امنیت اطلاعات
و دیگر هیچ ...
کلمات کلیدی مطالب
نویسنده: افشین لامعی - ۱۳٩۳/۱/٢٩

با استفاده از پویشگر nmap با اجرای فرمان زیر می توان آسیب پذیری خونریزی قلبی (Heartbleed) در openssl را بررسی کرد. فرض کنیم آدرس سیستم مورد تست، 192.168.1.1 باشد:

nmap -sV 192.168.1.1 --script=ssl-heartbleed

نویسنده: افشین لامعی - ۱۳٩۳/۱/٢٤

گزارش جدید شرکت Mandiant حاوی ادعاهای قابل تأملی درباره آنچه "تهدیدهای سایبری ایران علیه آمریکا" خوانده شده، است. در صفحه 10 گزارش، مقایسه ای بین آنچه از دید شرکت Mandiant ، حملاتی با مبدأ ایران بوده با حملات از مبدأ چین انجام شده که به طور خلاصه در جدول زیر ارائه شده:

نویسنده: افشین لامعی - ۱۳٩۳/۱/٢٠

این ابزار می تواند برای بررسی اینکه سایتی آسیب پذیر هست یا خیر، به صورت آنلاین استفاده شود.

این لیست نشان می دهد که از 1000 وب سایت پربازدید دنیا طبق آمار Alexa، کدام ها نسبت به Heartbleed آسیب پذیر بوده اند. 

سازمان هایی که مبتنی بر OpenSSL آسیب پذیر، سرویس های حساسی مثل تراکنش بانکی، ایمیل و ... ارائه می کنند، علاوه بر ارتقاء OpenSSL برای رفع آسیب پذیری، باید کلید خصوصی سرور مربوطه را هم تجدید کنند، چون ممکن است کلید خصوصی سرور با استفاده از این آسیب پذیری، قبلاً سرقت شده باشد. این مهم ترین چالشی است که سازمان های حساس در خصوص این آسیب پذیری باید مدیریت کنند.

نویسنده: افشین لامعی - ۱۳٩۳/۱/۱٩

این ابزار را اگر در خط فرمان ویندوز اجرا کنید، مشخص می شود که آیا سایت مربوطه نسبت به  heartbleed آسیب پذیر هست یا خیر.

سایت بیان در حال پایش لحظه ای سایت های مهم ایرانی در مورد این آسیب پذیری و نحوه اطلاع رسانی سایت های متولی امنیت در این خصوص هست. کار جالبیه که کمتر در مجموعه های داخل کشور دیده شده.

نویسنده: افشین لامعی - ۱۳٩۳/۱/۱٩

یک آسیب پذیری بحرانی در مجموعه ابزار OpenSSL یافت شده که می تواند منجر به خواندن حافظه سرور توسط نفوذگر و افشای کلید خصوصی مربوط به SSL یا نام کاربری و رمز عبور کاربرانی شود که با استفاده از SSL به سرور مربوطه متصل شده اند. OpenSSL به طور بسیار گسترده در بسیاری از سرورها و سیستم عامل ها در حال استفاده است. این آسیب پذیری در نسخه هایی از OpenSSL که از بیش از دو سال پیش منتشر شده، وجود دارد.

اکیداً توصیه شده که ارتقاء به ورژن 1.0.1g انجام شود و در صورتی که از ورژن های قدیمی OpenSSL استفاده کرده اید، کامپایل مجدد با فعال کردن گزینه OPENSSL_NO_HEARTBEATS  انجام شود.

باید توجه داشت که اکثر قریب به اتفاق سرورهای حساس بانک ها و دیگر کسب و کارهای مهم مبتنی بر لینوکس یا یونیکس بوده و از OpenSSL برای برقراری ارتباط مبتنی بر SSL به خصوص بر بستر اینترنت استفاده می کنند، بنابراین این سازمان ها باید برای به روز رسانی فوری اقدام نمایند. به خصوص سازمان هایی که از سیستم عامل های زیر استفاده می کنند، آسیب پذیر هستند:

  • Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
  • Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
  • CentOS 6.5, OpenSSL 1.0.1e-15
  • Fedora 18, OpenSSL 1.0.1e-4
  • OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
  • FreeBSD 8.4 (OpenSSL 1.0.1e) and 9.1 (OpenSSL 1.0.1c)
  • NetBSD 5.0.2 (OpenSSL 1.0.1e)
  • OpenSUSE 12.2 (OpenSSL 1.0.1c)

اطلاعات مربوط به این آسیب پذیری در اینجا موجود است. شناسه آسیب پذیری CVE-2014-0160 است.

توصیه نامه CERT کارنگی ملون

نویسنده: افشین لامعی - ۱۳٩٢/۱٢/۱۳

طبق معمول هر سال، در پایان کنفرانس RSA برندگان بهترین وبلاگ های امنیتی از بین کاندیداهایی که قبلاً معرفی شده بودند اعلام می شوند.

این هم نتایج امسال:

Best Corporate Security Blog

Other nominees:

McAfee Blog: click here

CloudFlare Blog: click here

SecureWorks Blog: click here

Solutionary Minds Blog: click here

Kaspersky Lab Securelist Blog: click here

Veracode Blog: click here

Trend Micro Blog: click here

AND THE WINNER IS:

Naked Security Blog: click here

Best Security Podcast

Other nominees:

Liquidmatrix Security Digest: click here

EuroTrashSecurity: click here

SANS Internet Storm Center: click here

Southern Fried Security: click here

Risky Business: click here

Sophos Security Chet Chat: click here

And the winner is:

Paul Dotcom: click here

The Most Educational Security Blog

Other nominees:

BH Consulting’s Security Watch Blog: click here

Security Uncorked Blog: click here

Dr. Kees Leune’s Blog: click here

Securosis Blog: click here

Social-Engineer.org Blog: click here

Critical Watch Blog: click here

The Security Skeptic Blog: click here

The New School of Information Security Blog: click here

And the winner is:

Krebs On Security: click here

The Most Entertaining Security Blog

Other nominees:

Packet Pushers Blog: click here

Securosis Blog: click here

Errata Security Blog: click here

Naked Security Blog: click here

Uncommon Sense Security Blog: click here

PSilvas Blog: click here

And the winner is:

J4VV4D’s Blog: click here

The Blog That Best Represents The Security Industry

Other nominees:

SpiderLabs Anterior Blog: click here

1 Raindrop Blog: click here

Naked Security Blog: click here

The Firewall (Forbes) Blog: click here

Threat Level (Wired) Blog: click here

Securosis Blog: click here

Michael Peters Blog: click here

And the winner is:

Krebs On Security Blog: click here

The Single Best Blog Post or Podcast Of The Year

Other nominees:

The Epic Hacking of Mat Honan and Our Identity Challenge: click here

Application Security Debt and Application Interest Rates: click here

Why XSS is serious business (and why Tesco needs to pay attention): click here

Levelling up in the real world: click here

Secure Business Growth, Corporate Responsibility with Ben Tomhave: click here

And the winner is:

Meet The Hackers Who Sell Spies The Tools To Crack Your PC (And Get Paid Six-Figure Fees): click here

The Security Bloggers Hall Of Fame

The other nominees are:

Richard Bejtlich

Gunnar Peterson

Naked Security Blog

Wendy Nather

And the winner is:

Jack Daniel

نویسنده: افشین لامعی - ۱۳٩٢/۱٢/۱٢

اگر یک سیستم مدیریت لاگ عملیاتی و قابل استفاده ندارید، شما به هیچ عنوان کاندیدای استفاده از SIEM و راه اندازی SOC نیستید. این موضوع آنقدر بدیهی بوده و در دنیا پذیرفته شده است که اساساً SIEM را به نوعی تکامل یافته مدیریت لاگ می دانند. صرفاً سازمانی که  با معضل مدیریت لاگ به صورت عملی و در مقیاس بزرگ درگیر شده باشد این موضوع را درک می کند. کم نیستند سازمان هایی که حتی یک IP Plan مشخص و درست ندارند چه رسد به مدیریت لاگ، و الان در پی خرید SIEM هستند. 

نویسنده: افشین لامعی - ۱۳٩٢/۱۱/٢٩

نرم افزار Truecrypt را می توان یکی از محبوب ترین و پرکاربرد ترین نرم افزارهای امنیتی به حساب آورد. حتی بسیاری از افرادی که کار امنیت یا IT انجام نمی دهند، برای نگهداری امن اطلاعات محرمانه خود از Truecrypt استفاده می کنند. می توان ادعا کرد که این نرم افزار از نظر میزان پیچیدگی و قابلیت استفاده برای عموم، یکی از بهترین ها در میان همه نرم افزارهای امنیتی است.

بر اساس اطلاعات افشا شده از برنامه های جاسوسی آژانس امنیت ملی ایالات متحده (NSA) ، این مرکز در بسیاری از خطوط ارتباطی، سخت افزارها، نرم افزارها و غیره نفوذ کرده است. در نتیجه ابزارهای محبوبی مانند Truecrypt هم ممکن است از این قضیه مصون نباشند.

در همین راستا پروژه ممیزی امنیتی نرم افزار Truecrypt توسط Matthew D. Green استادیار انستیتوی امنیت اطلاعات دانشگاه Johns Hopkins آغاز شده است.

چنین پروژه هایی نشان می دهند که این تصور که نرم افزاری به دلیل متن باز بودن امن است یا بررسی امنیت آن ساده است، تصور ساده انگارانه ای است.

مطالب قدیمی تر »
سی و دو ساله ، متأهل، دانشجوی دکترای نرم افزار ـ امنیت، دانشگاه صنعتی امیرکبیر. مشاور مستقل امنیت اطلاعات.
مطالب اخیر: