IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

امنیت سایبری

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

 باگ CloudFlare CDNJS و گسترش حملات زنجیره تأمین

takian.ir cloudflare cdnjs bug could have led to widespread supply chain attacks 1

زیرساخت شبکه و وب سایت شرکت امنیتی CloudFlare ماه گذشته یک آسیب پذیری مهم را در لایبرری CDNJS خود رفع کرده است. این لایبرری مجموعا 12.7٪ از کل وب سایت های فضای اینترنت را در بر گرفته که از آن استفاده می کرده اند.

ساختار CDNJS یک شبکه تحویل محتوای منبع باز یا content delivery network (CDN) است که به حدود 4،041 مجموعه JavaScript و CSS سرویس ارائه می کند و پس از مجموعه های هاست Google، دومین لایبرری محبوب CDN برای JavaScript است.

این ضعف مربوط به موردی در سرور بروزرسانی لایبرری CDNJS بود که می تواند به طور بالقوه به مهاجم اجازه دهد دستورات دلخواه خود را اجرا کند. این اجرای دستورات دلخواه منتج به در معرض خطر قرار گرفتن کامل آن سرور شود.

به نقل از هکرنیوز، این آسیب پذیری توسط محقق امنیتی RyotaK در 6 آوریل 2021 کشف و گزارش شد. تاکنون هیچ مدرکی دال بر سواستفاده از این نقص در حملات سایبری پیدا و افشا نشده است.

این آسیب پذیری به طور خاص با انتشار پکیج هایی در CDNJS Cloudflare با استفاده از GitHub و npm، و از آن برای ایجاد آسیب پذیری در طی مسیر استفاده مینماید؛ و در نهایت سرور را فریب می دهد تا کد دلخواه خود را اجرا نموده که به متعاقب آن به هدف پایانی یعنی اجرای کد از راه دور نیز می رسد.

takian.ir cloudflare cdnjs bug could have led to widespread supply chain attacks 2

شایان ذکر است که زیرساخت CDNJS شامل ویژگی هایی برای بروز رسانی خودکار لایبرری با اجرای دوره ای اسکریپت ها بر روی سرور برای دانلود فایل های مرتبط از منبع Git مبتنی بر مدیریت کاربر مربوطه یا پکیج رجیستری npm می‌باشد.

محقق امنیتی RyotaK با کشف موردی درباره نحوه پاکسازی مکانیزم مسیرهای پکیج، دریافت که "می توان کد دلخواه را پس از انجام پیمایش مسیر از فایل .tgz منتشر شده برای npm و رونویسی از اسکریپتی که به طور منظم در سرور اجرا می شود، اجرا کرد.".

به عبارت دیگر، هدف از این حمله انتشار نسخه جدیدی از یک پکیج ساختگی ویژه در منبع است که پس از آن سرور بروزرسانی لایبرری CDNJS را برای انتشار انتخاب می نماید؛ در این فرآیند محتوای پکیج مخرب را در نسخه ای از فایل اسکریپت که به طور منظم اجرا شده و در سرور میزبانی میشود کپی میکند و بدین ترتیب امکان اجرای کد دستوری دلخواه را بدست می آورد.

محقق امنیتی RyotaK گفت: "اگرچه این آسیب پذیری می تواند بدون مهارت خاصی مورد بهره برداری قرار گیرد، اما می تواند بسیاری از وب سایت ها را نیز تحت تأثیر قرار دهد. با توجه به این که آسیب پذیری های متعددی در زنجیره تأمین وجود دارد که بهره برداری از آنها ظاهرا آسان است اما این آسیب پذیری ها بسیار تأثیرگذار هستند که مسئله نشان از خطرناک و ترسناک بودن آنها دارد.".

این اولین بار نیست که محققان امنیتی درباره نحوه بروزرسانی منابع نرم افزار، نقایص اساسی و مهمی را کشف می کند. در آوریل 2021 نیز RyotaK اعلام کرد که یک آسیب پذیری مهم در منبع رسمی Homebrew Cask توسط یک مهاجم برای اجرای کد دلخواه در دستگاههای کاربران مورد سواستفاده قرار گرفته است.

5G در ایران، شناسایی آسیب پذیری جدید و مخاطرات پیش روی کاربر

 

با توجه به راه اندازی نسل جدید ارتباطات همراه در برخی مناطق پایتخت کشور و ارتقای شبکه، ایران اکنون در زمره کشورهای دارای فناوری نسل پنجم ارتباطات یا 5G قرار گرفته است. حال محققین در ساختار این نسل جدید آسیب پذیری جدی ای را کشف کرده اند که میبایست مورد توجه مسئولین و کاربران نیز قرار گیرد.

به طور خلاصه، آسیب پذیری شناسایی شده 5G، امکان استخراج داده ها و حملات DoS بین اسلایس های مختلف شبکه بر روی یک اپراتور تلفن همراه را فراهم می کند و مشتریان شرکت ها را در معرض حملات سایبری مخرب قرار می دهد.

محققان امنیت فناوری اطلاعات در ادپتیوموبایل یک آسیب پذیری بزرگ را در ساختار اسلایس شبکه 5G و توابع شبکه مجازی آن شناسایی کرده اند که در پی آن مشخص شده است این آسیب پذیری امکان دسترسی به داده ها و حملات Denial of Service یا DoS بین اسلایس های مختلف شبکه بر روی یک اپراتور تلفن همراه را فراهم می کند که باعث می شود مشتریان آن مجموعه در معرض حملات سایبری مخرب قرار گیرند.

 

5G چیست؟

5G شبکه تلفن همراه نسل 5 ، بعد از شبکه های 1G، 2G ، 3G و 4G که قبلاً معرفی شده بود، استاندارد جهانی ارتباط بی سیم جدید است. جای این نسل شبکه اهمیت پیدا میکند که بدانیم این نوع و نسل جدید شبکه، امکان اتصال تقریبا و همه و تمامی دستگاه ها و وسایل را از جمله ماشین آلات، اشیاء، دستگاه ها و غیره را فراهم می آورد.

فناوری 5G برای ارائه حداکثر سرعت داده های چند گیگابیت بر ثانیه، تأخیر بسیار کم، قابلیت اطمینان بیشتر، ظرفیت گسترده شبکه، افزایش در دسترس بودن و تجربه کاربری یکنواخت تر به بیشتر کاربران ارائه شده است.

 

اسلایس شبکه5G چیست؟

اسلایس شبکه در اصل به اپراتور تلفن همراه اجازه می دهد شبکه اصلی و رادیویی خود را به چندین بلوک مجازی مجزا تقسیم کند که منابع مختلفی را برای انواع مختلف ترافیک فراهم می نماید.

یک مزیت بزرگ اسلایس شبکه 5G برای اپراتورهای این شبکه، توانایی استفاده از توابع لازم برای پشتیبانی از مشتریان خاص و بخش های خاصی از بازار مانند خودروها، مراقبت های بهداشتی، زیرساخت های مهم و همچنین سرگرمی های آنلاین خواهد بود.

برخی از کشورهای پیشرو که از 5G استفاده می کنند نیز از جمله کره جنوبی، انگلستان، آلمان و ایالات متحده، بیشتر تحت تأثیر این آسیب پذیری قرار دارند زیرا شرکت های مختلفی در این کشورها شبکه مستقر کرده و دستگاه های سازگار با این نسل شبکه را می فروشند.

 

آسیب پذیری و سناریوهای حمله

طبق گزارشی که ادپتیوموبایل منتشر کرده است، سه سناریوی حمله خاص ممکن است به دلیل این نقص رخ دهد که با توجه به فناوری مشخص شده امروز، نمی توان سطح و حجم آن را کاهش داد. استخراج داده های کاربر؛ به ویژه ردیابی مکان، DoS در برابر عملکردهای دیگر شبکه و دسترسی به عملکرد شبکه و دسترسی سِری به اطلاعات مربوط به مشتری های دیگر.

علاوه بر این، اپراتور و مشتریان آنها نیز در معرض خطر هستند و داده های حساس موقعیت مکانی را از لو و نشت می دهند؛ که این امر باعث می شود اطلاعات مربوط به شارژ و حتی احتمال قطع شدن عملکرد اسلایس ها و عملکردهای شبکه، از دست برود.

دکتر سیلک هولتمنس، رئیس تحقیقات امنیت 5G در ادپتیوموبایل سکیوریتی پیشنهاد کرده است که:

"وقتی نوبت به امنیت 5G می رسد، صنعت مخابرات باید از یک رویکرد جامع و مشترک برای ایجاد امنیت شبکه ها در ارگان های استاندارد، گروه های کاری، اپراتورها و فروشندگان این خدمات استفاده کند".

"هرچه تعداد بیشتری از شبکه های اصلی به سمت ساختار ابری و معماری مبتنی بر فناوری اطلاعات حرکت می کنند، ابزارهای هک مناسب تری برای هکرها در دسترس قرار می گیرد".

"در حال حاضر، در عمل و حالت عرضه انبوه این نسل، تأثیر حملات به اسلایس های شبکه فقط به تعداد اسلایس های موجود در شبکه های 5G در سطح جهان محدود می شود. اگر این نقص اساسی در طراحی استانداردهای 5G کشف نشده و بدون اصلاح باقی بماند، خطرات قابل توجهی را در پی خواهد داشت".

"ما این موضوع را از طریق مجامع و فرآیندهای متناسب به اطلاع افراد و صنایع رسانیده ایم و خوشحالیم که با اپراتورهای شبکه تلفن همراه و جوامع بررسی استاندارد در جهت برجسته سازی این آسیب پذیری ها و بهبود اقدامات جهت رفع این آسیب پذیری ها در حال کار همکاری هستیم".

 

نتیجه گیری

حال نظر به اینکه نسل پنجم ارتباطات همراه یا 5G به تازگی در کشور عزیزمان ایران راه اندازی شده است، انتظار میرود که مسئولین امر نسبت به حل این مشکلات و پیشگیری از هرگونه آسیب پذیری در آینده به کاربران، جلوگیری به عمل آورده تا شاهد آسیب به زیرساخت های ارتباطی و کاهش سطح اعتماد کاربران نباشیم.

Babuk، تهدید باج افزاری جدید و در حال رشد

 

گروه باج افزاری Babuk که در آغاز سال 2021 کشف شده است، چندین بخش از جمله مراقبت های بهداشت و درمان، تولید و تدارکات را هدف قرار داده است. این شرکت اخیراً بسیار فعال بوده و از قربانیان خود هزاران دلار باج مطالبه کرده است.

takian.ir babuk ransomware locker

 

چرا بابوک یک تهدید رو به رشد است؟

مجرمان پشت پرده این باج افزار، تکنیک اخاذی مضاعف را اجرا می کنند، که در آن اپراتورها پس از سرقت اطلاعات، فایل ها را قفل می کنند. مطالبات پرداختی برای باج این باند بدافزاری از 60،000 تا 85،000 دلار متغیر است.

به گزارش سای‌ور، تنها در طی یک ماه، این باند به چندین سازمان از جمله هیوستون راکتز، فروشگاه تلفن همراه اسپانیا، اداره پلیس متروپولیتن و تلتون بیوتک حمله کرده است.

در این ماه، سازمان های ورزشی، ارتباطی و دولتی دیگر را نیز هدف قرار داده است. پیش از این، اهداف شناخته شده شامل نهادهای تولیدی نیز میبودند.

این باند اخیراً ویژگی های جدیدی را به مرحله اجرا درآورده است تا اطمینان حاصل کند دستگاه های قربانی می توانند قبل از استقرار باج افزار رمزگذاری شوند. علاوه بر این، این گروه وب سایتی را برای درز اطلاعات و فشار به قربانیان برای پرداخت باج و مطالبات مالی از آنها ایجاد کرده است.

 

انتقال دهندگان آلودگی

گروه Babuk از چندین وکتور برای گسترش و انتقال آلودگی استفاده می کند؛ از جمله آنها میتوان به فیشینگ ایمیل اشاره کرد که در آن، گروه ایمیل اولیه ای را که به یک بدافزار متفاوت مانند Trickbot یا Emotet لینک شده است، ارسال می کند و به شکل یک لودر عمل می کند.

باند باج افزار بابوک به سوءاستفاده از آسیب پذیری های افشا شده که پچ نشده و بروزرسانی نشده اند، شناخته میشود. این باج افزار بخصوص برای بهره برداری از نرم افزارهای دسترسی از راه دور، سخت افزارهای شبکه، سرورهای وب و فایروال ها نیز شناخته شده است.

این گروه با استفاده از حساب های معتبر در معرض خطر، در شبکه هدف قربانی رسوخ میکند. این کار معمولاً از طریق دسترسی RDP با محافظت ضعیف و با گواهینامه های معتبری که از طریق فروشندگان اطلاعات بدست می آورد، انجام می شود.

آسیب پذیری VPN، راهکار حمله هکرهای مرتبط با کره شمالی به موسسه تحقیقات هسته ای

takian.ir north korea exploited vpn flaw to hack south nuclear research institute main

یک سازمان تحقیقات انرژی هسته ای در کره جنوبی پس از انتشار گزارش هایی مبنی بر اینکه همسایه شمالی این کشور در نقض امنیت این مجموعه دست داشته است، اذعان کرد که در حال حاضر مشغول بررسی یک نقض امنیتی میباشد.

دادستان ها تائه‌کونگ که عضو کمیته اطلاعات پارلمانی است، به تحقیقات یک مجموعه ثالث اشاره کرد که حمله 14 ماه می را به گروه APT با نام Kimsuky مورد حمایت پیونگ یانگ نسبت داده است.

به گزارش رویترز، عقبه یکی از 13 آدرس IP مورد استفاده برای حمله (27.102.114[.]89) به انستیتوی تحقیقات انرژی اتمی کره (KAERI) به این گروه برمیگردد که از حدود سال 2012 در حال فعالیت است.

ها تایه‌کونگ در بیانیه ای گفته است: "این حادثه می تواند خطرات جدی امنیتی را در صورت نشت اطلاعات اصلی به کره شمالی ایجاد کند، چرا که KAERI بزرگترین اتاق فکر این کشور است که در حال مطالعه فن آوری هسته ای از جمله راکتورها و رادهای سوخت میباشد".

انستیتوی تحقیقات انرژی اتمی کره یا KAERI روز جمعه با صدور اعلانیه ای اذعان کرد که برخی از سیستم ها توسط "شخص خارجی ناشناس" از طریق آسیب پذیری VPN نقض شده است. متعاقبا پس از آن، آدرس IP عامل مخرب را مسدود کرده و باگ را وصله کرده اند.

مرکز KAERI افزود: "در حال حاضر انستیتو تحقیقات انرژی اتمی در حال بررسی موضوع هک و میزان خسارت و سایر ابعاد حادثه و موثر بودن آن با سازمان های مرتبط است".

این موسسه گفت که بیانیه قبلی مبنی بر انکار هرگونه حادثه هکری به اشتباه صادر شده است، و از هرگونه نگرانی که به دلیل این نقض به مردم تحمیل شده است، عذرخواهی کرد!

takian.ir north korea exploited vpn flaw to hack south nuclear research institute

 

تصور می شود کره شمالی پس از مذاکره با ریاست جمهوری ایالات متحده در سال 2019 که به بن بست خورد، در حال کار بر روی پلوتونیوم با گرید تسلیحات هسته ای میباشد.

به گفته مقامات آمریکایی، کیمسوکی نزدیک به یک دهه است که این دست اطلاعات را برای رژیم کره شمالی جمع آوری می کند و بیشتر به موضوعات سیاست خارجی و امنیت ملی، از جمله تحریم ها و سلاح های هسته ای می پردازد.

در اوایل این ماه، شرکت امنیت سایبری Malwarebytes موجی از حملات توسط مهاجمین برای حمله به مقامات عالی رتبه دولتی در کشور که با نصب بک‌دوری به نام AppleSeed در اندروید و ویندوز اقدام به جمع آوری اطلاعات ارزشمند میکردند را، افشا کرد.

در گذشته نیز این گروه مهاجم برای حمله به سازمانهایی از جمله موسسه Sejong چین، موسسه تجزیه و تحلیل دفاعی کره (KIDA) و وزارت وحدت ملی کره جنوبی مقصر شناخته شده است.

شایان ذکر است که از سویی دقیقا مشخص نیست از آسیب پذیری کدام VPN برای نقض شبکه استفاده شده است. اما باید بدین نکته توجه نمود که سیستم های VPN وصله نشده Pulse Secure ،SonicWall ،Fortinet FortiOS و Citrix در سال های اخیر مورد حمله چندین عامل تهدید قرار گرفته اند.

آسیب پذیری اجرای کد از راه دور در سیستم عامل Junos شرکت Juniper Networks

 

یک آسیب پذیری امنیتی به طور مستقیم بر سیستم عامل محصول شرکت جونیپز نتورکز با نام Junos تأثیر گذاشته و امکان حملات اجرای کد از راه دور را فراهم می کند. تامین کنندگان امنیت سایبری در کنار به اشتراک گذاشتن برخی راه حل ها، ظاهرا این اشکال را برطرف کرده اند.

 takian.ir juniper networks

 

آسیب پذیری سیستم عاملJunos شرکت جونیپر نتوکز

در گزارش اخیر شرکت جونیپر نتوکز جزئیات این آسیب پذیری مهم که بر سیستم عامل Junos این تأثیر می گذارد به اشتراک گذاشته شده است.

جونیپز نتورکز یک شرکت شبکه و امنیت مستقر در ایالات متحده است که محصولات مختلفی از جمله روترها و سوئیچ ها، نرم افزارهای شبکه و ابزارهای امنیتی را تولید می کند.

به گزارش لیتست هکینگ نیوز، با تشریح آسیب پذیری، تامین کنندگان امنیت توضیح دادند که این نقص در اعتبارسنجی اندازه بافر بر سیستم عامل Junos (سیستم عامل اصلی دستگاه های شبکه این شرکت) تأثیر گذاشته است.

سوءاستفاده از این آسیب پذیری می تواند به یک مهاجم تأیید و شناخته شده اجازه دهد که باعث حملات DoS شود یا حملات اجرای کد از راه دور را انجام دهد. این گزارش با توضیحات بیشتر در مورد این اشکال می افزاید:

"پکت های Overlay OAM توسط بسته هایی پوشیده شده ای مانند ping و traceroute که با پوشش ارسال می شوند، کنترل می کنند. این سرویس به صورت پیش فرض به عنوان root اجرا می شود و اتصالات UDP را در پورت 4789 بررسی می کند. این مسئله از اعتبارسنجی نامناسب اندازه بافر ناشی می شود که می تواند منجر به افزایش زیاد بافر شود. مهاجمان غیرمجاز می توانند بسته های دستکاری شده ویژه ای را برای ایجاد این آسیب پذیری ارسال کنند و در نتیجه امکان اجرای کد از راه دور را به وجود بیاورند.

این آسیب پذیری ، CVE-2021-0254 ، دارای نمره شدت بحرانی با نمره CVSS 9.8 است.

 

بروزرسانی عرضه شده

تامین کنندگان در پی گزارش Hoàng Thạch Nguyễn (d4rkn3ss) از طریق شرکت استار لَبز، از این اشکال مطلع شدند.

با شناسایی موضوع، جونیپر نتورکز اصلاحاتی را ایجاد کرد که متعاقباً با نسخه های نرم افزاری زیر منتشر کرده است.

نسخه های نرم افزاری زیر برای حل این مشکل خاص به روز شده اند: Junos OS 15.1X49-D240، 15.1R7-S9، 17.3R3-S11، 17.4R2-S13، 17.4R3-S4، 18.1R3-S12، 18.2R2-S8، 18.2R3-S7 ، 18.3R3-S4 ، 18.4R1-S8 ، 18.4R2-S7 ، 18.4R3-S7 ، 19.1R2-S2 ، 19.1R3-S4 ، 19.2R1-S6 ، 19.2R3-S2 ، 19.3R3-S1 ، 19.4R2-S4 ، 19.4R3-S1 ، 20.1R2-S1 ، 20.1R3 ​​، 20.2R2 ، 20.2R2-S1 ، 20.2R3 ، 20.3R1-S1 ، 20.4R1 ، و کلیه نسخه های بعدی.

علی رغم اینکه این مورد یک آسیب پذیری حیاتی و خطرناک است، تامین کنندگان تأیید کرده اند که هیچ بهره برداری فعالی از آن را پیدا نکرده اند.

با این حال، CISA ایالات متحده با هشدار به کاربران خواستار نصب سریع بروزرسانی ها یا پَچ ها شده است. شرکت تاکیان به کاربران توصیه میکند که در بروزرسانی سیستم ها با آخرین نسخه ها تعجیل به عمل آورند تا از تهدیدات سایبری در امان بمانند.

آسیب پذیری امنیتی شدید OpenSSL و ارائه دو به روزرسانی

takian.ir openssl

 

تیم ارائه خدمات و نگهداری OpenSSL برای دو نقص امنیتی بزرگ در نرم افزار خود به روزرسانی هایی را برای رفع مشکل ارائه کرده اند که این آسیب پذیری ها می توانند برای انجام حملات Denial of Service (DoS) و تأیید گواهی های bypass مورد استفاده قرار گیرند.

دو مورد با عنوان CVE-2021-3449 و CVE-2021-3450 مطرح شده اند، که این دو آسیب پذیری در به روزرسانی (نسخه OpenSSL 1.1.1k) که روز پنجشنبه گذشته منتشر شد، برطرف شده اند. در حالی که CVE-2021-3449 بر تمام نسخه های OpenSSL 1.1.1 تأثیر می گذارد، CVE-2021-3450 بر نسخه های OpenSSL 1.1.1h و جدیدتر موثر است.

OpenSSL یک مجموعه نرم افزاری متشکل از توابع رمزنگاری است که پروتکل Transport Layer Security را با هدف ایمن سازی ارتباطات ارسال شده از طریق شبکه رایانه ای پیاده سازی می کند.

طبق یک متن مشاوره ای که توسط OpenSSL منتشر شده است، CVE-2021-3449 مربوط به یک آسیب پذیری احتمالی DoS ناشی از بازگشت مجدد پوینتر NULL است که می تواند اگر در جریان تبادل مجدد کاربر پیام مخرب "ClientHello" در طول پیام بین کاربر و سرور انتقال داده شود، باعث خراب شدن سرور OpenSSL TLS شود. این معزل به عنوان بخشی از تغییرات مربوط به ژانویه 2018 معرفی شده است.

در متن مشاوره گفته شده است که: "اگر یک TLSv1.2 در طی ارسال پیام مجدد ClientHello پسوند signature_algorithms را حذف کند (در حالی که در ClientHello اولیه وجود داشته است)، اما شامل یک پسوند signature_algorithms_cert باشد که نتیجه آن به یک بازگشت مجدد پوینتر NULL منجر شود، نتیجتا این پدیده منجر به خرابی و حمله DoS می شود".

کمپانی نوکیا که گفته میشود این آسیب پذیری و نقص را در 17 ماه مارس سال 2021 گزارش کرده است ، با تغییر کد یک خطی، مشکل DoS را برطرف کرده است.

از طرفی دیگر، CVE-2021-3450 مربوط به یک فلگ X509_V_FLAG_X509_STRICT است که امکان بررسی مجدد امنیت certificate های موجود در یک زنجیره certificate را فراهم می کند. در حالی که این فلگ به طور پیش فرض تنظیم نشده است، اما یک خطا در پیاده سازی بدین معناست که OpenSSL نتوانسته است آنرا بررسی کند (گواهی های غیر CA نباید توانایی صدور سایر گواهی ها را داشته باشند) و در نتیجه باعث ایجاد با‌ی‌پس certificate می شود.

در نتیجه ، این نقص مانع مسدودسازی گواهی های TLS صادر شده که توسط CA های معتبر مرورگر تایید نشده اند، می شود.

OpenSSL اعلام کرده است که: "برای اینکه OpenSSL تحت تأثیر این آسیب پذیری قرار گیرد، یک برنامه باید مستقیما فلگ تأیید X509_V_FLAG_X509_STRICT را تنظیم کند و همچنین یا مقصدی برای تأیید گواهی تعیین نکند یا در مورد کاربر TLS یا استفاده از سرور، مقصد پیش فرض نادیده گرفته شود".

گفته می شود که بنیامین کادوک از آکامای این موضوع را در تاریخ هجدهم ماه مارس سال جاری به تیم خدمات و نگهداری OpenSSL گزارش داده است. این آسیب پذیری توسط شیانگ دینگ و همکاران وی در آکامای کشف شده و همچنین توسط مهندس اصلی نرم افزار سابق رِدهَت و توسعه دهندهOpenSSL ، توماش مراز، یک اصلاحیه نیز ارائه گردیده است.

اگرچه هیچ یک از این دو نقص و آسیب پذیری بر OpenSSL 1.0.2 تأثیر نمی گذارد، اما همچنین لازم به ذکر است که پشتیبانی این نسخه، از 1 ژانویه 2020 پایان یافته است و دیگر به روزرسانی نمی شود. شرکت تاکیان به کاربران نرم افزارهایی که به نسخه آسیب پذیر OpenSSL متکی هستند توصیه میکند که به روزرسانی ها را در راستای کاهش خطرات مرتبط با این نقایص و آسیب پذیری ها، در اسرع وقت نصب و اعمال نمایند.

آسیب پذیری بزرگ و سراسری XSS در Microsoft Edge

takian.ir microsoft edge

یک آسیب پذیری جدی سراسری در cross-site scripting یا XSS در مرورگر Microsoft Edge وجود دارد.

 

آسیب پذیری سراسری Microsoft Edge XSS
دو محقق امنیتی با نام های ونش دوگان و شیوام کومار سینگ، یک آسیب پذیری شدید جهانی و سراری XSS را در Microsoft Edge کشف کردند. به طور خاص، این باگ معمولاً بر امکانات ترجمه خودکار مرورگر تأثیر می گذارد.

به گزارش لیتست هکینگ نیوز، محققان با به اشتراک گذاشتن جزئیات این آسیب پذیری در یک مطلب، اعلام کردند که این آسیب پذیری را هنگام بازدید از یک وب سایت به زبان دیگر از طریق مرورگر Edge و تلاش برای ترجمه این صفحه، پیدا کردند. ظاهر شدن فوری یک پاپ‌آپ، منجر به کشف این آسیب پذیری XSS شد.

به طور خلاصه، این اشکال در فانکشن startPageTranslation وجود داشته است. کد آسیب پذیر امکان ترجمه خودکار به درستی ">" را در برچسب های HTML پردازش نکرد. همانطور که در مطلب محققان آمده است:

مرورگر Microsoft Edge (مترجم داخلی که از پیش نصب شده است) دارای یک کد آسیب پذیر است که در اصل هر تگ html دارای تگ "> img را بدون پاکسازی و حذف آلودگی ورودی یا تبدیل payload به متن هنگام ترجمه دریافت میکند؛ بنابراین در واقع ترجمه مترجم داخلی"> img src = x onerror = alert (1)> payload را گرفته و به دلیل اینکه هیچ بررسی صحت سنجی که باعث حذف آلودگی شود، وجود نداشته است یا DOM را بطور کامل به متن تبدیل میکند و سپس برای ترجمه پردازش کند، آنرا به عنوان جاوا اسکریپت اجرا مینماید.

برای آزمایش این موضوع، محققان یک فایل POC.html با payload حاوی "> " ایجاد کردند. سپس اگر کاربر هدف هر وبسایتی را از طریق مرورگر Edge با ترجمه خودکار فعال باز میکرد، آنها می توانستند برای هک کردن آن وبسایت اقدام نمایند.

با کلیک بر روی لینک پیوست، فیلم هک کردن حساب کاربری فیس بوک کاربر هدف که به سادگی و با ارسال درخواست دوستانی از پروفایلی که به زبان دیگر ایجاد شده را، مشاهده نمایید.

 

رفع نقص توسط مایکروسافت

به محض یافتن این آسیب پذیری، محققان در تاریخ 3 ژوئن 2021 با مایکروسافت ارتباط برقرار کردند. پس از مدتها مکاتبات و ارتباطات طولانی مدت، بالاخره شرکت مایکروسافت یک اصلاح برای این نقص در تاریخ 24 ژوئن سال 2021 منتشر کرد.

این غول فناوری رفع این اشکال (CVE-2021–34506) با آسیب پذیری دیگری (CVE-2021-34475) را در توصیه نامه امنیتی خود تأیید کرده است. به ویژه با انتشار مرورگر Microsoft Edge نسخه 91.0.864.59، پچ ها را نیز ارائه داده است.

مایکروسافت علاوه بر رفع این باگ، به محققان به دلیل گزارش این نقص، مبلغ 20000 دلار نیز به عنوان جایزه اهدا کرده است.

با توجه به ماهیت جدی این نقص، همه کاربران Edge باید از بروزرسانی مرورگرهای دستگاه خود به آخرین نسخه اطمینان حاصل کنند تا بتوانند از حملات احتمالی آینده جلوگیری نمایند.

آسیب پذیری بسیار شدید چیپ‌ست های NVIDIA Jetson

کمپانی NVIDIA، متخصص تراشه های گرافیکی ایالات متحده به منظور رفع مشکل در مجموع 26 آسیب پذیری تأثیرگذار بر سری Jetson system-on-module (SOM) خود که ممکن است توسط مهاجمان به منظور افزایش اختیارات و حتی امکان اجرای DoS و افشای اطلاعات، مورد سواستفاده قرار بگیرند، به روزرسانی های نرم افزاری ای را ارائه داده است.

موارد CVE‑2021‑34372 تا CVE‑2021‑34397 پیگیری شده اند و مشخص گردید که بر محصولات سری Jetson TX1 ،TX2 TX2 NX، سری AGX Xavier ،Xavier NX و Nano و Nano 2GB و همه مواردی که نسخه های Jetson Linux قبل از 32.5.1 را اجرا می کنند، تأثیرگذار هستند. این شرکت به دلیل ارائه گزارش همه مشکلات، به فردریک پریوت از اپل مدیا پروداکتز کردیت داده است.

takian.ir NVIDIA Jetson Nano

محصولات NVIDIA Jetson شامل ماژول های تعبیه شده در Linux AI و ماژول های محاسباتی ویژن رایانه ای و کیت های توسعه دهنده است که در درجه اول برنامه های دید رایانه ای مبتنی بر AI و سیستم های خودکار مانند ربات های متحرک و کوادکوپرها یا پهپادها را پشتیبانی می کند.

takian.ir NVIDIA Jetson Nano 2

 

مهمترین آسیب پذیری CVE ‑ 2021‑34372 score (امتیاز CVSS: 8.2) است که یک نقص سرریز بافر در محیط اجرایی امن Trusty یا (TEE) میباشد، که می تواند منجر به افشای اطلاعات، افزایش اختیارات و DoS یا Denial of Service شود.

هشت ضعف مهم دیگر شامل تخریب حافظه، سرریز استک ها و از دست رفتن باند چک ها در TEE و همچنین سرریزهای زیاد دیگریست که بر Bootloader تأثیر گذاشته و می تواند منجر به اجرای خودسرانه کد دستوری، Denial-of-Service و افشای اطلاعات شود. این شرکت خاطر نشان کرد که همچنین بقیه نقص های مربوط به Trusty و Bootloader، می توانند برای تأثیرگذاری بر اجرای کد دستوری، DoS و افشای اطلاعات مورد سواستفاده قرار گیرند.

کمپانی NVIDIA گفت: "نسخه های قبلی شاخه های نرم افزاری که از این محصول پشتیبانی می کنند نیز تحت تأثیر این آسیب پذیری قرار می گیرند. اگر از نسخه قبلی این محصولات استفاده می کنید، هر چه سریعتر آنرا به جدیدترین نسخه 32.5.1 ارتقا دهید؛ و اگر از نسخه 32.5.1 استفاده می کنید، هر چه سریعتر آنرا به جدیدترین پکیج های Debian به روز نمایید".

آسیب پذیری عظیم گزارش شده در Pulse Connect Secure VPN

takian.ir pulse secure vpn vulnerability 1

شرکت Ivanti که مسئول دستگاه های VPN Pulse Secure است، راهنمایی امنیتی برای آسیب پذیری بسیار جدی را منتشر کرده که ممکن است به مهاجم تایید شده از راه دور اجازه دهد که کد دلخواه خود را با اختیارات سطح دسترسی بالا اجرا نماید.

این شرکت در هشدار منتشر شده در تاریخ 14 ماه می، اعلام کرده است: "سرریز بافر در پروفایل های منبع فایل ویندوز درX.9 به کاربر تأیید شده از راه دور با اختیار دسترسی به فهرست اشتراک گذاری SMB اجازه می دهد تا کد دلخواه را به عنوان کاربر اصلی اجرا کند. از سویی، از نسخه 9.1 R3، این امکان به طور پیش فرض فعال نشده است".

این نقص که با نام CVE-2021-22908 شناخته می شود، دارای نمرهCVSS  هشت و نیم از حداکثر 10 است و بر نسخه های Pulse Connect Secure 9.0Rx و 9.1Rx تأثیر می گذارد. در گزارش جزئیات این آسیب پذیری، مرکز هماهنگی CERT گفته است که این مسئله از توانایی گیت وی برای اتصال به اشتراک گذاری فایل های ویندوز از طریق تعدادی از نقاط انتهایی CGI است که می تواند برای انجام حمله استفاده شود، نشات میگیرد.

مرکز هماهنگی CERT به طور دقیق در راهنمایی امنیتی آسیب پذیری که روز دوشنبه منتشر شد، اضافه کرد که با هدف قرار دادن اسکریپت CGI '/dana/fb/smb/wnf.cgi' قادر به ایجاد کد آسیب پذیر است: "در صورت تعیین یک نام طولانی سرور برای برخی از عملگرهای SMB، ممکن است برنامه" smbclt "به دلیل سرریز شدن بافر استک یا سرریز بافر heap، بسته به مدت زمان مشخص شدن نام یک سرور، کرش کند".

به کاربران Pulse Secure توصیه می شود که نسخه PCS Server 9.1R.11.5 را در مورد استفاده قرار دهند. در این میان، Ivanti یک فایل برای حل این مشکل ('Workaround-2105.xml') منتشر کرده است که می تواند با افزودن نقاط انتهایی URL آسیب پذیر به لیست مسدود شده ها، برای غیرفعال کردن ویژگی Windows File Share Browser استفاده شود و بنابراین برای محافظت در برابر این آسیب پذیری، اقدامات کاهنده لازم را فعال کند.

takian.ir pulse secure vpn vulnerability 2

 

این نکته حاکی از آن است که کاربرانی که از نسخه های سیستمی 9.1R11.3 یا پایینتر استفاده می کنند، باید فایل دیگری را با نام "Workaround-2104.xml" دریافت و اعمال کنند که این امر مستلزم آن است سیستم نسخه 9.1R11.4 را قبل از اعمال محافظت در "Workaround-2105.xml" اجرا کند.

در حالی که Ivanti توصیه به خاموش کردن جستجوگر فایل ویندوز در اینترفیس کاربری ادمین با غیرفعال کردن گزینه "Files, Windows [sic]" برای رول های کاربر مشخصی کرده است، مرکز هماهنگی CERT مشخص کرده است که در هنگام آزمایش برای محافظت در برابر نقص، انجام این مراحل کافی نیستند.

"نقاط نهایی آسیب پذیری CGI هنوز هم صرف نظر از اینکه نقش کاربر" Files، Windows "فعال باشد یا خیر، از طریق روش هایی قابل دسترسی هستند که باعث کرش کردن برنامه smbclt می شود".

"مهاجم برای دستیابی موفق به کد آسیب پذیر در سرور PCS که دارای پالیسی باز دسترسی به فایل ویندوز است، به یک مقدار معتبر DSID و xsauth از یک کاربر تأیید شده، نیاز دارد".

فاش شدن این نقص جدید هفته ها پس از آن صورت گرفت که شرکت نرم افزاری فناوری اطلاعات مستقر در یوتا، چندین آسیب پذیری امنیتی مهم در محصولات Pulse Connect Secure از جمله CVE-2021-22893، CVE-2021-22894، CVE-2021-22899 و CVE-2021-22900 را اصلاح کرد، که برای اولین مورد مشخص گردید، حداقل در دو عامل تهدید متفاوت از یکدیگر در فضای سایبری مورد بهره برداری قرار گرفته است.

آلودگی بیش از 100 میلیون دستگاه اینترنت اشیاء با آسیب پذیری NAME:WRECK

takian.ir iot security

محققان امنیتی 9 آسیب پذیری را شناسایی کرده اند  که با استفاده از چهار استک TCP/IP بیش از 100 میلیون دستگاه که توسط مصرف کنندگان شخصی و یا سازمانی استفاده میشوند، را تحت تأثیر قرار می دهد که این آسیب پذیری می تواند توسط مهاجم برای کنترل سیستم آسیب پذیر مورد سوءاستفاده قرار بگیرد.

به نقل از هکر نیوز، این نقصی که توسط فاراسکات و JSOF با عنوان "NAMED:WRECK" نام برده شده است، در ادامه آخرین سری تحقیقاتی است که به عنوان بخشی ابتکاری به نام Project Memoria برای بررسی امنیت استک های TCP/IP پرکاربرد که توسط تامین کنندگان مختلف جهت ارائه امکانات اتصال به اینترنت و شبکه در سیستم عاملها گنجانده شده، انجام پذیرفته است.

محققان گفته اند: "این آسیب پذیری ها مربوط به پیاده سازی DNS است که باعث DoS یا Denial of Service و یا اجرای کد از راه دور (RCE) می شود و به مهاجمین اجازه می دهد دستگاه های هدف را بصورت آفلاین یا کنترل از راه دور کنترل کنند".

این نام از این واقعیت ناشی می شود که تجزیه نام دامنه ها می تواند پیاده سازی DNS را در استک های TCP/IP بشکند (یعنی "خراب (wreck)" کند) و با اضافه کردن آسیب پذیری های اخیر مانند SigRed ، SAD DNS و DNSpooq از دفترچه تلفن اینترنتی به عنوان وکتوری برای حمله استفاده میکند.

آنها خاطر نشان کردند، این پنجمین بار است که نقاط ضعف امنیتی در استک های پروتکل ها که زیربنای میلیون ها دستگاه متصل به اینترنت هستند، شناسایی میشوند.

  • URGENT/11
  • Ripple20
  • AMNESIA:33
  • NUMBER:JACK

علی الخصوص جدیدترین تحقیقات پیشنهاد میکنند که باید نگاه ریزبینانه تری به "طرح فشرده سازی پیام" مورد استفاده در پروتکل DNS که با هدف کاهش اندازه پیام ها "از تکرار نام دامنه در پیام جلوگیری میکند" باعث کشف چندین نقص در FreeBSD (12.1)، استک هایIPnet (VxWorks 6.6) ، Nucleus NET (4.3) و NetX (6.0.1) میشود، داشت.

takian.ir iot hack

 

در یک سناریوی کامل حمله در حالت واقعی، مهاجمان می توانند با استفاده از این نقایص راه نفوذ خود را از طریق یک دستگاه سازمانی متصل به اینترنت که درخواست های DNS را به یک سرور صادر می کند پیدا کنند و اطلاعات حساس را از بین ببرند یا حتی از آنها به عنوان بنیانی برای خرابکاری در تجهیزات حیاتی استفاده کنند.

به استثنایIPnet ،FreeBSD ، Nucleus NET و NetX، همه بروزرسانی هایی را منتشر کرده اند که تامین کنندگان را ملزم مینماید دستگاه هایی را که از نسخه آسیب پذیر نرم افزاری بهره میبرند، با ارتقای نرم افزاری آنها و نصب بروزرسانی ها، به مشتریان خود عرضه کنند.

اما مانند نقایص قبلی، برای رفع این اشکالات چندین مانع وجود دارد؛ از جمله کمبود اطلاعات در مورد استک TCP/IP که روی دستگاه اجرا می شود؛ مشکل در ارائه بروزرسانی ها به دلیل اینکه دستگاه ها به طور یکپارچه و مرکزی مدیریت نمی شوند یا اینکه نمی توانند به دلیل نقش اصلی آنها در فرایندهای مهم ماموریتی و عملیاتی مانند مراقبت های بهداشتی و سیستم های کنترل صنعتی، آفلاین شوند.

به عبارت دیگر، علاوه بر تلاش لازم برای شناسایی همه دستگاه های آسیب پذیر، ممکن است زمان قابل توجهی طول بکشد تا بروزرسانی های امنیتی از تامین کننده استک به سیستم عامل دستگاه واصل شود.

حتی در بدترین حالت، در بعضی موارد تلاش برای بروزرسانی و یا پچ کردن هرگز عملی نخواهد بود، در نتیجه بسیاری از دستگاههای آسیب دیده به احتمال زیاد تا سالهای آینده یا تا زمانی که از رده خارج نشوند، در معرض حملات قرار می گیرند!

اگرچه ممکن است راه حلی سریع در حال حاضر در دسترس نباشد، اما نکته قابل توجه در این یافته ها وجود مواردی از کاهش خطر است که تشخیص تلاش برای استفاده از این نقص ها را آسان تر می کند. برای شروع، فاراسکات یک اسکریپت متن باز برای شناسایی دستگاه هایی که استک های آسیب دیده را اجرا می کنند، منتشر کرده است. علاوه بر این محققان همچنین توصیه کرده اند تا زمان نصب بروزرسانی ها، كنترل تقسیم بندی شبكه را اعمال کرده و تمام ترافیك شبكه را جهت بررسی بسته های مخربی كه سعی در سوءاستفاده از کاربرهایDNS ، mDNS و DHCP دارند، كنترل كنند.

همچنین انتظار می رود این مطالعه در کنفرانس Black Hat Asia 2021 در تاریخ 6 ماه می سال 2021 ارائه شود.

محققان اعلام کردند: "NAME:WRECK موردی است که در آن، پیاده سازی نادرست یک قسمت خاص از RFC می تواند عواقب فاجعه باری داشته باشد که در نقاط مختلف استک TCP/IP گسترش می یابد و سپس محصولات ز آن استک آسیب دیده استفاده میکنند".

محققین اضافه کردند که: "همچنین جالب است که عدم اجرای پشتیبانی از فشرده سازی (همانطور که به عنوان مثال در lwIP دیده می شود) یک عامل موثر در کاهش خطرات در برابر این نوع آسیب پذیری است. از آنجا که صرفه جویی در پهنای باند مرتبط با این نوع فشرده سازی در دنیای اتصال سریع تقریباً بی معنی است، ما معتقدیم که پشتیبانی از فشرده سازی پیام DNS در حال حاضر مشکلات بیشتری را در قیاس با مواردی که ممکن است حل کند، ایجاد می نماید".

آلوده شدن ربات ها به باج افزار، دور از انتظار نیست

به گزارش سایت securityweek.com، تا به حال گوشی های هوشمند و رایانه های شخصی دو هدف اصلی حملات هکری بوده اند، با افزایش استفاده از ربات ها شاهد تبدیل آنها به یک هدف دیگر برای حملات هکری خواهیم بود.Takian.ir attacked by ransomware

استفاده گسترده از ربات ها در شرکت های خودروسازی، فروشگاه ها، هتلها، فرودگاه ها، بیمارستان ها و مراکز درمانی می تواند فجایع جدی به بار آورد و حتی زندگی روزمره انسان ها را مختل کند.
ربات های پیشرفته حاوی اطلاعات زیادی در مورد فعالیت های روزمره هزاران انسان بوده و بسیاری از آنها به طور مداوم در حال تبادل هستند و لذا باج گیری از طریق قفل کردن این اطلاعات می تواند به یک کسب و کار پرسود برای هکرها و کلاه برداران اینترنتی مبدل شود.
از جمله اطلاعاتی که از این طریق قابل سرقت است می توان به انبوهی از فایل های صوتی و ویدئویی، داده های مربوط به مسافران، بیماران، مالکان کسب و کارهای حساس و غیره اشاره کرد.
یکی از ربات هایی که در جریان بررسی های موسسه امنیتی آی او اکتیو به شدت آسیب پذیر تشخیص داده شده NAO است که به طور گسترده برای انجام فعالیت های آموزشی و تحقیقاتی در بیش از ده هزار موسسه در نقاط مختلف جهان به کار گرفته می شود. یکی دیگر از این ربات ها به نام سافت بنکر که کارکرد تجاری دارد نیز توسط بیش از دو هزار موسسه و شرکت در حال استفاده است.

آلوده شدن سیستم کاربر با آسیب پذیری های نرم افزارهای محبوب که تنها با یک کلیک ایجاد میشوند

محققان امنیت فناوری اطلاعات در پازیتیو سکیوریتی و لوکاس اولر چندین آسیب پذیری که با یک کلیک در برنامه های مختلف نرم افزاری معروف اجرا میشوند را شناسایی کرده اند که می توانند به مهاجم اجازه دهند کد دلخواه را در دستگاه های هدف اجرا کند.

محققان در تحقیقات خود اظهار داشتند که مشخص شده است که برنامه های دسکتاپ، به ویژه برنامه هایی که URL های ارائه شده توسط کاربر را برای باز کردن برای اجرا به سیستم عامل انتقال میدهند، در مقابل اجرای کد با تعامل کاربر آسیب پذیر هستند.

محققان توضیح دادند اجرای کد زمانی امکان پذیر می شود که URL به یک برنامه اجرایی مخرب مانند .desktop ، .exe یا .jar هدایت شود که "در قسمت اشتراک فایل قابل دسترسی به اینترنت (NFS،WebDAV ، SMB،...)" میزبانی شده و باز شود یا اینکه از یک آسیب پذیری دیگر در کنترل کننده URL برنامه باز شده، استفاده شده باشد.

 

کدام برنامه ها آسیب پذیر هستند؟

این آسیب پذیری ها بر بسیاری از برنامه های معروف از جمله VLC ، Telegram ، LibreOffice ، Nextcloud ، Bitcoin/Dogecoin Wallets، OpenOffice، Mumble و Wireshark تأثیر می گذارند. این آسیب پذیری از اعتبارسنجی ناکافی ورودی URL ناشی می شوند.

بنابراین آنچه اتفاق می افتد این است که وقتی برنامه از طریق سیستم عامل باز می شود، به طور خودکار یک فایل مخرب را اجرا می کند. به گفته محققان، بسیاری از برنامه ها نتوانستند URL ها را اعتبارسنجی کنند. به همین علت است که آنها به مهاجم اجازه می دهند یک لینک ویژه طراحی شده را اجرا نماید که به بخشی از کد حمله مرتبط است و منجر به اجرای کد دستور راه دور می شود.

 

بروزرسانی ارائه شده برای برنامه های آسیب دیده

در پی پیروی از قوانین افشای مسئولیت، اکثر برنامه های آسیب دیده برای حل این مشکل بروزرسانی شده اند. برنامه های ذکر شده، شامل موارد ذیل هستند:

  • Nextcloud - نسخه 3.1.3 دسکتاپ کاربر در 24 فوریه اصلاح شد (CVE-2021-22879).
  • تلگرام – با یک تغییر از سمت سرور تا 10 فوریه رفع شد.
  • VLC Player - پچ نسخه 3.0.13 که هفته آینده منتشر می شود.
  • OpenOffice - مشکل موجود در نسخه 4.1.10 رفع شد (CCVE-2021-30245).
  • LibreOffice - نسخه ویندوز بروزرسانی شده اما Xubuntu همچنان آسیب پذیر است (CVE-2021-25631).
  • Mumble - نسخه 1.3.4 اصلاح شده و در 10 فوریه منتشر شده است (CVE-2021-27229).
  • Dogecoin - این مشکل در نسخه 1.14.3 که در 28 فوریه منتشر شد، حل شده است.
  • Bitcoin ABC - مشکلات موجود در نسخه 0.22.15 رفع شده و در تاریخ 9 مارس منتشر شده است.
  • Bitcoin Cash - نسخه 23.0.0 بروزرسانی شده و به زودی منتشر می شود.
  • Wireshark - نسخه 3.4.4 اصلاح شده و در 10 مارس منتشر شده است (CVE-2021-22191).
  • WinSCP - در نسخه 5.17.10 رفع شده و در تاریخ 26 ژانویه منتشر شده است (CVE-2021-3331).

 

اثبات مفهوم و جزئیات فنی

محققان یک پست وبلاگ مفصل به همراه جزئیات فنی و فیلم هایی منتشر کرده اند که نشان می دهد این آسیب پذیری ها چگونه برنامه های نرم افزاری که در بالا ذکر شده اند را تحت تاثیر قرار میدهند. (مطالعه جزئیات فنی)

آموزش های منسوخ امنیت سایبری؛ مخرب یا کمک کننده!

 

آموزش سایبری تقریباً 30 سال پیش به عنوان یک بعد فنی برای متخصصان فناوری اطلاعات آغاز شد؛ اما با گسترش فناوری و اینترنت، نیاز به آموزش از سطح افراد نخبه به سطح همه کارکنانی که با استفاده از رایانه و دسترسی به فایل ها سر و کار دارند، تغییر یافت. در دهه گذشته، آموزش سایبری به آموزش سیستم مدیریت یادگیری (LMS) با تأکید بر فیشینگ متمرکز شد. اما علی رغم این، حملات فیشینگ "که بیش از 80٪ از موارد امنیتی گزارش شده" را به خود اختصاص میدهند، روند افزایشی داشته اند.

 takian.ir outdated cybersecurity training erodes trust hurts more than it helps 1

چرا تست های فیشینگ جوابگو نیستند؟
همزمان با افزایش پیچیدگی و فراوانی حملات فیشینگ، شرکتهای جدیدی در قالب ارائه حملات "فیشینگ" کارمندان یک سازمان ظاهر شدند. دلیل اصلی این نوع ترفندها "آزمایش" کارمندان بوده است. این اعتقاد وجود داشت که با فیشینگ یک کارمند، سازمان ها می توانند به نوعی از افتادن کارمندان در دام حملات فیشینگ در دنیای واقعی جلوگیری کنند.

اما فیشینگ یک فرم ثابت از حمله نیست. میلیون ها نوع مختلف فیشینگ وجود دارد. مجرمان پیام های مختلفی را امتحان می کنند و روزانه آنها را تغییر می دهند تا در نهایت ببینند کدام یک از آنها موثر واقع میشود. یک فرد ماهر و متبحر فقط با دانستن چند نکته مهم در مورد یک سازمان، می تواند به نرخ کلیک 80٪ بر روی یک ایمیل فیشینگ دست یابد.

فیشینگ یک کارمند به عنوان نوعی آموزش کارایی ندارد. نه تنها بسیار کلی است (چرا که غالباً فقط یک نوع خاص از ایمیل را در بر می گیرد)، بلکه کارمند را به سمت مهارت کافی برای تشخیص حملات جدید سوق نمیدهد. از آن بدتر، این کار مانند یک رویکرد تنبیهی است که کارمندان را عصبی و گاهی درمانده می کند؛ و حتی اگر هرگونه تغییر رفتاری نیزدر آن کارمند ایجاد کند، آن نوعی نیست که یک سازمان واقعاً نیازمند آن باشد.

 

فناوری جدید، آموزش جدید، خرد و هوشیاری پایدار
آموزش سنتی امنیت سایبری می تواند بصورت فردی یا مبتنی بر LMS باشد و به طور معمول در یک جلسه 30 تا 60 دقیقه ای آموزش مقدماتی، سالی یکبار انجام شود. در طول سال نیز امکان ارائه چند یادآوری تصویری به صورت ایمیل یا پوستر وجود دارد. اما صرف نظر از تغییرات جزئی، آموزش سنتی به طور کل جوابگو نیست. هر دو مورد محتوا و ارائه باید سریع و به روز باشند تا با فضای امنیتی سایبری که به طور مداوم تغییر می کند، امکان ارتباط داشته باشند. رویکردهای جدید در زمینه آموزش آگاهی از امنیت سایبری شامل تغییر رویکرد به سمت دستگاه های تلفن همراه، ارتباطات روزانه یا هفتگی، تعاملات تیمی و اداری، ایجاد رقابت دوستانه با تابلوی امتیاز، محتوای مربوط به آن صنعت خاص و آموزش کوتاه تری به نام یادگیری خرد.

آموزش هایی که حول محور یادگیری خرد ساخته شده اند به خاطر سپرده می شوند. تحقیقات پیشگامانه هرمان ابینگهاوس در اواخر دهه 1800 بود که "کشف کرد که با نبود هیچ گونه تقویت و یا ارتباطی با دانش قبلی، اطلاعات به سرعت فراموش می شوند؛ تقریباً 56٪ در یک ساعت، 66٪ پس از یک روز و 75٪ پس از شش روز". برای افزایش توانایی حفظ، ایجاد هرچه بیشتر ارتباط و تکرار اطلاعات ضروری میباشد. یک ساعت آموزش (یا بدتر از آن: با زمان طولانی تر) سالی یکبار، نحوه مناسبی برای یادگیری و حفظ اطلاعات توسط افراد نیست. مردم از مرور مستمر و ساختن مفهوم بر بنیان مفهوم، یاد می گیرند؛ درست مثل این که سالی یکبار برای تناسب اندام عضلات به باشگاه برویم، ذهن نیز همانند یک عضله است. برای حفظ و بهبود عملکرد، روزانه و با دوز کم تمرین و تمرین و ممارست کنید. آن جلسات روزانه استعاره از یادگیری خرد هستند که باعث ایجاد بهترین عملکرد ذهن میشوند.

 

اجتناب از حملات سایبری
آموزش امنیت سایبری اولین راهی است که سازمان ها می توانند با آن، به جلوگیری از جرایم اینترنتی کمک کنند. طبق تجزیه و تحلیل CybSafe از داده های دفتر کمیساریای اطلاعات انگلستان، 90٪ موارد نقض را می توان به خطای انسانی مرتبط دانست. این نقض ها، چه بخاطر پیکربندی شبکه باشد، چه بخاطر آموزش ناکافی کاربر نهایی، نهایتا افراد سازمان را آسیب پذیر یا مستحکم می کنند. در اینجا 5 روش برای کمک به سازمان خود در مبارزه با جرایم اینترنتی آورده شده است:

کارمندان را به طور مکرر آموزش دهید؛ سازمانها باید برای آنچه مهم است وقت اختصاص دهند. درک اهمیت یک پیام، اهمیت آن را تقویت می کند. اغلب به کارمندان یادآوری کنید که واقعاً چه رفتارهایی مهم است. همچنین به یاد داشته باشید که مردم به روش های مختلفی یاد می گیرند. شنیدن پیام در قالب های مختلف به کارمندان کمک می کند تا اطلاعات را بهتر جذب کرده و راحت تر به آنها دسترسی پیدا کنند.

مدیریت رمز عبور؛ رمزهای عبور به معنای واقعی کلمه کلیدهای اقلیم پادشاهی هستند. راهکارهای مدیریت رمز عبور را برای مدیران فراهم کنید تا بتوانند رمزهای عبور خود ردیابی کرده و از یادداشت کردن آنها بر روی برگه های در مجاورت رایانه اجتناب کنند.

پچ‌ کردن مکرر؛ بروزرسانی نرم افزار نقش بسیار مهمی در مسدود کردن رخنه های آسیب پذیری دارد. آسیب پذیری های شناخته شده بطور روزانه توسط مجرمان مورد حمله قرار می گیرند. "60٪ از موارد نقض شامل آسیب پذیری هایی است که پچ برای آنها ارائه شده، اما نصب نشده اند". به طور مرتب بروزرسانی کرده و پچ‌ ها را نصب کنید.

کاربران از راه دور؛ برای دسترسی ایمن تر به داده های حساس VPN و فایروال ارائه دهید. اصلا تصور نکنید که کارمندان به درستی روترها را تنظیم کرده اند یا پروتکل های WiFi ایمن را در خانه دنبال می کنند. اطمینان حاصل کنید که به آنها راهنمایی هایی لازم ارائه شده است که اطلاعات شرکت را هنگام کار در خانه ایمن نگه دارند.
پشتیبان گیری؛ به طور منظم از سیستم و اطلاعات مهم خود پشتیبان تهیه کنید. این پشتیبان ها را در جایی امن و جدا از شبکه خود نگه دارید. باج افزارها پیچیده تر و پرخاشگرتر می شوند، اما پشتیبان گیری از اطلاعات مهم باعث آرامش خاطر میشود و در هنگام حملات باج افزار هم به پیشگیری و هم به روند بازگشت کمک می کند.

حملات سایبری تغییر مکان داده و تکامل می یابند؛ آموزش باید ادامه داشته باشد. اگرچه تقریباً 30 سال است که آموزش سایبری وجود دارد، اما این آموزش تازه در آغاز قرار دارد. آموزش امنیت سایبری باید به معنای واقعی آموخته و اعمال شده و بهتر و متناسب با نیازهای فرد و سازمان ادامه بیابد. بنابراین، بیشتر آموزش دهید، تمرین کنید و به نحو کارآمد تمرین کنید.

اتهام کلاه برداری چندین میلیون دلاری جان مک آفی، از بزرگان آنتی ویروس مک آفی با سوء استفاده از رمزارزها

 

مک آفی در دادگاه فدرال به دلیل طرح هایی که تبلیغات ارزهای رمزارز را در رسانه ها گسترش، نشر و ارتقا میدهند، متهم به کلاه برداری شده است.

وزارت دادگستری ایالات متحده آمریکا روز جمعه گفت که جان مک آفی، پیشگام نرم افزار آنتی ویروس، که شرکت سابق وی هنوز نام او را یدک میکشد، به جرم کلاه برداری و اقداماتی در راستای پولشوئی حاصل از دو طرح رمزارز، متهم شده است.

مقامات رسمی، مک آفی و محافظ او (جیمی گیل واتسون جونیور) را متهم کرده اند که در ذیل توییت های مخاطبین عظیم اکانت توییتر مک آفی با الگوی pump-and-pump، برای آلت-کوین ها تورم مصنوعی ایجاد کرده و همچنین مبالغی که مک آفی از مشاغل استارتاپی برای تبلیغ رمزارزها دریافت کرده را مخفی و متعاقبا سواستفاده کرده است.

بنا به گفته وزارت دادگستری ایالات متحده، مک آفی و همدستانش بیش از 13 میلیون دلار از این طریق منتفع شده و برداشت کرده اند. کمیسیون معاملات آتی کالاها، اتهامات مدنی مربوطه را در رابطه با طرح ادعا شده pump-and-pump مطرح کرده است.

وکلای مک آفی و واتسون تا کنون مشخص و یا شناسایی نشده اند.

وزرات دادگستری اعلام کرده است که مک آفی پس از دستگیری در اسپانیا به اتهام فرار مالیاتی که در ماه اکتبر اعلام شده بود، هم اکنون نیز در بازداشت به سر میبرد. واتسون نویز پنجشنبه شب دستگیر شده است.

هر دوی آنها همچنین از سوی کمیسیون بورس و اوراق بهادار ایالات متحده، که در ماه اکتبر مک آفی را به پنهان کاری بیش از 23 میلیون دلار بخاطر ایجاد تورم مصنوعی هفت رمزارز در توییتر متهم کرده بود، با این اتهام هم روبرو هستند.

مک آفی در سال 2012 و پس از بازجویی از وی در مورد مرگ همسایه خود و هنگام فرار از خانه خود در بلیز، بشدت زیر ذره بین رسانه ها قرار گرفت. آنها در نهایت اعلام کردند که او دیگر مظنون نیست.

در پرونده رمزارزها، مقامات اعلام داشته اند که مک آفی دارایی های خود را از جمله Verge، Reddcoin و Dodgecoin در قالب طرح تبلیغاتی در قالب توییتر با نامهای "سکه روز" و یا "سکه هفته" از حدود دسامبر 2017 تا فوریه 2018 تبلیغ میکرده است.

مقامات افزوده اند که مک آفی از طریق توییت ها، سخنرانی ها و نقش خود به عنوان مدیرعامل یک شرکت رمزارز در بازار عمومی، خود را به عنوان یک متخصص امنیت سایبری و رمزارزها معرفی کرده است.

آنها همچنین وی را متهم کردند که  او به دنبال کنندگان خود حتی هنگامی که اظهار کرده است که آنها "جهان را تغییر خواهند داد"، گفته است که هیچ سهمی و نقشی در رمزارزها نداشته و ندارد.

اجازه حملات سایبری از راه دور بوسیله باگ های WAS و BPA کمپانی Cisco

آسیب پذیری های امنیتی با شدت بالایی که امکان افزایش اختیارات را که منجر به سرقت داده ها و دیگر موارد می شود، فراهم مینمایند!

مجموعه ای از آسیب پذیری های افزایش اختیار با شدت بالا که بر روی برنامه اتوماسیون فرآیند کسب و کار یا Business Process Automation (BPA) و Cisco’s Web Security Appliance (WSA) تأثیر می گذارد و می تواند به صورت تأیید شده به مهاجمان از راه دور‌ اجازه دسترسی به داده های حساس یا به تصرف درآوردن سیستم هدف حمله را بدهد، شناسایی شده اند.

دو باگ اول (CVE-2021-1574 و CVE-2021-1576) در اینترفیس مدیریت مبتنی بر وب BPA وجود دارد، که برای ساده سازی فرایندهای مختلف IT استفاده می شود. عملکردهای آن شامل بروزرسانی سیستم عامل، فعال سازی دستگاه، بررسی انطباق و تغییر سرور است.

به گزارش ترت پست، این نقص ها که هر دو از نظر سطح آسیب پذیری CVSS 8.8 از 10 را دارند، می توانند به یک مهاجم از راه دور معتبر اجازه دهند اختیارات خود را به سطح ادمین ارتقا دهد. سواستفاده موفقیت آمیز، شامل ارسال پیام های HTTP دست ساز و ساختهٔ مهاجم به یک سیستم آسیب دیده است.

بر اساس توصیه نامه امنیتی که روز پنجشنبه توسط سیسکو منتشر شده است: "این آسیب پذیری ها به دلیل اعمال تاییدات نامناسب برای ویژگی های خاص و دسترسی به فایل های لاگی‌ست که حاوی اطلاعات محرمانه هستند". این شرکت خاطرنشان کرد: بهره برداری می تواند باعث شود که یک مهاجم اقدامات غیر مجاز و تایید نشده را با سطح اختیارات یک ادمین و یا با بازیابی اطلاعات حساس از لاگ های مربوط و استفاده از آنها برای جعل هویت یک کاربر قانونی مجاز انجام دهد.

• برای CVE-2021-1574، مهاجمی با اعتبارنامه کاربر معتبر می تواند دستورات غیر مجاز را اجرا کند.
• برای CVE-2021-1576، مهاجم با اعتبارنامه معتبر می تواند به لاگ ورود سیستم زیرمجموعه یک سیستم آسیب دیده دسترسی پیدا کند و داده های حساس را بازیابی کند. سیسکو خاطرنشان کرد: این سیستم فقط در شرایطی آسیب پذیر است که کاربر قانونی یک session فعال در سیستم داشته باشد.

این آسیب پذیری ها بر BPA Cisco منتشر شده قبلتر از نسخه 3.1 تأثیر می گذارند.

در همین حال، باگ سوم بر روی دستگاه WSA سیسکو تأثیر می گذارد که با مسدود کردن خودکار سایت های پر خطر و آزمایش سایت های ناشناخته قبل از اینکه به کاربران اجازه کلیک بر روی آنها را بدهد، از افرادی که از شبکه سازمانی برای دسترسی به وب استفاده می کنند محافظت می کند.

این آسیب پذیری (CVE-2021-1359، با نمره CVSS 6.3 از 10) در مدیریت پیکربندی سیستم عامل Cisco AsyncOS وجود دارد که WSA از آن قدرت میگیرد. طبق توصیه نامه امنیتی سیسکو، این آسیب پذیری می تواند به مهاجم از راه دور شناخته شده اجازه دهد تزریق دستور را انجام داده و اختیارات روت را افزایش دهد.

این غول شبکه در ادامه توضیح داد: "این آسیب پذیری به دلیل تأیید ناکافی ورودی XML توسط کاربر برای اینترفیس وب است. یک مهاجم می تواند با بارگذاری فایل های پیکربندی XML دستکاری شده که حاوی کد اسکریپت در دستگاه آسیب پذیر است، از این آسیب پذیری سواستفاده کند. در این مورد، سواستفاده موفقیت آمیز می تواند به مهاجم اجازه دهد دستورات دلخواهی را روی سیستم عامل اصلی اجرا کند و اختیارات را برای root افزایش دهد".

شدت این باگ را بیش از حد مهم ارزیابی می کنند، زیرا هر مهاجم احتمالی برای سواستفاده از این باگ به یک حساب کاربری معتبر با اجازه بارگذاری فایل های پیکربندی احتیاج دارد؛ چیزی که می تواند از طریق حمله سواستفاده یا فیشینگ دیگری بدست بیاید.

این مسئله در نسخه های 11.8 و نسخه های قبلی، 12.0 و 12.5، نسخه های مجازی و سخت افزاری تجهیزات را تحت تأثیر قرار می دهد.

اینها تازه ترین پچ هایی است که سیسکو منتشر کرده است. ماه گذشته، چندین آسیب پذیری امنیتی با شدت بالا در سوئیچ های هوشمند سری Small Business 220، که جز تجهیزات شبکه سطح متوسط ​​برای سازمان های کوچک هستند، پچ کرده است. این نقص ها می توانند به حملات از راه دور طراحی شده برای سرقت اطلاعات، مستقر کردن بدافزار و ایجاد اختلال در فرایندهای عملیاتی، از طریق سرقت session ها، اجرای خودسرانه کد، cross-site scripting یا XSS و تزریق HTML کمک کنند.

ارتباط زنجیره‌وار حملات روز صفر کروم و ویندوز توسط مهاجمان ناشناس

takian.ir unknown attacker chains chrome and windows zero days 1
محققان امنیتی درباره مجموعه‌ای از حملات بسیار هدفمند که برای به خطر انداختن شبکه‌های قربانیان از طریق بهره‌برداری‌های روز صفر Google Chrome و Microsoft Windows هشدار داده اند.

تصور می‌شود مهاجمان ابتدا از باگ اجرای کد از راه دور CVE-۲۰۲۱-۲۱۲۲۴ در کروم که به تازگی پچ شده است، سواستفاده کرده اند.

کسپرسکی توضیح داده است که: "این آسیب‌پذیری مربوط به اشکال Type Mismatch در V۸ که یک موتور جاوا اسکریپت مورد استفاده توسط مرورگر‌های وب کروم و کرومیوم می‌باشد، بوده است. این آسیب‌پذیری به مهاجمان اجازه می‌دهد تا از فرایند رندر کروم سواستفاده کنند. این دسته، شامل فرایند‌هایی هستند که مسئول بررسی آنچه در تب‌های کاربران اتفاق می‌افتد، می‌باشند".

به نقل اینفو سکیوریتی مگزین، مرحله دوم افزایش سطح بهره‌برداری با استفاده از اختیارات مربوط به دو آسیب‌پذیری جداگانه در هسته سیستم عامل مایکروسافت ویندوز بود. مورد اول، CVE-۲۰۲۱-۳۱۹۵۵ که می‌تواند منجر به افشای اطلاعات حساس هسته شود؛ و مورد دوم، CVE-۲۰۲۱-۳۱۹۵۶ که یک اشکال سرریز بافر مبتنی بر heap می‌باشد.

کسپرسکی ادعا کرده است که مهاجمان CVE-۲۰۲۱-۳۱۹۵۶ را همراه با Windows Notification Facility (WNF) برای ایجاد حافظه دلخواه خواندن/نوشتن موارد اولیه به کار گرفته و ماژول‌های بدافزار را همراه با امتیازات سیستم اجرا می‌کنند.

هنگامی که آن‌ها با بهره‌گیری از این سه نقص جایگاه خود را در شبکه‌های قربانی مستحکم کردند، ماژول‌های استیجر یک دراپر بدافزار مخرب پیچیده‌تر را از یک سرور از راه دور اجرا می‌کنند، که به متعاقب آن خود را بر روی فایل‌های اجرایی نصب می‌کند تا به عنوان جزئی از فایل‌های قانونی ویندوز شناخته شود.

کسپرسکی گفته است که یکی از این موارد یک ماژول shell از راه دور است که برای بارگیری و بارگذاری فایل‌ها، ایجاد پروسس‌ها، حفظ خود در حالت خوابیده برای دراز مدت و حذف خود از سیستم آلوده طراحی شده است.

در حالی که گوگل قبلاً این نقص کروم را برطرف کرده است، مایکروسافت نیز هر دو آسیب‌پذیری را در بروزرسانی امنیتی سه شنبه هفته گذشته پچ کرده است.

تیم تحقیقاتی هنوز حملات را با هیچ عامل تهدید شناخته شده‌ای مرتبط ندانسته اند و از این رو گروهی که در پس این حملات بوده اند را، "PuzzleMaker" مینامند.

بوریس لارین، محقق ارشد امنیت در تیم تحقیق و تجزیه و تحلیل جهانی کسپرسکی (GReAT) اینگونه استدلال کرد که: "به طور کلی، در اواخر سال، ما شاهد چندین موج از فعالیت‌های تهدید آمیز با سواستفاده‌های روز صفر بوده‌ایم. این یک زنگ هشدار برای ما است که روز صفر همچنان موثرترین روش برای آلوده کردن اهداف مدنظر مجرمان سایبری است".

وی افزود: "اکنون که این آسیب‌پذیری‌ها برای عموم شناخته شده اند، ممکن است که شاهد افزایش استفاده از آن‌ها در حملات توسط این عامل و سایر عوامل تهدید و خطر آفرین باشیم. این بدان معنی است که برای کاربران بسیار مهم است که جدیدترین و بروزترین پچ‌ها را از مایکروسافت در اسرع وقت بارگیری و دریافت نمایند".

از بین بردن سرورهای DNS معتبر به وسیله نقص جدید TsuNAME

 

محققان امنیتی روز پنجشنبه آسیب پذیری جدیدی را که بر Domain System Name (DNS) تأثیر می گذارد و می تواند توسط مهاجمان برای حملات DoS بازگشتیِ علیه nameserver های معتبر، مورد استفاده قرار گیرد را افشا نمودند.

این نقص که نام 'TsuNAME' به آن اطلاق شده است، توسط محققان SIDN Labs و InternetNZ کشف شد که به ترتیب دامنه های اینترنتی رده بالای ".nl" و ".nz" برای هلند و نیوزیلند را مدیریت می کنند.

محققان اعلام کرده اند که: "TsuNAME هنگامی رخ می دهد که نام های دامنه به شکل ناصحیح و به صورت چرخشی وابسته به رکوردهای DNS پیکربندی شده باشد و هنگامی که ریزالورهای آسیب پذیر به این تنظیمات نادرست دسترسی پیدا کنند، شروع تکرار لوپ میکنند و درخواست های DNS را به سرعت به سرورهای معتبر و سایر ریزالورها می فرستند".

ریزالور بازگشتی DNS یکی از مولفه های اصلی در Resolve DNS است. به عنوان مثال، تبدیل نام هاستی مانند www.google.com به آدرس IP قابل قبول برای کامپیوتر مانند 142.250.71.36. برای نیل به این هدف، تا مادامی که به DNS nameserver شناخته شده برای رکوردهای DNS مورد درخواست دسترسی پیدا کند، به درخواست کاربر برای یک صفحه وب، با ایجاد یک سری از درخواستها پاسخ میدهد. سرور معتبر DNS شبیه دیکشنری است که آدرس IP دقیق دامنه که جستجو شده را در خود جای داده است.

اما در مورد TsuNAME این ایده مطرح است که تنظیمات نادرست هنگام ثبت دامنه می تواند یک چرخه وابستگی ایجاد کند، به طوری که رکوردهای nameserver برای دو منطقه، به سمت یکدیگر تنظیم شوند و باعث میشود ریزالورهای آسیب پذیر به سادگی از قسمتی به قسمت دیگر برگردند، و درخواست های بی وقفه ای را به سرورهای معتبر هر دو نقطه مادر ارسال کنند که به موجب آن سرورهای معتبر منطقه مادر به آنها غلبه می کنند.

در مورد چگونگی وقوع این اتفاق میتوان گفت که زیرا ریزالورهای بازگشتی از چرخه غافل شده و رکوردهای نام وابسته به چرخه را ذخیره نمی نمایند.

takian.ir tsuname dns vulnerability

 

داده های جمع آوری شده از دامنه .nz نشان داده است که دو دامنه با پیکربندی اشتباه منجر به افزایش 50 درصدی حجم کلی ترافیک برای سرورهای معتبر .nz شده است. Google Public DNS (GDNS) و Cisco OpenDNS (که برای هدف قرار دادن دامنه های .nz و .nl در سال 2020 مورد سواستفاده قرار گرفتند) ، از آن زمان در نرم افزار ریزالور DNS خود به این مسئله اشاره کرده اند.

برای کاهش تأثیر TsuNAME در محیط سایبری، محققان ابزار متن بازی به نام CycleHunter منتشر کرده اند که برای اپراتورهای سرور DNS معتبر امکان شناسایی چرخه وابستگی ها را فراهم می کند. این مطالعه همچنین 184 میلیون دامنه را که شامل هفت دامنه بزرگ سطح بالا و 3.6 میلیون رکورد nameserver متمایز است، مورد تجزیه و تحلیل قرار داده است و 44 لوپ وابستگی مورد استفاده توسط 1435 نام دامنه را کشف کرده است.

محققان هشدار داده اند: "با توجه به اینکه سوابق NS می توانند در هر زمان تغییر کنند، هیچ راه حل دائمی برای این مشکل وجود ندارد. به عبارت دیگر، اگر یک منطقه DNS فاقد رکورد NS وابسته به چرخش در زمان t باشد، به این معنی است که این منطقه فقط در آن زمان خاص t آسیب پذیر نیست. از همین رو ما همچنین به ثبت کنندگان توصیه مینماییم به طور مثال، به عنوان بخشی از روند ثبت نام دامنه، CycleHunter را به طور منظم اجرا کنند".

از دسترس خارج شدن بزرگترین بازار فروش اطلاعات ورود به سیستم حساب های سرقتی آنلاین با نام Slilpp

takian.ir doj taken down largest dark web market slilpp 1

بزرگترین بازار فروش اطلاعات و اعتبارنامه های سرقتی ورود به سیستم حساب آنلاین با نام Slilpp است که بیش از 80 میلیون اعتبارنامه سرقت شده را برای بیش از 1400 مهاجم سایبری در سراسر جهان ارائه می دهد.

وزارت دادگستری آمریکا (DoJ)، بازار دارک وب Slilpp که در آن تجارت نام کاربری و رمزهای ورود به سرقت رفته صورت میپذیرفته را، تعطیل کرده است.

 

وزارت دادگستری زیرساخت های Slilpp را از بین برده است
"وزارت دادگستری حضور خود را در یک عملیات چند ملیتی شامل اقدامات لازم در ایالات متحده، آلمان، هلند و رومانی برای اخلال و از بین بردن زیرساخت های بازار آنلاین معروف به Slilpp اعلام میدارد".

بازار Slilpp که از سال 2012 عملیاتی شده بود، اطلاعات سرقت شده ورود به سیستم را شامل نام کاربری و رمزهای ورود برای حساب های بانکی، حساب های پرداخت آنلاین، حساب های تلفن همراه، حساب های خرده فروشی و سایر حساب های آنلاین را به فروش می رسانده است.

بازار با ارائه تالار گفتمان و سازوکار پرداخت برای اینگونه معاملات به فروشندگان اجازه می داد تا اعتبارنامه ورود به سیستم سرقتی را به فروش‌ رسانیده و همچنین مشتریان آنها می توانند اطلاعات ورود به سیستم به سرقت رفته را خریداری کنند. بر اساس گزارش وب سایت رسمی وزارت دادگستری ایالات متحده، خریداران Slilpp از آن اعتبارنامه های ورود به سیستم برای انجام معاملات غیر مجاز مانند انتقال وجه از حساب های مربوطه استفاده می کردند.

این گزارش اعلام کرده است که تا به اکنون بیش از دوازده نفر توسط نیروی امنیتی ایالات متحده در ارتباط با بازار Slilpp متهم یا دستگیر شده اند.

طی همکاری FBI با آژانس های مجری قانون خارجی در آلمان، هلند و رومانی، مجموعه ای از سرورها را که میزبان زیرساخت ها و دامنه های مختلف Slilpp بودند شناسایی و کنترل آنها را بدست گرفته شده است.

نیکلاس ال مک کوئید، دستیار دادستان کل کشور، از بخش جنایی وزارت دادگستری اشاره می کند که "بازار Slilpp متهم است که صدها میلیون دلار به قربانیان در سراسر جهان ضرر وارد کرده است، از جمله این که خریداران قادر به خرید هویت سرقت شده قربانیان آمریکایی بوده اند".

گفته می شود که بیش از 1400 دارنده حساب در بازار Slilpp برای فروش حضور داشته و در دسترس هستند. براساس تعداد اندکی از گزارش های موجود در مورد قربانیان ، اطلاعات سرقت شده ورود به سیستم از طریق Slilpp خسارتی بیش از 200 میلیون دلار را به ایالات متحده تحمیل کرده است و هنوز حجم و ابعاد کامل تأثیر Slilpp مشخص نشده است.

دستیار دادستان کل دادستان کل نیکلاس ال مک کوئید از وزارت دادگستری اعلام کرد: "این بخش اقتصاد زیرزمینی را برای هویت های به سرقت رفته قابل تحمل نخواهد بود و ما به همکاری با شرکای مجری قانون خود در سراسر جهان برای برهم زدن بازارهای جنایی در هر کجا و تا آنجا که بتوانیم، ادامه خواهیم داد".

چانینگ دی فیلیپس، سرپرست دادستانی ایالات متحده، از ناحیه کلمبیا گفت: "FBI و شرکای بین المللی پیام واضحی را به کسانی که طبق ادعای آنها اقدام به سرقت و تبادل در هویت های سرقت شده می کنند، ارسال میکنند: ما اجازه نخواهیم داد هیچ تهدید سایبری از دید ما پنهان بماند".

از این رو، Slilpp سومین بازاری است که پس از xDedic در ژانویه 2019 و DEER.IO در ژانویه 2021 که هر دو آنها برای خرید و فروش اعتبارنامه ورود به سیستم استفاده میشدند، توسط وزارت دادگستری از دسترس خارج شده اند.

از ظاهر تا عمل؛ زیر سوال بودن عملکرد CISO ها در دنیا

 

پس از تحقیقات جدید آشکار شده است که بسیاری از پرچمداران امنیت سایبری جهان در فضای آنلاین رفتارهای پر ریسک انجام می دهند و ممکن است به آنچه که تبلیغ می کنند و نشان میدهند، عمل نکنند.

شرکت کانستلا اینتلیجنس، بیش از 100 شرکت جهانی پیشرو و بزرگ امنیت آی تی را در زمینه های مختلفی مورد نظرسنجی قرار داده اند تا آخرین گزارش خود را با عنوان "مخاطرات فضای سایبری در دنیای فرامتصل امروز" جمع آوری کند.

به نقل از اینفو سکیوریتی مگزین، این گزارش رویه گسترده امنیتی ضعیفی را نشان داده است: یک چهارم (24%) اعتراف کرده اند که از رمز عبور مشابه برای کار و فعالیت های آنلاین شخصی استفاده می کنند و تقریباً نیمی از آنها (45%) بدون استفاده از VPN به شبکه های وای فای عمومی متصل می شوند.

تصور می شود Wi-Fi عمومی آنقدر خطرناک است که دفتر تحقیقات فدرال ایالات متحده به طور منظم به مردم هشدار می دهد که در مواقع حضور خارج از خانه به این شبکه ها وصل نشوند.

تعداد مشابهی (48%) از پاسخ دهندگان CISO گفته اند که آنها از سیستم کاری خود برای ورود به سایت های شبکه های اجتماعی استفاده می کنند و 77% آنها درخواست دوستی افرادی را که نمی شناسند قبول می کنند، از جمله لینکدین که جامعه ای 63 درصدی را به خود اختصاص داده است.

طبق اطلاعات سازمان امنیت داخلی انگلستان، جاسوسان خارجی طی پنج سال گذشته با استفاده از پروفایل های جعلی با بیش از 10 هزار شهروند انگلیس از طریق شبکه اجتماعی لینکدین تماس گرفته و ارتباط برقرار کرده اند.

دولت طی یک اقدام کارآگاهی که به تازگی انجام شده، اعلام کرده است: "عواقب و نتیجه تعامل با این پروفایل ها می تواند به مشاغل فردی و همچنین منافع سازمان شما و منافع امنیت ملی و سعادت کشور آسیب برساند".

پیشگامان و بزرگان امنیتی حتی اگر حملاتی که آنها را هدف قرار می دهند نیز افزایش یابد، همچنان به رفتارهای پرخطر خود ادامه می دهند.

بیش از نیمی (57%) از افراد این جامعه آماری در زندگی شخصی خود تحت حملات تصاحب حساب (ATO) قرار گرفته اند که عمدتا از طریق ایمیل (52%)، لینکدین (31%) و فیسبوک (26%) این مجموعه را تشکیل داده اند. تقریباً سه چهارم (74%) گفته اند که در طی 90 روز گذشته مورد حمله فیشینگ یا ویشینگ قرار گرفته اند. بر اساس این گزارش، در یک سوم (34%) موارد، عوامل تهدید هویت مدیرعامل خود را جعل کرده اند.

مدیر عامل شرکت کانستلا اینتلیجنس، کایلاش آمبوانی میگوید: "در میان افزایش حملات سایبری به سازمان ها، که بسیاری از آنها از طریق جعل هویت C-suite انجام می شود، اکنون آگاهی و هوشیاری کارمندان در حوزه امنیت سایبری به اندازه زیرساخت های امنیتی یک سازمان مهم و پر اهمیت است".

"هرچه زمینه های شغلی و شخصی به طور فزاینده و به شکل دیجیتالی در یکدیگر آمیخته می شوند، هم مدیران و هم کارمندان باید به نقشی که هر یک از آنها در بهداشت جمعی امنیت سایبری ایفا می کنند، توجه نماید".

استوریج های QNAP، آسیب پذیری 7zip و درآمد 250 هزار دلاری در پنج روز

 

یک گروه باج افزار با رمزگذاری از راه دور فایل ها در استوریج های QNAP با استفاده از نرم افزار بایگانی 7zip در فاصله 5 روز 250,000 دلار درآمد کسب کرده اند. کاربران QNAP NAS در سراسر جهان از روز دوشنبه و پس از بهره برداری با باج افزاری به نام Qlocker توسط مهاجمین و سوءاستفاده از آسیب پذیری های رایانه های آنها، متوجه شدند که فایلهایشان بدون اطلاع رمزگذاری شده است.

در حالی که اکثر گروه های باج افزاری مدت زمان زیادی را صرف تولید بدافزار خود می کنند تا آن را قدرتمند، مملو از ویژگی منحصر بفرد و در مقابل دفاع سایبری ایمن سازند، گروه Qlocker هیچگونه نیازی به این اقدامات پیشگیرانه و توسعه دهندگی پیدا نکرد. در عوض، آنها دستگاه های QNAP را که به اینترنت متصل شده بودند، اسکن کرده و آنها را با نقص هایی که به تازگی کشف شده بودند، دستکاری کردند.

به گزارش هکینگ نیوز، عوامل این حملات توانستند با سوءاستفاده ها از راه دور از ابزار بایگانی 7zip بهره برده و بر روی فایل های قربانیان در دستگاه های ذخیره سازی NAS برای رمزگذاری استفاده کنند. آنها با استفاده از یک الگوریتم رمزنگاری آزمایش که در ابزار بایگانی 7zip تعبیه شده بود، تنها در مدت پنج روز توانستند بیش از هزار دستگاه را رمزگذاری کنند. برای دسترسی به همه رایانه های یک قربانی و فاش نکردن اطلاعات سرقت شده آنها، باج افزارهایی که سازمان ها را هدف قرار میدهند، به طور معمول پرداخت باج از صد هزار تا 50 میلیون دلار را مطالبه میکنند.

از طرف دیگر Qlocker مخاطبان متفاوتی را انتخاب کرده است: مشتریان و شرکت های کوچک و متوسط (SME) ​​که از کامپیوترهای QNAP NAS برای ذخیره سازی شبکه استفاده می کنند. به نظر می رسد عوامل مهاجم درک خوبی از اهداف خود دارند زیرا مطالبات باج آنها فقط 0.01 بیت کوین یا حدود 500 دلار با نرخ حدودی بیت کوین امروز بوده است.

از آنجایی که باج افزار Qlocker از مجموعه ای از آدرس های بیت کوین استفاده می کند که به طور معمول تغییر میکنند، شرکت بلیپینگ کامپیوتر، آدرس ها را جمع آوری کرده و پرداخت های آنها را پیگیری می کند. جک کیبل، محقق امنیت، یک ضعف کوتاه مدت و مقطعی را کشف کرده است که به او امکان بازیابی رمزهای عبور 55 قربانی را به صورت رایگان داده است. او ده آدرس بیت کوین متفاوت از یکدیگر را جمع آوری کرد که توسط تهدیدکنندگان هنگام استفاده از این اشکال در بین قربانیان در حال چرخش بوده و آنها را با بلیپینگ کامپیوتر به اشتراک گذاشته است.

بلیپینگ کامپیوتر از آن زمان، ده آدرس بیت کوین دیگر نیز جمع آوری کرده است و تعداد کل آدرس های بیت کوین مورد استفاده عاملین تهدید Qlocker را به 20 رسانده است. 20 آدرس بیت کوین تا این زمان، پرداخت باجی در حدود 5.25735623 بیت کوین را دریافت کرده اند که معادل 258،494 دلار به پول امروز است. متأسفانه در حالی که کاربران تصمیم سختی برای پرداخت باج برای بازیابی و دسترسی مجدد به فایل های خود می گیرند، احتمالاً تعداد باج ها در آخر این هفته و هفته آینده افزایش می یابد.

این کمپین باج افزاری همچنان فعال است و روزانه قربانیان جدیدی از آن گزارش می شوند. شرکت تاکیان به کلیه کاربران توصیه مینماید برای بروزرسانی و رفع آسیب پذیری ها و دفاع در برابر این حملات باج افزاری، همه کاربران QNAP دستگاه های خود را به جدیدترین نسخه های کنسول چندرسانه ای، افزونه Media Streaming و Hybrid Backup Sync ارتقا دهند. از این طریق همچنین کاربران می توانند از دستگاه های NAS خود محافظت کنند تا امکان انجام حملات احتمالی دشوارتر صورت پذیرد.

اطلاعات یاندکس (Yandex) لو رفت!

شرکت اینترنت‌ محور یاندکس روسیه دچار نشت اطلاعاتی شد و نزدیک به ۵ هزار حساب ایمیل موجود در سیستم‌های آن در معرض خطر قرار گرفت.

takian.ir-yandex-leak-five-thousand-emails
به گزارش سکیوریتی بولوارد، یکی از بزرگ‌ ترین شرکت ‌های اینترنت ‌محور اروپا، خبر از نشت اطلاعاتی داد که ۴۸۸۷ حساب ایمیل را در معرض خطر قرار داد. منشاء این نشت اطلاعاتی، یکی از کارمندان این شرکت بود. یاندکس محبو‌بترین موتور جست و جو در روسیه و پنجمین موتور جست و جوی محبوب در جهان است. خط تولید محصولات مرتبط با اینترنت یاندکس شامل سرویس‌ های ایمیل، تبلیغات آنلاین و... است.

بر اساس یافته های یاندکس یکی از کارمندان این شرکت، برای به دست آوردن منافع شخصی، امکان دسترسی غیر قانونی مجرمان به میل باکس کاربران را فراهم کرده است. این کارمند، یکی از سه ادمین سیستمی است که پشتیبانی فنی میل باکس ها را بر عهده داشت.

طبق گفته یاندکس، تحقیقات در مورد این رخداد آغاز شده و تغییراتی در فرایند دسترسی ادمین ها به سیستم ایجاد شده است. این اقدام میتواند امکان به خطر انداختن داده های کاربران را به حداقل برساند.

تیم امنیتی یاندکس در هنگام بازبینی معمول خود از سیستم ها متوجه این نشت اطلاعاتی شد. این شرکت تاکید کرد که هیچ یک از داده های پرداختی کاربران در معرض خطر قرار نگرفته است.

این شرکت همچنین دسترسی غیرقانونی به میل باکس های در معرض خطر را مسدود کرده است. یاندکس گفت که ما با صاحبان این میل باکس ها تماس گرفته ایم و هشدارهای لازم برای تغییر گذرواژه را به آنها داده ایم.

طبق گزارش ها، ۳۰ درصد از نشت های اطلاعاتی سال ۲۰۲۰ به دلایل درون سازمانی صورت گرفته است. شرکت های سیسکو در ماه دسامبر، آمازون در ماه اکتبر و ADT  در ژانویه امسال نیز به دلایل درون سازمانی مورد هدف قرار گرفته اند.

افزایش تقاضای بازار نرم افزار محافظت از حملات DDoS در بازه 2020 تا 2028

 

حمله DDoS یا Distributed Denial of Service نوعی حمله مخرب است که با ایجاد فشار بیش از حد در وب سایت با میزان بازدید بیشتر از سرور، ترافیک منظم شبکه را مختل می کند. هدف اصلی این نوع حمله سایبری غیرفعال کردن و از کار انداختن وب سایت ها است.

طی سالهای اخیر، این نوع حملات روند رو به افزایش داشته است و متعاقبا تقاضا برای بهترین نرم افزارهای محافظت از DDoS را افزایش می دهد. بسیاری از قطع دسترسی های برنامه ریزی نشده از مرکز داده ها به دلیل حملات DDoS اتفاق افتاده است. درجه بالای خطر DDoS به دلیل دسترسی آسان به ابزارهای لازم برای حمله و سود بالقوه آن از طریق اخاذی است.

این حملات بطور مستقیم مشاغل را هدف قرار داده و منجر به خسارات مالی و جانی قابل توجهی می شود و داشتن راه حل های قوی و مستحکم برای حفاظت از DDoS، تبدیل به امری حیاتی شده است.

طبق گزارش موسسه مارکت ریسرچ ، پیش بینی می شود نرخ رشد مرکب سالانه (CAGR) بازار نرم افزارهای محافظت از حملات DDoS برای سال 2020 تا 2028 به 14 درصد برسد.

 

آماری مهم که نشان از تقاضای روزافزون برای نرم افزاری محافظتDDoS دارد

تقاضا برای بازار نرم افزار DDoS به دلیل افزایش تصاعدی حملات چند جانبه DDoS و سهولت دسترسی به نفرات برا استخدام در حملات DDoS، در حال افزایش است.

این آمار، رشد مداوم در حملات مرگبار DDoS و نیاز قریب الوقوع به داشتن یک فضای محافظت قوی از DDoS را نشان می دهد.

  • بین سالهای 2014 و 2017 افزایش محسوسی در حملات DDoS برای نرخ افزایش 2.5 برابری مشاهده شده است.
  • تا سال 2020 ، تعداد کل حملات DDoS به 17 میلیون نفر رسید که هزینه هر کدام از این حملات بین 20 تا 40 هزار دلار در ساعت بوده است.
  • در سه ماهه دوم سال 2018، میانگین حجم و اندازه چنین حمله ای 26.37 گیگابایت بر ثانیه بوده است، که 967٪ افزایش یافته و در سه ماهه اول سال 2019 به 100 گیگابیت بر ثانیه رسیده است.
  • بزرگترین حمله تاکنون، حمله به GitHub در ماه فوریه سال 2018 با 1.3 ترابابت بر ثانیه بوده است.
  • چین بالاترین رتبه در بین عاملین حملات DDoS در سه ماهه سوم سال 2020 را داشته و 70.20٪ از کل حملات را به خود اختصاص داده است.
  • در سه ماهه سوم سال 2020، چین با 72.83٪ حملات، کشور پیشرو در اهداف حملات بوده است.
  • میزان فعالیت حملات DDoS بین سه ماهه چهارم سال 2019 و سه ماهه اول سال 2020، 542% افزایش یافته است.

پیش بینی می شود که حجم جهانی محافظت و کاهش حملات DDoS با افزایش 14 درصدی نرخ رشد مرکب سالانه ، از 2.4 میلیارد دلار در سال 2019 به 6 میلیارد دلار تا سال 2028 برسد.

عوامل موثر در رشد بازار محافظت و کاهش حملاتDDoS

حملات سایبری در چند وقت اخیر افزایش یافته است که بیشتر به دلیل تغییر جهت دیجیتالی شدن، افزایش تعداد دستگاههای متصل به اینترنت و افزایش قدرت محاسباتی پردازنده ها است. برای کاهش این تهدیدات نیاز به توسعه راه حل های نرم افزاری به شدت احساس میشود.

از اصلی ترین عواملی که می تواند باعث رشد بازار محافظت و کاهش حملات DDoS را بین سالهای 2020 تا 2028 بشود، افزایش نفوذ اینترنت اشیا (IoT) و دستگاه های متصل به اینترنت و تقاضای شرکت های کوچک و متوسط ​​است.

سازمان ها متوجه تأثیر این حملات شده اند و می خواهند از قبل برنامه ای برای مقاومت در برابر این دست حوادث داشته باشند.

حفاظتDDoS چگونه کار می کند

بسیاری از شرکتها با این سوال روبرو هستند که چگونه از وب سایت خود در برابر حملات DDoS محافظت کنم؟ امروزه فروشندگان زیادی وجود دارند که راه حل های نرم افزاری مختلفی ارائه می دهند که از وب سایت ها در برابر این حملات محافظت می کنند.

از الگوریتم ها و نرم افزار پیشرفته ای برای مدیریت ترافیک ورودی به وب سایت استفاده می کند. دسترسی به ترافیک مشکوک را مسدود می کند و اجازه می دهد موارد غیرمشکوک از  فیلتر آن عبور کنند.

راه حل پیشگیری ازDDoS

برنامه حفاظت DDoS شامل خرید و مدیریت تجهیزاتی است که می توانند ترافیک دریافت کننده را غربال کرده و در برابر حمله مقاومت کنند. سرویس های امنیتی مبتنی بر ساختار ابری و دستگاه های شبکه هستند که تهدیدات و مخاطرات ورودی را کاهش می دهند.

انتظار می رود بین سالهای 2020-2028 ، راه حل ها و خدمات سخت افزاری برای اطمینان از اتصال شبکه و کاهش خرابی در صورت خرابی تجهیزات یا برق رشد کنند.

حالت های گسترش و استقرار محافظت ازDDoS

وقتی صحبت از گستردگی میشود، بازار محافظت و کاهش حملات DDoS به ساختار ابری ، درون ساختاری و ترکیبی تقسیم می شود. انتظار می رود مدل ترکیبی در دوره پیش بینی شده، حداکثر رشد را داشته باشد. این حالت به سازمانها اجازه می دهد تا داده های با اهمیت خود را در ساختار خود نگه دارند و داده غیر مهم را به فضای ابری منتقل کنند.

در دوران اخیر، بسیاری از حملات DDoS توسط راهکار های داخلی و مبتنی بر ابر قابل شناسایی نبوده و سازمان ها نمی توانستند آنها را شناسایی و خنثی کنند. بنابراین آنها در حال تغییر به سمت یک مدل استقرار ترکیبی هستند.

بازیگران اصلی ارائه راه حل های تشخیص و کاهشDDoS

با افزایش حملات DDoS، تعداد عوامل ارائه دهنده راه حل های نرم افزاری برای شناسایی و کاهش حملات افزایش پیدا کرده اند.

بزرگترین عوامل حاضر در بازار عبارتند از نت‌اسکات، اینداسفیس مینیجد DDoS میتیگیشن، آکامای تکنولوژیز، کلودفلیر، لینک11، هوآوی تکنولوژیز، وریساین، نکسوس گارد.

بزرگترین سهم بازار در بازار محافظت و کاهشDDoS

طبق گزارش مجموعه مارکت ریسرچ، آمریکای شمالی بیشترین و بزرگترین سهم را در بازار محافظت و کاهش حملات DDoS در دوره پیش بینی شده داشته است. محرک های اصلی برای داشتن یک بازار بزرگ این است که این یکی از ابتدایی ترین راه حل های محافظت و کاهش DDoS بود و هیچ ارائه دهنده دیگری در این زمینه وجود ندارد. بسیاری از مشاغل در آمریکای شمالی برای در نطفه خنثی کردن این تهدیدات، راهکارهای محافظت و کاهش حملات DDoS را به عمل درمی آورند.

آسیا و اقیانوسیه (APAC) نیز شاهد افزایش رشد بازار خود را به دلیل رشد اقتصادی سریع و ثبات در کشورهای در حال توسعه و اصلاحات نظارتی بهتر خواهند بود.

در دوران اخیر و پیش رو، با تغییر روند تهدیدات و تاثیر حملات شبکه های DDoS در طول زمان، حملات DDoS بیشتر و پیچیده تر می شوند. اگرچه حجم حملات کاملا یکسان است، تعداد حملات به برنامه های خاص و هدف های حساب شده، به مقدار قابل توجهی افزایش می یابد.

هدف از راه حل های نرم افزاری حفاظت از حملات DDoS، کاهش بازه زمان خرابی حاصل از این حملات و افزایش در دسترس بودن وب سایت ها در راستای حفظ تولید و کارآیی مشاغل است. راه حل های نرم افزاری درون ساختاری، ابری و ترکیبی برای شرکت های کوچک، متوسط و بزرگ، قطعا بسیار راهگشا است.

افزایش حملات به شرکت های کوچک و متوسط و ناآگاهی کاربران

 

حملات سایبری به طور مکرر و بسیار جدی به ویژه بر شرکت های کوچک و متوسط (SME)، روند فزاینده ای را از خود نشان میدهند. متخصصان حوزه امنیت سایبری ارزیابی کرده اند که حملات سایبری در 5 سال آینده بیش از 5 تریلیون دلار هزینه به سازمان ها و نهادها تحمیل خواهد کرد.

ساده انگارانه است اگر تصور کنید که سرمایه گذاری های مستقل و هدف گذاری شده، تمرکز خود را از مجرمان سایبری دور نمایند، اما به طرز بسیار نامطلوبی، این نکته نمی تواند دور از حقیقت باشد. هر ساله تعداد زیادی از سازمان های کوچک قربانی حملات برنامه های مبتنی بر وب می شوند، بدین معنی که وقتی مجرمان برای دسترسی به سرور یا پایگاه داده از آسیب پذیری های کدگذاری سوءاستفاده می کنند، این نوع تهدیدات مخرب سایبری به عنوان برنامه های مبتنی بر وب شناخته می شوند.

به گزارش سایت ریکان‌ویت‌می، در مقایسه با حملات علیه سازمانهای بزرگتر، تعداد این حملات کمتر به نظر می رسد زیرا آنها معمولاً دارای یک تیم امنیتی داخلی هستند که به طور مداوم امنیت این نهادها را تامین میکنند و حتی اگر حمله ای صورت گیرد، توسط اخبار و دستگاه های رسانه های اجتماعی تحت پوشش قرار می گیرند، در حالی که حمله به شرکت های کوچکتر مورد توجه قرار نمی گیرد و تحت حمایت چندانی قرار نمیگیرند. این می تواند به نهادهای سرمایه گذاری خصوصی این احساس ناخوشایند را بدهد که همه دنیا در شرایط ایده آلی قرار دارند که از امنیت سایبری کافی برخوردار هستند. با این حال، شرکتهای کوچک در بیشتر موارد نسبت به شرکتهای بزرگ ناتوانتر هستند زیرا دارای سرمایه کمتری جهت اعمال تعهد امنیتی هستند.

 

مخاطرات قرار گرفتن تحت حملات سایبری

حملات سایبری خطری واقعی برای شرکتهای خصوصی هستند. این موضوع توسط موسسه پونمون در سال 2018 از طریق یک نظرسنجی بزرگ در زمینه امنیت سایبری تأیید شد. این بررسی شامل 1،045 سازمان کوچک و متوسط ​​در ایالات متحده آمریکا و انگلیس است.

در اینجا به برخی از یافته های اساسی اشاره شده است:

67% از پاسخ دهندگان در سال 2018 حداقل یک بار متحمل حمله سایبری شده اند. (در مقایسه با 61٪ در سال قبل).

کمی بیشتر از نیمی از پاسخ دهندگان که اطلاعات خود را از دست داده بودند و ادعا کردنده اند دلیل آن خطای کاربر انسانی ناآگاه یا یک کاربر بیرون از سازمان است.

سهم عظیمی از پاسخ دهندگان با حمله مهاجمان یا بدافزار مواجه شدند که مانع یافتن علت این اختلال یا مشکل آنتی ویروس سازمان آنها شده است.

دستگاه های تلفن همراه آسیب پذیرترین نقاط ورودی به شبکه های رایانه ای شرکت ها محسوب میشوند.

 

نوع حملات

  • بدافزار: بدافزار نام جمعی برای تعدادی از انواع نرم افزارهای مخرب است، از جمله ویروس ها، باج افزارها و جاسوس افزارها. اختصاریست برای نرم افزارهای مخرب؛ بدافزار به طور معمول شامل کدی است که توسط مهاجمان سایبری تهیه شده و برای آسیب رسانی گسترده به داده ها و سیستم ها یا دستیابی غیر مجاز به شبکه طراحی شده است.
  • فیشینگ: فیشینگ یک جرم سایبری است که در آن هدف یا هدفهای حملات، از طریق ایمیل، تلفن یا پیام متنی توسط شخصی که در شکل یک نهاد و سازمان قانونی برای جلب افراد جهت ارائه داده های حساس مانند اطلاعات شناسایی شخصی، اطلاعات بانکی و کارت اعتباری و رمزهای عبور است، مورد هجمه قرار میگیرند.
  • عدم پذیرش حملات مدیریتی: حمله ای برای خاموش کردن دستگاه یا شبکه که آن را برای کاربران مورد نظر خود غیرقابل دسترسی می کند. حملات DoS جهت نیل به هدف خود، با ارسال حجم زیادی ترافیک یا ارسال اطلاعات، باعث از دسترس خارج شدن آنها می شوند. در هر دو مورد، حمله DoS کاربران مجاز (کارمندان، اعضا یا دارندگان حساب) را از سرویس یا منابعی که امکان دریافت خدمات داشته اند، محروم می کند.
  • حملات مرد میانی یا Man-in-the-center: در حمله مرد میانی، یک هکر خود را در بین تو مرکز تبادل داده قرار میدهد تا اطلاعات را گردآوری و سرقت نماید.
  • تزریق SQL: این حمله شامل کدهای مخربی است که در یک عملگر SQL اعمال می شود (نوعی برنامه ریزی مدیریت پایگاه اطلاعات ایجاد شده توسط مایکروسافت).
  • سوءاستفاده Zero-day: این مورد حمله ای است که بین زمان آشکار شدن ضعف و تا رفع شدن آن اتفاق می افتد.

حملات می تواند از داخل یا خارج سازمان شما به وقع بپیوندد: حملات در داخل به طور منظم توسط نفرات ناسالم عضو مجموعه اجرا می شود. حملات بیرونی نیز ممکن است توسط کلاهبردارانی که در هر جای کره زمین یافت می شوند، انجام شود. حتی برخی از آنها ممکن است توسط agent های شرکت های دولتی انجام شوند.

 

تاثیر این حملات بر مشاغل کوچک

در یک حمله سایبری، پارامترهای متعددی میتوانند بر یک کسب و کار تاثیر بگذارند:

  1. آسیب رسیدن به یا از دست دادن اطلاعات الکترونیکی و دیجیتال: یک حمله می تواند به اطلاعات دیجیتالی موجود در رایانه های شخصی شما آسیب برساند. برای مثال یک آلودگی (بدافزار) می تواند سوابق تجاری شما را از بین ببرد، که به طبع تولید مجدد آنها یک چرخه طولانی و انرژی بر است که شامل تفکیک کردن مستندات و اطلاعات قدیمی است.
  2. هزینه های اضافی: این حملات برای ادامه روند کار ممکن است هزینه های اضافی ایجاد کنند. مثلا یک هکر به دو رایانه شخصی آسیب می رساند و شما را مجبور به جایگزینی دو ایستگاه دیگر می کند تا حداقل بتوانید تجارت خود را تا زمان برطرف شدن مشکل آنها رایانه های اسیب دیده، ادامه دهید.
  3. از دست دادن درآمد: ممکن است دچار مشکلات مالی و کاهش سرمایه شوید. به طور مثال حمله به زیرساخت مدیریتی، شما را وادار می کند تا تجارت خود را به مدت دو روز تعطیل کنید. این تعطیلی دو روزه باعث می شود هم درآمد و هم مشتری خود را از دست بدهید.
  4. مشکلات حقوقی امنیت شبکه و حریم خصوصی آن: به احتمال زیاد یک مجرم دیجیتال اطلاعات را از ساختار رایانه شما به سرفت میبرد و آن اطلاعات در اختیار طرف دیگری قرار میدهد (مثلا مشتری خاص خود)؛ این جمع آوری اطلاعات ممکن است باعث ثبت شکایت از شرکت شما و متهم شدنتان بشود. برای مثال یک برنامه نویس اطلاعات مربوط به تغییرات یا اقدامات آینده مشتری را می گیرد. این اطلاعات به دلیل سرقتی که رخ میدهد در اختیار یک هکر قرار میگیرد. متعاقبا مشتری از شما به اتهام اینکه بی احتیاطی شما باعث ایجاد یک ضرر مالی در سازمانش شده است و عدم توانایی در تأمین اطلاعات شکایت می کند.
  5. ضررهای تحمیلی: یک هکر کلاه سیاه اطلاعات حساس (شما یا شخص دیگری) را می دزدد و بعد از آن از شما 50 هزار دلار به عنوان باج مطالبه مینماید و در غیر اینصورت اقدام به ارسال آن اطلاعات در اینترنت می کند. سپس دوباره، شما به طور تصادفی باج افزاری را بارگیری می کنید که اطلاعات شما را رمزگذاری می کند و آن را غیرقابل دسترس و استفاده مینماید. مهاجم در ازای ارائه رمز الکترونیکی، تقاضای پرداخت پول می کند تا به شما امکان بدهد که به فایل های رمزگذاری شده دسترسی پیدا کنید.
  6. هزینه های اطلاع رسانی: همچنین به عنوان هزینه های اخطار نیز شناخته می شود؛ اکثر کشورها قوانینی را تصویب کرده اند که شما را ملزم مینماید تا به افرادی که اطلاعاتشان در زمان در اختیار داشتن آنها توسط شما مورد حمله قرار گرفته است، مشاوره و خدمات ارائه دهید. به همین ترتیب شما ملزم خواهید بود که در مورد گام هایی که نیاز است و در راستای حل مشکلات برمی دارید، اشاره کنید.
  7. آسیب رسیدن به اعتبار شما: یک حمله سایبری می تواند به شدت به جایگاه و اعتبار سازمان شما آسیب برساند. مشتری های احتمالی ممکن است از کار با شما خودداری کنند، زیرا اعتماد شما به چالش کشیده شده است و سازمان شما از کنترل ساختار داخلی خود ناتوان است یا حتی هرگونه ارتباط گرفتن و رابطه داشتن با شرکت شما به جایگاه و اعتبار آنها آسیب می رساند.

افزایش حملات سازمانی بدلیل عدم بروزرسانی و اعتماد بیش از حد به Endpoint ها

امروزه در معرض خطر قرار گرفتن سازمان ها از نظر امنیت سایبری، موضوعی دور از انتظار نیست اما یک مطالعه جدید منتشر شده توسط موسسه Ponemon نشان داد که میزان سازمان هایی که در معرض خطر قرار دارند، کاملا هشدار دهنده است.Takian.ir Endpoint Attacks Increase as Patching Slows
این تحقیق که در سال 2018 در مورد وضعیت امنیتی Endpoint ها انجام شده است، از افزایش تعداد شرکت هایی که در طی 12 ماه گذشته با حملات ناشی از اعتماد بیش از حد به Endpoint هامواجه شده اند، خبر میدهد.
نظرسنجی تحت حمایت Barkly شامل 660 متخصص فناوری اطلاعات و امنیت بود. همه شرکت کنندگان حملات Zero day و ناگهانی را به عنوان مهمترین و نگران کننده ترین تهدیدها میدانند واز بین همه شرکت کنندگان، نزدیک به دو سوم سازمان ها در 12 ماه گذشته به خطر افتاده اند.
در نتیجه 70 درصد از شرکت کنندگان گفتند که در 12 ماه گذشته راه حل های آنتی ویروس را جایگزین کرده اند و یا قصد جایگزینی در 12 ماه آینده را دارند. برای شناسایی بیشترین چالش هایی که در مورد شکاف های امنیتی وجود دارد، پاسخ دهندگان به بررسی حجم زیاد False Positive ها، حمایت ناکافی و پیچیدگی بالای مدیریتی به عنوان موارد نگران کننده در مورد استفاده از Endpoint ها اشاره کردند.
علاوه بر این، چهار نفر از پنج شرکت کننده گفتند که تلاش می کنند تا از Patch ها استفاده کنند و به طور متوسط ​​تاخیر 102 روزه برای Patch های مرتبط با Endpoint ها گزارش شده است. با وجود شیوع حملات Zero Day، این بررسی نشان داد که 43 درصد از پاسخ دهندگان گفتند که زمان بیشتری برای تست و تست شدن در نظر می گیرند.
برای آن دسته از شرکت هایی که در 12 ماه گذشته از یک حمله مرتبط با Endpointرنج می برند، هزینه حملات نیز افزایش یافته است. شرکت هایی که گزارش دادند حملات مرتبط با Endpoint ها که به درستی تشخیص داده نشده اند در سال گذشته افزایش 42 درصدی را داشته اند، که میانگین هزینه یک حمله را برای یک سازمان به 7،120،000 دلار در سال 2018 رساند. این مبلغ به 440 دلار برای هر Endpoint نصب شده بر روی هر کلاینت می رسد و قیمت آن تقریبا دوبرابر شده است که برای کسب و کار کوچک تا متوسط ​​تقریبا ​​763 دلار هزینه در بر داشته است.
لری پونونون، رئیس و بنیانگذار موسسه Ponemon، در یک نشست مطبوعاتی گفت: "این افزایش حملات موفقیت آمیز وجود یک شکاف عمیق در امنیت سازمان ها را نشان میدهد و راه حل ها و فرآیندهای موجود جوابگو نبوده است." سازمان ها بر این باورند که آنتی ویروس های فعلی تنها 43٪ از حملات را مسدود می کند و این نشان از یک نیاز برای مقابله و جلوگیری از حملات Zerodayاست و از طرفی عدم بروزرسانی دائمی سرویس های سازمانی نیز مزید بر علت ناامن بودن شبکه سازمان ها شده است.

افشاگری مایکروسافت درباره باگ حساس تصرف روترهای NETGEAR توسط مهاجمین سایبری

محققان امنیت سایبری مایکروسافت آسیب پذیری های بحرانی امنیتی که روترهای سری NETGEAR DGN2200v1 را تحت تأثیر قرار می دهد کشف کرده اند، که به گفته آنها می تواند به عنوان نقطه پرشی مورد سواستفاده قرار گیرد تا امنیت شبکه را به خطر انداخته و دسترسی بدون محدودیت را برای مهاجمین فراهم آورد.

سه ضعف امنیتی احراز هویت HTTPd (نمرات CVSS: 7.1 - 9.4) بر روترهایی که نسخه های سیستم عامل قبل از v1.0.0.60 اجرا می کنند، تأثیر می گذارد و از زمان دسامبر سال 2020 توسط آن شرکت از طریق یک توصیه نامه امنیتی به عنوان بخشی از فرایند آشکار سازی آسیب پذیری ها، پیگیری و رفع شده است.

به نقل از هکر نیوز، جاناتان بار اور، عضو تیم تحقیقاتی Microsoft 365 Defender گفت: "افزایش تعداد حملات Firmware ها و حملات باج افزاری از طریق دستگاه های VPN و سایر سیستم های متصل به اینترنت، نمونه هایی از حملاتی است که در بیرون و در لایه های زیرین سیستم عامل ها آغاز شده است. با متداول تر شدن این نوع حملات، کاربران باید به دنبال امنیت سایبری حتی یک نرم افزار تک منظوره باشند که صرفا وظیفه اجرای سخت افزار آنها را بر عهده دارد، مانند روترها".

takian.ir microsoft discloses critical bugs allowing takeover of netgear routers 1

 

به طور خلاصه این نقص امنیتی، دسترسی به صفحات مدیریت روتر را با استفاده از دور زدن احراز هویت فراهم می کند و به مهاجم این امکان را می دهد تا کنترل کامل روتر را بدست آورده و همچنین اعتبارنامه های ذخیره شده روتر را از طریق کریپتوگرافی حمله side-channel، استخراج کند و حتی با استفاده از ویژگی backup/restore، نام کاربری و رمز عبوری را که در حافظه روتر ذخیره می شود، بازیابی نماید.

بار اور توضیح داد: "نام کاربری و رمز عبور (در برابر اعتبار ذخیره شده) با استفاده از strcmp مقایسه می شوند. پیاده سازی libc در strcmp با مقایسه کاراکتر به کاراکتر تا مشاهده یک ترمیناتور NUL یا تا زمانی که عدم تطابق حاصل شود، کار کرده و پیش میرود. یک مهاجم می تواند با اندازه گیری زمان لازم برای عملیات ناموفق، از حالت دوم بهره برداری و سواستفاده کند".

takian.ir microsoft discloses critical bugs allowing takeover of netgear routers 2

 

علاوه بر این، محققان با سواستفاده از دور زدن احراز هویتی که در بالا ذکر شد، برای دسترسی به فایل پیکربندی، دریافتند که اعتبارنامه ها با استفاده از یک گذرواژه ثابت رمزگذاری شده اند، که می تواند بعداً برای بازیابی متن ساده رمز عبور و نام کاربری استفاده شود.

به کاربران NETGEAR DGN2200v1 توصیه می شود برای جلوگیری از هرگونه حمله احتمالی، جدیدترین فریمور را دانلود، نصب و به روزرسانی نمایند.

افشای ارتباط گروه تحت حمایت دولت و باج افزار Hades با حملات اخیر مایکروسافت Exchange

 

کارشناسان امنیتی، باج افزار Hades و گروه تحت حمایت دولت با نام Hafnium را که در پشت پرده حملات اولیه به سرورهای Microsoft Exchange بوده است، با یکدیگر مرتبط دانسته اند.

پرسنل این باج افزار همچنین مسئول حملات به یکی از بزرگان صنعت حمل بار با نام فوروارد ایر و تعداد انگشت شمار دیگری از شرکت ها بوده اند. این مسئله مرتبط با گروه عملیاتی روسی بدنام فعال در زمینه جرایم سایبری با نام اویل کورپ (Indrik Spider) بوده است که به شکل گونه جدیدی از باج افزار WasterdLocker خود، که برای کمک به گروه های دور زننده تحریم هایی که موجب دلسردی و انصراف قربانیان از پرداخت هزینه ها می شود، طراحی شده است.

با این حال ، گزارش جدیدی از اویک سکیوریتی، ادعا می کند دامنه ای را برای command-and-control در حمله Hades در ماه دسامبر سال 2020، درست قبل از کشف حملات سرور Zero-day Exchange پیدا کرده است.

جیسون بویس، معاون اویک سکیوریتی، توضیح داد: "تیم ما پس از به خطر افتادن و رمزگذاری جهت بررسی وضعیت حادث شده، ورود کردند و در این مورد خاص، دامنه هافنیوم به عنوان عامل ایجاد خطر در طی حمله Hades شناسایی شد".

وی افزود: "علاوه بر این ، این دامنه با یک سرور Exchange مرتبط بود و در روزهای منتهی به حادثه رمزگذاری برای command-and-control استفاده می شده است".

وی همچنین ادعا کرد که در کل دو احتمال وجود دارد: یک عامل تهدید کننده بسیار حرفه ای، در پوشش Hades در در این کار دست دارد و یا اینکه چند گروه مستقل به دلیل ضعف امنیتی، به طور تصادفی از همان محیط استفاده می کنند.

یافته های دیگر Hades را به عنوان یک گروه باج افزار غیرمعمول معرفی و مشخص می کند. تعداد بسیار کمی از قربانیان شناسایی شده اند و بیشتر به نظر می رسد از بخشهای صنایع تولیدی باشند.

بویس همچنین به "پیچیدگی بسیار کمی" در سایت های نشت راه اندازی شده توسط این گروه اشاره کرد، شامل حساب توییتر خود، صفحه ای در هک‌فرومز و صفحات پیج‌بین و هیست‌بین که متعاقبا حذف شده اند.

وی افزود: "همانطور که متخصصین این دست حوادث می دانند، برای عاملین و گردانندگان باج افزار بسیار معمول است که سایت هایی را برای نشت داده های خود ایجاد کنند، اما آنچه در مورد Hades جالب بود این است که آنها از روش هایی برای نشت و سایت های خود استفاده کردند که معمولا در مدت زمان بسیار کوتاهی از دسترس خارج شده اند".

"ما می دانیم که عامل حملات مبلغی در حدود 5 تا 10 میلیون دلار به عنوان باج درخواست کرده و جالب اینکه در پاسخ‌دهی به افراد، بسیار کند عمل میکند. در بعضی موارد، ممکن است اصلاً پاسخی نداده باشند. در موردی نیز، یکی از کاربران توییتر حتی اعلام کرده است "TA هرگز پاسخ نمی دهد". اگر فقط چند سازمان مورد حمله قرار گرفته بودند، چرا باید پاسخگویی به درخواست های باج برای این همه مدت طولانی زمان ببرد؟ آیا انگیزه بالقوه دیگری در این حمله وجود داشته است؟ چرا از آن زمان تا کنون خبری از Hades نبوده است؟".

بویس همچنین خاطر نشان کرد که داده های فاش شده در سایت ها بسیار کمتر از اطلاعاتی است که در اصل گروه به سرقت برده است، که مربوط به مراحل دقیق و جزئیات تولید است.

این گزارش همچنین به بازماندگان فعالیتهایی در گروه باج افزاری TimosaraHackerTerm (THT) در برخی از محیط های کاربری قربانیان Hades، چند هفته قبل از سری حملات ثانویه اشاره داشت. این موارد شامل استفاده از Bitlocker یا BestCrypt برای رمزگذاری، اتصال به آدرس IP کشور رومانی و استفاده از VSS Admin برای پاکسازی نسخه های shadow copy در دستگاه اصلی است.

اقداماتی که شرکت ها می توانند برای مقابله با انواع جعل (Fraud) های رایج انجام دهند

 

جعل کردن یک اصطلاح کلی است که برای محتوا و موارد متفاوتی مورد استفاده قرار میگیرد. با اینکه خیلی از ما این اصطلاح به نحوهای مختلف به گوشمان خورده و یا شنیده ایم، اندک افرادی از ما لحظه ای را تامل کرده و با خود اندیشیده ایم که جعل واقعا چیست و چه معنایی میتواند داشته باشد.

جعل کردن میتواند معانی متفاوتی نه تنها در خود بلکه برای هر شخص را، در بر بگیرد. به همین خاطر زمانی که سعی میکنیم تا به یک استنباط اولیه از مفهوم جعل کردن برسیم، ابتدا باید به انواع مختلف جعل بپردازیم. در این مقاله ما میخواهیم تا سه نوع جعل کردن را مورد بررسی قرار دهیم:

  1. تصاحب حساب (ATO)
  2. افتتاح حساب (AO) که گاهی به آن برنامه های جعل (FRAP) نیز گفته میشود.
  3. پرداخت یا جعل پرداخت

ورای درک اولیه از هر یک از این نوع جعل ها، ما میخواهیم اقداماتی که شرکت ها میتوانند برای کاهش محسوس ریسک و کاستن احتمال از دست رفتن اطلاعات اعمال کنند را بررسی نماییم.

تصاحب حساب یا ATO:

همانگونه که انتظار دارید، جعل ATO زمانی اتفاق می افتد که فرد جعل کننده یا جاعل کنترل یک حساب و شناسه قانونی که متعلق به شخص دیگری می باشد را در اختیار میگیرد. در حالیکه این کار از طرق مختلفی انجام میشود، در اینجا برخی موارد رایج آن اشاره شده است:

  1. سرقت اعتبارنامه ها از طریق فیشینگ و سایت های فیشینگ
  2. سرقت اعتبارنامه ها از طریق کدهای آلوده (مانند بدافزارهای Keylogging)
  3. جعل Session و Man-in-the-Middle

با توجه به حجم اعتبارنامه های سرقت شده و میزان سرقت آنها، امکان پیگیری حساب هایی که به خطر افتاده اند را اگر غیرممکن ندادیم، اما امکانی غیر عملی خواهد بود. یک رویکرد عملی تر، جستجوی و بررسی علائم تصاحب حساب میباشد. این علائم بسیار زیاد هستند، اما چند مورد قابل توجه آنها عبارتند از:

  1. فعالیتهای غیر عادی در سابقه کاربر (مانند مشاهده صفحات غیرمعمول و یا صفحاتی که امکان مشاهده آنها بسیار بعید است)
  2. رفتار غیر معمول در نشست ها کاربر (مانند برش و چسباندن (Cut and Paste) بیش از حد، حرکات نامنظم ماوس، سرعت کلیک و غیره)
  3. فاکتورهای محیطی غیر معمول (مانند اتصال از طریق یک وسیله جدید یا ناشناس، ASN و منطقه زمانی ناسازگار، زبان ناآشنا یا تنظیمات کاربری متفاوت)

قطعا به دنبال این علائم، شرکت ها میبایست دارای کنترل کامل و همچنین توانایی نظارت قوی بر جعل کردن ها باشند حتی اگر هیچ از موارد فوق قابل مشاهده نباشند. هر دوی این قابلیتها، نیازمند برنامه استراتژیک، پیاده سازی مجدانه و تمرکز ممتد میباشند. به علاوه تشخیص ATO یک بخش موضوع و عملکرد مناسب برای جلوگیری و مسدودسازی هرگونه تبادل تقلبی و جعل گونه نیز موضوعی به کل مجزا میباشد.

هنگامی که به ATO فکر میکنیم، ممکن است به یاد حساب بانکی یا سایر شناسه های مالی بیفتیم. توجه به این نکته مهم است که در حقیقت هر حساب آنلاینی را می توان در اختیار گرفت و تصاحب کرد. اغلب حساب های مسافرتی یکی از نمونه های نوع حساب های غیر مالی هستند که عموما قربانی َATO میشوند. به همین خاطر تعداد شرکت هایی که نیازمند محافظت از خود در برابر ATO هستند، بسیار بیشتر از حد قابل تصور است.

افتتاح حساب (AO):

جعل افتتاح حساب یا AO که گاهی اوقات به آن جعل FRAP نیز اطلاق میشود، که درگیر افتتاح و فعالسازی شناسه ای کاملا جدید میباشد. به طبع جعل کننده ها به اسم افرادی دیگر و با اطلاعات سایر اشخاص اقدام به این کار می نمایند. اما افراد جعل کننده، این اطلاعات را از کجا به دست می آورند؟ پاسخ کوتاه است، از: دارک وب. به علت تعداد بالای نشت اطلاعات در ده سال اخیر، حجم بسیار زیادی از این قبیل اطلاعات کاربران یا PII با مبالغ بسیار اندک در اختیار کلاه برداران و افراد جعل کننده قرار میگیرد.

هنگامی که افراد جعل کننده به PII دیگران دسترسی پیدا میکنند، آنها اقدام به ایجاد شناسه جدید میکنند. در بعضی موارد آنها مستقیما از PII دزدیده شده افراد حقیقی استفاده مینمایند. در دیگر موارد آنها ممکن است که PII را به صورت تلفیقی و با در هم آمیختن اطلاعات افراد مختلف و بعضا غیرواقعی دست به چنین اقدامی بزنند. هرچند که آنها از اطلاعات دزدی فرد استفاده مینمایند، زمانی که موفق به ساخت یک شناسه و حساب کاربری جدید میشوند، به راحتی میتوانند از منافع و مزایای آن حساب بهره برداری کنند.

شناسه های کاربری که افراد جعل کننده علاقمند به ساخت و بهره برداری از آنها هستند چیست؟ انواع مختلفی از این موارد وجود دارد که به برخی از آنها در ذیل اشاره شده است:

  1. مزایای بیکاری (ثبت نام و دریافت مزایای بیکاری با استفاده از PII شخص دیگر یا PII شخص جعلی ایجاد شده از PII افراد مختلف)
  2. کارتهای اعتباری (افتتاح حساب کارت اعتباری و استفاده از آن کارتهای اعتباری)
  3. بازپرداخت مالیات بر درآمد (ثبت مالیات با استفاده از PII شخص دیگر و دریافت بازپرداخت مالیات)

همانند ATO ، شناسایی و جلوگیری از AO به کنترل کامل و امکان نظارت قوی بر جعل کنندگی ها را نیاز دارد.

پرداخت یا جعل پرداخت:

جعل پرداخت جز آن دسته از مواردی است که افراد آشنایی بیشتری با آن دارند. هنگامی که شرکت ها اقدامات مناسب در راستای نظارت بر جعل ها را اتخاذ ننمایند، دقیقا آغازی بر مرحله انجام تبادلات جعلی می باشد. در این صورت جعل پرداخت، زمانی شناسایی میشود که یک مشتری متوجه یک تبادل جعلی در حساب خود شده و به آن موسسه اطلاعرسانی نماید. مشخصا در این شرایط آن پول از دست رفته است و آن شرکت متوجه ضرر مالی بخاطر جعل پرداخت شده است. بهتر است که شرکت ها از وقوع جعل پرداخت پیشگیری کرده و تدابیری را برای شناسایی این دست جعل ها قبل از شروع زنجیره جعل اتخاذ کنند؛ قبل از آنکه جعل کننده شانس و فرصت اقدام برای جعل پرداخت را داشته باشد.

در حالیکه متاسفانه انواع متفاوتی از جعل وجود دارد، ما سعی بر آن داشتیم تا معرفی پایه ای از سه نوع رایج آن داشته باشیم. شناسایی و جلوگیری از ATO، AO و جعل پرداخت مستلزم این است که شرکت ها کنترل لازم را در کنار نظارت قوی و کامل بر جعل ها اعمال نمایند. شرکت هایی که از این دو عامل و فاکتور مهم محروم باشند به سرعت درگیر روند فزاینده از دست رفتن سرمایه و ثروت بر اثر جعل میشوند. مراحلی وجود دارند که میتوان قبل از وقوع جعل، آن را کشف و از آن جلوگیری کرد و ما امید بر این داریم که با افزایش آگاهی از این شرایط، برای مرتفع کردن آن نیز اقدام شود.

امکان کنترل از راه دور تلفن شما با اشکالات جدید واتساپ

 

نرم افزار متعلق به فیس بوک با نام واتساپ، به تازگی دو آسیب پذیری امنیتی را در برنامه پیام رسانی خود برای اندروید برطرف کرده است که می توانست برای اجرای کدهای مخرب از راه دور بر روی دستگاه و حتی نشت اطلاعات حساس مورد سوءاستفاده قرار بگیرند.

هدف این اشکالات، دستگاههایی است که نسخه های اندروید تا نسخه 9 میباشد که با بهره گیری از حملاتی که با نام "man-in-the-disk" شناخته می شوند و این امکان را برای مهاجمین فراهم می کند تا با استفاده از داده هایی که در بین نرم افزار و حافظه خارجی رد و بدل می شود، برنامه را به خطر بیندازند.

امروز محققان آزمایشگاه های کنسوس اعلام کردند: "دو آسیب پذیری واتساپ که در بالا اشاره شده اند، امکان جمع آوری از راه دور موارد رمزنگاری TLS را برای سشن های TLS 1.3 و TLS 1.2 برای مهاجمان فراهم کرده است".

"با اسراری که در TLS وجود دارد، ما نشان خواهیم داد که چگونه حمله مرد میانی (MitM) می تواند منجر به در خطر افتادن ارتباطات واتساپی شده و اجرای کد از راه دور بر روی دستگاه قربانی و استخراج کلیدهای پروتکل نویز که برای رمزگذاری end-to-end در ارتباطات کاربر استفاده میشود را امکان پذیر نماید".

به طور خاص، این نقص (CVE-2021-24027) از پشتیبانی کروم از ارائه دهندگان محتوا در اندروید (از طریق طرح URL "content://") و بای‌پس پالیسی مشابه در مرورگر (CVE-2020-6516) استفاده می کند؛ بدین ترتیب به مهاجم اجازه می دهد تا یک فایل HTML ساخته شده مخصوص از طریق واتساپ را برای قربانی ارسال کند، که با باز شدن در مرورگر وی، کد موجود در فایل HTML را اجرا نماید. (مشاهده ویدئو در یوتوب)

از این بدتر می توان از کد مخرب برای دسترسی به منابعی که در حافظه ذخیره سازی خارجی محافظت نشده است، استفاده کرد، شامل آنهایی که از جانب واتساپ است و برای ذخیره جزئیات کلیدی سشن TLS در زیر شاخه ها، بین مابقی آنها و در نتیجه اطلاعات حساسی که هر نرم افزار دیگری اجازه خواندن و تغییر دادن آنها از طریق حافظه خارجی دارد.

کریتون کارامیتاس، محقق آزمایشگاه های کنسوس گفت: "تمام کاری که یک مهاجم باید انجام دهد این است که قربانی را مجبور به باز کردن پیوست یک فایل HTML کند. واتساپ این پیوست را از طریق ارائه دهنده محتوا در کروم ارائه می کند و در نتیجه کد جاوا اسکریپت مهاجم می تواند کلیدهای سشن ذخیره شده TLS را به سرقت ببرد".

یک مهاجم به عنوان شخصی که به رمزها دسترسی دارد، می تواند حمله مرد میانی را انجام دهد تا به اجرای کد از راه دور دست یابد یا حتی جفت کلیدهای پروتکل نویز را از بین ببرد (که برای اجرا کردن یک کانال رمزگذاری شده بین کاربر و سرور برای انتقال لایه امنیتی استفاده می شود و نه پیام های خود، که با استفاده از پروتکل سیگنال رمزگذاری می شوند) که با ایجاد عمدی خطا در خارج از حافظه و از راه دور بر روی دستگاه قربانی انجام شده که توسط برنامه برای اهداف تشخیصی و مشکل یابی جمع آوری شده اند.

هنگامی که این خطا برطرف شود، مکانیسم اشکال زدایی واتساپ جفت کلیدهای رمزگذاری شده را به همراه لاگ های برنامه، اطلاعات سیستم و سایر محتوای حافظه در یک سرور اختصاصی که به لاگ های خطاها تخصیص داده شده است (crashlogs.whatsapp.net) وارد و بارگذاری می کند. اما شایان ذکر است که این تنها در دستگاه هایی رخ می دهد که نسخه جدیدی از برنامه را اجرا می کنند و "کمتر از 10 روز از تاریخ انتشار نسخه فعلی گذشته باشد".

اگرچه فرایند اشکال زدایی به منظور فراخوانی خطاهای بزرگ در برنامه طراحی شده است، اما ایده پشت حملات MitM، ایجاد برنامه ای متفاوت است که باعث جمع آوری داده ها و غیر فعال کردن امکان آپلود می شود و فقط برای قطع ارتباط و افشای همه اطلاعات حساسی که قرار بود به زیرساخت های داخلی واتس اپ ارسال شوند، انجام میشود.

برای دفاع در برابر چنین حملاتی، گوگل در اندروید نسخه 10، ویژگی ای را به نام "scoped storage" معرفی کرد که به هر برنامه یک منطقه ذخیره سازی جداگانه در دستگاه تخصیص می دهد، به گونه ای که هیچ برنامه دیگری که روی همان دستگاه نصب شده باشد، نمی تواند مستقیماً به داده های ذخیره شده توسط برنامه های دیگر دسترسی داشته باشد. (مشاهده ویدئو در یوتوب)

این شرکت امنیت سایبری گفت که هیچ اطلاعی در مورد سوءاستفاده های انجام شده بخاطر این نوع حملات ندارد، اگرچه در گذشته از نقص واتساپ برای تزریق نرم افزارهای جاسوسی به دستگاه های هدف و جاسوسی از روزنامه نگاران و فعالان حقوق بشر سوءاستفاده شده بود.

به کاربران واتساپ توصیه می شود برای کاهش خطر بخاطر این نقص، برنامه خود را به نسخه 2.21.4.18 بروزرسانی کنند. هنگامی که به نتیجه رسیدند، این شرکت دوباره تأکید کرد "کلیدهایی" که برای محافظت از پیام های افراد استفاده می شود در سرورها بارگذاری نمی شوند و اطلاعات ورود به سیستم شناسایی خرابی، اجازه دسترسی به محتوای پیام را نمی دهد.

سخنگوی این شرکت به خبرگزاری ها اعلام نمود: "ما به طور مرتب با محققان امنیتی همکاری می کنیم تا روشهای بی شماری را که واتساپ از پیامهای مردم محافظت می کند، بهبود بخشیده و گسترش دهیم. ما از اطلاعاتی که این محققان با ما به اشتراک گذاشته اند ، قدردانی می کنیم. اطلاعاتی که در گذشته به ما کمک کرده است در مواردی که کاربر اندروید از وب سایت مخربی در کروم بازدید می کند، واتساپ را بهبود ببخشیم. اگر شفاف صحبت کنیم، رمزگذاری end-to-end همانطور که در نظر گرفته شده است کار می کند و پیام ها ایمن و بدون آسیب باقی می مانند".

کارامیتاس گفت: "سیستم های فرعی بیشتری در واتساپ وجود دارد که ممکن است مورد توجه مهاجم واقع شود. ارتباط با سرورهای بالادستی و پیاده سازی رمزگذاری E2E دو مورد قابل توجه برای ما هستند. علاوه بر این، علی رغم این واقعیت که این کار روی واتساپ، سایر برنامه های پیام رسان معروف اندروید (مانند وایبر و مسنجر فیسبوک) یا حتی بازی های تلفن همراه متمرکز بود، ممکن است به شکل ناخواسته باعث سطح مشابهی از برای حملات کنترل از راه دور در معرض مهاجمین قرار دهد".

اینترنت و فضای سایبری عرصه تازه‌ای برای سیاست

واقعیت این است که بر خلاف آنچه اکثریت مردم گمان می‌کنند، فضای سایبری فضایی مجازی و غیرواقعی نیست. درواقع، کاربرد کلمات مجازی موجب گمراه کردن افراد و تغییر مسیر ایده‌ها در این حوزه شده است. فضای سایبری حوزه جدیدی برای اثرگذاری محسوب می‌شود و نتیجه دوستی، همکاری، رقابت، دشمنی و حتی جنگ بین کشورها و دیگر عوامل به شمار می‌رود. این موارد به روشنی نشان می‌دهد که اینترنت و فضای سایبری عرصه تازه‌ای برای سیاست پدید آورده است؛ فضایی که عوامل فعال و سیاست‌گذاران آن را افراد، گروه‌ها و دولت‌ها تشکیل می‌دهند.Takian.ir CyberSpace

در کشورهای نوظهور، فضای سایبری پایه‌ای برای رشد اقتصادی و همچنین سرعت پیشرفت صنعتی و فنی در بسیاری از بخش‌ها محسوب می‌شود؛ اما در برخی از کشورها (نظیر چین)، این فضا به عنوان تهدیدی برای نظام سیاسی حاکم به شمار می‌رود و این امر به‌طورکلی به کاربرد فیلترها و موانعی برای کنترل دسترسی به اینترنت و استفاده از آن منجر می‌شود. برای برخی از کشورها، فضای سایبری ممکن است چالشی ژئوپلیتیک در توسعه روابط بین‌المللی باشد؛ به نظر می‌رسد که تصمیم گروه بریکس برای راه‌اندازی یک شبکه فیبری زیردریا در اطراف امریکا نیز از همین نگرانی نشئت گرفته است.
بنابراین، برخی از این کشورها با ایجاد یک درگاه (پورت) مستقل، در حال تلاش برای کنترل نقاط دسترسی به اینترنت هستند. اگرچه این رویکرد با طرح کلی اینترنت برای دسترسی به کلیه شبکه‌ها ناسازگار است، می‌تواند از سیاست داخلی کشورها (کنترل کردن محتوای اطلاعاتی فرامرزی) و همچنین سیاست خارجی کشورها (آمادگی دفاعی در برابر حملات احتمالی تحت چهارچوب دفاعی) بهره‌مند شود.

در عرصه فضای سایبری، جمهوری خلق چین، علاوه بر نظارت و کنترل اینترنت، سیاست دیگری را نیز در پیش گرفته است:
توسعه فعالیت‌های تهاجمی عبارت است از قابلیت‌های جاسوسی سایبری، خنثی‌سازی یا از کار انداختن موقت سامانه‌های اطلاعاتی ملی.
از سال 2006، رویدادهایی به وقوع پیوسته است که نشان می‌دهد که سرویس‌های چینی مشغول جاسوسی از سامانه‌های مختلف کشورهای غربی (امریکا، سازمان ملل و غیره) بوده‌اند و تحلیل‌های صورت گرفته توسط شرکت‌های امنیت سایبری نشان می‌دهد که یک یا حتی چند عملیات جاسوسی سایبری علیه دولت‌ها، شرکت‌های چندملیتی و تعدادی از سازمان‌های جهانی در حال انجام است.

در حال حاضر، سوءاستفاده روزافزون از نقص‌ها و کمبودهای سامانه‌های اطلاعاتی و شبکه‌های سایبرنتیک و تشدید تبعات آن، هدف گرفتن زیرساخت‌های حساس، ارتش و دولت موجب بروز فعالیت‌های مخرب در حوزه جرائم سایبری شده است. شروع جنگ در نظر گرفته می‌شود و به انتقام جنگی یا سایبری منتهی می‌شود. به همین صورت، کاخ سفید در سند «راهبرد بین‌المللی فضای سایبری» بر حق دفاع از خود در برابر حملات سایبری تأکید می‌ورزد. این مؤلفه‌ها به احتمال ایجاد اختصاصات، سلاح‌ها و سازمان‌هایی منجر شده است که قلدری سایبری را در بافت گسترده‌تری از اسناد راهبردهای دفاع سایبری هدف می‌گیرد؛ به‌طوری‌که هدف اصلی و نهایی آن باید انتقال از راهبرد دفاعی مستحکم بر مبنای خطوط دفاع مغناطیسی و ایجاد رویکردی با راهکارهای امنیتی گسترده باشد.
بنابراین، بسیاری از کشورها تقریباً اعلام کرده‌اند که توسعه قابلیت‌های دفاع سایبری خود را یک ضرورت می‌دانند (یعنی می‌خواهند که به فرماندهی و تجهیزات ضدحمله مجهز شوند) تا بتوانند به حملاتی که احتمالاً زیرساخت اصلی بخش‌ها را هدف می‌گیرد، پاسخ مناسب نشان دهند.
تکامل قابلیت‌های سایبری شامل امکان توسعه عملیات‌های تهاجمی علیه افراد و سازمان‌هایی می‌شود که ممکن است درگیر فعالیت‌های خصمانه شوند، به‌ویژه تهدید به انتقام‌گیری از مهاجمان بالقوه صورت می‌گیرد تا ضمن اثرگذاری بر محاسبات راهبردی آنها، از اقدام آنها برای انجام فعالیت‌های مخرب ممانعت به عمل آورد.

مطمئناً ارائه چنین راهبرد سایبری مستلزم بازتعریف راهبردهای کشورهای غربی در حوزه امنیت سایبری است؛ یعنی، بازتعریف سلاح‌هایی که باید برای واکنش به مسائل امنیت سایبری فعلی و آتی توسعه داده شود؛ و همچنین بازتعریف فلسفه اساسی مسائل امنیت سایبری به گونه‌ای که همکاری عملیاتی بین بخش‌های مختلف از جمله بخش‌های خصوصی، اجرایی و نیروهای امنیتی و حتی دولتی میسر شود.

درواقع، مبنای سیاست سایبری چین بر پایه جذب فناوری‌های اطلاعاتی و ارتباطی به‌منظور دستیابی به مزایای اقتصادی و همچنین پایه‌ریزی راهبرد جنگ اطلاعاتی شکل گرفته است که در آن، سامانه‌ها امکان دسترسی ارتش آزادی‌بخش خلق چین را به سامانه‌های متصل به اینترنت فراهم می‌کنند و در نتیجه، امنیت زیرساخت‌ها، مبادلات و داده‌های ذخیره شده توسط دولت‌ها، به‌ویژه دولت‌ها و کاربران غربی در معرض تهدید قرار می‌گیرد. از این چشم‌انداز، می‌توان گفت که چین از مدت‌ها قبل دارای سامانه بازدارنده سایبری بوده است که ظاهراً ابزاری برای جاسوسی سایبری در جهان به شمار می‌رود.

باج افزار Lorenz، تهدید امنیتی جدید برای سازمان ها

 

یک تهدید امنیتی دیگر در اکوسیستم باج افزاری به قصد هدف قرار دادن مشاغل و شرکت ها ظاهر شده است. این بدافزار که به نام Lorenz شناخته میشود، یک باج افزار جدید است که از استراتژی باج گیری مضاعف برای درآمدزایی استفاده می کند.

 

درباره بدافزارLorenz

لیتست هکنیگ نیوز گزارش داده که بلیپینگ کامپیوتر اخیراً جزئیات باج افزار Lorenz (لورنز) را که به تازگی ظاهر و شناسایی شده را به اشتراک گذاشته است. حدود یک ماه از آغاز فعالیت این باج افزار میگذرد و از آن زمان شرکت های زیادی را هدف حملات باج افزاری خود قرار داده است.

به طور خلاصه، این باج افزار درست مانند بقیه، با در اختیار گرفتن شبکه های آنها، از کسب و کارها و شرکت ها باج می گیرد. پس از آلودگی، لورنز به صورت جانبی بر روی شبکه هدف گسترش یافته و پخش میشود تا درنهایت به اعتبارنامه مدیر دامنه ویندوز برسد.

همانطور که این باج افزار گسترش می یابد، داده های رمزگذاری نشده قربانی را مرتباً اضافه و نگهداری می کند و به سرورهای خود می فرستد. به همین سادگی لورنز به لیست باج افزارهای دیگری که باج گیری دو یا سه برابری انجام می دهند، اضافه میشود.

لورنز پس از تثبیت خود و سرقت داده ها، ضمن افزودن پسوند ".Lorenz.sz40" به نام فایل ها، داده ها را رمزگذاری می کند.

گرچه همه اینها برای یک باج افزار معمول و رایج به نظر میرسد اما لورنز نیز برخی از استراتژی های منحصر به فرد را در این زمینه میتواند به نمایش بگذارد.

در ابتدا لورنز یک بدافزار سفارشی سازی شده قابل اجرا برای قربانی هدف خود ارائه داده و در سیستم هدف اجرا میکند. همچنین، گروه بدافزاری برای هر قربانی یک سایت اختصاصی پرداخت بر پایه Tor ایجاد می کند.

علاوه بر این، بدافزار برخلاف سایر باج افزارها، فرایندها یا سرویس های ویندوز را قبل از رمزگذاری از بین نبرده و غیرفعال نمیکند.

در مورد باج نیز، این باند معمولاً تقاضای زیادی و بین 500 تا 700 هزار دلار مطالبه میکند. عدم پرداخت این باج، مهاجمان را به سمت آغاز فرایند انتشار اطلاعات سرقت شده در دارک وب هدایت می کند.

در ابتدا گروه لورنز، فروش داده ها به رقبا را در اولویت قرار میدهند. سپس تا پایان مهلت پرداخت باج، شروع به بایگانی داده های محافظت شده با رمز عبور می کنند. بعد از پایان مهلت، آنها به راحتی رمز عبور را نیز منتشر می کنند و به طبع آن داده ها را در دسترس عموم قرار می دهند.

باز هم، آنچه لورنز را منحصر به فرد می کند این است که آنها نه تنها اطلاعات سرقت شده را فاش می کنند. بلکه آنها دسترسی به شبکه داخلی قربانی را نیز نشت داده و افشا میکنند.

 

ظاهرا این بدافزار نوعیThunderCrypt است

در حالی که لورنز رفتار تا حدودی متمایز از خود نشان می دهد، به نظر می رسد که این باج افزار اساساً نوع دیگری از باج افزار ThunderCrypt است.

در حال حاضر تاکنون با ادامه تجزیه و تحلیل این باج افزار، جزئیات زیاد و جدیدی در مورد لورنز در دسترس قرار نگرفته است. با این وجود در مدت زمان کوتاهی، سایت نشت و افشای اطلاعات متعلق به آنها نشان می دهد که باج افزار تا کنون حدود 12 قربانی مختلف را هدف قرار داده است. در این میان، آنها اطلاعات سرقت شده از 10 مورد را فاش و منتشر کرده اند!

1 2 3 4