هشدار دولت آمریکا به کاربران مایکروسافت ویندوز

آژانس امنیتی امنیت سایبری و امنیت زیرساخت امنیت ایالات متحده (CISA) با اخطار به کاربران مایکروسافت ویندوز در ارتباط با یک آسیب پذیری امنیتی بحرانی عمومیت یافت. با انتشار هشدار "به روز رسانی در حال حاضر"، CISA به کسانی مانند مایکروسافت و آژانس امنیت ملی (NSA) در هشدارهای کاربران ویندوز از خطر آسیب پذیری BlueKeep ملحق شده است.

این آخرین اخطار و بسیاری از کسانی که بیشترین gravitas دارند بحث می کنند، بر روی پاشنه یانیب بلماس، رئیس جهانی تحقیقات امنیت سایبری در Check Point فروشنده امنیتی، به من در مصاحبه ای از SC Magazine UK در مورد مصاحبه با من گفتند: "این در حال حاضر یک مسابقه است در برابر ساعت های مجرمان اینترنتی که این آسیب پذیری را یک بمب سایبری می کند. " بالماس همچنین پیش بینی کرد که تنها چند هفته خواهد بود که مهاجمان از BlueKeep استفاده می کنند.

هشدار CISA به نظر می رسد که این را تأیید کند، اعلام کرد که "با ذینفعان خارجی هماهنگ شده است و مشخص کرده است که ویندوز 2000 برای BlueKeep آسیب پذیر است." به این ترتیب می توان اشیاء راه دور کد را در ویندوز 2000 تایید کرد، ممکن است خیلی ترسناک نباشند، این یک سیستم عامل قدیمی است، زیرا این امر به عنوان تمرین در ترس، عدم اطمینان و شک و تردید نیست. تا کنون، سوء استفاده هایی که توسعه یافته اند، حداقل کسانی که در عملیات دیده می شوند، کاری انجام ندادند تا کامپیوتر را خراب کنند. دستیابی به اجرای کد از راه دور باعث می شود که کرم BlueKeep به نظر برسد، زیرا کنترل کننده دستگاه های آلوده به مهاجم را به ارمغان می آورد.

تحقیقات قبلا نشان داده است که فقط کمتر از یک میلیون دستگاه از اینترنت در برابر پورت 3389 آبی BlueKeep آسیب پذیر هستند که توسط ویژگی Remote Desktop Remote استفاده می شود. اما این فقط نوک این کوه یخی است. این یک میلیون دروازه به طور بالقوه میلیون ها ماشین بیشتر است که در شبکه های داخلی که منجر به آن نشسته است. سوءاستفاده کرم زنی می تواند در داخل آن شبکه حرکت کند، به سرعت در حال گسترش به هر چیز و همه چیز می تواند آلوده به تکثیر و گسترش است. در اینجا قصیر واقعی است: این می تواند شامل ماشین ها در دامنه دایرکتوری Active Directory باشد، حتی اگر آسیب پذیری BlueKeep برای بهره برداری وجود نداشته باشد. دستگاهی که پروتکل دسکتاپ دسکتاپ آسیب پذیر را اجرا می کند، صرفا دروازه است، پس از آنکه پول هوشمندانه در حادثه ای قرار می گیرد که می تواند به عنوان گسترده ای به عنوان WannaCry در سال 2017 برگردد.

آژانس امنیت ملی ایالات متحده در 4 ژوئن یک هشدار از آسیب پذیری BlueKeep اخطار داد. NSA از مدیران و کاربران مایکروسافت ویندوز خواست تا اطمینان حاصل کنند که آنها در برابر تهدید رو به رشد استفاده می کنند. مایکروسافت خود را دو بار در حال حاضر هشدارهای مربوط به BlueKeep از جمله یکی که گزارش شده بود به عنوان التماس کاربران برای به روز رسانی نصب ویندوز خود را منتشر شده است.

در حال حاضر به نظر می رسد یان تورنتون ترامپ، رئیس امنیت در AmTrust بین المللی، هنگامی که به من گفت که او مظنون به NSA بود، "اطلاعات طبقه بندی شده در مورد بازیگر (ها) که ممکن است زیرساخت های حیاتی را با این سوء استفاده" هدف قرار دهد، به شدت خراب شد. توجه داشته باشید که این زیرساخت های حیاتی تا حد زیادی از خانواده های ویندوز XP و 2K3 تشکیل شده است، این بسیار حساس است. در حالی که کاربران ویندوز 8 و ویندوز 10 تحت تاثیر این آسیب پذیری قرار نگرفته است، ویندوز 2003، ویندوز ایکس پی و ویندوز ویستا همه هستند و اخبار که تأیید شده است، توجیه گه های غیرمعمول دولت ایالات متحده و آژانس های آن را در صدور این " به روزرسانی "هشدارها.

ساتنام نارانگ، مهندس ارشد پژوهشی Tenable می گوید که هشدار CISA، "یک حرکت بی سابقه ای است که در اطراف آسیب پذیری BlueKeep قرار دارد." نارانگ به عنوان یادآوری یادآوری اینکه تهدید BlueKeep به چه گونه جدی برای سازمان ها در همه جا است، افزود: "این سطح توجه مطمئنا ضروری است. نوشتن بر روی دیوار است؛ BlueKeep پتانسیل ایجاد ویرانی گسترده، شبیه به کرم WannaCry در سال 2017. سازمانها باید سیستم های آسیب پذیر را اجرا و پاکسازی کنند و یا مقابله با آن را کاهش دهند، اگر پچ کردن به راحتی قابل انجام نباشد. "

هشدار CISA به کاربران توصیه می کند تا تکه هایی را که مایکروسافت در دسترس قرار داده است نصب کند که شامل سیستم عامل هایی است که دیگر رسما پشتیبانی نمی شوند. این همچنین نشان می دهد که کاربران باید این سیستم های "پایان زندگی" را به ویندوز 10 ارتقا دهند. این متاسفانه در همه موارد امکان پذیر نخواهد بود، اما توصیه های پاتچ باقی می ماند محتاطانه است. با این حال، قبل از اینکه آنها را به یک "زندگی" نصب کنید، این تکه ها باید تست شوند تا منفی بودن تاثیر منفی بالقوه بر سیستم های مربوطه به حداقل برسد. با توجه به مشکلاتی که کاربران ویندوز در نتیجه آسیب پذیری های مایکروسافت مایکروسافت و به روزرسانی های دیررس تحمل کرده اند، نمی توانم تأکید کنم که این توصیه تست مهم است. به گفته این افراد، هر کسی که هنوز در برابر تهدید BlueKeep قرار نداشته باشد، باید به صورت فوری، که در هر صورت ممکن است، انجام شود. اگر این امکان پذیر نیست و ممکن است برخی موارد در این مورد وجود داشته باشد، پس از غیر فعال کردن خدماتی که توسط سیستم عامل مورد استفاده قرار نمی گیرد، توصیه می شود برای محدود کردن تماس با BlueKeep. به همین ترتیب، تأیید صحت شبکه در ویندوز 7، ویندوز سرور 2008 و ویندوز سرور 2008 R2 را فعال کنید تا درخواست های جلسه برای احراز هویت لازم باشد، همچنین بر علیه BlueKeep که نیاز به یک جلسه نامعتبر است، کاهش می یابد.

تلاش برای هک کردن 1.5 میلیون سرور RDP

در حال حاضر یک بوت نت اینترنت را در جستجوی ماشین های ویندوز ضعیف محافظت می کند با اتصال پروتکل دسکتاپ Remote (RDP) فعال شده است.

GoldBrute نامی از نرم افزارهای مخرب لیستی از بیش از 1.5 میلیون سیستم منحصر به فرد را گردآوری کرده است و به طور سیستماتیک دسترسی به آنها را با حمله سایبری بیرحمانه یا اعتبار سنجی انجام می دهد.

جستجو در موتور جستجو Shodan نشان می دهد که حدود 2.4 میلیون دستگاه وجود دارد که قابل دسترسی در اینترنت هستند و پروتکل دسک تاپ از راه دور فعال شده است.

نیروی بیرحمانه به عنوان یک حمله واحد مخفی شده است

رناتو ماریینو از آزمایشگاههای مورفوس، جزء نیروی خشن در GoldBrute را تجزیه و تحلیل کرده است، که اسکن وب را حفظ می کند و لیستی از اهداف بالقوه را افزایش می دهد.

 

ماریینو به گفتگو با BleepingComputer گفت که آثار منقضی شده، هدف نهایی برای سرورهای دسک تاپ هک شده را نشان نمی دهد.

همانطور که مکانیزم پایداری وجود ندارد، یکی از نظریه ها این است که آنها آنها را جمع آوری می کنند به عنوان یک سرویس دسترسی به عنوان یک سرویس و یا در انجمن ها و بازار های هکر

محقق می گوید که تنها یک سرور فرمان و کنترل (C2) با استفاده از آدرس IP 104.156 وجود دارد.] 249.231، که نشان دهنده موقعیت مکانی در نیوجرسی، ایالات متحده است.

کد بوت دانلود سنگین 80 مگابایت است زیرا شامل جاوا Runtime کامل است. یک کلاس جاوا "GoldBrute" شامل کد های ربات می شود.

 

یک سیستم آلوده GoldBrute شروع به اسکن کردن وب برای میزبان ها با سرورهای RDP در معرض نمایش می دهد و آدرس های IP خود را به C2 از طریق یک اتصال WebSocket رمزگذاری شده به پورت 8333، که معمولا برای اتصال Bitcoin استفاده می شود، گزارش می دهد.

پس از ارسال آدرس برای 80 قربانی، C2 تعدادی از اهداف را رد می کند که ربات باید نیروی بی رحم باشد. جالب توجه است که یک ربات فقط یک نام کاربری و رمز عبور را برای هر هدف هدف قرار می دهد.

به احتمال زیاد، این تاکتیک به معنای مخفی کردن یک حمله خشونت آمیز هماهنگ شده به هدف است زیرا قربانی تلاش ورود به سایت را از چندین آدرس نشان می دهد.

احراز هویت موفق، دانلود را برای کد GodlBrute و Java Runtime، هر دو در بایگانی ZIP ذخیره می کند.

پس از غیر فشرده سازی، پس از آن یک فایل جارو با نام bitcoin.dll اجرا می شود. پسوند DLL ممکن است برای مخفی کردن کاربران غیر قابل ستایش باشد، اما من معتقد هستم که بخش bitcoin توجه بیشتری را نسبت به یک extension جیار نشان می دهد. مارینو امروز در پست وبلاگ می نویسد.

اسکن، نیروی بی رحم، آلوده، تکرار کنید

ربات شروع به کار بلافاصله و جستجو برای سرور های RDP در معرض. هنگام خشونت زدن، ربات می تواند ترکیب های مختلفی از آدرس آی پی میزبان، نام کاربری و رمز عبور را برای آزمایش انجام دهد.

هنگام تجزیه و تحلیل GoldBrute، محقق توانست کد خود را اصلاح کند تا بتواند لیست را با تمام "host + username + password" ذخیره کند.

"پس از 6 ساعت، 2.1 میلیون آدرس آی پی از سرور C2 دریافت کردیم که 1،596،571 آنها منحصر به فرد هستند. البته ما فاز نیروی فشاری را اجرا نکردیم."

این سیستم ها در سراسر جهان به عنوان قابل مشاهده در نقشه زیر منتشر شده است.

به تازگی، علاقه وب سایبری به سرورهای RDP افزایش یافته است. این بررسی ناخواسته پس از انتشار اخبار BlueKeep، آسیب پذیری اکتیویتی از راه دور در سرویس های Remote Desktop Services (RDS) ظاهر می شود.

هیچ روش ابتکاری در روش حمله وجود ندارد، اما GoldBrute به نحوی است که نیروی خشن را اجرا می کند؛ این روش به آن کمک می کند که مشخصات کم را حفظ کند و همچنین عدم استقامت آن.

سیستم‌های امنیتی هتل های Major با ضعف امنیتی بزرگی مواجه هستند

محققان خودکفائی "hacktivist" در این هفته نشان داد که یک محرک اطلاعاتی واقعا بزرگ با پیامدهای بسیاری از زنجیره های بزرگ هتل در سرتاسر جهان است. در این زمان اطلاعاتی که در معرض حملات و مهمان نوازی بود، به جای اینکه اطلاعات مالی و مهمانانه را افشا کنند، حقیقتا به مراتب ارزشمندتر است: حدود 85.4 گیگابایت رجیسترهای امنیتی.

چه داده ای در معرض قرار گرفته است؟

این نقض توسط تیم تحقیقاتی vpnMentor همانگونه که توسط نوام روتم و ران لارار رهبری شده بود، کشف شد، که 11 میلیون عکس نشتی را که من در مورد اوایل امروز نوشتم، کشف کردم. vpnMentor گزارش می دهد که در 27 ماه مه محققان یک سرور ناشناس را که به شرکت هتل و مدیریت رفت و آمد هتل Pyramid Hotel Group مرتبط شده است، کشف کردند. محققان می گویند که داده های نشت شده شامل موارد ذیل است که به عنوان یک لیست خرید رویای سایبری معروف است:

کلید سرور و رمز عبور سرور

نام دستگاه

آدرس های آی پی های ورودی به سیستم و موقعیت جغرافیایی

اطلاعات فایروال و پورت باز

هشدارهای بدافزار

برنامه های محدود شده

تلاشهای ورودی

تشخیص حمله نیروی بی رحم

نام و آدرس کامپیوتر محلی، از جمله هشدار از کدام یک از آنها هیچ گونه آنتی ویروس نصب نشده است

ویروس و بدافزار در ماشین های مختلف شناسایی شده است

خطاهای برنامه

نام سرور و جزئیات سیستم عامل

اطلاعات شناسایی سیاست های سایبری

نام کامل و نام کاربری کارکنان

چه چیزی نمی دانیم؟

با توجه به یک پنجره تهدید باز که بیش از یک ماه طول می کشد، اگر کسی غیر از افراد خوب در سراسر آن درهم شکسته و از آن عبور کند، ناشناخته است. آنچه که من می دانم این است که اگر محققان امنیتی بتوانند آن را به راحتی پیدا کنند، بازیگران تهدید نیز می توانند آن را داشته باشند. اگر آنها انجام دادند، پس از دسترسی به داده های موجود ممکن است اجازه داده اند آنها را به انجام عمیق نظارت بر هر شبکه هتل در معرض قرار گرفتن در معرض. به گفته تیم تحقیقاتی vpnMentor، این کار آنها را قادر می سازد "ساختن یک بردار حمله با هدف هدفمند کردن ضعیف ترین لینک ها در زنجیره امنیتی". این موضوع نگران کننده است؛ به طور حتم مهاجم می تواند در واقع آنچه را که تیم امنیتی هتل می بیند و از روش های حمله خود که بر اساس هشدارهایی که توسط سیستم به دست می آید یاد بگیرند.

همچنین ممکن است امنیت فیزیکی مهمانان توسط نشت اطلاعات تحت تأثیر قرار گیرد. vpnMentor توضیح می دهد: "تیم ما چندین دستگاه را که مکانیزم قفل هتل، مکانیزم های قفل الکترونیکی، و دیگر سیستم های مدیریت ایمنی فیزیکی را در اختیار دارد، کنترل می کند. این در حالی است که این خطرات بسیار خطرناکی را در خانه ایجاد می کند، زمانی که نقص امنیتی سایبری تهدیدی برای دنیای واقعی امنیت."

چه چیزی اشتباه پیش رفت؟

محققان به این واقعیت اشاره دارند که داده ها به 19 آوریل باز می گردند که می تواند نشان دهد که راه اندازی، تنظیم مجدد یا تعمیر و نگهداری سیستم ممکن است سرور را تحت تاثیر قرار دهد تا آن را برای هر کسی که نگاه می کند باز کند و در دسترس باشد. سرور مورد نظر یک سیستم شناسایی نفوذ منبع باز با نام Wazuh داشت. همچنین 85.4 گیگابایت سیاهههای مربوط به ممیزی امنیتی منتشر شد. از آنجا که مشتریان گروه هتل Pyramid شامل برخی از بزرگترین زنجیره های هتل در بسیاری از کشورها هستند و اطلاعاتی که در معرض آن قرار گرفته است مربوط به سیستم عامل، سیاست های امنیتی، شبکه های داخلی و اطلاعات رویداد در مورد امنیت سایبر است، این حادثه به طور بالقوه بسیار جدی است.

سین رایت، متخصص امنیت نرم افزار و رهبر فصل اسکاتلند در پروژه برنامه امنیتی Open Web Application (OWASP)، می گوید: "این طلای مطلق برای مهاجمان است، که این امر به طور عمومی در اینترنت قابل دسترسی است و این اطلاعات را برای این اطلاعات بی اهمیت می کند." با صحبت کردن با رایت، به نظر می رسد که مستندات برای Wazuh اشاره به نیاز به ایمن سازی نصب Elasticsearch، پایگاه داده منبع باز با جستجوی تمام متن است. سوءاستفاده از چنین عناصر نسبتا رایج است و به پایگاه داده Elasticsearch که در قلب گزارش های اخیر قرار گرفتن در معرض اطلاعات مربوط به وب سایت Tommy Hilfiger Japan است، منجر شده است. رایت می گوید: "یک پایگاه داده ناامن را بر روی زیرساخت های عمومی بکشید و از مشکلات خود بپرسید."

چه چیزی درست شد؟

این همه اخبار بد نیست براساس جدول زمانبندی افشاگری توسط vpnMentor، نقض در 27 مه کشف شد و گروه هتل Pyramid در تاریخ 28 ماه مه اعلام شد. آسیب پذیری در 29 مه ثابت شد، بنابراین پاسخ سریع و کارآمد بود. جیک اللوات، معاون رئیس امور امور دولتی در بیتسایت، به عنوان آرامش سردی به نظر می رسد. اولکات، که قبلا به عنوان مشاور حقوقی کمیته بازرگانی سنا و مشاوره در کمیته امنیت مجلس نمایندگان، خدمت کرده است، می گوید: در حالی که بخش های دیگر مانند مالی بر اندازه گیری و نظارت بر خطر سایبری شخص ثالث متمرکز شده اند، "بخش مهمان نوازی با فشارهای نظارتی مشابه مواجه نیست. " حوادثی مانند این، باید به عنوان یک پیغام بیداری به بخش کل سفر و مهمان نوازی به کار گرفته شود. وی می افزاید: "آنها باید به این مسائل نزدیک تر نگاه کنند، و یا با آسیب های اقتصادی و اقتصادی مواجه می شوند ..."

گروه هتل Pyramid تا قبل از زمان انتشار، به درخواست های من پاسخ نمی داد. اگر نظر ارائه شود، این داستان را مطابق با آن خواهم نوشت.

پیچیدگی بلوتوث ها موجب ریسک های امنیتی می شود

BLUETOOTH چسب نامرئی است که دستگاه را با یکدیگر متصل می کند. به این معنی است که وقتی که اشکالات وجود دارد، همه چیز از دستگاه های اپل و اندروید، اسکوتر ها و حتی کلید های احراز هویت فیزیکی مورد استفاده برای محافظت از حساب های دیگر تاثیر می گذارد. میزان تقریبی می تواند خیره کننده باشد: نقص BlueBorne، اولین بار در سپتامبر 2017 افشا شد، 5 میلیارد کامپیوتر، تلفن و واحد IoT را تحت تاثیر قرار داد.

همانطور که با هر یک از محاسبات استاندارد، احتمال وجود آسیب پذیری در کد واقعی پروتکل بلوتوث خود و یا در بلوتوث کم انرژی سبد سبک خود را. اما محققان امنیتی می گویند دلیل اصلی بلوتوث این است که بیشتر با مقیاس استاندارد از استاندارد نوشته شده است، توسعه آن توسط کنسرسیوم شناخته شده به عنوان گروه بلغور ویژه است. بلوتوث گزینه های زیادی برای استقرار ارائه می دهد که توسعه دهندگان لزوما به طور کامل از گزینه های در دسترس موجود نمی باشند، که می تواند پیاده سازی های نامناسب را به همراه داشته باشد.

بن سیری، یکی از محققانی که BlueBorne و معاون رئیس تحقیق در شرکت امنیتی Armis را در اختیار داشت، می گوید: "یکی از دلایل اصلی بلوتوث در بسیاری موارد است که این پروتکل پیچیده است. "هنگامی که شما به استاندارد بلوتوث نگاه می کنید آن مانند 3000 صفحه طول می کشد - اگر شما آن را با سایر پروتکل های بی سیم مانند Wi-Fi مقایسه کنید، برای مثال، بلوتوث مانند 10 برابر طول می کشد. Bluetooth SIG سعی کرد تا چیزی بسیار فراگیر و متناسب با بسیاری از کاربران نیازهای مختلف، اما پیچیدگی این بدان معنی است که اگر شما سازنده هستید، بدانید که چطور باید از آن استفاده کنید. "

طولانی در دندان

بلوتوث، همانطور که شما احتمالا از اسپیکر قابل حمل، صفحه کلید بی سیم و مسواک خود می دانید، به دو دستگاه پروکسیما اجازه می دهد تا با یکدیگر به یکدیگر متصل شوند. جفت شدن می تواند هر دو طول هر دو دستگاه در حال استفاده است، به عنوان با ردیاب تناسب اندام و گوشی های هوشمند. یا می تواند موقتی باشد، راه تنظیم یک دستگاه یا تأیید هویت کاربر. بلوتوث کم انرژی یک نسخه متراکم از پروتکل است، برای دستگاه هایی که محاسبات محدود و منابع قدرت دارند.

اساسا، هر دو بلوتوث و BLE یک کانال را برای دو دستگاه برای ارتباط برقرار می کنند - یک ترفند بسیار مفید، اما یکی از آن ها درب را برای تعاملات خطرناک باز می کند. بدون بررسی قوی تأیید رمزنگاری، اشخاص ثالث مخرب می توانند از بلوتوث و BLE برای اتصال به یک دستگاه که نباید به آنها دسترسی داشته باشند یا اهداف را فریب دهند تا فکر کنند که دستگاه سرکش خود یک اعتماد است.

سید رفیع حسین، یک کارشناس امنیت در دانشگاه پوردو می گوید: "این استاندارد اغلب یک موضوع را به صورت پراکنده توصیف می کند." "و اغلب تعاملات پیچیده پروتکل را به تولید کنندگان می زند، که یکی دیگر از دلایل آسیب پذیری است."

کن Kolderup، معاون رئیس جمهور بازاریابی در SIG بلوتوث، می گوید که این گروه بسیار از چالش و اهمیت آموزش توسعه دهندگان برای گرفتن دسته در محدوده وسیع بلوتوث آگاه است. او می گوید اسناد و مدارک بسیار گسترده است، زیرا پروتکل نه تنها لایه فرکانس رادیویی را برای بلوتوث تعریف می کند، بلکه همچنین دارای اجزاء در هر لایه تکنولوژی، از سخت افزار تا از طریق برنامه ها، برای تضمین قابلیت همکاری بین دستگاه های بلوتوث است.

Kolderup می گوید: "بلوتوث فقط جریان صوتی بی سیم نیست، انتقال اطلاعات کم قدرت، شبکه مش است؛ این محدوده وسیع تر است." "اما امنیت به وضوح بسیار مهم است. این استاندارد حالتهای عملیاتی را برای همه چیز فراهم می کند، از جمله هیچگونه امنیت تا 128 AES رمزگذاری و یا حالت" فقط اتصالات ایمن ". ما آن را به همان اندازه که جامعه درخواست کرده است قرار داده ایم."

مثال اخیر، هر چند، کمک می کند تا نشان دهد که چگونه روند می تواند شکستن است. در ماه فوریه، محققان شرکت امنیتی McAfee مشکلات بلوتوث کم انرژی انرژی را در یک قفل هوشمند شناخته شده به نام BoxLock گزارش کردند. این دستگاه برای استفاده از یک پیکربندی کم انرژی بلوتوث به نام "Just Works Mode" طراحی شده است که به دستگاه اجازه می دهد بدون هیچ گونه کلمه عبور یا سایر رمزهای عبور رمزگذاری شده جفت شود. در نتیجه، محققان مک آفی می توانند به هر قفل متصل شوند، دستورالعمل BLE دستگاه را تجزیه و تحلیل کنند، و مشخص کنند که کدام دستور را باز کرد. علاوه بر این، BoxLock این دستور را در حالت خواندن / نوشتن پیکربندی کرده است، پس هنگامی که مهاجمان می دانستند چه هدف، می توانند باز شود. BoxLock تا به حال از آسیب پذیری های پچ شده است.

BoxLock به دو مسئله بلوتوث رایج رفت. این یک نسخه نسبتا ناامن از آن برای یک دستگاه - یک قفل - که خواستار امنیت شدید شده است، نصب کرد. با ترویج ترافیک بلوتوث در حال باز کردن، هکرها به راحتی زندگی می کنند.

استیو Povolny، رئیس تحقیقات تهدید پیشرفته در McAfee می گوید: "مشکل این است که BoxLock از اجرای بی بدیل BLE استفاده کرد. "من نمی توانم بگویم که این یک پروتکل ناامن به هیچ وجه است. بخشی از این واقعیت است که بلوتوث به عنوان جامعۀ مورد بررسی جامعه امنیت قرار نگرفته است و برای فروشندگان و تولیدکنندگان چه نقصی دارد هستند."

بطور قطع بلوتوث به درجه ای مورد بررسی قرار گرفته است، اما محققان می گویند که کمبود شدید تحقیق از لحاظ تاریخی دوباره حاصل می شود از این که چگونه این استاندارد حتی استاندارد را می خواند و خیلی کمتر درک می کند که چگونه کار می کند و تمام برنامه های کاربردی ممکن است. در کنار این، این نوع امنیت را از طریق ناگهانی ایجاد کرده است، در حالی که مهاجمان همچنین به راحتی به حملات علیه پروتکل ها و سیستم های دیگر، به جای زمان صرف شده برای چگونگی برخورد با بلوتوث، آسان تر شده اند.

متیو گرین، یک رمزگشاینده در دانشگاه جان هاپکینز، می گوید: "من نمی توانستم یک نظر متداول درباره امنیت واقعی بلوتوث بدهم، و من به شدت متاسفم که طراحان پروتکل نیز نمی توانند باشند." "به همین دلیل است که تمام جزئیات در صدها صفحه از مشخصات قابل خواندن نگهداری می شوند. بسیاری از تولید کنندگان دستگاه با طراحی امنیت خود به عنوان یک نوع لایه" اضافه کردن "که از بلوتوث استفاده می کنند، طراحی شده است. این احتمالا عاقلانه است آنچه که پروتکل خود را از آن غافل کرده است. "

اما در سال های اخیر، توقف بلوتوث شروع به خراب شدن کرده است. پس از آسیب پذیری های بالا مانند BlueBorne، محققان به طور فزاینده ای بر افزایش آگاهی درباره اجرای بلوتوث و مسائل پیکربندی تمرکز می کنند. حمله کنندگان شروع به در نظر گرفتن بلوتوث به عنوان یک گزینه واقعی برای راه اندازی حملات. به عنوان مثال، در روز دوشنبه، شرکت امنیتی Kaspersky Lab یافته های مربوط به یک بازیگر تهدید کننده کره ای را با پیوندهای احتمالی دولت منتشر کرد که یک اسکنر بلوتوث را در نرم افزارهای مخرب ویندوز ساخته است، به نظر می رسد که برای دستگاه های بلوتوث بالقوه مورد نظر اسکن کند.

قفل کردن آن پایین

SIG بلوتوث می گوید که در نظر دارد نسل بعدی منابع برای توسعه دهندگان را شامل می شود، از جمله امکان ایجاد یک ابزار حسابرسی امنیتی، کدنویسی می تواند برای بررسی پیاده سازی بلوتوث خود استفاده کند. Kolderup SIG می گوید که کنسرسیوم تشخیص دقیق مشخصات و اطلاعات را در مورد آسیب پذیری بالقوه و نحوه بهبود امنیت کلی آن را تشویق می کند. SIG همچنین تلاش می کند تا کار بهتر را به منظور انتشار منابع موجود در پیاده سازی امن بلوتوث مانند موسسه ملی استاندارد ها و راهنمای فناوری انجام دهد.

او می گوید: "بیشتر و بیشتر دستگاه ها در حال اتصال به یکدیگر هستند و ناگهان مجموعه ای از چالش های دیگر را که شما باید از زمانی که محصول ایجاد می کنید آگاه کنید." "ما افرادی را تشویق می کنیم که از حداکثر میزان امنیت سایبری مورد نیاز شما پشتیبانی کنند. ما از شما تشویق می کنیم که آن را قفل کنید."

محققان بر این باورند که خطرات امنیتی بلوتوث و پاداش بالقوه برای هکرهای مخرب تنها در حال افزایش است، زیرا بلوتوث به طور گسترده ای در تنظیمات مصرف کننده مانند دستگاه های خانگی هوشمند و پوشیدنی استفاده می شود که بیشتر توسط شرکت ها و دولت ها برای بزرگ شدن استقرار مقیاس در دفاتر شرکت، بیمارستان ها و محیط های کنترل صنعتی.

سروی Armis می گوید: "بلوتوث برای کلید های هوشمند، برای رمزنگاری حساس و احراز هویت استفاده می شود." "و همچنین فقط از دستگاه های متصل پزشکی به زیرساخت های بی سیم، همه چیز در محیط های کسب و کار جایی است که در آن راه است و نظارت نمی شود. این امنیت نیست."

محققان می گویند که ابزارهای بیشتر و منابع آموزشی از سوی SIG بلوتوث، راه بسیار خوبی برای به دست آوردن قابلیت کنترل بیشتر در بلوتوث است. در ضمن، هر زمان که از بلوتوث استفاده نمی کنید؟ فقط آن را خاموش کنید

کد هکرهای ایرانی از بین رفت

تقریبا سه سال پس از آنکه گروه اسرارآمیز به نام Brother's Shadow شروع به از بین بردن هکرهای NSA و نابودی ابزارهای هک شده خود را بر روی وب باز کردند، هکرها ایرانی طعم و مزه خود را از این تجربه نابسامان دریافت می کنند. برای ماه گذشته یک شخص یا گروه رمز و راز هدف اصلی یک تیم هکر ایرانی است، اطلاعاتی که مخفی، ابزار و حتی هویت آنها را بر روی کانال عمومی Telegram قرار می دهد، و نشت نشانه های توقف آن را نشان نمی دهد.

از 25 مارس یک کانال Telegram به نام Read My Lips یا Lab Dookhtegan - که از زبان فارسی به عنوان "لبهای دوخته شده" ترجمه شده است - سیستماتیک اسرار یک گروه هکر به نام APT34 یا OilRig است که محققان معتقدند که در حال کار کردن هستند خدمات حکومت ایران. تا کنون، محرمانه یا ناکارآمدی مجموعه ای از ابزار هکرها را منتشر کرده است، شواهدی از نقاط نفوذ آنها برای 66 سازمان قربانیان در سراسر جهان، آدرس آی پی سرورهای مورد استفاده توسط اطلاعات ایران و حتی هویت ها و عکس های متهمان هکر با گروه OilRig.

"ما در اینجا ابزارهای اینترنتی (APT34 / OILRIG) را نشان می دهیم که وزارت اطلاعات بی رحمانه ایران علیه کشورهای همسایه ایران، از جمله نام مدیران بی رحمانه و اطلاعات مربوط به فعالیت ها و اهداف این حملات سایبری، استفاده می کند" خواندن پیام اصلی ارسال شده به Telegram توسط هکرها در اواخر ماه مارس. "ما امیدواریم که دیگر شهروندان ایرانی برای افشای چهره زشت واقعی این رژیم اقدام کنند".

ماهیت دقیق عملیات نشت و فرد یا افرادی که در پشت آن هستند، چیزی جز روشن نیست. به نظر می رسد این نشت به هکرهای ایرانی خجالت زده است، ابزارهایشان را به نمایش می گذارد و آنها را مجبور می کند تا برای جلوگیری از شناسایی و حتی امنیت و ایمنی اعضای فردی APT34 / OilRig، آنها را بسازند. براندون Levene، رئیس اطلاعات عملیاتی در شرکت امنیتی کرونیکل می گوید: "به نظر می رسد که خود یک ناامیدی ناراضی است که از ابزار اپراتورهای APT34 نشت می کند یا این نوع انحصاری است که علاقه مند به خرابکاری عملیات برای این گروه خاص است. تجزیه و تحلیل نشت انجام شده است. "به نظر می رسد که آنها برای این بچه ها چیز خاصی داشته باشند. آنها نام و فریاد زدن دارند، نه فقط ابزارها را از بین می برند."

از روز شنبه صبح، خوانندگان من به عنوان خوانده شده لب من همچنان به ارسال اسامی، عکس ها و حتی اطلاعات تماس اعضای OilRig اعطا شده به Telegram، هر چند WIRED نمی توانست تایید کند که هر یک از مردان شناخته شده در واقع به گروه هکر ایرانی متصل است. "از حالا به بعد، ما هر چند روز یک بار اطلاعات شخصی یکی از کارکنان لعنتی و اطلاعات مخفی از وزارت اطلاعات را تهدید خواهد کرد تا این وزارت خائن را نابود کند."

تحلیلگران کرونیکل تایید می کنند که حداقل ابزارهای هک شده در واقع ابزار هک کردن OilRig هستند، همانطور که گفته شد. آنها شامل، به عنوان مثال، برنامه های Hypershell و TwoFace، طراحی شده است تا هکرها را به سمت سرورهای هک شده وب متصل کند. یکی دیگر از ابزارهای معروف PoisonFrog و Glimpse به نظر می رسد نسخه های مختلف تروجان با دسترسی از راه دور به نام BondUpdater است که محققان در Palo Alto Networks از ماه اوت گذشته از OilRig استفاده کرده اند.

به غیر از نشت این ابزارها، Read My Lick Laker همچنین ادعا می کند که محتویات سرورهای اطلاعاتی ایران را از بین برده و تصاویری از پیامی که گفته می شود آن را پشت سر گذاشته است، مانند تصویر زیر نشان داده است.

هنگامی که کارگزاران سایه جمع آوری ابزارهای هکینگ مخفی خود را در طول سالهای 2016 و 2017 از بین بردند، نتایج فاجعه آمیز بود: ابزارهای هک ناپذیر NSA EternalBlue و EternalRomance در بعضی از حملات مخرب و هزینه های سایبری در تاریخ مورد استفاده قرار گرفت ، از جمله کرمهای WannaCry و NotPetya. اما Levene Chronicle says می گوید که ابزارهای OilRig تخریب شده تقریبا به اندازه ی منحصر به فرد و خطرناک نیستند و نسخه های نابود شده از ابزارهای وب بطور خاص عناصر گمشده ای را به وجود می آورند که به راحتی قابل بازگشت می باشند. Levene می گوید: "این واقعا برش نیست. "احتمالا این تسلیحات از این ابزارها به وقوع نخواهد رسید."

یکی دیگر از ابزارهای موجود در نشت به عنوان بدافزار "DNSpionage" توصیف شده و به عنوان "کد مورد استفاده برای [man-in-the-middle] برای استخراج اطلاعات احراز هویت" و "کد برای مدیریت دزدی DNS" توصیف شده است. نام و شرح DNSpionage با یک عملیات که شرکت های امنیتی در اواخر سال گذشته کشف کرده اند مطابقت دارند و از زمان به ایران اعطا شده اند. این عملیات، ده ها تن از سازمان های سراسر خاورمیانه را با تغییر دایرکتوری های DNS خود برای هدایت تمام ترافیک ورودی خود به سرور دیگری که هکرها می توانند آن را به طور صریح رهگیری و سرقت هر نام کاربری و کلمه عبور که شامل آن بودند، هدف قرار دادند.

اما Levene Chronicle می گوید که، علی رغم ظاهرا، کرونیکل معتقد نیست که نرم افزارهای مخرب DNSpionage در نشت مطابق با بدافزار مورد استفاده در آن مبارزات انتخاب شده قبلا است. با این حال، دو ابزار ربودن DNS به نظر می رسد قابلیت های مشابهی دارند و دو کمپین هک شده حداقل برخی از قربانیان را به اشتراک گذاشته اند. "Read My Lips" شامل مواردی از مصادیق سرور است که OilRig در یک مجموعه گسترده از شبکه های خاورمیانه، از فرودگاه ابوظبی تا فرودگاه اتیهاد به آژانس امنیت ملی بحرین، به شرکت Solidarity Saudi Takaful که یک شرکت بیمه عربستان سعودی است، تاسیس شده است. با توجه به تجزیه و تحلیل کرونیکل از اطلاعات قربانیان نشت شده، اهداف OilRig نیز به عنوان یک شرکت بازی های کره ای جنوبی و یک مؤسسه دولتی مکزیک متفاوت است. اما Levene می گوید که بسیاری از ده ها قربانی هکرها در خاورمیانه خوشه بندی شده اند و برخی نیز توسط DNSpionage آسیب دیده اند. او می گوید: "ما هیچ ارتباطی با DNSpionage نمی بینیم، اما قربانی همپوشانی وجود دارد." "اگر آنها یکسان نیستند، حداقل منافع آنها متقابل است".

برای OilRig، نشت جاری نشان دهنده افت فشار شرم آور و نقض امنیتی عملیاتی است. Levene می گوید، اما برای جامعه تحقیقاتی امنیتی، آن را نیز ارائه می دهد یک دیدگاه نادر در داخل داخلی گروه هک از طرف دولت حمایت می کند. او می گوید: "ما اغلب نگاهی به گروه های حمایت شده از دولت و نحوه کار آنها نداریم." "این به ما یک ایده از گستره و مقیاس قابلیت های این گروه را می دهد."

