کشف یک نقص امنیتی در واتس‌اپ

یک محقق امنیتی، نقصی را در پیام‌رسان ‫واتس‌اپ در دستگاه‌های اندرویدی شناسایی کرد که می‌تواند به مهاجمان، امکان نفوذ و اجرای کد از راه دور (RCE) دهد.
 
به گزارش مرکز ماهر، این حفره‌ امنیتی که توسط یک محقق با نام مستعار «Awakened» کشف شد، به عنوان یک اشکال double-free توصیف و به آن شناسه‌ CVE CVE-۲۰۱۹-۱۱۹۳۲ اختصاص داده شده است.
 
این نقص، در نسخه‌ ۲.۱۹.۲۳۰ واتس‌اپ در دستگاه‌های دارای اندروید ۸.۱ و ۹.۰ اجازه‌ اجرای کد از راه دور را می‌دهد و در نسخه‌های قبلی فقط می‌تواند برای حملات انکار سرویس (DoS) استفاده شود.
 
آسیب‌پذیری شناسایی‌شده، در یک کتابخانه‌ منبع‌باز به نام «libpl_droidsonroids_gif.so» وجود دارد که توسط واتس‌اپ برای تولید پیش‌نمایش پرونده‌های GIF استفاده می‌شود.
 
بهره‌برداری از این نقص، شامل ارسال یک GIF مخرب است که می‌تواند در هنگام بازکردن گالری واتس‌اپ توسط کاربر (به‌عنوان مثال، زمانی که کاربر می‌خواهد برای یکی از مخاطبین خود تصویری ارسال کند) به‌طور خودکار باعث آسیب‌پذیری ‌شود.
 
به‌گفته‌ این محقق، مهاجم نمی‌تواند تنها با ارسال یک GIF ویژه، از این نقص بهره‌برداری کند و کنترل تلفن همراه را در دست بگیرد. مهاجم ابتدا باید از آسیب‌پذیری دیگری که در تلفن کاربر وجود دارد سوءاستفاده کند تا به چیدمان حافظه دسترسی پیدا کند. زیرا یک اشکال double-free نیاز دارد تا یک مکان از حافظه را دوبار فراخوانی کند و این کار می‌تواند منجر به خرابی یک برنامه یا ایجاد یک آسیب‌پذیری شود.
 
در این حالت، هنگامی که یک کاربر واتس‌اپ، نمایه‌ گالری را برای ارسال پرونده‌ رسانه باز می‌کند، واتس‌اپ آن‌را با استفاده از یک کتابخانه‌ منبع‌باز برای تولید پیش‌نمایش GIF که شامل چندین فریم رمزگذاری‌شده است، تجزیه می‌کند.
 
این نقص به نرم‌افزار مخرب اجازه می‌دهد تا پرونده‌های موجود در سندباکس واتس‌اپ از جمله پایگاه‌داده‌ پیام را سرقت کند.
 
Awakend، فیس بوک را از این اشکال مطلع کرد و این شرکت، همزمان وصله‌ رسمی برای برنامه را در نسخه‌ واتس‌اپ ۲.۱۹.۲۴۴ منتشر کرد.
 
مرکز ماهر به کاربران توصیه کرده که واتس‌اپ خود را به این نسخه به‌روز کنند تا از این اشکال در امان بمانند.

مسابقات ارزیابی امنیتی وب‌سایت های دولتی برگزار می‌شود

مرکز ماهر مسابقات ارزیابی امنیتی و کشف باگ (Bug bounty) در سطح وب‌سایت‌ها و سامانه‌های دولتی تحت شبکه اینترنت را توسط سامانه کلاه سفید برگزار می کند.
 
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای در راستای ماموریت‌های خود به منظور ارتقای امنیت در سامانه‌های کشور، اقدام به برگزاری مسابقات ارزیابی امنیتی و کشف باگ (Bug bounty) در سطح وب‌سایت‌ها و سامانه‌های دولتی تحت شبکه‌ اینترنت کرده است.
 
در این راستا سامانه‌ کلاه سفید مرکز ماهر (https://kolahsefid.cert.ir)، آماده ارزیابی امنیتی سامانه‌ها از طریق برگزاری مسابقات عمومی و خصوصی است.
 
برخلاف قراردادهای مرسوم و سنتی آزمون نفوذ، با استفاده از سامانه کلاه سفید، تنها به ازای آسیب‌پذیری‌های کشف‌شده توسط متخصصان امنیتی شرکت‌کننده در مسابقه و با داوری‌ تیم مرکز ماهر هزینه ارزیابی امنیتی پرداخت می‌شود. همچنین پس از برگزاری مسابقه و ارزیابی نهایی سامانه توسط داوران، گواهی تاییدیه ارزیابی امنیتی سامانه به سازمان مربوطه اعطا خواهد شد.
 
سامانه کلاه سفید با توجه به همین چالش‌ها، راهکار ارائه خدمات برگزاری مسابقه ارزیابی امنیتی را مطرح و بستری فراهم کرده است تا متخصصان مجرب امنیتی و سازمان‌ها و شرکت‌های تولید نرم‌افزار با حداکثر سرعت و حداقل هزینه در کنار یکدیگر قرار گیرند.
 
با توجه به تعداد بالای متخصصان این سامانه، که تعداد آن‌ها تاکنون به بیش از ۵۰۰ نفر رسیده است، طیف وسیعی از دانش و مهارت مورد نیاز برای ارزیابی امنیتی فراهم شده است.
 
این مسابقات به دو صورت عمومی و خصوصی برگزاری می‌شود. در مسابقات عمومی کلیه متخصصان عضوشده در سامانه کلاه سفید امکان مشاهده جزئیات و شرکت در آن را دارند و در مسابقه خصوصی تنها متخصصان شناخته‌شده و منتخب، امکان شرکت دارند.
 
در مرحله اول، طی روزهای آینده ارزیابی امنیتی برخی از سامانه‌های مرکز ماهر و سازمان فناوری اطلاعات به مسابقه گذاشته خواهد شد. سایر دستگاه‌های دولتی نیز می‌توانند در صورت تمایل جهت ارزیابی سامانه‌های خود در این مسابقات با مرکز ماهر تماس برقرار کنند.

گوگل روسی هک شد

هکرهای آژانس‌های جاسوسی غربی با استفاده از بدافزار نادری به نام ‫Regin، موتور جستجوی یاندکس را هک کرده‌اند تا بتوانند از کاربران این موتور جستجوی روسی جاسوسی کنند.
 
یاندکس یک موتور جستجوی روسی است که در زمینه محصولات اینترنتی و سرویس‌هایی از جمله تجارت، حمل و نقل، ناوبری، اپلیکیشن‌های کاربردی موبایل و تبلیغات آنلاین فعالیت می‌کند.
 
به گزارش رویترز، بدافزار Regin یکی از پیچیده‌ترین و نادرترین بدافزارهایی است که توسط Five Eyes یا اتحادیه اطلاعاتی کشورهای ایالات متحده، بریتانیا، استرالیا، نیوزیلند و کانادا استفاده می‌شود. هدف این حملات واحد تحقیق و توسعه یاندکس بوده و این حملات بیشتر به دلیل اهداف جاسوسی انجام شده و هیچ اختلال یا سرقت اطلاعات خاصی صورت نگرفته است.
 
به دلیل اینکه حملات توسط متخصصان امنیتی این موتور جستجو شناسایی نشد در نتیجه جهت انجام تحقیقات بیشتر از شرکت امنیتی کاسپر اسکای درخواست کمک شد که بعد از انجام تحقیقات مربوطه توسط این شرکت امنیتی، مشخص شد که هدف حمله گروهی از توسعه‌دهندگان داخلی یاندکس بوده است و مهاجمانی که این حملات را انجام داده‌اند، حداقل به مدت چند هفته و بدون شناسایی شدن دسترسی پایداری را به یاندکس داشته‌اند.
 
براساس گزارش رویترز، هکرها به دنبال اطلاعات فنی مربوط به چگونگی احراز هویت حساب‌های کاربری توسط یاندکس بوده‌اند. چنین اطلاعاتی می‌تواند به جعل حساب‌های کاربری یاندکس و دسترسی به پیام‌های خصوصی کاربران منجر شود.

استفاده از تجهیزات UTM در ایران به دلیل تحریم با مشکل مواجه شد

مرکز ماهر در اطلاعیه ای در خصوص مشکلات پیش‌آمده برای استفاده از تجهیزات UTM در ایران توضیح داد و آن را ناشی از اعمال تحریم های شرکت مادر علیه ایران، عنوان کرد.
 
