اما برخی اوقات کلاهبرداران پرداخت را انجام می‌دهند و بعد نامه‌ای غم‌گذار برای تیم پشتیبانیِ سرویس ارز دیجیتال خودمی‌نویسند و در آن درخواست می‌کنند تراکنش اصطلاحاً فریز شده و پول عودت داده شود. برای اثبات این قضیه حتی می‌توانند اسکرین‌شاتی تقلبی در اسکایپ درست کنند و برایشان بفرستند که در آن خودشان را جای قربانی جلوه داده‌اند. اگر نماینده‌های بخش فنی این مهملات را باور کنند پس کاربران نه پولشان به دستشان خواهد رسید و نه اقلامشان. دیگر هم هیچ راه بازگشتی برای پول وجود نخواهد داشت؛ برای همین هم هست که نباید خارج از پنجره معاملات استیم داد و ستدی داشته باشید.
•    برخی‌اوقات افراد سعی دارند خودشان را به شما بچسبانند و یک‌جورهایی وانمود کنند مثلاً دوست قدیمی شما هستند- اما در واقع این دومین اکانتی هست که استفاده می‌کنند. در نهایت هم درخواست استفاده از اقلام و قول بازگشت آن‌ها را می‌کنند. البته که هرگز نباید به این عجز و لابه‌ها گوش کنید. حتی اگر شاید روزنه امیدی باشد که فرد واقعاً با شما پیوند دوستی دارد. اگر شک کردید که فرضاً این فرد را می‌شناسید اینگونه چک‌شان کنید: بهشان زنگ زده، با اسکایپ با آن‌ها ارتباط برقرار کنید و یا از طریق وایبر پیام دهید. یادتان باشد که: اگر چیزی به دست کلاهبرداران بدهید دیگر برگشتنی وجود نخواهد داشت. آن‌ها دوست و آشنا سرشان نمی‌شود چرا که فقط دارند نقشش را بازی می‌کنند. بعضی‌وقت‌ها خودشان را جای کارمندان استیم می‌زنند و سعی می‌کنند طی یک حرکت ضرب‌الاجلی کاربر را به اتهام کلاهبرداری وادار کنند به واگذاری اقلام بازی برای اسکن و بررسی.
•    کلاهبرداران می‌توانند از شما بخواهند ایمیلی با لینک تأیید و یا خود لینک را برایشان ارسال کنید. تحت هیچ شرایطی دست به چنین اقدامی نزنید؛ فرقی ندارد هر بار چطور می‌خواهند سرتان را گول بمالند! چراکه به محض در اختیار داشتن آن لینک، بدون رضایت شما فرآیند خرید را تکمیل کرده بی‌آنکه روحتان هم از این قضیه خبردار شده باشد. مجرمان سایبری در اکثر اسکم‌های خود سعی خواهند کرد شما را هول کنند. برای مثال یک آیتم را پیشنهاد دهند که به نظر بسیار هم بارازش است اما در واقع چنین چیزی حقیقت ندارد. علاوه بر این، هرقدر قربانی بیشتر توجه کند شانس فریب خوردنش هم به مراتب بیشتر می‌شود. پس هرگز نگذارید تحت شرایط این چنین پرفشار و ضرب‌الاجلی قرار بگیرید. در حالت واقعی هیچ امر زوری قرار نیست وجود داشته باشد. به یاد داشته باشید که بر اساس خط‌مشی استیم، شما نمی‌توانید آیتم‌هایی را که به دلیل اسکم بر باد رفته‌اند را بازگردانید. تنها کاری از شما ساخته است گزارش مجرم را به سرویس پشتیبانی استیم دادن می‌باشد.
برای این کار نیاز دارید:
•    اکانت کلاهبردار را باز کرده،
•    روی دکمه‌ی دراپ‌داون More در گوشه بالا سمت راست صفحه کلیک کنید،
•    Report Violation را انتخاب کرده،
•    مورد خاص خشونت را برگزیده (به عنوان مثال Attempted Trade Scam)،
•    دکمه Submit Report را بزنید.
در این کار تعلل نکنید؛ اگر زودتر از اینها به چنین بزهکارانی گوش‌مالی داده شده بود حالا چنین بازار داغی نداشتند.
 
منبع: کسپرسکی آنلاین

تنظیم: روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)

مردم اصولاً همانطور که ما به معنای عام جاسوسی فکر می‌کنیمدر مورد APTها فکر می‌کنند: شاید چیز مهم و بزرگی باشد اما ما در امانیم. اینطور نیست؟ بیشتر ما رمز و رازهای دولتی یا صنعتی را در گوشی‌مان نگه نمی‌داریم و روی کامپیوترمان هم با داده‌های دسته‌بندی‌شده سر و کار نداریم؛ پس اصلاً چرا باید طعمه‌ای برای این نوع حملات باشیم؟
بسیارخوب دوستان، شاید تا حد زیادی راست بگویید. خیلی نامعمول است یک فرد عادی بخواهد هدف عاملی باشد که از سوی دولت حمایت می‌شود اما چنین فردی هنوز هم می‌تواند هدف ثانویه‌ باشد. دنیل کریئوس در GReAT (تیم تحلیل و تحقیق جهانی کسپرسکی) اخیراً در بارسلونا این به این مبحث پرداخته است. در ادامه با ما همراه شوید تا به نقل از وی توضیح دهیم چطور ترکش حملات APT  به سه روش می‌تواند به افراد معمولی هم بخورد.

سناریوی شماره یک: وبسایت اشتباه در زمانی اشتباه
APT ها در مقایسه با عاملین کوچکتر به حد کافی برای اکسپلویت‌های روز صفر پول دارند؛ من‌جمله آن‌هایی که موجبات حملات ریموت گودال آب را فراهم می‌کنند. تحقیقات پروژه صفر گوگل در سال 2019 نشان داد که یک عامل برای آلوده کردن هدف‌های خود با جاسوس‌افزار از 14 آسیب‌پذیری در 5 زنجیره اکسپلویت مختلف استفاده کرده است. برخی از این آسیب‌پذیری‌ها برای آلوده‌سازیِ ریموتِ کاربران آی‌او‌اس که به طور خاص از وبسایت‌های مربوط به مسائل سیاسی بازدید می‌کردند مورد استفاده قرار گرفتند. در نهایت روی گوشی‌هایشان جاسوس‌افزار نصب شد. نکته اینجاست که این عامل برای کاربران تفاوتی قائل نشد و در واقع دامن همه‌ی کاربران آی‌اواسی را که از این سایت دیدن کرده بودند گرفت.
این اولین و آخرین حمله APT نبود که به گودال آب مجهز بود. برای نمونه، یکی از بخش‌های حمله‌ی NotPetya بدنام یا همان ExPetr با آلوده کردن وبسایت دولتی کارش را آغاز کرد. وقتی کاربران از این وبسایت دیدن کردند، بدافزاری روی کامپیوترهایشان دانلود و اجرا شد. بنابراین یکی از چالش‌های حملات APT این است که عاملین تهدید شاید به طور خاص علاقه‌ای به هدف قرار دادن شما نداشته باشند اما اگر از قضا در زمانی اشتباه به وبسایتی اشتباه سر بزنید یا اپی اشتباه را دانلود کنید ممکن است ناخواسته به دام بیافتید. حملات APT عادت دارد تر و خشک را با هم می‌سوزاند.

 سناریو شماره دو: اسباب‌بازی‌هایی جدی در دستان مجرمان سایبری
به عنوان مثال APTها اغلب به دنبال رموز و امور محرمانه‌ی سایر APTها می‌گردند. آن‌ها دوست دارند همدیگر را هک کنند و به هم رکب بزنند. برخی‌اوقات هم ابزارهایی که دشمن استفاده می‌کند را افشا می‌کنند. عاملین کمتر پیشرفته و کوچک‌تر هم از خدا خواسته آن‌ها را برداشته و شروع می‌کنند به ساختن بدافزار؛ این کار خیلی وقت‌ها غیر قابل مهار کردن می‌شود. یادتان باشد که واناکرایِ بدنام با استفاده از EternalBlue–یکی از اکسپلویت‌های نشت‌شده توسط شادوبروکرها و قتی تصمیم گرفتند تسلیحات سایبری Equation Group-  بریزند روی داریه- ساخته شد.
تهدیدهای دیگر از جمله NotPetya/ExPetr، Bad Rabbit، EternalRocks و ... نیز به همین اکسپلویت وابسته بودند. یک اکسپلویت نشت‌شده مساویست با مجموعه‌ای از اپیدمی‌های بزرگ و متعدد و کلی رویداد ثانویه که می‌تواند صدها هزار دستگاه را آلوده نموده و کلی کسب و کار و آژانس دولتی در سراسر دنیا را فلج کند.
خلاصه بگوییم که آسیب ثانویه‌ی حملات APT برای افراد معمولی این است که عاملین تهدید ابزارهای بسیار خطرناکی درست می‌کنند و برخی‌اوقات نمی‌توانند آن‌ها را مهار کنند؛ از این رو خیلی از این ابزارها به دست مجرمان سایبری با میزان مختلف مهارت و خلاقیت می‌افتد که لحظه‌ای برای شر درست کردن تردید ندارند.

سناریو شماره سه: نشت داده‌های جمع‌آوری‌شده
همانطور که پیشتر عرض کردیم، عاملین پشت حملات APT قابلیت هک کردن همدیگر را دارند. برخی‌اوقات نه تنها ابزارهای همدیگر را به نمایش می‌گذارند که حتی هر اطلاعاتی از دشمن خود بدست می‌آوردند نیز رو می‌کنند. اطلاعات جمع‌آوری‌شده توسط ابزار جاسوسی ZooPark به همین شکل افشا شد. در طول دو سال گذشته، 13 فروشنده تعقیب‌افزار یا هک شدند و یا اطلاعات جمع‌آوری‌شده‌شان به طور عمومی در معرض نمایش برای همگان قرار گرفت. بنابراین، سناریوی سوم از این قرار است: حتی اگر یک APT با کاربران معمولی کاری نداشته باشد، حتی اگر اطلاعات کاربران را برای هیچ مقصد شری جمع نکند باز هم این امکان وجود دارد که اطلاعات هک شده و به طور عمومی در معرض نمایش گذاشته شود. بدین‌ترتیب مردم معمولی نیز حریم خصوصی‌شان بر باد خواهد رفت.

چطور ایمن بمانیم
•    نگذارید اپ‌ها از سوی منابع طرف‌سوم در گوشی‌های اندرویدی نصب شوند (آن‌ها را غیرفعال کنید). اگر واقعاً می‌خواهید اپی مطمئن از جایی غیر از گوگل‌پلی دانلود کنید این کار را یکبار انجام داده و بعد فراموش نکنید تنظیمات را دوباره به حالت غیرفعال درآورید.
•    مرتباً مجوز اپ‌هایی را که روی گوشی خود نصب کرده‌اید بررسی نمایید و از هر گونه صدور مجوز غیرضروری به اپ خودداری فرمایید. همچنین خوب است پیش از نصب، فهرست مجوزهایی را که اپ استفاده می‌کند بررسی کنید. این فهرست در گوگل‌پلی موجود است.
•    از وبسایت‌های مشکوک دیدن نکرده و روی لینک‌هایی که به منبعشان شک دارید کلیک نکنید. افرادی ناشناس با نیت خیر برای شما چیزی ارسال نخواهند کرد. برخی حملات APT قابلیت آلوده کردن وبسایت‌های قانونی را هم دارند اما بسیاری از آن‌ها بیشتر در بخش فیشینگ وارد هستند.
•    از راهکار امنیتی مطمئنی استفاده کنید که هر چیزی را که قرار است روی دستگاه نصب یا دانلود شود اسکن نموده و هر لینک و بسته‌ای را بررسی می‌کند. آن را خط دفاعی آخر خود تلقی کنید: حتی اگر عاملی بد سراغتان آمد و از طریق اکسپلویتی خواست وارد دستگاهتان شود این راهکار از شما حفاظت خواهد کرد.
منبع: کسپرسکی آنلاین 
تنظیم‌: روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛

درحالی که به اذعان مقامات وزارت ارتباطات، زیرساخت‌های ارتباطی ایران زیر سنگین‌ترین حملات سایبری چند دهه اخیر است، رسانه‌های غربی توان سایبری ایران را قابل توجه ارزیابی کرده و معتقدند هکر‌های ایرانی با همکاری هکر‌های دیگر در جهان مشغول فعالیت علیه بخش‌های حیاتی کشور‌هایی نظیر آمریکا و اسرائیل هستند.

از سال ۲۰۱۰ و حمله ویروس استاکس‌نت به پایگاه هسته‌ای نطنز که بعد‌ها معلوم شد از سوی دولت‌های اسرائیل و آمریکا هدایت شده بود، ایران موضوع سایبری را بسیار جدی‌تر دنبال کرده است.

روز‌های اخیر اخباری مبنی بر حملات سایبری شدید علیه زیرساخت‌های مخابراتی ایران شنیده شده و گفته شده این حملات همچنان ادامه دارد و بزرگترین حملاتی بوده که ایران تا کنون تجربه کرده است.

حمله سایبری هفته گذشته ۲۵ درصد دسترسی‌ها به اینترنت در سطح کشور را مختل کرد، اما مقامات وزارت ارتباطات این حملات را غیر دولتی و از سوی منابع مختلف ارزیابی کردند.

به محض آغاز حملات سایبری، مقامات وزارت ارتباطات از راه افتادن سیستم سپر سایبری ایران تحت عنوان دژفا خبر دادند. فوربس در گزارشی گفته با وجود اینکه حمله هشتم فوریه به زیرساخت‌های ارتباطی ایران به طور مستقیم به تهدید‌های آمریکا نسبت داده نشده، اما بعید است که مانع از توان سایبری تهران شود.

این رسانه در گزارشی بدون توجه به حملات پی در پی علیه زیرساخت‌های ارتباطاتی ایران، به بیان تهدیدهای ایران در فضای سایبری پرداخته است. بر اساس گزارش فوربس، بیشتر فعالیت‌های سایبری تهران متوجه آمریکا و اسرائیل و بیشترین آن‌ها متوجه گروه‌های هکر مورد حمایت دولت‎هاست. نتیجه تحقیقاتی اخیرا نشان داده که کمپین دفاعی ایران احتمالا نتیجه تهدید پیشرفته مستمر (APT) است.
به گزارش رویداد۲۴ تهدید پیشرفته مستمر (Advanced Persistent Threat) منظور روش‌های پیشرفته و معمولاً مخفی برای بدست آوردن مستمر اطلاعات در مورد فرد یا گروهی از افراد از جمله دولت‌های خارجی است.

در حوزه امنیت کامپیوتری، منظور زیرمجموعه‌ای از تهدیدهاست که در یک الگوی دراز مدت حملات نفوذی پیچیده علیه دولت‌ها، شرکت‌ها و فعالان سیاسی استفاده می‌شود. این اصطلاح به گروهی که پشت این حملات است نیز اشاره می‌کند.

اخیرا فوربس در گزارشی گفته بود چطور سازمان سیا، آمریکا را قادر کرده تا علیه بیش از صد کشور خارجی در دهه‌های گذشته جاسوسی کند و این کار را با تجهیزات کدشکن انجام داده است.

هکر‌های مورد حمایت ایران نه چنین تجهیزات و نفوذی‌هایی در سراسر جهان دارند نه به طور سنتی زمانی که آن‌ها را با چینی‌ها و روس‌ها مقایسه می‌کنیم، جاه‌طلبی تبدیل به گروه‌های پیشرفته را دارند. با این همه این گروه‌های هکری از اجرای کمپین‌های جاسوسی سایبری موفق باز نمانده‌اند.

کمپین جاسوسی بچه روباه
گزارش کلیر اسکای (تیم اطلاعات سایبری که با هدف شناسایی تهدید‌ها علیه کمپانی‌ها ایجاد شده است) اخیرا در گزارشی افشا کرده بود که چطور کمپین جاسوسی ایرانی بسیاری از بخش‌های آمریکا و اسرائیل را در سه سال گذشته هدف قرار داده است.

این کمپین که «فاکس کیتن» یا همان «بچه روباه» نام دارد، دسترسی هکر‌های دفاعی ایران را به شبکه‌های سازمان‌های هوانوردی، دولت، آی‌تی، نفت و گاز، امنیتی و مخابراتی همواره کرده است.

به گزارش رویداد۲۴ این تحقیقات نشان می‌دهد فاکس کیتن بخشی از کمپین مستمر و جامع ایران تا امروز بوده است. در حالی که این گروه برای جاسوسی و شناسایی زیرساخت‌ها مورد استفاده قرار می‌گیرد، اما گزارش‌ها نشان می‌دهد که می‌توانند بدافزار‌های مخربی را وارد شبکه‌ها کنند.
 

آیا گروه‌های هکر مورد حمایت ایران، با دیگر گروه‌ها همکاری می‌کنند؟

چیزی که غرب را نگران کرده این است که محققان کلیر اسکای می‌گویند به احتمال زیاد، این گروه‌ها با گروه‌های هکری دیگر در ارتباطند. اولین بار درماه ژانویه محققان امنیتی دارگوس از یک حمله به زیرساخت‌های بخش انرژی آمریکا خبر دادند. بررسی‌های کلیر اسکای نشان داده که این کمپین ساختاری جامع داشته است. بنابرین فاکس کیتن جدیدی بوده است.

این گزارش سایر گروه‌های هکری را که از سال ۲۰۱۷ با هم کار می‌کنند و حملاتی علیه زیرساخت‌ها با هدف دزدیدن اطلاعات و رخنه در کمپانی‌ها با استفاده از حملات زنجیره‌ای داشتند را بررسی کرده و می‌گوید در حمله اخیر به زیرساخت‌های انرژی آمریکا که گفته می‌شود توسط فاکس کیتن انجام شده رد پای دیگر هکر‌ها نیز دیده می‌شود.