با این حال، به عنوان خوانده شده لبخندهای من، اسرار ایرانیان را نشان می دهد، با این حال، منبع نشت آن هنوز رمز و راز است. و با ادعای Telegram خود قضاوت می کند، فقط شروع به کار می کند. پیامی از گروهی که هفته گذشته منتشر شد، می نویسد: "ما اطلاعات بیشتری در مورد جنایات وزارت اطلاعات و مدیران آن داریم." "ما مصمم به ادامه دادن به آنها هستیم. ما را دنبال کنید و به اشتراک بگذارید!"

لپ‌تاپ‌های جدید اچ پی از UI جدیدی برای شناسایی Malware استفاده می‌کند

امروز HP اعلام کرده است که پنج لایحه تجاری لپ تاپ خود را با یک راه حل امنیتی به نام Sure Sense مجهز کرده است. ارائه دهنده جدید امنیتی Endpoint HP با استفاده از هوش مصنوعی (AI) برای تشخیص نرم افزارهای مخرب، از جمله انواع قبلا ناشناخته.

مطمئنا احساس می شود به عنوان بدافزار همچنان به عنوان یک تهدید رو به رشد برای کسب و کار، با 350،000 نوع جدید کشف شده است روزانه، با توجه به تحقیقات 2017 توسط G Data Security که HP در اطلاعیه خود اشاره کرد. HP Sure Sense باید با استفاده از یادگیری عمیق برای جلوگیری و تشخیص تهدیدات صفر روز و فعالیت های مرتبط با ransomware در معرض خطر قرار گیرد.

چگونه یادگیری عمیق AI مبارزه با نرم افزارهای مخرب است؟

HP ادعا کرد که راه حل یادگیری عمیق تر از استفاده از آنتی ویروس مرسوم و یا یادگیری ماشین بدون استفاده از آموزش عمیق است. نرم افزار آنتی ویروس مبتنی بر امضا فایل های جدید را برای فرم های شناخته شده بدافزار بررسی می کند. با این حال، این روش زمان فشرده است و نیاز به به روز رسانی های مکرر دارد. و نمیتواند اشکال جدیدی از نرم افزارهای مخرب را شناسایی کند.

یادگیری ماشین، یک نوع AI، می تواند ویژگی های مخرب رایج را شناسایی کند. بنابراین می تواند برخی از انواع جدید نرم افزارهای مخرب را شناسایی کند اما هنوز هم نیاز به به روز رسانی های مکرر و مهندسی امکانات وقت گیر دارد.

با این حال، با افزودن یادگیری عمیق، Sure Sense AI از شبکه های عصبی چند سطحی استفاده می کند که در صدها میلیون از نمونه های مخرب به شکل داده های خام آموزش دیده است تا بتواند از نرم افزارهای مخرب، از جمله انواع حملاتی که کشف نشده اند، هنوز. در صورتی که در حین اسکن کردن فایل ها چیزی است که به احتمال زیاد بدافزار را پیدا می کند، Sure Sense آن را قرنطینه می کند.

با توجه به HP، حس حساس در میلی ثانیه کار می کند، نیازمند چند به روز رسانی است و تاثیر کمتری بر عملکرد دارد.

HP در حال بارگیری دقیق در پنج رایانه آینده است: EliteBook 830 G6، EliteBook 840 G6 و EliteBook x360 G6 و دو ایستگاه کاری، ZBook 14u و ZBook 15u.

جدید HP EliteBook PCs

HP EliteBook 840 G6

HP EliteBook 840 G6

HP با اضافه کردن حسن نیت به خط EliteBook خود، این سری را به عنوان راه حل های شرکت های امنیتی مورد نیاز قرار می دهد. لپ تاپ ها نیز با HP Sure Click بارگیری می شوند که از تروجان های مبتنی بر وب، Windows Defender و HP Endpoint Security Controller جلوگیری می کند.

پورت های جدید ارائه صفحه نمایش تا 1،000 nits و تا اتصال 4G LTE3. HP همچنین ادعا می کند که محدوده Wi-Fi دو برابر در HP EliteBook830 G6 در مقایسه با سلف خود است.

HP EliteBook x360 G6

HP EliteBook x360 G6

انتظار میرود HP EliteBook 830 x360 G6 در ماه ژوئن آغاز شود، در حالی که HP EliteBook 830 G6 و HP EliteBook 840 G6 در ماه جاری باید در دسترس باشند.

HP ZBook 14u و ZBook 15u Workstations

HP ZBook 15u

HP ZBook 15u

HP ادعا می کند که ZBook 14u خواهد بود که باریکترین ایستگاه کاری سیار در جهان است - نه کششی که بیشتر لپ تاپ های کارگاه با 15 اینچ شروع می شوند. با افزایش گرافیک AMD، می تواند کارهای عظیم کسب و کار را انجام دهد، مانند کار با مدل های 3D CAD، رندر ویدئو و دسترسی از راه دور برای رندر کردن برنامه ها. این برای نرم افزار حرفه ای خلاق مانند Adobe Photoshop، Illustrator، AutoCAD و SolidWorks تست شده است.

در عین حال، 15u خواهد شد ضخیم ترین و سبک ترین HP ایستگاه کاری 15 اینچی تلفن همراه را نشان می دهد. این نیز برای نرم افزار خلاق مورد آزمایش قرار گرفته است و برای دسترسی و همکاری از راه دور مورد استفاده قرار گرفته است.

هر دو ZBooks در تاریخ 27 مه در دسترس خواهند بود.