به گزارش مهر، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (ماهر) در اطلاعیه‌ای اعلام کرد: از اوایل سال جاری، شماری از تجهیزات مربوط به مدیریت یکپارچه تهدیدات سایبری( ‫UTM ) با نام‌های تجاری ‫«سوفوس» و ‫«سایبروم» مورد استفاده در کشور، به دلیل اعمال تحریم شرکت مادر (سوفوس) دچار مشکلاتی نظیر انقضای مجوز و محدودیت در خدمات شده‌اند.
 
این موضوع و راهکارهای برخورد با آن طی جلساتی با شرکت‌های وارد کننده و خدمات‌دهنده عمده این محصولات مورد بررسی قرار گرفت. لذا سازمان‌ها و شرکت‌های مصرف کننده این تجهیزات توجه داشته باشند که این موضوع سراسری بوده و بهره‌برداران مختلف را تحت تأثیر قرار داده است.
 
بنابراین توصیه می‌شود حداکثر همکاری بین شرکت‌های تأمین‌کننده و مصرف کننده جهت اتخاذ راهکارهای جایگزین صورت پذیرد.
 
به گزارش مهر، مدیریت یکپارچه تهدیدات (UTM) یکی از توابع مدیریت امنیت است که به ادمین شبکه این امکان را می‌دهد تا دامنه گسترده‌ای از کاربردهای امنیتی و تجهیزات زیرساختی را با استفاده از یک ابزار مدیریتی، مانیتور و مدیریت کند.
 
UTM ها به صورت عمومی شامل سرویس‌های ابری، دستگاه‌های شبکه، فایروال‌ها، دستگاه‌های تشخیص اختلال در شبکه، ضدبدافزارها، ضد اسپم ها، ضد فیلترینگ محتوا و… هستند که شبکه را در مقابل تهدیداتی از جمله هرزنامه‌ها، بدافزارها، برنامه‌های کلاهبرداری، ویروس‌ها، حملات هکرها و … محافظت می‌کنند.

بهانه تراشی معاون امنیت سازمان IT: ماهر همه اختیارات را ندارد!

 
 
این روزها حملات اینترنتی به سازمان‌ها، نهادهای مختلف دولتی و خصوصی و نشت اطلاعات داخلی آنها به سرتیتر اخبار تبدیل شده است. حالا این رخدادهای امنیتی پایشان به شرکت‌های نوپا یا استارت‌آپی نیز باز شده و حداقل در یک سال اخیر خبرهای مختلفی در مورد نشت اطلاعات در این شرکت‌ها شنیده شده است.
 
ma34-1.jpg
 
 
این حملات در خیلی از نکات اگر به هم شبیه نباشند در یک نکته به هم شباهت قابل توجه‌ای دارند: بی‌توجهی به هشدارهای مرکز ماهر (مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای) نسبت به همان حمله اینترنتی که حالا آن شرکت یا سازمان را در بحران امنیتی قرار داده است. برای نمونه در جدیدترین اتفاق هفته گذشته، سایت سازمان تامین اجتماعی هک و از دسترس خارج شد و حالا مشخص شده که مرکز ماهر پیش از این هک به سازمان تامین اجتماعی هشدارهای لازم در مورد آسیب‌پذیری امنیتی این سایت را داده بود. این اولین بار نیست که یک سازمان نسبت به گزارش این مرکز بی‌توجه است. سال گذشته نیز وقتی سایت زرین‌پال؛ شرکت فعال در حوزه پرداخت الکترونیکی هک شد آنها در اطلاعیه‌ای اعلام کردند که پیش از این اتفاق نیز مرکز ماهر نسبت به باگ امنیتی روی تجهیزات شبکه این شرکت هشدار داده بود. اما چرا نهادهای دولتی یا شرکت‌های خصوصی به هشدارهای امنیتی مرکز ماهر توجه نمی‌کنند؟
 
ماهر همه اختیارات را ندارد
اما ابوالقاسم صادقی، معاون امنیت سازمان فناوری اطلاعات در مقابل این انتقاد‌ها اعلام می‌کند که ماهر مسئولیت مقابله با حوادث، رخدادها و شناسایی آسیب‌پذیرها را برعهده دارد؛ اما همه مسئولیت‌ها برای جلوگیری از بحران امنیتی در اختیار این مجموعه نیست. صادقی در گفت‌وگو با پیوست در مورد سطح اختیارات مرکز ماهر می‌گوید:‌ «مرکز ماهر مسئولیت مقابله با حوادث، رخدادها و شناسایی آسیب‌پذیرها را برعهده دارد. سطح اختیارات کسی که بحران را شناسایی و اعلام کرده، برای رفع ریشه‌ها و عوامل بروز آن بحران مهم است. ممکن است شما بحرانی را شناسایی و اعلام کنید؛ اما لزوماً همه ابزار برطرف کردن آن در اختیارتان نباشد.» او با ذکر مثالی می‌افزاید:‌ «مثالش همین آسیب‌پذیری‌ای است که روی دستگاه‌های میکروتیک (MikroTik) اعلام کرده بودیم. آن زمان که ما اعلام کردیم، حدود ۱۷ هزار دستگاه آسیب‌پذیر در کشور داشتیم. چندین بار هم اخطار و تذکر دادیم اما در بازه چندماهه (شاید بالای شش ماه) حدود ۱۰، ۱۵ درصد آنها اقدام به رفع آسیب‌پذیری کردند. این روترهای آسیب‌پذیر هنوز در کشور هستند. موضوع این است که کسی که این رصدها را انجام می‌دهد همان کسی نیست که همه اختیارات را دارد.» او تاکید می‌کند که ماهر خواستار تمامی اختیارات هم نیست چرا که چارچوب‌های قانونی فعالیت در حوزه سایبری تعریف شده؛ اما باید پروتکل‌های ارتباطی نهادهای درگیر در این حوزه تعریف و با یکدیگر هماهنگ شود. به باور صادقی ماهر می‌تواند نخ تسبیح این هماهنگی‌ها بین دستگاه‌هایی که فرایندهای امنیتی را  در اختیار دارند باشد.
 
سیاست ماهر صیانت از حقوق شهروندان و شرکت‌هاست
بررسی گزارش‌ها و خبرهای منتشر شده از سمت مرکز ماهر نشان می‌دهد که تا زمانی که یک اتفاق عمومی در مورد یک بحران امنیتی رخ ندهد، گزارشی از سمت این مرکز منتشر نمی‌شود. از طرفی گزارش‌های این مرکز در مورد برخی رخدادهای امنیتی با وجود وعده‌های این سازمان برای انتشار جزییات آن رخداد منتشر نمی‌شود. برای مثال اواخر فروردین و همزمان این مرکز وعده داد که بعد از بررسی‌های لازم گزارشی از جزییات این اتفاق را منتشر خواهد کرد، وعده‌ای که تاکنون هم محقق نشده است. صادقی در این زمینه می‌گوید:‌‌ «ما به عنوان دولت باید به صورت همزمان هم از حقوق شهروندان صیانت کنیم و هم از کسب‌وکارها حمایت کنیم. اینها همزمان باید اتفاق بیفتد. زمانی که نشت اطلاعات تپ‌سی رخ داد مقام محترم وزارت بدون اینکه اسمی از مجموعه‌ای بیاورند، اصل موضوع را در قالب یک توییت، با هشتگ گزارش به مردم، اطلاع‌رسانی کردند. فلسفه آن توییت این بود که اگر جایی خطری متوجه مردم است، این موضوع اطلاع‌رسانی شود. قرار نبود که اسامی شرکت‌ها رسانه‌ای شود.» براساس اظهارات صادقی به خاطر اینکه کسب‌وکار شرکت‌ها آسیب نبیند، تذکرات به صورت محرمانه داده ‌می‌شود. او با انتقاد از برخی خبرهایی که در مورد تپ‌سی رسانه‌ای شد اعلام کرد:‌ «منظور من این نیست که چنین اتفاقاتی رسانه‌ای نشود اما نباید چیزی رسانه‌ای شود که به کسب‌وکار شرکت آسیب بزند. هدف ما این است که بهبود شرایط کسب‌وکار و افزایش اعتماد عمومی رخ دهد. هدف ما نابود کردن کسب‌وکارها نیست.»
 
او در پاسخ به این سوال که در مورد سیاست انتشار گزارش‌های ماهر می‌گوید:‌ «قاعده ما این است که دو نوع گزارش عمومی داریم. نوع اول در حیطه آسیب‌پذیری‌هاست. احساس می‌کنیم یکسری از این آسیب‌پذیری‌ها خطرناک است؛ مثلاً آن نرم‌افزار یا وسیله‌ای که در معرض آسیب است، ضریب نفوذ بالایی در کشور دارد. یا نوع آسیب‌پذیری طوری خطرناک است که اگرچه تعداد دستگاه‌های زیادی را درگیر نمی‌کند اما تبعات زیادی دارد. بر حسب بررسی‌هایی که انجام می‌پذیرد تصمیم‌گیری می‌شود که گزارش منتشر شود یا نه.» صادقی در توضیح گزار‌ش‌های دیگر این مرکز می‌‌افزاید:‌ «گزارش نوع دوم ماهر درباره رخدادها و حملات است. سیاستی که در گذشته وجود داشته این بوده که چنین گزارش‌هایی اساساً منتشر نشود. سیاست ما این است که آن بخش‌هایی که به صورت تجاری برای سازمان‌ها و شرکت‌ها محرمانگی پیدا می‌کند از گزارش حذف و جنبه عمومی‌اش برای بقیه با هدف آگاه‌سازی و تجربه منتشر شود.»
 
کنترل ضعیف اپ‌استورها روی اپلیکیشن‌ها
از دیگر گزارش‌هایی که مرکز ماهر به صورت ماهانه یا فصلی هم منتشر می‌کند گزارش در مورد اپلیکیشن‌های ناامنی است که توسط اپ‌استورهای مختلف منتشر می‌شود. این گزارش‌ها در حالی از سمت این مرکز منتشر می‌شود که برخی اپ‌استورهای ایرانی اعلام می‌کنند که تا زمانی که صحت گزارش‌های ماهر در این زمینه توسط خودشان بررسی نشود اقدام به حذف آن نخواهند کرد. صادقی در واکنش به این نوع سیاست‌ اپ‌استورهای ایرانی می‌گوید:‌ «از دید ما، خیلی شفاف و صریح، اپ‌استور نسبت به آلوده نبودن محصولی که در اختیار مردم قرار می‌دهد مسئول است. اپل و گوگل این کار را می‌کنند و اپ‌استورهای داخلی هم موظف‌اند این سرویس را برای کاربر برقرار کنند. کل کنترل من اگر قرار باشد با استفاده از یک آنتی‌ویروس نه‌چندان قوی که در ۳۰ آنتی‌ویروس اول دنیا جایی ندارد اعمال شود، اصلاً فایده ندارد.» او می‌افزاید:‌ «بحثی که امروز در نهادهای تصمیم‌ساز درباره اپلیکیشن‌ها در جریان است این است که برخی می‌گویند هر اپلیکیشنی باید مجوز امنیتی بگیرد؛ اما ما به عنوان وزارت ارتباطات مدام تاکید می‌کنیم که فشار به اپ‌ها نیاید. مجوزهای امنیتی گران هستند و خیلی از نویسندگان اپ‌ها اصلاً بضاعت مالی ورود به چنین فرایندهایی را ندارند. در تمام دنیا این کنترل‌ها را اپ‌استورها انجام می‌دهند. در کشور ما هم اپ‌استورها باید آماده این کار باشند. اکنون هم چنین نقشی را ایفا می‌کنند ولی به شکل خیلی ضعیف و مینیاتوری.»
 
اما صادقی در پاسخ به این سوال که چرا با وجود ناامن بودن پوسته‌های تلگرامی و تاکید تلگرام روی این موضوع مرکز ماهر اپ‌استورهای ایرانی را مجاب به حذف این پوسته‌ها نکرده اعلام می‌کند:‌ «قانون حکم کرد تلگرام فیلتر شود و وزارت ارتباطات هم به عنوان مجری قانون آن را مسدود کرد، حجم قابل توجهی از ارتباطات در گذشته روی تلگرام بود و نمونه‌های داخلی هم که به دلیل ضعف‌هایی که داشتند (به رغم همه تلاش‌ها و آمادگی خوبی که در افکار عمومی ایجاد شد) نتوانستند پاسخ بدهند و ظرفیت لازم را نداشتند. در نتیجه مردم برگشتند. شرکت‌هایی بودند که توافقاتی انجام دادند و دسترسی‌ها را ایجاد کردند. تاکنون کسی به ما ارجاع نداده است که اینها امن هستند یا نه تا بررسی کنیم.» او در واکنش به اینکه اما تلگرام این پوسته‌ها را نا امن اعلام کرده است می‌گوید:‌ «حرف تلگرام برای ما حجت نیست؛ مثلاً اگر یک کاربر از وی‌پی‌ان آلوده به بدافزار استفاده کند و به تلگرام وصل شود، آیا تلگرام راجع به آن اظهارنظری می‌کند؟ تلگرام دقیقاً می‌داند کدام کاربران با استفاده از وی‌پی‌ان وصل می‌شوند. این را با آگاهی دقیق می‌گویم. » براساس اظهارات او مرکز ماهر تا کنون هیچ درخواستی از سوی هیچ مرکز دولتی و خصوصی نداشته‌ که این پوسته‌ها را بررسی امنیتی کند.

معاون امنیت سازمان فناوری اطلاعات: همه اختیارات دست مرکز ماهر نیست

این روزها حملات اینترنتی به سازمان‌ها، نهادهای مختلف دولتی و خصوصی و نشت اطلاعات داخلی آنها به سرتیتر اخبار تبدیل شده است. حالا این رخدادهای امنیتی پایشان به شرکت‌های نوپا یا استارت‌آپی نیز باز شده و حداقل در یک سال اخیر خبرهای مختلفی در مورد نشت اطلاعات در این شرکت‌ها شنیده شده است.
این حملات در خیلی از نکات اگر به هم شبیه نباشند در یک نکته به هم شباهت قابل توجه‌ای دارند: بی‌توجهی به هشدارهای مرکز ماهر (مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای) نسبت به همان حمله اینترنتی که حالا آن شرکت یا سازمان را در بحران امنیتی قرار داده است. برای نمونه در جدیدترین اتفاق هفته گذشته، سایت سازمان تامین اجتماعی هک و از دسترس خارج شد و حالا مشخص شده که مرکز ماهر پیش از این هک به سازمان تامین اجتماعی هشدارهای لازم در مورد آسیب‌پذیری امنیتی این سایت را داده بود. این اولین بار نیست که یک سازمان نسبت به گزارش این مرکز بی‌توجه است. سال گذشته نیز وقتی سایت زرین‌پال؛ شرکت فعال در حوزه پرداخت الکترونیکی هک شد آنها در اطلاعیه‌ای اعلام کردند که پیش از این اتفاق نیز مرکز ماهر نسبت به باگ امنیتی روی تجهیزات شبکه این شرکت هشدار داده بود. اما چرا نهادهای دولتی یا شرکت‌های خصوصی به هشدارهای امنیتی مرکز ماهر توجه نمی‌کنند؟
 
ماهر همه اختیارات را ندارد
اما ابوالقاسم صادقی، معاون امنیت سازمان فناوری اطلاعات در مقابل این انتقاد‌ها اعلام می‌کند که ماهر مسئولیت مقابله با حوادث، رخدادها و شناسایی آسیب‌پذیرها را برعهده دارد؛ اما همه مسئولیت‌ها برای جلوگیری از بحران امنیتی در اختیار این مجموعه نیست. صادقی در مورد سطح اختیارات مرکز ماهر می‌گوید:‌ «مرکز ماهر مسئولیت مقابله با حوادث، رخدادها و شناسایی آسیب‌پذیرها را برعهده دارد. سطح اختیارات کسی که بحران را شناسایی و اعلام کرده، برای رفع ریشه‌ها و عوامل بروز آن بحران مهم است. ممکن است شما بحرانی را شناسایی و اعلام کنید؛ اما لزوماً همه ابزار برطرف کردن آن در اختیارتان نباشد.» او با ذکر مثالی می‌افزاید:‌ «مثالش همین آسیب‌پذیری‌ای است که روی دستگاه‌های میکروتیک (MikroTik) اعلام کرده بودیم. آن زمان که ما اعلام کردیم، حدود ۱۷ هزار دستگاه آسیب‌پذیر در کشور داشتیم. چندین بار هم اخطار و تذکر دادیم اما در بازه چندماهه (شاید بالای شش ماه) حدود ۱۰، ۱۵ درصد آنها اقدام به رفع آسیب‌پذیری کردند. این روترهای آسیب‌پذیر هنوز در کشور هستند. موضوع این است که کسی که این رصدها را انجام می‌دهد همان کسی نیست که همه اختیارات را دارد.» او تاکید می‌کند که ماهر خواستار تمامی اختیارات هم نیست چرا که چارچوب‌های قانونی فعالیت در حوزه سایبری تعریف شده؛ اما باید پروتکل‌های ارتباطی نهادهای درگیر در این حوزه تعریف و با یکدیگر هماهنگ شود. به باور صادقی ماهر می‌تواند نخ تسبیح این هماهنگی‌ها بین دستگاه‌هایی که فرایندهای امنیتی را  در اختیار دارند باشد.
 
سیاست ماهر صیانت از حقوق شهروندان و شرکت‌هاست
بررسی گزارش‌ها و خبرهای منتشر شده از سمت مرکز ماهر نشان می‌دهد که تا زمانی که یک اتفاق عمومی در مورد یک بحران امنیتی رخ ندهد، گزارشی از سمت این مرکز منتشر نمی‌شود. از طرفی گزارش‌های این مرکز در مورد برخی رخدادهای امنیتی با وجود وعده‌های این سازمان برای انتشار جزییات آن رخداد منتشر نمی‌شود. برای مثال اواخر فروردین و همزمان این مرکز وعده داد که بعد از بررسی‌های لازم گزارشی از جزییات این اتفاق را منتشر خواهد کرد، وعده‌ای که تاکنون هم محقق نشده است. صادقی در این زمینه می‌گوید:‌‌ «ما به عنوان دولت باید به صورت همزمان هم از حقوق شهروندان صیانت کنیم و هم از کسب‌وکارها حمایت کنیم. اینها همزمان باید اتفاق بیفتد. زمانی که نشت اطلاعات تپ‌سی رخ داد مقام محترم وزارت بدون اینکه اسمی از مجموعه‌ای بیاورند، اصل موضوع را در قالب یک توییت، با هشتگ گزارش به مردم، اطلاع‌رسانی کردند. فلسفه آن توییت این بود که اگر جایی خطری متوجه مردم است، این موضوع اطلاع‌رسانی شود. قرار نبود که اسامی شرکت‌ها رسانه‌ای شود.» براساس اظهارات صادقی به خاطر اینکه کسب‌وکار شرکت‌ها آسیب نبیند، تذکرات به صورت محرمانه داده ‌می‌شود. او با انتقاد از برخی خبرهایی که در مورد تپ‌سی رسانه‌ای شد اعلام کرد:‌ «منظور من این نیست که چنین اتفاقاتی رسانه‌ای نشود اما نباید چیزی رسانه‌ای شود که به کسب‌وکار شرکت آسیب بزند. هدف ما این است که بهبود شرایط کسب‌وکار و افزایش اعتماد عمومی رخ دهد. هدف ما نابود کردن کسب‌وکارها نیست.»
 
او در پاسخ به سوالی در مورد سیاست انتشار گزارش‌های ماهر می‌گوید:‌ «قاعده ما این است که دو نوع گزارش عمومی داریم. نوع اول در حیطه آسیب‌پذیری‌هاست. احساس می‌کنیم یکسری از این آسیب‌پذیری‌ها خطرناک است؛ مثلاً آن نرم‌افزار یا وسیله‌ای که در معرض آسیب است، ضریب نفوذ بالایی در کشور دارد. یا نوع آسیب‌پذیری طوری خطرناک است که اگرچه تعداد دستگاه‌های زیادی را درگیر نمی‌کند اما تبعات زیادی دارد. بر حسب بررسی‌هایی که انجام می‌پذیرد تصمیم‌گیری می‌شود که گزارش منتشر شود یا نه.» صادقی در توضیح گزار‌ش‌های دیگر این مرکز می‌‌افزاید:‌ «گزارش نوع دوم ماهر درباره رخدادها و حملات است. سیاستی که در گذشته وجود داشته این بوده که چنین گزارش‌هایی اساساً منتشر نشود. سیاست ما این است که آن بخش‌هایی که به صورت تجاری برای سازمان‌ها و شرکت‌ها محرمانگی پیدا می‌کند از گزارش حذف و جنبه عمومی‌اش برای بقیه با هدف آگاه‌سازی و تجربه منتشر شود.»
 