از این میان مهمترین حمله‌ای که کلیر اسکای شناسایی کرده، بهره‌برداری از نقاط ضعف VPN و RDP بوده است. دولت آمریکا در ماه ژانویه به همه سازمان‌ها هشدار داد که باید VPNهایشان (Virual Private Network) را به روز کنند و در نوامبر ۲۰۱۹ نیز هشدار مشابهی در مورد تهدید‌های مرتبط با RDP در کاربران ویندوز منتشر شد.

هم VPN و هم RDP می‌توانند برای نفوذ و کنترل ذخیره داده‌های حیاتی توسط ایران مورد سوء استفاده قرار بگیرند. کلیر اسکای هشدار داده که استفاده از نقاط ضعف این نرم افزار‌ها در سال ۲۰۲۰ بیشتر هم خواهد شد.

فوربس با ایان تورنتون ترامپ که مدت‌ها برای نیرو‌های نظامی اطلاعاتی کانادا کار می‌کرده، در این باره مصاحبه کرده است. او گفته اینکه ایران دست به حمله متقابل بزند طبیعی است، اما این افشاگری‌ها درباره حملات ایران توسط محققان امنیتی، معادل لو دادن حملات ایران بوده است. در نتیجه با وجود وسعت و دامنه فعالیت‌های ایران، تجزیه و تحلیل‌ها و گزارش‌ها نشان می‌دهد که سازمان‌ها قادرند با موفقیت بیشتری در برابر حملات ایران مقابله کنند.

به گفته این مقام سابق اطلاعاتی کانادا، بسیاری از سازمان‌های غربی خوابند یا نمی‌خواهند توجه کنند. او گفته اینکه ایران از نقاط ضعف وی پی ان‌ها استفاده می‌کند خبر بدی است و اینکه در ماه‌های متوالی ایران قادر بوده دست به حمله بزند یعنی مقامات اجرایی کمپانی‌هایی که هدف قرار گرفته‌اند یا به سرعت برای مدیریت نقاط ضعفشان عمل نکردند یا خطرات را جدی نگرفتند. این نشان دهنده ضعف مدیریتی، ابزار‌های اتوماسیون، تشخیص آسیب پذیری‌ها و شناسایی تهدیدهاست. فوربس در نهایت به این نتیجه رسیده که کمپین حملات فاکس کیتن باید همه کسب کار‌ها و سازمان‌ها را هشیار نگه دارد.

فارس نوشت: وزیر خارجه آمریکا در سخنرانی خود در کنفرانس امنیتی مونیخ آنچه که «مداخلات ایران در عراق و لبنان» خوانده است را محکوم کرد.

 «مایک پمپئو» وزیر خارجه آمریکا در ادامه مواضع ضد ایرانی دولت این کشور، امروز شنبه از تریبون «کنفرانس امنیتی مونیخ» به اتهام‌زنی علیه ایران پرداخت.

وزیر خارجه دولت «دونالد ترامپ» پیش از سخنرانی در کنفرانس امنیتی مونیخ با وزیر خارجه آلمان در این شهر دیدار و علیه ایران رایزنی کرده بود.

او در ابتدای سخنرانی امروز خود در کنفرانس امنیتی مونیخ ادعا کرد، «درباره مرگ اتحاد فرا آتلانتیک بیش از حد مبالغه شده و غرب در حال پیروزی است».

این اظهارات در حالی مطرح شده که مقام‌های  برخی کشورهای اروپایی از قبیل فرانسه و آلمان پیش از این با اشاره به مواضع یکجانبه دولت ترامپ در قبال مسائل بین‌المللی از قبیل برجام، از شکاف در مواضع دو سوی آتلانتیک ابراز نگرانی کرده‌اند.

به گزارش رویترز، به نظر می‌رسد سخنان پمپئو درباره مبالغه در خصوص «مرگ اتحاد فرا آتلانتیک» پاسخی به حرف‌های روز گذشته «فرانک والتر اشتاینمایر» رئیس‌جمهور آلمان بود که در آن او از مواضع دولت ترامپ انتقاد کرد.

وزیر خارجه آمریکا گفت: «غرب در حال پیروز شدن است اما اکنون و با گذشت بیش از ۳۰ سال از فروپاشی دیوار (برلین)، کشورهایی که به حاکمیت‌ها احترام نمی‌گذارند، هنوز هم ما را تهدید می‌کنند».

پمپئو از فرصت حضور و سخنرانی در کنفرانس امنیتی مونیخ برای اتهام زنی دوباره علیه ایران استفاده کرد و البته به چین و روسیه هم اتهام‌هایی وارد کرد.

او در این سخنرانی علیه چین، ایران و روسیه موضعگیری و به این سه کشوراتهام‌زنی کرد.

وزیر خارجه آمریکا گفت: «هواوی و دیگر شرکت‌های دولتی فناوری چین، به عنوان اسب تروای (سازمان) اطلاعات چین عمل می‌کنند. روسیه با به راه انداختن کارزار صدور اطلاعات غلط در تلاش است که شهروندان ما را علیه یکدیگر برانگیزد. حملات سایبری ایران، شبکه‌های رایانه‌ای خاورمیانه را به ستوه در آورده است».

وزیر خارجه آمریکا در این شهر آلمان، آنچه که «مداخلات ایران در عراق و لبنان» خواند را محکوم کرد.

وی در این کنفرانس با اذعان به اختلاف نظرها بین آمریکا و کشورهای اروپایی گفت: ایالات متحده و اروپا درباره تهدیدهای ایران دارای مواضع مشترکی هستند اما درباره چگونگی پرداختن به آنها تفاوت‌های تاکتیکی دارند.

اتهام‌زنی دوباره این مقام ارشد دولت ترامپ به ایران در شرایط مطرح شده که اعضای دولت آمریکا به رغم تصویب مصوبه خروج نظامیان خارجی از عراق توسط پارلمان این کشور، همچنان به باقی نگهداشتن نظامیان خود در عراق اصرار دارند.

پمپئو در بخش دیگری از این سخنرانی ایران و چین را به دخالت در امور کشورهای دیگر متهم کرد و مدعی شد، آمریکا در انتخابات دیگر کشورها دخالت نمی‌کند.

به ندرت پیش می‌آید شرکت‌ها یا آژانس‌های دولتی‌ از فایل‌های پی‌دی‌اف استفاده نکنند. آن‌ها اغلب از امضاهای دیجیتال برای تضمین اعتبار این داکیومنت‌ها استفاده می‌کنند. وقتی در هر پی‌دی‌اف‌خوانی یک فایل امضاشده را باز می‌کنید، این برنامه پرچمی را نمایش خواهد داد که نشان از امضا شدنِ داکیومنت دارد. حتی در این پرچم قید می‌شود که این امضا توسط چه کسی صورت گرفته است. در حقیقت شما توسط آن می‌توانید به منوی اعتبارسنجیِ امضا دسترسی داشته باشید.

بنابراین، تیمی از محققین از چندین دانشگاه آلمانی بر آن شدند تا اعتبار و استحکام امضاهای پی‌دی‌افی را مورد بررسی و آزمایش قرار دهند. ولادیسلاو ملادنوو از دانشگاه رور بوخوم، یافته‌های این تیم را در کنگره‌ی ارتباطات آشوب (36C3) به اشتراک گذاشتند.

کار محققین آسان بود: دستکاریِ محتواهای یک داکیومنت پی‌دی‌افیِ امضاشده بدون باطل کردنِ امضا در طی این فرآیند. به طور نظری، مجرمان سایبری می‌توانستند همین کار را برای ابلاغ اطلاعات غلط و یا افزودن محتوای آلوده به فایل امضاشده انجام دهند. از اینها گذشته، کلاینت‌هایی که از بانک، داکیومنت امضاشده دریافت می‌کنند احتمالاً به آن اعتماد نموده و روی هر لینکی که داخل آن باشد کلیک می‌کنند. این تیم برای پلت‌فرم‌های مختلف 22 پی‌دی‌اف‌خوانِ محبوب انتخاب کردند و به شکل نظام‌مندی نتایج آزمایشات خود را بدان‌ها خوراندند.

ساختار فایل پی‌دی‌اف

بگذارید ابتدا برایتان از فرمت پی‌دی‌اف بگوییم. هر فایلی شامل چهار بخش می‌شود: هدر که نشان‌دهنده‌ی نسخه‌ی پی‌دی‌اف است؛ بدنه که نشان‌دهنده‌ی محتوای اصلیِ دیده‌شده توسط کاربر است؛ بخش Xref که در واقع یک دایرکتوری است که آیتم‌های داخل بدنه و لوکیشن‌هایشان را فهرست می‌کند (برای نمایش محتوا)؛ و در نهایت تریلر که با آن، پی‌دی‌اف‌خوان‌ها شروع می‌کنند به خوانشِ داکیومنت. تریلر شامل دو پارامتر مهم است که به برنامه‌ می‌گویند پردازش فایل کجا شروع شود و کجا بخش Xref باید آغاز گردد.

یک تابع بروزرسانی افزایشیلنگر[1] داخل فرمت یکپارچه‌سازی شده است که به کاربر اجازه می‌دهد (بعنوان مثال) بخشی از متن را هایلایت کرده و یا کامنت بگذارد. اگر بخواهیم از نگاه فنی به ماجرا نگاه کنیم، این تابع سه بخش را اضافه می‌کند: بروزرسانی‌هایی برای بدنه، یک دایرکتوری‌ِ جدید Xref و یک تریلر جدید. این می‌تواند به طور مؤثری تغییر نحوه‌ی دیده‌شدن آیتم‌ها توسط کاربر و نیز افزودن محتوای جدید را در پی داشته باشد. در اصل، یک امضای دیجیتال همچنین یک بروزرسانی افزایشی نیز می‌باشد که کارش افزودن یک المان دیگر و شاید بخش‌های مکاتبه‌ای به فایل است.

حمله‌ی ISAلنگر[2]

نخست، این تیم سعی کرد با استفاده از یک ویرایشگر متنی بخش‌های بیشتری را به همراه بروزرسانی افزایشیِ دیگر اضافه کند. اگر بخواهیم دقیق‌تر بگوییم، این در حقیقت یک حمله نیست- این تیم صرفاً از تابعِ اجراشده توسط سازندگان آن فرمت استفاده کرد. وقتی یک کاربر فایلی را که بدین‌طریق دستکاری می‌شود باز می‌کند، پی‌دی‌اف‌خوان معمولاً پیامی را نشان می‌دهد که می‌گوید امضای دیجیتال معتبر است اما داکیومنت دستکاری شده است. بدتر اینکه یکی از پی‌دی‌اف‌خوان‌ها (LibreOffice) حتی پیام را هم نشان نداده بود.

آزمایش جدید، شامل حذف دو بخش نهایی -یعنی افزودن یک آپدیت به بدنه و نه Xref و تریلر جدید- می‌شود. برخی اپلیکیشن‌ها کار با چنین فایلی را قبول نکردند. دو پی‌دی‌اف‌خوان متوجهِ نبودِ این دو بخش شدند و به طور خودکار آن‌ها را بدون اینکه خواننده در مورد این تغییر محتوایی مطلع شود اضافه کردند. سه تای دیگر هم بدون هیچ اعتراضی، مجوزِ این عمل را روی فایل صادر کردند.

سپس، محققین این سوال برایشان پیش آمد که اگر فقط امضای دیجیتال را در آپدیت «دستیِ» خود کپی کنند چه؟ دو پی‌دی‌اف‌خوانِ دیگر هم فریب خوردند-  Foxit و MasterPDF. به طور کلی، از این 22 پی‌دی‌اف‌خوان 11 پی‌دی‌اف‌خوان ثابت کردند که در برابر چنین دستکاری‌های ساده‌ای آسیب‌پذیری هستند. افزون بر اینها، شش تای این پی‌دی‌اف‌خوان‌ها هم هیچ علامتی مبنی بر دستکاری شدن داکیومنت از خود نشان ندادند. در پنج مورد دیگر هم کاربر برای افشا و ابلاغ هر نشانه‌ای از دستکاری باید منو را وارد می‌کرد و البته اعتبار امضای دیجیتال را نیز به صورت دستی مورد بررسی قرار می‌داد (صِرفِ باز کردن فایل کافی نبود).

حمله‌ی SWAلنگر[3]

امضای یک داکیومنت دو فیلد مهم را به عنوان بروزرسانیِ افزایشی به بدنه/محتوا اضافه می‌کند. این دو فیلدشامل امضا و ByteRange می‌شود که به دقت آنچه امضا شده است را تشریح می‌کند. در مورد دوم که اشاره کردیم چهار پارامتر وجود دارد- تعریف آغاز فایل، تعداد بایت‌های قبل از کد امضا، بایتی که تعیین می‌کند کد امضا کجا تمام می‌شود و تعداد بایت‌های بعد از امضا- زیرا امضای دیجیتال در حقیقت توالی کاراکترهای تولیدشده توسط ابزارهای رمزنگاری (از کدِ داکیومنت پی‌دی‌اف) است. طبیعتاً امضا نمی‌تواند خودش را امضا کند، بنابراین آن بخشی که درش ذخیره می‌شود از فرآیند محاسبات امضایی خارج می‌شود.

محققین تلاش داشتند بلافاصله بعد از امضا، فیلد ByteRange دیگری را اضافه کنند. دو ارزش اولِ داخل آن دست‌نخورده باقی ماندند؛ تنها آدرس آخر کد امضاها عوض شد. نتیجه این بود که فضای بیشتری در فایل ایجاد شد و همین به آیتم‌های آلوده اجازه داد تا بتوانند اضافه شوند و بخش Xref نیز آن‌ها را تشریح کند. به لحاظ تئوری، اگر این فایل به درستی خوانده می‌شود، پی‌دی‌اف‌خوان نمی‌توانست براحتی مسیر خود را تا این بخش طی کند. با این حال، از این 22 اپلیکیشن، 17 اپ در مقابل چنین حمله‌ای آسیب‌پذیری نشان دادند.

USFلنگر[4] (جعل جهانی امضا)

این تیم تحقیقاتی برای دقت بیشتر و سنجش بهتر همچنین تصمیم گرفت این اپ‌ها را در برابر یک ترفند استاندارد تست نفوذ مورد آزمایش قرار دهند؛ به موجب این تست نفوذ در واقع تلاش می‌شود جای فیلدهای عدد با فیلدهای عدد ناصحیح عوض شود و یا اصلاً براحتی این فیلدها توسط محققین حذف شوند. بخش آزمایش روی محتوا که رسید، کاشف به عمل آمد که امضای واقعی جایش با ارزش x00 0 عوض شده بود و این درحالیست که همچنان دو پی‌دی‌اف‌خوان آن را معتبر تلقی کرده بودند.

و اگر این امضا آنجا جا می‌ماند ولی بخش ByteRange (یعنی اطلاعات در مورد اینکه دقیقاً چه چیزی امضا شده است) حذف می‌شد چه؟ یا اگر مقدار  null به جای ارزش‌های واقعی گذاشته می‌شد چه؟ در هر دو مورد برخی پی‌دی‌اف‌خوان‌ها روی اعتبار چنین امضایی صحّه گذاشتند. به طور کلی، از این 22 برنامه 4 برنامه حاوی خطاهای پیاده‌سازی بودند که امکان اکسپلویت‌شدن در آن‌ها وجود داشت. خلاصه‌ی نتایج نشان می‌دهد که از این 22 پی‌دی‌اف‌خوان 21 عددِ آن‌ها آسیب‌پذیر بودند. از این روست که می‌گوییم امکان دارد فایل پی‌دی‌افی با محتوای آلوده و یا اطلاعات غلط ساخته شود که به چشم کاربر بسیار معتبر بیاید.

جالب اینجاست که آن یک اپلیکیشن باقیمانده که فریب هیچ‌یک از ترفندهای تیم تحقیقاتی را نخورد Adobe Reader 9 بود. مشکل این است که این پی‌دی‌اف‌خوان خودش در معرض آسیب‌پذیری RCE است و توسط کاربران لینوکسی مورد استفاده قرار می‌گیرد (صرفاً به این دلیل که آخرین نسخه‌اش در دسترس ایشان است).

نتیجه‌گیریِ عملی

نتیجه‌گیری عملی‌ای که می‌شود از کل این تحقیق گرفت بدین‌ شرح است: ابتدا، هیچ‌کس نباید چشم و گوش بسته به امضاهای دیجیتالی پی‌دی‌اف اعتماد کند. اگر جایی چک‌مارک سبز دیدید این لزوماً بدین معنا نیست که امضا معتبر است. دوم اینکه، حتی یک داکیومنت امضاشده هم می‌تواند در معرض خطر قرار گیرد. بنابراین پیش از باز کردن هر نوع فایل دریافتی به صورت آنلاین و یا کلیک روی هر لینکی داخلشان مطمئن شوید روی کامپیوترتان یک راهکار امنیتی قابل‌اطمینان نصب است.

لنگر[1]  incremental update

لنگر[2] Incremental saving attack

لنگر[3] Signature wrapping attack

لنگر[4] Universal signature forgery

منبع: کسپرسکی آنلاین

تنظیم: روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛

برای داشتن یک تحلیلگرِ امنیتی، به شخص خاص با مهارت‌های درخور نیاز است. چنین فردی باید علاوه بر داشتن حس کنجکاوی به ریزه‌کاری و ظرایف توجهی زیادی داشته باشد، باهوش باشد و البته سخت‌کوش و ساعی. همچنین باید به محض سر برآوردن حملات، از خود واکنشی سریع و بجا نشان دهد. چنین تحلیلگرانی تمام مهارت خود را در طول شیفت‌های طولانی کاری خود می‌گذارند تا ضمن شناسایی مؤلفه‌های امنیتی‌ای که می‌شود تا حدی مورد اغماض قرار داد روی مواردی که ارزش بررسی کردن دارد تحقیق و تحلیل بعمل آورند. این نیروها بسیار مهم و باارزشند اما در هر صورت باز هم با انسان سر و کار داریم و خوب همه می‌دانیم که انسان جایزالخطاست. در ادامه با ما همراه شوید تا 7 توصیه برای بهبود عملکرد مرکز عملیات امنیت ( SOC) خدمتتان ارائه دهیم.

موانع و تاکتیک‌های امنیتی
چالش‌هایی که بر سر راه SOC یا همان مرکز عملیات امنیت وجود دارد یکی دو تا نیست: حجم حملات سایبری‌ و فعالیت‌های مبتنی بر شبکه‌های اینترنتی‌ای که امروزه با آن مواجهیم، نظارت تمام هشدارهای امنیتی را محال کرده است. مراکز عملیات امنیت در واقع فقط اندازه‌ای وقت دارند که بتوانند چند عامل محدود هشدار را لحاظ کنند. همین باعث می‌شود برخی رخدادها از زیر دست تحلیلگران دررفته، مهاجمین بی‌هیچ نگرانی‌ای جا خشک کنند و کلی هم در این میان مثبت کاذب بوجود بیاید. تازه نگوییم که چقدر از زمان و توجه تیم امنیتی نیز در این بین هدر می‌رود. این واقعیت، موضع امنیتی سازمان را به خطر می‌اندازد. یک شرکت معمولی برای شناسایی اینکه محیط آی‌تیِ آن دستکاری شده است به 197 روز زمان نیاز دارد. این تعداد روز را مؤسسه‌ی Ponemon در مطالعه‌ی هزینه‌ی یک نقض اطلاعاتی در سال 2018 برآورد کرده است. هزینه‌ی کل نظارت، بررسی و تعمیر یک نقض اطلاعاتی به طور متوسط 3.86 میلیون دلار و یا به ازای هر سابقه‌ی گم‌شده یا به سرقت‌رفته 148 دلار تخمین زده شده است. به طور کلی، هزینه‌ی یک نقض به مدت زمانی که در شناسایی‌اش تعلیق پیش می‌آید بستگی دارد. هر قدر نقض سریعتر شناسایی شده و تحت کنترل قرار گیرد، هزینه‌ی کلی برای قربانی کمتر درخواهد آمد. رخدادهایی که در عرض 30 روز تماماً حل و فصل می‌شوند به طور متوسط 1 میلیون دلار هزینه خواهند داشت.
خلاصه بگوییم: سه مانع اصلی وجود دارد که نمی‌گذارد تحلیلگران امنیتی تصمیماتی در لحظه بگیرند:
•    اطلاعات و داده‌های بیش از حد برای پردازش
•    معنی ناکافی- متوجه نمی‌شویم داده دارد به ما چه می‌گوید و فایل‌های لاگ اغلب اطلاعات مفیدی در خود ندارند
•    حافظه‌ی ناکافی- ما اطلاعات دو ساعت پیش را به زور به خاطر داریم چه برسد به چند روز پیش، چند هفته‌ی پیش و یا چندین ماه پیش

1.    بگذارید داده‌ها برایتان کار کنند
آیا از تمام آن داده‌هایی که دارید جمع می‌کنید ارزش واقع بدست آورده‌اید؟ اگر از این داده‌ها برای گرفتن تصمیماتی منطقی استفاده نمی‌کنید پس یعنی چنین اطلاعاتی علناً به هیچ دردتان نمی‌خورد. با نرم‌افزارهای عملیات‌های امنیتیِ امروزی، تحلیل خودکار میسر شده و همین می‌تواند به شما این فرصت را بدهد تا هر از چندگاهی به نحوه‌ی استفاده از داده‌های لاگ خود تغییراتی انقلابی دهید. آنچه مهم است چگونگیِ نظارت، بکارگیری و تحلیل این داده‌ها برای شناسایی فعالیت آلوده در محیط آی‌تی شماست.

2.    به جنبش کوچک داده‌ها بپیوندید
برخی تیم‌های SecOps  از بیش از صد منبع اطلاعاتی، داده جمع‌آوری کرده و هر چیزی را از رویدادهای سیستم عامل اندپوینت گرفته تا لاگ‌های وضعیت روتر مورد نظارت قرار می‌دهند. اما بیش از 99.99 درصد این اطلاعات هیچگاه به کار نمی‌آیند. این می‌تواند به طور قابل‌ملاحظه‌ای هزینه‌های شما را بالا ببرد بدون آنگه ذره‌ای چشم‌انداز امنیتی‌تان ارتقا پیدا کرده باشد. متود بهتر، جمع‌آوریِ صرفِ چیزهایی است که بدان‌ها نیاز دارید.

3.    مؤلفه‌های مرتبط را مورد سنجش قرار دهید
فرقی ندارد سازمان چقدر بزرگ است و کسب و کار مربوطه تا چه حدی روی فناوری‌های امنیتی سرمایه‌گذاری کرده، بهر حال برخی حملات همیشه موفقیت‌آمیز انجام خواهد شد. رهبران امنیت اطلاعات اغلب معیارهایی درست می‌کنند که نشان می‌دهد مقابله با نقض‌های امنیتی تا چه حد سخت است- که این در اصل هیچ ارتباط خاصی با اصل موضوع ندارد. و CISOها نیز اغلب برای توجیه بودجه‌های خود یک‌سری معیارهای تهدید وضع می‌کنند. در عوض، رهبران و مدیران می‌بایست سوالات نافذتری در خصوص ارزشی که از سرمایه‌گذاری‌های خود در عملیات‌های امنیتی بدست می‌آورند بپرسند.

4.    آمادگی عوامل غیرمنتظره را داشته باشید
مجرمان سایبری سعی خواهند کرد آسیب‌پذیری‌هایی را مورد هدف قرار دهند که می‌دانند خطرات‌شان در ردیف پایین اهمیت قرار دارد. تعداد این آسیب‌پذیری‌ها کم نیست و اغلب هم غیرمنتظره پیشامد می‌کنند. تقریباً محال است بتوان تمام حملاتی را که امکان فرود روی چنین آسیب‌پذیری‌هایی دارند پیش‌بینی کرد.

