ماهواره ها هداف اصلی حملات سایبری هستند! اوضاع میتواند خیلی بد شود

گرگوری فالکو یک پژوهشگر سایبر در مرکز بلرب دانشگاه دانشگاه هاروارد است و یک محقق امنیتی پس از مداخله در موسسه فناوری اطلاعات فناوری اطلاعات و آزمایشگاه هوش مصنوعی ماساچوست است. او بنیانگذار و مدیر اجرایی NeuroMesh، شرکت امنیتی فناوری است.

یک دقیقه. مدت زمان طولانی در ماه گذشته برای نشان دادن به یک شرکت بزرگ پخش و تیم تولید چگونه به دسترسی و راه اندازی مجدد سیستم کنترل پیشرو ماهواره ای اینترنت ارائه شده است. پنج دقیقه طول می کشد تا زمانی که من برای نشان دادن چگونگی به دست آوردن کنترل کامل آن، زمان بگذارم.

هکرها همیشه توانایی خود را برای شکستن زیرساخت های دیجیتال خود بهبود می بخشند. با این حال، سیستم های کامپیوتری که ماهواره های ما را اجرا می کنند، به اندازه کافی نگه ندارند، و آنها را هدف اصلی حمله قرار دهند. این باعث می شود تا دارایی های فضایی ما آسیب پذیری گسترده ای داشته باشد و اگر ما دقت نکنیم می تواند خیلی بدتر شود.

این آخر هفته گذشته، SpaceX از کمیته ارتباطات فدرال تایید شده بود تا تعداد ماهواره های کم پرواز را به عنوان بخشی از پروژه Starlink خود افزایش دهد تا بتوانند دسترسی سریعتر اینترنت به جهان را فراهم کنند. متاسفانه، دسترسی کاربران به طور مشروع و هکرها به سرعت خواهد بود. FCC متقاضیان را به طور عمومی نیازی به نشان دادن اینکه چگونه این ماهواره ها یا اینترنت را که قصد ارائه آن را دارند، نشان می دهد. SpaceX، مانند سایر شرکت های فضایی خصوصی، تقریبا هیچ اطلاعاتی در مورد تلاش ها یا برنامه های خود برای امنیت سایبری نداشته است.

با توجه به تأثیرات احتمالی ماهواره ای که هک شده است، این بسیار بی احتیاطی است. نتیجه عجیب و غریب این است که ماهواره دیگر کار نخواهد کرد، اما افراطی دیگر این است که یک مهاجم به داخل ماهواره برسد و هر حرکتی را که (SpaceX بر ماهواره های خود تأکید کرده است) بگیرد و سپس ماهواره را به زیرساخت های انتقالی هدایت کند و ماهواره های نظامی در مدارهای دیگر. به عبارت دیگر، مهاجمان احتمالا می توانند از ماهواره هک شده به عنوان سلاح جنایی استفاده کنند.

مدتهاست که توجه به امنیت زیرساختهای فضایی از لحاظ روح فضا و سیستمهای کنترل زمینی ماهواره ای که تمام دارایی های فضایی را مدیریت می کنند، توجهی نداشته است. تقریبا هیچ آژانس نظارتی و نظارتی در مورد تأمین دارایی های فضایی وجود ندارد - چیزی است که من با رهبری دولت با آن مواجه شدم. در حالی که FCC ارتباطات را تنظیم می کند، نباید لزوما مسئول تمام چیزهای امنیت فضایی باشد. شاید آژانس توسعه فضایی جدید باشد.

این امر امنیت فضایی را در دستان بخش خصوصی به وجود می آورد که از دسترسی اخیر به فضا بهره می برد. ظهور ماهواره های کوچک که به نام CubeSats شناخته می شود، فرصتی برای راه اندازی یک ماهواره را به مدار 30 هزار دلار می دهد. و به این دلیل که دولت می خواهد فعالیت اقتصادی در این منطقه را تشویق کند، الزامات لازم برای انجام این کار بسیار سبک هستند. این کسانی هستند که ماهواره های مسئول امنیت سایبری دارایی های خود را ایجاد می کنند، که معمولا بخشی از مجموعه مهارت های راکت دانشمند نیست.

من به عنوان یک محقق فضایی سایبری، از علاقه های تازه به فضا از دیدگاه های تجاری و اکتشافی هیجان زده می شوم. اما ما باید در مورد امنیت این سیستم های فضایی، استراتژیک باشیم. برخلاف دستگاههای "اینترنت چیزها" نظیر مانیتورهای کودک که برای کمتر از 100 دلار خریداری می شود و یک مدل جدید از آن خارج می شود، ماهواره ها اغلب برای مدت طولانی در مدار می ماند و غیر قابل اجتناب هستند. بنابراین اگر ما امنیت سایبر را در اختیار دارنده فضای قرار ندهیم، احتمالا با چندین سال متوالی در معرض آن قرار خواهیم گرفت. عدم مداخله دولت در امنیت ماهواره ای به این معنا نیست که ما می توانیم امنیت سایبری را به عنوان مسئله ای نادیده بگیریم.

شرکت های خصوصی فضایی مانند SpaceX، OneWeb و Blue Origin باید به گفتگو درباره امنیت سایبری پیوسته و به مشتریان کمک کنند تا متوجه شوند که آنها به طور جدی در حال استفاده هستند (در صورت وجود). (جف بیسوس، بنیانگذار و صاحب آبی Origin، همچنین مالک The Post است.) در حال حاضر چندین فرصت شغلی برای تحلیلگران امنیت اطلاعات در شرکت های فضایی خصوصی وجود دارد، که نشان می دهد که آنها به دلیل استعداد آسیب می رسانند و در جستجوی امنیت هستند. این جای تعجب نیست که فضای سخت است و متخصصان فناوری اطلاعات سنتی برای مجموعه ای از مهارت های فضای سایبری امنیت ندارند. سیستم های فضایی دارای الزامات منحصر به فردی هستند که بیشتر شبیه به یک سیستم کنترل صنعتی، مانند یک متر هوشمند انرژی، از یک سرور ایمیل است.

شرکت های فضایی خصوصی بایستی با جامعه پژوهشی امنیت درباره چالش های خاص خود شروع به گفتگو کنند تا ما بتوانیم کمک کنیم. آنها باید با FCC نیز شفاف باشند که آنها نیاز به کمک در تأمین زیرساختشان دارند. آخرین چیزی که ما نیاز داریم این است که چین یا روسیه بتوانند ماهواره های SpaceX را بگیرند و در دارایی های فضایی ما تخریب کنند.

آسیب‌پذیری SSH سیسکو راهکاری برای نفوذ هکرها

سیسکو یک پچ برای آسیب پذیری بحرانی در سوئیچ های Nexus 9000 منتشر کرد که می تواند اجازه دسترسی به ریشه را به دلیل استفاده از یک جفت کلید پیش فرض SSH به دستگیرنده از راه دور دهد.

دوره سیسکو یک پچ را برای یک آسیب پذیری مهم دسترسی به ریشه در محصولات خود منتشر کرد، اما هر دو متخصص و فروشنده خود ادعا می کنند که این نقص یک درپرونده نیست.

پچ، منتشر شد 1 مه، آسیب پذیری در نرم افزار سوئیچ سری سیسکو سری Nexus 9000 را تصحیح کرد که ناشی از وجود یک جفت کلید پیش فرض SSH در دستگاه ها است. با توجه به مشاوره امنیتی فروشنده، آسیب پذیری اصلی سیسکو SSH می تواند به یک مهاجم ناشناخته، از راه دور برای اتصال به سیستم آسیب دیده با امتیازات کاربر ریشه اجازه دهد. "

این مشاور همچنین اظهار داشت که مهاجمان می توانند از جفت کلید پیش فرض برای باز کردن یک اتصال SSH از طریق IPv6 به دستگاه های آسیب پذیر استفاده کنند. سخنگوی سیسکو گفت که این آسیب پذیری بیش از IPv4 قابل بهره برداری نیست و تنها "بر روی سوئیچ Fabric Series Nexus 9000 در حالت زیرساختی برنامه کاربردی تاثیر می گذارد؛ بر روی سوئیچ های Nexus 9000 در حالت مستقل تأثیر نمی گذارد."

رون گولا، یکی از بنیانگذاران شرکت Tenable و رئیس فعلی و یکی از بنیانگذاران Gula Tech Adventures، یک شرکت سرمایه گذاری در زمینه امنیت سایبری، گفت که نقص سیسکو SSH مانند شکست در فرآیندهای امنیتی شبیه به شکست است.

گولا گفت: "نیاز به SSH یا فرم های رمزگذاری پیش فرض، پیچیدگی های صادرات دستگاه ها را افزایش می دهد. شبکه راه دور کنترل قابل قبولی در شبکه های مدیریت خصوصی است." "سیسکو دارای کنترل های زیادی برای جلوگیری از آسیب پذیری هایی مثل این از حمل و نقل است و به وضوح چیزی با این فرآیند اشتباه گرفته شده است."

دن کورنل، CTO Denim Group، یک مشاور امنیتی امنیتی، خاطرنشان کرد که حمل ونقل با جفت های اصلی SSH به طور پیش فرض ممکن است یک مسئله مهم باشد، اما شگفت آور نیست. مواردی مثل این همیشه در زمان اتفاق می افتد. "

با این حال، چندین گزارش رسانه ای آسیب پذیری را به عنوان یک درپشتی ممکن توصیف کرد. سیسکو تعدادی از آسیب پذیری های مربوط به اعتبار نامه های سخت افزاری و پیش فرض را طی دو سال گذشته افشا و تصحیح کرده است.

Huawei، تولید کننده ی رقابتی که به خاطر مسائل امنیتی خود در معرض آتش سوزی قرار دارد، و نیز روابط با دولت چین، از طریق توییتر از طریق توییتر، از سوییچ کلید های جفت کلید SSH، سوء استفاده می کند. "شرکت Backdoors در سوئیچ های شبکه سیسکو ثابت می کند که تجهیزات تکنولوژی خانگی خانگی ایالات متحده همانند دیگر موارد ناکافی است." این شرکت از طریق حساب توییتر خود در Huawei Facts گفت.

سیسکو ادعا کرد که این یک درپشتی نبود، زیرا سیاست شرکتش منافع عقب افتاده را ممنوع کرده است.

"در خط مشی آسیب پذیری امنیت سیسکو، شیوه های توسعه محصول سیسکو به طور خاص هر گونه رفتارهای عمدی یا ویژگی های محصول که برای دسترسی به دستگاه یا دسترسی به شبکه غیرمجاز، قرار گرفتن در معرض اطلاعات دستگاه حساس یا دور زدن ویژگی های امنیتی یا محدودیت ها طراحی شده است، ممنوع می شود. سخنگوی سیسکو گفت: "روش های دسترسی و یا" backdoors ". "متأسفانه، با وجود بهترین تلاش های فروشندگان فناوری، آسیب پذیری های امنیتی هنوز هم رخ می دهد. هنگامی که این آسیب پذیری های جدی را شناسایی می کنیم، ما به آنها با بالاترین اولویت رسیدگی می کنیم."

کورنل گفت که جفت کلید SSH سیسکو باید به عنوان یک درپشتی مورد توجه قرار گیرد، اما باید آن را به طور عمدی ترک کرد، اما "چیزی که تا کنون گزارش شده است، هیچ گونه درک از استدلال حمل و نقل دستگاه ها را با جفت کلید پیش فرض ندارد. "

وی گفت: "به نظر می رسد یک چیز ترسناک در مورد آسیب پذیری های امنیتی این است که هر گونه آسیب پذیری امنیتی می تواند یک درپشتی باشد - اگر به طور عمدی وارد محصول شود. این در واقع ساده ترین راه برای ورود به عقب در بسیاری از سیستم ها است، زیرا توسعه دهنده یا فروشنده آن را فراهم می کند انکارپذیری. "من متاسفم - اشتباهات برنامه نویسی را ساخته ام" بسیار دشوار است، به ویژه با توجه به میزان بالای آسیب پذیری های موجود در سیستم های نرم افزاری ".

گولا گفت که "منصفانه نیست که آن را به یک درپوش" نام ببرید.

"اگر چه این نوع آسیب پذیری می تواند به عنوان یک درپوش برای دسترسی به یک درصد بسیار کوچک از دستگاه های ساخته شده توسط سیسکو مورد استفاده قرار گیرد، آن را نمی توان برای تعمیر و نگهداری و پشتیبانی از راه دور از مشتریان سیسکو استفاده می شود.این می تواند توسط هر یک از سازمان های اطلاعاتی انجام سایبر نظارت، اما در نتیجه از هیچ آسیب پذیری دیگر در هر دستگاه شبکه دیگر متفاوت نیست. "آسیب پذیری ها می توانند توسط طراحی طراحی شده، اما با در نظر گرفتن دسترسی گسترده به آسیب پذیری در تمام دستگاه ها، بعید است که این ها به عقب عمدی بوده باشند. یک مشتری معمولی از روتر و فروشندگان شبکه، قادر به شناسایی پشتی واقعی برای اهداف جاسوسی نیست، که بسیار متفاوت از آسیب پذیری هایی است که از پیچیدگی های نرم افزاری، مسائل مربوط به برنامه نویسی و توزیع منتشر شده است. "

هکرها اطلاعات کارت های اعتباری ۲۰۱ فروشگاه در کانادا و آمریکا را سرقت کردند

گروهی از هکرها کد جاوا اسکریپت مخرب را کشف کرده اند که جزئیات کارت پرداخت را در داخل سیستم تجارت الکترونیک که توسط کالج ها و دانشگاه ها در کانادا و ایالات متحده مورد استفاده قرار می گیرد، دزدی می کند.

کد مخرب در 201 فروشگاه اینترنتی آنلاین یافت شد که 176 کالج و دانشگاه در ایالات متحده و 21 کانادایی در کانادا بود، امنیت Trend Micro در امنیت اینترنتی، در روز جمعه منتشر شد.

این حمله همان چیزی است که محققان امنیتی به حملهی Magecart میپردازند که شامل هکرهایی هستند که کدهای جاوا اسکریپت را در صفحات پرداخت و پرداخت فروشگاههای آنلاین ذخیره میکنند تا اطلاعات کارتهای پرداخت را که قبلا آنها را در سرورهای خود آپلود کردهاند و مجددا در معرض خطر سایبری زیرزمینی قرار دهند انجمن ها هکرها خرابکاری کرده اند

طبق گفته Trend Micro، این حمله ویژه Magecart در روز 14 آوریل شناسایی شد و تحت تاثیر PrismRBS، شرکت PrismWeb، یک پلت فرم تجارت الکترونیک (a-la Shopify) به کالج ها و دانشگاه های آمریکای شمالی فروخته شد.

Trend Micro اعلام کرد که هکرها PrismRBS را نقض کرده و پلت فرم PrismWeb را اصلاح کرد تا شامل یک فایل جاوا اسکریپت مخرب باشد که در تمام برنامه های فعال PrismWeb بارگذاری شده است.

اسکریپت که به شکل یک قسمت فایل از سرویس Google Analytics شبیه بود، تا تاریخ 26 آوریل فعال بود، زمانی که Trend میکرو به فروشنده اطلاع داد که اقدام به حذف کد رمزگذاری کارت کرد.

در بیانیه ای که به Trend Micro منتشر شد، PrismRBS رسما هک را تصدیق کرد و گفت که این اطلاعیه ها در مورد کالج های تحت تاثیر قرار می گیرد و همچنین با یک شرکت قانونی فناوری اطلاعات ارتباط برقرار می کند تا عمق این حادثه را بررسی کند.

تعداد زیادی از گروه هکرها که طی چند ماه گذشته حملات حملات Magecart (JS card skimming، JS card sniffing) را شروع کرده اند، تعداد زیادی از ده ها نفر بوده است.

طبق گفته Trend Micro، زیرساخت این گروه هیچگونه همپوشانی با گروههای شناخته شده Magecart سایبری ندارد.

Yonathan Klijnsma، محقق تهدید کننده سرطان در RiskIQ و یکی از افرادی که از اولین حمله خود به گروه های Magecart ردیابی می کنند، به ZDNet گفتند که یکی از دلایل اینکه شرکت های امنیتی اکنون زمان زیادی را برای ردیابی گروه های فردی در اختیار دارند، این است که بسیاری از افراد در حال خرید و استفاده از یک تکه تکه کردن Magecart کیت ها از انجمن های هکینگ، حملات به نظر می رسد بیشتر و بیشتر عمومی است.

در اوایل این هفته، RiskIQ یک شرکت هشدار دهنده را منتشر کرد که حملات Magecart در حال حاضر به سایر سیستم عامل های تجارت الکترونیک گسترش می یابد و فقط در فروشگاه های Magento عرضه نمی شود، همانطور که در ابتدا بود. دیگر سیستم عامل های تجارت الکترونیک که در حال هدف گذاری هستند عبارتند از OpenCart، OSCommerce، WooCommerce و Shopify.

یکی دیگر از روند افزایش یافته - و همچنین در مورد PrismRBS هک - این است که گروه های Magecart به فروشگاه ها / شرکت ها به طور مستقیم حمله نمی کند، اما پس از یکی از اجزای آنها، در یک حمله زنجیره تامین عرضه .

در این مورد، هکرها پلت فرم تجارت الکترونیک PrismWeb را هدف قرار دادند، اما در گذشته، دیگر گروه های Magecart پس از ارائه دهندگان چت و پشتیبانی از ویجت ها گاهی اوقات در فروشگاه های تجارت الکترونیک بارگیری می شوند.

فضای ابری SAP هزاران کسب و کار را در معرض خطر حمله قرار می دهد

یک سوءاستفاده به تازگی منتشر شده، از آسیب پذیری پیکربندی شناخته شده استفاده می کند که در میان بسیاری از موارد پیش فرض و ابر SAP وجود دارد. در اینجا شرکتهایی که از SAP استفاده میکنند باید انجام دهند.

کارشناسان امنیتی هشدار می دهند که به تازگی منتشر شده و آسان به استفاده از سوء استفاده برای مشکلات امنیتی SAP شناخته شده می تواند منجر به موج حملات علیه سیستم های SAP است که می تواند ده ها هزار شرکت تاثیر می گذارد. این سوء استفاده ها اجازه می دهد تا هکرها از راه دور به طور کامل آسیب پذیری برنامه های کاربردی SAP و داده های حیاتی کسب و کار آنها را شامل شود.

خود آسیب پذیری ها ناشی از پیکربندی پیش فرض ناامن SAP Gateway و SAP Message Server است که دو جزء هستند که توسط برنامه های کاربردی مختلف SAP مورد استفاده قرار می گیرند و در بسیاری از محیط ها رایج هستند. طبق گفته Onapsis، شرکت امنیتی Onapsis برخی از این مسائل را برای بیش از یک دهه شناخته شده است اما در بسیاری از عملیات های دنیای واقعی همچنان ادامه دارد.

 بر اساس مشاهدات ارزیابی های امنیتی انجام شده برای سازمان های بزرگ در طول سال ها، Onapsis برآورد می کند که این مسائل 9 مورد از هر ده سیستم SAP را که توسط بیش از 50،000 کاربر SAP در سراسر جهان اعمال شده است، در مجموع در حدود 900 میلیون سیستم عامل اعمال می کند. بیش از 400،000 سازمان از سراسر جهان از محصولات نرم افزاری SAP، از جمله برخی از بزرگترین شرکت های چند ملیتی استفاده می کنند.

برنامه های کاربردی که از اجزای بالقوه آسیب پذیر استفاده می کنند و می توانند تحت تاثیر این سوء استفاده قرار گیرند شامل SAP S / 4HANA، برنامه ریزی منابع سازمانی SAP (ERP)، مدیریت پیاده سازی محصول SAP (PLM)، مدیریت ارتباط با مشتری SAP (SAP Human Capital Management HCM)، SAP مدیریت زنجیره تامین (SCM)، مدیریت ارتباط با مشتری SAP (SRM)، SAP NetWeaver انبار کسب و کار (BW)، SAP Business Intelligence (BI)، ادغام پردازش SAP (PI)، SAP Solution Manager (SolMan) و مدیریت SAP ، Risk & Compliance 10.x (GRC) و SAP NetWeaver ABAP Application Server 7.0 - 7.52.

SAP سوء استفاده و تأثیر آنها

آژانس امنیت سایبری و امنیت زیرساخت ها (CISA) روز پنج شنبه هشدار را در پاسخ به سوء استفاده های SAP که در اوایل ماه جاری در GitHub منتشر شد، در یک کنفرانس امنیتی شرکت Comae Technologies در یک کنفرانس امنیتی منتشر کرد. سوءاستفاده ها 10KBLAZE خوانده شده اند.

براساس این هشدار، 900 سیستم مبتنی بر اینترنت در U، S، می تواند به SAP Gateway ACL (لیست کنترل دسترسی) آسیب پذیر باشد و 693 سرور وب پیام SAP در معرض اینترنت می تواند آسیب پذیر به نوع مرد در میان باشد حمله همچنین 1،181 روتر SAP در معرض اینترنت قرار دارند و اگر مهاجمان دسترسی به آنها را داشته باشند، می توان آنها را برای درخواست های مخرب پروکسی به سیستم های دروازه SAP استفاده کرد.

این اعداد به نظر نمیرسد، اما لازم به ذکر است که چنین سیستمهایی میتوانند به عنوان نقطهای برای هکرها برای حمله به سیستمهای SAP اضافی در داخل شبکههای شرکتی به کار گرفته شوند. دسترسی به شبکه های شرکت ها نیز می تواند به روش های مختلفی انجام شود، مثلا از طریق حملات فیشینگ که باعث می شود ایستگاه های کاری با نرم افزارهای مخرب آلوده شوند. هکرها می توانند از این سیستم ها برای حمله به دیگران، از جمله SAP استفاده کنند.

Onapsis یک گزارش و شناسایی تشخیص داد که با سیستم تشخیص نفوذ منبع باز Snort کار می کند، زیرا سوء استفاده های جدید باعث می شود تا حملات به مراتب راحت تر شود. بنابراین، تهدید علیه سیستم های SAP دیگر از گروه های جاسوسی سایبری دولتی و یا مجرمان بسیار پیچیده سایبری نیست، بلکه تقریبا هر کسی می تواند از یک موتور جستجو مانند شدان استفاده کند.

مدیر عامل Onaporis ماریانو نونس به CSO می گوید: "در دست اشتباه این سوء استفاده ها می توانند خسارت زیادی ایجاد کنند." "هر کس فقط می تواند یکی از این سوء استفاده را دانلود کند، آن را در آدرس آی پی یک سیستم SAP بنویسید و با یک دستور به طور کامل سیستم را پاک کنید و هر فرآیند کسب و کار را مختل کنید. من فکر می کنم که نوار به شدت کاهش می یابد؛ و در نتیجه خطر را افزایش می دهد، زیرا احتمال این اتفاق را افزایش می دهد. ما بر این باوریم که افزایش حملات را افزایش می دهیم که این سوء استفاده ها و آسیب پذیری ها را افزایش می دهد. "

این حملات می تواند انواع مختلفی داشته باشد - از hacktivists تلاش برای آسیب رساندن به شرکت های آنها را دوست ندارند، با اختلال در عملیات تجاری خود و باعث زیان های قابل توجه مالی به حملات نوع ransomware مانند کسانی که به وب سرور ها و پایگاه های داده ضربه، که در آن مهاجمان حذف اطلاعات و ترک مجدد یادداشت پشت البته، حملات پیچیده تر و به خوبی برنامه ریزی شده شامل سرقت سوابق حساس کسب و کار و حتی تغییرات مخرب اطلاعات نیز ممکن است.

چالش های کاربران SAP

یکی از دلایل اینکه چرا بسیاری از سازمان ها هنوز به این مسائل شناخته شده آسیب پذیر هستند پس از چندین سال، پیچیدگی محیط های SAP آنها است. شرکت ها به شدت سیستم های SAP خود را سفارشی می کنند و Nunez برآورد می کند که هر استقرار SAP به طور متوسط ​​2 میلیون خط کد سفارشی اضافه شده توسط کاربران آنها است.

این سیستم ها فرایندهای کاری حیاتی را اجرا می کنند، بنابراین اگر یک پچ امنیتی باعث ناسازگاری با این سفارشی شود و باعث خرابی های تجاری شود، سازمان می تواند مقدار زیادی پول را از دست بدهد.

نینز می گوید: مقابله با این مسائل نیازمند تغییر دو تنظیمات است، اما در حالی که یک تغییر نسبتا آسان است، دیگر می تواند یک پروژه طولانی مدت برای پیاده سازی SAP متوسط ​​تا بزرگ باشد و به منابع قابل توجهی نیاز داشته باشد. "اما مسائل خیلی زیاد هستند، درست است؟ بنابراین، اگر شما آن را انجام ندهید، روشن است که چه چیزی ممکن است اشتباه باشد."

درس های مهم از حمله سایبری به Triton

حمله تریتون مخرب بسیار دور از اولین بار است که هکرها تلاش کرده اند شبکه های یک شرکت صنعتی را هدف قرار دهند، اما این اولین بار است که بدافزار طراحی شده برای حمله به سیستم های ایمنی در وحشی دیده می شود.

این بدافزار برای کنترل کنترلرهای سیستم ایمنی Triconex (SIS) - سیستم های خاموش اورژانسی (Schneider Electric) طراحی شده بود و در شبکه ای از یک اپراتور زیرساختی مهم در خاورمیانه کشف شد.

مبارزات بدافزار بسیار خیره کننده بود و تنها کشف شد، زیرا مهاجمان اشتباه کردند و سیستم ایمنی را خاموش کردند و کارخانه را متوقف کردند. نتیجه می تواند بسیار بدتر باشد.

"ما می توانیم حدس بزنیم که مأموریت آنها برخی از پیامدهای فیزیکی است. آنها می خواستند تولید را در این مرکز متوقف کنند، کار را متوقف کنند یا به طور بالقوه باعث آسیب فیزیکی شوند." Dan Caban، مدیر مسئول وقایع حادثه در Mandiegant FireEye می گوید.

کابن در مصاحبه ای در Triton در کنفرانس CYBEREK 19 مرکز ملی سایبر، مدعی شد که بدافزار کشف شده است، و جهان را به خطرناکترین حملات سایبری که می تواند سیستم های فیزیکی را تغییر دهد یا آسیب برساند، آگاه سازد.

او می گوید: "ما خیلی خوش شانس بودیم که این حادثه اتفاق افتاد، این باعث افتخار مردم برای شروع به فکر کردن درباره این پیامد فیزیکی می شود که ممکن است دارای ریشه های امنیت سایبری باشد - این همان چیزی است که این تحقیقات آغاز شده و اکنون به نور عمومی رسیده است."

پس از نقطه اولیه مصالحه، بدافزار توانست از تکنیک هایی مانند برداشت اعتبارات استفاده کند و از طریق شبکه به سیستم کنترل کننده SIS منتقل شود.

با این حال، تریتون تنها می توانست به هدفش دست یابد زیرا نگرش های نادرست نسبت به امنیت در کل تسهیلات: کنترل کننده های ایمنی باید از شبکه قطع شوند، اما به سیستم های عملیاتی اینترنتی متصل شده بودند، که اجازه دسترسی به مهاجمان را می داد.

خرابی های دیگر - مانند یک کلید که در داخل دستگاه قرار می گیرد - دسترسی مهاجمان را فراهم می کند که هرگز نباید بدون جسمی در داخل این مرکز به دست آورد.

در حالی که بدافزار دارای پتانسیل بسیار آسیب رسان به دریچه ها، سوئیچ ها و سنسورها در یک محیط صنعتی می باشد، تهدید می تواند با اجرای برخی از تکنیک های ساده امنیت سایبری که باعث می شود حرکت بین سیستم ها تقریبا غیر ممکن باشد.

"جداسازی شبکه می تواند به شما در اجتناب از این اتفاق بپردازد. شما باید منطقی آنها را جدا کنید، بلکه بر اساس حساسیت و رعایت استانداردهای بهترین صنعت و استانداردهای صنعت،" کابان توضیح می دهد. "شما همچنین باید دروازه های راهنمایی را در نظر بگیرید، بنابراین ممکن است راه های خاصی را حرکت ندهید."

سازمانها همچنین می توانند قدمی به سمت این امر را با اطمینان از مدیریت مناسب در اطراف امنیت سایبری و همچنین اطمینان از اطمینان از اطمینان در مورد سیستم ها برای کارکنان همه سطوح برای درک آنچه در حال وقوع هستند، انجام دهند.

ویکتور لاوف، سرپرست کسب و کار بریتانیا در Schneider Electric، می گوید: "در یک زمینه ی سایبر، ضروری است که شما دارای حکومت باشید؛ رهبری از سطح بالا. بدون حکومت مناسب در سازمان شما، احتمالا برای ناکامی تنظیم کنید."

"برای امنیت سایبری، باید ایمنی فیزیکی را در نظر داشته باشید، زیرا سیستم های سینتیکی را در نظر بگیرید و در کنار آن، ایمنی فیزیکی باید همیشه امنیت سایبری را در نظر بگیرد، به طوری که آنها طرف مقابل یک سکه هستند - بدون امنیت ما هیچ ایمنی، "او می گوید.

یک بار زمانی بود که امنیت سیستم های سایبر و امنیت سیستم های فیزیکی ممکن بود به طور جداگانه در نظر گرفته شود، اما هیچ وقت بیشتر نیست: در بسیاری از موارد، آنها در حال حاضر یکسان هستند.

دبورا پترسون، معاون مدیر کل امور بین الملل، گفت: "این ترکیب سایبر و امنیت فیزیکی است - چیزهایی که می توانید در اطراف بولارد قرار دهید. شما می توانید در این مورد از آنها استفاده کنید. زیرساخت های حیاتی ملی در NCSC انگلستان.

در این حادثه، متوجه شدم که کلیدی که در دستگاه باقی مانده بود، راه زیادی برای جلوگیری از دسترسی هکرها به فعالیت های مخرب داشت.

او گفت، "افراد می دانند که سیستم های ایمنی آنها چگونه است و چگونه ارتباط برقرار شده اند - این واقعا پایه است"، و پیشنهاد می کند که افرادی که این سیستم ها را اجرا می کنند، باید به طور منظم بررسی کنند که چگونه شبکه ها کار می کنند و باید به روز رسانی ها در مورد سیستم های تاریخی نظیر تاسیسات صنعتی در حال اجرا بود

"یکی از این نمونه 15 ساله بود - آخرین دفعه که شما در مورد مدیریت ریسک در اطراف آن نگاه کردید؟ چرت زدن در افراد امنیتی یک یا دو سال طول می کشد با CISOs. هنگامی که آخرین دفعه بود که شما خراب شدید و از آن استفاده کردید اشاره به رفتن و یک نگاه؟ " پترسون پرسید:

تریتون زیرساخت های حیاتی در خاورمیانه را هدف قرار داده است، اما حوادثی وجود دارد که می تواند به سازمان ها در هر بخش اعمال شود، بدون توجه به جایی که در جهان وجود دارد.

دکتر اینن می گوید: "اگر شما این را از سیستم های ایمنی بیرون آورید، می توانید تقریبا همه آنها را به هر سیستم سازمانی تقسیم کنید. آنها همان نوع کنترل هایی هستند که ما فقط از هر کسب و کار برای کسب امنیت در اینترنت استفاده می کنیم." لوی، مدیر فنی در NCSC.

گروه هک کردن پشت تریتون - که با روسیه مرتبط است - باقی مانده است، با محققان در FireEye اخیرا افشای یک کمپین جدید برای هدف قرار دادن یک زیرساخت های بحرانی بحرانی.

با این حال، با استفاده از تاکتیک های گروهی در حال حاضر در چشم عموم، امکان تشخیص و محافظت در برابر فعالیت های مخرب وجود دارد.

Caban FireEye گفت: "همه این حیاط ها، تکنیک های جنبش جانبی و برداشت اعتبار: آنها می توانند تشخیص داده شود، ممکن است، ما مجبور نیستیم امید را از دست بدهیم."

"آنها می توانند در فناوری اطلاعات شناسایی شوند، بین IT و OT DMZ شناسایی می شوند - اینها مکان های آسان برای شروع به دنبال کردن هستند."

اهمیت حفاظت از داده‌ها در دنیای 5g

سرعت تغییر در شبکه های ارتباطی در سرعت هایی دیده می شود که از چندین دهه قبل از تغییر شبکه های مدار سوئیچ به IP آغاز نشده است. امروزه ما در حال تبدیل شدن به یک تغییر عمده بعدی هستیم تا شبکه های ارتباطی را تحت تاثیر قرار دهد: تکامل به زیرساخت فناوری اطلاعات جدید، 5G و IPv6.

در حالی که بسیاری از اپراتورها در سراسر جهان در حال حاضر ادعا می کنند که خدمات 5G ارائه دهند، و فروشندگان آماده هستند تا آخرین گوشی ها و دستگاه های دیگر را برای استفاده از سرعت و سرویس های منحصر به فرد جدید که ممکن است با این شبکه های جدید امکان پذیر باشد، هر سال از سال دیگر تا چند سال قبل از اینکه ما واقعا 5G را در سراسر جهان درک کنیم. در هر حال، احتمال بروز تنبیه سریع، سریع است، و اکنون باید راهکارهای امنیتی سایبری برای کار در این محیط جدید آماده شود.

همانطور که اکوسیستم جهانی فناوری در چند سال آینده به طور چشمگیری تغییر می کند، فرصت های زیادی برای اپراتورها و همچنین مشتریان خود وجود خواهد داشت. اپراتورها قادر خواهند بود خدمات جدیدی را ارائه دهند که از اقدامات آینده نگر مانند VR / AR، اتومبیل های هوشمند، روباتیک، شهرهای هوشمند و هواپیماهای بدون سرنشین و دیگر مواردی که قبلا در علم تخیلی دیده می شود پشتیبانی می کنند. با ظهور 5G، تقاضا برای این و سایر خدمات توسط مصرف کنندگان سریعتر از آنچه تصور می کنید رشد خواهد کرد.

اما حتی اگر درست باشد، 5G جهانی در چند سال آینده افزوده خواهد شد، هنوز خیلی زود به فکر کردن درباره یکی از مسائل مهم است که در بحث در مورد شبکه های 5G و 5G آماده می شود: امنیت سایبری.

هنگامی که 5G و با گسترش خدمات و فن آوری های فعال آن - مانند IoT، IPv6 و M2M - چشم انداز ارتباطات را گسترش می دهد، اپراتورها باید با چالش های امنیتی جدید، پیچیده تر و پیچیده تر از هر چیزی مواجه شوند، درک کنند و بر آن غلبه کنند. پیش آمده است.

Secure Points، Secure Data

انتظار می رود که تعداد دستگاه های فعال 5G به سرعت در حال رشد باشد و زمانی که یک عامل در تعداد به ظاهر بی نهایت از نقاط پایانی مرتبط با IoT - سنسورها در برنامه های مراقبت های بهداشتی و ترافیکی، واحدهای مخابراتی خودرو، هواپیماهای بدون سرنشین، دستگاه های هوشمند و دیگر استفاده از مواردی که پایه و اساس شهرهای هوشمند را تشکیل می دهند - نیاز به امنیت در سطوح مختلف بحرانی می شود.

داده های مشتری - داده ها به داخل و خارج از دستگاه ها باید امن برای محافظت از حریم شخصی مشترکان و یکپارچگی اطلاعات خود. در مورد نقاط پایانی IOT مانند سنسورها، داده ها می توانند به طور مداوم از یک نقطه به مکان دیگر بسیار سریع حرکت می کنند و همه این ها باید از چشم شگفت انگیز و کسانی که بتوانند یکپارچگی آن را تضعیف کنند، حفظ شوند.

داده های تراکنش - با شروع 5G، ما شروع به دیدن فعالیت های بسیار بیشتری در هسته شبکه و افزایش الزامات برای تامین منابع، از جمله معاملات تجاری.

داده های شبکه - جلوگیری از نقض شبکه به هسته، که در آن اکثر خدمات ساکن خواهد شد، همچنین از لیست نگرانی ها برای اپراتورها است.

همه اینها حتی پیچیده تر می شود، زمانی که یکی از آنها معتقد است که 5G برش شبکه را قادر می سازد، توانایی ایجاد چند شبکه مینی همزمان که تحت مجموعه های مختلفی از خدمات امنیتی و خدماتی عمل می کنند. این توانایی برای سرعت بخشیدن به یک مثال 5G برای یک دوره خاص از زمان در یک مکان خاص، امنیت را یک اولویت بالاتری می کند و برای اپراتورها بسیار بیشتر از یک چالش است که به آنها کمک می کند تا این نوع داده های مختلف را تأمین کنند .

مشتریان آنها به طور ناخواسته در صورت مشکلی به آنها مراجعه خواهند کرد و اپراتورها به حل مسائل مربوط می شوند که به سطح قابل توجهی از دانش و تخصص در مورد مسائل امنیتی نیاز دارد. به همین علت، اکثر اپراتورها نمی توانند تنها در صورت بروز مانع امنیتی از 5G و سایر شیفت ها در شبکه های ارتباطی، تنها به آن برسند. در عوض، آنها نیاز به کار با شرکای مورد اعتماد دارند که دارای تخصص، رکورد و تجربه برای اطمینان از یکپارچگی داده ها، حفظ حریم خصوصی مشتری و انطباق با هر دستورالعمل یا سفارش است.

کلید به یک شبکه امن

با توجه به بار بودن بر روی اپراتورهای مربوط به شبکه و فناوری اطلاعات در شبکه های پیشرفته ارتباطات امروز و آینده، آنها باید به شدت به فروشندگان و تامین کنندگان خود متکی باشند تا بالاترین سطوح اطمینان و کاهش خطر در شبکه های نسل بعدی را ارائه دهند. یک مدل مشترک از مسئولیت، مورد نیاز است، که یکی از مشتریان و اپراتورها را در پی یافتن 5G سیگار امنیت موثر است.

این مدل مشترک می تواند شامل موارد زیر باشد:

یک سازمان امنیتی اختصاصی برای حمایت مستمر از شبکه های اپراتور و داده ها؛

پشتیبانی از پروتکل های امنیتی تاسیس شده و استانداردها؛

تمرکز شدید بر روی امنیت اطلاعات شخصی و حریم خصوصی، از جمله شناسایی و حفاظت از اطلاعات حساس؛

مکانیسم های حسابرسی و اطمینان به منظور فراهم کردن بهترین زیرساخت های امنیتی برای محصولات، راه حل ها و خدمات ارائه دهندگان به مشتریان است.

داشتن این سیاست ها و چارچوب در محل برای فروشندگان که با اپراتورها کار می کنند، بسیار مهم است زیرا شبکه های نسل بعدی را گسترش می دهند، اما علاوه بر این نیاز به تجربه و دانش جامع برای حمایت از آن وجود دارد.

یک برنامه امنیتی پیشرفته

اپراتورها باید اطمینان دهند که مشترکین و داده های دیگر در محدوده شبکه خود و همچنین زمانی که داده ها از ابرهای عمومی یا خصوصی عبور می کنند، ایمن هستند. با اجرای یک استراتژی، اپراتورها می توانند اطلاعات حساس، و همچنین نرم افزار و خدمات مورد استفاده برای ذخیره و پردازش داده ها و اعمال آن به نیازهای خود را محافظت کنند.

این استراتژی شامل اصول مدل مشترک مسئولیت شناخته شده در بالا می شود و از طریق هماهنگی با چارچوب های امنیتی صنعت و استانداردها به منظور بالا بردن سطح اطمینان به مشتریان بیشتر می شود.

این شامل ارائه خدمات و راه حل های امنیتی پیشرو در صنعت است که به منظور اطمینان از محرمانه بودن، یکپارچگی و دسترسی به داده های خود و داده های مشتریان و سیستم های ما، علیه تهدید سریع ترویج مجرمان اینترنتی، هکرها و دیگر انواع نفوذ و خرابکاری طراحی شده است.

هکرها از این پس خودروی شما را هم هک می‌کنند

هفته ای که در خبرهای امنیتی منتشر شد خیلی به همان اندازه که شما انتظار داشتید شروع شد: هنوز هم سعی می کنم از گزارش مرلر، که در اواخر هفته گذشته به کنگره رسیده بود، حساس بود. گریت م. گریف؟ این گزارش روشن می کند که Trump بدتر از یک "idiot مفید" بود، همراه با 14 دیدگاه دیگر که ممکن است از دست رفته است.

پس از یک رشته وحشتناک بمب گذاری ها، بیش از 300 نفر در آخر هفته به سرکشی در سری لانکا جان خود را از دست دادند، دولت این سیستم عامل ها را برای جلوگیری از گسترش اطلاعات غلطی مسدود کرد. کارشناسان حقوق مدنی هشدار دادند که با وجود نقش مضر رسانه های اجتماعی در گسترش خشونت و تبلیغات، این حرکت اشتباه بوده است.

چیزهایی که به سرعت از ژئوپلیتیک و به سمت دامنه آشنا از هک های وحشتناک، از جمله دو که تقریبا به نظر می رسد مانند هکرها، واقعا خواندن ذهن هستند (آنها نیست). اول، یک تیرانداز blockchain، کلاه های خصوصی افراد را حدس زده و با وجوه تمییز می کند؛ و بعد، هکرها می توانند دقیقا چه انتخاب Netflix Bandersnatch را انجام دهند. هکرها از طریق زنجیره تأمین خود نرمافزارهای مخرب را به بازیهای ویدئویی سوق دادند که خوب نیست. اما GoDaddy 15000 دامنه اسپم را کاهش داد، که خوب است. و در اخبار حتی بهتر، یک راه بسیار خوبی برای حمله به مبادله سیم کارت هر روز افزایش می یابد - اما چرا آمریکا از آن استفاده نمی کند؟

اگر قبلا این کار را نکرده اید، این آخر هفته ها به نفع خودتان است و داستان قهوه ای بیت کوین و قتل را بخوانید.

اما این همه نیست! هر شنبه ما روزنامه های امنیتی را که عمیق نکردیم یا گزارش نمی کنیم جمع آوری می کنیم. به طور معمول، برای خواندن مقالات کامل، بر روی عنوان کلیک کنید. و بیرون بیایید

هکر می گوید او می تواند از راه دور کشتن موتورهای خودرو از طریق نرم افزار GPS به خطر بیافتد

مادربورد گزارش می دهد که یک هکر با نام L & M ادعا می کند که به حساب 7000 iTrack و 20،000 حساب ProTrack - ابزار ردیابی GPS هک کرده است و از آنجا به برخی از سیستم های داخلی خودرو دسترسی پیدا کرده است. هکر می گوید که می تواند موتورهای خودرو را به عنوان پایین تر از 12 مایل در ساعت یا متوقف کند. در تمام وسایل نقلیه، او قادر به ردیابی اتومبیل به عنوان آنها را رانده است. او متوجه شد که همه کاربران این برنامه ها یک رمز عبور پیش فرض را داده اند. پس از اعمال خشونت آمیز میلیون ها کاربر نام کاربری، وی وارد شد. مادربورد با چهار نفر از اطلاعاتی که اطلاعات L & M را در نمونه ای از داده های خرابش که با وب سایت به اشتراک گذاشته است را تایید کرد. L & M می گوید که این کار را برای نشان دادن شرکت هایی که امنیت آنها را به خطر انداخته است، نشان می دهد و هرگز از یک موتور خودرو جدا نیست. بنابراین حدس می زنم این راحتی است؟

کابوس حریم خصوصی و امنیت IOT به هر طریقی بدتر می شود

یک گزارش جدید هنوز دلیل دیگری برای نگرانی در مورد پر کردن خانه شما با اینترنت از چیزهایی است که دستگاه هایی را گوش می دهند، تماشا می کنند و منتظر می مانند تا هک شوند: تکنولوژی peer to peer آنها همیشه امن نیست. برنان کراسبس، روزنامه نگار امنیتی، نرم افزار iLnkP2P ساخته شده توسط فناوری شنژن Yunni در میلیون ها دستگاه مختلف IoT، مانند زنگ های درب، دوربین ها و مانیتورهای بچه است. این یک ضعف است که پژوهشگر امنیتی پل مارپراس با Krebs پیدا کرده و به اشتراک گذاشته است. این نرم افزار به این معنا است که مردم برای ورود به سیستم از راه دور به دستگاه های IoT خود با استفاده از یک بارکد برای ورود به سیستم آسان تر می شوند. Marrapese دریافت که نرم افزار هیچ رمزگذاری یا احراز هویت را ارائه نمی دهد و هکرها برای اتصال مستقیم به این دستگاه ها بسیار آسان هستند. . وی به کریبس گفت که بیش از 2 میلیون دستگاه را در معرض این نوع حمله قرار داده است. او پیشنهاد می کند که مردم می توانند از طریق تنظیم فایروال که مانع انتقال ترافیک به پورت peer-to-peer می شوند محافظت کنند، اما Krebs پیشنهادی ساده تر دارد: "از خرید یا استفاده از دستگاه های IoT که هر گونه قابلیت P2P را تبلیغ می کنند، اجتناب کنید".

پایگاه داده عددی بیومتریک اتحادیه اروپا زنده خواهد ماند

اتحادیه اروپا در این هفته با تمجید از طرفداران حفظ حریم خصوصی در سراسر جهان، این کار را انجام داد. این چیزی است که برای ادغام مجموعه ای از پایگاه های مختلف ردیابی بیومتریک برای مهاجرت، جرم و جنایت و گشت مرزی به یک پایگاه داده مشترک که مرز و عوامل اجرای قانون می توانند برای دسترسی به اطلاعات بیومتریک برای مردم ادغام شوند. بر طبق گزارش ZDNet که حاوی سوابق بیش از 350 میلیون نفر است، پس از جمعآوری، پایگاه داده یکی از بزرگترین پایگاههای اطلاعاتی ردیابی افراد در جهان خواهد بود. این پرونده ها شامل هر دو بیومتریک مانند اثر انگشت و اسکن چهره و همچنین اطلاعات شناسایی مانند شماره گذرنامه، نام و تاریخ تولد می باشد.

روشی جدید برای شناسایی malware های مخفی در سخت افزار

نرم افزار همیشه نمی تواند کدهای مخرب را در سیستم عامل از اجزای سخت افزاری پنهان کند. تشخیص هک های مبتنی بر سخت افزار فوق العاده دشوار است، اما پیشرفت در جهت جلوگیری از اثربخشی چنین حملاتی صورت می گیرد.

در عین حال که نقصهای CPU و Spectre و Meltdown CPU ها برجسته شده است، این اشکالات فقط سطح هکرها و مهاجمان را به مدت چندین سال نگاه دارند. پنهان کردن نرم افزارهای مخرب داخل سیستم عامل در درایوهای سخت، مادربرد، کارت گرافیک و دیگر اجزای رایج می تواند نرمافزار سطح OS را برای غیرفعال بودن آن غیر ممکن کند.

با وجود اینکه توسعه دهندگان بدافزار حتی از طریق وارد کردن کد مخرب به سیستم عامل جاسازی شده، حتی محققان دانشگاه ایالتی کارولینای شمالی و دانشگاه تگزاس در آستین، روش های قابل اعتماد برای شناسایی چنین نفوذ را توسعه داده اند. با مشخص کردن توان مصرفی سیستم و هر یک از اجزای آن، نوع بدافزار موجود میتواند تعیین شود. تحقیقات توسط لاکهید مارتین و بنیاد ملی علوم حمایت شد.

"ماهیت حملات میکرو معماری آنها را بسیار دشوار برای تشخیص - اما ما پیدا کرده اند راه را برای شناسایی آنها"

رایانه های رومیزی برنامه اصلی این نوآوری نیستند. اینترنت چیزهای دستگاه و سیستم های جاسازی شده صنعتی موارد مهم استفاده برای نگاه کردن است. بسیاری از این دستگاه ها دارای سیستم عامل نیستند و تنها کد دستگاه را اجرا می کنند که در بخش کوچکی از حافظه غیر قابل ذخیره نگهداری می شود. نرم افزار آنتی ویروس حتی در اکثر سیستم های جاسازی شده در دنیای واقعی حتی عملی نیست.

قدرت نظارت بر استفاده از خود یک مفهوم جدید نیست، بلکه ایده یک راه حل plug-and-play که قادر به کار با انواع سیستم های مختلف است جذاب است. تنها نکته اینجا این است که نرم افزارهای مخرب بسیار دقیق می توانند تلاش کنند که مصرف برق طبیعی را تکرار کنند. در این موارد، زمانی وجود دارد که ابزار محقق قادر به تشخیص حضور نرم افزارهای مخرب نیست. با این حال، سرقت اطلاعات توسط نرم افزارهای مخرب به میزان 86 تا 97 درصد کاهش پیدا کرد، اما هنوز هم به هکر ها که در حال پوشش دادن آهنگ های خود هستند، به شدت آسیب می رسانند.

هکرها ویروس‌های خود را وارد بازی های ویدیویی کردند

بخش امنیتی از تهدیدهای ناشی از حملات زنجیره تامین نرم افزار که هکر ها به طور مستقیم به دستگاهها یا شبکه های خاص حمله نمی کنند، بجای شرکت هایی که کد مورد استفاده توسط اهدافشان را توزیع می کنند، بیدار می شوند. در حال حاضر محققان شرکت های امنیتی Kaspersky و ESET شواهدی را کشف کرده اند که همان هکرهایی که در اوایل سال جاری هک های مشابهی را با آن دسته از زنجیره تامین هک هدف قرار داده اند نیز سه توسعه دهنده بازی های ویدیویی را هدف قرار داده اند - این بار با هدف بالابردن سطح بالاتری از فایروال ها، توسعه دهندگان بازی.

فقط چند هفته پس از آشکار شدن حادثه Asus - که در آن هکرها ربودن فرایند به روز رسانی نرم افزار شرکت کامپیوتر را به طور صریح آلوده مشتریان با کد مخرب - کارشناسان Kaspersky آن را به یک مجموعه دیگر از نقض متصل شده است. به نظر میرسد همان هکرها نسخههای خرابکارانه ابزار توسعه مایکروسافت ویژوال استودیو را که سه شرکت مختلف بازیهای ویدیویی در توسعه خودشان استفاده میکنند، به نمایش میگذارد. هکرها پس از آن ممکن است در برنامه های خاصی برنامه های مخرب را بسازند که احتمالا صدها هزار قربانی را با یک نسخه پشت صحنه برنامه ها آلوده می کنند.

محققان Kaspersky می گویند که موارد Asus و Videogame به احتمال زیاد بخشی از یک وب سایت گسترده تر از همپیمانی های زنجیره تامین هستند که یکی از آن ها شامل ربودن نرم افزار ابزار CCleaner و نرم افزار مدیریت نرمافزار Server 2017 می باشد.

بازی تمام شد

ویتالی کاملوک، مدیر تحقیقاتی آسیا متشکل از کسپرسکی می گوید: حملات ویدئویی به طور خاص نشان دهنده نقطه نابسامانی کور برای بسیاری از شرکت های نرم افزاری است. پس از استفاده از ابزارهای مخرب مایکروسافت توسعه، هر یک از شرکت های بازی های خطرناک پس از آن به صورت دیجیتالی بازی های خود را قبل از توزیع آنها امضا کردند، و آنها را قانونی دانستند، هرچند که حاوی نرم افزارهای مخرب بودند. به عنوان مثال، جاسوسی در مورد پرونده Asus نشان می دهد که هکرها پس از ایجاد آنها فایل های به روز رسانی را تغییر دادند و از یک سرور Asus آسیب دیده برای امضای آن با کلید شرکت استفاده می کردند.

Kamluk می گوید: "من می ترسم که بسیاری از توسعه دهندگان نرم افزاری وجود دارند که کاملا از این تهدید بالقوه مطلع هستند، این زاویه حمله است." "اگر ابزارهای مورد اعتماد ترین آنها پشت سر گذاشته شوند، آنها همچنان تولید اجرایی آسیب پذیر را ادامه خواهند داد و اگر آنها به صورت دیجیتالی آنها را امضا کنند، آنها توسط کاربران، نرم افزار امنیتی و غیره مورد اطمینان قرار خواهند گرفت. آنها یک نقطه ضعف در جامعه جهانی توسعه، و این چیزی است که آنها از استثمار می کنند. "

Kaspersky و ESET هر دو می گویند بازی تایلندی Electronics Extreme یکی از شرکت هایی بود که در این حمله هدف قرار گرفتند. بازی مضمون زامبی - به طرز عجیبی به نام Infestation - این بدافزار را انجام داد. Kaspersky در روز سه شنبه شرکت کره ای Zepetto را به عنوان یکی دیگر از قربانیان نام نهاد و تیرانداز اول شخص PointBlank به عنوان بازی دوم که در بعضی موارد با نرم افزارهای مخرب در ارتباط بود. هر دو شرکت تا کنون نامزد سوم قربانی نامشخص است.

به طور کلی، آنتی ویروس کسپرسکی 92000 کامپیوتر را که نسخه های مخرب بازی را اجرا می کنند شناسایی کرده اند، هرچند که مظنون به احتمال زیاد بیشتر قربانیان هستند. ESET در ماه مارس تعداد آن را به عنوان "صدها هزار نفر" قرار داده است. طبق گفته ESET، تقریبا تمام ماشین های آلوده شناخته شده در آسیا، 55 درصد در تایلند، 13 درصد در فیلیپین و تایوان، و درصد کمتر در هنگ کنگ، اندونزی و ویتنام در آسیا هستند. Kamluk می گوید: "من معتقدم که این فقط نوک کوه یخ است."

هر دو Kaspersky و ESET نیز توجه داشته باشند که بدافزار به دقت طراحی شده است تا از اجرای هر دستگاهی که برای استفاده از روسیه یا چینی ساده شده مورد استفاده در سرزمین اصلی چین استفاده می شود، متوقف شود، جایی که برخی از محققان امنیتی اعتقاد دارند که حمله های زنجیره تامین از زمان حملات 2017 آنها صورت گرفته است.

پیوند تاریکی

طبق گفته Kamluk، Kaspersky ابتدا بدافزار بازی ویدئویی را در ماه ژانویه کشف کرد، زمانی که شرکت شروع به اسکن کردن کد کرد که مشابه با backdoor هایی بود که نصب شده توسط به روز رسانی های ربوده شده ASUS پیدا کرد. تحقیقات منجر به یک نسخه آسیب دیده از مایکروسافت ویژوال استودیو شامل یک لینک دهنده مخرب، عنصر ابزار مایکروسافت است که بخش های مختلف کد را با یکدیگر متصل می کند زمانی که کد منبع به یک دودویی قابل خواندن با کامپیوتر قابل جمع می شود. Linker جدید، یک کتابخانه کد مخرب، به جای برنامه های بی گناه معمولی، به برنامه کامپایل شده تبدیل شده است.

Kamluk می گوید هنوز مشخص نیست که چگونه هکرها شرکت های قربانی را با استفاده از نسخه خراب شده ابزار توسعه دهنده مایکروسافت فریب دادند. ممکن است او اضافه کند که برنامهنویسان شرکت نسخههای پراکندهی ویژوال استودیو را از صفحههای پیام یا BitTorrent بارگیری کردهاند، همانطور که در موارد مشابه در زمانی اتفاق افتاده که توسعه دهندگان چینی از نسخه خرابکارانه XCode اپل در سال 2015 استفاده کردهاند. اما بر اساس در حال حاضر شناخته شده هدف قرار دادن فقط سه شرکت و تنها بازی های خاص، که هکرها ممکن است در واقع هدف خود را نقض و کاشته نسخه های مخرب خود را از ویژوال استودیو در ماشین های خاص توسعه دهنده.

"من فکر می کنم منطقی است که حدس بزنیم که هکرها ابتدا شرکت را شکست دادند، سپس در داخل شبکه چرخیدند، به دنبال مهندسان نرم افزاری بودند که در اجرایی مهم کار می کردند و کامپایلرهای پشتی در محل در جای خود کار می کردند."

به نظر میرسد هکرهای بازیهای ویدئویی به جای کشف روشهای جرم و جنایت در ماشینهای بسیاری که ممکن است انجام شود، شناسایی شده است. بدافزار به نظر می رسد یک تروجان مرحله اول است که به سادگی پایدار می شود و یک شناسه منحصر به فرد برای دستگاه را به سرور هکرها آپلود می کند، بنابراین می توانند تصمیم بگیرند که کدام کامپیوتر بعدا با یک ابزار مرحله دوم هدف قرار گیرد. حمله مرتبط با Asus نیز به همان اندازه دشوار بود، طراحی شده بود تا بدافزار باربارا را بر روی 600 کامپیوتر خاص از صدها هزار نفر از آن آلوده کند.

ShadowHammer

Kaspersky شواهدی را مبنی بر اینکه حملات Asus و Videogame، که به طور کلی آنها را ShadowHammer می نامند، به احتمال زیاد با یک مبارزات جاسوسی قدیمی تر و پیشرفته تر مرتبط است، که آن را ShadowPad در سال 2017 نامیده است. در آن حوادث پیشین، هکرها از نرم افزار مدیریت سرور توزیع شده توسط شرکت نیتسارانگ ، و پس از آن یک حمله زنجیره تأمین مشابه را برای استفاده از نرم افزار CCleaner روی 700،000 کامپیوتر نصب کرد. اما فقط 40 کامپیوتر شرکت خاص، هکرها عفونت بدافزار دوم را دریافت کردند. از جمله Asus.

Kaspersky این اتصالات را بر روی شباهت ها در کد هکرها، تمرکز مشترک بر حملات زنجیره تامین و توزیع نرم افزارهای مخرب دیجیتالی و یکی دیگر از اثر انگشت نشان داده است: هر دو حمله CCleaner و شرکت ویدئویی نقض سرورهای آسیب دیده در دانشگاه کونکوک کره ای یک سرور فرمان و کنترل کاملوک کسپرسکی می گوید دو کامپیوتر در دو شکست حتی در همان بخش شبکه دانشگاه بودند. (اگرچه Kaspersky این حملات را به یک کشور خاص اعطا نمیکند، این لینک نشان می دهد که مشارکت چین، با توجه به این که دیگر شرکت های امنیتی از جمله آزمایشگاه های Intezer به کارت های چینی در دور قبلی نقض اشاره کرده اند.)

این سری از حملات مداوم، گروهی از هکرهای مهاجم را به یک سری از زنجیره تامین نرم افزار فاسد ختم می کند، به طوری که حتی منابع قابل اعتماد به توزیع کنندگان نرم افزارهای مخرب تبدیل می شوند. اما از این حملات، ربودن بازی های ویدئویی شروع به نزدیک شدن به منبع می کند. کاملوک می گوید که آنها نیز باید به عنوان یک هشدار خدمت کنند. "توسعه دهندگان نرم افزار باید از خود بپرسند که کدام نرم افزار توسعه ی خود را از کجا می آید؟ آیا این منبع دلخواه است، آیا آن رسمی است، آیا آن را بدون تردید؟ آخرین زمان که شرکت های توسعه نرم افزار بررسی یکپارچگی کامپایلر استفاده می کنند؟" او می پرسد. "من احساس می کنم هیچ کس این کار را انجام نمی دهد و به همین دلیل است که ما اکنون تعداد بیشتری از قربانیان را افزایش می دهیم."

خانه ها هم دیگر هک می شوند

دشوار است تصور یک خانه هوشمند بدون روشنایی هوشمند. شاید تنبلی باشد، اما توانایی روشن کردن یا خاموش کردن نور بدون راه رفتن به سوئیچ، یک ضرورت است، مخصوصا هنگامی که یک نوزاد توسط یک نوزاد خواب گرفته شود. این وسوسه است که فقط یک رله در جعبه های الکتریکی داشته باشید و آنها را با یک Raspberry Pi یا کنترل GPIO کوچک کنترل کنید. در حالی که وسوسه انگیز است، آنرا اشتباه بگیرید و خطر واقعی آتش را داشته باشید. یک گزینه بهتر یکی از سوئیچهای فای یکپارچه است. Sonoff احتمالا نام تجاری شناخته شده ترین است، تولید یک سری از دستگاه های مبتنی بر ESP8266. این دستگاه ها از منبع برق متصل می شوند و از طریق WiFi به شبکه شما متصل می شوند. یکی از معایب دستگاه های Sonoff این است که آنها فقط هنگامی که به ابر Sonoff متصل می شوند.

سوئیچ های نوردهی به یک ارائهدهنده ابری قفل شده به سادگی قابل قبول نیستند. Tasmota را وارد کنید که قبلا آن را پوشش داده اید. Tasmota یک سیستم عامل منبع باز است که به طور خاص برای سوئیچ های Sonoff طراحی شده اما پشتیبانی از طیف گسترده ای از دستگاه های مبتنی بر ESP8266 است. Tasmota به هیچ سرویس دهنده ابر متصل نیست، مگر اینکه به شما بگوید، و می تواند به طور کامل از داخل شبکه محلی کنترل شود.

گواهینامه ها، مسئولیت، و بیشتر

ما با برخی از مشکلات واردات الکترونیک آشنا هستیم، اما یکی از کمبود های شناخته شده کمبود گواهینامه است. در ایالات متحده، چندین آزمایشگاه شناخته شده در سطح ملی وجود دارد: Laboratories Underwriters (UL) و Intertek (ETL) برجسته ترین هستند. بسیاری از دستگاه های الکترونیکی وارد شده، از جمله دستگاه های Sonoff، هیچ کدام از این گواهینامه ها را ندارند. مشکل با این مسئولیت است، اگر بدترین اتفاق بیافتد و آتش الکتریکی بیرون بیاید. اینترنت با نظرات مختلف در مورد اهمیت صدور گواهینامه فراوان است - یک علامت گواهینامه جایی است که بین بی معنی و خطر کلی وجود دارد. رایج ترین ادعا این است که یک آتش سوزی خانه همراه با تجهیزات غیرمجاز نصب شده باعث می شود یک شرکت بیمه حاضر به پرداخت شود.

امروزه در دنیای امنیت هک یم موضوع مهم است و آموزش هک به وفور در اینترنت و سایر منابع قابل دسترس است. به جای این که فقط این مشاوره مطمئن از اینترنت را تکرار کنم، از نماینده بیمه ام در مورد تجهیزات غیرقابل صدور در مورد آتش سوزی پرسیدم. من متوجه شدم که سازمان های بیمه از دادن پاسخ قطعی درباره پرداخت های ادعایی اجتناب می کنند. پاسخ این است که "بستگی دارد": بیمه صاحب خانه رویدادهایی را که تصادفی و ناگهانی هستند را پوشش می دهد. اگر صاحب خانه آگاه بود که آنها از تجهیزات غیرقابل اعتبار استفاده می کنند، آن را می توان به عنوان "یک تصادف" طبقه بندی کرد. تا کنون، اسطوره به نظر قابل قبول است. پاسخ نهایی آژانس بیمه: ممکن است یک دستگاه غیر گواهی UL ممکن است منجر به رد پرداخت در مورد ادعا شود، اما به خط مشی و جزئیات دیگر بستگی دارد - چرا خطر را بر عهده دارد؟ علائم صدور گواهینامه، شرکت های بیمه را خوشحال می کند.

من همچنین با بازرس الکتریکی برق شهر تماس گرفتم. وی اظهار داشت که تجهیزات غیرمجاز، هنگامی که سخت به سیم کشی می شود، نقض کد برق است. او هشدار داد که یک شرکت بیمه میتواند از پرداخت هزینه خودداری کند، اما افزود که در صورتی که آسیب ببیند، ممکن است مسائل مربوط به مسئولیت بیشتر نیز وجود داشته باشد. من تصمیم گرفتم از تجهیزات گواهی شده در خانه استفاده کنم. شما باید تصمیم خود را در مورد آنچه که شما مایل به استفاده از تجهیزات است را.

برخی از دستگاه های آمازون وجود دارند که ادعا می کنند گواهینامه دارند، اما جستجو در پایگاه داده گواهینامه من را باور دارد که همه این ادعاها معتبر نیستند. اگر شک دارید، یک پایگاه داده قابل جستجو UL وجود دارد و همچنین یک پایگاه داده Intertek قابل جستجو است.

انتخاب یک دستگاه

بنابراین بگذارید مورد نیاز ما را بررسی کنیم: ما نیاز به سوئیچ Wi-Fi داریم، پشتیبانی شده توسط Tasmota، و یا UL یا ETL ذکر شده است. تا کنون، من دقیقا یک دستگاه پیدا کرده است که متناسب با این معیارها است. EtekCity ESWL01 توسط Intertek گواهی شده است، نسبتا به Tasmota فلاش زده و حتی بر روی صفحات Decora نصب می شود. من همچنین تأییدیه ای را دریافت کردم که Shelly برای صدور گواهینامه UL اعمال کرده است و انتظار دارد گواهینامه به زودی تایید شود. پس از تأیید، آنها نیز انتخاب خوبی خواهند کرد.

فلاش سوئیچ نسبتا ساده است، با استفاده از اتصال سریال TTL. اول، سوئیچ را به برق اصلی وصل نکنید در حالی که بر روی داخلی کار می کنید. این می تواند شما را شوکه کند، بد است، اما امکان واقعی تغذیه ولتاژ اصلی در پورت سریال شما وجود دارد، که بدتر است. در عوض، دستگاه را با پین قدرت بر روی آداپتور سریال قدرتمند می کنیم. توجه داشته باشید، این یک پورت سریال RS 232 نیست، اما اتصال سریال سطح 3.3 TTL است. من از ماژول MM232R استفاده می کنیم، اما هر آداپتور سریال TTL از جمله Raspberry Pi کار می کند.

برای قرار دادن دستگاه در حالت فلش، هنگام اتصال برق به GPIO0 کوتاهی کنید. چندین ابزار فلش وجود دارد، اما Esptool به نظر ساده ترین این است که یک فرمان به صورت فلش اجرا می شود. توصیه رسمی این است که پشتیبان گیری از سیستم عامل کارخانه، صفر کردن ESP8266، و سپس فلش سیستم عامل. من متوجه نشدم که گام های اضافی را بگیرم، اما اگر به مشکلات برسید، آن را در ذهن داشته باشید.

از باینری های Tasmota منتشر شده استفاده می کنم، اما اگر ترجیح می دهید خودتان آنها را کامپایل کنید، دستورالعمل ها ارائه می شوند. مزیت کامپایل این است که شما می توانید اطلاعات فای خود و سایر تنظیمات را به طور مستقیم به باینری پخت. اگر شما اطلاعات Wi-Fi را اضافه نکنید، ماژول یک شبکه WiFi باز را که می توانید به آن وصل کنید، برای انجام تنظیمات خود پخش می کنید. اطلاعات فای خود را تنظیم کنید و مطمئن شوید که یک نام میزبان مفید را انتخاب کرده اید، همانطور که برای کنترل سوئیچ استفاده می کنید.

واحد راه اندازی مجدد خواهد شد و باید به شبکه شما متصل شود. یکی از آخرین گام پیکربندی این است که Tasmota را درباره دستگاهی که در حال اجرا است اجرا کند. ما از ویژگی های قالب برای تعریف GPIO های مهم استفاده می کنیم.

Tasmota را می توان از طریق رابط وب با MQTT یا با REST API کنترل کرد، در حالیکه دستورات به عنوان درخواست HTTP GET و HTTP POST ارسال می شوند. ما از این رابط REST استفاده خواهیم کرد. هنگامی که سوئیچ فلاش می شود و به فای شما متصل می شود، مجددا جمع آوری و نصب آن را با استفاده از دستورالعمل سازنده.