فعال کردن تایید دو مرحله ای اکانت گوگل

امنیت دیجیتال ما بسیار مهم است. با تمام اطلاعات ذخیره شده به صورت آنلاین و ضروری که اینترنت بر زندگی مدرن تحمیل می کند ، باید مهمترین حسابهای خود را ایمن نگه داریم. یکی از بهترین راهها برای انجام این کار از طریق تأیید هویت دو عاملی ، تقویت رمز عبور با چالش هویت دوم است. با توجه به اینکه Android در این بخش موضوعی معمول است و یک حساب Google نیاز به استفاده از اندروید حداکثر استفاده از آن است ، آیا امنیت دو عاملی را در حساب اصلی Google خود تنظیم کرده اید؟

در هنگام احراز هویت دو عاملی (2FA) چند طعم مختلف وجود دارد و همه آنها با هم برابر نیستند. بسیاری از سرویس ها تنبل ترین و کمترین راه را طی می کنند و فقط به 2FA مبتنی بر پیام کوتاه اجازه می دهند که متأسفانه مستعد رهگیری است و در برابر حمله هدفمند علیه شرکت شما آسیب پذیر است - چه کسی خوشبختانه در جایی که شماره تلفن شما تقریباً بدون هیچ امنیتی وجود دارد هدایت می شوید. همچنین هنوز هم نسبت به تلاش های فیشینگ حساس است.

راه حل های دیگر عبارتند از کلیدهای ایجاد شده توسط برنامه ای مانند Google Authenticator یا Authy ، پاسخ به فوری که به تلفنی که قبلاً وارد آن شده اید یا به یک تلفن امنیتی ویژه سخت افزار اختصاصی مانند کلیدهای Google Titan یا محصولات Yubico ارسال شده است. کلیدهای امنیتی سخت افزار روشی بسیار مطمئن تر است زیرا می تواند مقاومت در برابر حملات فیشینگ را ایجاد کند ، اما این ناراحتی ناچیز را از حمل کلید در اطراف تحمیل می کند.

در اینجا در پلیس آندروید ، ما فکر می کنیم که احراز هویت دو عاملی باید برای همه حسابهای مهم دیجیتالی شما الزامی باشد ، و افرادی که به ویژه در مقابل حملات آسیب پذیر هستند ، باید حتی برنامه محافظت پیشرفته Google را در نظر بگیرند ، که محدودیت های بیشتری را برای بهبودهای امنیتی بیشتر اعمال می کند.

برزیل در معرض حملات گسترده تحت روتر قرار گرفته است

برای حدود یک سال، کاربران برزیلی با نوع جدیدی از حملات روتر مورد هدف قرار گرفته اند که در هیچ جای دنیا دیده نشده است.

حملات تقریبا نامرئی برای کاربران نهایی است و می تواند عواقب فاجعه بار داشته باشد، که توانایی منجر به تلفات مستقیم مالی برای کاربران هک شده است.

آنچه که در حال حاضر در روترها در برزیل اتفاق می افتد، باید یک نشان هشدار دهنده برای کاربران و ISP های سراسر جهان باشد که باید قبل از حملات مشاهده شده در کشور آمریکای جنوبی به آنها، اقدامات احتیاطی نیز لازم باشد.

ردیاب DNS-تغییرات ATTACKS

حملات هدف قرار دادن روترها در برزیل در تابستان گذشته آغاز شد و برای اولین بار توسط شرکت امنیتی Radware از امنیت سایبری مشاهده شد و یک ماه بعد از آن توسط محققان امنیتی Netlab، یک واحد شکار شبکه ای از Qihoo 360 غول پیکر امنیتی سایبری چینی.

در آن زمان، دو شرکت توضیح دادند که چگونه یک گروه از مجرمان اینترنتی بیش از 100،000 روتر خانگی در برزیل را آلوده کرده و تنظیمات DNS خود را تغییر داده اند.

تغییرات انجام شده به این روترها هر زمان که آنها سعی در دسترسی به سایت های بانکداری الکترونیک برای برخی از بانک های برزیل داشتند، کاربران آلوده به وب سایت های کلون مخرب را هدایت می کردند.

چندین ماه بعد، در آوریل سال 2019، حملات مشابهی توسط شرکت امنیتی Bad Pakets که یکی دیگر از موج های حملات را مشخص کرده بود، دیده می شد، اما این بار هدف اصلی آن در برابر روترهای D-Link بود، همچنین بر روی ISP های برزیلی میزبانی شد.

بر اساس تحقیقات محققان در Ixia، این بار دیگر، علاوه بر ربودن کاربران بازدید از بانکهای برزیل، هکرها نیز کاربران را به صفحات فیشینگ برای Netflix، Google و PayPal هدایت می کردند تا مدارک خود را جمع آوری کنند.

اما بر اساس گزارش منتشر شده توسط Avast در این هفته، این حملات متوقف نشده است. در واقع، به گفته شرکت، در نیمه اول سال 2019، هکرها آلوده و تنظیمات DNS بیش از 180،000 روتر برزیل را تغییر داده اند.

علاوه بر این، پیچیدگی حملات افزایش یافته است و تعداد بازیگران درگیر در حملات نیز افزایش یافته است.

چطوری روتر هک می شود

به گفته محققان Avast، دیوید یورسا و Alexej Savcin، اکثر کاربران برزیلی در حال بازدید از سایت های ورزشی و فیلم های جریان یافته یا پورتال های بزرگسالان، روترهای خانگی خود را هک می کنند.

در این سایت ها، تبلیغات مخرب (malvertising)، کد خاصی را در مرورگرهای کاربران برای جستجوی و شناسایی آدرس IP روتر خانگی، مدل روتر، اجرا می کنند. هنگامی که آنها IP و مدل روتر را شناسایی می کنند، تبلیغات مخرب پس از استفاده از لیست نام کاربری و رمزهای عبور پیش فرض برای ورود به دستگاه های کاربران، بدون دانش آنها.

حملات به مدتی طول می کشد، اما اکثر کاربران چیزی را متوجه نمی شوند زیرا معمولا اشتباه می کنند جریان های ویدیویی را در وبسایتهایی که فقط دسترسی داشته اند تماشا می کنند.

اگر حملات موفقیت آمیز باشد، کد مخرب اضافی از طریق تبلیغات مخرب از طریق تنظیمات پیش فرض DNS در روترهای قربانیان تغییر می یابد و جایگزین سرور DNS روتر های آی پی آدرس از ISP های بالادستی با آدرس های آی پی سرورهای DNS مدیریت شده توسط هکرها دریافت می کنند.

دفعه بعد که گوشی های هوشمند یا رایانه های کاربران به روتر متصل می شوند، آدرس IP های سرور DNS مخرب را دریافت می کنند و به این ترتیب، تمام درخواست های DNS را از طریق سرور های مهاجم طرد می کند و به آنها اجازه می دهد تا از ترافیک به کلون های مخرب ربوده و تغییر مسیر دهند.

GHOSTDNS، NAVIDADE، و SONARDNS

هکرها در طی تحقیقات Avast از دو کیت ویژه برای این حملات استفاده کرده اند. اولین مورد GhostDNS نامیده می شود و یکی از آن هاست که از تابستان گذشته اولین بار دیده شده است و بت نت در سال گذشته توسط Radware و Netlab شرح داده شده است.

یک نوع از GhostDNS، نام ناوادید نیز در ماه فوریه ظاهر شد.

در طی Avast، Novidade تلاش کرد که روترهای کاربران Avast بیش از 2.6 میلیون بار در ماه فوریه را آلوده کند و از طریق سه کمپین گسترش یافت. "

علاوه بر این، از اواسط ماه آوریل، یک بازیکن دیگر وارد بازار شد. Avast این بوتنت جدید را SonarDNS می نامد زیرا مهاجم به نظر می رسد که چارچوب تست نفوذ نام Sonar.js را به عنوان ستون فقرات برای زیرساخت آنها تعیین کرده است.

و Sonar.js برای حملات روتر مناسب است. این کتابخانه جاوا اسکریپت به طور معمول توسط آزمایشکنندگان نفوذ برای شناسایی و راه اندازی سوءاستفاده ها بر علیه میزبان های شبکه داخلی استفاده می شود و برای تعیین یک نوع روتر و اجرای سوء استفاده بر روی دستگاه هدف تنها با چند خط کد، ایده آل است.

Avast می گوید SonarDNS را در سه کمپین مختلف طی سه ماه گذشته مشاهده کرده است و به نظر می رسد که شیوه عملکرد آن شباهت به چگونگی استفاده از GhostDNS را دارد.

جایگزینی AD و CRYPTOJACKING

اما حملات انفجار DNS با هدف روترها در برزیل هنوز ادامه نیافته است و همچنین تکامل یافته است. علاوه بر ربودن ترافیک و هدایت کاربران به صفحات فیشینگ، گروه های هکر در پشت این حملات نیز ترفندهای بیشتری را به زرادخانه خود اضافه کرده اند.

اول این است که از ترافیک کاربر ربوده و جایگزین تبلیغات مشروع با تبلیغاتی می شود که برای مهاجمان سود آور است.

این تاکتیک جدید نیست. در سال 2016، محققان Proofpoint یک کیت سوءاستفاده را کشف کردند که آنها DNSChanger EK را نام بردند که همین کار را انجام دادند - جایگزین تبلیغات مشروع با آنهایی که مخرب هستند - و بیشتر احتمال دارد که الگویی برای اپراتورهای بت نت باشد که برزیل را هدف قرار می دهند.

دوم، اپراتورهای GhostDNS، Navidade و SonarDNS نیز اسکریپت رمزگذاری و رمزگذاری مبتنی بر مرورگر را مستقر کرده اند. این آخرین تاکتیک در سال گذشته در برزیل دیده شده است، در حالی که گروه دیگری بیش از 200،000 روتر Microtik را ربوده و معدنچیان cryptocurrency در مرورگر را به ترافیک وب کاربران اضافه کرده است.

خطر گسترش به دیگر کشورها

اما با وجود همه اینها، حملات تغییر DNS، آنهایی هستند که برای کاربران نهایی خطرناک هستند. این به این دلیل است که اپراتورهای بت نت اعتبار کاربران فیشینگ، ربودن پروفایل های آنلاین یا سرقت پول از حساب های بانکی کاربران هستند.

با وجود اینکه حملات به طور ناگهانی، سخت شناسایی و بسیار سودآور است، هنوز هم رمز و راز این است که آنها به سایر کشورها گسترش نیافته اند.

روتر هکینگ ارزان و آسان است. با این حال، اکثر بوتنت های IoT امروز این دستگاه ها را برای انجام حملات DDoS تحریم می کنند و یا به عنوان پروکسی ها برای ترافیک بد، حملات غیرقابل حمل یا حملات اعتبارنامه عمل می کنند. استفاده از روترها برای فیشینگ راهی سودآور خواهد بود.

کاربرانی که می خواهند در مقابل هر بوتت IoT که مسیریاب را برای تغییر تنظیمات DNS هدف قرار می دهد، به چندین گزینه دسترسی داشته باشند:

از کلمه عبور مدیریت روتر پیچیده استفاده کنید

روترها را به روز نگهدارید

از تنظیمات DNS سفارشی در دستگاه های خود استفاده کنید، که مانع از درخواست سیستم تنظیمات DNS از مسیریاب محلی می شود

Vulnerabilities های خطرناک دوربین های وایرلس را میتوانند هک کنند

محققان برخی از آسیب پذیری های امنیتی جدی در دوربین های امنیتی بی سیم Arlo پیدا کرده اند. این آسیب پذیری ها می توانند یک مهاجم سایبری احتمالی را به کنترل دوربین ها برساند، بنابراین امنیت قربانیان را تهدید می کند.

اشکالات در دوربین های امنیتی بی سیم Arlo

محقق مستقل، جیمی سبرلی، برخی از اشکالات جدی امنیتی را که دوربین های امنیتی بی سیم Arlo را هدف قرار داده اند، کشف کرده است. به طور خاص، Sebree دو آسیب پذیری متفاوت را کشف کرد که می تواند به خطر افتادن امنیت خانه ها پس از بهره برداری کمک کند.

همانطور که در مشاوره Tenable توضیح داده شد، اول از این شامل مکانیسم های حمایت از UART نیست. برای بهره برداری از این نقص، مهاجم با دسترسی فیزیکی به دستگاه می تواند به پورت UART متصل شود و از اعتبار پیش فرض برای ورود به حساب کاربری به عنوان کاربر ریشه استفاده کند. مهاجم می تواند دستورات را اجرا کند و دسترسی به اطلاعات حساس را به دست آورد.

با دسترسی فیزیکی، اتصال به پورت سریال نسبتا بی اهمیت است زیرا بلافاصله کاربر را به یک فورمه ورود می اندازد. در حالی که اعتبار UART (UART_username و UART_passwd) در نوشته های nvram رمزگذاری می شود، کلید رمزگذاری در دستگاه از طریق متغیر محیط PASS_ENC (GEARNET) (که پس از بارگزاری اولیه و رمزگذاری nvram پاک می شود) بر روی دستگاه سخت افزوده می شود.

آسیب پذیری دوم به طور خاص مربوط به یک خطای شبکه است. مهاجم متصل به شبکه ایستگاه پایه Arlo می تواند به رابط شبکه داخلی دوربین دسترسی پیدا کند. در نتیجه، مهاجم می تواند کنترل دوربین آرلو را کنترل کند. همانطور که در مشاوره بیان شد،

شنونده پیش فرض http که توسط vzdaemon مستقر شده است، حاوی یک نقطه پایانی apis است که اجازه می دهد تا بارگیری یا بارگیری دلخواه فایل ها بر روی دستگاه انجام شود.

Tenable این آسیب پذیری ها را به عنوان اشکالات شدید شناسایی با نمره پایه CVSS به ترتیب 8.3 و 7.2 قرار داده است. در حالی که CVE-ID CVE-2019-3949 و CVE-2019-3950 برای آنها رزرو شده است.

فروشندگان آسیب پذیر هستند

پس از پیدا کردن آسیب پذیری، Tenable این موضوع را به فروشندگان در تاریخ 11 مارس 2019 گزارش داد. پس از همکاری مداوم، فروشندگان آسیب پذیری ها را پاکسازی کردند.

دو اشکال بر مدلهای پایه Arlo VMB3010، VMB4000، VMB3500، VMB4500 و VMB5000 تحت تاثیر قرار گرفتند. فروشندگان اصلاحات را با آخرین نسخه های سیستم عامل منتشر کرده اند که در مشاوره آنها تایید شده است. کاربران دستگاه ها باید از نسخه های زیر پشتیبانی کنند تا از حفاظت های بالقوه محافظت شود.

پچ برای مکانیسم های حفاظت UART ناکافی:

VMB3010 و VMB4000: 1.12.2.3_2772

VMB3500 و VMB4500: 1.12.2.4_2773

VMB5000: 1.12.2.3_59_4a57cce

پچ برای تنظیم خطای شبکه:

VMB3010 و VMB4000: 1.12.2.3_2762

VMB3500 و VMB4500: 1.12.2.4_2773

VMB5000: 1.12.2.2_2824

بزرگترین بحران امنیتی سال 2019 تا کنون چه بوده است؟

شش ماه از سال 2019 در حال حاضر در کتابهاست و مطمئنا شش ماه ارزش نقض داده ها، دستکاری های زنجیره تامین، کمپین های هکینگ حمایت شده توسط دولت و پیشروان جنگ سایبری برای نشان دادن آن بوده است. اما مشخصه 2019، شاید، احساس می کند بدترین است هنوز آمده است. Ransomware یک تهدید رو به رشد است، امنیت شرکت ها و دولت ایالات متحده هنوز هم آشفته است و تنش های ژئوپلیتیکی در سراسر جهان رو به افزایش است.

با این حال، قبل از اینکه ما ببینیم آینده چه چیزی را در بر میگیرد، بیایید برخی از حوادث مهم امنیت سایبری را که تا کنون در این سال رخ داده است، بازگردانیم.

در ماه مه یک پیمانکار نظارتی برای حفاظت از گمرک و مرزی رفع شد و هکرها عکس مسافران و شماره های مربوط به حدود 100،000 نفر را به سرقت برده اند. پیمانکار مبتنی بر تنسی، یک شرکت CBP که مدتها به عنوان Perceptics شناخته می شود، اطلاعات دقیق در مورد سخت افزار نظارت و همچنین نحوه اجرای آن در چند ورودی ایالات متحده را از دست داد. ابتدا گزارش تخلف از ابتلا به ابتلا به این بیماری ثبت شد و سپس مقامات CBP این حادثه را به واشنگتن پست گزارش دادند. اگر چه CBP در ابتدا تردید داشت که ادعا می کند که Perceptics قراردادی است که از نقص رنج برده است، این سازمان یک سند مایکروسافت ورد را به پست "CBP Percepties Public Statement" در پاسخ اولیه خود ارسال کرد. چند روز بعد، هکرها داده های Perceptics سرقت شده را به وب سایت تیره ارسال کردند. در روز سه شنبه، CBP Suspended Perceptics از قرارداد فدرال، هرچند که دلیل آن را نمی گوید.

CBP دو دهه گذشته را صرف استفاده از فن آوری های نظارت بر مرز کرده است و به نظر می رسد که هیچ دلیلی ندارد. به عنوان مثال، آژانس می خواهد اسکن های تشخیص چهره را تا 2021 در 20 فرودگاه برتر ایالات متحده استاندارد کند. اما حقوق مدنی و طرفداران حفظ حریم خصوصی می گویند که این ابتکارات تهاجمی به شهروندان آمریکایی و جامعه جهانی به طور کلی خطر می کند. حادثه Perceptics به عنوان یک نمونه واضح از این خطرات دیده می شود. به عنوان جرمی اسکات، مشاور ارشد در مرکز اطلاعات الکترونیکی حفظ حریم خصوصی، به WIRED در ماه ژوئن گفت: "این سازمان نباید این اطلاعات شخصی حساس را جمع آوری کند، اگر بتواند آن را حفظ نکند."

Ransomware

حملات Ransomware واقعا به هیچ وجه جدیدی نیستند، اما سال 2019 مانند سالی پرطرفدار است. گروه های جنایتکار همچنان به کسب و کارها، ارائه دهندگان مراقبت های بهداشتی و، مهم تر از همه، دولت های محلی با این هک های مخرب، که در آن نرم افزارهای مخرب به طور خاص برای رمزگذاری داده های سیستم طراحی شده و تقاضای استفاده از آن برای رمزگشایی آن، را هدف قرار داده است، کلاهبرداری میلیاردها دلار در هر سال در روند . FBI در این هفته در گزارشی به WIRED گفت: "ما در حال افزایش حملات هدفمند ransomware هستیم." "جنایتکاران سایبری فرصتطلبانه هستند و هر شبکه به طور کامل درآمدی کسب خواهند کرد."

در سال 2019، ransomware فقط بیمارستان ها و شرکت های کوچک را هدف قرار نمی دهد. یک کشمکش مخرب به نام LockerGoga به طور خاص قربانی کردن شرکت های صنعتی و تولیدی بوده است - در بعضی مواقع، نیروگاه های تولیدی را مجبور به کنترل دستی و یا آسیب های طولانی مدت در سیستم هایی که تجهیزات فیزیکی را کنترل می کنند. در حال حاضر، پاسخ دهندگان حادثه می گویند که LockerGoga تنها توسط مجرمان مالی با انگیزه استفاده می شود. با این حال، تصور این است که چگونه این نوع حمله می تواند توسط هکرهای زیرساختی حمایتی تحت حمایت دولت مورد استفاده قرار گیرد، به ویژه با توجه به این که چگونه WannaCry کره شمالی و NotPetya روسیه کرم های مشابهی از قبیل برنامه های ژئوپلیتیک هر کشور است.

خطوط زنجیره تامین

یک فروشنده نرم افزاری قانونی از آنچه به عنوان یک به روز رسانی نرم افزار قابل اعتماد به نظر می رسد، به نظر می رسد، اما این واقعا یک ابزار مخرب برای جنگ افزار های سایبری است. این نابغه شر از حمله زنجیره تامین است. مشهورترین نمونه احتمال حمله NotPetya در سال 2017 است، زمانی که هکرها روسی نرم افزارهای مخرب بدافزار را به طور جزئی از طریق سازوکار بهروزرسانی برای نرم افزار حسابداری اوکراین گسترش می دهند. و این نوع از هک های مخرب تا کنون امضای خاصی از سال 2019 بوده است.

در ماه مارس پس از یک گزارش تحقیقاتی از شرکت اطلاعاتی تهدید Kaspersky، سازنده رایانه Asus در اوایل نیمه دوم سال 2018، یک حمله زنجیره تامین را افشا کرد که ابزار به روز رسانی این شرکت را به خطر انداخته بود تا نرم افزارهای مخرب را به تقریبا 1 میلیون مشتری برساند. دستگاه های قربانی، نرم افزار مخرب را پذیرفته اند، زیرا مهاجمان آن را با یک گواهی واقعی Asus امضا کردند (برای تأیید مشروعیت کد جدید). هرچند هکرها تعداد زیادی از ماشین ها را از طریق حمله آلوده کرده اند، به نظر می رسد که آنها به طور خاص 600 کامپیوتر را هدف قرار داده اند و سپس با حمله دومین مرحله حمله کردند.

محققان گروهی را در معرض خطر به اشتراک گذاشتن زنجیره تامین Asus با نام Barium یا ShadowPad می نامند. اندکی درباره وابستگی گروه شناخته شده است، اما فکر می کند که زبان چینی است. باریم همچنین در سال 2017 از ابزار رایانه ای رایج CCleaner به یکی دیگر از هک های مهم عرضه شده متصل شده است. و در پایان ماه آوریل، محققان کسپرسکی همچنین نشان دادند که باریم از مدت کوتاهی پس از حمله Asus برای به خطر انداختن ابزار توسعه مایکروسافت ویژوال استودیو از یک حمله زنجیره تامین استفاده کرده است. این، به نوبه خود، به عقب به محصولات سه شرکت مختلف بازی های ویدئویی متصل شده است که از طریق ویژوال استودیو در خطوط برنامه نویسی خود اجازه می دهند هکرها را در بازی های خاصی نصب کند و صدها هزار هدف را آلوده کند.

معافیت آژانس پزشکی آمریکا

یکی از مهمترین موارد مربوط به نقض قوانین شرکتی تا کنون در سال جاری این است که از مجموعه آژانس پزشکی آمریکا، یک کل مبلغ بدهی مربوط به مراقبت های بهداشتی عظیم است. این شرکت کشف کرد که در ماه مارس شکسته شده است و ادوات با کمیسیون اوراق بهادار و بورس ایالات متحده نشان می دهد که نفوذ در سیستم های AMCA از اوت 2018 تا مارس 2019 ادامه داشت. این حادثه ابتدا در ماه ژوئن پس از آزمایش پزشکی عمومی منتشر شد. شرکت LabCorp گفت که 7.7 میلیون مشتری از داده های خود در معرض AMCA قرار گرفته اند و Quest Diagnostics اعلام کرده است که از 12 میلیون بیمار در معرض آن بوده است. AMCA گفت که اطلاعات محرمانه شامل نام و نام خانوادگی، تاریخ تولد، شماره تلفن، آدرس، تاریخ خدمات پزشکی، ارائه دهندگان مراقبت های بهداشتی و اطلاعات مربوط به تعادل است. اطلاعات سرقت شده شامل شماره شناسایی بیمه یا شماره های سوسیال سکیوریتی نبودند.

از آنجا که AMCA با بسیاری از شرکت ها قرارداد بست، ممکن است سازمان های اضافی و به همین ترتیب سایر بیماران نیز تحت تاثیر قرار گرفته باشند. اما تقریبا 20 میلیون بیمار بین آزمایشگاه و Quest تنها به اندازه کافی بد است. در اواسط ماه ژوئن، اداره اعتباردهندگان بازرگانان، که به عنوان AMCA فعالیت می کند، به عنوان یک نتیجه از هزینه های مربوط به نقض، برای فصل 11 حمایت از ورشکستگی ارائه شده است.

اول آمریکایی

همه حوادث امنیتی داده ها نقض نمی شوند. گاهی اوقات داده ها نادرست ذخیره می شوند و به صورت عمومی قابل دسترس هستند - ممکن است آن ها نباشند، اما هنوز هم در معرض آن قرار دارند. و اولین آمریکایی، شرکت بیمه املاک و مستغلات و عظیم، یک داستان احتیاطی بسیار مهم را در مورد چگونگی قرار گرفتن در معرض خطر اطلاعات می دهد. این اتفاق در ماه مه توسط برین کراسب، روزنامه نگار امنیتی در ماه مه کشف کرد، این حادثه 885 میلیون حساب کاربری حساس مشتری را در سال 2003 به خود جلب کرد. آنها برای هر کسی که در وب سایت اول آمریکایی بودند، قابل دسترسی بودند. معلوم نیست که آیا فرد قبل از اینکه این شرکت را قفل کند اطلاعات را در بر داشت و به سرقت برده بود، اما این امر بسیار آسان بود. شماره های سوسیال سکیوریتی، عکس های مجوز رانندگی، شماره حساب های بانکی و اظهارات، اسناد وام های مالی و مالیاتی، و دریافت های معاملات سیم مسیحی از میلیون ها آمریکایی در همه ی موارد درج شده است. به عنوان یک ارائه کننده بیمه عنوان، اولین آمریکایی اغلب به طرف طرف خریدار و وام دهنده معاملات معاملات املاک و مستغلات احترام می گذارد، بنابراین اگر هر کسی این اطلاعات را سرقت کند، آنها می توانند به طلای واقعی برای سرقت هویت، کلاهبرداری مالی و حتی جاسوسی دسترسی داشته باشند.

یکی به تماشا: ایران

از آنجایی که رییس جمهور دونالد تامپ در سال گذشته از موافقتنامه هسته ای ایران در سال 2015، ایالات متحده را ترک کرد، روابط بین الملل و کارشناسان امنیت سایبری نیز هشدار داده اند که این حرکت می تواند تنش بین دو کشور، به ویژه در فضای مجازی را تشدید کند. این به نظر می رسد در نیمه دوم سال 2018 صحت داشته باشد و شش ماه اول سال 2019 رشد بیشتری را نشان داده است. هکرها ایرانی در سراسر جهان، و به ویژه در برابر اهداف ایالات متحده، مبارزات را به چالش کشیدند، زیرا این دو کشور به صورت آشکارا در جهان فیزیکی درگیر هستند.

به ویژه در ماه ژوئن، تنش ها با یک سری حوادث در خاورمیانه ادامه یافت. در 13 ژوئن، دو تانکر سوخت در خلیج عمان مورد حمله قرار گرفتند. ایالات متحده ایران را متهم کرد و همچنین ایرانیان را متهم به تلاش برای شلیک یک هواپیمای بدون سرنشین آمریکایی کرد. یک هفته بعد، ایران موفق به تیراندازی هواپیمای بدون سرنشین هواپیمای بدون سرنشین، که ادعا کرده بود وارد فضای هوایی ایران شده است. درنتیجه Trump در نظر داشت که در نهایت در واکنش به تحریک یک اعتصاب سینتیکی را قطع کرد، اما فرماندهی سایبری آمریکا برای راه اندازی یک حمله سایبری مضر علیه سیستم های کنترل موشکی ایران و موشکی تأیید شد. طبق گزارش ها، هفته ها یا ماه ها برای فرماندهی سایبر برای طراحی و ارکستر اجرا شد. در همین حال، ایران به صورت دیجیتالی به آمریکا رفته است. در حال حاضر سوال این است که آیا بعضی از جنگجویان پیشنهادی می توانند به عنوان یک جایگزین برای درگیری های جنبشی به کار برده شوند، یا اینکه آیا آنها فقط برای تشدید مبارزه در دنیای واقعی عمل می کنند یا خیر.

هوش مصنوعی و یادگیری ماشینی دو حوزه پیشرو در سال 2019 خواهند بود

امروز انجمن اقتصاد جهانی امروز اعلام کرد که لیستی از 56 شرکت را به عنوان پیشگامان فن آوری انتخاب کرده است و کلاس امسال نشان می دهد که رشد فزاینده ای از هوش مصنوعی و یادگیری ماشین در طیف وسیعی از بخش ها است.

حداقل 20 شرکت از کسانی که انتخاب کرده اند می گویند که از تکنیک AI یا ماشین استفاده می کنند تا به چالش هایی در زمینه هایی مانند فناوری های تبلیغاتی، شهرهای هوشمند، تمیز کردن، زنجیره تامین، تولید، امنیت سایبری، وسایل نقلیه مستقل و هواپیماهای بدون سرنشین دست یابند.

در حالی که بسیاری از آنها هنوز در مورد تاثیر واقعی این فن آوری ها شک دارند، پیشگامان فناوری برخی از نشانه های پیشرفت در پیدا کردن کاربردهای عملی برای این ابزار ها را ارائه می دهند.

فلویا مونتسور، رئیس پیشین فناوری در این انجمن، گفت: "پیشگامان تکنولوژی جدید ما در زمینه صنایع مختلف هستند و از نوآوری های آنها برای حل مسائل جدی در سراسر جهان استفاده می کنند." "پیشگامان امسال می دانند که تکنولوژی بیش از نوآوری است - همچنین در مورد کاربرد است. به همین دلیل است که ما اعتقاد داریم که آینده را شکل می دهند. "

به عنوان اعضای برنامه های پیشگامان، از شرکت کنندگان در شرکت های مختلف در رویدادهای مختلف WEF دعوت به همکاری می کنند تا به سیاستمداران بین المللی و شرکت های بزرگتر که شرکای بالقوه یا سرمایه گذاران را نشان می دهند دسترسی داشته باشند. برای بسیاری، این نیز نشان دهنده اعتبار مهم محصولات یا خدمات خود است.

از فهرست 56، در اینجا 20 راهاندازی است که از نوع AI یا ML استفاده می کنند، همراه با توضیحات خلاصه ای که توسط WEF نوشته شده است:

1. 7 فنجان به صورت رایگان، ناشناس، از هر کجا و هر زمان پشتیبانی از عاطفی مبتنی بر وب و مبتنی بر گوشی های هوشمند را ارائه می دهد. 7 جام یک رویکرد قابل دسترس و جامع برای اپیدمی سلامت روان است، با استفاده از پروتکل های درمان طلایی استاندارد، یادگیری ماشین سازگار، داوطلبان آموزش دیده و متخصصین معتبر. با 340،000 داوطلب آموزش دیده در 189 کشور و 140 زبان، 7 فنجان دارای دسترسی بی نظیر در فضای بهداشت رفتاری است.

2. شرکای Airobotics با شرکت های برجسته و دولت های سراسر جهان برای تبدیل به کسب و کار خود دیجیتالی می شوند. سیستم خودکار اتوماتیک Airobotics به عنوان اولین و تنها سازگار با استاندارد خودروی بدون سرنشین (UAV) که می تواند از راه دور اداره شود، به منظور ساده سازی عملیات هواپیماهای بدون سرنشین انجام می شود. پایگاه هوایی روباتیک، چندین سنسور هواپیمای بدون سرنشین و هوش مصنوعی (AI) تجزیه و تحلیل جاسازی شده، دیجیتالی کردن سایت ها و شهرها را از طریق جمع آوری، پردازش، تجسم و تجزیه و تحلیل داده ها با فرکانس بالا به صورت خودکار انجام می دهد.

3. BigID نرم افزاری را ایجاد می کند که با تغییر وضعیت شرکت ها، نقشه ها و اطلاعات شخصی در معرض خطر برای حریم خصوصی، حفاظت و مسائل مربوط به حکومت قرار می گیرد. این می تواند به سازمانها کمک کند سازماندهی و ارزیابی خطر اطلاعات را شناسایی و شناسایی کند و در عین حال افزایش امنیت و تسریع شناسایی نقض و پاسخ دهد.

4. دستگاه های هوشمند هوش مصنوعی را برای تولید، با استفاده از چشم انداز و مغز به طبقه کارخانه از طریق یادگیری ماشین و بینایی کامپیوتری، اعمال می کنند. این لایه نرم افزاری هوشمند به طور مداوم دقت، کیفیت و عملکرد خط تولید را بهبود می بخشد. با ساخت این لایه نرم افزاری برای مدیریت تمام ماشین ها و وظایف مورد نیاز برای تولید یک محصول مدرن، آن را قادر می سازد اتوماسیون کامل، انعطاف پذیری و هوش در طبقه کارخانه.

5. CyberCube صنعت بیمه را با تجزیه و تحلیل جهانی و داده های بی نظیر تجهیز می کند. این بینش بخش بیمه را قادر می سازد تا با کسب و کار بیشتر در معرض خطر قرار بگیرد و اقتصاد را با اعتماد به نفس در عصر دیجیتال تقویت کند. CyberCube به طور منحصر به فرد، هوش مصنوعی داده های بزرگ را با علم واقعی در یک پلت فرم نرم افزاری به عنوان یک سرویس متصل می کند که به بیمه گران کمک می کند تصمیمات بهتر را در هنگام ریسک سایبری و مدیریت جمع آوری ریسک و رویدادهای سایبری فاجعه بار، تصویب کند.

6. DabaDoc میلیون ها بیمار را با هزاران پزشک در سراسر آفریقا متصل می کند. این امر عمیقا فرآیند کشف دکتر را بهبود می بخشد و موانع جغرافیایی را مختل می کند. DabaDoc دسترسی مراقبت، بهره وری و نتایج را بهبود می بخشد. با استفاده از سلامت جسمانی، یادگیری ماشین برای آموزش بهداشت و مشارکت با سهامداران کلیدی خصوصی و دولتی، کمک به بازنگری منابع انسانی و سرمایه محدود می شود. با به کارگیری چرخه مراقبت، DabaDoc به پزشکان کمک می کند تا به آنچه که آنها بهترین کار را انجام می دهند تمرکز کنند: مراقبت از بیماران.

7. DataProphet یک پیشگام هوش مصنوعی جهانی برای صنعت 4.0 است که کیفیت و عملکرد تولید را بهبود می بخشد. با استفاده از دستگاه های پیشرفته یادگیری، مجموعه راه حل های AI ثابت شده است که نقص و ضایعات را با حداقل 50٪ کاهش می دهد و کارایی کارخانه را بهبود می بخشد. فن آوری DataProphet به طور فعال تنظیمات پارامترهای کنترل بهینه را برای تدوین کارایی تولید مورد آزمایش قرار می دهد. تیم آن 40 مهندس، ریاضیدان و دانشمندان داده و دانش آموز متعهد به ارائه بینش عملی و تاثیر قابل اندازه گیری است.

8. آزمایشگاه های دکارت آزمایشگاه های دکارت یک پلت فرم مبتنی بر ابر را برای دیجیتالی کردن دنیای فیزیکی ساخته است. این پردازش و مدیریت داده ها را در سطح سازمانی فراهم می کند تا نسل بعدی تحلیل های یادگیری ماشین در مقیاس جهانی را فعال کند. مدل های یادگیری ماشین های سفارشی، مجموعه داده های سازمانی را با کاتالوگ داده های خود برای ارائه مزیت مالی، عملیاتی و رقابتی برای مشتریان، به هم متصل می کنند. این دفتر مرکزی در سانتافه، نیومکزیکو مستقر است و دارای دفاتر در نیویورک، سانفرانسیسکو، واشنگتن دی سی، دنور، مینیاپولیس و لس آلاموس است.

9. Drishti علیرغم رعب و بیدادهای روباتیک، انسانها بزرگترین سازندگان تولید هستند. اما روش های اندازه گیری فعالیت انسان از زمان هنری فورد تغییر نکرده است. سازندگان برای بهینه سازی وظایف انسانی در مقیاس تلاش می کنند. برخی معتقدند که بهره وری انسان در اوج خود قرار دارد. چشم انداز کامپیوتر پیشروی دریشتی از هوش مصنوعی (AI) برای دیجیتالی کردن فعالیت های انسانی در کارخانه استفاده می کند و تولید کنندگان را قادر می سازد برای اولین بار از تجزیه و تحلیل انسان بهره مند شوند. مجموعه داده های Drishti آینده ای را در اختیار می گذارد که در آن فن آوری مردم را جایگزین نمی کند؛ آنها را با ارزش تر می سازد.

10. Eureka یک پلتفرم مصنوعی (AI) است که همکاری میان اپراتورهای تلفن همراه و شرکت ها در صنایع مانند بانکی، بیمه، حمل و نقل و تحقیقات بازار را در اختیار دارد. این آیین نامه برای باز کردن داده های منحصر به فردی که شرکت های مخابراتی در اختیار دارند و توانایی کسب درآمد را از طریق محصولاتی که بینش، ریسک خطر و مشارکت مشتری را ارائه می کنند، باز می شود. این پلتفرم در حال حاضر با اپراتورهای تلفن همراه پیشرو در سراسر آسه آن، هند، خاورمیانه، آفریقا و اروپا، با 850 میلیون مشترک، مستقر شده است.

11. Holmusk یک سازمان اطلاعاتی و شرکت سلامت دیجیتال است که به منظور بررسی چگونگی روبرو شدن با سلامت روان جهان، اختصاص داده شده است. مأموریت آن ساختن بزرگترین پیکر جهان در جهان است و ایجاد داده ها به عنوان ابزار اصلی برای درمان سلامت روان است. پلت فرم RWE هولمزک ظرفیت تغییرات بزرگی در ارائه مراقبت و تحقیق در درمان های جدید را از طریق یادگیری ماشین، یادگیری عمیق و ابزارهای دیجیتالی فراهم می کند.

12. Homolaa یک راه اندازی تکنولوژی است که صنعت حمل و نقل را انقلابی کرده و کارایی و پایداری آن را افزایش می دهد. این شرکت متصل فرستنده هایی است که می خواهند با حمل کننده هایی که از طریق یک موتور هوشمند هوشمند AI که از فضای کامیون خالی استفاده می کند، صرفه جویی در وقت، پول و انرژی، حمل کنند. صنعت حمل و نقل در داخل کشور از ناکارآمدی بیش از حد رنج می برد: 40 درصد از کامیون ها در کشورهای عضو شورای همکاری خلیج خالی بازمی گردند. هر سال، رانندگان کامیون میلیون ها مایل را رانندگی می کنند، تعداد بنزین بی شماری بنزین را خراب می کنند، به محیط زیست آسیب می رساند، و پول، زمان و انرژی را هزینه می کنند. Homolu یک راه حل است که هزینه ها را کاهش می دهد، شفاف سازی را افزایش می دهد و پول می کند در حالی که در کاهش آلودگی صنعت لجستیک نیز کمک می کند.

13. ImpactVision یک شرکت یادگیری ماشین است که با استفاده از فن آوری تصویربرداری فوق العاده طیفی به زنجیره های عرضه مواد غذایی به منظور بهبود کیفیت مواد غذایی، تولید محصولات منسجم، با کیفیت بالا و کاهش زباله ها. نرم افزار آن اطلاعات بینظیر در مورد کیفیت غذا را در اختیار شما قرار می دهد و در مورد پردازنده های مواد غذایی، تولید کنندگان، توزیع کنندگان و خرده فروشان قرار دارد. به عنوان مثال، سیستم آن قادر به تشخیص تازه از ماهی، بلوغ آوکادو، یا حضور اشیاء خارجی به سرعت و [...] غیر تهاجمی است.

14. Luminance Technologies یک پلت فرم هوش مصنوعی پیشرو برای حرفه ی حقوقی است. این تکنولوژی بر پایهی تکنیکهای یادگیری ماشین و تشخیص الگو است که در دانشگاه کمبریج توسعه یافته است، برای خواندن و درک زبان قانونی، بسیار شبیه مغز انسان است. شرکت های حقوقی و تیم های داخلی در بیش از 40 کشور در سراسر جهان از Luminance استفاده می کنند تا زمینه های مختلف تمرین را بهبود بخشند. Luminance دارای دفاتر در لندن، کمبریج، نیویورک، شیکاگو و سنگاپور است.

15. Marinus Analytics یک کارآفرینی اجتماعی است. این ارائه دهنده راه حل های جهانی است که توانایی یادگیری ماشین و هوش مصنوعی (AI) را برای تقویت اجرای قانون و سازمان های دولتی برای بهتر محافظت و خدمت به اعضای جامعه آسیب پذیر تر فراهم می آورد. این انقلاب توانایی اجرای قانون را برای شناسایی و جلوگیری از قاچاق انسان دارد. در حال حاضر، آن را راه حل های AI برای نیازهای اضافی مانند چالش های خدمات اجتماعی و اپیدمی opioid است.

16. یک نگرانی یک شرکت هوشمند خیرخواه هوش مصنوعی است که ماموریتی برای نجات جان افراد و معیشت قبل، در طی و پس از بلایای طبیعی است. یکی از نگرانی ها در دانشگاه استنفورد تأسیس شده است که شهرها، شرکت ها و شهروندان را قادر می سازد تا آینده را از طریق فن آوری هوش مصنوعی (AI)، سیاست و مالی تامین کنند. با ترکیب علم داده ها و پدیده های طبیعی علم، آن را دنبال یک دیدگاه برای انعطاف پذیری در سطح مقیاس سیاره ای که در آن همه در یک جهان امن، عادلانه و پایدار زندگی می کنند.

Ransomwareها قربانی بعدی را از MSP گرفتند. اطلاعات مشتریان فاش شد!

هکرها MSPs را خراب می کنند و از کنسول Webroot SecureAnywhere برای آلوده کردن رایانه های شخصی با Ransomware Sodinokibi استفاده می کنند.

بنیاد ransomware زیرساخت حداقل سه ارائهدهنده سرویسدهنده مدیریت (MSP) را نقض کرده است و از ابزارهای کنترل از راه دور در اختیار آنها، یعنی کنسول Webroot SecureAnywhere، برای استفاده از سیستمهای رانوموئر در سیستم مشتریان MSPs استفاده کرده است.

عفونت های ransomware برای اولین بار در بخش Reddit اختصاص یافته به MSPs - شرکت هایی که خدمات از راه دور IT و پشتیبانی از شرکت ها در سراسر جهان را ارائه می دهند، امروزه گزارش شده است.

کایل Hanslovan، یکی از بنیانگذاران و مدیر عامل شرکت Huntress Lab، آنلاین بود و به برخی از MSPs تاثیر گذار در مورد حوادث کمک کرد.

هکرها از طریق RDP دریافت کردند

Hanslowan گفت که هکرها از طریق RDP (Remote Pointing Point Remote)، امتیازات بالا در سیستم های به خطر افتاده و دستی حذف محصولات AV مانند ESET و Webroot، MSP ها را از بین برد.

در مرحله بعد از حمله، هکرها حسابهای Webroot SecureAnywhere، نرم افزار مدیریت از راه دور (کنسول) مورد استفاده توسط MSPs را برای مدیریت ایستگاه های کاری مستقر از راه دور (در شبکه مشتریان خود) جستجو کردند.

با توجه به Hanslovan، هکرها از کنسول برای اجرای یک اسکریپت Powershell در ایستگاه های کاری از راه دور استفاده می کردند؛ اسکریپت که دانلود و نصب sansomware Sodinokibi.

مدیر عامل شرکت شکارچی گفت که حداقل سه MSP به این ترتیب آموزش هک شده اند. برخی از کاربران Reddit همچنین گزارش دادند که در بعضی موارد ممکن است هکرها از کنسول مدیریت راه دور Kaseya VSA استفاده کرده باشند، اما این هیچگاه رسما تایید نشده است.

هانسلووان گفت: "دو شرکت ذکر شده تنها میزبانانی بودند که Webroot را آلوده کرده بودند." "با توجه به کنسول مدیریت Webroot، مدیران اجازه می دهند از فایل های نقطه به نقطه از راه دور فایل ها را دانلود و اجرا کنند، این به نظر می رسد یک بردار حمله قابل قبول است."

WEBROOT DEFLOWERS 2FA برای حساب های امن

براساس یک ایمیل Hanslovan دریافت کرد، Webroot بعدا در روز شروع به اعمال قدرت مجاز به تأیید احراز هویت دو عامل (2FA) برای حسابهای SecureAnywhere کرد، امیدوار بود که هکرها از هر گونه حساب دیگر که به طور بالقوه ربوده شده است، برای استفاده از رنج نرم افزار جدید در طول روز استفاده کنند.

SecureAnywhere از 2FA پشتیبانی می کند که به طور پیش فرض برای همه کاربران فعال است، اما برخی از کاربران ظاهرا آن را خاموش کرده اند. در این ایمیل، این شرکت اعلام کرد که 2FA مجددا فعال خواهد شد، بدون این که کاربران بتوانند آن را غیر فعال کنند.

"اخیرا تیم تروجان پیشرفته Webroot کشف کرد که تعداد کمی از مشتریان تحت تاثیر یک بازیگر تهدید قرار گرفته است که با استفاده از ترکیبی از شیوه های بهداشت روانی سنتی مشتری در حوزه تأیید هویت و RDP،" چاد باخر، SVP محصولات، WEBROOT، شرکت کربنیت، به ZDNet از طریق ایمیل به ZDNet گفت.

وی افزود: "برای اطمینان از بهترین حفاظت برای کل جامعه مشتری وبروت، ما تصمیم گرفتیم زمان لازم برای احراز هویت دو عامل را اجباری کنیم. ما این کار را با انجام خروج کنسول و به روز رسانی نرم افزار صبح روز 20 ژوئن انجام دادیم."

"ما همه می دانیم که احراز هویت دو عامل (2FA) یک روش بهتر برای بهداشت سایبر است و ما مشتریان را برای استفاده از کنسول داخلی 2ROAS کنسول Webroot تشویق کردیم. ما همیشه از محیط تهدید نظارت می کنیم و همچنان اقدامات پیشگیرانه مانند این را ادامه دهید تا بهترین محافظت را برای مشتریان فراهم کنید. "

نرم افزار Sodinokibi rensomware نسبتا جدید است که در اواخر آوریل کشف شد. در آن زمان یک بازیگر تهدید با استفاده از اوراکل WebLogic صفر روز برای هک کردن شبکه های شرکت و نصب ransomware بود.

حادثه امروز موج دوم حملات عمده است که طی آن هکرها MSP ها و ابزارهای کنترل از راه دور خود را برای استفاده از ransomware در شبکه های مشتریان خود سوء استفاده کردند.

اولین حادثه در اواسط ماه فوریه اتفاق افتاد زمانی که یک گروه هکر استفاده از آسیب پذیری ها در ابزارهای معمول MSP برای استفاده از Ransomware GandCrab در ایستگاه های کاری مشتریان.

به طور تصادفی، در زمان وقوع این حادثه در Reddit، رسانه های محلی در رومانی گزارش دادند که پنج بیمارستان به وسیله ی ransomware در بوخارست، پایتخت کشور آلوده شده اند. با این حال، شواهدی وجود ندارد که دو رویداد در خارج از دوران عفونت ارتباط داشته باشند.

هشدار دولت آمریکا به کاربران مایکروسافت ویندوز

آژانس امنیتی امنیت سایبری و امنیت زیرساخت امنیت ایالات متحده (CISA) با اخطار به کاربران مایکروسافت ویندوز در ارتباط با یک آسیب پذیری امنیتی بحرانی عمومیت یافت. با انتشار هشدار "به روز رسانی در حال حاضر"، CISA به کسانی مانند مایکروسافت و آژانس امنیت ملی (NSA) در هشدارهای کاربران ویندوز از خطر آسیب پذیری BlueKeep ملحق شده است.

این آخرین اخطار و بسیاری از کسانی که بیشترین gravitas دارند بحث می کنند، بر روی پاشنه یانیب بلماس، رئیس جهانی تحقیقات امنیت سایبری در Check Point فروشنده امنیتی، به من در مصاحبه ای از SC Magazine UK در مورد مصاحبه با من گفتند: "این در حال حاضر یک مسابقه است در برابر ساعت های مجرمان اینترنتی که این آسیب پذیری را یک بمب سایبری می کند. " بالماس همچنین پیش بینی کرد که تنها چند هفته خواهد بود که مهاجمان از BlueKeep استفاده می کنند.

هشدار CISA به نظر می رسد که این را تأیید کند، اعلام کرد که "با ذینفعان خارجی هماهنگ شده است و مشخص کرده است که ویندوز 2000 برای BlueKeep آسیب پذیر است." به این ترتیب می توان اشیاء راه دور کد را در ویندوز 2000 تایید کرد، ممکن است خیلی ترسناک نباشند، این یک سیستم عامل قدیمی است، زیرا این امر به عنوان تمرین در ترس، عدم اطمینان و شک و تردید نیست. تا کنون، سوء استفاده هایی که توسعه یافته اند، حداقل کسانی که در عملیات دیده می شوند، کاری انجام ندادند تا کامپیوتر را خراب کنند. دستیابی به اجرای کد از راه دور باعث می شود که کرم BlueKeep به نظر برسد، زیرا کنترل کننده دستگاه های آلوده به مهاجم را به ارمغان می آورد.

تحقیقات قبلا نشان داده است که فقط کمتر از یک میلیون دستگاه از اینترنت در برابر پورت 3389 آبی BlueKeep آسیب پذیر هستند که توسط ویژگی Remote Desktop Remote استفاده می شود. اما این فقط نوک این کوه یخی است. این یک میلیون دروازه به طور بالقوه میلیون ها ماشین بیشتر است که در شبکه های داخلی که منجر به آن نشسته است. سوءاستفاده کرم زنی می تواند در داخل آن شبکه حرکت کند، به سرعت در حال گسترش به هر چیز و همه چیز می تواند آلوده به تکثیر و گسترش است. در اینجا قصیر واقعی است: این می تواند شامل ماشین ها در دامنه دایرکتوری Active Directory باشد، حتی اگر آسیب پذیری BlueKeep برای بهره برداری وجود نداشته باشد. دستگاهی که پروتکل دسکتاپ دسکتاپ آسیب پذیر را اجرا می کند، صرفا دروازه است، پس از آنکه پول هوشمندانه در حادثه ای قرار می گیرد که می تواند به عنوان گسترده ای به عنوان WannaCry در سال 2017 برگردد.

آژانس امنیت ملی ایالات متحده در 4 ژوئن یک هشدار از آسیب پذیری BlueKeep اخطار داد. NSA از مدیران و کاربران مایکروسافت ویندوز خواست تا اطمینان حاصل کنند که آنها در برابر تهدید رو به رشد استفاده می کنند. مایکروسافت خود را دو بار در حال حاضر هشدارهای مربوط به BlueKeep از جمله یکی که گزارش شده بود به عنوان التماس کاربران برای به روز رسانی نصب ویندوز خود را منتشر شده است.

در حال حاضر به نظر می رسد یان تورنتون ترامپ، رئیس امنیت در AmTrust بین المللی، هنگامی که به من گفت که او مظنون به NSA بود، "اطلاعات طبقه بندی شده در مورد بازیگر (ها) که ممکن است زیرساخت های حیاتی را با این سوء استفاده" هدف قرار دهد، به شدت خراب شد. توجه داشته باشید که این زیرساخت های حیاتی تا حد زیادی از خانواده های ویندوز XP و 2K3 تشکیل شده است، این بسیار حساس است. در حالی که کاربران ویندوز 8 و ویندوز 10 تحت تاثیر این آسیب پذیری قرار نگرفته است، ویندوز 2003، ویندوز ایکس پی و ویندوز ویستا همه هستند و اخبار که تأیید شده است، توجیه گه های غیرمعمول دولت ایالات متحده و آژانس های آن را در صدور این " به روزرسانی "هشدارها.

ساتنام نارانگ، مهندس ارشد پژوهشی Tenable می گوید که هشدار CISA، "یک حرکت بی سابقه ای است که در اطراف آسیب پذیری BlueKeep قرار دارد." نارانگ به عنوان یادآوری یادآوری اینکه تهدید BlueKeep به چه گونه جدی برای سازمان ها در همه جا است، افزود: "این سطح توجه مطمئنا ضروری است. نوشتن بر روی دیوار است؛ BlueKeep پتانسیل ایجاد ویرانی گسترده، شبیه به کرم WannaCry در سال 2017. سازمانها باید سیستم های آسیب پذیر را اجرا و پاکسازی کنند و یا مقابله با آن را کاهش دهند، اگر پچ کردن به راحتی قابل انجام نباشد. "

هشدار CISA به کاربران توصیه می کند تا تکه هایی را که مایکروسافت در دسترس قرار داده است نصب کند که شامل سیستم عامل هایی است که دیگر رسما پشتیبانی نمی شوند. این همچنین نشان می دهد که کاربران باید این سیستم های "پایان زندگی" را به ویندوز 10 ارتقا دهند. این متاسفانه در همه موارد امکان پذیر نخواهد بود، اما توصیه های پاتچ باقی می ماند محتاطانه است. با این حال، قبل از اینکه آنها را به یک "زندگی" نصب کنید، این تکه ها باید تست شوند تا منفی بودن تاثیر منفی بالقوه بر سیستم های مربوطه به حداقل برسد. با توجه به مشکلاتی که کاربران ویندوز در نتیجه آسیب پذیری های مایکروسافت مایکروسافت و به روزرسانی های دیررس تحمل کرده اند، نمی توانم تأکید کنم که این توصیه تست مهم است. به گفته این افراد، هر کسی که هنوز در برابر تهدید BlueKeep قرار نداشته باشد، باید به صورت فوری، که در هر صورت ممکن است، انجام شود. اگر این امکان پذیر نیست و ممکن است برخی موارد در این مورد وجود داشته باشد، پس از غیر فعال کردن خدماتی که توسط سیستم عامل مورد استفاده قرار نمی گیرد، توصیه می شود برای محدود کردن تماس با BlueKeep. به همین ترتیب، تأیید صحت شبکه در ویندوز 7، ویندوز سرور 2008 و ویندوز سرور 2008 R2 را فعال کنید تا درخواست های جلسه برای احراز هویت لازم باشد، همچنین بر علیه BlueKeep که نیاز به یک جلسه نامعتبر است، کاهش می یابد.

نتفیلیکس نوع جدیدی از Vulnerabilities را کشف کرد!

نقص انکار سرویس در راه هسته های اخیر لینوکس و FreeBSD در ارتباط با شبکه TCP می تواند توسط مهاجمان از راه دور مورد سوء استفاده قرار گیرد تا باعث ایجاد یک نگرانی هسته در سیستم های آسیب پذیر شود.

در کل، Jonathan Looney در Netflix Information Security سه آسیب پذیری لینوکس یافت که دو مورد مربوط به "حداقل اندازه بخش (MSS) و قابلیت تایید انتخاب TCP (SACK)" بود و تنها مربوط به MSS بود، که یکی از جدی ترین آنها "SACK Panic" بود یکی که می تواند سیستم های تحت تاثیر را به وحشت و راه اندازی مجدد سیستم منجر شود.

همانطور که در مورد Red Hat، مسائل مربوط به زیرسیستم پردازش TCP هسته از طریق چندین CVE ردیابی می شوند، با CVE-2019-11477 SACK Panic با شدت مهمی همراه با نمره پایه 7.5 CVSS3، CVE-2019-11478 و CVE- 2019-11479 به عنوان آسیب پذیری شدید در نظر گرفته می شود.

پچ ها در حال حاضر به عنوان دقیق در مشاوره امنیتی NFLX-2019-001 Netflix در دسترس هستند، با اقدامات کاهش نیز برای ماشین آلات در دسترس است که در آن پچ یک گزینه فوری و آسان نیست.

نقص امنیتی SACK Panic

آسیب پذیری SACK Panic (Debian، Red Hat، Ubuntu، Suse، AWS) بر روی هسته لینوکس 2.6.29 و بعد از آن تاثیر می گذارد و می تواند از طریق "ارسال توالی ساختاری از SACK ها بر روی یک اتصال TCP با مقدار کمی TCP MSS" مورد سوء استفاده قرار گیرد. که باعث سرریز عدد صحیح می شود.

برای رفع این مشکل، "پچ PATCH_net_1_4.patch را اعمال کنید. علاوه بر این، نسخه های هسته لینوکس تا و از جمله، 4.14 نیاز به پچ دوم PATCH_net_1a.patch،" مشاوره Netflix Information Security می گوید.

برای مقابله با این مشکل، کاربران و مدیر میتوانند پردازش SACK را در سیستم (با تنظیم / proc / sys / net / ipv4 / tcp_sack به 0) به طور کامل غیرفعال کنند یا مسدود کردن اتصالات با MSS کم با استفاده از فیلترهای ارائه شده توسط Netflix Security Information HERE - اندازه گیری ضریب دوم تنها زمانی موثر خواهد بود که پروب TCP غیرفعال باشد.

انکار بیشتر آسیب پذیری های سرویس

دو آسیب پذیری دیگر به تمامی نسخه های لینوکس تاثیر می گذارد، CVE-2019-11478 (dubbed SACK Slowess) که توسط یک "دنباله ای از SACK های ساخته شده که قطعه رد ارسال مجدد TCP است" قابل بهره برداری است، در حالی که CVE-2019-11479 به مهاجمین اجازه می دهد تا وزارت امور خارجه ایالات متحده با ارسال "بسته های ساخته شده با مقادیر کم MSS برای ایجاد مصرف بیش از حد منابع".

CVE-2019-5599 همپوشانی FreeBSD CVE-2019-11478 است، بر روی آن نصب FreeBSD 12 با استفاده از RACK TCP Stack تاثیر می گذارد و می توان آن را با تحویل "دنباله ای از SACK های ساخته شده که RACK ارسال نقشه را از هم جدا می کنند" مورد سوء استفاده قرار می گیرد.

مدیران و کاربران لینوکس و FreeBSD می توانند با استفاده از PATCH_net_2_4.patch و با استفاده از پچ های امنیتی PATCH_net_3_4.patch و PATCH_net_4_4.patch یک برنامه را برای اولین بار تعمیر کنند. دوره امنیت CVE-2019-5599 را می توان با استفاده از split_limit.patch و net.inet.tcp.rack.split_limit sysctl را به یک مقدار معقول برای محدود کردن اندازه جدول SACK تیک بزنید. "

به عنوان راه حل ها، هر دو CVE-2019-11478 و CVE-2019-11479 را می توان با مسدود کردن اتصالات شبکه از راه دور با یک MSS کم با فیلترهای ارائه شده از Netflix اطلاعات امنیتی در اینجا استفاده می شود - استفاده از فیلتر ها ممکن است پس از قطع ارتباط اتصالات مشروع MMS. نقص FreeBSD را می توان با رد کردن پشته RACK TCP کاهش داد.

Red Hat می گوید: "میزان تاثیر در این زمان محدود به انکار سرویس است. هیچ گونه افزایش امتیاز یا نشت اطلاعات در حال حاضر مشکوک نیست."

"سیستم های خوب و برنامه های کاربردی برنامه نویسی و پیکربندی (محدود کردن bufer نوشتن به سطح لازم، نظارت بر مصرف حافظه اتصال از طریق SO_MEMINFO و بسته شدن مخرب اتصالات ناسازگار) می تواند به محدود کردن تاثیر حملات علیه این نوع آسیب پذیری ها کمک کند." Netflix Information امنیت در مشاوره آن.

هشدار سیسکو در خصوص وجود حفره امنیتی ریموت ها

سیسکو یک اشکال شدید را در رابط کاربر مبتنی بر وب خود از نرم افزار IOS XE خود نصب کرده است. این نقص اجازه می دهد هر کس در اینترنت بی گناه به شبکه های داخلی بدون رمز عبور.

این مسئله به تازگی افشا شده، به عنوان CVE-2019-1904 ردیابی می شود، می تواند توسط یک مهاجم از راه دور با استفاده از یک تقلب درخواست جعلی (CSRF) برای سیستم های آسیب دیده مورد سوء استفاده قرار گیرد.

سیسکو IOS XE نسخه مبتنی بر لینوکس سیستم عامل اینترنت (IOS) شرکت است، استفاده می شود در روتر های شرکت های متعدد و سوئیچ های کاتالیست سیسکو. سیسکو تایید کرد که اشکال بر روی IOS، IOS XR یا انواع NX-OS تاثیر نمی گذارد.

سیسکو توضیح می دهد: آسیب پذیری ناشی از محافظت CSRF برای وب UI در یک دستگاه آسیب پذیر است. مهاجم می تواند این آسیب پذیری را با متقاعد کردن یک کاربر از رابط کاربری به دنبال یک لینک مخرب، مورد سوء استفاده قرار دهد.

در یک سناریوی حمله، یک سوءاستفاده از CSRF می تواند در داخل تبلیغات مخرب پنهان شود و خود را به تسلیحات در یک کیت بهره برداری منتقل کند. درخواست تجدید نظر در بهره برداری از این نقص این است که به مهاجم اجازه می دهد شبکه های داخلی یا مدیران را بدون استفاده از هر گونه هشدار دهنده هدف قرار دهد.

مهاجمی که با موفقیت از این نقص استفاده می کند، می تواند هر گونه اقداماتی را که می خواهند با همان امتیاز دسترسی کاربر آسیب دیده انجام دهد.

سیسکو هشدار می دهد: "اگر کاربر دارای امتیازات مدیریتی باشد، مهاجم سایبری می تواند پیکربندی را تغییر دهد، دستورات را اجرا کند یا یک دستگاه آسیب دیده را دوباره بارگذاری کند.

تنها راه پاسخگویی به این آسیب پذیری این است که به روز رسانی نرم افزار سیسکو را در دسترس قرار داده است. و این به روز رسانی فقط برای مشتریان با مجوز معتبر سیسکو در دسترس است.

اشکال توسط محققان در Red Balloon Security کشف شد، شرکت Thangrycat کشف شد که اواخر ماه می در معرض آسیب پذیری Cisco Trust Anchor (TAm) قرار گرفت که از سال 2013 به عنوان یک تراشه امنیتی اختصاصی در دسکتاپ سیسکو موجود است.

شرکت همچنین یک نقص مفقود شدن از راه دور کد جداگانه در رابط وب IOS XE را پیدا کرد.

در حالی که هیچ مشکلی برای اشکال جدید وجود ندارد، غیر فعال کردن ویژگی سرور HTTP بسته این بردار حمله و "ممکن است یک کاهش مناسب" تا زمانی که دستگاه های معلق در حال اجرا نسخه ثابت، با توجه به سیسکو.

سیسکو یادآور می شود که کد اکتیو مفهوم برای این آسیب پذیری IOS XE وجود دارد. با این حال، افزوده می شود که هنوز مشخص نیست که کد سوء استفاده در دسترس عموم است.

۱۲ روند برتر امنیت فضای ابری در آینده

محاسبات ابر همچنان برای تبدیل سازمانها به استفاده، ذخیره و به اشتراک گذاری داده ها، برنامه ها و حجم کار است. همچنین یک سری از تهدیدات امنیتی و چالش های امنیت سایبری جدید را معرفی کرده است. با توجه به اطلاعات زیاد به ابر و به ویژه سرویس ابرهای عمومی، این منابع اهداف طبیعی برای بازیگران بد می شوند.

جی هییسر، معاون رئیس جمهور و مدیر امنیت ابر در Gartner، Inc. می گوید: "میزان استفاده از ابرهای عمومی به سرعت در حال افزایش است، به طوری که به ناچار منجر به یک جرم وسیعی از موارد حساس می شود که به طور بالقوه در معرض خطر هستند."

برخلاف آنچه بسیاری فکر می کنند، مسئولیت اصلی محافظت از اطلاعات شرکت ها در ابر نه با ارائه دهنده خدمات بلکه با مشتری ابر است. هیزر می گوید: "ما در یک دوره انتقال امنیت ابر هستیم که در آن تمرکز از ارائه کننده به مشتری تغییر می کند." "شرکت ها در حال یادگیری هستند که مقدار زیادی وقت صرف شده است که تلاش می کند دریابید که آیا ارائه دهنده سرویس ابر خاص" امن "است یا خیر، تقریبا بدون بازپرداخت است."

Cloud Security Alliance (CSA) به منظور فراهم آوردن سازمان ها با درک دقیق نگرانی های امنیتی ابر، به طوری که آنها می توانند تصمیمات تحصیلی در مورد استراتژی های تصویب ابر را اتخاذ کنند، آخرین نسخه از 12 تهدید برتر خیانتکار خود را به Cloud Computing Plus: Industry گزارش های بینش

این گزارش نشان دهنده توافق کنونی میان کارشناسان امنیتی در انجمن CSA در مورد مهمترین مسائل امنیتی در ابر است. CSA می گوید، در حالی که نگرانی های امنیتی زیادی در ابر وجود دارد، این لیست به 12 مورد خاص مربوط به طبیعت به اشتراک گذاشته شده و تحت تقاضای رایانه های ابر می پردازد. یک گزارش پیگیری، تهدیدات برتر به ابر رایانه: غواص عمیق، مطالعات موردی را برای بسیاری از 12 تهدید بررسی می کند.

برای شناسایی نگرانی های بالا، CSA یک نظرسنجی از کارشناسان صنعت انجام داد تا نظرات حرفه ای را درمورد مسائل امنیتی بزرگ در محاسبات ابر محاسبه کند. در اینجا مسائل مهم امنیتی ابر (رتبه بندی شده به ترتیب شدت در هر نتایج بررسی):

1. نقض اطلاعات

CSA می گوید نقض اطلاعات ممکن است هدف اصلی حمله هدفمند یا به سادگی نتیجه خطاهای انسانی، آسیب پذیری های برنامه یا اقدامات امنیتی ضعیف باشد. ممکن است شامل هر نوع اطلاعاتی باشد که برای انتشار عمومی طراحی نشده است، از جمله اطلاعات شخصی بهداشت، اطلاعات مالی، اطلاعات شخصی شناسایی، اسرار تجاری و مالکیت معنوی. داده های مبتنی بر ابر سازمان ممکن است به دلایل مختلف به احزاب مختلف احتیاج داشته باشد. خطر تخریب داده ها برای محاسبات ابری منحصر به فرد نیست، اما به طور مداوم به عنوان یک نگرانی عمده برای مشتریان ابر تعلق دارد.

گزارش عمیق غواصی LinkedIn رمز عبور هک 2012 را به عنوان مثال اصلی از نقض اشاره می کند. مهاجم توانست 167 میلیون کلمه عبور را سرقت کند چرا که LinkedIn پایگاه داده رمز عبور را نمیدید. بر اساس این گزارش، کلاهبرداری از این نقض، این است که سازمانها باید همیشه پایگاههای حاوی اطلاعات کاربری را شامل شوند و تجزیه و تحلیل های مربوط به ورود و خروج مناسب را انجام دهند.

2. هویت، اعتبار و مدیریت دسترسی ناکافی

بازیگران بد به عنوان کاربران مشروع، اپراتورها و یا توسعه دهندگان می توانند داده ها را بخوانند، اصلاح و حذف کنند؛ کنترل هواپیما و توابع مدیریت؛ CSA می گوید: "در حال انتقال اطلاعات و یا انتشار نرم افزارهای مخرب که به نظر می رسد از یک منبع قانونی منشا گرفته است." در نتیجه، هویت، اعتبارنامه یا مدیریت کلید ناکافی می تواند دسترسی غیرمجاز به اطلاعات و آسیب های بالقوه فاجعه آمیز به سازمان ها یا کاربران نهایی را فراهم کند.

براساس گزارش Deep Nive، یک نمونه از مدیریت دسترسی به مدیریت دسترسی کافی است، کشف غیرقانونی نصب پیش فرض پایگاه داده MongoDB. این پیاده سازی به طور پیشفرض یک پورت باز است که اجازه دسترسی بدون احراز هویت را داد. این گزارش توصیه می کند که کنترل های پیشگیرانه در همه ابعاد وجود داشته باشد و سازمان ها محیط های مدیریت شده، مشترک و عمومی را برای آسیب پذیری ها اسکن کنند.

3. رابط های ناامن و رابط برنامه نویسی برنامه (APIs)

ارائه دهندگان ابر مجموعه ای از رابط کاربر نرم افزار (UI) یا API را که مشتریان برای مدیریت و ارتباط با سرویس های ابر استفاده می کنند قرار می دهند. CSA می گوید: تهیه، مدیریت و نظارت با این رابط ها انجام می شود و امنیت و دسترسی به خدمات ابر کلی به امنیت API ها بستگی دارد. آنها باید برای محافظت در برابر اقدامات تصادفی و مخرب برای دور زدن سیاست طراحی شوند.

4. آسیب پذیری سیستم

آسیب پذیری های سیستم، اشکالات قابل بهره برداری در برنامه هایی هستند که مهاجمان می توانند برای نفوذ به سیستم برای سرقت اطلاعات، کنترل سیستم و یا خراب کردن عملیات سرویس استفاده کنند. CSA می گوید آسیب پذیری ها درون اجزای سیستم عامل امنیت همه خدمات و داده ها را در معرض خطر قابل توجهی قرار می دهند. با ظهور چندین اجاره در ابر، سیستم های مختلف سازمان ها به یکدیگر نزدیک می شوند و دسترسی به حافظه و منابع مشترک ایجاد می شود و سطح حمله جدیدی ایجاد می شود.

کوئلز

یک نمونه از گزارش عمیق غواصی، آسیب پذیری Cloudbleed است، در حالی که یک بازیگر مخرب پیشین قادر به سرقت کلید های API، رمزهای عبور و سایر اعتبارات از ارائه دهنده خدمات امنیتی Cloudflare با استفاده از آسیب پذیری در نرم افزار خود بود. این گزارش توصیه می کند که تمام داده های حساس باید رمزگذاری شوند و داده ها بر اساس سطح حساسیت تقسیم شوند.

13. تهدید ابدی پاداش: Spectre and Meltdown

در ژانویه 2018، محققان ویژگی های طراحی را که در بیشتر میکروپروسسورهای مدرن معمول است، می توانند محتوای، از جمله داده های رمزگذاری شده را مجاز به خواندن از حافظه با استفاده از کد جاوا اسکریپت مخرب، نشان دهند. دو تغییر در این موضوع، Meltdown و Spectre، بر همه دستگاه ها از گوشی های هوشمند به سرور تاثیر می گذارد. این به خاطر دومی است که ما آنها را به این لیست تهدیدات ابر اضافه می کنیم، و این باعث می شود که ده ها نانوایی کثیف باشد.

هر دو Spectre and Meltdown اجازه می دهند که حملات جانبی را به هم بزنند زیرا انزوا بین برنامه ها را مختل می کند. یک مهاجم که قادر به دسترسی به یک سیستم از طریق ورود غیر مجاز است، می تواند اطلاعات را از هسته خواند یا مهاجمان می توانند هسته میزبان را بخوانند، اگر آنها یک کاربر ریشه در یک ماشین مجازی مهمان (VM) باشند.

این یک مسئله بزرگ برای ارائه دهندگان سرویس ابری است. در حالیکه patches در حال تبدیل شدن به در دسترس هستند، تنها حمله حمله را سخت تر می کنند. تکه ها همچنین ممکن است عملکرد را کاهش دهند، بنابراین برخی از شرکت ها ممکن است تصمیم به ترک سیستم های خود را از دست بدهند. CERT Advisory توصیه می کند جایگزینی تمام پردازنده های آسیب دیده را سخت کند تا زمانی که جایگزینی هنوز وجود نداشته باشد.

تا کنون، هیچ سوء استفاده شناخته شده ای وجود ندارد که از Meltdown یا Spectre استفاده کرده باشند، اما متخصصان معتقدند که احتمالا و نسبتا به زودی. بهترین توصیه برای ارائه دهندگان ابر برای محافظت در برابر آنها این است که مطمئن شوید همه آخرین تکه ها در محل قرار دارند. مشتریان باید اطلاعاتی در مورد نحوه ارائه دهندگان ابرشان به Meltdown و Spectre پاسخ دهند.