امنیت اطلاعات
و دیگر هیچ ...
کلمات کلیدی مطالب
آرشیو وبلاگ
نویسنده: افشین لامعی - ۱۳٩۳/٩/٢٦

"بانک مرکزی در تصمیمی جدید از شرکت های ارائه دهنده سرویس دستوری ussd خواست تا رمز دوم کارت‌های بانکی را به مشتریان پس بدهند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بانک مرکزی با ابلاغ دستورالعملی از همه شرکت‌های ارائه دهنده کدهای دستوری USSD خواسته است هر چه سریع‌تر نسبت به عودت رمز‌های کارت‌های بانکی مشتریان اقدام کنند و تاکنون نیز برخی شرکت‌ها اقدام به ارسال پیامک به مشتریان جهت حذف رمز آن‌ها کرده‌اند."منبع.

من در یک پروژه ارزیابی امنیتی که قبلاً انجام دادم مخاطرات این سرویس های مبتنی بر USSD را از نزدیک مشاهده کردم. سرویس های بانکی مبتنی بر USSD آنطور که در بسیاری از بانک های ایران ارائه می شوند ریسک های بالایی از نظر امنیتی دارند. ارتباط USSD به کلی مبتنی بر Clear Text بوده و در نقاط مختلفی از گوشی تلفن مشتری تا سرویس دهنده بانک، خطر شنود ارتباط وجود دارد. در نتیجه تبادل اطلاعاتی مثل شماره کارت و رمز دوم به هیچ وجه در این بستر قابل قبول نیست. با این حال بانک های ایرانی بر خلاف Best Practice ها، انواع سرویس های مبتنی بر رمز دوم را روی این بستر ارائه می دهند. فراتر از آن، رمز دوم مشتری  و شماره کارت او در سرورهای این سرویس ذخیره می شود که این بر خلاف استاندارد امنیتی PCI است. بنابراین اقدام بانک مرکزی در جهت کاهش مخاطرات مشتری قابل ستایش است.

نویسنده: افشین لامعی - ۱۳٩۳/٩/٢٤

دوره آموزشی "تهدیدهای نوظهور در شبکه بانکی" به صورت هفتگی در مرکز فابا در حال برگزاری است (سیلابس دوره)

در هفته اول (جلسه اول و دوم) به مبانی، اهداف و ابعاد امنیت و نیز انواع بدافزارهای سنتی پرداختیم. در جلسه سوم و چهارم که فردا برگزار می‏ شود به بررسی تهدیدهای پیشرفته ماندگار (APT)، نحوه عملکرد آنها و روش های عمومی شناسایی و مقابله با آنها می پردازیم. همچنین در مورد ابزارهای مختلف ارزیابی آسیب پذیری هم مثل MBSA و OpenVAS صحبت خواهیم کرد.

نویسنده: افشین لامعی - ۱۳٩۳/٩/۱٩

دردو هفته گذشته دو دوره آموزشی برگزار کردم که با استقبال مناسبی روبرو شد. دوره اول، روش های حمله و دفاع بود که به مدت دو روز برگزار شد و ترکیبی از مطالب تئوری و عملی شبیه به کارگاه در حوزه فایروال، IDS  و هانی پات بود..

دوره دوم با موضوع معماری سازمانی امنیت اطلاعات به مدت دو روز برگزار شد که محتوای آن شامل ارتباط معماری امنیت و معماری سازمانی، روش ایجاد و ارزیابی معماری امنیت و اجزای مهم این معماری بود.

نویسنده: افشین لامعی - ۱۳٩۳/٩/٩

یادداشت من در شماره 54 نشریه بانکداری الکترونیک در باره نشانه های نفوذ (Indicators of Compromise) و نقش آنها در سیستم های جدید مانیتورینگ امنیت.

نویسنده: افشین لامعی - ۱۳٩۳/٩/٧

بدافزار Regin به عنوان جدیدترین نمونه از تهدیدهای پیشرفته ماندگار (APT) شباهت ها و تفاوت های مختلفی با نمونه های قبلی مثل استاکس نت و فلیم دارد. از نظر پیچیدگی ساختار و نحوه عملکرد، Regin مانند دیگر تهدیدهای جدید دارای ماژول ها و امکانات مختلفی است و بسته به محیطی که در آن قرار گرفته می تواند از قابلیت هایی مثل شنود، سرقت اطلاعات، بازیابی اطلاعات حذف شده و غیره استفاده کند. در واقع این بدافزار یک مجموعه از ابزارها است که امکانات متنوعی حتی برای در اختیار گرفتن کنترل کل شبکه، نه فقط یک کامپیوتر آلوده، به نفوذگر می دهد. یکی از کارکردهای اصلی این بدافزار، بر خلاف استاکس نت که نابود کردن سیستم آلوده بود، دسترسی نفوذگر به شبکه آلوده از راه دور است.

گفته می شود که نمونه های آن از سال 2003 وجود داشته اما فعالیت عمده آن از 2009 به بعد دیده شده است. با اینکه فعالیت این بدافزار در شبکه های مخابراتی GSM و اولین ظهور آن در یک شرکت اروپایی و بعد مقر اتحادیه اروپا بیشتر مورد توجه قرار گرفته اما در صنایع متنوعی حتی در بخش های بیمارستانی هم دیده شده است. در مورد منشأ این بدافزار، که برخی تحلیلگران آن را پیچیده تر از استاکس نت دانسته اند، طبق معمول از یک یا چند دولت (به خصوص انگلستان و آمریکا) نام برده می شود. ماهیت کشورهایی که نمونه های این بدافزار در آنها دیده شده (از جمله ایران) و کدهای خاصی که در متن این بدافزار به دست آمده به این گمانه زنی ها افزوده است.

IOC های متعددی در گزارش ها معرفی شده که با بررسی آنها می شود از وجود این بدافزار در شبکه مطلع شد. از نمونه این IOC ها می توان به آدرس IP مراکز فرماندهی و کنترل بدافزار (C&C) ، مقدار Hash فایل ها، کلیدهای رجیستری، نام و مسیرهای فایل ها اشاره کرد.

نویسنده: افشین لامعی - ۱۳٩۳/۸/٢٧

سیسکو اعلام کرده که پروژه پایش و تحلیل داده های امنیتی در مقیاس بزرگ (Big Data) را با عنوان OpenSOC تحت لایسنس آپاچی توسعه خواهد داد.

این پلتفرم قرار است تا 1.2 میلیون بسته در ثانیه را به صورت عمیق پردازش کند. این به معنای جمع آوری و تحلیل 50 ترابایت اطلاعات در روز است. به وضوح مشخص است که سیسکو بعد از پایان دادن به فروش محصول SIEM خود با نام Cisco Mars ، برای ورود قدرتمند به بازار پایش امنیت و مرکز عملیات امنیت به دنبال ارائه پاسخ به چالش اصلی این بازار یعنی پردازش در سطح Big Data است. سیسکو از مجموعه ابزارهای Apache Hadoop برای ایجاد این چارچوب استفاده کرده است.

برای راه اندازی OpenSOC باید اجزای زیر راه اندازی شوند:

  • 2 Network Capture Cards (Recommend Napatech NT20E2-CAP)
  • Apache Flume 1.4.0 +
  • Apache Kafka 0.8.1+
  • Apache Storm 0.9 +
  • Apache Hadoop 2.x (any distribution)
  • Apache Hive 12 + (13 recommended)
  • Apache Hbase 0.94+
  • Elastic Search 1.1 +
  • MySQL 5.6+

پشتیبانی سیسکو از این پروژه با توجه به نقش زیربنایی محصولات سیسکو در شبکه ها نشان می دهد که این پروژه آینده موفقی خواهد داشت. به علاوه، معماری این پروژه هم نشان دهنده نگاه بنیادین و همه جانبه به موضوع پایش امنیت و مرکز عملیات امنیت است. با این حال با توجه به اجزای فوق، احتمالاً راه اندازی OpenSOC فرآیند چندان ساده ای نخواهد بود و همین باعث می شود که تا فراگیر شدن استفاده از این محصول راه درازی در پیش باشد.

نویسنده: افشین لامعی - ۱۳٩۳/۸/۱۸

اگر از دوربین های مداربسته اینترنتی استفاده می کنید این سایت را بررسی کنید. در این سایت امکان اتصال به 143 دوربین در ایران و ده ها هزار دوربین در سراسر دنیا وجود دارد! این دوربین ها به دلیل عدم تغییر پسورد پیش فرض، و نیز فعال بودن امکان دسترسی از اینترنت، در دسترس عموم قرار دارند.

در حوادث مشابه این، حداقل نقش نهادهای بالادستی مثل ماهر و پلیس فتا می تواند این باشد که بلافاصله هویت سازمان ها یا افراد صاحب این دوربین ها را شناسایی و موضوع را به آنها اطلاع دهد. آیا این اتفاق خواهد افتاد؟ یا چند هفته بعد کماکان تصاویر این دوربین ها در دسترس عموم خواهد ماند؟

نویسنده: افشین لامعی - ۱۳٩۳/۸/۳

سمینار امنیت در بانکداری الکترونیک توسط مرکز فابا در مردادماه 1393 برگزار شد. همانطور که قبلاً گفته بودم در این سمینار در خصوص پیش نیازها و الزامات ورود به پروژه مرکز عملیات امنیت (SOC) ارائه ای داشتم که فایل پیاده شده از آن ارائه در دوماهنامه بانکداری الکترونیک چاپ شد.

عنوان ارائه: الزامات راه اندازی مرکز عملیات امینت: چگونه آغاز کنیم؟

این فایل در اینجا در دسترس است.

نویسنده: افشین لامعی - ۱۳٩۳/٧/٢۳

آسیب پذیری Poodle در طراحی پروتکل SSL v3.0 ، توسط محققان گوگل افشا شد (CVE-2014-3566). این آسیب پذیری منجر به حمله Man-in-the-Middle به اتصالات SSL v3.0 می شود، البته خود حمله از نوع client-side است. توصیه می شود که از TLS به جای SSL استفاده شود. با این حال معمولاً پروتکل میان کلاینت و سرور به صورت توافقی تعیین می شود لذا اگر سرور این نسخه آسیب پذیر را پشتیبانی کند نفوذگر می تواند آن را مجبور به استفاده از این نسخه نماید. به نظر می رسد که در مجموع این آسیب پذیری از Heartbleed (خونریزی قلبی) اثر مخرب کمتری داشته باشد.

اطلاعات بیشتر:

https://access.redhat.com/articles/1232123

https://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the-end-of-ssl-3-0/

http://security.stackexchange.com/questions/70719/ssl3-poodle-vulnerability

 

مطالب قدیمی تر »
سی و سه ساله ، متأهل، دانشجوی دکترای نرم افزار ـ امنیت، دانشگاه صنعتی امیرکبیر. مشاور مستقل امنیت اطلاعات.
مطالب اخیر: