یوروپل: ابزارهای ضد باج افزار بالغ بر ۱۰۸ میلیون دلار به هکرها ضرر زده‌اند

همزمان با سومین سالگرد راه اندازی سرویس ضد باج افزار «باج‌دهی دیگر بس است»، پلیس یوروپل اعلام کرد کاربرانی که با استفاده از ابزارهای این وب سایت اقدام به از کار انداختن باج افزارهای مختلف کرده اند، از روانه شدن حداقل ۱۰۸ میلیون دلار به جیب کلاهبرداران اینترنتی جلوگیری کرده اند.
 
پروژه «باج‌دهی دیگر بس است» (No More Ransomware) اکنون دارای بیش از ۸۲ ابزار برای از کار انداختن ۱۰۹ باج افزار مختلف است. اکثر ضد باج افزارها توسط شرکت های آنتی ویروس مثل امسی‌سافت، آواست، بیت دیفندر و نهادهای امنیتی مثل پلیس ملی، گروه های پاسخگویی حوادث رایانه ای (CERT) و شرکت هایی مانند Bleeping Computer توسعه داده شده و روی این سرویس قرار گرفته اند.
 
به عنوان نمونه ابزار ضد باج افزار GrandCrab این سایت، به تنهایی بالغ بر ۵۰ میلیون دلار اخاذی ها را کاهش داده. فعال ترین شرکت توسعه دهنده ضدباج افزار کمپانی امسی‌سافت است که ۳۲ ضد باج افزار مختلف را توسعه داده است.
 
روی هم رفته یوروپل گزارش داده که از زمان راه اندازی پروژه No More Ransomware بیش از ۳ میلیون کاربر از ۱۸۸ کشور دنیا از سایت بازدید کرده و بیش از ۲۰۰ هزار کاربر نیز از ابزارهای ضد باج افزار آن استفاده کرده اند. بیشتر بازدیدکنندگان از کره جنوبی، آمریکا، هلند، روسیه و برزیل هستند.
 
 
Capture.JPG
ژوئیه سال ۲۰۱۶ پروژه «باج‌دهی دیگر بس است» توسط پلیس هلند، کسپرسکی و مک آفی راه اندازی شد اما اکنون بیش از ۱۵۰ شریک از سراسر دنیا دارد. کمپانی امسی‌سافت معتقد است مبلغ واقعی جلوگیری از کلاهبرداری بسیار بیشتر از مبلغ اعلام شده از سوی یوروپل است. سخنگوی امسی‌سافت می گوید:
 
«۱۰۸ میلیون دلار اعلام شده از سوی یوروپل بسیار ناچیز است. این رقم بر اساس آمار استفاده از ابزارهای ضدباج افزار تخمین زده شده است ولی هیچ کدام از ابزارهای ساخت شرکت ما آمار تعداد استفاده را به ما نمی دهند. ابزارهای ما بیش از ۱.۶ میلیون بار دانلود شده اند، بنابراین اگر دقیق تر باشیم روی هم رفته تقریباً ۸۰۰ میلیون دلار در کلاهبرداری ها صرفه جویی شده است.»
 
علاوه بر ابزار امسی‌سافت، ابزارهای ساخته شده توسط کمپانی Bleeping Home نیز آمار تعداد استفاده شدن را به مرکز ارسال نکرده و به همین دلیل مبلغ نهایی بالاتر از برآورد امسی سافت خواهد بود.

اطلاعات ۱۳ هزار دانشجو به سرقت رفت!

به تازگی هکرها به وسیله حملات فیشینگ و سایبری توانسته‌اند به بخش زیادی از اطلاعات شخصی دانشجویان دانشگاه لنکَستر دسترسی پیدا کرده و آنها را به سرقت ببرند.
 
به گزارش ایسنا، واژه فیشینگ یا Phishing که مختصرا از عبارت Password Harvesting Fishing به معنای "بدست آوردن رمز عبور از طریق طعمه" به دست آمده و ساخته شده است، یکی از حملات سایبری شناخته شده مبتنی بر مهندسی اجتماعی است که با فریب دادن کاربران موردنظر اطلاعات محرمانه و خصوصی آن‌ها از جمله رمز عبور، اطلاعات حساب بانکی، اطلاعات شخصی و محتوای به اشتراک گذاشته شده آن‌ها در شبکه‌های اجتماعی را بدست می‌آورند.
 
 
بر اساس گزارشی که در وب سایت زد دی نت آمده است، هکرها و مجرمان سایبری موفق شده‌اند با استفاده از ترفندهای مربوط به حملات فیشینگ و سایبری به حجم زیادی از اطلاعات شخصی و حریم خصوصی دانشجویان دانشگاه لنکستر دسترسی و نفوذ پیدا کرده و آنها را به سرقت برده‌اند.
 
هنوز معلوم و مشخص نشده است که هکرها با چه هدفی اطلاعات دانشجویان را به سرقت برده‌اند اما بر اساس آخرین آمار و گزارش‌ها، ۱۳ هزار دانشجو در این حمله سایبری مورد حمله و هجوم هکرها قرار گرفته‌اند که خود رقم بسیار بالا و قابل توجهی به شمار می رود.
 
هکرها با استفاده از این حمله فیشینگ به نام و گذرواژه حساب کاربری تمامی دانشجویان دانشگاه مذکور در طول تمام سالیان گذشته دسترسی و نفوذ پیدا کرده اند تا بتوانند تمامی اطلاعات دانشجویی، کاربری و تحصیلی آنها را رصد کرده و به دست بیاورند.  
 
گفته می‌شود از جمله اطلاعاتی که در این حمله فیشینگی به سرقت رفته است، نام، آدرس پستی، شماره تلفن و تماس، پست الکترونیکی و ایمیل کاربران و دانشجویان بوده است تا به اطلاعات مهم‌تری همچون فرم‌های تحصیلی و اپلیکیشن دانشجویان مقطع کارشناسی و کارشناسی ارشد دسترسی پیدا کنند.
 
در سال‌های اخیر که حملات سایبری به شدت رشد کرده است، مؤسسه‌های تحقیقاتی و تحلیلی بسیاری در جهان هشدار داده بودند که سال  ۲۰۱۸، سال حملات سایبری و بدافزاری به سازمان‌های بزرگ، شرکت‌ها و نهادهای دولتی در جهان نام خواهد گرفت؛ چراکه تعداد سرقت‌های اطلاعاتی در این سال به اوج خود خواهد رسید  و سال های بعد از آن نیز هرروز نامی از حملات سایبری و بدافزاری خواهیم شنید.
 
از طرفی دیگر این کارشناسان امنیتی بارها خطاب به تمامی شرکت‌های فعال در زمینه‌های مختلف در جهان هشدار داده بودند که به ارتقای امنیت سایبری زیرساخت‌ها و سرورهای مربوط به خود اقدام کنند تا اطلاعات محرمانه و فوق سری خود را در برابر نفوذ هکرها و مجرمان سایبری مصون نگه دارند.
 
نتایج تحقیقات و نظرسنجی‌های صورت گرفته در نیمه دوم سال گذشته حاکی از آن است که بسیاری از صاحبان شرکت‌ها و کارخانه‌های فعال در مناطق مختلف جهان اذعان کرده‌اند حداقل یک بار مورد حمله باج افزاری و سایبری هکرها قرار گرفته‌اند. بر اساس این تحقیقات، نیمی از آنها مجبور به پرداخت مبالغ و پول‌های هنگفتی به هکرها شده‌اند و نیمی دیگر نیز به خاطر عدم پرداخت وجه به آنها، تمامی اطلاعات ارزشمند و حیاتی خود را از دست داده‌اند.

فیس‌اپ خطرناک‌تر است یا فیس‌بوک؟

همشهری آنلاین: از هفته گذشته یک اپلیکیشن در ایران و دنیا بار دیگر جنجالی شده است. با هر کسی که حرف بزنید احتمالا عکس از پیری و آینده خودش و اطرافیانش را با لبخندی نشان‌تان خواهد داد. هر چند اپلیکیشن فیس‌اپ مدتهاست وجود دارد اما مثل خیلی از موارد دیگر بار دیگر در شبکه‌های اجتماعی و میان مردم موجش به‌راه افتاده و همین قضیه باعث نگرانی‌هایی هم شده.
 
واقعیت این است که فیس‌اپ هفته گذشته ناگهان خیلی محبوب شد و شبکه‌های اجتماعی پر شده‌اند از تصاویری که مردم در آنها به کمک فیس‌اپ خودشان، دوستان و اعضای خانواده و یا افراد مشهور و سلبریتی‌ها را پیر کرده‌اند. پیش‌بینی شده که این اپلیکیشن در همین چند روز ۱۵۰میلیون عکس جدید دریافت کرده و با استفاده از الگوریتم هوش مصنوعی خود آنها را به‌صورت‌های مختلف ویرایش کرده است. فیس‌اپ پیش از این هم محبوب بود. در سال۲۰۱۷ این اپلیکیشن ۸۰میلیون بار دانلود شد، اما موج چالش جدید، این اپلیکیشن را محبوب‌تر از هر زمان دیگری کرده است. اگر تاکنون از این اپلیکیشن استفاده نکرده‌اید باید بدانید فیس‌اپ در حقیقت یک اپلیکیشن ویرایش تصویر است که با گرفتن دسترسی به گالری تصاویر کاربر آنها را به شکل‌های مختلف ادیت می‌کند. یکی از مشهورترین‌ موارد هم دیدن قیافه آینده افراد است. اما همین دسترسی گسترده به تصاویر و در نتیجه موقعیت‌های مکانی و مشخصات عکس‌های گرفته شده باعث شده تا خیلی‌ها درباره استفاده از آن هشدار دهند.
 
هیچ‌کس هنوز اطلاعات فنی دقیقی درباره میزان امنیت و حفظ حریم خصوصی توسط این اپلیکیشن ندارد. رسانه‌های غربی مهم‌ترین دلیل‌شان برای متهم کردن این اپلیکیشن روسی بودن آن است. این رسانه‌ها اعتقاد دارند که روسیه با استفاده از این اپلیکیشن می‌تواند به‌صورت ناگهانی به اطلاعات شخصی میلیون‌ها نفر دسترسی پیدا کند. یکی از مهم‌ترین کاربردهای این ماجرا استفاده از تصاویر برای سیستم‌های تشخیص چهره و افزایش توانایی آنهاست. در واقع در یادگیری ماشینی شما هر چقدر میزان اطلاعات وسیع‌تری داشته باشید نرم‌افزار هوش مصنوعی نتایج مطمئن‌تری خواهد داشت. وقتی شما تصاویر جوانی و مثلا پیری میلیون‌ها نفر را داشته باشید عملا عبور از سیستم‌های تشخیص چهره با سخت‌ترین گریم‌ها هم غیرممکن می‌شود. این موج باعث شده تا اعضای کنگره آمریکا مانند چاک شومر خواستار تحقیقات سریع اف‌بی‌آی در این رابطه شوند. یکی از دلایل متهم شدن فیس‌اپ این است که دولوپرهای اپلیکیشن به‌صورت واضح و آشکار به کاربران نمی‌گوید که پردازش عکس‌های آنها در سطح کلاود یا ابر صورت می‌گیرد. بیشتر کاربران فکر می‌کنند که عکس در گوشی آنها پردازش می‌شود. درصورتی‌که اپلیکیشن عکس‌ها را وارد فضای ابری می‌کند و به‌صورت ابری هم پردازش می‌کند و بعد از تحویل عکس به شما، همچنان عکس شما را خواهد داشت.
 
عکس‌های ما مهم است؟
به گزارش همشهری، شاید خیلی‌ها بگویند مثلا چه اهمیتی دارد یک عکس سلفی ما به سرورهای این اپلیکیشن فرستاده شود. شاید یک عکس اهمیتی نداشته باشد اما فرض کنید این اپلیکیشن یا پلتفرم‌های مشابه به میلیون‌ها عکس شهروندان یک کشور دسترسی داشته باشد. این عکس‌ها تبدیل به یک بیگ‌دیتای مهم می‌شود. عکس‌های گوشی‌های جدید اکثرا عکس‌های با کیفیت بالا هستند و علاوه بر این هر عکس حاوی متادیتا یا اطلاعات جانبی است که شامل اطلاعات مهمی مثل تاریخ گرفته شدن عکس، نوع دوربین و موقعیت عکس خواهد بود. از این اطلاعات می‌توان برای فناوری تشخیص هویت به کمک چهره استفاده کرد، آنها را تقویت یا اصلا با هک دوربین‌های امنیتی یک شهر خارجی، مسیر حرکت یک شخص را دنبال کرد. البته فیس‌اپ به‌دنبال گزارش‌های مختلف در این رابطه اتهام علیه خودش را رد کرده و گفته است: عکس‌ها را به‌صورت محدودی در فضای ابری خود نگهداری می‌کند. به‌گفته شرکت تولیدکننده اپلیکیشن در مدت ۴۸ساعت عکس‌ها از سرورها پاک می‌شود.
 
فیسبوک‌ خطرناک‌تر نیست؟
شاید خیلی از نگرانی‌های مطرح شده درباره فیس‌اپ منطقی هم باشد اما آیا این اپلیکیشن تنهاست؟ بدون شک بزرگ‌ترین مرکز جمع‌آوری اطلاعات کاربران در جهان فیسبوک است! درحالی‌که رسانه‌های غربی فیس‌اپ را مطرح می‌کنند. فیسبوک یکی از مهم‌ترین منابع جمع‌آوری لحظه به لحظه تصاویر کاربران در جهان است. در واقع اگر قرار به نگرانی باشد می‌توان درباره تمام پلتفرم‌های مشابه به‌صورت منطقی این نگرانی را داشت. پلتفرم‌هایی مانند فیسبوک روزانه میلیون‌ها تصویر ازمردم جهان را جمع‌آوری می‌کنند. فیسبوک نمونه‌ای است که در حفظ حریم خصوصی ۲.۳۸ میلیارد کاربر فعال خود اصلا کارنامه درخشانی ندارد. این شرکت پرونده‌ای قطور در افشای اطلاعات کاربرانش دارد و اخیرا برای عبور از این ماجرا برای پرداخت ۵میلیارد دلار جریمه توافق کرده است. واقعیت این است که در دنیای مجازی امروز حریم شخصی ما با هر پلتفرم و اپلیکیشنی می‌تواند در خطر باشد و بیشتر از هرکسی باید خود کاربران دقت بیشتری در اشتراک‌گذاری اطلاعات زندگی شخصی خود داشته باشند.
 
 

بدافزار ATMJaDi، دشمن جان دستگاه‌های خودپرداز

بهار 2019 بود که به نمونه‌ای از بدافزار جدیدِ ATM برخوردیم. این بدافزار درقالب جاوا نوشته و در یک سرویس اسکنر چندگانه آپلود شده بود. خاستگاه این بدافزار ابتدا مکزیک بود و بعد در کلمبیا نیز دیده شد. بعد از تحلیلی کوتاه پی بردیم نام این بدافزار ATMJaDi است و می‌تواند دخل دستگاه‌های خودپرداز را دربیاورد و همه‌ی نقدینگی‌اش را غارت کند. با این حال برای این کار از آرشیوهای استاندارد  XFS، JXFS یا CSC استفاده نمی‌کند؛ بلکه در عوض این بدافزار تنها با زیر مجموعه‌ی کوچکی از دستگاه‌های خودپرداز سازگاری خواهد داشت. از همین روست که می‌گوییم این بدافزار بسیار هدف‌دار عمل کرده و حلقه‌ی قربانیانش بسیار محدود و خاص است.
یکی از محصولات ما در کسپرسکی توانست این نمونه تروجان را مورد شناسایی قرار دهد.
 
جزئیات فنی  
نخست اینکه، درست مانند هر بدافزار دستگاه خودپردازی، مهاجمین باید راهی پیدا کنند تا بتوانند بدافزار خود را روی ATMها نصب کنند. این بدافزار را نمی‌توان از طریق کیبورد یا تاچ‌اسکرین ATM کنترل کرد زیرا برای اهدافی که دارد در خود رابط وبِ سرور  HTTP درون‌سازه‌ای اجرا می‌کند. بنابراین مجرمین باید به منظور دسترسی به دستگاه خودپرداز مورد هدف خود شبکه‌ی اینترنتی داشته باشند. این باعث شده تا فکر کنیم مجرمان زیرساخت بانک را برای دسترسی پیدا کردن به شبکه‌ای که دستگاه‌های خودپرداز بدان وصلند دستکاری کرده‌اند.
وقتی بدافزار نصب و اجرا شد (در قالب فایل آرشیو جاوا موسوم به INJX_PURE.jar) آنوقت به دنبال پروسه‌ای خواهد گشت که  ATM را بتوان با آن تحت کنترل درآورد و به داخل آن رخنه کرد؛ بطوریکه انگار این فرآیند دارد کاملاً قانونی عمل می‌کند. بعد از این تزریق، بدافزار به طور همزمان پیامی را به چند زبان روی پایانه پرینت می‌کند: روسی، پرتغالی، اسپانیایی و چینی. با این وجود، تمام پیام‌ها یا رشته‌های دیگر که توسط این بدافزار استفاده شده‌اند به زبان انگلیسی است. تمام این عبارات که به زبان‌های مختلف نمایش داده شده‌اند به انگلیسی «آزادی و شکوه» ترجمه می‌شوند. این عبارت در ادامه‌اش یک پیام اضافی به زبان روسی هم دارد و آن این است: «отдельный» به معنای «جداگانه». گمان داریم این یک‌ عملیات پرچم دروغین[1] باشد؛ زیرا روسی‌زبانانِ بومی هیچوقت در این شرایط از این واژه‌ی بخصوص استفاده نمی‌کنند.
Свобода и слава
Liberdade e glória
Libertad y Gloria
自由与荣耀
Отдельный
 
سپس، یک سرور HTTP با استفاده از مسیرهای از پیش تعریف‌شده‌ی URL  شروع می‌کند به پذیرش فرمان‌ها. آن‌ها از قرار زیر می‌باشند:
/d برای دریافت کاستِ دستگاه خودپرداز به منظور انجام اقدامات (اقدام درست را پارامترهای موفقیت‌آمیز رقم می‌زند)
/eva برای ارزیابی (اجرای) کد تأمین‌شده توسط کاربر روی خودپردازِ قربانی
/mgr برای مدیر که اجازه می‌دهد مجرمان به فهرستی از دسته‌های در حال اجرا (برای ماشین مجازی جاوای مربوطه) دسترسی پیدا کنند تا بدین‌ترتیب بتوانند هر کارکردی را از آن طلب کرده و درصورت نیاز نیز هر نوع استدلالی را به نفع خود تمام کنند.
/core به مجرمین اجازه می‌دهد تا از فایل سیستم قربانی یک فایل بخصوصِ .jar لود کنند
 /root این مسیر، بدنه‌ی درخواست POST را قبول می‌کند و آن را در قالب یک فرمان Shell به cmd.exe تحویل می‌دهد (که خروجی نهایی را بازمی‌گرداند).
این مسیر run a shell و توزیع از هیچ صفحه‌ی رابط (با فرم و دکمه) برخوردار نیستند اما در عوض تنها درخواست‌های از پیش آماده‌شده‌ی HTTP POST را قبول  و نتایج خامی را به صورت متنی در پیج پرینت می‌کنند (بدین‌ترتیب تگ‌های  HTML نیز حذف می‌شود). بنابراین، اگر مورد، درخواست توزیع بود پاسخ بدافزار، این رشته خواهد بود: «ok». درخواست get cash units information نیز در ادامه با خود رشته‌ای دارد که شرایط واحدهای نقدینگیِ دستگاه‌های خودپرداز را شرح می‌دهد (همانطور که در نمونه‌ی زیر مشاهده می‌کنید).
; 20:30; 10:100; 5:700; 1:1000
این رشته عبارت است از چهار گروه که هر یک بواسطه‌ی نقطه ویرگول از هم جدا شده‌اند. این فهرستی است که به کاست نقدینگی دستگاه خودپرداز مربوط می‌شود و متشکل است از دو ارزش؛ که هر یک با دو نقطه از هم جدا شده‌اند: یکی واحد پول و دیگری تعداد دقیق و واقعی اسکناس‌های داخل کاست. در نمونه‌ی بالا اولین کاست در خود 1000 یادداشت بانکی از واحد 1 و 700 یادداشت بانکی از واحد 5 و غیره.
جدا از مسیرهای  “run a shell”، “dispense” و “get cash unit”، مسیرهای “eva”، “mgr” و “core” از صفحات رابط برخورداند. در زیر اسکرین‌شاتی از پیج ارزیابی را خدمتتان ارائه داده‌ایم:
 
 
 
بدین‌ترتیب، به مجرمان اجازه داده می‌شود تا هر کد جاوااسکریپتی را روی دستگاه خودپرداز قربانی اجرا کنند و ببینند آیا جواب می‌دهد یا خیر. حالا چرا جاوااسکریپت؟ چون جاوا استفاده از موتورهای خارجی را برای مجرمان آزاد گذاشته. در زیر، قابلیتی را مشاهده می‌کنید که بدافزار از آن برای اجرای کد پذیرفته‌شده‌ی جاوااسکریپت استفاده می‌کند.
 
 
 نتیجه‌گیری
طبیعت هدف‌دارِ بدافزار ATMJaDi نشان می‌دهد مجرمان پیش از نوشتن بدافزارشان، قربانی را به خوبی می‌شناسند. پر واضح است که حتماً به ATM -که در آن دسته‌های سفارشی جاوا و تازه به احتمال قوی کد منبع برنامه‌ی جاوا اجرا می‌شود- دسترسی داشته‌اند. همچنین اینکه، روشی که بدافزار تحت کنترل قرار می‌گیرد نشان می‌دهد مجرمین در نظر داشتند برای دسترسی به دستگاه خودپردازِ آلوده، شبکه‌ی اینترنتی آن را نشانه روند (احتمالاً از طریق شبکه‌ی اینترنتی داخلی بانک).
بانک‌ها برای جلوگیری از این نوع حملات باید چه اقداماتی را انجام دهند؟
بکارگیریِ راه‌حل‌های ضد حملاتِ هدف‌دار (نظیر  KATA[2]) به منظور محافظت از شبکه‌ی اینترنتی بانک و سایر راه‌حل‌ها جهت محفظت از دستگاه‌های خودپرداز خود در مقابل این بدافزار.
تهیه‌ی لیست سفید از ATM
شبکه‌ی بانکی ATM باید جداگانه و دسترسی به آن نیز می‌بایست به شدت محدود باشد.
البته این موارد را گلچین کردیم و البته که فهرست راهکارهای پیشگیرانه بلند بالاتر از اینهاست. این را به یاد داشته باشید که امنیت اطلاعات نیازمند واکنش‌دهیِ به موقع و توجه توأمان دارد. 
 
[1]  false flag، به عملیاتهایی گفته می‌شود که توسط نهادهای نظامی، شبه نظامی، اطلاعاتی یا سیاسی به گونه‌ای انجام می‌شود که این تصور به وجود آید که گروه‌ها یا کشورهای دیگری این عملیاتها را انجام داده‌اند.
[2] Kaspersky Anti Targeted Attack Platform
منبع: کسپرسکی آنلاین 
 

معضل امنیت سایبری: عدم تعادل در کار و زندگی

این روزها دیگر تفکیک مرز بین زندگی کاری و زندگی شخصی بسیار سخت شده و این مرز دارد روز به روز کمرنگ‌تر نیز می‌شود. اکنون دیگر افراد بیشتر ساعات عمر خود را به جای اینکه در خانه باشند پشت میز کار، در دفتر یا اداره‌ی خود سپری می‌کنند. با این حال، هنوز هم حدود یک‌چهارم از کارهای سازمانی خارج از محل کار انجام می‌شود. می‌گویند در چنین جامعه‌ی مدرنی دیگر محال است بتوان بین زندگی شخصی و کاری تعادل برقرار کرد و مرز این دو دیگر برای همیشه غیرقابل تفکیک خواهد بود.
شاید دلیلش رشد فزاینده‌ی حجم اطلاعات دیجیتال طی چند سال اخیر باشد. با این میزان فناوری که در اختیارمان گذاشته شده است خیلی سخت بتوان وظایف محل کار را از وظایف خانگی تمییز داد. زندگی کاری و شخصی‌مان اکنون به داده‌هایی وابسته است که در رسانه‌های اجتماعی، اکانت‌های ایمیل، داکیومنت‌های دیجیتال و فولدرهای به اشتراک گذاشته‌شده ذخیره شده‌اند. تحقیقات اخیر نشان‌دهنده‌ی حجم بالایی از بهم‌ریختگی در پرونده‌های کاری و مدیریتی است.
 
مرزهای تفکیک‌کننده‌ی کارو زندگی از هم پاشیده شده است
کار تمام وقت در یک اداره  (از ساعت 9 صبح تا 5 بعد از ظهر) مزایای مشخصی دارد: شغلی ثابت، درآمدی ثابت، ساعات کاری مشخص. همه‌چیز خوب است اما آخر دوره‌ی کاری که سر زمان مشخصی شروع و تمام شود نیز کم‌کم دارد به سر می‌رسد. این روزها همه خیلی بیشتر از ساعات مشخص کاری خود دارند کار می‌کنند؛ فرقی ندارد جلسه‌ی مهمی در میان است یا برای یک پروژه ضرب الاجل تعیین کرده‌اند. میلیون‌ها کارمند هستند که خارج از ساعات کاری خود تا پاسی از شب را بیدار می‌مانند و کار می‌کنند. در حقیقت، بر اساس برآوردها، کارمندان مکزیک به طور متوسط 43 ساعت در هفته کار می‌کنند و البته کارمندان کاستاریکا، یونان و کره‌ی جنوبی هم کمی از ایشان ندارند.
گرچه نمی‌شود خرده‌ای هم بر آن‌ها گرفت (خیلی‌ها این شرایط را پذیرفته‌اند) اما به هر حال رفته‌رفته همین مسائل است که باعث شده زندگی شخصی و کاری یک‌جورهایی به هم گره خورده و در هم تنیده شود. حالا دیگر شرایط طوری شده که افراد، متعلقات شخصی خود را در محل کار نگه می‌دارند و یا کارهای خانه را پشت میز در محل کار خود انجام می‌دهند. هیچ غیرمعمول به نظر نمی‌رسد اگر کارمندی در محل کار خود لباس راحت‌تر بپوشد و حتماً وقتی چنین بستری فراهم شود، دیگر حساسیتی هم -بر همین اساس- در مورد اطلاعات دیجیتال نخواهد بود. امروزه خیلی‌ها اطلاعات دیجیتال خود را (بدون هیچ مرز نفکیک‌کننده‌ای) در خانه و محل کار استفاده می‌کنند.
مشکل اساسی از جایی شروع می‌شود که توجه و حساسیت کارمندان یک شرکت نسبت به اطلاعات سازمانی که ذخیره می‌کنند کم می‌شود. کارمندانی که اطلاعات شرکت خود را روی دستگاه‌های شخصی خود ذخیره می‌کنند همیشه به به فکر ابعاد امنیتی آن نیستند؛ خیلی وقت‌ها می‌شود که سهل‌انگاری می‌کنند و آینده و نام یک سازمان را به باد می‌دهند. اطلاعات دیجیتال براحتی مورد دستبرد و دستکاری قرار می‌گیرد و درست همینجاست که خطر جولان دادن سارقین سایبری، کل سازمان را تهدید خواهد کرد.
 
شرکت‌ها باید اطلاعات‌شان- و البته نیروی کارشان را-مدیریت کنند
همینطور که کارمندان برای مدیریت اطلاعات شخصی و کاری‌شان تقلا می‌کنند، شرکت‌ها هم کارشان سخت‌تر خواهد شد زیرا باید نظارت و امنیت‌دهی‌شان را به فراخور تعداد رو به رشد اطلاعات و فایل‌ها ارتقا دهند. مطالعات ما نشان داده است که 80 درصد از کارمندان فکر می‌کنند مسئول امنیت‌دهی به ایمیل‌ها، فایل‌ها و داکیومنت‌ها بر گردنشان نیست.
اطلاعات حساس و شخصی، جزئیات پرداخت و کدهای مجوز تنها نمونه‌های کوچکی هستند از اطلاعاتی که سازمان‌ها به طور روزانه برای بهبود راندمان اجرایی خود بدان‌ها نیازمند بوده و وابسته‌اند. اما کارمندان این اطلاعات را در امنیت کامل یا به طرز صحیحی ذخیره نمی‌کنند. شاید بیش از نیمی از کارمندان (56 درصد) مرتباً آیتم‌های تاریخ‌گذشته‌ی خود را از اینباکس ایمیل‌شان پاک می‌کنند و حدود یک‌سوم آن‌ها (34 درصد) نیز از شر فایل‌های قدیمی خود روی هارد درایوهایشان خلاص می‌شوند.
این آشفتگیِ دیجیتالی وقتی اطلاعات در مکان‌هایی غیرقابل کنترل ذخیره می‌شود تازه تشدید نیز می‌شود (مثل فضای کلود یا فولدرهای به اشتراک گذاشته‌شده، یا حتی وقتی فایل‌ها در حال انتقال هستند). حالا رشد سریع تعداد فایل‌هایی که در حال تولیدند را هم به این موارد اضافه کنید. تعداد فایل‌ها دارد به سمتی می‌رود که دیگر نمی‌شود اطلاعات سازمانی را به این سادگی‌ها مدیریت کرد. حال حساب کنید کار سازمان‌ها چقدر سخت خواهد بود در چنین شرایطی سعی کنند مسئولیت همه‌ی اطلاعات حساس و محرمانه را گردن بگیرند و نگذارند نامحرمان (یا حتی خود کارمندان آن شرکت) بدان‌ها دستبرد بزنند. وقتی شرایط طوریست که کارمند از روی کنجکاوی می‌خواهد بداند حقوق همکارش چقدر است آنوقت دیگر چه انتظاری می‌شود از یک هکر تشنه‌ی پول داشت؟ سازمان‌ها و کارمندان به هم نیاز دارند از این جهت که در راستای مدیریت امن اطلاعات باید با هم مشایعت کنند. اگر کارمندان و سازمان‌ها بتوانند دست در دست هم از پس چالش امنیت اطلاعات بر بیایند؛ آنوقت خیلی راحت‌تر می‌شود فضای سازمانی‌ای ایجاد کرد که در آن فرهنگ و اخلاق حرف اول را می‌زند. در چنین بستری است که تک تک اعضای سازمان وظیفه‌ی خود می‌دانند از شرکت خود حفظ و حراست کنند. درست در همین نقطه است که مبحث تعلیم و آموزش کارمندان اهمیت پیدا می‌کند. اگر آن‌ها را در بخش امنیت اطلاعات آموزش دهیم دیگر از نقش خود در سازمان سرسری گذر نمی‌کنند و تمام تلاششان را خواهند کرد تا امنیت همه‌ی جانبه‌ی شرکت حفظ گردد. تنها با رسیدن به این مهم است که کارمندان قادر به مدیریت بهتر اطلاعات شخصی و کاری خود خواهند بود.
 
کاهش فشار
تجربه به ما نشان می‌دهد (و البته نظرمان هم بر این است که) آشفتگی دیجیتال را نمی‌توان یک معضل خواند (فرقی ندارد شخصی باشد یا کاری). مشکل بی‌مسئولیتی افراد است و اینکه نمی‌توانند کارهای مخصوص یک محیط را درست در همان محیط انجام دهند (این ادغام شرایط، کار را سخت کرده است).
هر کسی تجربه‌ی مختلفی دارد. افراد پیرتر (در بسیاری از موارد) با تکنولوژی چندان حس راحتی نمی‌کنند و همیشه وقتی حرف فناوری به میان می‌آید معذب می‌شوند. از طرفی همه‌مان افرادی را سراغ داریم که وقتی خبری از گوشی و اینترنت و لپ‌تاپ نباشد روزشان روز نمی‌شود. برخی افراد تمام زندگی کاری و شخصی‌شان وابسته به تکنولوژیست. بنابراین، به جای تمرکز روی ارائه‌ی راه‌حل‌های سازمانی روی دستگاه‌های شخصی (هم کاری سخت است و هم چنین راهکاری ممکن است روی خیلی از شرکت‌ها در کشورهای جهان اجراشدنی نباشد) یا تلاش برای تغییر عادات مردم، باید محیط‌هایی را ایجاد کنیم که در آن‌ها بین امنیت و راحتی تعادل برقرار می‌شود (هم انواع مختلف فرایندهای اطلاعاتی و سازمانی). مهم‌تر اینکه باید فرقی قائل شد بین فضای تمام سازمانی (که تنها کارمندان همان شرکت فعالیت دارند) و محیط‌هایی که کارمندان با افراد خارج از شرکت نیز ارتباط دارند. درست است که مهره‌های سازمان باید تمام دقت خود را روی موارد مذکور بگذارند؛ اما به هر حال بستر هم باید به حد کافی مهیا باشد. رسیدن به این هدف هم تنها در گروی وضع مجموعه قوانینی رایج و البته ایجاد درکی دو طرفه از سوی سازمان و کارمندان است. البته، قوانین باید طوری اجرایی شود که عادات کارمندان با نیازهای سازمانی و نیازهای خود کارمندان تداخل پیدا نکند.    
 
منبع: کسپرسکی آنلاین
 

هکرها به اطلاعات سرویس امنیت فدرال روسیه دست یافتند

هکرها به سرور یکی از پیمانکاران «سرویس امنیت فدرال روسیه» نفوذ کرده و ۷.۵ ترابایت اطلاعات را سرقت کرده اند.
 
به گزارش انگجت، برخی دولت ها در سراسر جهان ادعا می کنند روسیه آنها را هک کرده است. حال آنکه این بار «سرویس امنیت فدرال روسیه» (FSB) هدف هکرها قرار گرفته است.
 
یک گروه هکری که خود را $۰v۱ru می نامد، سرورهای شرکت SyTech را هک کرده است. این شرکت یکی از پیمانکاران سازمان FSB است.
 
این هکرها سرور Active Directory شرکت را هک کردند و از این طریق به کل شبکه فناوری اطلاعات شرکت دسترسی یافتند. آنها طی این عملیات ۷.۵ ترابایت اطلاعات را سرقت کردند. این هکرها از سال ۲۰۰۹ میلادی تاکنون تعدادی از پروژه های SyTech برای سازمان اطلاعات روسیه را فاش کرده اند. برخی از این پروژه ها در مرحله تحقیقات و برخی دیگر نیز اجرا شده بودند.
 
به هرحال SyTechپس از عملیات هک که در ۱۳ جولای انجام شده وب سایت خود را آپدیت نکرده و از پاسخگویی به رسانه های نیز خودداری کرده است.
 
البته این نخستین باری نیست که یکی از پیمانکاران « سرویس امنیت فدرال روسیه» هک می شود. شرکت Quantum( یکی دیگر از پیمانکاران این سازمان) در سال ۲۰۱۸ هک شد. البته میزان اطلاعات سرقت شده در عملیات فعلی بسیار بیشتر است.

ساده‌ترین راه نفوذ کلاهبرداران در سازمان‌ها

ساده‌ترین راه نفوذ برای ایجاد دسترسی در یک شبکه، ورود زیرکانه و از طریق مهندسی اجتماعی به سازمان و کسب اطلاعات مورد نیاز و خروج این اطلاعات است.
 
بسیاری از سازمان‌ها و افراد که دانش و توانایی بالایی دارند، برای بستن راه‌های نفوذ کلاهبرداران به حریم خود، از راه‌های بسیاری استفاده می‌کنند. اما یک شبکه هیچ‌گاه کاملاً ایمن نیست و هرگز نمی‌توان عامل انسان را از چرخه اتصالات شبکه و سازمان خارج کرد.
 
بنابراین با تمامی رمزگذاری‌ها، دیوار آتش و… که برای شبکه خود به طور کامل در نظر می‌گیریم، باید به عامل انسان و ساده‌ترین راه نفوذ که همان مهندسی اجتماعی است، توجه کنیم. زیرا همان‌طور که پلیس فتا در گزارش خود آورده، ساده‌ترین راه نفوذ برای ایجاد دسترسی در یک شبکه، ورود زیرکانه و از طریق مهندسی اجتماعی به سازمان و کسب اطلاعات مورد نیاز و خروج این اطلاعات است.
 
یک مهندس اجتماعی فردی است که با حیله، تحریک و متقاعدسازی و فریب با افراد ارتباط برقرار می‌کند و پس از شناخت زوایای مختلف سازمان، بهره‌برداری و سوءاستفاده از سازمان را آغاز می‌کند. مهندس اجتماعی به قدری ساده و طبیعی با افراد ارتباط برقرار می‌کند و از آن‌ها کسب اطلاعات می‌کند که به هیچ وجه پس از دسترسی غیرمجاز و افشای اطلاعات سازمان، افراد متوجه نخواهند شد که اطلاعات از کجا فاش شده است. گروه کامپیوتری سازمان به دنبال نقص‌های فنی می‌گردند و اما پس از بررسی متوجه می‌شوند اطلاعات بسیار ساده‌تر از این‌ها از دست رفته و عامل انسان دخیل بوده است.
 
لزوم آگاه‌سازی افراد سازمان‌ها
 
در مهندسی اجتماعی به هیچ وجه در ابتدا با نرم‌افزار و سخت‌افزار کار نمی‌شود، بلکه با ذهن و فکر انسان‌ها کار می‌شود. البته این به این معنی نیست که نباید امنیت را از طریق فعالیت‌های سخت‌افزاری و نرم‌افزاری برقرار کرد، بلکه منظور از بیان این مفاهیم این است که تأمین امنیت فیزیکی بدون آگاه‌سازی افراد سازمان و تغییر نگرش آن‌ها نمی‌تواند موفق باشد بلکه هر دوی این‌ها با هم کارآمد خواهد بود.
 
مهندسی اجتماعی بر دو نوع است: مهندسی اجتماعی بر پایه اطلاعات فنی و مهندسی اجتماعی بر پایه نیروهای انسانی. مهندسین بر پایه اطلاعات فنی همان کلاهبرداران و فیشرها هستند که با اطلاعات خود مانور می‌دهند و اغلب با طراحی و توسعه سایت یا صفحات بانک‌ها و مؤسسات مالی برای دزدیدن نام کاربری و رمز عبور، به کلاهبرداری می‌پردازند. یا این که با استفاده از ایمیل‌هایی که به کاربران می‌فرستند، آن‌ها را تحریک می‌کنند که فایل‌های ضمیمه را باز کنند و سپس به اهداف خود می‌رسند.
 
اما در مهندسی اجتماعی بر پایه نیروی انسانی تمام هدف نفوذگر، ارتباط با اشخاص به وسیله تلفن یا ارتباط حضوری است. این افراد اغلب دارای اطلاعات فنی زیادی نیستند و هنر آن‌ها تنها روابط عمومی قوی است و آن‌ها با متخصصان شریک می‌شوند تا با هم بتوانند با کلاهبرداری منفعت کسب کنند. بنابراین حفظ اطلاعات شبکه چه از طریق آموزش به افراد سازمان و چه از طریق امنیت فیزیکی بسیار مهم و حائز اهمیت است.
 

ساده‌ترین راه نفوذ کلاهبرداران در سازمان‌ها

ساده‌ترین راه نفوذ برای ایجاد دسترسی در یک شبکه، ورود زیرکانه و از طریق مهندسی اجتماعی به سازمان و کسب اطلاعات مورد نیاز و خروج این اطلاعات است.
 
بسیاری از سازمان‌ها و افراد که دانش و توانایی بالایی دارند، برای بستن راه‌های نفوذ کلاهبرداران به حریم خود، از راه‌های بسیاری استفاده می‌کنند. اما یک شبکه هیچ‌گاه کاملاً ایمن نیست و هرگز نمی‌توان عامل انسان را از چرخه اتصالات شبکه و سازمان خارج کرد.
 
بنابراین با تمامی رمزگذاری‌ها، دیوار آتش و… که برای شبکه خود به طور کامل در نظر می‌گیریم، باید به عامل انسان و ساده‌ترین راه نفوذ که همان مهندسی اجتماعی است، توجه کنیم. زیرا همان‌طور که پلیس فتا در گزارش خود آورده، ساده‌ترین راه نفوذ برای ایجاد دسترسی در یک شبکه، ورود زیرکانه و از طریق مهندسی اجتماعی به سازمان و کسب اطلاعات مورد نیاز و خروج این اطلاعات است.
 
یک مهندس اجتماعی فردی است که با حیله، تحریک و متقاعدسازی و فریب با افراد ارتباط برقرار می‌کند و پس از شناخت زوایای مختلف سازمان، بهره‌برداری و سوءاستفاده از سازمان را آغاز می‌کند. مهندس اجتماعی به قدری ساده و طبیعی با افراد ارتباط برقرار می‌کند و از آن‌ها کسب اطلاعات می‌کند که به هیچ وجه پس از دسترسی غیرمجاز و افشای اطلاعات سازمان، افراد متوجه نخواهند شد که اطلاعات از کجا فاش شده است. گروه کامپیوتری سازمان به دنبال نقص‌های فنی می‌گردند و اما پس از بررسی متوجه می‌شوند اطلاعات بسیار ساده‌تر از این‌ها از دست رفته و عامل انسان دخیل بوده است.
 
لزوم آگاه‌سازی افراد سازمان‌ها
 
در مهندسی اجتماعی به هیچ وجه در ابتدا با نرم‌افزار و سخت‌افزار کار نمی‌شود، بلکه با ذهن و فکر انسان‌ها کار می‌شود. البته این به این معنی نیست که نباید امنیت را از طریق فعالیت‌های سخت‌افزاری و نرم‌افزاری برقرار کرد، بلکه منظور از بیان این مفاهیم این است که تأمین امنیت فیزیکی بدون آگاه‌سازی افراد سازمان و تغییر نگرش آن‌ها نمی‌تواند موفق باشد بلکه هر دوی این‌ها با هم کارآمد خواهد بود.
 
مهندسی اجتماعی بر دو نوع است: مهندسی اجتماعی بر پایه اطلاعات فنی و مهندسی اجتماعی بر پایه نیروهای انسانی. مهندسین بر پایه اطلاعات فنی همان کلاهبرداران و فیشرها هستند که با اطلاعات خود مانور می‌دهند و اغلب با طراحی و توسعه سایت یا صفحات بانک‌ها و مؤسسات مالی برای دزدیدن نام کاربری و رمز عبور، به کلاهبرداری می‌پردازند. یا این که با استفاده از ایمیل‌هایی که به کاربران می‌فرستند، آن‌ها را تحریک می‌کنند که فایل‌های ضمیمه را باز کنند و سپس به اهداف خود می‌رسند.
 
اما در مهندسی اجتماعی بر پایه نیروی انسانی تمام هدف نفوذگر، ارتباط با اشخاص به وسیله تلفن یا ارتباط حضوری است. این افراد اغلب دارای اطلاعات فنی زیادی نیستند و هنر آن‌ها تنها روابط عمومی قوی است و آن‌ها با متخصصان شریک می‌شوند تا با هم بتوانند با کلاهبرداری منفعت کسب کنند. بنابراین حفظ اطلاعات شبکه چه از طریق آموزش به افراد سازمان و چه از طریق امنیت فیزیکی بسیار مهم و حائز اهمیت است.
 

روش جدید هکرها برای نفوذ آسانتر به اطلاعات شرکت‌های بزرگ

 
کارشناسان به تازگی دریافته و اعلام کرده اند که هکرها و مجرمان سایبری با نفوذ به شرکت‌های کوچک وابسته به شرکت‌های بزرگ‌تر، سعی دارند به زیرساخت‌های آنها دسترسی پیدا کنند.
 
به گزارش ایسنا، کارشناسان و پژوهشگران امنیتی به تازگی دریافته و اعلام کرده اند که هکرها و مجرمان سایبری با استفاده از تکنیک جدیدی با عنوان island hopping سعی دارند به اطلاعات موجود در زیرساخت‌های شرکت‌های کوچک‌تر وابسته به شرکت‌های بزرگ‌تر نفوذ و دسترسی پیدا کنند تا بتوانند به اطلاعات ارزشمند شرکت‌های بزرگ‌تر دسترسی پیدا کرده و آنها را به سرقت ببرند.
 
بر اساس یافته‌های این محققان، هکرها با بهره‌گیری از تکنیک مذکور تاکنون توانسته اند به اطلاعات شرکت‌های فعال در حوزه‌های مختلف نفوذ یابند که در این میان ۴۲ درصد از شرکت‌های مالی، ۳۲ درصد از شرکت‌های تولیدی و ۳۲ درصد از شرکت‌های خرده فروشی هک شده و هکرها و مجرمان سایبری موفق شده اند به داده‌های مورد نظر خود دسترسی پیدا کنند.
 
طبق اعلام وب سایت itpro ، کارشناسان امنیتی نیز از افزایش روزافزون حملات هکرها با استفاده این روش به شرکت‌های مختلف هشدار داده و از آنها خواسته اند هرچه سریع‌تر به افزایش ارتقای سطح امنیت سایبری و محافظت از اطلاعات محرمانه و فوق سری خود اقدام کنند.
 
آنها همچنین در گزارش‌های خود اعلام کرده اند که هم اکنون در بالغ بر نیمی از حملات سایبری در جهان از این روش استفاده می‌شود.

تماشا کنید: محققین کسپرسکی خانه‌ای هوشمند را به طور آزمایشی هک کردند

 
 
امروزه ایده‌ی خانه‌ی هوشمند بیش از هر زمان دیگری رونق پیدا کرده است. این فناوری که پیشتر باب دندان طرفداران دوآتشه‌ی تکنولوژی و افرادی بود که همیشه جدیدترین گجت‌ها را در دستشان می‌دیدید اکنون خودش را بیش از قبل در دل مردم جا کرده است. حتی هزینه‌ راه‌اندازی خانه‌های هوشمند نیز مقرون به صرفه‌تر شده است. یکی از همکاران ما (معاون اجرایی شرکت کسپرسکی) به جرگه‌ی خانه‌ هوشمندی‌ها پیوسته و به تازگی برای خانه‌ی جدیدش کلی وسیله‌ی پر زرق و برق هوشمند خریده است. بعد از اینکه همه‌چیز را نصب کرد فکر کرد شاید محققین Kaspersky ICS CERT دوست داشته باشند امنیت این سیستم را به چالش بکشند. ایده‌ی بر پا کردن جشنی هوشمند ایده‌ی خوبی بود و البته که خیلی هم خوش گذشت؛ اما در ادامه قرار است داستانی کوتاه برایتان تعریف کنیم از اینکه آن‌ها چطور توانستند آسیب‌پذیری‌هایی پیدا کرده و از این طریق خانه‌ی هوشمند او را هک کنند.
 
هک آغاز می‌شود
 
برنامه: خانه (در دورترین نقطه‌اش) یک هاب هوشمند به نام Fibaro Home Center Lite داشت که کارش مدیریت تمام چیزهای هوشمندِ متصل به آن بود. وسایل هوشمند داخل خانه شامل چراغ‌هایی که حسگر حرکتی داشتند و می‌توانستند به طور خودکار روشن و خاموش شوند، یخچال، سیستم صوتی و دستگاه حرارتی که می‌توانست از راه دور کار کند و همچنین روشن و خاموش شود می‌شد. علاوه بر این‌ها، چندین شناساگر دود، حسگر طوفان و دوربین‌های مداربسته نیز برای نظارت روی خانه هم به این هاب وصل بود. و البته سیستم گرمایشی و در ورودی که مجهز به زنگ ویدیوییِ هوشمند بود نیز توسط همین هاب مدیریت می‌شد.
 
همه‌ی اینها به یک شبکه‌ی اینترنتی بی‌سیم وصل بودند. آنچه محققین امنیتی می‌دانستند مدلِ هاب این خانه‌ی هوشمند و البته آدرس آی‌پیِ آن بود.
 
نحوه‌ی عملکرد: محدود کردن سطح حمله
 
حمله به یک خانه‌ی هوشمند چگونه است؟ در این پرونده‌ی خاص اوضاع چنین پیش رفت: تیم محققین امنیتی تلاش می‌کنند هر گونه روش حمله‌ای را امکان دارد موفقیت‌آمیز عمل کند بنویسند. بنابراین سطح حمله را مدل‌سازی می‌کنند. بعد با یک روشمندیِ خاصی شروع می‌کنند به آزمایش تضمینی‌ترین متودها. آنوقت بر اساس کارایی، حمله‌ها را یک یه یک از دایره خارج می‌کنند تا نهایتاً به یک متود حمله‌ای برسند که مو لای درزش نرود- متودی که بتوانند بدون هیچ مشکلی خیلی راحت به شبکه نفوذ کنند.
 
با این حال برخی روش‌های حمله نسبت به بقیه روش‌ها سخت‌تر مورد اکسپلویت قرار می‌گیرند. این روش‌ها معمولاً در پروسه‌ی مدلسازی سطح حمله گیر می‌کنند- مهاجمین دیگر مایل نیستند وقت و انرژی خود را صرف استفاده از آن‌ها کنند؛ تیم محققین امنیتی نیز همینطور. برخی روش‌های حمله هم هستند که محدودیت دارند- مهاجم باید به طور فیزیکی نزدیک هدف بماند. به همین دلیل بچه‌های ICS CERT کسپرسکی تصمیم گرفتند به حمله‌‌ی پروتکل Z-Wave (هاب خانه‌ی هوشمند داستان ما برای ارتباط با وسایل خانگی‌اش از آن استفاده می‌کرد) حتی نگاه هم نکنند؛ چراکه مهاجم را مجبور می‌کرد نزدیک خانه باشد و حضور فیزیکی‌اش مهم بود. همچنین ایده‌ی اکسپلویت مترجم زبان برنامه‌نویسی را از هم از ذهنشان بیرون انداختند- هاب Fibaro از نسخه‌ی پچ‌شده استفاده می‌کرد.
 
در نهایت، آن‌ها موفق شدند آسیب‌پذیری تزریق ریموتِ  SQL (علیرغم تلاش‌های بی‌شائبه‌ی Fibaro برای جلوگیری از این اتفاق) و چند تایی آسیب‌پذیریِ اجرای کد ریموت در کد PHP پیدا کنند. این آسیب‌پذیری‌ها در صورت اکسپلویت شدن می‌توانستند به مهاجمین اجازه دهند درست روی خود هاب هوشمند دسترسی روت داشته باشند؛ که این یعنی نظارت کامل روی آن. همچنین جا دارد این نکته را هم خاطرنشان کنیم که حتی صاحب این هاب هم چنین حقوق دسترسی ندارد و بنابراین نخواهد توانست جلوی اقدامات مهاجمین را بگیرد. اما مهاجمین ابتدا باید بتوانند به دستگاه فرمان بفرستند.
 
نقاط ضعف خانه‌ی هوشمند
 
نکته‌ی مهم در مورد خانه‌ی هوشمند فیبارو این است که می‌تواند با استفاده از فناوری کلود از هر جایی به صورت ریموت کنترل شود. این بدان معناست که احتمال دارد آسیب‌پذیری‌ها نه تنها در خود دستگاه که همچنین در کلودی که استفاده می‌کند و پروتکل‌هایی که برای ارتباط‌گیری به کار می‌بندد نیز باشد. همانطور که مستحضر هستید، در کلودِ فیبارو آسیب‌پذیریِ شدیدی پیدا شد که به مهاجمین اجازه داد به همه‌ی بک‌آپ‌هایی که از هاب‌های فیبارو آپلود شدند بودند (در سراسر جهان) دسترسی پیدا کنند.
 
اینگونه بود که تیم محققین امنیتی به اطلاعات بک‌آپ ذخیره‌شده توسط Fibaro Home Center (واقع در این خانه به طور خاص) دسترسی پیدا کردند. از میان چیزهای دیگر، این بک‌آپ حاوی فایل دیتابیس با کلی اطلاعات داخلش بود (موقعیت مکانی خانه، اطلاعات جغرافیایی از طریق اسمارت‌فون صاحبخانه، آدرس ایمیلی که برای ثبت‌نام در فیبارو استفاده شده بود اطلاعات مربوط به دستگاه‌های هوشمند -فیبارو و غیر فیبارو- داخل خانه‌ی فرد و حتی رمزعبور صاحبِ خانه).
 
با این حال، رمزعبور ذخیره‌شده رمزنگاری شده بود و دیگر محققین امنیتی نمی‌توانستند از آن استفاده کنند. شایان ذکر است که اگر برخی دیگر از دستگاه‌های هوشمند نیاز به رمزعبور داشتند، این رمزعبورها درست در همان پایگاه اطلاعاتی (بدون هیچ رمزگذاری) ذخیره می‌شدند.
 
تیم محققین امنیتی سپس نسخه‌ای خاص از یک بک‌آپ حاوی یک پی‌لود در قالب اسکریپت PHP (که فرمان‌های قراردادی را که به صورت ریموت به آن ارسال شده بود اجرا می‌کرد) ساختند. بعد از آن، از قابلیت کلود استفاده کردند که بدان‌ها اجازه می‌داد به صاحب خانه ایمیل  و اس‌ام‌اس ارسال کنند و به او بگویند برای خانه‌ی هوشمند او مشکلی بوجود آمده است و باید برای درست شدنش آن را آپدیت یا ریستور کنند.
 
البته فردِ آگاه به امنیت اطلاعات که از قبل انتظار حمله را دارد خیلی سریع متوجه می‌شود که این درخواست صرفاً یک دام بوده است؛ اما متأسفانه خیلی از کاربران چنین شامه‌ی تیزی ندارند. برای همین صاحب خانه‌ی هوشمندِ خبر ما هم (به طور فرضی) بی‌آنکه روحش خبردار شده باشد پروسه را ادامه می‌دهد و اینگونه بود که مهاجمین توانستند به هاب هوشمند (و همچنین هر چه دستگاه هوشمند تحت کنترل آن است) دسترسی پیدا کنند. از همه مهمتر اینکه، آن‌ها همچنین توانستند به شبکه‌ی اینترنتی خانگی نیز نفوذ کنند.
 
وقتی خانه‌ا‌ی هوشمند هک می‌شود دقیقاً چه اتفاقی می‌افتد؟
 
وقتی به طور مجازی از خانه‌ای هوشمند دزدی می‌شود، مهاجمین می‌توانند تمام وسایل خانگی هوشمند و دستگاه‌های متصل به شبکه‌ی اینترنتی خانگی را تحت کنترل خود قرار دهند. در این مورد خاص، منظورمان کنترل حرارت خانه، روشن کردن حمام بخار، بلند کردن صدای موزیک از استریو، پرینت گرفتن از هر پرینتری که به شبکه وصل است و غیره است. 
 
تازه آن‌ها همچنین می‌توانستند از راه دور درب ورودی خانه را باز کرده و دوربین‌های امنیتی و حسگرهای حرکتی را غیرفعال کنند- روشی آسان برای دزدی از یک خانه. و از آنجایی که مختصات اسمارت‌فون صاحب خانه را نیز در دست گرفته بود خوب می‌دانستند قرار است چه ساعتی خانه بیاید (می‌دانستند برای سرقت دقیقاً به چه میزان زمان نیاز دارند).
 
به طور کلی، هک شدن خانه‌ی هوشمند چندان خساراتی در پی ندارد؛ مگر آنکه مهاجمین تصمیم بگیرند از خانه‌تان دزدی کنند و آن را برای از کار انداختن دوربین‌های مداربسته کنند. درس امروز: وقتی تصمیم می‌گیرید خانه‌تان را هوشمند کنید خیلی هم به قابلیت‌های امنیتی تکیه نکنید- شاید غیرفعال شوند.
 
در آخر تشکر می‌کنیم از شرکت فیبارو که چنین محصولات امن و مطمئنی ساخته و همچنین برای ارائه‌ی پچ سریعِ آسیب‌پذیری‌هایی که کشف کردیم نهایت همکاری را با محققین ما در ICS Cert داشته است. مراکز خانه هوشمند فیبارو در نتیجه‌ی این آزمایش کوچک اکنون از امنیت بالاتری برخوردار است و بنابراین ما استفاده از آن‌ها را رسماً امن و مطمئن اعلام می‌کنیم.  
 
 
 
>div id="87170811147">