News Feed http://www.itc.ir/ News portlet RSS <![CDATA[جدول آخرین بروزرسانی ها و آسیب پذیری ها ی نرم افزارهای پرکاربرد کشور(دی ماه 1395) ]]>

جدول آخرین بروزرسانی ها و آسیب پذیری ها ی نرم افزارهای پرکاربرد کشور(دی ماه 1395)

]]>
 

دانلود پیوست

]]>
2017/1/4
<![CDATA[بررسی و تحلیل باج افزار Fantom]]>

بررسی و تحلیل باج افزار Fantom

]]>
 

یک باج افزار جدید به نام Fantom که بر پایه ی پروژه ی باج افزار متن باز EDA2 می باشد، توسطJakub Kroustek ، محقق بدافزار AVG کشف شده است. این باج افزار از یک قابلیت جالب که یک صفحه ی به روز رسانی تقلبی ویندوز تحت عنوان اینکه ویندوز در حال نصب به روز رسانی های حیاتی می باشد استفاده می‌کند. این باج افزار صفحه ی به روز رسانی تقلبی ویندوز را به کاربر نشان می دهد ولی در پشت زمینه در حال رمزنگاری فایل های قربانی می باشد. لازم به ذکر است که این باج افزار فقط در سیستم عامل های ویندوز 8 به بعد عملکرد واقعی خود را نشان می دهد

 

دانلود پیوست

]]>
2016/12/26
<![CDATA[تحلیل یک حمله تروجان موبایلی]]>

تحلیل یک حمله تروجان موبایلی

]]>
 

در ماه اوت چند مورد از یک تروجان بانکی که به طور خودکار در هنگام مشاهده سایت‌های خبری خاصی، بر روی دستگاه موبایل‌شان دانلود شده بود، پیدا داده شده بود. بعدا مشخص شد که این می‌تواند از طریق پیام‌های تبلیغاتی شبکه گوگلAdSense، نیز باشد و محدود به آن سایت‌های خبری نمی‌شود. در حقیقت هر سایتی که گوگل AdSense را جهت نمایش تبلیغات بکار می‌گیرد، می‌تواند تبلیغاتی را نمایش دهد که Trojan-Banker.AndroidOS.Svpeng خطرناک را دانلود کرده و به‌طور اتوماتیک آن را در کارت SD دستگاه ذخیره کند. این نوع رفتار ما را غافل‌گیر کرد: معمولا مرورگر به کاربر اخطار می‌دهد که یک فایل خطرناک در حل دانلودشدن هست و از او می‌خواهد که در مورد ذخیره‌کردن آن فایل اعلام نظر کند. ما ترافیک ورودی دستگاه مورد حمله را در هنگام نمایش این نوع تبلیغات بررسی کردیم  و تشخیص دادیم که چگونه کد مخرب دانلود و به‌طورخودکار ذخیره می‌شود.

 

دانلود پیوست

]]>
2016/12/26
<![CDATA[تنظیم وای‌فای به IMSI Catcher برای ردیابی تلفن همراه کاربران در هر کجا ]]>

تنظیم وای‌فای به IMSI Catcher برای ردیابی تلفن همراه کاربران در هر کجا

]]>

یک خطر جدید برای امنیت گوشی شما وجو دارد: گوشی شما هک و ردگیری می‌شود، بدون آنکه شما با خبر باشید.

بیاد دارید Stingrays (http://thehackernews.com/2015/04/police-spying-cell-phones.html

ابزار جاسوسی تلفن همراه بحث‌برانگیز IMSI catchers، مدتی مدیدی هست که بوسیله مجریان قانون، جهت ردیابی و نظارت کاربران موبایل از طریق شبیه‌سازی یک دکل تلفن همراه و فریب دادن دستگاه‌ها که به آن متصل شوند، استفاده می‌شود. بعضی موارد حتی تماس‌ها و ترافیک اینترنت را دنبال می‌کند، متون جعلی ارسال کرده و نرم‌افزارهای جاسوسی بر روی تلفن یک قربانی نیز نصب می‌کند.

تنظیم کردن چنین دستگاه‌های نظارتی، پرهزینه هست و به یک مجموعه‌ای از اعمال نیاز دارد ولی امروزه محققان راه جدید و کم‌هزینه‌ای را پیدا کرده‌اند که همان کار را با کمک یک وای‌فای هاتاسپات (Wi-Fi hotspot) انجام دهند.

دانلود پیوست

]]>
2016/12/26
<![CDATA[راهنمای امنیتی Nodejs]]>

راهنمای امنیتی Nodejs

]]>
 

Node.js پلتفرمی بر مبنای موتور جاوا اسکریپت مرورگر Google Chrome که به منظور ایجاد برنامه های سریع و گسترش پذیر به وجود آمده است می باشد. Node.js از مدل رویدادگرا و non-blocking برای انجام عملیات I/O بهره می برد. از این‌رو Node.js یک پلتفرم سبک و کارا برای پیاده سازی برنامه های Real-time و مبتنی بر داده است که می توانند به راحتی در سرورهای نامتمرکز اجرا شوند.

امروزه تقریباً هر هفته رخنه های امنیتی جدی مشاهده می شود، مانند موارد LinkedIn یا MySpace. حین این حملات، میزان زیادی از اطلاعات کاربری افشا شد و به اعتبار سازمانی آنها نیز لطمه وارد گردید. بایستی این مسئله برطرف شود. اگر فردی برنامه ای توسعه می دهد، امنیت بخشی از وظیفه وی خواهد بود.

 

لینک پیوست

]]>
2016/12/26
<![CDATA[تروجان اندرویدی: Android Xiny]]>

تروجان اندرویدی: Android Xiny

]]>
 

بدافزار خانواده Android.Xiny یک تروجان جدید است که برای دانلود و حذف برنامه های مختلف بر روی گوشی موبایل قربانی طراحی شده است. این بدافزار برای سیستم عامل اندروید که محبوب ترین سیستم عامل موبایل در دنیا است توسعه داده شده است. این تروجان این قابلیت را دارد که پروسه های در حال اجرای سیستم را مورد هدف قرار دهد و پلاگین های مخربی را دانلود و به درون برنامه ها تزریق کند. این پلاگین ها برای سرقت اطلاعات کاربران استفاده می شود.

اولین بار تیم امنیتی Dr.Web این تروجان را مشاهده نمود. این تروجان از طریق برنامه هایی که از وبسایت های گوناگون قابل دانلود هستند انتقال می یابد. حتی جدیدا از طریق فروشگاه اصلی گوگل پلی نیز این تروجان به گوشی کاربران انتقال خواهد یافت. گزارش شده است که حدود 60 برنامه از فروشگاه اصلی گوگل پلی آلوده به این تروجان هستند.

]]>
2016/12/24
<![CDATA[بررسی و تحلیل باج افزار MarsJoke]]>

بررسی و تحلیل باج افزار MarsJoke

]]>
 

MarsJoke  که با نام های JokeFromMars یا Polyglot نیز شناخته می شود، نوعی باج افزار است که برای اولین بار در اواخر سبتامبر 2016 (22 سبتامبر) توسط ProofPoint شناسایی شد که از طریق پست الکترونیکی منتشر می شود و تمرکز آن بر بخش های دولتی و آموزش k-12 (دوره های تحصیل ابتدایی و متوسطه) می باشد.

این باج‌افزار در یک کمپین رایانامه‌ای گسترده که بات‌نت Kelihos هدایت آن را بر عهده دارد کشف شده است.

این پست های الکترونیکی حاوی URLهایی هستند که به یک فایل اجرایی به نام File_6.exe  منتج می‌شوند، این فایل در وب‌گاه‌های مختلفی میزبانی می‌شود که به تازگی دامنه‌ی آن‌ها به ثبت رسیده و ظاهراً هدف از ثبت آن‌ها پشتیبانی از این کمپین بوده است.

این شیوه با حملات مبتنی بر ماکرو که با گونه‌های مخربی همچون Locky عملی می‌شوند، متفاوت است. مشخصه‌ی کمپین MarsJoke در هرزنامه‌های متقاعدکننده‌ای است که از القاب تجاری شرکت‌های محبوب حمل و نقل و هوایی سوءاستفاده می‌کنند.

لینک پیوست

]]>
2016/12/20
<![CDATA[آسیب پذیری بهره برداری محلی از محصولات صنعتی زیمنس]]>

آسیب پذیری بهره برداری محلی از محصولات صنعتی زیمنس

]]>
 

در پیکربندی های غیر پیش فرض، چندین محصول صنعتی، به وسیله یک آسیب پذیری تحت تأثیر قرار گرفته اند که این آسیب پذیری می تواند به کاربران محلی سیستم عامل مایکروسافت ویندوز اجازه دهد امتیازات خود را تحت شرایط خاص افزایش دهد.

این آسیب پذیری می تواند به کاربران محلی اجازه دهد امتیازات خود را ارتقا دهند، در صورتی که محصولات تحت تأثیر، در مسیر پیش فرض نصب نشده باشند.

اگر محصولات تحت تأثیر، در مسیر پیش فرض خود نصب شده باشند («C:\Program Files\*» یا مسیری مشابه) و مجوزهای پیش فرض دسترسی به سیستم فایل برای درایو «C:\» تغییر نکرده باشد، این آسیب پذیری امنیتی قابل بهره برداری نیست. در غیر این صورت احتمال بهره برداری از این آسیب پذیری امنیتی وجود دارد.

 

لینک پیوست

]]>
2016/12/20
<![CDATA[آسیب پذیری انکار سرویس در محصولات SICAM RTU شرکت زیمنس]]>

آسیب پذیری انکار سرویس در محصولات SICAM RTU شرکت زیمنس

]]>
 

واحد ترمینال راه دور (RTU)، یک دستگاه الکترونیکی تحت کنترل ریزپردازنده است که از طریق انتقال اطلاعات دورسنجی به یک سیستم مرکزی و با استفاده از پیام های سیستم نظارت مرکزی برای کنترل اشیای به هم متصل، رابط بین اشیا در دنیای فیزیکی و یک سیستم کنترلی توزیع شده یا سیستم SCADA می باشد.

RTU بر پارامترهای میدانی دیجیتال و آنالوگ نظارت کرده و داده ها را به ایستگاه نظارت مرکزی ارسال
می کند. RTU حاوی نرم افزار راه اندازی برای اتصال جریان های ورودی اطلاعات به جریان های خروجی اطلاعات، برای تعریف پروتکل های ارتباطی و عیب یابی مشکلات راه اندازی می باشد.

بسته های طراحی شده و خاص که به درگاه 2404/TCP ارسال شده، می تواند باعث شود فعالیت دستگاه تحت تأثیر، دچار نقص گردد. ممکن است راه اندازی در دمای محیط برای بازیابی سیستم مورد نیاز باشد.

آخرین سفت افزار ETA4 برای ماژول ارتباطی SM-2558 IEC 60870-5-140، یک آسیب پذیری را برطرف می سازد که می توانست به مهاجمان راه دور اجازه دهد حمله انکار سرویس را تحت شرایط خاصی اجرا کنند.

 

لینک پیوست

]]>
2016/12/20
<![CDATA[ارزیابی امنیتی سرویس دهنده های پست الکترونیک]]>

ارزیابی امنیتی سرویس دهنده های پست الکترونیک

]]>
 

بسیاری از سازمان ها از سرویس پست الکترونیک سازمانی مخصوص به خودشان استفاده می کنند. تامین امنیت سرویس های پست الکترونیکی سازمانی یکی از چالش های امنیتی مهم در کسب و کار آن سازمان به حساب می آید. اگر امنیت یک سرویس پست الکترونیکی به خوبی برقرار نشود مورد سوء استفاده بسیاری از هکر ها قرار می گیرد. یکی از این سوء استفاده های که می توان انجام داد، این است که از یک برنامه نامه بر برای ارسال هرزنامه استفاده کرد. یکی دیگر از سوء استفاده های که می توان انجام داد این است که یک فرد خود را به جای یک فرد دیگری قرار دهد و اقدام به ارسال نامه های الکترونیکی از طرف آن فرد کند. این سوء استفاده ها به خاطر این است که اگر برنامه نامه بر به خوبی پیکره بندی نشده باشد، می توان بدون احراز هویت اقدام به ارسال نامه های الکترونیکی نمود.

از دیگر خطراتی که برای میل سرور یک سازمان وجود دارد این است که اگر میل سرور به درستی پیکره بندی نشده باشد، می توان پیام های میان پروتوکل های مختلف یک میل سرور برای مثال بین پروتکل SMTP و پروتکل POP3 را شنود کرد. و با استفاده از شنود این نوع از اطلاعات می توان داده های حساس کاربران میل سرور را شنود کرد. بنابراین باعث می شود که محرمانگی اطلاعات که یکی از مهمترین ویژگی های سیستم های امنیت اطلاعات می باشد به مخاطره افتد

 

جهت مطالعه کامل این مستند به پیوست های زیر مراجعه نمایید:

پیوست 1

پیوست 2

پیوست 3

]]>
2016/12/18
<![CDATA[بررسی بدافزار SpyEye]]>

بررسی بدافزار SpyEye

]]>
 

SpyEye یک نوع  Botnet نسل جدید محسوب می‌شود که از اواخر دسامبر 2009 در کشور روسیه فروش نسخه‌ای از آن به نام  SpyEye V1.0 در فروم های غیرقانونی آغاز شد. این toolkit شامل یک ماژول سازنده برای تولید Bot تروجان به همراه فایل پیکربندی آن و همچنین تولید یک کنترل پنل تحت وب برای کنترل و دستور (C & C) برای Botnet می‌باشد. هدف اصلی و اولیه این نوع Botnet سرقت اطلاعات بانکی افراد قرار داده شد ولی با مرور زمان امکانات بیشتری نیز به آن اضافه گردید.اگرچه قابلیت­های اصلی SpyEye مشابه رقیب خود، یعنی زئوس است، SpyEye ترفندهای بسیار پیشرفته­ای را به‌منظور پنهان‌سازی حضور خود بر روی سیستم­های محلی، استفاده می‌کند. یکی از مشکلات مهم درباره خانواده تروجان­های از نوع SpyEye پایین بودن نرخ تشخیص آن توسط آنتی‌ویروس‌ها هست. به همین دلیل نیاز به تحلیل دقیق آن برای ارائه راهکار تشخیص این بدافزار در سیستم حس می‌شود. این سند شامل تجزیه‌وتحلیل فنی عمیق از مکانیزم­های پیشرفته اتصال و تزریق و همچنین قابلیت­های اصلی آن است که به‌منظور سرقت اطلاعات کاربر بکار گرفته می­شود.

جهت مطالعه کامل دانلود نمایید

]]>
2016/12/18
<![CDATA[بررسی بدافزار بانکی زئوس ]]>

بررسی بدافزار بانکی زئوس

]]>
 

Zeus یک تروجان بانکی است که روی نسخه‌های ویندوز اجرا می‌شود. درحالی‌که می‌توان آن را برای انجام بسیاری از وظایف مخرب مورداستفاده قرار داد، اغلب برای دزدیدن اطلاعات بانکی استفاده می‌شود. زئوس یک کیت بدافزار چند ریخت (پلی مورفیک) است که توانایی اجتناب از تشخیص داده شدن توسط آنتی‌ویروس‌های پیشرفته را نیز دارد. زئوس و بسیاری از بات نت های مالی مقیم در مرورگر بوده و قادر به دست‌کاری نمایش HTML از مرورگر هستند. این تروجان برای نخستین بار در سال 2007 شناسایی شد .در این گزارش به بررسی مکانیزم های تزریق و اتصال انجام‌شده و برخی دیگر از ویژگی‌های این بدافزار می‌پردازیم.

زئوس رمزنگاری سفارشی قابل‌حمل اجرایی که شامل لایه‌های رمزنگاری چندگانه است را پیاده‌سازی می‌کند که هریک از لایه‌ها بخش بعدی را رمزگشایی می‌کند. زئوس با استفاده از VirtualAlloc حافظه در Heap تخصیص می‌دهد ، لایه رمزگشایی‌شده جاری را به Heap  کپی می‌کند و سپس اجرا می‌کند. هر لایه یک روش اندکی متفاوت از مبهم سازی را پیاده‌سازی می‌کند که می‌تواند شامل طرح‌های مبتنی بر XOR و ROR باشد.

 

دانلود پیوست

]]>
2016/12/18
<![CDATA[هشدار! هنگام ارتقاء یا بروزرسانی ویندوز 10 کامپیوتر خود را رها نکنید]]>

هشدار! هنگام ارتقاء یا بروزرسانی ویندوز 10 کامپیوتر خود را رها نکنید

]]>
 

بیشتر کاربران یک عادت بد دارند که هنگام ارتقاء سیستم عامل ویندوز، آن را رها می‏کنند. البته این مسأله به این مربوط است که فرایند ارتقاء ویندوز 10 طولانی و خسته‌ کننده است. چرا این مسأله نگران کننده است؟

 

هنگام ارتقاء ویندوز 10، یک شخص نزدیک به قربانی (یا حتی کسی که قربانی او را نمی‏شناسد) می‌تواند بدون نیاز به نرم‌افزار اضافی و با وجود اینکه BitLocker نصب است رابط خط فرمان را با دسترسی کامل باز کند و کارهای خرابکارانه انجام دهد. این مسأله به مایکروسافت گزارش شده است و این کمپانی در حال رفع این مشکل است.

 

هنگام ارتقاء ویندوز 10، کلید های Shift + F10 را فشار دهید تا رابط خط فرمان با دسترسی root  برایتان باز شود تا بتوانید BitLocker را دور بزنید!

 

اگر برای امنیت سیستم خود به نرم‌افزار کدگذاری Windows Bitlocker  اعتماد کرده‌اید، پس آگاه باشید! چون کسی که به سیستم شما دسترسی فیزیکی دارد می‌تواند به اطلاعات شما دسترسی داشته باشد!

کل کاری که لازم است هکر انجام دهد، فشار دادن همزمان کلید‏های Shift+F10 هنگام ارتقاء ویندوز 10 است. محقق امنیتی Sami Laiho این روش دور زدن Bitlocker را کشف کرده است. وقتی شما در ویندوز 10 در حال نصب یک سیستم عامل جدید هستید هکر می‌تواند با فشار دادن Shift+F10 رابط خط فرمان (Command Line Interface) را با دسترسی‏های سیستمی  باز کند. سپس با وجود فعال بودن BitLocker در سیستم قربانی، رابط خط فرمان دسترسی کامل هارد دیسک را به هکر می‌دهد. زیرا در زمان ارتقاء سیستم عامل، Windows PE (Pre-installation Environment) برای نصب ایمیج جدید ویندوز مجبور است BitLocker را غیرفعال کند.

توجه شود که یکی از ویژگی‌های رفع مشکل ویندوز این است که به شما اجازه می‌دهد کلیدهای Shift+F10 را فشار دهید تا رابط خط فرمان برایتان باز شود. متاسفانه این ویژگی با غیرفعال کردن BitLocker، دسترسی به تمام  اطلاعات هارد دیسک را در حین ارتقاء ویندوز ممکن می‌سازد .

بنابراین هکر برای سوء‌استفاده نیاز به دسترسی فیزیکی کوتاه مدت به کامپیوتر هدف دارد، پس از آن به راحتی می‌تواند BitLocker را دور زده و دسترسی مدیر (Administrator) پیدا کند. مسئله‏ای که می‌تواند روی ابزارهایی که در حوزه اینترنت اشیاء از ویندوز 10 استفاده می‌کنند تأثیر بگذارد.

 

چگونه ریسک این خطر را کاهش دهیم؟

به عنوان اقدام‌ متقابل، به کاربران توصیه می‏شود که در حین ارتقاء ویندوز خود آن را رها نکنند. همچنین می‏تواند به کاربران توصیه کرد از ویندوز 10 نسخه LTSB استفاده کنند چون این نسخه از ویندوز 10 به طور خودکار ارتقاء یا بروزرسانی انجام نمی‏دهد.

 

کاربران ویندوز 10 می‌توانند با استفاده از SCCM (System Center Configuration Manager)  دسترسی به رابط خط فرمان در حین ارتقاء ویندوز را مسدود نمایند. برای این کار در پوشه‏ی Setup\Scripts سیستم عامل، یک فایل با نام DisableCMDRequest.tag ایجاد کنند.

]]>
2016/12/11
<![CDATA[تروجان سرقت اطلاعات بانکی اندروید]]>

تروجان سرقت اطلاعات بانکی اندروید

]]>
 

در سیستم عامل اندروید دسترسی مولفه ها و برنامه های عادی به منابع سیستمی محدود شده است و برای دسترسی به اینگونه منابع نیاز به سطح دسترسی SuperUser است. رسیدن به این سطح دسترسی با روش های خاصی امکان پذیر است ولی در صورتی که برنامه ای قابلیت دسترسی به این سطح را پیدا کند به دلیل اینکه به همه منابع سیستم دسترسی خواهد داشت بسیار خطرناک خواهد بود. همچنین به دلیل اینکه در سیستم عامل اندروید برنامه ها را می توان از منابع مختلفی بارگذاری نمود، امکان بارگذاری برنامه های آلوده ای که در فروشگاه های غیر معتبر وجود دارند زیاد است. این نرم افزار ها در نگاه اول نرم افزار های سالمی هستند که پس از نصب سعی در بدست آوردن سطح دسترسی بالا و ایجاد آلودگی و یا سرقت اطلاعات دارند.

درگذشته شاهد استفاده از سطح دسترسی SuperUser در تبلیغات درون برنامه هایی مانند Leech ، Guerilla،  Ztogبوده ایم. این نوع استفاده از سطح دسترسی root، عادی نیست. با این حال برای حملات بدافزار های بانکداری، به دلیل اینکه پول را می توان به روش های دیگری که نیاز به سطح دسترسی خاصی ندارد، دزدید از این روش ها استفاده نمی شد.

در آغاز فوریه سال 2016، آزمایشگاه Kaspersky، یک تروجان بانکداری روی سیستم های اندروید تحت عنوان توردو Trojan banker (android os.tordow) پیدا کرد. نویسندگان این تروجان، استفاده از سطح دسترسی root را مفید می دانستند. به همین دلیل قابلیت های توردو بسیار بیشتر از سایر بدافزار های بانکداری می باشد و این موضوع می تواند باعث ایجاد حملات جدیدی از طرف مهاجمین شود.

 

دانلود پیوست

]]>
2016/12/5
<![CDATA[تاریخچه و تکامل باج افزار Locky]]>

تاریخچه و تکامل باج افزار Locky

]]>
 

با وجود اینکه کلمه «Locky» جالب به نظر می رسد، در واقع یکی از متداول ترین گروه های باج افزار را نشان می دهد. با شناسایی شدن این باج افزار در اواسط فوریه 2016، همه گیر شدن رمزگذاری فایل، به اندازه ای پیچیده است که از رادار برخی ضد بدافزارها مخفی می ماند. به علاوه، سازندگان این باج افزار، در پیاده سازی رمزنگاری و استفاده از مکانیزم قفل اطلاعات که متخصصان امنیتی همچنان به دنبال راهکار دائمی برای آن هستند، بسیار تبحر دارند. درنهایت، این باج افزار نه تنها کاربران منحصر به فرد بلکه مؤسسات بهداشتی، شرکت های مخابراتی، دانشگاه ها و حتی دولت ها را مورد هدف قرار می دهد.

کمپین Locky به جای یک روند ایستا، یک فرآیند است. در طول فعالیت هشت ماهه خود، پنج شاخه مجزا از آن حاصل شده و احتمالاً چندین شاخه دیگر نیز در حال آماده سازی است. هر به روزرسانی جدید،

باج افزار را به دقت تنظیم می کند، به طوری که می تواند تلاش های رمزگشایی را مؤثرتر پاسخ دهد و فعالیت خود را برای گریز از شناسایی، مبهم کند. اکنون بررسی می گردد که چگونه این آسیب، طی زمان تکامل یافته است.

 

دانلود پیوست

]]>
2016/12/5
<![CDATA[مکانیزم Device Guard ویندو10]]>

مکانیزم Device Guard ویندو10

]]>
 

با هزاران فایل جدید مخربی که هر روزه تولید می شوند، استفاده از راه های قدیمی مانند استفاده از آنتی ویروس ها راه دفاعی کافی در برابر حملات جدید محسوب نخواهد شد. Device Guard در ویندوز 10 نسخه سازمانی ، رویه سیستم عامل را از حالتی که در آن برنامه ها قابل اعتماد هستند (مگر اینکه توسط یک آنتی ویروس یا برنامه ی امنیتی دیگر جلوی کار آنها گرفته شود)، به حالتی که در آن سیستم عامل فقط به برنامه هایی اعتماد می کند که توسط خود شرکت مجاز شده باشند تغییر داده است. این برنامه ها با ایجاد سیاست های درستی کد، به عنوان برنامه های قابل اعتماد مشخص می شوند.

مکانیزم صحت کد دو قسمت دارد:‌ حالت درستی کد در مد هسته و حالت درستی کد در مد کاربر. حالت هسته ی درستی کد در نسخه های قبلی ویندوز وجود داشته و هسته ی سیستم عامل را در برابر اجرا شدن درایور های شناخته نشده محافظت می کرد. در ویندوز ۱۰ و ویندوز سرور ۲۰۱۶ علاوه بر حالت هسته، حالت کاربر درستی کد هم برای محافظت در برابر ویروس ها  و بد افزار ها اضافه شده است.

برای بیشتر کردن میزان امنیتی که سیاست های درستی کد ایجاد می کند، Device guard می تواند از قابلیت های پیشرفته ی سخت افزار ها برای محافظت بیشتر آنها استفاده کند. این قابلیت ها شامل شبیه سازی CPU (Intel VT و AMD-V) و ترجمه سطح دوم آدرس (SLAT) می شود. علاوه بر این سخت افزار هایی که دارای واحد های مدیریت ورودی و خروجی حافظه هستند، محافظت بیشتری را شامل می شوند. وقتی که قابلیت های پیشرفته سخت افزار را فعال سازی می کنید، سرویس درستی کد می تواند در کنار هسته ی ویندوز در یک حالت محافظتی اجرا شود.

دانلود پیوست

]]>
2016/12/5
<![CDATA[بهبود امنیت سایبری سیستم کنترل صنعتی از طریق استراتژی های دفاع در عمق]]>

بهبود امنیت سایبری سیستم کنترل صنعتی از طریق استراتژی های دفاع در عمق

]]>
 

سیستم های کنترل صنعتی (ها ICS)، بخش اصلی زیرساخت های حیاتی هستند و به تسهیل فعالیت های صنایع حیاتی مانند برق، نفت و گاز، آب، حمل و نقل، تولیدات و تولیدات شیمیایی کمک می کنند. موضوع در حال گسترش امنیت سایبری و تأثیر آن بر ICS، خطرات اساسی برای زیرساخت حیاتی کشور را نشان

می دهد. مدیریت مؤثر مسائل امنیت سایبری ICS، نیازمند درک صریح چالش های کنونی امنیت و اقدامات متقابل دفاعی خاص است. یک راهکار جامع (راهکاری که از اقدامات متقابل خاص پیاده سازی شده در لایه ها جهت ایجاد وضعیت امنیتی جامع و مبتنی بر خطر استفاده می‌کند) به دفاع در مقابل تهدیدات و آسیب پذیری های امنیت سایبری که می تواند بر این سیستم ها تأثیر بگذارد، کمک می کند. این راهکار که غالبا به عنوان «دفاع در عمق » به آن اشاره می شود، چارچوب انعطاف پذیر و قابل استفاده ای را برای بهبود امنیت سایبری در زمان پیاده سازی در سیستم های کنترل، ارائه می کند.

 

دانلود پیوست

]]>
2016/12/5
<![CDATA[ محققین بیان داشتند: بدون نوشتن کد نیز می‏توان راهکارهای امنیتی رایج لینوکس را دور زد!]]>

 محققین بیان داشتند: بدون نوشتن کد نیز می‏توان راهکارهای امنیتی رایج لینوکس را دور زد!

]]>
 

به عنوان مدیر یک سیستم مبتنی بر لینوکس باید در نظر داشت که حتی نصب جدیدترین پچ ‏های امنیتی روی توزیع مورد استفاده شما نیز نمی‏تواند مصونیت در برابر آسیب‏ پذیری ‏های موجود را تضمین نماید. لینوکس از مولفه ‏های متعددی تشکیل شده است که هرکدام از آنها می‏توانند مورد حمله قرار گیرند.

اخیرا «کریس ایوانز» محقق امنیتی معروف، نوعی اکسپلویت (کد مخرب) عرضه کرده که بسیار حرفه ‏ای نوشته شده و از روشی غیرمعمول برای سوء‏استفاده از آسیب‏ پذیری حافظه در GStreamer بهره می‏گیرد، اما به هر حال از اهمیت فوق العاده‏ای برخوردار است.

این اکسپلویت می‏تواند دو سیستم حفاظتی رایج در لینوکس را هدف قرار می دهد؛ یکی «تصادفی ‏سازی چیدمان فضای آدرس» یا ASLR و دیگری «محافظت از اجرای داده ‏ها» یا DEP است. همانطور که می‏دانید سیستم ASLR محل بارگذاری کدها درون حافظه را به صورت تصادفی تعیین می‏کند، و همچنین DEP نیز از بارگذاری اکسپلویت روی حافظه جلوگیری می‏نماید. شکل زیر نشان می‏دهد که fedora چطور مجبور می‏شود که از اکسپلویت استفاده بکند.

با این حال اکسپلویت مورد بحث که فقط روی توزیع fedora عمل می‏کند، از کدنویسی خاصی برای تعامل نرم ‏افزاری با مجموعه هدف یعنی چارچوب GStreamer استفاده نکرده و صرفاً با کدهای حرفه ‏ای، این دو سرویس امنیتی را از کار می‏ اندازد. «ایوانز» در این رابطه می‏گوید:

این کار نشان داد تهیه اکسپلویت ‏های بدون اسکریپت هم ممکن است، حتی با وجود اینکه سیستم 64 بیتی ASLR به حفاظت از سیستم بپردازد. با این روش می‏توان عملیات خواندن و نوشتن حافظه را کنترل نموده و حتی مواردی را در وارد حلقه decoder نمود تا به آرامی، اکسپلویت را پیش برده و کنترل کامل را به دست آورد.

گفتنی است ایوانز این اکسپلویت را به شکل فایل FLAC منتشر کرده که روی نسخه fedora 24 کار می‏کند و آسیب‏پذیری GStreamer را اکسپلویت می‏کند و همچنین می‏تواند به مدیا پلیرهای Rhythmbox و Totem نیز حمله کند. البته او می‏گوید نوشتن همین اکسپلویت برای Ubuntu بسیار ساده ‏تر است، همچنین از طریق بازنویسی کامل می‏توان تمامی توزیع های دیگر علاوه بر fedora را نیز هدف قرار داد.

محققانی نظیر ایوانز برای بهبود امنیت لینوکس چنین اکسپلویت‏ هایی را ایجاد می‏کنند.  با منتشر کردن چنین اکسپولیت‏ هایی که می‏توانند آسیب‏پذیری‏ های ناشناخته لینوکس را نشان دهند، این امید وجود دارد که عرضه کنندگان لینوکس بجای اینکه برای هر تهدید جدید یک راهکار ارائه دهند بتوانند امنیت لینوکس را به صورت پایه‏ ای بهبود دهند.

]]>
2016/12/1
<![CDATA[جدول آخرین بروزرسانی ها و آسیب پذیری ها ی نرم افزارهای پرکاربرد کشور(آذرماه 1395) ]]>

جدول آخرین بروزرسانی ها و آسیب پذیری ها ی نرم افزارهای پرکاربرد کشور(آذرماه 1395)

]]>
 

دانلود پیوست 

]]>
2016/11/29
<![CDATA[امنیت مجازی سازی]]>

امنیت مجازی سازی

]]>
 

اجرای چندین ماشین مجازی روی یک کامپیوتر بجای سرورهای اختصاصی که هر کدام نیازمند نگهداری های دمایی و مراقبت های توان مصرفی است، مبحث متقاعدکننده ای است.  گره های مجازی سازی شده که توسط یک سرور فیزیکی واحد تغذیه می شوند، صرفه اقتصادی مناسبی دارد. تأثیرات اقتصادی مجازی سازی می تواند به طرز جذابی قوی باشد. به استناد نظر سنجی انجام شده توسط Forrester در سال 2011، پیاده سازی زیرساخت های ماشین های مجازی 255% از ریسک تنظیم شده در مدل  ROI  در یک بازه ی 4 ساله را به همراه داشته است که حتی با یک بازدهی 17 ماهه بعد از گسترش نیز برابر است.

اکنون سؤال این است که چه تعداد از ماشین های مجازی را می توان با آن مشخصات سخت افزاری بدون تأثیر قابل توجه در کارایی آنها پیاده سازی کرد؟ این به عنوان نرخ تثبیت شناخته می شود و این در حقیقت بخش ماهرانه کار است. با بسیاری از فاکتورهای که باید در نظر گرفته شود. به عنوان مثال باید دید ماشین مجازی مورد نظر چه نوع کارهایی را باید بتواند انجام دهد؟ از چه نرم افزاری برای ساخت استفاده می شود؟ ریسک های موجود برای سرمایه گذاری تمام عیار روی این کار چیست؟ و چگونه مطمئنانه زیرساخت مجازی خود را باید امن نمود و بدون کاهش بسیار زیاد سرعت در کار، از عدم آسیب پذیری در مقابل مجرمان مجازی اطمینان حاصل کرد؟ برای انتخاب تصمیم درست، به فهمیدن چندین مقوله و چگونگی ارتباط کاری بین آنها نیاز است.

لینک پیوست

]]>
2016/11/26
<![CDATA[همایش افتتاحیه چهارمین جشنواره ملی امنیت فضای تبادل اطلاعات]]>

همایش افتتاحیه چهارمین جشنواره ملی امنیت فضای تبادل اطلاعات

]]>
 

چکیده خبر

همایش افتتاحیه چهارمین جشنواره ملی امنیت فضای تبادل اطلاعات با حمایت مرکز ماهر، چهارشنبه 12 آبان 95 با محوریت مرکز تخصصی آپا  در دانشگاه صنعتی اصفهان برگزار شد. در این همایش که با حضور اساتید، دانشجویان، مدیران، کارشناسان، متخصصین و صاحبان کسب و کار افتا برگزار شد، چندین سخنرانی‌ با موضوعات امنیت سایبری، فرصت‌های کسب و کار افتا و ایده‌پردازی در افتا توسط اساتید و متخصصین ارائه گردید. گروه مسابقات فتح‌پرچم آپا دانشگاه صنعتی اصفهان به تشریح محورهای مسابقات پرداخت و مسابقه ایده نو افتا در همایش برگزار گردید.

 

چهارمین جشنواره ملی امنیت فضای تبادل اطلاعات با هدف ارتقاء سطح آگاهی عمومی در زمینه امنیت فضای تبادل اطلاعات وهمچنین رشد و توسعه ایده‌های نوین در عرصه امنیت فناوری اطلاعات و ارتباطات  با حمایت مرکز ماهر در پاییز و زمستان 95 در دانشگاه صنعتی اصفهان برگزار می‌گردد.

این جشنواره، رویدادی ترویجی در حوزه امنیت فضای تبادل اطلاعات  است و شامل بخش‌های متنوعی از جمله مسابقه CTF، رویدادSecurity Startup، کارگاه‌ها و سمینارهای تخصصی و نمایشگاه ترویجی امنیت فضای تبادل اطلاعات می‌باشد.

همایش افتتاحیه این رویداد با حمایت مرکز ماهر، چهارشنبه 12 آبان 95 با محوریت مرکز تخصصی آپا  در دانشگاه صنعتی اصفهان برگزار شد. در این همایش، آقای دکتر بهروز ترک‌لادانی با موضوع دفاع از عمارت شیشه‌ای (تهدیدات و فرصت‌های امنیت فضای سایبری)، دکتر فانیان با موضوع فرصت‌های کسب و کار افتا و مهندس امینی با موضوع ایده‌پردازی سخنرانی داشتند. همچنین گروه مسابقات فتح‌پرچم مرکز تخصصی آپا  به تشریح محورهای مختلف این مسابقات پرداختند. در ادامه مهندس امیر وهوشی به  عنوان کارآفرین موفق فناوری اطلاعات، به بیان تجربیات، پیروزی‌ها و شکست‌های خود پرداخت. در پایان مسابقه ایده نو افتا برگزار گردید و سه نفر از شرکت‌کنندگان در همایش در مدت سه دقیقه به بیان ایده خود پرداختند و در پایان ایده برتر با نظر کمیته فنی جشنواره (شامل اساتید و متخصصین فنی) انتخاب و یک ربع سکه اهدا شد.

 

مرحله نهایی این جشنواره، هفته اول اسفند 95 (دوم الی چهارم اسفند 95) در دانشگاه صنعتی اصفهان برگزار خواهد شد.

 

]]>
2016/11/19
<![CDATA[آسیب پذیری های محصولات siprotec4 و siprotec compact شرکت زیمنس]]>

آسیب پذیری های محصولات siprotec4 و siprotec compact شرکت زیمنس

]]>
 

آسیب‌پذیری دور زدن احراز هویت و پایان یافتن منابع بر روی محصولات siprotec4 و siprotec compact شرکت زیمنس

شرکت زیمنس از انتشار نسخه‌ی بروز رسانی سفت افزار برای دو محصول siprotec 4  و siprotec compact خبر داده است که به منظور کاهش آسیب پذیری های دور زدن احراز هویت و پایان یافتن منابع می باشد. این  آسیب پذیری ها می توانند از راه دور مورد سوء استفاده قرار گیرند.

محصولات تحت­تأثیر

طبق گزارش شرکت زیمنس، محصول زیر تحت تاثیر این آسیب پذیری قرار دارد:

  • ماژول اترنت EN100 (بطور اختیاری روی siprotec4 و siprotec compact قرار میگرد): تمام نسخه های قبل از v4.29

تأثیرات آسیب پذیری

مهاجم، با سوء استفاده از این آسیب پذیری میتواند به قسمت مربوط به مدیر اپلیکیشن تحت وب وصل شود. مهاجمانی که به شبکه از طریق رابط وب (port80/tcp) متصل اند، میتوانند احراز هویت را دور بزنند و عملیاتی در سطح مدیر انجام دهند.

تاثیر این آسیب پذیری بر سازمان ها به فاکتورهای متعددی که برای هر سازمان منحصر به فرد هستند، بستگی دارد. NCCIC/ICS-CERT به سازمان ها توصیه می کند تاثیر این آسیب پذیری را بر اساس محیط عملیاتی، معماری و پیاده سازی محصول شان ارزیابی کنند.

 

 

 

 

 

اقدامات جهت کاهش شدت آسیب­پذیری

شرکت زیمنس سفت افزار نسخه v4.29  را برای بروز رسانی ماژول EN100  در این دو محصول ارایه کرده است. همچنین برروز رسانی به اخرین نسخه را نیز توصیه کرده است.

ادرس محل دانلود نسخه های بروز برای این دو محصول در زیر امده است:

http://www.siemens.com/downloads/siprotec-4

http://www.siemens.com/downloads/siprotec-compact(link is external)

 

به عنوان یک اقدام امنیتی عمومی، شرکت زیمنس به حفظ شبکه از دسترسی دستگاه های خارجی و غیر محیطی به آن با مکانیزم های مناسب توصیه می کند.

مرکز ماهر جهت به حداقل رساندن خطر بهره برداری از این آسیب‌پذیری ها، به کاربران توصیه می کند تدابیر امنیتی در نظر گیرند. به طور خاص، کاربران باید:

  • در معرض شبکه قرار گرفتن تمام دستگاه های سیستم و/یا سیستم های کنترل را به حداقل برسانند، و مطمئن شوند که آنها از طریق اینترنت قابل دسترسی نیستند.
  • شبکه های سیستم کنترل و دستگاه های راه دور را در پشت دیوارآتش مستقر سازند، و آن ها را از شبکه تجاری جدا سازند.
  • هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن، مانند شبکه های خصوصی مجازی (VPNs) استفاده کنند، در نظر داشته باشند که VPNها نیز ممکن است آسیب پذیری هایی داشته باشند و باید به جدیدترین نسخه موجود به روز رسانی شوند. همچنین VPN تنها امنیت دستگاه های متصل را تأمین می کند.

مرکز ماهر یادآور می شود که سازمان ها قبل از اعمال تدابیر امنیتی، آنالیز مناسبی از تأثیر و ارزیابی خطر انجام دهند.

]]>
2016/11/14
<![CDATA[ابزار‌های اینترنت اشیاء، سربازان جدید سنگین‌‌ترین حملات اینترنتی]]>

ابزار‌های اینترنت اشیاء، سربازان جدید سنگین‌‌ترین حملات اینترنتی

]]>
حملات اینترنتی اخیری که قالباً به صورت حملات منع دسترسی توزیع‌شده (DDOS) در سطح اینترنت انجام شده و رکورد بزرگترین حملات اینترنتی از نوع DDOS را به اسم خود ثبت کرده، یک بازیکن اصلی دارد. پشت همه حمله‌های اخیر، یک بات‌نت به اسم میرای (Mirai) قرار دارد که ابزار‌های اینترنت اشیاء (Internet Of Things) را هدف گرفته است. میرای با تحت دسترسی گرفتن ابزار‌های اینترنت اشیاء، از آن‌ها به عنوان سربازانی برای انجام حملات منع دسترسی توزیع شده با حجم بالا استفاده می‌کند.

شرح خبر

حمله به سرور‌های شرکت Dyn که یک ارائه‌دهنده خدمات DNS معتبر است و بسیاری از وب‌سایت‌های مهم نظیر Twitter، Spotify، Reddit، Box، Github، PayPal و Pinterest از این سرویس‌دهنده استفاده می‌کنند، بسیاری از کارشناسان و متخصصان را بیش از پیش متوجه پتانسیل انجام این حملات و خرابکاری‌های این چنینی کرد. این حمله که بعضی از کارشناسان از آن به عنوان قطع شدن نیمی از اینترنت یاد می‌کنند، بزرگترین حمله‌ای بود که اینترنت تا به حال به خود دیده است. رد پای بات‌نت‌های Mirai در این حمله پر رنگ بود و سهم عظیمی از این حمله به عهده ابزار‌های  تسخیر شده توسط این بات‌نت انجام شد. این حملات بیش از پیش کارشناسان را متوجه مسائل امنیتی ابزار‌های اینترنت اشیاء کرد.

 

کارشناسان معتقدند که بات‌نت‌های میرای توانایی انجام حمله منع دسترسی توزیع‌شده تا حجم 10 ترابیت بر ثانیه (10 Tbps) را دارند. این چنین حملاتی توانایی آن را دارند که اینترنت یک کشور را به طور کامل از دسترس خارج کنند. حمله‌ای که هفته پیش بر علیه کشور لیبریا رخ داد و کل اینترنت این کشور افریقایی را مختل نمود، یکی دیگر از این نمونه حمله‌ها با استفاده از ابزار‌های اینترنت اشیاء بود.  البته حجم این حمله (500 Gbps) به اندازه حجم حمله به سیستم DNS دو هفته گذشته (1 Tbps) نبود.

 

تعداد بدافزار‌هایی که ابزار‌های اینترنت اشیاء را هدف قرار می‌دهند رو به افزایش است و طی چند سال گذشته چند برابر شده است. سال 2015 با ظهور هشت خانواده جدید بدافزار، یک رکورد برای حملات علیه اینترنت اشیاء بود. بیش از نیمی از حملات علیه این ابزار‌ها از چین و امریکا انجام می‌شود؛ روسیه، آلمان، هلند، اوکراین و ویتنام هم جزء کشور‌هایی هستند که حملات زیادی علیه اینترنت اشیا از آن‌ها سرچشمه می‌گیرد. این آمار توسط تست‌های شرکت سیمانتک و آمار حمله‌ها به هانی‌پات‌های این شرکت به دست آمده است.

امنیت پایین ابزار‌های اینترنت اشیاء آن‌ها را به هدف‌های ساده‌ و قربانیانی مطلوب برای بد‌افزار‌ها تبدیل کرده است. حتی این ابزار‌ها گاهی متوجه آن نمی‌شوند که مورد حمله واقع شده و تسخیر شده‌اند. هکر‌ها اکنون از امنیت بسیار پایین ابزار‌های اینترنت اشیاء  و تنظیمات امنیتی ضعیف آن‌ها آگاهند (که غالباً همان تنظیمات پیش‌فرض کارخانه هستند) و از آن‌ها در راستای رسیدن به اهداف خود استفاده می‌کنند. به عنوان مثال با یک جدول شامل نام کاربری و کلمه عبور‌های تعیین شده به صورت پیش‌فرض برای ابزار‌های اینترنت اشیاء سعی در نفوذ به این ابزار‌ها دارند.

 

در ابتدا تصور می‌شد که حملات علیه ابزار‌های اینترنت اشیاء با هدف به دست گرفتن سیستم‌های اتوماسیون خانه‌ها و اختلال در امنیت خانه‌ها  باشد؛ ولی حملات اخیر نشان داده که حمله‌کنندگان کمتر به این مورد تمایل دارند. حمله‌کنندگان بیشتر تمایل به تسخیر ابزار‌های اینترنت اشیاء برای اضافه کردن آن‌ها به یک بات‌نت برای انجام حملات بزرگ منع دسترسی توزیع‌شده دارند.

 

تنها در ماه گذشته چند حمله گسترده منع دسترسی توزیع شده (DDoS) با مشارکت ابزار‌های تسخیر شده اینترنت اشیاء انجام شده است؛ این حملات بر خلاف معمول، از چند پلتفرم مختلف انجام شده و نشان می‌دهد که در آینده شاهد حملات بیشتری با مشارکت پلتفرم‌های مختلف خواهیم ‌بود.

بیشتر بد‌افزار‌ها سیستم‌های ساده را هدف قرار می‌دهند. این سیستم‌ها به اینترنت متصل هستند ولی به دلیل محدودیت انرژی و قدرت پردازش، امنیت بالایی ندارند.

 

اکثراً سیستم‌های ساده فوق تنها نصب شده و بلافاصله شروع به کار می‌کنند و تنظیمات امنیتی روی آن‌ها انجام نمی‌پذیرد؛ بسیاری ار آن‌ها آپدیتی دریافت نمی‌کنند و یا اگر برای آن‌ها آپدیتی ارائه شود، توسط صاحبان آن‌ها روی آن‌ها نصب نمی‌گردد و معمولاً با ابزار‌های جدید جایگزین می‌شوند. در نتیجه هرگونه آلودگی یا تسخیر این ابزار‌ها مورد توجه قرار نمی‌گیرد.  به همین دلیل این ابزار‌ها یک طعمه مورد علاقه برای هکر‌ها  هستند.

 

بدافزار‌ها می‌توانند به صورت دستی روی سیستم‌ها نصب شوند ولی معمولاً با پویش تصادفی IP ها با پورت‌های باز telnet یا SSH تلاش می‌کنند که سیستم مورد نظر را تحت کنترل خود در آورند. با توجه به اینکه معماری پردازنده این ابزار‌ها ممکن است متفاوت باشد، با توجه به نوع معماری پردازنده، کد قابل اجرا را روی آن اجرا نموده و آن را تسخیر می‌کنند.

 

برای در امان ماندن از حمله این نوع بد‌افزار‌ها، نیاز است که تنظیمات امنیتی ابزار‌ها چک شده و از حالت تنظیمات پیش‌فرض کارخانه خارج شود. همچنین امکانات و پورت‌هایی که استفاده نمی‌شوند غیر فعال شوند. همچنین در صورت امکان از پروتکل‌هایی که امنیت کافی دارند استفاده شود. دستگاه‌هایی که به این بد‌‌افزار‌ها آلوده شده‌اند، با یک بار راه‌اندازی مجدد پاک می‌شوند ولی اگر تنظیمات امنیتی رعایت نشود، خیلی سریع دوباره آلوده می‌شوند. آمار نشان داده است که به طور متوسط هر دو دقیقه یک بار این بد‌افزار به قربانی‌ها حمله می‌کنند.

]]>
2016/11/9
<![CDATA[تحلیلی در زمینه مجوزهای برنامه‌های کاربردی سیستم‌عامل اندروید]]>

تحلیلی در زمینه مجوزهای برنامه‌های کاربردی سیستم‌عامل اندروید

]]>
 

امروزه با توجه به تولید انبوه برنامه‌های کاربردی اندرویدی و ارائه آن‌ها در بازارهای ایرانی و خارجی و همچنین دانش اندک بیشتر کاربران سیستم‌عامل اندروید، باید در مورد خطرات احتمالی آن دست از برنامه‌هایی که تهدیداتی را برای کاربران دستگاه‌های اندرویدی ایجاد می‌کنند اطلاع‌رسانی شود. بسیاری از برنامه‌های کاربردی چه ایرانی و چه خارجی با دریافت یکسری مجوزهای حساس با استفاده از مهندسی اجتماعی و یا عدم آگاهی کافی کاربران اقدام به سرقت اطلاعات کاربران می‌کنند. ولی سؤالی که باید پرسیده شود این است که آیا تابه‌حال مجوزهای درخواستی برنامه کاربردی اندرویدی شما قبل از نصب را مطالعه کرده‌اید؟ تعداد افرادی که این مجوزها را مطالعه می‌کنند انگشت‌شمار هستند و بیشتر افراد برخوردی عادی و بی‌تفاوت به این مجوزها دارند. از عدم آگاهی و نیز بی‌توجهی بیشتر کاربران، توسعه‌دهندگان برنامه‌های کاربردی مجوزهایی را از کاربران می‌خواهند که راه را برای نفوذ به دستگاه‌های اندرویدی باز می‌کند. هدف از این گزارش آگاه‌سازی کاربران در مورد مجوزهایی است که برنامه‌های کاربردی اندرویدی درخواست می‌کنند.

در ابتدا باید عنوان کرد که مجوزهای اندروید درخواست نیستند بلکه یک اعلان یا اطلاع‌رسانی را به کاربران اعلام می‌دارند. هنگامی‌که یک برنامه کاربردی را از Play Store دریافت و نصب می‌کنیم یک پنجره پاپ آپ ظاهر می‌شود که تمام مجوزهای درخواستی برنامه کاربردی موردنظر را به نمایش می‌گذارد که این مجوزها می‌توانند دسترسی به حافظه گوشی موردنظر، تماس‌های تلفنی، ارتباطات شبکه و غیره را داشته باشند.

شاید رد کردن یا تفویض مجوزهای درخواستی برنامه کاربردی در حال نصب ساده‌ترین کاری باشد که یک کاربر می‌تواند انجام دهد اما نکته مهم این است که تا چه اندازه می‌توان تفاوت بین حفاظت و تأمین امنیت داده کاربر و نیز در اختیار قرار دادن تمام دارایی‌های شخص در دست توسعه‌دهنده برنامه کاربردی را درک نمود.

بیشتر شرکت‌های اینترنتی از متدهای عمومی مشابهی برای آگاه‌سازی کاربران در خصوص داده‌هایی که قرار است مورداستفاده قرار گیرند بهره می‌برند. در سیستم‌عامل اندروید یک ارتباط سه سویه بین کاربر، گوگل (طراح و ارائه‌دهنده سیستم‌عامل اندروید) و توسعه‌دهندگان برنامه کاربردی شخص سوم وجود دارد. گوگل درواقع ارتباط بین کاربر و توسعه‌دهندگان شخص سوم را با استفاده از مجموعه‌ای از مجوزها برای هر برنامه کاربردی دانلود شده توسط کاربر، مدیریت می‌کند. مجوزها درواقع نیازمندی‌های توسعه‌دهندگان را برای چگونگی تعامل برنامه کاربردی تولیدشده با دستگاه کاربر مشخص کرده و دسترسی به نوع اطلاعات درخواستی برنامه کاربردی را نیز تعیین خواهد کرد.

در اکوسیستم اندروید بیشترین فشار بر روی توسعه‌دهندگان است تا مجوزهایی که به کاربر نشان داده می‌شوند، نحوه کار برنامه کاربردی را به‌درستی انتخاب و به نمایش بگذارند. پس‌ازاینکه توسعه‌دهنده برنامه کاربردی یک برنامه را ایجاد کرد، مجوزهای صحیح را به‌درستی انتخاب نمود و لیستی از کاربران هدفی که درنهایت با این مجوزها موافقت نموده‌اند را تهیه کرد، گوگل برنامه کاربردی تولیدی را به‌منظور شناسایی بدافزار و تشخیص کدهای مخرب مورد ارزیابی قرار خواهد داد. محدوده مجوزها برای تعامل برنامه کاربردی از اجازه دسترسی به بخش ویژه‌ای از سخت‌افزار دستگاه (به‌عنوان‌مثال فلش دوربین عکاسی) آغاز می‌شود و تا دسترسی به لیست مخاطبان کاربر ادامه می‌یابد. کاربر نیز باید با تمام مجوزهای لیست شده قبل از نصب برنامه کاربردی موافقت نماید.

اصول مجوزهای برنامه‌های کاربردی گوگل

مستندسازی مجوزها آن‌هم با وجود تنوع زیاد مجوزها و نیازمندی‌های متفاوت برنامه‌های کاربردی از کاربران بسیار سخت است. در این بخش گزارشی از بررسی‌ مجوزهای برنامه‌های موجود در فروشگاه Google Play با تمرکز ویژه روی مجوزهایی که به‌صورت بالقوه به برنامه کاربردی این اجازه را می‌دهند تا اطلاعات شخصی کاربر را جمع‌آوری و یا به اشتراک بگذارند ارائه شده است.

درمجموع با بررسی 1041336 برنامه کاربردی در این آزمایش باید عنوان کرد که تنها 235 مجوز انحصاری و خاص وجود داشته است. بیشتر برنامه‌های کاربردی مجوزهای زیادی را طلب می‌کنند و بیشترین تعداد مجوزهای درخواستی از برنامه‌های کاربردی این آزمون تعداد 127 مجوز بوده است که برای یک برنامه کاربردی مقدار بسیار زیادی است. برنامه‌های کاربردی دیگری هم هستند که تعداد انگشت‌شماری مجوز درخواست می‌کنند که میانگین مجوزهای درخواستی از یک برنامه کاربردی تنها 5 مجوز بوده است. در این گزارش تحلیلی باید اشاره کرد که 100000 برنامه نیز مجوزی را درخواست نکرده‌اند.

بیشترین مجوزهای برنامه‌های کاربردی در فروشگاه Google Play

مجوز

کاری که مجوز انجام می‌دهد "به برنامه کاربردی اجازه می‌دهد تا ..."

تعداد برنامه‌های کاربردی

% از برنامه‌های کاربردی

مجوز سخت‌افزاری یا اطلاعات کاربر

دسترسی کامل به شبکه

(Full network access)

... یک درگاه شبکه ایجاد کرده و از پروتکل‌های معمول شبکه استفاده می‌کند. مرورگر و دیگر برنامه‌های کاربردی داده را از طریق اینترنت ارسال می‌کنند که این بدان معنا است که مجوز نیازی به ارسال داده از طریق اینترنت را نباید داشته باشد.

855873

83%

سخت‌افزار

مشاهده ارتباطات شبکه

(View network connections)

... مشاهده اطلاعات درباره ارتباطات شبکه، به‌عنوان‌مثال تشخیص اینکه کدام شبکه وجود دارد و متصل است.

714607

69%

سخت‌افزار

آزمون دسترسی به حافظه حفاظت‌شده

(Test access to protected storage)

... آزمون مجوز مربوط به حافظه USB که بر روی دستگاه‌های آینده قابل‌دسترس خواهند بود. به برنامه کاربردی اجازه می‌دهد تا مجوز را برای SD card آزمایش نماید.

562442

54%

سخت‌افزار

تنظیم یا حذف محتوای موجود بر روی حافظه USB

(Modify or delete the contents of your USB storage)

... نوشتن بر روی حافظه USB. به برنامه کاربردی اجازه نوشتن بر روی SD card را می‌دهد.

559941

54%

اطلاعات کاربر

خواندن وضعیت تلفن و هویت

(Read phone status and identity)

... دسترسی به ویژگی‌های تلفن. این مجوز به برنامه کاربردی اجازه می‌دهد تا شماره‌های تلفن و ID را به هنگام برقراری تماس تشخیص دهد.

361616

35%

اطلاعات کاربر

جلوگیری از به خواب رفتن گوشی

(Prevent device from sleeping)

... ممانعت از به خواب رفتن گوشی. به برنامه کاربردی اجازه می‌دهد تا مانع به خواب رفتن گوشی شود.

279775

27%

سخت‌افزار

موقعیت مکانی دقیق(مبتنی بر GPS و شبکه)

(Precise location(GPS and network-based)

... دریافت موقعیت مکانی دقیق با استفاده از سیستم موقعیت‌یاب جهانی (GPS) یا موقعیت مکانی دکل‌های مخابراتی و Wi-Fi. این سرویس‌های موقعیت مکانی باید برای دستگاه موردنظر فعال و قابل‌دسترس باشند تا برنامه کاربردی قابلیت استفاده از آن را داشته باشد. برنامه‌های کاربردی توانایی تشخیص موقعیت مکانی شما را با استفاده از این مجوز دارند و به سبب آن مصرف انرژی بیشتری را برای دستگاه به همراه خواهند داشت.

246750

24%

اطلاعات کاربر

مشاهده ارتباطات بی‌سیم Wi-Fi

(View Wi-Fi connections)

... مشاهده اطلاعاتی درباره شبکه‌های Wi-Fi، ازجمله تشخیص فعال بودن Wi-Fi و اسامی دستگاه‌های Wi-Fi متصل شده.

235093

23%

اطلاعات کاربر

کنترل لرزاننده

(Control vibration)

... کنترل‌کننده لرزاننده

220594

21%

سخت‌افزار

موقعیت تقریبی(مبتنی بر شبکه)

(Approximate location (network-based)

... دریافت موقعیت مکانی تقریبی. این موقعیت مکانی از طریق سرویس‌های موقعیت مکانی به‌ویژه دکل‌های سلولی و Wi-Fi به‌دست می‌آیند. این سرویس‌های موقعیت مکانی باید برای دستگاه موردنظر فعال و قابل‌دسترس باشند تا برنامه کاربردی قابلیت استفاده از آن را داشته باشد. برنامه‌های کاربردی توانایی تشخیص تقریبی موقعیت مکانی شما را با استفاده از این مجوز خواهند داشت.

216770

21%

اطلاعات کاربر

 

از مجموع 235 مجوز که در این گزارش تحلیلی شناسایی شده‌اند تنها 10 مجوز توسط 20% برنامه‌های کاربردی موجود در Google Play مورداستفاده قرارگرفته است و تعداد زیادی از مجوزها تنها توسط بخش اندکی از برنامه‌های کاربردی درخواست شده‌اند. اگر بخواهیم به‌صورت آماری نگاه کنیم تعداد 1000 برنامه از مجموع 1041336 که 0.09% از تعداد کل برنامه‌های کاربردی مورد تحلیل را شامل می‌شوند، مقدار 147 مجوز از مجموع 235 مجوز را درخواست کرده‌اند که با توجه به کل برنامه‌های مورد ارزیابی، مقدار زیادی از مجوزها را پوشش می‌دهند. البته باید این نکته را نیز اضافه نمود که مجموع مجوزهای درخواستی از یک برنامه کاربردی به‌صراحت نمی‌تواند مشخص کند برنامه مورد نظر توانایی دسترسی به چه مقدار از اطلاعات کاربر را خواهد داشت. تناقضی که وجود دارد این است که یک برنامه کاربردی تنها با یک مجوز توانایی دسترسی به‌تمامی اطلاعات کاربر را می‌تواند داشته باشد درحالی‌که یک برنامه کاربردی با تعداد مجوزهای درخواستی فراوان تنها قابلیت تعامل با اجزای سخت‌افزاری دستگاه موردنظر را خواهد داشت! تحلیل ذکرشده به بررسی عمیق‌تر بر روی برنامه کاربردی به‌ویژه نوع مجوزهای درخواستی آن‌ها در فروشگاه Google Play می‌پردازد.

به‌طور ویژه مجوزهایی که نسبت به سایر مجوزها شایع‌تر هستند به دو دسته تقسیم می‌شوند:

  • مجوزهایی که به برنامه کاربردی این اجازه را می‌دهند تا به اطلاعات کاربر دسترسی داشته باشند.
  • مجوزهایی که به برنامه کاربردی اجازه می‌دهند تا به‌صورت مستقیم با دستگاه تعامل داشته باشند.

توجه

تعریف "اطلاعات کاربر" یک تعریف عام از اطلاعات کاربر است. مجوزهایی که جهت دریافت "اطلاعات کاربر" صادر می‌شوند، فرض شده‌اند که هر نوع اطلاعات مربوط به کاربر را پوشش خواهند داد. به همین ترتیب مجوزهای صادرشده مبتنی بر دسترسی به سخت‌افزار دستگاه نیز الزاماً بخش مشخصی از سخت‌افزار نخواهد بود.

مجوزهایی که سخت‌افزار دستگاه را تحت کنترل قرار می‌دهند

از 235 مجوز انحصاری جمع‌آوری‌شده در این تحلیل، 165 نوع از آن‌ها به برنامه کاربردی اجازه می‌دهند تا با اجزای سخت‌افزاری یک دستگاه تعامل داشته باشند و به برنامه اجازه دسترسی دیگری ازجمله اطلاعات کاربر را نخواهد داد.

به‌عنوان‌مثال دو نمونه از عمومی‌ترین مجوزها به برنامه کاربردی اجازه اتصال به اینترنت را می‌دهند. مجوز "دسترسی کامل به شبکه" (که توسط 83% برنامه‌های کاربردی مورداستفاده قرار می‌گیرند.) به برنامه کاربردی این اجازه را می‌دهد تا با هر شبکه‌ای که دستگاه به آن متصل است ارتباط برقرار نماید. درحالی‌که مجوز "مشاهده ارتباطات شبکه" (که توسط 69% برنامه‌های کاربردی مورداستفاده قرار می‌گیرند.) به برنامه کاربردی این اجازه را می‌دهد تا هر شبکه‌ای که دستگاه به آن دسترسی دارد را ببیند. هر برنامه کاربردی که درخواست دسترسی به اینترنت را داشته باشد، به‌منظور افزایش قابلیت‌های خود ممکن است به هردو مجوز "اطلاعات کاربر" و "مجوز سخت‌افزار" نیاز داشته باشد. درحالی‌که این دو مجوز به‌شدت فراگیر هستند اما اجازه دسترسی مستقیم به اطلاعات کاربر را به برنامه کاربردی نمی‌دهند.

 

دانلود متن کامل در  پیوست

]]>
2016/11/7
<![CDATA[بررسی بدافزار مخصوص NAS سرورها Bitcoin Mining Malware(Cryptomining)]]>

بررسی بدافزار مخصوص NAS سرورها Bitcoin Mining Malware(Cryptomining)

]]>
::: مقدمه

    در طول چند سال گذشته، هکرها با استفاده از بدافزارهایی که با روشهای خاص، به صورت گسترده بر روی کامپیوترهای شخصی افراد در نقاط مختلف دنیا پخش و آلوده می کردند، می توانستند کارهایی همچون Bitcoin Mining را بر روی کامپیوترهای قربانی انجام دهند. این کار به صورت کاملا مخفیانه و بدور از چشم کاربر سیستم قربانی انجام میشد. اما مشکل در اینجا بود که سیستم های خانکی و دفاتر کاری، دارای پردازنده های بالایی نبودند و این کار Bitcoin Mining به صورت بسیار کند انجام می گرفت. اینجا بود که هکرها به این فکر افتادند که بدافزارهای خاصی را برای سیستم های کامپیوتری با پردازشگرها و سخت افزارهای قوی تر آماده کنند. به همین دلیل به دنبال NAS Server ها رفتند!

 

 

::: شرح کارکرد بدافزار

    ::: Mal/Miner-C

            این تهدید تنها برای انتشار خود و آلوده کردن سیستم های تازه برای انجام محاسبات Hash جهت Mining کردن آماده نشده است، بلکه همواره تلاش می کند که خود را در پوشه FTP Floder کپی کند تا بتواند از این طریق هم سیستم های جدید را برای انتشار خود پیدا کند.

    ما نسخه های مختلفی را از این تهدید مشاهده کرده ایم. مشخص است که توسعه دهندگان این تهدید، همواره در حال بروزرسانی آن هستند. اما همیشه دارای یک مشخصه خاص بوده است؛ اینکه همواره از سیستم نصب خودکار NSIS استفاده می کند...

 

دانلود پیوست

]]>
2016/11/7
<![CDATA[بررسی تروجان جدید بانکی در اندروید همراه با عکس سلفی! Android Banking Trojan Asks for Selfie With Your ID]]>

بررسی تروجان جدید بانکی در اندروید همراه با عکس سلفی! Android Banking Trojan Asks for Selfie With Your ID

]]>
 

در نیمه اول سال 2016 گزارش هایی مبنی بر اینکه تروجان های اندرویدی به سمت بدست آوردن اطلاعات حساب های بانکی قربانیان می روند منتشر شد. این گونه بدافزارها در جستجوی پاسخ سوال هایی همچون: "نام مادر بزرگ"، "نام اولین خودرو سواری که خریده اید؟" و غیره... جهت پاسخ به سوالات امنیتی حساب های بانکی افراد می روند تا بتوانند به آن گونه حساب های بانکی قربانیان دسترسی پیدا کنند.

        ..

::: شرح عملکرد بدافزار

          همچون دیگر بدافزارها، این بدافزار هم از راه هایی همچون نصب برنامه های خاص جهت دریافت فیلم ها و عکس های غیر اخلاقی و یا نصب برنامه های Codec جهت دیدن این گونه فیلم ها، کاربران را ترغیب به نصب برخی app ها بر روی گوشی می کند که نمونه هایی از آنها را در ادامه مشاهده می فرمایید:

دانلود پیوست

]]>
2016/11/5
<![CDATA[Click Me؛ باج‌افزاری ایرانی]]>

Click Me؛ باج‌افزاری ایرانی

]]>
 

Click Me نام باج‌افزار جدید ایرانی است که تحت عنوان یک بازی رایگان روی سیستم نصب شده و به‌صورت پنهان فایل‌ها را رمز می‌کند و پس از آن برای دسترسی به فایل‌ها تقاضای باج می‌کند. البته این باج‌افزار در مراحل اولیه توسعه خود قرار دارد و هم اکنون خطر زیادی را ایجاد نخواهد کرد؛ اما ممکن است در آینده خطر‌های جدی‌تری را برای قربانیان ایجاد کند.

شرح خبر

بازی ClickMe یک باج‌افزار ایرانی بوده که به تازگی شناخته شده است. این باج‌افزار در قالب یک بازی کامپیوتری سبک ارائه شده و هنگامی که کاربر مشغول بازی است، در پس زمینه به رمز کردن فایل‌های سیستم قربانی می‌پردازد.

صفحه بازی یک صفحه ساده با پس زمینه عکس است و کاربر باید روی دکمه click me کلیک کند. با هر بار کلیک روی این دکمه، پس زمینه صفحه تغییر کرده و درخواست کلیک تکرار می‌شود. پس از چند بار تکرار این عمل، صفحه درخواست هکر از فرد قربانی نشان داده می‌شود. این صفحه از کاربر تقاضای پرداخت پول می‌کند تا پسورد فایل‌های رمز شده سیستم قربانی را در اختیار وی قرار دهد.  البته هنوز اطلاعات دقیقی در این صفحه وجود نداشته و مبلغ درخواستی و یا اطلاعاتی برای واریز پول وجود ندارد. اما ممکن است با پیشرفت این باج‌افزار این صفحه تکمیل شود

 

 

این باج‌افزار به فایل‌هایی که رمز می‌کند، پسوند “hacked” را اضافه می‌کند. الگوریتم رمز مورد استفاده این باج‌افزار AES با طول کلید 256 بیت است. این برنامه توانایی آسیب رساندن به فایل‌های متنی، چند‌رسانه‌ای و آفیس را دارد. فایل‌های دارای پسوند زیر در معرض آسیب از طرف این باج‌افزار هستند.

.3GP, .APK, .AVI, .BMP, .CDR, .CER, .CHM, CONF, .CSS, .CSV, .DAT, .DB, .DBF, .DJVU, .DBX, .DOCM, ,DOC, .EPUB, .DOCX .FB2, .FLV, .GIF, .GZ, .ISO .IBOOKS,.JPEG, .JPG, .MKV, .MOV, .MP3, .MP4, .MPG .MPEG, .PICT, .PDF, .PPS, .PKG, .PNG, .PPT .PPTX, .PPSX, .PSD, .RTF, .SCR, .SWF, .SAV, .TIFF, .TIF, .TBL, .TORRENT, .TXT, .VSD,.WMV, .XLS, .XLSX, .XPS, .XML, .JAVA, .C, .CPP, .CS, .JS, .PHP, .DACPAC, .RBW, .RB, .MRG, .DCX, .DXF, .DWG, .DRW, .CASB, .CCP.

 

بررسی بدافزار فوق نشان داده که این باج‌افزار در حال توسعه است و در حال حاضر تنها یک فایل به نام “ransom-flag.png” که در درایو "D:\" ایجاد می‌کند را رمز کرده و بقیه فایل‌ها را دست نخورده باقی می‌گذارد.  به همین دلیل اکنون این باج‌افزار خطر جدی ایجاد نمی‌کند. اما این امکان وجود دارد که با توسعه آن، خطرات جدی را متوجه سیستم قربانی کند.

این گونه بدافزارها تقریباً یک استراتژی مشخص برای تکثیر خود دارند. آن‌ها برای نفوذ از روش‌های دانلود نرم‌افزار از سایت‌های غیر معتبر، آپدیت برنامه‌ها از منابع غیر رسمی، فایل‌های پیوست شده به ایمیل‌های آلوده و تروجان‌ها استفاده می‌کنند. پس لازم است برای جلوگیری از آلوده شدن به این گونه برنامه‌های مخرب، از منابع و سایت‌های غیر معتبر دانلود انجام نشود و از باز کردن ایمیل‌های مشکوک خودداری شود؛ همچنین استفاده از یک آنتی‌ویروس قوی و به روز احتمال آلوده شدن به این گونه برنامه‌های مخرب را کاهش می‌دهد.

 

روش‌های مقابله با این باج‌افزار

وجود فایل‌ها و DLL های زیر می‌تواند نشانه آلودگی سیستم باشد:

  • Ransom_CLICKMEG.A
  • TR/Agent.jjjkr
  • Trojan.GenericKD.3611661
  • Trojan.GenericKD.3611661 (B)
  • Trojan.MSIL.TrojanClicker
  • W32.Troj.Ransom.Filecoder!c

 

برای پاک کردن این باج‌افزار از روی سیستم، دو راه حل ارائه شده که در ادامه تشریح شده است.

 

الف) پاک کردن باج‌افزار در محیط Safe Mode

در این روش باید وارد حالت Safe Mode With Networking شده و پس از ورود به حساب کاربری که به باج‌افزار Click Me آلوده شده است، برنامه پاک‌سازی تهیه شده برای این بدافزار را اجرا کرده و اجازه داد تا کل سیستم وارسی شود (برای دریافت ابزار پاک‌سازی، اینجا کلیک شود).

 

ب) پاک کردن باج‌افزار از طریق بازگردانی سیستم (System Restore)

اگر امکان قرار دادن کامپیوتر در حالت Safe Mode With Networking وجود نداشت، می‌توان این کار را با System Restore انجام داد. برای این کار بایستی پس از راه‌اندازی دوباره، سیستم را در حالت Safe Mode With Command Prompt راه‌اندازی نمود. پس از آماده به کار شدن سیستم در این حالت، بایستی در خط فرمان (Command Prompt) دستور "cd restore" را وارد کرده و پس از آن دستور "rstrui.exe" را وارد نمود. با این دستور، حالت بازگردانی سیستم فعال شده و می‌توان سیستم را به حالت قبل از آلوده شدن سیستم بازگردانید. پس از بازگشت سیستم به حالت قبلی، بهتر است نرم‌افزار ضد بد‌افزار معتبری را دانلود  و اجرا کرده تا همه فایل‌های مربوط به باج‌افزار ClickMe را پاک کند.

]]>
2016/11/2
<![CDATA[گاو کثیف بلای جان پنگوئن دوست‌داشتنی!]]>

گاو کثیف بلای جان پنگوئن دوست‌داشتنی!

]]>
 

آسیب‌پذیری که به مدت حداقل 9 سال روی همه نسخه‌های لینوکس وجود داشته، این روز‌ها به داغ‌ترین بحث در حوزه امنیت این سیستم‌عامل محبوب تبدیل شده است. این آسیب‌پذیری که تحت شناسه جهانی CVE-2016-5195 شناخته می‌شود، با نام Dirty COW مشهور شده است. این آسیب‌پذیری به کاربران احراز هویت نشده این امکان را می‌دهد تا سطح دسترسی خود را به بیشترین مقدار ارتقاء داده و اعمال مورد نظر خود را انجام دهند. از دیدگاه کارشناسان، این آسیب‌پذیری جدی‌ترین مشکل امنیتی سیستم‌عامل لینوکس در سال‌های اخیر بوده است.

شرح خبر

یک آسیب‌پذیری حیاتی در سیستم‌عامل لینوکس به تازگی کشف شده است که قدمتی نزدیک به 9 سال دارد. این آسیب‌پذیری که از آن به اسم گاو کثیف (Dirty COW) نیز یاد می‌شود، تحت شناسه بین‌المللی CVE-2016-5195 ثبت شده است. این آسیب‌پذیری تنها یک آسیب‌پذیری ارتقاء سطح دسترسی است؛ اما کارشناسان از آن به عنوان مهم‌ترین آسیب‌پذیری اخیر این سیستم‌عامل محبوب یاد می‌کنند.

این آسیب‌پذیری از سال 2007 روی هسته لینوکس قرار داشته است (نسخه 2.6.22). این آسیب‌پذیری به دلایل مختلفی حساسیت‌های زیادی را برانگیخته است؛ اول آن‌که برای این آسیب‌پذیری، کد بهره‌بردار به‌صورت عمومی منتشر شده است و با کمک آن می‌توان به سادگی از آسیب‌پذیری سوء‌استفاده نمود. دلیل دیگر اهمیت این آسیب‌پذیری آن است که این کد بهره‌بردار در قسمتی از هسته لینوکس قرار دارد که در همه توزیع‌های لینوکس استفاده شده است؛ در واقع این آسیب‌پذیری برای مدت طولانی روی همه سیستم‌های بر پایه سیستم‌عامل لینوکس (که شامل تلفن‌های همراهی است که از سیستم‌عامل آندروید استفاده می‌کنند) وجود داشته است. دلیل دیگر اهمیت این آسیب‌پذیری آن است که کارشناسان دریافته‌‌اند که در بعضی از کد‌هایی که برای حمله به سیستم‌ها استفاده می‌شود، از این آسیب‌پذیری استفاده سده است.

 

آسیب‌پذیری گاو کثیف به یک کاربر با دسترسی محلی اجازه می‌دهد که به بالاترین سطح دسترسی رسیده و کنترل کامل بر سیستم‌عامل داشته باشد. کد‌های بهره‌بردار می‌توانند با حمله به یک ارائه‌دهنده خدمات میزبانی وب که دسترسی شِل ارائه می‌کند، به همه استفاده‌کنندگان از آن سرویس و یا حتی ارائه‌دهنده سرویس آسیب بزند.

 

این آسیب‌پذیری می‌تواند با دیگر حمله‌ها ترکیب شده و آسیب‌های سنگین‌تری به قربانیان وارد کند. برای مثال، معمولاً آسیب‌پذیری تزریق کد روی پایگاه داده به مهاجم این اجازه را می‌دهد که کد مخربی را در سطح یک کاربر احراز هویت نشده اجرا کند.  ترکیب این حمله با آسیب‌پذیری گاو کثیف به مهاجم این اجازه را می‌دهد که کد‌های مخرب را در بالاترین سطح دسترسی اجرا کرده و تخریب بیشتری را انجام دهد.

 

Phil Oester، کارشناس امنیتی است که این آسیب‌پذیری را با ضبط و بررسی بسته‌های http در ‌‌چند‌سال گذشته روی سرور خود تشخیص داده است. او اعلام کرده که با استفاده از این آسیب‌پذیری یک کاربر با سطح دسترسی محلی می‌تواند در کمتر از 5 ثانیه به بالاترین سطح دسترسی برسد.

 

این آسیب‌پذیری نام خود را از مکانیزم Copy-On-Write یا COW گرفته است. با استفاده از این مکانیزم، کاربران از دسترسی محلی به سطح دسترسی روت می‌رسند.

 

برای برطرف شدن این آسیب‌پذیری، برای توزیع‌های مختلف لینوکس آپدیت ارائه شده و تلاش می‌شود که این آسیب‌پذیری به صورت کامل رفع شود. برای برطرف شدن این آسیب‌پذیری لازم است که حتماً سیستم‌عامل لینوکس آپدیت شود.

 

 

 

]]>
2016/10/31
<![CDATA[ Extensionجدید برای باج افزار Locky]]>

 Extensionجدید برای باج افزار Locky

]]>
 

باتوجه به شیوع گسترده باج افزار معروف locky،  اخیرا  این باج افزار شناخته شده،  بر روی فایلهای رمزنگاری شده، پسوندی با نام  shit را قرار می دهد. در نمونه های قبلی، نحوه ی install این باج افزار بر روی سیستم قربانی توسط یک DLL آلوده بود که توسط برنامه قانونی Rundll32.exe بر روی سیستم عامل ویندوز قربانی نصب می شد. در این نسخه جدید هم روال کار به همین منوال می باشد و پس از اجرای باج افزار، شروع به جستجوی فایلهای خاص بر روی سیستم قربانی کرده و آنها را رمزنگاری می کند و با پسوند .shit نمایان می سازد. 

 

به گفته ی MalwareHunterTeam این باج افزار از طریق هرزنامه ها خود را گسترش می دهد. روش کار بدین صورت است که ایمیل هایی همراه با فایل های پیوستی با پسوند های اسکریپتی همچون HTA-JS و WFS برای قربانیان ارسال می گردد که پس از اجرای آن فایلها توسط قربانیان، یک فایل رمزنگاری شده DLL بر روی سیستم قربانی دانلود می شود و توسط همان اسکریپت ها رمزگشایی شده و توسط برنامه قانونی در خورد ویندوز به نام Rundll32.exe اجرا می گردد که در نهایت باج افزار را بر روی سیستم قربانی نصب می کند.

            پس از نصب و اجرای باج افزار، باج افزار به صورت خودکار به دنبال حدود 380 نوع پسوند فایل های مختلف بر روی سیستم قربانی می گردد و آنها را با استفاده از الگوریتم AES رمزنگاری می کند و پسوند .shit را بر روی نام نهایی فایل رمزنگاری شده قرار می دهد.

 

    در زیر لیست تمامی extension فایل هایی که این باج افزار به دنبال آنها می گردد را مشاهده می فرمایید:

 

در پایان عملیات رمزنگاری فایلها، یک پیغام همراه با روش پرداخت پول برای قربانی ظاهر می گردد. نام های جدید فایلهای پیغام که برای قربانی نمایش داده می شود به ترتیب زیر می باشد:

  • _WHAT_is.html
  • _[2_digit_number]_WHAT_is.html
  • _WHAT_is.bmp

 

            در ادامه مشخصات تنظیمات اصلی این باج افزار را که توسط LockyDump در اختیار عموم قرار گرفته است را مشاهده می فرمایید:

 

]]>
2016/10/26
<![CDATA[جدول آخرین بروزرسانی ها و آسیب پذیری ها ی نرم افزارهای پرکاربرد کشور(مهر ماه 1395)]]>

جدول آخرین بروزرسانی ها و آسیب پذیری ها ی نرم افزارهای پرکاربرد کشور(مهر ماه 1395)

]]>
 

دانلود پیوست 

]]>
2016/10/17
<![CDATA[قابليت‌ها و پيكربندي سياست‌هاي گروهي (Group Policy) در شبكه‌ها و ساختار دامنه‌هاي سازماني]]>

قابليت‌ها و پيكربندي سياست‌هاي گروهي (Group Policy) در شبكه‌ها و ساختار دامنه‌هاي سازماني

]]>
 

1. مقدمه

سیاست‌های گروهی شاهکاری فنی و امنیتی در استقرار امنیت در شبکه‌های سازمانی است. سیاست‌های گروهی یا با نام تخصصی Group Policy، ساختاری است که برای اعمال مجموعه‌ای از پیکربندی‌ها یا سیاست‌های امنیتی به مجموعه‌ای از کاربران و رایانه‌ها در یک ساختار شبکه‌ی سازمانی بکار می‌رود. با استفاده از سیاست‌های گروهی یا به اختصار GP می‌توانید یک سری پیکربندی‌های امنیتی و کاربردی را عملیاتی نمایید. در واقع استفاده از GP ابزار اعمال سیاست‌های امنیت فناوری اطلاعات در شبکه‌های سازمانی به صورت متمرکز و یکپارچه است. این سیاست‌های گروهی می‌توانند در سیستم‌های محلی و یا شبکه‌های مبتنی بر کنترل کننده‌ی دامنه به صورت متمرکز و سراسری اعمال شوند که استفاده از آن در شبکه‌هایی با ابعاد متوسط و بزرگ به صورت متمرکز از طریق سرویس‌دهنده‌ی کنترل‌کننده‌ی دامنه خواهد بود. در این مستند ضمن معرفی ساختار و قابلیت‌های فنی سیاست‌های گروهی، برخی از مهمترین سیاست‌های امنیتی موثر نیز معرفی و نحوه‌ی پیکربندی آن در شبکه‌های سازمانی آموزش داده خواهد شد.

2معرفی

سیاست گروهی ساختاری است که برای اعمال مجموعه‌ای از پیکربندی‌ها یا سیاستهای امنیتی یا مرتبط با امنیت به مجموعه‌ای از کاربران و رایانهها یک ساختار Active Directory به کار می‌رود. از طریق سیاست گروهی یا به اختصار GP می‌توان مجموعه‌ای از تنظیمات امنیتی و کاربردی را در سیستمهای رایانه‌ای متصل به شبکه و زیرساخت سازمانی انجام داد. در سیستم‌های محلی یا سیستم‌های که به عنوان سرویس‌دهنده استفاده می‌شوند و دارای کنترل کنندهی دامنه و Active Directory نیستند، می‌توان یک GP را به مجموعه‌ای از کاربران اعمال کرد. ولی در شبکه‌هایی که شامل کنترل‌کنندهی دامنه و Active Directory هستند، می‌توان GP را به رایانه‌ها، کاربران و واحدهای سازمانی اعمال کرد.

سیاست گروهی در شبکه‌ها، به منزله یک شئ[1] است و می‌توان به ازای هرکدام از اشیاء در دامنه، یک GP داشت؛ از این رو به آن Group Policy Object یا به اختصار GPO گویند. نکته‌ی دیگری که باید دقت کرد، این است که به یک کاربر یا سیستم بیشتر از 999 شئ GP نمی‌توان اعمال کرد.

در محیط Active Directory، سیاست گروهی ابزاری است که امکان مدیریت متمرکز پیکربندی را فراهم می‌آورد. کوچکترین عنصر در سیاست گروهی، که یک پیکربندی را مشخص می‌کند، Policy Setting است که به اختصار به آن Policy یا سیاست گفته می‌شود. هزاران سیاست در سیاست گروهی وجود دارند که هر یک، معرف پیکربندی روی کاربران یا محدودهای از سیستم‌هایی که روی آن اعمال می‌گردند. جهت ویرایش سیاست‌ها، ابزارهای Group Policy Management Editor (GPME) و PowerShell در دسترس‌اند، که در ادامه مستند به آن پرداخته میشود.

1-1سیاست

سیاست‌ها به صورت عمومی به دو دسته با عناوین زیر تقسیم می‌شوند:

  • پیکربندی کاربران[1]: سیاست‌هایی هستند که بدون در نظر گرفتن آنکه کاربر روی چه سیستمی به شبکه دسترسی دارد، در محدوده خود بر روی کاربران اعمال می‌شوند. پیکربندی سیاستهای گروهی، زمانی که کاربران وارد سیستم می‌شوند و در بازه‌های زمانی ۹۰ تا ۱۲۰ دقیقه پس از آن تازه‌سازی می‌شود.
  • پیکربندی کامپیوترها[2]: سیاست‌هایی هستند که بدون در نظر گرفتن آنکه چه کاربری از سیستم رایانهای استفاده می‌کند، در محدوده خود روی کامپیوترها اعمال می‌شود. پیکربندی کامپیوترها در زمانی که کامپیوتر اجرا و راهاندازی می‌شود و در بازه‌های زمانی ۹۰ تا ۱۲۰ دقیقه پس از آن تازه‌سازی می‌شود.

هر دو مجموعهی فوق شامل Policy و Preferenceهایی یا سیاستها و اولویتهایی هستند که مجموعا شامل حدود ۶۰۰۰ شئ است.

 

 دانلود مستند


[1] User Configuration

[2] Computer Configuration


[1] Object

]]>
2016/10/10
<![CDATA[ابزارهای رمزگشایی و بازیابی اطلاعات برای برخی از باج افزارها ]]>

ابزارهای رمزگشایی و بازیابی اطلاعات برای برخی از باج افزارها

]]>
 

باج‌افزار یکی از بدافزارهایی است که می‌تواند رایانه‌ها را آلوده کند. این نوع بدافزار، فایل‌های رایانه را رمزگذاری و قفل می‌کند و تنها راه دسترسی به آن‌ها پرداخت باج به هکر است. خوش‌بختانه،‌ امروزه لیستی از ابزارهای رمزگشایی باج‌افزار برای ویندوز 10 وجود دارد که به قربانی کمک می‌کند تا این مشکل را رفع کند. در ادامه، ابزارهای رمزگشای باج‌افزار برای ویندوز 10 شرح داده خواهد شد.

پیوست

]]>
2016/10/9
<![CDATA[اخرین اخبار حوزه ی باج افزار ]]>

اخرین اخبار حوزه ی باج افزار

]]>
 

باجافزارها گونه‌ای از بدافزارها به شمار می‌آیند که قادرند به روش‌های مختلف از جمله رمزنگاری، دسترسی قربانی به فایل‌ها یا کل سیستم را محدود کرده و در ازای دریافت باج، محدودیت را برطرف سازند. سیر رشد باجافزارها در سال اخیر بسیار زیاد بوده و روزانه چندین رخداد در این حوزه گزارش می‌شود. در گزارش ارایه‌شده آخرین رویدادها گزارش شده است.

پیوست

]]>
2016/10/9
<![CDATA[باج افزار wildfire با همکاری کسپرسکی و پلیس هلند خاموش شد]]>

باج افزار wildfire با همکاری کسپرسکی و پلیس هلند خاموش شد

]]>
 

در هفته اخیر باج افزار wildfire با همکاری شرکت کسپرسکی و پلیس هلند خاموش شد. این باج افزار از رمزنگاری AES-256 غیرمتقارن برای رمزکردن فایل های قربانیان خود استفاده کرده و اکثر قربانیان آن در کشورهای بلژیک و هلند بوده اند.

 بدافزار wildfire از طریق پیوست های آلوده ایمیل هایی گسترش یافته است که به نظر می رسد، از یک شرکت جهت تحویل کالا ارسال شده است. این فرم های پیوست حاوی اسکریپت های ماکرو آلوده است که از کاربر می خواهد تا با فعال کردن ماکروها محتوای آن را مشاهده کند. به محض فعال شدن، بدافزار دانلود شده و روی سیستم قربانی اجرا می شود.


 

همان طور که مشاهده می کنید، این بدافزار حتی برای تاخیر در پرداخت نیز پول اضافی درخواست می کند.

با کشف سرورهای C&C این بدافزار توسط پلیس هلند که شامل ۵۷۰۰ کلید رمزگشایی است، شرکت امنیتی کسپرسکی ابزار رمزگشایی برای این بدافزار ایجاد کرده است که می توانید آن را در وب سایت nomoreransom.org یا noransome.kaspersky.com پیدا کرده و استفاده نمایید.

]]>
2016/10/8
<![CDATA[به روز رسانی امنیتی اندروید در ماه سپتامبر]]>

به روز رسانی امنیتی اندروید در ماه سپتامبر

]]>
 

شرکت گوگل از سال 2015 اقدام به عرضه اصلاحات امنیتی برای سیستم‌عامل اندروید نموده است که هر ماه بروز می‌شوند. به همین منظور برخی از شرکت‌های تولیدکننده دستگاه‌های مبتنی بر این سیستم‌عامل نیز اقدام به عرضه وصله‌های (Patches) امنیتی به‌صورت ماهانه می‌کنند. اخیراً گوگل اصلاحیه جدیدی برای آسیب‌پذیری موجود در Quadrooter عرضه داشته است.

Quadrooter (یک آسیب‌پذیری جدید، مربوط به چیپ‌های Qualcomm است و در بیشتر دستگاه‌های اندرویدی مورد استفاده قرار گرفته است.) شامل 4 آسیب‌پذیری است. این آسیب‌پذیری‌ها عمدتاً در بیشتر نسخه‌های اندروید مشکلاتی را ایجاد کرده‌اند که به‌صورت تقریبی 900 میلیون دستگاه را تحت تأثیر خود قرار داده است. گوگل تعهد داده است تا ماه سپتامبر به رفع این ایرادات امنیتی بپردازد. دستگاه‌های آلوده به این نقض‌های امنیتی مربوط به کمپانی نکسوس (Nexus) بود، همچنین کمپانی سامسونگ هم در برخی نسخه‌های گوشی همچون Galaxy S7  و Galaxy S7 Edge به این مشکلات دچار شده است

یک هکر به‌صورت بالقوه می‌تواند با سو استفاده از Quadrooter کنترل کامل هر دستگاهی را در دست بگیرد. به همین منظور گوگل بالاترین اولویت را نسبت به اصلاح این آسیب‌پذیری‌ها قرار داده است. در واقع شرکت گوگل اصلاحیه‌های اندروید را مطابق با یک زمان‌بندی ماهانه عرضه می‌دارد. گوگل ابتدا اصلاحیه‌های جدید را با سازندگان دستگاه‌های همراه به اشتراک گذاشته و سپس اقدام به عرضه بروز رسانی برای دستگاه‌های نکسوس خود به همراه یک اطلاعیه امنیتی می‌کند.

در جدول زیر تاریخ دریافت بروز رسانی اندروید با توجه به مدل دستگاه نکسوس قابل مشاهده است:

دریافت وصله امنیتی بروز رسانی برای گوشی نکسوس

برای دریافت وصله امنیتی پس از رفع ایرادات امنیتی در گوشی‌های نکسوس مراحل زیر را ادامه دهید:

  • به قسمت تنظیمات گوشی، Settings بروید.
  • گزینه About tablet یا About phone را انتخاب کنید.
  • آخرین نسخه وصله امنیتی را در این قسمت مشاهده می‌کنید.
  • برای دانلود و نصب آخرین نسخه وصله امنیتی اقدام کنید.

 

اصلاحیه‌های ماه سپتامبر

اصلاحیه ۰۱/۰۹/۲۰۱۶، ۲۵ آسیب‌پذیری را در بخش‌های مختلف سیستم‌عامل اندروید ترمیم می‌کند. دو مورد از آن‌ها که مربوط به بخش‌های LibUtils و Mediaserver می‌شوند بسیار مهم عنوان شده‌اند. فرد مهاجم می‌تواند با استفاده از فایل‌های دست‌کاری شده از این دو ضعف امنیتی بهره‌برداری کرده و اقدام به اجرای کد از راه دور نماید.

 

خلاصه آسیب پذیری

موضوع

CVE

شدت

آسیب پذیری اجرای کد از راه دور در LibUtils

CVE-2016-3861

بحرانی

آسیب پذیری اجرای کد از راه دور در Mediaserver

CVE-2016-3862

بحرانی

آسیب پذیری اجرای کد از راه دور در MediaMuxer

CVE-2016-3863

بالا

آسیب‌پذیری دسترسی زیاد در Mediaserver

CVE-2016-3870

CVE-2016-3871

 CVE-2016-3872

بالا

آسیب‌پذیری دسترسی زیاد در device boot

CVE-2016-3875

بالا

آسیب‌پذیری دسترسی زیاد در Settings

CVE-2016-3876

بالا

آسیب‌پذیری انکار سرویس در Mediaserver

CVE-2016-3899

CVE-2016-3878

CVE-2016-3879

CVE-2016-3880

CVE-2016-3881

بالا

آسیب‌پذیری دسترسی زیاد در Telephony

CVE-2016-3883

متوسط

آسیب‌پذیری دسترسی زیاد در Notification Manager Service

CVE-2016-3884

متوسط

آسیب‌پذیری دسترسی زیاد در Debuggerd

CVE-2016-3885

متوسط

آسیب‌پذیری دسترسی زیاد در  System UI Tuner

CVE-2016-3886

متوسط

آسیب‌پذیری دسترسی زیاد در  Settings

CVE-2016-3887

متوسط

آسیب‌پذیری دسترسی زیاد در  SMS

CVE-2016-3888

متوسط

آسیب‌پذیری دسترسی زیاد در  Settings

CVE-2016-3889

متوسط

آسیب‌پذیری دسترسی زیاد در  Java Debug Wire Protocol

CVE-2016-3890

متوسط

آسیب‌پذیری افشای اطلاعات در Mediaserver

CVE-2016-3895

متوسط

آسیب‌پذیری افشای اطلاعات در AOSP Mail

CVE-2016-3896

متوسط

آسیب‌پذیری افشای اطلاعات در Wi-Fi

CVE-2016-3897

متوسط

آسیب‌پذیری انکار سرویس در Telephony

CVE-2016-3898

متوسط

 

 

اصلاحیه ۰۵/۰۹/۲۰۱۶، ۲۸ آسیب‌پذیری را در راه‌اندازهایی همچون Qualcomm، Synaptics، Broadcom و Nvidia ترمیم می‌کند. تعداد ۵ آسیب‌پذیری از این ضعف‌های امنیتی بسیار مهم عنوان شده‌اند و ممکن است منجر به آلوده شدن دستگاه شوند که تنها از طریق Reflash کردن دستگاه می‌توان آن را به حالت اولیه بازگرداند.

خلاصه آسیب پذیری

 

موضوع

CVE

شدت

آسیب‌پذیری دسترسی زیاد در kernel security subsystem

CVE-2014-9529 CVE-2016-4470

بحرانی

آسیب‌پذیری دسترسی زیاد در kernel networking subsystem

CVE-2013-7446

بحرانی

آسیب‌پذیری دسترسی زیاد در kernel netfilter subsystem

CVE-2016-3134

بحرانی

آسیب‌پذیری دسترسی زیاد در kernel USB driver

CVE-2016-3951

بحرانی

آسیب‌پذیری دسترسی زیاد در kernel sound subsystem

CVE-2014-4655

بالا

آسیب‌پذیری دسترسی زیاد در kernel ASN.1 decoder

CVE-2016-2053

بالا

آسیب‌پذیری دسترسی زیاد در Qualcomm radio interface layer         

CVE-2016-3864

بالا

آسیب‌پذیری دسترسی زیاد در Qualcomm subsystem driver         

CVE-2016-3858

بالا

آسیب‌پذیری دسترسی زیاد در kernel networking subsystem

CVE-2016-4805

بالا

آسیب‌پذیری دسترسی زیاد در Synaptics touchscreen driver

CVE-2016-3865

بالا

آسیب‌پذیری دسترسی زیاد در Qualcomm camera driver

CVE-2016-3859

بالا

آسیب‌پذیری دسترسی زیاد در Qualcomm IPA driver

CVE-2016-3867

بالا

آسیب‌پذیری دسترسی زیاد در Qualcomm power driver

CVE-2016-3868

بالا

آسیب‌پذیری دسترسی زیاد در Broadcom Wi-Fi driver

CVE-2016-3869

بالا

آسیب‌پذیری دسترسی زیاد در  kernel eCryptfs filesystem

CVE-2016-1583

بالا

آسیب‌پذیری دسترسی زیاد در  NVIDIA kernel

CVE-2016-3873

بالا

آسیب‌پذیری دسترسی زیاد در  Qualcomm Wi-Fi driver

CVE-2016-3874

بالا

آسیب‌پذیری انکار سرویس در kernel networking subsystem

CVE-2015-1465

 CVE-2015-5364

بالا

آسیب‌پذیری انکار سرویس در kernel ext4 file system

CVE-2015-8839

بالا

آسیب‌پذیری افشای اطلاعات در Qualcomm SPMI driver         

CVE-2016-3892

متوسط

آسیب‌پذیری افشای اطلاعات در Qualcomm sound code         

CVE-2016-3893

متوسط

آسیب‌پذیری افشای اطلاعات در Qualcomm DMA component

CVE-2016-3894

متوسط

آسیب‌پذیری افشای اطلاعات در kernel networking subsystem

CVE-2016-4998

متوسط

آسیب‌پذیری انکار سرویس در kernel networking subsystem

CVE-2015-2922

متوسط

آسیب‌پذیری در Qualcomm components

CVE-2016-2469

بالا

 

اصلاحیه ۰۶/۰۹/۲۰۱۶، دو آسیب‌پذیری که یکی از آن‌ها بسیار مهم و مربوط به بخش Kernel Shared Memory Subsystem است و دیگری یک ضعف با اهمیت در بخش Qualcomm Networking است را برطرف می‌کند.

 

خلاصه آسیب پذیری

موضوع

CVE

شدت

آسیب‌پذیری دسترسی زیاد در kernel shared memory subsystem

CVE-2016-5340

بحرانی

آسیب‌پذیری دسترسی زیاد در Qualcomm networking component

CVE-2016-2059

بالا

 
 

]]>
2016/10/5
<![CDATA[مخاطبان موتوشاپ]]>

مخاطبان موتوشاپ

]]>
]]> 2016/10/3
<![CDATA[آشنایی با پروتکل SMBو روش های امن سازی آن]]>

آشنایی با پروتکل SMBو روش های امن سازی آن

]]>
پروتکل SMB مخفف عبارت Server Message Block میباشد که توسط IBM در اواسط دهه هشتاد میلادی ابداع گردید و در ادامه شرکت مایکروسافت آن را توسعه داده است. این پروتکل در لایه کاربردی کار میکند و فعالیتهایی از قبیل ایجاد یک مکانیزم ارتباط مبتنی بر احراز هویت در شبکه، اشتراک‌گذاری فایل، مدیریت راهدور و به اشتراکگذاری چاپگر را فراهم مینماید.

SMB یک پروتکل سطح بالا بوده که میتواند بر روی TCP/IP ، NetBEUI و IPX/SPX  مورد استفاده قرار گیرد. در صورتیکه TCP/IP و یا NETBEUI بر روی سیستم در حال استفاده باشند، NETBIOS API مورد استفاده قرار می‌گیرد.

در واقع SMB پروتکلی جهت به اشتراکگذاری فایلها، چاپگرها، پورت‌های سریال،  mailslotها، named pipeها، APIها و در کل ارتباطات مختلف بین گرههای موجود در یک شبکه میباشد. mailslot و named pipe روشهایی برای پیادهسازی IPC میباشند. IPC  یا InterProcess Communication (ارتباط-درون-پردازشی) روی سیستمعاملهای دیگری غیر از ویندوز نیز یافت میشود. در حقیقت IPC یک اشتراک‌گذاری مجازی شبکه است که برای آسانتر نمودن ارتباط بین فرآیندهای تجهیزات موجود در شبکه استفاده میشود. IPC از پروتکل SMB استفاده میکند و برای شروع یک نشست ارتباطی استفاده میشود (نامکاربری و کلمه عبور را قبل از اتصال به اشتراک، احراز اصالت میکند). همچنین IPC برای نرمافزارهایServer/Client  ای نیز استفاده می‌شود. برای نرمافزارهای کوچکی که روی کامپیوتر اجرا می‌شوند، IPC میتواند بدون آن‌که هر کاربر نیاز به وارد نمودن نام کاربری و پسورد بر روی سرویسدهنده داشته باشد، به سرویسدهنده متصل شود. در حقیقت IPC برای راحتی ارتباطات بین پردازشها و کامپیوترهایی استفاده میشود که اغلب برای رد و بدل کردن اطلاعات مربوط به احراز هویت(Authentication)  بین کامپیوترها بهکار گرفته میشوند.

 SMB روشی استاندارد برای دسترسی به فایل از راهدور برای استفاده میلیون‌ها رایانه در یک زمان پدید آورده است. بنابراین با استفاده از پروتکلSMB  یک کاربر برنامهکاربردی میتواند به فایلهای یک سرویسدهنده راهدور و دیگر منابع آن از جمله چاپگر دسترسی داشته باشد. بهعبارتدیگر یک برنامهکاربردی میتواند فایلهایی را از روی سرویسدهنده راهدور بخواند، ایجاد کند و یا به‌روزرسانی نماید. همچنین میتواند با هر برنامه سرویس دهنده که برای دریافت درخواستهای مشتری SMB راهاندازی شده است ارتباط برقرار نماید.

دانلود گزارش کامل مستند

]]>
2016/10/3
<![CDATA[تحلیلی در زمینه مجوزهای برنامه‌های کاربردی سیستم‌عامل اندروید]]>

تحلیلی در زمینه مجوزهای برنامه‌های کاربردی سیستم‌عامل اندروید

]]>
تحلیلی در زمینه مجوزهای برنامه‌های کاربردی سیستم‌عامل اندروید

امروزه با توجه به تولید انبوه برنامه‌های کاربردی اندرویدی و ارائه آن‌ها در بازارهای ایرانی و خارجی و همچنین دانش اندک بیشتر کاربران سیستم‌عامل اندروید، باید در مورد خطرات احتمالی آن دست از برنامه‌هایی که تهدیداتی را برای کاربران دستگاه‌های اندرویدی ایجاد می‌کنند اطلاع‌رسانی شود. بسیاری از برنامه‌های کاربردی چه ایرانی و چه خارجی با دریافت یکسری مجوزهای حساس با استفاده از مهندسی اجتماعی و یا عدم آگاهی کافی کاربران اقدام به سرقت اطلاعات کاربران می‌کنند. ولی سؤالی که باید پرسیده شود این است که آیا تابه‌حال مجوزهای درخواستی برنامه کاربردی اندرویدی شما قبل از نصب را مطالعه کرده‌اید؟ تعداد افرادی که این مجوزها را مطالعه می‌کنند انگشت‌شمار هستند و بیشتر افراد برخوردی عادی و بی‌تفاوت به این مجوزها دارند. از عدم آگاهی و نیز بی‌توجهی بیشتر کاربران، توسعه‌دهندگان برنامه‌های کاربردی مجوزهایی را از کاربران می‌خواهند که راه را برای نفوذ به دستگاه‌های اندرویدی باز می‌کند. هدف از این گزارش آگاه‌سازی کاربران در مورد مجوزهایی است که برنامه‌های کاربردی اندرویدی درخواست می‌کنند.

در ابتدا باید عنوان کرد که مجوزهای اندروید درخواست نیستند بلکه یک اعلان یا اطلاع‌رسانی را به کاربران اعلام می‌دارند. هنگامی‌که یک برنامه کاربردی را از Play Store دریافت و نصب می‌کنیم یک پنجره پاپ آپ ظاهر می‌شود که تمام مجوزهای درخواستی برنامه کاربردی موردنظر را به نمایش می‌گذارد که این مجوزها می‌توانند دسترسی به حافظه گوشی موردنظر، تماس‌های تلفنی، ارتباطات شبکه و غیره را داشته باشند.

 

شاید رد کردن یا تفویض مجوزهای درخواستی برنامه کاربردی در حال نصب ساده‌ترین کاری باشد که یک کاربر می‌تواند انجام دهد اما نکته مهم این است که تا چه اندازه می‌توان تفاوت بین حفاظت و تأمین امنیت داده کاربر و نیز در اختیار قرار دادن تمام دارایی‌های شخص در دست توسعه‌دهنده برنامه کاربردی را درک نمود.

بیشتر شرکت‌های اینترنتی از متدهای عمومی مشابهی برای آگاه‌سازی کاربران در خصوص داده‌هایی که قرار است مورداستفاده قرار گیرند بهره می‌برند. در سیستم‌عامل اندروید یک ارتباط سه سویه بین کاربر، گوگل (طراح و ارائه‌دهنده سیستم‌عامل اندروید) و توسعه‌دهندگان برنامه کاربردی شخص سوم وجود دارد. گوگل درواقع ارتباط بین کاربر و توسعه‌دهندگان شخص سوم را با استفاده از مجموعه‌ای از مجوزها برای هر برنامه کاربردی دانلود شده توسط کاربر، مدیریت می‌کند. مجوزها درواقع نیازمندی‌های توسعه‌دهندگان را برای چگونگی تعامل برنامه کاربردی تولیدشده با دستگاه کاربر مشخص کرده و دسترسی به نوع اطلاعات درخواستی برنامه کاربردی را نیز تعیین خواهد کرد.

در اکوسیستم اندروید بیشترین فشار بر روی توسعه‌دهندگان است تا مجوزهایی که به کاربر نشان داده می‌شوند، نحوه کار برنامه کاربردی را به‌درستی انتخاب و به نمایش بگذارند. پس‌ازاینکه توسعه‌دهنده برنامه کاربردی یک برنامه را ایجاد کرد، مجوزهای صحیح را به‌درستی انتخاب نمود و لیستی از کاربران هدفی که درنهایت با این مجوزها موافقت نموده‌اند را تهیه کرد، گوگل برنامه کاربردی تولیدی را به‌منظور شناسایی بدافزار و تشخیص کدهای مخرب مورد ارزیابی قرار خواهد داد. محدوده مجوزها برای تعامل برنامه کاربردی از اجازه دسترسی به بخش ویژه‌ای از سخت‌افزار دستگاه (به‌عنوان‌مثال فلش دوربین عکاسی) آغاز می‌شود و تا دسترسی به لیست مخاطبان کاربر ادامه می‌یابد. کاربر نیز باید با تمام مجوزهای لیست شده قبل از نصب برنامه کاربردی موافقت نماید.

اصول مجوزهای برنامه‌های کاربردی گوگل

مستندسازی مجوزها آن‌هم با وجود تنوع زیاد مجوزها و نیازمندی‌های متفاوت برنامه‌های کاربردی از کاربران بسیار سخت است. در این بخش گزارشی از بررسی‌ مجوزهای برنامه‌های موجود در فروشگاه Google Play با تمرکز ویژه روی مجوزهایی که به‌صورت بالقوه به برنامه کاربردی این اجازه را می‌دهند تا اطلاعات شخصی کاربر را جمع‌آوری و یا به اشتراک بگذارند ارائه شده است.

درمجموع با بررسی 1041336 برنامه کاربردی در این آزمایش باید عنوان کرد که تنها 235 مجوز انحصاری و خاص وجود داشته است. بیشتر برنامه‌های کاربردی مجوزهای زیادی را طلب می‌کنند و بیشترین تعداد مجوزهای درخواستی از برنامه‌های کاربردی این آزمون تعداد 127 مجوز بوده است که برای یک برنامه کاربردی مقدار بسیار زیادی است. برنامه‌های کاربردی دیگری هم هستند که تعداد انگشت‌شماری مجوز درخواست می‌کنند که میانگین مجوزهای درخواستی از یک برنامه کاربردی تنها 5 مجوز بوده است. در این گزارش تحلیلی باید اشاره کرد که 100000 برنامه نیز مجوزی را درخواست نکرده‌اند.

بیشترین مجوزهای برنامه‌های کاربردی در فروشگاه Google Play

مجوز

کاری که مجوز انجام می‌دهد "به برنامه کاربردی اجازه می‌دهد تا ..."

تعداد برنامه‌های کاربردی

% از برنامه‌های کاربردی

مجوز سخت‌افزاری یا اطلاعات کاربر

دسترسی کامل به شبکه

(Full network access)

... یک درگاه شبکه ایجاد کرده و از پروتکل‌های معمول شبکه استفاده می‌کند. مرورگر و دیگر برنامه‌های کاربردی داده را از طریق اینترنت ارسال می‌کنند که این بدان معنا است که مجوز نیازی به ارسال داده از طریق اینترنت را نباید داشته باشد.

855873

83%

سخت‌افزار

مشاهده ارتباطات شبکه

(View network connections)

... مشاهده اطلاعات درباره ارتباطات شبکه، به‌عنوان‌مثال تشخیص اینکه کدام شبکه وجود دارد و متصل است.

714607

69%

سخت‌افزار

آزمون دسترسی به حافظه حفاظت‌شده

(Test access to protected storage)

... آزمون مجوز مربوط به حافظه USB که بر روی دستگاه‌های آینده قابل‌دسترس خواهند بود. به برنامه کاربردی اجازه می‌دهد تا مجوز را برای SD card آزمایش نماید.

562442

54%

سخت‌افزار

تنظیم یا حذف محتوای موجود بر روی حافظه USB

(Modify or delete the contents of your USB storage)

... نوشتن بر روی حافظه USB. به برنامه کاربردی اجازه نوشتن بر روی SD card را می‌دهد.

559941

54%

اطلاعات کاربر

خواندن وضعیت تلفن و هویت

(Read phone status and identity)

... دسترسی به ویژگی‌های تلفن. این مجوز به برنامه کاربردی اجازه می‌دهد تا شماره‌های تلفن و ID را به هنگام برقراری تماس تشخیص دهد.

361616

35%

اطلاعات کاربر

جلوگیری از به خواب رفتن گوشی

(Prevent device from sleeping)

... ممانعت از به خواب رفتن گوشی. به برنامه کاربردی اجازه می‌دهد تا مانع به خواب رفتن گوشی شود.

279775

27%

سخت‌افزار

موقعیت مکانی دقیق(مبتنی بر GPS و شبکه)

(Precise location(GPS and network-based)

... دریافت موقعیت مکانی دقیق با استفاده از سیستم موقعیت‌یاب جهانی (GPS) یا موقعیت مکانی دکل‌های مخابراتی و Wi-Fi. این سرویس‌های موقعیت مکانی باید برای دستگاه موردنظر فعال و قابل‌دسترس باشند تا برنامه کاربردی قابلیت استفاده از آن را داشته باشد. برنامه‌های کاربردی توانایی تشخیص موقعیت مکانی شما را با استفاده از این مجوز دارند و به سبب آن مصرف انرژی بیشتری را برای دستگاه به همراه خواهند داشت.

246750

24%

اطلاعات کاربر

مشاهده ارتباطات بی‌سیم Wi-Fi

(View Wi-Fi connections)

... مشاهده اطلاعاتی درباره شبکه‌های Wi-Fi، ازجمله تشخیص فعال بودن Wi-Fi و اسامی دستگاه‌های Wi-Fi متصل شده.

235093

23%

اطلاعات کاربر

کنترل لرزاننده

(Control vibration)

... کنترل‌کننده لرزاننده

220594

21%

سخت‌افزار

موقعیت تقریبی(مبتنی بر شبکه)

(Approximate location (network-based)

... دریافت موقعیت مکانی تقریبی. این موقعیت مکانی از طریق سرویس‌های موقعیت مکانی به‌ویژه دکل‌های سلولی و Wi-Fi به‌دست می‌آیند. این سرویس‌های موقعیت مکانی باید برای دستگاه موردنظر فعال و قابل‌دسترس باشند تا برنامه کاربردی قابلیت استفاده از آن را داشته باشد. برنامه‌های کاربردی توانایی تشخیص تقریبی موقعیت مکانی شما را با استفاده از این مجوز خواهند داشت.

216770

21%

اطلاعات کاربر

 

از مجموع 235 مجوز که در این گزارش تحلیلی شناسایی شده‌اند تنها 10 مجوز توسط 20% برنامه‌های کاربردی موجود در Google Play مورداستفاده قرارگرفته است و تعداد زیادی از مجوزها تنها توسط بخش اندکی از برنامه‌های کاربردی درخواست شده‌اند. اگر بخواهیم به‌صورت آماری نگاه کنیم تعداد 1000 برنامه از مجموع 1041336 که 0.09% از تعداد کل برنامه‌های کاربردی مورد تحلیل را شامل می‌شوند، مقدار 147 مجوز از مجموع 235 مجوز را درخواست کرده‌اند که با توجه به کل برنامه‌های مورد ارزیابی، مقدار زیادی از مجوزها را پوشش می‌دهند. البته باید این نکته را نیز اضافه نمود که مجموع مجوزهای درخواستی از یک برنامه کاربردی به‌صراحت نمی‌تواند مشخص کند برنامه مورد نظر توانایی دسترسی به چه مقدار از اطلاعات کاربر را خواهد داشت. تناقضی که وجود دارد این است که یک برنامه کاربردی تنها با یک مجوز توانایی دسترسی به‌تمامی اطلاعات کاربر را می‌تواند داشته باشد درحالی‌که یک برنامه کاربردی با تعداد مجوزهای درخواستی فراوان تنها قابلیت تعامل با اجزای سخت‌افزاری دستگاه موردنظر را خواهد داشت! تحلیل ذکرشده به بررسی عمیق‌تر بر روی برنامه کاربردی به‌ویژه نوع مجوزهای درخواستی آن‌ها در فروشگاه Google Play می‌پردازد.

به‌طور ویژه مجوزهایی که نسبت به سایر مجوزها شایع‌تر هستند به دو دسته تقسیم می‌شوند:

  • مجوزهایی که به برنامه کاربردی این اجازه را می‌دهند تا به اطلاعات کاربر دسترسی داشته باشند.
  • مجوزهایی که به برنامه کاربردی اجازه می‌دهند تا به‌صورت مستقیم با دستگاه تعامل داشته باشند.

توجه

تعریف "اطلاعات کاربر" یک تعریف عام از اطلاعات کاربر است. مجوزهایی که جهت دریافت "اطلاعات کاربر" صادر می‌شوند، فرض شده‌اند که هر نوع اطلاعات مربوط به کاربر را پوشش خواهند داد. به همین ترتیب مجوزهای صادرشده مبتنی بر دسترسی به سخت‌افزار دستگاه نیز الزاماً بخش مشخصی از سخت‌افزار نخواهد بود.

مجوزهایی که سخت‌افزار دستگاه را تحت کنترل قرار می‌دهند

از 235 مجوز انحصاری جمع‌آوری‌شده در این تحلیل، 165 نوع از آن‌ها به برنامه کاربردی اجازه می‌دهند تا با اجزای سخت‌افزاری یک دستگاه تعامل داشته باشند و به برنامه اجازه دسترسی دیگری ازجمله اطلاعات کاربر را نخواهد داد.

به‌عنوان‌مثال دو نمونه از عمومی‌ترین مجوزها به برنامه کاربردی اجازه اتصال به اینترنت را می‌دهند. مجوز "دسترسی کامل به شبکه" (که توسط 83% برنامه‌های کاربردی مورداستفاده قرار می‌گیرند.) به برنامه کاربردی این اجازه را می‌دهد تا با هر شبکه‌ای که دستگاه به آن متصل است ارتباط برقرار نماید. درحالی‌که مجوز "مشاهده ارتباطات شبکه" (که توسط 69% برنامه‌های کاربردی مورداستفاده قرار می‌گیرند.) به برنامه کاربردی این اجازه را می‌دهد تا هر شبکه‌ای که دستگاه به آن دسترسی دارد را ببیند. هر برنامه کاربردی که درخواست دسترسی به اینترنت را داشته باشد، به‌منظور افزایش قابلیت‌های خود ممکن است به هردو مجوز "اطلاعات کاربر" و "مجوز سخت‌افزار" نیاز داشته باشد. درحالی‌که این دو مجوز به‌شدت فراگیر هستند اما اجازه دسترسی مستقیم به اطلاعات کاربر را به برنامه کاربردی نمی‌دهند.

نمونه‌هایی از کارکردهای این دست از مجوزها:

کنترل چراغ‌قوه – این مجوز به برنامه کاربردی این اجازه را می‌دهد تا با چراغ(فلش) موجود در گوشی هوشمند و یا رایانک مالشی تعامل داشته باشد. عموماً این چراغ مربوط به دوربین عکاسی است اما یک برنامه کاربردی توانایی استفاده از چراغ دوربین با قابلیت روشن و یا خاموش نگاه‌داشتن ممتد برای ایجاد یک "چراغ‌قوه" را خواهد داشت.

تنظیمات تصاویر زمینه – این مجوز به یک برنامه کاربردی این اجازه را خواهد داد تا یک تصویر را در پس‌زمینه صفحه‌نمایش خانگی یک دستگاه تنظیم نماید (معمولاً در دستگاه‌های مبتنی بر سیستم‌عامل اندروید آن را "تصویر زمینه" نیز می‌نامند).

کنترل لرزاننده – این مجوز به یک برنامه کاربردی اجازه کنترل لرزاننده که در بیشتر گوشی‌های هوشمند وجود دارند را خواهد داد.

این نوع از مجوزها خیلی هم ساده و سطحی نیستند. اگر از این نوع از مجوزها به‌درستی استفاده نشوند (و یا به‌صورت مخرب استفاده شوند) یک برنامه کاربردی با یکی از این مجوزها می‌تواند به‌صورت بالقوه برای دستگاه کاربر خرابی و تهدید ایجاد نماید؛ اما این نوع از مجوزها به‌خودی‌خود به یک برنامه کاربردی اجازه دسترسی به اطلاعات کاربر را نمی‌دهند و باید کاربر مهر تائید را به آن برنامه کاربردی داده باشد.

مجوزهایی که دسترسی به اطلاعات کاربر را می‌دهند

دومین دسته‌بندی از مجوزها به برنامه کاربردی این اجازه را خواهند داد تا به انواع اطلاعات کاربر دسترسی داشته باشد. این دسته از مجوزها عموماً نسبت به دسته قبلی کمتر تفویض می‌شوند. درواقع از مجموع 235 مجوز مشخص‌شده در این آزمون، 70 مجوز به‌صورت بالقوه دسترسی به اطلاعات کاربر را ممکن خواهند ساخت.

نمونه‌هایی از این نوع مجوزها می‌تواند مجوزهایی باشند که به برنامه کاربردی اجازه می‌دهند تا تصاویر موجود در کتابخانه تصاویر کاربر را تغییر و یا حذف نماید. نمونه دیگر از این نوع مجوزها می‌تواند خواندن لیست مخاطبان کاربر نیز باشد.

بیشترین مجوزهای برنامه‌های کاربردی که توانایی دسترسی به اطلاعات کاربر را دارند

مجوز

کاری که مجوز انجام می‌دهد "به برنامه کاربردی اجازه می‌دهد تا ..."

تعداد از برنامه‌های کاربردی

% از برنامه‌های کاربردی

تغییر یا حذف محتوا از حافظه USB

(Modify or delete the contents of your USB storage)

... نوشتن روی حافظه USB. به برنامه کاربردی اجازه نوشتن روی SD card را می‌دهد.

559941

54%

خواندن وضعیت و هویت تلفن

(Read phone status and identity)

... دسترسی به قابلیت‌های تلفن دستگاه. این مجوز به برنامه کاربردی اجازه تشخیص شماره تلفن و ID دستگاه را به هنگام برقراری تماس خواهد داد.

361616

35%

موقعیت مکانی دقیق(مبتنی بر GPS و شبکه)

(Precise location (GPS and network-based))

دریافت موقعیت مکانی دقیق با استفاده از سیستم موقعیت‌یاب جهانی (GPS) یا موقعیت مکانی دکل‌های مخابراتی و Wi-Fi. این سرویس‌های موقعیت مکانی باید برای دستگاه موردنظر فعال و قابل‌دسترس باشند تا برنامه کاربردی قابلیت استفاده از آن را داشته باشد. برنامه‌های کاربردی توانایی تشخیص موقعیت مکانی شما را با استفاده از این مجوز خواهند یافت و به سبب آن مصرف انرژی بیشتری را برای دستگاه به همراه خواهند داشت.

246750

24%

مشاهده ارتباطات بی‌سیم Wi-Fi

(View Wi-Fi connections)

... مشاهده اطلاعاتی درباره شبکه‌ها Wi-Fi، ازجمله تشخیص فعال بودن Wi-Fi و اسامی دستگاه‌های Wi-Fi متصل شده.

235093

23%

موقعیت تقریبی(مبتنی بر شبکه)

(Approximate location (network-based))

... دریافت موقعیت مکانی تقریبی. این موقعیت مکانی از طریق سرویس‌های موقعیت مکانی به‌ویژه دکل‌های سلولی و Wi-Fi به‌دست می‌آیند. این سرویس‌های موقعیت مکانی باید برای دستگاه مورد نظر فعال و قابل‌دسترس باشند تا برنامه کاربردی قابلیت استفاده از آن را داشته باشد. برنامه‌های کاربردی توانایی تشخیص تقریبی موقعیت مکانی شما را با استفاده از این مجوز خواهند داشت.

216770

21%

پیدا کردن حساب‌های کاربری روی دستگاه

(Find accounts on the device)

... دریافت لیست حساب‌های کاربری شناخته‌شده برای دستگاه که می‌تواند شامل هر حساب کاربری ایجادشده توسط برنامه کاربردی نصب‌شده روی دستگاه را پوشش دهد. به برنامه کاربردی اجازه می‌دهد تا لیست حساب‌های کاربری شناخته‌شده در دستگاه را دریافت نماید.

162925

16%

گرفتن عکس و فیلم

(Take pictures and videos)

... گرفتن عکس و فیلم از طریق دوربین دستگاه. این مجوز به برنامه کاربردی اجازه خواهد داد تا با استفاده از دوربین تعبیه‌شده در دستگاه بدون گرفتن تائید از کاربر اقدام به گرفتن عکس و فیلم نماید.

124733

12%

برقراری تماس مستقیم با شماره‌های تلفن موجود در دستگاه

(Directly call phone numbers)

... برقراری تماس با شماره‌های تلفن دستگاه، ازجمله شماره‌های ضروری، بدون مداخله کاربر. برنامه‌های کاربردی مخرب می‌توانند تماس‌های غیرضروری و غیرقانونی را با سرویس‌های اورژانس برقرار نمایند.

84290

8%

خواندن لیست مخاطبان

(Read your contacts)

... خواندن داده‌های مربوط به لیست مخاطبان ذخیره‌شده در رایانک مالشی شما که می‌تواند شامل مخاطبانی که دفعات زیادی اقدام به برقراری تماس، ارسال ایمیل کرده‌اید. این مجوز به برنامه‌های کاربردی اجازه خواهند داد تا داده‌های لیست مخاطبان شما را ذخیره کنند، یک برنامه مخرب می‌تواند بدون آگاهی شما لیست مخاطبان را به اشتراک بگذارد.

64377

6%

خواندن لاگ‌های تماس

(Read call log)

... خواندن لاگ تماس که می‌تواند درباره داده‌های تماس ورودی و خروجی باشد. این مجوز به برنامه‌های کاربردی اجازه خواهند داد تا داده‌های لاگ تماس را ذخیره کنند و برنامه‌های کاربردی مخرب می‌توانند این داده‌ها را به اشتراک بگذارند.

42797

4%

 

اگر بخواهیم به‌صورت موردی بررسی کنیم، مجوزی مثل مشاهده ارتباطات بی‌سیم ممکن است اطلاعات بسیار کمی را برای برنامه کاربردی افشا نماید اما یک برنامه کاربردی می‌تواند شبکه‌های بی‌سیم در دسترس را مشاهده نموده و اطلاعات‌پایه در مورد آن‌ها را جمع‌آوری نماید. در مورد نوع اطلاعات جمع‌آوری‌شده و منظور و هدف جمع‌آوری این دست از اطلاعات باید مشخص نمود که برنامه موردنظر به چه منظوری و با چه نیتی این اطلاعات را جمع‌آوری نموده است تا مشخص شود چه نوع اطلاعاتی ازنظر کاربر حساس و ضروری هستند؛ بنابراین هرگونه اطلاعات از کاربر می‌تواند به‌صورت بالقوه حساس باشد و مورد تحلیل قرار گیرد.

5 مجوزی که باید نسبت به آن‌ها محتاط‌تر باشید

تعداد اندکی از مجوزها هستند که باید در خصوص آن‌ها احتیاط لازم را مبذول نمایید. البته نه به خاطر اینکه این نوع از مجوزها خطرناک هستند، بلکه به این دلیل که تفویض این نوع مجوزها ممکن است پیامدهای وسیعی را برای کاربر به همراه خواهد داشت، البته این پیامد زمانی حاصل خواهد شد که داده‌های کاربر در دست شخص نادرستی قرار گیرند.

  1. موقعیت مکانی

دو نمونه از مجوزهای موقعیت مکانی وجود دارند که برنامه‌های کاربردی اندرویدی به آن نیازمند هستند.

  • موقعیت مکانی تقریبی (مبتنی بر شبکه)
  • موقعیت مکانی دقیق (مبتنی بر GPS و شبکه)

سؤالی که وجود دارد این است که برنامه کاربردی برای چه منظوری نیازمند موقعیت مکانی دقیق شما است؟ به‌عنوان‌مثال برنامه کاربردی موقعیت‌یاب Waze برای اجرا نیازمند چنین اطلاعاتی خواهد بود. مهم‌تر این‌که برخی از برنامه‌های کاربردی هدفشان ارسال آگهی‌های بازرگانی بر اساس موقعیت مکانی کاربران است که این دست از برنامه‌ها نیز خواهان دسترسی به اطلاعات مکانی کاربر خواهند بود. البته این دست از برنامه‌های کاربردی عموماً رایگان هستند که در زمان اجرا آگهی‌های بازرگانی را نیز بر اساس موقعیت مکانی کاربر به نمایش می‌گذارند.

  1. وضعیت گوشی و هویت آن

این نوع مجوز مشکل‌ساز خواهد بود زیرا تمامی اطلاعات مربوط به نیازمندی‌های یک تماس ورودی به گوشی همراه ازجمله شماره IMEI دستگاه موردنظر را به برنامه کاربردی خواهد داد.

 

این نوع مجوز ممکن است به‌صورت بالقوه برای مقاصد خرابکارانه مورداستفاده قرار بگیرد بنابراین به هنگام درخواست برنامه کاربردی برای دریافت این مجوز محتاط‌تر عمل کنید. اگر برنامه‌ای بدون دلیل منطقی درخواست چنین مجوزی را نمود به بررسی مجوز با توجه به کارایی آن برنامه اقدام نمایید.

  1. خواندن و تنظیم لیست مخاطبان شما

این نوع از مجوزهایی که برنامه کاربردی نیازمند دسترسی به خواندن و تنظیم مخاطبان کاربر هستند می‌تواند مشکل‌ساز شود، درواقع مجوز تنظیم مخاطبان زمانی خطرناک خواهد بود که برنامه کاربردی مجوز خواندن تمامی اطلاعات موجود روی گوشی شما را دریافت نماید.

برنامه‌های کاربردی مدیریت SMS، برنامه‌های کاربردی مدیریت مخاطبان، برنامه کاربردی که جایگزین شماره‌گیر گوشی می‌شوند و حتی برخی از برنامه‌های کاربردی اجتماعی نیز نیازمند چنین مجوزهایی خواهند بود ولی نکته‌ای که وجود دارد این است که برنامه‌های کاربردی که جنبه‌های اجتماعی ندارند لزومی به تفویض چنین مجوزهایی را نخواهند داشت.

  1. مجوزهای مربوط به SMS و MMS

این نوع از مجوزها می‌توانند به‌صورت بالقوه هزینه‌هایی را برای کاربر ایجاد نمایند، اگر برنامه کاربردی مخربی ازاین‌گونه مجوزها استفاده کند هزینه‌هایی را به‌وسیله SMS های قانونی و یا اعمال یکسری هزینه‌های اضافی به ازای هر SMS و MMS ارسالی برای کاربر ایجاد خواهد کرد.

مجوزهای خواندن پیام‌های متنی و دریافت پیام‌های متنی توانایی نفوذ به حریم خصوصی شما را خواهند داشت اگر دلیل خاصی برای تفویض این نوع از مجوزها به برنامه کاربردی خود ندیدید از دادن این مجوزها جدا خودداری کنید.

  1. مجوزهای مربوط به حساب‌های کاربری

پیدا کردن حساب‌های کاربری بر روی دستگاه به برنامه کاربردی این امکان را می‌دهد تا از طریق مدیریت حساب‌های کاربری که سیستم‌عامل اندروید در خود جای‌داده است به بررسی حساب‌های کاربری ازجمله سرویس‌های google، Facebook و غیره نماید.

استفاده از حساب‌های کاربری روی دستگاه اندرویدی به برنامه کاربردی اجازه می‌دهد تا برای استفاده از حساب کاربری درخواست مجوز نماید. هنگامی‌که مجوز موردنیاز داده شد برنامه کاربردی موردنظر دیگر درخواست مجدد مجوز نخواهد کرد. نگرانی زمانی وجود خواهد داشت که برنامه کاربردی مخرب بدون هیچ‌گونه نشان و رد پایی به کار خود ادامه می‌دهد و به‌صورت مخفیانه از حساب کاربری شما استفاده خواهد کرد.

راهکارهای ایمنی

  • بهترین راه برای ایمن ماندن رد درخواست برنامه کاربردی متقاضی مجوز مشکل ساز نیست، در عوض باید به نوع کارکرد برنامه کاربردی نگاه کرد و علت درخواست مجوز با توجه به کاری که آن برنامه انجام می‌دهد را بررسی نمود تا در صورت صحیح بودن علت درخواست مجوز موردنیاز به آن داده شود.
  • شما می‌توانید با ارسال یک ایمیل به توسعه‌دهنده برنامه کاربردی موردنظر درباره مجوزهای درخواستی سؤال کنید. اگر پاسخ توسعه‌دهنده راضی‌کننده نبود یا پاسخی را در کل از توسعه‌دهنده دریافت نکردید باید به برنامه کاربردی مجوز موردنیاز را ندهید.
  • اگر در مورد امنیت برنامه موردنظر اطمینان لازم را ندارید، شما باید از نقطه نظرات کاربران در خصوص استفاده از برنامه کاربردی استفاده کنید. (با بررسی فروم‌ها و فروشگاه‌های برنامه‌های کاربردی به نظرات کاربران توجه ویژه داشته باشید.)

مدیریت مجوزهای برنامه کاربردی

اگر شما به برنامه کاربردی اجازه دسترسی به حساب‌های کاربری خود را داده‌اید بهتر است مجوزهای حساب‌های کاربری خود را مدیریت کنید که این کار با رفتن به تنظیمات حساب کاربری و مشخص کردن مجوزها برای برنامه کاربردی موردنظر قابل‌حل خواهد بود.

شما همچنین می‌توانید با رفتن به Settings>Apps، مجوزهای اصلی برنامه‌های کاربردی را بررسی کنید. کافی است برنامه کاربردی موردنظر را انتخاب کنید و مجوزهای آن را مشاهده نمایید.

برنامه‌های کاربردی مدیریت مجوزها

شما همچنین می‌توانید از برنامه‌های کاربردی، همچون Permission Explorer برای مدیریت مجوزها استفاده کنید. این نوع از برنامه‌ها به شما این امکان را می‌دهند تا با اعمال یکسری فیلترها بر اساس دسته‌بندی، برنامه کاربردی و مجوزها شما را در مدیریت بهتر مجوزهای تفویض شده به برنامه کاربردی با جزئیات بیشتر آگاه سازد. از دیگر برنامه‌های مشابه می‌توان به Permissions Observatory و App Permissions اشاره نمود.

 

اندکی زمان را برای بررسی مجوزهای درخواستی برنامه کاربردی نصب‌شده بر روی دستگاه اندرویدی خود صرف نمایید، این کار باعث می‌شود تا برنامه‌هایی را که از مجوزهای مشکل‌ساز استفاده می‌کنند، شناسایی کرده و در مورد حذف و یا صحت کارکرد آن‌ها اقدامات لازم را انجام دهید.

لغو مجوزهای برنامه کاربردی

هنگامی‌که شما برنامه کاربردی متخلف را شناسایی کردید اکنون زمان اتخاذ تصمیم مناسب است. به‌صورت پیش‌فرض روشی برای مدیریت مجوزهای برنامه کاربردی در نسخه‌های اندروید لحاظ نشده است و از نسخه 4.4.2 اندروید، گوگل ویژگی AppOps را در سیستم‌عامل خود قرار داده است.

اگر شما همچنان از نسخه غیر روت شده 4.4.2 و یا نسخه 4.3 اندروید استفاده می‌کنید شما توانایی حذف کامل برنامه‌های کاربردی که مجوزهای غیرمتعارف را دریافت کرده‌اند را خواهید داشت. البته اگر سیستم شما روت شده هم باشد باید گفت که گزینه‌های بیشتری برای شما وجود خواهد داشت تا با این دست مشکلات برخورد کنید.

برنامه‌های کاربردی مدیریت مجوزها (دستگاه‌های روت شده)

شما می‌توانید برنامه Xposed Framework یا برنامه XPrivacy را روی دستگاه خود نصب کنید. XPrivacy یکی از بهترین برنامه‌های کاربردی مدیریت مجوزهای برنامه کاربردی است که به‌راحتی قابل‌دسترسی بوده و به شما این اجازه را می‌دهد تا تمام مجوزهایی را که یک برنامه کاربردی ممکن است نیاز داشته باشد را لغو و یا ببندد. شما می‌توانید با استفاده از XPrivacy Installer هر دو برنامه Xposed Framework و XPrivacy به‌راحتی نصب کنید.

نتیجه‌گیری

درمجموع باوجود تعبیه شدن تنظیمات حریم خصوصی و امنیتی پیش‌فرض در دستگاه‌های مبتنی بر سیستم‌عامل اندروید، اندکی ضعف در این نوع تنظیمات دیده می‌شود. توسعه‌دهندگان برای افزایش قابلیت‌های کلیدی برنامه‌های کاربردی خود نیاز به دریافت تائید مجوز برای دسترسی به اطلاعات کاربر را دارند و متأسفانه به‌طور کامل نمی‌توان به توسعه‌دهندگان اطمینان داشت. راهکاری که می‌تواند کارساز باشد این است که کاربر مجوزهای موردنیاز برنامه‌های خود را به هنگام نصب بررسی کرده و به آن‌ها توجه ویژه‌ای داشته باشد به‌خصوص آن دسته از کاربرانی که برنامه‌های کاربردی خود را از فروشگاه‌های غیر معتبر دریافت می‌کنند.

 

]]>
2016/9/25
<![CDATA[جدول آخرین بروزرسانی ها و آسیب پذیری ها ی نرم افزارهای پرکاربرد کشور (شهریور ماه 1395)]]>

جدول آخرین بروزرسانی ها و آسیب پذیری ها ی نرم افزارهای پرکاربرد کشور (شهریور ماه 1395)

]]>
 

 

دریافت فایل

]]>
2016/9/22
<![CDATA[امکان حمله درب پشتی در بازی Pokemon GO]]>

امکان حمله درب پشتی در بازی Pokemon GO

]]>
بازی «پوکِمون گو» یک بازی ویدئویی در سبک واقعیت افزوده است که توسط شرکت Niantic با همکاری Nintendo در سال 2016 برای پلتفرم‌های اندروید و iOS منتشر شده است. ایده اصلی این بازی از کودکی کارگردان این سری بازی‌ها که علاقه خاصی به جمع کردن حشرات داشته گرفته شد. در این بازی هیولاهایی به اسم پوکِمون نقش اصلی را ایفا می‌کنند. این بازی با استقبال فراوانی از جانب کاربران گوشی‌های هوشمند همراه مواجه شده و توانسته رکورد سریع‌ترین آمار دانلود را در Google Play کسب کند و به رقیبی جدی برای بازی Clash of Clans که برای مدت‌ها در صدر بود تبدیل شود.

از آن جایی که نسخه اندرویدی «پوکِمون گو» برای تمامی نقاط جهان منتشر نشده است بسیاری از کاربران علاقه‌مند قبل از این که بازی در منطقه جغرافیایی آنها منتشر شود اقدام به دانلود و نصب فایل APK آن از فروشگاه‌های برنامه کاربردی شخص سوم نموده‌اند. متأسفانه این کار راه را برای آلوده شدن دستگاه کاربر به برنامه کاربردی مخرب باز می‌کند. در واقع دانلود APK از فروشگاه‌های برنامه کاربردی شخص سوم منجر به آلوده شدن دستگاه کاربر و سو استفاده‌های احتمالی خواهد شد. یکی از راه‌کارهای تشخیص آلوده بودن برنامه کاربردی دانلود شده چک کردن هش SHA256 برنامه مورد نظر است. برای مورد خاص که بازی «پوکِمون گو» است هش

 8bf2b0865bef06906cd854492dece202482c04ce9c5e881e02d2b6235661ab67

مورد تائید است. البته ممکن است نسخه‌های بروز شده‌ای از این بازی منتشر شده باشند. بازی آلوده «پوکِمون گو» با هش

15db22fd7d961f4d4bd96052024d353b3ff4bd135835d2644d94d74c925af3c4

آلوده ارزیابی ‌شده است.

روش دیگر برای آزمون آلوده بودن دستگاه هوشمند چک کردن مجوزهایی است که برنامه کاربردی به هنگام نصب از شما درخواست می‌کند. برای این کار کافی است به Settings -> Apps -> Pokemon GO رفته و با اسکرول کردن به سمت پایین به بخش PERMISSIONS وارد شوید.

 

 

شکل بالا لیست مجوزهای داده شده به بازی آلوده نشده را نشان می‌دهد. این مجوزها متناسب با قابلیت‌های گوشی هوشمند متفاوت خواهد بود.

در تصاویر زیر مجوزهای مشخص شده توسط DroidJack به بازی Pokemon GO اضافه شده است.

 

با تفویض این مجوزها به برنامه Pokemon GO دستگاه کاربر آلوده خواهد شد، هرچند ممکن است در آینده این مجوزها تغییر کنند.

نکته قابل توجه در مورد بازی آلوده Pokemon GO این است که به هنگام اجرا، کاربر قربانی هیچ‌گونه نشانه‌ای از مخرب بودن برنامه نصب شده را دریافت نمی‌کند. در واقع بازی آلوده‌شده به‌گونه‌ای هوشمندانه تغییر یافته و همان‌طور که در شکل زیر مشاهده می‌شود صفحه ‌نمایش آغاز بازی Pokemon GO آلوده‌شده مانند نمونه رسمی عمل می‌کند.

 

پس از بررسی‌های صورت گرفته برروی بازی آلوده‌شده، مشخص شد سه کلاس از جانب مهاجمین به بازی رسمی اضافه شده است. همان‌طور که در شکل زیر مشاهده می‌شود این سه کلاس مشخص شده‌اند.

 

همان‌طور که در شکل زیر مشاهده می‌شود، DroidJack RAT به‌گونه‌ای بسته net.droidjack.server را پیکربندی نموده است تا از طریق پورت 1337 و دامنه "pokemon.no-ip.org" با سرورهای C&C ارتباط برقرار کند.

نتیجه‌گیری

نصب برنامه‌های کاربردی از بازارهای شخص سوم به‌جای بازارهای رسمی هرگز توصیه نمی‌شود. فروشگاه‌های رسمی برنامه‌های کاربردی با استفاده از الگوریتم‌ها و فرایندهای امنیتی، اقدام به بررسی امنیت موجود در برنامه‌های کاربردی موبایل می‌نمایند. درحالی‌که سایر فروشگاه‌های غیررسمی با انتشار برنامه‌های آلوده و آزمون نشده اقدام به نشر بدافزار می‌کنند. به این ترتیب مهاجمین با توجه به باز بودن راه برای انتشار برنامه‌های خود در بازارهای شخص سوم با سو استفاده از برنامه‌های پرطرفداری چون Pokemon GO کاربران را فریب داده و بدافزار را روی دستگاه قربانی نصب می‌نماید تا از این طریق به اهداف خود برسند؛ بنابراین بهترین شیوه برای جلوگیری از نصب این دست از برنامه‌ها، دریافت برنامه کاربردی از بازارهای قانونی و رسمی است.

همچنین به هنگام نصب برنامه‌های کاربردی روی دستگاه خود مجوزهای درخواستی را بررسی نمایید به‌خصوص تطبیق مجوز با نوع کارکرد برنامه کاربردی را مد نظر قرار دهید.

]]>
2016/9/17
<![CDATA[نقص امنیتی در پیاده‌سازی پروتکل TCP در سیستم‌های لینوکس و امکان سرقت ترافیک اینترنتی کاربران]]>

نقص امنیتی در پیاده‌سازی پروتکل TCP در سیستم‌های لینوکس و امکان سرقت ترافیک اینترنتی کاربران

]]>
یک آسیبپذیری جدی و مهم در پیادهسازی TCP در سیستمهای لینوکس کشف شده که در واقع از سال 2012 گسترش یافته است (از نسخه کرنل لینوکس 3.6 به بعد). این آسیبپذیری میتواند توسط مهاجمان برای شناسایی میزبانهایی به‌کار گرفته شود که روی این پروتکل ارتباط برقرار میکنند. در نهایت این حمله میتواند منجر به بهرهبرداری از ترافیک میزبان گردد.

 

این اشکال که در پروتکل TCP/IP مشاهده میشود، به نفوذگران این امکان را میدهد تا ارتباطات میان دو مدخل را شناسایی کرده و اقدام به شنود ترافیک نمایند. این مشکل از آن جهت نگران‌کننده است که سیستم‌عامل لینوکس به‌صورت گسترده‌ در سرویسدهندههای وب، موبایل‌های با سیستم‌عامل آندروید، تبلتها و تلویزیون‌ها مورد استفاده قرار میگیرد.

 

پژوهشگران دانشگاه ریورساید ایالت کالیفرنیا و آزمایشگاه تحقیقاتی ارتش آمریکا در مقالهای تحت عنوان “Off-Path TCP Exploits: Global Rate Limit Considered Dangerous” به شرح این آسیبپذیری پرداخته‌اند و در همایش امنیتی USENIX نشان دادند که چگونه میتوان به دو میزبان که از طریق پروتکل TCP با یکدیگر در ارتباط میباشند، حمله نمود و در آخر توصیههایی را برای چگونگی کاهش اثرات آن ارائه دادهاند.

 

Zhiyun Qian استادیار علوم کامیپیوتر در دانشگاه کالیفرنیا و یکی از نویسندگان مقاله مذکور در این خصوص میگوید: "وصلههایی برای این آسیبپذیری در کرنل لینوکس جاری توسعه یافته‌اند. Qian و محققان همکار وی از جمله Yue Cao Zhongjie Wang ، Tuan Dao ، Srikanth V.Krishnamurthy و Lisa M.Marvel وصلهای را برای سرویسگیرندگان و میزبانهای سرویسدهنده توسعه داده‌اند که چالش محدودیت نرخ ACK را برای مقادیر بزرگ ایجاد مینماید که باعث میشود بهرهبرداری از آن دشوارتر گردد".

 

برای بهرهبرداری از آسیبپذیری، مهاجمان نیازی به بودن در مسیر ترافیک (یعنی اجرای حملات فردی در میان) ندارند و Qian میگوید هیچگونه تعامل کاربری از سوی قربانی مورد نیاز نمیباشد.

 

Qian در یک بیانیهای که توسط دانشگاه منتشر گردیده، گفته است: "جنبهی منحصربه فرد این حمله در قابلیت بسیار پایین لازم برای انجام آن است. اصولاً این حمله به راحتی توسط هر فردی در هر جایی از دنیا که ماشینی در یک شبکه داشته باشد و قابلیت Spoofing IP را دارا باشد، قابل انجام است. فقط بخشی از اطلاعات مورد نیاز، جفت آدرسهای IP (برای سرویسگیرنده و سرویسدهنده) میباشد که آن‌ها نیز به آسانی به‌دست خواهند آمد".

 

آسیبپذیری پیادهسازیTCP  (CVE-2016-5696) میتواند تعداد زیادی از تجهیزاتی که از سیستم‌عامل لینوکس استفاده می‌کنند (از قبیل کامپیوترهای شخصی، گوشیهای موبایل و موارد دیگر) را تحت تأثیر قرار دهد.

 

محققان اعلام نمودهاند که این حمله میتواند در کمتر از یک دقیقه انجام پذیرد و بنا به تجربه آنها افراد متخصص در حوزه امنیت و یا دانشگاهیان در حدود 88 الی 97 درصد موفق بودهاند.

 

محققان در مقاله خود نوشتند: "به‌طور خلاصه، این آسیبپذیری امکانی را برای یک مهاجم خارج از مسیر فراهم میآورد تا پی ببرد که آیا هر دو میزبان مورد نظر در اینترنت با استفاده از یک اتصال TCP ارتباط برقرار نمودهاند یا خیر. علاوهبراین در صورتیکه اتصال وجود داشته باشد، این مهاجم خارج از مسیر می‌تواند Sequence Number مورد استفاده در TCP را برای هر دو طرف ارتباط استنباط نماید. این مورد به نوبه خود به مهاجم اجازه میدهد تا ارتباط را خاتمه داده و حملات تزریق داده را انجام دهد".

 

لازم به ذکر است که معمولاً پروتکل TCP پیام‌ها را به تعدادی بسته با شماره‌های ترتیب خاص تبدیل می‌کند و به سمت گیرنده ارسال می‌نماید. پس از آن در سمت گیرنده بسته‌ها با توجه به شماره‌ها به یکدیگر متصل شده و پیام اصلی بازیابی می‌شود. محققان دریافته‌اند که با استفاده از حملاتside channel می‌توان شماره بسته‌های TCP را در۱۰ ثانیه اول ارتباط فقط با داشتن آدرس IP طرفین ارتباط حدس زد. این کار بدین معنی است که بدون اجرای حمله مردی در میان می‌توان بسته‌های TCP را شنود و یا تزریق کرد. از این جهت حملات احتمالی ناشی از این اشکال از سوی پژوهشگران یک حمله مردی در میان محسوب نمیشود، چرا که نفوذگر در آن تنها باید بخشهای مخربی را به دوسوی ارتباط ارسال نماید و این امر به راحتی با دانستن نشانی آدرس IP آنها و پورت مقصد به آسانی امکانپذیر است.

محققان در ادامه نوشتهاند که این حملات میتوانند ترافیک به ظاهر رمزگذاری شده از جمله ارتباط میان شبکه Tor را نیز مختل نماید و یا حتی از بین ببرد.

 

پژوهش جدید انجام شده فرضیات قبلی را زیر سوال برده است، چرا که فرضیات قبلی در این زمینه اذعان   میکردند که یک مهاجم بدون قرار گرفتن در یک موقعیت فردی در میان (Man-in-the-Middle) بهراحتی نمیتواند مشخص نماید که آیا هر دو انتهای یک نشست از طریق یک اتصال TCP ارتباط برقرار نمودهاند و بنابراین وی نمیتواند ترافیک را سرقت یا دستکاری نماید.

 

“off-path attack” یا حمله خارج از مسیر میتواند تعیین نمایند که آیا میزبانها در حال استفاده از اتصالات TCP هستند و سپس شماره پورتهای این اتصالات را نیز مشخص مینماید. این حمله به شخص خارج از مسیر اجازه میدهد تا شماره ترتیب TCP یا (TCP Sequences number)  را استنباط نماید و سپس اکسپلویتهایی را تزریق کند و یا جریان ترافیک را خاتمه دهد.

 

محققان نوشتند: "ما تأکید مینماییم که این حمله صرفاً توسط مهاجم خارج از مسیر که به اصطلاح به آن off the path گفته میشود، بدون اجرای کد بدخواه بر روی ارتباط سرویسگیرنده یا سرویسدهنده قابل انجام است. این حملات در مقیاس وسیع میتواند آثار جدی برامنیت و محرمانگی اینترنت داشته باشد".

 

محققان اظهار داشتهاند که این مشکل مربوط به پاسخهای چالش آفرین ACK و تحمیل محدودیت نرخ سراسری بر بستههای کنترل TCP است. "در سطح بسیار بالا، این آسیبپذیری به مهاجم اجازه میدهد، رقابتی را بر سر یک منبع مشترک ایجاد نماید؛ یعنی نرخ سراسری شمارنده را در سیستم هدف از طریق ارسال بستههای دستکاری شده محدود مینماید. سپس مهاجم میتواند اثر ایجاد شده بر تغییر شمارنده را که از طریق ردیابی بستهها قابل اندازهگیری است، مشاهده کند".

 

"از طریق آزمایشهای وسیع نشان داده میشود که این حمله بینهایت مؤثر و قابل اطمینان است. در این شرایط تعیین اینکه آیا دو میزبان در حال برقراری ارتباط هستند، تنها 10 ثانیه طول میکشد. اگر اتصالی وجود داشته باشد، متعاقباً فقط چندتا ده ثانیه طول میکشد تا شماره ترتیبهای TCP به‌کار رفته در اتصال تعیین شود".

راه حل

همان‌طورکه گفته شد، برای خنثی سازی این حملات میبایست حد مربوط به نرخ ACK را در سیستم‌های لینوکسی به مقدار بالایی تغییر داد. برای این‌کار کافی است که در فایل Sysctl.conf که در شاخه etc میباشد، مقدار رشته زیر اضافه گردد:

net.ipv4.tcp_challenge_ack_limit = 999999999

 

پس از تغییرات انجام شده، باید قانون جدید ایجاد شده را با دستور زیر فعال نمود:

sysctl -p

 

یا به‌طور کلی از دستور زیر استفاده نمود:

echo 'net.ipv4.tcp_challenge_ack_limit = 999999999' >>/etc/sysctl.conf;sysctl -p

 

]]>
2016/8/30
<![CDATA[برگزاری کارگاه تخصصی ارتقای دانش امنیت برای متولیان فاوای دستگاه های اجرایی آذربایجان غربی]]>

برگزاری کارگاه تخصصی ارتقای دانش امنیت برای متولیان فاوای دستگاه های اجرایی آذربایجان غربی

]]>
 

کارگاه تخصصی یکروزه ارتقای دانش امنیت متولیان فاوای کلیه دستگاه های اجرایی و حاکمیتی استان آذربایجان غربی با شرکت بیش از 180 نفر در روز سه شنبه مورخ 26/05/95، با همکاری مرکز ماهر  سازمان فناوری اطلاعات ایران و اداره کل فناوری اطلاعات استان آذربایجان غربی توسط مرکز اپا دانشگاه فردوسی در قالب عناوین ذیل برگزار گردید:


•    ضرورت ها و روند ها
•    تهدیدات امنیتی ، معماری و طراحی ایمن شبکه ها و زیرساخت سازمانی
•    پیکربندی امن و زیرساخت بارویکرد دفاع در عمق
•    مدیریت رخدادهای امنیت رایانه ای و تشکیل تیم های CERT سازمانی

]]>
2016/8/30
<![CDATA[بررسی سه آسیب پذیری مهم در سیستم مدیریت محتوا Drupal]]>

بررسی سه آسیب پذیری مهم در سیستم مدیریت محتوا Drupal

]]>
1    ماژول Webform Multiple File Upload

::: معرفی
    ::: پروژه: Webform Multiple File Upload (ماژول/ افزونه)
    ::: آسیب‌پذیری: اجرای کد PHP دلخواه (Remote Code Execution)
    ::: شماره گزارش آسیب پذیری: SA-CONTRIB-2016-040

::: توضیحات
    ماژولِ Webform Multiple File Upload به کاربر اجازه می‌دهد تا چندین فایل را در یک فرم تحت وب آپلود کند. این ماژول یک آسیب‌پذیریِ اجرای کد از راه دور(RCE)  دارد؛ آن‌جا که محتوای فرم از حالت serialized  خارج می‌شود و در نتیجه ورودی‌های خاصی که ممکن است ارسال شوند، می‌توانند به اجرای کد PHP با توجه به libraryهای در دسترس روی سایت منجر شوند.
    این آسیب‌پذیری با این واقعیت پیوند خورده است که نفوذگر می‌بایستی امکان این را داشته باشد تا فرمی که حاویِ ورودیِ Multiple File Upload است را ارسال کند. همین‌طور، سایت باید یک Object با روشی روی wake یا destroy کدِ include شده که می‌تواند برای مقاصد نامناسب استفاده شود، تعریف داشته باشد. هسته‌ی دروپال7 یک کلاس به این شکل داراست که می‌تواند برای حذفِ فایل‌های دلخواه استفاده گردد، اما کلاس‌های شخصی‌سازی شده، ممکن است حاوی متدهایی باشند که می‌توانند برای باگ RCE مورد استفاده قرار گیرند.

نکته: این آسیب‌پذیری در ماژولِ Webform Multiple File Upload(webform_multifile) وجود دارد. یک ماژول با نام مشابهی نیز وجود دارد Webform Multiple File(webform_multiple_file) که این مشکل را دارا نیست.

::: نسخه های تحت تأثیر
    هسته‌ی دروپال تحت تاثیر این آسیب‌پذیری نیست. اگر شما از ماژول  Webform Multiple File Upload استفاده نمی‌کنید، نیازی به انجام کاری نیست. اما نسخه آسیب پذیر این ماژول عبارتند از:
•    Webform Multifile 7.x-1.x versions prior to 7.x-1.4

::: راه حل
    آخرین نسخه را نصب کنید. اگر از ماژول Webform Multifile برای دروپال نسخه 7.x استفاده می‌کنید، به Webform Multiple File Upload  نسخه‌ ی 7.x-1.4 آپدیت کنید.

    گزارش شده توسط Ben Dougherty
    حل شده توسطJelle Sebreghts  و Peter Droogmans  از پشتیبانی ماژول دروپال
    یافتن باگ در کد توسطBen Dougherty  و Greg Knaddison از تیم امنیتی دروپال


2    ماژول Coder

::: معرفی
    ::: پروژه:  Coder(ماژولِ افزودنی)
    ::: آسیب‌پذیری: اجرای کد PHP دلخواه (Remote Code Execution)
    ::: شماره گزارش آسیب پذیری: SA-CONTRIB-2016-040

::: توضیحات
    ماژول Coder کدِ دروپالِ شما را برای استانداردها و دیگر بهینه‌سازی‌ها چک می‌کند. همانطور می‌تواند اشتباهات استانداردهای کدنویسی را نیز تصحیح کند و روی ماژول‌ها، یک‌سری بهینه‌سازی اساسی انجام دهد.
    این ماژول به صورتِ صحیح، ورودی‌های کاربر را در فایل اسکریپتی که پسوندِ PHP دارد بررسی نمی‌کند. یک کاربرِ Login نکرده و یا نفوذگر می‌تواند به صورت مستقیم به این فایل درخواست فرستاده و کد PHP دلخواه اجرا کند.
    هیچ فاکتورِ محدودکننده‌ای وجود ندارد. ماژول حتی نیاز به فعال بودن برای اکسپلویت‌شدن ندارد! وجود فایل روی سرور و این‌که از روی وب قابل دسترسی باشد کافیست.

::: نسخه های تحت تأثیر
•    Coder module 7.x-1.x versions prior to 7.x-1.3
•    Coder module 7.x-2.x versions prior to 7.x-2.6
    هسته‌ی دروپال تحت تاثیر این آسیب‌پذیری نیست. اگر شما از ماژول Coder استفاده نمی‌کنید، نیازی به انجام کاری نیست.

::: راه حل
    دو راه موجود است.
راه اول این‌است که ماژول را از همه‌ی سایت‌هایی که در دسترس عموم هستند پاک کنید:
•    ماژول Coder برای استفاده در محیط توسعه ساخته شده است و قرار نیست روی سرورهایی با دسترسی عمومی قرار داشته باشد. در نتیجه، یک راه ساده این است که کل دایرکتوری ماژولِ Coder را از روی همه‌ی وب‌سایت‌های با دسترسی عمومی پاک کنید.
انتخاب دوم این است که آخرین نسخه را نصب کنید:
•    اگر از ماژول Coder برای دروپال 7.x استفاده می‌کنید، به Coder نسخه‌ی 7.x-1.3 یا 7.x-2.6 آپدیت کنید.

    گزارش شده توسط Nicky Bloor
    حل شده توسطDavid Rothstein و Jim Berry از پشتیبانی ماژول دروپال
    یافتن باگ در کد توسط Michael Hess و Greg Knaddison وKlaus Purer از تیم امنیتی دروپال

 

 


3    ماژول RESTful Web Services

::: معرفی
    ::: پروژه:  RESTful Web Services(ماژولِ افزودنی)
    ::: آسیب‌پذیری: اجرای کد PHP دلخواه (Remote Code Execution)
    ::: شماره گزارش آسیب پذیری: SA-CONTRIB-2016-040

::: توضیحات
    این ماژول به شما این امکان را می‌دهد تا نهادهای دروپال را به صورت وب‌سرویسِ RESTful نمایش دهید. RESTWS صفحه‌ی پاسخِ پیش‌فرضِ نهادها را تغییر می‌دهد تا امکاناتی را به آن بیافزاید. یک آسیب‌پذیری در این رویکرد به نفوذگر اجازه می‌دهد تا با ارسالِ درخواست‌هایی با محتوایی خاص، به اجرای کد دلخواه PHP برسد. هیچ فاکتورِ محدودکننده‌ای وجود ندارد. این آسیب‌پذیری می‌تواند تحت سطح‌دسترسیِ کاربرِ معمولی سایت (بازدید‌کننده) اکسپلویت شود.

::: نسخه های تحت تأثیر
•    RESTful Web Services 7.x-2.x versions prior to 7.x-2.6.
•    RESTful Web Services 7.x-1.x versions prior to 7.x-1.7.
    هسته‌ی دروپال تحت تاثیر این آسیب‌پذیری نیست. اگر شما از ماژول  RESTful Web Services استفاده نمی‌کنید، نیازی به انجام کاری نیست.


::: راه حل
    آخرین نسخه را نصب کنید.
•    اگر از ماژول RESTful Web Services برای دروپال7.x  استفاده می‌کنید، به RESTful Web Services نسخه‌ی  7.x-2.6آپدیت کنید.
•    اگر از ماژول RESTful Web Services برای دروپال7.x  استفاده می‌کنید، به RESTful Web Services نسخه‌ی  7.x-1.7آپدیت کنید.

    گزارش شده توسط Devin Zuczek
    حل شده توسط Klaus Purer و Wolfgang Ziegler از پشتیبانی ماژول دروپال
    یافتن باگ در کد توسط  Greg KnaddisonوKlaus Purer از تیم امنیتی دروپال

 

]]>
2016/8/21
<![CDATA[بررسی تحلیلی جدیدترین بدافزار Android با سیستم پخش SMS Phishing]]>

بررسی تحلیلی جدیدترین بدافزار Android با سیستم پخش SMS Phishing

]]>
 

در آوریل 2016، هنگام بررسیِ یک کمپین فیشینگِ پیامکی به نام RuMMS که هدف‌هایی از اروپا با سیستم عامل اندروید را هدف قرار می‌داد، متوجه سه کمپینِ فیشینگِ پیامکی دیگر شدیم که بنا به گزارش‌ها در دانمارک(فوریه ۲۰۱۶)، در ایتالیا(فوریه ۲۰۱۶) و در ایتالیا و دانمارک(آوریل ۲۰۱۶) پخش می‌شدند.

    برخلاف کمپین RuMMS، این سه کمپین در اروپا از تکنیک‌های view overlay،همان تکنیک‌هایی که در بدافزار SlemBunk استفاده شده بود، استفاده کردند تا ورودی‌هایی مشابه با برنامه‌های گوشی برای اطلاعات ورود به نمایش بگذارند، و در ادامه کاربرانی که در جریان نبودند را گول بزنند تا اطلاعات بانکی خود را در اختیارشان قرار دهند.شکل۱ روند این‌که چطور این بدافزارهای پوششی توسط فیشینگِ پیامکی پخش می‌شدند و کاربران اندروید را آلوده می‌کردند را نشان می‌دهد.

عاملان تهدید معمولاً ابتدا سرورهای دستور و کنترل(C2)  و سایت‌های میزبانیِ بدافزار را پیکربندی می‌کنند، سپس بدافزارها را بر روی سایت‌های میزبانی قرار می‌دهند و لینکی که به بدافزار هدایت می‌کند را از طریق SMS برای قربانی می‌فرستند. پس از نصب‌شدن روی دستگاه، بدافزار یک پروسه را برای مانیتور کردن این‌که کدام برنامه در حال اجرا روی صفحه‌ی کاربر(foreground)  است، راه‌اندازی می‌کند. وقتی کاربر یک برنامه‌ی آشنا را روی صفحه اجرا می‌کند که بدافزار برای هدف‌قرار دادنِ آن برنامه طراحی شده است(مثلاً اپلیکیشن بانک)، بدافزار یک view برای فیشینگ در روی آن برنامه به صورت overlay(پوششی) به نمایش در می‌آورد. کاربری که در جریان این حمله نیست، با فرض این‌که از برنامه‌ی معتبری استفاده می‌کند، ورودی‌های مورد نیاز(اطلاعات کارت بانکی) را وارد می‌کند؛ که این اطلاعات به سرور C2 که توسط گردانندگان این ویروس کنترل می‌شود ارسال می‌شوند.

دریافت کامل این گزارش

]]>
2016/8/21
<![CDATA[راه‌کارهای کاهش اثرات مخرب پست‌های الکترونیکی]]>

راه‌کارهای کاهش اثرات مخرب پست‌های الکترونیکی

]]>
1.    مقدمه
امروزه پست‌های الکترونیکی زیادی در بین کاربران اینترنت ردوبدل می‌شود. این پست‌های الکترونیکی می‌توانند حاوی فایل‌های پیوست  نیز باشند. از آن‌جا که تعداد پست‌های الکترونیکی زیاد است، توجه بدخواهان اینترنتی را به خود جلب کرده‌اند. در طی تحقیقاتی که توسط متخصصین حوزه‌ی امنیت انجام شده است، تعداد زیادی پست‌های الکترونیکی حاوی فایل‌های پیوست و یا لینک‌های مخرب جاسازیشده را شناسایی کرده است که در اغلب موارد هدفمند و برعلیه سازمان‌ها بوده‌اند.
این گزارش توسط سازمان ASD و به منظور فراهم کردن راهکاری برای کاهش خطرهای امنیتی که توسط پست‌های الکترونیکی مخرب ایجاد شده‌اند، گردآوری شده است. در این گزارش تعدادی راهکار برای کاهش چنین خطراتی ارایه شده است. قابل توجه است که هر راهکار ارایه‌شده در این گزارش، لزوما برای تمامی سازمان‌ها مناسب نیست و سازمان‌ها باید با در نظر گرفتن نیازمندی‌های کاری و محیط ریسک خود، راه‌حل کاهشی مناسبی را برای خود انتخاب کنند.
2.    فیلتر کردن پیوست‌ها
پیوست‌ها در پست‌های الکترونیکی یکی از ریسک‌های امنیتی قابل توجه‌اند. فیلتر کردن پیوست‌ها، احتمال دریافت محتویات مخرب بر روی سیستم کاربر را تا حد خوبی کاهش می‌دهد. راهکارهای کاهش در مورد پیوست‌های مخرب در ادامه آورده شده‌اند. این راه‌کارها براساس تاثیری که بر روی امنیت دارند، دسته‌بندی می‌شوند.
2-1    اثربخشی امنیتی عالی
1.    تبدیل قالب  پیوست‌ها
تبدیل قالب پیوست‌ها به قالبی دیگر تاثیر به‌سزایی در حذف محتویات مخرب دارد. برای نمونه یکی از این تبدیلات، تبدیل فایل‌های آفیس مایکروسافت به قالب پی‌دی‌اف است.
2.    لیست سفید  پیوست‌ها براساس نوع فایل
در این لیست برای تعیین نوع فایل، به جای در نظر گرفتن پسوند فایل، محتویات فایل بررسی می‌شود. انواعی از فایل که اهداف کسب‌وکار مجاز و مشخصات خطر قابل قبولی برای سازمان دارند، می‌توانند در لیست سفید قرار گیرند. توصیه به لیست سفید بیشتر از لیست سیاه  است، زیرا در این لیست همه‌ی انواع قابل قبول که می‌توانند از طریق پست الکترونیکی دریافت شوند، مشخص می‌شوند.
در صورتی که نوع فایل تشخیص داده شده براساس محتویات آن، با پسوند آن مغایرت داشته باشد، این مورد به عنوان یک مورد مشکوک باید مورد توجه قرار گیرد.
3.    مسدود کردن  پیوست‌های غیرقابل شناسایی و یا رمزگذاری‌شده
پیوست‌های غیرقابل شناسایی و یا رمزگذاری‌شده قابل اعتماد نیستند چون که محتویات پست الکترونیکی نمی‌توانند رمزگشایی و بررسی شوند. هر پیوست رمزنگاری‌شده تا زمانی که بی‌خطر تلقی نشده است، باید مسدود شود.
4.    انجام تحلیل پویای خودکار برای پیوست‌ها با اجرای آن‌ها در یک جعبه‌ی شنی
تحلیل پویا، قابلیت شناسایی ویژگی‌های رفتاری را دارد. بنابراین انجام یک تحلیل پویای خودکار در یک جعبه‌ی شنی می‌تواند رفتارهای مشکوک در ترافیک شبکه، فایل‌های جدید یا تغییریافته و یا تغییرات در رجیستری ویندوز را شناسایی کند.
5.    حذف پیوست‌هایی با محتویات فعال  یا به طور بالقوه خطرناک
محتویات فعال مانند ماکروها در فایل‌های آفیس مایکروسافت و جاوا اسکریپت‌ها باید قبل از تحویل پیوست‌ها به کاربر، از پست‌های الکترونیکی حذف شوند. ابزارهای حذف محتویات فایل باید پیوست‌ها را برای پیدا کردن محتویات فعال نامطلوب براساس کلمات کلیدی یا به صورت اکتشافی  بررسی و با بازنویسی آن‌ها اثر نامطلوبشان را خنثی کنند. هر چند که عملیات بررسی و حذف محتویات فعال در پیوست‌ها، پردازشی دشوار است.
6.    کنترل یا غیرفعال کردن ماکروها در فایل‌های آفیس مایکروسافت
استفاده از ماکروها در فایل‌های آفیس مایکروسافت به شدت افزایش یافته است. از این‌رو بهتر است سازمان‌ها برنامه‌های خود را برای غیرفعال کردن همه‌ی ماکروها به صورت پیش‌فرض پیکربندی کنند و فقط ماکروهای قابل اعتماد که معمولا توسط افراد با سطح دسترسی بالا نوشته می‌شوند را بررسی کنند.

2-2    اثربخشی امنیتی خوب
1.    بررسی کنترل‌شده فایل‌های آرشیو
یک فایل مخرب می‌تواند در کنار فایل‌های مجاز دیگر تشکیل یک فایل آرشیو داده و برای مقصدی ارسال شود. برای تشخیص این فایل مخرب، گیرنده باید فایل‌های آرشیو را از حالت فشرده خارج کرده و تمامی فایل‌های درون آن را از نظر مخرب و یا مجاز بودن بررسی کند.
بررسی فایل‌های آرشیو باید به صورت کنترل‌شده انجام شود تا بررسی‌کننده دچار پیمایش‌های تو در تو یا حالت منع سرویس نشود. برای نمونه بررسی محتویات پست الکترونیکی که حاوی یک فایل متنی یک گیگابایتی آرشیوشده است و این فایل فقط از فضای خالی  تشکیل شده است، منابع پردازشی قابل توجهی را اشغال می‌کند. نمونه‌ی دیگر، فایل‌های آرشیو تو در تو هستند. اگر فایل آرشیوی از 16 فایل آرشیو دیگر تشکیل شده باشد و هم‌چنین هر کدام از فایل‌های آرشیو جدید نیز از 16 فایل آرشیو دیگر تشکیل شده باشند و این کار تا 6 سطح ادامه داشته باشد، بررسی‌کننده‌ی محتویات پست الکترونیکی باید در حدود یک میلیون فایل را بررسی کند. در این مواقع تنظیم کردن زمان منقضی شدن برای پردازنده، حافظه و دیسک باعث می‌شود تا اگر کاری بیشتر از زمان تعیین‌شده ادامه پیدا کرد، آن کار لغو شده و منابع به سیستم بازگردند.
از حالت فشرده درآوردن فایل‌ها از انتهای فایل آرشیو شروع شده و تا زمانی که همه‌ی فایل‌ها ایجاد شوند، ادامه پیدا می‌کند. یک فایل آرشیو مخرب می‌تواند به‌راحتی به انتهای یک فایل عکس مجاز اضافه شود و در سمت گیرنده با اسکن فایل مجاز عکس، دریافت شود. بنابراین نیاز است تمامی پیوست‌ها از حالت فشرده خارج شده و فایل‌های ایجاد شده از آن‌ها با دقت بررسی شود...

 

دانلود پیوست

 

]]>
2016/8/16
<![CDATA[بررسی وضعیت باج افزارهای رایانه ای در سال های 2014 الی 2016 میلادی]]>

بررسی وضعیت باج افزارهای رایانه ای در سال های 2014 الی 2016 میلادی

]]>
Ransomware یا باج‌افزار نوعی از بدافزار است که به محض اینکه دستگاهی را آلوده کند، مانع دسترسی به آن دستگاه یا اطلاعات ذخیره شده آن می‌گردد. زمانی‌که یک باج‌افزار وارد سیستم کاربر شود، دیگر شانسی برای باز پس گیری اطلاعات شخصی وجود ندارد. همچنین تقاضای پرداخت باج از طریق پول‌های مجازی (Bitcoins) باعث می‌شود تا ردیابی مجرم امکان‌پذیر نباشد و فرآیند پرداخت مجهول باقی بماند. این عملکرد برای کلاهبرداران اینترنتی بسیار جذاب است. این گزارش در اصل توسط شرکت کسپرسکی تهیه شده و مروری بر تهدیدات باج‌افزاری طی دو سال گذشته دارد.

فایل پیوست

]]>
2016/8/16
<![CDATA[جدول آخرين به روزرساني ها و آسيب پذيري هاي نرم افزارهاي پركاربرد در كشور ]]>

جدول آخرين به روزرساني ها و آسيب پذيري هاي نرم افزارهاي پركاربرد در كشور

]]>
 

دریافت پیوست

]]>
2016/8/13
<![CDATA[کارگاه تخصصی یکروزه ارتقای دانش امنیت متولیان فاوای کلیه دستگاه های اجرایی و حاکمیتی استان ایلام]]>

کارگاه تخصصی یکروزه ارتقای دانش امنیت متولیان فاوای کلیه دستگاه های اجرایی و حاکمیتی استان ایلام

]]>
 

 کارگاه تخصصی یکروزه ارتقای دانش امنیت متولیان فاوای کلیه دستگاه های اجرایی و حاکمیتی استان ایلام با شرکت بیش از 110 نفر در روز دو شنبه مورخ 18/05/95، با همکاری مرکز ماهر  سازمان فناوری اطلاعات ایران و اداره کل فناوری اطلاعات استان ایلام توسط مرکز اپا دانشگاه فردوسی در قالب عناوین ذیل برگزار گردید:


•    تهدیدات امنیتی و آزمون نفوذپذیری شبکه های سازمانی
•    پیکربندی امن تجهیزات و زیرساخت با رویکرد دفاع در عمق
•    معماری و طراحي ایمن شبکه ها و زیرساخت سازمانی
•    جرم یابي و پاسخگویي به حوادث امنیتی در شبکه هاي سازمانی

 

]]>
2016/8/13
<![CDATA[تسخیر هزاران وب‌سایت با هدف انتشار باج‌افزار CryptXXX]]>

تسخیر هزاران وب‌سایت با هدف انتشار باج‌افزار CryptXXX

]]>
بنابر ادعای محققین شرکت Sucuri، در دو ماه گذشته هزاران وب‌سایتِ مبتنی بر سیستم مدیریت محتوای WordPress و Jamoola تسخیر شده‌اند تا کاربران را به سمت باج‌افزار CryptXXX هدایت کنند.

ظاهراً این کمپین آلوده‌سازی از 20 خرداد آغاز شده است. تخمین زده می‌شود که حداقل دو هزار وب‌سایت با این هدف آلوده شده‌اند؛ اما احتمالاً آمار واقعی حدود پنج برابر این مقدار است چرا که تخمین ذکر شده بر اساس اطلاعات جمع‌آوری شده از طریق اسکنرِ SiteCheck بوده که اطلاعاتی محدود در اختیار دارد.

مشخصه‌ی اصلی این حمله آن است که از دامنه‌های realstatistics[.]info و realstatistics[.]pro استفاده می‌کند تا کاربران را به صفحه‌ی فرودِ[1] مربوط به کیتِ اکسپلویتِ Neutrino هدایت کند. Neutrino که اکنون پیشروترین تهدید در میان کیت‌های اکسپلویت به حساب می‌آید، تلاش می‌کند تا از آسیب‌پذیری‌های Flash یا PDF در سیستم‌های هدف استفاده کرده و باج‌افزار CryptXXX را نصب نماید.

چند روز پیش محققین Forcepoint اعلام کردند که دامنه‌های ذکرشده، به عنوان سیستم‌های هدایت ترافیک (TDS[2]) در حمله‌های توزیع Neutrino و RIG استفاده شده‌اند. محققین نهایتاً موفق به کشف رابطه‌ی دامنه‌ها با Blackhat‑TDS شدند. این نشان می‌دهد که آن‌ها تنها کاربران معمولی را به صفحه‌ی فرود هدایت می‌کردند، در حالی که برای رنج‌های IP مربوط به بلک‌لیست خود، صفحه‌ای پاک تحویل می‌دادند (این لیست عمدتاً مربوط به IP مربوط به فروشنده‌ها، موتورهای جستجو و سرویس‌های اسکنِ وب می‌شود).

با این حال، محققین Forcepoint مشخص نکرده‌اند که شدت این حمله و روش تسخیر وب‌سایت‌ها چگونه بوده است. Sucuri عنوان کرده که شصت درصد سایت‌های آلوده از نسخه‌های قدیمی Wordpress و Jamoola استفاده نموده و هم‌چنین حمله‌گران احتمالاً از مؤلفه‌های آسیب‌پذیری همچون پلاگین‌ها و اکستنشن‌ها استفاده کرده‌اند. محققین این شرکت معتقدند که استفاده از CMS از رده خارج‌شده، معمولاً نشان‌دهنده‌ی آن است که گردانندگان وب‌سایت احتمالاً سایر مؤلفه‌های امنیتی را نیز به‌روزرسانی نکرده‌اند.

با استفاده از هزاران وب‌سایت آلوده (که برخی سایت‌های مرتبط با امنیت همچون PCI Policy Portal را نیز شامل می‌شود)، حمله‌گران می‌توانند ده‌ها هزار کاربر را همزمان مورد حمله قرار دهند که نهایتاً موجب آلودگی بسیاری از آنها به باج‌افزار CryptXXX می‌شود. چند هفته پیش محققین SentinelOne افشاء کردند که گردانندگان CryptXXX در مدت زمان سه هفته‌ای، مبلغ پنجاه هزار دلار در تنها یک آدرسِ بیت‌کوین دست یافته‌اند.

واضح است که گردانندگان حمله همواره از کیت‌های اکسپلویت حاوی بیشترین امکانات‌ترین استفاده می‌کنند. ماه پیش بلافاصله پس از اینکه Angler (که سال‌ها بالاترین کیت اکسپلویت بود) از صحنه خارج شد، حمله‌کنندگان شروع به استفاده از Neutrino کردند.

CryptXXX اکنون به مهمترینِ باج‌افزارها تبدیل شده و در دو ماه گذشته چندین آپدیت برای آن ارائه شده است. آخرین آپدیت اعمال‌شده در CryptXXX عبارت است از

  • تغییر متن درخواست باج
  • استفاده از یک سایت پرداخت جدید به نام Microsoft Decryptor
 

[1] Landig Page

[2] Traffic Direction Systems

]]>
2016/8/10
<![CDATA[آشنایی کامل با پروتکل NFS (Network File System)و روش های امن سازی پروتکل]]>

آشنایی کامل با پروتکل NFS (Network File System)و روش های امن سازی پروتکل

]]>
مقدمهای بر NFS

NFS پروتکلی است که از طریق آن یک کاربر مشتری میتواند به فایل­‌ها، دایرکتوریها و سایر منابع پایدار شبکه که در سرویسدهنده به اشتراک گذاشته ­شده است، دسترسی حاصل نماید. این پروتکل، برای اولین بار در سال 1984 توسط شرکت Sun Microsystems ارائه شده و تا بهحال تغییرات زیادی نموده است. این پروتکل اساساً برای سیستم­‌عاملهای خانواده یونیکس کاربرد داشته و گسترش یافته است ولی اکنون به عنوان یک استاندارد برای سیستمهای ناهمگون(heterogeneous)  تبدیل شده است. با استفاده از این پروتکل مشتریان میتوانند با فایلهای موجود در شبکه رفتاری مشابه با فایلهای ذخیره شده در دیسکهای ذخیرهسازی محلی داشته باشند. به عبارت دیگر این سرویس امکانی را فراهم میآورد که با استفاده از آن میتوان به فایلهای موجود در شبکه همانند فایلهای ذخیره شده در هارد دیسک معمولی دسترسی داشت و از آنها استفاده نمود.

 

در NFS عملیات دسترسی به فایل مشترک با رد و بدل نمودن یک­ سری پیغام در هر دو سوی سرویس‌دهنده و سرویس­‌گیرنده صورت می­‌گیرد. همان‌طورکه بیان شد، NFS از مدل Client/Server در تعریف سیستمها استفاده مینماید و باعث تحولات اساسی در سیستمهای مبتنی بر یونیکس شده است چرا که هر سیستم میتواند بهعنوان یک سرویسدهنده امکان دسترسی به فایلهای خود را به سیستم‌های دیگر بدهد.

 

با توجه به آنچه که ذکر گردید، NFS بهعنوان یک سیستم‌فایل توزیعشده برای بهاشتراکگذاشتن فایلها و دایرکتوریها بین سیستمعاملهای مختلف ایجاد گردیده است. این سیستم به کاربر اجازه میدهد تا به فایل‌های روی شبکه همانند فایل‌های محلی دسترسی پیدا نمایند (درخواست mount را در سطح یک دایرکتوری و تمام زیردایرکتوریهای مربوطه به سرویسدهنده می‌دهد). بنابراین امکان mount شدن یک فایلسیستم محلی روی یک شبکه و میزبانهای دوردست وجود دارد (به‌طوریکه گویا بهصورت محلی در سیستم یکسان mount شدهاند). بنابراین به کمک این سیستم، اشتراک فایل بین سیستمعاملهای مختلف یونیکس به لینوکس و برعکس به راحتی امکانپذیر میباشد. البته این اشتراک فایل برای سیستم‌عاملهای دیگر نیز قابل انجام است که در فایل پیوست چگونگی آن تشریح گردیده است.

فایل پیوست

]]>
2016/8/7
<![CDATA[بررسی حملات DLL Hijacking، تشخیص و پیشگیری ]]>

بررسی حملات DLL Hijacking، تشخیص و پیشگیری

]]>
DLL مخفف کتابخانه پیوند پویا و بخش های خارجی از برنامه های کاربردی است که بر روی ویندوز یا هر سیستم عامل دیگری اجرا می شود. بسیاری از برنامه های کاربردی خودشان کامل نیستند و کد را در فایل های مختلف ذخیره می کنند. در صورتی که نیاز به کد پیدا شود فایل مرتبط در حافظه بارگذاری و استفاده می شود. این کار موجب کاهش اندازه فایل برنامه کاربردی به همراه بهینه سازی استفاده ازRAM می شود. در ارتباط با DLLها حملاتی تحت عنوانDLL Hijacking   مطرح است. مسیر فایل های DLL توسط سیستم عامل ویندوز تعیین شده است. به طور پیش فرض اگر برنامه ای یک فایل DLL درخواست کند، سیستم عامل در همان پوشه که در آن برنامه ذخیره شده است، جستجو می کند. اگر آنجا پیدا نشد، به دنبال پوشه دیگر می رود. اولویت هایی که برای مسیرها تعیین شده است، به ویندوز کمک می کند که در چه فولدرهایی به دنبال فایل های DLL بگردد. این دقیقا نقطه ای است که حملات DLL Hijacking  وارد عمل می شود. در این گزارش به معرفی این نوع حملات و تکنیک های مورد استفاده برای کاهش و رفع آنها خواهیم پرداخت.

1- فایل DLL یا کتابخانه پیوند پویا (Dynamic Link Library)

کتابخانه پیوند پویا یک مولفه پایه در سیستم عامل ویندوز است. زمانی که برنامه کاربردی ویندوز شروع می شود، در صورت نیاز DLL های خاصی به آن بارگذاری می شود. DLL کتابخانه ای است که شامل کد و داده است که می تواند به طور همزمان توسط بیش از یک برنامه استفاده شود. برای مثال در سیستم عامل های ویندوز، کتابخانه Comdlg32 توابع مرتبط با کادر محاوره ای رایج را انجام می دهد. بنابراین هر برنامه می تواند از قابلیتی که درون این DLL است برای اجرای یک کادر محاوره ای باز استفاده کند. این به ترویج استفاده مجدد از کد و استفاده کارآمد از حافظه کمک می کند.

با استفاده از DLL، برنامه می تواند از اجزای جداگانه تشکیل شود (ماژولار شود). برای مثال یک برنامه حسابداری می تواند به صورت ماژول به فروش برسد. هر ماژول می تواند در صورتی که نصب شده باشد، در زمان اجرا به برنامه اصلی بارگذاری شود. به دلیل این که ماژول ها جدا هستند، زمان بارگذاری برنامه سریع تر است و ماژول تنها زمانی بارگذاری می شود که قابلیتی خاص مورد نیاز است. به علاوه به روزرسانی برای اعمال بر هریک از ماژول ها آسان تر است بدون این که بر قسمت های دیگر برنامه تاثیر گذارد. برای مثال ممکن است یک برنامه حقوق داشته باشیم و نرخ مالیات در هر سال تغییر کند. زمانی که این تغییرات مربوط به یک DLL است، می توان به روزرسانی را بدون نیاز به ساخت و یا نصب دوباره برنامه اعمال کرد.

2- مزایای DLL

لیست زیر برخی از مزایای استفاده برنامه ها از DLL را نشان می دهد:

  • استفاده از منابع کمتر: زمانی که چندین برنامه کتابخانه یکسانی از توابع را استفاده می کنند، DLL میتواند کدهای تکراری که به دیسک و حافظه بارگذاری می شود را کاهش دهد .
  • ترویج معماری ماژولار: DLL به ترویج برنامه های ماژولار در حال توسعه کمک می کند. همچنین کمک می کند که برنامه های بزرگ که به چندین نسخه زبان مختلف نیاز دارند یا برنامه هایی که نیاز به معماری ماژولار دارند توسعه داده شوند. مثالی از برنامه ماژولار برنامه حسابداری است که چندین ماژول دارد که می تواند به صورت دینامیک در زمان اجرا بارگذاری شود.
  • سهولت گسترش و نصب: هنگامی که تابع درون DLL نیاز به به روزرسانی یا تعمیر دارد، برای استقرار و نصب و راه اندازی DLL نیازی نیست که برنامه مجدد به DLL لینک شود. به علاوه اگر چندین برنامه DLL مشابهی را استفاده کنند، همه برنامه ها از به روزرسانی DLL بهره مند می شوند. این موضوع هنگام استفاده از DLL طرف سوم که به طور منظم به روزرسانی یا تعمیر می شود، بسیار موثر است.

DLL Hijacking -3 چیست؟

 DLL Hijacking که عموماً تحت عنوان Load Order Hijacking یا Search Order Hijacking شناخته می شود یک تکنیک دوام بدافزار برای گریز از تشخیص بوده و همچنین به عنوان یک چالش مهم برای محققان مطرح است. برطبق مقاله ای از مایکروسافت DLL Hijacking  به صورت زیر تعریف می شود:

زمانی که برنامه ای به صورت پویا و بدون مشخص کردن نام مسیر کامل کتابخانه ای را بارگذاری می کند، ویندوز برای تعیین محل DLL با جستجوی مجموعه تعریف شده ای از دایرکتوری ها با ترتیب خاصی تلاش می کند. اگر حمله کننده بتواند هنگام جستجوی DLL کنترل یکی از دایرکتوری ها را به دست بگیرد، می تواند یک کپی مخرب از DLL در آن دایرکتوری قرار دهد، این اغلب با عنوان Preloading attack یا Binary planting attack شناخته می شود. اگر سیستم قبل از جستجوی دایرکتوری دستکاری شده کپی مجاز از DLL را پیدا نکند، کپی مخرب را پیدا خواهد کرد.

از آنجا که DLL ها به عنوان یک افزونه هستند و اغلب در اکثر برنامه های کاربردی در سیستم ضروری هستند، در پوشه های مختلفی در سیستم قرار گرفته اند. اگر فایل DLL اصلی با یک فایل DLLقلابی که دارای کد مخرب است، جایگزین شود به عنوان DLL Hijacking شناخته می شود. این آسیب پذیری ها در نرم افزارهایی همچون Windows Movie Maker  و Windows Address Book دیده می شود. به منظور درک DLL Hijacking ابتدا بایستی نحوه بارگذاری فایل های DLL توسط ویندوز هنگامی که آدرس کامل کتابخانه داده نشده است را دانست. ویندوز نیازی ندارد که برنامه های کاربردی یک مسیر کامل برای DLL های بارگذای شونده در زمان اجرا مشخص کند. به همین علت برنامه نویسان اغلب مسیر کامل به فایل های DLLای که می خواهند استفاده کنند، مشخص نمی کنند. این می تواند منجر به این مشکل شود که DLLها را نتوان پیدا کرده و استفاده کرد. هنگامی که یک مسیرکامل ارایه نمی شود ویندوز تلاش می کند که DLL ها را در مکان هایی از پیش تعیین شده قرار دهد.

به طور پیش فرض اولین موردی که یافت می شود، اولین آیتمی است که استفاده می شود. بنابراین این امکان برای مهاجم وجود دارد که این ترتیب را با اضافه کردن یک DLL  مخرب با همان نام نسخه مجاز در مکانی قبل از آن عوض کند که این باعث می شود سیستم عامل به طور ناخواسته DLL  مخرب را بارگذاری کند. اگر برنامه کاربردی DLL را تنها با نام آن بارگذاری می کند (به طور مثال ntshrui.dll) ویندوز ترتیب تعریف شده از قبل را برای شناسایی و بارگذاری دنبال می کند و اولین کتابخانه پیدا شده با نام ntshrui.dll را بارگذاری می کند.

دایرکتوری برنامه

دایرکتوری جاری

دایرکتوری سیستم

دایرکتوری سیستم 16 بیتی

دایرکتوری ویندوز

دایرکتوری های ذخیره شده در متغیر PATH

برای مثال اگر برنامه ای (مثلاً Test.exe) DLL ای را تنها توسط نام بارگذاری کند(مثلا foo.dll ) ویندوز ترتیب جستجویی را بسته به این که SafeDllSearchMode فعال یا غیرفعال است، برای تعیین محل DLL مجاز دنبال می کند. اگر حمله کننده دانشی درباره این برنامه داشته باشد، می تواند DLL مخربی در مسیر جستجوی آن با همان نام قرار دهد و برنامه را مجبور کند که DLL مخرب را بارگذاری کند.

برنامه هایی که از مکان های ناامن اجرا می شوند برای مثال پوشه های قابل نوشتن توسط کاربر همانند پوشه Downloads یا TempDirectory تقریبا همیشه در معرض این آسیب پذیری هستند.

4- جزئیات حمله

بسته به پیکربندی سیستم، برنامه می تواند تصمیم بگیرد که ترتیب مسیرهایی که باید برای بارگذاری DLL جستجو کند، چگونه باشد. به طور پیش فرض ترتیب این جستجو به صورت زیر است :

  • مسیری که از آن برنامه کاربردی بارگذاری می شود.
  • دایرکتوری جاری
  • دایرکتوری سیستم، معمولاً C:\Windows\System32\ (تابع GetSystemDirectory برای دستیابی به این دایرکتوری فراخوانی می شود)
  • دایرکتوری سیستم 16 بیتی – هیچ تابع اختصاص داده شده برای بازیابی مسیر این دایرکتوری وجود ندارد، اما این دایرکتوری نیز جستجو می شود.
  • دایرکتوری ویندوز، تابعGetWindowsDirectorبرای دستیابی به این دایرکتوری فراخوانی می شود.
  • دایرکتوری های لیست شده در متغیر محیطی PATH

در جستجوی این مسیرها برنامه اولین DLL ای را که با آن نام پیدا کرد، استفاده می کند.

در این مورد دایرکتوری جاری مشکل است. زمانی که یک برنامه تصمیم به بارگذاری DLL از دایرکتوری جاری می گیرد می تواند به DLL Hijacking  منجر شود. برای مثال اگر کاربر یک سند Microsoft word را باز می کند، Microsoft office سعی خواهد کرد که مولفه DLL آن را از مکان فایل داکیومنت بارگذاری کند. حمله کننده سپس می تواند یک DLL بدخواه در مکان سند جایگذاری کند و در نتیجه Microsoft office   کد بدخواهانه را بارگذاری می کند.

با فرض این که  SafeDllSearchMode فعال شده است (که به صورت پیش فرض فعال است) برای حمله استفاده از این تکنیک بسیار سخت تر است. در این صورت  سیستم عامل اول بررسی می کند که آیا یک DLL با همین نام در حال حاضر در حافظه بارگذاری شده است یا آیا DLL  در کلید رجیستری (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs) تعریف شده است(KnownDLLs). اگر هیچ یک از شرایط برقرار نبود ویندوز با استفاده از ترتیب زیر کتابخانه ها را بارگذاری می کند:

  • دایرکتوری که از آن برنامه بارگذاری می شود.
  • دایرکتوری سیستم (C:\Windows\System32)
  • دایرکتوری سیستم 16 بیتی (C:\Windows\System)
  • دایرکتوری ویندوز (C:\Windows)
  • دایرکتوری کار جاری ([1]CWD)
  • دایرکتوری های لیست شده در متغیرهای محیطی PATH(System  و بعد از آن user)

با این وجود دایرکتوری جاری هنوز در لیست دایرکتوری ها برای جستجو است. تفاوت در اینجا در این است که برنامه در ابتدا دایرکتوری های سیستم را برای مولفه های DLL جستجو می کند، اگر پیدا نشد، سپس دایرکتوری جاری را جستجو می کند.

به عنوان یک قاعده کلی برنامه های اجرا شونده خارج از “C:\Windows\System32”  که کتابخانه ای را بدون ارایه مسیر کامل بارگذاری می کنند، اهداف بالقوه هستند. توجه داشته باشید که کتابخانه درخواست شده نباید قبلاً در حافظه وجود داشته باشد یا در مقدار رجیستری KnownDlls قرار گرفته باشد.

5- پیداکردن آسیب پذیری های  DLL Hijacking

پیداکردن آسیب پذیری در برنامه ها اولین قدم برای سواستفاده از آن است. روش صحیح برای این کار استفاده از Process Monitor  برای دیدن این که چه زمانی برنامه جستجویی را برای فایل DLL اجرا می کند. هنگامی که Process Monitor بارگذاری می شود می توان سعی کرد که یک تابع از DLL دیگری را به کار انداخت یا این که منتظر باشید تا این که یکی به کار انداخته شود. بعد از انجام این کار، تمام آن چه که نیاز است این است که به منوی Filter  رفته و فیلترهای خود را اعمال کنید.

اگر شما چیزی شبیه این ها پیدا کردید بسیار محتمل است که یک آسیب پذیری DLL Hijacking پیدا کرده باشید.

6- پیداکردن نام توابع ازDLL

برای ایجاد کردن یک DLL جدید با کد مخرب ، ابتدا بایستی نام توابعی که در آن به کار رفته است را بدانیم . در ویندوز این می تواند توسط ابزار DUMPWIN انجام شود. با DUMPWIN ما می توانیم از گزینه  /EXPORTS  استفاده کنیم. در زیر مثالی از خروجی dll نمونه آمده است:

Dump of file C:\example.dll

File Type: DLL

 Section contains the following exports for example

  00000000 characteristics

  4FC31DEF time date stamp Mon Jun 05 18:32:49 2013

    0.00 version

        1 ordinal base

        3 number of functions

        3 number of names

    ordinal hint RVA name

1000007BA0 output_data 

       2 1 00007C40 show_integer

       3 2 00008940 add_integers

      Summary

     1000 .CRT

     1000 .bss

     1000 .data

     1000 .edata

     1000 .idata

     1000 .rdata

     1000 .reloc

     9000 .text

     1000 .tls

 

گزینه دیگر استفاده از یک اشکال زدا است. اشکال زداها می توانند متن آشکاری که در برنامه ها ذخیره شده است را به شما نشان دهند. ما می توانیم نام هر فایل DLL ارجاع شده و ذخیره شده، را نیز به صورت متن آشکار ببینیم.

7- دفاع در برابر DLL Hijacking

مهم ترین بخش از تعریف یک آسیب پذیری، توضیح چگونگی مقابله با آن است. مسئولیت حفاظت از کاربران به عهده خود توسعه دهندگان نرم افزار می افتد. در مورد DLL Hijacking  برای اجتناب از این مشکل مسیر کامل به کتابخانه بایستی مشخص شود.

گزینه دیگر انتقال فایل های DLL به جایی است که در ترتیب جستجو زودتر چک می شود. گزینه دیگر ایجاد یک هش Checksum از فایل DLL و ذخیره آن درون خود برنامه است، بنابراین در زمان اجرا زمانی که DLL پیدا شد هش Checksum آن بایستی با هش ذخیره شده  درون برنامه مطابقت کند. این روش می تواند توسط استفاده از یک روش هشینگ قوی به همراه Salt  یا توسط استفاده از کلیدهای عمومی و خصوصی داخل برنامه برای رمز کردن checksum خارج از برنامه و رمزگشایی آن بهبود داده شود.

کاربران همچنین توانایی محافظت از خود با درنظر گرفتن اقدامات احتیاطی خاصی را دارند. کاربر می تواند اطمینان حاصل کند که فایل هایی که دارد باز می کند در همان دایرکتوری DLL هایی نیست که مشکوک به نظر می رسد. برای مثال اگر DLL ای به همراه عکسی که شما دانلود کرده اید بیاید، بهتر است که قبل از بازکردن عکس DLL را حذف کنید. کاربران همچنین توان تغییر کلید رجیستری CWDIllegalInDllSearch را دارند.در ضمن کاربران می توانند دو کلید رجیستری مختلف خودشان ست کنند.

 

[1] current working directory

]]>
2016/8/6
<![CDATA[آسیب‌پذیریِ BIOS در لپ‌تاپ‌های Lenovo ]]>

آسیب‌پذیریِ BIOS در لپ‌تاپ‌های Lenovo

]]>
کارخانه‌ی چینیِ Lenovo بار دیگر به خاطر آسیب‌پذیری در BIOS لپ‌تاپ‌های خود زیر ذره‌بین قرار گرفته است. یک محقق امنیتی به نام Dmytro Oleksiuk با نام مستعار Cr4sh اخیراً به کدی دست یافته که آسیب‌پذیریِ دسترسی‌های روزِصفر در BIOSهای Lenovo را تشدید می‌کند.

 

باگ UEFI، کامپیوترهای Lenovo را در معرض اجرای کدهای اجراییِ دلخواه در حالت مدیریت سیستم یا SMM[1] قرار می‌دهد. این موضوع باعث می‌شود پروتکل‌های امنیتیِ ویندوز بی‌اثر شوند. این باگ از آسیب‌پذیری حفاظت نوشتن در حافظه flash استفاده می‌کند و لذا به کاربر اجازه می‌دهد قابلیت‌هایی مثل UEFI Secure Boot و Virtual Secure Mode و Credential Guard را در کامپیوترهای Lenovo مبتنی بر ویندوز غیرفعال کند. بایستی توجه داشت که این موارد تنها خطرات کشف شده هستند و امکان اضافه شدن به این لیست در روزهای آینده وجود دارد.

 

لپ‌تاپ‌های سری ThinkPad به دلیل باگ‌های موجود در مدل‌های قدیمی‌ترِ X220s، به عنوان لپ‌تاپ‌هایی بسیار آسیب‌پذیر شناخته می‌شوند. مشابه این آسیب‌پذیری در BIOS قبلاً نیز در سال 2010 در برخی لپ‌تاپ‌های HP یافت شده بود لذا به نظر می‌رسد Lenovo آن آپدیتِ آسیب‌پذیرِ میان‌افزار را تنها کپی-پیست کرده است. با این حال، بنا بر ادعای Cr4sh، شرکت اینتل وجود آسیب‌پذیری در میان‌افزار را در سال 2014 شناسایی کرده و برطرف نموده است. اما این موجب برانگیخته شدن سوال دیگری می‌شود که چگونه این آسیب‌پذیری دوباره در کامپیوترهای Lenovo بروز کرده است. برخی گمانه‌زنی‌ها حکایت از این دارد که این آسیب‌پذیری بدین منظور گنجانده شده تا FBI بتواند از این طریق به جاسوسی بپردازد.

 

Lenovo در پاسخ به این موضوع در وب‌لاگ خود عنوان کرده که به امنیت محصولات خود پایبند است و با همکاری اینتل و IBVهای خود در حال تصحیح این آسیب‌پذیری در کوتاه‌ترین زمان ممکن هستند. از مطلب وبلاگ اینطور به نظر می‌رسد که Lenovo قصد دارد قصور در این امر را متوجه اینتل (تولیدکننده‌ی اصلی کدهای چیپ) کند و در عین حال نویسنده‌ی اصلی کد را پیدا کرده و هدف پشت این خطای مرموز در BIOS در سری‌های ThinkPad را متوجه شود.

Cr4sh جزئیاتی را برای تشخیص آسیب‌پذیریِ سیستم در برابر این موضوع در Github ارائه کرده است.

 

[1] System Management Mode

]]>
2016/7/26
<![CDATA[ بدافزار Godless]]>

 بدافزار Godless

]]>
 

بدافزارGodless،توسط گروه ترند میکرو[1]

در قالب ANDROIDOS_GODLESS.HRXشناسایی‌شده است.تاکنون، این بدافزار حدود ۸۵۰۰۰۰ گوشی (در میان 1.4 میلیارد گوشی اندروید) را آلوده کرده است.این بدافزار از آسیب‌پذیری‌های موجود در سیستم‌عامل اندروید و نسخ 5.1 به قبل سوءاستفاده می‌کند.

کد مخرب این بدافزار، در برنامه‌های کاربردی متعددی – که برخی از آن‌ها نیز توسط Google Play به کاربران ارائه می‌شوند- افزوده‌شده است. با نصب این برنامه‌ها، کد مخرب اجرا گردیده وآسیب‌پذیر بودن سیستم‌عامل گوشی بررسی می‌شود. در صورت وجود آسیب‌پذیری، بدافزار با سوءاستفاده از آسیب‌پذیری‌های سطح ریشه - که در سیستم‌عامل اندورید کدهای سوءاستفاده از این آسیب‌پذیری‌ها در گیت‌هاب[2] قرار داده‌شده است [4]- سطح دسترسی برنامه را ارتقا می‌دهند و کنترل گوشی را در دست می‌گیرند. این بدافزار، هنگامی‌که صفحه گوشی خاموش است، عملیات خود را انجام می‌دهد.

در نسخه‌های اولیه این بدافزار، پس از نصب در گوشی، لیستی از برنامه‌های موجود در Google Play‌ را که در یک رشته رمز شده قرار داشت، نصب می‌کرد و با سوءاستفاده از حساب کاربری گوگل صاحب گوشی، اطلاعات کاربران را به سرقت می‌برد؛ اما در نسخه جدید آن، بدافزار می‌تواند با سرور C&C خود در ارتباط باشد و دستورات را از سرور دریافت و اجرا کند.

1-سیستم‌های آسیب‌پذیر

بدافزار Godless، امنیت سیستم‌عامل اندروید در نسخ ۵.۱ و قبل از آن را تهدید می‌کند. در میان گوشی‌های اندروید حاضر، 90 درصد گوشی‌ها دارای سیستم‌عامل اندروید 5.1 و یا قبل از آن هستند. طبق نمودار 1،  بیشترین تعداد گوشی آلوده‌شده به این بدافزار، به ترتیب در کشورهای هند و اندونزی مشاهده‌شده است.این بدافزار، برای یافتن دسترسی سطح ریشه، از برخی آسیب‌پذیری‌های موجود در سیستم‌عامل اندروید 5.1 و یا قبل آن و کدهای ارائه‌شده برای سوءاستفاده از آن‌ها که در [۴] وجود دارند، استفاده می‌کند. دو آسیب‌پذیری که بیشتر استفاده می‌شود،CVE-2015-3636 و CVE-2014-3153 هستند.

 

نمودار 1-  نمودار توزیع تعداد گوشی‌هایآلوده‌شده به بدافزار Godless

این بدافزار، به‌صورت جداگانه و در قالب یک برنامه کاربردی مشخص وجود ندارد. بلکه، کد مخرب این بدافزار در برنامه‌های کاربردی متفاوتی اضافه‌شده است. برنامه‌های کاربردی که ظاهراً سالم به نظر رسیده و حتی برخی از آن‌ها توسط Google Play ارائه می‌شوند. برخی از برنامه‌های کاربردی نیز به‌طور مستقیم کد مخرب را ندارند اما پس از نصب، کاربر را تشویق می‌کنند تا برنامه‌های کاربردی مشخصی– که حاوی کد مخرب بدافزار Godless هستند- را نصب کند.

برنامه‌های کاربردی که حاوی کد مخرب بدافزار Godless‌ هستند در دو گروه ابزارهای  اندرویدی مانند چراغ‌قوه و یا Wifi و یا برنامه‌های سرگرمی ارائه‌شده توسط توسعه‌دهندگان چون بازی‌های مشهور قرار دارند. برای مثال، برنامه کاربردی چراغ قوه‌ای چون Summer Flashlightحاوی کد مخرب این بدافزار است. این برنامه کاربردی هم‌اکنون از لیست برنامه‌های موجود در Google Playحذف‌شده است.

در جدول 1، لیستی از این برنامه‌های کاربردی که در قالب ابزار در سیستم‌عامل اندورید وجود دارند نام‌برده شده است.

 

نام برنامه ‌کاربردی مخرب

چکیدهSHA1

نام بسته[3]

Geometry Dash

01b3e575791642278b7decf70f5783ecd638564d

com.robtopx.geometryjump.admobpl

uginMoboWiFi

7ebdd80761813da708bad3325b098dac9fa6e4f5

com.foresight.wifiseeker

WiFi Anywhere

34b7b38ce1ccdd899ae14b15dd83241584cee32b

com.foresight.wifianywhere

MoboWiFi

84c444a742b616bc95c58a85c5c483412e327c50

com.foresight.wififast

MoboWiFi

50450ea11268c09350aab57d3de43a4d5004b3a1

com.foresight.wififast

MoboWiFi

aed8828dc00e79a468e7e28dca923ce69f0dfb84

com.foresight.wififast

MoboWiFi

44e81be6f7242be77582671d6a11de7e33d19aca

com.foresight.wififast

MoboWiFi

d57d17eb738b23023af8a6ddafd5cd3de42fc705

com.foresight.wififast

Geometry Dash

17e5be80a4ed583923937e41ea7c1f4963748d1f

com.robtopx.geometryjump.tw

Geometry Dash

9f586480fbc745ee6b28bfce3f1abe4ff00d01b1

com.robtopx.geometryjump.tw

Minecraft - Pocket Edition

888f10677b65bf0a86cf4447a1ebc418df8a37e8

com.mojang.minecraftpe.admobplug in

AndroidDaemon Frame

74a55e9ea67d5baf90c1ad231e02f6183195e564

com.android.google.plugin.dameon

Minecraft - Pocket Edition

5900fabbe36e71933b3c739ec62ba89ac15f5453

com.mojang.minecraftpe.admobplug in

 

جدول 1- نام و چکیده برنامه‌های حاوی کد مخرب بدافزارGodless

 

هم‌چنین، در جدول 2، لیستی از برنامه‌های کاربردی در دسته سرگرمی که توسط توسعه‌دهندگان برنامه‌های اندروید ارائه‌شده‌اند و حاوی کد مخرب بدافزار هستند، نشان داده‌شده است.

 

نام برنامه ‌کاربردی مخرب

چکیده SHA1

نام بسته

Live Launcher

e70b1084e02d4697f962be4cc5a54fdb19ce780a

homescreen.boost.launcher.free.small.theme

Lock Screen

a3e84c4b770ef7626e71c9388a4741804dc32c15

com.iodkols.onekeylockscreen

多多每日壁

671fa9291bf465580ec1ea1e55ce8a5ce2d848c7

com.dotools.dtbingwallpaper

多多每日壁

e10efdecab3998cba5236645b5966af6ff4162f1

com.dotools.dtbingwallpaper

4 iDO Calculators

57795c32f75a02a68b9a8acb5820eb039c083a16

com.ibox.calculators

Live Launcher

c74eb5fa1234620297330874bd23605158a890d2

homescreen.boost.launcher.free.small.theme

FlashLight

5d2a08d7c1f665ea3affa7f9607601ffae387e8b

com.foresight.free.flashlight

Easy Softkey

416b1fe39eaaa4d83c7785d97e390d129dbea248

com.oeiskd.easysoftkey

iDO Alarm Clock

7809e1b6f85ee0fa7f0c2a3f1bfdc7fa668742bb

com.dotools.clock

 

جدول 2- نام وچکیده برنامه‌های حاوی کد مخرب بدافزارGodless

2- چگونگی رفع آسیب‌پذیری

یافتن دسترسی ریشه در سیستم‌عامل اندروید، عامل اصلی رخداد حمله توسط این بدافزار است. برنامه حاوی کد مخرب بدافزار، با سوءاستفاده از آسیب‌پذیری‌های موجود در سیستم‌عامل اندروید، سطح دسترسی خود را به ریشه ارتقا می‌دهد. تغییر سطح دسترسی در اندروید، امکانات متنوعی را در اختیار برنامه‌ها قرار می‌دهد که بسته به کاربرد، می‌تواند مزیت تلقی شود؛ اما اگر این سطح از دسترسی در اختیار بدافزار قرار گیرد، خطرناک است. لذا، رفع آسیب‌پذیری‌هایی که امکان تغییر سطح دسترسی به ریشه را میسر می‌کند، می‌تواند اولین گام برای جلوگیری از رخداد حملات توسط بدافزار Godless‌ و بدافزارهای مشابه باشد. در حال حاضر، آسیب‌پذیری‌های مرتبط با یافتن سطح دسترسی ریشه، در نسخه 5.1 سیستم‌عامل اندروید رفع شده است و دستگاه‌های حاوی این نسخه باید به‌روزرسانی شوند.

هم‌چنین، برای جلوگیری از خطرات احتمالی از این بدافزار، لازم است کاربران گوشی‌های هوشمند اندرویدی، از نصب برنامه‌های کاربردی از بازارهای نامعتبر خودداری کنند؛ بنابراین پیشنهاد می‌شود از بازارهای معتبری چون Google Play‌ و Amazonبرنامه‌ها را خریداری و نصب کنند.

3- شیوه حمله

این بدافزار، به‌صورت جداگانه و در قالب یک برنامه کاربردی مشخص وجود ندارد. بلکه، کد مخرب این بدافزار در برنامه‌های کاربردی متفاوتی اضافه‌شده است. برنامه‌های کاربردی که ظاهراً سالم به نظر رسیده و حتی برخی از آن‌ها توسط Google Play ارائه می‌شوند. برخی از برنامه‌های کاربردی نیز به‌طور مستقیم کد مخرب را ندارند اما پس از نصب، کاربر را تشویق می‌کنند تا برنامه‌های کاربردی مشخصی – که حاوی کد مخرب بدافزار Godless هستند- را نصب کند.

برنامه‌ کاربردی که حاوی کد مخرب بدافزار Godless‌ است، از یک آسیب‌پذیری کتابخانه‌ای به اسم libgodlikelib.so استفاده می‌کند. این کتابخانه، خود از کدهای ارائه‌شده در [4] برای سوءاستفاده از آسیب‌پذیری‌هایی که توسط ابزارهای تغییر سطح دسترسی به ریشه هستند استفاده می‌کند. بدافزار، پس از یافتن کتابخانه مربوطه و یافتن سطح دسترسی ریشه در قالب یک برنامه کاربردی سیستمی به فعالیت خود ادامه می‌دهد.

 

شکل 1- بخشی از عملیات بدافزار Godless در یافتن کتابخانه آسیب‌پذیر

این برنامه مخرب، پس از نصب بر روی گوشی قربانی صبر می‌کند تا صفحه گوشی تلفن همراه خاموش شود و سپس،  عملیات مخرب خود را اجرا کرده و با سوءاستفاده از آسیب‌پذیری‌های موجود در سیستم‌عامل اندروید، دسترسی سطح ریشه را می‌يابد. رشته‌ رمز شدهAES با نام __image‌در این برنامه‌ها حاوی کد مخرب اجرایی بدافزار استکه پس از تغییر سطح دسترسی برنامه مخرب به سطح دسترسی ریشه اجرای می‌شود.

 

شکل 2- کد بررسی خاموش بودن صفحه گوشی همراه

اخیراً، نوع جدیدی از بدافزار Godlessشناسایی‌شده است که رشته مخرب در برنامه کاربردی مخرب قرار نمی‌گیرد، بلکه، از طریق سرور C&C، دستورات لازم به برنامه کاربردی مخرب ارسال می‌شود. این سرور، در آدرس hxxp://market[.]moboplay[.]com/softs[.]ashx قرار دارد.

4- جمع‌بندی

بدافزار Godless، امنیت سیستم‌عامل اندروید در نسخ ۵.۱ و قبل از آن را تهدید می‌کند. در میان گوشی‌های اندروید حاضر، 90 درصد گوشی‌ها دارای سیستم‌عامل اندروید 5.1 و یا قبل از آن هستند.این بدافزار، از آسیب‌پذیری‌های موجود در هسته سیستم‌عامل اندروید سوءاستفاده کرده و سطح دسترسی برنامه مخرب را از کاربر به ریشه تغییر می‌دهد. پس از یافتن سطح دسترسی ریشه، بدافزار به اطلاعات شخصی و داده‌های سطح ریشه در سیستم‌عامل اندروید دسترسی می‌یابد و کنترل گوشی را به عهده می‌گیرد. رفع آسیب‌پذیری‌هایی که امکان تغییر سطح دسترسی به ریشه را میسر می‌کند، می‌تواند اولین گام برای جلوگیری از رخداد حملات توسط بدافزار Godless‌ و بدافزارهای مشابه باشدهم‌چنین، برای جلوگیری از خطرات احتمالی از این بدافزار، لازم است کاربران گوشی‌های هوشمند اندرویدی، از نصب برنامه‌های کاربردی از بازارهای نامعتبر خودداری کنند.

 

[1]Trendmicro

[2]Github

[3]Package

]]>
2016/7/25
<![CDATA[آسیب‌پذیری‌های کتابخانه Libarchive]]>

آسیب‌پذیری‌های کتابخانه Libarchive

]]>
کتابخانه Libarchive در سال ۲۰۰۴ در پروژه FreeBSD ایجاد گردید. این کتابخانه، امکان خواندن فایل‌هایی با فرمت‌های متفاوت فشرده‌سازی چون tar، zip، cpio، 7z و غیره را میسر می‌سازد. به دلیل وجود امکانات فراوان این کتابخانه و پشتیبانی آن از تعداد زیادی از فرمت‌های فشرده‌سازی فایل، از آن در سایر سیستم‌های عامل و نیز در نرم‌افزارهای متعددی برای فشرده‌سازی و باز کردن فایل‌های فشرده استفاده می‌شود. اخیراً، آسیب‌پذیری‌های سرریز بافر در فایل‌هایی با فرمتMtree (CVE-2016-4301)، سرریز پشته در فایل‌هایی با فرمتrar (CVE-2016-4302) ونیز سرریز عدد صحیح در فایل‌هایی با فرمت 7zip‌(CVE-2016-4300) یافت شده است. با سوءاستفاده از این آسیب‌پذیری‌ها، می‌توان بیش از حد مجاز بر روی بافر تخصیص‌یافته نوشت. لذا،حمله‌کننده می‌تواند کد مخرب را در فایل فشرده اضافه کند.سپس، هنگامی‌که فایل فشرده توسط برنامه‌ای که ازLibarchiveاستفاده می‌کند، اجرا و خوانده شود، کد مخرب در سیستم قربانی اجرا می‌شود.

مهم‌ترین دلیل وجود این آسیب‌پذیری‌ها، عدم برنامه‌نویسی امن است. چراکه؛ آسیب‌پذیری‌های نامبرده شده، عمدتاً به دلیل عدم وارسی ورودی‌ها- که در فایل‌های فشرده، داده‌هایی است که از فایل فشرده خوانده می‌شود- وجود دارند. در حال حاضر، این آسیب‌پذیری در نسخه 3.2.1 این کتابخانه رفع شده است.

1-سیستم‌های آسیب‌پذیر

از کتابخانه Libarchive، در ابزارهای فشرده‌سازی موجود در سیستم‌های عامل FreeBSD و Debian Linuxو نیز نرم‌افزارهای متعددی چون ضد بدافزارها، ابزارهای مدیریت بسته[1] چون پک من[2]، ایکس. بی. پی. اس[3]، سی میک[4] وpkg-utils، ابزارهای آرشیو و جستجوی فایل چون Springy و ZIP Unpacker Component Extension؛ و ابزاری امنیتی چون yextendاستفاده می‌شود؛ بنابراین، هر سیستم‌عامل یا نرم‌افزاری که از نسخه‌های پیشین این کتابخانه (نسخ کمتر از 3.2.1) برای باز کردن فایل‌های mtree، rar‌ و 7zipاستفاده می‌کند،آسیب‌پذیر است. تاکنون، حمله‌ای با سوءاستفاده از این آسیب‌پذیری گزارش نشده است.

2-چگونگی رفع آسیب‌پذیری

مهم‌ترین علت وجود این آسیب‌پذیری‌ها، عدم برنامه‌نویسی امن است. چراکه؛ آسیب‌پذیری‌های نامبرده شده، عمدتاً به دلیل عدم وارسی ورودی‌ها- که در فایل‌های فشرده، داده‌هایی است که از فایل فشرده خوانده می‌شود- وجود دارند. توابعی جهت وارسی دقیق ورودی‌ها، برای رفع این آسیب‌پذیری‌ها در کدهای آسیب‌پذیر این کتابخانه افزوده‌شده است. در حال حاضر، این آسیب‌پذیری در نسخه 3.2.1 این کتابخانه رفع شده است و لازم است، نسخ قدیمی این کتابخانه به‌روزرسانی گردند.

برای مثال، برای به‌روزرسانیسیستم‌عاملFreeBSDمی‌توان از یکی از روش‌های زیر استفاده کرد:

  1.  به‌روزرسانی سیستم‌عاملFreeBSD با دستور "freebsd-update"
  2.  دریافت و نصب وصله‌ها با اجرای دستورات زیر

freebsd-update fetch

freebsd-update install

  1.  دریافت و نصب کد وصله‌ها، که در دو مرحله زیر انجام می‌گیرد:
    1. دریافت کدها و وارسی امضای آن

fetch https://security.FreeBSD.org/patches/SA-16:23/libarchive.patch

fetch https://security.FreeBSD.org/patches/SA-16:23/libarchive.patch.asc

gpg --verify libarchive.patch.asc

  1.  اعمال وصله‌ها

cd /usr/src

patch< /path/to/patch

4.کامپایل مجدد هسته FreeBSD با دستورات "buildworld" و "installworld".

3- شیوه حمله

در کتابخانه Libarchive، سه آسیب‌پذیری سرریز بافر در فایل‌هایی با فرمت Mtree، سرریز پشته در فایل‌هایی با فرمت rar ونیز سرریز عدد صحیح در فایل‌هایی با فرمت 7zip‌ شناسایی‌شده است. در این بخش، جزئیات آسیب‌پذیری مرتبط با فایل‌های Mtree‌ و 7zip و نحوه سوءاستفاده از آن‌ها آورده شده است.

برای مثال، آسیب‌پذیریفایل‌های Mtree، در ماژول libarchive\archive_read_support_format_mtree.c و تابع parse_device قرار دارد. دراین تابع، سه آرگومان حاوی اطلاعات پیرامون فرمت فایل نگه‌داری می‌شود. این آرگومان‌ها از نوع unsigned long‌ است. همان‌طور که در شکل ۱ مشاهده می‌شود، در هیچ قسمتی از تابع، درستی نوع آرگومان‌های ورودی بررسی نمی‌شود؛ بنابراین، حمله‌کننده می‌تواند در هریک از خانه‌های آرایه، بیش‌ازاندازه درنظرگرفته شده برای متغیرهای unsigned long– که برابر با ۴ بایت در سیستم‌های ۳۲ بیتی و ۸ بایت در سیستم‌های ۶۴ بیتی است- بنویسد. لذا، می‌تواند فراتر از اندازه درنظرگرفته شده بر روی حافظه آرایه‌ سه‌تایی، نوشته و محتویات آن را تغییر دهد.

 

شکل 1- تابع parse_device که حاوی آسیب‌پذیری سرریز بافر در پویش فایل‌های با فرمت mtree‌ است.

 

آسیب‌پذیری مرتبط با فایل‌های 7zip، در ماژول libarchive\archive_read_support_format_7zip.c قرار دارد که بخشی از آن در شکل ۲ نشان داده‌شده است. در این فایل، در خطوط ۲۱۴۹-۲۱۵۷، در متغیر unpack_streams، مجموع numUnpackStreams برای کلیه پوشه‌ها ذخیره می‌شود. متغیر unpack_streams از نوع size_t‌ است (معادل unsigned long) و حداکثر می‌تواند مقداری برابر با ۴ بایت در سیستم‌های ۳۲ بیتی و یا ۸ بایت در سیستم‌های ۶۴ بیتی را در برگیرد. حال به دلیل عدم بررسی مقدار unpack_streams،به هنگام محاسبه مجموع numUnpackStreams های پوشه‌ها، ممکن استسرریز عدد صحیح انتسابی به unpack_streamsرخ دهد.

سپس در خطوط۲۱۶۶-۲۱۷۷، به‌اندازه مقدارunpack_streams، در پشته، برای متغیر ss->unpackSizes حافظه پویا اختصاص داده می‌شود. در خطوط ۲۱۸۷-۲۱۹۰، برای هر یک از پوشه‌ها و متناسب با numUnpackStreams، عددی ۶۴ بیتی از پشته ایجادشده برای ss->unpackSizesخوانده می‌شود. ازآنجایی‌که سایز حافظه پشته با متغیر unpack_streams، تعیین‌شده است و درستی مقدار این متغیر وارسی نگردیده، محتوای حافظه خوانده‌شده، ممکن است درست نباشد.

 

شکل 2- بخشی از کد archive_read_support_format_7zip.c حاوی آسیب‌پذیری سرریز پشته در فایل‌های 7zip

 

4- جمع‌بندی

کتابخانه Libarchive، از کتابخانه‌های متن‌بازی است که از فرمت‌های گوناگون فایل‌های فشرده چون tar، zip، cpio، 7z و غیره، پشتیبانی می‌کند ودر سیستم‌های عامل و نرم‌افزارهای متعددی استفاده‌شده است. آسیب‌پذیری‌های سرریز بافر در فایل‌هایی با فرمت Mtree (CVE-2016-4301)، سرریز پشته در فایل‌هایی با فرمت rar (CVE-2016-4302) ونیز سرریز عدد صحیح در فایل‌هایی با فرمت 7zip‌(CVE-2016-4300) یافت شده است. این آسیب‌پذیری‌ها، امکان نوشتن بیش‌ازحد مجاز بر روی حافظه و اجرای کدهای مخرب در سیستم قربانی را فراهم کرده و یک خطر جدی محسوب می‌شود. در نسخه 3.2.1 این کتابخانه، آسیب‌پذیری‌های مذکور رفع شده است و لازم‌ است کلیه سیستم‌های حاوی این کتابخانه به‌روزرسانی شوند.

 

 

[1]Package Manager

[2]Pacman

[3]XBPS

[4]CMake

]]>
2016/7/24
<![CDATA[باج‌افزار Zepto]]>

باج‌افزار Zepto

]]>
 

اخیراً محققین با نسخه‌ی جدیدی از باج‌افزار locky روبرو شده‌اند که zepto نام دارد و تمامی نسخه‌های ویندوز را تحت تأثیر قرار می‌دهد. این باج‌افزار نظر کلیدهای رمزنگاری و نوع فایل‌هایی که رمز می‌کند شباهت بسیار زیادی با باج‌افزار Locky داشته و تنها تفاوت آن استفاده از یک شمای جدید برای نام‌گذاری فایل‌های رمز شده است. آنچه باعث توجه بیشتر محققین به این باج‌افزار شده است، موج هرزنامه‌هایی است که آن را منتشر ساخته‌اند، به نحوی که در طول چهار روز، حدود 137 هزار هرزنامه حاوی این باج‌افزار شناسایی شده است. متأسفانه تاکنون راهی برای رمزگشایی فایل‌های رمزشده توسط این باج‌افزار پیدا نشده است و تنها درصورتی که نسخه‌ی پشتیبان وجود داشته باشد می‌توان سیستم را به حالت قبلی بازگرداند.

 

فایل پیوست

]]>
2016/7/24
<![CDATA[هرزنامه و ماحیگیری در سه ماه اول 2016]]>

هرزنامه و ماحیگیری در سه ماه اول 2016

]]>
 

با افزایش استفاده از اینترنت، روزبه‌روز بر تعداد کلاه‌برداران اینترننی افزوده می‌شود. در این میان پست‌های الکترونیکی و اطلاعات شخصی افراد مانند نام کاربری، رمز عبور و اطلاعات بانکی آن‌ها از جمله بهترین منابع، جهت سوءاستفاده  کلاه‌برداران از کاربران به حساب می‌آید.

مهاجمان با ارسال هرزنامه‌ها[1] و متقاعد کردن کاربران در باز نمودن فایل‌های پیوست مخرب به طرق مختلف، از جمله استفاده از وضعیت‌های تروریستی موجود در خاورمیانه و مشوق‌های پولی، مشکلات عمده‌ای را برای آن‌ها ایجاد نموده‌اند. علاوه‌براین، مهاجمان با ترغیب توأم با نیرنگ کاربران و حملات ماحیگیری،[2] سعی در افشای اطلاعات شخصی و حساس قربانیان دارند.

با توجه به آمار دریافت شده از آنتی‌ویروس‌های کسپرسکی نصب شده بر روی کامپیوترها، تعداد این حملات اینترنتی در سه ماه اول 2016 رشد چشمگیری داشته است. در این گزارش، آمار مربوط به انواع مختلف هرزنامه‌ها و فایل‌های مخرب پیوست شده در آن‌ها، روش‌ها و ترفندهای کلاه‌برداران، سازمان‌هایی که بیش از همه از حملات ماحیگیری رنج برده‌اند، ارائه شده است.

فایل پیوست

[1] Spam

[2] Phishing

]]>
2016/7/23
<![CDATA[اینفوگرافی مهندسی اجتماعی]]>

اینفوگرافی مهندسی اجتماعی

]]>

 

دانلود اینفوگرافی با کیفیت بالا

]]>
2016/7/19
<![CDATA[اینفوگرافی حفظ امنیت و حریم خصوصی کودکان در شبکه های اجتماعی ]]>

اینفوگرافی حفظ امنیت و حریم خصوصی کودکان در شبکه های اجتماعی

]]>
 

 

جهت بزرگنمایی تصویر  کلیک  کنید

]]>
2016/7/19
<![CDATA[اینفوگرافی نمونه های اطلاعات زمینه ای ]]>

اینفوگرافی نمونه های اطلاعات زمینه ای

]]>

 

دریافت اینفوگرافی با کیفیت بالا

]]>
2016/7/19
<![CDATA[اینفوگرافی اخلاق انتشار محتوا در شبکه های اجتماعی ]]>

اینفوگرافی اخلاق انتشار محتوا در شبکه های اجتماعی

]]>

دریافت اینفوگرافی با کیفیت بالا

]]>
2016/7/19
<![CDATA[نحوه‌ی پیکربندی امن SSL TLS بر روی وب‌سرور IIS]]>

نحوه‌ی پیکربندی امن SSL TLS بر روی وب‌سرور IIS

]]>
  • نام نرم‌افزار
  • نسخه‌ی مورد استفاده
  • سیستم‌عامل
  • Windows 7 64 bit Ultimate
  • وب سرور
  • IIS 7.5
  • openssl pkcs12 -export -out certificate.pfx -inkey private.key -in Certificate.crt -certfile Intermediate_CA.crt
  • 1.مقدمه
  • پروتکل‌های SSL و TLS جهت امن کردن ارتباط میان کاربر و سرور از طریق تصدیق هویت، رمزنگاری و صحت، طراحی و پیاده‌سازی شده است. جهت امن کردن داده‌ها این پروتکل‌ها از cipher suite هایی استفاده می‌کنند. هر cipher suite ترکیبی از الگوریتم‌های اصالت‌سنجی، رمزنگاری و کد تصدیق هویت پیغام (MAC) است. در زمان پیکربندی TLS/SSL باید تنظیمات به‌درستی انجام شده و cipher suite های امن مورد استفاده قرار گیرد. برخی از مهم‌ترین این تنظیمات شامل غیرفعال کردن SSL 2.0 و SSL 3.0، غیرفعال کردن TLS 1.0 Compression و cipher suite های ناامن و استفاده از آخرین نسخه‌ی نرم‌افزارها است. پیکربندی ارائه شده بر روی سروری با مشخصات زیر انجام شده است.
  •  
  • ذکر این نکته لازم است که در ابتدا باید تمامی ماژول‌های وب سرور IIS (در Turn Windows feature On or Off) فعال گردد.
  • 2.ارزیابی وضعیت فعلی سرویس دهنده
  • برای ارزیابی وضعیت امنیتی SSL/TLS در سرویس دهنده خود از سرویس‌ زیر استفاده نمایید:
  • https://sslcheck.certcc.ir
  • پس از انجام موارد امنیتی زیر مجدداً با استفاده از آدرس‌های فوق سرویس خود را پویش کنید تا از برطرف شدن مشکلات موجود مطمئن شوید.
  • 3.موارد پیشنهادی برای ارتقای امنیت
  • 1-3اضافه کردن زوج کلید معتبر به وب سرور
  • جهت امن‌سازی ارتباط از طریق SSL/TLS یکی از موارد استفاده از زوج کلید خصوصی و عمومی معتبر است. جهت انجام این امر باید روند زیر دنبال گردد.
  • پس از دریافت زوج کلید از یک CA معتبر به همراه کلید عمومی CA باید با استفاده از دستور openssl زیر  هر سه را به یک کلید به فرمت pfx تبدیل گردد. (private.key نام فایل حاوی کلید خصوصی، Certificate.crt نام  فایل حاوی کلید عمومی و Intermediate_CA.crt فایل حاوی کلید عمومی CA )
  • پس از وارد کردن این دستور یک کلمه‌عبور از کاربر دریافت می‌شود.
  • سپس فایل خروجی (certificate.pfx) باید در وب سرور IIS  اضافه شود. مراحل زیر باید جهت انجام این امر صورت پذیرد:
  • 1.باید پس از بازکردن IIS Manager بر روی Server Certificate از پنجره‌ی Home کلیک کرد.
  •  
  • شکل 1: نمایی از IIS Manager و انتخاب Server Certificate
  • 2.سپس از منوی Action باید گزینه import انتخاب شود.
  • 3.سپس باید مسیر فایل کلید تولید شده در مرحله‌ی قبل را در بخش Certificate file وارد کرده و کلمه‌عبور وارد شده نیز در بخش password وارد شود.
  •  
  • شکل 2: نمایی از کلید اضافه شده به سرور
  • 4.در مرحله بعد باید از بخش sites بر روی نام سایت مورد نظر کلیک کرده و سپس گزینه‌ی Binding از منوی Action را انتخاب کرد.
  • 5.سپس بر روی گزینه‌ی add از پنجره‌ی باز شده کلیک شود.
  • 6.در پنجره‌ی باز شده باید type به https تغییر یابد. سپس از منوی SSL Certificate نام certificate  اضافه شده در مراحل قبل را انتخاب کرد.
  •  
  • شکل 3: نمایی از اضافه کردن کلید به سرور
  • 7.در نهایت با کلیک بر روی OK زوج کلیدها بر روی سرور فعال می‌گردد.
  •  
  • شکل 4: نمایی از نتیجه‌ی نهایی تنظیمات کلید
  •  
  •  

برای دریافت کامل مستند دانلود نمایید 

]]>
2016/7/19
<![CDATA[ جدیدترین باج افزارهای کشف شده در ماه اخیر]]>

 جدیدترین باج افزارهای کشف شده در ماه اخیر

]]>
باج‌افزارها گونه‌ای از بدافزارها به شمار می‌آیند که قادرند به طرق مختلفی ازجمله رمزنگاری، دسترسی قربانی به فایل‌ها یا کل سیستم را محدود کرده و تنها در ازای دریافت باج، محدودیت را برطرف سازند. سیر رشد باج‌افزارها در سال اخیر بسیار زیاد بوده و روزانه چندین رخداد در این حوزه پیش می‌آید.

در گزارش ارائه‌شده اطلاعاتی راجع به باج‌افزار جدیدی مانند Herbst، نسخه‌های جدید باج‌افزارهای Crysis، Nemucod و کشف 7 گونه جدید از باج‌افزار  Jigsaw وانتشار ابزار رمزگشایی برای باج‌افزارهای cripttt، TeslaCrypt و jigsaw منتشر شده است.

1- باج‌افزار Herbst

در 15 خردادماه، شرکت Fortinet باج‌افزار جدیدی را کشف کرده که نام آن را Herbst گذاشته است]2[. این باج‌افزار آلمان را مورد هدف قرار داده است و فایل‌های قربانیان را با استفاده از AES رمزنگاری کرده است. فایل‌های رمزشده توسط این باج‌افزار دارای پسوند .herbst است. باج درخواستی توسط این باج‌افزار 0.1 بیت کوین (حدود 50 دلار آمریکا) است. نمایی از یادداشت به‌جا گذاشته شده توسط باج‌افزار در شکل 1 نمایش داده شده است.

 

شکل 1 یادداشت مربوط به باج‌افزار Herbst

2- انتشار ابزار رمزگشایی باج‌افزار روسی .criptikod یا cripttt

در 16 خرداد ماه، فردی به نام مایکل گیلسپی[1] خبر مربوط به کشف ابزار رمزگشایی برای باج‌افزار روسی.criptikod  یا cripttt را در حساب توییتر خود اطلاع رسانی کرده است]3[. این باج‌افزار به زبان روسی بوده و این کشور را مورد هدف قرار داده است. ابزار منتشر شده در آدرس http://virusinfo.info/showthread.php?t=185396 قرار داده شده است.

3- کشف نسخه‌های جدید باج‌افزار Jigsaw

در 17 خرداد ماه گونه‌های جدیدی از باج‌افزار Jigsaw مشاهده شده است که برای فایل‌های رمزشده خود پسوند .payms، .paymst، .pays، .paym، .paymrss، .payrms و .paymts قرار داده‌اند. آقای مایکل گیلسپی رمزگشای این باج‌افزار را برای رمزگشایی این فایل‌ها، به‌روزرسانی کرده است که می‌توان آن را از آدرس http://www.bleepingcomputer.com/news/security/jigsaw-ransomware-decrypted-will-delete-your-files-until-you-pay-the-ransom/ دریافت کرد]4[

4- کشف نسخه‌ی جدید باج‌افزار Crysis

در 17 خرداد ماه نسخه‌ی جدیدی از باج‌افزار Crysis کشف شده است که فایل‌ها را رمز کرده و به فایل‌های رمزشده پسوند .centurion_legion@aol.com.xtbl اضافه می‌کند. پس از آن باج‌افزار یادداشتی قرار می‌دهد که بر اساس آن قربانی باید برای دریافت دستورات مربوط به پرداخت باج، به آدرس mailrepa.lotos@aol.com یا goldman0@india.com ایمیل زند. نمونه‌ای از این یادداشت در شکل 2 نمایش داده شده است.

 

شکل 2 یادداشت قرار داده شده توسط باج‌افزار Crysis

یک روز پس از کشف این نسخه‌ی جدید، در 18 خردادماه ESET درباره رشد و گسترش گسترده‌ی خانواده این باج‌افزار هشدار داد. به نظر می‌رسد پس از پایان یافتن پروژه باج‌افزار TeslaCrypt، تیم مهاجمین روی باج‌افزار Crysis تمرکز کرده است. بر اساس یافته‌های ESET، این باج‌افزار از طریق هرزنامه‌های حاوی فایل‌های مخرب و یا تروجان‌هایی که به نظر برنامه‌های مفیدی می‌آیند، منتشر می‌شود.

5- کشف گونه‌ی جدید باج‌افزار Nemucod

در 20 خردادماه گونه‌ی جدیدی از باج‌افزار Nemucod کشف شده که قادر است PHP را دانلود کرده و با استفاده از آن فایل‌های قربانی را رمز کند و در پایان فایل‌های رمزشده پسوند .crypted قرار دهد. ابزار رمزگشایی این‌گونه جدید نیز در حساب توییتر آقای فابین وسار[2]منتشر شده است که می‌توان آن را از آدرس http://www.bleepingcomputer.com/news/security/decryptor-released-for-the-nemucod-trojans-crypted-ransomware/ دریافت کرد]5[.

6- انتشار ابزار جامع رمزگشایی TeslaCrypt

پس از آن‌که پروژه مربوط به باج‌افزار TeslaCrypt متوقف و کلید رمزگشایی آن منتشر شد، قربانیان قادر بودند فایل‌های رمز شده توسط نسخه‌ی 3 و 4 این باج‌افزار را رمزگشایی کنند. البته برای رمزگشایی فایل‌های رمزشده توسط نسخه‌های قدیمی‌تر این باج‌افزار نیز ابزارهای دیگری مانند TeslaDecoder وجود دارد]6[. حال تیم تحقیقاتی سیسکو ابزار جدیدی ارائه داده است که با استفاده از آن قربانیان می‌توانند فایل‌های رمزشده توسط هر یک از نسخ این باج‌افزار را رمزگشایی کنند. استفاده از این ابزار برای کسانی که نمی‌دانند توسط کدام نسخه از باج‌افزار TeslaCrypt آلوده شده‌اند، می‌تواند بسیار مفید باشد]7[.

7- جمع‌بندی

در طی سال‌های اخیر مهاجمان زیادی به سمت گونه‌ای از بدافزارها، که باج‌افزار نام دارند تمایل پیدا کرده و از طریق آن کسب درآمد می‌کنند. آن‌ها سعی می‌کنند از غفلت و سهل‌انگاری کاربران بهره برده و از طرق مختلفی مانند ایمیل‌ها، صفحات وب و پیام‌های آلوده، از افراد سواستفاده کنند. برای جلوگیری از آلودگی توسط بدافزارها توصیه‌های متداولی ازجمله عدم باز کردن ایمیل‌های ناشناس و مشکوک، عدم مراجعه به وب‌سایت‌های ناامن، استفاده و اطمینان از فعال بودن برنامه‌های ضدویروس روی سیستم و تهیه‌ی نسخه‌ی پشتیبان از اطلاعات و ذخیره‌ی آن‌ها روی یک حافظه‌ی خارجی، وجود دارد. این توصیه‌ها اگرچه بسیار ساده هستند اما می‌توانند از خسارات جبران‌ناپذیری جلوگیری کنند.

 

[1] Michael Gillespie

[2] Fabian Wosar

]]>
2016/7/19
<![CDATA[نحوه راه اندازی پروتکل SSL TLS جهت برقراری ارتباط ایمن (HTTPS) ]]>

نحوه راه اندازی پروتکل SSL TLS جهت برقراری ارتباط ایمن (HTTPS)

]]>
 

1مقدمه: اهمیت رمزنگاری و ارتباط ایمن

با توجه به گسترده شدن استفاده از خدمات الکترونیک در سازمان‌ها و استفاده از شبکه‌ اینترنت برای مبادله اطلاعات، نیاز است تا تمهیداتی برای امنیت داده های مبادله شده در ایترنت صورت پذیرد. برای تامین محرمانگی و جامعیت داده‌های مباده شده می توان از پروتکل‌های استانداردی که بدین منظور طراحی شده استفاده کرد. در حال حاضر مهم‌ترین پروتکل رمزنگاری که در سطح اینترنت برای رمزنگاری داده‌های لایه کاربرد و تأمین امنیت ارتباطات استفاده می‌شود، پروتکل SSL/TLS است که در وب با نام HTTPS نیز نامیده می‌شود. در این مستند فنی مراحل کلی و جزئیات راه‌اندازی سرویس HTTPS بیان می‌شود.

2مراحل راه اندازی سرویس SSL/TLS بر روی سرویس‌دهنده وب

1-2انتخاب یک مراکز صدورگواهی بین المللی و رابط/نماینده آن در ایران

شما برای راه‌اندازی سرویس HTTPS نیاز به یک گواهی امنیتی (Security Certificate) دارید که می‌بایست توسط یکی از مراکز بین‌المللی صدور گواهی (CA یا Certfiicate Authrotity) صادر شده باشد. البته این گواهی را خود شما نیز می‌توانید ایجاد کنید ولی در این صورت یک گواهی خودامضا (Self-Signed) خواهید داشت که مرورگرها هنگام مواجهه با آن خطا می‌دهند. از آنجایی که گواهی‌های خودامضا توسط مهاجمین نیز قابل ایجاد و سواستفاده هستند، بهتر است برای امنیت بالاتر حتماً گواهی را از یک مرکز صدور گواهی معتبر دریافت کنید. بدین منظور ابتدا یکی از نمایندگان این شرکت‌ها در ایران را بیابید، و از جزئیات فنی و هزینه‌های آن آگاه شوید.

 

در صورتی که سایت شما دارای دامنه‌ای با پسوند .com/.net/.org یا سایر دامنه‌هایی به جز .ir می‌باشد، اغلب مراکز صدورگواهی، مشکلی با صدور گواهی برای دامنه شما ندارند. اما برای دامنه‌های .ir تنها تعداد معدودی از مراکز بین‌المللی گواهی صادر می‌کنند. برای خرید گواهی دیجیتال از این مراکز بین­المللی، باید از شرکت­های واسط که بدین منظور در ایران فعالیت می­کنند اقدام به خرید گواهی کرد. برخی از مراکز بین­المللی صدور گواهی دیجیتال که دامنه .ir را پشتیبانی می­کنند در جدول زیر آمده است:

 

کشور

نام و آدرس مرکز صدور گواهی

نمونه سایت استفاده کننده

 

آمریکا*

Let’s Encrypt (ISRG)

https://letsencrypt.org

 

ترکیه

TurkTrust

http://www.turktrust.com.tr/en/

sadad.shaparak.ir

ib.bsi.ir

فرانسه

KEYNECTIS OpenTrust

https://www.opentrust.com/

chmail.ir

ict.gov.ir

sabteahval.ir

ebanksepah.ir

لهستان

Certum (Unizeto Technologies S.A.)

https://www.certum.eu

modern.izbank.ir

pg.tejaratbank.ir

مجارستان

NetLock Kft

https://www.netlock.hu/

webmail.nri.ac.ir

     

 

مرکز گواهی Let’s Encrypt، به صورت رایگان گواهی صادر می‌کند. اما با توجه به معماری مورد استفاده در آن، برای استفاده در مراکز دولتی به هیچ وجه توصیه نمی‌شود.

 

2-2انتخاب نوع گواهی مورد نظر

در این مرحله باید با توجه به شرایط سازمان و نیازمندی‌ها، نوع گواهی امنیتی مد نظر خود را انتخاب نمایید. انواع مختلفی از گواهی­نامه ­های SSL بر اساس تعداد دامنه و زیر دامنه ­های قابل پوشش به شرح زیر است:

  • Single- تنها یک دامنه یا زیردامنه را در بر می­گیرد.

  • Wildcard- یک دامنه و تعداد نامحدود از زیردامنه­های آن را پوشش می‌دهد.

  • Multi-Domain- چندین دامنه را پوشش می‌دهد.

نکات

  • در صورتی که می‌خواهید تنها یک زیردامنه خاص را مجهز به سرویس SSL نمایید، از گواهی‌های Single استفاده نمایید که هزینه کمتری دارد.

  • در صورتی که سازمان شما چندین زیردامنه دارد که می‌خواهید سرویس SSL را برای همه آنها فعال کنید، می‌توانید از یک گواهی Wildcard استفاده کنید. در این حالت کلیدهای رمزنگاری یکسانی در تمامی سرویس‌دهنده‌های شما مورد استفاده قرار خواهد گرفت.

  • برای شرایطی که امنیت بالاتری مد نظر است و قصد به اشتراک گذاری کلید خصوصی بین سرویس‌دهنده‌های مختلف را ندارد، می‌توانید در کنار گواهینامه Wildcard، برای برخی از زیردامنه‌ها گواهی مجزا از نوع single تهیه نمایید.

 

سطح اعتبار گواهی‌ها نیز متفاوت بوده و شامل موارد زیر است:

  • Domain Validation (DV)- این سطح حداقل هزینه را دارد و اعتبارسنجی‌های پایه را پوشش می‌دهد. در این حالت صدورگواهی بر این مبنا صورت می‌گیرد که مرکزصدور گواهی اطمینان حاصل می‌کند که کلیدعمومی موجود در گواهی، توسط مالک دامنه ساخته شده است (ولذا کلید خصوصی آن تنها در اختیار مالک دامنه است و نه فرد دیگری). گرفتن این گواهی ممکن است چند دقیقه تا چند ساعت طول بکشد.

  • Organization Validation (OV)- علاوه بر اعتبارسنجی‌ مربوط به مالکیت دامنه، جزئیات خاصی از مالک (مثل نام و آدرس) هم تصدیق اصالت می‌شود. گرفتن این گواهی ممکن است چند ساعت الی چند روز طور بکشد.

  • Extended Validation (EV)- این مورد بالاترین درجه از امنیت را فراهم می­آورد زیرا قبل از صدور این گواهی، بررسی­های کاملی روی آن انجام شده است و مورد تایید است. گرفتن این گواهی معمولا بین چند روز الی چند هفته طول می­کشد.

 

  • جهت مطالعه کامل مستند دانلود نمایید

]]>
2016/7/19
<![CDATA[نحوه‌ی پیکربندی امن SSL TLS بر روی وب‌سرور آپاچی]]>

نحوه‌ی پیکربندی امن SSL TLS بر روی وب‌سرور آپاچی

]]>
1. مقدمه

پروتکل‌های SSL و TLS جهت امن کردن ارتباط میان کاربر و سرور از طریق تصدیق هویت، رمزنگاری و صحت طراحی و پیاده‌سازی شده است. جهت امن کردن داده‌ها این پروتکل‌ها از cipher suite هایی استفاده می‌کنند. هر cipher suite ترکیبی از الگوریتم‌های اصالت‌سنجی، رمزنگاری و کد تصدیق هویت پیغام (MAC) است. در زمان پیکربندی TLS/SSL باید تنظیمات به‌درستی انجام شده و cipher suite های امن مورد استفاده قرار گیرد. برخی از مهم‌ترین این تنظیمات شامل غیرفعال کردن SSL 2.0 و SSL 3.0، غیرفعال کردن TLS 1.0 Compression و cipher suite های ناامن و استفاده از آخرین نسخه‌ی نرم‌افزارها است. پیکربندی ارائه شده بر روی سروری با مشخصات زیر انجام شده است.

نام نرم‌افزار

نسخه‌ی مورد استفاده

سیستم‌عامل

SMP Debian 4.0.4-1+kali2 (2015-06-03)

OpenSSL

OpenSSL 1.0.1k 8 Jan 2015

built on: Thu Dec  3 18:28:10 2015

Appache

Server version: Apache/2.4.10 (Debian)

Server built:   Aug  1 2015 21:26:38

 

جهت امن‌سازی می‌توان از تغییر قایل پیکربندی قرار گرفته در مسیرهای زیر استفاده کرد:

etc/apache2/mods-enabled/ssl.conf

etc/apache2/sites-enabled/default-ssl.conf

etc/apache2/sites-enabled/default.conf

3.ارزیابی وضعیت فعلی سرویس دهنده

برای ارزیابی وضعیت امنیتی SSL/TLS در سرویس دهنده خود از سرویس‌ زیر استفاده نمایید:

https://sslcheck.certcc.ir

پس از انجام موارد امنیتی زیر مجدداً با استفاده از آدرس‌های فوق سرویس خود را پویش کنید تا از برطرف شدن مشکلات موجود مطمئن شوید.

 

جهت مطالعه کامل مستند دانلود نمایید

 

]]>
2016/7/19
<![CDATA[جدول آخرین بروزرسانی ها و آسیب پذیری ها ی نرم افزارهای پرکاربرد کشور ]]>

جدول آخرین بروزرسانی ها و آسیب پذیری ها ی نرم افزارهای پرکاربرد کشور

]]>
 

 

برای دریافت این مستند به پیوست مراجعه نمایید

]]>
2016/7/18
<![CDATA[كارگاه آموزشي مباني امنيت فضاي تبادل اطلاعات در استان كردستان]]>

كارگاه آموزشي مباني امنيت فضاي تبادل اطلاعات در استان كردستان

]]>
در راستاي ارتقاء سطح علمي وفني مديران و كارشناسان فناوري اطلاعات حوزه هاي ستادي كليه دستگاههاي اجرايي استان كردستان، كارگاه آموزشي " مباني امنيت فضاي تبادل اطلاعات " در روز چهارشنبه مورخه 95/4/23 توسط اداره كل ارتباطات وفناوري اطلاعات استان كردستان، با همكاري مركز ماهر سازمان فناوري اطلاعات ايران و مركز آپاي دانشگاه صنعتي شريف در محل دانشگاه كردستان برگزار گرديد.

 

 اين گارگاه آموزشي 8 ساعته با حضور 150 نفر شركت كننده ودر 6 مبحث ذیل برگزار گردید:

  • ضرورت تامين ومديريت امنيت اطلاعات 
  • مباني امنيت داده ها
  • مباني امنيت شبكه
  • مباني امنيت سيستم عامل
  • مباني امنيت پايگاه داده (1و2)
  • مباني امنيت برنامه هاي كاربردي
]]>
2016/7/18
<![CDATA[آسیب‌پذیری سرریز بافر در مرورگر کروم]]>

آسیب‌پذیری سرریز بافر در مرورگر کروم

]]>
 

در تاریخ 30 اردیبهشت 1395 یکی از محققین شرکت سیسکو[1] یک آسیب‌پذیری در مرورگر کروم[2] کشف و آن را به گوگل گزارش داد و در مقابل 3 هزار دلار جایزه گرفت. شش روز بعد، در 5 خرداد ماه، این مشکل توسط گوگل رفع شده و نسخه 51.0.2704.63 این مرورگر منتشر شد. براساس گزارش این محقق، آسیب‌پذیری CVE-2016-1681 به مهاجم اجازه می‌دهد با جایگذاری تصویری JPEG2000 داخل فایل PDF، موجب سرریز بافرشده و از این طریق کدی دلخواه را روی ماشین قربانی اجرا کند.  

1- سیستم‌های آسیب‌پذیر و نحوه رفع آسیب‌پذیری

این آسیب‌پذیری تمامی سیستم‌هایی را که روی آن‌ها مرورگر کروم با نسخه پیش از 51.0.2704.63 نصب است در معرض خطر قرار داده است. برای جلوگیری از سوءاستفاده از این آسیب‌پذیری لازم است تمامی کاربران سیستم‌عامل‌های مختلف به‌روزرسانی‌های مربوطه را نصب نمایند. هرچند که به‌روزرسانی کروم به‌صورت اتوماتیک انجام می‌شود، اما کاربران ویندوز، لینوکس و مک می‌توانند از آدرس‌های زیر برای این به‌روزرسانی اقدام کنند.

 

  1. نسخه ویندوز: http://www.softpedia.com/get/Internet/Browsers/Google-Chrome.shtml
  2. نسخه لینوکس: http://linux.softpedia.com/get/Internet/HTTP-WWW-/Google-Chrome-48046.shtml
  3. نسخه مک: http://mac.softpedia.com/get/Internet-Utilities/Google-Chrome.shtml

2- شرح آسیب‌پذیری

PDFium افزونه پیش‌فرض مرورگر کروم برای نمایش فایل‌های PDF است. محقق شرکت سیسکو توانسته است یک آسیب‌پذیری سرریز بافر در این قسمت پیدا کند که می‌توان از آن به‌سادگی سوءاستفاده نمود. برای این کار کافی است مهاجم تصویری JPEG2000 را داخل فایل PDF جاساز کرده و فایل را روی وب‌سایت قرار دهد و از طریق روش‌های مختلفی مانند ایمیل‌های فیشینگ[3] افراد را به سمت این وب‌سایت هدایت کند.

در حقیقت این آسیب‌پذیری نه به مرورگر کروم و نه افزونه PDFium مربوط می‌شود، بلکه مشکل اصلی در کتابخانه OpenJPEG که مسئول بررسی فایل‌های JPEG2000 پیش از نمایش آن داخل مرورگر است، برمی‌گردد. مشکل اصلی در کد تابع opj_j2k_read_siz در فایل j2k.c است که این مشکل در کد نمایش داده شده در شکل 1 نشان داده شده است.

 

 

شکل 1

این تابع می‌تواند منجر به رخ دادن سرریز داخل تابع opj_j2k_read_SPCod_SPCoc شود.

3- جمع‌بندی

امروزه استفاده از فایل‌های PDF بسیار شایع شده و کاربران بدون ملاحظات امنیتی خاصی این فایل‌ها را در مرورگر خود باز می‌نمایند. همین امر باعث شده مهاجمین بتوانند از آسیب‌پذیری‌های موجود در این حوزه به راحتی سوءاستفاده کنند. از این رو لازم است آسیب‌پذیری CVE-2016-1681 جدی گرفته شود و افراد و سازمان‌های مختلف، خود را ملزم به به‌روزرسانی هرچه سریع‌تر مرورگر کنند.

 

[1] Cisco

[2] Chrome

[3] Phishing

]]>
2016/7/18
<![CDATA[باج افزار BLACKSHADES]]>

باج افزار BLACKSHADES

]]>
محققین امنیتی در تاریخ 5 خرداد سال جاری باج افزاری کشف کردند که قادر است فایل‌های کاربران را رمز کرده و از آنان طلب باج کند. این باج افزار که BLACKSHADES نام دارد، کاربران روس و آمریکایی را مورد هدف قرار داده و تنها مبلغ 30 دلار برای رمزگشایی درخواست کرده است که این مقدار نسبت به دیگر باج افزارها که عموماً مبلغی بین 250 تا 500 دلار درخواست می‌کنند، مبلغ کمی به حساب می‌آید. این باج افزار نیز همانند دیگر باج افزارها عمل کرده و در پایان فایل‌های رمز شده قربانی عبارت "silent." اضافه می‌کند.

1-چالش BLACKSHADES

محققینی که روی این باج افزار کار می‌کنند، متوجه وجود رشته‌های عجیبی در قسمت کد اجرایی شده‌اند که به نظر می‌رسد حاوی پیامی برای محققینی است که روی آن کار می‌کنند. برخی از این عبارات با base64 کد شده‌اند. عبارت کد شده در شکل 1 نشان داده شده است:

 

شکل 1

ترجمه این عبارت YoxcnnotcrackthisAlgorithmynare>idiot< است.

عبارت بعدی نیز در شکل 2 قابل مشاهده است:

 

شکل 2

پس از رمزگشایی این پیام محققان به عبارت روسی вы не можете взломать меня я очень жесткий برخوردند که ترجمه آن you can not hack me, I am very hard می‌شود و می‌گوید "شما نمی‌توانید من را هک کنید، من خیلی سخت هستم".

آخرین عبارت نیز در شکل 3 آورده شده است:

 

شکل 3

که ترجمه آن به صورت زیر است:

Hacked by Russian Hackers in Moscow Tverskaya Street

youaresofartocrackMe

در این پیام‌ها مهاجم، محققین را به چالش کشیده و اعلام کرده است که هک کردن کد این باج افزار بسیار مشکل بوده و آن‌ها نمی‌توانند این کار را انجام دهند.

2-نحوه انتشار

منبع باج افزار BLACKSHADES هنوز مشخص نیست اما یکی از محققین موفق شده است رشته‌ای در کد این باج افزار پیدا کند که حاوی عبارت "YouTube." بوده است. از این‌رو می‌توان احتمال داد که مهاجمین با آپلود کردن ویدئوهایی در قسمت تبلیغات YouTube، یا نرم‌افزار قفل‌شکسته و یا یک وصله تقلبی باج افزار خود را منتشر کرده‌اند.

3-فرآیند رمزنگاری

هنگامی که باج افزار BLACKSHADES اجرا می‌شود، ابتدا با استفاده از دستور زیر، نسخه‌های مختلف فایل Shadow Volume را حذف می‌کند:

cmd.exe /C vssadmin.exe Delete Shadows /All /Quiet

پس از آن به سایت http://icanhazip.com رفته و آدرس IP قربانی را به دست می‌آورد و سپس به Google.com مراجعه می‌کند تا از اتصال به اینترنت سیستم قربانی اطمینان حاصل کند. درصورتی که برنامه نتواند به سایت http://icanhazip.com متصل شود، از کار خواهد افتاد و پیام موجود در شکل 4 را نشان خواهد داد.

 

شکل 4

پس از آن باج افزار یک شناسه یکتا برای قربانی ایجاد می‌کند و اگر سیستم قربانی به اینترنت متصل باشد، آن شناسه را همراه با نام کامپیوتر، نام کاربری، کلید، زمان اجرا و دیگر اطلاعات، در کارگزار کنترل و فرمان بار گزاری می‌کند. 

این باج افزار برخی پوشه‌ها در درایور C: را با استفاده از AES-256 رمز کرده و فایلی با نام YourID.txt را نیز که حاوی شناسه کاربر است، در هر پوشه قرار می‌دهد. هنگامی که دسکتاپ[1] نیز رمز شد، باج افزار فایل Ваш идентификатор که به معنی "شناسه شما" است را در آن قرار می‌دهد. پوشه‌های رمز شده در درایور C: به شرح زیر است.

%Userprofile%\Downloads
%Userprofile%\Documents
%Userprofile%\Desktop
%Userprofile%\Pictures
%Userprofile%\Music
%Userprofile%\Videos
C:\Users\Public

برخلاف درایور C:، در دیگر درایورها هر فایلی که اسکن شود، رمز خواهد شد. پس از رمز کردن هر فایل، عبارت "silent." در انتهای آن قرار می‌گیرد، به عنوان مثال فایل test.jpg به صورت test.jpg.silent درخواهد آمد. فایل‌هایی که فرمت‌های زیر را داشته باشند، توسط این باج افزار رمز خواهند شد:

.vb,.cs,.c,.h,.html,.7z,.tar,.gz,.m4a,.wma,.aac,.csv,.rm,.txt,.text,.zip,.rar,.m,.ai,.cs,.db,.nd,.xlsx,.pl,.ps,.py,.3dm,.3ds,.3fr,.3g2,.ini,.xml,.jar,.lz,.mda,.log,.mpeg,.myo,.fon,.gif,.JNG,.jp2,.PC3,.PC2,.PC1,.PNS,.MP2,.AAC,.3gp,.ach,.arw,.asf,.asx,.avi,.bak,.bay,.mpg,.mpe,.swf,.PPJ,.cdr,.cer,.cpp,.cr2,.crt,.crw,.dbf,.dcr,.html,.xhtml,.mhtml,.asp,.dds,.der,.des,.dng,.doc,.dtd,.dwg,.dxf,.CSS,.rss,.jsp,.php,.dxg,.eml,.eps,.ert,.fla,.fla,.flv,.hpp,.docm,.docx,.flac,.iif,.ipe,.ipg,.kdc,.key,.lua,.m4v,.max,.xls,.yuv,.back,.mdb,.mdf,.mef,.mov,.mp3,.mp4,.mpg,.mrw,.x3f,.xlk,.xlr,.msg,.nef,.nk2,.nrw,.oab,.obi,.odb,.odc,.wmv,.wpd,.wps,.odm,.odp,.ods,.odt,.orf,.ost,.p12,.p7b,.vob,.wav,.wb2,.p7c,.pab,.pas,.pct,.pdb,.pdd,.pdf,.per,.sr2,.srf,.str,.ar,.bz2,.rz,.s7z,.apk,.zipx,.pem,.pfx,.pps,.ppt,.prf,.psd,.pst,.ptx,.rw2,.rwl,.sql,.3gp,.qba,.qbb,.qbm,.qbr,.qbw,.qbx,.qby,.r3d,.raf,.raw,.rtf,.AVI,.indd,.java,.jpeg,.pptm,.pptx,.xlsb,.xlsm,.jpg,.png,.ico,.JPG,.MP4,.MP4,.FLV,.MKV,

در طول فرآیند رمزنگاری، باج افزار همچنان امکان اتصال به اینترنت را چک می‌کند و درصورتی که بتواند به سایت گوگل وصل شود، به کارگزار کنترل و فرمان متصل شده و مقدار مربوط به تعداد فایل‌های رمز شده را به‌روزرسانی می‌کند.

پس از پایان یافتن فرآیند رمزنگاری، باج افزار فایلی با نام Hacked_Read_me_to_decrypt_files.Html ایجاد کرده، در آن پیغام مربوط به باج‌خواهی خود را گذاشته و آن را در دسکتاپ ویندوز و پوشه آغازین کاربر قرار می‌دهد تا هرگاه که کاربر وارد سیستم خود شد، آن را مشاهده کند. این پیغام در شکل 5 نشان داده شده است.

 

شکل 5

در این فایل نحوه اتصال به سایت پرداخت توضیح داده شده است. پس از پایان یافتن تمامی این مراحل، باج افزار اقدام به حذف خود نموده و تنها پیام خود را روی سیستم قربانی به جای می‌گذارد
 

[1] Desktop

]]>
2016/7/17
<![CDATA[ipmi (Intelligent Platform Management Interface)]]>

ipmi (Intelligent Platform Management Interface)

]]>
ipmi (Intelligent Platform Management Interface) مجموعه­ای از ویژگی­ها است که امکانات مدیریتی و پایش اجزای سخت­افزاری سیستم (مانند CPU، firmware و ...) و سیستم­عامل را به طور جداگانه و مستقل فراهم می­کند. این پروتکل بر اساس UDP است و از پورت شماره 623 استفاده می­کند.

این ویژگی­ها توسط شرکت اینتل فراهم شده است. در حال حاضر ipmi دارای دو نسخه 1.5 و 2.0 می­باشد.  ipmi مجموعه­ای از واسط­های کاربری را در اختیار مدیر شبکه قرار می­دهد که با استفاده از آن­ها می­توان سیستم را مدیریت و عملکرد آن را پایش کرد. ipmi در واقع یک واسط کاربری می­باشد که مدیر شبکه از طریق آن می­تواند با BMC (Baseboard Management Controller) موجود بر روی سرور ارتباط برقرار کند. ارزش این کار زمانی مشخص می­شود که سیستم­عامل دچار اشکال شده و دسترسی به آن غیرممکن باشد. قبل از استقرار یک سرور، از طریق تنظیمات مربوط به BIOS ، یک آدرس IP به BMC اختصاص می­یابد و به محض خرابی سیستم، مدیر شبکه می­تواند به راحتی از طریق این آدرس IP با سیستم معیوب ارتباط برقرار کند. تمام ارتباطات برای بازگرداندن سیستم به وضعیت عادی از طریق پروتکل ipmi انجام می­شود. به عنوان مثال ipmi راهی برای مدیریت سیستمی که خاموش شده است و یا به اتصالات شبکه پاسخی نمی­دهد (از نظر سخت‌افزاری)، در اختیار می­گذارد. ipmi بدون توجه به سیستم­عامل و دیگر نرم­افزارها با سخت­افزارهای سرور ارتباط برقرار می­کند. مدیر شبکه با استفاده از ipmi می­تواند از یک مکان چندین سرور را توسط رابط کاربری مناسب مدیریت کند. رخدادهای مهم سیستم برای هر سرور می­توانند گزارش­گیری شوند و تنظیمات برای هر ورودی و یا خروجی سیستم می­تواند پایش و یا تغییر داده شود. همچنین می­توان از طریق ipmi سرورها را از راه دور روشن، خاموش و یا مجدداً راه­اندازی کرد.

 

آسیب­پذیری­های متداول ipmi

در ادامه آسیب­پذیری­های متداولی که در ارتباط با ipmi مطرح می­باشند، توضیح داده شده‌اند:

  • دور زدن مکانیزم احراز اصالت ipmi از طریق حالت cipher 0 : این آسیب­پذیری در ipmi نسخه 2.0 وجود دارد و chpher نوع 0 نام­گذاری شده است و حاکی از این موضوع است که کلاینتی که خواهان احراز اصالت به صورت فاش می­باشد، منجر به دسترسی با هر رمزعبوری می­شود. به عبارت ساده­تر هنگامی که دسترسی به BMC از طریق cipher 0 انجام می­شود، نیازی به مکانیزم احراز اصالت نمی‌باشد. بر روی بسیاری از BMC ها، cipher 0 به صورت پیش فرض فعال می­باشد. این آسیب­پذیری در تجهیزات HP، Dell و Supermicro BMC و همچنین تمامی پیاده­سازی­های ipmi نسخه 2.0 وجود دارد. برای تشخیص این آسیب­پذیری می­توان از فریم­ورک متاسپلویت به روش زیر استفاده کرد:

$ msfconsole

         =[ metasploit v4.7.0-dev [core:4.7 api:1.0]

+ -- --=[ 1119 exploits - 638 auxiliary - 179 post

+ -- --=[ 309 payloads - 30 encoders - 8 nops

 

msf> use auxiliary/scanner/ipmi/ipmi_cipher_zero

msf auxiliary(ipmi_cipher_zero) > set RHOSTS 10.0.0.0/24

msf auxiliary(ipmi_cipher_zero) > run

[*] Sending IPMI requests to 10.0.0.0->10.0.0.255 (256 hosts)

[+] 10.0.0.99:623 VULNERABLE: Accepted a session open request for cipher zero

[+] 10.0.0.132:623 VULNERABLE: Accepted a session open request for cipher zero

[+] 10.0.0.141:623 VULNERABLE: Accepted a session open request for cipher zero

[+] 10.0.0.153:623 VULNERABLE: Accepted a session open request for cipher zero

 

  • بازیابی مقدار hash مربوط به رمز عبور در حین استفاده از پروتکل RAKP : این آسیب­پذیری نیز در نسخه ipmi 2.0 وجود دارد. در نسخه 2.0 از ipmi عملیات احراز اصالت بدین گونه است که سرور قبل از احراز اصالت کلاینت، یک مقدار hash (SHA1 یا MD5) که salt شده است (salted password has) را متناسب با رمزعبور درخواستی کاربر به کلاینت ارسال می­کند. بنابراین BMC مقدار hash مربوط به هر کاربر معتبری که درخواست داده شود را باز می­گرداند. این مقدار hash را می­توان با استفاده از حمله دیکشنری و یا bruteforce به صورت آفلاین شکست. به دلیل اینکه این آسیب­پذیری مربوط به یک قسمت مهم از ساختار ipmi می­باشد، راه حل ساده­ای برای برطرف کردن آن وجود ندارد (البته به غیر از اینکه تمام BMC ها در یک شبکه جداگانه قرار گیرند). از طریق متاسپلویت و ماژول ipmi_dumphashes موجود در آن می­توان وجود این آسیب­پذیری را بررسی کرد و رمزهای عبور معادل مقادیر hash را به‌دست آورد:

$ msfconsole

 

         =[ metasploit v4.7.0-dev [core:4.7 api:1.0]

+ -- --=[ 1119 exploits - 638 auxiliary - 179 post

+ -- --=[ 309 payloads - 30 encoders - 8 nops

 

msf> use auxiliary/scanner/ipmi/ipmi_dumphashes

msf auxiliary(ipmi_dumphashes) > set RHOSTS 10.0.0.0/24

msf auxiliary(ipmi_dumphashes) > set THREADS 256

msf auxiliary(ipmi_dumphashes) > run

 

 [+] 10.0.0.59 root:266ead5921000000....000000000000000000000000000000001404726f6f74:eaf2bd6a5 3ee18e3b2dfa36cc368ef3a4af18e8b

[+] 10.0.0.59 Hash for user 'root' matches password 'calvin'

[+] 10.0.0.59 :408ee18714000000d9cc....000000000000000000000000000000001400:93503c1b7af26abee 34904f54f26e64d580c050e

[+] 10.0.0.59 Hash for user '' matches password 'admin'

 

در مثال بالا، ماژول مورد استفاده توانسته است دو اکانت مربوط به کاربران معتبر را یافته و مقادیر hash مربوط به آن­ها و همچنین مقدار کرک شده آن را به‌دست آورد. کرک این رمزهای عبور ابتدا از طریق دیتابیس داخلی متاسپلوت انجام می­شود و در صورت موفق نشدن در این مرحله، متاسپلویت از یک برنامه و یا دیتابیس خارجی برای کرک مقادیر hash استفاده می­کند.

 

  • احراز اصالت ipmi به صورت ناشناس : علاوه بر مشکلات مربوط به عملیات احراز اصالت که در بالا به آن­ها اشاره شد، در بسیاری از BMC ها احراز اصالت به صورت ناشناس به طور پیش­فرض فعال می‌باشد. این کار بدین صورت انجام می­شود که برای اولین اکانت مربوط به کاربر، مقادیر نام کاربری و رمزعبور خالی گذاشته شود. برای شناساسی این اکانت­ها می­توان از ابزار ipmtool و به روش زیر استفاده کرد:

$ ipmitool -I lanplus -H 10.0.0.97 -U '' -P '' user list

ID  Name        Callin  Link Auth    IPMI Msg  Channel Priv Limit

1                    false  false      true      ADMINISTRATOR

2  root            false  false      true      ADMINISTRATOR

3  admin            true    true      true      ADMINISTRATOR

 

$ ipmitool -I lanplus -H 10.0.0.97 -U '' -P '' user set password 2 password

 

  • آسیب­پذیری UPnP موجود در Supermicro IPMI : Supermicro شامل یک UPnP SSDP listener می­باشد که از UDP استفاده می­کند و بر روی پورت 1900 اجرا می­شود. UPnP (Universal Plug and Play) مجموعه­ای از پروتکل­های شبکه می­باشد که به تجهیزات موجود در شبکه مانند سیستم‌های شخصی، پرینترها، تجهیزات gateway، اکسس­پوینت­ها و تلفن­های همراه اجازه می­دهد که بتوانند از حضور یکدیگر در شبکه مطلع شوند و ارتباطی برای به اشتراک گذاشتن اطلاعات با یکدیگر ایجاد کنند. آسیب­پذیری موجود در ارتباط با UPnP این امکان را در اختیار حمله­کننده قرار می­دهد که بتواند با انجام آن دسترسی با سطح مدیر شبکه به BMC پیدا کند. اگر حمله­کننده بتواند از طریق شبکه و یا به طور مستقیم از طریق سیستم مورد نظر به آن دسترسی با سطح مدیر شبکه پیدا کند، می­تواند firmware موجود بر روی supermicro را با یک نسخه آسیب­پذیر تعویض کند.

 

  • رمزهای عبور فاش مربوط به Supermicro IPMI : بر اساس ویژگی­های ipmi 2.0، BMC به روش­های احراز اصالتی که بر اساس استفاده از مقادیر hash (SHA1 و MD5) می­باشند، پاسخ می­دهد. این پردازش احراز اصالت دارای ضعف­های جدی می­باشد ولی همچنان برای محاسبه مقدار hash نیاز به دسترسی به رمزهای عبور فاش می­باشد. این بدان معنی است که BMC باید یک نسخه از تمام رمزهای عبور کاربران را به صورت فاش در یک محل ذخیره­سازی دائمی ذخیره کند. در مورد supermicro این محل ذخیره­سازی در نسخه­های مختلف متفاوت است و یکی از دو محل /nv/PSBlock یا /nv/PSStore می­باشد. رمزهای عبور در تکه­های باینری مختلف پخش می­شوند ولی یافتن آن­ها به این دلیل که پس از نام کاربری قرار می­گیرند، آسان است. این موضوع برای سازمان­هایی که از رمزهای عبور مشترک بین BMC ها و یا حتی انواع مختلفی از تجهیزات استفاده می­کنند، بسیار جدی و حائز اهمیت می­باشد.

$ cat /nv/PSBlock

  admin                      ADMINpassword^TT                    rootOtherPassword!

 

اقدامات اولیه در مورد امن­سازی ipmi

علاوه بر راه حل­های گفته شده در مورد هر آسیب­پذیری، انجام اقدامات زیر در شروع کار مهم می­باشد:

  • اولین قدم برای امن­سازی سیستم­هایی که ipmi بر روی آن­ها فعال می­باشد، غیر فعال کردن حالت cipher 0 می­باشد.
  • گام بعدی در مورد نحوه برقراری ارتباط فیزیکی با BMC می­باشد. در بسیاری از موارد دسترسی به BMC از طریق پورت RJ45 انجام می­شود و درموارد دیگر به وسیله یک پورت اترنت جداگانه قابل دسترس می­باشد. به هر حال باید از تخصیص یک آدرس IP داخلی به پورت مورد استفاده BMC (و نه آدرس IP خارجی) اطمینان حاصل کرد. با این کار مدیر شبکه مطمئن می­شود که پورت مورد نظر فقط از داخل شبکه قابل دسترس می­باشد و از بیرون شبکه نمی­توان به آن دسترسی پیدا کرد.
]]>
2016/7/10
<![CDATA[آسیب‌پذیری portmapper و نحوه امن‌سازی آن]]>

آسیب‌پذیری portmapper و نحوه امن‌سازی آن

]]>
 

برای بررسی آسیب­ پذیری portmapper باید ابتدا مفهوم RPC (Remote Procedure Call) بیان شود.

 

معرفی RPC

RPC پروتکلی است که توسط آن یک برنامه می­تواند از یک برنامه موجود در یک سیستم دیگر که در شبکه قرار دارد، درخواست سرویس نماید بدون آن‌که نیاز به دانستن جزئیات شبکه داشته باشد. RPC از مدل کلاینت-سرور استفاده می­کند. برنامه­ای که درخواست سرویس می­دهد، کلاینت و برنامه­ای که در طرف دیگر به این درخواست پاسخ می­دهد و سرویس مورد نظر را فراهم می­کند، سرور می­باشد. RPC همانند یک روند فراخوانی معمولی، عملیاتی سنکرون می­باشد بدین معنی که برنامه­ای که درخواست سرویس می­دهد باید تا بازگشت نتیجه از سرور راه دور، به صورت معطل باقی بماند. البته استفاده از پردازنده­هایی که یک فضای آدرس مشابه از حافظه را به اشتراک می­گذارند، موجب می­شود که چندین RPC بتوانند به طور همزمان اجرا شوند.

 

بر اساس مدل OSI، RPC یک پروتکل لایه کاربرد (و نه پروتکل لایه انتقال) می­باشد. البته RPC از ویژگی­های ارتباطی موجود در لایه انتقال نیز استفاده می­کند. با استفاده از RPC می­توان برنامه­های کاربردی که شامل چندین برنامه توزیع­شده در سطح شبکه می­باشند را به آسانی تولید کرد.

 

در سرورهایی که دارای سیستم­عامل­های مبتنی بر Unix می­باشند، برنامه­هایی مانند lock manager، NFS daemons و license manager ها از RPC استفاده می­کنند. همچنین اکسپلویت­های بسیاری برای آن وجود دارد و هر روز هم به تعداد آن­ها افزوده می­شود. اولین گام برای بهره‌برداری و سوء استفاده از یک سرویس آن است که ابتدا تشخیص داده شود که سرویس بر روی سیستم هدف در حال اجرا می­باشد. در این مرحله portmapper و rpcbind و پورت شناخته شده 111 نیز وارد ماجرا می­شوند.

 

Portmapper و rpcbind

portmapper یک برنامه RPC و شماره نسخه آن را به یک شماره پورت خاص در لایه انتقال نگاشت می­کند. portmapper برای ثبت یک RPC از شناسه­هایی مانند شماره سرویس RPC، شماره نسخه، پروتکل مورد استفاده و پورت TCP یا UDP استفاده می­کند. portmapper امکان نگاشت برنامه­های راه دور را به صورت پویا فراهم می­کند. همچنین portmapper همیشه بر روی پورت 111 پروتکل TCP یا UDP اجرا می­شود. برنامه‌هایی که در مکانیزم RPC به عنوان سرور عمل می­کنند، از پورت­های ناشناخته و موقتی استفاده می­کنند و بنابراین کلاینت­ها برای برقراری ارتباط با این برنامه­ها نیاز به دانستن یک شماره پورت شناخته شده از طرف آن­ها دارند تا بتوانند ارتباط برقرار کنند. بنابراین زمانی که یک کلاینت بخواهد به سرویسی دسترسی داشته باشد، باید ابتدا با portmapper ارتباط برقرار کند و پس از آن portmapper شماره پورت مورد نظر برای دسترسی کلاینت به سرویس مورد درخواست را در اختیارش قرار می­دهد. بنابراین دسترسی به پورت 111 به برنامه­هایی که به عنوان کلاینت عمل می­کنند اجازه می­دهد تا بتوانند پورت­های ناشناخته­ای که توسط سرور تعریف شده است را تشخیص دهند. اگر portmapper وجود نداشته باشد یا در دسترس نباشد، درخواست کلاینت رد می­شود.

 

متاسفانه RPC امنیت بسیار پائینی دارد. ضمناً به این دلیل که سرویس­های مبتنی بر RPC برای برقراری ارتباط نیاز به rpcbind دارند، باید قبل از شروع سرویس­های مورد نظر، ابتدا rpcbind در دسترس باشد.

 

زمانی که یک کلاینت از طریق مکانیزم RPC یک شماره برنامه را فراخوانی می­کند، ابتدا به منظور تشخیص آدرسی که باید درخواست RPC را به آن ارسال کند، به rpcbind متصل می­شود. اگر پورت 111 فعال باشد، لیستی از تمام سرویس­های فعال مهیا بوده و به این ترتیب می­تواند آدرسی که کلاینت باید به آن متصل شود را در اختیارش قرار دهد. البته در بعضی از نسخه­های Unix و Solaris، rpcbind نه تنها به پورت 111 از نوع TCP و UDP گوش می­کند، بلکه به پورت­های UDP بزرگتر از 32770 نیز گوش می­دهد. شماره­های دقیق پورت­ها به ساختار سیستم­عامل و نسخه آن بستگی دارد. بنابراین تجهیزات فیلترینگ و ACL های استفاده شده در روترها و فایروال­ها که برای عدم دسترسی به rpcbind یا portmapper بر روی شماره پورت 111 تنظیم شده­اند، می‌توانند با ارسال یک درخواست UDP به rpcbind و به شماره پورت­های بالاتر از 32770 دور زده شوند. کاربران غیرمجاز با سوء استفاده از این آسیب­پذیری می‌توانند اطلاعات RPC یک سیستم راه دور را به‌دست آورند (حتی در صورتی که پورت 111 مسدود شده باشد).

 

با توجه به اطلاعات RPC که از طریق پورت 111 به‌دست می­آید، می­توان فهمید که چه سرویس­هایی در حال اجرا می­باشند. در این رابطه تعداد زیادی آسیب­پذیری وجود دارد که اکسپلویت­های مرتبط با آن­ها هم قابل دسترسی است. بر روی سیستم­هایی که به طور کامل از آن­ها محافظت نمی­شود و portmapper بر روی آن­ها درحال اجراست، با اجرای یک دستور ساده rpcinfo می­توان لیستی از تمام سرویس­هایی که در حال اجرا می‌باشند را به‌دست آورد.

 

نحوه امن­سازی portmapper

نحوه احراز اصالت در portmapper ضعیف می­باشد و به دلیل اینکه portmapper می­تواند تعداد زیادی از شماره پورت­ها را به سرویس­های تحت کنترلش اختصاص دهد، امن­سازی آن مشکل می­باشد. به هر حال، اگر سرویس RPC در حال اجرا می­باشد می­توان مراحل زیر را انجام داد:

 

امن­سازی portmapper با استفاده از TCP Wrappers

با استفاده از TCP Wrappers می­توان تعیین کرد که کدام شبکه­ها و یا سیستم­ها مجاز به دسترسی به سرویس portmap می­باشند. بنابراین هنگامی که قصد محدود کردن دسترسی به سرویس وجود داشته باشد، باید فقط از آدرس­های IP استفاده کرد و نباید از نام سیستم (hostname) در این حالت استفاده شود، چون نام­ها می­توانند با حملاتی مانند DNS poisoning و یا مشابه آن جعل شوند.

 

امن­سازی portmapper با استفاده از IPTables

برای محدود کردن دسترسی به سرویس portmap به یک شبکه خاص، می‌توان rule های زیر را به iptables اضافه کرد. در این دو rule فقط به درخواست­­های اتصال TCP برای سرویس portmap از طرف شبکه­های 192.168.0.0/24 و localhost اجازه داده شده و بقیه بسته­ها drop می‌شوند:

iptables -A INPUT -p tcp -s! 192.168.0.0/24  --dport 111 -j DROP

iptables -A INPUT -p tcp -s 127.0.0.1  --dport 111 -j ACCEPT

 

برای محدود کردن ترافیک UDP نیز می‌توان از دستور زیر استفاده کرد:

iptables -A INPUT -p udp -s! 192.168.0.0/24  --dport 111 -j DROP

]]>
2016/7/4
<![CDATA[حملات DDoS با سوء‌استفاده از سرویس تحلیل سرور MS-SQL]]>

حملات DDoS با سوء‌استفاده از سرویس تحلیل سرور MS-SQL

]]>
شرح حمله

سرویس تحلیل سرور MS-SQL[1] این امکان را در اختیار کلاینت قرار می­دهد که بتواند از نصب بودن SQL-Server بر روی سرور اطلاع پیدا کرده و جزئیات مربوط به SQL-Server نصب شده را دریافت کند. برای دریافت این اطلاعات، کلاینت یک درخواست یک بایتی به سوی سرور ارسال می­کند و سرور در پاسخ یک پیام با طول متغیر شامل نام، نسخه و اطلاعات مربوط به اتصالات شبکه باز می­گرداند.

 

در واقع کلاینت­ها قبل از برقرای اتصال با SQL Server نیاز به دریافت اطلاعاتی از آن دارند که توسط این سرویس می­توانند به اطلاعات مورد نظر دست پیدا کنند. تمامی نسخه­های SQL Server از نسخه 2000 به بعد دارای این سرویس می­باشند.

 

ویژگی‌های فوق سبب شده است تا این سرویس دارای شرایط لازم جهت اجرای حملات Reflected DDoS بوده و بتواند مورد سوء استفاده قرار گیرد (تولید و ارسال چندین بایت پاسخ به ازای هر بایت پرسش).

 

برای اجرای حمله، فرد حمله‌کننده درخواست تحلیل سرور MS-SQL را برای سرویس‌دهنده MS-SQL ارسال نموده ولی به‌جای قرار دادن آدرس IP خود در فیلد آدرس IP فرستنده، آدرس IP فرد قربانی را قرار می‌دهد. درنتیجه پاسخ تولیدی برای فرد قربانی ارسال خواهد شد. به دلیل اینکه تعداد بایت موجود در پیامی که سرور در پاسخ باز می­گرداند نسبت به تعداد بایت موجود در پرسش ارسال شده از سوی کلاینت قابل توجه است، حمله­کننده می­تواند به ضریب تقویت[2] بالایی دست پیدا کند. بدین صورت با به‌کارگیری یک شبکه بات‌نت می‌توان حجم بسیار زیادی ترافیک به سوی فرد قربانی هدایت نمود. درنتیجه یک سرویس‌دهنده MS-SQL که پیکربندی صحیحی ندارد می‌تواند به‌طور ناخواسته در حمله DDoS مورد سوء‌استفاده قرار گیرد.

 

این روش در اواخر سال 2014 میلادی و در پی حمله DDoS به یکی از شهرهای کشور آمریکا شناسایی شده است. در این حمله متوسط طول پاسخ بازگردانده شده از سمت سرور 440 بایت بوده و با فرض اینکه طول بسته درخواست ارسال شده به سمت سرور یک بایت باشد، بنابراین حمله کننده می‌تواند به ضریب تقویت قابل توجه 440 دست پیدا کند (در صورت در نظر گرفتن تعداد بایت‌های سرایند، ضریب تقویت برابر 22 خواهد بود).

 

روش امن‌سازی

بهترین روش جلوگیری از سوء‌استفاده از این آسیب‌پذیری آن است که ابتدا صاحبان سرویس‌دهنده MS-SQL از نیازمندی قابل دسترس بودن این سرویس از طریق اینترنت اطمینان حاصل نمایند. در بسیاری از موارد، دلیلی برای وجود چنین دسترسی وجود ندارد. اما در صورت نیاز وجود دسترسی به MS-SQL از طریق اینترنت بایستی فضای آدرس مجاز به دسترسی به آن را محدود ساخت.

 

از سوی دیگر، سرویس تحلیل سرور MS-SQL تنها در صورتی نیاز است که چندین instance دیتابیس وجود داشته باشد. در بقیه موارد می‌توان این سرویس را غیرفعال نمود. از نسخه 2008 به بعد، این ویژگی به‌صورت پیش فرض غیرفعال بوده ولی همچنان در نسخه‌های Desktop Engine فعال است.

 

همچنین پروتکل MC-SQLR (Microsoft SQL Server Resolution Protocol) از پورت 1434/UDP استفاده می‌نماید. از این‌رو می‌توان با استفاده از دیواره آتش، ترافیک ورودی و خروجی از این پورت را کنترل نمود و آن را محدود به چندین آدرس نمود.

 

ضمناً می‌توان با افزودن یک لایه امنیتی بیشتر همچون احراز اصالت از طریق SSH یا VPN، جلوی سوء‌استفاده از این آسیب‌پذیری را گرفت.

 

 


[1] MS SQL Server Resolution Service (MC-SQLR)

[2] Amplification factor

 

]]>
2016/7/4
<![CDATA[اقدامات سازمان فناوری اطلاعات در راستای امن‌سازی فعالیت در شبکه‌های اجتماعی ]]>

اقدامات سازمان فناوری اطلاعات در راستای امن‌سازی فعالیت در شبکه‌های اجتماعی

]]>
 

 

سازمان فناوری اطلاعات و مرکز ماهر با همکاری موسسات تحقیقاتی و فناوری برتر کشور در حال انجام اقداماتی جهت افزایش هرچه بیشتر امنیت و حفظ حریم خصوصی شبکه‌های اجتماعی در فضای مجازی و تسهیل ایجاد کسب و کارهای مبتنی بر شبکه‌های اجتماعی در این فضا است. از مهم‌ترین اهداف این اقدامات کمک به رشد و فراگیری روزافزون شبکه‌های اجتماعی بومی و داخلی کشور بوده و اقدامات در دست انجام در این حوزه ضمن امن‌سازی هر چه بیشتر فضای مجازی برای کاربران عادی، قابلیت رقابت شبکه های داخلی را با شبکه‌های اجتماعی خارجی افزایش می‏دهد. در این راستا اقدامات کلان زیر در دست انجام است:

  1. تدوین اسناد مرتبط با نیازمندی‌های امنیتی و حریم خصوصی حاکم بر شبکه‏ های اجتماعی ساخته‏ شده و در حال توسعه توسط سازمان‏ها و اقشار جامعه
  2. ایجاد امکان مشاوره به شبکه‌های اجتماعی بومی جهت حفظ امنیت و حریم خصوصی کاربران در تمامی سطوح
  3. ایجاد راه‏کار جامع رایگان توسعه ‏ی شبکه‏ های اجتماعی بر پایه‏ی فناوری ‏های متن‏ باز جهت تسهیل هر چه بیشتر ایجاد و مدیریت شبکه‌های اجتماعی بومی حتی برای کوچکترین گروه‌های
  4. اجتماعی
  5. اطلاع ‏رسانی همگانی از آسیب‌ها و چالش‌های موجود در این حوزه و پشتیبانی دانشی از متخصصین حوزه با اطلاع‏ رسانی و برگزاری کارگاه ‏های آموزشی و اقدامات ترویجی

 

 

 

 

 

 

مسلما انجام این پروژه در راستای اهداف عالی کشور کمک‏های ارزنده‏ای خواهد نمود:

  • ایجاد زمینه‏ های لازم جهت ایجاد کسب و کارهای چابک مبتنی بر شبکه‏ های اجتماعی در فضای مجازی کشور و در نتیجه کمک در ایجاد اشتغال و بهبود وضعیت اقتصادی
  • امن‌سازی فضای مجازی برای کاربران شبکه‌های اجتماعی داخلی
  • حفظ حریم خصوصی کاربران در محیط مجازی کشور
  • تسهیل ایجاد شبکه ‏های اجتماعی توسط گروه ‏های اجتماعی مختلف بدون دغدغه‏ های فنی و امنیتی و در نتیجه رشد و گسترش آن‏ها در فضای مجازی کشور
  • ایجاد زمینه ‏های لازم برای نشاط اجتماعی و فرهنگی در کشور
  • گسترش فرهنگ ایرانی اسلامی در خارج از مرزهای کشور
  • ایجاد راه‏کارهای مناسب جهت حفظ اقوام، زبان‏ها و فرهنگ ‏ها برای نسل ‏های آینده
  • ایجاد زمینه ‏های لازم جهت تسهیل سیاست‏گذاری‏ های کلان در فضای مجازی ایران

در همین راستا و در جهت اقدامات ترویجی سازمان فناوری اطلاعات به زودی از طریق پورتال مرکز ماهر  مقالاتی به منظور آگاهی‌رسانی و آشنایی کاربران و متولیان شبکه‌های اجتماعی با دغدغه‌های امنیتی و حریم خصوصی و شیوه‌های مقابله و رفع آن‌ها منتشر می‌شود.

]]>
2016/7/3
<![CDATA[آسیب‌پذیری عدم احراز اصالت در MongoDB و نحوه فعال‌سازی آن]]>

آسیب‌پذیری عدم احراز اصالت در MongoDB و نحوه فعال‌سازی آن

]]>
 

مقدمه

 

MongoDB یک دیتابیس متن­باز و رایگان و از نوع دیتابیس­های NoSQL می­باشد. در این­گونه دیتابیس­ها از ساختار سنتی دیتابیس­های معمول که بر اساس جداول می­باشند، استفاده نمی­شود بلکه اطلاعات به شکل اسناد (documents) و به صورت یک زوج از رشته و مقدار (field & value) مانند JSON ذخیره می­شوند. در مثال زیر، یک نمونه از اطلاعات ذخیره شده در دیتابیس MongoDB نشان داده شده است که طبق الگوی field:value مقداردهی شده ­اند:

 

{

name: “sue”,                                          

age: 26,

status: “A”,

groups: [ “news”, “sports” ]

}

 

یکی از آسیب‌پذیری‌های رایج این دیتابیس، پیکربندی نامناسب و درنتیجه دسترسی همگان به آن از طریق شبکه اینترنت است. برای رفع این آسیب‌پذیری باید از دسترسی کاربران و برنامه­های مجاز به تنها آن دسته از اطلاعاتی که مورد نیاز آن­ها می­باشد، اطمینان حاصل کرد.

 

یکی از مهمترین موارد امنیتی که باید درتنظیمات MongoDB لحاظ شود، عملیات احراز اصالت می­باشد. قبل از دسترسی به سیستم، تمامی کلاینت­ها باید توسط MongoDB احراز اصالت شوند. با این کار فقط کاربران مجاز می­توانند به اطلاعات موجود در MongoDB دسترسی داشته باشند.

 

در بسیاری از دیتابیس­های مبتنی بر MongoDB با وجود مکانیزم احراز اصالت، این مورد مهم فعال نمی­باشد. در نتیجه می­توان به راحتی به این دیتابیس متصل شد و اطلاعات مربوط به آن را استخراج کرد.

 

MongoDB از مکانیزم­های احراز اصالت زیر پشتیبانی می­کند:

  • challenge and response mechanism (MONGODB-CR)
  • x509 certificate authentication
  • LDAP proxy authentication
  • Kerberos authentication

البته مکانیزم LDAP فقط هنگامی که MongoDB بر روی سیستم­عامل لینوکس نصب شده باشد، قابل استفاده می­باشد و اگر MongoDB بر روی ویندوز نصب شده باشد، نمی­توان از آن استفاده کرد.

 

در ادامه نحوه فعال کردن مکانیزم احراز اصالت برای MongoDB پس از ساخت یک کاربر به عنوان administrator بیان شده است. در این حالت ابتدا یک کاربر به عنوان administrator ساخته می­شود و پس از آن مکانیزم احراز اصالت فعال می­شود. بعد از این مرحله می­توان با کاربر administrator به MondoDB احراز اصالت شد و کاربران جدید با دسترسی­های مشخص تعریف کرد.

 

این روش زمانی مفید است که ساخت اولین کاربر بر روی MongoDB نیازی به احراز اصالت قبل از reset کردن MongoDB نداشته باشد. روش انجام این کار بدین صورت است:

  1. راه­اندازی MongoDB بدون احراز اصالت

mongod --port 27017 --dbpath /data/db1

 

  1. ساخت کاربر با سطح دسترسی مدیر: در مثال زیر کاربر siteUserAdmin در دیتابیس admin ساخته می­شود:

use admin

db.createUser(

  {

    user: "siteUserAdmin",

    pwd: "password",

    roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]

  }

)

 

  1. شروع مجدد MongoDB ضمن فعال بودن مکانیزم احراز اصالت: در مثال زیر مکانیزم احراز اصالت با استفاده از تنظیمات دستوری authorization فعال شده است:

mongod --auth --config /etc/mongodb/mongodb.conf

 

  1. ساخت حساب­های کاربری دیگر: در این مرحله می­توان با کاربر مدیر وارد و احراز اصالت شد و دیگر کاربران را تعریف کرد.

 

برای وارد شدن به محیط دستوری MongoDB از راه دور، می­توان از دستور زیر استفاده کرد:

$ mongo ip_address_of_mongo_server

 

اگر هنگام وارد شدن به محیط دستوری MongoDB هیچ رمز عبوری درخواست نشد، می­توان نتیجه گرفت که مکانیزم احراز اصالت روی آن فعال نشده است. MongoDB به صورت پیش فرض بر روی پورت 27017 فعال می­باشد و از دیتابیس test استفاده می­کند.

 

]]>
2016/6/29
<![CDATA[ده آسیبپذیری برجسته در برنامه های کاربردی تحت موبایل به گزارش OWASP]]>

ده آسیبپذیری برجسته در برنامه های کاربردی تحت موبایل به گزارش OWASP

]]>
 

پروژه امنیت موبایل OWASP با هدف کمک به گروه‌های امنیتی و به‌منظور حفاظت از برنامه‌های موبایلی، اطلاعاتی را درباره امنیت موبایل یا گوشیهای هوشمند گردآوری و تحلیل می‌نماید. در واقع با دسته‌بندی خطرات امنیتی موبایل و ارائه راه‌کارهای کنترلی سعی می‌شود تا تأثیرات و احتمال سوءاستفاده‌ها کاهش یابد. تمرکز اصلی در این پروژه بر لایه برنامه کاربردی است. با این‌حال در هنگام مدل کردن تهدیدات و ارائه کنترل‌ها به خطرات بستر شبکه‌های انتقال و سیستمعامل موبایل نیز توجه می‌شود. به‌علاوه نه تنها به برنامه‌های کاربردی موبایل در طرف کاربر توجه می‌شود بلکه هم­چنین زیرساخت‌های سمت سرویسدهنده که برنامه‌ها با آن‌ها مرتبط‌اند نیز مورد توجه است.

در سال 2013 میلادی آمارهایی از آسیب‌پذیری‌های جدید برنامه‌های کاربردی موبایل جمع‌آوری شده‌است؛ آنچه که در شکل مشاهده می کنید نتیجه‌ای تحلیل از این اطلاعات است.

 

 

 

 

 

ده آسیبپذیری برجسته در برنامههای کاربردی تحت موبایل

 

جهت دانلود کامل این گزارش به پیوست مراجعه گردد.

]]>
2016/6/29
<![CDATA[حملاتDDoS با سوء‌استفاده از پیکربندی نامناسب TFTP]]>

حملاتDDoS با سوء‌استفاده از پیکربندی نامناسب TFTP

]]>
 

TFTP (Trivial File Transfer Protocol) یک پروتکل ساده برای انتقال فایل­ در درون شبکه می­باشد که این امکان را در اختیار کلاینت قرار می­دهد تا فایل مورد نظرش را به یک سیستم راه دور ارسال و یا از آن دریافت کند. این پروتکل قدیمی بوده و در سال 1981 میلادی در قالب یک استاندارد ارائه شده است. در سال‌های بعد نسخه‌های تکمیلی به استاندارد افزوده شده است. از عمده‌ترین کاربردهای این پروتکل می‌توان به انتقال خودکار فایل‌های مربوط به تنظیمات یک دستگاه و یا فایل‌های مورد نیاز یک دستگاه برای بوت شدن در یک شبکه محلی اشاره کرد.

 

TFTP از پروتکل UDP و شماره پورت 69 برای انتقال فایل استفاده می­کند. این پروتکل از TCP و شماره پورت 8099 نیز گاهی به منظور انتقال اطلاعات مربوط به رابط کاربری استفاده می­کند. هدف طراحی پروتکل TFTP کوچک بودن و سادگی پیاده­سازی آن بوده و بنابراین فاقد بسیاری از ویژگی­هایی است که توسط دیگر پروتکل‌های انتقال فایل قدرتمند ارائه می­گردد. تنها کاری که TFTP انجام می­دهد، خواندن و یا نوشتن فایل­ها از و یا روی سیستم راه دور می­باشد و نمی­تواند فایل­ها و یا دایرکتوری­ها را حذف، تغییر نام و یا لیست کند. همچنین فاقد قابلیت احراز اصالت کاربران می­باشد که بزرگترین نقطه ضعف امنیتی آن محسوب می­شود. TFTP بهترین مصداق "امنیت از طریق گمنام می­باشد و اگر شخصی قصد سوء استفاده از این سرویس را داشته باشد، باید نام فایل مورد نظرش را حتماً بداند. اگرچه این مورد ساده به نظر می­رسد ولی با توجه به عدم امکان ارسال درخواست مبنی بر لیست کردن فایل­ها و یا دایرکتوری­ها در پروتکل TFTP، این گمنامی می­تواند زمان نتیجه گرفتن حمله را به تأخیر بیاندازد. با توجه به امنیت بسیار پایین این پروتکل، توصیه شده است که این پروتکل حداکثر در شبکه‌های محلی به‌کار گرفته شود.

 

یکی دیگر از تهدیدهای پر اهمیت پروتکل TFTP، امکان سوء استفاده از آن برای انجام حملات DDOS می‌باشد. عدم تعیین سایز پیش فرض برای برخی از فیلدهای پرسش و پاسخ پروتکل، Stateless بودن پروتکل و عدم استفاده از روش‌های احراز اصالت از مهمترین دلایل پیدایش این حمله است. برای اجرای حمله، فرد حمله‌کننده ابتدا اقدام به یافتن سرورهای TFTP ای می‌نماید که از طریق شبکه اینترنت قابل دسترسی هستند. پس از آن یک درخواست PRQ TFTP با حداقل سایز ممکن را ارسال نموده که پاسخ آن حداکثر بوده و به‌جای قرار دادن آدرس IP خود در فیلد آدرس IP فرستنده، آدرس IP فرد قربانی را قرار می‌دهد. درنتیجه پاسخ تولیدی برای فرد قربانی ارسال خواهد شد. به دلیل اینکه تعداد بایت موجود در پیامی که سرور در پاسخ باز می­گرداند نسبت به تعداد بایت موجود در پرسش ارسال شده از سوی کلاینت قابل توجه است، حمله­ کننده می­تواند به ضریب تقویت بالایی دست پیدا کند. بدین صورت با به‌کارگیری یک شبکه بات‌نت می‌توان حجم بسیار زیادی ترافیک به سوی فرد قربانی هدایت نمود. درنتیجه یک سرویس‌دهنده TFTP که پیکربندی صحیحی ندارد می‌تواند به‌طور ناخواسته در حمله DDoS مورد سوء‌استفاده قرار گیرد.

 

اگر تمام شرایط مورد نظر به درستی وجود داشته باشد، با استفاده از این حمله، ترافیک خروجی می­تواند به میزان 60 برابر ترافیک اولیه نیز برسد. بررسی­ها نشان می­دهد بسیاری از نرم­افزارهای TFTP به طور خودکار ترافیک خروجی در حدود 6 برابر ترافیک ورودی تولید می­کنند.

 

برای امن­سازی تجهیزات در برابر سوء استفاده از این آسیب‌پذیری، موارد زیر باید اعمال شوند:

  • بایستی در صورت عدم نیاز به TFTP، این سرویس غیرفعال گردد.
  • بایستی در صورت نیاز به TFTP، تنها در شبکه محلی قابل دسترسی باشد. در صورت نیاز به دسترسی به این سرویس از طریق شبکه اینترنت، بایستی ترافیک وارد شده از بیرون شبکه به این سرویس و همچنین ترافیک خروجی از آن از داخل شبکه به بیرون کنترل شوند. این کار با کنترل کردن ترافیک UDP/69 توسط دیواره آتش قابل انجام است.
 
]]>
2016/6/28
<![CDATA[حملات DDoS با سوء‌استفاده از پیکربندی نامناسب mDNS]]>

حملات DDoS با سوء‌استفاده از پیکربندی نامناسب mDNS

]]>
 

mDNS  به منظور تبدیل نام به آدرس IP در شبکه­های کوچک که فاقد یک سرور نام محلی می­باشند، استفاده می­شود (در برخی از چاپگرها، تلفن‌های IP، ذخیره‌گاه‌های NAS و ... پیاده‌سازی شده و دایمون‌های آن برای سیستم عامل ویندوز و لینوکس نیز وجود دارد). ساختار بسته­های mDNS همانند بسته­های DNS می­باشد. mDNS از پروتکل UDP و شماره پورت 5353 و آدرس IP های چندپخشی زیر استفاده می­کند:

IPv4:  224.0.0.251

IPv6:  FF02::FB

 

زمانی که یک کلاینت mDNS نیاز به ترجمه یک نام دارد، یک پیام درخواست به صورت چندپخشی در طول شبکه ارسال می­کند و از سیستمی که دارای این نام می­باشد درخواست می­کند تا خودش را معرفی کند. پس از آن سیستم مورد نظر در پاسخ یک پیام که شامل آدرس IP خودش می­باشد، در طول شبکه به صورت چندپخشی ارسال می­کند. تمام سیستم­های موجود در این زیرشبکه می­توانند از این اطلاعات برای به­روز رسانی mDNS cache مربوط به خودشان استفاده کنند.

 

جهت مطالعه کامل این مستند به پیوست مراجعه نمایید.

]]>
2016/6/25
<![CDATA[پروتکل Chargen]]>

پروتکل Chargen

]]>

معرفي پروتکل Chargen

پروتکل CHARGEN  (Character Generator Protocol) يکي از پروتکل هاي مورد استفاده در شبکه اينترنت است که براي مديريت، اشکال زدايي و تست از راه دور استفاده مي‌شود. سرويس Chargen بدون توجه به ورودي به سادگي داده را ارسال مي‌کند. اين پروتکل به حملات شنود و Reflection آسيب‌پذير مي‌باشد. نقاط ضعف اين پروتکل امکان ساخت و ارسال بسته‌هاي اطلاعاتي مخرب به يک هدف واحد را فراهم مي کند.

آسيب‌پذيري‌هاي متداول Chargen

سرويس Chargen به منظور انجام سنجش و تست در نظر گرفته شده است و مي تواند از هر دو پروتکل‌ TCP و UDP استفاده نمايد. پس از ايجاد يک اتصال TCP ، سرور شروع به ارسال کاراکترهاي دلخواه خود به ميزبان مي‌کند و اين فرايند تا زمان بسته شدن اتصال ادامه مي‌يابد. در حالتي که Chargen از UDP استفاده مي کند، سرور پس از دريافت يک بسته UDP از طرف ميزبان، يک بسته UDP حاوي يک شماره تصادفي (بين 0 تا 512) به آن ارسال مي‌کند. هر گونه اطلاعات دريافت شده توسط سرور دور انداخته مي‌شود. اين سرويس مي‌تواند در حين ارسال داده از يک سرويس به کامپيوتر يا سرويس ديگر شنود شود. اين عمل منجر به يک حلقه بي‌نهايت از ترافيک شبکه و حملات DOS مي‌شود.

اين پروتکل بر روي دستگاه‌هاي کپي برداري چند منظوره و شبيه به آن به طور پيش فرض فعال است و مانند حملات DNS Reflection ، chargen نيز در حملات تشديد مي تواند استفاده شود. زيرا با ارسال يک درخواست کوچک (از يک آدرس IP جعلي) پاسخي بسيار طولاني بازگشت داده مي‌شود. با اين روش قربانيان با ترافيک عظيمي از UDP روي پورت 19 مواجه مي‌شوند.

جهت مطالعه کامل به پیوست مراجعه نمایید.

]]>
2016/6/22
<![CDATA[NetBIOS]]>

NetBIOS

]]>
معرفی NetBIOS

در اصل، NetBIOS یک رابط برنامه‌نویسی (API) است که با سرویس‌های ارائه شده امکان تبادل داده میان برنامه‌های نصب شده بر روی تجهیزات مختلف را درون شبکه LAN مهیا می‌سازد (برنامه‌های مختلف با استفاده از آن به منابع موجود بر روی LAN دسترسی می‌یابند). این برنامه ابتدا برای شبکه اختصاصی IBM نوشته شده و سپس توسط مایکروسافت توسعه داده شده است. NetBIOS به خودی خود قادر به مسیریابی در شبکه نیست و در شبکه‌های محلی مورد استفاده قرار می‌گیرد. در شبکه‌های امروزی، NetBIOS بر روی TCP/IP هم اجرا می‌گردد و سه سرویس مجزای نام (NS)، توزیع دیتاگرام (DGM) و نشست (SSN) را به ترتیب از طریق شماره پورت‌های پیش فرض 137، 138 و 139 ارائه می‌نماید (هم UCP و هم UDP). امروزه از پروتکل مستقل دیگری به نام SMB نیز استفاده می‌شود که از پورت‌های TCP با شماره‌های 139 و 445 استفاده می‌نماید.

جهت مطالعه کامل به پیوست مراجعه نمایید.

]]>
2016/6/22
<![CDATA[BadTunnel : آسيب‌پذيري مهمي براي همه کاربران ويندوز]]>

BadTunnel : آسيب‌پذيري مهمي براي همه کاربران ويندوز

]]>
BadTunnel
آسيب‌پذيري مهمي براي همه کاربران ويندوز

 

به تازگي يک آسيب‌پذيري جدي در سيستم‌عامل ويندوز شناسايي شده است. اين آسيب‌پذيري همه نسخه‌هاي ويندوز از 95 تا ويندوز 10 را تحت تأثير قرار مي‌دهد. اين آسيب‌پذيري مي‌تواند پس از باز نمودن يک لينک، گشودن يک فايل Microsoft Office و يا حتي با اتصال درايو USB، شرايط اجراي حمله فرد مياني را براي مهاجم فراهم نمايد.

Yang Yu کاشف اين آسيب‌پذيري (مؤسس آزمايشگاه Tencent’s Xuanwu) که مبلغ 50000 دلار بابت شناسايي اين آسيب‌پذيري دريافت کرده است، در خصوص اين آسيب‌پذيري اظهار نموده که "اين آسيب‌پذيري به احتمال زياد در کل دوران عمر ويندوز داراي بيشترين تأثيرات امنيتي است".

جزييات دقيق اين آسيب‌پذيري هنوز منتشر نشده است ولي اين آسيب‌پذيري مي‌تواند به عنوان روشي براي NetBios-Spoofing   در شبکه به منظور دورزدن تجهيزات NAT و ديواره آتش مورد سوء‌استفاده قرار گيرد. به عبارت ديگر اين رخنه مي‌تواند سيستم قرباني را در معرض سوءاستفاده مهاجميني خارج از شبکه محلي قرار داده و در اين شرايط ديواره آتش عملاً از دور خارج شده است (مگر آنکه پورت 137 UDP بين شبکه و اينترنت بسته شده باشد).

بر اساس گزارش Yang Yu ، اين آسيب‌پذيري ناشي از زنجيره‌اي  از رخدادها در پروتکل‌هاي لايه‌هاي انتقال و کاربرد و نحوه استفاده سيستم عامل از اين پروتکل‌ها و نيز نحوه پياده‌سازي برخي از پروتکل‌ها در فايروال‌ها و سيستم‌هاي NAT مي‌باشد. البته مهاجم بايستي از نحوه سوء استفاده از اين زنجيره‌ اطلاع داشته باشد. در صورت وجود اين دانش، براي نوشتن کد سوء‌استفاده نزديک به 20 دقيقه زمان لازم مي‌باشد. کد سوء استفاده در حقيقت ايجاد ابزاري ساده به منظور بسته‌بندي و ارسال بسته‌هاي UDP است.

به نظر مي‌رسد کمپاني مايکروسافت با رفع آسيب‌پذيري در حلقه پاياني اين زنجيره در (Web Proxy Autodiscovery Protocol) WPAD، اين آسيب‌پذيري را کنترل کرده است.

WPAD راه‌کاري در سيستم‌عامل است که به منظور شناسايي خودکار فايل‌هاي تنظيمات مرورگر وب با استفاده از جستجوي آدرس‌هايي ويژه بر روي شبکه‌ محلي آن کامپيوتر مورد استفاده قرار مي‌گيرد. در اين شرايط، مهاجم در صورتي که بتواند يکي از اين آدرس‌ها را تصرف نمايد و يا آدرس جستجو شده را تغيير دهد، امکان دسترسي به فايل‌هاي تنظيمات را خواهد داشت. بنابراين مهاجم مي‌تواند مرورگر قرباني را در جهت ارسال ترافيک به يک مقصد مياني (در قالب حمله فرد مياني) هدايت نمايد. تا پيش از کشف آسيب‌پذيري BadTunnel، به منظور انجام چنين حمله‌اي، مهاجم مي‌بايست به شبکه قرباني دسترسي مي‌يافت و يا با تکيه بر آسيب‌پذيري domain name collisions در WPAD به دنبال چنين هدفي گام بر مي‌داشت که ترفند دشواري بود.

شرکت microsoft يک وصله به روزرساني (MS16-077) به منظور رفع اين آسيب‌پذيري منتشر کرده است. نسخه‌هايي از ويندوز که ديگر پشتيباني نمي‌شوند (مانند ويندوز XP) بايستي NetBios را در TCP/IP غيرفعال نمايند. به منظور رفع اين آسيب‌پذيري، پيشنهاد مي‌گردد کاربران ويندوز وصله به‌روزرساني را نصب و يا پورت 137 udp را مسدود نمايند. به منظور دانلود وصله مي‌توان به آدرس زير مراجعه کرد:


https://technet.microsoft.com/en-us/library/security/ms16-077.aspx

 

 

]]>
2016/6/21
<![CDATA[کارگاه تخصصی یکروزه ارتقای دانش امنیت متولیان فاوای کلیه دستگاه های اجرایی و حاکمیتی استان خراسان شمالی]]>

کارگاه تخصصی یکروزه ارتقای دانش امنیت متولیان فاوای کلیه دستگاه های اجرایی و حاکمیتی استان خراسان شمالی

]]>
کارگاه تخصصی یکروزه ارتقای دانش امنیت متولیان فاوای کلیه دستگاه های اجرایی و حاکمیتی استان خراسان شمالی

 

 کارگاه تخصصی یکروزه ارتقای دانش امنیت متولیان فاوای کلیه دستگاه های اجرایی و حاکمیتی استان خراسان شمالی با شرکت بیش از 150 نفر در روز سه شنبه مورخ 11/03/95، با همکاری مرکز ماهر  سازمان فناوری اطلاعات ایران و اداره کل فناوری اطلاعات استان خراسان شمالی توسط مرکز اپا دانشگاه فردوسی در محل دانشگاه بجنورد در قالب عناوین ذیل برگزار گردید:


•    تهدیدات امنیتی و آزمون نفوذپذیری شبکه های سازمانی
•    پیکربندی امن تجهیزات و زیرساخت با رویکرد دفاع در عمق
•    معماری و طراحي ایمن شبکه ها و زیرساخت سازمانی
•    جرم یابي و پاسخگویي به حوادث امنیتی در شبکه هاي سازمانی

 

 

]]>
2016/6/20
<![CDATA[جدول آخرين به روزرساني ها و آسيب پذيري هاي نرم افزارهاي پركاربرد در كشور]]>

جدول آخرين به روزرساني ها و آسيب پذيري هاي نرم افزارهاي پركاربرد در كشور

]]>
جدول آخرين به روزرساني ها و آسيب پذيري هاي نرم افزارهاي پركاربرد در كشور

 

 

 دانلود فایل پیوست

]]>
2016/6/18
<![CDATA[نسخه جدید ابزار اسكريپت امن‌سازي سيستم‌عامل CentOS]]>

نسخه جدید ابزار اسكريپت امن‌سازي سيستم‌عامل CentOS

]]>
نسخه جدید ابزار اسكريپت امن‌سازي سيستم‌عامل CentOS

 

اسكريپت امن‌سازي سيستم‌عاملCentOS-7

اسكريپت تهيه شده با هدف امن‌سازي ماشين سرويس‌دهنده CentOS نسخه هفتي است كه تازه نصب شده و هنوز هيچ برنامه كاربردي بر روي آن نصب نشده است. اين اسكريپت بر اساس دو مستند امن‌سازي سيستم عامل (بخش اول و بخش دوم) تهيه شده است. توسط اين اسكريپت، كليه‌ي پارامترهاي امن‌سازي سيستم‌عامل CentOS نسخه‌ي 7 اشاره شده در دو مستند فوق به‌صورت خودكار اعمال مي‌گردند. تغييراتي كه پس از اجراي اسكريپت در سيستم اعمال مي‌گردند عبارتند از:
1.    به‌روزرساني مخزن بسته‌ها و بسته‌هاي نصب شده‌ي سيستم
2.    امن‌سازي هسته‌ي لينوكس و مقاوم‌سازي در برابر حملات شبكه‌اي
3.    اضافه كردن پارامترهاي امنيتي به پارتيشن‌هاي سيستم
4.    امن‌سازي تنظيمات SSH
5.    اعمال قوانين ديواره‌ي آتش بر روي سيستم
6.    ايجاد يك كاربر با نام admin و توليد رمزعبور پيچيده براي آن
7.    تنظيم سياست‌هاي رمزعبور كاربران سيستم
8.    تنظيم مجوزهاي دسترسي در پوشه‌هايي كه اجازه‌ي نوشتن دارند
9.    نصب و پيكربندي پيش‌فرض سيستم تشخيص نفوذ AIDE
10.    فعال‌سازي و پيكربندي SELinux
11.    حذف و غيرفعال‌سازي سرويس‌هاي غيرضروري
12.    نصب ابزار كشف rootkit در سيستم
13.    فعال‌سازي Syslog و ارسال رويدادها به سيسلاگ مركزي
14.    مميزي و ثبت كامل رويدادهاي سيستم از جمله:
a.    رويدادهاي فعال‌سازي/غيرفعال‌سازي ماژول‌هاي هسته
b.    رويدادهاي فعاليت‌هاي مدير سيستم و دستورات وارد شده توسط آن
c.    رويدادهاي حذف فايل‌ها 
d.    رويدادهاي دسترسي غيرمجاز به فايل‌ها
e.    رويدادهاي Mount/Unmount شدن منابع جديد به سيستم
f.    رويدادهاي ورود و خروج‌هاي موفق يا ناموفق كاربران به سيستم
g.    رويدادهاي نشست‌هاي ايجاد شده و پايان يافته سيستم
h.    رويدادهاي تغييرات شبكه‌اي سيستم

توصيه مي‌شود كه بلافاصله پس از نصب سيستم‌عامل، ابتدا توسط اسكريپت فوق، عمليات امن‌سازي اعمال شده و سپس سرويس‌ها و برنامه‌هاي كاربردي مورد نظر نصب گردند. 

براي اجراي امن‌سازي، بايستي ابتدا فايل centos7-hardening.bin را بر روي سيستم عامل CentOS-7 كپي و توسط دستور chmod a+x centos7-hardening.bin آن را اجرايي نمود. 

سپس بايستي از برقراري ارتباط ماشين با اينترنت جهت به‌روزرساني و دانلود بسته‌هاي امنيتي مطمئن شد. درصورت عدم برقراري ارتباط با اينترنت، پروسه امن‌سازي متوقف مي‌گردد. 

در حين امن‌سازي، سوال‌هايي از راهبر سيستم پرسيده شده و بنا به انتخاب‌ها و پاسخ‌هاي وي، ماشين پيكربندي مي‌گردد. 


پس از اتمام عمليات امن‌سازي، سه فايل در مسير /var/log/apa/ ايجاد مي‌گردد (نامگذاري شده بر اساس تاريخ و زمان اجراي اسكريپت) كه حاوي اطلاعاتي همچون رويدادهاي انجام شده، نام كاربري و كلمه عبور تصادفي ايجاد شده، درگاه انتخاب شده براي SSH و ... است. فايلي نيز حاوي قوانين iptables ايجاد شده كه پورت‌هاي باز شده را نشان مي‌دهد. 

توجه مهم: پس از بازنشاني، تنها مي‌توان از طريق پورت جديد SSH تعريف شده به ماشين متصل شد (بديهي است كه پيكربندي صحيح ساير ديواره‌هاي آتش موجود در شبكه و باز نمودن پورت جديد در آن‌ها براي برقراري ارتباط الزامي است).

توجه: پس از يك مرتبه اجراي اسكريپت و بازنشاني، به محتويات پارتيشن /tmp اجازه اجرا داده نخواهد شد. از اين‌رو بايستي راهبر سيستم از اين پس جهت ذخيره‌سازي موقت و اجراي برنامه‌هاي خود از پارتيشن ديگري استفاده نمايد. 

 

 جهت استفاده از ابزار امن‌سازي سيستم‌عامل Centos  به پيوست مراجعه نماييد.

 

دانلود ابزار 

]]>
2016/6/15
<![CDATA[باج افزار ZCrypt]]>

باج افزار ZCrypt

]]>
 

با توجه به نتایج بررسی آزمایشگاه امنیتی سوفوس، باج­ افزار جدیدی در سطح اینترنت منتشر شده است که علاوه بر ویژگی­ های معمول باج­ افزار، می­تواند همانند یک ویروس عمل کرده و خود را بدون دخالت کاربر در سطح شبکه منتشر کند.

تروجان­ ها، برنامه ­هایی هستند که در ظاهر مجاز و کاربردی بوده ولی در باطن کاملاً مخرب می‌­باشند. تروجان­ ها برای انتشار نیاز به تعامل با کاربر دارند و از طریق روش­ هایی مانند ایمیل و یا صفحات وب آلوده منتشر می­شوند و نمی­توانند مانند ویروس ها توسط خودشان منتشر شوند.

ویروس­ ها به گونه ­ای برنامه ­نویسی می­ شوند که بتوانند توسط خودشان از طریق روش ­هایی مانند کپی کردن در دیگر فایل­ها و یا دایرکتوری­های سیستم و یا تحت شبکه و یا کپی کردن در تجهیزات ذخیره­ سازی اطلاعات منتشر شوند.

به تازگی نوع جدیدی از باج ­افزارها منتشر شده­ است که خاصیت انتشار بدون واسطه خود را از ویروس­ ها به ارث برده است (بیشتر باج­افزارها برای هر سیستم قربانی یک کلید رمزنگاری منحصر به فرد تولید می­کنند. بنابراین اگر در یک سازمان چندین سیستم آلوده شدند، باید برای هرکدام از آن­ها کلیدهای جداگانه خریداری شود).

آزمایشگاه امنیتی سوفوس، گونه جدید باج­افزار منتشر شده را Troj/Agent-ARXC و Troj/Mdrop-HGD نامگذاری کرده است. البته با توجه به نتایج به‌دست آمده، این باج­افزار هنوز به گونه مؤثری قادر به انتشار خود نمی­باشد. این باج­ افزار در ابتدا با ارسال یک ایمیل حاوی صورتحساب برای فرد قربانی سعی در فریب وی دارد.

با باز کردن ایمیل و دانلود فایل مربوطه و اجرای فایل invoice-order.exe ، باج­ افزار شروع به رمزکردن فایل‌های مورد نظر خود می­کند و پس از آن پیغام زیر را نشان می­دهد.

با توجه بررسی روند فعالیت این باج ­افزار مشخص شده است که پس از این مرحله باج ­افزار خودش را در پوشه شبکه که به اشتراک گذاشته شده و همچنین در حافظه­ های جانبی متصل به سیستم کپی می­کند. باج­افزار این عمل را با کپی کردن فایل zcrypt.lnk به همراه autorun.inf در مقصد مورد نظر انجام می­دهد. بنابراین با اتصال حافظه جانبی آلوده به سیستم و یا مشاهده پوشه شبکه، باج ­افزار می­تواند در سیستم جدید نیز منتشر شود.

البته با توجه به اینکه Autorun به صورت پیش­فرض در سیستم ­های ویندوزی غیرفعال  می باشد، خطر آلوده شدن مجدد یک سیستم دیگر از این طریق کم می­باشد.

همچنین این باج ­افزار خودش را در پوشه AppData\Roaming نیز کپی می­کند و درنتیجه به طور خودکار در سیستم ­هایی که در همان شبکه قرار دارند گسترش پیدا می­کنند.

 

]]>
2016/6/7
<![CDATA[اطلاعیه مرکز ماهر به 2500 سازمان و شرکت متصل به سامانه تعاملی امن]]>

اطلاعیه مرکز ماهر به 2500 سازمان و شرکت متصل به سامانه تعاملی امن

]]>
بسمه تعالی

با توجه به حملات چند روز اخیر به بعضی از وب سایت های عمومی که بیشترآنها از نسخه های بروز نشده و آسیب پذیر سامانه های مدیریت محتوا استفاده نموده اند، اعمال بعضی از رویه های اولیه و پایه ی امنیتی می توانست از حوادث رخ داده جلوگیری نماید.  مرکز ماهر به عنوان یک نهاد تخصصی و مرجع در کشور، به دور از اطلاع رسانی های شتابزده، ضمن تماس با مراکز و سایت های موردحمله واقع شده و اعلام آمادگی برای ارائه مشورت های فنی، هماهنگی های لازم را در سطح ملی و حوزه بین المللی بخصوص مراکز CERT کشورهای عربی که محتمل است منابع آنها مورد سوء استفاده هکرها واقع شده باشد، بعمل آورده و کماکان در حال پیگیری موضوع در ابعاد مختلف است. از این رو با توجه به تحلیل ها و جمع بندی های صورت گرفته اعلام می دارد:


1-    کلیه سازمان ها و شرکت های متصل به سامانه تعاملی امن مرکز ماهر جهت دریافت بسته اجرایی فوری برای امن سازی پایه که براساس تجربیات و تحلیل های حملات صورت گرفته، تهیه شده است، به سامانه تعاملی مراجعه نمایند.
2-    در این زمینه کلیه مراکز و سازمان ها که علی رغم اطلاع رسانی های قبلی، هنوز به سامانه تعاملی متصل نشده اند، اعلان می گردد هرچه سریعتر نسبت به عضویت اقدام نمایند.
3-    به زودی گزارشی از نحوه ی همکاری دستگاه ها با مرکز ماهر درزمینه استفاده از راهنمایی ها و هشدارهای ارائه شده و میزان تعامل آنها در هنگام حوادث و رخدادهای امنیتی، به نهادهای مرجع ارائه خواهد شد.

 

]]>
2016/6/6
<![CDATA[آشنایی به قوانین مرتبط با شبکه‌های اجتماعی (2)]]>

آشنایی به قوانین مرتبط با شبکه‌های اجتماعی (2)

]]>
در آگاهی‌رسان قبل به تاریخچه مبارزه با جرائم فضای مجازی پرداخته شد و به طور خاص قوانینی که در ارتباط با حریم خصوصی در شبکه‌های اجتماعی هستند بیان گردید. در این آگاهی‌رسان به دلیل اهمیت محتوای منتشرشده در فضای مجازی و تأثیر بسیار زیاد اجتماعی، فرهنگی و سیاسی آن‌ها، به بیان قوانین مرتبط با مصادیق محتوای مجرمانه پرداخته می‌شود. باید توجه شود که برخی از مصادیق مستقیما در قانون جرائم رایانه‌ای نبوده و به‌طور غیرمستقیم از قوانین دیگر مرتبط با محتوای مجرمانه برداشت‌شده است. آشنایی کاربران شبکه‌های اجتماعی با این قوانین باعث شناسایی محتوا‌های مجرمانه در شبکه‌های اجتماعی توسط آن‌ها و جلوگیری از انتشار و به‌اشتراک‌گذاری این محتواها خواهد شد.

 

 

الف) محتوا علیه عفت و اخلاق عمومی

  • انتشار، توزیع و معامله محتوای مبتذل و مستهجن خلاف عفت عمومی (ماده ۱۴ قانون جرائم رایانه‌ای و بند ۲ ماده ۶ قانون مطبوعات)
  • تحریک، تشویق، ترغیب، تهدید یا دعوت به فساد و فحشاء و ارتکاب جرائم منافی عفت یا انحرافات جنسی (بند ب ماده ۱۵ قانون جرائم رایانه‌ای و ماده ۶۳۹  قانون مجازات اسلامی)
  • اشاعه فحشاء و منکرات (بند۲ ماده۶ قانون مطبوعات)
  • تحریک، تشویق، ترغیب، تهدید یا تطمیع افراد به دستیابی به محتویات مستهجن و مبتذل (ماده ۱۵ قانون جرائم رایانه‌ای)
  • استفاده ابزاری از افراد (اعم از زن و مرد) در تصاویر و محتوا، تحقیر و توهین به جنس زن، تبلیغ تشریفات و تجملات نامشروع و غیرقانونی (بند ۱۰ ماده۶ قانون مطبوعات)
  • استفاده ابزاری از افراد (اعم از زن و مرد) در تصاویر و محتوا، تحقیر و توهین به جنس زن، تبلیغ تشریفات و تجملات نامشروع و غیرقانونی (بند ۱۰ ماده۶ قانون مطبوعات)

ب) محتوا علیه امنیت و آسایش عمومی

  • تشکیل جمعیت، دسته، گروه در فضای مجازی با هدف برهم‌زدن امنیت کشور (ماده ۴۹۸ قانون مجازات اسلامی)
  • هرگونه تهدید به بمب‌گذاری (ماده ۵۱۱  قانون مجازات اسلامی)
  • تحریک یا اغوای مردم به جنگ و کشتار یکدیگر (ماده ۵۱۲  قانون مجازات اسلامی)
  • تبلیغ علیه نظام جمهوری اسلامی ایران  (ماده ۵۰۰  قانون مجازات اسلامی)
  • تبلیغ به نفع گروه‌ها و سازمان‌های مخالف نظام جمهوری اسلامی ایران (ماده ۵۰۰ قانون مجازات اسلامی)
  • تحریک نیروهای رزمنده یا اشخاصی که به نحوی از انحا در خدمت نیروهای مسلح هستند به عصیان، فرار، تسلیم یا عدم اجرای وظایف نظامی (ماده ۵۰۴  قانون مجازات اسلامی)
  • فاش نمودن و انتشار غیرمجاز اسرار نیروهای مسلح (بند ۶ ماده ۶ قانون مطبوعات)
  • تحریک و تشویق افراد و گروه‌ها به ارتکاب اعمالی علیه امنیت، حیثیت و منافع جمهوری اسلامی ایران در داخل یا خارج از کشور (بند ۵ ماده ۶ قانون مطبوعات)
  • فاش‌نمودن و انتشار غیرمجاز اسناد و دستورها و مسائل محرمانه و سری دولتی و عمومی (بند ۶ ماده ۶ قانون مطبوعات و مواد ۲ و ۳ ‌قانون مجازات انتشار و افشای اسناد محرمانه و سری دولتی و ماده ۳ قانون جرائم رایانه‌ای)
  • محتوایی که به اساس جمهوری اسلامی ایران لطمه وارد کند (بند ۱ ماده ۶ قانون مطبوعات)
  • انتشار محتوا علیه اصول قانون اساسی (بند ۱۲ ماده ۶ قانون مطبوعات)
  • اخلال در وحدت ملی و ایجاد اختلاف مابین اقشار جامعه به‌ویژه از طریق طرح مسائل نژادی و قومی (بند ۴ ماده ۶ قانون مطبوعات)
  • فاش‌نمودن و انتشار غیرمجاز نقشه و استحکامات نظامی (بند ۶ ماده ۶ قانون مطبوعات)
  • انتشار غیرمجاز مذاکرات غیرعلنی مجلس شورای اسلامی (بند ۶ ماده ۶ قانون مطبوعات)
  • انتشار بدون مجوز مذاکرات محاکم غیرعلنی دادگستری و تحقیقات مراجع قضایی (بند ۶ ماده ۶ قانون مطبوعات)
  • انتشار محتوایی که از سوی شورای عالی امنیت ملی منع شده باشد

پ) محتوا علیه مقدسات اسلامی

  • اهانت به دین مبین اسلام و مقدسات آن با محتوای الحادی و مخالف موازین اسلامی (بند 1 و ۷ ماده ۶ قانون مطبوعات و ماده ۵۱۳ قانون مجازات اسلامی)
  • اهانت به هر یک از شخصیت‌های مقدس اسلامی و شریعت (ماده ۵۱۳  قانون مجازات اسلامی)
  • تبلیغ به نفع حزب، گروه یا فرقه منحرف و مخالف اسلام (بند ۹ ماده ۶ قانون مطبوعات)
  • نقل مطالب از نشریات و رسانه‌ها و احزاب و گروه‌های داخلی و خارجی منحرف و مخالف اسلام به‌ نحوی‌که تبلیغ آن‌ها باشد (بند ۹ ماده ۶ قانون مطبوعات)
  • اهانت به امام خمینی (ره) و تحریف آثار ایشان (ماده ۵۱۴  قانون مجازات اسلامی)

ت) محتوا علیه مقامات و نهادهای دولتی و عمومی

  • اهانت به مقام معظم رهبری و سایر مراجع مسلم تقلید (بند ۷ ماده ۶ قانون مطبوعات)
  • نشر اکاذیب و تشویش اذهان عمومی علیه مقامات، نهادها و سازمان‌های حکومتی (بند ۱۱ ماده۶ قانون مطبوعات و ۶۹۸  قانون مجازات اسلامی)
  • اهانت و هجو نسبت به مقامات، نهادها و سازمان‌های حکومتی و عمومی (بند ۸ ماده ۶ قانون مطبوعات و مواد ۶۰۹ و ۷۰۰  قانون مجازات اسلامی)
  • افترا به مقامات، نهادها و سازمان‌های حکومتی و عمومی (بند ۸ ماده ۶ قانون مطبوعات و ۶۹۷  قانون مجازات اسلامی)
  • جعل پایگاه‌های اینترنتی بانک‌ها، سازمان‌ها و نهادهای دولتی و عمومی (مواد ۶ و ۷ قانون جرائم رایانه‌ای مصوب سال ۱۳۸۸) 

ث) محتوای مرتبط با جرائم رایانه‌ای

  • آموزش و تسهیل جرائم رایانه‌ای (ماده ۲۱ قانون جرائم رایانه‌ای)
  • فروش، انتشار یا در دسترس قرار دادن غیرمجاز گذرواژه‌ها و داده‌هایی که امکان دسترسی غیرمجاز به داده‌ها یا سامانه‌های رایانه‌ای یا مخابراتی دولتی یا عمومی را فراهم می‌کند (ماده ۲۵ قانون جرائم رایانه‌ای)
  • انتشار یا در دسترس قرار دادن محتویات آموزش دسترسی غیرمجاز، شنود غیرمجاز، جاسوسی رایانه‌ای، تحریف و اخلال در داده‌ها یا سامانه‌های رایانه‌ای و مخابراتی (ماده ۲۵ قانون جرائم رایانه‌ای)
  • انتشار فیلترشکن‌ها و آموزش روش‌های عبور از سامانه‌های فیلترینگ (بند ج ماده ۲۵ قانون جرائم رایانه‌ای)
  • انتشار یا توزیع و در دسترس قرار دادن یا معامله داده‌ها یا نرم‌افزارهایی که صرفاً برای ارتکاب جرائم رایانه‌ای به کار می‌رود (ماده ۲۵ قانون جرائم رایانه‌ای)
  • ایجاد مراکز قمار در فضای مجازی (مواد ۷۰۵، ۷۰۸ و ۷۱۰ قانون مجازات اسلامی)
  • انجام هرگونه فعالیت تجاری و اقتصادی رایانه‌ای مجرمانه مانند شرکت‌های هرمی، فعالیت‌های غیرمجاز مرتبط با بازار اوراق بهادار (قانون اخلال در نظام اقتصادی کشور و بند الف ماده ۴۹ قانون بازار و اوراق بهادار و سایر قوانین مرتبط)

ج) محتوای تحریک‌کننده، ترغیب‌کننده و یا دعوت‌کننده به اقدامات مجرمانه

  • تشویق تحریک و تسهیل ارتکاب جرائمی که دارای جنبه عمومی هستند از قبیل اخلال در نظم،‌ تخریب اموال عمومی، ارتشا، اختلاس، کلاه‌برداری، قاچاق مواد مخدر، قاچاق مشروبات الکلی و غیره (ماده ۱۲۶  قانون مجازات اسلامی)
  • انتشار محتوای حاوی تحریک، ترغیب، یا دعوت به اعمال خشونت‌آمیز و خودکشی (ماده ۱۵ قانون جرائم رایانه‌ای)
  • تبلیغ و ترویج مصرف مواد مخدر، مواد روان‌گردان و سیگار (ماده ۳ قانون جامع کنترل و مبارزه ملی با دخانیات ۱۳۸۵)
  • تبلیغ و ترویج اسراف و تبذیر (بند ۳ ماده ۶ قانون مطبوعات)
  • فروش، تبلیغ، توزیع و آموزش استفاده از تجهیزات دریافت از ماهواره (ماده ۱ قانون ممنوعیت به‌کارگیری تجهیزات دریافت ماهواره مصوب ۲۵/۱۱/۱۳۷۳)

چ) محتوا مجرمانه مربوط به امور سمعی و بصری و مالکیت معنوی

  • معرفی آثار سمعی و بصری غیرمجاز به‌جای آثار مجاز (ماده ۱ قانون نحوه مجازات اشخاصی که در امور سمعی و بصری فعالیت غیرمجاز دارند)
  • تشویق و ترغیب به نقض حقوق مالکیت معنوی (ماده ۱ قانون حمایت از حقوق پدیدآورندگان نرم‌افزارهای رایانه‌ای و ماده ۷۴ قانون تجارت الکترونیکی)
  • انتشار و سرویس‌دهی بازی‌های رایانه‌ای دارای محتوای مجرمانه یا فاقد مجوز از وزارت فرهنگ و ارشاد اسلامی (بنیاد ملی بازی‌های رایانه‌ای) (مواد مختلف  قانون مجازات اسلامی و قانون جرائم رایانه‌ای)
  • عرضه تجاری آثار سمعی و بصری بدون مجوز وزارت فرهنگ و ارشاد اسلامی (ماده ۲ قانون نحوه مجازات اشخاصی که در امور سمعی و بصری فعالیت غیرمجاز دارند)

 

ح) محتوای مجرمانه مرتبط با انتخابات مجلس شورای اسلامی و ریاست جمهوری

  • انتشار هجو یا هجویه و یا هرگونه محتوای توهین‌آمیز در فضای مجازی علیه انتخابات (ماده ۷۰۰ قانون مجازات اسلامی و بند ۸ ماده ۶۶ قانون انتخابات مجلس شورای اسلامی)
  • درج محتوای تبلیغاتی نامزدهای انتخاباتی خارج از مدت‌زمان مقررشده برای فعالیت انتخاباتی (ماده ۵۶ قانون انتخابات مجلس شورای اسلامی و ماده ۴۵ آیین‌نامه اجرایی آن، مواد ۶۶ و ۶۷ قانون انتخابات ریاست جمهوری)
  • انتشار هرگونه محتوا در جهت تحریک‌، ترغیب‌، تطمیع و یا تهدید افراد به خریدوفروش آراء‌، رأی‌دادن با شناسنامه جعلی و شناسنامه دیگری‌، جعل اوراق تعرفه‌، رأی‌دادن بیش از یک‌بار و سایر روش‌های تقلب در رأی‌گیری و شمارش آراء (ماده ۶۶ قانون انتخابات مجلس شورای اسلامی، ماده ۳۳ قانون انتخابات ریاست جمهوری و ماده ۱۲۶ قانون مجازات اسلامی)
  • انتشار هرگونه محتوا جهت ایجاد رعب و وحشت برای رأی‌دهندگان یا اعضاء شعب (بند ۱۶ ماده ۶۶ قانون انتخابات مجلس شورای اسلامی، بند ۱۶ ماده ۳۳ قانون انتخابات ریاست جمهوری)
  • استفاده ابزاری از تصاویر زنان برای تبلیغات انتخاباتی و یا عدم رعایت شئون اسلامی در انتشار تصاویر مربوط به زنانی که نامزد انتخاباتی می‌باشند (بند ۱۰ ماده ۶ قانون مطبوعات)
  • انتشار هرگونه محتوا به جهت توهین‌، افترا و نشر اکاذیب با هدف تخریب نظام‌، قوای سه‌گانه‌، سازمان‌های حکومتی و نهادهای اجرایی و نظارتی انتخابات به‌منظور بهره‌برداری انتخاباتی (مواد ۵۰۰، ۶۹۸، ۶۰۹ قانون مجازات اسلامی و بند ۸ ماده ۶ قانون مطبوعات و ماده ۱۸ قانون جرائم رایانه‌ای)
  • انتشار هرگونه محتوا و مکاتبات دارای طبقه‌بندی (محرمانه و سری) مرتبط با انتخابات‌ (ماده ۳ قانون مجازات انتشار و افشای اسناد محرمانه و سری دولتی، تبصره ۴ ماده ۸۰ قانون انتخابات ریاست جمهوری و ماده ۳ قانون جرائم رایانه‌ای و بند ۶ ماده ۶ قانون مطبوعات)
  • انتشار اخبار کذب از نتایج بررسی صلاحیت‌ها‌، شمارش آراء‌، ادعاهای بی‌اساس پیرامون تقلب در انتخابات یا مخدوش‌بودن انتخابات بدون دلیل و مدرک (مواد ۶۹۷ و ۶۹۸ قانون مجازات اسلامی و بند ۸ ماده ۶۶ قانون انتخابات مجلس شورای اسلامی)
  • انتشار هرگونه محتوا به منظور ترغیب و تشویق مردم به تحریم و یا کاهش مشارکت در انتخابات، تجمع اعتراض‌آمیز بدون مجوز، اعتصاب، تحصن، ادعای غیرواقع مبنی بر توقف انتخابات و یا هر اقدامی که به نحوی موجب اخلال در امر انتخابات گردد (بند ۷ ماده ۳۳ قانون انتخابات ریاست جمهوری و بند۵ ماده ۶ و ۲۵ قانون مطبوعات)
  • تشویش اذهان عمومی، سیاه‌نمایی و بیان مطالب خلاف واقع علیه کشور، ایجاد اختلافات مابین اقشار جامعه به‌ویژه از طریق طرح مسائل قومی و نژادی، انتشار هرگونه نتایج نظرسازی و نظرسنجی کاذب در خصوص انتخابات و نامزدهای انتخاباتی (بند۷ ماده ۳۳ قانون انتخابات ریاست جمهوری– مواد ۵۰۰ و  ۶۹۸ قانون مجازات اسلامی – بند ۴ ماده ۶ قانون مطبوعات- مصوبه شورای عالی امنیت ملی و ماده ۶۴ قانون انتخابات مجلس شورای اسلامی)
  • استفاده غیرمجاز از سایت‌ها و وبلاگ‌های متعلق به دستگاه‌های دولتی و مؤسسات و نهادهایی که تمام یا  بخشی از دارایی و بودجه آن‌ها از اموال عمومی است، به‌منظور تبلیغ له یا علیه نامزدهای انتخابات (مواد۶۲، ۶۸ و ۸۸ قانون انتخابات ریاست جمهوری، ماده ۵۹ قانون انتخابات مجلس شورای اسلامی)
  • انتشار محتوا با هدف دخالت در امر انتخابات با سمت یا سند مجعول یا به هر نحو غیرقانونی در فضای مجازی (بند ۱۵ و ۱۷ ماده ۳۳ و ۸۵ قانون انتخابات ریاست جمهوری)
  • انتشار و توزیع هرگونه محتوای تبلیغاتی از سوی کارکنان ادارات، سازمان‌ها، ارگان‌های دولتی و نهادها با ذکر سمت خود، له یا علیه هر یک از نامزدهای انتخابات در فضای مجازی (مواد ۶۸ و ۸۸ قانون انتخابات ریاست جمهوری)
]]>
2016/6/1
<![CDATA[آشنایی با قوانین مرتبط با شبکه‌های اجتماعی (۱)]]>

آشنایی با قوانین مرتبط با شبکه‌های اجتماعی (۱)

]]>
در این سلسله آگاهی‌رسان‌ها قصد داریم مسائل و چارچوب‌های قانونی مرتبط با فضای مجازی، به خصوص شبکه‌های اجتماعی، را مورد بررسی قرار داده و با نگاه موشکافانه‌ای به ساختارهای قانونی موجود مستقیم و غیرمستقیم در این حوزه‌ها بنگریم. در این آگاهی‌رسان به‌طور خاص قوانین مرتبط با جرائم رایانه­ای را مورد بررسی قرار داده و موارد نقض حریم خصوصی در فضای مجازی را بیان می‌کنیم و در آگاهی‌رسان آتی به بیان قوانین مرتبط با محتوای مجرمانه خواهیم پرداخت.


تاریخچه مقابله قانونی با جرائم فضای مجازی در کشور

لزوم ایجاد و توسعه‌ ساختاری برای برقراری امنیت و محافظت از حریم خصوصی در فضای مجازی تولید و تبادل اطلاعات کشور با توسعه روز‌افزون زیرساخت‌های فناوری اطلاعات و ارتباطات در ایران و افزایش کاربران و استفاده‌کنندگان از اینترنت، همراه با رشد سایر فناوری‌های اطلاعاتی، ارتباطی و مخابراتی نظیر خطوط تلفن‌های ثابت و همراه، شبکه‌های دیتا و ارتباطات ماهواره‌ای مساله­ای است که هر روز اهمیت بیشتری می یابد. علاوه بر آن توسعه خدمات الکترونیک در کشور، لزوم پرورش نیروی‌های تخصصی و برخورداری از امکانات بازدارنده و امنیتی برای تأمین امنیت و مقابله با جرائمی که در این فضا به وقوع می‌پیوندند را آشکار می‌کند.

در طول سالیان، جرایم رایانه‌ای در فضای مجازی ابعاد بسیار گسترده‌ای مانند کلاه‌برداری‌های اینترنتی، هک و نفوذ به سامانه‌های رایانه‌ای و اینترنتی، جعل داده‌ها و عناوین، تجاوز به حریم خصوصی اشخاص و گروه‌ها، سرقت اطلاعات، هرزه‌نگاری و جرائم اخلاقی و برخی جرائم سازمان‌یافته اقتصادی، اجتماعی و فرهنگی یافته‌اند که لزوم ایجاد پلیس تخصصی که توان پی‌جویی و رسیدگی به این چنین جرائم سطح بالای فناورانه را داشته باشد، بیش از پیش برجسته ساخت. از سوی دیگر با تصویب قانون جرائم رایانه‌ای در مجلس شورای اسلامی و لزوم تعیین ضابط قضایی برای این قانون و نیز مصوبات کمیسیون فضای تبادل اطلاعات (فتا) دولت جمهوری اسلامی ایران مبنی بر تشکیل پلیس فضای تولید و تبادل اطلاعات، این بخش در بهمن‌ماه سال 1389 به دستور فرماندهی محترم نیروی انتظامی جمهوری اسلامی ایران، تشکیل گردید.

قانون جرائم رایانه‌ای در سال ۱۳۸۸ برای تعیین مصادیق استفاده مجرمانه از سامانه‌های رایانه‌ای و مخابراتی به تصویب مجلس شورای اسلامی رسید و به دنبال آن کمیته تعیین مصادیق محتوای مجرمانه بر اساس ماده ۲۲ این قانون تشکیل شد. اعضای این کمیته شامل وزیر یا نماینده وزارتخانه‌های آموزش‌وپرورش، ارتباطات و فناوری اطلاعات، اطلاعات، دادگستری، علوم، تحقیقات و فناوری، فرهنگ و ارشاد اسلامی، رئیس سازمان تبلیغات اسلامی، رئیس سازمان‎ صداوسیما و فرمانده نیروی انتظامی، یک نفر خبره در حوزه فناوری اطلاعات و ارتباطات به انتخاب کمیسیون صنایع و معادن مجلس شورای اسلامی و یک نفر نماینده مجلس شورای اسلامی به انتخاب کمیسیون حقوقی و قضایی و تأیید مجلس شورای اسلامی است و ریاست کمیته به عهده دادستان کل کشور قرار گرفت.

فهرستی از مصداق‌های محتوای مجرمانه توسط این کمیته در دی‌ماه ۱۳۸۸ ارائه شد. این فهرست در پنج فصل در بخش‌های «محتوای خلاف عفت و اخلاق عمومی، محتوای علیه مقدسات، محتوای علیه امنیت و آرامش عمومی، محتوای علیه مقامات و نهادهای دولتی و عمومی و محتوایی که برای ارتکاب جرائم رایانه‌ای و سایر جرائم» تهیه شده است که تحت عنوان قانون جرائم رایانه‌ای عنوان گرفت. علاوه بر بخشی از این فهرست که در قانون مجازات اسلامی نیز آمده است، در برخی موارد نیز که معلول جرائم جدید به وجود آمده به دلیل فضای منحصر به فرد مجازی است مصادیق تازه ای ارائه شد و برای آنها جرم و مجازات تعریف گردید.

در ادامه به قوانین مرتبط به رعایت حریم خصوصی در فضای مجازی و پیشینه‌ آن می‌پردازیم.

قوانین مرتبط با رعایت حریم خصوصی در کشور

توجه به منزلت انسانی و ارزش‌های مبتنی بر انواع آزادی‌ها لزوم توجه به حریم خصوصی افراد را ایجاب می‌کند. این موضوع  اخیرا به یکی از مهم‌ترین مباحث در جامعه اطلاعاتی و مجازی و حقوق مربوط به آن تبدیل‌شده است.

لازم به ذکر است که حریم خصوصی و توجه به آن مربوط به دنیای مدرن امروزی نیست، در 14 قرن پیش و در آیات متعددی از قرآن کریم بر لزوم رعایت حریم خصوصی اشخاص تأکید شده است، البته اصطلاح حریم خصوصی به طور مستقیم در آیات قرآن و روایات اسلامی استفاده‌نشده است و در قالب اشاره به آزادی‌‌های دیگر نظیر حق مالکیت، حق آزادی از تجسس، حق برخورداری از اصل برائت، حق غیرقابل تعرض بودن و حقوق وابسته به شخصیت در منابع اسلامی می‌توان توجه به حریم خصوصی و حمایت دین اسلام در این حوزه را استنتاج نمود.

به ‌عنوان ‌مثال در آیه‌‌‌ ۱۲ سوره‌‌ حجرات مسلمانان از تجسس در احوال شخص دیگران منع شده و آیه‌‌ ۲۷ سوره‌‌ نور افراد را از ورود به خانه‌‌های یکدیگر بدون اجازه‌‌ صاحب‌خانه بر حذر داشته است. در حقیقت می‌توان گفت پیشینه توجه به حریم خصوصی و حمایت از آن در حقوق اسلامی بسیار بیشتر از سایر نظام‌‌های حقوقی است و مبانی بسیار محکمی از حقوق حریم خصوصی حمایت می‌کند و لزوم حفاظت از آن را مطرح می‌کند. با این وجود متأسفانه در نظام حقوقی برخی از کشورهای مسلمان و در تدوین قوانین و مقررات مختلف مرتبط با حریم خصوصی اهمیت این حق آن‌طور که باید و شاید مورد توجه قرار نگرفته و حمایت‌‌های لازم از آن صورت نگرفته است.

توجه به حریم خصوصی یکی از ارکان حقوق شهروندی در هر جامعه­ای است و افراد جامعه می­بایست آگاهی­های لازم در مورد این حق را داشته باشند. یکی از مهم‌ترین عوامل ایجاد آرامش ذهنی مردم و امنیت روانی جامعه توجه و حفاظت از حریم خصوصی توسط تمامی بخش‌های کشور و ایجاد بستری مناسب برای برخورد با ناقضان حریم خصوصی است. با گسترش وسایل ارتباطات جمعی و فضای مجازی و ایجاد و توسعه شبکه‌های اجتماعی توجه به حریم خصوصی اهمیتی مضاعف یافته است و مرز میان حریم خصوصی و عمومی هر روز باریک­تر می­شود. حساسیت چنین موضوعی در جامعه‌های سنتی مانند ایران اهمیت امر را دوچندان می­سازد.

حریم خصوصی افراد باید در همه موارد در نظر گرفته شود و هیچ‌کس حق ورود به حریم خصوصی افراد و تعرض به آنان را ندارد مگر به‌حکم قانون مانند ماده ۹۶ قانون آیین دادرسی کیفری که طبق آن تفتیش و بازرسی منازل، اماکن و اشیا در مواردی به عمل می‌آید که حسب دلایل، ظن قوی به کشف متهم یا اسباب و آلات و دلایل جرم در آن محل وجود داشته باشد.

شایان‌ذکر است ضرورت رعایت حریم خصوصی افراد در اصول ۱، ۹، ۲۲ و ۲۳ متمم قانون اساسی قید شده است. در این اصول آمده است: «افراد از حیث جان، مال، مسکن و شرف محفوظ و مصون از هر نوع تعرض هستند و متعرض احدی نمی‌توان شد، مگر به‌حکم و ترتیبی که قوانین مملکت معین می‌نماید.»

در این مورد بخشنامه‌ای نیز در قوه قضاییه شامل ۸ ماده از فرامین امام خمینی(ره) در مورد لزوم حفظ حریم شخصی و عمومی ابلاغ شده است. در قانون مجازات اسلامی نیز اشاراتی در خصوص جرم ورود به حریم خصوصی و ایجاد مزاحمت و ممانعت از اِعمال حق شده است. بر اساس این قانون، اگر کسی بدون اجازه، وارد حریم خصوصی فردی دیگر شود، هم به لحاظ مدنی و هم به لحاظ کیفری، دارای مسئولیت است. ماده ۶۴۰ کتاب پنجم قانون مجازات اسلامی و مواد ۱۲، ۱۶ و ۱۷ قانون مجازات جرائم رایانه‌ای، حیثیت شهروندان را موردحمایت قانونی قرار داده‌اند. درواقع، این قوانین از حریم خصوصی شهروندان حتی در فضای مجازی به‌صورت غیرمستقیم حمایت کیفری کرده‌اند.

نیاز به قوانین و مقررات پیشگیرانه که با مجازات سنگین و بدون اغماض، با ناقضان حریم خصوصی و افشاگران اسرار مردم برخورد کند امری مشهود در این حوزه است. البته اجرای صحیح این کار، مشروط به آموزش مردم، بیان مصادیق حریم خصوصی و نقض آن و فرهنگ‌سازی در این زمینه است تا بتوان هم خلأهای قانونی را رفع کرد و هم راه‌کارهایی ارائه داد تا یکی از مهم‌ترین مقوله‌های حقوق شهروندی مردم که حفظ حریم خصوصی آن‌ها است، نهادینه شود و هر کس منطبق با شرایط و موقعیت اجتماعی خود، حداقل آگاهی و دانش را در رابطه با حریم شخصی خود و دیگران داشته باشد. البته در سال‌های اخیر، اقداماتی برای حفظ حریم خصوصی افراد جامعه و مجازات خاطیان در این زمینه انجام‌شده که بسیار مؤثر بوده است. بااین‌حال تلاش‌‌های بیشتری توسط متولیان امر برای گسترش قوانین بازدارنده در این زمینه مورد نیاز است.

در سال‌های اخیر تلاش‌های زیادی در مورد اهمیت‌بخشی بیشتر به لزوم رعایت حریم خصوصی افراد را شاهد بوده‌ایم. این سیاست‌ها با تدوین و تصویب حقوق شهروندی که حفظ حریم خصوصی یکی از ارکان آن است نمود عینی یافته است. بااین‌حال این قوانین نیازمند نظارت و التزام دستگاه‌های گوناگون و برقراری هماهنگی‌های لازم برای اجرا هستند که امید است به زودی شاهد رشد و گسترش مفاهیم حقوق شهروندی در همه ابعاد باشیم.

مصادیق نقض حریم خصوصی در فضای مجازی

یکی از مهم‌ترین بخش‌های موجود در قانون جرائم رایانه‌ای حوزه مرتبط با نقض حریم خصوصی و انجام فعالیت‌های بزهکارانه در فضای مجازی است. در زیر به مصادیق نقض حریم خصوصی در شبکه‌های اجتماعی که در قانون (علی‌الخصوص قانون جرائم رایانه‌ای) جرم‌انگاری شده است می‌پردازیم:

  • دسترسی غیرمجاز به داده‌های رایانه‌ای یا مخابراتی نظیر هک ایمیل یا حساب کاربری اشخاص
  • شنود غیرمجاز محتوای در حال انتقال در سیستم­های رایانه‌ای یا مخابراتی نظیر استفاده از نرم‌افزارهای شنود چت‌های اینترنتی
  • دسترسی غیرمجاز به داده‌های سری در حال انتقال در سیستم­های رایانه‌ای یا مخابراتی یا حامل‌های داده یا تحصیل و شنود آن
  • در دسترس قرار دادن داده‎های سری در حال انتقال در سیستم‌های رایانه‌ای یا مخابراتی یا حامل‌های داده برای اشخاص فاقد صلاحیت
  • نقض تدابیر امنیتی سیستم‌های رایانه‌ای یا مخابراتی به قصد دسترسی به داده‌های سری در حال انتقال در سیستم‌های رایانه‌ای یا مخابراتی یا حامل‌های داده
  • حذف یا تخریب یا مختل یا غیرقابل‌پردازش نمودن داده‌های دیگری از سیستم‌های رایانه‌ای یا مخابراتی یا حامل‌های داده به‌طور غیرمجاز
  • از کار انداختن یا مختل نمودن سیستم‌های رایانه‌ای یا مخابراتی به‌طور غیرمجاز نظیر غیرفعال سازی پایگاه‌داده  تارنماها و ممانعت از دسترسی اشخاص به پایگاه‌های اینترنتی شخصی
  • ممانعت از دسترسی اشخاص مجاز به داده‌های یا سیستم‌های رایانه‌ای یا مخابراتی به‌طور غیرمجاز
  • ربودن داده‌های متعلق به دیگری به‌طور غیرمجاز

  • هتک حیثیت از طریق انتشار یافتن صوت و فیلم تحریف‌شده دیگری به‌وسیله سیستم‌های رایانه‌ای یا مخابراتی
  • نشر اکاذیب از طریق سیستم‌های رایانه‌ای یا مخابراتی به قصد اضرار به غیر یا تشویش اذهان عمومی
  • فروش یا انتشار یافتن یا در دسترس قرار دادن گذرواژه یا هر داده‎ای که امکان دسترسی غیرمجاز به داده‎ها یا سیستم‎های رایانه‎ای یا مخابراتی متعلق به دیگری را فراهم می‎کند
  • آموزش نحوه ارتکاب جرائم دسترسی غیرمجاز، شنود غیرمجاز، جاسوسی رایانه‌ای و تخریب و اخلال در داده‌ها یا سیستم‌های رایانه‌ای و مخابراتی
]]>
2016/6/1
<![CDATA[امنیت بخشی به Flash Player و Adobe Reader]]>

امنیت بخشی به Flash Player و Adobe Reader

]]>
  

امنیت بخشی به Flash Player و
Adobe Reader

  برخی نرم افزارها در دنیای کامپیوتر هستند که دارای محبوبیت بسیار بوده و بر روی اغلب سیستم عامل کامپیوترهای کاربران مختلف نصب می باشند. از این میان می توان به Adobe Reader و Flash Player اشاره کرد. این نرم افزارها به ترتیب توانایی اجرای فایلهای PDF و SWF را هم به صورت منفرد و هم بر روی مرورگر دارا می باشند. در ادامه به بررسی امنیت بخشی بیشتر به این دو محصول می پردازیم. لازم به ذکر است که توضیحات داده شده در ادامه، بر اساس سیستم عامل ویندوز و مرورگر فایرفاکس می باشد.


به‌روز رسانی
    مهمترین مبحث در مورد جلوگیری از نفوذ توسط این 2 نرم افزار، به روز رسانی آنهاست. تمامی ضعف های امنیتی که بر روی این دو نرم افزار گزارش می شوند که باعث ایجاد حملاتی بر روی سیستم های کاربران می شود، توسط توسعه دهندگان این نرم افزارها سریعاً برطرف می شود. بهترین توصیه ای که می توان در مورد این دو برنامه اشاره کرد این است که سیستم Automatic Update آنها را فعال نگه دارید و بلافاصله پس از انتشار نسخه جدید، به روز رسانی را حتما انجام دهید.

 

تنظیمات امنیتی در Flash Player
    در ابتدا، مطمئن می شویم که Protected Mode بر روی Plugin نصب شده بر روی مرورگر فعال باشد. برای این کار از منوی Tools به Add-on می رویم و سپس از منوی سمت چپ، Plugins را انتخاب می کنیم. حال بر روی دکمه Option مقابل عبارت Shockwave Flash کلیک می کنیم. همانطور که در تصویر زیر می بینید، گزینه فوق فعال می باشد. همچنین از قسمت منوی بالا همین صفحه، گزینه Update Add-ons Automatically فعال باشد.
امنیت بخشی به Flash Player و
Adobe Reader

 

جهت مطالعه کامل به پیوست  مراجعه شود

]]>
2016/5/31
<![CDATA[نحوه ذخیره امن رمزهای عبور]]>

نحوه ذخیره امن رمزهای عبور

]]>
نحوه ذخیره امن رمزهای عبور


یکی از علل به‌وجودآمدن آسیب‌پذیری در برنامه‌ها، خطاهای رایج برنامه‌نویسی می‌باشد. از مهمترین این خطاها می‌توان به نحوه ذخیره‌سازی رمزهای عبور مربوط به برنامه‌های مختلف اشاره نمود. متخصصان امنیت توصیه می‌کنند که به‌جای ذخیره رمز عبور، معادل درهم (hash) آن ذخیره گردد. روش‌های درهم‌سازی موجود بسیار متنوع بوده و به‌طور پیوسته روش‌های جدید معرفی می‌گردند. در این مستند جدیدترین روش‌های مختلف درهم‌سازی بررسی شده و روش‌های برتر معرفی شده‌اند. بدین منظور ابتدا کتابخانه sodium معرفی شده که حاوی تمامی توابع جدید مورد نیاز بوده و استفاده از آن توسط متخصصان توصیه شده است. در بخش دوم گزارش، نحوه ذخیره امن رمزهای عبور بدون استفاده از کتابخانه فوق در زبان‌های مختلف برنامه‌نویسی بررسی شده است.

 

متن کامل در مستند پیوست آورده شده است.

 

 

]]>
2016/5/31
<![CDATA[امنیت در خرید آنلاین]]>

امنیت در خرید آنلاین

]]>
امنیت در خرید آنلاین

امروزه با همه گیر شدن اینترنت، فروشگاه های آنلاین بسیار فعال شده و کاربران می توانند درصد بالایی از نیازهای خود را به با خرید اینترنتی رفع کنند. به طبع، خرید اینترنتی هم خطرات و ریسک های امنیتی دارد که کاربران باید از وجود آن ها آگاه باشند تا مقدار ریسک به حداقل رسیده و با خیال آسوده به خرید بپردازند. موارد زیر در امنیت خرید آنلاین می تواند بسیار سودمند باشد.

 

اطمینان از صحت وب سایت
    برای اطمینان از صحت وب¬سایت فروشگاه، کاربران باید به چند فاکتور بسیار مهم دقت کنند که شامل موارد زیر است:
1-    امکان مراجعه حضوری به مالک سایت در صورت بروز مشکل
2-    اطلاعات کامل محصول خریداری شده
3-    گارانتی محصولات
4-    مشخص بودن روند برگشت کالا و پول
5-    حفاظت از اطلاعات مالی خریداران
6-    وجود گواهینامه امنیتی SSL
7-    نماد اعتماد الکترونیکی
همچنین قابل ذکر است که کاربران برای تست وجود گواهینامه امنیتی SSL میتوانند از سامانه SSL Certificate Checker با آدرس https://www.digicert.com/help/ استفاده کنند.

 

برای مطالعه کامل به پیوست مراجعه نمایید.

]]>
2016/5/31
<![CDATA[حفاظت از فرزندان در اینترنت]]>

حفاظت از فرزندان در اینترنت

]]>
حفاظت از فرزندان در اینترنت
    

امروزه با همه گیر شدن اینترنت استفاده از فضای مجازی پا به دنیای کودکان نیز نهاده است. اینترنت هم مانند دیگر ابزار ها دارای مزایا و معایب مختص خود است. کودک می تواند آنجا بیاموزد، بازی کند، سرگرم شود و در نقطه مقابل می توان به سمت موارد منفی اینترنت گرایش پیدا کند. بسیاری از والدین فرزندان خود را محدود نموده و اجازه استفاده از اینترنت را به آن ها نمی دهند، بسیاری دیگر نیز هیچگونه کنترلی بر روی فرزندان ندارند. چگونه می توانیم از فرزندانمان در اینترنت حفاظت کنیم؟ این سوالی است که امروزه ذهن بسیاری از پدر و مادران را مشغول کرده است. در این مقاله به بررسی و آموزش روش های کنترل فرزندان در فضای مجازی می پردازیم.


قرار دادن کامپیوتر در فضای باز
    والدین باید سعی کنند که کامپیوتر را در بهترین جای خانه قرار دهند، به صورتی که صفحه نمایش آن برای دیگر اعضای خانواده نمایان باشد، بدین صورت می توانند فرزندان را کنترل کنند.

رصد تمام فعالیت های رایانه
    تمامی فعالیت های که در رایانه انجام می شود در سیستم عامل ذخیره می شود که اصطلاحاً به آن Log گفته می شود. این لاگ فایل ها شامل سایت¬های بازدید شده و کار های انجام گرفته در اینترنت نیز می باشد. والدین می توانند برای کنترل فرزندان خود از ابزار¬های زیر استفاده کنند:
 

جهت مطالعه کامل مستند به پیوست مراجعه گردد

 

]]>
2016/5/31
<![CDATA[حفاظت از فرزندان در اینترنت]]>

حفاظت از فرزندان در اینترنت

]]>
حفاظت از فرزندان در اینترنت
    

امروزه با همه گیر شدن اینترنت استفاده از فضای مجازی پا به دنیای کودکان نیز نهاده است. اینترنت هم مانند دیگر ابزار ها دارای مزایا و معایب مختص خود است. کودک می تواند آنجا بیاموزد، بازی کند، سرگرم شود و در نقطه مقابل می توان به سمت موارد منفی اینترنت گرایش پیدا کند. بسیاری از والدین فرزندان خود را محدود نموده و اجازه استفاده از اینترنت را به آن ها نمی دهند، بسیاری دیگر نیز هیچگونه کنترلی بر روی فرزندان ندارند. چگونه می توانیم از فرزندانمان در اینترنت حفاظت کنیم؟ این سوالی است که امروزه ذهن بسیاری از پدر و مادران را مشغول کرده است. در این مقاله به بررسی و آموزش روش های کنترل فرزندان در فضای مجازی می پردازیم.


قرار دادن کامپیوتر در فضای باز
    والدین باید سعی کنند که کامپیوتر را در بهترین جای خانه قرار دهند، به صورتی که صفحه نمایش آن برای دیگر اعضای خانواده نمایان باشد، بدین صورت می توانند فرزندان را کنترل کنند.

رصد تمام فعالیت های رایانه
    تمامی فعالیت های که در رایانه انجام می شود در سیستم عامل ذخیره می شود که اصطلاحاً به آن Log گفته می شود. این لاگ فایل ها شامل سایت¬های بازدید شده و کار های انجام گرفته در اینترنت نیز می باشد. والدین می توانند برای کنترل فرزندان خود از ابزار¬های زیر استفاده کنند:
 

جهت مطالعه کامل مستند به پیوست مراجعه گردد

 

]]>
2016/5/31
<![CDATA[]]>

]]>
    یکی از پرکاربردترین نرم افزارهایی که امروزه بر روی کامپیوترهای خانگی، کامپیوترهای همراه، گوشی های تلفن همراه هوشمند و همچنین تبلت ها مورد استفاده قرار می گیرد، مرورگرها هستند. نرم افزارهایی که برای جستجو و تماشای صفحات وب آماده شده اند. حال که این گونه نرم افزارها دارای استفاده بسیار بالایی در بین کاربران هستند، امنیت در آنها دارای اهمیت بسیار بالایی خواهد بود. نفوذگران بسیار در تلاش هستند که با روشهای نوین و انجام حملات گوناگون هکری، با استفاده از مشکلات و ضعف های نرم افزارهای مرورگرهای مختلف، به سیستم های رایانه ای ویا گوشی های تلفن همراه کاربران نفوذ کنند و اقدام به دزدی اطلاعات کاربران نمایند. در همین راستا، مرورگرها همواره در حال مقابله با روشهای نفوذی خرابکاران هستند که ما بیشترین تعداد به روز رسانی نرم افزاری را در مرورگرهای معروف شاهد هستیم که این بروزرسانی ها تا سطح بسیار بالایی، دسترسی نفوذگران را به اطلاعات حساس کاربران منع می کند. علاوه بر توصیه به اینکه همواره باید از نسخه های به روزرسانی شده مرورگرها استفاده کرد، در ادامه به برخی موارد امنیتی در تنظیمات مرورگرهای معروف می پردازیم.

 

ایمن‌سازی IE
    به منو Tools بروید و گزینه Internet Options را انتخاب کنید
 

 

مطالعه کامل مستند در پیوست

]]>
2016/5/31
<![CDATA[حفاظت از رایانه در مقابل روت کیت ها و بات نت ها]]>

حفاظت از رایانه در مقابل روت کیت ها و بات نت ها

]]>
حفاظت از رایانه در مقابل روت کیت ها و بات نت ها


در دنیای نفوذگران سایبری، همواره راه های جدید و بدافزارهای نوینی ارائه می گردد که شگفتی همگان را در دنیای کامپیوتر بر می انگیزد. نفوذگران همواره به دنبال این هستند که بدافزارهای خود در سطح های بالاتر و دور از دید کاربران و نرم افزارهای ویروس‌یاب قرار بدهند. در میان انواع گونه های بدافزار، دو نوع "روت کیت" و "بات نت" دارای اهمیت و کاربرد بالای می باشد و البته درجه خطر بیشتر. در ادامه می خواهیم به معرفی این دو گونه بپردازیم و راه های جلوگیری از آنها را مورد بررسی قرار بدهیم.

 

روت کیت Rootkit
    به نوعی از بدافزارها گفته می شود که بر روی بخش های اصلی سیستم عامل می نشیند و کاملا از دید کاربر مخفی می ماند. این گونه از بدافزارها کنترل کامل سیستم قربانی را بدست می گیرند و قابلیت گرفتن دستورات شخص نفوذگر از راه دور را دارا می باشند. به سیستم قربانی زامبی گفته می شود. روت کیت ها به خودی خود نمی توانند خرناک باشند، بلکه با استفاده از منابعی از سیستم عامل می توانند نفوذ خود را انجام بدهند. روت کیت ها خود را جایگزین برنامه های مهم در سیستم عامل می کنند و در گاهی مواقع خود را در دل هسته مرکزی سیستم عامل قرار می دهند و سپس اعمال تخریبی خود را به انجام می رسانند و همین باعث مخفی ماندن آنها می شود.
    در حالت کلی روت کیت ها به دو دسته ی زیر تقسیم می شوند:
•    روت کیت سنتی: این گونه از روت کیت ها، فایلهای خود را به جای پروسه های اصلی سیستم عامل و یا سرویس های آن جا می زنند و فعالیت خود را آغاز می کنند.
•    روت کیت سطح هسته: این گونه از روت کیت ها فایلها و کدهای خود را در هسته سیستم عامل جاسازی می کنند و امکان کشف آنها بسیار مشکل می باشد. در این حالت دسترسی ریشه ای از سیستم عامل می گیرند و کاملا به مرکز سیستم عامل دسترسی پیدا می کنند و با این سطح دسترسی، امکان هرگونه عملیات مخربی را بر روی سیستم عامل قربانی خواهند داشت.

 

بات نت Botnet
    بات نت به شبکه ای از کامپیوترهای نفوذ شده گفته می شود که توسط شخص نفوذگر مدیریت می گردد. این کامپیوتر ها توسط شخص نفوذگر و سرورهای C&C مدیریت می گردد. در روت کیت ها گفتیم که توسط این نوع از بدافزارها، شخص نفوذگر کنترل کامل به سیستم قربانی دارد و برای پیوستن این سیستم ها به شبکه های بات نت هم مورد استفاده قرار می گیرد. توسط سرورهای C&C شخص نفوذگر می تواند Command های مورد نظر خود را بر روی تمامی قربانی ها به صورت دقیق و منظم اعمال کند. در حالت کلی به این شخص نفوذگر Bot Master می گویند.

 

 


خطرات Rootkit و Botnet
    در حالت کلی می توان گفت که استفاده از این دو در حال حاضر به صورت همزمان می باشد و خطراتی هم که بر روی دنیای سایبری در حال حاضر دارند به صورت هماهنگ می باشد. در زیر چند نمونه از خطراتی را که این گونه بدافزارها بوجود می آورند را ذکر می کنیم.
•    حملات DDOS : یکی از سوء استفاده های که با کامپیوترهای زامبی در شبکه های بات نت می کنند، حملات سازمان یافته DDOS بر علیه شبکه ها و سایتهای بزرگ می باشد. برای انجام این حملات، Bot Master دستور اجرای یک Command را به سرور C&C می دهد و این دستور به صورت همزمان به تمامی زامبی ها فرستاده می شود و تمامی زامبی ها به صورت کاملا خودکار به سمت یک سایت و یا یک درگاه شبکه ای درخواستی را ارسال می کنند. حجم ترافیک بالای این درخواست ها باعث قطع سرویس دهی آن سایت یا شبکه می شود.
•    حملات Spamming : یکی دیگر از سوء استفاده هایی که از قربانیان این گونه بدافزارها می کنند، ارسال ایمیل های جعلی به تعداد بسیار بالا برای مخاطبان گروهی بزرگ می باشد که بیشتر برای دزدی اطلاعات آنها و یا برای انجام تبلیغات گسترده انجام می گیرد.
•    فروختن ترافیک : یکی دیگر از سوء استفاده هایی که انجام می گیرد، فروختن ترافیک بسیار بالایی از ترافیک اینترنتی قربانیان جهت مقاصد خاصی همچون  SEO کردن سایتها و انجام جمع آوری گسترده اطلاعات مهم اشخاص توسط بیرون کشیدن داده های بدردبخور از میان آن ترافیک ها می باشد.

 

مقابله با Rootkit و Botnet
    می توان گفت که با دانش به این موضوع که شناسایی روت کیت ها بسیار مشکل می باشد، اما استفاده از Security System های معروف همچون Bitdefender و Kaspersky به علت قرار داشتن یک بخش Anti Rootkit بر روی موتور مرکزی خود، توانایی شناسایی برخی از این گونه بدافزارها را دارند. اما نباید از آنها توقع زیادی داشت!
    در مورد بات نت ها می توان گفت که برخی از ترفندها می توانند برای جلوگیری از این گونه بدافزار مناسب باشند. می توان به موارد زیر اشاره کرد:
•    استفاده از مرورگرهای مختلف بر روی یک سیستم عامل
•    استفاده از IDS و IPS ها جهت شناسایی ترافیک های مربوط به عملکردهای Botnet
•    استفاده از پلاگین های مرورگرهایی همچون فایرفاکس جهت جلوگیری از اجرای اسکریپت ها
•    مونیتورینگ شبکه جهت کشف ترافیک های غیر معمول به سمت یک سایت یا آدرس اینترنتی خاص

 

]]>
2016/5/31
<![CDATA[حفاظت از ارتباطات End to End]]>

حفاظت از ارتباطات End to End

]]>
حفاظت از ارتباطات End to End

    با پیشرفت دنیای تکنولوژی و به روز شدن راه های ارتباطی بین مردم دنیا، راه کارهای جدیدی جهت ارتباطات سریعتر و آسان تر بین مردم خلق می شود. بیشتر این راه کارها مربوط می شود یه دنیای کامپیوتر و گوشی های همراه. در این میان راه های بسیاری برای برقرار انوع ارتباطات صوتی و تصویری و متنی ابداع شده است. اما نکته ی مهم و مبحث همیشه سوال بر انگیز، امنیت این روشها و راه کارهاست. به همین خاطر، محققان و صاحب نظران در این وادی، شروع به ارائه مباحث امنیت بخشی به این گونه ارتباطات دیجیتالی کرده اند. یکی از مباحث مهمی که در چند سال اخیر با آن بسیار در ارتباط بوده ایم، مباحث امنیت بخشی به ارتباطات مقصد به مقصد یا همان End to End بوده است. در ادامه می خواهیم به معرفی این موضوع و همچنین بررسی خطرات و راه کارهای امنیتی آن بپردازیم.


End to End
    در دنیای ارتباطات، افراد بوسیله های مختلف و توسط روشهای مختلف با یکدیگر ارتباطات دیجیتالی دارند. از ایمیل گرفته تا نرم افزارهای پیام رسان. در تمامی روشهای ارتباطی، اگر بخواهد امنیتی بر روی این بسترها صورت بگیرد، توسعه دهندگان این برنامه ها و سرویس ها هستند که بر روی محصولات خود تمهیدات امنیتی را برقرار می کنند. اما در بسیاری از این محصولات می بینیم که این تمهیدات امنیتی کافی نبوده و یا اینکه خود توسعه دهندگان این محصولات، برای خود راه هایی را جهت دستیابی به اطلاعات کاربران باز گذاشته اند. به همین دلیل مبحثی به نام ارتباطات End to End پایه گرفت. بر این اساس کاربرانی که از سرویس های مختلف ارتباطی همچون ایمیل، نرم افزارهای پیغام رسان، نرم افزارهای ارسال فایل و غیره استفاده می کنند باید بتوانند بین مبدا و مقصد یک لایه امنیتی دلخواه خود را هم داشته باشند که کسی بجز مبدا و مقصد توانایی کنار زدن آن لایه امنیتی را نداشته باشد. به همین دلیل مباحث امنیتی E2EE خلق شد.


E2EE (End to End Encryption)
    یکی از مهمترین مباحث ارتباطات مقصد به مقصد، مبحث امنیت در این ارتباطات است. امنیت در این گونه ارتباطات به راه حل های رمزنگاری برمی گردد. رمزنگاری بر روی فایلهای در حال رد و بدل و یا اینکه رمزنگاری متن های در حال انتقال بین دو مقصد. برای این گونه رمزنگاری عموماً از الگوریتم های تک کلیدی همچون AES استفاده می شود. توسط این گونه راه کار ها، دو کاربر در حال ارتباط می توانند خودشان یک لایه امنیتی دلخواه به مسیر ارتباطیشان اضافه کنند. در تصویر زیر یک نمای کلی از E2EE را مشاهده می فرمایید.
 

متن کامل مستند مذکور در پیوست آورده شده است.

 

]]>
2016/5/31
<![CDATA[برگزاري كارگاه آموزشي "ارتقاء دانش فناوري اطلاعات متوليان فاواي سازمان ها"]]>

برگزاري كارگاه آموزشي

]]>
برگزاري كارگاه آموزشي "ارتقاء دانش فناوري اطلاعات متوليان فاواي سازمان ها"

 

كارگاه آموزشي يك روزه با هدف ارتقاي دانش امنيت در حوزه فناوري اطلاعات ، جهت مديران و كارشناسان IT دستگاههاي اجرايي روز چهارشنبه مورخ 05/03/1395با همکاري مرکز ماهر سازمان فناوري اطلاعات ايران و مركز آپاي دانشگاه يزد در محل دانشگاه بین المللی قزوین  برگزار شد.

 

شایان ذکر است این همایش یک روزه در حوزه های ذیل برگزار گردید.

 

 - کارگاه امنیت شبکه
- کارگاه امنیت سیستم عامل

- کارگاه امنیت در برنامه های اندروید

 

]]>
2016/5/30
<![CDATA[اولین همایش منطقه ای امنیت فضای تبادل اطلاعات]]>

اولین همایش منطقه ای امنیت فضای تبادل اطلاعات

]]>
برگزار کنندگان :
سازمان فناوری اطلاعات ایران
زمان و محل برگزاری :
تبریز۱۳۹۰/۰۴/۱۸
اولین همایش منطقه ای امنیت فضای تبادل اطلاعات جهت آشنایی شرکت کنندگان با نقش امنیت در فضای تبادل اطلاعات و نیز آشنایی با مرکز ماهر و خدمات آن و ترغیب و تشویق سازمانهای دولتی جهت ایجاد مراکز گوهر برگزار گردید.
اهداف همایش
ارتقاء سطح آگاهی مدیران و کارشناسان ارشد درزمینه امنیت و شناسایی تهدیدات و مخاطرات (آمار و اطلاعات در خصوص رخداد های بحرانی و خسارت های ناشی از آن )
ارائه آخرین دستاوردها و خدمات در زمینه امنیت ( معرفی مرکز ماهر به عنوان نقطه کانونی جهت هماهنگی عملیات امنیتی در فضای تبادل اطلاعات – شبکه تله بدافزار– خدمات مرکز ماهر و ارتباط آن با گوهرها )
ارائه راهبرد های لازم جهت ارتقاء امنیت در فضای تبادل اطلاعات‌ ( لزوم ایجاد ساختارهای امنیتی - گوهرها )
آشنایی با جرایم رایانه ای و قوانین و مقررات این حوزه
برنامه همایش
سخنرانان و موضوعات :
جناب آقای مهندس مهدیون : تهدیدات رایانه ای
جناب آقای دکتر امینی : ضرورت امنیت در فضای تبادل اطلاعات
جناب آقای مهندس میر اسکندری : سیستم مدیریت امنیت اطلاعات
سرکار خانم مهندس دهبسته : آشنایی با ساختار مراکزCERT
جناب آقای مهندس تسلیمی : آشنایی با مرکز ماهر و خدمات آن
جناب آقای مهندس صادقی راشد : بررسی یک پرونده واقعی در خصوص جرایم رایانه ای
جناب آقای دولتشاهی : نگاهی به مقررات کیفری ایران در خصوص جرائم رایانه‏ ای/ سایبری]]>
2016/5/25
<![CDATA[تست]]>

تست

]]>

تطبیق برنامه 90

شماره راهبرد

برنامه­ها (طرح و اقدام)

39

1-1-1

  1. تهيه پيوست‌هاي امنيتي شبكه‌هاي ارتباطي رايانه اي، هم زمان با طراحي و اجراي شبكه

28

1-1-1

  1. طراحی و  پیاده­سازی سیستم مدیریت امنیت اطلاعات (ISMS)

40 و 34

1-1-2

  1. شناسایی و ارزیابی وضعیت امنیت فا در شبکه ملی اطلاعات و شبکه­های موضوعی (مانند شبکه علمی)

 

1-1-2

  1. تهیه پیوست امنیتی برای شبکه­های موضوع بند 2

28 و 65

2-2

  1. ایجاد سیستم مدیریت امنیت اطلاعات در وزارت ارتباطات

 

4-2-3

  1. مطالعه و تحقیق به منظور شناسایی و احصاء صنایع مرتبط با افتا

 

2-5-2

  1. ایجاد شبکه ارتباط اضطراری (هات لاین) جهت اطلاع رسانی به مراکز خاص (مراکز ویژه، حیاتی و حساس)

تدوین

41

1-1-1

  1. تدوین فرایند ها (شاخص) و روش های امنیتی وپایداری سامانه­ها

 

1-1-1

  1. تهيه و تدوين الگوي نظارت، ارزيابي و كنترل

56

2-1-1

  1. تدوین حداکثر 5 استاندارد بومی امنیتی با همکاری سازمان استاندارد

50

2-1-2

  1. تدوین سند سیاست­های امنیت فا

 

2-1-2

  1. تدوین دستور العمل مدیریت امنیت فا

 

2-1-2

  1. تدوین برنامه پنج ساله توسعه امنیت فا

 

2-1-2

  1. تدوین سند راهنمای بومی­سازی

 

2-1-3

  1. تدوین دستور العمل حفاظت EMP

 

2-1-3

  1. تدوین دستور العمل حفاظت پیرامونی مراکز IT

 

2-1-3

  1. تدوین دستور العمل  کنترل دسترسی

 

2-1-3

  1. تدوین دستور العمل NBC (حفاظت NBC)

 

2-3-1

  1. تدوین آئین نامه شاخص­های تایید صلاحیت ارزیاب­های فنی

 

2-4-1

  1. تدوین سند متدولوژی­ ارزیابی امنیتی

 

2-4-1

  1. تدوین آئین نامه ارزیابی امنیتی محصولات فتا

 

2-4-1

  1. تدوین شاخص­های ارزیابی امنیت نرم­افزار

 

2-4-1

  1. تدوین شاخص­های ارزیابی امنیت سخت­افزار

 

2-4-1

  1. تدوین شاخص­های ارزیابی امنیت ارتباطات فا

 

2-4-1

  1. تدوین دستور العمل نحوه ارزیابی امنیتی محصولات

 

2-4-4

  1. تهیه و تدوین دستور العمل درخواست و صدور گواهی

 

2-4-4

  1. تدوین آئین نامه نظارت و کنترل فرآیند درخواست و صدور گواهی

 

2-5-2

  1. تدوین طرح تعامل با رسانه­ها و مراکز اطلاع رسانی

 

4-2-3

  1. تدوین آئین­نامه ساماندهی ظرفیت­های فعال در حوزه تحقیق و توسعه در صنایع مرتبط با افتا

 

5-2-2

  1. تدوین آئین­نامه حمایت از انتشار نشریات علمی – تخصصی مرتبط با افتا

 

6-1-1

  1. تدوین طرح زیرساخت ملی تصدیق هویت رایانه­ای

 

6-1-1

  1. تدوین آئین­نامه تعاملات بین­المللی در حوزه تصدیق هویت رایانه­ای

 

6-1-2

  1. تدوین آئین­نامه تعاملات بین­المللی جهت دسترسی و استفاده از نظام­های اطلاع رسانی و امداد

 

6-1-3

  1. تدوین طرح همکاری منطقه­ای و بین المللی در حوزه استانداردها و گواهی­نامه­ها

SOC  و CERT

25 و 33

2-5-1

  1. تولید سامانه SOC بومی

 

2-5-1

  1. استقرار سامانه SOC بومی در مرکز مدیریت شبکه ی ملی اطلاعات

 

2-5-1

  1. تهیه طرح جامع مدیریت بحران ناشی از رویدادها و حوادث امنیتی رایانه­ای
  2. تهیه طرح تقویت و توسعه مرکز ماهر و گوهر
  3. طرح تقویت سازمان نیروی انسانی
  4. طرح تقویت تجهیزات
  5. تهیه طرح تربیت نیروی متخصص
  6. طراحی دوره آموزشی
  7. تولید منابع آموزشی
  8. ایجاد ظرفیت آموزشی
  9. تهیه دستور العمل مدیریت عملیات (ارتباطات - تعاملات و پشتیبان­ها بین CERT (ماهر) و CSIRT (گوهرها))
  10. تهیه طرح حمایت از ظرفیت­های تخصصی مرتبط (شرکت­های تخصصی، مراکز پژوهشی مرتبط و ...)
  11. ایجاد آزمایشگاه جامع تحلیل بدافزارها
  12. تهیه طرح حمایت از مراکز CSIRT (گوهرها)
  13. راه­اندازی و حمایت مراکز CERT استانی
  14. تدوین و اجرای چهار سناریو رزمایش (مانور) ملی و دستگاهی مدیریت بحران ناشی از رویدادها و حوادث امنیتی رایانه­ای

 

2-5-2

  1. تهیه بانک اطلاعات رخدادهای امنیتی رایانه­ای

 

2-5-2

  1. تدوین طرح هشدار اولیه نسبت به وقوع رخدادهای امنیتی رایانه­ای

 

2-5-2

  1. ایجاد شبکه ارتباط اضطراری (هات لاین) جهت اطلاع رسانی به مراکز خاص (مراکز ویژه، حیاتی و حساس)

 

آموزش، پژوهش و همایش

 

1-1-1

  1. تدوین نقشه جامع علمی و فناوري‌ امنیت

26

1-1-3

  1. تهیه و اجرای برنامه آموزش حین خدمت امنیت در سطح کارکنان وزارت ارتباطات

45 و 61

1-1-3

  1. برنامه ریزی و برگزاری کارگاه­های آموزشی، همایش­ها و اطلاع­رسانی امنیتی

 

5-2-1

  1. تدوین طرح ساماندهی ظرفیت­های پژوهشی مرتبط با افتا در کشور

 

5-2-1

  1. تدوین آئین­نامه حمایت از پروژه­ها و پایان نامه­های تحصیلات تکمیلی مرتبط با افتا

 

5-2-1

  1. تشکیل کتابخانه­ تخصصی منابع پژوهشی مرتبط با افتا

 

5-2-1

  1. ایجاد بانک اطلاعات از طرح­ها، فعالیت­ها، ظرفیت­های پژوهشی مرتبط با افتا

 

5-2-3

  1. تدوین آئین­نامه حمایت از انجمن­های علمی و فنی در زمینه افتا

عملیاتی

38

1-1-1

  1. توليد و تأمين تجهيزات و نرم‌افزارهاي کنترل امنيت فا براي کلية سامانه هاي اطلاعاتي و شبکه هاي ارتباطي

ایجاد ظرفیت

 

1-1-1

  1. ایجاد ظرفیت تولید نرم افزار های امنیتی (نرم­افزارهای خاص)

 

2-3-2

  1. ایجاد ساز و کار آزمایش فنی- دوره­ای برای محصولات افتا
  2. تهیه دستور العمل آزمایش فنی دوره­ای محصولات افتا
  3. تهیه چک لیست فنی مربوط به امنیت محصولات نرم افزاری
  4. تهیه چک لیست فنی مربوط به امنیت محصولات سخت افزاری
  5. تهیه چک لیست فنی مربوط به امنیت ارتباطات
  6. تهیه و اجرای دستور العمل نظارت و کنترل آزمایشات دوره­ی فنی محصولات افتا

62

2-3-3

  1. ایجاد ساز و کار رگولاتوری امنیت اطلاعات در سازمان فا
  2. تدوین شاخص­های ارزیابی مدیریت امنیت (گزینش مدیران امنیت)
  3. تدوین آئین­نامه ارزیابی و سطح­بندی امنیتی مراکز فا و تاسیسات وابسته
  4. ایجاد ظرفیت تایید صلاحیت مدیریت امنیت اطلاعات

 

2-3-4

  1. تامین ساز و کار ایجاد مراکز صدور گواهی در بخش خصوصی و راهبری آنها
  2. تهیه طرح حمایت از ایجاد مراکز صدور گواهی در بخش خصوصی
  3. تدوین و اجرای آئین نامه تایید صلاحیت و ارزیابی دوره­ای مراکز صدور گواهی
  4. تهیه و تدوین دستور العمل درخواست و صدور گواهی

 

2-4-2

  1. ايجاد آزمايشگاه ارزيابي امنیت نرم­افزار

 

2-4-2

  1. ايجاد آزمايشگاه ارزيابي امنیت سخت­افزار

 

2-4-2

  1. ايجاد آزمايشگاه ارزيابي امنیت ارتباطات

 

2-4-3

  1. ایجاد ظرفیت مدیریت ارزیابی امنيت محصولات فتا
  2. تدوین دستور العمل شاخص­های ارزیابی صلاحیت آزمایشگاه­های امنیت
  3. تدوین آئین نامه تایید صلاحیت آزمایشگاه­های امنیت

 

2-4-3

  1. ساماندهی ظرفیت تست نفوذ پذیری محصولات و شبکه­های فتا
  2. تدوین آئین­نامه تست نفوذپذیری
  3. تدوین دستور العمل تست نفوذ پذیری
  4. تهیه بانک اطلاعات روش­های هک و هکرها

طرح حمایت

26

2-3-5

  1. تهیه طرح حمایت از ایجاد مراکز آموزش ممیزی سیستم مدیریت امنیت اطلاعات در بخش خصوصی و راهبری آنها
  2. طراحی دوره آموزش ممیزی سیستم مدیریت امنیت اطلاعات
  3. تامین و تدوین منابع و محتوی آموزشی
  4. تهیه و تدوین دستور العمل اجرایی دوره­های آموزشی
  5. تدوین آئین نامه تایید صلاحیت مراکز آموزشی
  6. تدوین آئین نامه تایید صلاحیت مربیان آموزشی
  7. تهیه طرح حمایت از مراکز مشاوره خصوصی برای پیاده سازی سیستم مدیریت امنیت اطلاعات و راهبری آنها

 

62

4-1-0

  1. تدوین طرح حمایت از تولید، پشتیبانی و بکارگیری محصولات بومی در حوزه افتا
  2. ایجاد صندوق حمایت از ارائه­دهندگان محصولات و خدمات بومی افتا
  3. ایجاد پوشش بیمه برای سرمایه­گذاری­ در تولید محصولات و خدمات بومی افتا
  4. تدوین آئین­نامه حمایت از استفاده­کنندگان از محصولات و خدمات بومی افتا
  5. تدوین طرح ساماندهی ورود و بکارگیری محصولات و خدمات خارجی افتا

62

4-2-1

  1. تدوین طرح حمایت و تقویت تشکل­های مهندسی و حرفه­ای در زمینه افتا
  2. تاسیس انجمن علمی افتا
  3. تشکیل بانک اطلاعاتی جامعه تخصصی و حرفه­ای حوزه افتا
  4. تدوین آئین­نامه رتبه­بندی شرکت­های مهندسی و حرفه­ای در حوزه افتا
  5. تدوین آئین­نامه حمایت از نخبگان افتا

 

4-2-2

  1. تدوین طرح حمایت از توسعه صادرات و گسترش بازار افتا
  2. تشکیل صندوق حمایت از صادرات محصولات و خدمات افتا
  3. تدوین آئین­نامه حمایت از صادرکنندگان محصولات و خدمات افتا
  4. راه­اندازی سایت مرجع بازار افتا
  5. تدوین آیین نامه برگزاری جشنواره ملی تحقیق،تولیدات و خدمات بومی افتا

 

4-2-3

  1. ایجاد صندوق حمایت از تحقیق و توسعه در صنایع مرتبط با افتا
  2. ایجاد پوشش بیمه برای سرمایه­گذاری­ در حوزه تحقیق و توسعه در صنایع مرتبط با افتا
  3. ایجاد بانک اطلاعاتی از طرح­های تحقیق و توسعه در صنایع مرتبط با افتا

 

4-3-0

  1. تدوین طرح حمایت از ایجاد آزمایشگاه­های تخصصی افتا
  2. تدوین آئین­نامه ایجاد آزمایشگاه­های تخصصی افتا
  3. تدوین آئین نامه حمایت از ایجادکنندگان آزمایشگاه­های تخصصی افتا
 

 

 

 

 

 

]]>
2016/5/24
<![CDATA[حفاظت از دسترسي به DNS رايانه خود]]>

حفاظت از دسترسي به DNS رايانه خود

 

يكي از مسائل مهم در امنيت بخشي به كامپيوترهاي شخصي، مراقبت از تغييرات ناگهاني است كه مي خواهد بر روي DNS انجام گيرد. برخي از حملات نفوذگران بر اين اساس مي باشد كه با تغيير آدرس DNS بر روي كامپيوترهاي Client ، كاربران را هنگام درخواست ديدن سايتهاي معروف، آنها را به سمت سايتهاي مخصوصي كه همچون همان سايتهاي معروف هستند هدايت مي كنند كه اين سايتها داراي محتواي مخرب مي باشند كه مي توانند سيستم كاربران را آلوده كند. در ادامه به معرفي DNS و راه كارهاي امنيت بخشي به اين مبحث بر روي سيستم ها مي پردازيم.



DNS چيست؟
    سيستم نام دامنه يا همان Domain Name System به يك سيستم مرحله اي گفته مي شود كه بر روي سرورهاي مختلفي قرار داره كه نام هاي مختلفي كه همان نام معرف آدرس سايتها هستند را به آدرس هاي اينترنتي آنها معادل مي كنند. به عبارت ديگر DNS يك بحث معادل سازي نام دامنه ها به آدرس هاي اصلي سرورهاي آنها مي باشد. در سرورهاي DNS پايگاه هاي توزيع شده داده اي بزرگي وجود دارد كه Domain ها را همراه با آدرس IP آنها ذخيره كرده و در اختيار متقاضيان قرار مي دهند.
هنگامي مي خواهيد از طريق يك مرورگر به يك سايت برويد، مرورگر براي پيدا كردن آدرس IP سرور آن سايت مورد نظر، آدرس IP را از طريق مراحل سوالاتي از سرور DNS درخواست مي كند كه در نهايت سرور DNS ، آدرس IP سرور سايت مورد نظر را به مرورگر مي دهد و سپس سايت براي كاربر نمايش داده مي شود. در تصوير زير اين مسير را مشاهده مي فرماييد.

 

 فايل hosts در سيستم عامل ويندوز
    اين فايل در حالت كلي كار يك معرف را انجام مي دهد. معرفي آدرس IP مربوط به يك Domain Name . اين فايل در آدرس زير در سيستم عامل هاي ويندوزي بعد از نسخه NT وجود دارد:
%SystemRoot%\System32\drivers\etc\hosts
    طريقه وارد كردن نام دامنه و همچنين آدرس IP مربوط به آن در اين فايل hosts به صورت زير مي باشد:
aaa.bbb.ccc.ddd mycomputer.mydomain.com
    همانطور كه مشاهده مي كنيد، آدرس IP در ابتدا و سپس نام دامين پس از آن قرار مي گيرد. يك نمونه مثال را در زير مي توانيد ببنيد:
10.10.12.11 itman.gov.ir
    همانطور كه مشاهده مي كنيد، يك آدرس IP براي دامنه itman.gov.ir معرفي شده است. در تصوير زير نمايي از فايل hosts را مشاهده مي كنيد:

 

متن كامل اين  مستند در فايل پيوست مي باشد

]]>
2016/5/17
<![CDATA[جلوگيري از حملات Phishing]]>   جلوگيري از حملات Phishing

 

سرقت اطلاعات حياتي مانند نام كاربري، رمز عبور، اطلاعات كارت بانكي از طريق جعل ايميل ،سايت ، پيامك و غيره را فيشينگ مي نامند. هكرها براي فيشينگ معمولا به سراغ سرويس هاي ايميل دهي و شبكه هاي اجتماعي مانند فيسبوك و تويتر مي روند. به منظور جلوگيري از هك شدن توسط حملات فيشينگ بايد به مواردي همچون نام دامنه، گواهينامه امنيتي وب سايتها و پرهيز از بازكردن popup دقت نمود. در ادامه تمامي آن ها را بررسي خواهيم كرد.


نام دامنه ها
    در اين روش فيشينگ، هكر كاربران را به استفاده از دامنه مشابه آدرس اصلي ترغيب مي كند. در تصوير زير كاربر به ابتداي آدرس دقت كرده، با دامنه paypal در انگليس مواجه ميشود و به ادامه آن دقت نمي كند. سپس نام كاربري و رمز عبور خود را وارد مي كند.

 

 

گواهينامه امنيتي SSL
    يكي از كاربرهاي گواهينامه امنيتي SSL تضمين و تاييد هويت وب سايت يا سرويس مورد استفاده در بستر اينترنت است، بدين صورت كه كاربران با مشاهده گواهينامه SSL بر روي يك سايت مي توانند از جعلي نبودن سايت مذكور اطمينان حاصل كنند. براي بررسي و تاييد گواهينامه SSL سايت مي توان از سامانه DigiCert SSL Checker استفاده كرد. آدرس سامانه : https://www.digicert.com/help

 

جهت مطالعه كامل اين مستند به پيوست مراجعه گردد

]]>
2016/5/17
<![CDATA[امنيت در USB Flash Drive]]>    امنيت در USB Flash Drive

 

يكي از مباحث مهم در امنيت اطلاعات شخصي، محافظت از داده ها بر روي حافظه هاي كوچك همراه يا همان Flash Drive ها مي باشد كه غالباً همراه سيستم اتصالي USB مي باشند. اين گونه حافظه هاي همراه از چند نظر مورد آسيب پذيري قرار مي گيرند. از بين رفتن داده ها و يا ويروسي شدن آنها از شايعترين موارد آسيب پذيري داده هاي اين گونه حافظه ها مي باشد. در ادامه به بررسي سه موضوع اصلي و مهم در مورد امنيت در اين گونه حافظه هاي همراه مي پردازيم.


دسترسي به Flash Drive
    اولين مبحث مهم در اين موضوع، بررسي ساختاري است كه دسترسي به اين گونه حافظه ها را محدود به افرادي بكند كه اجازه ي دسترسي به داده هاي آن را دارند. يكي از بهترين راه كارها براي اين موضوع، قرار دادن يك گذرواژه امنيتي براي دسترسي به Flash Drive مي باشد.


مطالعه كامل اين مستند در فايل پيوست

 

دريافت فايل پيوست

]]>
2016/5/17