ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

  عبارت مورد جستجو
تحلیل وضعیت فناوری اطلاعات در ایران

۷۰۴ مطلب با موضوع «security» ثبت شده است

تحلیل


4 پیوست‌ فایل خطرناک در ایمیل‌های اسپم

دوشنبه, ۱۳ خرداد ۱۳۹۸، ۱۰:۲۸ ق.ظ | ۰ نظر

اسپمرها هر روز، میلیاردها پیام ارسال می‌کنند که خوب البته اغلب اوقات این پیام‌ها در قالب آگهی‌های تبلیغاتی هستند (بله و بسیار هم آزاردهنده) اما عموماً بی‌خطرند. اما هر چند وقت یک بار ممکن است فایل مخربی به یکی از پیام پیوست شود. برای تحریک گیرنده‌ی پیام برای باز کردن فایل خطرناک، این فایل مخرب اغلب خود در قالب چیزی مهیج و وسوسه‌انگیز ظاهر می‌شود... فایلی کارامد و مهم... چیزی مانند یک داکیومنت کاری، پیشنهادی عالی، گیفت کارد با لوگوی شرکتی سرشناس و غیره. توزیع‌کنندگان بدافزار فرمت‌های «دست‌آموز» مخصوص به خود را دارند. با ما همراه شوید تا 4 پیوست فایل مخرب که امسال از همه خطرناک‌تر بوده‌اند خدمتتان معرفی کنیم.

 

آرشیوهای ZIP و RAR

به گزارش روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ مجرمان سایبری عاشق اینند که در آرشیوها، بدافزار پنهان کنند. برای مثال، فایل‌های ZIP با عنوان‌های تحریک‌کننده مانند Love_You0891 (ممکن است اعداد با هم فرق داشته باشند) توسط مهاجمین استفاده می‌شدند تا بتوانند باج‌افزار GandCrab را در روز ولنتاین پخش کنند. عده‌ای دیگر از اسکمرها نیز چند هفته بعد از انتشار این باج‌افزار در حال ارسال آرشیوهایی با تروجان Qbot روئت شدند؛ تروجانی که تخصصش سرقت اطلاعات است. در سال جاری نیز قابلیت WinRAR جالبی مشاهده کردیم. هنگام ساخت آرشیو، فرد می‌تواند قوانینی برای آن‌پک کردن محتوا به سیستم‌فولدر وضع کند. خصوصاً اینکه محتواها می‌تواند در فولدر استارت‌آپ ویندوز انتقال داده شوند و همین باعث می‌شود با هر ریبوت جدید، اجرا شوند. بنابراین، توصیه می‌کنیم کاربران WinRAR برای رفع این مشکل سریعاً آن را آپدیت کنند.

 

داکیومنت‌های مایکروسافت آفیس

فایل‌های مایکروسافت آفیس، خصوصاً داکیومنت‌های ورد (DOC، DOCX) و اسپردشیت‌های اکسل (XLS، XLSX، XLSM)، ارائه‌ها و تمپلت‌ها خوراک اصلیِ مجرمان سایبری‌اند. این فایل‌ها می‌توانند حاوی ماکروهای جاسازی‌شده باشند؛ برنامه‌های کوچکی که داخل فایل اجرا می‌شوند. مجرمان سایبری برای دانلود بدافزار از ماکروها به عنوان اسکریپ استفاده می‌کنند. اغلب اوقات این پیوست‌ها هدفشان، کارمندان ادارات است. آن‌ها خود را در قالب قرارداد، صورتحساب، هشدارهای مالیاتی و پیام‌های اضطراری از سوی مدریت ارشد جا می‌زنند. برای مثال، یک تروجان بانکداری تحت عنوان Ursnif خود را در قالب یک هشدار پرداختی به کاربران ایتالیایی جا زد. اگر قربانی فایل را باز می‌کرد و به فعالسازی مارکوها (که به دلایل امنیتی، به طور پیش‌فرض غیرفعال است)رضایت می‌داد، این تروجان روی کامپیوتر فرد دانلود می‌شد.

 

فایل‌های پی‌دی‌اف

خیلی‌ها از خطرات ماکروها در داکیومنت‌های مایکروسافت آفیس باخبرند؛ اما اغلب نمی‌دانند در فایل‌های پی‌دی‌اف ممکن است دام‌هایی پنهان شده باشد. با این وجود، پی‌دی‌اف‌ها می‌توانند بدافزار را در خود مخفی کنند. این فرمت می‌تواند برای ساخت و اجرای فایل‌های JavaScript مورد استفاده قرار گیرد. علاوه بر این، مجرمان سایبری عاشق پنهان کردن لینک‌های فیشینگ در داکیومنت‌های پی‌دی‌اف هستند. برای مثال، مجرمان سایبری در یک کمپین اسپم کاربران را به رفتن به صفحه‌ی secure ترغیب می‌کنند؛ جایی که از آن‌ها خواسته می‌شود به اکانت آمریکن‌اکسپرس خود وارد شوند. دیگر این را نگوییم که بعدش بلافاصله اطلاعات محرمانه‌ی کاربران برای اسکمرها فوروارد می‌شود.

 

دیسک ایمیج‌[1]های ISO و IMG

در مقایسه با انواع قبلیِ پیوست‌ها، فایل‌های ISO و IMG اغلب مورد استفاده قرار نمی‌گیرند. با این حال، مجرمان سایبری اخیراً دارند توجه بسیاری به آن‌‌ها می‌کنند. چنین فایل‌هایی -دیسک‌ ایمیج‌ها- اساساً کپیِ مجازی CD، DVD و یا دیسک‌های دیگر هستند. مهاجمین برای تحویل یک بدافزار (نظیر تروجان Agent Tesla که کارش دزدیدن اطلاعات محرمانه است) به کامپیوتر قربانیان از دیسک ایمیج استفاده می‌کنند. داخل ایمیج، فایل مخرب قابل اجرایی است که به محض فرود، جاسوس‌افزار را روی دستگاه فعال و نصب می‌کند. تازه در برخی موارد، مجرمان سایبری از هر دو پیوست (ISO و DOC) استفاده می‌کنند تا احتمال شکست‌شان به صفر برسد.

 

چطور ایمن بمانیم؟

ایمیل‌های مشکوک را که آدرس‌های ناشناخته دارند باز نکنید. اگر نمی‌دانید چرا پیامی بخصوص با موضوعی بخصوص در اینباکس شما فرود آمده اکثر مواقع بدین‌معناست که احتیاجی بدان نخواهید داشت. پس با باز کردن آن خود را به دردسر نیاندازید.
اگر کارتان ایجاب می‌کند مدام با افراد غریبه در مکاتبه باشید، به دقت آدرس فرستنده و نام پیوست را بررسی کنید. اگر چیزی مشکوک به نظرتان آمد آن را باز نکنید.
نگذارید ماکروها در داکیومنت‌هایی که با ایمیل‌ها می‌رسند اجرا شود مگر آنکه مطمئن باشید باید چنین باشد.
با هر لینکی که داخل فایل است با احتیاط برخورد کنید. اگر نمی‌دانید چرا ازتان خواسته شده است لینکی را فالو کنید تنها راه‌حل این است که آن را نادیده بگیرید. اگر فکر می‌کنید باید آن لینک مورد نظر را فالو کنید پس توصیه می‌کنیم در مرورگر خود به طور دستی وارد آدرس وبسایت مربوطه شوید.
از راه‌حل امنیتیِ مطمئنی استفاده کنید که شما را از هر فایل خطرناک مطلع کرده و آن‌ها را برایتان بلاک می‌کند. حتی اگر بخواهید ناخواسته وارد سایتی مشکوک شوید نیز چنین راه‌حلی به شما اخطار می‌دهد. 

 

[1] disk image

منبع: کسپرسکی آنلاین

نگرانی از قدرت ایران در جنگ سایبری

سه شنبه, ۷ خرداد ۱۳۹۸، ۱۱:۴۰ ق.ظ | ۰ نظر

نشریه نشنال اینترست آمریکا نوشت توانمندی ایران در حوزه جنگ الکترونیک سبب نگرانی واشنگتن و اسرائیل شده است.

به گزارش باشگاه خبرنگاران جوان به نقل از شبکه تلویزیونی العالم، اعتراف به جایگاه پنجم ایران در حوزه فناوری اطلاعات در جهان، آمریکا و رژیم صهیونیستی را به شدت نگران کرده است.

نشریه نشنال اینترست آمریکا در گزارشی نوشت: ایران در حوزه رویارویی‌ها در دنیای مجازی (جنگ سایبری) توانایی‌های بازدارنده متعددی در اختیار دارد.

بر خلاف لشکرکشی‌های آمریکا به منطقه، توانمندی ایران در حوزه جنگ الکترونیک که چند سالی است در فضای مجازی جایگاهی پیدا کرده است سبب نگرانی واشنگتن شده است.

این نوع جنگ از زمانی جدی‌تر شد که خبر کنترل هواپیمای جاسوسی آر کی یو ۱۷۰ آمریکا در دسامبر سال ۲۰۱۱، که از جانب متخصصان ایرانی صورت گرفته بود در جهان منتشر شد. ایران توانسته بود این هواپیما را کاملا سالم در اختیار بگیرد.

آن زمان نهاد‌های اطلاعاتی آمریکا و اسرائیل به قدرت ایران در جنگ سایبری اعتراف کردند، توانمندی که موجب شد تا ایران در فهرست پنج کشور قدرتمند حوزه جنگ‌های الکترونیک جهان قرار بگیرد.

مرکز پژوهش‌های امنیت ملی در دانشگاه تل آویو متن پژوهشی را از جنگ الکترونیک میان آمریکا و ایران منتشر کرد که در آن آمده است، تهران برای حمایت از تاسیسات حیاتی خود در پی توسعه دادن برنامه‌های الکترونیکی است، این برنامه‌ها بسیار پیچیده اند و به این کشور قدرت می‌دهند تا بتواند تاسیسات غربی و صهیونیستی را به تعطیلی بکشاند، زیرا تهران با توجه به توانایی‌هایی که دارد قادر است در برنامه‌های الکترونیکی موسسات صهیونیستی و آمریکایی نفوذ کند.

یک افسر عالی رتبه در نهاد اطلاعات نظامی ارتش اسرائیل (امان) که نخواست نامش فاش شود اعتراف کرد ایران در توسعه الکترونیکی و فناوری، کشور قدرتمندی است و نهاد اطلاعاتی اسرائیل در این زمینه با کشور پیشرفته‌ای مواجه است.

در همین زمینه نشریه نشنال اینترست آمریکا روز پانزدهم مه امسال (۲۵ اردیبهشت) گزارشی را منتشر کرد که در آن آمده است، ایران در حوزه جنگ سایبری ابزار‌های متعددی را برای مقابله با دشمنان در اختیار دارد.

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ آیا در سرویس یوتیوب کانال دارید؟ وضعیتش چطور است؟ توانسته هزار تا عضو برای خود جمع کند یا نه؟ اگر بله پس باید منتظر چنین متنی باشید: «ما در حال ارزشگذاری درخواست شما جهت کسب درآمد از کانال یوتیوب‌تان هستیم». هیچ ایرادی به این پیام وارد نیست اما مشکل اینجاست که این متن به احتمال زیاد جعلی است. در پی کمپین‌های اخیر که اکانت‌های اینستاگرامی و توییتر را مورد هدف گرفته بود، سارقین سایبری اکنون چشمشان به دنبال صاحبان کانال‌های یوتیوبی است.

بیشتر از یک سال است که یوتیوب قوانین مربوطه به دریافت کانال در این سرویس را سفت و سخت گرفته است. بدین‌معنا که از یک و سال و اندی پیش دیگر افراد باید برای درآمدزایی از طریق کانال یوتیوب‌شان مراحل سخت‌تری را طی کنند. این روزها، کانال‌هایی که توسط آگهی‌ها حمایت می‌شوند باید از قوانین خاصی پیروی کنند از جمله اینکه باید دست کم 1000 عضو داشته باشند و در طول بازه‌ی زمانیِ 12 ماهه 4000 ساعت بازدید داشته باشند. برای همین هم هست که یوتیوبرها اصرار دارند کانال‌شان را حسابی بگردید.

 

حالا این اسکم جدید یوتیوب چه شکلی است؟

متن زیر لوگوی رسمی یوتیوب چنین می‌گوید: «تیم ما کانال شما را بررسی کرد... ما در پروسه‌ی بازنگری اکانت‌تان بیش از یک مورد تخلف را شناسایی کردیم». همچنین در این پیام هشدار داده می‌شود که همه‌ی کانال‌های یوتیوب به طور دستی مورد نظارت قرار می‌گیرند. بنابراین، از شما خواسته خواهد شد تا اطلاعات شخصی‌تان را در ایمیلی برگردانید.

اطلاعاتی که فیشرها ازتان می‌خواهند شامل یو‌آر‌ال کانال‌ و رمزعبورتان می‌شود. بر اساس گفته‌های یوتیوبرهای قربانی، این نوتیفیکیشن‌های قلابی در بخش ایمیل‌های پابلیک می‌آیند و آدرس‌شان نیز با آنی که به کانال‌هایشان وصل می‌شوند فرق دارد.

به محض اینکه فیشرها اطلاعات‌تان را می‌گیرند، سعی می‌کنند اکانت را از چنگتان درآورند. می‌پرسید برای چه؟ بسیارخوب، شاید با راه‌اندازی یک آگهیِ فیشینگ با نام شما فالوورهای شما را اسکم کرده باشند (محصولاتی را به عنوان هدیه تبلیغ کنند و برای مسابقات جوایزی نفیس در نظر بگیرند). هزار و یک دلیلی دیگر هم می‌تواند داشته باشد که به همه‌ی آن‌ها نمی‌توان پرداخت.

 

چطور از اکانت یوتیوب خود محافظت کنیم؟

توجه داشته باشید که یوتیوب هیچگاه در ایمیل از شما رمزعبور نمی‌خواهد.
همیشه پیش از واکنش به هر ایمیلی -خصوصاً اگر مطمئن نیستید فرستنده کیست- همه‌چیز را به دقت بررسی کنید.
برای اکانت خود احراز هویت دوعاملی فعال کنید. گوگل این گزینه را برای همه‌ی اپ‌ها و سرویس‌های خود لحاظ کرده است (یوتیوب هم از این قاعده مستثنی نیست).

 منبع: کسپرسکی آنلاین

بی‌نظمیِ دیجیتالی تهدیدی سایبری برای شرکت‌ها

چهارشنبه, ۱۸ ارديبهشت ۱۳۹۸، ۱۱:۰۱ ق.ظ | ۰ نظر

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ نه تنها در جهان فیزیکی گرفتار بهم‌ریختگی و بی‌نظمی شده‌ایم؛ بلکه این آشفتگی را حتی در جهان دیجیتال‌مان هم تزریق کرده‌ایم. حال دیگر این بی‌نظمی را می‌توان در سطح منابع شبکه‌ای و کامپیوتری و حتی سرویس‌های ابری نیز مشاهده کرد. اخیراً آژانس نظرسنجی آنلاین OnePoll تحقیقی انجام داده است که طی آن، نظم و ترتیب داخل یخچال را با نظم و ترتیب منابع دیجیتال مورد مقایسه قرار داده است.

حتی در این پژوهش، میزان آشفتگی و بهم‌ریختگی میان این دو نیز قیاس شده است. دلیل اینکه یخچال را برای انجام چنین تحقیقی انتخاب کرده‌اند معلوم نیست- شاید به خاطر اینکه یخچال یک محفظه‌ی درپوشیده و بسته است؛ درست مانند محتویات داخل فضای دیجیتال. یک‌سوم پاسخ‌دهندگان در این تحقیق به اطلاعات محرمانه‌ی همکاران خود در اداره دسترسی داشته‌اند و یک‌سوم دیگر نیز قادر بودند به فایل‌های کارفرماهای اسبق خود دسترسی پیدا کنند. این کشفیات من را بر آن داشت تا یاد سه مورد از تجربه‌ها‌ی شخصی‌ام بیافتم. این سه مورد بخوبی می‌توانند خطرات بهم‌ریختگی دیجیتالی را نشان دهند:

 

ایستگاه کاریِ ریموت

چند سال پیش برای شرکت کوچکی کار می‌کردم که یکی از وظایفم نوشتن در مورد محصولات نرم‌افزاری‌ این شرکت پیش از عرضه‌شان بود. برای اینکه ایستگاه کاری‌ام را خلوت نگه دارم (جلوگیری از حجم وسیع و غیر ضروری از برنامه‌های تکراری و چرخه‌های حذف پیاپی) تقاضای ماشین مجازی (VM) کردم. ماشین مجازی خیلی راحت می‌تواند ریست شود تا سیستم مرتب باشد.

استفاده از ماشین مجازی اگر درست تنظیم بشود حتی می‌تواند یک اقدام خوب هم باشد. با درخواستم (تا حدی) موافقت شد. شرکت یک ماشین مجازی به من داد اما فقط برای من نبود؛ بلکه برای کل شرکت بود: همه می‌توانستند به طور تیمی از آن استفاده کنند؛ بدتر اینکه به شبکه‌ی اینترنتی شرکت نیز وصل بود. ما اغلب مجبور بودیم اسکرین‌شات‌ها را با هم به اشتراک بگذاریم اما مشکل اصلی چیز دیگری بود:

مشکل این است که اکنون پنج سالی می‌شود از آن شرکت بیرون آمدم اما آن ماشین مجازی هنوز هم سر پاست و دارد کار می‌کند. هنوز هم با همان آدرس در حال اجراست و هر کاربری که رمزعبور و لاگین قبلش را داشته باشد می‌پذیرد.

من هم که دغدغه‌ام امنیت است -خیلی بیشتر از برخی دپارتمان‌های آی‌تی- لاگین کردم. دیدم هنوز می‌توانم فایل‌هایی که کارمندان شرکت سابقم رویشان کار می‌کنند قابل‌رؤیت است. با دیدن این صحنه نتوانستم به شرکت زنگ نزنم و نگویم رمزعبور ماشین مجازی‌شان را عوض کند!. همچنین بهشان پیشنهاد دادم ماشین مجازی را از شبکه‌ی اینترنتی شرکت خود جدا کنند.

 

داکیومنت‌های یتیمِ گوگل

زمانی به عنوان نویسنده‌ی حق‌الزحمه‌ای با شرکتی کار می‌کردم که به شدت درگیر امنیت فیزیکی خود بود. برای ورود باید اسم یکی از کارمندان آن شرکت را می‌گفتم و بعد اطلاعات ورود را روی یک کاغذ نوشته و تحویلم می‌دادند.

یک بار دیگر هم بود که اطلاعات شخصی‌ام را برای ورود به شرکتی دیگر عوض کردم و به ادیتور شرکت گفتم آن را اصلاح کند؛ در نهایت این جواب را از او دریافت کردم: «من وقت ندارم خودت انجام بده». سپس لینکی بهم دادند که به داکیومنت گوگل هدایتم کرد و آنجا فهرستی دیدم از نویسندگان آن شرکت با اطلاعات کامل از تاریخ تولدشان و البته یک سری جزئیات شخصی.

سعی کردم این مشکل امنیتی را گوشزد کنم اما هیچوقت برای حوزه‌ی امنیتی وقت کافی نمی‌گذاشتند. مشکل این است که فایل هنوز هست؛ هنوز هم برای هر کس که لینک را دارد قابل‌دسترسی است. هیچکس نمی‌تواند هیچ اطلاعاتی را از آن پاک کند، بنابراین هر کسی می‌تواند تاریخچه‌ی ویرایش هر تغییرِ اِعمال‌شده روی فایل را ببیند.

 

هارد درایو قدیمی

من همیشه عادت دارم سخت‌افزار کامپیوترهای قدیمی را جمع می‌کنم. معمولاً آن‌ها را از بازار اجناس دست‌دوم به قیمت خیلی پایین می‌خرم. همین چند وقت پیش بود که بقایای کیسِ یک سیستم قدیمی را خریدم.

فروشنده گفت چیزِ بدرد نخوری بود و اگر کسی برش نمی‌داشت آن را بیرون می‌انداخت. صرفاً از روی کنجکاوی هارددیسک  را بوت کردم تا ببینم چه چیزهایی دارد. جدا از چیزهای شخصی متعلق به صاحب دستگاه، فولدری هم بود با عنوان work که داخلش یک سری قیمت و قرارداد وجود داشت و روی همه‌شان هم نشان «محرمانه» گذاشته شده بود.

آخرین آیتم هم مربوط می‌شد به آگست 2018. نمی‌دانم صاحب قبلی این پی‌سی قدیمی را مدام از خانه به سر کار می‌برده یا تنها آرشیوهایش را در آن ذخیره می‌کرده است اما به طور حتم هیچ حواسش به عواقب چنین سهل‌انگاری نبوده.

البته این را هم بگویم که هارددیسک را فرمت کردم. هیچوقت خیلی تمرکزم را روی یخچال چنین شرکت‌های نگذاشتم و البته تمایلی هم به سرک کشیدن داخل فریزر آن‌ها را هم نداشتم اما می‌توانم چشم‌بسته بگویم این‌ها همان‌هایی هستند که در یخچالشان می‌شود سوپ فاسد صد سال پیش و تکه گوشت‌های فسیل‌شده و گندیده را پیدا کرد.

 

منبع: کسپرسکی آنلاین

 

آیا امکان محافظت در برابر حملاتِ GPS وجود دارد؟

سه شنبه, ۱۷ ارديبهشت ۱۳۹۸، ۰۹:۴۸ ق.ظ | ۰ نظر

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ وسط جاده حین رانندگی به اپ نویگیشن نگاه می‌کنید و می‌بینید این اپ گمان کرده در فرودگاهید نه در حال رانندگی. حتماً اگر خیلی ناراحت نشوید باز کمی سردرگمی سراغتان می‌آید و معذب می‌شوید. این یک موقعیت ساختگی نیست؛ بلکه نمونه‌ای واقعی است از مشکلاتی که پیوسته برای GPS پیش می‌آید: تغییر مختصات GPS با استفاده از یک سیگنال جی‌پی‌اس جعلی (اما قوی‌تر) از زمین که سیگنال ماهواره‌ای را از مسیر به در می‌کند.

حال اینکه چه کسی پشت پرده است و برای چنین کاری چه دلیل و توجیهی دارد کمی مبهم است اما این حقه کاربردهای اجراییِ متعددی دارد- از سرقت پهپادها گرفته تا دخالت در روند سیستم‌های نویگیشن یات‌ها و تانکرها. تنها خبر خوب این است که جوانب محافظتی دارد رفته‌رفته شکل می‌گیرد (هر چند اگر این روند کند باشد).

در ادامه برای عجول‌ها، حقایقی را در خصوص جاسوسی‌های  GPS رو کرده‌ایم:

 یکی از روش‌های کلاهبرداری و جاسوسیِ جی‌پی‌اسی می‌تواند فریب گیرنده‌ی GPS توسط پخش سیگنال جعلی جی‌پی‌اس از زمین باشد. در چنین موقعیتی، تمامی نویگاتورهای محدوده مورد نظر موقعیت مکانی را اشتباه نشان می‌دهند.
راه دیگر سرقتِ پهپادها و خودروهاست... یا حتی گیج کردن رانندگان تاکسی، ملوان‌ها و هدایتگرهای پهپاد.
ابزار جاسوسی و کلاهبرداریِ جی‌پی‌اسی کاملاً مقرون به صرفه‌اند- با چند صد دلار به راحتی می‌شود بهترین دسیسه‌های مخرب جی‌پی‌اسی را چید.
فناوری‌هایی هم با هدف مبارزه با چنین حقه‌های جی‌پی‌اسی ارائه شده است اما آن‌ها بیشتر مخصوص سیستم‌های بزرگ مانند نویگیشن ناوبر دریایی می باشند.
راحت‌ترین راه برای محافظت از اسمارت‌فون یا تبلت‌تان در برابر چنین خطراتی این است که آن را روی حالت battery-saving location بگذارید که به موجب آن، تنها شبکه‌های وای‌فای و سلولی برای شناسایی موقعیت مکانی شما مورد استفاده قرار می‌گیرند. فراموش نکنید که در چنین شرایطی GPS غیرفعال می‌شود (این حالت روی برخی دستگاه‌ها تعبیه نشده است).

و حالا جزئیات بیشتر برای آن‌هایی که همیشه به دنبال لایه‌های عمیق‌تری از بحث می‌گردند:

 

نحوه‌ی عملکرد کلاهبرداری‌های GPS

برای اینکه متوجه شویم چرا جی‌پی‌اس اساساً می‌تواند نسخه جعلی نیز داشته باشد باید مروری داشته باشیم بر قوانین کلیِ نویگیشن ماهواره‌ای. ماجرا از این قرار است: آن بالا... بر فراز کره زمین درست در مدار زمین‌ثابت چندین سیستم ماهواره‌ای معلقند. نامشان سامانه موقعیت‌یاب جهانیِ آمریکایی[1]، گالیلئو (ناوبری ماهواره‌ای)[2]، گلوناسِ روسی[3] و سامانه ناوبری بیدو[4] است.

هر ماهواره یک سیگنال رادیوییِ دائمی حاوی کد ماهواره‌ و زمان دقیق انتقال سیگنال را ارسال می‌کند. دیگر گوشی‌تان یا هر نویگاتور دیگری هیچ‌چیز انتقال نخواهد داد و تنها سیگنال‌های رادیویی را از فضا دریافت خواهند کرد. با تحلیل زمان دقیق رسیدن هر سیگنال، این امکان وجود دارد که بتوان فاصله‌ی گیرنده جی‌پی‌اس را از هر ماهواره محاسبه نمود.

با کمی چاشنی ریاضیات و مقایسه‌ی چند سیگنال (دست‌کم سه تا اما خوب اگر تعداد بیشتر باشد بهتر است) گیرنده می‌تواند موقعیت مکانی دقیق مخصوص ماهواره‌ها را شناسایی کند. و چون مختصات ماهواره‌ها شناخته‌شده و ثابتند، با کمی محاسبه می‌توان موقعیت مکانی گیرنده را روی سطح کره‌ی زمین پیدا کرد. تنها مشکل این است که سیگنال‌های ماهواره‌ای به محض برخورد با زمینِ خشک ضعیف می‌شوند و آنتن‌ اکثر گیرنده‌ها خیلی هم حساس نیستند. بنابراین، تنها با گذاشتن یک انتقال‌دهنده‌ی رادیوییِ قوی در محدوده و همچنین پخش سیگنال صوتیِ جعلی -اما فنی- از آن خیلی راحت می‌توان در کار ماهواره‌ها دخالت کرد و باعث شد همه‌ی رسیورهای جی‌پی‌اس حاضر در محدوده مختصات اشتباه را محاسبه کنند.

در عین حال، گیرنده‌ها ابزار فنی کافی برای تشخیص مسیر سیگنال ندارند؛ بنابراین نمی‌دانند سیگنال دارد از منبعی کاملاً مختلف می‌آید. بدتر اینکه تجهیزات کلاهبرداری بوسیله‌ی جی‌پی‌اس بسیار ارزان است (حدود 300 دلار). به بیان دیگر هر کسی می‌تواند به این کار دست بزند.

 

چه کسی کلاهبرداریِ جی‌پی‌اسی به کارش می‌آید و چرا؟

برخی موارد شناخته‌شده از هک سیستم‌های جی‌پی‌اس به پروژه‌های تحقیقاتی (برای مثال، سرقت یات... نظرتان چیست؟) شکار غیرقانونی و از همه محتمل‌تر عملیات‌های نظامی مربوط می‌شود. این مسئله در خصوص سیستم‌های خودکار مانند پهپادها و سازه‌هایی که مستقل و بدون دخالت انسانی کار می‌کنند حتی نگران‌کننده‌تر نیز می‌شود. حتی خبرهایی هم شنیده شد مبنی بر سرقت هواپیماهای نظامی بدون سرنشین که نشان می‌دهد وضعیت پهپادهای غیرنظامی هم چندان بهتر از این نخواهد بود.

 

چطور ایمن بمانیم؟

گرچه این مشکل چند وقتی هست که وجود دارد اما چالش‌هایی نیز در خصوص ارائه‌ی یک سری راه‌حل برای آن وجود دارد- تجهیزات کلیدی در فضا مستقرند و نمی‌شود آناً جایگزینشان کرد. ماهواره‌های جی‌پی‌اس هرچه از آن‌ها انتشار می‌شود منتشر می‌کنند و کسی نمی‌تواند ابزارهای استاندارد حفاظتی همچون فناوری‌ رمزگذاری به سیگنال‌ها اضافه کند. اقدامات امنیتی تاکنون فی‌الذات آزمایشی بوده‌اند و در مقیاس‌های بزرگ و بطن واقعیت به کار برده نشده‌اند.

یکی از رویکردها (که علاوه بر مبارزه با این بزهکاری‌ها همچنین گیرنده سیگنال باثبات‌تری را نیز ارائه می‌دهد) استفاده از تنظیمات چند آنتنیِ گیرنده (2×2) است. این ترکیب نه تنها نویز و دخالت‌های اضافی را فیلتر می‌کند که همچنین می‌تواند برای شناسایی مسیری که سیگنال از آن ساطع می‌شود مورد استفاده قرار گیرد.

این تکنیک، تشخیص اینکه کدام سیگنال ماهواره‌ای واقعی است و کدام جعلی را راحت می‌کند. تاکنون، چنین رویه‌هایی تنها در نمونه‌های آزمایشی امتحان شده‌اند اما هر قدر جلوتر می‌رویم امید است بتوان این تجهیزات را عملاً اجرایی نمود. شاید آنطور که به نظر می‌رسد چندان هم هزینه‌بردار و دشوار نباشد؛ فناوری‌های مشابهی همین الانش هم دارند در شبکه‌های سلولی G4 و G5 به کار گرفته می‌شوند.

رویکرد دیگر، استفاده از راه‌حلی بازرگانی است که اکنون هم موجود است اما تنها برای گیرنده‌های بزرگ جی‌پی‌اس استفاده می‌شود (برای مثال دیوار آتشین جی‌پی‌اس). این دستگاه بین گرنده جی‌پی‌اس و انتن خارجی‌اش نصب می‌شود و دائماً سیگنال جی‌پی‌اس را بر اساس مجموعه قوانینی هماهنگ می‌سازد تا تمام سیگنال‌های کاذب قطع شوند. بدین‌ترتیب تنها سیگنال‌های واقعی می‌توانند به دست گیرنده برسند.

سازندگان تراشه‌های اسمارت‌فون روزی قادر خواهند بود تا چیز شبیه به دیوار آتشین جی‌پی‌اس را مستقیماً در گیرنده‌های نویگاتور ماهواره‌ای دستگاه‌ها جاسازی کنند. اما هنوز خیلی مانده است تا بدین فناوری‌ها دست پیدا کنیم. به هر روی اگر وقتی در ترافیک هستید، همچنان جی‌پی‌اس‌تان اصرار دارد که در فرودگاه هستید دستگاه را روی حالت battery-saving location بگذارید. در این حالت، دقت نویگیشن کمی پایین آید اما خوب بهتر از هیچ‌چیز است. متأسفانه چنین حالتی در سیستم‌عامل  iOS وجود ندارد اما کاربران اندرویدی می‌توانند این قابلیت را با رفتن به Settings → Security & Location → Location → Mode → Battery saving فعال کنند.

 

[1]  American GPS

[2] European Galileo

[3] Russian GLONASS

[4] Chinese BeiDou

منبع: کسپرسکی آنلاین

 

ارسال اسپم پیامد خوبی برای سازمان‌ها ندارد

يكشنبه, ۱۵ ارديبهشت ۱۳۹۸، ۱۰:۳۶ ق.ظ | ۰ نظر

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ چند وقت پیش شاهد سرگردانیِ شرکتی برزیلی بودیم که عاجزانه برای بررسی حادثه‌ای، تقاضای کمک داشت. مشکل این بود که مجرمان سایبری با استفاده از آدرس‌های کارمندان شروع کرده بودند به توزیع اسپم. آن‌ها (طبق عرف معمول) خود را در مقام فرستندگانی قانونی قرار نمی‌دادند؛ بلکه آن‌ها پیام‌ها را مستقیماً به سرورِ میلِ این شرکت ارسال می‌کردند. بعد از بررسی‌های جامع توانستیم به خط‌مشی اصلی و دقیق این مهاجمین دست پیدا کنیم.

 

نقشه حمله

ابتدا، کلاهبرداران اینترنتی ایمیل‌های فیشینگ به کارمندان شرکت فرستادند و به دریافت‌کنندگان گفتند میل‌باکس آن‌ها به دلایلی در شسرف مسدود شدن است. سپس آن‌ها را دعوت کردند به کلیک کردن روی لینکی به آن‌ها مجبور به آپدیت اطلاعات اکانت‌شان می‌کرد. این لینک در اصل به فیشینگی می‌رسید که تقاضایش، اطلاعات محرمانه‌ی سیستم لاگین بود.

 

 

ترجمه: کاربر گرامی، میل‌باکس شما بزودی پاک خواهد شد زیرا خیلی از پیام‌هایتان همینطور بازنشده باقی مانده‌اند. برای جلوگیری از این رخداد اینجا کلیک کنید تا اکانت‌تان آپدیت شود. برای این مشکل از شما پوزش می‌خواهیم.

ادمین سیستم

قربانی‌ها بدین‌ترتیب فرم را تکمیل کردند و باعث شدند اسکمرها به اکانت ایمیل‌شان دسترسی کامل پیدا کنند. اسکمرها شروع به ارسال اسپم از اکانت‌های دستکاری‌شده کردند. دیگر حتی نیازی نبود سرخط‌های فنی پیام‌ها عوض شوند؛ زیرا از قبل قانونی بودنشان تأیید شده بود. این اسپم در نتیجه طوری نشان می‌داد که گویی دارد از سرورهای کاملاً سرشناس و قانونی می‌آید (از این رو هیچ شکی هم برنمی‌انگیخت).

بعد از به دست گرفتن کنترل میل‌باکس‌ها، مجرمان سایبری موج بعدی ایمیل زدن‌های خود را آغاز کردند. در این مورد، کلاهبرداران «پیام نیجریه‌ای» را به زبان‌های مختلف فرستادند (گرچه در تئوری این اسپم می‌توانست هر چیز دیگری باشد؛ از آفرهای داروهای بازار سیاه تا بدافزار).

 

 

این تحلیل نشان داد که شرکت برزیلی مذکور تنها قربانیِ موجود نبوده است. همین پیام (به مقادیری زیاد) همچنین از آدرس سازمان‌های دولتی و غیرانتفاعی نیز ارسال شده بود.

پیامدهای بزرگ  

اینکه از سرورها برای ارسال آفرهای تقلبی استفاده کنیم کار خوبی به نظر نمی‌آید. اگر مهاجمین به توزیع بدافزار سوئیچ کنند این به قیمت بدنامی شرکت شما تمام خواهد شد. اما پیامدها بدتر هم می‌شود. اینکه اطلاعات محرمانه‌ی لاگین میل‌باکس کارمندان همان رمزعبور و نام کاربری دامنه باشد چندان هم اتفاق عجیبی نیست؛ بدین‌معنا که اطلاعات دزدی می‌تواند برای دسترسی به سایر خدمات نیز مورد استفاده قرار گیرد.

همچنین با پیدا کردن دسترسی به میل‌باکس کارمند یک شرکتِ نامی، مجرمان سایبری می‌توانند تلاش کنند حمله‌ای هدف‌دار را بر علیه همکاران آن شرکت، شرکای سازمانی یا مقامات رسمی دولت مهندسی کنند. چنین حملاتی خیلی سخت موفق می‌شوند. این کار، نیازمند مهارت‌های دست اولِ مهندسی اجتماعیست تا بواسطه‌ی آن قربانی مجاب شود تمامی اقدامات مورد نیاز را انجام دهد اما اگر موفق شوند پیامدهایشان به طور غیرمنتظره‌ای تکان‌دهنده خواهد بود. این نوع کلاهبرداری جزو طبقه‌بندی BEC (دستکاری ایمیل شرکت) قرار می‌گیرد و می‌تواند باعث دردسر شرکت‌های آلوده گردد. در اصل، فرستنده‌ی جعلی تلاش می‌کند به اطلاعات اکانت، اسناد و مدارک مالی و سایر اطلاعات محرمانه‌ از طریق مکاتبات دسترسی پیدا کند. پیام‌های BEC را سخت می‌توان شناسایی کرد؛ آن‌ها هم از آدرس واقعی می‌آیند، هم سرخطشان مناسب است و هم محتایشان مرتبط.

 

چطور شرکت و کارمندان را ایمن نگه داریم؟

برای محافظت از نام و اعتبار شرکت‌تان و نیز جلوگیری از اسپم‌های آلوده توصیه می‌کنیم از راه‌حل محافظتیِ قابل‌اطمینانی استفاده کنید که قادر است اقدامات فیشیگ را هم در بخش میل‌سرور و هم ایستگاه‌های کار پرسنل ردیابی کند. دیگر گفتن ندارد که آپدیت کردن پایگاه‌های اطلاعاتی آنتی‌اسپم و آنتی‌فیشینگ نیز بسیار حائز اهمیت است.

منبع: کسپرسکی آنلاین

بدافزار ShadowHammer، دشمن جان ایسوس

شنبه, ۱۴ ارديبهشت ۱۳۹۸، ۰۹:۲۰ ق.ظ | ۰ نظر

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ به لطف فناوری جدیدی که در محصولاتمان به کار برده‌ایم (که قادر است حملات زنجیره تأمین را شناسایی کند) متخصصین ما موفق به کشف بزرگ‌ترین حادثه‌ی زنجیره تأمین در کل تاریخ شده‌اند (CCleaner را یادتان است؟ از آن هم بزرگ‌تر). یک عامل تهدید Live Update Utility شرکت ایسوس را (که BIOS، UEFI و آپدیت‌های نرم‌افزاری به لپ‌تا‌پ‌ها و کامپیوترهای دسکتاپیِ ایسوس ارائه می‌دهد) دستکاری کرده، به یوتیلیتیِ آن بَک‌دُر اضافه نمودهو بعد آن را از طریق کانال‌های رسمی توزیع کرده است. این یوتیلیتی تروجان‌زده با گواهی قانونی مجوز ورودش صادر شد و بعد روی سرور رسمی ایسوس که مخصوص آپدیت‌هاست مورد میزبانی قرار گرفت. این کار باعث شد تا برای مدت زیادی این بدافزار همینطور مخفی و نامحسوس باقی بماند. مجرمین سایبری حتی مراقب بودند سایز فایل یوتیلیتیِ مخرب درست مانند نسخه‌ی اصل آن باشد.

بر اساس آماری که بدست آوریم، بیش از 57 هزار کاربرِ محصولات لابراتوار کسپرسکی این یوتیلیتیِ بک‌در را نصب کرده‌اند اما برآورد ما این است که این بدافزار به طور کلی بین 1 میلیون نفر توزیع شده است. با این حال مجرمین سایبریِ پشت این ماجرا به همه‌ی این کاربران علاقه یکسانی نشان ندادند؛ آن‌ها تنها 600 آدرس مک را مورد هدف خود قرار دادند. درست برای همین تعداد مک بود که هش‌هایی به نسخه‌های مختلف یوتیلیتی، هارکد شد. برای اینکه بدانید آدرس مک شما نیز در این فهرست قرار دارد یا نه روی اینجاکلیک کنید.

حین بررسی این حمله، به این مسئله پی بردیم که درست همین تکنیک‌ها روی سه فروشنده‌ی دیگر نیز پیاده شده است. راه‌حل‌های لابراتوار کسپرسکی اکنون آماده‌اند تا یوتیلیتی‌های تروجان‌زده را شناسایی و مسدود کنند اما همچنان توصیه می‌کنیم Live Update Utility ایسوس را آپدیت نمایید (البته اگر از آن استفاده می‌کنید).

 

شرح جزئیات

گرچه تحقیقات و بررسی‌های ما همچنان ادامه دارد اما در ادامه قرار است جزئیات بیشتری در خصوص این بدافزار خدمتتان ارائه دهیم:

مقیاس عملکرد

همینطور که قبلاً هم گفتیم ایسوس تنها شرکتی نیست که توسط مهاجمین مورد حمله قرار گرفته است. سه فروشنده‌ی دیگر هم بوده‌اند که درست تحت الگوریتم‌های مشابهی با ایسوس هدف قرار گرفتند:

Electronics Extreme: نویسندگان گیم‌ زامبی به نام Infestation: Survivor Stories.

Innovative Extremist: شرکت ارائه‌دهنده‌ی خدمات زیرساخت‌ وب و آی‌تی که همچنین در بخش توسعه گیم نیز فعالیت دارد.

Zepetto: شرکت کره جنوبی که بازی ویدیویی Point Blank را طراحی کرده است.

 

هدف نهایی

در مورد Electronics Extreme، Innovative Extremist و Zepetto، نرم‌افزار دستکاری‌شده، یک پی‌لود نسبتاً ساده به سیستم قربانی‌ها می‌دهد این نرم‌افزار دستکاری‌شده می‌توانست تمام اطلاعات مربوط به سیستم از جمله نام کاربری، ویژگی‌های کامپیوتر و نسخه‌های سیستم‌عامل را جمع کند. همچنین از آن برای دانلود پی‌لود مخرب از سرورهای C&C نیز استفاده می‌شود؛ بنابراین -برخلاف مورد ایسوس- فهرست قربانیان احتمالی تنها به فهرست آدرس‌های مک محدود نشده بود. همچنین فهرست 600 تایی آدرس‌های مک نیز تنها به همان 600 هدف محدود نمی‌شد؛ دست کم یکی از آن‌ها به آداپتور مجازی اترنت تعلق دارد و این یعنی همه کاربران آن دستگاه از یک آدرس مک استفاده می‌کرده‌اند.

چطور از این چرخه‌ی فاسد خود را بیرون بکشیم؟

رویه‌ی اصلی در تمامی موارد ذکر شده به این صورت است که مهاجمین با گواهی‌های معتبرشان، محیط‌های توسعه‌ی قربانیان خود را دستکاری می‌کنند. بنابراین، متخصصین ما به فروشندگان نرم‌افزاری توصیه می‌کند از فرآیند تولید نرم‌افزار دیگری استفاده کنند که حتی بعد از اینکه کد به صورت دیجیتالی وارد شد، نرم‌افزار را برای شناسایی بدافزار احتمالی برسی می‌کند. به منظور جلوگیری از حملاتی از این دست به شکارچیان سایبریِ متبحری نیاز دارید که البته مفتخریم که از این نوع نیروها کم نداریم. متخصصین ما با سرویس Targeted Attack Discovery به شما کمک می‌کنند تا فعالیت مجرمان سایبری و اقدامات مخرب‌شان را در شبکه‌ی خود شناسایی کرده و اهداف پس پرده‌شان را نیز برملا کنید. همچنین با استفاده از این سرویس می‌توانید منبع این حوادث را نیز پیدا کنید. علاوه بر این، Kaspersky Managed Protection را نیز به شما معرفی می‌کنیم که بیست و چهار ساعته اطلاعات تهدید سایبری را تحت نظارت دارد و پیوسته مورد تحلیل قرار می‌دهد.

منبع: کسپرسکی آنلاین

طبق قانونی جدید، به زودی تلویزیون های هوشمند و دستگاه های متصل به اینترنت اشیا در انگلیس مجهز به برچسب هایی می شوند که به مشتریان نشان می دهند دستگاه چقدر در برابر حملات سایبری ایمن هستند.

به گزارش خبرگزاری مهر به نقل از تک رادار، دولت انگلیس اعلام کرده تلویزیون‌های هوشمند و دستگاه‌های الکترونیکی دیگری که به اینترنت متصل می‌شوند باید برچسب‌هایی مخصوص داشته باشند. در این برچسب‌ها به کاربران اطلاع داده می‌شود دستگاه تا چه حد در برابر حملات سایبری ایمن است.

شرکت‌ها در مرحله اول به طور داوطلبانه و برای کمک به مشتریان این برچسب‌ها را روی محصولات شأن نصب می‌کنند تا آنها متوجه شوند کدام محصولات ایمن هستند. اما در مرحله بعد نصب برچسب‌ها الزامی خواهد بود.

این طرح بخشی از مشاوره‌های دولت انگلیس برای بهبود کلی وضعیت امنیت سایبری در این کشور است. طرح مذکور با ۳ شرط اصلی در آئین نامه‌ای برای تولید کنندگان ارائه شده است.

طبق این قانون برچسب‌ها باید به مشتریان گوشزد کنند از پسوردهای یکسان استفاده نکنند، باید به مشتریان اطلاع داده شود آپدیت های امنیتی جدید دستگاه چه زمان عرضه می‌شود و علاوه بر آن باید شرکت‌ها دپارتمانی ایجاد کنند تا کاربران بتوانند شکاف‌های امنیتی در دستگاه‌ها را گزارش کنند.

مارگوت جیمز وزیر دیجیتال انگلیس اعلام کرده تحت این برنامه خرده فروشان فقط می‌توانند محصولاتی را بفروشند که برچسب‌های مذکور را داشته باشند.

به گفته جیمز این اقدام آخرین گام در طرحی است که انگلیس را به یکی از ایمن ترین اماکن آنلاین در سراسر جهان تبدیل می‌کند.

او در این باره گفت: بسیاری از محصولات مصرفی که به اینترنت متصل می‌شوند، امنیت ندارند و درنتیجه حریم شخصی و امنیت مشتریان را به خطر می‌اندازند. آئین نامه مذکور نخستین گام به جهت ایمن کردن محصولات است.

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ دیگر بر هیچ‌کس پوشیده نیست که همه‌ی ما در فضای آنلاین تحت نظارتیم. تنها کافیست نحوه‌ی ساخت اتومبیل را گوگل کنید و یا عکس گربه‌ای را لایک نمایید و بعد خواهید دید که بزودی توسط کلی آگهی فروشگاه حیوانات خانگی و اطلاعات مربوط به خودرو (روی تقریباً هر سایتی که دیدن می‌کنید) بمباران خواهید شد. امیدوارم هنوز ماجرای رسوایی کمبریج آنالیتیکا یادتان نرفته باشد.

برای اینکه بدانیم کاربران در مورد حریم‌خصوصی آنلاین (و یا عدم آن) چه نظری دارند تقریباً از 12 هزار نفر در 21 کشور مختلف مصاحبه گرفتیم. کاشف به عمل آمد که بیش از نیمی از آن‌ها (56 درصد) فکر نمی‌کنند این امکان وجود داشته باشد که بتوانیم خودمان را تماماً در مقابل ردیابی‌های آنلاین محافظت کنیم. البته شاید هم تا حدی حق با آن‌ها باشد اما این احتمال هم وجود دارد که بتوان دسترسی طرف‌سوم به اطلاعات شخصی را تا حد زیادی محدود کرد.

در ادامه با ما همراه شوید تا توضیح دهیم چه ابزارهایی می‌توانند شما را در حفظ حریم‌خصوصی آنلاین خود کمک کنند.

 

فایل‌های موقتی مرورگر را پاک کنید

مرورگرها به طورپیش‌فرض تکه‌تکه از اینجا و آنجا اطلاعات جمع می‌کنند و آن‌ها را روی کامپیوتر شما ذخیره می‌کنند:

  • حافظه نهان (Cache) شامل تصاویر و سایر داده‌های وبی می‌شود. وقتی داده‌ها ذخیره می‌شوند دیگر نیازی ندارند باری دیگر از سرور دانلود شوند.
  • کوکی‌ها هم فایل‌های کوچکی‌اند که به وبسایت‌ها اجازه می‌دهند دستگاه‌تان را به یاد آورند و وقتی مرورگر بسته است نیز شما را از آن log out نمی‌کنند.
  • تاریخچه‌ی وب گردی

بخش زیادی از این اطلاعات کاملاً در دسترس ردیاب‌های آنلاین قرار می‌گیرد. زمانی که ردیاب‌های آنلاین بخواهند بدانند از کدام وبسایت‌ها دیدن می‌کنید و یا اینکه به چه چیزهایی علاقه دارید از این اطلاعات استفاده می‌کنند. با پاک کردن این اطلاعات هر چند وقت یکبار، ردیابیِ فعالیت آنلاینِ شما توسط ردیاب‌های آنلاین سخت‌تر می‌شود. نیازی نیست این اطلاعات موقتی را به طوردستی پاک کنید. بیشترِ مرورگرها به شما اجازه می‌دهند تا در تنظیمات انتخاب کنید چطور کوکی‌ها به طور اتوماتیک پاک شوند. اما یادتان نرود پاک کردن اطلاعات موقتی شما را از مزایایی که دارند محروم می‌کند. برای مثال اینگونه مجبور خواهید شد هر بار که به وسایتی سر می‌زنید اطلاعات خود را برای لاگین وارد کنید که برای خیلی‌ها هم حوصله‌سر بر است و هم آزاردهنده. البته اگر بسته‌ی مدیریت کلمه عبور کسپرسکی را خریداری کنید دیگر چنین مشکلی نخواهید داشت.

اگر می‌خواهید وبسایت‌ها برخی جزئیات را در مورد شما به یاد داشته باشند (مثل نام‌تان وقتی دارید فرم‌های آنلاین پر می‌کنید) می‌توانید کاری کنید تا وبسایت‌ها نتوانند از کوکی‌های طرف‌سوم استفاده کنند؛ کوکی‌های طرف‌سوم به طور خاص مأمور ردیابی‌اند.

 

از «حالت ناشناس» استفاده کنید

اگر نمی‌خواهید خودتان را در دام مراحل تنظیمات بیاندازید و یا به غیر از چند وبسایت خاص، نیازی ندارید کل تاریخچه وبگردی‌تان را از چشمان نامحرم دور نگه دارید می‌توانید از «حالت ناشناس[1]» استفاده کنید. در چنین حالتی، مرورگر دیگر اطلاعات مربوط به صفحات بازدیدشده را ذخیره نمی‌کند. از سویی دیگر تب‌های ناشناس جلوی شما را برای استفاده از تب‌های نرمال نمی‌گیرند و تاریخچه‌ی مرورگر را نیز (که از قبل ذخیره شده است) پاک نمی‌کند. شما می‌توانید با باز کردن منوی تنظیمات (سه دکمه، سه نوار یا آیکون چرخ‌دنده) و انتخاب پنجره‌ی New incognito در کروم به حالت ناشناس سوئیچ کنید. با این حال گمان نکنید حالت ناشناس همه‌ی کوکی‌ها و اطلاعات مرورگر شما را پاک می‌کند و یا شما را به طور کل از چشمان ناپاک برخی وبسایت‌ها مصون می‌دارد. این حالت حتی آدرس آی‌پی شما را مخفی نمی‌کند؛ همچنین شما با استفاده از این حالت نمی‌توانید کاری کنید که هر کسی که به شبکه اینترنتی‌تان دسترسی داشته باشد شما را نبیند.

 

مرورگر خود را عاقلانه انتخاب کنید

هر مرورگر رویکرد مخصوص به خودش را در بخش حریم‌خصوصی دارد. از معروف‌ترین این رویکردها، می‌توان به گوگل کروم اشاره کرد که همه نوع اطلاعات در مورد شما ناخنک زده و آن‌ها را جمع‌آوری می‌کند (حتی چیزهایی که وارد نوار یوآرال می‌کنید). از اینها مهم‌تر، تنظیمات پیش‌فرضش اجازه می‌دهد تا کوکی‌ها و سایر ابزارهای مربوط به پروفایل کاربر مأموریت ردیابی خود را آغاز کنند. اما همه‌ی مرورگرهای اصلی هم چنین چشم‌اندازی به حریم‌خصوصی ندارند.

 

موزیلا فایرفاکس

برای مثال، شرکت موزیلا برایش ابتدا حریم خصوصی مهم است و بعد بقیه چیزها. مرورگر فایرفاکس به طور پیش‌فرض ردیاب‌های سرشناس را در پنجره‌های ناشناس می‌بندد و اجازه می‌دهد تا این آپشن طی جلساتی مرتباً فعالسازی شود. البته این کار چندان هم باعث جلوگیری از همه‌ی راه‌های ممکنه برای جمع‌آوری اطلاعات شما نمی‌شود اما به طور قابل‌ملاحظه‌ای میزان آن را کاهش داده و البته سرعت لود شدن پیج را نیز بالا می‌برده. بعلاوه موزیلا برای دستگاه‌های موبایل، مرورگر خصوصی جداگانه‌ای را ارائه می‌دهد: Firefox Focus. این مرورگر نه تنها جریان ردیاب‌ها را می‌بندد؛ بلکه همچنین به کاربران اجازه می‌دهد تا تنها با کلیک روی دکمه Erase همه‌ی اطلاعات جمع‌آوری‌شده روی سایت‌های بازدیدشده را پاک کنند.

 

سفری

از تابستان 2018، سفری جمع‌آوری اطلاعات دیجیتال را ممنوع کرده است: اطلاعات سیستم، مرورگرها و پلاگین‌های که استفاده می‌کنند، تایم زون‌ها، رمزگذاری‌ها و غیره. این اطلاعات تا حدی منحصر به فردند که می‌توانند برای ردیابی کاربر مورد استفاده قرار گیرند؛ حتی اگر مرتباً داده‌های موقتی را نیز پاک کنید. سفری به وبسایت‌ها اطلاعات ناشناخته‌ای از سیستم نشان می‌دهد و کاری می‌کند تا دستگاه‌تان شبیه به خیلی از دستگاه‌های دیگر جلوه کند. این مرورگر همچنین از مجموعه‌ای از ابزارهای جلوگیری از نظارت توسط ویجت‌های شبکه اجتماعی و همچنین سایر ردیاب‌ها برخوردار است.

 

تور و سایر مرورگرهای خصوصی

گفته می‌شود تور یکی از امن‌ترین مرورگرها در قابل ردیاب‌های آنلاین است. در حقیقت تور یک نوع ابزسازه بر پایه‌ی روش مسیریابی پیازی[2] است که آدرس  IP شما را پنهان نموده و نمی‌گذارد وبسایت‌ها هنگام بسته شدن تشخیص دهند از کجا بازشان می‌کنید. هر درخواستی که در آن می‌کنید دست کم از سه روتر عبور می‌کند و در این حالیست که اطلاعات تا آخرین روتر، رمزگذاری‌شده باقی خواهد ماند. و حالا عیبِ بزرگِ تور- این امکان وجود ندارد که بتوانید صاحب آخرین روتر را تشخیص دهید؛ کسی که می‌تواند یک به یک جزئیات درخواست شما را ببیند. شبکه‌ی پیازی معایب دیگری هم دارد- برای مثال به طور قابل‌ملاحظه‌ای وبگردی را کُند می‌کند؛ بنابراین این مرورگر را به کاربران معمولی توصیه نمی‌کنیم. مرورگرهای دیگری هم وجود دارند که تا حدی در مقابل ردیابی‌ها انلاین راهکارهای محافظتی ارائه می‌دهند مانند  Epic Privacy Browser، SRWare Iron Browser، Brave و  Dooble. با این حال حین استفاده از آن‌ها به یاد داشته باشید که هر قدر مرورگر کمتر شناخته‌شده باشد کمتر با وبسایت‌هایی که به کرات از آن‌ها دیدن می‌کنید سازگاری دارند (و البته پلاگین‌های کمتری هم دارند).

 

از موتور جست‌وجوی خصوصی استفاده کنید

حتی اگر از مرورگری مطمئن هم استفاده کنید، موتورهای جست‌وجو همچنان می‌توانند روی فعالیت‌هایشان نظارت داشته باشند. تمام سوالاتی که در گوگل، بینگ و یا یاهو پرسیده می‌شود در آرشیوهای این شرکت‌ها ذخیره خواهد شد. اما برخی موتورهای جست‌وجوی جایگزین پرس‌وجوهای شما را وارد نمی‌کنند. از همه معروف‌ترشان DuckDuckGo است که درخواست‌ها یا داده‌های دستگاه را ذخیره نمی‌کند. همچنین اطلاعات شما را برای آگهی دادن به شبکه‌ها انتقال نمی‌دهد. DuckDuckGo علاوه بر حفظ شاخص خود، نتایج جست‌وجو را -بدون اینکه اطلاع دهد چه کسی چه چیزی را سرچ کرده- از بیش از صد سیستم ارائه می‌دهد. موتور جست‌وجوی  StartPage از نتایج گوگل استفاده می‌کند. هنگامی که عبارتی را در Startpage جستجو می‌کنید، این موتور جستجو، نتایج حاصل از جستجوی عبارت در Google را به شما بر می‌گرداند؛ در نتیجه با استفاده از Startpage، مورد ردیابی قرار نمی‌گیرید. همچنین موتورهای جست‌وجوی خصوصی هم مانند Swisscows و Gibiru وجود دارند که تنها از الگوریتم‌های خود استفاده می‌کنند.

 

ردیاب‌های وبی را ببندید

راه دیگر برای جلوگیری از ردیابی‌های آنلاین، کمک گرفتن از افزونه‌ها و برنامه‌های خاص است. برای مثالاد بلاکرِ AdBlock Plus که همچنین جلوی ردیابی فعالیت‌های شما توسط شبکه‌های اجتماعی را نیز می‌گیرد (البته این ویژگی را باید در تنظیمات، فعالسازی کنید). همچنین فهرست ردیاب‌هایی که به طور پیش‌فرض بلاک شده‌اند نیز بسط داده خواهد شد. افزونه‌های Disconnect، uBlock origin، Ghostery و uMatrix به تنظیمات ویژه‌ای نیاز ندارند؛ آن‌ها ردیاب‌ها را فوراً بلاک کرده و نظارت را بر شبکه‌های اجتماعی می‌بندند. توسعه‌دهندگان DuckDuckGo نیز افزونه‌ی ضد ردیاب مخصوص خود را ساخته‌اند. آن‌ها همچنین مرورگر خصوصی مخصوص به خود را برای دستگاه‌های موبایل اندروید و آی‌اواس ارائه می‌دهند. کاربران فایرفاکس می‌توانند افزونه‌ی  Facebook Container را نصب کنند که توانایی فیسبوک را در جمع‌آوری داده‌های شما روی سایت‌ها کم می‌کند. این شبکه‌ی اجتماعی همچنان قادر خواهد بود پست‌ها و لایک‌هایتان را ردیابی کند اما دیگر همه‌جا مثل سایه دنبال شما نخواهد بود. توجه داشته باشید که پلاگین تنها برای فایرفاکس وجود دارد. محصولات ما نیز از حفاظت ضد ردیابِ قدرتمندی برخوردار است. اگر از هر یک از بسته‌های اینترنت سکیوریتی[3]، توتال سکیوریتی[4]یا کلود سکیوریتیِ کسپرسکی[5] استفاده می‌کنید می‌توانید Private Browsing را برای مقاومت در برابر وبسایت‌های سمج و کنجکاو به کار ببرید.

 

با وی‌پی‌ان جلوی جاسوس‌ها را بگیرید

راه دیگر برای جلوگیری از ردیاب‌های مزاحم استفاده از وی‌پی‌ان است. سرور وی‌پی‌ان آدرس‌های آی‌پی خود را جایگزین سرورهای دیگر کرده و با هر کانکشنی تغییر می‌کند. بدین‌ترتیب لوکیشن‌تان مورد ردیابی قرار نخواهد گرفت. علاوه بر این، وی‌پی‌ان‌ها داده‌ها را رمزگذاری کرده و نمی‌گذارند ISP شما روی فعالیت‌های آنلاین‌تان نظارت داشته باشد. با این حال این را در نظر داشته باشید که وی‌پی‌ان حفاظت کامل را ارائه نمی‌دهد؛ بنابراین ممکن است همچنان در معرض مزاحمت‌های شبکه‌های اجتماعی، موتورهای جست‌وجو و ردیاب‌های آنلاین قرار گیرید. پس در کنار وی‌پی‌ان باید ابزارهای محافظتی دیگری نیز استفاده شود.

 

باشد که همیشه حریم‌خصوصی‌تان در فضای آنلاین حفظ شود

بیایید کمی خوشبین باشیم؛ هنوز هم می‌شود با بکارگیری جوانب احتیاط حریم خصوصی خود را در فضای آنلاین حفظ کنیم.

 

[1]  incognito mode

[2] onion routers

[3] Kaspersky Internet Security

[4] Kaspersky Total Security

[5] Kaspersky Security Cloud

منبع: کسپرسکی آنلاین

ادعای نفوذ در درگاه‌ خدمات الکترونیکی چند استان

سه شنبه, ۱۰ ارديبهشت ۱۳۹۸، ۰۱:۴۷ ب.ظ | ۰ نظر

پیگیری و بررسی اولیه ادعای نفوذ در درگاه‌ خدمات الکترونیک چند استان نشان می‌دهد که احتمالا برای ایجاد این درگاه‌ها از ساختار یا افزونه مشترکی استفاده شده که به روز رسانی امنیتی نشده است.

به گزارش فارس،‌ در هفته‌های گذشته موضوعات نفوذ و کشف آسیب پذیری در فضای مجازی در ایران داغ شده است؛ اخیرا تپ‌سی با موردی از نشت اطلاعات رانندگان مواجه شد و سپس دسترسی غیرمجاز به بخشی از اطلاعات کافه‌بازار روی داد.

امروز نیز در گزارش جدیدی از وقوع نفوذ در درگاه‌های خدمات الکترونیک استانی خبر رسیده است؛ در این ادعا که تنها توسط یک منبع مطرح شده به نفوذ به درگاه خدمات الکترونیک چند استان اشاره شده است. اما
هنوز بررسی دقیق و قابل اعتمادی روی این موضوع انجام نشده که درباره صحت و سقم این ادعا بتوان با قاطعیت اظهارنظر کرد.

نتیجه پیگیری اولیه خبرنگار فارس از کارشناسان امنیت شبکه نیز فعلا به این جا ختم شده که احتمال می‌رود برای ایجاد این درگاه‌ها از یک ساختار یا افزونه مشترک استفاده شده است و با این فرض اینکه بررسی‌های امنیتی مورد نیاز روی درگاه‌ها انجام شده پس احتمالا این ساختارها یا افزونه ها به روز رسانی امنیتی نشده اند.

از نظر استانداردهای امنیت اطلاعات، استفاده از ساختارها و معماری‌های مشترک تنها زمانی مجاز است که به روزرسانی امنیتی و رفع نقایص انجام شود.

میزان نفوذ هکرها به کافه بازار در دست بررسی

يكشنبه, ۸ ارديبهشت ۱۳۹۸، ۰۲:۰۵ ب.ظ | ۰ نظر

علیرغم تایید وقوع دسترسی غیرمجاز به یکی از زیرسیستم‌های وب‌سایت کافه‌بازار، افشاکنندگان موضوع وعده داده‌اند ادعای این شرکت درباره دسترسی غیرمجاز در زیرسیستم، میزان لو رفتن اطلاعات و رفع آسیب پذیری را بررسی و منتشر کنند.

به گزارش  فارس، انتشار خبر دسترسی غیرمجاز به سورس و دیتابیس کاربران کافه بازار توسط گروهی از هکرها که بخش‌هایی از آن در اینترنت منتشر شد، با توجه به جامعه ۴۰ میلیون کاربری این برنامه، بازتاب نسبتا گسترده‌ای داشت.

برخی با انتشار سورس‌کدهایی در مقام افشای اطلاعات برآمدند و منتظر پاسخ‌گویی کافه بازار یا مسئولان مربوطه ماندند.

 

*کافه بازار در نخستین بررسی نشت اطلاعات را تایید نکرد

کافه بازار پس از چند ساعت با صدور اطلاعیه‌ای به این موضوع واکنش نشان داد؛ اما وقوع دسترسی غیرمجاز را تایید نکرد.

این شرکت اعلام کرد: «روز شنبه ۷ اردیبهشت گزارش‌هایی در خصوص وجود یک مشکل امنیتی در بازار در شبکه‌های اجتماعی منتشر شده است که همچون هشدارهای امنیتی مشابه در گذشته، تیم فنی بازار در حال بررسی همه‌جانبه‌ موضوع است. تاکنون شواهدی در زمینه نشت اطلاعات حساب‌های کاربری به دست نیامده است. چنان‌چه در ادامه‌ بررسی‌ها نتایج تازه‌ای به دست آید، به طور شفاف به اطلاع کاربران خواهد رسید.

علاوه بر اقدام‌های پیوسته‌ای که در راستای حفظ امنیت سیستم‌ها صورت می‌گیرد، استفاده از دانش کارشناسان امنیتی که به صورت مسئولانه و قانونی، موارد امنیتی را متذکر می شوند از سالها پیش در اولویت کافه‌بازار بوده است. تخصیص صفحه افشای مسئولانه و طرح اعطای پاداش در ازای کشف باگ‌های امنیتی (Bug Bounty Program) نیز با همین هدف انجام شده است و کافه‌بازار همواره از دریافت گزارش‌های مسئولانه‌ی امنیتی استقبال می‌کند. چرا که امنیت در دنیای دیجیتال مطلق نیست و همه شرکت‌های نرم‌افزاری، اعم از کوچک و بزرگ، ممکن است در معرض آسیب‌پذیری‌هایی در این حوزه باشند و کافه‌بازار نیز خود را از این قاعده مستثنی نمی‌داند.»

 

*تایید دسترسی غیرمجاز به برخی اطلاعات کافه‌بازار

با تایید نشدن این موضوع از سوی کافه بازار، ماجرا ادامه یافت و مدعیان افشای اطلاعات بخشی از سورس‌کدهای اصلی را برای بررسی کارشناسان منتشر کردند.

کافه بازار در دومین اطلاعیه خود بخشی از دسترسی غیرمجاز به اطلاعات را پذیرفت.

در این اطلاعیه اعلام شد: «طبق بررسی‌های تیم فنی کافه‌بازار مشخص شده است که  سورس‌کد یکی از زیرسیستم‌های وب‌سایت کافه‌بازار به دست افرادی خارج از مجموعه رسیده است؛‌ در عین حال، همچنان هیچ گونه شواهدی در زمینه نشت اطلاعات حساب‌های کاربری به دست نیامده است. تیم فنی این مسئله را از ساعات ابتدایی روز شنبه با جدیت پیگیری کرد و اشکال امنیتی را شناسایی و برطرف کرد.

در عین حال، برای اطمینان خاطر کاربران، ضروری است کافه‌بازار بر نکات زیر تاکید کند:

- این دسترسی تنها به بخشی از زیرسیستم وب‌سایت کافه‌بازار صورت گرفته که تاثیری در امنیت اپلیکیشن بازار و تلفن همراه کاربران ندارد.

- رمز عبور کاربران بازار یا یک‌بارمصرف (OTP) بوده و امکان ورود شخص ثالث به حساب‌های کاربری وجود ندارد، یا به صورت salted، با شیوه‌ی ایمن SHA256، رمزگذاری شده و قابل بازیابی نیست.»

 

*بررسی ادعای کافه‌بازار به زودی

علیرغم پذیرش بخش زیادی از موضوع دسترسی غیرمجاز توسط کافه بازار اما گویا این ماجرا هنوز تمام نشده است؛ افرادی که طرح موضوع کرده‌اند وعده داده‌اند ادعای کافه بازار مبنی بر دسترسی غیرمجاز در زیر سیستم، میزان لو رفتن اطلاعات و رفع آسیب پذیری را بررسی و منتشر کنند.

 

کافه بازار: هکرها نتوانستند وارد سرور شوند

یک مدیر کافه‌بازار با تشریح جزئیات آسیب‌پذیری امنیتی اخیر و اقدامات فنی مقابله با آن، اطمینان داد که این موضوع پایان یافته و نگرانی دیگری دراین باره وجود ندارد.

به گزارش فارس، تایید خبر دسترسی غیرمجاز به سورس‌کد یکی از زیرسیستم‌های وب‌سایت کافه بازار درست چند روز پس از نفوذ به بخشی از اطلاعات تاکسی اینترنتی تپ‌سی، بازتاب گسترده‌ای داشت.

اگرچه کافه بازار درباره ابعاد آسیب‌پذیری امنیتی کشف شده شفا‌ف‌سازی کرده اما برخی متخصصان علاقمند نیز وعده داده‌اند که ادعای کافه بازار را راستی آزمایی کنند. خبرنگار فارس درباره مسیر آسیب‌پذیری، میزان آسیب و مقابله با علی وحدانی مدیر محصول کافه‌بازار گفت‌وگو کرده‌ است.

*سورس‌کد یکی از زیرسیستم‌های وب‌سایت کافه‌بازار از مجموعه خارج شد

وحدانی در گفت‌وگو با خبرنگار فناوری اطلاعات خبرگزاری فارس در پاسخ به این سوال که کافه بازار وقوع دسترسی غیرمجاز به  سورس‌کد یکی از زیرسیستم‌های وب‌سایت را تایید و نشست اطلاعات از این سایت را رد کرده، چه توضیحی برای اینکه اطلاعات نشت نکرده وجود دارد؟ اظهارداشت: در اطلاعیه رسمی به صراحت نوشتیم که بخش‌هایی از سورس کد دست یکسری افراد افتاده و این را تأیید کرده‌ایم؛ اما افرادی بودند که ادعا می‌کردند نفوذ کرده و به اطلاعات کاربران دسترسی پیدا کرده‌اند؛ برای بررسی این ادعا مسیری که از طریق آن توانسته بودند به سورس کد دسترسی پیدا کنند را پیدا کردیم و بستیم؛ سپس بررسی کردیم که آیا از این طریق توانسته‌اند نفوذ دیگری انجام دهند یا خیر که در نتیجه بررسی مطمئن شدیم تمام ادعاهای دیگر کاملاً غلط است و آنها اگر یک رکورد دیتا داشتند تاکنون منتشر کرده بودند و مطمئن شدیم که دیتایی نداشته‌اند.

وی توضیح داد:‌ تمام ردپاهای آنها را جست‌وجو کردیم و مشخص شد آنچه به دست آورده‌اند دیتای کاربران نبوده؛ بلکه از روی وب‌سرور توانسته بودند یک آسیب‌پذیری پیدا کرده و سورس کد را دانلود کنند؛ آنها وارد سرور نشدند که بتوانند به دیتایی دسترسی داشته باشند؛ از این‌رو در بیانیه به صراحت اعلام کردیم که توانسته‌اند به سورس کدی دسترسی پیدا کنند اما هیچ دسترسی دیگری نداشتند و همه راه‌ها را بسته‌ و چک کرده‌ایم که مطمئن شویم هیچ دیتایی نشت نکرده است.

*چه بخشی از اخبار و مستندات نفوذ به دیتابیس اطلاعات کاربران صحت دارد؟

وحدانی در پاسخ به این سؤال که اخبار متعددی از ابعاد این آسیب‌پذیری امنیتی منتشر شده است، کدام یک از این اخبار صحت دارد؟ گفت: معتقد بودیم اگر آسیب‌پذیری وجود دارد به آن حساس هستیم، باید جلوی آن را بگیریم و درباره اینکه چه خطری وجود دارد اطلاع‌رسانی کنیم؛ اما مسئله این بود که آنها می‌خواستند از حداقل چیزی که به دست آورده‌اند خبرسازی کنند و اخبار جعلی تا جایی پیش رفت که در رسانه‌های غیررسمی و حتی کانال‌های برانداز از ردپاهایی غیرواقعی در سورس‌کدهای کافه بازار صحبت کردند. رسانه‌های بی‌نام و نشان که امروز زیاد شده‌اند علاقه دارند سروصدا به راه بیندازند و با برداشت شخصی خود، ولو دروغ خبر جنجالی بزنند؛ در این مسیر از رسانه‌ها انتظار داریم با انتشار اخبار صحیح ما را کمک کنند.

مدیر محصول کافه‌بازار ادامه داد: نفوذگران توانستند به سورس‌کد وب سایت دسترسی داشته باشند و به سورس کد اپلیکیشن و سرورها دسترسی نداشته‌اند؛ تنها یک عدد از سرور‌های غیراصلی وب سایت مورد دسترسی قرار گرفته که سورس کد وب سایت را نگه می‌دارد و حتی نتوانستند سورس کد سیستم‌های اصلی را بدزدند. بخش زیادی از سرورهای ما در حال سرویس‌دهی به ۴۰ میلیون کاربر کافه بازار هستند که به آنها دسترسی نیافته‌اند.

وی ادامه داد: این سورس کد چیزی نیست غیر از سایت کافه‌بازار که با وارد کردن آدرس سایت یک سری اپلیکیشن نمایش داده می‌شود. تمام آنچه که به عنوان مصداق نفوذ گذاشته شده بود کد و تنظیمات این سایت بود و هیچ چیزی دیگری نبود که دیتای کاربر یا دیتای اپلیکیشن باشد. با دنبال کردن رد پای جایی که توانسته سورس کد را از آنجا بگیرد، لاگ تمام فایل‌هایی که موفق شده بود دانلود کند را از سرور نگاه کردیم و اکنون دقیقاً می‌دانیم که چه چیزی به دست آورده و چه چیزی به دست نیاورده است؛ دیتایی که به دست آورده را تحلیل و تمام ادعاهای مطرح شده در توئیت‌ها و مطالب کانال‌ها را مانیتور کرده‌ایم و با قطعیت می‌گوییم که صحت نداشته اند. برای مثال یکی ادعا کرده بود که دیتا بیس از کافه بازار دارد و نمونه ارائه کرده بود که فایل ارایه شده خنده‌‌دار بود؛ همان سورس کدها را داخل یک فایل ریخته بود و گفته بود دیتابیس است. اصلاً چنین چیزی نبوده و هیچ دیتایی ندارند که بخواهند منتشر کنند که اگر یک رکورد داشتند منتشر می‌کردند.

*چرا جایزه کشف باگ‌های امنیتی به کار نیامد؟

وحدانی در واکنش به اینکه طبق اعلام کافه‌بازار، طرح اعطای پاداش در ازای کشف باگ‌های امنیتی (Bug Bounty Program) را دارد که این رویه در بسیاری از شرکت‌های بزرگ که به خود اطمینان دارند دیده می‌شود، اما این امکان کافه‌بازار برای نفوذگران جذاب نبود که کارآمد واقع شود، چرا؟ گفت: اگرچه تمام تلاش‌مان را می‌کنیم اما می‌دانیم مسیرهایی ممکن است باز باشد؛ تمام شرکت‌ها برای شناسایی باگ  و راه نفوذ مشوق می‌گذارند و هکرهایی در این شغل وجود دارند که باگ‌ها را به آنها گزارش می‌کنند؛ ما نیز این کار را کرده‌ایم و به هکری که ادعا کرده بود اعلام کردیم که جایزه گزارش باگ داریم، گزارش کن و جایزه بگیر. اولین برای که خبر منتشر شد در اطلاعیه اول به این موضوع اشاره کردیم که اگر آنها تاکنون نمی‌دانستند که چنین امکانی داریم مطلع شوند؛ اما مسئله آنها تنها ضربه‌ زدن بود. اگر قصد گزارش و جایزه گرفتن داشتند موافق بودیم. 

مدیر محصول کافه‌بازار اضافه کرد:‌ فارغ از مسئولیتم در کافه بازار حتی از شرکت‌های بزرگ در اندازه جهانی نیز انتظار نفوذ و حتی نشت اطلاعات می‌رود؛ در این زمینه نه تنها از استاندارد جهانی خیلی دور نیستیم بلکه شرایط خوبی در ایران داریم؛ در ایران اطلاعات ۲۰ میلیون مشترک یکی از اپراتورهای تلفن همراه نشت کرد چه اتفاقی افتاد؟ در نتیجه اصلا خود را با شرایط داخل مقایسه نمی‌کنیم اما در استاندارد جهانی نیز اتفاق اخیر یک حمله در حد نفوذ به سورس‌کد یکی از زیرسیستم‌ها بود که با سورس کد استخراجی نمی‌توانستند کاری کنند.

وی تاکید کرد: جزئیات فنی آسیب‌پذیری را در بلاگ فنی توضیح می‌دهیم و تلاش می‌کنیم در اختیار سایر شرکت‌ها بگذاریم تا در موارد مشابه تجربه داشته باشند.

* نگرانی از انتشار اخبار جدید از نفوذ در روزهای آینده وجود دارد؟

وحدانی در پاسخ به این سوال که علیرغم شفاف‌سازی کافه بازار درباره آسیب‌پذیری امنیتی، برخی برای راستی آزمایی ادعای کافه بازار و روشن شدن ابهامات درباره میزان نفوذ و رفع آسیب اعلام آمادگی کرده‌اند، نگرانی بابت اینکه در روزهای آینده اخبار جدیدی از این نفوذ منتشر شود وجود ندارد؟ گفت: تنها نگرانی از خروج این سورس کد که می‌توانست وجود داشته باشد و روی آن تمرکز کردیم این احتمال بود که آنها از طریق این سورس کد بتوانند دیتایی پیدا کنند و سپس از طریق آن بتوانند به سرورهای دیگر حمله کنند تا دیتای کاربران را بدزدند که در همان زمان دو کار را برای مقابله انجام دادیم؛ نخست اینکه تمام مسیرهای احتمالی نفوذ را بررسی کردیم و ردپاهایی که حدس زدیم شاید با این دیتا، دیتایی دیگری را بدست آورند را گشتیم؛ دوم اینکه تمام کلیدها و پسوردهای لازم و تنظیمات را از ابتدا انجام دادیم انگار که این تنظیمات لو رفته تا مطمئن شویم خطر امنیتی جدیدی ما را تهدید نمی‌کند.

وی تأکید کرد: بنابراین تنها کارکرد این سورس‌کد این احتمال بود که از این دیتا قصد حمله دیگری را داشته که جلوی آن را گرفته‌ایم. 

*افشاکنندگان جدی نبودند بیانیه دوم که تاییدگر نفوذ بود ارایه می‌شد؟

وی در پاسخ به سؤال فارس که بیانیه اول کافه‌بازار خیلی زود منتشر شد که البته حاوی اطلاعات مهمی نبود و در واقع گزارش آسیب را رد کرده بود، برخی تصور می‌کنند اگر ادعا با جدیت مطرح نمی‌شد شاید کافه‌بازار بیانیه دیگری ارایه نمی‌داد که بخواهد در آن آسیب‌پذیری را بپذیرد، پس از اطلاع از موضوع روند پیگیری توسط تیم امنیتی مجموعه که منجر به صدور بیانیه‌ها می‌شد، چه بود؟ گفت: همواره شبکه‌های اجتماعی را مانیتور می‌کنیم که به محض انتشار خبر در شبکه‌های اجتماعی بررسی موضوع شروع شد و چند ساعت بعد بیانیه اول منتشر شد؛ پس از انتشار بیانیه اول بررسی را ادامه دادیم و متوجه شدیم قضیه چه بوده و سورس‌کد از کجا به دست‌شان رسیده و مقداری طول کشید که بفهمیم آیا با سورس‌کدی که به دست‌ دارند کار دیگری می‌توانند انجام دهند. سپس بیانیه دوم را ارایه دادیم که مجموع اقدامات در حدود 18 ساعت طول کشید.

وحدانی اضافه کرد: در بیانیه اول هنوز با قطعیت نمی‌دانستیم که چه اتفاقی افتاده است؛ فقط اعلام کردیم که متوجه موضوع هستیم و موضوع در حال بررسی است و در آخر بیانیه اعلام کرده بودیم که اگر کسی دیتایی دارد و به دنبال جایزه است پول را پرداخت می‌کنیم و آسیب‌پذیری را اعلام کند؛ البته کار به اینجا نکشید و مشاور امنیتی گرفتیم و همکاران امنیتی مجموعه تحلیل کردند و متوجه شدیم. وقتی شخصی عکس از سورس‌کد می‌گذارد حتی ممکن است این عکس از صفحه برنامه‌نویسی در حال انجام گرفته باشد. در بیانیه اول مسائل از صفر (بهترین حالت) تا 100 (بدترین حالت) پیش رویمان بود؛ از اینکه فقط یک عکس است یا اینکه همه چیز لو رفته است؛ در نهایت تصور می‌کنم روال معقولی را طی کرده‌ایم. 

*چه نظارت بالادستی بر امنیت اطلاعات کاربران در کسب‌وکارها است؟

مدیر محصول کافه‌بازار در پاسخ به سؤال دیگر فارس درباره اینکه با رشد کسب‌وکارهایی که با اطلاعات کاربران سروکار دارند جذابیت این تجارت‌ها برای هکرها بیشتر شده، آیا از سوی حاکمیت دستورالعمل یا گواهی امنیتی برای مشخص کردن چارچوب و الزامات ملاحظات امنیتی در این شرکت‌ها وجود دارد؟ گفت: شرکت خصوصی به دلیل ذات تجارت و درآمد به هر آنچه که به کسب‌وکار لطمه وارد کند حساس‌ است، حتی حسا‌س‌تر از بخشی غیر خصوصی که ملاحظات امنیتی‌ بیشتری را پشت سر گذاشته‌اند. همچنان که در چند روز گذشته در نتیجه نفوذ به سایتی دولتی حداقل تا ۲۴ ساعت پس از انتشار خبر اطلاعات همه کاربران قابل دسترس بود.

وی در واکنش به اینکه شرکت‌های بزرگ شاید بتوانند از خود مطمئن باشند اما با رشد بازار کسب‌وکارهای سرویس‌ و کاربر محور، هر روز برنامه‌های جدیدی برای ارایه خدمات به مردم ارایه می‌شوند که در نتیجه نگه‌داشت اطلاعات کاربران در مجموعه‌های جدا بیشتر می‌شود، در این صورت تضمین امنیت اطلاعات کاربران در شرکت‌های کوچک‌تر یا در حال رشد که برای رفع تمامی نیازهای خود به بلوغ نرسیده‌اند چیست؟ گفت: البته شرکت‌های کوچکتر اطلاعات کمتری دارند و به همین میزان درصد ریسک در آنها در مقایسه با شرکت‌‌هایی با چند میلیون کاربر کمتر است؛ مرکز ماهر (در زیرمجموعه وزارت ارتباطات و فناوری اطلاعات) در برخی موضوعات مانند اپلیکیشن‌ها دستورالعمل‌های ابلاغ کرده که عمل کرده‌ایم اما در حالت کلی اگر دستورالعمل یا گواهی امنیتی برای این موضوع وجود دارد بحث حقوقی است و اطلاع ندارم. 

 

*به کمک مرکز ماهر نیاز پیدا نکردیم

وحدانی در پاسخ به این سوال که آیا در این رخداد به کمک مرکز ماهر نیاز پیدا کردید، گفت:‌ در این مورد و در موقع بحران نیاز به کمک نبود اما در حال مذاکراتی هستیم که بتوانیم از مشاوران امنیتی آنها کمک بگیریم.

مدیر محصول کافه‌بازار خاطر نشان کرد: البته در حال حاضر با برخی مراکز امنیتی زیرمجموعه ماهر از جمله مرکز آپا شریف همکاری داریم و با مرکز آپای امیرکبیر نیز به زودی همکاری خواهیم داشت.

کد منبع Carbanak لو رفت: گام بعدی چیست؟

يكشنبه, ۸ ارديبهشت ۱۳۹۸، ۰۹:۱۸ ق.ظ | ۰ نظر

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ این روزها، اخبار مربوط به Carbanak شده تیتر خبرهای داغ حوزه‌های امنیت سایبری. محققین امنیتی موفق شدند منبع کد این بدافزار بدنام را روی پورتالِ باز VirusTotal پیدا کنند. Carbanak در حقیقت موفق‌ترین تهدید امنیتی مالی تا به امروز بوده است، کرمِ مخربی که خسارات مالی‌اش بیش از 1 میلیارد دلار تخمین زده شده است.

 

نگاهی به تاریخ  Carbanak

متخصصین ما ابتدا در سال 2014 Carbanak را کشف نموده و آن را تحلیل کردند. ابتدا متوجه شدند وجوه نقدی از دستگاه‌های خودپرداز دزدیده می‌شوند اما بعداً پی بردند این حوادث تصادفی نبوده و به هم ربط دارند: کمپینِ بزرگ بین‌المللی با هدف سرقت مقایر زیادی پول از بانک‌های سراسر دنیا.

متخصصین ما داشتند تنها موارد اروپای شرقی را مورد بررسی قرار می‌دادند اما زمان زیادی طول نکشید که سر و کله‌ی قربانیان بیشتری پیدا شد- در آمریکا، آلمان و چین. درست مانند سایر حملات، این کمپین هم کارش را با فیشینگ شروع کرد. آن روزها خود را در قالب ایمیلی جا می‌زد که البته به طور پنهانی در خود پیوست‌هایی آلوده داشت که این پیوست‌ها بر اساس بدافزار Carberp بَک‌در نصب می‌کردند. بدین‌ترتیب مجرمان سایبری می‌توانستند به کل شبکه‌‌ی سازمان مورد نظر دسترسی پیدا کنند (در این مورد منظورمان شبکه‌های بانکی است). آن‌ها با دستکاری کردن کامپیوتر بانک‌ها می‌توانستند پول به جیب بزنند. البته مجرمین برای پول به جیب زدن راه‌های مختلفی بلدند. در برخی موارد آن‌ها از راه دور به دستگاه‌های خودپرداز فرمان می‌دادند تا به آن‌ها پول دهد. در برخی موارد دیگر نیز برای انتقال مستقیم پول به اکانت‌هایشان از شبکه‌ی SWIFT استفاده می‌کردند. این متودها در سال 2014 چندان هم به طورگسترده‌ای بکار گرفته نمی‌شدند؛ بنابراین مقیاس و فناوری‌هایی که  Carbanak به کار برد هم صنعت بانکداری و هم حوزه امنیت سایبری را شدیداً تحت‌الشعاع قرار داد.

 

آینده چه در چنته دارد؟

از زمانی که Carbanak کشف شد، متخصصین ما شاهد چنیدن حملاتی بوده‌اند (برای مثال Silence) که همه‌شان هم تاکتیک‌های مشابهی داشتند. سر نخ‌هایی که ازشان پیدا شد نیز نشان از همان گروه جرایم سایبری داشته است. این حملات هنوز هم فعالند اما از وقتی کد منبع Carbanak همگانی شده است دیگر این اقدامات نیز تعداد دفعات بیشتری رخ می‌دهند؛ به حدی که حتی مهاجمینی که مهارت کدگذاری هم ندارند می‌توانند چنین بدافزار پیچیده‌ای را برای خود بسازند. محقق لابراتوار کسپرسکی سرجری گولووانو که از همان اول پیگیری این مورد خاص را بر عهده داشت در این خصوص چنین می‌گوید:

«اینکه کد منبع بدافزار بدنام Carbanak روی وبسایت منبع باز موجود است نشانه‌ی خوبی نیست. به طور حتم بدافزار Carbanak خود ابتدا بر پایه‌ی کد منبع بدافزار  Carberp (بعد از اینکه به صورت آنلاین منتشر شد) ساخته شده بود. همه‌ی دلایل و شواهد ما را بر این باور مصمم می‌کند که این سناریو دوباره خودش را تکرار خواهد کرد و اینکه در آینده شاهد تغییرات خطرناکی در ساختار Carbanak خواهیم بود. خبر خوب اینکه از وقتی کد منبع Carberp لو رفته است، صنعت امنیت سایبری به طور چشمگیری پیشرفت کرده و اکنون می‌تواند براحتی کد دستکاری‌شده را شناسایی کند. ما از شرکت‌ها و افراد خواستاریم تا با داشتن راه‌حل امنیتیِ قوی‌ خود را در برابر تهدیدهای آتی محافظت کنند».

 

چطور ایمن بمانیم

توصیه‌ی ما به شما برای مصون ماندن از تهدیدهایی همچون Carbanak:

فیدهای هوش تهدیدی را در فناوری مدیریت امنیت اطلاعات و وقایع (SIEM) و نیز سایر هدایتگرهای امنیتی یکپارچه‌سازی کنید تا بتوانید به اطلاعات به روزترین و مرتبط‌ترین تهدیدها دسترسی داشته باشید؛ بدین‌ترتیب می‌توانید خود را در برابر حملات آینده آماده سازید. به منظور جلوگیری از چنین تهدیدهای پیشرفته‌ای می‌بایست آن‌ها را بشناسید (که البته این خیلی آرمان‌گرایانه است) و بدانید هدفشان چیست و به دنال چه می‌گردند. سرویس هوش تهدیدی می تواند با فیدهای خود چنین اطلاعات ضروری را به شما ارائه دهد.
راه‌حل‌های EDR همچون Kaspersky Endpoint Detection and Response را برای شناسایی در سطح اندپوینت، بررسی به موقع و رفع حوادث به کار ببندید. شناسایی نمونه‌ای از فعالیت شِبه  Carbanak در سطح اندپوینت نیازمند واکنشی سریع است و این درست همانجاییست که راه‌حل‌های EDR می‌توانند کمک کنند.
راه‌حل امنیتی در سطح سازمانی به کار ببندید که بتواند تهدیدهای پیشرفته‌ی سطح شبکه را در هر مرحله‌ای شناسایی کند. چیزی مانند Kaspersky Anti Targeted Attack Platform.

منبع: کسپرسکی آنلاین

پیش‌بینی‌هایی کسپرسکی در خصوص تهدیدهای 2019

شنبه, ۷ ارديبهشت ۱۳۹۸، ۱۱:۰۷ ق.ظ | ۰ نظر

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ هیچ‌چیز سخت‌تر از پیش‌بینی کردن نیست. بنابراین به جای زل زدن به گوی جهان‌بین بهتر است بر پایه‌ی آنچه اخیراً اتفاق افتاده است حدس‌هایی سنجیده زد. همچنین باید نگاهی داشت به رویه‌هایی که ممکن است در ماه‌های آتی اتخاذ شود. سعی کردیم با کمک از باهوش‌ترین افراد و قرار دادن مبنای سناریوی خود روی حملات APT[1] پیش‌بینی‌هایی در خصوص وقایعی که ممکن است در چند ماه آینده رخ دهد ارائه دهیم. پس با ما همراه شوید:

 

نه به APTهای بزرگ

آیا این امکان وجود دارد در دنیایی که مدام داریم عاملین بیشتری را شناسایی می‌کنیم، تیر اولین پیش‌بینی به خطا رود؟ شاید دلیل این باشد که صنعت امنیت، پیوسته دارد عملیات‌های فوق پیشرفته‌ای را (که از سوی دولت حمایت می‌شوند) کشف می‌کند. اگر بخواهیم چنین وضعیتی را از منظرِ مهاجم نگاه کنیم می‌بینیم که واکنش منطقی‌اش به این ماجرا دنبال کردن تکنیک‌های پیچیده‌تر خواهد بود؛ تکنیک‌هایی که براحتی لو نمی‌روند و تنها مخصوص برخی از عاملین خیلی خاص است. به طور حتم راه‌های مختلفی برای انجام این کار وجود دارد. تنها لازمه‌ی این کار، درکِ روش‌هایی است که این صنعت برای تخصیص و شناسایی شباهت‌های بین حملات مختلف و ترفندهای بکار رفته در آن‌ها استفاده می‌کند؛ چیزی که چندان راز بزرگی هم نیست. با در اختیار داشتن منابع کافی، راه‌حلی ساده برای یک مهاجم ممکن است مجموعه فعالیت‌های پیوسته‌ای را به همراه داشته باشد که سخت بتوان آن‌ها را به همان مهاجم یا همان عملیات ربط داد. مهاجمینی که دستشان در بخش منابع حسابی باز است می‌توانند عملیات‌های نوآورانه‌ی جدیدی را آغاز کنند؛ این درحالیست که می‌توانند همچنان عملیات‌های قدیمی خود را نیز در چنته نگه دارند. البته که این احتمال هم وجود دارد عملیات‌های قدیمی‌تر شناسایی شوند اما کشف عملیات‌های جدید بسی چالش بزرگ‌تری است.

ظاهراً در برخی موارد برای عاملین بسیار خاص که می‌توانند کمپین‌های پیچیده‌تری بسازند، خیلی بهتر است که به جای انجام این کار مستقیماً زیرساخت‌ها و شرکت‌هایی را مورد هدف قرار دهند که در آن‌ها، قربانیان را می‌شود براحتی پیدا کرد مانند  ISPها. برخی اوقات این کار را می‌شود با رگولاسیون و بدون نیاز به بدافزار انجام داد. برخی عملیات‌ها به گروه‌ها و شرکت‌های مختلف که از ابزارها و تکنیک‌های مختلف استفاده می‌کنند اختصاص داده می‌شود و همین کارِ تخصیص را بسی دشوار می‌کند. شایان ذکر است که در بخش عملیات‌هایی که از سوی دولت حمایت می‌شوند چنین جداسازیِ منابع و استعدادی ممکن است آینده‌ی چنین کمپین‌هایی را تحت‌الشعاع قرار دهد.

در چنین سناریویی، صنعت خصوصی دارنده‌ی اصلیِ این قابلیت‌ها و ابزارهای فنی است. در بسیاری از موارد این قابلیت‌ها و ابزارها برای آن دسته از مشتریانی که به درک جامعی از جزئیات فنی و پیامد آن‌ها ندارند قابل فروش نیستند. همه‌ی اینها نشان می‌دهد احتمال کشف عملیات‌های بسیار پیچیده بسیار پایین است چراکه مهاجمینی که منابع خوبی در اختیار دارند خیلی راحت‌تر می‌توانند به الگوهای جدید تغییر مسیر دهند.

 

سخت‌افزار شبکه و اینترنت اشیاء[2]

زمانی این واقعاً منطقی به نظر می‌رسد که هر عاملی برای سخت‌افزار شبکه‌ای از ابزارها و قابلیت‌های طراحی‌شده استفاده کند. کمپین‌هایی چون  VPNFilter نمونه‌ی بارزیست از اینکه چطور مهاجمین از پیش از بدافزار‌ خود برای ساخت بات‌نت‌هایی چند منظوره استفاده می‌کرده‌اند. در این مورد خاص، حتی وقتی چنین بدافزاری شیوع یافت، خیلی زمان برد تا حمله شناسایی شود. این بسیار نگران‌کننده است زیرا نمی‌دانیم در عملیات‌هایی با سطح بالاتری از هدفمندی‌ قرار است چه اتفاقی بیافتد. در وقع این ایده برای عاملینی که منابع بسیار خوبی در اختیار دارند حتی یک گام فراتر نیز می رود: چرا به جای صرفاً تمرکز روی یک سازمان مورد هدف، مستقیم به زیرساخت‌های پایه‌ای‌تر حمله نکنیم؟ پر واضح است که این میزان از کنترل می‌تواند برای یک مهاجم تا چه اندازه وسوسه‌انگیز باشد. آسیب‌پذیری‌های  سخت‌افزار شبکه به مهاجمین اجازه می‌دهد تا مسیرهای مختلفی را دنبال کنند. آن‌ها ممکن است یک سبک بات‌نتی را انتخاب کنند و در آینده آن شبکه را برای مقاصد مختلفی به کار ببنند. شاید هم برای پیش بردن حملاتی بسیار سرّی، به سمت تارگت‌هایی دست‌چین‌شده‌ سوق داده شوند. در مورد دوم، حملات " بدون ‌بدافزار" قرار می‌گیرد؛ جایی که باز کردن یک تونل وی‌پی‌ان برای ریدایکرت کردن ترافیک ممکن است تمام اطلاعات لازم را در اختیار مهاجم قرار دهد. تمام این المان‌های شبکه‌سازی ممکن است بخشی از پدیده‌ی اینترنت اشیاء باشد؛ جایی که در آن بات‌نت‌ها بی‌محا و بدون توقف در حال رشدند. وقتی صحبت از مختل کردن (به عنوان مثال) زیرساخت‌های اساسی به میان می‌آید، اگر این بات‌نت‌ها دست مجرمین بیافتند می‌توانند کاری کنند کارستان. عاملینی که منابع خوبی در دست دارند می‌توانند حسابی از آن‌ها سوءاستفاده کنند (شاید با استفاده از یک گروه پوشش و یا چیزی مثل حمله‌ی تروریستی).

بات‌نت‌های چندمنظوره می‌توانند جدا از بحث حملات اختلال‌گر در موارد دیگر هم به کار گرفته شوند. برای مثال در ارتباطات مخرب با فرکانس دامنه کوتاه که در حقیقت با دور زدن کانال‌های قراردادیِ فیلتر، ابزارها نمی‌توانند روی امور نظارت داشته باشند. گرچه فقط شبیه به هشداری باشد که هر سال داده می‌شود اما نباید هرگز قدرت بات‌نت‌های اینترنت اشیاء را دست کم گرفت- آن‌ها دارند از هر زمان دیگری قدرتمندتر می‌شوند.

 

حمله‌ی متقابل

یکی از بزرگ‌ترین سوال‌ها در خصوص دیپلماسی و ژئوپولیتیک این بود که چطور می‌شود از پسِ یک حمله‌ی سایبری برآمد؟ پاسخ، ساده نیست و تا حد زیادی به این بستگی دارد که حمله تا چه اندازه بد و آشکار است (البته این به عوامل دیگری هم وابسته است). با این حال، به نظر می‌رسد بعد از هک‌هایی مانند آنی که در کمیته ملی دموکرات[3] شاهدش بودیم، اوضاع کمی جدی‌تر شد.

برخی حملات مانند هک‌های Sony Entertainment Network یا حمله به DNC پیامدهایی سیاسی دارند. بدین‌معنا که عملیات‌ها توسط نهادهای نظامی، شبه نظامی، اطلاعاتی یا سیاسی طوری اجرای می‌شوند که باعث شود فکر کنیم گروه‌ها یا کشورهای دیگری این عملیات‌ها را انجام داده‌اند. روسیه خود کشوریست که از این پیامدهای سیاسی زخم خورده است. همین شاید باعث شود در مورد عملیات‌هایی از این دست در آینده تجدید نظر شود. با این حال، ترس از اتفاق افتادن چنین چیزی در آینده یا فکر اینکه شاید چنین عملیات‌هایی همین الانش هم اتفاق افتاده باشند بزرگ‌ترین دستاورد مهاجمین است. آن‌ها می‌توانند به روش‌های مختلف و دقیق‌تری از این شک، ترس و حس عدم اطمینان به بهترین شکل ممکن بهره ببرند؛ چیزی که بیشتر در عملیات‌های بزرگ و قابل‌توجه شاهدش بوده‌ایم: برای مثال Shadowbrokers. تازه باید منتظر نمونه‌های بیشتری هم بود.

در آینده شاهد چه چیزهایی خواهیم بود؟ شاید نمونه‌هایی از این قبیل در گذشته اتفاق افتاده باشد اما گمان داریم تنها فاز آزمایشی بوده‌اند. حدس می‌زنیم این موج تازه به راه افتاده باشد و احتمالاً در آینده شاهد ظهور آن به روش‌های گوناگون خواهیم بود. برای مثال در رویدادهای پرچم دروغین[4] مانند Olympic Destroyer که هنوز هم مشخص نیست هدف نهایی چه بود و برنامه چطور پیش رفت.

 

ظهور تازه واردها

خلاصه بگوییم ظاهراً APT به دو گروه تقسیم می‌شود: عاملین پیشرفته و بسیار مجهز (که پیش‌بینی می‌شود همه ناپدید شوند) و گروهی از تازه واردهای پرانرژی که می‌خواهند تمام‌قد در میدان کارزار خودنمایی کنند. این نکته را هم در نظر داشته باشید که موانع ورود به بازار تا به حال به این اندازه کم نبوده است: امروزه صدها ابزار بسیار کارامد، اکسپلویت‌های بازمهندسی‌شده‌ی لو رفته و فریم‌ورک‌هایی از همه نوع که دسترسی به آن‌ها برای همگان ممکن است وجود دارد. چنین ابزارهایی تقریباً تخصیص را محال می‌کنند و در صورت لزوم می‌توانند براحتی سفارشی‌سازی شوند. دو جای این دنیا هست که این گروه‌ها در آن‌ها بیشتر دیده می‌شوند: جنوب شرق آسیا و خاورمیانه. گفته می‌شود در این نواحی موارد زیادی از این گروه‌ها گزارش شده‌اند؛ گروه‌هایی که با سوءاستفاده از مهندسی اجتماعی به سمت هدف‌های داخلی خود حرکت می‌کنند و از قربانیان آسیب‌پذیر و نبود فرهنگ امنیتی نهایت استفاده را می‌برند. با این حال، همینطور که تارگت‌ها لایه‌ی دفاعی خود را بیشتر می‌کنند، مهاجمین نیز قابلیت‌های خود را روز به روز بیشتر افزایش می‌دهند.

یکی از جنبه‌های جالبی که می‌شود از زاویه فنی بدان نگاه کرد این است که چطور ابزارهای پسا-اکسپلویت[5] JavaScript ممکن است (با توجه به فقدان لاگ‌های سیستم آن، توانایی‌اش در اجرای سیستم‌عامل‌های قدیمی‌تر و اینکه محدود کردن کارکرد آن توسط ادمین کار سختیست) در کوتاه مدت دستخوش تغییراتی جدید شوند.

 

حلقه‌های منفی

با مشاهده‌ی  Meltdown، Spectre ، AMDFlaws و تمام آسیب‌پذیری‌های مربوطه (و البته آن‌هایی که در راهند) با ما کاری کردند که دیگر نظرمان نسبت به خطرهایی که بدافزارها می‌توانند داشته باشند عوض شده است. هرچند آسیب‌پذیری‌ها زیر حلقه 0 نبودند اما احتمال بروز چنین حملاتی بسیار زیاد است (زیرا تقریباً هیچ مکانیزم امنیتی نمی‌تواند آن‌ها را شناسایی کند). برای مثال، در مورد SMM دست کم از سال 2015 یک PoC وجود دارد که دسترسی به آن برای همگان آزاد است. SMM یک ویژگی  CPU است که به طور کارامدی دسترسی کامل و ریموتی را به کامپیوتر ممکن می‌سازد؛ آن هم بدون اینکه بگذارد فرآیندهای حلقه 0 به فضای مموری آن دسترسی پیدا کنند. برای همین مانده‌ایم آیا اینکه هنوز بدافزاری که بتواند از این قابلیت سوءاستفاده کند تنها بخاطر این است که شناسایی‌اش سخت است یا دلیلی دیگری دارد. این قابلیت آنقدر فرصت خوبی است که نمی‌شود کسی از آن سوءاستفاده نکند پس چیزی که از آن مطمئنیم این است که برخی گروه‌ها سال‌هاست تلاش دارند از این ساز و کارها سوءاستفاده کنند (و شاید هم در این امر بسیار موفق بوده‌اند).

 

روش تخریب مورد علاقه‌تان

شاید در این مقاله انتظار پیش‌بینی فیشینگ را نداشتید اما در این بخش می‌خواهیم بدان بپردازیم. ما بر این باوریم که موفق‌ترین عامل/روش مخرب در آینده‌ای نه چندان دور از همیشه اهمیت بیشتری پیدا خواهد کرد. کلید موفقیتش هم در کنجکاو نگه داشتن قربانی است.  با استفاده از داده‌های لو رفته از پلت‌فرم‌های شبکه‌های اجتماعی مختلف، مهاجمین می‌توانند این رویکرد را ارتقا بخشند. داده‌های بدست‌آمده از حملات روی شبکه‌های اجتماعی مانند فیسبوک و اینستاگرام و همچنین لینکدین و توییتر در بازار برای همه موجود نیست. در برخی موارد هنوز مشخص نشده چه نوع داده‌هایی مد نظر مهاجمین بوده است اما شاید این اطلاعات شامل پیام‌های شخصی و یا حتی جزئیات محرمانه باشند. این برای مهندسان اجتماعی حکم گنج را دارد و می‌تواند باعث شود مهاجم اطلاعات محرمانه را از بدزد و آن را روی شبکه‌های اجتماعی به اشتراک بگذارد. این را می‌توان با تکنیک‌های قدیمی جمع‌آوری اطلاعات نیز ترکیب کرد؛ جایی که مهاجمین هدف خود را حسابی چک می‌کنند تا مطمئن شوند قربانی، مورد مناسبی است و بدین‌ترتیب توزیع بدافزار کم شده و شناسایی سخت‌تر می‌شود. به طور حتم با استفاده از فناوری یادگیری ماشین هم می‌شود کارایی فیشینگ را بالا برد. هنوز معلوم نیست در واقعیت این کار چه نتایجی به همراه خواهد داشت اما آنچه مشخص است این است که ترکیب همه‌ی این عامل‌ها می‌تواند فیشینگ را به روش تخریبی حرفه‌ای و مؤثر بدل کند خصوصاً اگر از طریق رسانه‌های اجتماعی صورت گیرد.

 

نابودگر مخرب

نابودگر Olympic یکی از مشهورترین موارد بدافزارهای بسیار مخرب در طول سال گذشته بود؛ خیلی از مهاجمین همچنان دارند مرتباً در کمپین‌های خود از آن استفاده می‌کنند. حملات نابودگر برای مهاجمین مزایای بسیاری دارند خصوصاً از لحاظ ایجاد انحراف و پاک کردن هر نوع لاگ یا شواهد بعد از حمله. در حقیقت حکم یک غافلگیری کثیف را برای قربانی دارد. به طور کلی کلید همه ی این حملات در این است که آن‌ها بسیار وسوسه‌انگیز به نظر می‌رسند جوری که نمی‌شد به سمتشان نرفت. جوامع مدنی بین المللی و زیرساخت‌های اساسی از همه بیشتر در برابر چنین حملاتی آسیب‌پذیرند و گرچه صنایع و دولت‌ها در طول ای چند سال برای بهبود این وضع بسیار تلاش کردند اما هنوز خیلی راه مانده تا شرایط سامان یابد. برای همین است که باور داریم گرچه این حملات هیچگاه به طور همگانی شیوع نمی‌یابند اما در سال آینده شاهد موارد بیشتری از این دست خواهیم بود.

 

زنجیره تأمین پیشرفته

این عامل حمله از همه بیشتر نگران‌کننده است و در طول 2 سال اخیر خیلی از آن سوءاستفاده شده است. برای این نوع حمله هیچ پاسخ راحتی پیدا نمی‌شود. گرچه این عامل حمله برای به دام انداختن کل صنعت (چیزی شبیه به حملاتwatering hole ) و یا حتی کل کشور (همانطور که در NotPetya شاهد بودیم) بی‌نظیر است؛ اما وقتی صحبت از حملات هدف‌دار بیشتری می‌شود این نوع حمله هیچ گزینه‌ی خوبی نیست زیرا احتمال شناسایی آن زیاد است. شاید با خود بپرسید آیا این نوع حمله می‌تواند به صورت هدفمندتری مرود استفاده قرار گیرد؟ به نظر می‌رسد در مورد نرم‌افزارها این قضیه سخت باشد زیرا هر جایی باشد از خود اثری باقی می‌گذارد و بدافزار به چندین مشتری توزیع می‌شود. به طور کلی حملات زنجیره تأمین، عامل‌های مخرب بسیار کارامدی هستند که در آینده قرار است شاهد موارد بیشتری از آن‌ها باشیم. در مورد ایمپلنت‌های سخت‌افزاری نیز فکر می‌کنیم احتمال اتفاق افتادن‌شان خیلی کم است و اگر هم اتفاق بیافتند هیچیک باخبر نخواهیم شد.

 

و موبایل  

این بخش، پایه ثابت پیش‌بینی‌های هر سال است. چیز جدیدی در این بخش انتظار نداریم اما باید این را هم بگوییم که این موج، دو مسیر آلودگی را طی می‌کند. یکی موبایل  و دیگری پی‌سی. واقعیت این است که در بخش اندروید حملات بیشترند تا آی‌او اس. اتفاق غیرمنتظره‌ای را برای این حوزه پیش‌بینی نمی‌کنیم اما احتمال می‌دهیم مهاجمین پیشرفته همچنان بخواهند به روش‌های مختلف وارد دستگاه‌های قربانیان شوند.

 

سایر موارد

مهاجمین چه برنامه‌هایی برای حملات آتی خود دارند؟ یکی از ایده‌ها در حوزه نظامی این است که شاید دیگر از نیروهای انسانی ضعیف استفاده نکنند و به جای آن‌ها بیشتر از ماشین‌ها کمک بگیرند. شاید به جای عوامل انسانی برای هک‌های دامنه کوتاه از پهپادها استفاده کنند، یا شاید برای جمع‌آوری داده‌ها در برخی از پروژه‌های رمزارز خود از بک‌در کمک بگیرند. این احتمال هم می‌رود که در پولشویی های خود از ارزها دیجیتالی استفاده کنند. نظرتان راجع به استفاده از خریدهای درون‌بازی‌ای و بعد فروختن چنین اکانت‌هایی در بازار چیست؟ خیلی وقت‌ها هم ممکن است همه‌چیز آنطور که پیش‌بینی می‌شده پیش نرود. پیچیدگی‌ای که در این فضا وجود دارد باعث می‌شود تا قطعیت و حتی احتمال هم از بین برود. حتی خود متخصصان حمله هم در حوزه‌های مختلف برایشان نقاط کوری بوجود می‌آورد که سوال‌برانگیز است. هیچگاه نمی‌توان فهمید قدم بعدی مهاجمین سایبری در کدام مسیر است. تنها کاری که از دست ما بر می‌آید این است که سعی کنیم حدس‌های معقول بزنیم، حملات را درک کنیم و کاری کنیم در آینده دیگر تکرار نشوند. 

 

[1]Advanced persistent threat:  تهدیدهای پیشرفته و مستمر

[2] IOT

[3] Democratic National Committee

[4]  false flag: به عملیاتهایی گفته می‌شود که توسط نهادهای نظامی، شبه نظامی، اطلاعاتی یا سیاسی به گونه‌ای انجام می‌شود که این تصور به وجود آید که گروه‌ها یا کشورهای دیگری این عملیاتها را انجام داده‌اند.

[5]  post-exploitation

منبع: کسپرسکی آنلاین

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ مقدمه- گرچه نحوه‌ی استفاده از محتوای تلویزیونی دارد به سرعت تغییر می‌کند اما همچنان برای خودِ محتوا تقاضا بسیار است؛ کاربران دست آخر هر کاری می‌کنند تا به این محتواها برسند (حالا چه به روش‌های قانونی و چه غیرقانونی). دنیا دارد رو به فروش برنامه‌های پولی می‌رود... نمونه‌اش هم نتفلیکس یا اپل‌موزیک. با این حال بسیاری از کشورها هنوز هم بر سر توزیع و انتشار غیرقانونی محتوا جنگ دارند. دسامبر 2018، دادگاه فدرال استرالیا طی دستور کاری اعلام کرد همه‌ی ارائه‌دهندگان داخلی اینترنت باید 181 دامنه‌ی غیرقانونی را مسدود کنند. این دامنه‌ها در واقع به 78 وبسایت لینک می‌شدند که پر بودند از فایل‌های ناقض قوانین کپی‌رایت. اوایل سال 2019، وزارت دادگستری برزیل با همکاری پلیس فدرال این کشور اقدام به آغاز عملیاتی جهت مبارزه با نقض قانون کپی کردند. هدف این عملیات مبارزه با توزیع غیرقانونی موسیقی، فیلم و نمایش‌های تلویزیونی بود.  این فقط دو مورد از چند اقداماتی است که  دولت‌ها و بخش‌های خصوصی در سراسر جهان برای مقابله با این مشکل انجام داده‌اند. اما با وجود چنین اقداماتی هنوز هم شاهد نقض قانون کپی‌رایت هستیم. بر اساس آخرین گزارش سالانه‌ی دزدی[1] توسط موسو -شرکت فناوری که کارش ارائه‌ی راه‌حل‌های ضد دزدی، تحلیل بازار و ارتباط با مخاطب است- تعداد محتواهای دزدی‌ رو به افزایش است.

این شرکت در سال 2017 بیش از 300 میلیارد بازدید از وب‌سایت‌های دزدی ثبت کرد.  افزایش 1.6 درصدی از سال 2016 و روند بین‌المللی: ایالات متحده بیشترین تعداد بازدید از وب سایت‌های دزدی را داشته است (27.9 میلیارد بازدیدکننده در سال)، به دنبال آن روسیه را داریم با 20.6 میلیارد بازدید (افزایش 46درصدی نسبت به سال 2016) و هند که ساکنانش 17 میلیارد بار به وب‌سایت‌‌های دزدی سر زدند. هنوز هم بخش اعظم محتوای دزدی مختص فایل‌های قابل دانلود است: گزارش WebKontrol 2019 ادعا می‌کند وب‌سایت‌های تورنت هنوز از نظر حجم محتوای دزدی به سرقت رفته در روسیه حرف اول را می‌زنند و بعد از آن شاهد میزبانی وب و سرویس‌های پخش هستیم. علاوه بر این، سهم لینک‌هایی که در وبسایت‌های تورنت به محتواهای غیرقانونی هدایت می‌شوند  از سال 2018 رشد 14 درصدی داشته است (از 24 درصد به 38 درصد رسیده است) و دارد گوی سبقت را از وبسایت‌های پخش برنامه نیز می‌رباید.

تورنت‌ها به عنوان منبعی سودآور همچنین روش محبوبی برای توزیع کد مخرب هستند. تا به حال مطالعات زیادی در مورد اینکه مجرمان سایبری چگونه از این فرصت سوء استفاده می‌کنند انجام شده است. بر اساس نتایجِ تحقیقی مشابه در سال 2015، 35 درصد محتواهای دزدی نشان از فایل‌هایی دارد که از طریق BitTorrent به اشتراک گذاشته بودند. بیش از 99 درصد این فایل‌های تقلبی تحلیل‌شده یا به وبسایت‌های مخرب و یا اسکم لینک می‌شدند. یافته‌های اخیر آزمایشگاه کسپرسکی و محققین مستقل این روند را تایید کرده‌اند.

اما چه محتوایی مورد هدف قرار می‌گیرد؟ ردیاب‌های تورنت در اصل جولانگاهِ آن‌هایی بودند که به دنبال نسخه‌های دزدیِ بازی‌ها و سایر نرم‌افزار‌ها و همچنین بلاک‌باسترهای هالیوود[2] می‌گشتند. با این حال، در سال‌های اخیر، نمایش‌های تلویزیونی از نظر محتوا در میان بینندگان سراسر جهان، به محبوب‌ترین نوع محتوا تبدیل شده‌اند - گاهی اوقات حتی محبوب‌تر از فیلم‌های هالیوود. طبق گزارش موسو، یک‌سوم کل کاربرانی که از محتوای دزدی استفاده می‌کنند به محتوای تلویزیونی علاقه نشان می‌دهند:  نمایش‌های تلویزیونی همچنان بین کاربران، محبوب‌ترین محصولند (سال گذشته 106.9 میلیارد بازدید داشتند). بعد از آن به محتوای موزیک می‌رسیم (با 73.9 میلیارد بازدید) و در نهایت محتوای فیلم را داریم (53.2 میلیارد بازدید).

چنین محبوبیتی محال است نظر مجرمان سایبری را به خود جلب نکند. برای اینکه بدانید آن‌ها چطور از چنین آب گل‌آلودی ماهی می‌گیرند روی چشم‌انداز تهدیدات بدافزار تحقیقاتی انجام دادیم؛ تهدیداتی که خود را به شکل اپیزودهای جدید نمایش‌های محبوب تلویزیونی توزیع‌شده توسط وبسایت‌های تورنت درآورده بودند. هدف ما این است که ببینیم کدامیک از سریال‌های تلویزیونی بیشتر از همه جولانگاه بدافزارهاست. همچنین می‌خواهیم بدانیم کدام تهدیدها از این طریق توزیع می‌شوند.

متودولوژی و یافته‌های کلیدی

برای اینکه مطمئن شویم سریال‌های تلویزیونی‌ای که رویشان تمرکز کرده‌ایم به حد کافی محبوب بودند یا نه، فهرستی از جذاب‌ترین نمایش‌های تلویزیونی 2018 را با استفاده از منابع عمومی مختلف از جمله IMDB، Rotten Tomatoes و سایر منابع رتبه‌بندی آنلاین تهیه کردیم. همچنین سریال‌هایی که از همه بیشتر قربانی بدافزارها شده بودند را نیز پیدا کردیم. در مجموع به 45 عنوان رسیدیم اما از آنجا که برخی از محبوب‌ترین نمایش‌ها همزمان در چند رتبه‌بندی ظاهر شدند کمی اصلاحات روی آن انجام دادیم و بعد به فهرست 31 تاییِ نمایش‌های تلویزیونی رسیدیم (بر طبق رتبه‌بندی‌های عمومی مختلف مانند IMDB، Rotten Tomatoes و غیره عناوین بر اساس حروف الفبا فهرست شده‌اند):

  • Altered Carbon
  • American Horror Story
  • Arrow
  • Better Call Saul
  • Daredevil
  • DC’s Legends of Tomorrow
  • Doctor Who
  • Game of Thrones
  • Grey’s Anatomy
  • Homeland
  • House of Cards
  • Killing Eve
  • Legends of Tomorrow
  • Modern Family
  • Roseanna
  • Sharp Objects
  • Stranger Things
  • Suits
  • Supernatural
  • The Big Bang Theory
  • The Flash
  • The Good Doctor
  • The Good Place
  • The Handmaid’s Tale
  • The Haunting of Hill House
  • The Walking Dead
  • The X-files
  • This Is Us
  • Vikings
  • Westworld
  • Young Sheldon

سپس هر عنوان را با استفاده از پایگاه اطلاعات خطر خود سنجیدیم. با استفاده از آمار خطر جمع‌شده از طریق زیرساختارمان به نام KSN (شبکه امنیت کسپرسکی[3])  -که کارش پردازش اطلاعات مرتبط با امنیت سایبری است- چک کردیم ببینیم آیا کاربرانی که قبول کردند آمار خطر را با KSN به اشتراک بگذارند تا به حال حین دست وپنجه نرم کردن با سریال‌های تلویزیونی به بدافزاری برخوردند یا نه.

سپس بررسی کردیم ببینیم آیا هیچ ارتباطی بین تعداد و ترتیب اپیزودهای هر فصل و علاقه‌ی عامل بدافزار در آن‌ها وجود دارد یا نه. علاوه بر این، میزان تأثیرِ هر بدافزار را نیز تخمین زدیم و اینکه هر شویی تا چه میزان توانسته برای مهاجمین طعمه‌ی خوبی باشد. برای انجام این کار تعداد کل کاربرانی را که مورد حمله واقع شدن بودند به تعداد فایل‌های مخرب تقسیم‌بندی کردیم و همین کار را نیز روی هر سریال تلویزیونی نیز انجام دادیم. بدین‌ترتیب دستمان آمد که میانگین کاربران دست کم یک فایل مخرب شوی تلویزیونی چقدر است (البته تا حدودی). این کار خیلی به ما کمک کرد تا بتوانیم بفهمیم کدام شو از همه بیشتر در دام بدافزارها افتاده است.

در آخر نگاهی داشتیم به انواع تهدیدهایی که با پوشش سریال‌های محبوب، بیشتر از همه کاربران را مورد هدف خود قرار می‌دهند.

و حالا یافته‌های بدست‌آمده:

  • تعداد کل کاربران سراسر جهان که در سال 2018 با بدافزارهای مرتبط با شوهای تلویزیونی مواجه شدند 126,340 بود؛ در حقیقت یک‌سوم کمتر از تعدادی که در سال 2017 تخمین زده شد. دیده شده است که تعداد حملات توسط چنین بدافزارهایی کاهش 22 درصدی داشته است (ثبت 451,636 اقدام).
  • سه تا از برترین شوهای تلویزیونی که به عنوان تله استفاده شدند و قربانی زیادی گرفتند: Game of Thrones، The Walking Dead و Arrow.
  • 17 درصد کل محتوای دزدی آلوده در سال 2018 به Game of Thrones تعلق می‌گیرد (به 20,934 کاربر حمله شد) تازه جالب است بدانید در این سال اپیزود جدیدی هم از آن بیرون نیامده بود.
  • طبق تحلیل‌های ما اولین و آخرین اپیزودهای هر فصل  Game of Thrones خطرناک‌ترین‌ها بوده‌اند. در مجموعه لابراتوار کسپرسکی اولین و آخرین اپیزودهای هر فصل از این شو بیشترین تعداد فایل‌های مخرب را داشته‌اند و همچنین کاربران هم بیشتر از هر زمان دیگری آلوده شدند.
  • Winter Is Coming -اولین اپیزود شو- از همه بیشتر مجرمان سایبری را به خود مشغول کرد.
  • ظرف دوسال 33 نوع و 505 خانواده‌ی مختلف تهدید پشت شوی Game of Thrones شناسایی کردیم.
  • به طور متوسط 2.23 کاربر در هر فایل بدافزار (در قالب شوی تلویزیونی) هفت بار مورد حمله قرار گرفتند.
  • American Horror Story هم ثابت کرد که مؤثرترین کاور برای اقدامات بدافزار به حساب می‌آید- هر فایل مخرب مخفی‌شده پشت این عنوان به متوسط سه کاربر رسیده است.
  • Not-a-virus:Downloader و Not-a-virus:AdWare دو تا از محبوب‌ترین تهدیدهایی بودند که از طریق محتوای شوی تلویزیونی انتقال داده شدند. خطرناک‌ترین نوع بدافزار هم همان تروجان است که دیگر همه با نام آن آشناییم.

نگاه کلی: بدافزار در راه است 

تحلیل پی‌لودهای مخرب در قالب عنوان سریال‌های محبوب تلویزیونی و مقایسه‌ی نتایج دو سال 2017 و 2018 نشان داد تعداد چنین فایل‌های مخرب، حملات و کاربران قربانی تقلیل یافته است. به طور کلی 126,340 کاربر مورد حمله واقع شدند- این یعنی یک‌سوم تعدادی که در سال 2017 تخمین زده شد (188,769). این کاهش را در کمتر جایی می‌توان شاهد بود. برای مثال گزارشات اخیر نشان می‌دهد تعداد کاربرانی که از طریق محتوای مستحجن به دام این بدافزار افتادند سال 2018 تنها 45 درصد کاهش یافت. درست مانند تعداد کاربران، تعداد بدافزارها هم همچنین کم شده است: در سال 2017 که سال بسیار خوبی برای بدافزارها بود  82,091 نمونه به پایگاه اطلاعاتی خود اضافه کردیم، این درحالیست که در سال 2018 این رقم طی کاهشی 30 درصدی به 57,133 رسید.

 

 

 

تعداد کل حملات شناسایی‌شده توسط راه‌حل‌های امنیتی ما نیز کم شده است اما تنها 22 درصد (451,636).

شاید دلیل چنین کاهشی را بتوان با رخدادهای امسال مربوط دانست که روی تعداد دانلودهای فایل تورنت هم تأثیر گذاشت. اول اینکه در سال 2018 گوگل بیش از 65 هزار وبسایت تورنت -توزیع‌دهندگان اصلی نمایش‌های تلویزیونی دزدی- را در رتبه‌بندی پایینی قرار داد و همین باعث شد بسیاری از کاربران نتوانند حین جست‌وجوی دانلود سریال‌ها آن‌ها را پیدا کنند. اقدامات فعالانه‌ای برای بستن وبسایت‌های تورنت صورت گرفت و همین باعث شد هر روز بیشتر و بیشتر آن‌ها را بلوکه کرده و یا به دردسر بیاندازند. برای مثال، دو ردیاب تورنت اصلی (Pirate Bay و Demonoid) اخیراً به شدت دچار افت کارکرد شده‌اند. یکی از مهم‌ترین آن‌ها Leechers Paradise که برای همیشه بسته شد.

در پاسخ، وبسایت‌هایی که کارشان پخش کپی‌های دزدیی فیلم‌ها و سریال‌هاست دارند روز به روز محبوب‌تر می‌شوند و دارند یک‌جورهایی کار و کاسبی تورنت‌ها را کساد می‌کنند. با این حال، تورنت‌ها همچنان در رأس امورند و در تلاشند کاربران بیشتری را مورد هدف خود قرار دهند. به منظور بررسی میزان تأثیر چنین بدافزارهایی تعداد کل کاربران قربانی را با تعداد کل فایل‌های آلوده‌ی شناسایی‌شده مقایسه کردیم. با تقسیم تعداد کاربران به تعداد فایل‌ها به این مسئله پی بردیم که  هر بدافزار شوی تلویزیونی متوسط 2.23 کاربر را در سال 2018 آلوده کرده است.

علاوه بر این، فهرستی از محبوب‌ترین تورنت‌های 2018 را با فهرستی از آلوده‌ترین سریال‌های تلویزیونی قیاس کردیم:

شوهای تلویزیونی برتر حاوی بدافزار بودند

محبوب‌ترین تورنت‌های شوی تلویزیونی

Game of Thrones

The Walking Dead

The Walking Dead

The Flash

Arrow

The Big Bang Theory

Suits

Vikings

Vikings

Titans

The Big Bang Theory

Arrow

Supernatural

Supernatural

Grey’s Anatomy

Westworld

This Is Us

DC’s Legends of Tomorrow

The Good Doctor

Suits

 

 

محبوب‌ترین تورنت 2018 گزارش‌شده توسط TorrentFreak در مقایسه با محبوب‌ترین سریال‌های تلویزیونی اما در باطن بدافزار

همانطور که در جدول بالا مشاهده می‌کنید، از این 10 سریال 6 سریال در هر دو ستون قرار دارند: پس هرقدر شوی تلویزیونی‌ای بیشتر محبوب باشد بیشتر هم به چشم مجرمان سایبری خواهد آمد. در عین حال، چندین نمایش تلویزیونی که سازندگانشان حسابی آن‌ها را تبلیغ کردند و قرار بود خیلی محبوبیت بدست آورند (Westworld، DC’s Legends of Tomorrow و چندتای دیگر) نتوانستند خیلی در بخش انتقال آلودگی‌‌ها موفق عمل کنند.

 

فایل‌های بدافزار: سریال‌هایی که اغلب اوقات آلوده می‌شوند

مجرمان سایبری به یک سری از شوهای تلویزیونی علاقه بیشتری نشان می‌دهند و این حقیقت ثابت شده است (آمار این را نشان می‌دهد). برای اینکه بدانیم کدامیک از آن‌ها بیشتر از بقیه عاملین تهدید را بیشتر به خود جذب می‌کنند شروع کردیم به بررسی و تحلیل تعداد فایل‌های بدافزار پنهان‌شده در پس عناوین تلویزیونی، اینکه چند بار به کاربران حمله کرده‌اند و طی چنین حملاتی چند کاربر قربانی شده است.

فایل‌های مخرب نشان دهنده‌ی تعداد نمونه‌های بدافزارهایی است که کاربران ما با آن‌ها مواجه شدند. منظور از Attacks تعداد دفعاتی است که راه‌حل‌های امنیتی ما گزارش شناسایی دادند و منظور از Users attacked کاربرانی هستند که (دست کم یک بار) توسط بدافزارهای مرتبط با سریال‌های تلویزیونی مورد حمله قرار گرفته‌اند.

 

بین همه سریال‌ها Game of Thrones بیشترین قربانی را گرفته است (توسط بدافزاری به همین نام). تعداد: 20,934. این بدافزار 129,819  بار تلاش داشت تا کاربران را آلوده کند و تعداد کل فایل‌های بدافزار با تم بازی تاج و تخت در مجموعه تهدید ما به 9,986 می‌رسد.

 

 

دومین جایگاه هم در 2017 و هم 2018 به Walking Dead اختصاص دارد: به 18,794 کاربر حمله شده است. سومین جایگاه نیز برای Arrow است (12,163 کاربر).

 

همچنین نگاهی دقیق داشتیم به اپیزودهای نمونه از دو تا از آخرین فصل‌های Games of Thrones (6 و 7) و فصل اول و اوریجینال آن. نتایج نشان داد تعداد فایل‌های آلوده که فناوری‌های حفاظتی ما شناسایی کردند به طور قابل‌ملاحظه‌ای از هر اپیزود به اپیزودِ دیگر متغیر بود.

 

برای چنین تحلیلی هم منابع لازم است و هم زمان زیادی. به همین دلیل تمرکز خود را منحصراً روی بازی تاج و تخت گذاشتیم. ما روی سه فصل مختلف GoT بررسی‌هایی انجام دادیم که البته مطمئن نیستیم همین حملات را روی فصل‌های دیگر نیز به همین روش انجام داده باشند. همانطور که قبلاً گفتیم فایل‌های بدافزار خود را شبیه شوهای تلویزیونی می‌کنند که از بین اینها Game of Thrones بیشترین تعداد قربانی را گرفت.

از شماره ده که پایین بیاییم به Walking Dead می‌رسیم. این سریال بعد از بازی تاج و تخت بیشترین موفقیت را برای فایل‌های بدافزار داشته است (2.69 کاربر به طور متوسط) سپس به ترتیب Grey’s Anatomy (2.65) و بعد Supernatural (2.34).

 

 

آناتومی تهدید: بخش‌های تهدید و انواع تهدیدها 

برای بخش‌های تهدید و انواع تهدیدها  نمونه‌هایی از محبوب‌ترین شوهای تلویزیونی 2017 و 2018 را خارج کردیم و انواع و خانواده‌های مختلف تهدیدها را شمردیم. نتیجه: شناسایی 33 نوع تهدید و 505 خانواده مختلف در پس سریال بازی تاج و تخت.

 

 

تهدید فراگیر: تروجان‌ها

بر اساس آمار، رایج‌ترین نوع تهدید، تروجان‌ها هستند. در 17 درصد همه‌ی موارد مربوط به دزدی از شوهای تلویزیونی تروجان‌ها یک پای قضیه بوده‌اند. خانواده‌ی WinLNK.Agent. یک تروجان نوع خطرناکی است از بدافزار که می تواند آسیب زیادی وارد کند (از سرقت اطلاعات گرفته تا کنترل و نظارت بر سیستم آلوده).

 

سناریوی معمول: کاربر یک فایل تورنت دانلود می‌کند و یا آرشیوی با میانبر به یک ایمیل دریافت می‌نماید. ابتدا فکر می‌کند کپی اپیزودی است که مدت‌ها منتظرش بوده. حال، جدا از این میانبر، آرشیو مذکور همچنین حاوی فولدری با ویژگی system خواهد بود... همین قابلیت است که آن را نامحسوس می‌کند؛ بطوریکه حتی اگرWindows Explorer هم جوری تنظیم شود که فایل‌های پنهان را نمایش دهد باز خود را نشان نمی‌دهد.

 

کاربر با کلیک کردن روی میانبر با امید اینکه بتواند ویدیو را تماشا کند اسکریپت AutoIt را که در فولدر مخفی جا خشک کرده است باز می‌کند.

 

خانواده Not-a-virus

دومین نوع تهدیدها که جزو سه تهدید محبوبند، خانواده not-a-virus است که بیشتر در قابل آگهی‌افزارها یا دانلودرها خودشان را نشان می‌دهند. not-a-virus:AdWare.Win32.FileTour. نوعی آگهی‌افزار است که شاید به لحاظ فنی نرم‌افزاری قانونی باشد اما در بسیاری از موارد کاربر مجبور است با برنامه‌ی طرف‌سومی کار کند که همان‌ها در نهایت این آگهی‌افزارها را آلوده می‌کنند.

 

جایگاه سوم هم متعلق است به خانواده not-a-virus اما از نوع تهدید دانلودرش. این تهدید در عین حال که بی‌گناه است اما یک‌جورهایی آزاردهنده هم هست زیرا مدام در تلاش است دانلود کند. نقشه ساده است: کاربر به دنبال شویی تلویزیونی یا سایر رسانه‌ها  وبسایتی را سر می‌زند و کلی دکمه دانلود می‌بیند.

 

 

چطور ایمن بمانیم؟

  • دقت کنید ببینید وبسایت معتبر است یا نه. هیچوقت از چنین وبسایت‌هایی دیدن نکنید مگر آنکه از قانونی بودن آن‌ها مطمئن شده باشید.
  • همیشه مطمئن شوید وبسایت اصل است. این کار را (قبل از دانلود) با چک کردن فرمت یو‌آر ال و یا املای نام شرکت انجام دهید. وبسایت‌های تقلبی ممکن است خیلی شبیه نسخه‌های واقعی‌شان باشند اما همیشه یک جاهایی از آن‌ها ایراد دارد که اگر کمی دقت به خرج دهید می‌توانید تفاوت آن‌ها را با نسخه‌های اوریجینال تشخیص دهید.
  • به افزونه‌ی فایل دانلودشده توجه بسیاری کنید. اگر دارید اپیزودهای سریال‌های تلویزیونی دانلود می‌کنید یادتان باشد که نباید با پسوند .exe تمام شود.
  • حواستان به تورنت‌هایی که استفاده می‌کنید باشد و همیشه کامنت‌هایی را که در مورد فایل‌های قابل‌دانلود می‌گذارند بخوانید. اگر کامنت‌ها بی‌ربط باشند پس احتمالاً با یک بدافزار مواجه هستید.
  • روی لینک‌های مشکوک که وعده‌های رنگین می‌دهند کلیک نکنید. همیشه سعی کنید جدول زمان‌بندی خود سریال تلویزیونی را دنبال کنید.
  • از راه‌حل‌های قابل‌اطمینان برای حفاظت همه‌جانبه از طیف وسیعی از تهدیدها استفاده کنید. از جمله Kaspersky Internet Security.

  

[1] Annual Piracy Report

[2] Hollywood blockbuster

[3] Kaspersky Security Network   

منبع: کسپرسکی آنلاین

 

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ طی سند نشر شده‌ای در چند روز گذشته، کنفرانس اروپا اعلام کرد هیچ گواهی مبنی بر استفاده از نرم‌افزار کسپرسکی برای مقاصد جاسوسی -به جای دولت روسیه- وجود ندارد؛ چیزی که دولت آمریکا در سال 2017 بدان اشاره کرده بود. این سند در حقیقت پاسخ کمیسیون اروپا به مجموعه پرسش‌های ارائه داده‌شده توسط جرولف آنمانز، نماینده پارلمان اروپا از طرف بلژیک در ماه مارس سال جاری بود. این پرسش‌ها در رابطه با طرح پیشنهادی‌ای بود که پارلمان اروپا در تاریخ ژوئن 2018 بدان رأی داد. بر طبق این طرح پیشنهادی، یک استراتژی کلی و مجموعه‌ای از رهنمون‌ها برای توافق سراسر سطح اروپا در حوزه‌ی دفاع سایبری ارائه شد. در این سند به دولت‌های اروپایی هشدار داده شد تا برنامه‌ها و تجهیزاتی که مخرب بودنشان تأیید شده است (می‌توان کسپرسکی را به عنوان اولین نمونه مثال زد) از فهرست خط زده و ممنوع کنند.

 

طرح پیشنهادیِ اتحادیه اروپا در سال 2018، کسپرسکی را شرکتی نام گذاشت که مخرب بودنش تأیید شده است

اتحادیه اروپا زمانی به این طرح رأی داد که آمریکا به تازگی استفاده از نرم‌افزارهای کسپرسکی را روی سیستم‌های دولتی ممنوع کرده بود. در واقع فرض بر این گذاشته شده بود که نرم‌افزار آنتی‌ویروس کسپرسکی به این منظور ساخته شده که اسناد و مدارک حساس را از کامپیوترهای دولتی بدزد. دولت آمریکا هیچگاه از ادعاهای خود دفاع نکرد اما با فشار آوردن روی شرکت‌ها در بخش خصوصی آمریکا برای منع استفاده از نرم‌افزار این شرکت روس دقیقاً عکس این عمل را انجام داد.

وقتی Best Buy و  Office Depot محصولات کسپرسکی را از روی قفسه‌های خود برداشتند و توییتر هم این شرکت را از تبلیغ محصولاتش روی این شبکه منع کرد، رعب و وحشتی همگانی آمریکا را فراگرفت.

این ترس و موضعِ ضدِ کسپرسکی بودن از آمریکا تجاوز و حتی به اروپا هم سرایت کرد؛ تا جایی که انگلستان به آژانس‌های دولتی و شرکت‌های خصوصی هشدار داد روی هیچیک از سیستم‌هایی که کارشان ذخیره‌سازی اطلاعات حساس است نرم‌افزار کسپرسکی استفاده نکنند. دولت هلند نیز تصمیم گرفت دیگر از محصولات کسپرسکی برای شبکه‌های دولتی خود استفاده نکند.

کسپرسکی تمام اتهامات را از سر خود باز نموده و حتی «مرکز شفاف‌سازی[1]» در سوئیس باز کرد که در آن دولت‌های اروپایی می‌توانستند بیایند و کد منبعِ آن را بازرسی کنند. به نقل از کسپرسکی در این مرکز می‌تواند تمام اطلاعات کاربران اروپایی را بدون ارسال به سرورهای روسیِ خود ذخیره‌سازی کند.

 

درخواست مدرک و شاهد توسط این نماینده‌ی پارلمانی از بلژیک

آنمانز در مارس 2019 نامه‌ای به کمیسیون اروپا نوشت که در آن خواستار مدرک و سند بود. او در حقیقت می‌خواست بداند بر اساس و پایه‌ای پارلمان اروپا به طرح پیشنهادی منع کسپرسکی در ژوئن 2018 رأی داده و اینکه به چه علتی آن را جزو رده‌بندیِ "مخرب‌ها" قرار داده‌اند. همچنین در این نامه به این نکته نیز اشاره شد که ممکن است اتحادیه اروپا این اخبار را به جای منابع هوشمند و موثق از مقالات مطبوعاتی گرفته باشد.

آنمانز با ذکر مأخذ از گزارشاتی از سوی دوَل آلمان، فرانسه و بلژیک نشان داد که هیچ مدرک و سندی مبنی بر تخطیِ کسپرسکی وجود ندارد. تقریباً یک سال بعد از اینکه اتحادیه اروپا توصیه کرد دولت‌های کلی نرم‌افزار کسپرسکی را ممنوع کنند، این کمیسیون اکنون به اشتباه خود اذعان نمود.

نماینده‌ی کمیسیون اروپا در تاریخ 12 آوریل در پاسخی به آنمانز چنین نوشت: «این کمیسیون در خصوص خطرناک بودن استفاده از محصولات لابراتوار کسپرسکی هیچ سند و مدرکی در دست ندارد».

با این وجود، این نامه از سوی اتحادیه‌ اروپا نمی‌تواند جای خسرانی که در به سهم بازار متوجه کسپرسکی شد بگیرد. سهم بازار این شرکت بعد از اینکه دولت آمریکا محصولات کسپرسکی را منع کرد و پارلمان اتحادیه اروپا نیز به آن طرح پیشنهادی رأی داد به طور قابل‌ملاحظه‌ای افت کرد. اما خوبی‌اش این بود که کسپرسکی با روسفیدی رد اتهام شد.

شاید در پی نشر این اذعان‌نامه‌ی رسمی که کسپرسکی موازین اخلاقی را زیر پا نگذاشته است، این فروشنده‌ی روسیِ آنتی‌ویروس روی برخی تصمیمات خود تجدیدنظر کند از جمله اینکه از شراکت خود با شرکت Europol کناره‌ بگیرد؛ شراکتی که به دستگیریِ مجرمان سایبریِ بی‌شماری منجر شد و پروژه‌ی NoMoreRansom را در پی داشت.

یوجین کسپرسکی، مؤسس شرکت کسپرسکی در نشست تحلیل امنیت این شرکت اظهار داشت منع استفاده از محصولات کسپرسکی توسط دولت آمریکا مجرمان سایبری را خوشحال نیز کرده است.  

 

[1] Transparency Center

امنیت اطلاعات، مهم‌ترین چالش استارت‌اپ‌ها

شنبه, ۳۱ فروردين ۱۳۹۸، ۰۹:۴۷ ق.ظ | ۰ نظر

استارت‌اپ‌ها را کسانی می‌سازند که ایده‌ی نابی در سر داشته‌اند و می‌خواستند آن را هر چه سریعتر اجرایی کنند. در چنین مواردی، معمولاً سرمایه کم است و هزینه‌ها بالا (توسعه‌ی محصول، تبلیغ و بقیه ماجرا). استارت‌آپی‌های نوظهور هنگام مدیریت اولویت‌ها اغلب مسائل مربوط به امنیت اطلاعات را نادیده می‌گیرند. این مقاله به شما توضیح می‌دهد چرا چشم‌پوشی از جنبه‌ی امنیت اطلاعات می‌تواند به استارت‌آپ‌ها آسیب بزند.

 

هرقدر استارت‌آپ آسیب‌پذیرتر باشد، کار هکر آسان‌تر می‌شود

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ بسیاری از استارت‌آپ‌ها برای صرفه‌جویی در هزینه‌ها بخش امنیتی را فاکتور می‌گیرند. عقیده‌شان هم این است که چون شرکتی کوچک هستند و منابعشان نیز محدود است مجرمان سایبری رغبتی برای حمله نخواهند داشت. اما حقیقت این است که هر کسی و هر شرکتی می‌تواند خوراک خوبی برای یک جرم سایبری باشد. اول اینکه چون بسیاری از تهدیدات سایبری در مقیاس‌های بزرگ صورت می‌گیرد، عاملین این تهدیدات اهدافی بزرگ در سر دارند و سعی می‌کنند تا آنجا که بشود افراد و شرکت‌ها را قربانی کنند (به امید اینکه دست‌کم چند تای آن‌ها برایشان فایده داشته باشند). دوم اینکه استارت‌آپ‌هایی که معمولاً دیواره‌ی حفاظتیِ ضعیفی دارند طعمه‌های خوبی برای مجرمان سایبری‌اند.

درحالیکه سازمان‌ها برخی اوقت ماه‌ها وقت را صرف ریکاوریِ یک حمله‌ی سایبری می‌کنند، یک شرکت کوچک ممکن است یک ماه هم دوام نیاورد. در سال 2014، اقدامات خصومت‌آمیز مجرمان سایبری منجر به بسته شدن استارت‌آپی به نام  Code Spaces شد؛ میزبانی که برای مدیریت پروژه‌ها مشترک ابزار ارائه می‌داد. مهاجمین به منابع ابری این شرکت دسترسی پیدا کردند و بخش قابل‌توجهی از اطلاعات مشتریران را از بین بردند. صاحبان این سرویس تا آنجا که می‌شد اطلاعات ریستور کردند اما نهایتاً نتوانستند به راندمان اجرایی همیشگیِ خود بازگردند.

 

اشتباهاتی که ممکن است به قیمت از بین رفتن شرکت‌تان تمام شود

برای آنکه از استارت‌آپ خود نهایت حفاظت را بعمل آورید (با توجه به بودجه‌ی محدودی که در اختیار دارید) بهتر است پیش از راه‌اندازی استارت‌آپ، یک مدل تهدیدی بسازید تا بدانید کدام ریسک‌ها به حوزه‌ی کسب و کار شما مربوط می‌شود. در ادامه با ما همراه شوید تا کمک‌تان کنیم بتوانید از برخی اشتباهات معمول که خیلی از کارآفرینان تازه‌کار مرتکب می‌شوند جلوگیری کنید.

 

عدم اطلاعات در مورد قوانین ذخیره‌سازی و پردازش داده‌های شخصی

بسیاری از دولت‌ها سعی دارند امنیت شهروندان خود را حفظ کنند. اروپا که GDPR[1] را دارد. در آمریکا هم که قوانین به فراخور هر صنعت و ایالت تغییر می‌کنند. همه‌ی این قوانین -صرف‌نظر از اینکه آن‌ها را قبلاً خوانده‌اید یا نه- اعمال می‌شوند.

مجازات نقض چنین الزامات قانونی‌ای ممکن است در هر جایی متفاوت باشد اما به طور کلی چشم‌پوشی از هر یک از این قوانین می‌تواند حسابی شما را به دردسر بیاندازد. در بدترین حالت ممکن مجبور خواهید بود عملیات استارت‌آپ خود را در حالت تعلیق نگه دارید تا هرگونه مغایرت با قوانین مربوطه از میان برداشته شود.

یک چیز مهم‌تر: برخی‌اوقات پوشش‌دهی یک قانون می‌تواند بیش از حد انتظار شما گسترده باشد. برای مثال،  GDPR روی اطلاعات تمامی شهروندان اروپایی اعمال می‌شود حتی آن‌هایی که از روسیه یا آمریکا هستند. بنابراین، بهترین سیاست این است که هم قوانین داخلی مورد بررسی قرار داده شود و هم مقررات و ضوابط مشتریان و شرکایتان.

 

حفاظت ضعیف از منابع ابری

بسیاری از استارت‌آپ‌ها به سرویس‌های ابری عمومی مانند Amazon AWS یا Google Cloud متکی‌اند؛ اما همه‌ی آن‌ها هم برای چنین فضاهای ذخیره‌ای از تنظیمات امنیتی مناسبی استفاده نمی‌کنند. در بسیاری از موارد، کانتینرهای اطلاعات مشتری یا کدِ اپ وبی به غیر از یک مشت رمزعبور ضعیف  با چیز دیگری محافظت نمی‌شوند. بدین‌ترتیب اسناد و مدارک سازمانی خیلیراحت‌می‌توانند با لینک‌های مستقیم مورد دسترسی قرار گرفته و برای موتورهای جست‌وجو نیز عیان باشند. در نتیجه، هر کسی می‌تواند به داده‌های حیاتی دسترسی پیدا کند. برخی‌اوقات استارت‌آپ‌ها که مدام در تلاشند همه‌چیز را ساده نگه دارند، داکیومنت‌های مهم را تا همیشه برای همگان در Google Docs قابل دسترسی می‌گذارند. دلیل این کار هم فقط این است که آن‌ها یادشان می‌رود دسترسی به آن‌ها را محدود کنند.

 

عدم آمادگی در برابر حملات DDoS

DDoS روشی کارامد برای از کار انداختن یک منبع داخلی است. چنین سرویس‌هایی روی دارک‌نت[2] بسیار مقرون به صرفه هستند و بنابراین هم رقبا و هم مجرمان سایبری (از چنین سرویس‌هایی برای پوشش اقدامات پیچیده‌تر خود استفاده می‌کنند) می‌توانند این هزینه را تقبل کنند.

در سال 2016، یک سرویس رمزارز  e-wallet (کیف پول الکترونیکی) به نام Coinkite مجبور شد بسته شود زیرا مدام مورد حملات DDoS قرار می‌گرفت. به نقل از توسعه‌دهندگان از وقتی این سرویس راه‌اندازی شد یک لحظه روی آرامش را به خود ندیدند. نهایتاً بعد از کلی دست و پا زدن، این شرکت تسلیم شد و تمرکز خود را باری دیگر روی کیف‌پول‌های سخت‌افزاری گذاشت.

 

آگاهی پایین کارمندان

در هر کسب و کاری اغلب این افراد هستند که میزان آسیب‌پذیری را بالا می‌برند. مهاجمین با استفاده از ترفندهای مهندسی اجتماعی خوب می‌دانند چطور به یک شبکه‌ی سازمانی نفوذ کنند و یا اطلاعات محرمانه را از شرکت بیرون بکشند.

آگاهی پایین کارمندان می‌تواند این موضوع را برای شرکت‌هایی که نیروهایشان بیشتر دورکار هستند چالش‌برانگیز کند: دیگر نمی‌توان به سادگی روی اینکه کارمندان از کدام دستگاه‌ها و کدام شبکه‌ها برای موارد کاری استفاده می‌کنند نظارت داشت. بنابراین، خیلی مهم است که کارکنان سازمان نسبت به موارد امنیتی هشیار باشند.

 

چطور یک استارت‌آپ می‌تواند شناور باشد؟

برای اینکه از گزند خطرات و آسیب‌های مجرمان سایبری مصون بمانید و همچنان فعالیت تجاری خود را ادامه دهید، هنگام طرح‌ریزی برنامه‌های کسب و کارتان به موارد زیر توجه کنید:

بگردید ببینید کدام منابع بیشتر به محافظت نیاز دارد و در مراحل اولیه بهتر است از کدام ابزارهای امنیتی استفاده کنید. در حقیقت بسیاری از ابزارهای امنیتی چندان هم گران نیستند.
برای حفاظت از دستگاه‌های کاری و اکانت‌هایتان از رمزعبورهای قوی استفاده کنید. راه‌حل Kaspersky Small Office Security ما شامل بسته‌ی  Kaspersky Password Manager است که هم رمزعبورهایی قوی تولید می‌کند و هم آن‌ها را در کانتینرهای رمزگذاری‌شده‌ای قرار می‌دهد. احراز هویت دوعاملی را نیز فراموش نکنید.... این ترفند خیلی به امنیت اطلاعات کمک می‌کند.
قوانین ذخیره اطلاعات هر کشوری که در آن قصد فعالیت سازمانی دارید به دقت مرور کنید و مطمئن شوید ذخیره‌سازی اطلاعات شخصی‌تان و همچنین پردازش جریان کاری با این قوانین تطابق داشته باشد. در صورت امکان، در مورد چالش‌ها و ضعف‌های بازار مورد نظر با وکیلان متبحر مشورت کنید.
چشمتان را روی هرگونه سرویس امنیتی و نرم‌افزاری طرف‌سوم ببندید. سیستم محافظتی مشترکی که از آن استفاده می‌کنید تا چه حد محافظت می‌شود؟ آیا میزان شما مطمئن است؟ آیا هیچیک از این آسیب‌پذیری‌های شناخته‌شده در آرشیو منبع بازی که استفاده می‌کنید وجود دارند؟
آگاهی امنیت سایبری کارمندان خود را بالا ببرید و آن‌ها را به جست‌وجو در مورد سوژه‌های مورد نظر خود ترغیب کنید. اگر شرکت شما هیچ متخصص امنیت سایبری (در اختیار) ندارد، دست‌کم فردی را پیدا کنید که کمی علاقه داشته باشد متن‌های وبلاگ ما را دنبال کند.
حفاظت زیرساختار کامپیوترها را فراموش نکنید. ما برای شکوفا شدن شرکت‌های نوپا با بودجه‌ی محدود راه‌حلی داریم که نظارت امنیتی روی ایستگاه‌های کار و سرورها را اتوماتیزه کرده و پرداختی‌های آنلاین را ایمن‌تر خواهد نمود. بدین‌ترتیب دیگر نیازی به مهارت‌های مدیریتی هم نخواهد بود.

 

[1]مقررات عمومی حفاظت از داده اتحادیه اروپا

[2] Darknet

منبع: کسپرسکی آنلاین

هشدار آسیب‌پذیری روز صفر در ویندوز

چهارشنبه, ۲۸ فروردين ۱۳۹۸، ۰۲:۲۵ ب.ظ | ۰ نظر

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ اوایل ماه مارس فناوری‌های امنیتیِ پیشگیرانه‌ی ما اکسپلوینتی را کشف کرد. در حقیقت این اکسپلویت برای آسیب‌پذیری‌ای در ویندوزِ مایکروسافت می‌باشد. این تحلیل، نشانگرِ آسیب‌پذیریِ روز صفر در دوست قدیمی‌مان win32k.sys (که قبلاً چهار بار شاهد آسیب‌پذیری‌های مشابهی در آن بودیم) بود. ما مشکل را به توسعه‌دهنده گزارش دادیم. بدین‌ترتیب آسیب‌پذیری با یک وصله (پچ) که تاریخ 10 آوریل عرضه شد برطرف گشت.

 

با چه آسیب‌پذیری‌ای طرف حساب هستیم؟

CVE-2019-0859 یک آسیب‌پذیریِ Use-After-Free در عملکرد سیستم می‌باشد که کارش مدیریت دیالوگ باکس[1] است (به طور دقیق‌تر مدیریت انواع مختلف آن‌ها). این الگوی اکسپلویت، نسخه‌های 64 بیتیِ سیستم‌عامل را مورد هدف خود قرار می‌دهد (از ویندوز 7 گرفته تا آخرین ساخته‌های ویندوز 10).

بهره‌برداری از این آسیب‌پذیری به بدافزار اجازه می‌دهد اسکریپتِ نوشته‌شده توسط مهاجمین را دانلود و اجرا نماید که در بدترین حالت خود می‌تواند منجر به نظارت کامل مهاجم روی دستگاه پی‌سیِ آلوده شود.  بدین‌ترتیب مجرمان سایبری می‌توانند با استفاده از این آسیب‌پذیری بک‌درِ ساخته‌شده توسط Windows PowerShell را نصب کنند. اگر بخواهیم به مسئله به طور فرضی نگاه کنیم، این کار به مجرمان سایبری اجازه می‌دهد تا همچنان مخفی باقی بمانند. از این طریق، پی‌لود لود می‌شود و بعد می‌توان براحتی به کل سیستم آلوده دسترسی پیدا کرد.

 

چطور در برابر این اکسپلویت ایمن بمانیم؟

تمامی روش‌های حفاظتی زیر بارها در مقالات قبلی‌مان ذکر شده‌ است و چیز جدیدی هنوز بدان‌ها اضافه نگشته:

ابتدا، برای بستن آسیب‌پذیری از مایکروسافت، آپدیت را دریافت کنید.

مرتباً همه‌ی نرم‌افزارهای استفاده‌شده در کامپیوتر خود را به روز نمایید؛ خصوصاً سیستم‌عامل که باید به آخرین نسخه‌ی خود به روز شود.

از راه‌حل‌های امنیتی که مجهز به فناوری‌های تحلیل رفتار هستند استفاده کنید؛ آن‌ها می‌توانند حتی وقتی تهدیدها هنوز در مرحله‌ی ناشناختگی به سر می‌برند نیز مورد شناسایی قرار گیرند.

اکسپلویتِ آسیب‌پذیریِ CVE-2019-0859 ابتدا با استفاده از «موتور شناسایی رفتار[2]» و فناوری‌های «جلوگیریِ خودکار از اکسپلویت[3]» شناسایی شد که در حقیقت بخشی از راه‌حل اندپوینت سکیوریتیِ کسپرسکی برای کسب و کار[4] به حساب می‌آیند.

اگر مدیران یا تیم امنیت اطلاعات به درک عمیق‌تری از روش‌های شناسایی تهدیدهای روز صفرِ مایکروسافت نیاز دارند پیشنهاد ما روز صفرهای سه‌ماهه‌ی ویندوزی است.

 

[1]یک پنجره‌ی موقتی که اپلیکیشن برای بازیابی ورودی کاربر استفاده می‌کند.

[2] Behavioral Detection Engine

[3] Automatic Exploit Prevention

[4] Kaspersky Endpoint Security for Business

منبع: کسپرسکی آنلاین

 

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ طبق تحقیقات جدید لابراتوار کسپرسکی، مجرمان سایبری همواره در حال استفاده از اپیزودهای محبوب نمایش‌های تلویزیونی برای توزیع و نشر بدافزار به طرفدارانند. Game of Thrones [1]، The Walking Dead و Arrow از آن قِسم نمایش‌هایی هستند که مهاجمین برای فایل‌های مخرب خود به کرات استفاده می‌کنند.

نمایش‌های تلویزیونی شکل جهانیِ تفریح و سرگرمی‌اند و با رواجِ پخش‌ آنلاین و روش‌های مختلف توزیع دیجیتال، تماشاگران اکنون قادرند بدون اینکه مجبور باشند شوها را به طور آنلاین ببینند به نمایش‌های تلویزیونی دسترسی پیدا کنند. در بسیاری از جاها برنامه‌های محبوب همچنین از طریق کانال‌های غیرقانونی مانند ردیاب‌های تورنت[2] و پلت‌فرم‌های غیرقانونی پخش نیز مورد استفاده قرار می‌گیرند.

برخلاف منابع قانونی، ردیاب‌های تورنت و فایل‌های میزبان ممکن است کاربر را مجبور به دانلود فایلی کنند که شبیه به اپیزودی از یک شوی تلویزیونی است؛ اما در حقیقت بدافزاری با نامی مشابه است. محققین لابراتوار کسپرسکی وقتی دیدند چطور نمایش‌های تلویزیونیِ دانلود شده از منابع غیرقانونی می‌توانند انقدر راحت جای خود را به نسخه‌های حاملِ بدافزار دهند بررسی دقیق‌تری روی این فایل‌های دستکاری‌شده انجام دادند- فایل‌هایی که متعلق به هر دو سال 2017 و 2018 بودند. در هر دو سال، Game of Thrones سرآمدِ شوهای تلویزیونی‌ای بود که توسط مجرمان سایبری (با هدف توزیغ بدافزار) مورد هدف قرار گرفت. این شو در سال 2018 نزدیک 17 درصد کل محتوای آلوده را با 20,934 کاربرِ قربانی به خود اختصاص داد. با اینکه در سال 2018، هیچ اپیزود جدیدی از شوی Game of Thrones منتشر نشده بود، در همین سال، نمایش‌های تلویزیونی محبوب داشتند با قوی‌ترین کمپین‌های تبلیغاتی تبلیغ می‌شدند. دومین شوی محبوب که مورد هدف قرار گرفت The Walking Dead بود (18,794 کاربر مورد حمله قرار گرفتند) و بعد شوی Arrow که با 12,163 قربانی در جایگاه سوم قرار گرفت.

در هر موردِ بررسی‌شده، توزیع‌گرانِ این بدافزار تمرکز خود را روی اولین و آخرین اپیزودِ هر فصل می‌گذاشتند. برای مثال، اپیزود The Winter is Coming فصل یک بالاترین سطح حمله را داشته است.

آنتون ایوانوو، محقق امنیتی لابراتوار کسپرسکی چنین می‌گوید: «به وضوح می‌توانیم ببینیم که توزیع‌گران این بدافزار نمایش‌های تلویزیونی‌ای را مورد بهره‌برداری قرار می‌دهند که بیشترین تقاضا را در وب‌سایت‌های تقلبی (دزد دریایی) دارند؛ این شوها معمولاً سری فیلم‌های اکشن یا درام هستند. اواین و آخرین اپیزودها برای مخاطبین بیشترین کشش را دارد. کاربران باید بدانند که حین تماشای این بخش‌ها به مراتب بیشتر از زمان‌های دیگر در معرض خطر مهاجمین سایبری قرار دارند. در حقیقت مجرمان سایبری از صبر و وفاداری افراد سوءاستفاده می‌کنند و از همین رو با تضمین نام تجاری‌ای محبوب، کاربر را مجاب به دانلود می‌کنند (فایلی که یک خطر سایبری تمام‌عیار است). فراموش نکنید که آخرین فصل Game of Thrones همین ماه شروع می‌شود؛ بنابراین به شما کاربران هشدار می‌دهیم حواستان به بدافزارها باشد».

لابراتوار کسپرسکی به منظور جلوگیری از خطرات این فایل‌های مخرب که خود را در قالب دانلود شوهای تلویزیونی به شما نمایان می‌کنند، اقدامات زیر را توصیه می‌کند:

o تنها از سرویس‌های قانونی که در تولید و پخش محتوای تلویزیونی و دانلود نمایش‌ها سرشناس هستند استفاده کنید.

o حین دانلود فایل‌ها به پسوند فایل توجه کنید. حتی اگر اپیزودهای نمایش تلویزیونی را از منبعی که فکر می‌کنید معتبر و قانونی است دانلود کرده باشید باز هم دقت کنید که فایل، پسوند .avi، .mkv یا mp4 داشته باشد. اگر پسوند فایل .exe بود آن را دانلود نکنید.

o همچنین پیش از پخش یا دانلود هر شویی به قانونی بودن وبسایت توجه دوچندان کنید. مطمئن شوید که وبسایت اوریجینال باشد: پیش از هر گونه دانلود این کار را با دوباره چک کردن فرمت یوآراِل یا املای نام شرکت انجام دهید. همچنین مطمئن شوید لینک با  HTTPS:// شروع شود.

o روی لینک‌های مشکوک مانند آن‌هایی که قولِ نمایشِ پیش از موعد شوها را می‌دهند کلیک نکنید؛ جدول زمانی نمایش تلویزیونی را چک نموده و تنها از روی آن برنامه‌ها را دنبال نمایید.

o برای حفاظتی همه‌جانبه در برابر طیف وسیعی از خطرات، از راه‌حل امنیتیِ مطمئنی همچون Kaspersky Security Cloud استفاده کنید.

مرکز مدیریت راهبردی افتای ریاست جمهوری، طرح امن سازی زیرساخت‌های حیاتی را در قبال حملات سایبری تدوین و برای اجرا به تمامی دستگاه‌های اجرایی دارای زیرساخت حیاتی کشور ابلاغ کرد.
به گزارش روابط عمومی مرکز مدیریت راهبردی افتای ریاست جمهوری، هدف این طرح که از امروز به تمامی دستگاه‌های زیرساختی کشور ابلاغ شده است، ارتقاء امنیت فضای تولید و تبادل اطلاعات هر سازمان و جلوگیری از بروز اختلال در ارائه سرویس‌های حیاتی آنهاست. 
رضا جواهری رئیس مرکز مدیریت راهبردی افتای ریاست جمهوری در این باره گفت: مسئولیت امنیت سایبری در هر حوزه‌ی زیرساختی کشور با بالاترین مقام آن دستگاه است و انتظار می‌رود برای پیشگیری از وقوع حوادث احتمالی، طرح امن سازی زیرساخت‌های حیاتی در قبال حملات سایبری در هر دستگاه زیرساختی و واحدهای تابع آن با بهره‌گیری از ظرفیت بخش خصوصی دارای مجوز با قید فوریت، عملیاتی شود.
آقای جواهری افزود: با توجه به مخاطرات نوظهور درعرصه‌ی فناوری اطلاعات و ارتباطات، این طرح با بازنگری همه جانبه در نسخه ابلاغی اسفند ۱۳۹۲ با بیش از ۱۸ ماه کار مداوم، تحقیق، پژوهش، بررسی آسیب‌ها و توانمندی‌های سایبری و ارزیابی ظرفیت امنیت سایبری و صرف افزون بر ۷۲ هزار ساعت نفرکار تدوین نهایی و ابلاغ شده است.
وی تصریح کرد: نسخه جدید طرح امن سازی زیرساخت‌های حیاتی در قبال حملات سایبری شامل الزامات امنیتی اولویت دار، نقشه راه اجرا و مدل ارزیابی بلوغ امنیتی است.
رئیس مرکز مدیریت راهبردی افتای ریاست جمهوری گفت: این مرکز با دریافت بازخوردهای مختلف از زیرساخت‌های حیاتی، بخش خصوصی ارائه دهنده‌ی خدمات افتا و همچنین متخصصان فنی این حوزه، نسخه‌ی بازنگری شده این سند را تدوین کرده است تا سازمان‌ها به سوی نظم بخشی و ساماندهی فعالیت‌های تضمین  امنیت سایبری رهنمون شوند.
آقای جواهری گفت: هدف از الزامات طرح امن سازی، جهت دهی راهبردی به فعالیت‌های ملی در حوزه‌ی امنیت سایبری زیرساخت‌ها و ارائه‌ی یک نقشه راه برای توسعه‌ی همزمان امنیت سایبری در بخش‌های مختلف کشور است.
وی با اشاره به اهمیت مدیریت مخاطرات در طرح امن سازی زیرساخت‌های حیاتی در برابر حملات سایبری گفت: مدیریت مخاطرات در این طرح امن سازی، فرآیندی مستمر است که در آن تهدیدات و آسیب پذیری‌های موجود در یک سازمان شناسایی و ارزیابی می ‌شوند تا با انجام اقدامات امن سازی، مخاطرات احتمالی سایبری مدیریت شوند.
آقای جواهری ضمن مقایسه این طرح با طرح امن سازی اسفند ۱۳۹۲ گفت: در طرح جدید به مدل بلوغ امن سازی توجه خاصی شده و برای اندازه گیری پیشرفت امن سازی، سطوح چهارگانه شاخص بلوغ در نظرگرفته شده است تا سازمان‌های دارای زیرساخت حیاتی بتوانند با سنجش سطح بلوغ امنیتی حوزه‌ی خود برای ارتقاء آن تلاش کنند.
رئیس مرکز مدیریت راهبردی افتای ریاست جمهوری، اطلاعات موجود در هر دستگاه زیرساختی را جزء دارائی‌ها و سرمایه‌های ارزشمند کشور خواند و گفت: اجرای دقیق طرح امن سازی زیرساخت‌های حیاتی در قبال حملات سایبری می‌تواند امنیت لازم را برای تولید و تبادل اطلاعات به‌وجود آورد.
 

وزارت دادگستری آمریکا با انتشار گزارشی از پلیس فدرال آمریکا به علت تأخیر در اطلاع رسانی به قربانیان حملات سایبری انتقاد کرده و افزوده که جزئیات ارائه شده به آنان نیز اندک و ناکافی است.

به گزارش خبرگزاری مهر به نقل از زددی نت، گزارش یادشده با بررسی و تحلیل عملکرد یکی از برنامه‌های اف بی آی به نام Cyber Guardian تهیه شده است. این برنامه برای ذخیره سازی اطلاعات مربوط به تحقیقات و فعالیت‌های روزمره پلیس آمریکا مورد استفاده قرار می‌گیرد.

برنامه یادشده همچنین به مأموران اف بی آی امکان می‌دهد تا اطلاعات مفصلی را در مورد قربانیان حملات سایبری وارد کنند تا بعدها از این اطلاعات برای آگاه کردن این افراد از طریق ارسال پیام خودکار استفاده شود. اما نکته مهم این است که مأموران اف بی آی از این سیستم به شیوه‌ای مطلوب نیز استفاده نمی کرده اند.

بر اساس مصاحبه‌هایی که با ۳۱ مأمور اف بی آی انجام شد، مشخص شد که علیرغم ورود اطلاعات ۲۹ قربانی در برنامه یادشده هرگز پیام هشدار و اطلاع رسانی برای آنها ارسال نشده و علت این مساله اهمال و بی توجهی بوده است.

در گزارش یادشده تصریح گردیده که مواردی از درج اطلاعات غلط قربانیان نیز مشاهده شده است. این اطلاعات از غلط‌های تایپی تا اشتباه در طبقه بندی میزان اهمیت حمله سایبری رخ داده را در بر می‌گیرد. در نهایت دقت و صحت اطلاعات درج شده در این برنامه بسته به میزان حساسیت و وظیفه شناسی مأموران اف بی آی متفاوت بوده است.

اف بی آی در واکنش به گزارش مذکور، اعلام کرده برای کاهش این نوع مشکلات در حال طراحی برنامه جدیدی موسوم به CyNERGY است که جایگزین Cyber Guardian خواهد شد.