امنیت اطلاعات
و دیگر هیچ ...
کلمات کلیدی مطالب
آرشیو وبلاگ
نویسنده: افشین لامعی - ۱۳٩٤/٢/۸

rdp-sec-check یک اسکریپت Perl است که سرویس RDP ویندوز را از جنبه های مختلف امنیتی بررسی می کند. برای استفاده از آن ابتدا از اینجا دانلود کرده و با دستور زیر آرشیو را باز می کنیم:

gzip -cd rdp-sec-check-0.9.tgz | tar xv

سپس به شکل زیر از اسکریپت استفاده می کنیم.

./rdp-sec-check <target address>

نویسنده: افشین لامعی - ۱۳٩٤/٢/٢

سمینار تخصصی تهدیدهای نوین امنیتی در روز دهم خردادماه توسط مرکز فرهنگ سازی و آموزش بانکداری الکترونیک (فابا) برگزار خواهد شد. من به همراه یکی از دوستانم در این سمینار برنامه سخنرانی داریم. این سمینار به بحث و بررسی درباره جدیدترین حوادث امنیتی خواهد پرداخت. علاوه بر این، یک نمونه از آسیب پذیری های بحرانی و جدید در برنامه های کاربردی مبتنی بر وب تحلیل خواهد شد و نیز در خصوص مشکلات روش های مورد استفاده در پروژه های تست نفوذ سازمان ها نیز بحث خواهد شد.

بروشور سمینار

نویسنده: افشین لامعی - ۱۳٩٤/۱/۳۱

موضوع هک شدن شرکت سونی پیکچرز یکی از بحث برانگیزترین حوادث امنیتی سال 2014 و حتی تاریخ امنیت اطلاعات به حساب می آید. گفته شده که گروهی با نام GOP در اعتراض به برنامه اکران فیلم مصاحبه (the interview) که مضمونی کمدی درباره رهبر کره شمالی داشت، دست به این نفوذ زده بودند. این گروه تقریباً همه نوع اطلاعات شخصی و اداری و حتی کپی فیلم ها را سرقت کرده و در نتیجه یکی از بزرگ ترین حوادث امنیت سایبری را رقم زدند.

تا امروز آرشیو جامعی از آنچه از سونی پیکچرز سرقت شده بود در دسترس عموم وجود نداشت، اما اخیراً اطلاعات سرقت شده از سونی پیکچرز توسط سایت ویکی لیکس در دسترس عموم قرار گرفته است. در این صفحه یک موتور جستجوی قدرتمند به شما برای یافتن انواع اطلاعات مربوط به سونی پیکچرز از بین 30278 سند و 173132 ایمیل کمک می کند. ویکی لیکس در بیانیه خود اعلام کرده که این آرشیو را بدون توجه به فشارهای سیاسی و قانونی در دسترس عموم نگه خواهد داشت.

تصویر صفحه اول این آرشیو

در بخش جستجو، می توانید بر اساس فرمت فایل های سرقت شده به دنبال کلمات خاصی بگردید. مثلاً تمام فایل های اکسل یا PDF یا تمام ایمیل ها که شامل کلمه خاصی هستند.

در ساختار دایرکتوری های این آرشیو، مطابق تصاویر زیر، تعداد بسیار زیادی فایل وجود دارد که در نام آنها از کلمه password استفاده شده است.

تصویر 1 ، تصویر 2 ، تصویر 3 و تصویر 4

 بررسی تصادفی محتوای این فایل ها نشان می دهد که نه تنها کاربران بخش های مختلف سونی پیکچرز، پسوردهای خود را در فایل های متنی ذخیره می کرده اند، بلکه این کار به صورت سیستماتیک توسط راهبران و مدیران هم انجام می شده است. در یکی از این فایل ها، پسورد صفحه رسمی سونی پیکچرز در تمام شبکه های اجتماعی ذخیره شده است.

تصور کنید که در یک کمپانی چند ده میلیارد دلاری به نام سونی پیکچرز که مطمئناً از بهترین فناوری ها استفاده می کند و کسب و کار بین المللی دارد، بدیهی ترین اصل در حفاظت از سیستم ها که همان ذخیره نکردن پسوردها به صورت clear text باشد رعایت نمی شود. می شود حدس زد که میانگین وضعیت در شرکت ها و سازمان های ایرانی چگونه باشد. فقط باید امیدوار بود که حادثه ای از نوع سونی پیکچرز در اینجا پیش نیاید. 

نویسنده: افشین لامعی - ۱۳٩٤/۱/۳۱

کنفرانس سالانه RSA که یکی از معتبرترین کنفرانس های مربوط به مارکت امنیت است از امروز 20 آوریل آغاز و تا 24 آوریل در سانفرانسیسکو ادامه خواهد داشت.

نویسنده: افشین لامعی - ۱۳٩٤/۱/٢٧

گزارش سالانه Verizon با عنوان DBIR 2015 منتشر شده که بر اساس اطلاعات بیش از 80000 حادثه امنیتی و بیش از 2000 نفوذ منجر به سرقت اطلاعات تولید شده است.

خلاصه ای از مهم ترین نتایج گزارش در اینجا ذکر شده، از جمله:

  • برای بیش از نیمی از آسیب پذیری ها، فاصله زمانی بین انتشار آسیب پذیری و اکسپلویت شدن آن به صورت عمومی در سال 2014 همیشه کمتر از 1 ماه بوده است.
  • نفوذ به پایانه های فروش (POS) بیشترین درصد حملات منجر به سرقت اطلاعات را شامل می شود.
نویسنده: افشین لامعی - ۱۳٩٤/۱/٢۱

سرویس Advanced Malware Protection سیسکو (AMP) که بعد از خرید SourceFire توسط سیسکو به خدمات امنیتی این شرکت اضافه شده حالا طبق اعلام این شرکت با سرویس Threat Grid ترکیب شده تا خدمات مختلف Threat Intelligence را در مجموعه خدمات پاسخ به حوادث سیسکو ارائه کند.

نویسنده: افشین لامعی - ۱۳٩٤/۱/۱٩

پلیس فدرال ایالات متحده (FBI) برای مقابله با یکی از مخرب ترین بدافزارهای بانکی با نام زئوس (Zeus) جایزه هنگفتی تعیین کرده است. طبق اطلاعیه­ای که اخیراً در وب­سایت  FBI منتشر شده ، این نهاد در ازای اطلاعاتی که منجربه کشف مخفیگاه معمار اصلی این بدافزار شود، 3 میلیون دلار پرداخت خواهد کرد. فرد تحت تعقیب طبق اطلاعیه FBI ، یک هکر روس به نام "یِوگِنی میخایلوویچ بوگاچف" است که متهم به ساخت و توزیع بدافزار بانکی زئوس است. بوگاچف به عنوان معمار بدافزار زئوس، بدافزاری که صدها میلیون دلار از بانک های کوچک و متوسط سرقت کرده است، و نیز به عنوان عضوی از یک گروه مجرمان سایبری تحت تعقیب قرار گرفته است. این گروه متهم به ایجاد شبکه ای از میلیون­ها کامپیوتر آلوده و اجاره دادن آن به دیگر مجرمان برای ارسال ایمیل­های تقلبی (اسپم) و انجام انواع حملات دیگر در سطح اینترنت هستند.

بدافزار زئوس از سال 2007 تا کنون در سطح اینترنت فعالیت کرده و صدها میلیون دلار از سیستم­های بانکداری اینترنتی سرقت کرده است. همچنین این بدافزار بارها تکامل یافته و نسخه های مختلفی از آن با قبلیت های مخرب قابل توجه به وجود آمده است. آخرین بار در دسامبر 2014 یک بدافزار پیشرفته به عنوان نسخه ای تکامل یافته از زئوس با نام Chthonic توسط شرکت کسپرسکی کشف شد. پیش از آن هم نسخه هایی چون Zeus Gameover و Citadel به طور گسترده ای موجب آلودگی کامپیوترها در سراسر دنیا، به خصوص آمریکا و اروپا شده بودند. البته آلودگی در کشورهای آمریکای لاتین، آسیا و آفریقا نیز گزارش شده است. فقط  در آمریکا گفته شده که نزدیک به چهار میلیون کامپیوتر آلوده به این بدافزار شناسایی شده است. نسخه های مختلف زئوس در شبکه­های زیرزمینی هکرها خرید و فروش می­شد اما پس از افشای کد منبع آن در سال 2011 این بدافزار در اختیار انواع نفوذگران با سطوح دانش متفاوت قرار گرفت. برخی منابع، قیمت بسته کامل زئوس را حتی تا پانزده هزار دلار نیز ذکر کرده­اند.  

زئوس در اصل یک بدافزار ویندوزی است که از ویندوز 95 تا ویندوز 8 و نیز اکثر نسخه های سرور ویندوز را آلوده می­کند. قابلیت کلیدی زئوس، اجرای حمله ای موسوم به MITB یا "فردی در مرورگر" است. در این نوع حمله، بدافزار در کامپیوتر آلوده، بین مرورگر کاربر و وب سایت مورد نظر کاربر (مثلاً وب سایت بانکداری اینترنتی) قرار می­گیرد. در نتیجه، کلیه اطلاعاتی که کاربر با مرورگر خود ارسال یا دریافت می­کند، در دسترس بدافزار خواهد بود و می­تواند توسط بدافزار شنود شده و حتی تغییر کند. به عنوان مثال، وقتی کاربر در حال انجام تراکنش آنلاین است، مبلغ تراکنش و شماره حساب مقصد توسط بدافزار پیش از ارسال به سرور بانک تغییر کرده و متناسباً پاسخ سرور بانک به کاربر نیز تغییر می­کند. لذا قربانی بدون اینکه متوجه شود مبلغ مورد نظر بدافزار را به حساب مورد نظر آن منتقل کرده است. البته زئوس دارای قابلیت شنود صفحه کلید (Keylogging) و نیز اتصال به سرور فرماندهی و کنترل و ایجاد شبکه­ای از کامپیوترهای آلوده نیز هست. این شبکه­ها تحت کنترل گروه­های مجرمانه بوده و برای انجام حملات ممانعت از سرویس توزیع شده (DDoS) ارسال ایمیل اسپم استفاده می­شوند. قابلیت شنود صفحه کلید به زئوس امکان سرقت ده­ها هزار نام کاربری و پسورد حساب­های بانکی آنلاین و ارسال آن به سرورهای تحت کنترل نفوذگر را داده است.

 نسخه ای از زئوس در اندروید و برخی سیستم های موبایل دیگر هم شناسایی شده است که به منظور سرقت کد عبور یک بار مصرف ارسالی از سرور بانک در هنگام ورود به سیستم بانکداری اینترنتی (در مواردی که این سرویس برای امنیت بیشتر توسط بانک به مشتری ارائه می­شود) تهیه شده است. این نسخه ZitMo نام دارد.

زئوس را می­توان یکی از نمونه­های کامل تهدیدهای جدید موسوم به تهدید پیشرفته ماندگار (APT) دانست. یک APT دارای چندین مرحله عملکرد است که از نفوذ اولیه آغاز و به سرقت اطلاعات از سیستم­های حساس شبکه قربانی ختم می­شود. معمولاً نفوذ اولیه در این تهدیدها با استفاده از ارسال ایمیل حاوی ضمیمه آلوده یا ترغیب کاربر به دانلود نرم افزار آلوده انجام می­شود. سپس این بدافزار اولیه، بدافزار اصلی را در سیستم قربانی نصب می­کند. در اینجا دیگر شناسایی و پاکسازی سیستم بسیار مشکل خواهد بود چون APT ها معمولاً دارای قابلیت روتکیت و نیز دور زدن انواع ضدبدافزارها هستند. بنابراین باید راه نفوذ اولیه را با آموزش کاربر، به روز رسانی سیستم عامل و ضدبدافزار مناسب مسدود نمود. آژانس امنیت سایبری اروپا موسوم به ENISA در سال 2012 در واکنش به گسترش روزافزون زئوس به بانک­ها توصیه کرد که در توسعه سیستم­های بانکداری آنلاین باید فرض را بر آلودگی قطعی کامپیوتر مشتری قرار دهند. همانطور که ذکر شد، در حملات MiTB نمی­توان به تصدیق اصالت دو عامله عادی (مثل استفاده از کارت هوشمند، اثر انگشت و غیره در کنار پسورد) اطمینان کرد. در نتیجه باید با استفاده از یک کانال امن دور از دسترس کامپیوتر (احتمالاً آلوده) کاربر، از صحت هویت کاربر اطمینان حاصل نمود.

*این یادداشت در شماره 58 نشریه بانکداری الکترونیک چاپ شده است. (دانلود فایل مقاله)

نویسنده: افشین لامعی - ۱۳٩٤/۱/۱٦

در ایالات متحده طبق قانون، اطلاعات مربوط به نفوذهای منجر به افشای اطلاعات (Breach) در سیستم های سلامت (Health) مثل بیمارستان ها و غیره که منجر به نقض امنیت اطلاعات بیش از پانصد نفر شود، باید در یک پورتال عمومی به اشتراک گذاشته شود. این کار به صورت دوره ای توسط بخش دولتی متولی بهداشت و درمان (دفتر حقوق شهروندی وزارت بهداشت) در این کشور انجام می شود.

سیستم Breach Portal در آدرس زیر قابل مشاهده است:

https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf

نویسنده: افشین لامعی - ۱۳٩٤/۱/۱٥

همانطور که یکسال پیش اشاره کرده بودم، پروژه بررسی امنیتی نرم افزار TrueCrypt توسط عده ای از دانشمندان معماشناسی به سرپرستی پروفسور Matthew Green در حال انجام بود که اخیراً نتیجه نهایی آن اعلام شده که طبق این بررسی، نرم افزار دارای مشکل امنیتی قابل توجهی نیست، لذا با وجود پایان یافتن توسعه TrueCrypt، کماکان می توان از آن به عنوان یک راه حل قابل اتکاء استفاده کرد.

مطالب قدیمی تر »
سی و سه ساله ، متأهل، دانشجوی دکترای نرم افزار ـ امنیت، دانشگاه صنعتی امیرکبیر. مشاور مستقل امنیت اطلاعات.
مطالب اخیر: