امنیت اطلاعات
و دیگر هیچ ...
کلمات کلیدی مطالب
آرشیو وبلاگ
نویسنده: افشین لامعی - ۱۳٩۳/٦/٧

پنج شنبه این هفته (سیزدهم شهریور 93) من به عنوان سخنران مدعو در یازدهمین کنفرانس بین المللی انجمن رمز ایران حضور خواهم داشت.

موضوع ارائه من، "مرکز عملیات امنیت: فاکتورهای کلیدی موفقیت" خواهد بود که در نشست مهندسی امنیت در ساعت 11 تا 12:30 پنج شنبه در اتاق 203 دانشکده مهندسی برق و کامپیوتر دانشگاه تهران برگزار می شود.

چکیده این ارائه:

Security Operations Center: Key Success Factors

Organizations need to monitor and analyse the security under a continuous process which is realized by Security Operations Center. SOC is a part of the technical and management structure of the organization where high-quality staffs as well as advanced technologies are employed to monitor and administer the security. Being technically complicated, running SOCs requires special preparation.  Multiple parameters affect the SOC and consequently its cost and complexity, such as physical and logical scope, number of sensors and log sources, device/application diversity and necessary technologies. Furthermore, the maturity level of security monitoring process is a critical success factor.

In this talk, we briefly explain key important aspects of SOC projects initiation and related challenges.

برنامه کامل زمانبندی کنفرانس

نویسنده: افشین لامعی - ۱۳٩۳/٦/٦

 Sysmon ابزار جدیدی از مایکروسافت برای مانیتور کردن فعالیت های سیستم عامل است. این ابزار با فرمان زیر در خط فرمان ویندوز نصب می شود:

Sysmon.exe -i -h sha256 -n

بعد از نصب، به صورت یک سرویس ویندوزی و مقیم در حافظه در آمده و هنگام بوت شدن سیستم هم اجرا می شود.فعالیت هایی مثل ایجاد پروسس جدید، اتصال به شبکه، تغییر زمان ایجاد فایل ها توسط این برنامه پایش و لاگ می شود. ثبت و جمع آوری اینگونه فعالیت ها به ابزارهایی مثل SIEM برای همبسته سازی رخدادها کمک می کند. به عنوان مثال، تغییر دادن زمان واقعی ایجاد یک فایل، تکنیکی است که برخی بدافزارها برای پنهان کردن فعالیت های خود انجام می دهند. 

 برای مشاهده رخدادهای ثبت شده، eventvwr.exe را اجرا و در بخش

Applications and Services Logs/Microsoft/Windows/Sysmon/Operational

می توانیم رخدادها را مشاهده کنیم.

 

 

 

نویسنده: افشین لامعی - ۱۳٩۳/٥/۳٠

دیروز یک سمینار آموزشی در شرکت مخابرات استان تهران برگزار کردم. موضوع سمینار، آشنایی با تهدیدهای نوظهور در فضای سایبر بود و مخاطبان آن مدیران و کارشناسان فنی بودند.

سرفصلهای ارائه شده در این سمینار:

  • ابعاد، اهداف و ویژگی های امنیت سایبر
  • بدافزارهای جدید
  • حملات هدفمند
  • تهدیدهای پیشرفته ماندگار (APT)
  • بررسی نمونه های اخیر تهدیدهای نوظهور
  • توصیه های کلی برای حفاظت از اطلاعات شخصی و سازمانی
نویسنده: افشین لامعی - ۱۳٩۳/٥/٢٥

شرکت FireEye با همکاری Fox-it سرویس آنلاینی راه اندازی کرده که فایل های رمز شده با بدافزار باج گیر Cryptolocker را دریافت و رمزگشایی می کند.

نویسنده: افشین لامعی - ۱۳٩۳/٥/٢٤

 


مقایسه این جدول با جدول مربوط به UTM ها نتایج جالبی به همراه دارد. فعلاً جدول UTM ها رو به صورت مستقل پیدا نکردم. به طور کلی از دیدگاه گارتنر به نظر می رسه که کلاس محصولات enterprise firewall کاملاً با UTM ها فرق داشته و بازیگران پیشرو در UTM متنوع تر از enterprise firewall هستند.

نویسنده: افشین لامعی - ۱۳٩۳/٥/۱٦

اتفاقی که در یک پیتزا فروشی در تهران روی داد و منجر به سرقت صدها میلیون تومان از کارت های بانکی مشتریان شد، از دیدگاه فنی پیچیدگی زیادی ندارد. در واقع، سارق هنگام دریافت کارت بانکی مشتری، ابتدا آن را در یک دستگاه شبیه پایانه های فروش (POS) که در واقع جعلی بوده می کشیده و یکی کپی از اطلاعات کارت را بر می داشته است. رمز مشتری هم که توسط خود مشتری بنابر یک عادت غلط، اعلام می شده و در نتیجه سارق توانسته تمام کارت ها را کپی کرده و بعداً حساب مشتری ها را خالی کند. این نوع سرقت دیگر در بسیاری از کشورهای دنیا امکانپذیر نیست چون اینکه فروشنده به جای صاحب حساب، کارت بکشد و رمز توسط او وارد شود در اکثر نقاط دنیا وجود ندارد.

روند فوق که به صورت دستی و با دخالت عامل انسانی انجام می شود می تواند به طور کامل توسط بدافزاری که به سیستم متصل به پایانه فروش (POS) دسترسی دارد انجام شود. این اتفاقی است که نمونه های زیادی از آن در دنیا دیده شده، از جمله بدافزار Backoff که اخیراً شناسایی و معرفی شده است.

حتی ارتباط رمز شده بین PoS و شبکه بانک هم نمی تواند مانع عملکرد موفق این بدافزارها شود چون اطلاعات حساس در داخل حافظه PoS رمز شده نیستند و این بدافزارها امکان کپی گرفتن از حافظه (RAM Scrapping) را دارند. به علاوه در مواردی مثل بدافزار Backoff ، امکان Key logging هم وجود دارد.

ویدئویی درباره Backoff در کنفرانس Blackhat 2014

تحلیلی از Fortinet

نویسنده: افشین لامعی - ۱۳٩۳/٥/۱٢

چهارشنبه همین هفته (پانزدهم مرداد) سمینار آموزشی امنیت در بانکداری الکترونیک توسط مرکز فابا در آمفی تأتر مرکز مطالعات بهره وری و منابع انسانی برگزار خواهد شد.

یکی از محورهای اصلی این سمینار، مرکز عملیات امنیت در بانک ها است. در این مورد، یک سمینار به مدت 90 دقیقه برگزار می شود که من به همراه یکی از دوستان خوبم آقای مهندس علی میرحیدری مجری این سمینار هستیم.

سرفصل هایی که در این سمینار ارائه خواهیم کرد عبارت هستند از:

  • معرفی SOC
  • تاریخچه و نسل های SOC
  • ضرورت SOC با نگاه به کسب و کار بانکی
  • اجزای ضروری و اختیاری SOC
  • مدل بلوغ SOC
  • جایگاه SOC در بانک ها
  • شاخص های سنجش آمادگی برای راه اندازی SOC
  • نکات کلیدی موفقیت پروژه SOC
نویسنده: افشین لامعی - ۱۳٩۳/٤/٢٢

در هنگام به روز رسانی Kali Linux ممکن است سیستم بعد از دانلود کردن همه package ها خطاهایی هنگام نصب آنها تولید کند. یک راه مطمئن برای از بین بردن این خطاها آن است که قبل از دستور apt-get distro-upgrade ، دستور زیر را اجرا کنید:

sudo dpkg --clear-avail
نویسنده: افشین لامعی - ۱۳٩۳/٤/۱٩

به روز رسانی اتوماتیک Kali با استفاده از دستورهای ذکر شده در اینجا ممکن است به دلیل کمبود فضای حافظه با موفقیت انجام نشود. پیغام خطا به این صورت است:

You don't have enough free space in /var/cache/apt/archives/

راه های مختلفی برای رفع این مشکل در منابع ذکر شده اما یکی از مطمئن ترین روش ها اضافه کردن ظرفیت هارد دیسک است. اگر Kali را در Vmware راه اندازی کرده اید اول باید فایل سیستم مجازی مربوطه را با استفاده از Vmware گسترش دهید. بعد در داخل منوی اصلی kali با استفاده از نرم افزار GParted ، یک پارتیشن در فضای اضافی ایجاد شده بسازید. در پایان، دایرکتوری /var/cache/apt/archives را به پارتیشن ایجاد شده mount کنید. پارتیشن ایجاد شده باید از نوع extended باشد. البته در برخی منابع گفته شده که به جای mount کردن این دایرکتوری (که راه حلی موقتی است) بهتر است فضای اضافی ایجاد شده را به پارتیشن حاوی این دایرکتوری اضافه کرد. این کار را باید با استفاده از نسخه Bootable نرم افزار Gparted انجام داد.

مطالب قدیمی تر »
سی و سه ساله ، متأهل، دانشجوی دکترای نرم افزار ـ امنیت، دانشگاه صنعتی امیرکبیر. مشاور مستقل امنیت اطلاعات.
مطالب اخیر: