پیچیدگی بلوتوث ها موجب ریسک های امنیتی می شود

BLUETOOTH چسب نامرئی است که دستگاه را با یکدیگر متصل می کند. به این معنی است که وقتی که اشکالات وجود دارد، همه چیز از دستگاه های اپل و اندروید، اسکوتر ها و حتی کلید های احراز هویت فیزیکی مورد استفاده برای محافظت از حساب های دیگر تاثیر می گذارد. میزان تقریبی می تواند خیره کننده باشد: نقص BlueBorne، اولین بار در سپتامبر 2017 افشا شد، 5 میلیارد کامپیوتر، تلفن و واحد IoT را تحت تاثیر قرار داد.

همانطور که با هر یک از محاسبات استاندارد، احتمال وجود آسیب پذیری در کد واقعی پروتکل بلوتوث خود و یا در بلوتوث کم انرژی سبد سبک خود را. اما محققان امنیتی می گویند دلیل اصلی بلوتوث این است که بیشتر با مقیاس استاندارد از استاندارد نوشته شده است، توسعه آن توسط کنسرسیوم شناخته شده به عنوان گروه بلغور ویژه است. بلوتوث گزینه های زیادی برای استقرار ارائه می دهد که توسعه دهندگان لزوما به طور کامل از گزینه های در دسترس موجود نمی باشند، که می تواند پیاده سازی های نامناسب را به همراه داشته باشد.

بن سیری، یکی از محققانی که BlueBorne و معاون رئیس تحقیق در شرکت امنیتی Armis را در اختیار داشت، می گوید: "یکی از دلایل اصلی بلوتوث در بسیاری موارد است که این پروتکل پیچیده است. "هنگامی که شما به استاندارد بلوتوث نگاه می کنید آن مانند 3000 صفحه طول می کشد - اگر شما آن را با سایر پروتکل های بی سیم مانند Wi-Fi مقایسه کنید، برای مثال، بلوتوث مانند 10 برابر طول می کشد. Bluetooth SIG سعی کرد تا چیزی بسیار فراگیر و متناسب با بسیاری از کاربران نیازهای مختلف، اما پیچیدگی این بدان معنی است که اگر شما سازنده هستید، بدانید که چطور باید از آن استفاده کنید. "

طولانی در دندان

بلوتوث، همانطور که شما احتمالا از اسپیکر قابل حمل، صفحه کلید بی سیم و مسواک خود می دانید، به دو دستگاه پروکسیما اجازه می دهد تا با یکدیگر به یکدیگر متصل شوند. جفت شدن می تواند هر دو طول هر دو دستگاه در حال استفاده است، به عنوان با ردیاب تناسب اندام و گوشی های هوشمند. یا می تواند موقتی باشد، راه تنظیم یک دستگاه یا تأیید هویت کاربر. بلوتوث کم انرژی یک نسخه متراکم از پروتکل است، برای دستگاه هایی که محاسبات محدود و منابع قدرت دارند.

اساسا، هر دو بلوتوث و BLE یک کانال را برای دو دستگاه برای ارتباط برقرار می کنند - یک ترفند بسیار مفید، اما یکی از آن ها درب را برای تعاملات خطرناک باز می کند. بدون بررسی قوی تأیید رمزنگاری، اشخاص ثالث مخرب می توانند از بلوتوث و BLE برای اتصال به یک دستگاه که نباید به آنها دسترسی داشته باشند یا اهداف را فریب دهند تا فکر کنند که دستگاه سرکش خود یک اعتماد است.

سید رفیع حسین، یک کارشناس امنیت در دانشگاه پوردو می گوید: "این استاندارد اغلب یک موضوع را به صورت پراکنده توصیف می کند." "و اغلب تعاملات پیچیده پروتکل را به تولید کنندگان می زند، که یکی دیگر از دلایل آسیب پذیری است."

کن Kolderup، معاون رئیس جمهور بازاریابی در SIG بلوتوث، می گوید که این گروه بسیار از چالش و اهمیت آموزش توسعه دهندگان برای گرفتن دسته در محدوده وسیع بلوتوث آگاه است. او می گوید اسناد و مدارک بسیار گسترده است، زیرا پروتکل نه تنها لایه فرکانس رادیویی را برای بلوتوث تعریف می کند، بلکه همچنین دارای اجزاء در هر لایه تکنولوژی، از سخت افزار تا از طریق برنامه ها، برای تضمین قابلیت همکاری بین دستگاه های بلوتوث است.

Kolderup می گوید: "بلوتوث فقط جریان صوتی بی سیم نیست، انتقال اطلاعات کم قدرت، شبکه مش است؛ این محدوده وسیع تر است." "اما امنیت به وضوح بسیار مهم است. این استاندارد حالتهای عملیاتی را برای همه چیز فراهم می کند، از جمله هیچگونه امنیت تا 128 AES رمزگذاری و یا حالت" فقط اتصالات ایمن ". ما آن را به همان اندازه که جامعه درخواست کرده است قرار داده ایم."

مثال اخیر، هر چند، کمک می کند تا نشان دهد که چگونه روند می تواند شکستن است. در ماه فوریه، محققان شرکت امنیتی McAfee مشکلات بلوتوث کم انرژی انرژی را در یک قفل هوشمند شناخته شده به نام BoxLock گزارش کردند. این دستگاه برای استفاده از یک پیکربندی کم انرژی بلوتوث به نام "Just Works Mode" طراحی شده است که به دستگاه اجازه می دهد بدون هیچ گونه کلمه عبور یا سایر رمزهای عبور رمزگذاری شده جفت شود. در نتیجه، محققان مک آفی می توانند به هر قفل متصل شوند، دستورالعمل BLE دستگاه را تجزیه و تحلیل کنند، و مشخص کنند که کدام دستور را باز کرد. علاوه بر این، BoxLock این دستور را در حالت خواندن / نوشتن پیکربندی کرده است، پس هنگامی که مهاجمان می دانستند چه هدف، می توانند باز شود. BoxLock تا به حال از آسیب پذیری های پچ شده است.

BoxLock به دو مسئله بلوتوث رایج رفت. این یک نسخه نسبتا ناامن از آن برای یک دستگاه - یک قفل - که خواستار امنیت شدید شده است، نصب کرد. با ترویج ترافیک بلوتوث در حال باز کردن، هکرها به راحتی زندگی می کنند.

استیو Povolny، رئیس تحقیقات تهدید پیشرفته در McAfee می گوید: "مشکل این است که BoxLock از اجرای بی بدیل BLE استفاده کرد. "من نمی توانم بگویم که این یک پروتکل ناامن به هیچ وجه است. بخشی از این واقعیت است که بلوتوث به عنوان جامعۀ مورد بررسی جامعه امنیت قرار نگرفته است و برای فروشندگان و تولیدکنندگان چه نقصی دارد هستند."

بطور قطع بلوتوث به درجه ای مورد بررسی قرار گرفته است، اما محققان می گویند که کمبود شدید تحقیق از لحاظ تاریخی دوباره حاصل می شود از این که چگونه این استاندارد حتی استاندارد را می خواند و خیلی کمتر درک می کند که چگونه کار می کند و تمام برنامه های کاربردی ممکن است. در کنار این، این نوع امنیت را از طریق ناگهانی ایجاد کرده است، در حالی که مهاجمان همچنین به راحتی به حملات علیه پروتکل ها و سیستم های دیگر، به جای زمان صرف شده برای چگونگی برخورد با بلوتوث، آسان تر شده اند.

متیو گرین، یک رمزگشاینده در دانشگاه جان هاپکینز، می گوید: "من نمی توانستم یک نظر متداول درباره امنیت واقعی بلوتوث بدهم، و من به شدت متاسفم که طراحان پروتکل نیز نمی توانند باشند." "به همین دلیل است که تمام جزئیات در صدها صفحه از مشخصات قابل خواندن نگهداری می شوند. بسیاری از تولید کنندگان دستگاه با طراحی امنیت خود به عنوان یک نوع لایه" اضافه کردن "که از بلوتوث استفاده می کنند، طراحی شده است. این احتمالا عاقلانه است آنچه که پروتکل خود را از آن غافل کرده است. "

اما در سال های اخیر، توقف بلوتوث شروع به خراب شدن کرده است. پس از آسیب پذیری های بالا مانند BlueBorne، محققان به طور فزاینده ای بر افزایش آگاهی درباره اجرای بلوتوث و مسائل پیکربندی تمرکز می کنند. حمله کنندگان شروع به در نظر گرفتن بلوتوث به عنوان یک گزینه واقعی برای راه اندازی حملات. به عنوان مثال، در روز دوشنبه، شرکت امنیتی Kaspersky Lab یافته های مربوط به یک بازیگر تهدید کننده کره ای را با پیوندهای احتمالی دولت منتشر کرد که یک اسکنر بلوتوث را در نرم افزارهای مخرب ویندوز ساخته است، به نظر می رسد که برای دستگاه های بلوتوث بالقوه مورد نظر اسکن کند.

قفل کردن آن پایین

SIG بلوتوث می گوید که در نظر دارد نسل بعدی منابع برای توسعه دهندگان را شامل می شود، از جمله امکان ایجاد یک ابزار حسابرسی امنیتی، کدنویسی می تواند برای بررسی پیاده سازی بلوتوث خود استفاده کند. Kolderup SIG می گوید که کنسرسیوم تشخیص دقیق مشخصات و اطلاعات را در مورد آسیب پذیری بالقوه و نحوه بهبود امنیت کلی آن را تشویق می کند. SIG همچنین تلاش می کند تا کار بهتر را به منظور انتشار منابع موجود در پیاده سازی امن بلوتوث مانند موسسه ملی استاندارد ها و راهنمای فناوری انجام دهد.

او می گوید: "بیشتر و بیشتر دستگاه ها در حال اتصال به یکدیگر هستند و ناگهان مجموعه ای از چالش های دیگر را که شما باید از زمانی که محصول ایجاد می کنید آگاه کنید." "ما افرادی را تشویق می کنیم که از حداکثر میزان امنیت سایبری مورد نیاز شما پشتیبانی کنند. ما از شما تشویق می کنیم که آن را قفل کنید."

محققان بر این باورند که خطرات امنیتی بلوتوث و پاداش بالقوه برای هکرهای مخرب تنها در حال افزایش است، زیرا بلوتوث به طور گسترده ای در تنظیمات مصرف کننده مانند دستگاه های خانگی هوشمند و پوشیدنی استفاده می شود که بیشتر توسط شرکت ها و دولت ها برای بزرگ شدن استقرار مقیاس در دفاتر شرکت، بیمارستان ها و محیط های کنترل صنعتی.

سروی Armis می گوید: "بلوتوث برای کلید های هوشمند، برای رمزنگاری حساس و احراز هویت استفاده می شود." "و همچنین فقط از دستگاه های متصل پزشکی به زیرساخت های بی سیم، همه چیز در محیط های کسب و کار جایی است که در آن راه است و نظارت نمی شود. این امنیت نیست."

محققان می گویند که ابزارهای بیشتر و منابع آموزشی از سوی SIG بلوتوث، راه بسیار خوبی برای به دست آوردن قابلیت کنترل بیشتر در بلوتوث است. در ضمن، هر زمان که از بلوتوث استفاده نمی کنید؟ فقط آن را خاموش کنید

بزرگ ترین ‌نقص امنیتی در سه سال گذشته چه تاثیری روی شرکت ها بزرگ داشته است؟

بر اساس گزارش اخیر Bitglass، در سال های اخیر نقض امنیتی بزرگی در سال های اخیر وجود داشته است، و این نقض ها در طول راه هزینه های شرکت های میلیاردها دلار را پرداخت کرده است.

Bitglass شرکت امنیتی ابر گزارشی را درباره بزرگترین نقض های امنیتی در سه سال اخیر منتشر کرد و تصادفی که شرکت ها را تحت تأثیر قرار داد. این گزارش خاطرنشان می سازد که بزرگترین نقض "ناشی از حمله سایبری خارجی است که فیشینگ، نرم افزارهای مخرب، آسیب پذیری های فنی و موارد دیگر را به خطر می اندازد."

غفلت کارکنان و تهدیدات داخلی به عنوان یکی از دلایل اصلی نقض قوانین به طور کلی ذکر شده است، اما نقض بزرگی که بر بزرگترین شرکت ها (و پایگاه های مشتریان عظیم آنها) تاثیر می گذارد از منابع خارجی است، که نشان می دهد شرکت های بزرگ ممکن است نیاز به تمرکز تلاش های خود را در مبارزه با شکارچیان به جای نگرانی در مورد کارکنان ناراضی یا غیرمتخصص.

ماریوت

در سال 2018، ماریوت در شعبهی «استاروود» در معرض خطر امنیتی قرار گرفت که 387 میلیون پرونده مهمان را شامل نام، تاریخ تولد، جنسیت، آدرس و شماره گذرنامه نشان داد. ماریوت اعلام کرد که مطمئن نیست که نقض این حادثه رخ داده است یا خیر، و تا سال 2014 ممکن است شروع شود.

فیس بوک

نقص امنیتی گسترده فیس بوک به خوبی مستند شده است. این گزارش گفت: ریشه نقض قانون سال 2018 کد بدی است. دو اشکال در ابزار حفظ حریم خصوصی یافت شد و یکی از نرم افزار های آپلود فیس بوک، سرقت نام های کاربری، جنسیت، آدرس های ایمیل، چک های ثبت نام و وضعیت ارتباط را به دنبال داشت.

Chegg

شرکت فناوری آموزش و پرورش چگگ پایگاه داده ای در سال 2018 داشت که اجازه مهاجمان را به سرقت میلیون ها نفر از پرونده های مشتری که شامل اسامی، آدرس های ایمیل، آدرس های حمل و نقل، نام های کاربری و رمزهای عبور بود. گزارش شده است که این نقض شده توسط شکسته شدن الگوریتم رمزنگاری پایگاه داده Chegg ایجاد شده است.

Equifax

به راحتی یکی از ناراحت کننده ترین نقض در چند سال گذشته، نقض Equifax منجر به سرقت از شماره های امنیتی اجتماعی مشتری، شماره کارت اعتباری، نام، تاریخ تولد، و آدرس. حتی بدتر از آن، برای Equifax دو ماه طول کشید تا نقص را از دست داد، که ناشی از نقص در نرم افزار منبع باز شرکت بود.

دان و برادستریت

شرکت تحلیل داده Data and Bradstreet در سال 2017 شکسته شد و نام مشتریان، آدرسهای ایمیل شخصی و تجاری، آدرسهای خانه، اسناد و توابع کاری و سایر اطلاعات را در بر داشت. بدتر این است که این نقص از یک پایگاه داده به دست آمده است. Dun and Bradstreet هنگامی که یک شرکت دیگر را خریداری کرد به ارث رسیده است، به عنوان هشداری برای شرکت هایی که اطلاعات را از منابع خارجی اضافه می کنند، حتی اگر احتمالا قابل اعتماد باشند، به ارث رسیده است.

هزینه یک نقص عظیم

نقض این مقیاس اثرات گسترده ای بر اطلاعات مشتریان و خط مشی قربانیان این شرکت دارد. این گزارش گفت:

میانگین تعداد مشتریانی که تحت هر تخلف قرار داشتند 257 میلیون نفر بود.

متوسط ​​هزینه شرکت ها (در هزینه های حقوقی، مجازات، هزینه های تعمیرات و غیره) 347 میلیون دلار بوده است.

میانگین افت قیمت سهام شرکت های تحت تاثیر قرار 7.5٪ بوده است، که معادل با افت بازار سرمایه 5.4 میلیارد دلار است.

به طور متوسط ​​قربانیان قربانی به 46 روز نیاز داشتند تا به ارزش بازار قبل از شکست خود برسند.

این شماره ها به دلیل عدم اعتماد مشتریان به کسب و کارهایی که آنها حامی، سرقت هویت و تقلب به طور بالقوه توسط مشتریانی که داده های آنها دزدیده شده است، و یا انواع دیگر حملات رنج می برد.

چندین شرکت دیگر که در این گزارش ذکر شده اند وجود دارد و هر یک از نقص های آن یک ابزار آموزشی برای متخصصان امنیت سازمانی است. این که آیا نقص های امنیتی داخلی یا خارجی، یک تهدید دائمی برای کسب و کارهای بزرگ و کوچک است. ممکن است هزینه اضافی برای بهبود امنیت هزینه داشته باشد، اما این یک جزء ضروری است که در دنیای مدرن مورد توجه قرار گیرد.

WhatsApp به دولت اجازه می دهد نرم افزارهای جاسوسی را روی گوشی کاربران نصب کند

WhatsApp فقط یک آسیب پذیری را مرتکب شده است که به بازیگران بدخواه اجازه می دهد تا از نرم افزارهای جاسوسی بر روی تلفن های تحت تاثیر گذر از راه دور نصب کنند، و تعداد گزارش های ناخوشایندی نیز با بسته بندی snooping تجاری که معمولا به کشورهای مؤثر فروخته می شود.

این آسیب پذیری (که در اینجا ثبت شده) توسط WhatsApp متعلق به فیس بوک در اوایل ماه مه کشف شد، این شرکت به TechCrunch تایید کرد. ظاهرا اشکالی در ویژگی تماس صوتی برنامه وجود دارد که اجازه می دهد تماس گیرنده اجازه نصب نرم افزارهای جاسوسی بر روی دستگاه مورد نظر را بدهد، چه جواب داده شد یا خیر.

نرم افزارهای جاسوسی که به دلیل نصب آنها شناسایی شده بودند، Pegasus Group NSO Group مبتنی بر اسرائیل بود که معمولا (به طور ظاهرا) مجوز دولتها برای اهداف تحقیقات و دسترسی به جنبه های مختلف دستگاه های خود را دارند.

این، همانطور که می توانید تصور کنید، یک سوراخ امنیتی بسیار شدید است و پنجره ای که طی آن باز بود، یا اینکه چند نفر از آن تحت تاثیر قرار گرفته اند، دشوار است. بدون دانستن آنچه که استثمار بود و چه WhatsApp اطلاعات در مورد نوع فعالیت نگه می دارد، ما فقط می توانیم حدس بزنیم.

این شرکت اعلام کرده است که شمار اندکی از کاربران مورد هدف قرار گرفته است، زیرا ممکن است برای اعزام غیرقانونی باشد، محدود کردن آن به بازیگران پیشرفته و بسیار متعهد.

در صورت وجود هشدار به این موضوع، شرکت اعلام کرد که زمان لازم برای تغییرات لازم در زیرساخت آن کمتر از 10 روز طول می کشد که حمله را غیرقابل استفاده می کند. پس از آن یک بروزرسانی به مشتری منتقل شد که بیشتر در برابر سوء استفاده محافظت می شد.

شرکت WhatsApp در بیانیه ای اعلام کرد: "WhatsApp مردم را ترغیب می کند که به آخرین نسخه برنامه ما ارتقاء دهند و همچنین سیستم عامل تلفن همراه خود را تا تاریخ حفظ کنند تا از سوء استفاده های احتمالی هدفمند طراحی شده برای سازش با اطلاعات ذخیره شده در دستگاه های تلفن همراه محافظت شود."

بنابراین در مورد NSO گروه چیست؟ آیا این حمله نیز به کارشان می انجامد؟ این شرکت به Financial Times گفت که اولین حمله را گزارش کرد و این موضوع را مورد بررسی قرار داد. اما اشاره کرد که مراقب باشید که خود را با برنامه های کاربردی واقعی نرم افزار خود متصل نکنید - آن را به مشتریان خود و بررسی سوء استفاده می پردازد، اما این هیچ ارتباطی با نحوه استفاده از آن یا علیه آنها ندارد.

WhatsApp NSO را در سخنان خود نام نهاد، اما سوء ظن هایش به نظر روشن است:

"این حمله سایبری دارای همه نشانه های یک شرکت خصوصی شناخته شده برای کار با دولت برای ارائه نرم افزارهای جاسوسی است که به طور رسمی وظایف سیستم عامل های تلفن همراه را تحمیل می کند."

به طور طبیعی زمانی که یک برنامه متمرکز بر امنیت مانند WhatsApp می بیند که یک شرکت خصوصی، به احتمال زیاد، به طور مخفیانه سوء استفاده شناخته شده و خطرناک از پروتکل های آن را به فروش می رساند، مقدار خاصی از دشمنی وجود دارد. اما این همه بخشی از بازی 0 روزه است، مسابقه تسلیحاتی برای محافظت در برابر آخرین اقدامات امنیتی و یا نقض آن. WhatsApp به وزارت عدلیه و "تعدادی از سازمان های حقوق بشر" در مورد این موضوع اطلاع داد.

شما باید، همانطور که WhatsApp می گوید، همیشه برنامه های خود را تا تاریخ برای شرایط مانند این نگه دارید، اگر چه در این مورد مشکل می توان در backend ثابت قبل از اینکه مشتریان می تواند لایحه.

دو سال بعد از WannaCry همچنان میلیون ها کامپیوتر در معرض حمله سایبری هستند

یک رانستور قدرتمند شروع به پخش در سراسر جهان کرد.

WannaCry گسترش مانند آتش سوزی، رمزگذاری صدها هزار کامپیوتر در بیش از 150 کشور در عرض چند ساعت. این اولین بار بود که ransomware، یک نرم افزار مخرب که فایل های کاربر را رمزگذاری می کند و خواستار استفاده از رمزنگاری مجدد رمز عبور می باشد، برای باز کردن قفل آنها، در سراسر جهان به نظر می رسد که به نظر می رسد یک حمله سایبری هماهنگ است.

بیمارستان ها در سراسر U.K. اعلام "یک حادثه عمده" پس از آن که توسط نرم افزارهای مخرب آفلاین به ضرب گلوله کشته شد. سیستم های دولتی، شبکه های راه آهن و شرکت های خصوصی نیز تحت تاثیر قرار گرفتند.

محققان امنیتی به سرعت متوجه شدند که نرم افزارهای مخرب مانند کرم رایانه ای، در سراسر رایانه و در سراسر شبکه، با استفاده از پروتکل SMB ویندوز، پخش می شوند. به زودی به یک دسته از ابزارهای دسته بندی شده دسته بندی شده طبقه بندی شده توسط آژانس امنیت ملی که هفته های پیش از آن به سرقت رفته بودند و به صورت آنلاین برای هر کسی که مورد استفاده قرار می گرفت، کاهش یافت.

کوین بومونت، یک محقق امنیتی مبتنی بر U.K. در آن زمان، "واقعی است." "گیتس می خواهد به سبک طرفداران بزرگ ضربه بزند."

یک گروه هکر ناشناخته - که بعدا معتقد بود که برای کره شمالی کار می کند - این دسته از آگهی های NSA را منتشر کرده و حمله های خود را آغاز کرده اند - احتمالا نمی دانند که تا چه حد گسترش می یابد. هکرها از Backdoor NSA، DoublePulsar استفاده کردند تا یک درپوش پایدار که برای تحویل Ransomware WannaCry استفاده شد، ایجاد کند. با استفاده از EternalBlue سوء استفاده، ransomware به هر کامپیوتر دیگری که مجبور نیست در شبکه پخش شود.

یک سیستم آسیب پذیر و یک سیستم تحت پوشش اینترنت، به اندازه کافی برای ویران کردن کافی بود.

مایکروسافت، در حال حاضر از سرقت ابزارهای هک برای سیستم عامل های خود استفاده می کند، تکه هایی را منتشر کرده است. اما مصرف کنندگان و شرکت ها به طور آهسته حرکت کردند تا سیستم خود را پاکسازی کنند.

در عرض چند ساعت، ransomware میلیاردها دلار به خسارات وارد شده است. کیف پول Bitcoin در ارتباط با ransomware توسط قربانیان برای پر کردن فایل های خود را پر می کنند - اغلب از بیهوده.

مارکوس هاچینز، یک مهندس معکوس و محقق امنیتی، در تعطیلات زمانی که حمله شد، در تعطیلات بود. او توییتی کرد: "من یک هفته هجوم آوردم تا کاری را انجام دهم." خلاص شدن از تعطیلات خود را کوتاه می کند، او به کامپیوترش می آید با استفاده از داده ها از سیستم ردیابی بدافزار، وی متوجه شد که چه چیزی کلید WannaCry را کشته است - یک نام دامنه که در کد قرار دارد، که در هنگام ثبت نام، بلافاصله تعداد عفونت ها را به توقف متوقف کرد. هاچینز، که در ماه گذشته مجرم شناخته شده به جنایات کامپیوتری نامشخص اشاره کرد، یک قهرمان برای متوقف کردن گسترش این حمله مورد ستایش قرار گرفت. بسیاری از آنها برای تسلیم شدن، اگر نه عفو کامل ریاست جمهوری برای تلاش های او، خواستار احترام بوده اند.

اعتماد به سرویس های اطلاعاتی یک شبه سقوط کرد. قانونگذاران خواستار دانستن این موضوع بود که NSA قصد دارد تا از طوفان آسیب ایجاد کند. همچنین بحث داغی در مورد اینکه چگونه آسیب پذیری های دولتی را به عنوان سلاح های تهاجمی برای انجام نظارت یا جاسوسی استفاده می کنند، آغاز کرد - یا زمانی که باید آنها را به فروشندگان شناسایی کنند تا آنها را ثابت کند.

یک ماه بعد، جهان خود را برای یک دور دوم از حملات سایبری در آنچه که احساس می شود به زودی تبدیل به عادی است.

NotPetya، یک ransomware دیگری که محققان نیز یک کشتن کلید را کشف کردند، از همان سوء استفاده از DoublePulsar و EternalBlue استفاده می کردند تا غول های حمل و نقل، سوپرمارکت ها و آژانس های تبلیغاتی را که از حملات رد می شدند، از بین ببرد.

دو سال بعد، تهدید ناشی از ابزارهای ناخواسته NSA همچنان نگران کننده است.

با توجه به آخرین اطلاعات، تا حدود 1.7 میلیون نقطه پایانی متصل به اینترنت هنوز به سوء استفاده آسیب پذیرند. داده هایی که توسط Shodan، یک موتور جستجو برای پایگاه داده ها و دستگاه های موجود در معرض نمایش داده می شود، رقم را با علامت "میلیون" نشان می دهد - با بیشتر دستگاه های آسیب پذیر در ایالات متحده اما فقط برای دستگاه های مستقلی متصل به اینترنت حساب می شود و نه دستگاه های بالقوه میلیون ها دستگاه دیگر به آن سرورهای آلوده. تعداد دستگاه های آسیب پذیر احتمالا به طور قابل توجهی بالاتر است.

WannaCry همچنان گسترش می یابد و گاهی اوقات اهداف آن را آلوده می کند. Beaumont در یک صدای جیر جیر گفت: ransomware عمدتا به معنای عصب، عدم توانایی کشیدن و شروع به رمزگذاری داده ها است، به دلایلی که رمز و راز باقی مانده است.

اما ابزارهای NSA در معرض خطر، که باقی می مانند و قادر به آلوده کردن رایانه های آسیب پذیر هستند، همچنان برای تحویل انواع نرم افزارهای مخرب استفاده می شوند و قربانیان جدید همچنان ظاهر می شوند.

فقط چند هفته پیش از آنکه شهر آتلانتا توسط ransomware مورد حمله قرار گرفت، جیک ویلیامز، متخصص امنیت سایبری، متوجه شد که شبکه های آن توسط ابزار NSA آلوده شده اند. به تازگی، ابزار NSA برای بازدیدهای از شبکه های گسترده ای از پردازش قدرت، به شبکه های مخرب با کدهای معدن کریپتوکورنال رجوع کرده است. دیگران از این سوء استفاده ها به صورت مخفیانه هزاران کامپیوتر را در اختیار دارند تا پهنای باند خود را برای راه اندازی حملات انکار سرویس های توزیع شده با استفاده از سیستم های دیگر با مقدار زیادی ترافیک اینترنتی استفاده کنند.

WannaCry باعث وحشت شد. سیستم ها خاموش شدند، داده ها از بین رفته و پول باید صرف شود. این یک پیغام بیداری بود که جامعه برای بهبود امنیت سایبری ضروری بود.

حملات سایبری به ایالات متحده همچنان ادامه دارد

نیویورک (سی ان ان)- حملات هدفمند به نهاده‌ای دولتی محلی - - شهرها، پاسگاه‌های پلیس و مدارس - - در حال افزایش هستند، و بسیاری از افراد را در تلاش برای رها کردن خود و احیای سیستم‌های حیاتی محکوم می‌کنند.

 

آمار ثبت‌شده توسط شرکت cybersecurity در آینده - - یکی از اولین تلاش‌ها برای اندازه‌گیری گستردگی حملات - متوجه شد که حداقل ۱۷۰ مرکز، شهر یا دولت ایالتی از سال ۲۰۱۳ مورد حمله قرار گرفته‌اند از جمله حداقل ۴۵ دفتر پلیس و sheriff's.

این شرکت همه نمونه‌های شناخته‌شده از عفونت‌های ransomware سیستم‌های دولتی محلی را جمع‌آوری کرده‌است که نوعی of است که فایل‌های computer's را که در آن مهاجم نیاز به پرداخت دارد - - معمولا در bitcoin - - برای یافتن کلید برای باز کردن آن‌ها.

دولت فدرال و اف بی آی حملات سراسر کشور را پی‌گیری نمی‌کنند.

کشته شدن ۲۲ حمله در سال جاری

تاکنون ۲۲ حمله عمومی شناخته‌شده در سال ۲۰۱۹ آغاز شده‌است که تا سال ۲۰۱۸ تمدید خواهد شد و در نظر گرفته نمی‌شود که حملات تا ماه‌ها یا سال‌ها پس از کشف این حملات گزارش نشده اند.

آخرین شهر بزرگ که قرار است به آن برسد، بالتیمور است، که روز سه‌شنبه به ransomware آلوده شد. این شرکت شبکه‌های خود را قرنطینه کرده و مجبور شده‌است که بیشتر خدمات شهری خود را به صورت دستی تامین نماید.

" ناامید کننده است. مایه تاسف است. اما ما داریم از طریق آن کار می‌کنیم، "براندون اسکات، رئیس شورای شهر بالتیمور، روز جمعه در یک کنفرانس خبری گفت:" 

در پایان ماه مارس، پایتخت ایالت York's، آلبانی، به آرامی اعتراف کرد که در روز شنبه با ransomware مورد اصابت گلوله قرار گرفته‌است - - یک انتخاب معمولی، زیرا هکرها می‌توانند خسارات بیشتری را زمانی که پرسنل IT کار نمی‌کنند، انجام دهند.

شهر اعلام کرد که این حمله روز به روز کشف شد اما شدت آن را کم‌اهمیت جلوه داد و اعلام کرد که تنها تعداد معدودی از خدمات شهری از جمله صدور مجوز ازدواج و گواهی تولد را تحت‌تاثیر قرار داده‌است. بسیاری از این مشکلات از آغاز of پاک‌سازی شدند.

با این حال، تالار شهر اشاره‌ای به این موضوع نکرد که سیستم‌های Department's پلیس آلبانی به طور قابل‌توجهی تحت‌تاثیر قرار گرفته بودند.

گریگوری McGee، یک مامور پلیس که معاون اتحادیه Department's پلیس آلبانی است، در آن زمان به سی ان ان گفت: " ما اساسا برای یک روز فلج بودیم."

مک گی گفت: " همه گزارش‌ها ما، همه گزارش‌های جرم ما، دیجیتالی است، که به این معنی است که پلیس باید هر چیزی که روی کاغذ اتفاق‌افتاده را یادداشت کند. آن‌ها به کار خود ادامه دادند و هیچ دسترسی به برنامه کارکنان نداشتند.

 "ما مانند امروز کار می‌کردیم؟"  مک گی گفت: " ما هیچ ایده‌ای نداریم که نیروی انسانی ما چه چیزی است."

دفتر mayor's آلبانی به درخواست‌های متعددی برای به روز رسانی وضعیت حمله پاسخ نداد، هر چند که یک سخنگوی پیش از این گفته بود که این شهر زمانی که پاک‌سازی شده اعلام خواهد کرد.

نیروی انتظامی نیز در ماه مارس در تگزاس مورد هدف قرار گرفت، زمانی که دفتر Fisher کانتی آلوده شد و بنا بر گزارش‌ها توانایی اتصال به یک پایگاه اطلاعاتی در سطح ایالت را از دست داد.

اواخر ماه گذشته، بخش Genesee در ایالت میشیگان که شامل شهر فلینت است اعلام کرد که پس از یک حمله به طور موثر بخش مالیات county's را برای بیشتر آوریل تعطیل کرد.

اولین حمله در سال ۲۰۱۳

اولین بیماری شناخته‌شده دولت کوچک در سال ۲۰۱۳ به شهر کوچک گرینلند، نیو همپشایر و در سال ۲۰۱۳ برخورد کرد اما تعداد حملات تا سال ۲۰۱۶ هنگامی که ۴۶ نفر بودند منفجر نشد.

این رقم در سال ۲۰۱۷ به ۳۸ کاهش یافت - - نشانه‌ای از کاهش موقت جهانی در عفونت‌های ransomware - - قبل از اینکه سال گذشته به ۵۳ تن افزایش یابد.

برآورده‌ای صنعت حاکی از آن است که هر ساله ransomware حمله هزینه‌ای برابر با بیلیون ها دلار دارند، هر چند که تخمین تعداد دقیق حملات به این دلیل دشوار است که هیچ سابقه جامع از حملات در سراسر کره زمین وجود ندارد و همه آن‌ها گزارش نشده اند.

تعداد قربانیان که به مرکز شکایت اینترنتی FBI's گزارش داده‌اند در سال‌های اخیر کاهش‌یافته است. در سال ۲۰۱۶ ۲،۶۷۳ مورد فلج‌اطفال وجود داشت؛ ۱،۷۸۳ در سال ۲۰۱۷؛ و ۱،۴۹۳ مورد در سال گذشته. این ارقام تمام مواردی را منعکس نمی‌کنند که اف بی آی از طریق گزارش‌های دفتر می‌دانی مطلع است.

به گفته آدام لا سن از واحد جرائم اینترنتی اصلی، این امر نشان می‌دهد که هکرها در مورد اینکه چه کسی در مورد چه کسی تصمیم به هدف می‌گیرد آگاهی بیشتری دارند، تا میزان پولی را که می‌توانند به حداکثر برسانند، به حداکثر برسانند.

لاوسان به سی ان ان گفت: " این حملات کم‌تر از یک کاربر مجزا است و هدف قرار دادن بخش خصوصی، کسب و کارها یا بخش دولتی، شهرداری‌ها، ادارات پلیس و غیره است.

من فکر می‌کنم ارزیابی ما این است که (که مورد هدف قرار می‌گیرد)پول بیشتری بدست آورد. یک کاربر انفرادی، اگر رایانه آن‌ها تحت‌تاثیر ransomware قرار گیرد، یک نوع تحلیل هزینه - سود می‌باشد: " من پنج سال است که این کامپیوتر را داشته‌ام. من قصد ندارم ۳۰۰ دلار به شما بدهم تا کامپیوترم را باز کنم؛ من فقط یکی دیگر خواهم گرفت. در حالی که برای یک شبکه کسب‌وکار، اگر شما کنترل‌کننده اصلی یا برخی رکوردهای حیاتی را قفل کنید، برای آن‌ها بسیار پیچیده‌تر است. بنابراین این احتمالا براساس who's پرداخت پول است."

 

 امنیت سایبری

حملات توسط انواع گسترده‌ای از بازیگران انجام می‌شود، از باندهای تبهکار گرفته تا افرادی که ادعا می‌کنند حداقل با دولت‌های کشورهای خود کار می‌کنند.

گاهی، نیروهای اجرای قانون بین‌المللی توانسته‌اند مهاجمان ransomware را هماهنگ و دستگیر کنند. برای نمونه، در سال ۲۰۱۷، یک عملیات مشترک متشکل از شش اداره اعمال قانون از جمله اف بی آی، سه مظنون را در رومانی و دو نفر در مجارستان دستگیر کرد که متهم به اداره the ransomware بودند.

اما همان طور که اغلب، زمانی که مقامات ایالات‌متحده توانستند فردی را که به باور آن‌ها مسئول این حمله است، شناسایی و شارژ کنند، از دسترس آن‌ها در کشورهایی که نمی‌توانند به آمریکا مسترد شوند، خارج شده‌اند.

ایالات‌متحده می‌گوید که دو ایرانی مسئول دو حمله وحشیانه شهری در ایالات‌متحده هستند که در آتلانتا و نیوآرک در حال وقوع است. وزارت دادگستری گفت که این اداره با موفقیت بیش از ۶ میلیون دلار غرامت دریافت کرده‌است و بیش از ۳۰ میلیون دلار خسارت به بار آورده‌است.

این دو کرم خاکی که به شدت مخرب هستند - - WannaCry و NotPetya که در عرض چند ماه از یکدیگر در سال ۲۰۱۷ انجام شدند - - گفته می‌شود قبل از اینکه دست از دست بکشند در کره‌شمالی و روسیه تاسیس شدند.

احتمالات دیگری هم وجود دارند که اف بی آی اعلام کرده‌است، اما آژانس منتظر آن‌ها است تا به کشورهایی سفر کنند که در آن آمریکا قادر به هماهنگ کردن دستگیری‌ها است.

لاوسان افزود: " ما آگاه هستیم که برخی از این مردم چه کسانی هستند، فقط به این دلیل که بیرون آمده‌ایم و می‌گوییم به این معنا نیست که ما منتظر آن‌ها نیستیم تا بتوانیم به جایی سفر کنیم، جایی که می‌توانیم آن‌ها را پیدا کنیم."

 

سرورهای مایکروسافت SharePoint تحت حمله سایبری هستند

طبق گزارش های امنیتی اخیر سازمان های امنیتی کانادا و عربستان سعودی، گروه های هکرها برای حمله به سرورهای مایکروسافت شیرپوینت برای بهره برداری از یک آسیب پذیری که اخیرا آسیب پذیر شده اند و دسترسی به شبکه های شرکت های دولتی و دولتی را به دست می آورند.

نقص امنیتی که در این حملات مورد سوء استفاده قرار گرفته است به عنوان CVE-2019-0604 ردیابی می شود، که مایکروسافت از طریق به روز رسانی های امنیتی که در ماه فوریه، مارس و آوریل امسال منتشر شده است، رفع شده است.

مایکروسافت در آن زمان گفت: "مهاجمی که با موفقیت آسیب پذیری را مورد سوء استفاده قرار داد، می تواند کد دلخواه را در زمینه استخر برنامه کاربردی شیرپوینت و حساب کاربری مزرعه سرور شیرپوینت اجرا کند.

اتفاقی که در اواخر ماه آوریل آغاز شد

مارکوس والفتانگ، محقق امنیتی که آسیب پذیری را کشف کرد، در ماه مارس برای نسخه CVE-2019-0604 از نسخه ی نمایشی استفاده کرد، اما سایر PoC ها نیز در GitHub و Pastebin ظاهر شدند.

در اواخر ماه آوریل حملات به زودی آغاز شد. مرکز امنیت سایبری کانادا در ماه گذشته یک هشدار ارسال کرد و سپس مقامات مرکز ملی سایبر سعودی سعودی (NCSC) این هفته هشدار امنیتی دوم را ارسال کردند.

هر دو سازمان امنیت سایبری گزارش دادند که مهاجمان از سرورهای شیرپوینت استفاده می کنند و نسخه ای از پوسته Chopper چین را به وجود می آورند، نوعی بدافزار نصب شده بر روی سرورها است که هکرها را قادر می سازد تا به آن متصل شوند و دستورات مختلفی را صادر کنند.

"جالب است که دولت کانادا و دولت عربستان سعودی، در آغاز حمله به چین نصب Chopper را گزارش دادند." کریس دانمان، یک محقق امنیتی در آزمایشگاه های Alien Vault Labs AT & T، امروز به ZDNet گفت.

مقامات کانادایی گفتند که "محققان معتبر سیستم های آسیب پذیر متعلق به بخش های علمی، کاربردی، صنایع سنگین، صنایع تولید و فن آوری را شناسایی کرده اند."

از سوی دیگر، مقامات عربستان سعودی نمی گویند که مهاجمین چه نقشی داشته اند، اما یک پیام مرگ را از یکی از شبکه های قربانی منتشر کردند، نشان می دهد که چگونه مهاجمان از اسکریپت PowerShell برای دسترسی بیشتر و ایجاد شناسایی داخلی در شبکه استفاده می کنند. "

آنها همچنین گفتند حملات به سازمان های سعودی که سرورهای همکاری تیم شیرپوینت را اجرا می کنند تقریبا دو هفته طول می کشد و همزمان با شروع هشدار آژانس کانادایی، حملات را آغاز می کنند.

در حالی که این ممکن است شبیه حملات به نحوی مرتبط باشد، شواهد موجود این نظریه را پشتیبانی نمی کند.

"دانمان به ZDNet گفت:" هر دو کانادایی ها و سعودی ها از وب کم چینی چینی استفاده می کنند، اما این بسیار معمول است. " "با وجود نام، چیپس چین توسط مهاجمان از تعدادی از مناطق استفاده می شود."

علاوه بر این، یک محقق در توییتر خاطرنشان کرد که یکی از آدرس های IP درگیر در حملات بر روی سرورهای SharePoint نیز توسط گروه جرایمی سایبری FIN7 شناخته شده است که از حمله به بخش مالی استفاده می کنند.

با این حال، دانمان اعتقاد ندارد که FIN7 گروهی است که به سرورهای مایکروسافت شیرپوینت حمله می کند - حداقل در حال حاضر.

Doman به ZDNet گفت: "این IP در ماه های گذشته توسط FIN7 مورد استفاده قرار گرفته است و دیگر فعالیت های مخرب از آن دیده نشده است. این یک IP معمولا مورد سوء استفاده قرار گرفته مانند VPN یا میزبان وب رایگان یا مشابه آن نیست." "در همان زمان، در خود یک لینک نسبتا ضعیف است."

تماشا یا خاموش شدن سرویس دهنده های خبری ضروری است

با حملات فعال در حال انجام، شرکتهایی که سرورهای SharePoint را اجرا می کنند، توصیه می شود سیستم های خود را به روز نگه دارند تا هر تهدید را کاهش دهند.

CVE-2019-0604 شناخته شده است که به یک تکه بزرگ از منتشر شده SharePoint اخیر، مانند:

Microsoft SharePoint Enterprise Server 2016

مایکروسافت شیرپوینت بنیاد 2013 SP1

مایکروسافت شیرپوینت سرور 2010 SP2

مایکروسافت شیرپوینت سرور 2019

اگر تکه ها نمی توانند اعمال شوند، سازمان ها توصیه می کنند که سرورهای شیرپوینت آسیب پذیر را در یک فایروال قرار دهند، که فقط در شبکه های داخلی قابل دسترسی هستند. سرورها ممکن است آسیب پذیر باقی بمانند، اما حداقل آنها دروازه ای برای هکرها در شبکه های شرکت نخواهند بود.

گزارش های جدید از حمله سایبری به تلگرام و دارک وب

دو نکته جدید که عملیات جاسوسی را نشان می دهد، به صورت آنلاین از طریق کانال های Telegram و وب سایت های اینترنتی Dark Web و اینترنت عمومی منتشر شده است.

یک نشت ادعا می کند که حاوی داده های عملیاتی از گروه هک کردن MuddyWater باشد، در حالی که نشت دوم اطلاعات مربوط به گروه جدیدی را که به عنوان موسسه Rana شناخته می شود، نشان می دهد و در حال حاضر با هیچ گروه جاسوسی سایبری ارتباط ندارد.

اولین ماه نزول کشف شد

این دو نوع نشت بعد از ماه گذشته اتفاق می افتد، یک شخصیت مرموز با استفاده از نام مستعار Lab Dookhtegam بر روی یک کانال Telegram که کد منبع چند نوع سوء استفاده از نرم افزارهای مرتبط با APT34 (Oilrig)، یک گروه جاسوسی سایبری است.

این دو نشت جدید از اول متفاوت است. هیچ کدام از آنها کد منبع برای نرم افزارهای مخرب نیستند. در عوض، آنها حاوی تصاویری از کد منبع ریشه های ناشناخته، تصاویر فرماندهی و کنترل های سرور کنترل شده و تصاویری است که قربانیان هک شده گذشته را لیست کرده اند.

چندین شرکت امنیتی امنیتی مانند کرونیکل، FireEye و Palo Alto Networks تأیید صحت این نشت اول را دادند. محققان امنیتی از آزمایشگاه ClearSky Security و Minerva این آخرین بسته را تأیید کرده اند.

این دو نظریه که ما شاهد کمپین خوبی برای نشان دادن عملیات هک شده هستیم، با دو بار اضافی در هوا پخش می شود، اکنون معتبرتر از همیشه است.

مجرمان ممکن است امیدوار باشند که افشای سیاسی در معرض هک شدن باعث ایجاد آسیب به روابط کشور با همسایگان، متحدان سیاسی خارجی و شرکت های خصوصی می شود که ممکن است عملیات و روابط خود را بازنگری کنند.

LEAD MUDDYWATER

این دومین نشتی بود که در چشم عمومی پس از آزمایش ناقص آزمایشگاه که در ماه گذشته در Telegram اتفاق افتاد، ظاهر شد. گروهی که خود را "نیشابور سبز" نامیدند، مسئولیت پذیری را پذیرفتند.

این گروه هنوز دو کانال Telegram و دو پورتال تاریک وب را در اختیار دارد که آنها اطلاعاتی را که از ادوات MuddyWater APT می گذراند (APT = تهدید دائمی پیشرفته، نامی که برای توصیف گروه های هک شده توسط دولت استفاده می شود) فروش می دهد.

از آنجا که این اطلاعات برای فروش گذاشته شد، شرکت های تبلیغاتی هیچ وسیله ای را به صورت رایگان منتشر نکردند، مانند آزمایشگاه Dochhtegam در اولین نشت. در عوض، آنها ارسال کردند:

- تصاویر نشان دهنده کد منبع یک فرمان و کنترل (C & C) سرور استفاده شده توسط MuddyWater APT '

- تصاویر MuddyWater C و C سرور backends - که همچنین شامل آدرس های نامعتبر IP آدرس برخی از قربانیان MuddyWater.

از آنجایی که محققان تنها یک نمونه کوچک از داده ها را به شکل تصاویر نشان داده اند، هیئت منصفه هنوز بر پایه این نشت است؛ با این حال، در حال حاضر می توان آن را تخفیف نمی توان.

هر دو ZDNet و آزمایشگاه های Minerva در حال بررسی این نشت برای پیشرفت های جدید هستند، اما علاوه بر داشتن کانال های Telegram به حالت تعلیق درآمده و نیاز به ایجاد امکانات جدید، چند روز اخیر، هیچ چیز جدیدی به اشتراک گذاشته نشده است.

RANA INSTITUTE LEAK

سومین نشت شامل اطلاعات مربوط به عملیات های اینترنتی سایبری، که ZDNet طی تقریبا یک هفته پیگیری می کند، بر روی یک وب سایت در اینترنت عمومی نوشته شده در فارسی و در یک کانال Telegram رخ داده است.

مخترعان کوچک قطعاتی را از اسنادی با عنوان "راز" که به نظر می رسید و موسسه رانا، یک قراردادی را که برای عملیات جاسوسی سایبری استخدام شده بود، توصیف کرد.

بر خلاف تصادف MuddyWater، این یکی توسط محققان امنیتی با ClearSky Security، بعضی از متخصصان پیشرو در عملیات هک کردن تأیید شده است.

اسناد ناقص یک گنج از اطلاعات تهدید برای محققان APT است و فعالیت های یک گروه جدید را که تا کنون هرگز مشخص نشده یا حتی مشخص نشده است، با وجود فعالیت در سال 2015، افشا می کند.

ClearSky در گزارشی که چند ساعت پیش منتشر شد، گفت: "این اسناد حاوی لیست قربانیان، راهکارهای حمله سایبری، زمینه های دسترسی ادعایی، لیست کارکنان و تصاویری از وب سایت های داخلی مربوط به سیستم های جاسوسی است.

وب سایت که بیشترین نشت Rana منتشر شد شامل اطلاعات شخصی اعضای مؤسسه Rana بود، همراه با تعداد زیادی از اطلاعات در مورد کمپین های گذشته - که بیشتر آنها بر هک کردن خطوط هوایی برای بازیابی manifestoes های مسافرین و هک کردن سایت های رزرو سفر برای بازیابی رزرو و شماره کارت پرداخت.

اما علاوه بر شرکت های هواپیمایی و سایت های رزرو، این گروه همچنین بیمه، IT، و شرکت های مخابراتی، و همچنین سازمان های دولتی و ادارات از سراسر جهان را هدف قرار داد.

بر اساس اسناد ناقص، هکرهای Rana نیز خواسته شده است تا بدافزار را توسعه دهند؛ پروژه قابل توجهی که به تیم خود اختصاص داده شده بود که در حال توسعه نرم افزارهای مخرب است که قادر به آسیب رساندن به سیستم های کنترل صنعتی SCADA هستند - شبیه به Stuxnet یا Shamoon.

ماهواره ها هداف اصلی حملات سایبری هستند! اوضاع میتواند خیلی بد شود

گرگوری فالکو یک پژوهشگر سایبر در مرکز بلرب دانشگاه دانشگاه هاروارد است و یک محقق امنیتی پس از مداخله در موسسه فناوری اطلاعات فناوری اطلاعات و آزمایشگاه هوش مصنوعی ماساچوست است. او بنیانگذار و مدیر اجرایی NeuroMesh، شرکت امنیتی فناوری است.

یک دقیقه. مدت زمان طولانی در ماه گذشته برای نشان دادن به یک شرکت بزرگ پخش و تیم تولید چگونه به دسترسی و راه اندازی مجدد سیستم کنترل پیشرو ماهواره ای اینترنت ارائه شده است. پنج دقیقه طول می کشد تا زمانی که من برای نشان دادن چگونگی به دست آوردن کنترل کامل آن، زمان بگذارم.

هکرها همیشه توانایی خود را برای شکستن زیرساخت های دیجیتال خود بهبود می بخشند. با این حال، سیستم های کامپیوتری که ماهواره های ما را اجرا می کنند، به اندازه کافی نگه ندارند، و آنها را هدف اصلی حمله قرار دهند. این باعث می شود تا دارایی های فضایی ما آسیب پذیری گسترده ای داشته باشد و اگر ما دقت نکنیم می تواند خیلی بدتر شود.

این آخر هفته گذشته، SpaceX از کمیته ارتباطات فدرال تایید شده بود تا تعداد ماهواره های کم پرواز را به عنوان بخشی از پروژه Starlink خود افزایش دهد تا بتوانند دسترسی سریعتر اینترنت به جهان را فراهم کنند. متاسفانه، دسترسی کاربران به طور مشروع و هکرها به سرعت خواهد بود. FCC متقاضیان را به طور عمومی نیازی به نشان دادن اینکه چگونه این ماهواره ها یا اینترنت را که قصد ارائه آن را دارند، نشان می دهد. SpaceX، مانند سایر شرکت های فضایی خصوصی، تقریبا هیچ اطلاعاتی در مورد تلاش ها یا برنامه های خود برای امنیت سایبری نداشته است.

با توجه به تأثیرات احتمالی ماهواره ای که هک شده است، این بسیار بی احتیاطی است. نتیجه عجیب و غریب این است که ماهواره دیگر کار نخواهد کرد، اما افراطی دیگر این است که یک مهاجم به داخل ماهواره برسد و هر حرکتی را که (SpaceX بر ماهواره های خود تأکید کرده است) بگیرد و سپس ماهواره را به زیرساخت های انتقالی هدایت کند و ماهواره های نظامی در مدارهای دیگر. به عبارت دیگر، مهاجمان احتمالا می توانند از ماهواره هک شده به عنوان سلاح جنایی استفاده کنند.

مدتهاست که توجه به امنیت زیرساختهای فضایی از لحاظ روح فضا و سیستمهای کنترل زمینی ماهواره ای که تمام دارایی های فضایی را مدیریت می کنند، توجهی نداشته است. تقریبا هیچ آژانس نظارتی و نظارتی در مورد تأمین دارایی های فضایی وجود ندارد - چیزی است که من با رهبری دولت با آن مواجه شدم. در حالی که FCC ارتباطات را تنظیم می کند، نباید لزوما مسئول تمام چیزهای امنیت فضایی باشد. شاید آژانس توسعه فضایی جدید باشد.

این امر امنیت فضایی را در دستان بخش خصوصی به وجود می آورد که از دسترسی اخیر به فضا بهره می برد. ظهور ماهواره های کوچک که به نام CubeSats شناخته می شود، فرصتی برای راه اندازی یک ماهواره را به مدار 30 هزار دلار می دهد. و به این دلیل که دولت می خواهد فعالیت اقتصادی در این منطقه را تشویق کند، الزامات لازم برای انجام این کار بسیار سبک هستند. این کسانی هستند که ماهواره های مسئول امنیت سایبری دارایی های خود را ایجاد می کنند، که معمولا بخشی از مجموعه مهارت های راکت دانشمند نیست.

من به عنوان یک محقق فضایی سایبری، از علاقه های تازه به فضا از دیدگاه های تجاری و اکتشافی هیجان زده می شوم. اما ما باید در مورد امنیت این سیستم های فضایی، استراتژیک باشیم. برخلاف دستگاههای "اینترنت چیزها" نظیر مانیتورهای کودک که برای کمتر از 100 دلار خریداری می شود و یک مدل جدید از آن خارج می شود، ماهواره ها اغلب برای مدت طولانی در مدار می ماند و غیر قابل اجتناب هستند. بنابراین اگر ما امنیت سایبر را در اختیار دارنده فضای قرار ندهیم، احتمالا با چندین سال متوالی در معرض آن قرار خواهیم گرفت. عدم مداخله دولت در امنیت ماهواره ای به این معنا نیست که ما می توانیم امنیت سایبری را به عنوان مسئله ای نادیده بگیریم.

شرکت های خصوصی فضایی مانند SpaceX، OneWeb و Blue Origin باید به گفتگو درباره امنیت سایبری پیوسته و به مشتریان کمک کنند تا متوجه شوند که آنها به طور جدی در حال استفاده هستند (در صورت وجود). (جف بیسوس، بنیانگذار و صاحب آبی Origin، همچنین مالک The Post است.) در حال حاضر چندین فرصت شغلی برای تحلیلگران امنیت اطلاعات در شرکت های فضایی خصوصی وجود دارد، که نشان می دهد که آنها به دلیل استعداد آسیب می رسانند و در جستجوی امنیت هستند. این جای تعجب نیست که فضای سخت است و متخصصان فناوری اطلاعات سنتی برای مجموعه ای از مهارت های فضای سایبری امنیت ندارند. سیستم های فضایی دارای الزامات منحصر به فردی هستند که بیشتر شبیه به یک سیستم کنترل صنعتی، مانند یک متر هوشمند انرژی، از یک سرور ایمیل است.

شرکت های فضایی خصوصی بایستی با جامعه پژوهشی امنیت درباره چالش های خاص خود شروع به گفتگو کنند تا ما بتوانیم کمک کنیم. آنها باید با FCC نیز شفاف باشند که آنها نیاز به کمک در تأمین زیرساختشان دارند. آخرین چیزی که ما نیاز داریم این است که چین یا روسیه بتوانند ماهواره های SpaceX را بگیرند و در دارایی های فضایی ما تخریب کنند.

هکرها اطلاعات کارت های اعتباری ۲۰۱ فروشگاه در کانادا و آمریکا را سرقت کردند

گروهی از هکرها کد جاوا اسکریپت مخرب را کشف کرده اند که جزئیات کارت پرداخت را در داخل سیستم تجارت الکترونیک که توسط کالج ها و دانشگاه ها در کانادا و ایالات متحده مورد استفاده قرار می گیرد، دزدی می کند.

کد مخرب در 201 فروشگاه اینترنتی آنلاین یافت شد که 176 کالج و دانشگاه در ایالات متحده و 21 کانادایی در کانادا بود، امنیت Trend Micro در امنیت اینترنتی، در روز جمعه منتشر شد.

این حمله همان چیزی است که محققان امنیتی به حملهی Magecart میپردازند که شامل هکرهایی هستند که کدهای جاوا اسکریپت را در صفحات پرداخت و پرداخت فروشگاههای آنلاین ذخیره میکنند تا اطلاعات کارتهای پرداخت را که قبلا آنها را در سرورهای خود آپلود کردهاند و مجددا در معرض خطر سایبری زیرزمینی قرار دهند انجمن ها هکرها خرابکاری کرده اند

طبق گفته Trend Micro، این حمله ویژه Magecart در روز 14 آوریل شناسایی شد و تحت تاثیر PrismRBS، شرکت PrismWeb، یک پلت فرم تجارت الکترونیک (a-la Shopify) به کالج ها و دانشگاه های آمریکای شمالی فروخته شد.

Trend Micro اعلام کرد که هکرها PrismRBS را نقض کرده و پلت فرم PrismWeb را اصلاح کرد تا شامل یک فایل جاوا اسکریپت مخرب باشد که در تمام برنامه های فعال PrismWeb بارگذاری شده است.

اسکریپت که به شکل یک قسمت فایل از سرویس Google Analytics شبیه بود، تا تاریخ 26 آوریل فعال بود، زمانی که Trend میکرو به فروشنده اطلاع داد که اقدام به حذف کد رمزگذاری کارت کرد.

در بیانیه ای که به Trend Micro منتشر شد، PrismRBS رسما هک را تصدیق کرد و گفت که این اطلاعیه ها در مورد کالج های تحت تاثیر قرار می گیرد و همچنین با یک شرکت قانونی فناوری اطلاعات ارتباط برقرار می کند تا عمق این حادثه را بررسی کند.

تعداد زیادی از گروه هکرها که طی چند ماه گذشته حملات حملات Magecart (JS card skimming، JS card sniffing) را شروع کرده اند، تعداد زیادی از ده ها نفر بوده است.

طبق گفته Trend Micro، زیرساخت این گروه هیچگونه همپوشانی با گروههای شناخته شده Magecart سایبری ندارد.

Yonathan Klijnsma، محقق تهدید کننده سرطان در RiskIQ و یکی از افرادی که از اولین حمله خود به گروه های Magecart ردیابی می کنند، به ZDNet گفتند که یکی از دلایل اینکه شرکت های امنیتی اکنون زمان زیادی را برای ردیابی گروه های فردی در اختیار دارند، این است که بسیاری از افراد در حال خرید و استفاده از یک تکه تکه کردن Magecart کیت ها از انجمن های هکینگ، حملات به نظر می رسد بیشتر و بیشتر عمومی است.

در اوایل این هفته، RiskIQ یک شرکت هشدار دهنده را منتشر کرد که حملات Magecart در حال حاضر به سایر سیستم عامل های تجارت الکترونیک گسترش می یابد و فقط در فروشگاه های Magento عرضه نمی شود، همانطور که در ابتدا بود. دیگر سیستم عامل های تجارت الکترونیک که در حال هدف گذاری هستند عبارتند از OpenCart، OSCommerce، WooCommerce و Shopify.

یکی دیگر از روند افزایش یافته - و همچنین در مورد PrismRBS هک - این است که گروه های Magecart به فروشگاه ها / شرکت ها به طور مستقیم حمله نمی کند، اما پس از یکی از اجزای آنها، در یک حمله زنجیره تامین عرضه .

در این مورد، هکرها پلت فرم تجارت الکترونیک PrismWeb را هدف قرار دادند، اما در گذشته، دیگر گروه های Magecart پس از ارائه دهندگان چت و پشتیبانی از ویجت ها گاهی اوقات در فروشگاه های تجارت الکترونیک بارگیری می شوند.

فضای ابری SAP هزاران کسب و کار را در معرض خطر حمله قرار می دهد

یک سوءاستفاده به تازگی منتشر شده، از آسیب پذیری پیکربندی شناخته شده استفاده می کند که در میان بسیاری از موارد پیش فرض و ابر SAP وجود دارد. در اینجا شرکتهایی که از SAP استفاده میکنند باید انجام دهند.

کارشناسان امنیتی هشدار می دهند که به تازگی منتشر شده و آسان به استفاده از سوء استفاده برای مشکلات امنیتی SAP شناخته شده می تواند منجر به موج حملات علیه سیستم های SAP است که می تواند ده ها هزار شرکت تاثیر می گذارد. این سوء استفاده ها اجازه می دهد تا هکرها از راه دور به طور کامل آسیب پذیری برنامه های کاربردی SAP و داده های حیاتی کسب و کار آنها را شامل شود.

خود آسیب پذیری ها ناشی از پیکربندی پیش فرض ناامن SAP Gateway و SAP Message Server است که دو جزء هستند که توسط برنامه های کاربردی مختلف SAP مورد استفاده قرار می گیرند و در بسیاری از محیط ها رایج هستند. طبق گفته Onapsis، شرکت امنیتی Onapsis برخی از این مسائل را برای بیش از یک دهه شناخته شده است اما در بسیاری از عملیات های دنیای واقعی همچنان ادامه دارد.

 بر اساس مشاهدات ارزیابی های امنیتی انجام شده برای سازمان های بزرگ در طول سال ها، Onapsis برآورد می کند که این مسائل 9 مورد از هر ده سیستم SAP را که توسط بیش از 50،000 کاربر SAP در سراسر جهان اعمال شده است، در مجموع در حدود 900 میلیون سیستم عامل اعمال می کند. بیش از 400،000 سازمان از سراسر جهان از محصولات نرم افزاری SAP، از جمله برخی از بزرگترین شرکت های چند ملیتی استفاده می کنند.

برنامه های کاربردی که از اجزای بالقوه آسیب پذیر استفاده می کنند و می توانند تحت تاثیر این سوء استفاده قرار گیرند شامل SAP S / 4HANA، برنامه ریزی منابع سازمانی SAP (ERP)، مدیریت پیاده سازی محصول SAP (PLM)، مدیریت ارتباط با مشتری SAP (SAP Human Capital Management HCM)، SAP مدیریت زنجیره تامین (SCM)، مدیریت ارتباط با مشتری SAP (SRM)، SAP NetWeaver انبار کسب و کار (BW)، SAP Business Intelligence (BI)، ادغام پردازش SAP (PI)، SAP Solution Manager (SolMan) و مدیریت SAP ، Risk & Compliance 10.x (GRC) و SAP NetWeaver ABAP Application Server 7.0 - 7.52.

SAP سوء استفاده و تأثیر آنها

آژانس امنیت سایبری و امنیت زیرساخت ها (CISA) روز پنج شنبه هشدار را در پاسخ به سوء استفاده های SAP که در اوایل ماه جاری در GitHub منتشر شد، در یک کنفرانس امنیتی شرکت Comae Technologies در یک کنفرانس امنیتی منتشر کرد. سوءاستفاده ها 10KBLAZE خوانده شده اند.

براساس این هشدار، 900 سیستم مبتنی بر اینترنت در U، S، می تواند به SAP Gateway ACL (لیست کنترل دسترسی) آسیب پذیر باشد و 693 سرور وب پیام SAP در معرض اینترنت می تواند آسیب پذیر به نوع مرد در میان باشد حمله همچنین 1،181 روتر SAP در معرض اینترنت قرار دارند و اگر مهاجمان دسترسی به آنها را داشته باشند، می توان آنها را برای درخواست های مخرب پروکسی به سیستم های دروازه SAP استفاده کرد.

این اعداد به نظر نمیرسد، اما لازم به ذکر است که چنین سیستمهایی میتوانند به عنوان نقطهای برای هکرها برای حمله به سیستمهای SAP اضافی در داخل شبکههای شرکتی به کار گرفته شوند. دسترسی به شبکه های شرکت ها نیز می تواند به روش های مختلفی انجام شود، مثلا از طریق حملات فیشینگ که باعث می شود ایستگاه های کاری با نرم افزارهای مخرب آلوده شوند. هکرها می توانند از این سیستم ها برای حمله به دیگران، از جمله SAP استفاده کنند.

Onapsis یک گزارش و شناسایی تشخیص داد که با سیستم تشخیص نفوذ منبع باز Snort کار می کند، زیرا سوء استفاده های جدید باعث می شود تا حملات به مراتب راحت تر شود. بنابراین، تهدید علیه سیستم های SAP دیگر از گروه های جاسوسی سایبری دولتی و یا مجرمان بسیار پیچیده سایبری نیست، بلکه تقریبا هر کسی می تواند از یک موتور جستجو مانند شدان استفاده کند.

مدیر عامل Onaporis ماریانو نونس به CSO می گوید: "در دست اشتباه این سوء استفاده ها می توانند خسارت زیادی ایجاد کنند." "هر کس فقط می تواند یکی از این سوء استفاده را دانلود کند، آن را در آدرس آی پی یک سیستم SAP بنویسید و با یک دستور به طور کامل سیستم را پاک کنید و هر فرآیند کسب و کار را مختل کنید. من فکر می کنم که نوار به شدت کاهش می یابد؛ و در نتیجه خطر را افزایش می دهد، زیرا احتمال این اتفاق را افزایش می دهد. ما بر این باوریم که افزایش حملات را افزایش می دهیم که این سوء استفاده ها و آسیب پذیری ها را افزایش می دهد. "

این حملات می تواند انواع مختلفی داشته باشد - از hacktivists تلاش برای آسیب رساندن به شرکت های آنها را دوست ندارند، با اختلال در عملیات تجاری خود و باعث زیان های قابل توجه مالی به حملات نوع ransomware مانند کسانی که به وب سرور ها و پایگاه های داده ضربه، که در آن مهاجمان حذف اطلاعات و ترک مجدد یادداشت پشت البته، حملات پیچیده تر و به خوبی برنامه ریزی شده شامل سرقت سوابق حساس کسب و کار و حتی تغییرات مخرب اطلاعات نیز ممکن است.

چالش های کاربران SAP

یکی از دلایل اینکه چرا بسیاری از سازمان ها هنوز به این مسائل شناخته شده آسیب پذیر هستند پس از چندین سال، پیچیدگی محیط های SAP آنها است. شرکت ها به شدت سیستم های SAP خود را سفارشی می کنند و Nunez برآورد می کند که هر استقرار SAP به طور متوسط ​​2 میلیون خط کد سفارشی اضافه شده توسط کاربران آنها است.

این سیستم ها فرایندهای کاری حیاتی را اجرا می کنند، بنابراین اگر یک پچ امنیتی باعث ناسازگاری با این سفارشی شود و باعث خرابی های تجاری شود، سازمان می تواند مقدار زیادی پول را از دست بدهد.

نینز می گوید: مقابله با این مسائل نیازمند تغییر دو تنظیمات است، اما در حالی که یک تغییر نسبتا آسان است، دیگر می تواند یک پروژه طولانی مدت برای پیاده سازی SAP متوسط ​​تا بزرگ باشد و به منابع قابل توجهی نیاز داشته باشد. "اما مسائل خیلی زیاد هستند، درست است؟ بنابراین، اگر شما آن را انجام ندهید، روشن است که چه چیزی ممکن است اشتباه باشد."