امنیت اطلاعات

نوشته های پراکنده درباره امنیت اطلاعات

نتایج یک تحلیل درباره استاکس نت

استاکس نت و stuxnet و ralph langner و زیمنس

کنفرانس S4 به صورت سالانه توسط شرکت Digital Bond برگزار می شود. امسال دوره پنجم آن در فلوریدا برگزار شد. یکی از ارائه های امسال توسط Ralph Langner درباره ویروس استاکس نت (Stuxnet) برگزار شد. گفته شده که وی تحقیقات زیادی روی استاکس نت داشته و قبلاً هم نتایج مربوطه را منتشر کرده. تمرکز وی بر نقاط ضعف سیستم های کنترل صنعتی، به خصوص SCADA که مورد سوء استفاده استاکس نت قرار گرفته، بوده است. وی با مهندسی معکوس ویروس نشان داده که اولاً این ویروس از یک خطای معماری در نرم افزار کنترل کننده محصول زیمنس استفاده کرده، و نه یک آسیب پذیری معمول که در هر نرم افزاری ممکن است موجود باشد. دوم اینکه نشان داده شده که استاکس نت دقیقاً دستگاه های خاصی را هدف قرار داده و برای اثبات آن مدعی شده که پیکربندی قابل مشاهده در آن دستگاه ها که تصادفاً در رسانه های ایران منتشر شده، با آنچه در کد استاکس نت دیده می شود مطابقت دارد. وی می گوید که دیگر از لحاظ فنی هم تردیدی در اینکه استاکس نت برای هدف قرار دادن ایران تولید شده وجود ندارد.   

در همین زمینه:

Researcher Will Demo Crippling Siemens Attack Using Metasploit

Stuxnet Expert: Analysis Shows Design Flaw, Not Vulnerability Sunk Siemens

Ralph Langner on Cracking Stuxnet

   + افشین لامعی ; ۱:٤٠ ‎ق.ظ ; ۱۳٩٠/۱۱/٧
comment نظرات ()

سیستم عامل بومی: زمین (xamin)

سیستم عامل بومی و سیستم عامل ملی و زمین و xamin

در اخبار مختلفی دیدم که پروژه سیستم عامل بومی جدیداً با عنوان xamin (زمین) شروع به کار کرده است. تاریخچه پروژه هایی از این دست در دسترس بوده و پیش بینی سرنوشت آنها هم کار چندان سختی نیست. اینکه اساساً ترکیب "سیستم عامل بومی" یا "سیستم عامل ملی" چقدر در دنیای واقعی معنادار است خود داستانی است. سیستم عامل، یک فناوری است که تعریف، نیازمندی ها و مشخصه های جهانشمول دارد. این پارامترها زمانی که پدران ما با چهارپایان رفت و آمد می کردند، در دنیای آزاد و مبتنی بر مشارکت (contribution) آکادمیک و صنعتی ایجاد و تکامل پیدا کرده اند. تصور اینکه اضافه کردن پسوند بومی یا ملی، منجر به خلق موجودی فراتر از آن پارامترهای جهانشمول خواهد شد در بهترین حالت نشانه ساده اندیشی و برداشتی متوهمانه از  دانش و فناوری است، البته اگر مقاصد دیگری در میان نباشد.

اگر قرار است لینوکس را مثل پروژه قبلی، فارسی کنند و نامش را ملی بگذارند که هیچ، در غیر اینصورت، پروژه سیستم عامل ملی چه مزیتی نسبت به ویندوز، لینوکس و دیگر سیستم عامل های جهانی خواهد داشت؟ تنها دو مزیت قابل تصور است: امنیت و خودکفایی. در زمینه امنیت، مثل روز برای اهل فن روشن است که راه حل ناامن بودن سیستم عامل های فعلی (با فرض اینکه واقعاً چنین باشد)، تولید سیستم جدید، آن هم در محیط ایزوله داخلی و با بضاعت دانش فعلی نیست. در زمینه خودکفایی و قطع وابستگی هم هر وقت ما در زمینه های پایه ای تر از سیستم عامل، به طور مشخص سخت افزار، خودکفا شدیم، چنین ادعا و آرزویی منطقی خواهد بود (امکانپذیر بودن آن که جای خود دارد).

در هر حال، تعریف چنین پروژه هایی از بی کار بودن بهتر است.

   + افشین لامعی ; ۱۱:٥۱ ‎ب.ظ ; ۱۳٩٠/۱۱/٤
comment نظرات ()

ضعف منجر به دسترسی از راه دور به سیستم عامل اندروید

اندروید و امنیت اندروید

این ویدئو نشان می دهد که چطور بدون استفاده از اکسپلویت، میشود از سیستم عامل اندروید یک Shell گرفت! Thomas Cannon محققی که این آسیب پذیری را نشان داده به این نکته اشاره می کند که آنچه منجر به آسیب پذیری اندروید در این سناریو شده، صرفاً یک ویژگی کاربردی خود سیستم است، نه هیچ ابزار یا اکسپلویت خاصی! در این ویدئو ابتدا یک بازی روی سیستم نصب می شود، این بازی در سیستم مدیریت مجوزهای اندروید به عنوان "No Permission" شناخته می شود، به این معنی که برنامه قرار نیست مجوز خاصی که از نظر معماری اندروید حساس باشد، از سیستم عامل دریافت کند. با این حال، همین برنامه میتواند برای دریافت Remote Shell مورد سوء استفاده قرار گیرد.

   + افشین لامعی ; ٤:٥۸ ‎ب.ظ ; ۱۳٩٠/٩/۳٠
comment نظرات ()

مطالب منتخب هفته

جنگ الکترونیک

دو مطلب درباره جنگ الکترونیک مورد بحث روزهای اخیر:

1

2 

   + افشین لامعی ; ۱۱:۳٩ ‎ب.ظ ; ۱۳٩٠/٩/٢٥
comment نظرات ()

اصلاحیه مایکروسافت مربوط به ویروس Duqu

duqu و ویروس و اصلاحیه و مایکروسافت

آسیب پذیری مورد سوء استفاده توسط بدافزار Duqu روز سه شنبه توسط مایکروسافت اصلاح شد. این آسیب پذیری zero-day در بخش پارسر فونت های True Type ویندوز وجود داشت.

   + افشین لامعی ; ۱٢:٢۱ ‎ق.ظ ; ۱۳٩٠/٩/٢۳
comment نظرات ()

پیش بینی های پایان سال گارتنر

گارتنر و gartner و ارزیابی امنیت و security test

موسسه تحقیقاتی گارتنر (Gartner) لیست پیش بینی های پایان سال خود را اعلام کرده:

  • By 2015, low-cost cloud services will cannibalize up to 15 percent of top outsourcing players' revenue.
  • In 2013, the investment bubble will burst for consumer social networks, and for enterprise social software companies in 2014.
  • By 2016, at least 50 percent of enterprise email users will rely primarily on a browser, tablet or mobile client instead of a desktop client.
  • By 2015, mobile application development projects targeting smartphones and tablets will outnumber native PC projects by a ratio of 4-to-1.
  • By 2016, 40 percent of enterprises will make proof of independent security testing a precondition for using any type of cloud service.
  • At year-end 2016, more than 50 percent of Global 1000 companies will have stored customer-sensitive data in the public cloud.
  • By 2015, 35 percent of enterprise IT expenditures for most organizations will be managed outside the IT department's budget.
  • By 2014, 20 percent of Asia-sourced finished goods and assemblies consumed in the U.S. will shift to the Americas.
  • Through 2016, the financial impact of cybercrime will grow 10 percent per year, due to the continuing discovery of new vulnerabilities.
  • By 2015, the prices for 80 percent of cloud services will include a global energy surcharge.
  • Through 2015, more than 85 percent of Fortune 500 organizations will fail to effectively exploit big data for competitive advantage.

 

   + افشین لامعی ; ٢:۱٥ ‎ب.ظ ; ۱۳٩٠/٩/٢٠
comment نظرات ()

مطالب منتخب هفته

چهارمین نسخه از گزارش "وضعیت امنیت نرم افزار" توسط کمپانی Veracode منتشر شد. تحلیلی از این گزارش در اینجا آمده. از میان 10000 برنامه تست شده در این گزارش، 84 درصد از آنها که به صورت داخلی توسط خود سازمان ها تولید شده اند، آسیب پذیر بوده اند.

Bruce Schneier در مطلبی نحوه برخورد تولید کنندگان نرم افزار را با افرادی که آسیب پذیریهای محصول آنها را کشف و افشا می کنند بررسی کرده. اگر چه در ایران فعلاً موضوع خیلی جدی نیست اما به زودی جدی خواهد شد ... بخشی از این یادداشت:

"Disclosing security vulnerabilities is good for security and good for society, but vendors really hate it. It results in bad press, forces them to spend money fixing vulnerabilities, and comes out of nowhere. Over the past decade or so, we've had an uneasy truce between security researchers and product vendors. That truce seems to be breaking down."

فیس بوک یک آسیب پذیری منجر به نقض تنظیمات privacy عکسها را بلافاصله بعد از انتشار عکس های مارک زوکربرگ بر اثر همین آسیب پذیری، ترمیم کرد!

 

   + افشین لامعی ; ۱٠:٢٧ ‎ق.ظ ; ۱۳٩٠/٩/۱٧
comment نظرات ()

فایروال برنامه کاربردی وب (WAF)

فایروال برنامه کاربردی وب و web application firewall و waf و utm

اخیراً مطالعه ای روی تعدادی از فایروال های وب (Web App. Firewall) که در اصطلاح WAF نامیده می شوند داشتم و تعدادی از آنها را تست کردم. روند تکامل این محصول در طول سال های گذشته و بازار گسترده ای که برای آن پیش بینی می شود در نوع خود جالب توجه است. زمانی در توجیه استفاده از UTM ها، گفته می شد که به جای هزینه کردن برای چند سخت افزار (فایروال، IPS ، آنتی ویروس، VPN Server و ...) بهتر است از یک ابزار UTM که همه این سرویس ها را به صورت یکپارچه ارائه میکند استفاده کنیم. به تدریج ابزارهایی مثل WAF ، Email Gateway Database Firewall و غیره به وجود آمدند که در ظاهر، در تقابل با فلسفه استفاده از UTM است. اما نگاهی دقیق به روند ایجاد این ابزارهای جدید نشان می دهد که به موازات پیچیده تر شدن کاربردها (Applications) ، تهدیدهای امنیتی نیز پیچیده تر و وابسته تر به ویژگی های لایه کاربرد شده اند. به همین خاطر، مقابله با این تهدیدها نیاز به ابزارهایی تخصصی تر از UTM دارد.

https://www.owasp.org/index.php/Web_Application_Firewall

   + افشین لامعی ; ۱٠:٤۸ ‎ب.ظ ; ۱۳٩٠/٩/۱
comment نظرات ()

قوی ترین صداهای امنیت اطلاعات

کسپرسکی و قوی ترین صداها و bruce schneier و richard bejlitch

مطالعه ای نسبتاً جدید توسط sys-con.com با عنوان Most Powerful Voices in Security انجام شده که در آن به تأثیر گذارترین افراد در حوزه امنیت اطلاعات اشاره شده است. صرفنظر از نحوه تهیه این لیست که خودنکات جالبی دارد، در بخش پرمخاطب ترین ترین مدیران اجرایی، نام Eugene Kaspersky مدیر کمپانی کسپرسکی و در بخش وبلاگ ها، Bruce Schneier و در بخش مدیران اجرایی امنیت، Richard Bejlitch به چشم می خورد.

   + افشین لامعی ; ٥:٠٩ ‎ب.ظ ; ۱۳٩٠/۸/٢٢
comment نظرات ()

آموخته هایی از ویروس Duqu

ویروس و duqu

ویروس Duqu که اخیراً در اینترنت منتشر شده به هکر امکان اجرای کد از راه دور روی سیستم قربانی را می دهد. هکرها میتوانند از راه دور، دستور گسترش ویروس به دیگر سیستم ها از طریق SMB (فولدرهای Share شده ) را هم بدهند. اگر کامپیوتر آلوده شده خود به اینترنت متصل نباشد، با استفاده از پروتکل خاصی با کامپیوتر آلوده دیگری که به اینترنت وصل است مرتبط شده و از آن به عنوان واسطه ارتباط با اینترنت استفاده می کند!

استفاده این ویروس از SMB سیستم های ویندوزی برای انتشار و نیز استفاده از کامپیوترهای واسطه برای اتصال به اینترنت و ارتباط با سرور هکرها، دو نکته جالبی هستند که اهمیت یکسری اصول و Best Practice ها را یادآوری می کنند:

1- لزوم رعایت اصل حداقل دسترسی در پیکربندی فایروال و ناحیه بندی میان سرورها

2- عدم استفاده از امکان اشتراک فایل به صورت توزیع شده و غیرمتمرکز به خصوص در محیط های ویندوزی 

3- لزوم مانیتور کردن کلیه ارتباطات میان سرورها با یکدیگر و با کلاینت ها

برخلاف تصور رایج در اغلب سازمان ها، عدم اتصال سرور به اینترنت هیچ تضمینی برای امن بودن آن به همراه نمی آورد.

خلاصه نتایج بررسی بدافزار Duqu از اینجا:

  1. We only have recorded incidents in Sudan and Iran;
  2. We have no information linking the victims to Iran’s nuclear program, CAs or specific industries;
  3. It is obvious that every single Duqu incident is unique with its own unique files using different names and checksums;
  4. Duqu is used for targeted attacks with carefully selected victims (The term APT has been used to describe this, but I don’t like this expression and prefer not to use it);
  5. We know that there are at least 13 different driver files (and we have only 6 of them);
  6. We haven’t found any ‘keylogger’ module usage. Either it has never been used in this particular set of incidents, or it has been encrypted, or it has been deleted from the systems;
  7. Analysis of driver igdkmd16b.sys shows that there is a new encryption key, which means that existing detection methods of known PNF files (main DLL) are useless. It is obvious that the DLL is differently encoded in every single attack. Existing detection methods from the majority of AV vendors are able to successfully detect Duqu drivers. But it is almost 100% certain that the main DLL component (PNF) will go undetected.
  8. Duqu is a multifunctional framework which is able to work with any number of any modules. Duqu is highly customizable and universal;
  9. The main library (PNF) is able (export 5) to fully reconfigure and reinstall the package. It is able to install drivers and create additional components, record everything in the registry, etc. It means that if there is a connection to active the C&C and commands, then Duqu’s infrastructure on a particular system might be changed completely;
  10. Duqu’s authors were able to install updated modules on infected systems just before the information about this malware was published because we continue to discover new Duqu drivers created on October 17, 2011. We cannot rule out the possibility that they were able to change the C&C;
  11. We cannot rule out that the known C&C in India was used only in the first known incident (see original report from Crysys Lab) and that there are unique C&Cs for every single target, including targets found by us;
  12. Reports that Duqu works on infected systems for only for 36 days are not entirely correct. Even this data point is customized: only jminet7.sys/netp191.pnf uses its 36-day counter. The set of modules cmi4432.sys/cmi4432.pnf will remove itself after 30 days.

 

   + افشین لامعی ; ۳:٢٧ ‎ب.ظ ; ۱۳٩٠/۸/۱٥
comment نظرات ()
← صفحه بعد
طراح قالب :: قالب های وبلاگ