امنیت اطلاعات
و دیگر هیچ ...
کلمات کلیدی مطالب
آرشیو وبلاگ
نویسنده: افشین لامعی - ۱۳٩۳/۱۱/٦

بسیاری از ابزارهای امنیتی و غیر امنیتی به صورت یک ماشین مجازی از قبل نصب شده آماده دانلود و استفاده هستند. کافی است که این ماشین مجازی را دانلود و با داشتن VMWare یا virtualBox آن را اجرا کنید.

اگر ورژن VMWare شما منطبق با ورژن VMWare مبدأ (که ماشین مجازی در آنجا نصب شده) نباشد، ممکن است پیغام خطای زیر هنگام اجرای ماشین تولید شود:

Invalid configuration file. xxx was created by a VMware product with more features than this version of VMware Workstation and cannot be used with this version of VMware Workstation.

برای رفع این خطا در فایل vmx. مقدار فیلد virtualHW.version را به ورژن VMware خودتان تغییر دهید.

منبع

نویسنده: افشین لامعی - ۱۳٩۳/۱۱/۱

فرمان های net use و net view دو ابزاری هستند که احتمال استفاده از آنها در یک سیستم هک شده یا آلوده به بدافزار زیاد است. این دو فرمان که در خط فرمان ویندوز (cmd) قابل اجرا هستند، به ترتیب برای وصل شدن به یا قطع شدن از یک سیستم راه دور و نیز برای مشاهده سیستم های متصل به کار می روند. 

برای اطلاع از اینکه آیا این دو فرمان در سیستم اجرا شده اند یا خیر، دو موضوع را باید بررسی کرد:

1- آیا در دایرکتوری Prefetch ویندوز، فایلی که نشان دهنده اجرای آنها باشد ایجاد شده است؟

2- آیا در مجموعه event log های ویندوز، رخدادی مبتنی بر اجرای این فرمان ها ثبت شده است؟

برای این کار دو ابزار وجود دارد:

Microsoft Log Parser 2.2

Nirsoft WinPrefetchView v1.25

نحوه استفاده از این دو ابزار برای حل مسأله فوق در اینجا ذکر شده است.

نویسنده: افشین لامعی - ۱۳٩۳/۱٠/٢۱

یادداشت من در شماره 55 نشریه بانکداری الکترونیک با "عنوان آینده پاسخ به حوادث امنیتی" چاپ شده که ترجمه ای از این یادداشت است. من معمولاً از ترجمه مطالب فنی اجتناب می کنم اما این مورد از استثناها بوده  که ارزش ترجمه را داشت.

نویسنده: افشین لامعی - ۱۳٩۳/۱٠/۱۱

سیانوژن (بنیامین عظیمی) فایل پسوردهای hahsh شده فیس نما رو بررسی کرده و گفته که 3312 پسورد 123456 در اون هست! همچنین به نقل از حساب توییتر هوشمند گفته:

  • بیش از ۱۰ هزار نفر از پسوردهای بسیار ساده و تکراری استفاده کرده‌اند
  • پسورد ۱۲۳۴۵۶ پرکاربردترین پسورد بود که در مجموع ۲.۸ درصد کل کاربرها ازش استفاده کردند
  • مقام دوم پسوردهای پرکاربرد متعلقه به ۱۲۳۴۵۶۷۸۹ که ۱.۴ درصد کاربرها ازش استفاده کردند
  • مقام سوم پرکاربردها هم با ۰.۶ درصد تکرار معادل ۶۶۸ نفر، پسورد ۱۲۳۴۵ است
  • پسوردهای پرکاربرد بعدی عبارتند از ۱۱۱۱۱۱، ۰۰۰۰۰۰، ۱۲۳۴۵۶۷۸، ۱۲۳۱۲۳، ۱۲۳۴۵۶۷۸۹۰، ۶۵۴۳۲۱، ۱۲۳۴۵۶۷، ۹۸۷۶۵۴۳۲۱، ۱۲۳۳۲۱، ۱۱۲۲۳۳ و ۶۶۶۶۶۶
  • نکته مهم این پسوردها اینه که فیس‌نما کاربرها رو به استفاده از پسورد پیچیده‌تر ترغیب نکرده. پسوردها رو هم به ساده‌ترین الگوریتم، هش کرده
  • حدود ۷۰ درصد کاربرها پسوردی گذاشتند که منحصر به خودشون بوده. البته معنیش این نیست که پسورد قوی هم بوده
  •  متاسفانه سایت فیس‌نما حداقل‌های امنیت کاربرها رو رعایت نکرده و مطمئنا از هیچ کارشناس امنیتی برای چک کردن سایتش استفاده نکرده.
  • استفاده از کلمه ادمین در اسم ممنوع نشده و کاربری ۱۶۵ اکانت با اسم شبیه به ادمین و یا تقلبی و ترکیبی از آدرس ایمیل rezi.hacker ساخته
  • با توجه به ثبت ایمیل‌های تقلبی می‌شه حدس زد که از لینک فعال‌سازی برای اکانت‌ها استفاده نشده و بدون اکتیو شدن، اکانت ساخته شده
  • حدود ۸۸ درصد کاربرها از ایمیل یاهو استفاده کردند و در رتبه دوم هم سرویس جیمیل با ۹ درصد قرار داره. هات‌میل هم ۰.۵ درصد

علیرضا معظمی هم در کامنت های پست جادی گفته:

درصد قابل توجهی از ایمیلها اصلا معتبر نیستند و این نشون می‌ده که اصلا validate ی در کار نبوده یا شاید هم به صورت فله‌ای import کردن که آمار بره بالا :-)
■ علاوه بر روش ذخیره سازی ضعیف (md5 اونم بدون salt) اینکه سیستمشون به کاربر اجازه داده رمزهای ضعیف انتخاب کنه هم نکته منفی مهمی‌ه. مثلا بیش از 80 درصد از این 27 هزار رمزی که کشف شده، به صورت عدد خالی است.
■ حدود 2 هزار نفر شماره موبایل (طبعا خودشون) رو به عنوان رمز عبور گذاشتن.
■ رمز پربسامد به ترتیب عبارتند بودند از: 123456, 123456789, 12345, 111111, 000000, 12345678, 123123, 1234567890, 654321, 1234567, 987654321, 123321, 112233, 666666, 123654, 121212, 110110, 7777777, 987654, 13651365, 202020, 222222, 102030, 00000, 13691369, 555555, qwerty, 11111

 

نویسنده: افشین لامعی - ۱۳٩۳/۱٠/۱٠

شبکه اجتماعی "فیس نما" هک شده و بخشی از اطلاعات دیتابیس کاربران آن در خود سایت برای دانلود قرار داده شده (البته در حال حاضر، سایت از دسترس خارج شده و مدیران سایت گفته اند که به زودی بیانیه ای در این باره خواهند داد).

آنطور که در سایت های مختلف گفته شده، هکر مربوطه ادعا کرده که کل دیتابیس را به زودی در اختیار عموم قرار خواهد داد و به مردم توصیه کرده که "در سایت های در پیت!!" عضو نشوند.

نویسنده: افشین لامعی - ۱۳٩۳/۱٠/۸

فردا دومین جلسه از دوره آموزشی تهدیدهای نوظهور در شبکه های بانکی در مرکز فابا برگزار خواهد شد. در این جلسه مروری بر حملات هدفمند و تهدیدهای پیشرفته ماندگار (APT) خواهیم داشت، همچنین در مورد ابزارهای ارزیابی آسیب پذیری هم به صورت عملی صحبت خواهیم کرد.

نویسنده: افشین لامعی - ۱۳٩۳/۱٠/٥

بعد از حوادثی که برای شرکت سونی پیکچرز در چند هفته گذشته رخ داد، شرکت سونی آمریکا آگهی استخدام یک مدیر پاسخ به حوادث (Incident Response Manager) را منتشر کرده است. 

نویسنده: افشین لامعی - ۱۳٩۳/٩/٢٩

سیسکو بعد از خرید SourceFire به پشتیبانی از snort ادامه داده و حالا نسخه آزمایشی snort 3.0 را ارائه کرده است. بین تمام ویژگی های جدید این نسخه، multi thread بودن را می توان به عنوان یک نقطه عطف در قابلیت های snort دانست.

این نسخه هنوز عملیاتی نبوده و استفاده از آن صرفاً برای تست توصیه می شود.

نویسنده: افشین لامعی - ۱۳٩۳/٩/٢٦

"بانک مرکزی در تصمیمی جدید از شرکت های ارائه دهنده سرویس دستوری ussd خواست تا رمز دوم کارت‌های بانکی را به مشتریان پس بدهند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بانک مرکزی با ابلاغ دستورالعملی از همه شرکت‌های ارائه دهنده کدهای دستوری USSD خواسته است هر چه سریع‌تر نسبت به عودت رمز‌های کارت‌های بانکی مشتریان اقدام کنند و تاکنون نیز برخی شرکت‌ها اقدام به ارسال پیامک به مشتریان جهت حذف رمز آن‌ها کرده‌اند."منبع.

من در یک پروژه ارزیابی امنیتی که قبلاً انجام دادم مخاطرات این سرویس های مبتنی بر USSD را از نزدیک مشاهده کردم. سرویس های بانکی مبتنی بر USSD آنطور که در بسیاری از بانک های ایران ارائه می شوند ریسک های بالایی از نظر امنیتی دارند. ارتباط USSD به کلی مبتنی بر Clear Text بوده و در نقاط مختلفی از گوشی تلفن مشتری تا سرویس دهنده بانک، خطر شنود ارتباط وجود دارد. در نتیجه تبادل اطلاعاتی مثل شماره کارت و رمز دوم به هیچ وجه در این بستر قابل قبول نیست. با این حال بانک های ایرانی بر خلاف Best Practice ها، انواع سرویس های مبتنی بر رمز دوم را روی این بستر ارائه می دهند. فراتر از آن، رمز دوم مشتری  و شماره کارت او در سرورهای این سرویس ذخیره می شود که این بر خلاف استاندارد امنیتی PCI است. بنابراین اقدام بانک مرکزی در جهت کاهش مخاطرات مشتری قابل ستایش است.

مطالب قدیمی تر »
سی و سه ساله ، متأهل، دانشجوی دکترای نرم افزار ـ امنیت، دانشگاه صنعتی امیرکبیر. مشاور مستقل امنیت اطلاعات.
مطالب اخیر: