ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

  عبارت مورد جستجو
تحلیل وضعیت فناوری اطلاعات در ایران

۷۷۹ مطلب با موضوع «security» ثبت شده است

تحلیل


ارسال اسپم پیامد خوبی برای سازمان‌ها ندارد

يكشنبه, ۱۵ ارديبهشت ۱۳۹۸، ۱۰:۳۶ ق.ظ | ۰ نظر

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ چند وقت پیش شاهد سرگردانیِ شرکتی برزیلی بودیم که عاجزانه برای بررسی حادثه‌ای، تقاضای کمک داشت. مشکل این بود که مجرمان سایبری با استفاده از آدرس‌های کارمندان شروع کرده بودند به توزیع اسپم. آن‌ها (طبق عرف معمول) خود را در مقام فرستندگانی قانونی قرار نمی‌دادند؛ بلکه آن‌ها پیام‌ها را مستقیماً به سرورِ میلِ این شرکت ارسال می‌کردند. بعد از بررسی‌های جامع توانستیم به خط‌مشی اصلی و دقیق این مهاجمین دست پیدا کنیم.

 

نقشه حمله

ابتدا، کلاهبرداران اینترنتی ایمیل‌های فیشینگ به کارمندان شرکت فرستادند و به دریافت‌کنندگان گفتند میل‌باکس آن‌ها به دلایلی در شسرف مسدود شدن است. سپس آن‌ها را دعوت کردند به کلیک کردن روی لینکی به آن‌ها مجبور به آپدیت اطلاعات اکانت‌شان می‌کرد. این لینک در اصل به فیشینگی می‌رسید که تقاضایش، اطلاعات محرمانه‌ی سیستم لاگین بود.

 

 

ترجمه: کاربر گرامی، میل‌باکس شما بزودی پاک خواهد شد زیرا خیلی از پیام‌هایتان همینطور بازنشده باقی مانده‌اند. برای جلوگیری از این رخداد اینجا کلیک کنید تا اکانت‌تان آپدیت شود. برای این مشکل از شما پوزش می‌خواهیم.

ادمین سیستم

قربانی‌ها بدین‌ترتیب فرم را تکمیل کردند و باعث شدند اسکمرها به اکانت ایمیل‌شان دسترسی کامل پیدا کنند. اسکمرها شروع به ارسال اسپم از اکانت‌های دستکاری‌شده کردند. دیگر حتی نیازی نبود سرخط‌های فنی پیام‌ها عوض شوند؛ زیرا از قبل قانونی بودنشان تأیید شده بود. این اسپم در نتیجه طوری نشان می‌داد که گویی دارد از سرورهای کاملاً سرشناس و قانونی می‌آید (از این رو هیچ شکی هم برنمی‌انگیخت).

بعد از به دست گرفتن کنترل میل‌باکس‌ها، مجرمان سایبری موج بعدی ایمیل زدن‌های خود را آغاز کردند. در این مورد، کلاهبرداران «پیام نیجریه‌ای» را به زبان‌های مختلف فرستادند (گرچه در تئوری این اسپم می‌توانست هر چیز دیگری باشد؛ از آفرهای داروهای بازار سیاه تا بدافزار).

 

 

این تحلیل نشان داد که شرکت برزیلی مذکور تنها قربانیِ موجود نبوده است. همین پیام (به مقادیری زیاد) همچنین از آدرس سازمان‌های دولتی و غیرانتفاعی نیز ارسال شده بود.

پیامدهای بزرگ  

اینکه از سرورها برای ارسال آفرهای تقلبی استفاده کنیم کار خوبی به نظر نمی‌آید. اگر مهاجمین به توزیع بدافزار سوئیچ کنند این به قیمت بدنامی شرکت شما تمام خواهد شد. اما پیامدها بدتر هم می‌شود. اینکه اطلاعات محرمانه‌ی لاگین میل‌باکس کارمندان همان رمزعبور و نام کاربری دامنه باشد چندان هم اتفاق عجیبی نیست؛ بدین‌معنا که اطلاعات دزدی می‌تواند برای دسترسی به سایر خدمات نیز مورد استفاده قرار گیرد.

همچنین با پیدا کردن دسترسی به میل‌باکس کارمند یک شرکتِ نامی، مجرمان سایبری می‌توانند تلاش کنند حمله‌ای هدف‌دار را بر علیه همکاران آن شرکت، شرکای سازمانی یا مقامات رسمی دولت مهندسی کنند. چنین حملاتی خیلی سخت موفق می‌شوند. این کار، نیازمند مهارت‌های دست اولِ مهندسی اجتماعیست تا بواسطه‌ی آن قربانی مجاب شود تمامی اقدامات مورد نیاز را انجام دهد اما اگر موفق شوند پیامدهایشان به طور غیرمنتظره‌ای تکان‌دهنده خواهد بود. این نوع کلاهبرداری جزو طبقه‌بندی BEC (دستکاری ایمیل شرکت) قرار می‌گیرد و می‌تواند باعث دردسر شرکت‌های آلوده گردد. در اصل، فرستنده‌ی جعلی تلاش می‌کند به اطلاعات اکانت، اسناد و مدارک مالی و سایر اطلاعات محرمانه‌ از طریق مکاتبات دسترسی پیدا کند. پیام‌های BEC را سخت می‌توان شناسایی کرد؛ آن‌ها هم از آدرس واقعی می‌آیند، هم سرخطشان مناسب است و هم محتایشان مرتبط.

 

چطور شرکت و کارمندان را ایمن نگه داریم؟

برای محافظت از نام و اعتبار شرکت‌تان و نیز جلوگیری از اسپم‌های آلوده توصیه می‌کنیم از راه‌حل محافظتیِ قابل‌اطمینانی استفاده کنید که قادر است اقدامات فیشیگ را هم در بخش میل‌سرور و هم ایستگاه‌های کار پرسنل ردیابی کند. دیگر گفتن ندارد که آپدیت کردن پایگاه‌های اطلاعاتی آنتی‌اسپم و آنتی‌فیشینگ نیز بسیار حائز اهمیت است.

منبع: کسپرسکی آنلاین

بدافزار ShadowHammer، دشمن جان ایسوس

شنبه, ۱۴ ارديبهشت ۱۳۹۸، ۰۹:۲۰ ق.ظ | ۰ نظر

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ به لطف فناوری جدیدی که در محصولاتمان به کار برده‌ایم (که قادر است حملات زنجیره تأمین را شناسایی کند) متخصصین ما موفق به کشف بزرگ‌ترین حادثه‌ی زنجیره تأمین در کل تاریخ شده‌اند (CCleaner را یادتان است؟ از آن هم بزرگ‌تر). یک عامل تهدید Live Update Utility شرکت ایسوس را (که BIOS، UEFI و آپدیت‌های نرم‌افزاری به لپ‌تا‌پ‌ها و کامپیوترهای دسکتاپیِ ایسوس ارائه می‌دهد) دستکاری کرده، به یوتیلیتیِ آن بَک‌دُر اضافه نمودهو بعد آن را از طریق کانال‌های رسمی توزیع کرده است. این یوتیلیتی تروجان‌زده با گواهی قانونی مجوز ورودش صادر شد و بعد روی سرور رسمی ایسوس که مخصوص آپدیت‌هاست مورد میزبانی قرار گرفت. این کار باعث شد تا برای مدت زیادی این بدافزار همینطور مخفی و نامحسوس باقی بماند. مجرمین سایبری حتی مراقب بودند سایز فایل یوتیلیتیِ مخرب درست مانند نسخه‌ی اصل آن باشد.

بر اساس آماری که بدست آوریم، بیش از 57 هزار کاربرِ محصولات لابراتوار کسپرسکی این یوتیلیتیِ بک‌در را نصب کرده‌اند اما برآورد ما این است که این بدافزار به طور کلی بین 1 میلیون نفر توزیع شده است. با این حال مجرمین سایبریِ پشت این ماجرا به همه‌ی این کاربران علاقه یکسانی نشان ندادند؛ آن‌ها تنها 600 آدرس مک را مورد هدف خود قرار دادند. درست برای همین تعداد مک بود که هش‌هایی به نسخه‌های مختلف یوتیلیتی، هارکد شد. برای اینکه بدانید آدرس مک شما نیز در این فهرست قرار دارد یا نه روی اینجاکلیک کنید.

حین بررسی این حمله، به این مسئله پی بردیم که درست همین تکنیک‌ها روی سه فروشنده‌ی دیگر نیز پیاده شده است. راه‌حل‌های لابراتوار کسپرسکی اکنون آماده‌اند تا یوتیلیتی‌های تروجان‌زده را شناسایی و مسدود کنند اما همچنان توصیه می‌کنیم Live Update Utility ایسوس را آپدیت نمایید (البته اگر از آن استفاده می‌کنید).

 

شرح جزئیات

گرچه تحقیقات و بررسی‌های ما همچنان ادامه دارد اما در ادامه قرار است جزئیات بیشتری در خصوص این بدافزار خدمتتان ارائه دهیم:

مقیاس عملکرد

همینطور که قبلاً هم گفتیم ایسوس تنها شرکتی نیست که توسط مهاجمین مورد حمله قرار گرفته است. سه فروشنده‌ی دیگر هم بوده‌اند که درست تحت الگوریتم‌های مشابهی با ایسوس هدف قرار گرفتند:

Electronics Extreme: نویسندگان گیم‌ زامبی به نام Infestation: Survivor Stories.

Innovative Extremist: شرکت ارائه‌دهنده‌ی خدمات زیرساخت‌ وب و آی‌تی که همچنین در بخش توسعه گیم نیز فعالیت دارد.

Zepetto: شرکت کره جنوبی که بازی ویدیویی Point Blank را طراحی کرده است.

 

هدف نهایی

در مورد Electronics Extreme، Innovative Extremist و Zepetto، نرم‌افزار دستکاری‌شده، یک پی‌لود نسبتاً ساده به سیستم قربانی‌ها می‌دهد این نرم‌افزار دستکاری‌شده می‌توانست تمام اطلاعات مربوط به سیستم از جمله نام کاربری، ویژگی‌های کامپیوتر و نسخه‌های سیستم‌عامل را جمع کند. همچنین از آن برای دانلود پی‌لود مخرب از سرورهای C&C نیز استفاده می‌شود؛ بنابراین -برخلاف مورد ایسوس- فهرست قربانیان احتمالی تنها به فهرست آدرس‌های مک محدود نشده بود. همچنین فهرست 600 تایی آدرس‌های مک نیز تنها به همان 600 هدف محدود نمی‌شد؛ دست کم یکی از آن‌ها به آداپتور مجازی اترنت تعلق دارد و این یعنی همه کاربران آن دستگاه از یک آدرس مک استفاده می‌کرده‌اند.

چطور از این چرخه‌ی فاسد خود را بیرون بکشیم؟

رویه‌ی اصلی در تمامی موارد ذکر شده به این صورت است که مهاجمین با گواهی‌های معتبرشان، محیط‌های توسعه‌ی قربانیان خود را دستکاری می‌کنند. بنابراین، متخصصین ما به فروشندگان نرم‌افزاری توصیه می‌کند از فرآیند تولید نرم‌افزار دیگری استفاده کنند که حتی بعد از اینکه کد به صورت دیجیتالی وارد شد، نرم‌افزار را برای شناسایی بدافزار احتمالی برسی می‌کند. به منظور جلوگیری از حملاتی از این دست به شکارچیان سایبریِ متبحری نیاز دارید که البته مفتخریم که از این نوع نیروها کم نداریم. متخصصین ما با سرویس Targeted Attack Discovery به شما کمک می‌کنند تا فعالیت مجرمان سایبری و اقدامات مخرب‌شان را در شبکه‌ی خود شناسایی کرده و اهداف پس پرده‌شان را نیز برملا کنید. همچنین با استفاده از این سرویس می‌توانید منبع این حوادث را نیز پیدا کنید. علاوه بر این، Kaspersky Managed Protection را نیز به شما معرفی می‌کنیم که بیست و چهار ساعته اطلاعات تهدید سایبری را تحت نظارت دارد و پیوسته مورد تحلیل قرار می‌دهد.

منبع: کسپرسکی آنلاین

طبق قانونی جدید، به زودی تلویزیون های هوشمند و دستگاه های متصل به اینترنت اشیا در انگلیس مجهز به برچسب هایی می شوند که به مشتریان نشان می دهند دستگاه چقدر در برابر حملات سایبری ایمن هستند.

به گزارش خبرگزاری مهر به نقل از تک رادار، دولت انگلیس اعلام کرده تلویزیون‌های هوشمند و دستگاه‌های الکترونیکی دیگری که به اینترنت متصل می‌شوند باید برچسب‌هایی مخصوص داشته باشند. در این برچسب‌ها به کاربران اطلاع داده می‌شود دستگاه تا چه حد در برابر حملات سایبری ایمن است.

شرکت‌ها در مرحله اول به طور داوطلبانه و برای کمک به مشتریان این برچسب‌ها را روی محصولات شأن نصب می‌کنند تا آنها متوجه شوند کدام محصولات ایمن هستند. اما در مرحله بعد نصب برچسب‌ها الزامی خواهد بود.

این طرح بخشی از مشاوره‌های دولت انگلیس برای بهبود کلی وضعیت امنیت سایبری در این کشور است. طرح مذکور با ۳ شرط اصلی در آئین نامه‌ای برای تولید کنندگان ارائه شده است.

طبق این قانون برچسب‌ها باید به مشتریان گوشزد کنند از پسوردهای یکسان استفاده نکنند، باید به مشتریان اطلاع داده شود آپدیت های امنیتی جدید دستگاه چه زمان عرضه می‌شود و علاوه بر آن باید شرکت‌ها دپارتمانی ایجاد کنند تا کاربران بتوانند شکاف‌های امنیتی در دستگاه‌ها را گزارش کنند.

مارگوت جیمز وزیر دیجیتال انگلیس اعلام کرده تحت این برنامه خرده فروشان فقط می‌توانند محصولاتی را بفروشند که برچسب‌های مذکور را داشته باشند.

به گفته جیمز این اقدام آخرین گام در طرحی است که انگلیس را به یکی از ایمن ترین اماکن آنلاین در سراسر جهان تبدیل می‌کند.

او در این باره گفت: بسیاری از محصولات مصرفی که به اینترنت متصل می‌شوند، امنیت ندارند و درنتیجه حریم شخصی و امنیت مشتریان را به خطر می‌اندازند. آئین نامه مذکور نخستین گام به جهت ایمن کردن محصولات است.

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ دیگر بر هیچ‌کس پوشیده نیست که همه‌ی ما در فضای آنلاین تحت نظارتیم. تنها کافیست نحوه‌ی ساخت اتومبیل را گوگل کنید و یا عکس گربه‌ای را لایک نمایید و بعد خواهید دید که بزودی توسط کلی آگهی فروشگاه حیوانات خانگی و اطلاعات مربوط به خودرو (روی تقریباً هر سایتی که دیدن می‌کنید) بمباران خواهید شد. امیدوارم هنوز ماجرای رسوایی کمبریج آنالیتیکا یادتان نرفته باشد.

برای اینکه بدانیم کاربران در مورد حریم‌خصوصی آنلاین (و یا عدم آن) چه نظری دارند تقریباً از 12 هزار نفر در 21 کشور مختلف مصاحبه گرفتیم. کاشف به عمل آمد که بیش از نیمی از آن‌ها (56 درصد) فکر نمی‌کنند این امکان وجود داشته باشد که بتوانیم خودمان را تماماً در مقابل ردیابی‌های آنلاین محافظت کنیم. البته شاید هم تا حدی حق با آن‌ها باشد اما این احتمال هم وجود دارد که بتوان دسترسی طرف‌سوم به اطلاعات شخصی را تا حد زیادی محدود کرد.

در ادامه با ما همراه شوید تا توضیح دهیم چه ابزارهایی می‌توانند شما را در حفظ حریم‌خصوصی آنلاین خود کمک کنند.

 

فایل‌های موقتی مرورگر را پاک کنید

مرورگرها به طورپیش‌فرض تکه‌تکه از اینجا و آنجا اطلاعات جمع می‌کنند و آن‌ها را روی کامپیوتر شما ذخیره می‌کنند:

  • حافظه نهان (Cache) شامل تصاویر و سایر داده‌های وبی می‌شود. وقتی داده‌ها ذخیره می‌شوند دیگر نیازی ندارند باری دیگر از سرور دانلود شوند.
  • کوکی‌ها هم فایل‌های کوچکی‌اند که به وبسایت‌ها اجازه می‌دهند دستگاه‌تان را به یاد آورند و وقتی مرورگر بسته است نیز شما را از آن log out نمی‌کنند.
  • تاریخچه‌ی وب گردی

بخش زیادی از این اطلاعات کاملاً در دسترس ردیاب‌های آنلاین قرار می‌گیرد. زمانی که ردیاب‌های آنلاین بخواهند بدانند از کدام وبسایت‌ها دیدن می‌کنید و یا اینکه به چه چیزهایی علاقه دارید از این اطلاعات استفاده می‌کنند. با پاک کردن این اطلاعات هر چند وقت یکبار، ردیابیِ فعالیت آنلاینِ شما توسط ردیاب‌های آنلاین سخت‌تر می‌شود. نیازی نیست این اطلاعات موقتی را به طوردستی پاک کنید. بیشترِ مرورگرها به شما اجازه می‌دهند تا در تنظیمات انتخاب کنید چطور کوکی‌ها به طور اتوماتیک پاک شوند. اما یادتان نرود پاک کردن اطلاعات موقتی شما را از مزایایی که دارند محروم می‌کند. برای مثال اینگونه مجبور خواهید شد هر بار که به وسایتی سر می‌زنید اطلاعات خود را برای لاگین وارد کنید که برای خیلی‌ها هم حوصله‌سر بر است و هم آزاردهنده. البته اگر بسته‌ی مدیریت کلمه عبور کسپرسکی را خریداری کنید دیگر چنین مشکلی نخواهید داشت.

اگر می‌خواهید وبسایت‌ها برخی جزئیات را در مورد شما به یاد داشته باشند (مثل نام‌تان وقتی دارید فرم‌های آنلاین پر می‌کنید) می‌توانید کاری کنید تا وبسایت‌ها نتوانند از کوکی‌های طرف‌سوم استفاده کنند؛ کوکی‌های طرف‌سوم به طور خاص مأمور ردیابی‌اند.

 

از «حالت ناشناس» استفاده کنید

اگر نمی‌خواهید خودتان را در دام مراحل تنظیمات بیاندازید و یا به غیر از چند وبسایت خاص، نیازی ندارید کل تاریخچه وبگردی‌تان را از چشمان نامحرم دور نگه دارید می‌توانید از «حالت ناشناس[1]» استفاده کنید. در چنین حالتی، مرورگر دیگر اطلاعات مربوط به صفحات بازدیدشده را ذخیره نمی‌کند. از سویی دیگر تب‌های ناشناس جلوی شما را برای استفاده از تب‌های نرمال نمی‌گیرند و تاریخچه‌ی مرورگر را نیز (که از قبل ذخیره شده است) پاک نمی‌کند. شما می‌توانید با باز کردن منوی تنظیمات (سه دکمه، سه نوار یا آیکون چرخ‌دنده) و انتخاب پنجره‌ی New incognito در کروم به حالت ناشناس سوئیچ کنید. با این حال گمان نکنید حالت ناشناس همه‌ی کوکی‌ها و اطلاعات مرورگر شما را پاک می‌کند و یا شما را به طور کل از چشمان ناپاک برخی وبسایت‌ها مصون می‌دارد. این حالت حتی آدرس آی‌پی شما را مخفی نمی‌کند؛ همچنین شما با استفاده از این حالت نمی‌توانید کاری کنید که هر کسی که به شبکه اینترنتی‌تان دسترسی داشته باشد شما را نبیند.

 

مرورگر خود را عاقلانه انتخاب کنید

هر مرورگر رویکرد مخصوص به خودش را در بخش حریم‌خصوصی دارد. از معروف‌ترین این رویکردها، می‌توان به گوگل کروم اشاره کرد که همه نوع اطلاعات در مورد شما ناخنک زده و آن‌ها را جمع‌آوری می‌کند (حتی چیزهایی که وارد نوار یوآرال می‌کنید). از اینها مهم‌تر، تنظیمات پیش‌فرضش اجازه می‌دهد تا کوکی‌ها و سایر ابزارهای مربوط به پروفایل کاربر مأموریت ردیابی خود را آغاز کنند. اما همه‌ی مرورگرهای اصلی هم چنین چشم‌اندازی به حریم‌خصوصی ندارند.

 

موزیلا فایرفاکس

برای مثال، شرکت موزیلا برایش ابتدا حریم خصوصی مهم است و بعد بقیه چیزها. مرورگر فایرفاکس به طور پیش‌فرض ردیاب‌های سرشناس را در پنجره‌های ناشناس می‌بندد و اجازه می‌دهد تا این آپشن طی جلساتی مرتباً فعالسازی شود. البته این کار چندان هم باعث جلوگیری از همه‌ی راه‌های ممکنه برای جمع‌آوری اطلاعات شما نمی‌شود اما به طور قابل‌ملاحظه‌ای میزان آن را کاهش داده و البته سرعت لود شدن پیج را نیز بالا می‌برده. بعلاوه موزیلا برای دستگاه‌های موبایل، مرورگر خصوصی جداگانه‌ای را ارائه می‌دهد: Firefox Focus. این مرورگر نه تنها جریان ردیاب‌ها را می‌بندد؛ بلکه همچنین به کاربران اجازه می‌دهد تا تنها با کلیک روی دکمه Erase همه‌ی اطلاعات جمع‌آوری‌شده روی سایت‌های بازدیدشده را پاک کنند.

 

سفری

از تابستان 2018، سفری جمع‌آوری اطلاعات دیجیتال را ممنوع کرده است: اطلاعات سیستم، مرورگرها و پلاگین‌های که استفاده می‌کنند، تایم زون‌ها، رمزگذاری‌ها و غیره. این اطلاعات تا حدی منحصر به فردند که می‌توانند برای ردیابی کاربر مورد استفاده قرار گیرند؛ حتی اگر مرتباً داده‌های موقتی را نیز پاک کنید. سفری به وبسایت‌ها اطلاعات ناشناخته‌ای از سیستم نشان می‌دهد و کاری می‌کند تا دستگاه‌تان شبیه به خیلی از دستگاه‌های دیگر جلوه کند. این مرورگر همچنین از مجموعه‌ای از ابزارهای جلوگیری از نظارت توسط ویجت‌های شبکه اجتماعی و همچنین سایر ردیاب‌ها برخوردار است.

 

تور و سایر مرورگرهای خصوصی

گفته می‌شود تور یکی از امن‌ترین مرورگرها در قابل ردیاب‌های آنلاین است. در حقیقت تور یک نوع ابزسازه بر پایه‌ی روش مسیریابی پیازی[2] است که آدرس  IP شما را پنهان نموده و نمی‌گذارد وبسایت‌ها هنگام بسته شدن تشخیص دهند از کجا بازشان می‌کنید. هر درخواستی که در آن می‌کنید دست کم از سه روتر عبور می‌کند و در این حالیست که اطلاعات تا آخرین روتر، رمزگذاری‌شده باقی خواهد ماند. و حالا عیبِ بزرگِ تور- این امکان وجود ندارد که بتوانید صاحب آخرین روتر را تشخیص دهید؛ کسی که می‌تواند یک به یک جزئیات درخواست شما را ببیند. شبکه‌ی پیازی معایب دیگری هم دارد- برای مثال به طور قابل‌ملاحظه‌ای وبگردی را کُند می‌کند؛ بنابراین این مرورگر را به کاربران معمولی توصیه نمی‌کنیم. مرورگرهای دیگری هم وجود دارند که تا حدی در مقابل ردیابی‌ها انلاین راهکارهای محافظتی ارائه می‌دهند مانند  Epic Privacy Browser، SRWare Iron Browser، Brave و  Dooble. با این حال حین استفاده از آن‌ها به یاد داشته باشید که هر قدر مرورگر کمتر شناخته‌شده باشد کمتر با وبسایت‌هایی که به کرات از آن‌ها دیدن می‌کنید سازگاری دارند (و البته پلاگین‌های کمتری هم دارند).

 

از موتور جست‌وجوی خصوصی استفاده کنید

حتی اگر از مرورگری مطمئن هم استفاده کنید، موتورهای جست‌وجو همچنان می‌توانند روی فعالیت‌هایشان نظارت داشته باشند. تمام سوالاتی که در گوگل، بینگ و یا یاهو پرسیده می‌شود در آرشیوهای این شرکت‌ها ذخیره خواهد شد. اما برخی موتورهای جست‌وجوی جایگزین پرس‌وجوهای شما را وارد نمی‌کنند. از همه معروف‌ترشان DuckDuckGo است که درخواست‌ها یا داده‌های دستگاه را ذخیره نمی‌کند. همچنین اطلاعات شما را برای آگهی دادن به شبکه‌ها انتقال نمی‌دهد. DuckDuckGo علاوه بر حفظ شاخص خود، نتایج جست‌وجو را -بدون اینکه اطلاع دهد چه کسی چه چیزی را سرچ کرده- از بیش از صد سیستم ارائه می‌دهد. موتور جست‌وجوی  StartPage از نتایج گوگل استفاده می‌کند. هنگامی که عبارتی را در Startpage جستجو می‌کنید، این موتور جستجو، نتایج حاصل از جستجوی عبارت در Google را به شما بر می‌گرداند؛ در نتیجه با استفاده از Startpage، مورد ردیابی قرار نمی‌گیرید. همچنین موتورهای جست‌وجوی خصوصی هم مانند Swisscows و Gibiru وجود دارند که تنها از الگوریتم‌های خود استفاده می‌کنند.

 

ردیاب‌های وبی را ببندید

راه دیگر برای جلوگیری از ردیابی‌های آنلاین، کمک گرفتن از افزونه‌ها و برنامه‌های خاص است. برای مثالاد بلاکرِ AdBlock Plus که همچنین جلوی ردیابی فعالیت‌های شما توسط شبکه‌های اجتماعی را نیز می‌گیرد (البته این ویژگی را باید در تنظیمات، فعالسازی کنید). همچنین فهرست ردیاب‌هایی که به طور پیش‌فرض بلاک شده‌اند نیز بسط داده خواهد شد. افزونه‌های Disconnect، uBlock origin، Ghostery و uMatrix به تنظیمات ویژه‌ای نیاز ندارند؛ آن‌ها ردیاب‌ها را فوراً بلاک کرده و نظارت را بر شبکه‌های اجتماعی می‌بندند. توسعه‌دهندگان DuckDuckGo نیز افزونه‌ی ضد ردیاب مخصوص خود را ساخته‌اند. آن‌ها همچنین مرورگر خصوصی مخصوص به خود را برای دستگاه‌های موبایل اندروید و آی‌اواس ارائه می‌دهند. کاربران فایرفاکس می‌توانند افزونه‌ی  Facebook Container را نصب کنند که توانایی فیسبوک را در جمع‌آوری داده‌های شما روی سایت‌ها کم می‌کند. این شبکه‌ی اجتماعی همچنان قادر خواهد بود پست‌ها و لایک‌هایتان را ردیابی کند اما دیگر همه‌جا مثل سایه دنبال شما نخواهد بود. توجه داشته باشید که پلاگین تنها برای فایرفاکس وجود دارد. محصولات ما نیز از حفاظت ضد ردیابِ قدرتمندی برخوردار است. اگر از هر یک از بسته‌های اینترنت سکیوریتی[3]، توتال سکیوریتی[4]یا کلود سکیوریتیِ کسپرسکی[5] استفاده می‌کنید می‌توانید Private Browsing را برای مقاومت در برابر وبسایت‌های سمج و کنجکاو به کار ببرید.

 

با وی‌پی‌ان جلوی جاسوس‌ها را بگیرید

راه دیگر برای جلوگیری از ردیاب‌های مزاحم استفاده از وی‌پی‌ان است. سرور وی‌پی‌ان آدرس‌های آی‌پی خود را جایگزین سرورهای دیگر کرده و با هر کانکشنی تغییر می‌کند. بدین‌ترتیب لوکیشن‌تان مورد ردیابی قرار نخواهد گرفت. علاوه بر این، وی‌پی‌ان‌ها داده‌ها را رمزگذاری کرده و نمی‌گذارند ISP شما روی فعالیت‌های آنلاین‌تان نظارت داشته باشد. با این حال این را در نظر داشته باشید که وی‌پی‌ان حفاظت کامل را ارائه نمی‌دهد؛ بنابراین ممکن است همچنان در معرض مزاحمت‌های شبکه‌های اجتماعی، موتورهای جست‌وجو و ردیاب‌های آنلاین قرار گیرید. پس در کنار وی‌پی‌ان باید ابزارهای محافظتی دیگری نیز استفاده شود.

 

باشد که همیشه حریم‌خصوصی‌تان در فضای آنلاین حفظ شود

بیایید کمی خوشبین باشیم؛ هنوز هم می‌شود با بکارگیری جوانب احتیاط حریم خصوصی خود را در فضای آنلاین حفظ کنیم.

 

[1]  incognito mode

[2] onion routers

[3] Kaspersky Internet Security

[4] Kaspersky Total Security

[5] Kaspersky Security Cloud

منبع: کسپرسکی آنلاین

ادعای نفوذ در درگاه‌ خدمات الکترونیکی چند استان

سه شنبه, ۱۰ ارديبهشت ۱۳۹۸، ۰۱:۴۷ ب.ظ | ۰ نظر

پیگیری و بررسی اولیه ادعای نفوذ در درگاه‌ خدمات الکترونیک چند استان نشان می‌دهد که احتمالا برای ایجاد این درگاه‌ها از ساختار یا افزونه مشترکی استفاده شده که به روز رسانی امنیتی نشده است.

به گزارش فارس،‌ در هفته‌های گذشته موضوعات نفوذ و کشف آسیب پذیری در فضای مجازی در ایران داغ شده است؛ اخیرا تپ‌سی با موردی از نشت اطلاعات رانندگان مواجه شد و سپس دسترسی غیرمجاز به بخشی از اطلاعات کافه‌بازار روی داد.

امروز نیز در گزارش جدیدی از وقوع نفوذ در درگاه‌های خدمات الکترونیک استانی خبر رسیده است؛ در این ادعا که تنها توسط یک منبع مطرح شده به نفوذ به درگاه خدمات الکترونیک چند استان اشاره شده است. اما
هنوز بررسی دقیق و قابل اعتمادی روی این موضوع انجام نشده که درباره صحت و سقم این ادعا بتوان با قاطعیت اظهارنظر کرد.

نتیجه پیگیری اولیه خبرنگار فارس از کارشناسان امنیت شبکه نیز فعلا به این جا ختم شده که احتمال می‌رود برای ایجاد این درگاه‌ها از یک ساختار یا افزونه مشترک استفاده شده است و با این فرض اینکه بررسی‌های امنیتی مورد نیاز روی درگاه‌ها انجام شده پس احتمالا این ساختارها یا افزونه ها به روز رسانی امنیتی نشده اند.

از نظر استانداردهای امنیت اطلاعات، استفاده از ساختارها و معماری‌های مشترک تنها زمانی مجاز است که به روزرسانی امنیتی و رفع نقایص انجام شود.

میزان نفوذ هکرها به کافه بازار در دست بررسی

يكشنبه, ۸ ارديبهشت ۱۳۹۸، ۰۲:۰۵ ب.ظ | ۰ نظر

علیرغم تایید وقوع دسترسی غیرمجاز به یکی از زیرسیستم‌های وب‌سایت کافه‌بازار، افشاکنندگان موضوع وعده داده‌اند ادعای این شرکت درباره دسترسی غیرمجاز در زیرسیستم، میزان لو رفتن اطلاعات و رفع آسیب پذیری را بررسی و منتشر کنند.

به گزارش  فارس، انتشار خبر دسترسی غیرمجاز به سورس و دیتابیس کاربران کافه بازار توسط گروهی از هکرها که بخش‌هایی از آن در اینترنت منتشر شد، با توجه به جامعه ۴۰ میلیون کاربری این برنامه، بازتاب نسبتا گسترده‌ای داشت.

برخی با انتشار سورس‌کدهایی در مقام افشای اطلاعات برآمدند و منتظر پاسخ‌گویی کافه بازار یا مسئولان مربوطه ماندند.

 

*کافه بازار در نخستین بررسی نشت اطلاعات را تایید نکرد

کافه بازار پس از چند ساعت با صدور اطلاعیه‌ای به این موضوع واکنش نشان داد؛ اما وقوع دسترسی غیرمجاز را تایید نکرد.

این شرکت اعلام کرد: «روز شنبه ۷ اردیبهشت گزارش‌هایی در خصوص وجود یک مشکل امنیتی در بازار در شبکه‌های اجتماعی منتشر شده است که همچون هشدارهای امنیتی مشابه در گذشته، تیم فنی بازار در حال بررسی همه‌جانبه‌ موضوع است. تاکنون شواهدی در زمینه نشت اطلاعات حساب‌های کاربری به دست نیامده است. چنان‌چه در ادامه‌ بررسی‌ها نتایج تازه‌ای به دست آید، به طور شفاف به اطلاع کاربران خواهد رسید.

علاوه بر اقدام‌های پیوسته‌ای که در راستای حفظ امنیت سیستم‌ها صورت می‌گیرد، استفاده از دانش کارشناسان امنیتی که به صورت مسئولانه و قانونی، موارد امنیتی را متذکر می شوند از سالها پیش در اولویت کافه‌بازار بوده است. تخصیص صفحه افشای مسئولانه و طرح اعطای پاداش در ازای کشف باگ‌های امنیتی (Bug Bounty Program) نیز با همین هدف انجام شده است و کافه‌بازار همواره از دریافت گزارش‌های مسئولانه‌ی امنیتی استقبال می‌کند. چرا که امنیت در دنیای دیجیتال مطلق نیست و همه شرکت‌های نرم‌افزاری، اعم از کوچک و بزرگ، ممکن است در معرض آسیب‌پذیری‌هایی در این حوزه باشند و کافه‌بازار نیز خود را از این قاعده مستثنی نمی‌داند.»

 

*تایید دسترسی غیرمجاز به برخی اطلاعات کافه‌بازار

با تایید نشدن این موضوع از سوی کافه بازار، ماجرا ادامه یافت و مدعیان افشای اطلاعات بخشی از سورس‌کدهای اصلی را برای بررسی کارشناسان منتشر کردند.

کافه بازار در دومین اطلاعیه خود بخشی از دسترسی غیرمجاز به اطلاعات را پذیرفت.

در این اطلاعیه اعلام شد: «طبق بررسی‌های تیم فنی کافه‌بازار مشخص شده است که  سورس‌کد یکی از زیرسیستم‌های وب‌سایت کافه‌بازار به دست افرادی خارج از مجموعه رسیده است؛‌ در عین حال، همچنان هیچ گونه شواهدی در زمینه نشت اطلاعات حساب‌های کاربری به دست نیامده است. تیم فنی این مسئله را از ساعات ابتدایی روز شنبه با جدیت پیگیری کرد و اشکال امنیتی را شناسایی و برطرف کرد.

در عین حال، برای اطمینان خاطر کاربران، ضروری است کافه‌بازار بر نکات زیر تاکید کند:

- این دسترسی تنها به بخشی از زیرسیستم وب‌سایت کافه‌بازار صورت گرفته که تاثیری در امنیت اپلیکیشن بازار و تلفن همراه کاربران ندارد.

- رمز عبور کاربران بازار یا یک‌بارمصرف (OTP) بوده و امکان ورود شخص ثالث به حساب‌های کاربری وجود ندارد، یا به صورت salted، با شیوه‌ی ایمن SHA256، رمزگذاری شده و قابل بازیابی نیست.»

 

*بررسی ادعای کافه‌بازار به زودی

علیرغم پذیرش بخش زیادی از موضوع دسترسی غیرمجاز توسط کافه بازار اما گویا این ماجرا هنوز تمام نشده است؛ افرادی که طرح موضوع کرده‌اند وعده داده‌اند ادعای کافه بازار مبنی بر دسترسی غیرمجاز در زیر سیستم، میزان لو رفتن اطلاعات و رفع آسیب پذیری را بررسی و منتشر کنند.

 

کافه بازار: هکرها نتوانستند وارد سرور شوند

یک مدیر کافه‌بازار با تشریح جزئیات آسیب‌پذیری امنیتی اخیر و اقدامات فنی مقابله با آن، اطمینان داد که این موضوع پایان یافته و نگرانی دیگری دراین باره وجود ندارد.

به گزارش فارس، تایید خبر دسترسی غیرمجاز به سورس‌کد یکی از زیرسیستم‌های وب‌سایت کافه بازار درست چند روز پس از نفوذ به بخشی از اطلاعات تاکسی اینترنتی تپ‌سی، بازتاب گسترده‌ای داشت.

اگرچه کافه بازار درباره ابعاد آسیب‌پذیری امنیتی کشف شده شفا‌ف‌سازی کرده اما برخی متخصصان علاقمند نیز وعده داده‌اند که ادعای کافه بازار را راستی آزمایی کنند. خبرنگار فارس درباره مسیر آسیب‌پذیری، میزان آسیب و مقابله با علی وحدانی مدیر محصول کافه‌بازار گفت‌وگو کرده‌ است.

*سورس‌کد یکی از زیرسیستم‌های وب‌سایت کافه‌بازار از مجموعه خارج شد

وحدانی در گفت‌وگو با خبرنگار فناوری اطلاعات خبرگزاری فارس در پاسخ به این سوال که کافه بازار وقوع دسترسی غیرمجاز به  سورس‌کد یکی از زیرسیستم‌های وب‌سایت را تایید و نشست اطلاعات از این سایت را رد کرده، چه توضیحی برای اینکه اطلاعات نشت نکرده وجود دارد؟ اظهارداشت: در اطلاعیه رسمی به صراحت نوشتیم که بخش‌هایی از سورس کد دست یکسری افراد افتاده و این را تأیید کرده‌ایم؛ اما افرادی بودند که ادعا می‌کردند نفوذ کرده و به اطلاعات کاربران دسترسی پیدا کرده‌اند؛ برای بررسی این ادعا مسیری که از طریق آن توانسته بودند به سورس کد دسترسی پیدا کنند را پیدا کردیم و بستیم؛ سپس بررسی کردیم که آیا از این طریق توانسته‌اند نفوذ دیگری انجام دهند یا خیر که در نتیجه بررسی مطمئن شدیم تمام ادعاهای دیگر کاملاً غلط است و آنها اگر یک رکورد دیتا داشتند تاکنون منتشر کرده بودند و مطمئن شدیم که دیتایی نداشته‌اند.

وی توضیح داد:‌ تمام ردپاهای آنها را جست‌وجو کردیم و مشخص شد آنچه به دست آورده‌اند دیتای کاربران نبوده؛ بلکه از روی وب‌سرور توانسته بودند یک آسیب‌پذیری پیدا کرده و سورس کد را دانلود کنند؛ آنها وارد سرور نشدند که بتوانند به دیتایی دسترسی داشته باشند؛ از این‌رو در بیانیه به صراحت اعلام کردیم که توانسته‌اند به سورس کدی دسترسی پیدا کنند اما هیچ دسترسی دیگری نداشتند و همه راه‌ها را بسته‌ و چک کرده‌ایم که مطمئن شویم هیچ دیتایی نشت نکرده است.

*چه بخشی از اخبار و مستندات نفوذ به دیتابیس اطلاعات کاربران صحت دارد؟

وحدانی در پاسخ به این سؤال که اخبار متعددی از ابعاد این آسیب‌پذیری امنیتی منتشر شده است، کدام یک از این اخبار صحت دارد؟ گفت: معتقد بودیم اگر آسیب‌پذیری وجود دارد به آن حساس هستیم، باید جلوی آن را بگیریم و درباره اینکه چه خطری وجود دارد اطلاع‌رسانی کنیم؛ اما مسئله این بود که آنها می‌خواستند از حداقل چیزی که به دست آورده‌اند خبرسازی کنند و اخبار جعلی تا جایی پیش رفت که در رسانه‌های غیررسمی و حتی کانال‌های برانداز از ردپاهایی غیرواقعی در سورس‌کدهای کافه بازار صحبت کردند. رسانه‌های بی‌نام و نشان که امروز زیاد شده‌اند علاقه دارند سروصدا به راه بیندازند و با برداشت شخصی خود، ولو دروغ خبر جنجالی بزنند؛ در این مسیر از رسانه‌ها انتظار داریم با انتشار اخبار صحیح ما را کمک کنند.

مدیر محصول کافه‌بازار ادامه داد: نفوذگران توانستند به سورس‌کد وب سایت دسترسی داشته باشند و به سورس کد اپلیکیشن و سرورها دسترسی نداشته‌اند؛ تنها یک عدد از سرور‌های غیراصلی وب سایت مورد دسترسی قرار گرفته که سورس کد وب سایت را نگه می‌دارد و حتی نتوانستند سورس کد سیستم‌های اصلی را بدزدند. بخش زیادی از سرورهای ما در حال سرویس‌دهی به ۴۰ میلیون کاربر کافه بازار هستند که به آنها دسترسی نیافته‌اند.

وی ادامه داد: این سورس کد چیزی نیست غیر از سایت کافه‌بازار که با وارد کردن آدرس سایت یک سری اپلیکیشن نمایش داده می‌شود. تمام آنچه که به عنوان مصداق نفوذ گذاشته شده بود کد و تنظیمات این سایت بود و هیچ چیزی دیگری نبود که دیتای کاربر یا دیتای اپلیکیشن باشد. با دنبال کردن رد پای جایی که توانسته سورس کد را از آنجا بگیرد، لاگ تمام فایل‌هایی که موفق شده بود دانلود کند را از سرور نگاه کردیم و اکنون دقیقاً می‌دانیم که چه چیزی به دست آورده و چه چیزی به دست نیاورده است؛ دیتایی که به دست آورده را تحلیل و تمام ادعاهای مطرح شده در توئیت‌ها و مطالب کانال‌ها را مانیتور کرده‌ایم و با قطعیت می‌گوییم که صحت نداشته اند. برای مثال یکی ادعا کرده بود که دیتا بیس از کافه بازار دارد و نمونه ارائه کرده بود که فایل ارایه شده خنده‌‌دار بود؛ همان سورس کدها را داخل یک فایل ریخته بود و گفته بود دیتابیس است. اصلاً چنین چیزی نبوده و هیچ دیتایی ندارند که بخواهند منتشر کنند که اگر یک رکورد داشتند منتشر می‌کردند.

*چرا جایزه کشف باگ‌های امنیتی به کار نیامد؟

وحدانی در واکنش به اینکه طبق اعلام کافه‌بازار، طرح اعطای پاداش در ازای کشف باگ‌های امنیتی (Bug Bounty Program) را دارد که این رویه در بسیاری از شرکت‌های بزرگ که به خود اطمینان دارند دیده می‌شود، اما این امکان کافه‌بازار برای نفوذگران جذاب نبود که کارآمد واقع شود، چرا؟ گفت: اگرچه تمام تلاش‌مان را می‌کنیم اما می‌دانیم مسیرهایی ممکن است باز باشد؛ تمام شرکت‌ها برای شناسایی باگ  و راه نفوذ مشوق می‌گذارند و هکرهایی در این شغل وجود دارند که باگ‌ها را به آنها گزارش می‌کنند؛ ما نیز این کار را کرده‌ایم و به هکری که ادعا کرده بود اعلام کردیم که جایزه گزارش باگ داریم، گزارش کن و جایزه بگیر. اولین برای که خبر منتشر شد در اطلاعیه اول به این موضوع اشاره کردیم که اگر آنها تاکنون نمی‌دانستند که چنین امکانی داریم مطلع شوند؛ اما مسئله آنها تنها ضربه‌ زدن بود. اگر قصد گزارش و جایزه گرفتن داشتند موافق بودیم. 

مدیر محصول کافه‌بازار اضافه کرد:‌ فارغ از مسئولیتم در کافه بازار حتی از شرکت‌های بزرگ در اندازه جهانی نیز انتظار نفوذ و حتی نشت اطلاعات می‌رود؛ در این زمینه نه تنها از استاندارد جهانی خیلی دور نیستیم بلکه شرایط خوبی در ایران داریم؛ در ایران اطلاعات ۲۰ میلیون مشترک یکی از اپراتورهای تلفن همراه نشت کرد چه اتفاقی افتاد؟ در نتیجه اصلا خود را با شرایط داخل مقایسه نمی‌کنیم اما در استاندارد جهانی نیز اتفاق اخیر یک حمله در حد نفوذ به سورس‌کد یکی از زیرسیستم‌ها بود که با سورس کد استخراجی نمی‌توانستند کاری کنند.

وی تاکید کرد: جزئیات فنی آسیب‌پذیری را در بلاگ فنی توضیح می‌دهیم و تلاش می‌کنیم در اختیار سایر شرکت‌ها بگذاریم تا در موارد مشابه تجربه داشته باشند.

* نگرانی از انتشار اخبار جدید از نفوذ در روزهای آینده وجود دارد؟

وحدانی در پاسخ به این سوال که علیرغم شفاف‌سازی کافه بازار درباره آسیب‌پذیری امنیتی، برخی برای راستی آزمایی ادعای کافه بازار و روشن شدن ابهامات درباره میزان نفوذ و رفع آسیب اعلام آمادگی کرده‌اند، نگرانی بابت اینکه در روزهای آینده اخبار جدیدی از این نفوذ منتشر شود وجود ندارد؟ گفت: تنها نگرانی از خروج این سورس کد که می‌توانست وجود داشته باشد و روی آن تمرکز کردیم این احتمال بود که آنها از طریق این سورس کد بتوانند دیتایی پیدا کنند و سپس از طریق آن بتوانند به سرورهای دیگر حمله کنند تا دیتای کاربران را بدزدند که در همان زمان دو کار را برای مقابله انجام دادیم؛ نخست اینکه تمام مسیرهای احتمالی نفوذ را بررسی کردیم و ردپاهایی که حدس زدیم شاید با این دیتا، دیتایی دیگری را بدست آورند را گشتیم؛ دوم اینکه تمام کلیدها و پسوردهای لازم و تنظیمات را از ابتدا انجام دادیم انگار که این تنظیمات لو رفته تا مطمئن شویم خطر امنیتی جدیدی ما را تهدید نمی‌کند.

وی تأکید کرد: بنابراین تنها کارکرد این سورس‌کد این احتمال بود که از این دیتا قصد حمله دیگری را داشته که جلوی آن را گرفته‌ایم. 

*افشاکنندگان جدی نبودند بیانیه دوم که تاییدگر نفوذ بود ارایه می‌شد؟

وی در پاسخ به سؤال فارس که بیانیه اول کافه‌بازار خیلی زود منتشر شد که البته حاوی اطلاعات مهمی نبود و در واقع گزارش آسیب را رد کرده بود، برخی تصور می‌کنند اگر ادعا با جدیت مطرح نمی‌شد شاید کافه‌بازار بیانیه دیگری ارایه نمی‌داد که بخواهد در آن آسیب‌پذیری را بپذیرد، پس از اطلاع از موضوع روند پیگیری توسط تیم امنیتی مجموعه که منجر به صدور بیانیه‌ها می‌شد، چه بود؟ گفت: همواره شبکه‌های اجتماعی را مانیتور می‌کنیم که به محض انتشار خبر در شبکه‌های اجتماعی بررسی موضوع شروع شد و چند ساعت بعد بیانیه اول منتشر شد؛ پس از انتشار بیانیه اول بررسی را ادامه دادیم و متوجه شدیم قضیه چه بوده و سورس‌کد از کجا به دست‌شان رسیده و مقداری طول کشید که بفهمیم آیا با سورس‌کدی که به دست‌ دارند کار دیگری می‌توانند انجام دهند. سپس بیانیه دوم را ارایه دادیم که مجموع اقدامات در حدود 18 ساعت طول کشید.

وحدانی اضافه کرد: در بیانیه اول هنوز با قطعیت نمی‌دانستیم که چه اتفاقی افتاده است؛ فقط اعلام کردیم که متوجه موضوع هستیم و موضوع در حال بررسی است و در آخر بیانیه اعلام کرده بودیم که اگر کسی دیتایی دارد و به دنبال جایزه است پول را پرداخت می‌کنیم و آسیب‌پذیری را اعلام کند؛ البته کار به اینجا نکشید و مشاور امنیتی گرفتیم و همکاران امنیتی مجموعه تحلیل کردند و متوجه شدیم. وقتی شخصی عکس از سورس‌کد می‌گذارد حتی ممکن است این عکس از صفحه برنامه‌نویسی در حال انجام گرفته باشد. در بیانیه اول مسائل از صفر (بهترین حالت) تا 100 (بدترین حالت) پیش رویمان بود؛ از اینکه فقط یک عکس است یا اینکه همه چیز لو رفته است؛ در نهایت تصور می‌کنم روال معقولی را طی کرده‌ایم. 

*چه نظارت بالادستی بر امنیت اطلاعات کاربران در کسب‌وکارها است؟

مدیر محصول کافه‌بازار در پاسخ به سؤال دیگر فارس درباره اینکه با رشد کسب‌وکارهایی که با اطلاعات کاربران سروکار دارند جذابیت این تجارت‌ها برای هکرها بیشتر شده، آیا از سوی حاکمیت دستورالعمل یا گواهی امنیتی برای مشخص کردن چارچوب و الزامات ملاحظات امنیتی در این شرکت‌ها وجود دارد؟ گفت: شرکت خصوصی به دلیل ذات تجارت و درآمد به هر آنچه که به کسب‌وکار لطمه وارد کند حساس‌ است، حتی حسا‌س‌تر از بخشی غیر خصوصی که ملاحظات امنیتی‌ بیشتری را پشت سر گذاشته‌اند. همچنان که در چند روز گذشته در نتیجه نفوذ به سایتی دولتی حداقل تا ۲۴ ساعت پس از انتشار خبر اطلاعات همه کاربران قابل دسترس بود.

وی در واکنش به اینکه شرکت‌های بزرگ شاید بتوانند از خود مطمئن باشند اما با رشد بازار کسب‌وکارهای سرویس‌ و کاربر محور، هر روز برنامه‌های جدیدی برای ارایه خدمات به مردم ارایه می‌شوند که در نتیجه نگه‌داشت اطلاعات کاربران در مجموعه‌های جدا بیشتر می‌شود، در این صورت تضمین امنیت اطلاعات کاربران در شرکت‌های کوچک‌تر یا در حال رشد که برای رفع تمامی نیازهای خود به بلوغ نرسیده‌اند چیست؟ گفت: البته شرکت‌های کوچکتر اطلاعات کمتری دارند و به همین میزان درصد ریسک در آنها در مقایسه با شرکت‌‌هایی با چند میلیون کاربر کمتر است؛ مرکز ماهر (در زیرمجموعه وزارت ارتباطات و فناوری اطلاعات) در برخی موضوعات مانند اپلیکیشن‌ها دستورالعمل‌های ابلاغ کرده که عمل کرده‌ایم اما در حالت کلی اگر دستورالعمل یا گواهی امنیتی برای این موضوع وجود دارد بحث حقوقی است و اطلاع ندارم. 

 

*به کمک مرکز ماهر نیاز پیدا نکردیم

وحدانی در پاسخ به این سوال که آیا در این رخداد به کمک مرکز ماهر نیاز پیدا کردید، گفت:‌ در این مورد و در موقع بحران نیاز به کمک نبود اما در حال مذاکراتی هستیم که بتوانیم از مشاوران امنیتی آنها کمک بگیریم.

مدیر محصول کافه‌بازار خاطر نشان کرد: البته در حال حاضر با برخی مراکز امنیتی زیرمجموعه ماهر از جمله مرکز آپا شریف همکاری داریم و با مرکز آپای امیرکبیر نیز به زودی همکاری خواهیم داشت.

کد منبع Carbanak لو رفت: گام بعدی چیست؟

يكشنبه, ۸ ارديبهشت ۱۳۹۸، ۰۹:۱۸ ق.ظ | ۰ نظر

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ این روزها، اخبار مربوط به Carbanak شده تیتر خبرهای داغ حوزه‌های امنیت سایبری. محققین امنیتی موفق شدند منبع کد این بدافزار بدنام را روی پورتالِ باز VirusTotal پیدا کنند. Carbanak در حقیقت موفق‌ترین تهدید امنیتی مالی تا به امروز بوده است، کرمِ مخربی که خسارات مالی‌اش بیش از 1 میلیارد دلار تخمین زده شده است.

 

نگاهی به تاریخ  Carbanak

متخصصین ما ابتدا در سال 2014 Carbanak را کشف نموده و آن را تحلیل کردند. ابتدا متوجه شدند وجوه نقدی از دستگاه‌های خودپرداز دزدیده می‌شوند اما بعداً پی بردند این حوادث تصادفی نبوده و به هم ربط دارند: کمپینِ بزرگ بین‌المللی با هدف سرقت مقایر زیادی پول از بانک‌های سراسر دنیا.

متخصصین ما داشتند تنها موارد اروپای شرقی را مورد بررسی قرار می‌دادند اما زمان زیادی طول نکشید که سر و کله‌ی قربانیان بیشتری پیدا شد- در آمریکا، آلمان و چین. درست مانند سایر حملات، این کمپین هم کارش را با فیشینگ شروع کرد. آن روزها خود را در قالب ایمیلی جا می‌زد که البته به طور پنهانی در خود پیوست‌هایی آلوده داشت که این پیوست‌ها بر اساس بدافزار Carberp بَک‌در نصب می‌کردند. بدین‌ترتیب مجرمان سایبری می‌توانستند به کل شبکه‌‌ی سازمان مورد نظر دسترسی پیدا کنند (در این مورد منظورمان شبکه‌های بانکی است). آن‌ها با دستکاری کردن کامپیوتر بانک‌ها می‌توانستند پول به جیب بزنند. البته مجرمین برای پول به جیب زدن راه‌های مختلفی بلدند. در برخی موارد آن‌ها از راه دور به دستگاه‌های خودپرداز فرمان می‌دادند تا به آن‌ها پول دهد. در برخی موارد دیگر نیز برای انتقال مستقیم پول به اکانت‌هایشان از شبکه‌ی SWIFT استفاده می‌کردند. این متودها در سال 2014 چندان هم به طورگسترده‌ای بکار گرفته نمی‌شدند؛ بنابراین مقیاس و فناوری‌هایی که  Carbanak به کار برد هم صنعت بانکداری و هم حوزه امنیت سایبری را شدیداً تحت‌الشعاع قرار داد.

 

آینده چه در چنته دارد؟

از زمانی که Carbanak کشف شد، متخصصین ما شاهد چنیدن حملاتی بوده‌اند (برای مثال Silence) که همه‌شان هم تاکتیک‌های مشابهی داشتند. سر نخ‌هایی که ازشان پیدا شد نیز نشان از همان گروه جرایم سایبری داشته است. این حملات هنوز هم فعالند اما از وقتی کد منبع Carbanak همگانی شده است دیگر این اقدامات نیز تعداد دفعات بیشتری رخ می‌دهند؛ به حدی که حتی مهاجمینی که مهارت کدگذاری هم ندارند می‌توانند چنین بدافزار پیچیده‌ای را برای خود بسازند. محقق لابراتوار کسپرسکی سرجری گولووانو که از همان اول پیگیری این مورد خاص را بر عهده داشت در این خصوص چنین می‌گوید:

«اینکه کد منبع بدافزار بدنام Carbanak روی وبسایت منبع باز موجود است نشانه‌ی خوبی نیست. به طور حتم بدافزار Carbanak خود ابتدا بر پایه‌ی کد منبع بدافزار  Carberp (بعد از اینکه به صورت آنلاین منتشر شد) ساخته شده بود. همه‌ی دلایل و شواهد ما را بر این باور مصمم می‌کند که این سناریو دوباره خودش را تکرار خواهد کرد و اینکه در آینده شاهد تغییرات خطرناکی در ساختار Carbanak خواهیم بود. خبر خوب اینکه از وقتی کد منبع Carberp لو رفته است، صنعت امنیت سایبری به طور چشمگیری پیشرفت کرده و اکنون می‌تواند براحتی کد دستکاری‌شده را شناسایی کند. ما از شرکت‌ها و افراد خواستاریم تا با داشتن راه‌حل امنیتیِ قوی‌ خود را در برابر تهدیدهای آتی محافظت کنند».

 

چطور ایمن بمانیم

توصیه‌ی ما به شما برای مصون ماندن از تهدیدهایی همچون Carbanak:

فیدهای هوش تهدیدی را در فناوری مدیریت امنیت اطلاعات و وقایع (SIEM) و نیز سایر هدایتگرهای امنیتی یکپارچه‌سازی کنید تا بتوانید به اطلاعات به روزترین و مرتبط‌ترین تهدیدها دسترسی داشته باشید؛ بدین‌ترتیب می‌توانید خود را در برابر حملات آینده آماده سازید. به منظور جلوگیری از چنین تهدیدهای پیشرفته‌ای می‌بایست آن‌ها را بشناسید (که البته این خیلی آرمان‌گرایانه است) و بدانید هدفشان چیست و به دنال چه می‌گردند. سرویس هوش تهدیدی می تواند با فیدهای خود چنین اطلاعات ضروری را به شما ارائه دهد.
راه‌حل‌های EDR همچون Kaspersky Endpoint Detection and Response را برای شناسایی در سطح اندپوینت، بررسی به موقع و رفع حوادث به کار ببندید. شناسایی نمونه‌ای از فعالیت شِبه  Carbanak در سطح اندپوینت نیازمند واکنشی سریع است و این درست همانجاییست که راه‌حل‌های EDR می‌توانند کمک کنند.
راه‌حل امنیتی در سطح سازمانی به کار ببندید که بتواند تهدیدهای پیشرفته‌ی سطح شبکه را در هر مرحله‌ای شناسایی کند. چیزی مانند Kaspersky Anti Targeted Attack Platform.

منبع: کسپرسکی آنلاین

پیش‌بینی‌هایی کسپرسکی در خصوص تهدیدهای 2019

شنبه, ۷ ارديبهشت ۱۳۹۸، ۱۱:۰۷ ق.ظ | ۰ نظر

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ هیچ‌چیز سخت‌تر از پیش‌بینی کردن نیست. بنابراین به جای زل زدن به گوی جهان‌بین بهتر است بر پایه‌ی آنچه اخیراً اتفاق افتاده است حدس‌هایی سنجیده زد. همچنین باید نگاهی داشت به رویه‌هایی که ممکن است در ماه‌های آتی اتخاذ شود. سعی کردیم با کمک از باهوش‌ترین افراد و قرار دادن مبنای سناریوی خود روی حملات APT[1] پیش‌بینی‌هایی در خصوص وقایعی که ممکن است در چند ماه آینده رخ دهد ارائه دهیم. پس با ما همراه شوید:

 

نه به APTهای بزرگ

آیا این امکان وجود دارد در دنیایی که مدام داریم عاملین بیشتری را شناسایی می‌کنیم، تیر اولین پیش‌بینی به خطا رود؟ شاید دلیل این باشد که صنعت امنیت، پیوسته دارد عملیات‌های فوق پیشرفته‌ای را (که از سوی دولت حمایت می‌شوند) کشف می‌کند. اگر بخواهیم چنین وضعیتی را از منظرِ مهاجم نگاه کنیم می‌بینیم که واکنش منطقی‌اش به این ماجرا دنبال کردن تکنیک‌های پیچیده‌تر خواهد بود؛ تکنیک‌هایی که براحتی لو نمی‌روند و تنها مخصوص برخی از عاملین خیلی خاص است. به طور حتم راه‌های مختلفی برای انجام این کار وجود دارد. تنها لازمه‌ی این کار، درکِ روش‌هایی است که این صنعت برای تخصیص و شناسایی شباهت‌های بین حملات مختلف و ترفندهای بکار رفته در آن‌ها استفاده می‌کند؛ چیزی که چندان راز بزرگی هم نیست. با در اختیار داشتن منابع کافی، راه‌حلی ساده برای یک مهاجم ممکن است مجموعه فعالیت‌های پیوسته‌ای را به همراه داشته باشد که سخت بتوان آن‌ها را به همان مهاجم یا همان عملیات ربط داد. مهاجمینی که دستشان در بخش منابع حسابی باز است می‌توانند عملیات‌های نوآورانه‌ی جدیدی را آغاز کنند؛ این درحالیست که می‌توانند همچنان عملیات‌های قدیمی خود را نیز در چنته نگه دارند. البته که این احتمال هم وجود دارد عملیات‌های قدیمی‌تر شناسایی شوند اما کشف عملیات‌های جدید بسی چالش بزرگ‌تری است.

ظاهراً در برخی موارد برای عاملین بسیار خاص که می‌توانند کمپین‌های پیچیده‌تری بسازند، خیلی بهتر است که به جای انجام این کار مستقیماً زیرساخت‌ها و شرکت‌هایی را مورد هدف قرار دهند که در آن‌ها، قربانیان را می‌شود براحتی پیدا کرد مانند  ISPها. برخی اوقات این کار را می‌شود با رگولاسیون و بدون نیاز به بدافزار انجام داد. برخی عملیات‌ها به گروه‌ها و شرکت‌های مختلف که از ابزارها و تکنیک‌های مختلف استفاده می‌کنند اختصاص داده می‌شود و همین کارِ تخصیص را بسی دشوار می‌کند. شایان ذکر است که در بخش عملیات‌هایی که از سوی دولت حمایت می‌شوند چنین جداسازیِ منابع و استعدادی ممکن است آینده‌ی چنین کمپین‌هایی را تحت‌الشعاع قرار دهد.

در چنین سناریویی، صنعت خصوصی دارنده‌ی اصلیِ این قابلیت‌ها و ابزارهای فنی است. در بسیاری از موارد این قابلیت‌ها و ابزارها برای آن دسته از مشتریانی که به درک جامعی از جزئیات فنی و پیامد آن‌ها ندارند قابل فروش نیستند. همه‌ی اینها نشان می‌دهد احتمال کشف عملیات‌های بسیار پیچیده بسیار پایین است چراکه مهاجمینی که منابع خوبی در اختیار دارند خیلی راحت‌تر می‌توانند به الگوهای جدید تغییر مسیر دهند.

 

سخت‌افزار شبکه و اینترنت اشیاء[2]

زمانی این واقعاً منطقی به نظر می‌رسد که هر عاملی برای سخت‌افزار شبکه‌ای از ابزارها و قابلیت‌های طراحی‌شده استفاده کند. کمپین‌هایی چون  VPNFilter نمونه‌ی بارزیست از اینکه چطور مهاجمین از پیش از بدافزار‌ خود برای ساخت بات‌نت‌هایی چند منظوره استفاده می‌کرده‌اند. در این مورد خاص، حتی وقتی چنین بدافزاری شیوع یافت، خیلی زمان برد تا حمله شناسایی شود. این بسیار نگران‌کننده است زیرا نمی‌دانیم در عملیات‌هایی با سطح بالاتری از هدفمندی‌ قرار است چه اتفاقی بیافتد. در وقع این ایده برای عاملینی که منابع بسیار خوبی در اختیار دارند حتی یک گام فراتر نیز می رود: چرا به جای صرفاً تمرکز روی یک سازمان مورد هدف، مستقیم به زیرساخت‌های پایه‌ای‌تر حمله نکنیم؟ پر واضح است که این میزان از کنترل می‌تواند برای یک مهاجم تا چه اندازه وسوسه‌انگیز باشد. آسیب‌پذیری‌های  سخت‌افزار شبکه به مهاجمین اجازه می‌دهد تا مسیرهای مختلفی را دنبال کنند. آن‌ها ممکن است یک سبک بات‌نتی را انتخاب کنند و در آینده آن شبکه را برای مقاصد مختلفی به کار ببنند. شاید هم برای پیش بردن حملاتی بسیار سرّی، به سمت تارگت‌هایی دست‌چین‌شده‌ سوق داده شوند. در مورد دوم، حملات " بدون ‌بدافزار" قرار می‌گیرد؛ جایی که باز کردن یک تونل وی‌پی‌ان برای ریدایکرت کردن ترافیک ممکن است تمام اطلاعات لازم را در اختیار مهاجم قرار دهد. تمام این المان‌های شبکه‌سازی ممکن است بخشی از پدیده‌ی اینترنت اشیاء باشد؛ جایی که در آن بات‌نت‌ها بی‌محا و بدون توقف در حال رشدند. وقتی صحبت از مختل کردن (به عنوان مثال) زیرساخت‌های اساسی به میان می‌آید، اگر این بات‌نت‌ها دست مجرمین بیافتند می‌توانند کاری کنند کارستان. عاملینی که منابع خوبی در دست دارند می‌توانند حسابی از آن‌ها سوءاستفاده کنند (شاید با استفاده از یک گروه پوشش و یا چیزی مثل حمله‌ی تروریستی).

بات‌نت‌های چندمنظوره می‌توانند جدا از بحث حملات اختلال‌گر در موارد دیگر هم به کار گرفته شوند. برای مثال در ارتباطات مخرب با فرکانس دامنه کوتاه که در حقیقت با دور زدن کانال‌های قراردادیِ فیلتر، ابزارها نمی‌توانند روی امور نظارت داشته باشند. گرچه فقط شبیه به هشداری باشد که هر سال داده می‌شود اما نباید هرگز قدرت بات‌نت‌های اینترنت اشیاء را دست کم گرفت- آن‌ها دارند از هر زمان دیگری قدرتمندتر می‌شوند.

 

حمله‌ی متقابل

یکی از بزرگ‌ترین سوال‌ها در خصوص دیپلماسی و ژئوپولیتیک این بود که چطور می‌شود از پسِ یک حمله‌ی سایبری برآمد؟ پاسخ، ساده نیست و تا حد زیادی به این بستگی دارد که حمله تا چه اندازه بد و آشکار است (البته این به عوامل دیگری هم وابسته است). با این حال، به نظر می‌رسد بعد از هک‌هایی مانند آنی که در کمیته ملی دموکرات[3] شاهدش بودیم، اوضاع کمی جدی‌تر شد.

برخی حملات مانند هک‌های Sony Entertainment Network یا حمله به DNC پیامدهایی سیاسی دارند. بدین‌معنا که عملیات‌ها توسط نهادهای نظامی، شبه نظامی، اطلاعاتی یا سیاسی طوری اجرای می‌شوند که باعث شود فکر کنیم گروه‌ها یا کشورهای دیگری این عملیات‌ها را انجام داده‌اند. روسیه خود کشوریست که از این پیامدهای سیاسی زخم خورده است. همین شاید باعث شود در مورد عملیات‌هایی از این دست در آینده تجدید نظر شود. با این حال، ترس از اتفاق افتادن چنین چیزی در آینده یا فکر اینکه شاید چنین عملیات‌هایی همین الانش هم اتفاق افتاده باشند بزرگ‌ترین دستاورد مهاجمین است. آن‌ها می‌توانند به روش‌های مختلف و دقیق‌تری از این شک، ترس و حس عدم اطمینان به بهترین شکل ممکن بهره ببرند؛ چیزی که بیشتر در عملیات‌های بزرگ و قابل‌توجه شاهدش بوده‌ایم: برای مثال Shadowbrokers. تازه باید منتظر نمونه‌های بیشتری هم بود.

در آینده شاهد چه چیزهایی خواهیم بود؟ شاید نمونه‌هایی از این قبیل در گذشته اتفاق افتاده باشد اما گمان داریم تنها فاز آزمایشی بوده‌اند. حدس می‌زنیم این موج تازه به راه افتاده باشد و احتمالاً در آینده شاهد ظهور آن به روش‌های گوناگون خواهیم بود. برای مثال در رویدادهای پرچم دروغین[4] مانند Olympic Destroyer که هنوز هم مشخص نیست هدف نهایی چه بود و برنامه چطور پیش رفت.

 

ظهور تازه واردها

خلاصه بگوییم ظاهراً APT به دو گروه تقسیم می‌شود: عاملین پیشرفته و بسیار مجهز (که پیش‌بینی می‌شود همه ناپدید شوند) و گروهی از تازه واردهای پرانرژی که می‌خواهند تمام‌قد در میدان کارزار خودنمایی کنند. این نکته را هم در نظر داشته باشید که موانع ورود به بازار تا به حال به این اندازه کم نبوده است: امروزه صدها ابزار بسیار کارامد، اکسپلویت‌های بازمهندسی‌شده‌ی لو رفته و فریم‌ورک‌هایی از همه نوع که دسترسی به آن‌ها برای همگان ممکن است وجود دارد. چنین ابزارهایی تقریباً تخصیص را محال می‌کنند و در صورت لزوم می‌توانند براحتی سفارشی‌سازی شوند. دو جای این دنیا هست که این گروه‌ها در آن‌ها بیشتر دیده می‌شوند: جنوب شرق آسیا و خاورمیانه. گفته می‌شود در این نواحی موارد زیادی از این گروه‌ها گزارش شده‌اند؛ گروه‌هایی که با سوءاستفاده از مهندسی اجتماعی به سمت هدف‌های داخلی خود حرکت می‌کنند و از قربانیان آسیب‌پذیر و نبود فرهنگ امنیتی نهایت استفاده را می‌برند. با این حال، همینطور که تارگت‌ها لایه‌ی دفاعی خود را بیشتر می‌کنند، مهاجمین نیز قابلیت‌های خود را روز به روز بیشتر افزایش می‌دهند.

یکی از جنبه‌های جالبی که می‌شود از زاویه فنی بدان نگاه کرد این است که چطور ابزارهای پسا-اکسپلویت[5] JavaScript ممکن است (با توجه به فقدان لاگ‌های سیستم آن، توانایی‌اش در اجرای سیستم‌عامل‌های قدیمی‌تر و اینکه محدود کردن کارکرد آن توسط ادمین کار سختیست) در کوتاه مدت دستخوش تغییراتی جدید شوند.

 

حلقه‌های منفی

با مشاهده‌ی  Meltdown، Spectre ، AMDFlaws و تمام آسیب‌پذیری‌های مربوطه (و البته آن‌هایی که در راهند) با ما کاری کردند که دیگر نظرمان نسبت به خطرهایی که بدافزارها می‌توانند داشته باشند عوض شده است. هرچند آسیب‌پذیری‌ها زیر حلقه 0 نبودند اما احتمال بروز چنین حملاتی بسیار زیاد است (زیرا تقریباً هیچ مکانیزم امنیتی نمی‌تواند آن‌ها را شناسایی کند). برای مثال، در مورد SMM دست کم از سال 2015 یک PoC وجود دارد که دسترسی به آن برای همگان آزاد است. SMM یک ویژگی  CPU است که به طور کارامدی دسترسی کامل و ریموتی را به کامپیوتر ممکن می‌سازد؛ آن هم بدون اینکه بگذارد فرآیندهای حلقه 0 به فضای مموری آن دسترسی پیدا کنند. برای همین مانده‌ایم آیا اینکه هنوز بدافزاری که بتواند از این قابلیت سوءاستفاده کند تنها بخاطر این است که شناسایی‌اش سخت است یا دلیلی دیگری دارد. این قابلیت آنقدر فرصت خوبی است که نمی‌شود کسی از آن سوءاستفاده نکند پس چیزی که از آن مطمئنیم این است که برخی گروه‌ها سال‌هاست تلاش دارند از این ساز و کارها سوءاستفاده کنند (و شاید هم در این امر بسیار موفق بوده‌اند).

 

روش تخریب مورد علاقه‌تان

شاید در این مقاله انتظار پیش‌بینی فیشینگ را نداشتید اما در این بخش می‌خواهیم بدان بپردازیم. ما بر این باوریم که موفق‌ترین عامل/روش مخرب در آینده‌ای نه چندان دور از همیشه اهمیت بیشتری پیدا خواهد کرد. کلید موفقیتش هم در کنجکاو نگه داشتن قربانی است.  با استفاده از داده‌های لو رفته از پلت‌فرم‌های شبکه‌های اجتماعی مختلف، مهاجمین می‌توانند این رویکرد را ارتقا بخشند. داده‌های بدست‌آمده از حملات روی شبکه‌های اجتماعی مانند فیسبوک و اینستاگرام و همچنین لینکدین و توییتر در بازار برای همه موجود نیست. در برخی موارد هنوز مشخص نشده چه نوع داده‌هایی مد نظر مهاجمین بوده است اما شاید این اطلاعات شامل پیام‌های شخصی و یا حتی جزئیات محرمانه باشند. این برای مهندسان اجتماعی حکم گنج را دارد و می‌تواند باعث شود مهاجم اطلاعات محرمانه را از بدزد و آن را روی شبکه‌های اجتماعی به اشتراک بگذارد. این را می‌توان با تکنیک‌های قدیمی جمع‌آوری اطلاعات نیز ترکیب کرد؛ جایی که مهاجمین هدف خود را حسابی چک می‌کنند تا مطمئن شوند قربانی، مورد مناسبی است و بدین‌ترتیب توزیع بدافزار کم شده و شناسایی سخت‌تر می‌شود. به طور حتم با استفاده از فناوری یادگیری ماشین هم می‌شود کارایی فیشینگ را بالا برد. هنوز معلوم نیست در واقعیت این کار چه نتایجی به همراه خواهد داشت اما آنچه مشخص است این است که ترکیب همه‌ی این عامل‌ها می‌تواند فیشینگ را به روش تخریبی حرفه‌ای و مؤثر بدل کند خصوصاً اگر از طریق رسانه‌های اجتماعی صورت گیرد.

 

نابودگر مخرب

نابودگر Olympic یکی از مشهورترین موارد بدافزارهای بسیار مخرب در طول سال گذشته بود؛ خیلی از مهاجمین همچنان دارند مرتباً در کمپین‌های خود از آن استفاده می‌کنند. حملات نابودگر برای مهاجمین مزایای بسیاری دارند خصوصاً از لحاظ ایجاد انحراف و پاک کردن هر نوع لاگ یا شواهد بعد از حمله. در حقیقت حکم یک غافلگیری کثیف را برای قربانی دارد. به طور کلی کلید همه ی این حملات در این است که آن‌ها بسیار وسوسه‌انگیز به نظر می‌رسند جوری که نمی‌شد به سمتشان نرفت. جوامع مدنی بین المللی و زیرساخت‌های اساسی از همه بیشتر در برابر چنین حملاتی آسیب‌پذیرند و گرچه صنایع و دولت‌ها در طول ای چند سال برای بهبود این وضع بسیار تلاش کردند اما هنوز خیلی راه مانده تا شرایط سامان یابد. برای همین است که باور داریم گرچه این حملات هیچگاه به طور همگانی شیوع نمی‌یابند اما در سال آینده شاهد موارد بیشتری از این دست خواهیم بود.

 

زنجیره تأمین پیشرفته

این عامل حمله از همه بیشتر نگران‌کننده است و در طول 2 سال اخیر خیلی از آن سوءاستفاده شده است. برای این نوع حمله هیچ پاسخ راحتی پیدا نمی‌شود. گرچه این عامل حمله برای به دام انداختن کل صنعت (چیزی شبیه به حملاتwatering hole ) و یا حتی کل کشور (همانطور که در NotPetya شاهد بودیم) بی‌نظیر است؛ اما وقتی صحبت از حملات هدف‌دار بیشتری می‌شود این نوع حمله هیچ گزینه‌ی خوبی نیست زیرا احتمال شناسایی آن زیاد است. شاید با خود بپرسید آیا این نوع حمله می‌تواند به صورت هدفمندتری مرود استفاده قرار گیرد؟ به نظر می‌رسد در مورد نرم‌افزارها این قضیه سخت باشد زیرا هر جایی باشد از خود اثری باقی می‌گذارد و بدافزار به چندین مشتری توزیع می‌شود. به طور کلی حملات زنجیره تأمین، عامل‌های مخرب بسیار کارامدی هستند که در آینده قرار است شاهد موارد بیشتری از آن‌ها باشیم. در مورد ایمپلنت‌های سخت‌افزاری نیز فکر می‌کنیم احتمال اتفاق افتادن‌شان خیلی کم است و اگر هم اتفاق بیافتند هیچیک باخبر نخواهیم شد.

 

و موبایل  

این بخش، پایه ثابت پیش‌بینی‌های هر سال است. چیز جدیدی در این بخش انتظار نداریم اما باید این را هم بگوییم که این موج، دو مسیر آلودگی را طی می‌کند. یکی موبایل  و دیگری پی‌سی. واقعیت این است که در بخش اندروید حملات بیشترند تا آی‌او اس. اتفاق غیرمنتظره‌ای را برای این حوزه پیش‌بینی نمی‌کنیم اما احتمال می‌دهیم مهاجمین پیشرفته همچنان بخواهند به روش‌های مختلف وارد دستگاه‌های قربانیان شوند.

 

سایر موارد

مهاجمین چه برنامه‌هایی برای حملات آتی خود دارند؟ یکی از ایده‌ها در حوزه نظامی این است که شاید دیگر از نیروهای انسانی ضعیف استفاده نکنند و به جای آن‌ها بیشتر از ماشین‌ها کمک بگیرند. شاید به جای عوامل انسانی برای هک‌های دامنه کوتاه از پهپادها استفاده کنند، یا شاید برای جمع‌آوری داده‌ها در برخی از پروژه‌های رمزارز خود از بک‌در کمک بگیرند. این احتمال هم می‌رود که در پولشویی های خود از ارزها دیجیتالی استفاده کنند. نظرتان راجع به استفاده از خریدهای درون‌بازی‌ای و بعد فروختن چنین اکانت‌هایی در بازار چیست؟ خیلی وقت‌ها هم ممکن است همه‌چیز آنطور که پیش‌بینی می‌شده پیش نرود. پیچیدگی‌ای که در این فضا وجود دارد باعث می‌شود تا قطعیت و حتی احتمال هم از بین برود. حتی خود متخصصان حمله هم در حوزه‌های مختلف برایشان نقاط کوری بوجود می‌آورد که سوال‌برانگیز است. هیچگاه نمی‌توان فهمید قدم بعدی مهاجمین سایبری در کدام مسیر است. تنها کاری که از دست ما بر می‌آید این است که سعی کنیم حدس‌های معقول بزنیم، حملات را درک کنیم و کاری کنیم در آینده دیگر تکرار نشوند. 

 

[1]Advanced persistent threat:  تهدیدهای پیشرفته و مستمر

[2] IOT

[3] Democratic National Committee

[4]  false flag: به عملیاتهایی گفته می‌شود که توسط نهادهای نظامی، شبه نظامی، اطلاعاتی یا سیاسی به گونه‌ای انجام می‌شود که این تصور به وجود آید که گروه‌ها یا کشورهای دیگری این عملیاتها را انجام داده‌اند.

[5]  post-exploitation

منبع: کسپرسکی آنلاین

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ مقدمه- گرچه نحوه‌ی استفاده از محتوای تلویزیونی دارد به سرعت تغییر می‌کند اما همچنان برای خودِ محتوا تقاضا بسیار است؛ کاربران دست آخر هر کاری می‌کنند تا به این محتواها برسند (حالا چه به روش‌های قانونی و چه غیرقانونی). دنیا دارد رو به فروش برنامه‌های پولی می‌رود... نمونه‌اش هم نتفلیکس یا اپل‌موزیک. با این حال بسیاری از کشورها هنوز هم بر سر توزیع و انتشار غیرقانونی محتوا جنگ دارند. دسامبر 2018، دادگاه فدرال استرالیا طی دستور کاری اعلام کرد همه‌ی ارائه‌دهندگان داخلی اینترنت باید 181 دامنه‌ی غیرقانونی را مسدود کنند. این دامنه‌ها در واقع به 78 وبسایت لینک می‌شدند که پر بودند از فایل‌های ناقض قوانین کپی‌رایت. اوایل سال 2019، وزارت دادگستری برزیل با همکاری پلیس فدرال این کشور اقدام به آغاز عملیاتی جهت مبارزه با نقض قانون کپی کردند. هدف این عملیات مبارزه با توزیع غیرقانونی موسیقی، فیلم و نمایش‌های تلویزیونی بود.  این فقط دو مورد از چند اقداماتی است که  دولت‌ها و بخش‌های خصوصی در سراسر جهان برای مقابله با این مشکل انجام داده‌اند. اما با وجود چنین اقداماتی هنوز هم شاهد نقض قانون کپی‌رایت هستیم. بر اساس آخرین گزارش سالانه‌ی دزدی[1] توسط موسو -شرکت فناوری که کارش ارائه‌ی راه‌حل‌های ضد دزدی، تحلیل بازار و ارتباط با مخاطب است- تعداد محتواهای دزدی‌ رو به افزایش است.

این شرکت در سال 2017 بیش از 300 میلیارد بازدید از وب‌سایت‌های دزدی ثبت کرد.  افزایش 1.6 درصدی از سال 2016 و روند بین‌المللی: ایالات متحده بیشترین تعداد بازدید از وب سایت‌های دزدی را داشته است (27.9 میلیارد بازدیدکننده در سال)، به دنبال آن روسیه را داریم با 20.6 میلیارد بازدید (افزایش 46درصدی نسبت به سال 2016) و هند که ساکنانش 17 میلیارد بار به وب‌سایت‌‌های دزدی سر زدند. هنوز هم بخش اعظم محتوای دزدی مختص فایل‌های قابل دانلود است: گزارش WebKontrol 2019 ادعا می‌کند وب‌سایت‌های تورنت هنوز از نظر حجم محتوای دزدی به سرقت رفته در روسیه حرف اول را می‌زنند و بعد از آن شاهد میزبانی وب و سرویس‌های پخش هستیم. علاوه بر این، سهم لینک‌هایی که در وبسایت‌های تورنت به محتواهای غیرقانونی هدایت می‌شوند  از سال 2018 رشد 14 درصدی داشته است (از 24 درصد به 38 درصد رسیده است) و دارد گوی سبقت را از وبسایت‌های پخش برنامه نیز می‌رباید.

تورنت‌ها به عنوان منبعی سودآور همچنین روش محبوبی برای توزیع کد مخرب هستند. تا به حال مطالعات زیادی در مورد اینکه مجرمان سایبری چگونه از این فرصت سوء استفاده می‌کنند انجام شده است. بر اساس نتایجِ تحقیقی مشابه در سال 2015، 35 درصد محتواهای دزدی نشان از فایل‌هایی دارد که از طریق BitTorrent به اشتراک گذاشته بودند. بیش از 99 درصد این فایل‌های تقلبی تحلیل‌شده یا به وبسایت‌های مخرب و یا اسکم لینک می‌شدند. یافته‌های اخیر آزمایشگاه کسپرسکی و محققین مستقل این روند را تایید کرده‌اند.

اما چه محتوایی مورد هدف قرار می‌گیرد؟ ردیاب‌های تورنت در اصل جولانگاهِ آن‌هایی بودند که به دنبال نسخه‌های دزدیِ بازی‌ها و سایر نرم‌افزار‌ها و همچنین بلاک‌باسترهای هالیوود[2] می‌گشتند. با این حال، در سال‌های اخیر، نمایش‌های تلویزیونی از نظر محتوا در میان بینندگان سراسر جهان، به محبوب‌ترین نوع محتوا تبدیل شده‌اند - گاهی اوقات حتی محبوب‌تر از فیلم‌های هالیوود. طبق گزارش موسو، یک‌سوم کل کاربرانی که از محتوای دزدی استفاده می‌کنند به محتوای تلویزیونی علاقه نشان می‌دهند:  نمایش‌های تلویزیونی همچنان بین کاربران، محبوب‌ترین محصولند (سال گذشته 106.9 میلیارد بازدید داشتند). بعد از آن به محتوای موزیک می‌رسیم (با 73.9 میلیارد بازدید) و در نهایت محتوای فیلم را داریم (53.2 میلیارد بازدید).

چنین محبوبیتی محال است نظر مجرمان سایبری را به خود جلب نکند. برای اینکه بدانید آن‌ها چطور از چنین آب گل‌آلودی ماهی می‌گیرند روی چشم‌انداز تهدیدات بدافزار تحقیقاتی انجام دادیم؛ تهدیداتی که خود را به شکل اپیزودهای جدید نمایش‌های محبوب تلویزیونی توزیع‌شده توسط وبسایت‌های تورنت درآورده بودند. هدف ما این است که ببینیم کدامیک از سریال‌های تلویزیونی بیشتر از همه جولانگاه بدافزارهاست. همچنین می‌خواهیم بدانیم کدام تهدیدها از این طریق توزیع می‌شوند.

متودولوژی و یافته‌های کلیدی

برای اینکه مطمئن شویم سریال‌های تلویزیونی‌ای که رویشان تمرکز کرده‌ایم به حد کافی محبوب بودند یا نه، فهرستی از جذاب‌ترین نمایش‌های تلویزیونی 2018 را با استفاده از منابع عمومی مختلف از جمله IMDB، Rotten Tomatoes و سایر منابع رتبه‌بندی آنلاین تهیه کردیم. همچنین سریال‌هایی که از همه بیشتر قربانی بدافزارها شده بودند را نیز پیدا کردیم. در مجموع به 45 عنوان رسیدیم اما از آنجا که برخی از محبوب‌ترین نمایش‌ها همزمان در چند رتبه‌بندی ظاهر شدند کمی اصلاحات روی آن انجام دادیم و بعد به فهرست 31 تاییِ نمایش‌های تلویزیونی رسیدیم (بر طبق رتبه‌بندی‌های عمومی مختلف مانند IMDB، Rotten Tomatoes و غیره عناوین بر اساس حروف الفبا فهرست شده‌اند):

  • Altered Carbon
  • American Horror Story
  • Arrow
  • Better Call Saul
  • Daredevil
  • DC’s Legends of Tomorrow
  • Doctor Who
  • Game of Thrones
  • Grey’s Anatomy
  • Homeland
  • House of Cards
  • Killing Eve
  • Legends of Tomorrow
  • Modern Family
  • Roseanna
  • Sharp Objects
  • Stranger Things
  • Suits
  • Supernatural
  • The Big Bang Theory
  • The Flash
  • The Good Doctor
  • The Good Place
  • The Handmaid’s Tale
  • The Haunting of Hill House
  • The Walking Dead
  • The X-files
  • This Is Us
  • Vikings
  • Westworld
  • Young Sheldon

سپس هر عنوان را با استفاده از پایگاه اطلاعات خطر خود سنجیدیم. با استفاده از آمار خطر جمع‌شده از طریق زیرساختارمان به نام KSN (شبکه امنیت کسپرسکی[3])  -که کارش پردازش اطلاعات مرتبط با امنیت سایبری است- چک کردیم ببینیم آیا کاربرانی که قبول کردند آمار خطر را با KSN به اشتراک بگذارند تا به حال حین دست وپنجه نرم کردن با سریال‌های تلویزیونی به بدافزاری برخوردند یا نه.

سپس بررسی کردیم ببینیم آیا هیچ ارتباطی بین تعداد و ترتیب اپیزودهای هر فصل و علاقه‌ی عامل بدافزار در آن‌ها وجود دارد یا نه. علاوه بر این، میزان تأثیرِ هر بدافزار را نیز تخمین زدیم و اینکه هر شویی تا چه میزان توانسته برای مهاجمین طعمه‌ی خوبی باشد. برای انجام این کار تعداد کل کاربرانی را که مورد حمله واقع شدن بودند به تعداد فایل‌های مخرب تقسیم‌بندی کردیم و همین کار را نیز روی هر سریال تلویزیونی نیز انجام دادیم. بدین‌ترتیب دستمان آمد که میانگین کاربران دست کم یک فایل مخرب شوی تلویزیونی چقدر است (البته تا حدودی). این کار خیلی به ما کمک کرد تا بتوانیم بفهمیم کدام شو از همه بیشتر در دام بدافزارها افتاده است.

در آخر نگاهی داشتیم به انواع تهدیدهایی که با پوشش سریال‌های محبوب، بیشتر از همه کاربران را مورد هدف خود قرار می‌دهند.

و حالا یافته‌های بدست‌آمده:

  • تعداد کل کاربران سراسر جهان که در سال 2018 با بدافزارهای مرتبط با شوهای تلویزیونی مواجه شدند 126,340 بود؛ در حقیقت یک‌سوم کمتر از تعدادی که در سال 2017 تخمین زده شد. دیده شده است که تعداد حملات توسط چنین بدافزارهایی کاهش 22 درصدی داشته است (ثبت 451,636 اقدام).
  • سه تا از برترین شوهای تلویزیونی که به عنوان تله استفاده شدند و قربانی زیادی گرفتند: Game of Thrones، The Walking Dead و Arrow.
  • 17 درصد کل محتوای دزدی آلوده در سال 2018 به Game of Thrones تعلق می‌گیرد (به 20,934 کاربر حمله شد) تازه جالب است بدانید در این سال اپیزود جدیدی هم از آن بیرون نیامده بود.
  • طبق تحلیل‌های ما اولین و آخرین اپیزودهای هر فصل  Game of Thrones خطرناک‌ترین‌ها بوده‌اند. در مجموعه لابراتوار کسپرسکی اولین و آخرین اپیزودهای هر فصل از این شو بیشترین تعداد فایل‌های مخرب را داشته‌اند و همچنین کاربران هم بیشتر از هر زمان دیگری آلوده شدند.
  • Winter Is Coming -اولین اپیزود شو- از همه بیشتر مجرمان سایبری را به خود مشغول کرد.
  • ظرف دوسال 33 نوع و 505 خانواده‌ی مختلف تهدید پشت شوی Game of Thrones شناسایی کردیم.
  • به طور متوسط 2.23 کاربر در هر فایل بدافزار (در قالب شوی تلویزیونی) هفت بار مورد حمله قرار گرفتند.
  • American Horror Story هم ثابت کرد که مؤثرترین کاور برای اقدامات بدافزار به حساب می‌آید- هر فایل مخرب مخفی‌شده پشت این عنوان به متوسط سه کاربر رسیده است.
  • Not-a-virus:Downloader و Not-a-virus:AdWare دو تا از محبوب‌ترین تهدیدهایی بودند که از طریق محتوای شوی تلویزیونی انتقال داده شدند. خطرناک‌ترین نوع بدافزار هم همان تروجان است که دیگر همه با نام آن آشناییم.

نگاه کلی: بدافزار در راه است 

تحلیل پی‌لودهای مخرب در قالب عنوان سریال‌های محبوب تلویزیونی و مقایسه‌ی نتایج دو سال 2017 و 2018 نشان داد تعداد چنین فایل‌های مخرب، حملات و کاربران قربانی تقلیل یافته است. به طور کلی 126,340 کاربر مورد حمله واقع شدند- این یعنی یک‌سوم تعدادی که در سال 2017 تخمین زده شد (188,769). این کاهش را در کمتر جایی می‌توان شاهد بود. برای مثال گزارشات اخیر نشان می‌دهد تعداد کاربرانی که از طریق محتوای مستحجن به دام این بدافزار افتادند سال 2018 تنها 45 درصد کاهش یافت. درست مانند تعداد کاربران، تعداد بدافزارها هم همچنین کم شده است: در سال 2017 که سال بسیار خوبی برای بدافزارها بود  82,091 نمونه به پایگاه اطلاعاتی خود اضافه کردیم، این درحالیست که در سال 2018 این رقم طی کاهشی 30 درصدی به 57,133 رسید.

 

 

 

تعداد کل حملات شناسایی‌شده توسط راه‌حل‌های امنیتی ما نیز کم شده است اما تنها 22 درصد (451,636).

شاید دلیل چنین کاهشی را بتوان با رخدادهای امسال مربوط دانست که روی تعداد دانلودهای فایل تورنت هم تأثیر گذاشت. اول اینکه در سال 2018 گوگل بیش از 65 هزار وبسایت تورنت -توزیع‌دهندگان اصلی نمایش‌های تلویزیونی دزدی- را در رتبه‌بندی پایینی قرار داد و همین باعث شد بسیاری از کاربران نتوانند حین جست‌وجوی دانلود سریال‌ها آن‌ها را پیدا کنند. اقدامات فعالانه‌ای برای بستن وبسایت‌های تورنت صورت گرفت و همین باعث شد هر روز بیشتر و بیشتر آن‌ها را بلوکه کرده و یا به دردسر بیاندازند. برای مثال، دو ردیاب تورنت اصلی (Pirate Bay و Demonoid) اخیراً به شدت دچار افت کارکرد شده‌اند. یکی از مهم‌ترین آن‌ها Leechers Paradise که برای همیشه بسته شد.

در پاسخ، وبسایت‌هایی که کارشان پخش کپی‌های دزدیی فیلم‌ها و سریال‌هاست دارند روز به روز محبوب‌تر می‌شوند و دارند یک‌جورهایی کار و کاسبی تورنت‌ها را کساد می‌کنند. با این حال، تورنت‌ها همچنان در رأس امورند و در تلاشند کاربران بیشتری را مورد هدف خود قرار دهند. به منظور بررسی میزان تأثیر چنین بدافزارهایی تعداد کل کاربران قربانی را با تعداد کل فایل‌های آلوده‌ی شناسایی‌شده مقایسه کردیم. با تقسیم تعداد کاربران به تعداد فایل‌ها به این مسئله پی بردیم که  هر بدافزار شوی تلویزیونی متوسط 2.23 کاربر را در سال 2018 آلوده کرده است.

علاوه بر این، فهرستی از محبوب‌ترین تورنت‌های 2018 را با فهرستی از آلوده‌ترین سریال‌های تلویزیونی قیاس کردیم:

شوهای تلویزیونی برتر حاوی بدافزار بودند

محبوب‌ترین تورنت‌های شوی تلویزیونی

Game of Thrones

The Walking Dead

The Walking Dead

The Flash

Arrow

The Big Bang Theory

Suits

Vikings

Vikings

Titans

The Big Bang Theory

Arrow

Supernatural

Supernatural

Grey’s Anatomy

Westworld

This Is Us

DC’s Legends of Tomorrow

The Good Doctor

Suits

 

 

محبوب‌ترین تورنت 2018 گزارش‌شده توسط TorrentFreak در مقایسه با محبوب‌ترین سریال‌های تلویزیونی اما در باطن بدافزار

همانطور که در جدول بالا مشاهده می‌کنید، از این 10 سریال 6 سریال در هر دو ستون قرار دارند: پس هرقدر شوی تلویزیونی‌ای بیشتر محبوب باشد بیشتر هم به چشم مجرمان سایبری خواهد آمد. در عین حال، چندین نمایش تلویزیونی که سازندگانشان حسابی آن‌ها را تبلیغ کردند و قرار بود خیلی محبوبیت بدست آورند (Westworld، DC’s Legends of Tomorrow و چندتای دیگر) نتوانستند خیلی در بخش انتقال آلودگی‌‌ها موفق عمل کنند.

 

فایل‌های بدافزار: سریال‌هایی که اغلب اوقات آلوده می‌شوند

مجرمان سایبری به یک سری از شوهای تلویزیونی علاقه بیشتری نشان می‌دهند و این حقیقت ثابت شده است (آمار این را نشان می‌دهد). برای اینکه بدانیم کدامیک از آن‌ها بیشتر از بقیه عاملین تهدید را بیشتر به خود جذب می‌کنند شروع کردیم به بررسی و تحلیل تعداد فایل‌های بدافزار پنهان‌شده در پس عناوین تلویزیونی، اینکه چند بار به کاربران حمله کرده‌اند و طی چنین حملاتی چند کاربر قربانی شده است.

فایل‌های مخرب نشان دهنده‌ی تعداد نمونه‌های بدافزارهایی است که کاربران ما با آن‌ها مواجه شدند. منظور از Attacks تعداد دفعاتی است که راه‌حل‌های امنیتی ما گزارش شناسایی دادند و منظور از Users attacked کاربرانی هستند که (دست کم یک بار) توسط بدافزارهای مرتبط با سریال‌های تلویزیونی مورد حمله قرار گرفته‌اند.

 

بین همه سریال‌ها Game of Thrones بیشترین قربانی را گرفته است (توسط بدافزاری به همین نام). تعداد: 20,934. این بدافزار 129,819  بار تلاش داشت تا کاربران را آلوده کند و تعداد کل فایل‌های بدافزار با تم بازی تاج و تخت در مجموعه تهدید ما به 9,986 می‌رسد.

 

 

دومین جایگاه هم در 2017 و هم 2018 به Walking Dead اختصاص دارد: به 18,794 کاربر حمله شده است. سومین جایگاه نیز برای Arrow است (12,163 کاربر).

 

همچنین نگاهی دقیق داشتیم به اپیزودهای نمونه از دو تا از آخرین فصل‌های Games of Thrones (6 و 7) و فصل اول و اوریجینال آن. نتایج نشان داد تعداد فایل‌های آلوده که فناوری‌های حفاظتی ما شناسایی کردند به طور قابل‌ملاحظه‌ای از هر اپیزود به اپیزودِ دیگر متغیر بود.

 

برای چنین تحلیلی هم منابع لازم است و هم زمان زیادی. به همین دلیل تمرکز خود را منحصراً روی بازی تاج و تخت گذاشتیم. ما روی سه فصل مختلف GoT بررسی‌هایی انجام دادیم که البته مطمئن نیستیم همین حملات را روی فصل‌های دیگر نیز به همین روش انجام داده باشند. همانطور که قبلاً گفتیم فایل‌های بدافزار خود را شبیه شوهای تلویزیونی می‌کنند که از بین اینها Game of Thrones بیشترین تعداد قربانی را گرفت.

از شماره ده که پایین بیاییم به Walking Dead می‌رسیم. این سریال بعد از بازی تاج و تخت بیشترین موفقیت را برای فایل‌های بدافزار داشته است (2.69 کاربر به طور متوسط) سپس به ترتیب Grey’s Anatomy (2.65) و بعد Supernatural (2.34).

 

 

آناتومی تهدید: بخش‌های تهدید و انواع تهدیدها 

برای بخش‌های تهدید و انواع تهدیدها  نمونه‌هایی از محبوب‌ترین شوهای تلویزیونی 2017 و 2018 را خارج کردیم و انواع و خانواده‌های مختلف تهدیدها را شمردیم. نتیجه: شناسایی 33 نوع تهدید و 505 خانواده مختلف در پس سریال بازی تاج و تخت.

 

 

تهدید فراگیر: تروجان‌ها

بر اساس آمار، رایج‌ترین نوع تهدید، تروجان‌ها هستند. در 17 درصد همه‌ی موارد مربوط به دزدی از شوهای تلویزیونی تروجان‌ها یک پای قضیه بوده‌اند. خانواده‌ی WinLNK.Agent. یک تروجان نوع خطرناکی است از بدافزار که می تواند آسیب زیادی وارد کند (از سرقت اطلاعات گرفته تا کنترل و نظارت بر سیستم آلوده).

 

سناریوی معمول: کاربر یک فایل تورنت دانلود می‌کند و یا آرشیوی با میانبر به یک ایمیل دریافت می‌نماید. ابتدا فکر می‌کند کپی اپیزودی است که مدت‌ها منتظرش بوده. حال، جدا از این میانبر، آرشیو مذکور همچنین حاوی فولدری با ویژگی system خواهد بود... همین قابلیت است که آن را نامحسوس می‌کند؛ بطوریکه حتی اگرWindows Explorer هم جوری تنظیم شود که فایل‌های پنهان را نمایش دهد باز خود را نشان نمی‌دهد.

 

کاربر با کلیک کردن روی میانبر با امید اینکه بتواند ویدیو را تماشا کند اسکریپت AutoIt را که در فولدر مخفی جا خشک کرده است باز می‌کند.

 

خانواده Not-a-virus

دومین نوع تهدیدها که جزو سه تهدید محبوبند، خانواده not-a-virus است که بیشتر در قابل آگهی‌افزارها یا دانلودرها خودشان را نشان می‌دهند. not-a-virus:AdWare.Win32.FileTour. نوعی آگهی‌افزار است که شاید به لحاظ فنی نرم‌افزاری قانونی باشد اما در بسیاری از موارد کاربر مجبور است با برنامه‌ی طرف‌سومی کار کند که همان‌ها در نهایت این آگهی‌افزارها را آلوده می‌کنند.

 

جایگاه سوم هم متعلق است به خانواده not-a-virus اما از نوع تهدید دانلودرش. این تهدید در عین حال که بی‌گناه است اما یک‌جورهایی آزاردهنده هم هست زیرا مدام در تلاش است دانلود کند. نقشه ساده است: کاربر به دنبال شویی تلویزیونی یا سایر رسانه‌ها  وبسایتی را سر می‌زند و کلی دکمه دانلود می‌بیند.

 

 

چطور ایمن بمانیم؟

  • دقت کنید ببینید وبسایت معتبر است یا نه. هیچوقت از چنین وبسایت‌هایی دیدن نکنید مگر آنکه از قانونی بودن آن‌ها مطمئن شده باشید.
  • همیشه مطمئن شوید وبسایت اصل است. این کار را (قبل از دانلود) با چک کردن فرمت یو‌آر ال و یا املای نام شرکت انجام دهید. وبسایت‌های تقلبی ممکن است خیلی شبیه نسخه‌های واقعی‌شان باشند اما همیشه یک جاهایی از آن‌ها ایراد دارد که اگر کمی دقت به خرج دهید می‌توانید تفاوت آن‌ها را با نسخه‌های اوریجینال تشخیص دهید.
  • به افزونه‌ی فایل دانلودشده توجه بسیاری کنید. اگر دارید اپیزودهای سریال‌های تلویزیونی دانلود می‌کنید یادتان باشد که نباید با پسوند .exe تمام شود.
  • حواستان به تورنت‌هایی که استفاده می‌کنید باشد و همیشه کامنت‌هایی را که در مورد فایل‌های قابل‌دانلود می‌گذارند بخوانید. اگر کامنت‌ها بی‌ربط باشند پس احتمالاً با یک بدافزار مواجه هستید.
  • روی لینک‌های مشکوک که وعده‌های رنگین می‌دهند کلیک نکنید. همیشه سعی کنید جدول زمان‌بندی خود سریال تلویزیونی را دنبال کنید.
  • از راه‌حل‌های قابل‌اطمینان برای حفاظت همه‌جانبه از طیف وسیعی از تهدیدها استفاده کنید. از جمله Kaspersky Internet Security.

  

[1] Annual Piracy Report

[2] Hollywood blockbuster

[3] Kaspersky Security Network   

منبع: کسپرسکی آنلاین

 

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ طی سند نشر شده‌ای در چند روز گذشته، کنفرانس اروپا اعلام کرد هیچ گواهی مبنی بر استفاده از نرم‌افزار کسپرسکی برای مقاصد جاسوسی -به جای دولت روسیه- وجود ندارد؛ چیزی که دولت آمریکا در سال 2017 بدان اشاره کرده بود. این سند در حقیقت پاسخ کمیسیون اروپا به مجموعه پرسش‌های ارائه داده‌شده توسط جرولف آنمانز، نماینده پارلمان اروپا از طرف بلژیک در ماه مارس سال جاری بود. این پرسش‌ها در رابطه با طرح پیشنهادی‌ای بود که پارلمان اروپا در تاریخ ژوئن 2018 بدان رأی داد. بر طبق این طرح پیشنهادی، یک استراتژی کلی و مجموعه‌ای از رهنمون‌ها برای توافق سراسر سطح اروپا در حوزه‌ی دفاع سایبری ارائه شد. در این سند به دولت‌های اروپایی هشدار داده شد تا برنامه‌ها و تجهیزاتی که مخرب بودنشان تأیید شده است (می‌توان کسپرسکی را به عنوان اولین نمونه مثال زد) از فهرست خط زده و ممنوع کنند.

 

طرح پیشنهادیِ اتحادیه اروپا در سال 2018، کسپرسکی را شرکتی نام گذاشت که مخرب بودنش تأیید شده است

اتحادیه اروپا زمانی به این طرح رأی داد که آمریکا به تازگی استفاده از نرم‌افزارهای کسپرسکی را روی سیستم‌های دولتی ممنوع کرده بود. در واقع فرض بر این گذاشته شده بود که نرم‌افزار آنتی‌ویروس کسپرسکی به این منظور ساخته شده که اسناد و مدارک حساس را از کامپیوترهای دولتی بدزد. دولت آمریکا هیچگاه از ادعاهای خود دفاع نکرد اما با فشار آوردن روی شرکت‌ها در بخش خصوصی آمریکا برای منع استفاده از نرم‌افزار این شرکت روس دقیقاً عکس این عمل را انجام داد.

وقتی Best Buy و  Office Depot محصولات کسپرسکی را از روی قفسه‌های خود برداشتند و توییتر هم این شرکت را از تبلیغ محصولاتش روی این شبکه منع کرد، رعب و وحشتی همگانی آمریکا را فراگرفت.

این ترس و موضعِ ضدِ کسپرسکی بودن از آمریکا تجاوز و حتی به اروپا هم سرایت کرد؛ تا جایی که انگلستان به آژانس‌های دولتی و شرکت‌های خصوصی هشدار داد روی هیچیک از سیستم‌هایی که کارشان ذخیره‌سازی اطلاعات حساس است نرم‌افزار کسپرسکی استفاده نکنند. دولت هلند نیز تصمیم گرفت دیگر از محصولات کسپرسکی برای شبکه‌های دولتی خود استفاده نکند.

کسپرسکی تمام اتهامات را از سر خود باز نموده و حتی «مرکز شفاف‌سازی[1]» در سوئیس باز کرد که در آن دولت‌های اروپایی می‌توانستند بیایند و کد منبعِ آن را بازرسی کنند. به نقل از کسپرسکی در این مرکز می‌تواند تمام اطلاعات کاربران اروپایی را بدون ارسال به سرورهای روسیِ خود ذخیره‌سازی کند.

 

درخواست مدرک و شاهد توسط این نماینده‌ی پارلمانی از بلژیک

آنمانز در مارس 2019 نامه‌ای به کمیسیون اروپا نوشت که در آن خواستار مدرک و سند بود. او در حقیقت می‌خواست بداند بر اساس و پایه‌ای پارلمان اروپا به طرح پیشنهادی منع کسپرسکی در ژوئن 2018 رأی داده و اینکه به چه علتی آن را جزو رده‌بندیِ "مخرب‌ها" قرار داده‌اند. همچنین در این نامه به این نکته نیز اشاره شد که ممکن است اتحادیه اروپا این اخبار را به جای منابع هوشمند و موثق از مقالات مطبوعاتی گرفته باشد.

آنمانز با ذکر مأخذ از گزارشاتی از سوی دوَل آلمان، فرانسه و بلژیک نشان داد که هیچ مدرک و سندی مبنی بر تخطیِ کسپرسکی وجود ندارد. تقریباً یک سال بعد از اینکه اتحادیه اروپا توصیه کرد دولت‌های کلی نرم‌افزار کسپرسکی را ممنوع کنند، این کمیسیون اکنون به اشتباه خود اذعان نمود.

نماینده‌ی کمیسیون اروپا در تاریخ 12 آوریل در پاسخی به آنمانز چنین نوشت: «این کمیسیون در خصوص خطرناک بودن استفاده از محصولات لابراتوار کسپرسکی هیچ سند و مدرکی در دست ندارد».

با این وجود، این نامه از سوی اتحادیه‌ اروپا نمی‌تواند جای خسرانی که در به سهم بازار متوجه کسپرسکی شد بگیرد. سهم بازار این شرکت بعد از اینکه دولت آمریکا محصولات کسپرسکی را منع کرد و پارلمان اتحادیه اروپا نیز به آن طرح پیشنهادی رأی داد به طور قابل‌ملاحظه‌ای افت کرد. اما خوبی‌اش این بود که کسپرسکی با روسفیدی رد اتهام شد.

شاید در پی نشر این اذعان‌نامه‌ی رسمی که کسپرسکی موازین اخلاقی را زیر پا نگذاشته است، این فروشنده‌ی روسیِ آنتی‌ویروس روی برخی تصمیمات خود تجدیدنظر کند از جمله اینکه از شراکت خود با شرکت Europol کناره‌ بگیرد؛ شراکتی که به دستگیریِ مجرمان سایبریِ بی‌شماری منجر شد و پروژه‌ی NoMoreRansom را در پی داشت.

یوجین کسپرسکی، مؤسس شرکت کسپرسکی در نشست تحلیل امنیت این شرکت اظهار داشت منع استفاده از محصولات کسپرسکی توسط دولت آمریکا مجرمان سایبری را خوشحال نیز کرده است.  

 

[1] Transparency Center

امنیت اطلاعات، مهم‌ترین چالش استارت‌اپ‌ها

شنبه, ۳۱ فروردين ۱۳۹۸، ۰۹:۴۷ ق.ظ | ۰ نظر

استارت‌اپ‌ها را کسانی می‌سازند که ایده‌ی نابی در سر داشته‌اند و می‌خواستند آن را هر چه سریعتر اجرایی کنند. در چنین مواردی، معمولاً سرمایه کم است و هزینه‌ها بالا (توسعه‌ی محصول، تبلیغ و بقیه ماجرا). استارت‌آپی‌های نوظهور هنگام مدیریت اولویت‌ها اغلب مسائل مربوط به امنیت اطلاعات را نادیده می‌گیرند. این مقاله به شما توضیح می‌دهد چرا چشم‌پوشی از جنبه‌ی امنیت اطلاعات می‌تواند به استارت‌آپ‌ها آسیب بزند.

 

هرقدر استارت‌آپ آسیب‌پذیرتر باشد، کار هکر آسان‌تر می‌شود

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ بسیاری از استارت‌آپ‌ها برای صرفه‌جویی در هزینه‌ها بخش امنیتی را فاکتور می‌گیرند. عقیده‌شان هم این است که چون شرکتی کوچک هستند و منابعشان نیز محدود است مجرمان سایبری رغبتی برای حمله نخواهند داشت. اما حقیقت این است که هر کسی و هر شرکتی می‌تواند خوراک خوبی برای یک جرم سایبری باشد. اول اینکه چون بسیاری از تهدیدات سایبری در مقیاس‌های بزرگ صورت می‌گیرد، عاملین این تهدیدات اهدافی بزرگ در سر دارند و سعی می‌کنند تا آنجا که بشود افراد و شرکت‌ها را قربانی کنند (به امید اینکه دست‌کم چند تای آن‌ها برایشان فایده داشته باشند). دوم اینکه استارت‌آپ‌هایی که معمولاً دیواره‌ی حفاظتیِ ضعیفی دارند طعمه‌های خوبی برای مجرمان سایبری‌اند.

درحالیکه سازمان‌ها برخی اوقت ماه‌ها وقت را صرف ریکاوریِ یک حمله‌ی سایبری می‌کنند، یک شرکت کوچک ممکن است یک ماه هم دوام نیاورد. در سال 2014، اقدامات خصومت‌آمیز مجرمان سایبری منجر به بسته شدن استارت‌آپی به نام  Code Spaces شد؛ میزبانی که برای مدیریت پروژه‌ها مشترک ابزار ارائه می‌داد. مهاجمین به منابع ابری این شرکت دسترسی پیدا کردند و بخش قابل‌توجهی از اطلاعات مشتریران را از بین بردند. صاحبان این سرویس تا آنجا که می‌شد اطلاعات ریستور کردند اما نهایتاً نتوانستند به راندمان اجرایی همیشگیِ خود بازگردند.

 

اشتباهاتی که ممکن است به قیمت از بین رفتن شرکت‌تان تمام شود

برای آنکه از استارت‌آپ خود نهایت حفاظت را بعمل آورید (با توجه به بودجه‌ی محدودی که در اختیار دارید) بهتر است پیش از راه‌اندازی استارت‌آپ، یک مدل تهدیدی بسازید تا بدانید کدام ریسک‌ها به حوزه‌ی کسب و کار شما مربوط می‌شود. در ادامه با ما همراه شوید تا کمک‌تان کنیم بتوانید از برخی اشتباهات معمول که خیلی از کارآفرینان تازه‌کار مرتکب می‌شوند جلوگیری کنید.

 

عدم اطلاعات در مورد قوانین ذخیره‌سازی و پردازش داده‌های شخصی

بسیاری از دولت‌ها سعی دارند امنیت شهروندان خود را حفظ کنند. اروپا که GDPR[1] را دارد. در آمریکا هم که قوانین به فراخور هر صنعت و ایالت تغییر می‌کنند. همه‌ی این قوانین -صرف‌نظر از اینکه آن‌ها را قبلاً خوانده‌اید یا نه- اعمال می‌شوند.

مجازات نقض چنین الزامات قانونی‌ای ممکن است در هر جایی متفاوت باشد اما به طور کلی چشم‌پوشی از هر یک از این قوانین می‌تواند حسابی شما را به دردسر بیاندازد. در بدترین حالت ممکن مجبور خواهید بود عملیات استارت‌آپ خود را در حالت تعلیق نگه دارید تا هرگونه مغایرت با قوانین مربوطه از میان برداشته شود.

یک چیز مهم‌تر: برخی‌اوقات پوشش‌دهی یک قانون می‌تواند بیش از حد انتظار شما گسترده باشد. برای مثال،  GDPR روی اطلاعات تمامی شهروندان اروپایی اعمال می‌شود حتی آن‌هایی که از روسیه یا آمریکا هستند. بنابراین، بهترین سیاست این است که هم قوانین داخلی مورد بررسی قرار داده شود و هم مقررات و ضوابط مشتریان و شرکایتان.

 

حفاظت ضعیف از منابع ابری

بسیاری از استارت‌آپ‌ها به سرویس‌های ابری عمومی مانند Amazon AWS یا Google Cloud متکی‌اند؛ اما همه‌ی آن‌ها هم برای چنین فضاهای ذخیره‌ای از تنظیمات امنیتی مناسبی استفاده نمی‌کنند. در بسیاری از موارد، کانتینرهای اطلاعات مشتری یا کدِ اپ وبی به غیر از یک مشت رمزعبور ضعیف  با چیز دیگری محافظت نمی‌شوند. بدین‌ترتیب اسناد و مدارک سازمانی خیلیراحت‌می‌توانند با لینک‌های مستقیم مورد دسترسی قرار گرفته و برای موتورهای جست‌وجو نیز عیان باشند. در نتیجه، هر کسی می‌تواند به داده‌های حیاتی دسترسی پیدا کند. برخی‌اوقات استارت‌آپ‌ها که مدام در تلاشند همه‌چیز را ساده نگه دارند، داکیومنت‌های مهم را تا همیشه برای همگان در Google Docs قابل دسترسی می‌گذارند. دلیل این کار هم فقط این است که آن‌ها یادشان می‌رود دسترسی به آن‌ها را محدود کنند.

 

عدم آمادگی در برابر حملات DDoS

DDoS روشی کارامد برای از کار انداختن یک منبع داخلی است. چنین سرویس‌هایی روی دارک‌نت[2] بسیار مقرون به صرفه هستند و بنابراین هم رقبا و هم مجرمان سایبری (از چنین سرویس‌هایی برای پوشش اقدامات پیچیده‌تر خود استفاده می‌کنند) می‌توانند این هزینه را تقبل کنند.

در سال 2016، یک سرویس رمزارز  e-wallet (کیف پول الکترونیکی) به نام Coinkite مجبور شد بسته شود زیرا مدام مورد حملات DDoS قرار می‌گرفت. به نقل از توسعه‌دهندگان از وقتی این سرویس راه‌اندازی شد یک لحظه روی آرامش را به خود ندیدند. نهایتاً بعد از کلی دست و پا زدن، این شرکت تسلیم شد و تمرکز خود را باری دیگر روی کیف‌پول‌های سخت‌افزاری گذاشت.

 

آگاهی پایین کارمندان

در هر کسب و کاری اغلب این افراد هستند که میزان آسیب‌پذیری را بالا می‌برند. مهاجمین با استفاده از ترفندهای مهندسی اجتماعی خوب می‌دانند چطور به یک شبکه‌ی سازمانی نفوذ کنند و یا اطلاعات محرمانه را از شرکت بیرون بکشند.

آگاهی پایین کارمندان می‌تواند این موضوع را برای شرکت‌هایی که نیروهایشان بیشتر دورکار هستند چالش‌برانگیز کند: دیگر نمی‌توان به سادگی روی اینکه کارمندان از کدام دستگاه‌ها و کدام شبکه‌ها برای موارد کاری استفاده می‌کنند نظارت داشت. بنابراین، خیلی مهم است که کارکنان سازمان نسبت به موارد امنیتی هشیار باشند.

 

چطور یک استارت‌آپ می‌تواند شناور باشد؟

برای اینکه از گزند خطرات و آسیب‌های مجرمان سایبری مصون بمانید و همچنان فعالیت تجاری خود را ادامه دهید، هنگام طرح‌ریزی برنامه‌های کسب و کارتان به موارد زیر توجه کنید:

بگردید ببینید کدام منابع بیشتر به محافظت نیاز دارد و در مراحل اولیه بهتر است از کدام ابزارهای امنیتی استفاده کنید. در حقیقت بسیاری از ابزارهای امنیتی چندان هم گران نیستند.
برای حفاظت از دستگاه‌های کاری و اکانت‌هایتان از رمزعبورهای قوی استفاده کنید. راه‌حل Kaspersky Small Office Security ما شامل بسته‌ی  Kaspersky Password Manager است که هم رمزعبورهایی قوی تولید می‌کند و هم آن‌ها را در کانتینرهای رمزگذاری‌شده‌ای قرار می‌دهد. احراز هویت دوعاملی را نیز فراموش نکنید.... این ترفند خیلی به امنیت اطلاعات کمک می‌کند.
قوانین ذخیره اطلاعات هر کشوری که در آن قصد فعالیت سازمانی دارید به دقت مرور کنید و مطمئن شوید ذخیره‌سازی اطلاعات شخصی‌تان و همچنین پردازش جریان کاری با این قوانین تطابق داشته باشد. در صورت امکان، در مورد چالش‌ها و ضعف‌های بازار مورد نظر با وکیلان متبحر مشورت کنید.
چشمتان را روی هرگونه سرویس امنیتی و نرم‌افزاری طرف‌سوم ببندید. سیستم محافظتی مشترکی که از آن استفاده می‌کنید تا چه حد محافظت می‌شود؟ آیا میزان شما مطمئن است؟ آیا هیچیک از این آسیب‌پذیری‌های شناخته‌شده در آرشیو منبع بازی که استفاده می‌کنید وجود دارند؟
آگاهی امنیت سایبری کارمندان خود را بالا ببرید و آن‌ها را به جست‌وجو در مورد سوژه‌های مورد نظر خود ترغیب کنید. اگر شرکت شما هیچ متخصص امنیت سایبری (در اختیار) ندارد، دست‌کم فردی را پیدا کنید که کمی علاقه داشته باشد متن‌های وبلاگ ما را دنبال کند.
حفاظت زیرساختار کامپیوترها را فراموش نکنید. ما برای شکوفا شدن شرکت‌های نوپا با بودجه‌ی محدود راه‌حلی داریم که نظارت امنیتی روی ایستگاه‌های کار و سرورها را اتوماتیزه کرده و پرداختی‌های آنلاین را ایمن‌تر خواهد نمود. بدین‌ترتیب دیگر نیازی به مهارت‌های مدیریتی هم نخواهد بود.

 

[1]مقررات عمومی حفاظت از داده اتحادیه اروپا

[2] Darknet

منبع: کسپرسکی آنلاین

هشدار آسیب‌پذیری روز صفر در ویندوز

چهارشنبه, ۲۸ فروردين ۱۳۹۸، ۰۲:۲۵ ب.ظ | ۰ نظر

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ اوایل ماه مارس فناوری‌های امنیتیِ پیشگیرانه‌ی ما اکسپلوینتی را کشف کرد. در حقیقت این اکسپلویت برای آسیب‌پذیری‌ای در ویندوزِ مایکروسافت می‌باشد. این تحلیل، نشانگرِ آسیب‌پذیریِ روز صفر در دوست قدیمی‌مان win32k.sys (که قبلاً چهار بار شاهد آسیب‌پذیری‌های مشابهی در آن بودیم) بود. ما مشکل را به توسعه‌دهنده گزارش دادیم. بدین‌ترتیب آسیب‌پذیری با یک وصله (پچ) که تاریخ 10 آوریل عرضه شد برطرف گشت.

 

با چه آسیب‌پذیری‌ای طرف حساب هستیم؟

CVE-2019-0859 یک آسیب‌پذیریِ Use-After-Free در عملکرد سیستم می‌باشد که کارش مدیریت دیالوگ باکس[1] است (به طور دقیق‌تر مدیریت انواع مختلف آن‌ها). این الگوی اکسپلویت، نسخه‌های 64 بیتیِ سیستم‌عامل را مورد هدف خود قرار می‌دهد (از ویندوز 7 گرفته تا آخرین ساخته‌های ویندوز 10).

بهره‌برداری از این آسیب‌پذیری به بدافزار اجازه می‌دهد اسکریپتِ نوشته‌شده توسط مهاجمین را دانلود و اجرا نماید که در بدترین حالت خود می‌تواند منجر به نظارت کامل مهاجم روی دستگاه پی‌سیِ آلوده شود.  بدین‌ترتیب مجرمان سایبری می‌توانند با استفاده از این آسیب‌پذیری بک‌درِ ساخته‌شده توسط Windows PowerShell را نصب کنند. اگر بخواهیم به مسئله به طور فرضی نگاه کنیم، این کار به مجرمان سایبری اجازه می‌دهد تا همچنان مخفی باقی بمانند. از این طریق، پی‌لود لود می‌شود و بعد می‌توان براحتی به کل سیستم آلوده دسترسی پیدا کرد.

 

چطور در برابر این اکسپلویت ایمن بمانیم؟

تمامی روش‌های حفاظتی زیر بارها در مقالات قبلی‌مان ذکر شده‌ است و چیز جدیدی هنوز بدان‌ها اضافه نگشته:

ابتدا، برای بستن آسیب‌پذیری از مایکروسافت، آپدیت را دریافت کنید.

مرتباً همه‌ی نرم‌افزارهای استفاده‌شده در کامپیوتر خود را به روز نمایید؛ خصوصاً سیستم‌عامل که باید به آخرین نسخه‌ی خود به روز شود.

از راه‌حل‌های امنیتی که مجهز به فناوری‌های تحلیل رفتار هستند استفاده کنید؛ آن‌ها می‌توانند حتی وقتی تهدیدها هنوز در مرحله‌ی ناشناختگی به سر می‌برند نیز مورد شناسایی قرار گیرند.

اکسپلویتِ آسیب‌پذیریِ CVE-2019-0859 ابتدا با استفاده از «موتور شناسایی رفتار[2]» و فناوری‌های «جلوگیریِ خودکار از اکسپلویت[3]» شناسایی شد که در حقیقت بخشی از راه‌حل اندپوینت سکیوریتیِ کسپرسکی برای کسب و کار[4] به حساب می‌آیند.

اگر مدیران یا تیم امنیت اطلاعات به درک عمیق‌تری از روش‌های شناسایی تهدیدهای روز صفرِ مایکروسافت نیاز دارند پیشنهاد ما روز صفرهای سه‌ماهه‌ی ویندوزی است.

 

[1]یک پنجره‌ی موقتی که اپلیکیشن برای بازیابی ورودی کاربر استفاده می‌کند.

[2] Behavioral Detection Engine

[3] Automatic Exploit Prevention

[4] Kaspersky Endpoint Security for Business

منبع: کسپرسکی آنلاین

 

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ طبق تحقیقات جدید لابراتوار کسپرسکی، مجرمان سایبری همواره در حال استفاده از اپیزودهای محبوب نمایش‌های تلویزیونی برای توزیع و نشر بدافزار به طرفدارانند. Game of Thrones [1]، The Walking Dead و Arrow از آن قِسم نمایش‌هایی هستند که مهاجمین برای فایل‌های مخرب خود به کرات استفاده می‌کنند.

نمایش‌های تلویزیونی شکل جهانیِ تفریح و سرگرمی‌اند و با رواجِ پخش‌ آنلاین و روش‌های مختلف توزیع دیجیتال، تماشاگران اکنون قادرند بدون اینکه مجبور باشند شوها را به طور آنلاین ببینند به نمایش‌های تلویزیونی دسترسی پیدا کنند. در بسیاری از جاها برنامه‌های محبوب همچنین از طریق کانال‌های غیرقانونی مانند ردیاب‌های تورنت[2] و پلت‌فرم‌های غیرقانونی پخش نیز مورد استفاده قرار می‌گیرند.

برخلاف منابع قانونی، ردیاب‌های تورنت و فایل‌های میزبان ممکن است کاربر را مجبور به دانلود فایلی کنند که شبیه به اپیزودی از یک شوی تلویزیونی است؛ اما در حقیقت بدافزاری با نامی مشابه است. محققین لابراتوار کسپرسکی وقتی دیدند چطور نمایش‌های تلویزیونیِ دانلود شده از منابع غیرقانونی می‌توانند انقدر راحت جای خود را به نسخه‌های حاملِ بدافزار دهند بررسی دقیق‌تری روی این فایل‌های دستکاری‌شده انجام دادند- فایل‌هایی که متعلق به هر دو سال 2017 و 2018 بودند. در هر دو سال، Game of Thrones سرآمدِ شوهای تلویزیونی‌ای بود که توسط مجرمان سایبری (با هدف توزیغ بدافزار) مورد هدف قرار گرفت. این شو در سال 2018 نزدیک 17 درصد کل محتوای آلوده را با 20,934 کاربرِ قربانی به خود اختصاص داد. با اینکه در سال 2018، هیچ اپیزود جدیدی از شوی Game of Thrones منتشر نشده بود، در همین سال، نمایش‌های تلویزیونی محبوب داشتند با قوی‌ترین کمپین‌های تبلیغاتی تبلیغ می‌شدند. دومین شوی محبوب که مورد هدف قرار گرفت The Walking Dead بود (18,794 کاربر مورد حمله قرار گرفتند) و بعد شوی Arrow که با 12,163 قربانی در جایگاه سوم قرار گرفت.

در هر موردِ بررسی‌شده، توزیع‌گرانِ این بدافزار تمرکز خود را روی اولین و آخرین اپیزودِ هر فصل می‌گذاشتند. برای مثال، اپیزود The Winter is Coming فصل یک بالاترین سطح حمله را داشته است.

آنتون ایوانوو، محقق امنیتی لابراتوار کسپرسکی چنین می‌گوید: «به وضوح می‌توانیم ببینیم که توزیع‌گران این بدافزار نمایش‌های تلویزیونی‌ای را مورد بهره‌برداری قرار می‌دهند که بیشترین تقاضا را در وب‌سایت‌های تقلبی (دزد دریایی) دارند؛ این شوها معمولاً سری فیلم‌های اکشن یا درام هستند. اواین و آخرین اپیزودها برای مخاطبین بیشترین کشش را دارد. کاربران باید بدانند که حین تماشای این بخش‌ها به مراتب بیشتر از زمان‌های دیگر در معرض خطر مهاجمین سایبری قرار دارند. در حقیقت مجرمان سایبری از صبر و وفاداری افراد سوءاستفاده می‌کنند و از همین رو با تضمین نام تجاری‌ای محبوب، کاربر را مجاب به دانلود می‌کنند (فایلی که یک خطر سایبری تمام‌عیار است). فراموش نکنید که آخرین فصل Game of Thrones همین ماه شروع می‌شود؛ بنابراین به شما کاربران هشدار می‌دهیم حواستان به بدافزارها باشد».

لابراتوار کسپرسکی به منظور جلوگیری از خطرات این فایل‌های مخرب که خود را در قالب دانلود شوهای تلویزیونی به شما نمایان می‌کنند، اقدامات زیر را توصیه می‌کند:

o تنها از سرویس‌های قانونی که در تولید و پخش محتوای تلویزیونی و دانلود نمایش‌ها سرشناس هستند استفاده کنید.

o حین دانلود فایل‌ها به پسوند فایل توجه کنید. حتی اگر اپیزودهای نمایش تلویزیونی را از منبعی که فکر می‌کنید معتبر و قانونی است دانلود کرده باشید باز هم دقت کنید که فایل، پسوند .avi، .mkv یا mp4 داشته باشد. اگر پسوند فایل .exe بود آن را دانلود نکنید.

o همچنین پیش از پخش یا دانلود هر شویی به قانونی بودن وبسایت توجه دوچندان کنید. مطمئن شوید که وبسایت اوریجینال باشد: پیش از هر گونه دانلود این کار را با دوباره چک کردن فرمت یوآراِل یا املای نام شرکت انجام دهید. همچنین مطمئن شوید لینک با  HTTPS:// شروع شود.

o روی لینک‌های مشکوک مانند آن‌هایی که قولِ نمایشِ پیش از موعد شوها را می‌دهند کلیک نکنید؛ جدول زمانی نمایش تلویزیونی را چک نموده و تنها از روی آن برنامه‌ها را دنبال نمایید.

o برای حفاظتی همه‌جانبه در برابر طیف وسیعی از خطرات، از راه‌حل امنیتیِ مطمئنی همچون Kaspersky Security Cloud استفاده کنید.

مرکز مدیریت راهبردی افتای ریاست جمهوری، طرح امن سازی زیرساخت‌های حیاتی را در قبال حملات سایبری تدوین و برای اجرا به تمامی دستگاه‌های اجرایی دارای زیرساخت حیاتی کشور ابلاغ کرد.
به گزارش روابط عمومی مرکز مدیریت راهبردی افتای ریاست جمهوری، هدف این طرح که از امروز به تمامی دستگاه‌های زیرساختی کشور ابلاغ شده است، ارتقاء امنیت فضای تولید و تبادل اطلاعات هر سازمان و جلوگیری از بروز اختلال در ارائه سرویس‌های حیاتی آنهاست. 
رضا جواهری رئیس مرکز مدیریت راهبردی افتای ریاست جمهوری در این باره گفت: مسئولیت امنیت سایبری در هر حوزه‌ی زیرساختی کشور با بالاترین مقام آن دستگاه است و انتظار می‌رود برای پیشگیری از وقوع حوادث احتمالی، طرح امن سازی زیرساخت‌های حیاتی در قبال حملات سایبری در هر دستگاه زیرساختی و واحدهای تابع آن با بهره‌گیری از ظرفیت بخش خصوصی دارای مجوز با قید فوریت، عملیاتی شود.
آقای جواهری افزود: با توجه به مخاطرات نوظهور درعرصه‌ی فناوری اطلاعات و ارتباطات، این طرح با بازنگری همه جانبه در نسخه ابلاغی اسفند ۱۳۹۲ با بیش از ۱۸ ماه کار مداوم، تحقیق، پژوهش، بررسی آسیب‌ها و توانمندی‌های سایبری و ارزیابی ظرفیت امنیت سایبری و صرف افزون بر ۷۲ هزار ساعت نفرکار تدوین نهایی و ابلاغ شده است.
وی تصریح کرد: نسخه جدید طرح امن سازی زیرساخت‌های حیاتی در قبال حملات سایبری شامل الزامات امنیتی اولویت دار، نقشه راه اجرا و مدل ارزیابی بلوغ امنیتی است.
رئیس مرکز مدیریت راهبردی افتای ریاست جمهوری گفت: این مرکز با دریافت بازخوردهای مختلف از زیرساخت‌های حیاتی، بخش خصوصی ارائه دهنده‌ی خدمات افتا و همچنین متخصصان فنی این حوزه، نسخه‌ی بازنگری شده این سند را تدوین کرده است تا سازمان‌ها به سوی نظم بخشی و ساماندهی فعالیت‌های تضمین  امنیت سایبری رهنمون شوند.
آقای جواهری گفت: هدف از الزامات طرح امن سازی، جهت دهی راهبردی به فعالیت‌های ملی در حوزه‌ی امنیت سایبری زیرساخت‌ها و ارائه‌ی یک نقشه راه برای توسعه‌ی همزمان امنیت سایبری در بخش‌های مختلف کشور است.
وی با اشاره به اهمیت مدیریت مخاطرات در طرح امن سازی زیرساخت‌های حیاتی در برابر حملات سایبری گفت: مدیریت مخاطرات در این طرح امن سازی، فرآیندی مستمر است که در آن تهدیدات و آسیب پذیری‌های موجود در یک سازمان شناسایی و ارزیابی می ‌شوند تا با انجام اقدامات امن سازی، مخاطرات احتمالی سایبری مدیریت شوند.
آقای جواهری ضمن مقایسه این طرح با طرح امن سازی اسفند ۱۳۹۲ گفت: در طرح جدید به مدل بلوغ امن سازی توجه خاصی شده و برای اندازه گیری پیشرفت امن سازی، سطوح چهارگانه شاخص بلوغ در نظرگرفته شده است تا سازمان‌های دارای زیرساخت حیاتی بتوانند با سنجش سطح بلوغ امنیتی حوزه‌ی خود برای ارتقاء آن تلاش کنند.
رئیس مرکز مدیریت راهبردی افتای ریاست جمهوری، اطلاعات موجود در هر دستگاه زیرساختی را جزء دارائی‌ها و سرمایه‌های ارزشمند کشور خواند و گفت: اجرای دقیق طرح امن سازی زیرساخت‌های حیاتی در قبال حملات سایبری می‌تواند امنیت لازم را برای تولید و تبادل اطلاعات به‌وجود آورد.
 

وزارت دادگستری آمریکا با انتشار گزارشی از پلیس فدرال آمریکا به علت تأخیر در اطلاع رسانی به قربانیان حملات سایبری انتقاد کرده و افزوده که جزئیات ارائه شده به آنان نیز اندک و ناکافی است.

به گزارش خبرگزاری مهر به نقل از زددی نت، گزارش یادشده با بررسی و تحلیل عملکرد یکی از برنامه‌های اف بی آی به نام Cyber Guardian تهیه شده است. این برنامه برای ذخیره سازی اطلاعات مربوط به تحقیقات و فعالیت‌های روزمره پلیس آمریکا مورد استفاده قرار می‌گیرد.

برنامه یادشده همچنین به مأموران اف بی آی امکان می‌دهد تا اطلاعات مفصلی را در مورد قربانیان حملات سایبری وارد کنند تا بعدها از این اطلاعات برای آگاه کردن این افراد از طریق ارسال پیام خودکار استفاده شود. اما نکته مهم این است که مأموران اف بی آی از این سیستم به شیوه‌ای مطلوب نیز استفاده نمی کرده اند.

بر اساس مصاحبه‌هایی که با ۳۱ مأمور اف بی آی انجام شد، مشخص شد که علیرغم ورود اطلاعات ۲۹ قربانی در برنامه یادشده هرگز پیام هشدار و اطلاع رسانی برای آنها ارسال نشده و علت این مساله اهمال و بی توجهی بوده است.

در گزارش یادشده تصریح گردیده که مواردی از درج اطلاعات غلط قربانیان نیز مشاهده شده است. این اطلاعات از غلط‌های تایپی تا اشتباه در طبقه بندی میزان اهمیت حمله سایبری رخ داده را در بر می‌گیرد. در نهایت دقت و صحت اطلاعات درج شده در این برنامه بسته به میزان حساسیت و وظیفه شناسی مأموران اف بی آی متفاوت بوده است.

اف بی آی در واکنش به گزارش مذکور، اعلام کرده برای کاهش این نوع مشکلات در حال طراحی برنامه جدیدی موسوم به CyNERGY است که جایگزین Cyber Guardian خواهد شد.

افزایش حملات سایبری در جهان با دو استثنا

جمعه, ۹ فروردين ۱۳۹۸، ۰۳:۴۷ ب.ظ | ۰ نظر

گزارش جدید مؤسسه امنیتی سونیک وال نشان می‌دهد میزان حملات سایبری در جهان در سال ۲۰۱۸ افزایش یافت. این شرکت به عنوان نمونه به افزایش ۵۳ درصدی حملات بدافزاری اشاره کرده است.

به گزارش خبرگزاری مهر به نقل از آسین ایج، در گزارش تهدیدات سایبری سال ۲۰۱۹ این مؤسسه که با بررسی اطلاعات جمع آوری شده از طریق بیش از یک میلیون حسگر «سونیک وال» تهیه شده، تصریح شده که میزان حملات باج افزاری در جهان هم در سال ۲۰۱۸ نسبت به سال قبل از آن ۴۹ درصد افزایش یافته است.

در حالی که حملات سایبری در اکثریت قریب به اتفاق کشورهای جهان در حال افزایش است، هند و انگلیس از معدود کشورهایی هستند که با اقدامات انجام شده موفق شدهاند میزان حملات سایبری را در داخل کشورهای خود کاهش دهند.

«سونیک وال» ۳.۹ تریلیون حمله سایبری مختلف را در بیش از ۲۱۵ کشور جهان مورد تجزیه و تحلیل قرار داده و روزانه بیش از ۲۰۰ هزار نوع بدافزار مختلف را شناسایی و با نمونه‌های قبلی مقایسه کرده تا از شدت فعالیت‌های مخرب در این حوزه مطلع شود.

بررسی‌های این شرکت نشان داده علت کاهش حملات سایبری در برخی کشورها عبارت است از تمهیدات اندیشیده شده توسط شرکت‌های بزرگ تجاری به منظور ایمن سازی شبکه‌های رایانه‌ای و جلوگیری از نفوذ بدافزارها و باج افزارها به درون رایانه‌ها و گوشی‌ها، استفاده از فناوری‌های هوشمند برای پیش بینی فعالیت‌های بدافزاری و جلوگیری از غافلگیری و مسدود کردن راه‌های نفوذ آنها و در نهایت ارائه آموزش‌های گسترده عمومی.

از جمله دیگر یافته‌های این گزارش می‌توان به بلوکه شدن ۱۰.۵۲ میلیارد حمله بدافزاری در سال ۲۰۱۸، افزایش ۲۱۷.۵ درصدی حملات سایبری به زیرساخت‌های اینترنت اشیا، بلوکه شدن ۲.۸ میلیون حمله بدافزاری رمزگذاری شده که نسبت به سال ۲۰۱۷ حدود ۲۷ درصد افزایش یافته و افزایش ۵۶ درصدی حمله به اپلیکیشن های تحت وب اشاره کرد

نحوه جاسوسی گوگل و فیس‌بوک از کاربران

پنجشنبه, ۸ فروردين ۱۳۹۸، ۰۳:۳۹ ب.ظ | ۰ نظر

 با وجود نگرانی کاربران رسانه‌های اجتماعی درباره امنیت اطلاعاتشان اما تاکنون گزارش‌های زیادی از جاسوسی شرکت‌های فن‌آوری مانند گوگل و فیسبوک از کاربران منتشر شده است.

به گزارش گروه بین‌الملل خبرگزاری میزان، با وجود نگرانی کاربران رسانه‌های اجتماعی درباره امنیت اطلاعاتشان اما تاکنون گزارش‌های زیادی از جاسوسی شرکت‌های فن‌آوری مانند گوگل و فیسبوک از کاربران منتشر شده است.

 

جاسوسی روزانه گوگل از کاربران اینترنت

یک تحقیق دانشگاهی نشان می‎دهد که موتور جستجوگر گوگل روزانه ۳۴۰ بار درباره موقعیت کاربران اینترنت جاسوسی می‌کند.

این نخستین بار نیست که گوگل متهم به جمع‌آوری اطلاعات کاربران خود به طور آشکارا و به شیوه‌ای مبهم می‌کند.

مطالعه جدید نشان می‌دهد که گوگل از طریق اندروید و مرورگر گوگل کروم اقدام به جمع‌آوری اطلاعات کاربران و جاسوسی از موقعیت آنها می‌کند.

گوگل بارها و بارها هدف مطالعه و تحقیق دانشمندان قرار گرفته و این بار پژوهشگران دانشگاه «وندربیلت» آمریکا تحقیقاتی را در این زمینه انجام داده و به این نتیجه رسیده‌اند که کروم و اندروید حتی بدون اجازه کاربران، اطلاعات آنها را به گوگل می‌فرستند.

 

هشدار روسیه به گوگل به دلیل دخالت در انتخابات این کشور

ماه سپتامبر سال گذشته میلادی معاون اداره نظارت بر اجرای قوانین امنیتی دادستانی روسیه به شرکت گوگل درباره مداخله در انتخابات روسیه هشدار داد.

آلکسی ژافیاروف اعلام کرد: دادستانی روسیه در نامه ای به گوگل گوشزد کرده است که مداخله در انتخابات روسیه را غیرقابل قبول می داند.

 

جریمه گوگل از سوی اتحادیه اروپا

اتحادیه اروپا گوگل را به پرداخت جریمه بی سابقه ۴.۳۴ میلیارد یورویی محکوم کرد.

شرکت گوگل متهم شده بود که قوانین رقابتی اتحادیه اروپا را نادیده گرفته است.

مارگارت وستاگر کمیسر اروپا در امور رقابت‌های بازرگانی اعلام کرد که گوگل از برتری مطلق خود به‌عنوان موتور جستجوگر اول جهان برای فروش محصولاتش استفاده کرده است.

 

درخواست اتحادیه اروپا برای کنترل بیشتر شبکه‌های اجتماعی
 
ماه آوریل سال گذشته کمیسیون اروپا به شرکت های ارائه کننده شبکه های اجتماعی هشدار داد درصورتی که برای جلوگیری از انتشار اخبار جعلی در شبکه های خود تلاش نکنند،با اقدامات سختگیرانه ای مواجه خواهند شد.

کمیسیون اروپا افزوده است: شرکت های فناوری مانند گوگل و فیسبوک ظرف 6 ماه آینده بایستی تلاش های خود را برای جلوگیری از انتشار اخبار جعلی در شبکه های اجتماعی افزایش دهند،درغیر این صورت با اقدامات سختگیرانه و سازمانی اتحادیه اروپا مواجه خواهد شد.

 

پنهان‌کاری فیسبوک و به اشتراک گذاشتن اطلاعات کاربران با  ۱۵۰ شرکت

سال‌ها است که فیسبوک به برخی از بزرگترین شرکت‌های فناوری، اطلاعات اجازه دسترسی به اطلاعات شخصی کاربران را داده است.

براساس سوابق داخلی و مصاحبه‎ها، فیسبوک شرکای تجاری خود را از رعایت قوانین معمول حفظ حریم شخصی معاف کرده است.
براساس اسنادی که در این ارتباط به دست نیویورک تایمز رسیده، مشخص می‌شود چگونه اطلاعات شخصی افراد به کالای پر ارزش عصر دیجیتال تبدیل شده که در مقیاس وسیعی توسط شرکت‌های قدرتمند سیلیکون وَلی و دیگر شرکت‌ها مورد معامله قرار می‌گیرد.
 
در همین راستا فیسبوک نیز از قدرت فوق العاده اطلاعات شخصی ۲.۲ میلیارد کاربر خود در فقدان و ضعف شفافیت و نظارت‌های بیرونی برای کسب درآمد بیشتر استفاده کرد.
به گزارش نیویورک تایمز، نتفلیکس و اسپاتیفای از جمله شرکت‌هایی بودند که اجازه دسترسی و خواندن پیام‌های خصوصی کاربران فیسبوک را داشته‎اند. مایکروسافت، آمازون و یاهو از دیگر شرکت‌های برخوردار از این امکان بودند.
 
قرار دادن اطلاعات در اختیار کمپین ترامپ
 
فیسبوک در دوران انتخابات ریاست جمهوری آمریکا نیز اطلاعات چند ده میلیون کاربر آمریکایی را در اختیار کمپین ترامپ قرار داده بود. در پی رسوایی‌های اخیر، سهام فیسبوک به شدت کاهش یافت. کاربران عصبانی این شبکه اجتماعی نیز جنبشی را با هشتگ "فیسبوک را پاک کنید" #DeleteFacebook آغاز کردند.
 
بیشتر بخوانید: افشای پنهان‎کاری فیسبوک
نیویورک تایمز نوشت فیسبوک که همواره ادعا کرده هیچگاه اطلاعات کاربران خود را به فروش نرسانده است، راه حل بهتری برای مخفی کردن این موضوع از کاربران و رقبای خود و نیز تامین منافع پیدا کرد؛ اعطای دسترسی به شرکت‌ها و رسانه‌های اجتماعی.
 
پرداخت‌های آمریکا به فیسبوک برای تبلیغات سیاسی
 
شرکت‌های بزرگی مانند اکسون موبیل، بن و جری، و پنزی اسپیس میلیون‌ها دلار برای ترغیب مردم به دادن رای و تاثیر بر میزان مشارکت در انتخابات هزینه کرده اند.
اگرچه شرکت‌های مختلف اطلاعات محدودی درباره تبلیغات آنلاین شرکت‌های خاص منتشر می‌کنند، فیسبوک پس از هک شدن اخیر که منجر به از دست رفتن اطلاعات شخصی میلیون‌ها کاربر شد، اقدام به شفاف سازی بیشتر فعالیت‌های سیاسی در این رسانه در ۶ ماهه پیش از انتخابات نوامبر کرده است.
این شبکه رسانه‌ای نشان داد که از ماه می‌ سال جاری تاکنون ۲۵۶.۴ میلیون برای تبلیغات سیاسی هزینه شده است.
 
گوگل‌کروم همه فایل‌های موجود در کامپیوتر را اسکن می‌کند
 
ماه آوریل 2018 اسپوتنیک گزارش داد که آنتی‌ویروس جدید «گوگل کروم»، از محبوب‌ترین مرورگرهای وب جهان، موجب ایجاد نگرانی‌های جدی در زمینه امنیت حوزه خصوصی کاربران شده‌است.

اسپوتنیک نوشته اشت: شمار زیادی از کاربران گوگل کروم اخیرا متوجه شده‌اند این مرورگر پنهانی و بدون اجازه قبلی آنها تمام پوشه‌های آنها را بررسی و اِسکن می‌کند.

آنطور که وب‌سایت « Motherboard» گفته عامل اصلی این کار مخرب افزونه ابزار پاکسازی (Cleanup) نسخه جدید گوگل کروم است که برای پاکسازی پوشه‌های کاربر و نابودی بدافزارها از نرم‌افزاری از شرکت امنیت‌سایبری ESET استفاده می‌کند. به این صورت که اگر بدافزاری شناسایی شود این ابزار پاکسازی متادیتای پوشه مشکوک را به گوگل ارسال می‌کند و از کاربر می‌پرسد که این تهدید احتمالی را حذف کند یا نه.

در واقع گوگل پیش از این هیچ اطلاع‌رسانی در این زمینه نکرده بود و نخستین بار «کِلی شورت‌ریج» که خود کارشناس امنیت سایبری است متوجه شد نسخه جدید گوگل کروم در واقع همه پوشه‌های بخش اسناد رایانه‌اش (Documents) را پنهانی اِسکن می‌کند.

«کِلی شورت‌ریج» در گفتگو با « Motherboard» گفته که باید بگویم واقعا شوکه شدم هنگامی که فهمیدم گوگل پنهانی این ویژگی جدید را کروم اضافه کرده بدون آنکه به کاربران خود اعلام کند تا اقدامات پیشگیرانه را انجام دهند.

واکنش ایران به هک موبایل مقامات صهیونیست

سه شنبه, ۲۸ اسفند ۱۳۹۷، ۱۱:۴۹ ب.ظ | ۰ نظر

سخنگوی وزارت خارجه در واکنش به خبر هک تلفن همراه برخی از مقامات صهیونیستی گفت: مقامات رژیم صهیونیستی به فرافکنی و دروغ پردازی های روزمره علیه ایران عادت دارند.

به گزارش فارس،  بهرام قاسمی سخنگوی وزارت امور خارجه ایران در پاسخ به سوالی در خصوص خبر هک تلفن همراه برخی از مقامات رژیم صهیونیستیو ادعای نقش کشورمان در آن گفت: مقامات این رژیم به فرافکنی و دروغ پردازی های روزمره عادتی دیرینه دارند؛ این رژیم و مقامات آمریکا از سر خصومت، کینه توزی و ترویج ایران هراسی، به تعبیر خود آنها درصدد اعمال فشار حداکثری به صور گوناگون علیه ایران هستند و تلاش دارند در این جنگ روانی از پیش شکست خورده، با ساخت و پرداخت انواع سخنان بی ربط در ایجاد  یک فضای روانی علیه کشورمان اهداف خاص خود را دنبال کنند. 

قاسمی افزود: آنان علاوه بر تولید دروغ، سعی دارند با استفاده از ابزارهای تبلیغاتی، هر اتفاقی در جهان را ناشیانه به ایران مربوط کنند؛ البته بی هیچ تردیدی، ایرانیان در حوزه های متنوع فن آوری، با اتکای به جوانان، از توانمندیهای بی بدیل و غیر قابل تصوری برخوردارند، ولی این توانمندی ها صرفا به منظور رفع نیازهای داخلی و در جهت ارتقا جایگاه علمی این سرزمین و کاهش و قطع وابستگی های علمی و فن آوری به دیگران صورت می پذیرد.

وی همچنین ضمن تکذیب ادعای نقش ایران در هک سیستم های پارلمان استرالیا نیز اظهار داشت: بی شک این دروغ نیز بخش دیگری از همان جنگ روانی است که بر علیه توانمندی های مشروع ایران حوزه فن آوری صورت می پذیرد تا با طرح این توانمندی ها بعنوان یک تهدید، از پیشرفت و تقویت این توانمندی های علمی و بومی ممانعت به عمل آورند؛ تصور و خیال باطلی که همچون همیشه به عنوان آرزویی دست نایافتنی، تنها موجب خشم و عصبانیت آنان خواهد بود.

 

ادعای ایندیپندنت: ایران تلفن همراه همسر و پسر نتانیاهو را هک کرد

یک روزنامه سعودی مدعی شد، ایران تلفن همراه همسر و پسر نخست‌وزیر رژیم صهیونیستی را هک کرده و هک تلفن بنی‌گانتز که اخیرا فاش شده، مربوط به چند سال پیش است.

به گزارش فارس، پس از انتشار گزارش‌هایی مبنی بر هک تلفن همراه «بنی گانتز» رئیس ائتلاف «کاحول لاوان» (آبی سفید) و نیز «ایهود باراک» نخست‌وزیر پیشین رژیم صهیونیستی توسط ایران، حالا روزنامه‌ای سعودی خبری جدیدی در این باره منتشر کرد.

«ایندیپندنت عربی» مدعی شد، ایران تلفن همراه «ساره» و «یائیر» همسر و پسر بنیامین نتانیاهو نخست‌وزیر رژیم صهیونیستی را هک کرد تا مکالمات نتانیاهو را در منزلش شنود کند.

در ادامه این گزارش آمده، هک تلفن‌های ساره و یائیر چند ماه پیش انجام شده و این موضوع «رسوایی بزرگ برای امنیت سایبری اسرائیل» به شمار می‌رود. مشخص نیست اطلاعاتی که ایرانی‌ها به آن دست پیدا کرده‌اند، چه چیزی است.

«تامیر پاردو» رئیس پیشین «موساد» در این باره اعلام کرد، مساله افشای هک تلفن گانتز توسط ایران مانند «عملیاتی تخریبی» در زمان انتخابات است و  در صورت کشف هک تلفن مقامی عالی‌رتبه، مصالح امنیتی در آن است که این موضوع مخفی بماند زیرا به «امنیت اسرائیل» ضربه وارد می‌کند.

وی افزود، در این موارد بسیار سخت است که هویت هکرهای تلفن همراه یا رایانه شناخته شود.

گانتز هفته جاری اعلام کرد، ماجرای هک تلفنش توسط ایران صحت ندارد و نتانیاهو این قصه را در آستانه انتخابات به رسانه‌ها داده است.

 

 

برق ونزوئلا به دلیل حملات سایبری قطع شد

سه شنبه, ۲۱ اسفند ۱۳۹۷، ۰۴:۵۷ ب.ظ | ۰ نظر

مقامات ونزوئلا ادعا می کنند که حملات پی در پی سایبری به سیستم کنترل مرکزی برق رسانی این کشور موجب خاموشی بی سابقه در این کشور شده است.
CNBC- کاراکاس، پایتخت ونزوئلا، و دیگر شهرهای عمده این کشور چند روز متوالی شاهد قطعی سراسری برق بود و نیکلاس مادورو، رئیس ‌جمهوری که مشروعیتش زیر سوال رفته است، آمریکا را به حمله سایبری علیه نیروگاه برق‌آبی «گوری» متهم کرد.
مادورو در توییتی نوشت: سیستم برق کشور با چندین حمله سایبری مواجه شده است، اما ما (دولت) تلاش گسترده‌ای آغاز کرده‌ایم تا سیستم تولید و توزیع برق در ساعات پیش رو دوباره راه‌اندازی شود. از جمعه گذشته سیستم برق‌رسانی کاراکاس با مشکل مواجه شد و سپس قطعی برق به 20 ایالات از مجموع 23 ایالت این کشور نیز سرایت کرد. شاهدان عینی از تاریکی کامل در اکثر شهرهای این کشور خبر داده‌اند تا حدی که برای تامین روشنایی بیمارستان‌ها از نور موبایل استفاده می‌شد. گزارش‌ها حاکی از مرگ یک بیمار به علت از کار افتادن دستگاه تنفس است. کاراکاس برای بیش از 40 ساعت با این مشکل دست و پنجه نرم می‌کرد و بخش‌هایی از این کشور بحران زده برای چند روز با بی‌برقی سر می‌کنند.
اما رئیس جمهوری و دولت ونزوئلا، ایالات متحده را به «جنگ برق» متهم کرده و قطعی غیرعادی الکتریسیته را نتیجه دخالت عوامل امپریالیسم توصیف کرده‌اند.
وزیر دفاع کابینه مادورو، وضعیت کنونی را نشانگر «یورش بی‌پرده» ایالات متحده خواند و بدون اشاره به جزییات بیشتر، اعلام کرد واحدهایی از اعزام ارتش به مناطق مورد نیاز اعزام شده‌اند. از طرف دیگر خوان گوایدو، رهبر مخالفان و رییس‌ جمهور موقت خود خوانده این کشور با تکذیب اتهامات مادورو دلیل اصلی قطع برق را تاراج بودجه‌هایی دانست که باید در سال‌های گذشته صرف توسعه زیرساخت انرژی این کشور می‌شد.  با این حال مادورو طی سخنرانی در جمع هواداران خود بار دیگر اتهامات خود علیه آمریکا را تکرار کرد: این حملات توسط مخالفان انجام شده و فناوری سایبری مورد استفاده آنها تنها در اختیار ایالات متحده قرار دارد. ما همه چیز را می‌دانیم چون خدا با ما است.


 دومین ادعا
این دومین باری است که کشوری ادعا می‌کند هکرها با نفوذ به سیستم‌ مرکزی برق‌رسانی موجب قطعی برق شده‌اند. حدود سه سال پیش نیز اوکراین ادعا کرد که هکرها برقش را قطع کرده‌اند.  
براساس گزارشی درباره این حمل سایبری، هکرها احتمالا نصب بدافزاری که مانع پی بردن تکنسین‌های شرکت برق به این حمله شده، از راه دور سوییچ قطع برق را فعال کرده بودند. گزارش موسسه SANS ICS مستقر در واشنگتن، جزییات اولیه‌ای از آنچه که باعث قطعی 6 ساعته برق 80 هزار مشترک در غرب اوکراین شده منتشر کرد. 
موسسه SANS ICS که به اپراتورهای زیرساخت در خصوص مقابله با حملات سایبری مشاوره می‌دهد، اعلام کرد: هکرها مرکز خدمات مشترکان شرکت برق اوکراین را با سیلی از تماس‌های تلفنی از کار انداخته‌اند تا مشترکان نتوانند قطعی برق را گزارش دهند. رابرت لی، افسر سابق ماموریت‌های سایبری نیروی هوایی آمریکا که به تهیه گزارش موسسه سانس کمک کرد می‌گوید: این یک حمله چند جانبه علیه چند تاسیسات بوده است. این حمله به شدت با لجستیک بسیار حرفه‌ای هماهنگ بوده است. هکرها در واقع به نوعی چشمان همه را بسته و بعد حمله را ترتیب داده‌اند.
کارشناسان به اتفاق آرا این رخداد را اولین قطعی برق شناخته شده به وسیله یک حمله سایبری می‌دانند.
سرویس امنیت ملی اوکراین (SBU) روسیه را عامل این حمله معرفی کرد و شرکت سایبری آمریکایی آی‌سایت عاملان را یک گروه هکری روسی به نام «کرم خاکی» معرفی کرد.

ایران هدف بیشترین حملات بدافزاری موبایل

دوشنبه, ۲۰ اسفند ۱۳۹۷، ۰۱:۳۶ ب.ظ | ۰ نظر

مرکز مدیریت راهبردی افتای ریاست جمهوری با انتشار گزارشی از حملات سایبری به کاربران موبایل در سال ۲۰۱۸ و رشد دوبرابری آن نسبت به سال قبل، اعلام کرد: ایران دارای بیشترین حملات بوده است.

به گزارش مرکز مدیریت راهبردی افتای ریاست جمهوری، حملات مهاجمان سایبری در سال گذشته میلادی به نسبت سال ۲۰۱۷ به کاربران موبایل نزدیک به دو برابر افزایش داشته و ایران دارای بیشترین حملات بوده است.

مهاجمان سایبری در سال ۲۰۱۸ با استفاده از نرم‌افزارهای مخرب ۱۱۶ و نیم میلیون بار به گوشی‌های موبایل حمله کرده اند که این تعداد در سال ۲۰۱۷ قریب به ۶۴ و نیم میلیون بار بوده است.

آزمایشگاه کسپرسکی در گزارشی اعلام کرد: با وجود این افزایش چشمگیر حمله به گوشی‌های موبایل، افزون بر ۵ میلیون بسته نمونه‌های بدافزار در طول سال گذشته میلادی شناسایی شدند.

مهاجمان در حمله به گوشی‌های تلفن همراه کاربران ایرانی از شایع‌ترین بدافزار موبایلی با نام تروجان اندرویدی Trojan.AndroidOS.Hiddapp استفاده کرده‌اند.

مهاجمان از روش‌های کاملاً تست شده مانند SMS اسپم استفاده کرده‌اند و به آزمایش تکنیک‌هایی مانند ربودن DNS نیز تمایل نشان داده‌اند، که قبلاً فقط برای حمله به پلتفرم‌های دسکتاپ استفاده می‌شد.

منتقل‌کننده‌ها (Trojan-Dropper) که برای دور زدن سیستم‌های تشخیص طراحی شده‌اند، حمله به حساب‌های بانکی از طریق دستگاه‌های تلفن‌همراه، برنامه‌هایی که می‌توانند توسط مجرمین سایبری برای ایجاد آسیب استفاده شوند مانند (RiskTool)، برنامه‌های تبلیغ‌افزار از محبوب‌ترین ابزارها و تکنیک‌های حمله مهاجمان به تلفن‌های همراه بوده است.

اگر چه تروجان‌های بانکی موبایل قبلاً سرویس‌های دسترسی به خدمات را هدف حمله قرار داده بودند، اما مهاجمین یک برنامه کاملاً قانونی و مجاز را در سال ۲۰۱۸، تحت‌کنترل گرفته و آن را مجبور به اجرای یک برنامه بانکداری برای انجام عملیات انتقال پول در دستگاه قربانی‌ها کردند.

در میان نمونه‌های بدافزار شناسایی‌شده توسط کسپرسکی در سال ۲۰۱۸، خطرناک‌ترین آنها Trojan.AndroidOS.Triada.dl و Trojan.AndroidOS.Dvmap.a، بودند که البته جزو گسترده‌ترین‌ها نبودند.

معاونت بررسی مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری (افتا) اعلام کرد: تهدیدات موبایلی به طور مستمر در حال تکامل هستند و این توسعه تنها در تعداد بدافزارها نیست. افزایش حملات بدافزارهای موبایلی، اهمیت پیروی از نکات امنیتی این حوزه را بیش از پیش نمایان می‌کند.

وقتی که بحث هک به میان می آید، سرعت یکی از مهم ترین فاکتورها به شمار می رود؛ هم برای هکرها و هم برای کسانی که مورد تهدید سایبری قرار می گیرند. به همین دلیل است که دولت ها و شرکت ها باید در مورد هکرهای روس دو چشمی مراقب باشند، زیرا این هکرها در عرض ۲۰ دقیقه می توانند به سیستم ها و شبکه نفوذ کنند و به دریایی از اطلاعات دسترسی پیدا کنند.
فناوران- یک شرکت امنیت سایبری گزارشی با عنوان «گزارش تهدید جهانی» منتشر کرده که در آن گروه‌های هکری جهان بر اساس زمان هک رده‌بندی شده‌اند. شرکت Crowdstrike این فاکتور مهم را «زمان فرار» (Breakout Time) نامیده که منظور از آن، زمانی است که یک هکر برای نفوذ و شکستن قفل‌های امنیتی سیستم‌های کامپیوتری در یک شبکه صرف می‌کند تا بتواند وارد سیستم شود و اطلاعات مورد نظرش را به سرقت ببرد. این زمان برای تمامی‌ سازمان‌ها اهمیت دارد، چراکه باید بتوانند با سرعت هر چه بیشتر و پیش از آلوده شدن تمام سیستم‌ها، آلودگی‌‌ها را تشخیص دهند و کامپیوترهای هک شده را از دیگر کامپیوترها ایزوله کنند.
CrowdStrike آمار خود را بر اساس بررسی‌های 30 هزار تلاش برای نفوذ دسته‌بندی کرده است. در این رده‌بندی گروه اول که گروه «خرس» نامیده می‌شود، مربوط به هکرهای روس است. بعد از آن گروه کلیما یا «اسب پرنده» از کشور کره شمالی، «پاندا» از کشور چین و «گربه» از ایران به نمایش درآمده است. بعد از ایران نیز یک گروه مجرمان سایبری با نماد «عنکبوت» به چشم می‌خورد. 
در این شکل نکته مهم سرعت هک در این گروه‌هاست که همانطور که گفته شد روسیه با میانگین 18 دقیقه و 49 ثانیه سریع‌ترین هکرها را در خود جا داده است. بعد از آن کره شمالی با دو ساعت و 20 دقیقه زمان شکست در دومین جایگاه قرار دارد. هکرهای چینی نیز با زمان شکست چهار ساعت در رده سوم و ایران با پنج ساعت و 9 دقیقه در رده چهارم قرار دارند. گروه eCrime با نماد عنکبوت نیز زمان شکست 9 ساعت و 42 دقیقه دارد. 
با یک حساب سرانگشتی مشخص می‌شود که گروه خرس یا هکرهای روسی تقریبا هشت برابر از هکرهای کره شمالی سریع‌ترند که در رده بعدی آن قرار دارند. یعنی فاصله میان هکرهای رده اول و دوم بسیار زیاد است. 
گفتنی است که چین در سال 2015 و در زمان ریاست جمهوری اوباما، با ایالات متحده به توافقی برای آتش‌بس حمله‌های سایبری دست یافته بود، اما رتبه دوم چینی‌ها در این لیست بی‌تفاوتی چینی‌ها را به این توافق نشان می‌دهد. هکرهای چینی در سال 2018 سیستم‌های مخابراتی ایالات متحده و کشورهایی در آسیا را مورد حمله قرار دادند و به تازگی نیز متهم شده‌اند که حقوق مالکیت معنوی شرکت‌های آمریکایی را سرقت کرده‌اند.

 


افزایش حملات از ایران و روسیه به آمریکا
دو هفته پیش، نیویورک تایمز گزارشی را منتشر کرد و در آن مدعی شد که حملات هکرهای ایرانی، چینی و روسی علیه سازمان‌های دولتی آمریکا در ماه‌های اخیر بیشتر شده و علت چیزی نبوده جز سیاست‌های خصمانه ترامپ علیه آنها.
دونالد ترامپ، رییس جمهور وقت آمریکا از همان ابتدای تصدی پست ریاست جمهوری آمریکا سیاست‌های خصمانه خود در قبال ایران را مطرح کرد و کشورمان را هدف سخت‌ترین تحریم‌های اقتصادی قرار داد که البته تبعات آن کاملا در زندگی روزانه مردم مشهود است. اما چین نیز از دشمنی‌های ترامپ در امان نبوده و هم‌اکنون درگیر جنگ اقتصادی تمام عیاری با آمریکاست.
طبق این گزارش کارشناسان امنیتی باور دارند که تصمیم رییس جمهور آمریکا برای ترک برجام و جنگ تجاری این کشور با چین و وضع تعرفه‌های سنگین روی واردات کالاهای چینی اصلی‌ترین علت افزایش حملات هکرهای ایرانی، چینی و روسی علیه آمریکا بوده است. 
حملات اخیر ایرانی‌ها به بانک‌های آمریکایی، کسب‌وکارها و ادارات دولتی گسترده‌تر از موارد قبلی گزارش ‌شده است. ده‌ها شرکت و چندین اداره دولت ایالات متحده هدف این حملات بوده‌اند. نیویورک‌تایمز درباره این حملات با هفت نفر به شرط فاش نشدن نامشان صحبت کرده و اطلاعاتی از آنها به دست آورده است.
حملاتی که آژانس امنیت ملی آمریکا به ایران نسبت داده، باعث شد که وزارت امنیت میهن ایالات متحده، در زمان تعطیلی دولت در ماه گذشته، وضعیت اضطراری اعلام کند. حملات ایران با دور جدید حملات سایبری چین همراه شد. هکرهای چینی تلاش کرده‌اند رازهای نظامی و تجاری را از شرکت‌های نظامی و تکنولوژیک طرف قرارداد دولت آمریکا بدزدند.
بوئینگ، شرکت هوایی ژنرال الکتریک و تی‌ـموبایل از جمله هدف‌های حمله‌ هکرهای چینی بوده‌اند. نیویورک تایمز این حملات را تلاش‌های دولت چین برای جاسوسی صنعت‌محور توصیف کرده است. هیچکدام از این شرکت‌ها در این‌باره اظهار نظری نکردند و مشخص نیست که آیا هیچ‌کدام از حملات موفق بوده‌اند.
در میان کشورهایی که حملات سایبری علیه ایالات متحده انجام می‌دهند، روسیه تهدید اول محسوب می‌شود. علاوه بر اتهامات به روسیه برای دخالت در انتخابات آمریکا، هکرهای روسیه ظاهرا حملاتی را به نیروگاه‌های هسته‌ای، شبکه برق و سایر زیرساخت‌های ایالات متحده انجام داده‌اند.
در واقع، هکرهای روسی از هکرهای ایرانی و چینی فعال‌ترند؛ در همین رابطه اوایل امسال گزارش شد که فیس‌بوک و توییتر هزاران حساب کاربری جعلی منسوب به این کشور را که در راستای انتشار اخبار نادرست فعالیت می‌کردند حذف کردند.
تازه‌ترین حملاتی هم که در گزارش نیویورک تایمز و به نقل از سازمان امنیت ملی آمریکا و شرکت امنیتی خصوصی به هکرهای ایرانی نسبت داده شده، ظاهرا به قدری سخت و کاری بوده‌اند که وزارت امنیت داخلی آمریکا را وادار به صدور پیام هشدار اضطراری در زمان تعطیلی دولت این کشور کرده‌اند.
البته ناگفته نماند که آمریکا خود متهم است که با کمک اسرائیل حدود یک دهه پیش بدافزار استاکس‌نت را برای حمله به تاسیسات غنی‌سازی اورانیوم در سایت اتمی نطنز طراحی و در شبکه منتشر کرد. 

از چند هفته قبل، حمله‌های هکری به سایت‌های ایرانی با هدف اخاذی از کسب و کارها شکل گرفته و هدف هکرها از تهدید کسب‌وکارهای اینترنتی دریافت بیت‌کوین است، هر فردی هم به خواسته‌شان تن ندهد حملاتشان را شروع و دسترسی به سایت را مسدود می‌کنند.

این روزها چیزی که بیش از همه در دستگاه‌های ارتباطی ما نصب می‌شود، فیلترشکن‌هایی هستند که تمامی آنها بدون این که منبع انتشارشان مشخص باشند به دست ما می‌رسد. همین فیلترشکن‌های آلوده می‌توانند ابزار حمله‌های DDoS، تهدید و باج‌خواهی قرار بگیرند. هر چند به گفته «امیر ناظمی» رئیس سازمان فناوری ایران، این احتمال وجود دارد که فیلترشکن‌ها و پوسته‌های فارسی تلگرام این حملات را رقم زده باشند اما برای اطلاعات دقیق تر، مرکز ماهر در حال بررسی این مساله است.
احتمالا برایتان پیش آمده که قصد خرید اینترنتی از سایتی را داشته باشید، اما آن سایت برای شما باز نشود یا سرورش از کار بیفتد. دیداس DDoS مخفف Distributed Denial of Service دقیقا همین اتفاق است. زمانی حمله‌هایی از این دست اتفاق می‌افتد که حجم زیادی از تقاضای کاذب عمدا به‌سمت سرور مورد هدف روانه شود، تا آن سرور از کار بیفتد.
«فرهاد فاطمی» کارشناس حوزه فناوری ابری، معتقد است احتمال این که نرم افزارها با منتشرکننده ناشناس دست به تخریب سیستم‌ها بزنند و دستگاه‌ها را آلوده کنند، بسیار زیاد است. نمی‌توان دسته‌بندی مشخصی از این بدافزارها ارائه داد و به طور حتم گفت آنها به استفاده از فیلترشکن‌ها مربوط هستند. هر نرم‌افزاری که به شکل ناشناس منتشر شود، می‌تواند این حفره امنیتی را رقم بزند و نمی‌توان در این خصوص نظر قطعی داد که چه نرم‌افزاری دقیقا این مشکل را موجب می‌شود.
فاطمی، معاون یکی از شرکت‌های هاستینگ که طی هفته گذشته،20 حمله DDoS در مجموعه آنها خنثی شده است، روز دوشنبه در گفت‌وگوی اختصاصی با خبرنگار علمی ایرنا گفت: کار ما ارائه سیستم‌های ابری به بسیاری از شرکت‌های ایرانی است، در یک هفته گذشته به 20 شرکت سرشناس و معتبر ایرانی حمله هکری شده است. سرورهای این شرکت‌ها به سرویس امنیت ابری ما انتقال پیدا کرده‌اند و حملاتشان خنثی شده است.
وی که احتمال می‌دهد تعداد حمله‌ها بیش از آنچه گزارش شده، باشد، افزود: البته این آمار مجموعه‌هایی است که به ما مراجعه کرده‌اند و ممکن است حمله‌ها بیش از این تعداد باشد. این حملات گسترده و بسیار زیاد بوده در لایه‌های سه و چهار، حجم حمله 50 گیگابیت بر ثانیه و در لایه هفت، چیزی حدود دو میلیون درخواست در دقیقه بوده است.

**حمله هکرها موضوع عجیبی نیست
فاطمی معتقد است که این حمله‌ها همیشه و به صورت مداوم وجود داشته و موضوع جدیدی نیست و می‌گوید: طی چهار سالی که در حال ارائه خدمات هستیم این حملات را در نقاط مختلف، به روش‌های مختلف و روی سرویس‌های مختلف مشاهده کرده‌ایم مانند حملاتی که از سال 94 روی سیستم خودمان انجام شد یا حمله‌هایی که شب یلدای سال 94 برای دیجی کالا و سایت‌های فروشگاهی دیگری مانند بامیلو، صورت گرفت.
وی توضیح داد: این حمله‌ها بعد از مدت کوتاهی از سمت سایت‌های فروشگاهی به سوی بانک‌ها متمرکز شدند و شروع کردند به آلوده کردن سیستم‌های آنها به این ترتیب که حمله به بانک‌های ایرانی به سیستم بانک‌های پاسارگارد، آینده، سامان و توسعه تعاون آغاز شد که خوشبختانه توانستیم امنیت آنها را به سرعت تامین کنیم.
او در خصوص اهدافی که پشت چنین حملاتی وجود دارد، گفت: مدل اول این حملات به دلیل از بین بردن رقبا اتفاق می‌افتد، مثلا یک کسب و کار با استفاده از این نرم‌افزارها به رقیبش حمله می‌کند؛ نمونه‌ای که همین الان روی سرویس‌هایی که فالوئر اینستاگرام می‌فروشند وجود دارد و هدفشان بیشتر از بین بردن رقیب است.

** ابزارک‌هایی (دیوایس‌هایی) که زامبی می‌شوند
فاطمی با بیان اینکه هدف بعدی از حمله‌های هکری که بسیار مهم است و باید بیشتر روی آن تمرکز کرد، حمله با هدف باج‌خواهی و تهدید کسب و کارهاست، گفت: شیوه کار این بدافزارها به این شکل است که یک یا چند اکانت جعلی (فیک) در تلگرام، شروع به تهدید یک کسب و کار می‌کنند و به آن‎ها می گویند اگر به ما بیت‌کوین ندهید به شما حمله می‌کنیم و معمولا هم ظرف مدت کوتاهی تهدیدشان را عملی می‌کنند و بعد از حمله‌های دیداس، سایت‌ها از دسترس خارج می‌شوند.
او در توضیح بیشتر عنوان «زامبی» که به این حمله‌ها اطلاق شده است، گفت: در این حملات، یک سری از دیوایس‌ها پس از هک شدن به زامبی تبدیل می‌شوند و به سایت‌های مورد نظر حمله می‌کنند. این حمله می‌تواند به دیوایس‌های موبایل و سایت یا به دوربین‌های مداربسته که با اینترنت اشیا به هم متصل شده‌اند، صورت بگیرد. در واقع در این ماجرا، هر آنچه به اینترنت وصل شود می‌تواند در صورتی که به آن حمله شود، نقش زامبی را بازی و کل سیستم را مختل کند. این فعال کسب و کارهای اینترنتی درباره جغرافیای حمله‌کنندگان نیز گفت: همچنان سورس اکثر حملاتی که ما با آنها مواجه شدیم از کشورهایی مانند آمریکا، روسیه و چین صورت می‌گیرد؛ البته ممکن است این کاربران ایرانی باشند و از آن جا که با «وی پی ان» به اینترنت متصل می‌شوند، لوکیشن‌شان محل دیگری را نشان دهد.
او در پایان گفت: کسب و کارها وقتی مورد حمله قرار می‌گیرند، تازه به فکر امنیتشان می‌افتد. در حالی که ایجاد امنیت باید یکی از اصول اولیه کسب‌وکارهای اینترنتی باشد. در اکثر کشورهای بزرگ، همواره از سرویس‌های امنیتی استفاده می‌شود و به همین دلیل است که سایت‌های بزرگ دنیا، به صورت روزانه از دسترس خارج نمی‌شوند در حالی که در ایران ما به علت دوراندیش نبودن، شاهد اتفاقات زیادی از این دست هستیم.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای با بررسی خانواده بدافزارهای ایرانی «پوشفا»، اعلام کرد: چندین میلیون دستگاه متعلق به کاربران ایرانی به این بدافزار آلوده شدند.

به گزارش خبرنگار مهر، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای با بررسی بدافزارهای «پوشفا» به عنوان باسابقه‌ترین خانواده‌ بدافزار اندرویدی ایرانی، اعلام کرد: چندین میلیون دستگاه کاربران ایرانی به این بدافزار آلوده شده اند.

این مرکز توضیح داد: بدافزارهای دسته «پوشفا» را شاید بتوان از جمله قدیمی ترین و پرانتشارترین ‫بدافزارهای اندرویدی ایرانی تا به امروز دانست. براساس مشاهدات انجام شده، نخستین بدافزارهای این دسته از مردادماه ۹۶ در پیام رسان تلگرام منتشر شده است. این درحالی است که در همان زمان، تلگرام در بین ایرانیان محبوبیت بیشتری پیدا کرده بود.

متاسفانه آمار دقیقی از میزان آلودگی به این بدافزارها در دسترس نیست؛ اما با توجه به فعالیت مستمر این بدافزار و انتشار روزانه حداقل ۱ نسخه از بدافزار در صدها کانال تلگرامی طی ۱۷ ماه گذشته، انتظار می رود چندین میلیون از دستگاه‌های اندرویدی ایرانی به بدافزارهای «پوشفا» آلوده شده باشند.

تاکنون بیش از ۲۰۰ نمونه از این بدافزار توسط مرکز ماهر شناسایی شده است.

از آنجا که بسیاری از بدافزارهای «پوشفا»، پس از نصب مخفی شده و یا آیکون خود را با آیکون برنامه‌ای مجاز و شناخته شده (مانند گوگل پلی، جی‌میل، گوگل کروم و گوگل مپ) جایگزین می کنند، درصد زیادی از کاربران قادر به شناسایی و حذف بدافزارها نخواهند بود و بدافزار روی دستگاه باقی خواهد ماند.

همچنین برخی از بدافزارهای «پوشفا» از کاربر درخواست مجوز مدیریتی می‌کنند، که در صورت موافقت کاربر، حذف بدافزار برای کاربران عادی به سادگی امکان پذیر نخواهد بود و احتمال آلوده ماندن دستگاه بیش از پیش خواهد شد.

این بدافزار با نامهای مختلفی، از جمله نام برنامه های محبوب، موضوعات روز و یا عناوین مستهجن منتشر شده است. در بین صدها بدافزار منتشر شده، بخش اعظمی از بدافزارها «موبوگرام»  نام دارند. همچنین اغلب بدافزارهای این دسته پس از نصب، بدافزار دیگری به نام «بازار» را دانلود و نصب می‌کنند که آیکونی مشابه با فروشگاه اندرویدی ایرانی «کافه بازار» دارد و پس از نصب مخفی می‌شود.

هدف اصلی بدافزارهای «پوشفا»، کسب درآمد از راه تبلیغات است. در ابتدای فعالیت این بدافزار، فروش عضو به کانالهای تلگرامی و تبلیغات از این دست رواج زیادی داشت. به همین دلیل در نسل‌های اولیه این بدافزار، محور اصلی تبلیغات، تبلیغات تلگرامی بود. اما درحال حاضر، با رشد روزافزون سرویس های ارزش‌افزوده و تزریق بودجه تبلیغاتی از طرف این‌ شرکتها، هدف اصلی بدافزارهای «پوشفا» نیز نمایش تبلیغات سرویس‌های‌ ارزش افزوده، دانلود خودکار و بدون اطلاع برنامه های دارای سرویس ارزش افزوده و در مواردی نیز دانلود بدافزارهای سرویس ارزش افزوده (عضویت در سرویس ارزش افزوده از طریق برنامه ای بدون محتوا) است.

جزئیات بیشتر درباره این بدافزار در سایت مرکز ماهر در دسترس است.

جنجال بر سرافشای اطلاعات خصوصی کاربران فضای مجازی و شیوع حملات سایبری کشورها علیه یکدیگر از جمله مهم ترین رخدادهای سایبری سال ۲۰۱۸ میلادی بود؛ در این فضا باج افزارها نیز رونق گرفتند.

به گزارش خبرنگار مهر، با پیشرفت فناوری و دیجیتالی شدن سیستم های ذخیره اطلاعات و گسترش استفاده از اینترنت در گجت ها و ابزارهای مختلف فناورانه، هر روز اخبار بیشتری از روش های نوین اختلال یا دسترسی به سیستم اطلاعاتی، ارتباطی، صنعتی ، امنیتی، دفاعی و تسلیحاتی کشورها با استفاده از آلودگی های بدافزاری، حملات هک و آسیب پذیری های نرم افزاری به گوش می رسد.

درسال ۲۰۱۸ میلادی امنیت سایبری کاربران در بسیاری از کشورها با حملات هدفمندی در مقیاس ملی، حملات هک و دیفیس و آلودگی بدافزار، حملات و آلودگی ها در حوزه تلفن همراه، آسیب پذیری نرم افزارها و تجهیزات پرکاربر و صفحات جعلی، به خطر افتاد.

تحقیقات دانشگاه آکسفورد نشان می دهد که درسال میلادی که گذشت اکانت های تقلبی به سرعت در سراسر جهان نفوذ و گسترش یافتند و بسیاری از کاربران با فریب نرم افزارهای مخرب و باج گیر، قربانی این روش نفوذ سایبری شدند.

اگرچه تعداد بدافزارهایی که بسیاری از کاربران فضای مجازی در سراسر دنیا را درگیر خود کرده بسیار زیاد است اما در این گزارش نگاهی به نرم افزارهای مخرب، بدافزار و باج افزارهایی داریم که بیشترین دربرگیری را در میان کاربران فضای سایبر داشت.

 

جولان بدافزارهای مخرب در سیستم های کامپیوتری

- درسالی که گذشت محققان امنیت سایبری بدافزاری کشف کردند که از طریق واتس اپ، تلگرام و اپلیکیشن های دیگر، کاربران ایران، لبنان، مصر ، مراکش و اردن را هدف گرفت. این بدافزار که «زوپارک» نام داشت، هرگونه اطلاعات ذخیره شده از جمله پسوردهای موجود در دستگاه کاربر را سرقت می کرد.

- شناسایی بدافزار میرای (Mirai) که یک کرم رایانه ای غیرتخریب کننده بود و به کامپیوترهای حاوی سیستم عامل لینوکس (به روز نشده) متصل به شبکه، حمله کرده و آن را آلوده می‌کرد، از دیگر تهدیدات سایبری این بخش بود. این بدافزار سعی در تکثیر خود در هارد و شبکه کاربران داشت و اکثر حملات صورت گرفته آن از آدرس های مبدا ایران گزارش شد؛ به گونه ای که در حملات رخ داده حدود ۶۸ درصد حملات از آدرس های کشور ایران و تنها ۳۲ درصد حملات از سایر نقاط جهان ایجاد شد.

- گسترش حملات باج افزاری نسخه چهارم باج افزار خطرناک ‫GandCrab به کاربران در سراسر کشور از دیگر رویدادهای مهم این بخش بود. این باج افزار روش های گوناگونی از نفوذ به سیستم از جمله ضعف در پیکربندی سرویس پروتکل از راه دور (ریموت دسکتاپ -‫RDP) و پیوست هرزنامه ها و اکسپلویت کیت ها را در حملات خود استفاده می‌کرد.

- پژوهشگران Trend Micro نیز چندین برنامه در قالب پلتفرم‌های پیام‌رسان صوتی قانونی را در فروشگاه گوگل پلی (Google Play) مشاهده کردند که دارای قابلیت‌های مخرب بود و در هر نسخه نیز تکامل یافته تر از قبل می شد. محققان اعلام کردند که مجرمان به دنبال فعالیت‌های مخرب از جمله حملات بات‌نت هستند.

- درسال ۲۰۱۸ میلادی ۶۰۰ هزار حمله به یکی از برنامه های کاربردی مدیریت پایگاه داده روی سرویس‌دهنده‌های وب، صورت گرفت که منشا این حملات از کشور سوئد بود. این حمله به پورتهای مربوط به شبکه ها و دوربین های مداربسته صورت گرفت.

- در این سال دو بدافزار از گروه APT کشور کره شمالی شناسایی شدند که فعالیت‌های مخربی از جمله استخراج اطلاعات، نصب بدافزارهای دیگر و ایجاد پراکسی روی سیستم‌های ویندوزی انجام می‌دهند.

- کشف جاسوس سایبری در خاورمیانه که حمله «بیگ بنگ» را با ایمیل جعلی ترتیب داد از دیگر اخبار مهم سال ۲۰۱۸ میلادی بود. این گروه جاسوسی سایبری پیشرفته با نام «بیگ بنگ» منطقه خاورمیانه را هدف قرار داده و با ارسال این حملات با ارسال ایمیل‌های فیشینگ حاوی فایل پیوست مخرب، حملات سایبری علیه نهادهایی در سراسر خاورمیانه، رقم زدند.

- موسسه امنیتی سایمنتک نسبت به افزایش حملات باج افزاری به سیستم های مراقبتهای بهداشتی با تکامل باج افزار SamSam هشدار داد. این باج افزار حملات هدفمندی علیه۶۷ هدف مختلف و چندین سازمان داشت که بیشتر آنها در ایالات متحده آمریکا قرار داشتند. باج‌افزار SamSam که یک تهدید قدیمی بوده و حملات آن در سال ۲۰۱۵ نیز مشاهده شده، سیستم های مراقبت‌های بهداشتی را هدف قرار داده است.

- موسسه امنیتی کاسپراسکای نیز از شناسایی بدافزار پیچیده و خطرناکی خبر داد که با حمایت یکی از دولت های جهان طراحی شد و برای نفوذ به رایانه ها از روترهای اینترنتی استفاده می کرد. این بدافزار که Slingshot نام داشت، حملات خود را به صورت کاملا مخفیانه و لایه لایه انجام داده و ابتدا روترهای MikroTik را هدف قرارداد و سپس حمله به رایانه شخصی را در دو مرحله در سیستم عامل و مدیریت فایل های سیستمی اجرایی کرد. گمانه زنی ها با توجه به انگلیسی بودن بخش عمده کدنویسی ها و روان بودن زبان به کار گرفته شده در این بدافزار حاکی از آن بود که احتمالا یک یا تعدادی از کشورهای عضو گروه پنج چشم (آمریکا، انگلیس، استرالیا، نیوزلند و کانادا) در نگارش این بدافزار مخرب دخالت داشتند.

 

بدافزارهای کاوشگر ارز دیجیتال به میدان آمدند

سوءاستفاده بدافزاری از سیستم های اطلاعاتی درسال ۲۰۱۸ نگاه پررنگی نیز به بخش های اقتصادی داشت و خبرهای بسیاری از قربانیان بدافزارهای ارز دیجیتال و سرقت اطلاعات کارتهای اعتباری منتشر شد.

بدافزارهای کاوش ارز دیجیتال به دلیل افزایش قیمت ارزهای دیجیتال، از قدرت پردازشگر سیستم کامپیوتری قربانیان استفاده کرده و اقدام به استخراج ارز می کردند. هنگامی که یک دستگاه در معرض این‌گونه بدافزارها قرار می‌گیرد، یک برنامه مخرب در پس زمینه اجرا می‌شود و مصرف انرژی را افزایش می‌دهد که در نتیجه سرعت و عملکرد دستگاه کاهش می یابد.

- برای مثال آزمایشگاه مک آفی ( McAfee ) بدافزاری با نام WebCobra کشف کرد که از قدرت پردازش سیستم قربانیان برای کاوش ارز دیجیتالی استفاده می‌کرد. دامنه آلودگی این بدافزار در سراسر جهان در ماه سپتامبر ۲۰۱۸ بود و بیشترین آلودگی‌ها مربوط به کشورهای برزیل، آفریقای جنوبی و ایالات متحده گزارش شد.

- سرقت اطلاعات میلیون ها کارت اعتباری از طریق نفوذ به شبکه های بانکی و ATM در سراسر جهان توسط یک گروه سایبری از دیگر اخبار مهم این بخش بود. این گروه سایبری، اطلاعات بیش از ۱۵ میلیون کارت اعتباری را از بیش از ۶۵۰۰ ایستگاه پایانه در ۳۶۰۰ کسب وکار با استفاده از بدافزارهایی که از طریق ایمیل‌های فیشینگ ارسال می کردند، به سرقت برده و از این طریق بیش از یک میلیارد یورو از بانک‌های سراسر جهان سرقت کردند.

- باج افزار سایبری «پول زور» که با استفاده از صفحات جعلی درگاه بانکی شاپرک، از کاربران ایرانی یک میلیون تومان باج می گرفت نیز در ایران شناسایی شد.

- از طرف دیگر، انتشار باج افزار «Cybersccp» در کانال های تلگرامی فارسی زبان از دیگر رخدادهای سایبری درسال ۲۰۱۸ بود. این باج‌افزار از خانواده خطرناک شناخته شده HiddenTear با نام Cyber.exe بود که در پوشش برنامه‌ای کاربردی با ادعای ساخت تصویر جعلی کارت ملی، کارت بانکی، شناسنامه و پاسپورت انتشار یافت.

- درسال ۲۰۱۸ یافته های موسسه امنیتی چک پوینت حاکی از آن بود که طراحی و تولید بدافزارهای سرقت ارز دیجیتال که به طور ویژه برای آیفون عرضه می شوند نسبت به مدت مشابه سال قبل ۴۰۰ درصد افزایش یافت. بخش عمده این حملات از طریق مرورگر سافاری و با تلاش برای آلوده کردن این مرورگر صورت گرفت. یکی از مشهورترین بدافزارهایی که بدین منظور طراحی شد Coinhive نام داشت که در میان بدافزارهای سرقت ارزهای دیجیتال با ایجاد ۱۹ درصد آلودگی در رتبه اول است. ایران در بین ۵ کشور اول آلوده به نرم افزار مخرب کوین هایو قرار داشت.

-  کارشناسان بدافزاری کشف کردند که وارد دستگاه های اندروید آمازون شده و به استخراج ارز دیجیتال می پرداخت. این بدافزار که ADB.miner نام گرفت به عنوان اپلیکیشنی به نام Test در «فایر تی وی Fire TV» و «فایر استیکس Fire Stick» های آمازون مشاهده شد و پس از نصب با استفاده از دستگاه، ارز دیجیتال استخراج می کرد.

-  پژوهشگران امنیتی IBM یک بدافزار قدرت گرفته از هوش‌مصنوعی را با نام DeepLocker توسعه دادند که برای هدف قرار دادن قربانی بسیار قدرتمند بوده و قابلیت زیادی در جلوگیری از شناسایی داشت. این کلاس از بدافزارهای مجهز به هوش‌مصنوعی می‌توانند تا رسیدن به قربانی هدف، فعالیت خود را ادامه دهند و پس از رسیدن به مقاصد مدنظر، فعالیت‌های مخرب را متوقف کنند. این‌گونه بدافزارها قربانی هدف را از طریق شناسایی چهره، موقعیت جغرافیایی و تشخیص صدا شناسایی می‌کنند.

 

اپلیکیشن های جعلی به بازار آمدند

-  محققان امنیتی ۲۹ اپلیکیشن اندرویدی حاوی بدافزار را کشف کرده اند که اطلاعات بانکی کاربران را سرقت می کرد. این اپلیکیشن های جعلی، شامل ۲۹ اپلیکیشن مختلف از برنامه های مدیریت مصرف باتری گرفته تا طالع بینی بود که به بدافزار تروژان مبتلا هستند و پس از نصب روی موبایل کاربر، حتی می توانند آن را از راه دور کنترل کنند. البته پس از آنکه ESET این موضوع را به گوگل اعلام کرد، اپلیکیشن های مذکور از فروشگاه اپلیکیشن های گوگل پاک شد. اما تخمین زده می شود حدود ۳۰ هزار کاربر آنها را دانلود کردند.

- از سوی دیگر ۱۳ اپلیکیشن بازی در پلی استور گوگل کشف شد که حاوی بدافزار بودند. این اپلیکیشن ها قبل از حذف بیش از ۵۸۰ هزار بار دانلود شدند. اپلیکیشن های مذکور به عنوان بازی های شبیه سازی مسابقات رانندگی با خودرو و وانت دسته بندی شده بودند.

- گوگل همچنین ۱۴۵ اپلیکیشن حاوی بدافزار را از فروشگاه گوگل پلی پاک کرد. این بدافزارها پس از اتصال دستگاه اندروید به رایانه، اطلاعات کارت اعتباری و پسوردهای کاربر را سرقت می کردند. برخی از این اپلیکیشن ها چند صد بار دانلوده شدند و این بدافزار، در صورتی که دستگاه اندروید به پی سی ویندوز متصل می شد، اطلاعات شخصی کاربر را جمع آوری می کرد و پس از ورود به رایانه، شماره کارت اعتباری کاربر، پسورد حساب های کاربری او و حتی شماره تامین اجتماعی را مورد سرقت قرار می داد.

- گوگل ۲۲ اپلیکیشن اندرویدی را نیز از فروشگاه پلی استور پاک کرد که علت آن سوءاستفاده این برنامه ها از گوشی های اندرویدی به منظور نمایش تبلیغات ناخواسته بود. این بدافزارهای تبلیغاتی مختلف مواجه شده که تلاش می کنند با ترغیب کاربران به کلیک کردن بر روی خود درآمدی به جیب بزنند.

 

بدافزارهایی در لباس vpn کاربران را فریب دادند

- درسال ۲۰۱۸ میلادی VPN های مشهور هم آسیب پذیر اعلام شدند. به نحوی که این آسیب پذیری ها اجرای کدهای مخرب را توسط مهاجمان ممکن کرد و باعث شد تا هکرها بتوانند به رایانه های مجهز به سیستم عامل ویندوز حمله کرده و فعالیت های تخریبی متنوعی انجام دهند. از جمله این وی پی ان ها می توان به ProtonVPN و NordVPN اشاره کرد.

- درهمین حال خبر نفوذ جهانی بدافزار «وی‌پی‌ان فیلتر» به دستگاههای متصل به شبکه سبب شد تا حداقل ۵۰۰ هزار دستگاه در ۱۰۰ کشور مختلف مورد آلودگی این نرم افزار مخرب قرار بگیرند.

- از سوی دیگر ۱۱۳ کشور نیز مورد سوءاستفاده بدافزار تجهیزات اندروید قرار گرفتند. این بدافزار از آسیب‌پذیری برخی تجهیزات سیستم عامل اندروید (Android Debug Bridge) در سطح شبکه استفاده می کرد و کشورهایی که میزبان بیشترین IP آلوده بودند تایوان، روسیه و چین اعلام شدند.

- ادامه فعالیت باج‌افزار مخرب «واناکرای» پس از ۱۸ ماه فعالیت مخرب و آلوده کردن هزاران سیستم در سراسر جهان، درسال ۲۰۱۸ نیز باردیگر اعلام شد و بررسی ها نشان داد که نرخ آلودگی این بدافزار از زمان مشابه سال گذشته بیشتر بوده است. این بدافزار در ماه‌های جولای تا سپتامبر ۲۰۱۸ حدود ۷۴ هزار و ۶۲۱ حمله علیه کاربران در سطح جهان انجام داد.

- محققان امنیتی ویروسی به نام «تلگراب» کشف کردند که نسخه دسکتاپ پیام‌رسان تلگرام را هدف گرفته و اطلاعات کاربر را از روی نسخه دسکتاپ تلگرام سرقت می کرد. این ویروس که «تلگراب» نام گرفت طوری طراحی شده تا اطلاعات cache و فایل های کلیدی تلگرام را جمع آوری کند. نسخه اول تلگراب فقط فایل های متنی، اطلاعات مرورگر و کوکی ها را ذخیره می کرد و در نسخه دوم قابلیت جدیدی افزوده شد که به بدافزار اجازه می داد اطلاعات cache دسک تاپ را همراه اطلاعات لاگین (ورود) نیز، جمع آوری کند.

-  مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری (افتا) نیز بدافزار پیشرفته جاسوسی «Norxa» که سیستم عامل های ویندوز را هدف قرار می داد، کشف کرد. این نرم افزار مخرب پیچیده با هدف جاسوسی و جمع آوری اطلاعات طراحی شد و دارای قابلیت دریافت دستور از سرور C&C و اجرای عملیات های خراب کارانه در سیستم قربانی بود.

- از سوی دیگر یک گروه بدافزاری به نام OilRig حملات مداوم سایبری با استفاده از ابزارها و تکنیک های شناخته شده علیه نهادهای دولتی در منطقه خاورمیانه انجام دادند. در این حملات از ایمیل‌های فیشینگ استفاده شده و قربانی با روش‌های مهندسی اجتماعی، وادار به اجرای یک پیوست مخرب می‌شد.

- سازمان عفو بین الملل نیز اعلام کرد که یک نرم افزار جاسوسی متعلق به رژیم صهیونیستی فعالان حقوق بشر و برخی مقامات خاورمیانه را هدف گرفته است. رژیم صهیونیستی هر روز برای جاسوسی از فعالان حقوق بشر و مقامات دولتی در خاورمیانه و سراسر دنیا از فناوریهای بیشتری استفاده می کند.

- درهمین حال براساس تحقیقاتی که آزمایشگاه Citizen منتشر کرد، نرم‌افزار جاسوسی موبایل پگاسوس (Pegasus) طی دو سال گذشته در ۴۵ کشور جهان مورد استفاده قرار گرفت. این نرم افزار مخرب، یک بدافزار نظارتی است که توسط گروه NSO وابسته به رژیم صهیونیستی توسعه داده شد و قابلیت آلوده سازی دستگاه‌های اندروید و آیفون (ios) را داشت. این نرم‌افزار جاسوسی به صورت اختصاصی به دولت‌ها و آژانس‌های امنیتی فروخته می‌شود.

- پژوهشگران موسسه آکامای، با اعلام خبر نفوذ هکرها به هزاران مسیریاب از طریق UPnProxy ، بدافزار پیشرفته‌ای شناسایی کردند که می‌توانست پیکربندی‌های مسیریاب‌های خانگی را ویرایش واتصالات رایانه ها را آلوده کند.این مرکز شمار سیستم های درخطر را ۱.۷ میلیون سیستم اعلام و تاکید کرد که به حداقل ۴۵ هزار مسیریاب نفوذ شده است. این ویروس باج گیر سایبری که در صورت نداشتن نرم‌افزارهای ضدبدافزار مناسب، اقدام به رمزگذاری فایل و درخواست باج می کرد، در منطقه خاورمیانه نیز فراگیر شد.

کشور سنگاپور نیز درسالی که گذشت شاهد بدترین و بزرگترین حمله سایبری در تاریخ خود بود که در قالب آن حدود ۱.۵میلیون شهروند این کشور و از جمله نخست وزیر مورد حمله قرار گرفتند. در جریان حملات یادشده اطلاعات شخصی مربوط به سوابق پزشکی و دارویی شهروندان این کشور به سرقت رفت.

 

برخی حملات اینترنتی در فضای سایبری ایران

رخدادهایی که امنیت سایبری کشورها را هدف قرار داد، در سالی که گذشت در ایران نیز نمود بسیاری داشت. به نحوی که طبق اعلام مسئولان، روزانه ۵۰۰ هزار تهدید علیه امنیت سایبری کشور به ثبت رسید.

- یکی از این رخدادها، مربوط به حملات پراکنده از مبدا رژیم صهیونیستی به برخی زیرساخت های ارتباطی ایران بود. عامل حمله شرکت اینترنتی «گلدن لاین» متعلق به رژیم غاصب و مقصد آن به سمت شبکه ارتباطات موبایل بود که این حملات به موقع دفع شد؛ در این زمینه وزیر ارتباطات کشورمان از پیگیری حقوقی آن در مجامع بین المللی از طریق وزارت امورخارجه خبر داد.

- ۳ شرکت فیس بوک، توئیتر و گوگل در یوتیوب، بلاگر و گوگل پلاس، حساب برخی کاربران ایرانی را به بهانه فعالیتهای رسانه ای و ارتباط با شبکه رادیو و تلویزیون رسمی جمهوری اسلامی ایران مسدود کردند.

- درسالی که گذشت آسیب پذیری بحرانی تجهیزات مسیریاب سیسکو، باعث تهدید سایبری در بسیاری از کشورهای جهان از جمله ایران شد. آسیب پذیری سیستم های سخت افزاری تحت شبکه شرکت سیسکو، اختلال در دیتاسنترهای بیش از ۱۵۰ کشور را به همراه داشت و بیش از ۱۶۸ هزار رایانه در نقاط مختلف جهان به همین علت مورد حمله قرار گرفته اند.

- ازسوی دیگر آلودگی تجهیزات مسیریابی (روتر) میکروتیک از جمله رخدادهای سایبری در سطح کشور بود. حمله سایبری درقالب انتشار باج افزار که سرورهای HP را هدف قرارداد نیز قربانیانی در فضای مجازی ایران داشت.

2018؛ سال پرخطر برای داده‌های شخصی

شنبه, ۸ دی ۱۳۹۷، ۰۱:۳۷ ب.ظ | ۰ نظر
امسال غول های فناوری ، دولت ها و حتی فروشگاه های زنجیره ای ثابت کردند که ما نمی توانیم در مورد اطلاعات شخصی مان به هیچ کس اعتماد کنیم. در بهترین حالت این شرکت ها قادر نبودند اطلاعات شخصی مان را امن نگه دارند. در بدترین حالت نیز از اطلاعاتی که به آنها داده بودیم استفاده کردند تا رویه های سیاسی و دموکراتیک را تغییر دهند.
 
هنگامی که به رسوایی و نقض اطلاعات در سال 2018 فکر می کنیم، تنها اخبار خوبی که به گوشمان رسیده مربوط به «قانون حفاظت از داده های عمومی» یا GDPR است که اتحادیه اروپا آن را برای آن دسته از کاربرانی که تحت تاثیر انتشار غیرقانونی داده ها قرار گرفته اند، تصویب کرده است. با توجه به GDPR، شرکت ها ملزم هستند تا انتشار ناخواسته داده های کاربران را اعلام کنند و در غیر این صورت، با جریمه های سنگینی مواجه خواهند شد. در عین حال، چنین قوانینی برای آمریکایی ها وجود ندارد و این در حالی است که میزان حملات در فضای مجازی رو به افزایش است.
با این حال، برای اینکه عمق فاجعه را در مورد اطلاعات شخصی مان درک کنیم، به آمار وب سایت «دارک ریدینگ» اشاره می کنیم. بر اساس گزارش این وب سایت تنها در 9 ماه ابتدایی سال 2018، حدود 3 هزار و 676 حمله و نفوذ به داده های کاربران انجام شده است. 
همین آمار هم 2018 را به عنوان رتبه دوم در رده بندی سال های پرخطر برای تعرض به داده های کاربران معرفی می کند. 
 
 فیس بوک؛ رسوایی پس از رسوایی 
بی شک، بزرگترین فاجعه و رسوایی در زمینه اطلاعات شخصی، رسوایی فیس بوک است. روز 17 مارس 2018 بود که گاردین و نیویورک تایمز خبر جمع آوری داده های کاربران فیس بوک توسط شرکت مشاوره سیاسی کمبریج آنالیتیکا را فاش کردند. داده های حداقل 87 میلیون نفر از کاربران فیس بوک بدون اطلاع آنها در اختیار کمبریج آنالیتیکا قرارگرفته بود. کمپین انتخاباتی دونالد ترامپ این داده ها را که به واسطه استفاده از یک اپلیکیشن پرسش و پاسخ به دست آمده بود، مورد استفاده قرار داد تا تبلیغات فیس بوکی خود را به صورتی هدفمند در معرض دید گروه خاصی از کاربران این شبکه اجتماعی قرار دهد. 
شواهد زیادی در دست نیست که نشان دهد داده های به دست آمده توسط کمبریج آنالتیکا چگونه بر انتخابات ریاست جمهوری 2016 تاثیر گذاشته است، اما این مساله نشان داد که قوانین فیس بوک در زمینه حفاظت از حریم خصوصی کاربران چقدر ضعیف است. هنوز هم مشخص نیست که چه بر سر این داده ها آمده است. اما کمبریج آنالتیکا ادعا می کند که فایل های مربوط به داده ها را حذف کرده است. البته در اینکه چند نسخه از این داده ها وجود داشته هم خود جای بحث دارد. 
بعد از این ماجرا نیز در سپتامبر 2018، خبری مبنی بر به سرقت رفتن داده های دست کم 30 میلیون نفر از کاربران فیس بوک منتشر شد. محل زندگی، محل تولد، وضعیت تاهل و در برخی موارد تاریخچه جستجوها از جمله داده های به سرقت رفته بودند.
  رسوایی اپلیکیشن پولار
2018 سال خوبی برای اپلیکیشن ها نیز نبود. پولار Polar اپلیکیشنی است که در زمینه تناسب اندام طراحی شده و توسط اعضای ارتش، سازمان امنیت ملی و سرویس امنیتی آمریکا مورد استفاده قرار می گیرد. قوانین پولار برای محافظت از داده های کاربران تا حدی سهل لانگار بود که محققان توانستند کاربران ارتش و سازمان های امنیتی را در حین ورزش در نزدیکی پایگاه ها ردیابی کنند و اطلاعاتی نظیر نام مقامات نظامی و امنیتی، ضربات قلب و حتی آدرس محل زندگی آنها را به دست آورند. 
گفته می شود که داده های شخصی 6 هزار و 460 پرسنل نظامی و امنیتی از طریق این اپلیکیشن لو رفت. 
 
 ماجرای اکزکتیس
در ماه ژوئن 2018، اطلاعات 230 میلیون شهروند آمریکایی و 110 میلیون کسب وکار فعال در این کشور فاش شد. در این رویداد، شرکت بازاریابی Exactis که دفتر اصلی آن در فلوریدا قرار دارد، اطلاعات 340 میلیون شخص و کسب وکار را روی سروری قرار داد که عموم مردم توانستند به آن دسترسی پیدا کنند. 
این سرور حجم اطلاعاتی بالغ بر دو ترابایت داشت که شامل آدرس پست الکترونیک و نام افراد و همچنین مصرف یا عدم مصرف دخانیات، مالکیت حیوان خانگی، داشتن فرزند و علائق فردی می شد. 
 
 افشای اطلاعات هندی ها 
یک سیستم تشخیص هویت از طریق نشانه های بیومتریک با نام Aadhaar داده های شخصی 1/1 میلیارد  شهروند هندی را فاش کرد. این سیستم که بزرگترین مجموعه بیومتریک در جهان به شمار می رود، اطلاعات تمامی شهروندان هند را در خود ذخیره کرده بود که این اطلاعات شامل عکس، آدرس منزل، اثر انگشت و اطلاعات شخصی دیگر می شود. 
یک روزنامه نگار فاش شدن اطلاعات موجود در آدهار را کشف کرد و اعلام کرد که برخی افراد نام کاربری و رمز ورود خود به این مجموعه را در واتس اپ به فروش می رسانند و از این اطلاعات برای دستیابی به تمامی داده های موجود در این سیستم استفاده می کنند. گفته کی شود که برخی از فروشندگان به ازای فروش این اطلاعات مبلغی معادل هفت دلار از مشتریان دریافت می کردند. 
 
 حمله به مشتریان هتل های ماریوت
در تاریخ 30 نوامبر امسال بود که خبر افشای داده های 500 میلیون نفر از مشتریان هتل های زنجیره ای ماریوت منتشر شد. این داده ها مربوط به افرادی می شد که در اقامتگاه های ماریوت اقامت داشتند. 
هکرهایی که گفته می شود با پکن مرتبط هستند، به 327 میلیون نفر از 500 میلیون نفری که اطلاعات شان فاش شده بود، دست پیدا کرده بودند. این اطلاعات شامل نام، آدرس پستی، شماره تلفن، آدرس پست الکترونیک، تاریخ تولد، جنسیت، اطلاعات ورود و خروج، تاریخ رزرواسیون، گزینه های ارتباطی، شماره کارت های بانکی و تاریخ انقضای کارت ها می شد. درباره ۱۷۳ میلیون نفر باقیمانده، تنها بخشی از اطلاعات، نظیر نام و در برخی موارد آدرس پستی، آدرس پست الکترونیک و برخی اطلاعات دیگر به سرقت رفته بودند.
 
 فاش شدن اطلاعات مشتریان رستوران ها 
هیچ کس فکرش هم نمی کند که شاید اطلاعات مشتریان رستوران ها و کافه ها به درد کسی بخورد. اما باید بگوییم که در ماه آوریل گذشته، محققان امنیتی از انتشار داده های مشتریان رستوران های زنجیره ای Panera Bread پرده برداشتند. داده های منتشر شده در قالب متن ساده بودند و شامل نام، آدرس ایمیل، آدرس محل سکونت، تاریخ تولد و چهار رقم آخر شماره کارت اعتباری افراد می شدند. جالب اینجاست که یک هفته پس از تماس نخستین محققان، این شرکت زنجیره ای اعلام کرد که مشکل را برطرف کرده، اما محققان تا هشت ماه بعد همچنان می توانستند به این اطلاعات دسترسی پیدا کنند. 
پس از این هشت ماه در نهایت این مساله به اطلاع عموم رسید و در نتیجه Panera Bread وب سایت خود را از دسترس خارج کرد تا به حل این مشکل بپردازد. محققان می گویند که قربانیان این رویداد می تواند به 37 میلیون نفر هم برسد. 
 
 افشای داده های کاربران گوگل پلاس
در ماه اکتبر گذشته شرکت گوگل تایید کرد که اطلاعات شخصی حدود 500 هزار کاربر شبکه اجتماعی گوگل پلاس در نتیجه خطا در برنامه افشا شده است. این شرکت در بیانیه ای نوشت: ما دو هفته قبل از تصحیح خطا (در مارس 2018) یک تجزیه و تحلیل دقیق داده ها را انجام دادیم و دریافتیم که این خطا به طور بالقوه بر اطلاعات مربوط به حدود 500 هزار کاربر گوگل تاثیر گذاشته است.
تجزیه و تحلیل محققان نشان داد که 438 برنامه کاربردی می توانستند از این داده ها استفاده کنند. این اطلاعات شامل اطلاعاتی از جمله نام، آدرس ایمیل، حرفه، جنسیت و سن می شود اما شامل اطلاعات مربوط به پیام ها و اطلاعات کاربری و حساب ها، شماره تلفن و شماره تماس ها نمی شود. 
  منبع: Fast Company (روزنامه فناوران)

فرجی‌پور جانشین قرارگاه پدافند سایبری کشور با تاکید بر اینکه « امنیت را نمی‌توان از بیگانگان خرید» از موفقیت اسکادای بومی ایرانی و سامانه‌های (SOC) تولید بومی در شرایط عملیاتی خبر داد.

 محمدرضا فرجی‌پور جانشین قرارگاه پدافند سایبری کشور در برنامه گفتگوی فناوری اطلاعات با موضوع ماهیت دفاع سایبری که از شبکه خبر سیما پخش شد با اشاره به برگزاری پنجمین دوره از نمایشگاه صنعت بومی پدافند سایبری با بیان اینکه در این نمایشگاه عمدتا سامانه‌هایی به نمایش گذاشته می‌شوند که در جهت تحکیم و ارتقای امنیت و قابلیت‌های پدافندی در فضای سایبری کشور تولید می‌شوند، افزود: این سامانه‌ها به وسیله شرکت‌های دانش‌بنیان و فناور در این نمایشگاه عرضه می‌شوند برای اینکه توجه مدیران و مسئولان کشور و متخصصین را جلب کنند به اینکه چنین ظرفیت‌ها و توانمندی‌هایی وجود دارد.

وی با بیان اینکه محصولاتی که ارائه می‌شوند عمدتا محصولاتی است که درجهت امن‌سازی فضای سایبری به کار برده می‌شوند یعنی مجموعه‌ای از امن‌افزارها هستند که شامل دیواره‌های آتش، سیستم‌های یکپارچه تهدید، مراکز عملیات امنیتی و... می‌شوند، گفت: این قبیل محصولات درجهت امن‌سازی و تحکیم امنیت در سامانه‌هایی که مبتنی بر فضای سایبری هستند بکار می‌روند.

 فرجی‌پور افزود: دسته دیگر محصولات، محصولاتی هستند که در واقع فضای سایبری ما را به محصولات خارجی وابسته می‌کنند، ما در فضای سایبری کشورمان مخصوصا در بحث ارتباطات از تعداد زیادی سوییچ‌های مسیریابی اطلاعاتی استفاده می‌کنیم که تعدادشان بسیار زیاد است؛ لذا ما باید سعی کنیم این سوییچ‌ها و مسیر‌یابی‌ها که عمدتا غیر‌ایرانی هستند نمونه ایرانی و بومی را تولید کنیم و در کشور بکار بگیریم.

جانشین قرارگاه پدافند سایبری کشور با اشاره به اینکه اغلب محصولاتی که در این نمایشگاه معرفی شدند محصولاتی پرکاربرد درکشور هستند و علاوه بر فرصت‌هایی که ایجاد می‌کنند نمونه‌های غیربومی آنها می‌تواند برای ما تهدید‌آمیز باشد، ادامه داد: چه بهتر که اینها درون کشور به وسیله متخصصین داخلی طراحی و تولید شوند و ما بتوانیم از محصول بومی با اطمینان بیشتر استفاده کنیم.

وی با بیان اینکه دسته دیگر از محصولاتی که در این نمایشگاه ارائه شد برای ارزیابی امنیتی به کار می‌روند، گفت: به هرحال ما اکنون بسیاری از سامانه‌هایمان از مدت‌های قبل برپاشدند، اینها را باید معماری امنیتی‌اش را بازنگری کنیم و درخصوص وجود معماری امنیتی یک ارزیابی انجام دهیم، محصولات جدیدی که وارد بازار می‌شوند چه محصولات غیرایرانی چه محصولات ایرانی را باید از مسیر تحلیل و ارزیابی عبور بدهیم و مطمئن باشیم که این محصولات از نظر امنیتی، از نظر کارایی و از نظر عملکرد آنی هستند که مورد نظر مدیران کشور و متخصصین کشور هستند.

جانشین قرارگاه پدافند سایبری کشور با تاکید بر اینکه دسته دیگر از این محصولات که در این نمایشگاه ارائه شد مربوط  به حفاظت الکترونیکی و الکترومغناطیسی است، در این خصوص توضیح داد: ما علاوه بر تهدیدات سایبری در معرض تهدیدات الکترومغناطیسی هم هستیم و ما باید به نوعی سامانه‌های خودمان را در برابر این دسته از تهدیدها حفاظت کنیم تا انشاءالله اینها دربرابر امواج مخربی که به آنها تابیده می‌شود بتوانند سالم بمانند و به عملکرد خودشان ادامه دهند.

فرجی‌پور ادامه داد: اگر مسئولین کشور خوب به این مورد دقت می‌کردند الان باید کسانی که این محصولات را در کشور طراحی و تولید می‌کردند و به بازار رساندند مورد تشویق بسیار جدی قرار دهند، ما تا حدود ۶ سال پیش شاید یک نمونه از اینها را هم نداشتیم اما در سال‌های اخیر در این شرایط متخصصین جوان ما با تکیه و با تسلط بر دانش و فناوری توانستند این محصولات را ارائه بدهند به نحوی که همین الان ما ۵ نوع اسکادای بومی داریم، اسکادا یک نرم‌افزار کنترل صنعتی است که در سطح وسیعی فرایندهای صنعتی را در کشور کنترل می‌کند و سال‌ها این محصول در انحصار چند شرکت خارجی مشخص بود.

جانشین قرارگاه پدافند سایبری افزود: الان ما ۵ نوع محصول بومی داریم و یک و دو نوع از اینها درسیستم‌های کشور نصب شده است و خوشبختانه بعد از چندماه کارکرد خیلی خوب عملکرد داشته است، درمورد (اس او سی) Security Operation Center  هم به همین ترتیب، سامانه‌های مراکز عملیاتی امنیت سامانه‌های پیچیده‌ای هستند، فناوری بسیار پیچیده‌ای دارند اما باید نوید بدهم که خوشبختانه دانشمندان کشور ما این سامانه‌ها را در کشور طراحی کردند و الان برخی از (اس او سی)‌ های بومی در دستگاه‌های حساس کشور نصب شده است و دارد به خوبی عمل می‌کند و حتی بهتر از نمونه‌های خارجی از خودش کارایی نشان می‌دهد.

 فرجی‌پور با بیان اینکه من فکر می‌کنم ما عادت کرده‌ایم به استفاده از محصول خارجی که دم‌دست بوده و خریداری و استفاده کرده‌ایم، گفت: اما کمتر اعتماد به محصول بومی وجود داشته است، ما یک مقدار نسبت به ظرفیت‌های درون کشور خودمان دیرباور هستیم و  تا این نگاهمان عوض نشود این باورمان نسبت به توان و ظرفیت دانشمندان و متخصصان کشورمان تغییر نکند هیچ‌گاه اعتماد نمی‌کنیم.

وی ادامه داد: ما موارد متعددی داشته‌ایم که محصولاتی را ارائه کردیم جلسات متعددی برگذارشده برای آنکه به جای استفاده از محصول خارجی از محصول بومی استفاده بشود اما به صراحت برخی از مدیران و کارشناسان در جلسات می‌گویند نمی‌شود اعتماد کرد به محصول بومی! چرا؟ چون تابحال جایی استفاده نشده که ما بتوانیم ببینیم عملکردش چه بوده است! خب بالاخره این از کجا باید شروع کند؟ یا در مناقصات می‌نویسند دراین مناقصه شرط این است که محصول در ۵ کشور بین‌المللی نصب شده باشد! خب وقتی یک تولیدکننده داخلی هنوز سابقه کار ندارد در این مناقصه نمی‌تواند بااین شرایط شرکت کند، متاسفانه مناقصات جوری تنظیم می‌شوند که محصولات خارجی بتوانند ارائه شوند و محصولات بومی نتوانند درصحنه ارائه شوند.

فرجی‌پور با تاکید بر اینکه  انتظار از محصولات داخلی فوق‌العاده بالا است، گفت: حتی مواردی مشاهده کرده‌ام آنقدر که از محصول داخلی انتظار دارند از محصولات خارجی انتظار ندارند، حتی مواردی بوده است که محصولات خارجی اشکالاتی در کشور ما به وجود آورده‌اند، مواردی بوده از مسیر محصولات خارجی که سال‌ها در کشور ما مورد استفاده قرار می‌گرفته حملات سایبری انجام شده ولی کسی اعتراضی نمی‌کند اما اگر یک محصول داخلی در جایی به کارگیری شود یک اشکال از خود نشان دهد خواهیم دید که نامه‌های متعددی منتشر می‌کنند که این محصول مشکل دارد. من حرفم این است هر ایرانی باید محصول بومی و ایرانی را از خودش بداند و اگر اشکالی در آن می‌بیند تذکر دهد مثل پدری که به فرزندش تذکر می‌دهد که این اشکال را شما داری باید رفع کنی؛ هر ایرانی باید در رفع اشکالات نقش داشته باشد.

وی در بخش پایانی این مصاحبه با اشاره به اینکه امنیت مقوله‌ای نیست که ما بتوانیم مثل تجهیزات سخت‌افزاری و نرم‌افزاری که خریداری می‌کنیم از خارج خریداری کنیم؛ گفت: امنیت قابل خریداری نیست و اساسا برخی از مارک‌های مشهوری که سال‌های سال در کشورمان خریداری می‌شوند اینها هیچ‌وقت هیچ تعهدی درخصوص امنیت سامانه‌هایشان در برابر تهدیدات سایبری نداشته‌اند، الان یک چندسالی است که بخاطر ملاحظات و الزاماتی که سازمان پدافند غیرعامل کشور با جدیت آنها را وضع کرده و از طریق کمیته داخلی پدافند غیرعامل ابلاغ شده برخی از این شرکت‌های خارجی بخاطر اینکه بازار کشورمان را از دست ندهند به فکر این افتاده‌اند که یک فکری به حال امنیت بکنند و تحت فشار این کار را کرده‌اند و گرنه در سال‌های گذشته هیچ تعهدی در خصوص امنیت نداشته‌اند و من به شما می‌گویم که حتی یک سری محصولاتی که در سطح ارتباطی کشور هم به ما فروخته‌اند نه تنها امنیت ندارد بلکه قابلیت‌هایش را محدود کرده‌اند تا کشور ما نتواند در استفاده از آنها صرفه و صلاح اقتصادی داشته باشد.

باج‌افزار «واناکرای» هنوز فعال است

چهارشنبه, ۳۰ آبان ۱۳۹۷، ۰۷:۱۱ ق.ظ | ۰ نظر

مرکز مدیریت راهبردی افتای ریاست جمهوری از ادامه فعالیت باج‌افزار مخرب واناکرای خبر داد و اعلام کرد: نرخ آلودگی این بدافزار از زمان مشابه سال گذشته بیشتر است.

به گزارش مرکز مدیریت راهبردی افتای ریاست جمهوری، باج‌افزار واناکرای (WannaCry) ، پس از ۱۸ ماه فعالیت مخرب و آلوده کردن هزاران سیستم در سراسر جهان، همچنان فعال و نرخ آلودگی آن از زمان مشابه در سال گذشته بیشتر است.

گزارش‌های سه ماهه سوم آزمایشگاه کسپرسکی نشان می‌دهند که باج‌افزار WannaCry دارای بالاترین رتبه در بین بدافزارهایی است که فایل‌های کاربران را رمزگذاری می‌کنند. این بدافزار در ماه‌های جولای تا سپتامبر حدود ۷۴ هزار و ۶۲۱ حمله علیه کاربران در سطح جهان انجام داده، با این حال تعداد کل حملات همه باج‌افزارها در سال جاری کمتر از ۲۰۱۷ بوده است.

باج‌افزار WannaCry با استفاده از اکسپلویت EternalBlue گسترش یافته است. مایکروسافت برای جلوگیری از این بدافزار، وصله‌ای برای آن ارائه کرد، اما بسیاری از سازمان‌ها همچنان به روزرسانی را اعمال نکرده‌اند.

دیگر باج‌افزار گسترش یافته که در این گزارش آمده، GandCrab است که ۱۲ درصد از کل بررسی‌های باج‌افزاری را به خود اختصاص داده است. Cryakl، PolyRansom، Shade وCrysis نیز سایر بدافزارهای رمزکننده فایل‌ها هستند که بیشترین تعداد آلودگی را داشتند.

در مجموع آزمایشگاه کسپرسکی ۲۵۹ هزار و ۸۶۷ تلاش برای حملات باج‌افزاری علیه قربانیان را شناسایی کرد که ۱۳۲ هزار و ۸۱۰ مورد آن‌ها تنها در ماه سپتامبر اتفاق افتاده است.

مرکز افتا اعلام کرد: با اینکه تعداد حملات باج‌افزاری در حال کاهش است، اما همچنان خطری جدی به شمار می‌رود و توصیه می‌شود تا با اعمال به روزرسانی‌ها، استفاده از ابزارهای امنیتی و پشتیبان‌گیری دوره‌ای از فایل‌ها، جهت کاهش خطرات این گونه حملات اقدام شود.

به گزارش مهر، سال گذشته باج افزار واناکرای توانست طی یک حمله جهانی، بیش از ۲۳۰ هزار رایانه در ۱۵۰ کشور جهان را آلوده و اقدام به باج‌گیری کند.

مهراد کریم‌نیایی - دو سال قبل بود که دادستانی کل کشور پیگیر موضوع ضرر و زیانی شد که استاکس‌نت به ایران وارد آورد و خواستار محکومیت این اقدام در مجامع بین‌المللی شد. موضوعی که همان زمان مقام معظم رهبری نیز بر آن تاکید و در دیدار با کارگزاران نظام در بیست و پنجم خرداد‌  95 با اشاره به حمله سایبری آمریکا به تاسیسات هسته‌ای ایران گفته بودند: «این استاکس‌نت که سه سال قبل از این فرستادند داخل تشکیلات سایبری جمهوری اسلامی، می‌توانست تمام تشکیلات [هسته‌ای] ما را از بین ببرد؛ این کار، جنایت است؛ یعنی یک جنایت شناخته‌ شده بین‌المللی است و می‌توان گریبان صاحبان این جنایت را در دادگاه‌های بین‌المللی گرفت؛ متاسفانه ما نگرفتیم.»

کمی بعد از سخنان رهبر انقلاب، عبدالصمد خرم‌آبادی، معاون وقت دادستانی کل کشور از سازمان انرژی اتمی خواست که دلایل و مستندات وقوع حمله توسط استاکس‌نت را اعلام کند تا نسبت به شکایت در مجامع بین‌المللی اقدامات لازم به عمل آید.

در واقع مدتی توپ در زمین سازمان انرژی اتمی بود تا آنکه پس از مدتی این سازمان اعلام کرد که پاسخ دادستانی را در این مورد داده است؛ اما با وجود گذشت بیش از دو سال از این ماجرا همچنان روشن و مشخص نیست که دادستانی چه کاری انجام داده و چه اقداماتی در مجامع بین‌المللی برای محکومیت استاکس‌نت صورت گرفته است.

اهمیت این موضوع وقتی بیشتر می‌شود که همین هفته قبل، سردار جلالی، رییس سازمان پدافند غیرعامل کشور اعلام کرد، اخیرا نسل جدیدی از ویروس استاکس‌نت را که به‌صورت چندتکه بود و به‌صورت غیرفعال قصد ورود به سامانه‌های ما را داشت، کشف کردیم.

از سوی دیگر کشور ما همواره یکی از قربانیان اصلی جنگ‌ها و تبعیض‌ها و تحریم‌های سایبری محسوب می‌شود و با وجود ناکارآمدی مراجع و نهادهای بین‌المللی، اما موضع منفعلانه ایران می‌تواند باعث تشدید بروز حملات سایبری علیه کشور شود و از سوی دیگر این جنایات نیز پنهان مانده و به فراموشی سپرده شود.

 

تاکید بر جرم بودن حمله استاکس‌نت

"حمله سایبری به تاسیسات اتمی کشور بر اساس مواد 737 و 739 قانون مجازات اسلامی، (مواد 9 و 11 قانون جرایم رایانه‌ای)، ماده 17 قانون سازمان انرژی اتمی ایران، قانون مجازات اخلالگران در صنایع و معاهدات بین‌المللی مربوط به استفاده صلح‌آمیز از انرژی هسته‌ای جرم محسوب می‌شود."

این بخشی از اظهارات عبدالصمد خرم‌آبادی معاون سابق دادستان کل کشور در سال 95 بود.

تمام کشورهای پیشرفته دنیا تخریب و اخلال در سامانه‌های کامپیوتری از طریق ویروس و نرم‌افزارهای مخرب را جرم‌انگاری کرده‌اند، بنابراین از دیدگاه حقوقی زمینه پذیرش چنین دعاوی در مراجع قضایی خارجی و بین‌المللی وجود دارد و مسوولان ذی‌ربط باید این موضوع را با سرعت و اهتمام بیشتری به سرانجام برسانند. با این وجود تا لحظه سازمان انرژی اتمی، دادستانی و دولت هیچ‌یک اقدامی مشخص برای محکومیت حمله استاکس‌نت به تاسیسات اتمی کشور در مجامع بین‌المللی به انجام نرسانده‌اند.

 

وظیفه پیگیری حمله با دادستانی یا انرژی‌اتمی؟

ششم دی ماه 95 بود که عبدالصمد خرم‌آبادی، در رابطه با مطالبه رهبر معظم انقلاب مبنی بر پیگیری حمله سایبری استاکس‌نت به تاسیسات و تشکیلات هسته‌ای جمهوری اسلامی به اظهار نظر پرداخته و اعلام داشت: از نظر حقوقی در مواردی که حقوق عمومی مورد تعرض قرار می‌گیرد، در وهله اول وظیفه طرح دعوا برعهده نهادی است که اموال عمومی مورد تعرض را در اختیار دارد و دادستانی کل کشور در اجرای ماده 290 قانون آیین دادرسی کیفری به عنوان مدعی‌العموم و مدافع حقوق عمومی مکلف به پیگیری و نظارت بر روند احقاق حق از طریق مراجع ذی‌صلاح داخلی، خارجی یا بین‌المللی است.

بر همین اساس دادستانی کل کشور از سازمان انرژی اتمی خواست که به وظیفه خود درخصوص طرح دعوا اقدام کند و دادستانی موضوع حمله سایبری به تاسیسات اتمی کشور را با جدیت پیگیری خواهد کرد.

 

پاسخ سازمان انرژی اتمی به دادستانی

در این مقطع اعلام شد که سازمان انرژی اتمی پاسخ نامه دادستانی کل کشور را داده و اعلام کرده است که در رابطه با این موضوع جلسات متعددی در معاونت حقوقی و امور بین‌الملل آن سازمان تشکیل شده و مذاکراتی نیز با نهادهای ذی‌ربط به‌عمل آمده است. بر همین اساس مقرر شده سازوکارهای لازم برای تعیین نحوه اقامه دعوی درمراجع قضایی بین‌المللی و داخلی در کمیته‌ای با محوریت وزارت امورخارجه و مشارکت سازمان انرژی اتمی، مرکز امور حقوقی ریاست‌جمهوری و دبیرخانه شورای‌عالی امنیت ملی مشخص شود و نتیجه را به دادستانی کل کشور اعلام ‌کند.

براساس اعلام دادستانی، سازمان انرژی اتمی در این نامه پاسخ داده که قرار شده یک سری اقدامات با کمک معاون حقوقی ریاست‌جمهوری و وزارت امور خارجه انجام و نتیجه نهایی به دادستانی کل کشور اعلام شود.

با این وجود هرچند دو سال از این اظهار نظرها می‌گذرد اما همچنان خبری از محکومیت حمله استاکس‌نت در مجامع بین‌المللی و طرح دعوی حقوقی از سوی مسوولان کشور نشده است.

 

شناسایی نسل جدید استاکس‌نت در ایران

در نهایت همان‌طور که ذکر شد در حالی که طرح شکایت از حمله استاکس‌نت به تاسیسات هسته‌ای کشور همچنان به جایی نرسیده اما هفته گذشته رییس سازمان پدافند غیرعامل کشور با بیان اینکه تهدید نظامی در انتهای لیست دشمن است، اعلام کرد نسل جدیدی از ویروس‌ استاکس‌نت را کشف کرده‌اند.

آن‌طور که سازمان پدافند غیرعامل اعلام کرده ویروس استاکس‌نت جدید به‌صورت چندتکه بود و به‌صورت غیرفعال قصد ورود به سامانه‌های کشور را داشته که سازمان پدافند غیرعامل موفق به کشف آن شده است.

بر اساس این گزارش در حالی که بیش از هفت سال از پیدا شدن ویروس استاکس‌نت می‌گذرد و بدافزارهایی نظیر فلیم (شعله) نیز با هدف آسیب به زیرساخت‌های کشور وارد فضای مجازی شده‌اند همچنان اقدامی حقوقی و بین‌المللی برای محکومیت این دست اقدامات صورت نگرفته است. (منبع:عصرارتباط)

نفوذ سایبری از مبدا داخل ایران

جمعه, ۱۱ آبان ۱۳۹۷، ۰۴:۰۱ ب.ظ | ۰ نظر

مرکز ماهر بار دیگر نسبت به مشاهده گسترده آسیب‌پذیری در پروتکل SMB که امکان اشتراک گذاشتن دسترسی به فایل ها را ممکن می کند و افزایش حملات به سمت این سرویس، در سطح کشور هشدار داد.

به گزارش خبرنگار مهر، پروتکل SMB (Server Message Block Protocol ) یا بلاک پیام سرور، یک پروتکل ارتباطی سرویس گیرنده سرور است که برای به اشتراک گذاشتن دسترسی به فایل ها، چاپگرها، پورت های سریال و سایر منابع در شبکه استفاده می شود. همچنین می تواند پروتکل های مبادله ای را برای ارتباطات بین پردازش حمل کند.

پروتکل SMB به عنوان یک پروتکل درخواست پاسخ هم شناخته می شود. به این معنی که چندین پیام را بین سرویس گیرنده و سرور، برای ایجاد یک ارتباط، برقرار می کند.

از این رو چند روز گذشته، مرکز ماهر نسبت به مشاهده گسترده آسیب‌پذیری قدیمی در پروتکل SMB در سطح کشور که امکان اشتراک گذاری دسترسی به فایل ها را ممکن می کند، هشدار داد. 

این مرکز اعلام کرد: در اواخر سال ۱۳۹۵ یک آسیب‌پذیری جدی با سطح خطر بحرانی با نام EternalBlue در پروتکل ‫SMB افشاء شد که نسخه‌های مختلف سیستم عامل ویندوز را تحت تاثیر قرار می‌داد. از آن زمان تا به حال انواع کدهای سوء‌استفاده و ‫باج‌افزار و جاسوس‌افزار و غیره از این آسیب‌پذیری سوء‌استفاده کرده اند.

بررسی‌های مجدد مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (ماهر) نشان‌دهنده وجود تعداد زیاد آدرس های دارای آسیب پذیری مذکور است.

امروز نیز این مرکز اعلام کرد: پیرو اطلاعیه قبلی درخصوص وجود آسیب‌پذیری سرویس ‫SMB (درگاه ۴۴۵) در سطح کشور، بررسی‌های انجام شده نشان­ دهنده افزایش سطح حملات روی این درگاه است.

این درگاه به صورت پیش‌فرض در پروتکل SMB مورد استفاده قرار می‌گیرد که در گذشته مورد هجوم حملات بسیاری بوده است. آنچه در این ارتباط مورد توجه است، افزایش حملات در سطح کشور از مبدا داخل ایران است که می‌تواند گویای افزایش آلودگی در کشور باشد؛ از این رو لازم است تا پاکسازی سیستم‌های آلوده داخلی مورد توجه قرار گیرد.

وضعیت حملات ثبت شده از ابتدای مهرماه، نشان می دهد که ۱۰۳ هزار و ۴۴۲ حمله به این سرویس در ایران صورت گرفته و سهم ایران از کل حملات ثبت شده بیش از ۱۴ درصد است.

بر اساس گزارش منتشر شده از ‫کسپرسکی اخیرا گروه shadow broker ابزاری با نام DarkPulsar را ارائه کرده‌اند که با بهره‌گیری از این آسیب‌پذیری، اجازه کنترل راه‌دور را برای مهاجم فراهم می‌کند.

علاوه بر آن دو چارچوب پیچیده دیگر با نام‌های DanderSpritz و FuzzBunch نیز توسط این گروه در سال ۲۰۱۷ ارائه شده که دارای قابلیت تحلیل میزبان قربانی، آسیب‌پذیری‌های قابل اکسپلویت و سایر مولفه‌های مانیتور میزبان قربانی هستند.

سواستفاده جدید در پوشش استخراج ارزرمز

دوشنبه, ۳۰ مهر ۱۳۹۷، ۰۶:۱۵ ب.ظ | ۰ نظر

مرکز ماهر از افزایش چشمگیر پیام‌های فریبنده‌ در فضای مجازی با موضوع ترغیب کاربران به نصب یا اجرای برنامه‌هایی با قابلیت استخراج رمزهای ارزپایه خبر داد.

به گزارش خبرگزاری فارس، مرکز ماهر هشدار داد: مشاهدات اخیر حاکی از افزایش چشمگیر پیام‌های فریبنده‌ای است که در فضای مجازی برای ترغیب کاربران به نصب یا اجرای برنامه‌هایی با قابلیت استخراج رمزهای ارزپایه (عموما #‫بیت‌کوین) منتشر می‌شوند. این مجموعه‌ها نوعا از ساختار بازاریابی هرمی نیز استفاده می‌کنند تا از ارتباطات افراد برای افزایش گستره نفوذ خود بهره ببرند. مطالعات نشان می‌دهند که ادعاها و وعده های مطرح شده در اغلب موارد کذب بوده و این ابزارها علاوه بر احتمال آسیب زدن به سخت افزار رایانه‌ها می‌توانند سرمنشا مخاطرات جدی امنیتی باشند. به این ترتیب به کاربران و مدیران به طور جدی توصیه می‌شود که از عضویت در این شبکه ها پرهیز و ممانعت نمایند. 

بررسی‌های انجام شده نشان می‌دهد که برخلاف ادعاهای مطرح شده، از منظر اقتصادی و با توجه به انرژی الکتریکی صرف شده، انجام این کار با استفاده ازرایانه‌های معمول، حتی در صورتی که گرداننده شبکه هرمی و افراد بالادست چیزی از عایدات طلب نکنند، اقتصادی نخواهد بود. به همین دلیل در سطح جهان، انجام این امور به صورت قانونی (و نه با سرقت منابع دیگران) با تکیه بر سخت‌افزارهای خاص منظوره و با اتکا به پردازنده های گرافیکی پیشرفته انجام می‌گیرد.
ذکر این نکته حایز اهمیت است که با بیشتر شدن بار محاسباتی پردازنده‌ها برای استخراج ارزهای رمزپایه در رایانه‌های معمول و افزایش مصرف توان، دمای سیستم افزایش خواهد یافت و این خود سبب کاهش دوام دستگاه و احیانا آسیب به آن می‌شود. بنابراین حتی برای آزمایش نیز تصمیم به ورود به این شبکه‌های هرمی منطقی نیست.
همچنین اگرچه به دلیل تعدد این ابزارها فرصت تحلیل رفتاری همه آنها موجود نبوده است، اما نکته نگران‌کننده اصلی در این خصوص این است که با تکیه بر هر یک از روش های معمول برای انجام این امور به صورت هرمی ( اجرای برنامه‌های اجرایی ارایه شده یا نصب افزونه‌های معرفی شده در مرورگرهای وب) کاربر و شبکه میزبان او در معرض دسترسی فراهم آورنده این ابزارها یا سایر مهاجمین قرار می‌گیرند و این خود می‌تواند سرآغاز حملات جدی‌تر باشد. 
در خصوص کاربرانی که مالک رایانه یا بستر شبکه متصل به آن نیستند، عضویت در این شبکه‌های هرمی می‌تواند توام با جرایمی چون سوء استفاده از منابع عمومی یا خیانت در امانت نیز باشد.
به این ترتیب به کاربران و مدیران، مجددا توصیه اکید می‌شود که از ورود به این شبکه‌ها و نصب ابزارهای مرتبط با آنها پرهیز و ممانعت جدی به عمل آورند.

گسترش صفحات جعلی شاپرک

دوشنبه, ۲۲ مرداد ۱۳۹۷، ۰۲:۰۱ ب.ظ | ۰ نظر

مرکز مدیریت راهبردی افتای ریاست جمهوری نسبت به شیوع باج افزار «پول زور» که با استفاده از صفحات جعلی درگاه بانکی شاپرک، از کاربران یک میلیون تومان باج می گیرد، هشدار داد.

به گزارش خبرگزاری مهر، مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری اعلام کرد: باج‌افزار PooleZoor با پشتیبانی از زبان فارسی و فیشینگ کردن شاپرک از کاربران باج‌های یک میلیون تومانی می‌گیرد.

باج‌افزار پول زور فایل‌های قربانی را با استاندارد AES رمزگذاری می‌کند و برای بازیابی فایل‌های از دست‌رفته، مبلغ ۱۰ میلیون ریال درخواست می‌کند؛ این باج افزار ، پسوند .poolezoor را به فایل‌های قربانی اضافه و آن‌ها رمزگذاری می‌کند.

نکته قابل توجه در این باج‌افزار، نحوه پرداخت است. روش کار این باج افزار به این‌گونه است که مهاجم آدرسی فیشینگ را که به درگاه پرداخت شاپرک شبیه است، ارائه می‌کند در این درگاه دروغین، هیچ پرداختی انجام نمی‌شود اما  مهاجم به اطلاعات کارت و حساب بانکی قربانی دست می‌یابد.

این باج‌افزار ممکن است از طریق پیکربندی محافظت‌نشده RDP، ایمیل‌های اسپم و پیوست‌های مشکوک، فایل‌های دانلودی، بات‌نت‌ها، اکسپلویت‌های موجود، تزریق وب، بروزرسانی‌های جعلی و فایل‌های نصبی آلوده منتشر شده باشد.

باج‌افزار PooleZoor ، فایل‌های اسناد آفیس، OpenOffice، PDF، فایل‌های متنی، پایگاه‌های داده، فایل‌های رسان‌های تصویر، موسیقی و ویدئو، فایل‌های فشرده و غیره را رمزگذاری می‌کند.

در آدرس اصلی درگاه پرداخت شاپرک ( https://shaparak.ir ) از پروتکل HTTPS  بعنوان ارتباطی امن و محافظت شده، استفاده شده است و در نوشتن لاتین کلمه شاپرک با شاپرک قلابی تفاوت وجود دارد.

کارشناسان مرکز مدیریت راهبردی افتای ریاست جمهوری توصیه می‌کنند به هیچ عنوان به آدرس پرداخت این باج افزار مراجعه نکنید و از آنتی‌ویروس‌های معتبر برای جلوگیری از نفوذ و یا پاکسازی آن استفاده کنید.

رژیم صهیونیستی فقط به حمله های نظامی معمول بسنده نمی کند. این رژیم در سال های اخیر با انتشار ویروس ها و ابزارهای جاسوسی متعددی، فضای سایبری را نیز نا امن کرده است.

به گزارش خبرنگار مهر، هنگامیکه سخن از حمله های سایبری به میان می آید، بیشتر افراد به این نکته اشاره می کنند که هکرها اصولا در روسیه یا چین هستند و هدف آنها دزدیدن اطلاعات شخصی برای سود مالی یا دریافت باج است. اما هدف مهم تر از اینها، حمله های جاسوسی و خرابکاری است. در همین زمینه رژیم صهیونیستی بارها اعلام کرده از اسلحه های سایبری استفاده می کند. این رژیم غاصب هرچند نوع دقیق اسلحه ها را اعلام نکرده اما تا به حال حملات سایبری و بدافزارهای متعددی را منتشر کرده است.

رژیم صهیونیستی واحد اطلاعاتی به نام «واحد ۸۲۰۰»  تشکیل داده که مسئول ساخت برخی از بدافزارهای مشهور قرن بیست و یکم هستند. این واحد از جوانان ۱۸ تا ۲۱ ساله تشکیل شده است. درهمین راستا برنامه ای خارج از مدرسه برای نوجوانان ۱۶ تا ۱۸ سال برگزار می شود که به آنها برنامه نویسی و هک کردن را می آموزد. نیروهای واحد نیز از بین شرکت کنندگان همین کلاس ها انتخاب می شوند.

این درحالی است که به نوشته روزنامه فرانسوی لوموند این واحد در یک مقر در Negev فعالیت می کند و قادر به رصد تماس های صوتی، ایمیل و وسایل ارتباطی دیگر در سراسر خاورمیانه، اروپا، آسیا و آفریقا و همچنین ردیابی کشتی ها است.

 رژیم صهیونیستی همچنین در تمام سفارت های خود در سراسر جهان مقرهای شنود دارد و از طریق  کابل های زیر دریایی نیز شنود می کند.

 همچنین به نوشته روزنامه نیویورک تایمز رژیم صهیونیستی مقرهای شنودی در فلسطین دارد. به طوریکه در ۲۰۱۴ میلادی ۴۳ نفر از نیروهای این واحد با امضای نامه ای اعلام کردند تجهیزات نظارت الکترونیک این واحد، اطلاعات خصوصی مردم فلسطین را جمع آوری می کند.

 

همکاری با آمریکا برای ساخت استاکس نت

فعالیت های مجرمانه رژیم صهیونیستی فقط به فلسطین منتهی نمی شود. گزارش های مختلفی که در رسانه های متعدد منتشر شد، نشان می دهد ویروس استاکس نت نیز توسط رژیم صهیونیستی ساخته شد. به نوشته رونامه گاردین این ویروس در ۲۰۱۰ میلادی  بسیاری از رایانه های صنعتی از جمله رایانه های تجهیزات هسته ای ایران را هدف قرار داد. کارشناسان معتقدند آمریکا و رژیم صهیونیستی این بدافزار را به وجود آوردند. سرگی اولاسن نخستین بار ویروس استاکس نت را کشف کرد این ویروس که از طریق  ویندوز منتشر می شود، سیستم های کنترل صنعتی شرکت زیمنس را هدف گرفته بود.

 

ویروس مشابه استاکس نت با هدف جمع آوری اطلاعات

یکی دیگر از ویروس ها، «دوکو» مجموعه ای از بدافزارهای رایانه ای است که در سپتامبر ۲۰۱۱ کشف شد. این ویروس به استاکس نت مرتبط بود. دانشگاه اقتصاد و فناوری بوداپست در بلغارستان این تهدید را کشف کرد. این تهدید  شباهت زیادی به استاکس نت داشت اما هدف آن متفاوت بود. شرکت Symantech درباره این ویروس تحقیقاتی انجام داد و معتقد بود این ویروس توسط سازندگان استاکس نت به وجودآمده و اطلاعات را برای حملات آتی جمع آوری می کند. این ویروس نیز مانند استاکس نت، به سیستم عامل ویندوز حمله می کند.  از اطلاعات جمع آوری شده با این ویروس برای حمله به سیستم های کنترل صنعتی استفاده می شود.

 

جاسوسی در مذاکرات هسته ای ایران با Duqu2.0

به نوشته نشری اشپیگل،این ویروس یکی از پیچیده ترین ویروس هایی است که ساخته شده و در سال ۲۰۱۴ حتی به سیستم های شرکت کسپراسکای نیز نفوذ کرد. این ویروس مدت ها در سیستم کسپراسکای بود و شناسایی نشد. علاوه بر آن از این ویروس برای جاسوسی درباره مذاکرات هسته ای ایرانی نیز استفاده شد. 

 

ساخت ویروس جاسوسی از موبایل برای دولت ها

 در سال ۲۰۱۶ نیز محققان ویروسی به نام پگاسوس را ردیابی کردند که سیستم های عامل اپل را هدف گرفته بود.ویروس مذکور آیفون های ۶ را از راه دور رصد می کرد. این حمله سایبری کاربران را تشویق می کرد یک URL را با از کنند که با پیامک ارسال شده است. پس از دنبال کردن لینک با استفاده از شکاف های امنیتی در موتور جستجوی Safari دسترسی به هسته سیستم عامل را فعال می کرد و بدافزار روی موبایل نصب می شد. پس از آن  بدافزار از تمام وجوه موبایل کاربر از تماس های صوتی و پیامک گرفته تا اطلاعات تقویم و عکس و ویدئوها را جاسوسی می کرد. به نوشته رویترز محققان دانشگاه تورنتو در Citizen Labاین حمله را نخستین بار ردیابی کردند. این گروه ادعا می کنند شرکت NSO که به رژیم صهیونیستی تعلق دارد این بدافزار را برای دولت ها ساخته است.

 

ساخت ویروسی مخصوص دستگاه های اندروید

سال گذشته گوگل نیز نسخه ای از ویروس پگاسوس را در موبایل های اندروید ردیابی کرد. به نوشته فوربس، گوگل این ویروس ر ا Lipizzan نام گذاری کرد. در زمان کشف ویروس مذکور روی کمتر از ۱۰۰ موبایل نصب شده بود. همه این موبایل ها قبلا به بدافزار پگاسوس آلوده شده بودند.  به گفته تیم امنیتی اندروید، Lipizzan یک ابزار جاسوسی پیچیده و دومرحله ای است. جالب آنکه گوگل متوجه شد این بدافزار به ۲۰ فرم مختلف ارائه شده و تعدادی از اشکال آن نیز در پلی استور موجود بود. به طور معمول Lipizzan شبیه یک ابزار عادی مانند اپلیکیشن ضبط صوت یا بک آپ نمایان می شود. اما پس از نصب در موبایل ایمیل، پیامک، مکان و تماس های صوتی کاربر را رصد می کند. همچنین این بدافزار اطلاعات برخی از اپلیکیشن ها مانند واتس اپ، وایبر، تلگرام، جی میل، لیندکین و اسکایپ را نیز جمع آوری می کند.

 شرکتی به نام Equus این ویروس را ساخته که اطلاعات زیادی از آن در دسترس نیست فقط به نظر می رسد مقر آن در منطقه Herzliya در تل آویو باشد. همچنین یکی از مهندسان آن قبلا در NSO فعالیت می کرده است.

 

جاسوسی از رایانه ها با پهپاد

روش های جاسوسی رژیم صهیونیستی فقط به این موارد محدود نمی شود. خبرگزاری راشاتودی نیز در خبری اعلام کرده است که محققان رژیم صهیونیستی روشی برای حمله به رایانه های جداگانه ایجاد کرده اند. برای این منظور آنها کنترل نشانگرهای ال ای دی رایانه را به دست می گیرند. در مرحله بعد این هکرها نشانگرها را وادار می کنند تا ۶ هزار بار در یک ثانیه چشمک بزنند و سیگنالی حاوی اطلاعات را به دوربینی بفرستد که روی یک پهپاد در نزدیکی رایانه هدف گرفته شده، ارسال کند.

 این روش رایانه هایی را هدف می گیرد که به اینترنت و شبکه های شرکتی متصل نیستند و به همین دلیل دسترسی به اطلاعات آنها برای هکرها چالش برانگیز است. در نتیجه  اطلاعات حساسی را در خود حفظ می کنند.

 به گفته هکرها با این روش اطلاعات با سرعت ۴ هزار بیت در ثانیه منتقل می شود. البته قبل از این فرایند رایانه باید به وسیله یو اس بی یا کارت اس دی به ویروس آلوده شود. با این روش هک را به سختی می توان ردیابی کرد.

 

افزایش مهارت  ایران در حوزه سایبری

 به هرحال به نظر می رسد رژیم صهیونیستی همچنان به ساخت بدافزارها و انتشار آن ادامه می دهد. هدف این رژیم از انتشار بدافزارها جاسوسی کردن از افراد و دولت ها و خرابکاری در مسیر موفقیت دشمنان خود است. اما به نظر نمی رسد این روند تا همیشه ادامه یابد. این در حالی است که به نوشته گاردین در سال های اخیر قدرت سایبری ایران افزایش یافته است. این رسانه در سال ۲۰۱۴ در گزارشی نوشته است: در سال های اخیر ایرانیان در حوزه سایبری ماهر تر شده اند. آنها قبلا سومین حلقه قدرت سایبری  بودند اما خیلی زود وارد دومین حلقه قدرت های برتر سایبری  شده اند.

افزایش حملات فیشینگ به درگاه‌های بانکی کشور

سه شنبه, ۴ ارديبهشت ۱۳۹۷، ۰۲:۵۴ ب.ظ | ۰ نظر

مرکز ماهر از رشد حملات فیشینگ درگاه‌های پرداخت بانکی طی دو ماه گذشته، با انتشار‫ برنامکهای اندرویدی مخرب یا جعلی خبر داد.

به گزارش مرکز روابط عمومی و اطلاع رسانی وزارت ارتباطات و فناوری اطلاعات، این مرکز اعلام کرد بر اساس رصد صورت گرفته حملات ‫فیشینگ درگاه‌های پرداخت بانکی در کشور در دو ماه گذشته رشد شدیدی داشته است. این حملات عموما با محوریت انتشار برنامکهای اندرویدی مخرب یا جعلی صورت گرفته است.

بر این اساس مرکز ماهر توصیه هایی را جهت کاهش احتمال قربانی شدن در این حملات پیشنهاد کرده است:

پرهیز از نصب هرگونه برنامک اندرویدی از منابعی غیر از توزیع‌کنندگان شناخته شده و معتبر به ویژه پرهیز از نصب برنامک های منتشر شده در شبکه‌های اجتماعی و کانال‌ها و همچنین حساسیت بیشترنسبت به هرگونه پرداخت درون اپلیکیشن‌های موبایلی حتی در صورت دریافت آن از طریق توزیع‌کنندگان معتبر (لازم به توجه است که هرگونه پرداخت درون برنامه‌ باید با انتقال کاربر به آدرس معتبر درگاه پرداخت از طریق صفحه مرورگر صورت پذیرد) از جمله پیشنهادهای مطرح شده است.

توجه داشته باشید که برنامک‌های متعددی حتی از طریق توزیع کنندگان شناخته شده منتشر شده اند که با فریب کاربر و با استفاده از درگاه‌های پرداخت معتبر از کاربر وجه دریافت کرده ولی در عمل هیچ خدمتی ارائه نمی‌کنند.

درگاه‌های پرداخت صرفا در آدرس‌های معرفی شده از سوی شرکت شاپرک در این آدرس و بصورت زیردامنه‌هایی از shaparak.ir‌  (بدون هرگونه تغییر در حروف) معتبر هستند. هر گونه آدرسی غیر از این نامعتبر بوده و لازم است ضمن خودداری از وارد کردن اطلاعات در آن، نسبت به گزارش آن به مرکز ماهر(cert@certcc.ir) یا پلیس فتا جهت پیگیری و مقابله اقدام گردد.

توجه داشته باشید صرف مشاهده مجوز HTTPS معتبر در وبسایت به معنی اعتبار آن نیست. حتما به آدرس دامنه‌ی وبسایت دقت کنید.

در جدول پیوست فهرستی از موارد فیشینگ رصد شده و مسدود شده توسط مرکز ماهر در فروردین ماه ارایه شده است. خوشبختانه هویت عاملین برخی از این حملات شناسایی شده و اقدامات جهت برخورد قانونی با آنها در جریان است

انگلیس هم ایران را به حملات سایبری متهم کرد

شنبه, ۴ فروردين ۱۳۹۷، ۱۲:۰۵ ق.ظ | ۰ نظر

 معاون امور سایبری وزیر خارجه انگلیس روز جمعه با تکرار ادعای آمریکا، ایران را به انجام فعالیت‌های مخرب سایبری و هدف قرار دادن صدها دانشگاه متهم کرد.

مای وزارت خارجه انگلیس، لرد طارق احمد گفت: تشخیص دولت انگلیس این است که موسسه مبنا مستقر در ایران مسئول شبکه هکری است که دانشگاه‌های سراسر دنیا را هدف قرار داده است. 

به گزارش ایرنا وی افزود: هکرها تلاش کردند تا از طرق سرقت مالکیت معنوی دانشگاه‌ها، درآمدزایی کرده و با هزینه ما به دستاوردهای فنی دست پیدا کنند.

لرد احمد بابیان اینکه انگلیس از اقدام آمریکا در محکومیت موسسه مبنا استقبال می‌کند، افزود: این اقدام نشان‌دهنده تمایل و توانایی ما برای استفاده از تمامی اهرم‌های موجود جهت پاسخ‌دهی جمعی به حملات سایبری است.

وی افزود: تمرکز این حمله بر دانشگاه‌های ما مؤید این است که تمام ارگان‌ها اهداف بالقوه به شمار می‌روند و بایستی دائماً در جهت تقویت امنیت سایبری خود گام بردارند.

این سیاستمدار انگلیسی بابیان اینکه فعالیت‌های مخرب سایبری بدون مجازات باقی نمی‌ماند، افزود که کارکنان موسسه مبنا دیگر قادر نیستند تا آزادانه سفر و مجبور هستند تا آینده شغلی خود را در ایران محدود کنند.

وزارت خزانه‌داری آمریکا پیشتر موسسه مبنا و ۱۰ شخص ایرانی را به ادعای فعالیت‌های مخرب سایبری تحریم کرد.

در اطلاعیه روز جمعه وزارت خزانه‌داری آمریکا آمده است: در اقدام هماهنگ با وزارت دادگستری ایالات‌متحده، دفتر نظارت بر دارایی‌های خارجی (OFAC) وزارت خزانه‌داری ایالات‌متحده، یک‌نهاد ایرانی و ۱۰ نفر از افراد ایران را تحت فرمان اجرایی E.O) ۱۳۶۹۴) &#۳۹;مسدودسازی اموال برخی افراد مشارکت‌کننده در فعالیت‌های قابل‌ملاحظه تخریب سایبری، مورد تحریم قرارداد.

بر پایه این اطلاعیه، مؤسسۀ مبنا یک شرکت ایرانی دانسته شده است که در سرقت شناسه‌های شخصی و منابع اقتصادی برای افزایش منافع مالی خصوصی فعالیت می‌کند. 

دفتر کنترل دارایی‌های خارجی وزارت خزانه‌داری آمریکا همچنین غلامرضا رفعت نژاد، احسان محمدی، سید علی میرکریمی، مصطفی صادقی، سجاد طهماسبی، عبدالله کریما، ابوذر گوهری مقدم، روزبه صباحی، محمد رضا صباحی و بهزاد مصری را هم در لیست این تحریم ها قرار داده است

تهدید سامانه‌های کنترل از دور سازمان‌های کشور

چهارشنبه, ۱ فروردين ۱۳۹۷، ۱۱:۵۳ ق.ظ | ۰ نظر

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای نسبت به شناسایی تهدید جدی سرویس دهنده‌های RDP (ریموت دسکتاپ) بر بستر شبکه اینترنت سازمانها، هشدار داد.

به گزارش خبرنگار مهر، سرویس RDP یا Remote Desktop Protocol قابلیت اتصال از راه دور یک کامپیوتر به کامپیوتر دیگر و کنترل دسکتاپ را برای سازمان ها فراهم می کند.

مرکز ماهر با انتشار گزارشی از شناسایی حملاتی بر بستر این سرویس در کشور و سوء استفاده از آدرسهای IP مرتبط با این پروتکل به سازمانها و شرکتها خبر و هشدار داده است.

این مرکز اعلام کرد: با توجه به تهدیدات گسترده ‌اخیر درباره سوءاستفاده و نفوذ از طریق پروتکل‌ RDP از جمله شناسایی آسیب‌پذیری CredSSP و انتشار باج‌افزارهای مختلف از طریق این پروتکل،‌ تمرکز بیشتری در رصد فعالیت‌ها و حملات بر این بستر از طریق شبکه «هانی‌نت مرکز ماهر» صورت گرفته است.

در این بین نتایج اولیه بررسی منجر به شناسایی شماری از آدرس‌های IP داخل و خارج از کشور شده است که به نحوی مورد سوءاستفاده قرار گرفته و درحال تلاش برای آسیب‌رسانی و ورود به سامانه ها از طریق این پروتکل هستند.

اطلاع‌رسانی و پیگیری رفع آلودگی یا سوءاستفاده از این IP ها از طریق مالکان آدرس‌های داخلی توسط مرکز ماهر درحال انجام است.

همچنین مکاتبه با مراکز ماهر کشورهای خارجی (CERT های ملی کشورهای خارجی) جهت مقابله در جریان است.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای به کاربران تاکید کرده است که برای رفع تهدید به ویژه در ایام تعطیلات نوروز از قرار دادن سرویس RDP و سایر پروتکل‌های دسترسی راه‌دور نظیر telnet و SSH روی شبکه اینترنت اکیدا خودداری کرده و درصورت نیاز، دسترسی به این سرویس‌ها را تنها بر بستر VPN و یا برای آدرس‌های مبداء مشخص و محدود برقرار کنند.

11 توصیه سایبری برای ایام نوروز

سه شنبه, ۲۹ اسفند ۱۳۹۶، ۰۲:۲۹ ب.ظ | ۰ نظر

مرکز ماهر با اعلام ۱۱ اقدام پیشگیرانه برای حوادث احتمالی فضای مجازی در تعطیلات نوروزی، نسبت به نفوذ، سرقت اطلاعات و تخریب در زیرساختهای فناوری اطلاعات و ارتباطات در این ایام هشدار داد.

به گزارش خبرنگار مهر، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای با انتشار توصیه های امنیتی خطاب به مدیران فناوری اطلاعات سازمانها و شرکتها، نسبت به احتمال بروز حوادث در فضای مجازی در ایام نوروز هشدار داد.

مرکز ماهر تاکید کرد که ایام تعطیل مخصوصا تعطیلات طولانی، فرصتی مناسب برای مهاجمان جهت انجام نفوذ، سرقت اطلاعات و تخریب در زیرساخت های فناوری اطلاعات و ارتباطات است. از این رو پیشنهاد می شود تا اقداماتی به شرح زیر برای کسب آمادگی بیشتر و پیشگیری ازحوادث در دستور کار سازمانها و شرکتها قرار گیرد.

۱. تعیین نفرات مسئول جهت پیگیری تهدیدات و مشکلات احتمالی و هماهنگی با مرکز ماهر

۲. سرکشی به سامانه ها، بررسی عملکرد سرورها و گزارش های امنیتی در تعداد نوبت های متوالی در ایام تعطیلات نوروز 

۳. بررسی کامل رخدادنماها (فایل های ثبت وقایع) در سامانه ها و تجهیزات فناوری سازمانها، از جمله سرویس دهنده ها، آنتی ویروس ها، دیواره های آتش و بررسی موارد مشکوک مخصوصا تلاش های ناموفق جهت ورود به سامانه ها، انواع حملات تشخیص و پیگیری شده و دسترسی های موفق در ساعات غیر متعارف

۴. غیرفعال سازی و یا خاموش کردن سامانه ها و خدمات دهنده هایی که در این ایام تعطیلات نیاز به ارائه خدمات آنها وجود ندارد. این موضوع بخصوص در مورد سامانه های مرتبط با اینترنت از اولویت بیشتری برخوردار است.

۵. غیرفعال سازی ارتباطات شبکه غیرضروری به ویژه شبکه های wifi 

۶. محدودسازی و یا قطع پروتکل های دسترسی از راه دور (rdp و ssh ) و در صورت نیاز حفاظت از این قبیل دسترسی ها با بهره گیری از ارتباطات vpn امن

۷. بررسی کیفیت و در صورت نیاز به تغییر دادن کلمات ورود به سامانه ها قبل از آغاز تعطیلات و رعایت نکات امنیتی در تعیین کلمه عبور، تعیین و تنظیم تعداد دفعات برای تلاش ناموفق ورود و مخصوصا دقت کافی در زمان مجاز استفاده از رمز عبور برای دسترسی از راه دور 

۸. به روزرسانی سیستم های عامل، نرم افزارها و سخت افزارهای امنیتی 

۹. تهیه نسخه پشتیبان از سامانه ها و اطلاعات به ویژه پایگاه های داده و تست عملکرد صحیح پشتیبان های تهیه شده قبل از آغاز تعطیلات 

۱۰. هوشیاری و پیگیری اخبار حوزه امنیت اطلاعات به منظور آگاه شدن از تهدیدهای بالقوه و در صورت نیاز انجام اقدامات تامینی در طی مدت تعطیلات  

۱۱.  گزارش کردن هرگونه مورد مشکوک برای دریافت خدمات تخصصی امدادی ویژه از مرکز ماهر با پست الکترونیکی cert@certcc.ir و یا شماره تماس های مندرج در وبسایت این مرکز به آدرس www.certcc.ir و نیز مراکز تخصصی آپا (آگاهی رسانی و پشتیبانی) که در این ایام آماده به کشیک هستند.

میزان حمله کشورهای مختلف به honeypot ایرانی

شنبه, ۲۶ اسفند ۱۳۹۶، ۰۳:۴۳ ب.ظ | ۰ نظر

درصد حملات کشف شده از کشورهای مختلف در یک honeypot ایرانی.

منبع:کانال تخصصی مدیران شبکه و امنیت

رکورد حملات سایبری شکست

سه شنبه, ۱۵ اسفند ۱۳۹۶، ۰۲:۲۹ ب.ظ | ۰ نظر

هفته گذشته سایت مشهور گیت هاب به علت حملات سایبری موسوم به دی او اس با ظرفیت ۱.۳ ترابایت در ثانیه از کار افتاد. اما بعد از ۵ روز این رکورد حمله سایبری هم شکسته شد.

به گزارش خبرگزاری مهر به نقل از رجیستر، موسسه امنیتی آربور نتورکس می گوید گیت هاب روز گذشته حمله ای با ظرفیت بی سابقه ۱.۷ ترابیت در ثانیه را پشت سر گذارده و البته این بار بر خلاف دفعه گذشته از کار نیفتاده، زیرا برای مقابله با حمله دی او اس یادشده تمهیدات کافی را در نظر گرفته بود.

کارشناسان امنیتی بارها در مورد تشدید و گسترش حملات سایبری و به خصوص حملات موسوم به DOS هشدار داده اند. در قالب این حملات درخواست های زیادی برای بازدید از یک سایت به طور ناگهانی و گسترده ارسال شده و تلاش می شود با ایجاد ترافیک مصنوعی دسترسی به سایت مورد حمله مختل شود.

در حالی که تا سال ۲۰۱۲ ظرفیت ترافیک ایجاد شده در حملات دی او اس به ندرت از ۱۰۰ گیگابیت در ثانیه فراتر رفته بود، از سال ۲۰۱۳ شاهد اوج گیری و تشدید حملات دی او اس بوده ایم؛ به گونه ای که ترافیک کاذب ایجاد شده بر روی سایت های هدف در سال ۲۰۱۴ به رکورد بی سابقه ۳۰۹ گیگابیت در ثانیه و در سال ۲۰۱۶ به رقم ۶۵۰ گیگابیت در ثانیه افزایش یافت.

در حال حاضر و در شرایطی که تنها دو ماه از سال ۲۰۱۸ گذشته این رقم به ۱.۷ ترابیت در ثانیه رسیده است. مدیران سایت ها برای مقابله با این حملات باید از سرورهای قدرتمند و امکانات سخت افزاری متعددی استفاده کنند که در توان همه آنها نیست و تداوم این وضعیت می تواند آینده اینترنت را به طور جدی به چالش بکشد.

مجرمان اینترنتی با قرار دادن ویروسی در ۷۴۰۰ وب سایت در سراسر جهان، کنترل رایانه های کاربران مبتلا را به دست گرفتند و پول مجازی استخراج کردند.

به گزارش خبرگزاری مهر به نقل از میل آنلاین، هکرها هزاران وب سایت دولتی انگلیس را هک کرده اند تا بتوانند پول های مجازی مانند بیت کوین را ذخیره کنند.  وب سایت های متعلق به کمیسیون اطلاعات، شرکت وام های دانشجویی و وب سایت NHS اسکاتلند در انگلیس همه به نوعی ویروس مبتلا شدند. طبق آمار حدود ۷۴۰۰ وب سایت در سراسر جهان با این ویروس ها آلوده شده اند.

در نتیجه این حمله، مجرمان با استفاده از رایانه و موبایل های بازدیدکنندگان این سایت ها درآمدزایی کردند.

مجرمان سایبری ویروسی به نام Coinhive را در نرم افزار مورد استفاده در این وب سایت ها قرار دادند. وب سایت ها با استفاده از نرم افزار مذکور برای کاربران نابینا اجازه دسترسی فراهم می کردند. هنگامیکه کاربران روی سایت کلیک می کردند، این ویروس به رایانه های خودشان منتقل می شد.

در مرحله بعد هکرها با استفاده از قدرت پردازش اضافی که دستگاه های کاربران فراهم کرده بود، پول های مجازی مانند بیت کوین را استخراج کردند. در فرایند استخراج (Mining) با حل مسئله های پیچیده ریاضی سکه های دیجیتالی جدیدی به وجود می آیند. هنگامیکه سکه های مجازی به وجود بیایند، می توان آنها را به طور آنلاین ذخیره کرد.

اسکات هلم محقق امنیت سایبری می گوید: این نوع حمله چندان جدید نیست اما بزرگترین نمونه ای است که من تابه حال دیده ام.

از زمان به وجود آمدن پول مجازی، ارزش بیت کوین با ۷۲ درصد رشد به ۱۲۳۰۰ پوند رسیده است.

روش جدید هکرها برای خالی‌کردن عابربانک

دوشنبه, ۹ بهمن ۱۳۹۶، ۰۳:۱۲ ب.ظ | ۰ نظر

سرویس‌های امنیتی در آمریکا به موسسات مالی خود نسبت به توسعه روش جدید هکرها برای پول پارو کردن از دستگاه عابربانک / Jackpotting هشدار دادند.

به گزارش خبرآنلاین، کارشناسان سایت کربس{لینک} تایید کردند اولین پاروکردن پولِ عابربانک در آمریکا را رصد کرده‌اند که هکرهای نخبه، با ترکیبی از بدافزار و نصب «سخت‌افزار خود ساخته» اقدام به پاروکردن مقدار زیادی پول اسکناس از دستگاه عابربانک در یک بار حمله کرده‌اند.{لینک}

این سایت تایید کرد هفته گذشته از یکی از عابربانک‌های مکزیک مقادیر متنابهی اسکناس به شیوه جکپات پارو شده است.

یکی از معروف‌ترین سازندگان عابربانک، کمپانی Diebold Nixdorf نیز ضمن هشدار به سازمان‌هایی که از این نوع دستگاه استفاده می‌کنند، اعلام کرد مدل خاصی از عابربانک به نام Opteva در معرض جکپات قرار گرفته است.

کمپانی NCR Corp، دیگر سازنده دستگاه عابربانک نیز هشداری مشابه به مشتریان خود داده است. پس از ارسال اخطار چند روز پیش سازمان‌های امنیتی و اطلاعاتی آمریکا به نهادهای مالی، گفته می‌شود این هشدارها جدی تلقی شده و ممکن است هکرها از دستگاه‌های عابربانک(خودپرداز) در مکان‌های عمومی سوء استفاده کرده و همه پولهای آن را به ناگهان خالی کنند.{لینک}

اخیرا کمپانی امنیتی روسی به نام Group IB نیز اعلام کرد هکرها در سال 2016 از راه دور و با ارسال بدافزار دست به پاروکردن پول عابربانک‌های اروپایی زدند. حمله مشابه در همان سال در تایلند و تایوان گزارش شد اما اکنون این داستان وارد عابربانک‌های منطقه آمریکا شده و موج این حملات می‌تواند ضررهای جبران ناپذیری به اقتصاد کشورها وارد کند.

کسپرسکی سال گذشته اعلام کرد هکرهای عابربانک به 4 شیوه زیر تاکنون پول پارو کرده‌اند:

1- قطع کردن عابربانک از شبکه و اتصال کامپیوتر خود و جا زدن آن به عنوان مرکز تبادل مالی و شبکه.

2- کارمند داخلی بانک با استفاده از کلید(کد مخصوص) اجازه دسترسی به کابل شبکه را می‌دهد. هکر با یک کلید می‌تواند به چند دستگاه عابربانک در آنِ واحد وصل شده و به عنوان ادمین شبکه پول‌ها را خالی کند.

3- قرار دادن دستگاه عابربانک در حالت تعمیر و دسترسی به جعبه سیاه برای تخلیه پول.

4- یو اس بی آلوده به بدافزار و زدن آن به پورت دستگاه خودپرداز که از طریق یک فرد نفوذی در بانک انجام می‌شود.