یک وبلاگ نویس عاشق دنیای فناوری، شبکه و امنیت

عاشق دنیای کامپیوتر و شبکه و امنیت ام

یک وبلاگ نویس عاشق دنیای فناوری، شبکه و امنیت

عاشق دنیای کامپیوتر و شبکه و امنیت ام

عاشق دنیای کامیپوتر بودم. وارد حوزه شبکه شدم و به سمت امنیت کشیده شدم. بعد از اون کمی سراغ برنامه نویسی رفتم و تلاش میکنم تو این وبلاگ مقالات جالبی که پیدا میکنم را با شماها به اشتراک بزارم.

کلمات کلیدی

هکر

Hack

امنیت سایبری

Cyber Security

سایبر سکوریتی

هک

امنیت

Hacker

نفوذ

ransomware

ceh

Security

سرقت سایبری

حمله سایبری

Malware

حفره امنیتی سیسکو

مایکروسافت

microsoft

سیسکو

Cisco

DDoS

Back door

بالتیمور

FBI

لینوکس

Linux

virous

ویروس

آنتی ویروس

تروجان

بایگانی
آخرین مطالب
پیوندهای روزانه
پیوندها

۳۲ مطلب با کلمه‌ی کلیدی «هکر» ثبت شده است

  • ۰
  • ۰

پیچیدگی بلوتوث ها موجب ریسک های امنیتی می شود

۳۰ ارديبهشت۹۸

BLUETOOTH چسب نامرئی است که دستگاه را با یکدیگر متصل می کند. به این معنی است که وقتی که اشکالات وجود دارد، همه چیز از دستگاه های اپل و اندروید، اسکوتر ها و حتی کلید های احراز هویت فیزیکی مورد استفاده برای محافظت از حساب های دیگر تاثیر می گذارد. میزان تقریبی می تواند خیره کننده باشد: نقص BlueBorne، اولین بار در سپتامبر 2017 افشا شد، 5 میلیارد کامپیوتر، تلفن و واحد IoT را تحت تاثیر قرار داد.

همانطور که با هر یک از محاسبات استاندارد، احتمال وجود آسیب پذیری در کد واقعی پروتکل بلوتوث خود و یا در بلوتوث کم انرژی سبد سبک خود را. اما محققان امنیتی می گویند دلیل اصلی بلوتوث این است که بیشتر با مقیاس استاندارد از استاندارد نوشته شده است، توسعه آن توسط کنسرسیوم شناخته شده به عنوان گروه بلغور ویژه است. بلوتوث گزینه های زیادی برای استقرار ارائه می دهد که توسعه دهندگان لزوما به طور کامل از گزینه های در دسترس موجود نمی باشند، که می تواند پیاده سازی های نامناسب را به همراه داشته باشد.


بن سیری، یکی از محققانی که BlueBorne و معاون رئیس تحقیق در شرکت امنیتی Armis را در اختیار داشت، می گوید: "یکی از دلایل اصلی بلوتوث در بسیاری موارد است که این پروتکل پیچیده است. "هنگامی که شما به استاندارد بلوتوث نگاه می کنید آن مانند 3000 صفحه طول می کشد - اگر شما آن را با سایر پروتکل های بی سیم مانند Wi-Fi مقایسه کنید، برای مثال، بلوتوث مانند 10 برابر طول می کشد. Bluetooth SIG سعی کرد تا چیزی بسیار فراگیر و متناسب با بسیاری از کاربران نیازهای مختلف، اما پیچیدگی این بدان معنی است که اگر شما سازنده هستید، بدانید که چطور باید از آن استفاده کنید. "


طولانی در دندان

بلوتوث، همانطور که شما احتمالا از اسپیکر قابل حمل، صفحه کلید بی سیم و مسواک خود می دانید، به دو دستگاه پروکسیما اجازه می دهد تا با یکدیگر به یکدیگر متصل شوند. جفت شدن می تواند هر دو طول هر دو دستگاه در حال استفاده است، به عنوان با ردیاب تناسب اندام و گوشی های هوشمند. یا می تواند موقتی باشد، راه تنظیم یک دستگاه یا تأیید هویت کاربر. بلوتوث کم انرژی یک نسخه متراکم از پروتکل است، برای دستگاه هایی که محاسبات محدود و منابع قدرت دارند.


اساسا، هر دو بلوتوث و BLE یک کانال را برای دو دستگاه برای ارتباط برقرار می کنند - یک ترفند بسیار مفید، اما یکی از آن ها درب را برای تعاملات خطرناک باز می کند. بدون بررسی قوی تأیید رمزنگاری، اشخاص ثالث مخرب می توانند از بلوتوث و BLE برای اتصال به یک دستگاه که نباید به آنها دسترسی داشته باشند یا اهداف را فریب دهند تا فکر کنند که دستگاه سرکش خود یک اعتماد است.


سید رفیع حسین، یک کارشناس امنیت در دانشگاه پوردو می گوید: "این استاندارد اغلب یک موضوع را به صورت پراکنده توصیف می کند." "و اغلب تعاملات پیچیده پروتکل را به تولید کنندگان می زند، که یکی دیگر از دلایل آسیب پذیری است."


کن Kolderup، معاون رئیس جمهور بازاریابی در SIG بلوتوث، می گوید که این گروه بسیار از چالش و اهمیت آموزش توسعه دهندگان برای گرفتن دسته در محدوده وسیع بلوتوث آگاه است. او می گوید اسناد و مدارک بسیار گسترده است، زیرا پروتکل نه تنها لایه فرکانس رادیویی را برای بلوتوث تعریف می کند، بلکه همچنین دارای اجزاء در هر لایه تکنولوژی، از سخت افزار تا از طریق برنامه ها، برای تضمین قابلیت همکاری بین دستگاه های بلوتوث است.


Kolderup می گوید: "بلوتوث فقط جریان صوتی بی سیم نیست، انتقال اطلاعات کم قدرت، شبکه مش است؛ این محدوده وسیع تر است." "اما امنیت به وضوح بسیار مهم است. این استاندارد حالتهای عملیاتی را برای همه چیز فراهم می کند، از جمله هیچگونه امنیت تا 128 AES رمزگذاری و یا حالت" فقط اتصالات ایمن ". ما آن را به همان اندازه که جامعه درخواست کرده است قرار داده ایم."


مثال اخیر، هر چند، کمک می کند تا نشان دهد که چگونه روند می تواند شکستن است. در ماه فوریه، محققان شرکت امنیتی McAfee مشکلات بلوتوث کم انرژی انرژی را در یک قفل هوشمند شناخته شده به نام BoxLock گزارش کردند. این دستگاه برای استفاده از یک پیکربندی کم انرژی بلوتوث به نام "Just Works Mode" طراحی شده است که به دستگاه اجازه می دهد بدون هیچ گونه کلمه عبور یا سایر رمزهای عبور رمزگذاری شده جفت شود. در نتیجه، محققان مک آفی می توانند به هر قفل متصل شوند، دستورالعمل BLE دستگاه را تجزیه و تحلیل کنند، و مشخص کنند که کدام دستور را باز کرد. علاوه بر این، BoxLock این دستور را در حالت خواندن / نوشتن پیکربندی کرده است، پس هنگامی که مهاجمان می دانستند چه هدف، می توانند باز شود. BoxLock تا به حال از آسیب پذیری های پچ شده است.


BoxLock به دو مسئله بلوتوث رایج رفت. این یک نسخه نسبتا ناامن از آن برای یک دستگاه - یک قفل - که خواستار امنیت شدید شده است، نصب کرد. با ترویج ترافیک بلوتوث در حال باز کردن، هکرها به راحتی زندگی می کنند.

استیو Povolny، رئیس تحقیقات تهدید پیشرفته در McAfee می گوید: "مشکل این است که BoxLock از اجرای بی بدیل BLE استفاده کرد. "من نمی توانم بگویم که این یک پروتکل ناامن به هیچ وجه است. بخشی از این واقعیت است که بلوتوث به عنوان جامعۀ مورد بررسی جامعه امنیت قرار نگرفته است و برای فروشندگان و تولیدکنندگان چه نقصی دارد هستند."


بطور قطع بلوتوث به درجه ای مورد بررسی قرار گرفته است، اما محققان می گویند که کمبود شدید تحقیق از لحاظ تاریخی دوباره حاصل می شود از این که چگونه این استاندارد حتی استاندارد را می خواند و خیلی کمتر درک می کند که چگونه کار می کند و تمام برنامه های کاربردی ممکن است. در کنار این، این نوع امنیت را از طریق ناگهانی ایجاد کرده است، در حالی که مهاجمان همچنین به راحتی به حملات علیه پروتکل ها و سیستم های دیگر، به جای زمان صرف شده برای چگونگی برخورد با بلوتوث، آسان تر شده اند.


متیو گرین، یک رمزگشاینده در دانشگاه جان هاپکینز، می گوید: "من نمی توانستم یک نظر متداول درباره امنیت واقعی بلوتوث بدهم، و من به شدت متاسفم که طراحان پروتکل نیز نمی توانند باشند." "به همین دلیل است که تمام جزئیات در صدها صفحه از مشخصات قابل خواندن نگهداری می شوند. بسیاری از تولید کنندگان دستگاه با طراحی امنیت خود به عنوان یک نوع لایه" اضافه کردن "که از بلوتوث استفاده می کنند، طراحی شده است. این احتمالا عاقلانه است آنچه که پروتکل خود را از آن غافل کرده است. "


اما در سال های اخیر، توقف بلوتوث شروع به خراب شدن کرده است. پس از آسیب پذیری های بالا مانند BlueBorne، محققان به طور فزاینده ای بر افزایش آگاهی درباره اجرای بلوتوث و مسائل پیکربندی تمرکز می کنند. حمله کنندگان شروع به در نظر گرفتن بلوتوث به عنوان یک گزینه واقعی برای راه اندازی حملات. به عنوان مثال، در روز دوشنبه، شرکت امنیتی Kaspersky Lab یافته های مربوط به یک بازیگر تهدید کننده کره ای را با پیوندهای احتمالی دولت منتشر کرد که یک اسکنر بلوتوث را در نرم افزارهای مخرب ویندوز ساخته است، به نظر می رسد که برای دستگاه های بلوتوث بالقوه مورد نظر اسکن کند.


قفل کردن آن پایین

SIG بلوتوث می گوید که در نظر دارد نسل بعدی منابع برای توسعه دهندگان را شامل می شود، از جمله امکان ایجاد یک ابزار حسابرسی امنیتی، کدنویسی می تواند برای بررسی پیاده سازی بلوتوث خود استفاده کند. Kolderup SIG می گوید که کنسرسیوم تشخیص دقیق مشخصات و اطلاعات را در مورد آسیب پذیری بالقوه و نحوه بهبود امنیت کلی آن را تشویق می کند. SIG همچنین تلاش می کند تا کار بهتر را به منظور انتشار منابع موجود در پیاده سازی امن بلوتوث مانند موسسه ملی استاندارد ها و راهنمای فناوری انجام دهد.


او می گوید: "بیشتر و بیشتر دستگاه ها در حال اتصال به یکدیگر هستند و ناگهان مجموعه ای از چالش های دیگر را که شما باید از زمانی که محصول ایجاد می کنید آگاه کنید." "ما افرادی را تشویق می کنیم که از حداکثر میزان امنیت سایبری مورد نیاز شما پشتیبانی کنند. ما از شما تشویق می کنیم که آن را قفل کنید."


محققان بر این باورند که خطرات امنیتی بلوتوث و پاداش بالقوه برای هکرهای مخرب تنها در حال افزایش است، زیرا بلوتوث به طور گسترده ای در تنظیمات مصرف کننده مانند دستگاه های خانگی هوشمند و پوشیدنی استفاده می شود که بیشتر توسط شرکت ها و دولت ها برای بزرگ شدن استقرار مقیاس در دفاتر شرکت، بیمارستان ها و محیط های کنترل صنعتی.


سروی Armis می گوید: "بلوتوث برای کلید های هوشمند، برای رمزنگاری حساس و احراز هویت استفاده می شود." "و همچنین فقط از دستگاه های متصل پزشکی به زیرساخت های بی سیم، همه چیز در محیط های کسب و کار جایی است که در آن راه است و نظارت نمی شود. این امنیت نیست."


محققان می گویند که ابزارهای بیشتر و منابع آموزشی از سوی SIG بلوتوث، راه بسیار خوبی برای به دست آوردن قابلیت کنترل بیشتر در بلوتوث است. در ضمن، هر زمان که از بلوتوث استفاده نمی کنید؟ فقط آن را خاموش کنید

  • وبلاگ نویس
  • ۰
  • ۰

Ransomware ها خطری برای شهرهای هوشمند آینده

۲۵ ارديبهشت۹۸

ماه گذشته، ما متوجه شدیم که هکرها دولت کالیفرنیا را در کالیفرنیا پایین کشیدند. تقریبا در همان زمان، یک شهر در ماین کنترل تمام اطلاعات خود را از دست داد. اینها به دنبال پایتخت ایالت نیویورک، آلبانی، اعلام کردند که هکرها عملیات تکنولوژیکی شهر را فلج کرده اند و این بدان معنی است که همه چیز مهم در شهر برداشته شده است. و تنها در هفته گذشته، بالتیمور توسط یک حمله موفقیت آمیز حمله کرد که 13 بیت کوین را برای رمزگشایی پرونده های شهر که در گرو گروگانگیری بودند، خواستار شدند.

قرار است دنیا به یک آینده خیره کننده شهر هوشمند تبدیل شود که در آن دولت ها همواره متصل هستند و بنابراین سریع تر و کارآمد تر از قبل عمل می کنند. اما اگر این جایی است که ما می رویم، باید با این واقعیت برخورد کنیم که بسیاری از شهرها هکرهای سودآور را قربانی می کنند.


سلاح اغلب در برابر شهرها استفاده می شود ransomware، نوعی بدافزار است که برای دسترسی به آنها طراحی شده، کنترل داده های مهم را بر عهده دارد و پس از آن تقاضای پول برای پایان دادن به بحران ناشی می شود. این یک طرح هکینگ محبوب است که اکنون شاهد یک منبع جدید موفقیت است.


طبق یک گزارش جدید از شرکت امنیتی سایبری، Recorded Future، دولت های آمریکایی، به ویژه شهرهای، ایالت ها، سازمان های اجرای قانون و مدارس، به طور فزاینده ای توسط ransomware هدف قرار می گیرند. طبق گزارش های عمومی، از سال 2013، حداقل 170 سیستم دولتی مورد حمله قرار گرفته اند. در سال جاری 21 حمله انجام شده است، ضبط شده در آینده پیدا شده است، و 2019 در حال افزایش است تا بیشترین تعداد حملات ransomware را علیه شهرها به ثبت برساند. اما با توجه به عدم شفافیت و پاسخگویی، حملات ناگهانی برای عموم و بسیاری از مدافعان ناشناخته است.


آیا این به دلیل افزایش کلی حملات ransomware است، یا این نتیجه از شهرستانها بیشتر به سیستم های خود را آنلاین؟ هیچ کس جواب کامل را نمی داند؛ چرا که، به دلیل عدم شفافیت و قوانین به اشتراک گذاری اطلاعات، هیچ کس به طور کامل نمی داند چه اتفاقی می افتد.


در یک زمان که شهرهای آمریکا در تلاش برای مقابله با زیرساخت های زیرزمینی - جاده های بد، پل های سقوط، بیمارستان های قدیمی - تلاش می کنند، به طور فزاینده ای مشخص می شود که شبکه های آسیب پذیر باید به فهرست نیازهای فاسد افزوده شود که به شدت نیاز به ارتقا دارند. با ظهور شهر به اصطلاح هوشمند، که در آن همه چیز به اینترنت متصل است، از جمله جاده ها، پل ها و بیمارستان ها بسیار مشابه است - چالش هایی که با شهرها مواجه می شود حتی بزرگتر می شود.


Allan Liska ضبط شده در آینده به Gizmodo گفت: "ما با شهرهایی که در هر لحظه به طور آنلاین در اینترنت حضور دارند، به طوری که زمانی که ransomware آنها را آفلاین می کند، چقدر بر انتخابات تاثیر می گذارد." "آتلانتا همه چیز را در" شهر هوشمند "داشته است، بنابراین حتی سیستم های دادگاه به صورت آفلاین گرفته می شوند، هیچ کس نمی تواند از طریق شهر پول پرداخت کند، زیرا این سیستم ها به صورت آفلاین اجرا می شوند."


شهرهای در سراسر کشور مسابقه برای تبدیل شدن به "هوشمندانه". تکنولوژی و پول فدرال همراه با احساسات غیرقابل انکار محبوب برای مدرن دولت است رانندگی فشار برای اتصال. اما این یک چیز است که اجازه دهید یک الگوریتم مستقیم خدمه جاده یا ایجاد یک سیستم تشخیص چهره برای شناسایی رانندگان - این موضوع کاملا متفاوت است به شهرستانها آماده برای مقابله با مشکلات امنیتی اجتناب ناپذیر است که ظاهر خواهد شد. این بدان معنا نیست که نگرانی های مربوط به حفظ حریم خصوصی شهرهای هوشمند


حمله ی رایانه ای 2018 آتلانتا به عنوان یکی از برجسته ترین تظاهرات شرکت های سهامی در اینجاست. میلیونها دلار برای بازیابی از یک حمله که در ابتدا تقاضای 50،000 دلار در هزینه است، هزینه می شود. هنگامی که آلبانیا در حال ضربه زدن بود، پلیس شهر برای یک روز کامل خراب شد. حمله به سانفرانسیسکو، یک شهر در قلب صنعت فناوری آمریکایی، در نهایت منجر به از دست دادن درآمد میلیون دلاری شد که آژانس حمل و نقل شهری نمی توانست پول از سواران دریافت کند. سیستم های کامپیوتری بالتیمور، تلفن و ایمیل یک هفته پس از کشف مجدد رایانه به طور آفلاین باقی می مانند.


به تنهایی، شهرها اغلب قادر به مقابله با عظمت وظیفه نیستند. در ایالات متحده، سوالات زیربنایی بزرگ به طور تاریخی توسط دولت فدرال پاسخ داده شده است، و Liska استدلال می کند که سطح کمک مورد نیاز در اینجا است.


Liska گفت: "این یک مشکل امنیتی ملی است. "ما روشن کردیم که این یک بازیگر دولتی نیست، اما اگر شهر شما تعطیل شود، مهم نیست که آیا یک کشور مملکت یا سایبری است یا نه، اثر یکسان است."


Liska می گوید که او امیدوار است که وزارت امنیت داخلی را ببیند، آژانس که مسئولیت دفاع از زیرساخت های حیاتی را برعهده دارد و پول بیشتری را به ماموریت دفاع از شهرها اختصاص می دهد.


لسکا گفت: "از آنجایی که شهرها دقیقتر میشوند، مردم بیشتر و بیشتر از این انتظار دارند و به توسعهی آنچه که ما در زمینه زیرساختها میپردازیم، میشود". "این روش های آنلاین تنها راهی برای انجام وظایف خاص خواهد بود، که این بدان معنی است که این حملات تاثیر بیشتری خواهند داشت. از آنچه ما می بینیم، حملات تنها افزایش می یابد. "

  • وبلاگ نویس
  • ۰
  • ۰

WhatsApp به دولت اجازه می دهد نرم افزارهای جاسوسی را روی گوشی کاربران نصب کند

۲۴ ارديبهشت۹۸

WhatsApp فقط یک آسیب پذیری را مرتکب شده است که به بازیگران بدخواه اجازه می دهد تا از نرم افزارهای جاسوسی بر روی تلفن های تحت تاثیر گذر از راه دور نصب کنند، و تعداد گزارش های ناخوشایندی نیز با بسته بندی snooping تجاری که معمولا به کشورهای مؤثر فروخته می شود.


این آسیب پذیری (که در اینجا ثبت شده) توسط WhatsApp متعلق به فیس بوک در اوایل ماه مه کشف شد، این شرکت به TechCrunch تایید کرد. ظاهرا اشکالی در ویژگی تماس صوتی برنامه وجود دارد که اجازه می دهد تماس گیرنده اجازه نصب نرم افزارهای جاسوسی بر روی دستگاه مورد نظر را بدهد، چه جواب داده شد یا خیر.


نرم افزارهای جاسوسی که به دلیل نصب آنها شناسایی شده بودند، Pegasus Group NSO Group مبتنی بر اسرائیل بود که معمولا (به طور ظاهرا) مجوز دولتها برای اهداف تحقیقات و دسترسی به جنبه های مختلف دستگاه های خود را دارند.


این، همانطور که می توانید تصور کنید، یک سوراخ امنیتی بسیار شدید است و پنجره ای که طی آن باز بود، یا اینکه چند نفر از آن تحت تاثیر قرار گرفته اند، دشوار است. بدون دانستن آنچه که استثمار بود و چه WhatsApp اطلاعات در مورد نوع فعالیت نگه می دارد، ما فقط می توانیم حدس بزنیم.


این شرکت اعلام کرده است که شمار اندکی از کاربران مورد هدف قرار گرفته است، زیرا ممکن است برای اعزام غیرقانونی باشد، محدود کردن آن به بازیگران پیشرفته و بسیار متعهد.


در صورت وجود هشدار به این موضوع، شرکت اعلام کرد که زمان لازم برای تغییرات لازم در زیرساخت آن کمتر از 10 روز طول می کشد که حمله را غیرقابل استفاده می کند. پس از آن یک بروزرسانی به مشتری منتقل شد که بیشتر در برابر سوء استفاده محافظت می شد.


شرکت WhatsApp در بیانیه ای اعلام کرد: "WhatsApp مردم را ترغیب می کند که به آخرین نسخه برنامه ما ارتقاء دهند و همچنین سیستم عامل تلفن همراه خود را تا تاریخ حفظ کنند تا از سوء استفاده های احتمالی هدفمند طراحی شده برای سازش با اطلاعات ذخیره شده در دستگاه های تلفن همراه محافظت شود."

بنابراین در مورد NSO گروه چیست؟ آیا این حمله نیز به کارشان می انجامد؟ این شرکت به Financial Times گفت که اولین حمله را گزارش کرد و این موضوع را مورد بررسی قرار داد. اما اشاره کرد که مراقب باشید که خود را با برنامه های کاربردی واقعی نرم افزار خود متصل نکنید - آن را به مشتریان خود و بررسی سوء استفاده می پردازد، اما این هیچ ارتباطی با نحوه استفاده از آن یا علیه آنها ندارد.


WhatsApp NSO را در سخنان خود نام نهاد، اما سوء ظن هایش به نظر روشن است:


"این حمله سایبری دارای همه نشانه های یک شرکت خصوصی شناخته شده برای کار با دولت برای ارائه نرم افزارهای جاسوسی است که به طور رسمی وظایف سیستم عامل های تلفن همراه را تحمیل می کند."


به طور طبیعی زمانی که یک برنامه متمرکز بر امنیت مانند WhatsApp می بیند که یک شرکت خصوصی، به احتمال زیاد، به طور مخفیانه سوء استفاده شناخته شده و خطرناک از پروتکل های آن را به فروش می رساند، مقدار خاصی از دشمنی وجود دارد. اما این همه بخشی از بازی 0 روزه است، مسابقه تسلیحاتی برای محافظت در برابر آخرین اقدامات امنیتی و یا نقض آن. WhatsApp به وزارت عدلیه و "تعدادی از سازمان های حقوق بشر" در مورد این موضوع اطلاع داد.


شما باید، همانطور که WhatsApp می گوید، همیشه برنامه های خود را تا تاریخ برای شرایط مانند این نگه دارید، اگر چه در این مورد مشکل می توان در backend ثابت قبل از اینکه مشتریان می تواند لایحه.

  • وبلاگ نویس
  • ۰
  • ۰

دو سال بعد از WannaCry همچنان میلیون ها کامپیوتر در معرض حمله سایبری هستند

۲۳ ارديبهشت۹۸

یک رانستور قدرتمند شروع به پخش در سراسر جهان کرد.


WannaCry گسترش مانند آتش سوزی، رمزگذاری صدها هزار کامپیوتر در بیش از 150 کشور در عرض چند ساعت. این اولین بار بود که ransomware، یک نرم افزار مخرب که فایل های کاربر را رمزگذاری می کند و خواستار استفاده از رمزنگاری مجدد رمز عبور می باشد، برای باز کردن قفل آنها، در سراسر جهان به نظر می رسد که به نظر می رسد یک حمله سایبری هماهنگ است.

بیمارستان ها در سراسر U.K. اعلام "یک حادثه عمده" پس از آن که توسط نرم افزارهای مخرب آفلاین به ضرب گلوله کشته شد. سیستم های دولتی، شبکه های راه آهن و شرکت های خصوصی نیز تحت تاثیر قرار گرفتند.


محققان امنیتی به سرعت متوجه شدند که نرم افزارهای مخرب مانند کرم رایانه ای، در سراسر رایانه و در سراسر شبکه، با استفاده از پروتکل SMB ویندوز، پخش می شوند. به زودی به یک دسته از ابزارهای دسته بندی شده دسته بندی شده طبقه بندی شده توسط آژانس امنیت ملی که هفته های پیش از آن به سرقت رفته بودند و به صورت آنلاین برای هر کسی که مورد استفاده قرار می گرفت، کاهش یافت.


کوین بومونت، یک محقق امنیتی مبتنی بر U.K. در آن زمان، "واقعی است." "گیتس می خواهد به سبک طرفداران بزرگ ضربه بزند."

یک گروه هکر ناشناخته - که بعدا معتقد بود که برای کره شمالی کار می کند - این دسته از آگهی های NSA را منتشر کرده و حمله های خود را آغاز کرده اند - احتمالا نمی دانند که تا چه حد گسترش می یابد. هکرها از Backdoor NSA، DoublePulsar استفاده کردند تا یک درپوش پایدار که برای تحویل Ransomware WannaCry استفاده شد، ایجاد کند. با استفاده از EternalBlue سوء استفاده، ransomware به هر کامپیوتر دیگری که مجبور نیست در شبکه پخش شود.


یک سیستم آسیب پذیر و یک سیستم تحت پوشش اینترنت، به اندازه کافی برای ویران کردن کافی بود.


مایکروسافت، در حال حاضر از سرقت ابزارهای هک برای سیستم عامل های خود استفاده می کند، تکه هایی را منتشر کرده است. اما مصرف کنندگان و شرکت ها به طور آهسته حرکت کردند تا سیستم خود را پاکسازی کنند.


در عرض چند ساعت، ransomware میلیاردها دلار به خسارات وارد شده است. کیف پول Bitcoin در ارتباط با ransomware توسط قربانیان برای پر کردن فایل های خود را پر می کنند - اغلب از بیهوده.


مارکوس هاچینز، یک مهندس معکوس و محقق امنیتی، در تعطیلات زمانی که حمله شد، در تعطیلات بود. او توییتی کرد: "من یک هفته هجوم آوردم تا کاری را انجام دهم." خلاص شدن از تعطیلات خود را کوتاه می کند، او به کامپیوترش می آید با استفاده از داده ها از سیستم ردیابی بدافزار، وی متوجه شد که چه چیزی کلید WannaCry را کشته است - یک نام دامنه که در کد قرار دارد، که در هنگام ثبت نام، بلافاصله تعداد عفونت ها را به توقف متوقف کرد. هاچینز، که در ماه گذشته مجرم شناخته شده به جنایات کامپیوتری نامشخص اشاره کرد، یک قهرمان برای متوقف کردن گسترش این حمله مورد ستایش قرار گرفت. بسیاری از آنها برای تسلیم شدن، اگر نه عفو کامل ریاست جمهوری برای تلاش های او، خواستار احترام بوده اند.


اعتماد به سرویس های اطلاعاتی یک شبه سقوط کرد. قانونگذاران خواستار دانستن این موضوع بود که NSA قصد دارد تا از طوفان آسیب ایجاد کند. همچنین بحث داغی در مورد اینکه چگونه آسیب پذیری های دولتی را به عنوان سلاح های تهاجمی برای انجام نظارت یا جاسوسی استفاده می کنند، آغاز کرد - یا زمانی که باید آنها را به فروشندگان شناسایی کنند تا آنها را ثابت کند.


یک ماه بعد، جهان خود را برای یک دور دوم از حملات سایبری در آنچه که احساس می شود به زودی تبدیل به عادی است.


NotPetya، یک ransomware دیگری که محققان نیز یک کشتن کلید را کشف کردند، از همان سوء استفاده از DoublePulsar و EternalBlue استفاده می کردند تا غول های حمل و نقل، سوپرمارکت ها و آژانس های تبلیغاتی را که از حملات رد می شدند، از بین ببرد.


دو سال بعد، تهدید ناشی از ابزارهای ناخواسته NSA همچنان نگران کننده است.

با توجه به آخرین اطلاعات، تا حدود 1.7 میلیون نقطه پایانی متصل به اینترنت هنوز به سوء استفاده آسیب پذیرند. داده هایی که توسط Shodan، یک موتور جستجو برای پایگاه داده ها و دستگاه های موجود در معرض نمایش داده می شود، رقم را با علامت "میلیون" نشان می دهد - با بیشتر دستگاه های آسیب پذیر در ایالات متحده اما فقط برای دستگاه های مستقلی متصل به اینترنت حساب می شود و نه دستگاه های بالقوه میلیون ها دستگاه دیگر به آن سرورهای آلوده. تعداد دستگاه های آسیب پذیر احتمالا به طور قابل توجهی بالاتر است.

WannaCry همچنان گسترش می یابد و گاهی اوقات اهداف آن را آلوده می کند. Beaumont در یک صدای جیر جیر گفت: ransomware عمدتا به معنای عصب، عدم توانایی کشیدن و شروع به رمزگذاری داده ها است، به دلایلی که رمز و راز باقی مانده است.


اما ابزارهای NSA در معرض خطر، که باقی می مانند و قادر به آلوده کردن رایانه های آسیب پذیر هستند، همچنان برای تحویل انواع نرم افزارهای مخرب استفاده می شوند و قربانیان جدید همچنان ظاهر می شوند.


فقط چند هفته پیش از آنکه شهر آتلانتا توسط ransomware مورد حمله قرار گرفت، جیک ویلیامز، متخصص امنیت سایبری، متوجه شد که شبکه های آن توسط ابزار NSA آلوده شده اند. به تازگی، ابزار NSA برای بازدیدهای از شبکه های گسترده ای از پردازش قدرت، به شبکه های مخرب با کدهای معدن کریپتوکورنال رجوع کرده است. دیگران از این سوء استفاده ها به صورت مخفیانه هزاران کامپیوتر را در اختیار دارند تا پهنای باند خود را برای راه اندازی حملات انکار سرویس های توزیع شده با استفاده از سیستم های دیگر با مقدار زیادی ترافیک اینترنتی استفاده کنند.


WannaCry باعث وحشت شد. سیستم ها خاموش شدند، داده ها از بین رفته و پول باید صرف شود. این یک پیغام بیداری بود که جامعه برای بهبود امنیت سایبری ضروری بود.

  • وبلاگ نویس
  • ۰
  • ۰

حملات سایبری به ایالات متحده همچنان ادامه دارد

۲۲ ارديبهشت۹۸

نیویورک (سی ان ان)- حملات هدفمند به نهاده‌ای دولتی محلی - - شهرها، پاسگاه‌های پلیس و مدارس - - در حال افزایش هستند، و بسیاری از افراد را در تلاش برای رها کردن خود و احیای سیستم‌های حیاتی محکوم می‌کنند.

 

آمار ثبت‌شده توسط شرکت cybersecurity در آینده - - یکی از اولین تلاش‌ها برای اندازه‌گیری گستردگی حملات - متوجه شد که حداقل ۱۷۰ مرکز، شهر یا دولت ایالتی از سال ۲۰۱۳ مورد حمله قرار گرفته‌اند از جمله حداقل ۴۵ دفتر پلیس و sheriff's.

این شرکت همه نمونه‌های شناخته‌شده از عفونت‌های ransomware سیستم‌های دولتی محلی را جمع‌آوری کرده‌است که نوعی of است که فایل‌های computer's را که در آن مهاجم نیاز به پرداخت دارد - - معمولا در bitcoin - - برای یافتن کلید برای باز کردن آن‌ها.

دولت فدرال و اف بی آی حملات سراسر کشور را پی‌گیری نمی‌کنند.

کشته شدن ۲۲ حمله در سال جاری

تاکنون ۲۲ حمله عمومی شناخته‌شده در سال ۲۰۱۹ آغاز شده‌است که تا سال ۲۰۱۸ تمدید خواهد شد و در نظر گرفته نمی‌شود که حملات تا ماه‌ها یا سال‌ها پس از کشف این حملات گزارش نشده اند.

آخرین شهر بزرگ که قرار است به آن برسد، بالتیمور است، که روز سه‌شنبه به ransomware آلوده شد. این شرکت شبکه‌های خود را قرنطینه کرده و مجبور شده‌است که بیشتر خدمات شهری خود را به صورت دستی تامین نماید.

" ناامید کننده است. مایه تاسف است. اما ما داریم از طریق آن کار می‌کنیم، "براندون اسکات، رئیس شورای شهر بالتیمور، روز جمعه در یک کنفرانس خبری گفت:" 

در پایان ماه مارس، پایتخت ایالت York's، آلبانی، به آرامی اعتراف کرد که در روز شنبه با ransomware مورد اصابت گلوله قرار گرفته‌است - - یک انتخاب معمولی، زیرا هکرها می‌توانند خسارات بیشتری را زمانی که پرسنل IT کار نمی‌کنند، انجام دهند.

شهر اعلام کرد که این حمله روز به روز کشف شد اما شدت آن را کم‌اهمیت جلوه داد و اعلام کرد که تنها تعداد معدودی از خدمات شهری از جمله صدور مجوز ازدواج و گواهی تولد را تحت‌تاثیر قرار داده‌است. بسیاری از این مشکلات از آغاز of پاک‌سازی شدند.

با این حال، تالار شهر اشاره‌ای به این موضوع نکرد که سیستم‌های Department's پلیس آلبانی به طور قابل‌توجهی تحت‌تاثیر قرار گرفته بودند.

گریگوری McGee، یک مامور پلیس که معاون اتحادیه Department's پلیس آلبانی است، در آن زمان به سی ان ان گفت: " ما اساسا برای یک روز فلج بودیم."

مک گی گفت: " همه گزارش‌ها ما، همه گزارش‌های جرم ما، دیجیتالی است، که به این معنی است که پلیس باید هر چیزی که روی کاغذ اتفاق‌افتاده را یادداشت کند. آن‌ها به کار خود ادامه دادند و هیچ دسترسی به برنامه کارکنان نداشتند.

 "ما مانند امروز کار می‌کردیم؟"  مک گی گفت: " ما هیچ ایده‌ای نداریم که نیروی انسانی ما چه چیزی است."

دفتر mayor's آلبانی به درخواست‌های متعددی برای به روز رسانی وضعیت حمله پاسخ نداد، هر چند که یک سخنگوی پیش از این گفته بود که این شهر زمانی که پاک‌سازی شده اعلام خواهد کرد.

نیروی انتظامی نیز در ماه مارس در تگزاس مورد هدف قرار گرفت، زمانی که دفتر Fisher کانتی آلوده شد و بنا بر گزارش‌ها توانایی اتصال به یک پایگاه اطلاعاتی در سطح ایالت را از دست داد.

اواخر ماه گذشته، بخش Genesee در ایالت میشیگان که شامل شهر فلینت است اعلام کرد که پس از یک حمله به طور موثر بخش مالیات county's را برای بیشتر آوریل تعطیل کرد.

اولین حمله در سال ۲۰۱۳

اولین بیماری شناخته‌شده دولت کوچک در سال ۲۰۱۳ به شهر کوچک گرینلند، نیو همپشایر و در سال ۲۰۱۳ برخورد کرد اما تعداد حملات تا سال ۲۰۱۶ هنگامی که ۴۶ نفر بودند منفجر نشد.

این رقم در سال ۲۰۱۷ به ۳۸ کاهش یافت - - نشانه‌ای از کاهش موقت جهانی در عفونت‌های ransomware - - قبل از اینکه سال گذشته به ۵۳ تن افزایش یابد.

برآورده‌ای صنعت حاکی از آن است که هر ساله ransomware حمله هزینه‌ای برابر با بیلیون ها دلار دارند، هر چند که تخمین تعداد دقیق حملات به این دلیل دشوار است که هیچ سابقه جامع از حملات در سراسر کره زمین وجود ندارد و همه آن‌ها گزارش نشده اند.

تعداد قربانیان که به مرکز شکایت اینترنتی FBI's گزارش داده‌اند در سال‌های اخیر کاهش‌یافته است. در سال ۲۰۱۶ ۲،۶۷۳ مورد فلج‌اطفال وجود داشت؛ ۱،۷۸۳ در سال ۲۰۱۷؛ و ۱،۴۹۳ مورد در سال گذشته. این ارقام تمام مواردی را منعکس نمی‌کنند که اف بی آی از طریق گزارش‌های دفتر می‌دانی مطلع است.

به گفته آدام لا سن از واحد جرائم اینترنتی اصلی، این امر نشان می‌دهد که هکرها در مورد اینکه چه کسی در مورد چه کسی تصمیم به هدف می‌گیرد آگاهی بیشتری دارند، تا میزان پولی را که می‌توانند به حداکثر برسانند، به حداکثر برسانند.

لاوسان به سی ان ان گفت: " این حملات کم‌تر از یک کاربر مجزا است و هدف قرار دادن بخش خصوصی، کسب و کارها یا بخش دولتی، شهرداری‌ها، ادارات پلیس و غیره است.

من فکر می‌کنم ارزیابی ما این است که (که مورد هدف قرار می‌گیرد)پول بیشتری بدست آورد. یک کاربر انفرادی، اگر رایانه آن‌ها تحت‌تاثیر ransomware قرار گیرد، یک نوع تحلیل هزینه - سود می‌باشد: " من پنج سال است که این کامپیوتر را داشته‌ام. من قصد ندارم ۳۰۰ دلار به شما بدهم تا کامپیوترم را باز کنم؛ من فقط یکی دیگر خواهم گرفت. در حالی که برای یک شبکه کسب‌وکار، اگر شما کنترل‌کننده اصلی یا برخی رکوردهای حیاتی را قفل کنید، برای آن‌ها بسیار پیچیده‌تر است. بنابراین این احتمالا براساس who's پرداخت پول است."

 

 امنیت سایبری

حملات توسط انواع گسترده‌ای از بازیگران انجام می‌شود، از باندهای تبهکار گرفته تا افرادی که ادعا می‌کنند حداقل با دولت‌های کشورهای خود کار می‌کنند.

گاهی، نیروهای اجرای قانون بین‌المللی توانسته‌اند مهاجمان ransomware را هماهنگ و دستگیر کنند. برای نمونه، در سال ۲۰۱۷، یک عملیات مشترک متشکل از شش اداره اعمال قانون از جمله اف بی آی، سه مظنون را در رومانی و دو نفر در مجارستان دستگیر کرد که متهم به اداره the ransomware بودند.

اما همان طور که اغلب، زمانی که مقامات ایالات‌متحده توانستند فردی را که به باور آن‌ها مسئول این حمله است، شناسایی و شارژ کنند، از دسترس آن‌ها در کشورهایی که نمی‌توانند به آمریکا مسترد شوند، خارج شده‌اند.

ایالات‌متحده می‌گوید که دو ایرانی مسئول دو حمله وحشیانه شهری در ایالات‌متحده هستند که در آتلانتا و نیوآرک در حال وقوع است. وزارت دادگستری گفت که این اداره با موفقیت بیش از ۶ میلیون دلار غرامت دریافت کرده‌است و بیش از ۳۰ میلیون دلار خسارت به بار آورده‌است.

این دو کرم خاکی که به شدت مخرب هستند - - WannaCry و NotPetya که در عرض چند ماه از یکدیگر در سال ۲۰۱۷ انجام شدند - - گفته می‌شود قبل از اینکه دست از دست بکشند در کره‌شمالی و روسیه تاسیس شدند.

احتمالات دیگری هم وجود دارند که اف بی آی اعلام کرده‌است، اما آژانس منتظر آن‌ها است تا به کشورهایی سفر کنند که در آن آمریکا قادر به هماهنگ کردن دستگیری‌ها است.

لاوسان افزود: " ما آگاه هستیم که برخی از این مردم چه کسانی هستند، فقط به این دلیل که بیرون آمده‌ایم و می‌گوییم به این معنا نیست که ما منتظر آن‌ها نیستیم تا بتوانیم به جایی سفر کنیم، جایی که می‌توانیم آن‌ها را پیدا کنیم."

 

  • وبلاگ نویس
  • ۰
  • ۰

سرورهای مایکروسافت SharePoint تحت حمله سایبری هستند

۲۱ ارديبهشت۹۸

طبق گزارش های امنیتی اخیر سازمان های امنیتی کانادا و عربستان سعودی، گروه های هکرها برای حمله به سرورهای مایکروسافت شیرپوینت برای بهره برداری از یک آسیب پذیری که اخیرا آسیب پذیر شده اند و دسترسی به شبکه های شرکت های دولتی و دولتی را به دست می آورند.

نقص امنیتی که در این حملات مورد سوء استفاده قرار گرفته است به عنوان CVE-2019-0604 ردیابی می شود، که مایکروسافت از طریق به روز رسانی های امنیتی که در ماه فوریه، مارس و آوریل امسال منتشر شده است، رفع شده است.


مایکروسافت در آن زمان گفت: "مهاجمی که با موفقیت آسیب پذیری را مورد سوء استفاده قرار داد، می تواند کد دلخواه را در زمینه استخر برنامه کاربردی شیرپوینت و حساب کاربری مزرعه سرور شیرپوینت اجرا کند.


اتفاقی که در اواخر ماه آوریل آغاز شد

مارکوس والفتانگ، محقق امنیتی که آسیب پذیری را کشف کرد، در ماه مارس برای نسخه CVE-2019-0604 از نسخه ی نمایشی استفاده کرد، اما سایر PoC ها نیز در GitHub و Pastebin ظاهر شدند.


در اواخر ماه آوریل حملات به زودی آغاز شد. مرکز امنیت سایبری کانادا در ماه گذشته یک هشدار ارسال کرد و سپس مقامات مرکز ملی سایبر سعودی سعودی (NCSC) این هفته هشدار امنیتی دوم را ارسال کردند.


هر دو سازمان امنیت سایبری گزارش دادند که مهاجمان از سرورهای شیرپوینت استفاده می کنند و نسخه ای از پوسته Chopper چین را به وجود می آورند، نوعی بدافزار نصب شده بر روی سرورها است که هکرها را قادر می سازد تا به آن متصل شوند و دستورات مختلفی را صادر کنند.


"جالب است که دولت کانادا و دولت عربستان سعودی، در آغاز حمله به چین نصب Chopper را گزارش دادند." کریس دانمان، یک محقق امنیتی در آزمایشگاه های Alien Vault Labs AT & T، امروز به ZDNet گفت.


مقامات کانادایی گفتند که "محققان معتبر سیستم های آسیب پذیر متعلق به بخش های علمی، کاربردی، صنایع سنگین، صنایع تولید و فن آوری را شناسایی کرده اند."


از سوی دیگر، مقامات عربستان سعودی نمی گویند که مهاجمین چه نقشی داشته اند، اما یک پیام مرگ را از یکی از شبکه های قربانی منتشر کردند، نشان می دهد که چگونه مهاجمان از اسکریپت PowerShell برای دسترسی بیشتر و ایجاد شناسایی داخلی در شبکه استفاده می کنند. "


آنها همچنین گفتند حملات به سازمان های سعودی که سرورهای همکاری تیم شیرپوینت را اجرا می کنند تقریبا دو هفته طول می کشد و همزمان با شروع هشدار آژانس کانادایی، حملات را آغاز می کنند.


در حالی که این ممکن است شبیه حملات به نحوی مرتبط باشد، شواهد موجود این نظریه را پشتیبانی نمی کند.


"دانمان به ZDNet گفت:" هر دو کانادایی ها و سعودی ها از وب کم چینی چینی استفاده می کنند، اما این بسیار معمول است. " "با وجود نام، چیپس چین توسط مهاجمان از تعدادی از مناطق استفاده می شود."


علاوه بر این، یک محقق در توییتر خاطرنشان کرد که یکی از آدرس های IP درگیر در حملات بر روی سرورهای SharePoint نیز توسط گروه جرایمی سایبری FIN7 شناخته شده است که از حمله به بخش مالی استفاده می کنند.


با این حال، دانمان اعتقاد ندارد که FIN7 گروهی است که به سرورهای مایکروسافت شیرپوینت حمله می کند - حداقل در حال حاضر.


Doman به ZDNet گفت: "این IP در ماه های گذشته توسط FIN7 مورد استفاده قرار گرفته است و دیگر فعالیت های مخرب از آن دیده نشده است. این یک IP معمولا مورد سوء استفاده قرار گرفته مانند VPN یا میزبان وب رایگان یا مشابه آن نیست." "در همان زمان، در خود یک لینک نسبتا ضعیف است."


تماشا یا خاموش شدن سرویس دهنده های خبری ضروری است

با حملات فعال در حال انجام، شرکتهایی که سرورهای SharePoint را اجرا می کنند، توصیه می شود سیستم های خود را به روز نگه دارند تا هر تهدید را کاهش دهند.


CVE-2019-0604 شناخته شده است که به یک تکه بزرگ از منتشر شده SharePoint اخیر، مانند:


Microsoft SharePoint Enterprise Server 2016

مایکروسافت شیرپوینت بنیاد 2013 SP1

مایکروسافت شیرپوینت سرور 2010 SP2

مایکروسافت شیرپوینت سرور 2019

اگر تکه ها نمی توانند اعمال شوند، سازمان ها توصیه می کنند که سرورهای شیرپوینت آسیب پذیر را در یک فایروال قرار دهند، که فقط در شبکه های داخلی قابل دسترسی هستند. سرورها ممکن است آسیب پذیر باقی بمانند، اما حداقل آنها دروازه ای برای هکرها در شبکه های شرکت نخواهند بود.

  • وبلاگ نویس
  • ۰
  • ۰

گزارش های جدید از حمله سایبری به تلگرام و دارک وب

۱۹ ارديبهشت۹۸

دو نکته جدید که عملیات جاسوسی را نشان می دهد، به صورت آنلاین از طریق کانال های Telegram و وب سایت های اینترنتی Dark Web و اینترنت عمومی منتشر شده است.


یک نشت ادعا می کند که حاوی داده های عملیاتی از گروه هک کردن MuddyWater باشد، در حالی که نشت دوم اطلاعات مربوط به گروه جدیدی را که به عنوان موسسه Rana شناخته می شود، نشان می دهد و در حال حاضر با هیچ گروه جاسوسی سایبری ارتباط ندارد.

اولین ماه نزول کشف شد

این دو نوع نشت بعد از ماه گذشته اتفاق می افتد، یک شخصیت مرموز با استفاده از نام مستعار Lab Dookhtegam بر روی یک کانال Telegram که کد منبع چند نوع سوء استفاده از نرم افزارهای مرتبط با APT34 (Oilrig)، یک گروه جاسوسی سایبری است.


این دو نشت جدید از اول متفاوت است. هیچ کدام از آنها کد منبع برای نرم افزارهای مخرب نیستند. در عوض، آنها حاوی تصاویری از کد منبع ریشه های ناشناخته، تصاویر فرماندهی و کنترل های سرور کنترل شده و تصاویری است که قربانیان هک شده گذشته را لیست کرده اند.


چندین شرکت امنیتی امنیتی مانند کرونیکل، FireEye و Palo Alto Networks تأیید صحت این نشت اول را دادند. محققان امنیتی از آزمایشگاه ClearSky Security و Minerva این آخرین بسته را تأیید کرده اند.


این دو نظریه که ما شاهد کمپین خوبی برای نشان دادن عملیات هک شده هستیم، با دو بار اضافی در هوا پخش می شود، اکنون معتبرتر از همیشه است.


مجرمان ممکن است امیدوار باشند که افشای سیاسی در معرض هک شدن باعث ایجاد آسیب به روابط کشور با همسایگان، متحدان سیاسی خارجی و شرکت های خصوصی می شود که ممکن است عملیات و روابط خود را بازنگری کنند.


LEAD MUDDYWATER

این دومین نشتی بود که در چشم عمومی پس از آزمایش ناقص آزمایشگاه که در ماه گذشته در Telegram اتفاق افتاد، ظاهر شد. گروهی که خود را "نیشابور سبز" نامیدند، مسئولیت پذیری را پذیرفتند.


این گروه هنوز دو کانال Telegram و دو پورتال تاریک وب را در اختیار دارد که آنها اطلاعاتی را که از ادوات MuddyWater APT می گذراند (APT = تهدید دائمی پیشرفته، نامی که برای توصیف گروه های هک شده توسط دولت استفاده می شود) فروش می دهد.


از آنجا که این اطلاعات برای فروش گذاشته شد، شرکت های تبلیغاتی هیچ وسیله ای را به صورت رایگان منتشر نکردند، مانند آزمایشگاه Dochhtegam در اولین نشت. در عوض، آنها ارسال کردند:

- تصاویر نشان دهنده کد منبع یک فرمان و کنترل (C & C) سرور استفاده شده توسط MuddyWater APT '

- تصاویر MuddyWater C و C سرور backends - که همچنین شامل آدرس های نامعتبر IP آدرس برخی از قربانیان MuddyWater.


از آنجایی که محققان تنها یک نمونه کوچک از داده ها را به شکل تصاویر نشان داده اند، هیئت منصفه هنوز بر پایه این نشت است؛ با این حال، در حال حاضر می توان آن را تخفیف نمی توان.


هر دو ZDNet و آزمایشگاه های Minerva در حال بررسی این نشت برای پیشرفت های جدید هستند، اما علاوه بر داشتن کانال های Telegram به حالت تعلیق درآمده و نیاز به ایجاد امکانات جدید، چند روز اخیر، هیچ چیز جدیدی به اشتراک گذاشته نشده است.


RANA INSTITUTE LEAK

سومین نشت شامل اطلاعات مربوط به عملیات های اینترنتی سایبری، که ZDNet طی تقریبا یک هفته پیگیری می کند، بر روی یک وب سایت در اینترنت عمومی نوشته شده در فارسی و در یک کانال Telegram رخ داده است.


مخترعان کوچک قطعاتی را از اسنادی با عنوان "راز" که به نظر می رسید و موسسه رانا، یک قراردادی را که برای عملیات جاسوسی سایبری استخدام شده بود، توصیف کرد.


بر خلاف تصادف MuddyWater، این یکی توسط محققان امنیتی با ClearSky Security، بعضی از متخصصان پیشرو در عملیات هک کردن تأیید شده است.


اسناد ناقص یک گنج از اطلاعات تهدید برای محققان APT است و فعالیت های یک گروه جدید را که تا کنون هرگز مشخص نشده یا حتی مشخص نشده است، با وجود فعالیت در سال 2015، افشا می کند.


ClearSky در گزارشی که چند ساعت پیش منتشر شد، گفت: "این اسناد حاوی لیست قربانیان، راهکارهای حمله سایبری، زمینه های دسترسی ادعایی، لیست کارکنان و تصاویری از وب سایت های داخلی مربوط به سیستم های جاسوسی است.


وب سایت که بیشترین نشت Rana منتشر شد شامل اطلاعات شخصی اعضای مؤسسه Rana بود، همراه با تعداد زیادی از اطلاعات در مورد کمپین های گذشته - که بیشتر آنها بر هک کردن خطوط هوایی برای بازیابی manifestoes های مسافرین و هک کردن سایت های رزرو سفر برای بازیابی رزرو و شماره کارت پرداخت.


اما علاوه بر شرکت های هواپیمایی و سایت های رزرو، این گروه همچنین بیمه، IT، و شرکت های مخابراتی، و همچنین سازمان های دولتی و ادارات از سراسر جهان را هدف قرار داد.


بر اساس اسناد ناقص، هکرهای Rana نیز خواسته شده است تا بدافزار را توسعه دهند؛ پروژه قابل توجهی که به تیم خود اختصاص داده شده بود که در حال توسعه نرم افزارهای مخرب است که قادر به آسیب رساندن به سیستم های کنترل صنعتی SCADA هستند - شبیه به Stuxnet یا Shamoon.

  • وبلاگ نویس
  • ۰
  • ۰

ماهواره ها هداف اصلی حملات سایبری هستند! اوضاع میتواند خیلی بد شود

۱۸ ارديبهشت۹۸

گرگوری فالکو یک پژوهشگر سایبر در مرکز بلرب دانشگاه دانشگاه هاروارد است و یک محقق امنیتی پس از مداخله در موسسه فناوری اطلاعات فناوری اطلاعات و آزمایشگاه هوش مصنوعی ماساچوست است. او بنیانگذار و مدیر اجرایی NeuroMesh، شرکت امنیتی فناوری است.

یک دقیقه. مدت زمان طولانی در ماه گذشته برای نشان دادن به یک شرکت بزرگ پخش و تیم تولید چگونه به دسترسی و راه اندازی مجدد سیستم کنترل پیشرو ماهواره ای اینترنت ارائه شده است. پنج دقیقه طول می کشد تا زمانی که من برای نشان دادن چگونگی به دست آوردن کنترل کامل آن، زمان بگذارم.


هکرها همیشه توانایی خود را برای شکستن زیرساخت های دیجیتال خود بهبود می بخشند. با این حال، سیستم های کامپیوتری که ماهواره های ما را اجرا می کنند، به اندازه کافی نگه ندارند، و آنها را هدف اصلی حمله قرار دهند. این باعث می شود تا دارایی های فضایی ما آسیب پذیری گسترده ای داشته باشد و اگر ما دقت نکنیم می تواند خیلی بدتر شود.


این آخر هفته گذشته، SpaceX از کمیته ارتباطات فدرال تایید شده بود تا تعداد ماهواره های کم پرواز را به عنوان بخشی از پروژه Starlink خود افزایش دهد تا بتوانند دسترسی سریعتر اینترنت به جهان را فراهم کنند. متاسفانه، دسترسی کاربران به طور مشروع و هکرها به سرعت خواهد بود. FCC متقاضیان را به طور عمومی نیازی به نشان دادن اینکه چگونه این ماهواره ها یا اینترنت را که قصد ارائه آن را دارند، نشان می دهد. SpaceX، مانند سایر شرکت های فضایی خصوصی، تقریبا هیچ اطلاعاتی در مورد تلاش ها یا برنامه های خود برای امنیت سایبری نداشته است.

با توجه به تأثیرات احتمالی ماهواره ای که هک شده است، این بسیار بی احتیاطی است. نتیجه عجیب و غریب این است که ماهواره دیگر کار نخواهد کرد، اما افراطی دیگر این است که یک مهاجم به داخل ماهواره برسد و هر حرکتی را که (SpaceX بر ماهواره های خود تأکید کرده است) بگیرد و سپس ماهواره را به زیرساخت های انتقالی هدایت کند و ماهواره های نظامی در مدارهای دیگر. به عبارت دیگر، مهاجمان احتمالا می توانند از ماهواره هک شده به عنوان سلاح جنایی استفاده کنند.


مدتهاست که توجه به امنیت زیرساختهای فضایی از لحاظ روح فضا و سیستمهای کنترل زمینی ماهواره ای که تمام دارایی های فضایی را مدیریت می کنند، توجهی نداشته است. تقریبا هیچ آژانس نظارتی و نظارتی در مورد تأمین دارایی های فضایی وجود ندارد - چیزی است که من با رهبری دولت با آن مواجه شدم. در حالی که FCC ارتباطات را تنظیم می کند، نباید لزوما مسئول تمام چیزهای امنیت فضایی باشد. شاید آژانس توسعه فضایی جدید باشد.


این امر امنیت فضایی را در دستان بخش خصوصی به وجود می آورد که از دسترسی اخیر به فضا بهره می برد. ظهور ماهواره های کوچک که به نام CubeSats شناخته می شود، فرصتی برای راه اندازی یک ماهواره را به مدار 30 هزار دلار می دهد. و به این دلیل که دولت می خواهد فعالیت اقتصادی در این منطقه را تشویق کند، الزامات لازم برای انجام این کار بسیار سبک هستند. این کسانی هستند که ماهواره های مسئول امنیت سایبری دارایی های خود را ایجاد می کنند، که معمولا بخشی از مجموعه مهارت های راکت دانشمند نیست.

من به عنوان یک محقق فضایی سایبری، از علاقه های تازه به فضا از دیدگاه های تجاری و اکتشافی هیجان زده می شوم. اما ما باید در مورد امنیت این سیستم های فضایی، استراتژیک باشیم. برخلاف دستگاههای "اینترنت چیزها" نظیر مانیتورهای کودک که برای کمتر از 100 دلار خریداری می شود و یک مدل جدید از آن خارج می شود، ماهواره ها اغلب برای مدت طولانی در مدار می ماند و غیر قابل اجتناب هستند. بنابراین اگر ما امنیت سایبر را در اختیار دارنده فضای قرار ندهیم، احتمالا با چندین سال متوالی در معرض آن قرار خواهیم گرفت. عدم مداخله دولت در امنیت ماهواره ای به این معنا نیست که ما می توانیم امنیت سایبری را به عنوان مسئله ای نادیده بگیریم.


شرکت های خصوصی فضایی مانند SpaceX، OneWeb و Blue Origin باید به گفتگو درباره امنیت سایبری پیوسته و به مشتریان کمک کنند تا متوجه شوند که آنها به طور جدی در حال استفاده هستند (در صورت وجود). (جف بیسوس، بنیانگذار و صاحب آبی Origin، همچنین مالک The Post است.) در حال حاضر چندین فرصت شغلی برای تحلیلگران امنیت اطلاعات در شرکت های فضایی خصوصی وجود دارد، که نشان می دهد که آنها به دلیل استعداد آسیب می رسانند و در جستجوی امنیت هستند. این جای تعجب نیست که فضای سخت است و متخصصان فناوری اطلاعات سنتی برای مجموعه ای از مهارت های فضای سایبری امنیت ندارند. سیستم های فضایی دارای الزامات منحصر به فردی هستند که بیشتر شبیه به یک سیستم کنترل صنعتی، مانند یک متر هوشمند انرژی، از یک سرور ایمیل است.


شرکت های فضایی خصوصی بایستی با جامعه پژوهشی امنیت درباره چالش های خاص خود شروع به گفتگو کنند تا ما بتوانیم کمک کنیم. آنها باید با FCC نیز شفاف باشند که آنها نیاز به کمک در تأمین زیرساختشان دارند. آخرین چیزی که ما نیاز داریم این است که چین یا روسیه بتوانند ماهواره های SpaceX را بگیرند و در دارایی های فضایی ما تخریب کنند.

  • وبلاگ نویس
  • ۰
  • ۰

آسیب‌پذیری SSH سیسکو راهکاری برای نفوذ هکرها

۱۷ ارديبهشت۹۸

سیسکو یک پچ برای آسیب پذیری بحرانی در سوئیچ های Nexus 9000 منتشر کرد که می تواند اجازه دسترسی به ریشه را به دلیل استفاده از یک جفت کلید پیش فرض SSH به دستگیرنده از راه دور دهد.

دوره سیسکو یک پچ را برای یک آسیب پذیری مهم دسترسی به ریشه در محصولات خود منتشر کرد، اما هر دو متخصص و فروشنده خود ادعا می کنند که این نقص یک درپرونده نیست.


پچ، منتشر شد 1 مه، آسیب پذیری در نرم افزار سوئیچ سری سیسکو سری Nexus 9000 را تصحیح کرد که ناشی از وجود یک جفت کلید پیش فرض SSH در دستگاه ها است. با توجه به مشاوره امنیتی فروشنده، آسیب پذیری اصلی سیسکو SSH می تواند به یک مهاجم ناشناخته، از راه دور برای اتصال به سیستم آسیب دیده با امتیازات کاربر ریشه اجازه دهد. "


این مشاور همچنین اظهار داشت که مهاجمان می توانند از جفت کلید پیش فرض برای باز کردن یک اتصال SSH از طریق IPv6 به دستگاه های آسیب پذیر استفاده کنند. سخنگوی سیسکو گفت که این آسیب پذیری بیش از IPv4 قابل بهره برداری نیست و تنها "بر روی سوئیچ Fabric Series Nexus 9000 در حالت زیرساختی برنامه کاربردی تاثیر می گذارد؛ بر روی سوئیچ های Nexus 9000 در حالت مستقل تأثیر نمی گذارد."


رون گولا، یکی از بنیانگذاران شرکت Tenable و رئیس فعلی و یکی از بنیانگذاران Gula Tech Adventures، یک شرکت سرمایه گذاری در زمینه امنیت سایبری، گفت که نقص سیسکو SSH مانند شکست در فرآیندهای امنیتی شبیه به شکست است.


گولا گفت: "نیاز به SSH یا فرم های رمزگذاری پیش فرض، پیچیدگی های صادرات دستگاه ها را افزایش می دهد. شبکه راه دور کنترل قابل قبولی در شبکه های مدیریت خصوصی است." "سیسکو دارای کنترل های زیادی برای جلوگیری از آسیب پذیری هایی مثل این از حمل و نقل است و به وضوح چیزی با این فرآیند اشتباه گرفته شده است."


دن کورنل، CTO Denim Group، یک مشاور امنیتی امنیتی، خاطرنشان کرد که حمل ونقل با جفت های اصلی SSH به طور پیش فرض ممکن است یک مسئله مهم باشد، اما شگفت آور نیست. مواردی مثل این همیشه در زمان اتفاق می افتد. "


با این حال، چندین گزارش رسانه ای آسیب پذیری را به عنوان یک درپشتی ممکن توصیف کرد. سیسکو تعدادی از آسیب پذیری های مربوط به اعتبار نامه های سخت افزاری و پیش فرض را طی دو سال گذشته افشا و تصحیح کرده است.


Huawei، تولید کننده ی رقابتی که به خاطر مسائل امنیتی خود در معرض آتش سوزی قرار دارد، و نیز روابط با دولت چین، از طریق توییتر از طریق توییتر، از سوییچ کلید های جفت کلید SSH، سوء استفاده می کند. "شرکت Backdoors در سوئیچ های شبکه سیسکو ثابت می کند که تجهیزات تکنولوژی خانگی خانگی ایالات متحده همانند دیگر موارد ناکافی است." این شرکت از طریق حساب توییتر خود در Huawei Facts گفت.


سیسکو ادعا کرد که این یک درپشتی نبود، زیرا سیاست شرکتش منافع عقب افتاده را ممنوع کرده است.


"در خط مشی آسیب پذیری امنیت سیسکو، شیوه های توسعه محصول سیسکو به طور خاص هر گونه رفتارهای عمدی یا ویژگی های محصول که برای دسترسی به دستگاه یا دسترسی به شبکه غیرمجاز، قرار گرفتن در معرض اطلاعات دستگاه حساس یا دور زدن ویژگی های امنیتی یا محدودیت ها طراحی شده است، ممنوع می شود. سخنگوی سیسکو گفت: "روش های دسترسی و یا" backdoors ". "متأسفانه، با وجود بهترین تلاش های فروشندگان فناوری، آسیب پذیری های امنیتی هنوز هم رخ می دهد. هنگامی که این آسیب پذیری های جدی را شناسایی می کنیم، ما به آنها با بالاترین اولویت رسیدگی می کنیم."


کورنل گفت که جفت کلید SSH سیسکو باید به عنوان یک درپشتی مورد توجه قرار گیرد، اما باید آن را به طور عمدی ترک کرد، اما "چیزی که تا کنون گزارش شده است، هیچ گونه درک از استدلال حمل و نقل دستگاه ها را با جفت کلید پیش فرض ندارد. "


وی گفت: "به نظر می رسد یک چیز ترسناک در مورد آسیب پذیری های امنیتی این است که هر گونه آسیب پذیری امنیتی می تواند یک درپشتی باشد - اگر به طور عمدی وارد محصول شود. این در واقع ساده ترین راه برای ورود به عقب در بسیاری از سیستم ها است، زیرا توسعه دهنده یا فروشنده آن را فراهم می کند انکارپذیری. "من متاسفم - اشتباهات برنامه نویسی را ساخته ام" بسیار دشوار است، به ویژه با توجه به میزان بالای آسیب پذیری های موجود در سیستم های نرم افزاری ".


گولا گفت که "منصفانه نیست که آن را به یک درپوش" نام ببرید.


"اگر چه این نوع آسیب پذیری می تواند به عنوان یک درپوش برای دسترسی به یک درصد بسیار کوچک از دستگاه های ساخته شده توسط سیسکو مورد استفاده قرار گیرد، آن را نمی توان برای تعمیر و نگهداری و پشتیبانی از راه دور از مشتریان سیسکو استفاده می شود.این می تواند توسط هر یک از سازمان های اطلاعاتی انجام سایبر نظارت، اما در نتیجه از هیچ آسیب پذیری دیگر در هر دستگاه شبکه دیگر متفاوت نیست. "آسیب پذیری ها می توانند توسط طراحی طراحی شده، اما با در نظر گرفتن دسترسی گسترده به آسیب پذیری در تمام دستگاه ها، بعید است که این ها به عقب عمدی بوده باشند. یک مشتری معمولی از روتر و فروشندگان شبکه، قادر به شناسایی پشتی واقعی برای اهداف جاسوسی نیست، که بسیار متفاوت از آسیب پذیری هایی است که از پیچیدگی های نرم افزاری، مسائل مربوط به برنامه نویسی و توزیع منتشر شده است. "

  • وبلاگ نویس
  • ۰
  • ۰

هکرها اطلاعات کارت های اعتباری ۲۰۱ فروشگاه در کانادا و آمریکا را سرقت کردند

۱۶ ارديبهشت۹۸

گروهی از هکرها کد جاوا اسکریپت مخرب را کشف کرده اند که جزئیات کارت پرداخت را در داخل سیستم تجارت الکترونیک که توسط کالج ها و دانشگاه ها در کانادا و ایالات متحده مورد استفاده قرار می گیرد، دزدی می کند.

کد مخرب در 201 فروشگاه اینترنتی آنلاین یافت شد که 176 کالج و دانشگاه در ایالات متحده و 21 کانادایی در کانادا بود، امنیت Trend Micro در امنیت اینترنتی، در روز جمعه منتشر شد.


این حمله همان چیزی است که محققان امنیتی به حملهی Magecart میپردازند که شامل هکرهایی هستند که کدهای جاوا اسکریپت را در صفحات پرداخت و پرداخت فروشگاههای آنلاین ذخیره میکنند تا اطلاعات کارتهای پرداخت را که قبلا آنها را در سرورهای خود آپلود کردهاند و مجددا در معرض خطر سایبری زیرزمینی قرار دهند انجمن ها هکرها خرابکاری کرده اند

طبق گفته Trend Micro، این حمله ویژه Magecart در روز 14 آوریل شناسایی شد و تحت تاثیر PrismRBS، شرکت PrismWeb، یک پلت فرم تجارت الکترونیک (a-la Shopify) به کالج ها و دانشگاه های آمریکای شمالی فروخته شد.


Trend Micro اعلام کرد که هکرها PrismRBS را نقض کرده و پلت فرم PrismWeb را اصلاح کرد تا شامل یک فایل جاوا اسکریپت مخرب باشد که در تمام برنامه های فعال PrismWeb بارگذاری شده است.


اسکریپت که به شکل یک قسمت فایل از سرویس Google Analytics شبیه بود، تا تاریخ 26 آوریل فعال بود، زمانی که Trend میکرو به فروشنده اطلاع داد که اقدام به حذف کد رمزگذاری کارت کرد.


در بیانیه ای که به Trend Micro منتشر شد، PrismRBS رسما هک را تصدیق کرد و گفت که این اطلاعیه ها در مورد کالج های تحت تاثیر قرار می گیرد و همچنین با یک شرکت قانونی فناوری اطلاعات ارتباط برقرار می کند تا عمق این حادثه را بررسی کند.

تعداد زیادی از گروه هکرها که طی چند ماه گذشته حملات حملات Magecart (JS card skimming، JS card sniffing) را شروع کرده اند، تعداد زیادی از ده ها نفر بوده است.


طبق گفته Trend Micro، زیرساخت این گروه هیچگونه همپوشانی با گروههای شناخته شده Magecart سایبری ندارد.


Yonathan Klijnsma، محقق تهدید کننده سرطان در RiskIQ و یکی از افرادی که از اولین حمله خود به گروه های Magecart ردیابی می کنند، به ZDNet گفتند که یکی از دلایل اینکه شرکت های امنیتی اکنون زمان زیادی را برای ردیابی گروه های فردی در اختیار دارند، این است که بسیاری از افراد در حال خرید و استفاده از یک تکه تکه کردن Magecart کیت ها از انجمن های هکینگ، حملات به نظر می رسد بیشتر و بیشتر عمومی است.


در اوایل این هفته، RiskIQ یک شرکت هشدار دهنده را منتشر کرد که حملات Magecart در حال حاضر به سایر سیستم عامل های تجارت الکترونیک گسترش می یابد و فقط در فروشگاه های Magento عرضه نمی شود، همانطور که در ابتدا بود. دیگر سیستم عامل های تجارت الکترونیک که در حال هدف گذاری هستند عبارتند از OpenCart، OSCommerce، WooCommerce و Shopify.


یکی دیگر از روند افزایش یافته - و همچنین در مورد PrismRBS هک - این است که گروه های Magecart به فروشگاه ها / شرکت ها به طور مستقیم حمله نمی کند، اما پس از یکی از اجزای آنها، در یک حمله زنجیره تامین عرضه .


در این مورد، هکرها پلت فرم تجارت الکترونیک PrismWeb را هدف قرار دادند، اما در گذشته، دیگر گروه های Magecart پس از ارائه دهندگان چت و پشتیبانی از ویجت ها گاهی اوقات در فروشگاه های تجارت الکترونیک بارگیری می شوند.

  • وبلاگ نویس
ساخت وبلاگ در بلاگ بیان، رسانه متخصصان و اهل قلم