5.    به سازمان‌های جفت  تکیه نکنید؛ در عوض، دفاعی فعالانه را در ذهن متصور شوید
رویه‌ها و جریانات کاری که پیش از این کسب و کارهای ما را محافظت می‌کرد اکنون دیگر آنقدرها هم کارساز نیستند. بیشترِ تمهیدات و محک‌زنی‌ها که رهبران کسب و کارهای دیگر انجام می‌دهند حول محور محافظت‌هایی معقول می‌چرخد. در عوض، باید نسبت به معنای دفاع از خود در جهان دیجیتال تجدید نظر کنیم. دفاع موفق شما را ملزم می‌کند به اتخاذ رویکردی فعال و مقدماتی در مقابل حملاتی که ناگزیر تجربه‌شان خواهید کرد.

6.    مدیریتِ صِرفِ شکست‌های انسانی را کنار بگذارید
تحلیلگران و مدیران وقتی شکست‌های عملیاتی خود را پنهان می‌کنند اتفاقاً دارند کار را برای خودشان سخت‌تر نیز می‌کنند. در حقیقت آن‌ها نمی‌گذارند آسیب‌پذیری‌های شناخته‌شده عیان شود. در عوض، SOC باید محیطی باشد که در آن کارمندان بتوانند در مورد آنچه می‌توانند پیدا کنند صادق باشند و از اخراج شدن واهمه نداشته باشند. ادغام اتوماسیون و نرم‌افزار تحلیل امنیت در SOC‌ها که در آن‌ها اغلب شاهد شکست‌های انسانی هستیم می‌تواند به طور چشمگیری کارایی کلیِ عملیات‌ها را ارتقا دهد.

7.    زبان مهم است
این یک «ویروس» -انگل میکروسکوپی که با سرعتی بی‌سابقه نشر می‌شود- روی شبکه‌ی اینترنتی شما نیست. اسمش را «بدافزار» -جسمی بی‌جان در محیط آی‌تی شما- هم نمی‌شود گذاشت. ما در واقع با یک‌سری مجرم انسان سر و کار داریم که دارند کاملاً تعمدی دست به اقداماتی آلوده از طریق کد مخرب می‌زنند. و خوب هدفشان هم کاملاً واضح است: آسیب زدن به کسب و کار شما. باید جدیت، حجم و منشأ انسانی تهدید را شناسایی کنیم.
حملات سایبری همچنان خواهند بود و جنگیدن با آن‌ها نبردی خواهد بود ابدی. با این حال، با بکارگیری 7 مورد فوق می‌توانید جریان کاری مؤثر و کارامدی را ایجاد کرده و از آن مهمتر اینکه به تحلیلگران خود انگیزه دهید تا فکر نکنید زیر تله‌ای از داده‌های بی‌ربط دارند مدفون می‌شوند.

منبع: کسپرسکی آنلاین

تنظیم: روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛

شنبه ششم مهر ماه 98 در خبری که از سوی شبکه خبر منتشر شده است، سامانه ارزی کشور مورد حمله DDoS قرار گرفته است. DDoS نوعی حمله به شدت مرموز است که برای جلوگیری و دفع آن هیچ راه حل مشخصی وجود ندارد.

در ابتدا گزارش حمله دیداس از سوی روابط عمومی یکی از سامانه های ارزی شروع شد و پس از آن در مدت کوتاهی باقی سامانه های مربوط به حوزه ارز نیز درگیر حمله زامبی ها شدند.

مسئول امنیت یکی از پایگاه هایی که مورد حمله قرار گرفته بود به پایگاه خبری ایرنا گفت: بتدا در تماسی با مسئولین سایت، درخواست پول کردند و اعلام کردند اگر پولی که مد نظر آنهاست پرداخت نکند کاری می کنند که سایت از دسترس خارج شود.

هرچند مکانیزم هایی برای مقابله با این حمله در نظر گرفته شده بود اما فشار و شدت حمله به شدتی زیاد بود که بازهم سایت داون شد. گفته می شود حدود 15 هزار بات فقط در یک روز شناسایی شده است.

این حملات فقط مخصوص یک پایگاه نبوده و وبسایت های زیادی مورد حمله قرار گرفته اند. حجم حملات اتفاق افتاده 20 برابر استاندارد های جهانی بوده است. تحقیقات به عمل امده نشان می دهد اکثر این حملات از سوی کشورهایی مانند روسیه، اکراین و قزاقستان صورت گرفته است.

هرچند نمی توان هیچ راه حل قطعی و مشخصی برای حملات DDoS تعریف کرد اما توصیه میشود وب سایت های حوزه ارز دیجیتال و سامانه های ارزی دیگر از سرویس های کلود بیس استفاده کنند.

حمله DDoS چیست؟

این نوع از حمله که حمله زامبی ها معروف است می تواند برای افراد عادی و یا سرور ها رخ دهد. DDoS مخفف Distributed Denial of Service است. زمانی این حمله رخ می دهد که حجم زیادی از تقاضاهای کاذب و دروغین به سمت سرور هدایت شود. حجم زیاد درخواست ها در یک لحظه باعث کندی سرور و در نتیجه از کار افتادن سرور می شود.
به طور معمول یک راه حل مشخص برای مبارزه و یا جلوگیری از این مشکل وجود ندارد. تنها راه حلی که می تواند گاهی نجات دهنده باشد آن است که سرور در زمان تشخیص مقدار زیاد تقاضا که نامتعارف باشد، دسترسی به یک تقاضای جدید را محدود کند.

مرکز مدیریت راهبردی افتای ریاست جمهوری اخبار مربوط به حملات سایبری موفق به تاسیسات نفتی و زیرساخت‌های حیاتی ایران را تکذیب کرد.

به گزارش خبرگزاری مهر، مرکز مدیریت افتای ریاست جمهوری در اطلاعیه ای اعلام کرد: بر اساس رصدهای صورت گرفته برخلاف ادعاهای امروز رسانه های غربی حمله سایبری موفقی به تاسیسات نفتی و سایر زیرساخت های حیاتی کشور صورت نگرفته است.

مرکز مدیریت راهبردی افتا از همه خبرگزاری ها، سایت های خبری، نشریات و فعالان فضای مجازی خواست تا قبل از انتشار اینگونه اخبار، از طریق مراجع ذی‌صلاح از صحت آن‌ها اطمینان کامل حاصل کنند.