برزیل در معرض حملات گسترده تحت روتر قرار گرفته است

برای حدود یک سال، کاربران برزیلی با نوع جدیدی از حملات روتر مورد هدف قرار گرفته اند که در هیچ جای دنیا دیده نشده است.

حملات تقریبا نامرئی برای کاربران نهایی است و می تواند عواقب فاجعه بار داشته باشد، که توانایی منجر به تلفات مستقیم مالی برای کاربران هک شده است.

آنچه که در حال حاضر در روترها در برزیل اتفاق می افتد، باید یک نشان هشدار دهنده برای کاربران و ISP های سراسر جهان باشد که باید قبل از حملات مشاهده شده در کشور آمریکای جنوبی به آنها، اقدامات احتیاطی نیز لازم باشد.

ردیاب DNS-تغییرات ATTACKS

حملات هدف قرار دادن روترها در برزیل در تابستان گذشته آغاز شد و برای اولین بار توسط شرکت امنیتی Radware از امنیت سایبری مشاهده شد و یک ماه بعد از آن توسط محققان امنیتی Netlab، یک واحد شکار شبکه ای از Qihoo 360 غول پیکر امنیتی سایبری چینی.

در آن زمان، دو شرکت توضیح دادند که چگونه یک گروه از مجرمان اینترنتی بیش از 100،000 روتر خانگی در برزیل را آلوده کرده و تنظیمات DNS خود را تغییر داده اند.

تغییرات انجام شده به این روترها هر زمان که آنها سعی در دسترسی به سایت های بانکداری الکترونیک برای برخی از بانک های برزیل داشتند، کاربران آلوده به وب سایت های کلون مخرب را هدایت می کردند.

چندین ماه بعد، در آوریل سال 2019، حملات مشابهی توسط شرکت امنیتی Bad Pakets که یکی دیگر از موج های حملات را مشخص کرده بود، دیده می شد، اما این بار هدف اصلی آن در برابر روترهای D-Link بود، همچنین بر روی ISP های برزیلی میزبانی شد.

بر اساس تحقیقات محققان در Ixia، این بار دیگر، علاوه بر ربودن کاربران بازدید از بانکهای برزیل، هکرها نیز کاربران را به صفحات فیشینگ برای Netflix، Google و PayPal هدایت می کردند تا مدارک خود را جمع آوری کنند.

اما بر اساس گزارش منتشر شده توسط Avast در این هفته، این حملات متوقف نشده است. در واقع، به گفته شرکت، در نیمه اول سال 2019، هکرها آلوده و تنظیمات DNS بیش از 180،000 روتر برزیل را تغییر داده اند.

علاوه بر این، پیچیدگی حملات افزایش یافته است و تعداد بازیگران درگیر در حملات نیز افزایش یافته است.

چطوری روتر هک می شود

به گفته محققان Avast، دیوید یورسا و Alexej Savcin، اکثر کاربران برزیلی در حال بازدید از سایت های ورزشی و فیلم های جریان یافته یا پورتال های بزرگسالان، روترهای خانگی خود را هک می کنند.

در این سایت ها، تبلیغات مخرب (malvertising)، کد خاصی را در مرورگرهای کاربران برای جستجوی و شناسایی آدرس IP روتر خانگی، مدل روتر، اجرا می کنند. هنگامی که آنها IP و مدل روتر را شناسایی می کنند، تبلیغات مخرب پس از استفاده از لیست نام کاربری و رمزهای عبور پیش فرض برای ورود به دستگاه های کاربران، بدون دانش آنها.

حملات به مدتی طول می کشد، اما اکثر کاربران چیزی را متوجه نمی شوند زیرا معمولا اشتباه می کنند جریان های ویدیویی را در وبسایتهایی که فقط دسترسی داشته اند تماشا می کنند.

اگر حملات موفقیت آمیز باشد، کد مخرب اضافی از طریق تبلیغات مخرب از طریق تنظیمات پیش فرض DNS در روترهای قربانیان تغییر می یابد و جایگزین سرور DNS روتر های آی پی آدرس از ISP های بالادستی با آدرس های آی پی سرورهای DNS مدیریت شده توسط هکرها دریافت می کنند.

دفعه بعد که گوشی های هوشمند یا رایانه های کاربران به روتر متصل می شوند، آدرس IP های سرور DNS مخرب را دریافت می کنند و به این ترتیب، تمام درخواست های DNS را از طریق سرور های مهاجم طرد می کند و به آنها اجازه می دهد تا از ترافیک به کلون های مخرب ربوده و تغییر مسیر دهند.

GHOSTDNS، NAVIDADE، و SONARDNS

هکرها در طی تحقیقات Avast از دو کیت ویژه برای این حملات استفاده کرده اند. اولین مورد GhostDNS نامیده می شود و یکی از آن هاست که از تابستان گذشته اولین بار دیده شده است و بت نت در سال گذشته توسط Radware و Netlab شرح داده شده است.

یک نوع از GhostDNS، نام ناوادید نیز در ماه فوریه ظاهر شد.

در طی Avast، Novidade تلاش کرد که روترهای کاربران Avast بیش از 2.6 میلیون بار در ماه فوریه را آلوده کند و از طریق سه کمپین گسترش یافت. "

علاوه بر این، از اواسط ماه آوریل، یک بازیکن دیگر وارد بازار شد. Avast این بوتنت جدید را SonarDNS می نامد زیرا مهاجم به نظر می رسد که چارچوب تست نفوذ نام Sonar.js را به عنوان ستون فقرات برای زیرساخت آنها تعیین کرده است.

و Sonar.js برای حملات روتر مناسب است. این کتابخانه جاوا اسکریپت به طور معمول توسط آزمایشکنندگان نفوذ برای شناسایی و راه اندازی سوءاستفاده ها بر علیه میزبان های شبکه داخلی استفاده می شود و برای تعیین یک نوع روتر و اجرای سوء استفاده بر روی دستگاه هدف تنها با چند خط کد، ایده آل است.

Avast می گوید SonarDNS را در سه کمپین مختلف طی سه ماه گذشته مشاهده کرده است و به نظر می رسد که شیوه عملکرد آن شباهت به چگونگی استفاده از GhostDNS را دارد.

جایگزینی AD و CRYPTOJACKING

اما حملات انفجار DNS با هدف روترها در برزیل هنوز ادامه نیافته است و همچنین تکامل یافته است. علاوه بر ربودن ترافیک و هدایت کاربران به صفحات فیشینگ، گروه های هکر در پشت این حملات نیز ترفندهای بیشتری را به زرادخانه خود اضافه کرده اند.

اول این است که از ترافیک کاربر ربوده و جایگزین تبلیغات مشروع با تبلیغاتی می شود که برای مهاجمان سود آور است.

این تاکتیک جدید نیست. در سال 2016، محققان Proofpoint یک کیت سوءاستفاده را کشف کردند که آنها DNSChanger EK را نام بردند که همین کار را انجام دادند - جایگزین تبلیغات مشروع با آنهایی که مخرب هستند - و بیشتر احتمال دارد که الگویی برای اپراتورهای بت نت باشد که برزیل را هدف قرار می دهند.

دوم، اپراتورهای GhostDNS، Navidade و SonarDNS نیز اسکریپت رمزگذاری و رمزگذاری مبتنی بر مرورگر را مستقر کرده اند. این آخرین تاکتیک در سال گذشته در برزیل دیده شده است، در حالی که گروه دیگری بیش از 200،000 روتر Microtik را ربوده و معدنچیان cryptocurrency در مرورگر را به ترافیک وب کاربران اضافه کرده است.

خطر گسترش به دیگر کشورها

اما با وجود همه اینها، حملات تغییر DNS، آنهایی هستند که برای کاربران نهایی خطرناک هستند. این به این دلیل است که اپراتورهای بت نت اعتبار کاربران فیشینگ، ربودن پروفایل های آنلاین یا سرقت پول از حساب های بانکی کاربران هستند.

با وجود اینکه حملات به طور ناگهانی، سخت شناسایی و بسیار سودآور است، هنوز هم رمز و راز این است که آنها به سایر کشورها گسترش نیافته اند.

روتر هکینگ ارزان و آسان است. با این حال، اکثر بوتنت های IoT امروز این دستگاه ها را برای انجام حملات DDoS تحریم می کنند و یا به عنوان پروکسی ها برای ترافیک بد، حملات غیرقابل حمل یا حملات اعتبارنامه عمل می کنند. استفاده از روترها برای فیشینگ راهی سودآور خواهد بود.

کاربرانی که می خواهند در مقابل هر بوتت IoT که مسیریاب را برای تغییر تنظیمات DNS هدف قرار می دهد، به چندین گزینه دسترسی داشته باشند:

از کلمه عبور مدیریت روتر پیچیده استفاده کنید

روترها را به روز نگهدارید

از تنظیمات DNS سفارشی در دستگاه های خود استفاده کنید، که مانع از درخواست سیستم تنظیمات DNS از مسیریاب محلی می شود

Vulnerabilities های خطرناک دوربین های وایرلس را میتوانند هک کنند

محققان برخی از آسیب پذیری های امنیتی جدی در دوربین های امنیتی بی سیم Arlo پیدا کرده اند. این آسیب پذیری ها می توانند یک مهاجم سایبری احتمالی را به کنترل دوربین ها برساند، بنابراین امنیت قربانیان را تهدید می کند.

اشکالات در دوربین های امنیتی بی سیم Arlo

محقق مستقل، جیمی سبرلی، برخی از اشکالات جدی امنیتی را که دوربین های امنیتی بی سیم Arlo را هدف قرار داده اند، کشف کرده است. به طور خاص، Sebree دو آسیب پذیری متفاوت را کشف کرد که می تواند به خطر افتادن امنیت خانه ها پس از بهره برداری کمک کند.

همانطور که در مشاوره Tenable توضیح داده شد، اول از این شامل مکانیسم های حمایت از UART نیست. برای بهره برداری از این نقص، مهاجم با دسترسی فیزیکی به دستگاه می تواند به پورت UART متصل شود و از اعتبار پیش فرض برای ورود به حساب کاربری به عنوان کاربر ریشه استفاده کند. مهاجم می تواند دستورات را اجرا کند و دسترسی به اطلاعات حساس را به دست آورد.

با دسترسی فیزیکی، اتصال به پورت سریال نسبتا بی اهمیت است زیرا بلافاصله کاربر را به یک فورمه ورود می اندازد. در حالی که اعتبار UART (UART_username و UART_passwd) در نوشته های nvram رمزگذاری می شود، کلید رمزگذاری در دستگاه از طریق متغیر محیط PASS_ENC (GEARNET) (که پس از بارگزاری اولیه و رمزگذاری nvram پاک می شود) بر روی دستگاه سخت افزوده می شود.

آسیب پذیری دوم به طور خاص مربوط به یک خطای شبکه است. مهاجم متصل به شبکه ایستگاه پایه Arlo می تواند به رابط شبکه داخلی دوربین دسترسی پیدا کند. در نتیجه، مهاجم می تواند کنترل دوربین آرلو را کنترل کند. همانطور که در مشاوره بیان شد،

شنونده پیش فرض http که توسط vzdaemon مستقر شده است، حاوی یک نقطه پایانی apis است که اجازه می دهد تا بارگیری یا بارگیری دلخواه فایل ها بر روی دستگاه انجام شود.

Tenable این آسیب پذیری ها را به عنوان اشکالات شدید شناسایی با نمره پایه CVSS به ترتیب 8.3 و 7.2 قرار داده است. در حالی که CVE-ID CVE-2019-3949 و CVE-2019-3950 برای آنها رزرو شده است.

فروشندگان آسیب پذیر هستند

پس از پیدا کردن آسیب پذیری، Tenable این موضوع را به فروشندگان در تاریخ 11 مارس 2019 گزارش داد. پس از همکاری مداوم، فروشندگان آسیب پذیری ها را پاکسازی کردند.

دو اشکال بر مدلهای پایه Arlo VMB3010، VMB4000، VMB3500، VMB4500 و VMB5000 تحت تاثیر قرار گرفتند. فروشندگان اصلاحات را با آخرین نسخه های سیستم عامل منتشر کرده اند که در مشاوره آنها تایید شده است. کاربران دستگاه ها باید از نسخه های زیر پشتیبانی کنند تا از حفاظت های بالقوه محافظت شود.

پچ برای مکانیسم های حفاظت UART ناکافی:

VMB3010 و VMB4000: 1.12.2.3_2772

VMB3500 و VMB4500: 1.12.2.4_2773

VMB5000: 1.12.2.3_59_4a57cce

پچ برای تنظیم خطای شبکه:

VMB3010 و VMB4000: 1.12.2.3_2762

VMB3500 و VMB4500: 1.12.2.4_2773

VMB5000: 1.12.2.2_2824

بزرگترین بحران امنیتی سال 2019 تا کنون چه بوده است؟

شش ماه از سال 2019 در حال حاضر در کتابهاست و مطمئنا شش ماه ارزش نقض داده ها، دستکاری های زنجیره تامین، کمپین های هکینگ حمایت شده توسط دولت و پیشروان جنگ سایبری برای نشان دادن آن بوده است. اما مشخصه 2019، شاید، احساس می کند بدترین است هنوز آمده است. Ransomware یک تهدید رو به رشد است، امنیت شرکت ها و دولت ایالات متحده هنوز هم آشفته است و تنش های ژئوپلیتیکی در سراسر جهان رو به افزایش است.

با این حال، قبل از اینکه ما ببینیم آینده چه چیزی را در بر میگیرد، بیایید برخی از حوادث مهم امنیت سایبری را که تا کنون در این سال رخ داده است، بازگردانیم.

در ماه مه یک پیمانکار نظارتی برای حفاظت از گمرک و مرزی رفع شد و هکرها عکس مسافران و شماره های مربوط به حدود 100،000 نفر را به سرقت برده اند. پیمانکار مبتنی بر تنسی، یک شرکت CBP که مدتها به عنوان Perceptics شناخته می شود، اطلاعات دقیق در مورد سخت افزار نظارت و همچنین نحوه اجرای آن در چند ورودی ایالات متحده را از دست داد. ابتدا گزارش تخلف از ابتلا به ابتلا به این بیماری ثبت شد و سپس مقامات CBP این حادثه را به واشنگتن پست گزارش دادند. اگر چه CBP در ابتدا تردید داشت که ادعا می کند که Perceptics قراردادی است که از نقص رنج برده است، این سازمان یک سند مایکروسافت ورد را به پست "CBP Percepties Public Statement" در پاسخ اولیه خود ارسال کرد. چند روز بعد، هکرها داده های Perceptics سرقت شده را به وب سایت تیره ارسال کردند. در روز سه شنبه، CBP Suspended Perceptics از قرارداد فدرال، هرچند که دلیل آن را نمی گوید.

CBP دو دهه گذشته را صرف استفاده از فن آوری های نظارت بر مرز کرده است و به نظر می رسد که هیچ دلیلی ندارد. به عنوان مثال، آژانس می خواهد اسکن های تشخیص چهره را تا 2021 در 20 فرودگاه برتر ایالات متحده استاندارد کند. اما حقوق مدنی و طرفداران حفظ حریم خصوصی می گویند که این ابتکارات تهاجمی به شهروندان آمریکایی و جامعه جهانی به طور کلی خطر می کند. حادثه Perceptics به عنوان یک نمونه واضح از این خطرات دیده می شود. به عنوان جرمی اسکات، مشاور ارشد در مرکز اطلاعات الکترونیکی حفظ حریم خصوصی، به WIRED در ماه ژوئن گفت: "این سازمان نباید این اطلاعات شخصی حساس را جمع آوری کند، اگر بتواند آن را حفظ نکند."

Ransomware

حملات Ransomware واقعا به هیچ وجه جدیدی نیستند، اما سال 2019 مانند سالی پرطرفدار است. گروه های جنایتکار همچنان به کسب و کارها، ارائه دهندگان مراقبت های بهداشتی و، مهم تر از همه، دولت های محلی با این هک های مخرب، که در آن نرم افزارهای مخرب به طور خاص برای رمزگذاری داده های سیستم طراحی شده و تقاضای استفاده از آن برای رمزگشایی آن، را هدف قرار داده است، کلاهبرداری میلیاردها دلار در هر سال در روند . FBI در این هفته در گزارشی به WIRED گفت: "ما در حال افزایش حملات هدفمند ransomware هستیم." "جنایتکاران سایبری فرصتطلبانه هستند و هر شبکه به طور کامل درآمدی کسب خواهند کرد."

در سال 2019، ransomware فقط بیمارستان ها و شرکت های کوچک را هدف قرار نمی دهد. یک کشمکش مخرب به نام LockerGoga به طور خاص قربانی کردن شرکت های صنعتی و تولیدی بوده است - در بعضی مواقع، نیروگاه های تولیدی را مجبور به کنترل دستی و یا آسیب های طولانی مدت در سیستم هایی که تجهیزات فیزیکی را کنترل می کنند. در حال حاضر، پاسخ دهندگان حادثه می گویند که LockerGoga تنها توسط مجرمان مالی با انگیزه استفاده می شود. با این حال، تصور این است که چگونه این نوع حمله می تواند توسط هکرهای زیرساختی حمایتی تحت حمایت دولت مورد استفاده قرار گیرد، به ویژه با توجه به این که چگونه WannaCry کره شمالی و NotPetya روسیه کرم های مشابهی از قبیل برنامه های ژئوپلیتیک هر کشور است.

خطوط زنجیره تامین

یک فروشنده نرم افزاری قانونی از آنچه به عنوان یک به روز رسانی نرم افزار قابل اعتماد به نظر می رسد، به نظر می رسد، اما این واقعا یک ابزار مخرب برای جنگ افزار های سایبری است. این نابغه شر از حمله زنجیره تامین است. مشهورترین نمونه احتمال حمله NotPetya در سال 2017 است، زمانی که هکرها روسی نرم افزارهای مخرب بدافزار را به طور جزئی از طریق سازوکار بهروزرسانی برای نرم افزار حسابداری اوکراین گسترش می دهند. و این نوع از هک های مخرب تا کنون امضای خاصی از سال 2019 بوده است.

در ماه مارس پس از یک گزارش تحقیقاتی از شرکت اطلاعاتی تهدید Kaspersky، سازنده رایانه Asus در اوایل نیمه دوم سال 2018، یک حمله زنجیره تامین را افشا کرد که ابزار به روز رسانی این شرکت را به خطر انداخته بود تا نرم افزارهای مخرب را به تقریبا 1 میلیون مشتری برساند. دستگاه های قربانی، نرم افزار مخرب را پذیرفته اند، زیرا مهاجمان آن را با یک گواهی واقعی Asus امضا کردند (برای تأیید مشروعیت کد جدید). هرچند هکرها تعداد زیادی از ماشین ها را از طریق حمله آلوده کرده اند، به نظر می رسد که آنها به طور خاص 600 کامپیوتر را هدف قرار داده اند و سپس با حمله دومین مرحله حمله کردند.

محققان گروهی را در معرض خطر به اشتراک گذاشتن زنجیره تامین Asus با نام Barium یا ShadowPad می نامند. اندکی درباره وابستگی گروه شناخته شده است، اما فکر می کند که زبان چینی است. باریم همچنین در سال 2017 از ابزار رایانه ای رایج CCleaner به یکی دیگر از هک های مهم عرضه شده متصل شده است. و در پایان ماه آوریل، محققان کسپرسکی همچنین نشان دادند که باریم از مدت کوتاهی پس از حمله Asus برای به خطر انداختن ابزار توسعه مایکروسافت ویژوال استودیو از یک حمله زنجیره تامین استفاده کرده است. این، به نوبه خود، به عقب به محصولات سه شرکت مختلف بازی های ویدئویی متصل شده است که از طریق ویژوال استودیو در خطوط برنامه نویسی خود اجازه می دهند هکرها را در بازی های خاصی نصب کند و صدها هزار هدف را آلوده کند.

معافیت آژانس پزشکی آمریکا

یکی از مهمترین موارد مربوط به نقض قوانین شرکتی تا کنون در سال جاری این است که از مجموعه آژانس پزشکی آمریکا، یک کل مبلغ بدهی مربوط به مراقبت های بهداشتی عظیم است. این شرکت کشف کرد که در ماه مارس شکسته شده است و ادوات با کمیسیون اوراق بهادار و بورس ایالات متحده نشان می دهد که نفوذ در سیستم های AMCA از اوت 2018 تا مارس 2019 ادامه داشت. این حادثه ابتدا در ماه ژوئن پس از آزمایش پزشکی عمومی منتشر شد. شرکت LabCorp گفت که 7.7 میلیون مشتری از داده های خود در معرض AMCA قرار گرفته اند و Quest Diagnostics اعلام کرده است که از 12 میلیون بیمار در معرض آن بوده است. AMCA گفت که اطلاعات محرمانه شامل نام و نام خانوادگی، تاریخ تولد، شماره تلفن، آدرس، تاریخ خدمات پزشکی، ارائه دهندگان مراقبت های بهداشتی و اطلاعات مربوط به تعادل است. اطلاعات سرقت شده شامل شماره شناسایی بیمه یا شماره های سوسیال سکیوریتی نبودند.

از آنجا که AMCA با بسیاری از شرکت ها قرارداد بست، ممکن است سازمان های اضافی و به همین ترتیب سایر بیماران نیز تحت تاثیر قرار گرفته باشند. اما تقریبا 20 میلیون بیمار بین آزمایشگاه و Quest تنها به اندازه کافی بد است. در اواسط ماه ژوئن، اداره اعتباردهندگان بازرگانان، که به عنوان AMCA فعالیت می کند، به عنوان یک نتیجه از هزینه های مربوط به نقض، برای فصل 11 حمایت از ورشکستگی ارائه شده است.

اول آمریکایی

همه حوادث امنیتی داده ها نقض نمی شوند. گاهی اوقات داده ها نادرست ذخیره می شوند و به صورت عمومی قابل دسترس هستند - ممکن است آن ها نباشند، اما هنوز هم در معرض آن قرار دارند. و اولین آمریکایی، شرکت بیمه املاک و مستغلات و عظیم، یک داستان احتیاطی بسیار مهم را در مورد چگونگی قرار گرفتن در معرض خطر اطلاعات می دهد. این اتفاق در ماه مه توسط برین کراسب، روزنامه نگار امنیتی در ماه مه کشف کرد، این حادثه 885 میلیون حساب کاربری حساس مشتری را در سال 2003 به خود جلب کرد. آنها برای هر کسی که در وب سایت اول آمریکایی بودند، قابل دسترسی بودند. معلوم نیست که آیا فرد قبل از اینکه این شرکت را قفل کند اطلاعات را در بر داشت و به سرقت برده بود، اما این امر بسیار آسان بود. شماره های سوسیال سکیوریتی، عکس های مجوز رانندگی، شماره حساب های بانکی و اظهارات، اسناد وام های مالی و مالیاتی، و دریافت های معاملات سیم مسیحی از میلیون ها آمریکایی در همه ی موارد درج شده است. به عنوان یک ارائه کننده بیمه عنوان، اولین آمریکایی اغلب به طرف طرف خریدار و وام دهنده معاملات معاملات املاک و مستغلات احترام می گذارد، بنابراین اگر هر کسی این اطلاعات را سرقت کند، آنها می توانند به طلای واقعی برای سرقت هویت، کلاهبرداری مالی و حتی جاسوسی دسترسی داشته باشند.

یکی به تماشا: ایران

از آنجایی که رییس جمهور دونالد تامپ در سال گذشته از موافقتنامه هسته ای ایران در سال 2015، ایالات متحده را ترک کرد، روابط بین الملل و کارشناسان امنیت سایبری نیز هشدار داده اند که این حرکت می تواند تنش بین دو کشور، به ویژه در فضای مجازی را تشدید کند. این به نظر می رسد در نیمه دوم سال 2018 صحت داشته باشد و شش ماه اول سال 2019 رشد بیشتری را نشان داده است. هکرها ایرانی در سراسر جهان، و به ویژه در برابر اهداف ایالات متحده، مبارزات را به چالش کشیدند، زیرا این دو کشور به صورت آشکارا در جهان فیزیکی درگیر هستند.

به ویژه در ماه ژوئن، تنش ها با یک سری حوادث در خاورمیانه ادامه یافت. در 13 ژوئن، دو تانکر سوخت در خلیج عمان مورد حمله قرار گرفتند. ایالات متحده ایران را متهم کرد و همچنین ایرانیان را متهم به تلاش برای شلیک یک هواپیمای بدون سرنشین آمریکایی کرد. یک هفته بعد، ایران موفق به تیراندازی هواپیمای بدون سرنشین هواپیمای بدون سرنشین، که ادعا کرده بود وارد فضای هوایی ایران شده است. درنتیجه Trump در نظر داشت که در نهایت در واکنش به تحریک یک اعتصاب سینتیکی را قطع کرد، اما فرماندهی سایبری آمریکا برای راه اندازی یک حمله سایبری مضر علیه سیستم های کنترل موشکی ایران و موشکی تأیید شد. طبق گزارش ها، هفته ها یا ماه ها برای فرماندهی سایبر برای طراحی و ارکستر اجرا شد. در همین حال، ایران به صورت دیجیتالی به آمریکا رفته است. در حال حاضر سوال این است که آیا بعضی از جنگجویان پیشنهادی می توانند به عنوان یک جایگزین برای درگیری های جنبشی به کار برده شوند، یا اینکه آیا آنها فقط برای تشدید مبارزه در دنیای واقعی عمل می کنند یا خیر.

Ransomwareها قربانی بعدی را از MSP گرفتند. اطلاعات مشتریان فاش شد!

هکرها MSPs را خراب می کنند و از کنسول Webroot SecureAnywhere برای آلوده کردن رایانه های شخصی با Ransomware Sodinokibi استفاده می کنند.

بنیاد ransomware زیرساخت حداقل سه ارائهدهنده سرویسدهنده مدیریت (MSP) را نقض کرده است و از ابزارهای کنترل از راه دور در اختیار آنها، یعنی کنسول Webroot SecureAnywhere، برای استفاده از سیستمهای رانوموئر در سیستم مشتریان MSPs استفاده کرده است.

عفونت های ransomware برای اولین بار در بخش Reddit اختصاص یافته به MSPs - شرکت هایی که خدمات از راه دور IT و پشتیبانی از شرکت ها در سراسر جهان را ارائه می دهند، امروزه گزارش شده است.

کایل Hanslovan، یکی از بنیانگذاران و مدیر عامل شرکت Huntress Lab، آنلاین بود و به برخی از MSPs تاثیر گذار در مورد حوادث کمک کرد.

هکرها از طریق RDP دریافت کردند

Hanslowan گفت که هکرها از طریق RDP (Remote Pointing Point Remote)، امتیازات بالا در سیستم های به خطر افتاده و دستی حذف محصولات AV مانند ESET و Webroot، MSP ها را از بین برد.

در مرحله بعد از حمله، هکرها حسابهای Webroot SecureAnywhere، نرم افزار مدیریت از راه دور (کنسول) مورد استفاده توسط MSPs را برای مدیریت ایستگاه های کاری مستقر از راه دور (در شبکه مشتریان خود) جستجو کردند.

با توجه به Hanslovan، هکرها از کنسول برای اجرای یک اسکریپت Powershell در ایستگاه های کاری از راه دور استفاده می کردند؛ اسکریپت که دانلود و نصب sansomware Sodinokibi.

مدیر عامل شرکت شکارچی گفت که حداقل سه MSP به این ترتیب آموزش هک شده اند. برخی از کاربران Reddit همچنین گزارش دادند که در بعضی موارد ممکن است هکرها از کنسول مدیریت راه دور Kaseya VSA استفاده کرده باشند، اما این هیچگاه رسما تایید نشده است.

هانسلووان گفت: "دو شرکت ذکر شده تنها میزبانانی بودند که Webroot را آلوده کرده بودند." "با توجه به کنسول مدیریت Webroot، مدیران اجازه می دهند از فایل های نقطه به نقطه از راه دور فایل ها را دانلود و اجرا کنند، این به نظر می رسد یک بردار حمله قابل قبول است."

WEBROOT DEFLOWERS 2FA برای حساب های امن

براساس یک ایمیل Hanslovan دریافت کرد، Webroot بعدا در روز شروع به اعمال قدرت مجاز به تأیید احراز هویت دو عامل (2FA) برای حسابهای SecureAnywhere کرد، امیدوار بود که هکرها از هر گونه حساب دیگر که به طور بالقوه ربوده شده است، برای استفاده از رنج نرم افزار جدید در طول روز استفاده کنند.

SecureAnywhere از 2FA پشتیبانی می کند که به طور پیش فرض برای همه کاربران فعال است، اما برخی از کاربران ظاهرا آن را خاموش کرده اند. در این ایمیل، این شرکت اعلام کرد که 2FA مجددا فعال خواهد شد، بدون این که کاربران بتوانند آن را غیر فعال کنند.

"اخیرا تیم تروجان پیشرفته Webroot کشف کرد که تعداد کمی از مشتریان تحت تاثیر یک بازیگر تهدید قرار گرفته است که با استفاده از ترکیبی از شیوه های بهداشت روانی سنتی مشتری در حوزه تأیید هویت و RDP،" چاد باخر، SVP محصولات، WEBROOT، شرکت کربنیت، به ZDNet از طریق ایمیل به ZDNet گفت.

وی افزود: "برای اطمینان از بهترین حفاظت برای کل جامعه مشتری وبروت، ما تصمیم گرفتیم زمان لازم برای احراز هویت دو عامل را اجباری کنیم. ما این کار را با انجام خروج کنسول و به روز رسانی نرم افزار صبح روز 20 ژوئن انجام دادیم."

"ما همه می دانیم که احراز هویت دو عامل (2FA) یک روش بهتر برای بهداشت سایبر است و ما مشتریان را برای استفاده از کنسول داخلی 2ROAS کنسول Webroot تشویق کردیم. ما همیشه از محیط تهدید نظارت می کنیم و همچنان اقدامات پیشگیرانه مانند این را ادامه دهید تا بهترین محافظت را برای مشتریان فراهم کنید. "

نرم افزار Sodinokibi rensomware نسبتا جدید است که در اواخر آوریل کشف شد. در آن زمان یک بازیگر تهدید با استفاده از اوراکل WebLogic صفر روز برای هک کردن شبکه های شرکت و نصب ransomware بود.

حادثه امروز موج دوم حملات عمده است که طی آن هکرها MSP ها و ابزارهای کنترل از راه دور خود را برای استفاده از ransomware در شبکه های مشتریان خود سوء استفاده کردند.

اولین حادثه در اواسط ماه فوریه اتفاق افتاد زمانی که یک گروه هکر استفاده از آسیب پذیری ها در ابزارهای معمول MSP برای استفاده از Ransomware GandCrab در ایستگاه های کاری مشتریان.

به طور تصادفی، در زمان وقوع این حادثه در Reddit، رسانه های محلی در رومانی گزارش دادند که پنج بیمارستان به وسیله ی ransomware در بوخارست، پایتخت کشور آلوده شده اند. با این حال، شواهدی وجود ندارد که دو رویداد در خارج از دوران عفونت ارتباط داشته باشند.

malware که موجب ایجاد بک دور در اندروید است شناسایی شد! گوگل مشکل را حل می‌کند

گوگل تایید کرد که Cyberthieves توانست قبل از نصب نرم افزارهای مخرب به Backdoor چارچوب Android را مدیریت کند. به طور خلاصه، بدافزار به نظر می رسد که توسط گوگل در عمیق ترین نقطه در آندروید خوش شانس.

یکی از بزرگترین ترسهای امنیت تلفن همراه به تصویب رسیده است. گوگل هفته گذشته (6 ژوئن) تایید کرد که Cyberthieves توانست قبل از نصب نرم افزارهای مخرب به Backdoor چارچوب Android را مدیریت کند. به طور خلاصه، بدافزار به نظر می رسد که توسط گوگل در عمیق ترین نقطه در آندروید خوش شانس.

"در بستر برنامه Google Play، نصب به این معنی بود که [نرم افزارهای مخرب] نباید نصب را از منابع ناشناخته غیر فعال کنند و تمام نصب برنامه به نظر می رسید مانند آنها از Google Play بود"، لوکاس Siewierski از تیم امنیتی و حفظ حریم خصوصی اندروید نوشت ، در یک پست وبلاگ "برنامه ها از سرور C & C دانلود شد و ارتباط با C & C با استفاده از یک روال معمول رمزگذاری با استفاده از XOR و ZIP دوبار رمزگذاری شد. برنامه های دانلود شده و نصب شده از نام های بسته های برنامه های غیرمعمول موجود در Google Play استفاده کردند. هر گونه ارتباط با برنامه های موجود در Google Play از جمله همان نام بسته. "

سازمانی CISOs و سازمان های جامعه مدنی، همراه با CIO ها، کشف می کنند که اعتماد به شرکت های بزرگ سیستم عامل های تلفن همراه امروز - اپل و گوگل - برای رسیدگی به امنیت خود را از دست رفته بی احترامی است. با توجه به ماهیت اکوسیستم اپل (مجموع یک سازنده گوشی، که اجازه می دهد تا سیستم بسیار بیشتر بسته)، در iOS کمی امن تر است، اما فقط کمی.

با این حال، پذیرش جدید گوگل قطعا باعث می شود که اپل کمی در زمینه امنیت بهتر شود. این مسئله نه تنها با سیستم عامل نیست، هر دو سیستم عامل iOS و Android دارای کد منطقی امنیت سایبری هستند. این برنامه ها با برنامه های ارائه شده به شرکت ها و مصرف کنندگان از طریق تأسیسات برنامه رسمی تأیید شده است. جوانب مثبت شرکت در حال حاضر می دانند که نه اپل و نه گوگل به اندازه کافی برای تأیید امنیت برنامه ها تلاش می کنند. در بهترین حالت، هر دو برای مسائل مربوط به سیاست و کپی رایت به مراتب بیشتر از حضور نرم افزارهای مخرب هستند.

اما با برنامه های شخص ثالث درست برخورد می شود. برنامه هایی که به طور مستقیم از اپل و گوگل به فروش می رسند می توانند اعتماد کنند - یا تا زمانی که افشای Google انجام شود، تصور می شد.

حادثه ای که گوگل پذیرفته شد، دو سال پیش اتفاق افتاد، و در پست وبلاگ نمی توان گفت که چرا گوگل در آن زمان آن را اعلام نکرده بود یا اینکه چرا آن را در حال حاضر انتخاب کرده است. ممکن است گوگل قصد داشته باشد تا قبل از اعلام آن، این سوراخ را به اندازه کافی بسته باشد، اما دو سال زمان بسیار بدی برای شناختن این سوراخ جدی است و در مورد آن سکوت می کند.

پس چه اتفاقی افتاد؟ گوگل امتیازات زیادی برای انتشار جزئیات زیادی به دست می آورد. پیشینه داستان گوگل یک سال پیش از آن آغاز می شود - به طوری که، سه سال پیش - با مجموعه ای از برنامه های تبلیغاتی اسپم تبلیغاتی به نام Triada.

Siewierski نوشت: "هدف اصلی برنامه های Triada این بود که برنامه های اسپم بر روی یک دستگاه که تبلیغات را نمایش می داد نصب شود. "سازندگان Triada درآمد حاصل از تبلیغات نمایش داده شده توسط برنامه های اسپم جمع آوری شده است. روش Triada استفاده شد برای این نوع برنامه ها پیچیده و غیر معمول است. برنامه های Triada به عنوان ریشه کنی تروجان ها آغاز شده، اما به عنوان محافظت از Google Play محافظت در برابر سوء استفاده ریشه، برنامه های Triada مجبور به انطباق، پیشرفت به سیستم backdoor تصویر سیستم. "

سپس Siewierski روش متداول را توضیح می دهد: "اولین اقدام Triada برای نصب یک نوع پرونده باینری سوپرکاربر (su) بود. این باینری مجاز به برنامه های دیگر موجود در دستگاه اجازه استفاده از مجوزهای ریشه را داد. باینری سو استفاده شده توسط Triada نیاز به رمز عبور داشت منحصر به فرد در مقایسه با فایل های باینری منظم معمول با سایر سیستم های لینوکس منحصر به فرد است و باینری دو کلمه عبور را پذیرفته است: od2gf04pd9 و ac32dorbdq. بسته به اینکه کدام یک ارائه شده باشد، دستور باینری به عنوان یک argument به عنوان ریشه داده می شود یا تمام استدلال ها را به هم متصل می کند این concatenation قبل از SH، سپس آنها را به عنوان ریشه اجرا کرد. در هر صورت، برنامه باید بداند رمز عبور صحیح برای اجرای فرمان به عنوان ریشه. "

این برنامه با استفاده از یک سیستم پیشرفته پیچیده برای آزاد سازی فضای مورد نیاز، اما اجتناب از آن - تا آنجا که ممکن است - حذف هر چیزی که هشدار IT یا مصرف کننده را به یک مشکل. "تماشای وزن شامل چند مرحله و تلاش برای آزاد سازی فضای بر روی پارتیشن کاربر و پارتیشن سیستم کاربر است. با استفاده از لیست سیاه و سفید لیست برنامه ها، ابتدا همه برنامه ها را در لیست سیاه خود حذف کرد. اگر فضای بیشتری نیاز بود، همه را حذف می کرد برنامه های دیگر تنها برنامه های موجود در لیست سفید را ترک می کنند. این روند فضای آزاد را آزاد کرد و اطمینان حاصل کرد که برنامه های مورد نیاز برای عملکرد تلفن به درستی حذف نشده اند. " او همچنین اشاره کرد که "علاوه بر نصب برنامه هایی که تبلیغات را نمایش می دهند، Triada کد را به چهار مرورگر وب تزریق کرد: AOSP (com.android.browser)، 360 Secure (com.qihoo.browser)، Cheetah (com.ijinshan.browser_fast) و Oupeng (com.oupeng.browser). "

باج خواهی هکرهای شهر بالتیمور از آمریکا!

مردم بالتیمور هفته پنجم خود را تحت محاصره الکترونیکی آغاز می کنند که مانع از دریافت مجوز های ساختمانی و مجوز کسب و کار شده و حتی خرید و فروش خانه ها شده است. یک سال پس از اینکه هکرها سیستم ارسال سیستم اضطراری شهر را مختل کردند، کارکنان شهر در سراسر شهر نمیتوانند، از جمله موارد دیگر، از حسابهای ایمیل دولتی خود استفاده کنند یا تجارت منظم شهر را انجام دهند.

در این حمله، یک نوع نرم افزار مخرب به نام ransomware فایل های کلیدی را رمزگذاری کرده و آنها را غیر قابل استفاده می کند تا زمانی که شهر مهاجمان ناشناس 13 bitcoin را پرداخت کند یا حدود 76،280 دلار آمریکا را پرداخت کند. اما حتی اگر شهر پرداخت شود، هیچ تضمینی وجود ندارد که پرونده های آن تمام شود؛ بسیاری از حملات ransomware با اطلاعاتی که از دست داده اند، پایان می یابند.

حملات مشابه در سال های اخیر، خدمات ملی بهداشتی انگلیس را تحویل داده است، حمل و نقل غول پیکر Maersk و دولت های محلی، ایالتی و ایالت ایالت متحده در سراسر ایالات متحده و کانادا.

این نوع حملات بیشتر در حال تبدیل شدن و توجه بیشتر به رسانه ها است. صحبت کردن به عنوان یک حرفه حرفه ای در زمینه امنیت سایبری، جنبه های فنی حوادث مانند این، تنها بخشی از یک تصویر بسیار بزرگتر است. هر کاربر تکنولوژی باید نه تنها تهدیدات و آسیب پذیری ها را در نظر بگیرد، بلکه باید فرآیندهای عملیاتی، نقاط نقص احتمالی و نحوه استفاده از تکنولوژی را هر روزه در نظر بگیرند. فکر کردن به جلو و اقدامات محافظتی می تواند به کاهش اثرات حوادث سایبری در افراد و سازمان ها کمک کند.

نرم افزار طراحی شده برای حمله به رایانه های دیگر چیزی جدیدی نیست. ملل، شرکت های خصوصی، محققان و مجرمان فردی همچنان در حال توسعه این نوع برنامه ها برای طیف وسیعی از اهداف، از جمله جنگ های دیجیتال و جمع آوری اطلاعات و همچنین اخاذی توسط ransomware هستند.

بسیاری از تلاش های مخرب به عنوان یک عملکرد عادی و حیاتی از امنیت سایتی آغاز می شود: شناسایی آسیب پذیری های نرم افزاری و سخت افزاری که می تواند توسط مهاجم مورد سوء استفاده قرار گیرد. سپس محققان امنیتی به آسیب پذیری نزدیک می شوند. در مقابل، توسعه دهندگان نرم افزارهای مخرب، جنایی و غیره، متوجه خواهند شد که چگونه از طریق باز کردن آن کشف شده، کشف شده و به طور بالقوه ویرانی در سیستم های هدف قرار بگیرند.

گاهی اوقات یک ضعف واحد به اندازه کافی برای دسترسی به آنها که می خواهند مزاحم است. اما زمانیکه دیگر مهاجمان از تلفیق چندین آسیب پذیری برای نفوذ به یک سیستم استفاده می کنند، کنترل، سرقت اطلاعات و تغییر یا حذف اطلاعات را در هنگام تلاش برای مخفی کردن هر گونه شواهدی از فعالیت خود را از برنامه های امنیتی و پرسنل استفاده می کنند. چالش اینقدر بزرگ است که هوش مصنوعی و سیستم های یادگیری ماشین در حال حاضر نیز برای کمک به فعالیت های امنیتی سایبری کمک می کنند.

بعضی از سوالاتی در مورد نقش دولت فدرال در این وضعیت وجود دارد، زیرا یکی از ابزارهای هکری که ماموران گزارش کرده اند در بالتیمور استفاده می شود توسط آژانس امنیت ملی ایالات متحده تهیه شده است که سازمان امنیت ملی آمریکا آن را انکار کرده است. با این حال، ابزار هک از NSA در سال 2017 توسط گروه هکرها به سرقت رفته است. شرکت Shadow Brokers برای راه اندازی حملات مشابه طی چند ماه از ابزارهایی که در اینترنت منتشر شد استفاده شد. مطمئنا، این ابزار نباید هرگز از NSA ربوده شود - و باید بهتر از آن محافظت شود.

اما دیدگاه های من پیچیده تر از این است: به عنوان یک شهروند، من مسئولیت NSA را برای تحقیق و توسعه ابزار پیشرفته برای محافظت از کشور و اجرای مأموریت امنیتی ملی خود، به رسمیت می شناسم. با این حال، مانند بسیاری از متخصصان امنیت سایبری، من با این موضوع مخالفت می کنم: هنگامی که دولت یک آسیب پذیری جدید را شناسایی می کند، اما سازنده سخت افزار یا نرم افزار آسیب دیده را تا زمانی که از آن استفاده نمی شود به علت تخریب یا افشای ناگهانی نرسد، در معرض خطر است.

واکنش واضحی به ransomware وجود ندارد

برخی از قربانیان پرداخت می کنند، اما اطلاعات خود را دریافت نمی کنند؛ دیگران پرداخت نمی کنند و آنچه را که از دست داده اند را بهبود می یابند.

وضعیت شهر بالتیمور

تخمین زده شده است که 18 میلیون دلار هزینه بازیابی در بالتیمور پولی است که شهر احتمالا به آسانی در دسترس نیست. تحقیقات اخیر توسط برخی از همکاران من در دانشگاه مریلند، کالج بالتیمور، نشان می دهد که بسیاری از دولت های ایالتی و محلی، به طرز شگفت آوری کم پیش بینی شده اند و به اندازه کافی، صرفا به طور فعالانه، با چالش های بسیاری در زمینه امنیت سایبری مواجه هستند.

در مورد این است که حمله ransomware در بالتیمور یک آسیب پذیری را که بیش از دو سال از آن به طور عمومی شناخته شده است - با یک رفع در دسترس برخوردار است. NSA یک اکتیویته (کد EternalBlue) را برای این ضعف امنیتی کشف کرده است اما مایکروسافت در مورد این آسیب پذیری امنیتی بحرانی تا اوایل سال 2017 هشدار داده و تنها پس از اینکه کارکنان سایه ابزار NSA را برای حمله به آن دزدیده اند، اخطار دادند. به زودی مایکروسافت یک به روز رسانی امنیتی نرم افزاری را برای رفع این نقص کلیدی در سیستم عامل ویندوز خود منتشر کرد.

سیستم‌های امنیتی هتل های Major با ضعف امنیتی بزرگی مواجه هستند

محققان خودکفائی "hacktivist" در این هفته نشان داد که یک محرک اطلاعاتی واقعا بزرگ با پیامدهای بسیاری از زنجیره های بزرگ هتل در سرتاسر جهان است. در این زمان اطلاعاتی که در معرض حملات و مهمان نوازی بود، به جای اینکه اطلاعات مالی و مهمانانه را افشا کنند، حقیقتا به مراتب ارزشمندتر است: حدود 85.4 گیگابایت رجیسترهای امنیتی.

چه داده ای در معرض قرار گرفته است؟

این نقض توسط تیم تحقیقاتی vpnMentor همانگونه که توسط نوام روتم و ران لارار رهبری شده بود، کشف شد، که 11 میلیون عکس نشتی را که من در مورد اوایل امروز نوشتم، کشف کردم. vpnMentor گزارش می دهد که در 27 ماه مه محققان یک سرور ناشناس را که به شرکت هتل و مدیریت رفت و آمد هتل Pyramid Hotel Group مرتبط شده است، کشف کردند. محققان می گویند که داده های نشت شده شامل موارد ذیل است که به عنوان یک لیست خرید رویای سایبری معروف است:

کلید سرور و رمز عبور سرور

نام دستگاه

آدرس های آی پی های ورودی به سیستم و موقعیت جغرافیایی

اطلاعات فایروال و پورت باز

هشدارهای بدافزار

برنامه های محدود شده

تلاشهای ورودی

تشخیص حمله نیروی بی رحم

نام و آدرس کامپیوتر محلی، از جمله هشدار از کدام یک از آنها هیچ گونه آنتی ویروس نصب نشده است

ویروس و بدافزار در ماشین های مختلف شناسایی شده است

خطاهای برنامه

نام سرور و جزئیات سیستم عامل

اطلاعات شناسایی سیاست های سایبری

نام کامل و نام کاربری کارکنان

چه چیزی نمی دانیم؟

با توجه به یک پنجره تهدید باز که بیش از یک ماه طول می کشد، اگر کسی غیر از افراد خوب در سراسر آن درهم شکسته و از آن عبور کند، ناشناخته است. آنچه که من می دانم این است که اگر محققان امنیتی بتوانند آن را به راحتی پیدا کنند، بازیگران تهدید نیز می توانند آن را داشته باشند. اگر آنها انجام دادند، پس از دسترسی به داده های موجود ممکن است اجازه داده اند آنها را به انجام عمیق نظارت بر هر شبکه هتل در معرض قرار گرفتن در معرض. به گفته تیم تحقیقاتی vpnMentor، این کار آنها را قادر می سازد "ساختن یک بردار حمله با هدف هدفمند کردن ضعیف ترین لینک ها در زنجیره امنیتی". این موضوع نگران کننده است؛ به طور حتم مهاجم می تواند در واقع آنچه را که تیم امنیتی هتل می بیند و از روش های حمله خود که بر اساس هشدارهایی که توسط سیستم به دست می آید یاد بگیرند.

همچنین ممکن است امنیت فیزیکی مهمانان توسط نشت اطلاعات تحت تأثیر قرار گیرد. vpnMentor توضیح می دهد: "تیم ما چندین دستگاه را که مکانیزم قفل هتل، مکانیزم های قفل الکترونیکی، و دیگر سیستم های مدیریت ایمنی فیزیکی را در اختیار دارد، کنترل می کند. این در حالی است که این خطرات بسیار خطرناکی را در خانه ایجاد می کند، زمانی که نقص امنیتی سایبری تهدیدی برای دنیای واقعی امنیت."

چه چیزی اشتباه پیش رفت؟

محققان به این واقعیت اشاره دارند که داده ها به 19 آوریل باز می گردند که می تواند نشان دهد که راه اندازی، تنظیم مجدد یا تعمیر و نگهداری سیستم ممکن است سرور را تحت تاثیر قرار دهد تا آن را برای هر کسی که نگاه می کند باز کند و در دسترس باشد. سرور مورد نظر یک سیستم شناسایی نفوذ منبع باز با نام Wazuh داشت. همچنین 85.4 گیگابایت سیاهههای مربوط به ممیزی امنیتی منتشر شد. از آنجا که مشتریان گروه هتل Pyramid شامل برخی از بزرگترین زنجیره های هتل در بسیاری از کشورها هستند و اطلاعاتی که در معرض آن قرار گرفته است مربوط به سیستم عامل، سیاست های امنیتی، شبکه های داخلی و اطلاعات رویداد در مورد امنیت سایبر است، این حادثه به طور بالقوه بسیار جدی است.

سین رایت، متخصص امنیت نرم افزار و رهبر فصل اسکاتلند در پروژه برنامه امنیتی Open Web Application (OWASP)، می گوید: "این طلای مطلق برای مهاجمان است، که این امر به طور عمومی در اینترنت قابل دسترسی است و این اطلاعات را برای این اطلاعات بی اهمیت می کند." با صحبت کردن با رایت، به نظر می رسد که مستندات برای Wazuh اشاره به نیاز به ایمن سازی نصب Elasticsearch، پایگاه داده منبع باز با جستجوی تمام متن است. سوءاستفاده از چنین عناصر نسبتا رایج است و به پایگاه داده Elasticsearch که در قلب گزارش های اخیر قرار گرفتن در معرض اطلاعات مربوط به وب سایت Tommy Hilfiger Japan است، منجر شده است. رایت می گوید: "یک پایگاه داده ناامن را بر روی زیرساخت های عمومی بکشید و از مشکلات خود بپرسید."

چه چیزی درست شد؟

این همه اخبار بد نیست براساس جدول زمانبندی افشاگری توسط vpnMentor، نقض در 27 مه کشف شد و گروه هتل Pyramid در تاریخ 28 ماه مه اعلام شد. آسیب پذیری در 29 مه ثابت شد، بنابراین پاسخ سریع و کارآمد بود. جیک اللوات، معاون رئیس امور امور دولتی در بیتسایت، به عنوان آرامش سردی به نظر می رسد. اولکات، که قبلا به عنوان مشاور حقوقی کمیته بازرگانی سنا و مشاوره در کمیته امنیت مجلس نمایندگان، خدمت کرده است، می گوید: در حالی که بخش های دیگر مانند مالی بر اندازه گیری و نظارت بر خطر سایبری شخص ثالث متمرکز شده اند، "بخش مهمان نوازی با فشارهای نظارتی مشابه مواجه نیست. " حوادثی مانند این، باید به عنوان یک پیغام بیداری به بخش کل سفر و مهمان نوازی به کار گرفته شود. وی می افزاید: "آنها باید به این مسائل نزدیک تر نگاه کنند، و یا با آسیب های اقتصادی و اقتصادی مواجه می شوند ..."

گروه هتل Pyramid تا قبل از زمان انتشار، به درخواست های من پاسخ نمی داد. اگر نظر ارائه شود، این داستان را مطابق با آن خواهم نوشت.

رویارویی بالتیمور با حملات سایبری ransomware

سیاستمدارانی که نماینده یک شهر آمریکا در اثر حملات ransomware هستند، از سوالاتی از آژانس امنیت ملی پس از ادعاهایی که باعث نقض این امر شده اند، می پردازند.

نیویورک تایمز روز شنبه اعلام کرد که یک آسیب پذیری هک شده به نام EternalBlue برای سوء استفاده از دولت محلی بالتیمور مورد سوء استفاده قرار گرفته است.

NSA این نقص را کشف کرد، اما این مقاله ادعا می کند که جاسوس های اینترنتی خود را برای سال ها کشف کرده است.

NSA رد کرد که نظر بدهد

اما این گزارش تحریک ویژه ای را به همراه دارد، زیرا این سازمان در فورت ماید، مریلند مستقر است که درایو کوتاهی از بالتیمور است.

یک سخنگوی NSA به بی بی سی گفت: "ما برای شما در این زمینه چیزی نداریم."

نقص EternalBlue در طیف وسیعی از حملات سایبری طی سه سال گذشته، از جمله حمله WannaCry که باعث اختلال NHS در انگلستان شده است، متاثر شده است.

این شامل یک اشکال در نسخه های قدیمی سیستم عامل مایکروسافت ویندوز است که اجازه می دهد تا دیگر کدهای مخرب در رایانه های آلوده اجرا شود.

نیویورک تایمز گفته است که این سازمان بیش از پنج سال از این مسئله برای مایکروسافت خبر نداشته است، تا زمانی که یک نقض آن را دستکاری کند.

مایکروسافت در مارس 2017 یک نقص در EternalBlue را رفع کرد.

چند هفته بعد، گروهی که خودش را می خواند، Brokers سایه ها ابزار هک مربوط به NSA را به صورت آنلاین منتشر کرد.

NSA هرگز تایید نکرده است که چگونه کنترل کدهای آن را از دست داده و به طور رسمی در این مورد اظهار نظر نکرده است.

اما پیشنهاد این است که اگر آن یافته های خود را با مایکروسافت در یک مرحله اولیه به اشتراک گذاشته شود، کامپیوترهای کمتری در معرض حملات بعدی قرار گرفتند که از آسیب پذیری استفاده می کردند.

قفل کردن ایمیل

رایانه های دولتی شهر بالتیمور در 7 ماه مه باقی ماندند و پس از آنکه فایل هایشان به صورت دیجیتالی کشیده شدند.

مسئولان جنایتکاران 13 بیت کوین (114،440 دلار، 90،200 پوند) برای باز کردن همه آنها، یا سه بیت کوین برای انتشار سیستم های خاص پیش از مهلت تعیین شده، که اکنون به تصویب رسیده اند، خواستار شدند.

مقامات حاضر شدند.

ساکنان محلی قادر به پرداخت صورتحسابهای برق، بلیط پارکینگ و برخی از مالیات آنلاین در نتیجه نیستند.

علاوه بر این، کارکنان قادر به ارسال یا دریافت ایمیل از حساب های معمول خود نیستند.

سناتور کریس ون هولن و نماینده کنگره هلند روپرسبرگر روزنامه "بالتیمور سان" گفته اند که اکنون به دنبال "جلسه کامل" به طور مستقیم از سازمان امنیت ملی آمریکا هستند.

سناتور به این مقاله گفت: "ما باید اطمینان حاصل کنیم که ابزارهایی که توسط سازمان های ما ایجاد شده، به دست بازیگران بد عمل نمی کنند."

برخی از کارشناسان امنیتی می گویند اگر EternalBlue واقعا درگیر باشد، مدیران فناوری اطلاعات باید مدت ها پیش آن را نصب کرده اند.

اما یک مشاور متوجه شد که این ممکن است ساده تر از انجام شود.

تروی هانت می گوید: "برای برخی از سازمان ها، تکه کردن می تواند یک تمرین بی اهمیت باشد، حتی با چند سال زمان سربازی."

برای مثال، سیستم های تخصصی مانند دستگاه های پزشکی اغلب برای مدت زمان طولانی باز می شود.

"از بین بردن این ریسک عوامل مانند دستگاه هایی هستند که به اینترنت متصل نیستند. با وجود این که با وجود اینکه EternalBlue دو سال پس از رفع آنها عفونت را مشاهده می کرد، اما هنوز سیستم هایی وجود دارد که بدون آن هم در دسترس نیستند."

این دقیقا صحبت از شهر در اینجا نیست - پس از همه، آن را مانند فیس بوک کاهش یافته است، صرفا خدمات عمومی مهم است.

برای کسانی که تحت تأثیر قرار گرفته اند، بسیار خسته کننده است - فروش خانه تاخیری در اینجا، یک کسب و کار جدید است که نمی تواند در آن زمان باز شود. یک نفر به من گفت که چگونه آنها نتوانسته اند محل برگزاری عروسی خود را در مکانی که متعلق به شهر است، پرداخت کنند.

یکی دیگر به من گفت که آنها نمیتوانند برای پرداخت بلیط پارکینگ به اینترنت بپردازند - این به آن معنی نیست که به نظر میرسد به من اعتماد کند.

یک ضربه بیشتر در دندان ها برای این شهر، پیشنهاد این است که این حمله از یک سوء استفاده کشف شده توسط نه روس ها یا چینی ها، بلکه توسط یک سازمان مستقر در فاصله 20 مایل - آژانس امنیت ملی آمریکا استفاده کرد.

مقامات شهر می خواهند پاسخی در این باره بدهند، اما مردم محلی نمی خواهند آن را یک سرزنش کنند. هشدارهای مکرر در مورد سرمایه گذاری شدید در زیرساخت های فناوری دولتی وجود دارد.

کامپیوترهای Baltimore به مدت دو هفته توسط هکرها هک شد

حملات ransomware به این معنی است که شهروندان بالتیمور نمیتوانند صورتحساب آب خود یا بلیط پارکینگ را پرداخت کنند.

سیزده بیک کوین بین شهر بالتیمور ایستاده و بسیاری از خدمات و پردازش شهروندان خود را به تکیه بر پس از هکرها هزاران کامپیوتر دولتی را در آغاز ماه گرفتار شده است. اعتراض به مدت دو هفته ادامه دارد و هیچ دلیلی در ظاهر وجود ندارد.

در اینجا چیزی است که اتفاق می افتد: در روز 7 ماه مه، هکرها به صورت دیجیتالی حدود 10،000 رایانه دولتی بالتیمور را دستگیر کردند و تقاضای تقریبا 100000 دلار در بیت کوین ها برای آزاد کردن آنها را ایجاد کردند. این حمله به اصطلاح "ransomware" است، در حالی که هکرها برنامه های مخرب را به منظور جلوگیری از دسترسی به سیستم کامپیوتری و یا دریافت آن تا زمانی که صاحب آن سیستم می پردازد، بازپرداخت می کند.

بالتیمور، مانند چندین شهر دیگر که طی دو سال گذشته با چنین حملاتی برخورد کرده اند، حاضر به پرداخت آن نیست. در نتیجه، به مدت دو هفته کارکنان شهر از حساب های ایمیل خود قفل شده اند و شهروندان قادر به دسترسی به خدمات ضروری، از جمله وب سایت هایی که پرداخت صورت حساب آب، مالیات بر املاک و بلیط های پارکینگ را پرداخت می کنند. این حمله متعارف در بلاروس در حدود 15 ماه است: سال گذشته، یک حمله جداگانه برای حدود یک روز، سیستم 911 شهر را متوقف کرد. بالتیمور برای رسیدگی به هر دو حملات تحت نظارت قرار گرفته است.

حملات ransomware در بالتیمور و سایر دولت های محلی در سراسر ایالات متحده نشان می دهد که به عنوان حملات ransomware گسترش یافته و به عنوان اهداف رایج از قبیل بیمارستان ها و مدارس امنیت سیستم های آنلاین خود را تضمین می کنند، هنوز هم هدف های زیادی برای آسیب پذیری این نوع هک وجود دارد. این همچنین نمونه ای از عجیب و غریب است که قربانیان ransomware با آن روبه رو می شوند: پرداخت و دسترسی شما به عقب، و یا امتناع - به طور بالقوه در طولانی مدت هزینه های بسیار بیشتری.

آنچه در بالتیمور اتفاق می افتد، به طور خلاصه توضیح داده شده است

هکرها در 7 مه از شهر برادران بالتیمور، با استفاده از یک رادیو اینترنتی به نام RobbinHood، که به گفته NPR، امکان دسترسی به یک سرور را بدون کلید دیجیتالی که تنها هکرها دارند، غیرممکن است.

توجه داشته باشید که استفاده از هکرهای بالتیمور، که توسط بالتیمور خورشید به دست آمده، درخواست پرداخت سه بیت کوین در هر سیستم را برای باز شدن قفل کرد، که به 13 بیت کوین برای باز کردن تمام سیستم های دستگیر شده تقسیم می شود. این یادداشت تهدید کرد که اگر آن را در چهار روز پرداخت نمی شد، جبران خسارت را افزایش می دهد و گفت که این اطلاعات برای همیشه از بین خواهد رفت، اگر آن را در 10 روز پرداخت نکنید. هر دو مهلت در حال حاضر گذشت

"ما بیشتر صحبت نمی کنیم، همه ما می دانیم که پول است! عجله کن! تک تاک، تک توک، تک توک! "یادداشت گفت.

دولت شهر از پرداخت پول خودداری می کند، به این معنی است که سیستم های پست الکترونیکی دولت و سیستم عامل های پرداختی این حملات از بین می روند. این حمله همچنین به بازار املاک بالتیمور آسیب رسانده است، زیرا مقامات قادر به دسترسی به سیستم های مورد نیاز برای تکمیل فروش املاک نیستند. (این شهر گفت که معاملات روز دوشنبه ادامه یافت.)

جک یانگ، شهردار بالتیمور، که رسما در کمتر از یک ماه در دفترش بود، در بیانیه ای در روز جمعه گفت که مقامات شهر "به خوبی در روند بازسازی" قرار دارند و "کارشناسان ارشد امنیت سایبری که در محل کار 24-7 کار می کنند مشغول به کار هستند با ما ". FBI نیز در تحقیق شرکت داشته است.

یانگ گفت: "بعضی از تلاش های ترمیم همچنین نیاز به بازسازی سیستم های خاصی دارند تا اطمینان حاصل شود که وقتی ما کارهای تجاری را بازسازی می کنیم، ما این کار را به گونه ای ایمن انجام می دهیم." او زمان زمانی را برای زمانی که تمام سیستم ها دوباره به اینترنت بازگردانده نمی شوند.

رئیس شورای شهر بالتیمور همچنین قصد دارد یک کمیته ویژه برای بررسی این حمله جدید ایجاد کند و سعی کند اطمینان حاصل کند که این اتفاق دوباره رخ نخواهد داد.

حمله مشابه با استفاده از RobbinHood کامپیوترهای دولتی در گرین ویل، کارولینای شمالی در ماه آوریل را تجربه کرد. یک سخنگوی گرین ویل به وال استریت ژورنال گفته است که این شهر هرگز پرداخت نمی شود و در حالی که سیستم هایش به طور کامل بازسازی نشده است، "تمام نیازهای تکنولوژی ما در حال حاضر برآورده شده است."

بیش از 20 شهرداری در ایالات متحده به تنهایی در سال جاری توسط سایبری دستگیر شده اند. و چنین حملاتی می تواند گران باشد، شاید به ویژه اگر اهداف می گویند که آنها پرداخت نمی کنند. در سال 2018، هکرها خواستار آن بودند که آتلانتا به عنوان بخشی از حمله ransomware حدود 50،000 دلار در بیت کوین پرداخت کند. این شهر رد کرد و بر اساس گزارشی که توسط قانوننامه آتلانتا ژورنال و کانال 2 Action News منتشر شد، این حمله به هزینه 17 میلیون دلار برای رفع آن پایان یافت.

حملات Ransomware جدید نیستند - اما ما هنوز درک نحوه برخورد با آنها را داریم

در سال 2017، یک رایانامه به نام WannaCry دهها هزار رایانه را با استفاده از سیستم عامل های Microsoft Windows در بیش از 100 کشور هدف قرار داد. مقامات ایالات متحده و بریتانیا در نهایت سرانجام کره شمالی را برای حمله سایبری مورد انتقاد قرار دادند. همچنین در سال 2017، شرکت های بزرگ در انگلستان، فرانسه، روسیه، اسرائیل و اوکراین با حملات ransomware مواجه شدند. بیمارستان های ایالات متحده نیز هدف قرار گرفتند.

از آن به بعد، تعدادی از بخش ها و سازمان ها اقدامات امنیتی خود را برای محافظت در برابر رنج نرم افزار بهبود داده اند. اما آخرین حمله بالتیمور نمونه ای از یک بازی بی نظیر یک مول است: یک منطقه اقدامات خود را بهبود می بخشد و هکرها فقط به دنبال آن هستند

حملات سایبری پزشکی تا حدود 1400 درصد افزایش پیدا کرده است!

SAN FRANCISCO - یک مرد نابالغ، که به وسیله پزشکان، پرستاران و پزشکان محاصره می شود، مرد متوسط ​​ساله بود که نگران بیمار شدن مراقبت های بهداشتی آمریکا می بود، می تواند خطرناک باشد: "cybergeddon".

"هشدار: تمام مانیتورهای رایانه ای در سیستم بیمارستان پایین آمده است"، صدای زنانه اتوماتیک صدای بلند بر روی یک سیستم آدرس عمومی بیان شده است.

به زودی، وضعیت مرد بدتر شد و یک جفت پزشکان تلاش کردند پاسخ های غیر معمول از دستگاه انسولین بیمار شبیه سازی شده را بیابند - در حالی که بیش از صد نفر هر تصمیم خود را به تماشای آنها می انداختند.

تظاهرات قلب تند و تند و تند و تیز در کنفرانس امنیتی اخیر در مرکز سانفرانسیسکو نشان داد چه اتفاقی می افتد زمانی که یک حمله سایبری فلج می کند یا تجهیزات را در هر بیمارستان در کشور پیدا می کند و دستگاه هایی مانند پمپ انسولین که در بسیاری از خانه ها استفاده می شود.

سوال اساسی: زمانی که هکرها دستگاه های مراقبت های حیاتی را می گیرند، مانند این مثال شدید، پزشکان هنوز می توانند بیمار را نجات دهند؟

دکتر جف توللی، که در کنار دکتر کریستین دانف، همجنسگرای هکر، تبدیل شده است، تظاهرات اینترنتی را توسعه داد، گفت: "این بسیار محرک، متقاعد کننده و تحریک کننده تجربه است."

Dameff در یک مصاحبه مشترک گفت: "ما هشدار را افزایش می دهیم."

دکتر Dameff هنگامی که از او پرسید که آیا بیشتر بیمارستان های ایالات متحده می توانند لحظه ای که حمله سایبری در حال انجام است تشخیص دهد، پاسخ داد: "من بیشتر نمی گویم، نه"، و اذعان کرد که "این یک مشکل برای سیستم مراقبت بهداشتی کشور است.

او توضیح داد: "ما بر این باور هستیم تاکید بیش از حد بر حفاظت از اطلاعات بیمار بجای حفاظت از مراقبت از بیمار قرار داده شده است." "ما به شوخی می گویم که ما حریم خصوصی بیمار را دوست داریم، اما ما می خواهیم آنها زنده بمانند تا از آن استفاده کنند."

دیمف گفت: "ما به شدت نگران زیرساخت هایی هستیم که برای مراقبت های بهداشتی مورد هدف قرار می گیرند. نمونه خوبی از این WannaCry است."

Wannacry شوک سایبری به یک سیستم مراقبت بهداشتی بود که بسیاری پیش بینی کرده بودند.

در سال 2017، بدافزار مخرب 16 بیمارستان در سراسر بریتانیا را تعطیل کرد. ایالات متحده آمریکا کره شمالی را متهم کرد. کارشناسان می گویند، ملت ها، بازیگران غیر دولتی، هکرها و دیگران در هنگام راه اندازی اعتصابات اینترنتی، از جمله به دلایل سیاسی یا مالی یا به سادگی برای کنجکاوی یا سرگرمی، انگیزه های گوناگونی دارند.

دکتر Dameff هشدار داد: "ما درس WannaCry را در ایالات متحده آموختیم."

دکتر توللی اضافه کرد: "چرا ما باید صبر کنیم تا مردم از این موضوع صدمه ببینند؟ چرا ما نمی توانیم مانع از این اتفاق شود؟"

هشدارهای سایبری رشد می کنند

اگر پیشگیری بهترین دارو باشد، تعداد زیادی از مکان ها اسکریپت دریافت نمی کنند.

گزارش امنیتی امنیت شرکت Netscout در سراسر جهان، حملات امنیتی را که شبکه های وب را در بیمارستان ها و دفاتر پزشکان شناخته اند و "حملات انکار سرویس توزیع شده" (DDoS) در 12 ماه گذشته به 1400 درصد افزایش یافته است، کشف کردند.

با وجود اینکه سه چهارم سازمان های بهداشتی در یک نظرسنجی اخیر گفتند که در سال گذشته "یک حادثه مهم امنیتی" داشته اند، تنها 9 درصد از سازمان های مراقبت های بهداشتی معتقدند که یکپارچگی زنجیره تامین یک تهدید بالقوه سایبری است.

وزارت امنیت داخلی فکر می کند در غیر این صورت.

در تحقیق انجام شده برای واحد تحقیقاتی ملی تلویزیون هارست، DHS اعلام کرده است که در سال مالی گذشته (29) بیشتر هشدارهای آسیب پذیری در مورد دستگاه های پزشکی را منتشر کرده است که از پنج سال پیش تلف شده است (23). این اداره گفت که آسیب پذیری های گزارش شده برای همه بخش ها - نه فقط پزشکی - از سال 2016 بیش از دو برابر افزایش داشته است، به 1302 در سال مالی 2018.

آیا ارائه دهنده خدمات پزشکی شما نقض سایبری رنج می برد؟ برای مشاهده نقض اطلاعات توسط: دولت، شرکت، نوع نقض، محل نقض، تاریخ و تعداد افرادی که تحت تأثیر قرار گرفته اند، در حال حاضر تحت بررسی وزارت امور خارجه ایالات متحده از اداره بهداشت و خدمات انسانی حقوق مدنی هستند.

تهدید رو به رشد سایبری این است که چرا دانیل بارد، مامور ارشد فناوری در ارواین، نرم افزار Promenade Software مبتنی بر کالیفرنیا که نرم افزار را برای وسایل پزشکی می سازد، کمک کرد تا سازمان اطلاعات تجزیه و تحلیل اطلاعات پزشکی (MedISAO) را راه اندازی کند. با نعمت اداره غذا و داروی، آن را به عنوان یک مرکز پاکسازی برای سازندگان دستگاه های معمول رقابت می کند تا داده ها را در مورد آسیب پذیری هایی که بر روی دستگاه های چندگانه تاثیر می گذارد - نه تنها از یک شرکت تاثیر می گذارد.

رید در یک مصاحبه توضیح داد: "اگر شما یک هکر هستید و به دنبال کسب بزرگترین سود هستید، می توانید به یک دستگاه پزشکی حمله نکنید. شما قصد حمله به کتابخانه ای که در آن استفاده می شود صدها دستگاه پزشکی. "

"کتابخانه" مخزن داده ها در یک دستگاه است، تقریبا همیشه کد برنامه های شخص ثالث را به چندین مشتری ارائه می دهد که تولید کنندگان می توانند برای استفاده در دستگاه دیگری در اختیار داشته باشند.

Wannacry شوک سایبری به یک سیستم مراقبت بهداشتی بود که بسیاری پیش بینی کرده بودند.

در سال 2017، بدافزار مخرب 16 بیمارستان در سراسر بریتانیا را تعطیل کرد. ایالات متحده آمریکا کره شمالی را متهم کرد. کارشناسان می گویند، ملت ها، بازیگران غیر دولتی، هکرها و دیگران در هنگام راه اندازی اعتصابات اینترنتی، از جمله به دلایل سیاسی یا مالی یا به سادگی برای کنجکاوی یا سرگرمی، انگیزه های گوناگونی دارند.

دکتر Dameff هشدار داد: "ما درس WannaCry را در ایالات متحده آموختیم."

دکتر توللی اضافه کرد: "چرا ما باید صبر کنیم تا مردم از این موضوع صدمه ببینند؟ چرا ما نمی توانیم مانع از این اتفاق شود؟"

هشدارهای سایبری رشد می کنند

اگر پیشگیری بهترین دارو باشد، تعداد زیادی از مکان ها اسکریپت دریافت نمی کنند.

گزارش امنیتی امنیت شرکت Netscout در سراسر جهان، حملات امنیتی را که شبکه های وب را در بیمارستان ها و دفاتر پزشکان شناخته اند و "حملات انکار سرویس توزیع شده" (DDoS) در 12 ماه گذشته به 1400 درصد افزایش یافته است، کشف کردند.

با وجود اینکه سه چهارم سازمان های بهداشتی در یک نظرسنجی اخیر گفتند که در سال گذشته "یک حادثه مهم امنیتی" داشته اند، تنها 9 درصد از سازمان های مراقبت های بهداشتی معتقدند که یکپارچگی زنجیره تامین یک تهدید بالقوه سایبری است.

وزارت امنیت داخلی فکر می کند در غیر این صورت.

در تحقیق انجام شده برای واحد تحقیقاتی ملی تلویزیون هارست، DHS اعلام کرده است که در سال مالی گذشته (29) بیشتر هشدارهای آسیب پذیری در مورد دستگاه های پزشکی را منتشر کرده است که از پنج سال پیش تلف شده است (23). این اداره گفت که آسیب پذیری های گزارش شده برای همه بخش ها - نه فقط پزشکی - از سال 2016 بیش از دو برابر افزایش داشته است، به 1302 در سال مالی 2018.

آیا ارائه دهنده خدمات پزشکی شما نقض سایبری رنج می برد؟ برای مشاهده نقض اطلاعات توسط: دولت، شرکت، نوع نقض، محل نقض، تاریخ و تعداد افرادی که تحت تأثیر قرار گرفته اند، در حال حاضر تحت بررسی وزارت امور خارجه ایالات متحده از اداره بهداشت و خدمات انسانی حقوق مدنی هستند.

تهدید رو به رشد سایبری این است که چرا دانیل بارد، مامور ارشد فناوری در ارواین، نرم افزار Promenade Software مبتنی بر کالیفرنیا که نرم افزار را برای وسایل پزشکی می سازد، کمک کرد تا سازمان اطلاعات تجزیه و تحلیل اطلاعات پزشکی (MedISAO) را راه اندازی کند. با نعمت اداره غذا و داروی، آن را به عنوان یک مرکز پاکسازی برای سازندگان دستگاه های معمول رقابت می کند تا داده ها را در مورد آسیب پذیری هایی که بر روی دستگاه های چندگانه تاثیر می گذارد - نه تنها از یک شرکت تاثیر می گذارد.

رید در یک مصاحبه توضیح داد: "اگر شما یک هکر هستید و به دنبال کسب بزرگترین سود هستید، می توانید به یک دستگاه پزشکی حمله نکنید. شما قصد حمله به کتابخانه ای که در آن استفاده می شود صدها دستگاه پزشکی. "

"کتابخانه" مخزن داده ها در یک دستگاه است، تقریبا همیشه کد برنامه های شخص ثالث را به چندین مشتری ارائه می دهد که تولید کنندگان می توانند برای استفاده در دستگاه دیگری در اختیار داشته باشند.

ریش، با استفاده از صفحه نمایش لپ تاپ و تلویزیون، نشان داد که چگونه شرکت خود یک کتابخانه نرم افزاری را برای آسیب پذیری، به ویژه آنهایی که می توانند مورد سوء استفاده قرار بگیرند، اسکن می کنند. در یک روز در ماه مارس، این برنامه 30 نقطه ضعف احتمالی را در نرم افزار شناسایی کرد. Promenade در حال برنامه ریزی برای استفاده در دستگاه چشم پزشکی است. هر آسیب پذیری در فونت قرمز برجسته شد.

فرهنگی که در حال رشد و در عین حال پرجمعیت است، فرهنگ به اشتراک گذاری اطلاعات بخشی از تکامل در جامعه دستگاه پزشکی است، که عادت به افشای اطلاعات خصوصی به رقبا و یا حفظ محصولات خود را با آخرین حفاظت از سایبر پس از خرید به روز شده است.

"هنگامی که شما یک دستگاه را به یک بیمارستان فروختید، باید برنامه ای برای چگونگی به روز رسانی آن را داشته باشید؛ به نظر می رسد که شما در حال رفع آسیب پذیری های جدید هستید." او گفت که سالهاست که در طرح کسب و کار تولید کنندگان دستگاه های پزشکی قرار نگرفته است.

"به وضوح 10 تا 15 سال پشت"

ریش یک متحد شگفت انگیز در مایکل مک نیل، افسر امنیت جهانی و خدمات Philips Healthcare است که در مصاحبه ای اعلام کرد که صنعتش "به وضوح 10 تا 15 سال پشت سر گذاشته" در امنیت آن است.

McNeil گفت: "من متاسف خواهم بود زیرا به علت پریشانی بودن، ما می توانیم به سرعت بخشیدن و حرکت صنعت در مسیر درست کمک کنیم."

در یک نشست FDA ژانویه در مورد مدیریت امنیت سایبر در دستگاه های پزشکی در خارج از واشنگتن، D.C.، McNeil از همتایان خود پرسید - به گفته وی - "قدم زدن" برای مقابله با چالش.

FDA این رویداد را با استفاده از صدها نفر از سهامداران صنعت مورد استفاده قرار داده است تا ابزارهای جدید امنیتی سایبرنوری را برای رسیدن به تأیید مورد نیاز خود قرار دهند.

دکتر سوزان شوارتز، معاون مدیر دفتر همکاری های استراتژیک و نوآوری های فناوری در مرکز دستگاه ها و بهداشت رادیولوژی در FDA، تلاش می کند و در مصاحبه ای تصریح کرد که هیچ پایگاه مرکزی ای وجود ندارد که حملات سایبری علیه بیمارستان ها و مراقبت های بهداشتی را دنبال کند ارائه دهندگان و عواقب آن حوادث.

دکتر شوارتز پاسخ داد: "بله، آن را بپرسید که آیا این امر مفید خواهد بود که چنین مخزنی از حوادث در سراسر کشور داشته باشد.