کنترل ضعیف اپ‌استورها روی اپلیکیشن‌ها
از دیگر گزارش‌هایی که مرکز ماهر به صورت ماهانه یا فصلی هم منتشر می‌کند گزارش در مورد اپلیکیشن‌های ناامنی است که توسط اپ‌استورهای مختلف منتشر می‌شود. این گزارش‌ها در حالی از سمت این مرکز منتشر می‌شود که برخی اپ‌استورهای ایرانی اعلام می‌کنند که تا زمانی که صحت گزارش‌های ماهر در این زمینه توسط خودشان بررسی نشود اقدام به حذف آن نخواهند کرد. صادقی در واکنش به این نوع سیاست‌ اپ‌استورهای ایرانی می‌گوید:‌ «از دید ما، خیلی شفاف و صریح، اپ‌استور نسبت به آلوده نبودن محصولی که در اختیار مردم قرار می‌دهد مسئول است. اپل و گوگل این کار را می‌کنند و اپ‌استورهای داخلی هم موظف‌اند این سرویس را برای کاربر برقرار کنند. کل کنترل من اگر قرار باشد با استفاده از یک آنتی‌ویروس نه‌چندان قوی که در ۳۰ آنتی‌ویروس اول دنیا جایی ندارد اعمال شود، اصلاً فایده ندارد.» او می‌افزاید:‌ «بحثی که امروز در نهادهای تصمیم‌ساز درباره اپلیکیشن‌ها در جریان است این است که برخی می‌گویند هر اپلیکیشنی باید مجوز امنیتی بگیرد؛ اما ما به عنوان وزارت ارتباطات مدام تاکید می‌کنیم که فشار به اپ‌ها نیاید. مجوزهای امنیتی گران هستند و خیلی از نویسندگان اپ‌ها اصلاً بضاعت مالی ورود به چنین فرایندهایی را ندارند. در تمام دنیا این کنترل‌ها را اپ‌استورها انجام می‌دهند. در کشور ما هم اپ‌استورها باید آماده این کار باشند. اکنون هم چنین نقشی را ایفا می‌کنند ولی به شکل خیلی ضعیف و مینیاتوری.»
 
اما صادقی در پاسخ به این سوال پیوست که چرا با وجود ناامن بودن پوسته‌های تلگرامی و تاکید تلگرام روی این موضوع مرکز ماهر اپ‌استورهای ایرانی را مجاب به حذف این پوسته‌ها نکرده اعلام می‌کند:‌ «قانون حکم کرد تلگرام فیلتر شود و وزارت ارتباطات هم به عنوان مجری قانون آن را مسدود کرد، حجم قابل توجهی از ارتباطات در گذشته روی تلگرام بود و نمونه‌های داخلی هم که به دلیل ضعف‌هایی که داشتند (به رغم همه تلاش‌ها و آمادگی خوبی که در افکار عمومی ایجاد شد) نتوانستند پاسخ بدهند و ظرفیت لازم را نداشتند. در نتیجه مردم برگشتند. شرکت‌هایی بودند که توافقاتی انجام دادند و دسترسی‌ها را ایجاد کردند. تاکنون کسی به ما ارجاع نداده است که اینها امن هستند یا نه تا بررسی کنیم.» او در واکنش به اینکه اما تلگرام این پوسته‌ها را نا امن اعلام کرده است می‌گوید:‌ «حرف تلگرام برای ما حجت نیست؛ مثلاً اگر یک کاربر از وی‌پی‌ان آلوده به بدافزار استفاده کند و به تلگرام وصل شود، آیا تلگرام راجع به آن اظهارنظری می‌کند؟ تلگرام دقیقاً می‌داند کدام کاربران با استفاده از وی‌پی‌ان وصل می‌شوند. این را با آگاهی دقیق می‌گویم. » براساس اظهارات او مرکز ماهر تا کنون هیچ درخواستی از سوی هیچ مرکز دولتی و خصوصی نداشته‌ که این پوسته‌ها را بررسی امنیتی کند.

ناظمی: مرکز ماهر درباره احتمال حمله هکرها به تامین اجتماعی هشدار داده بود

«امیر ناظمی» رئیس سازمان فناوری اطلاعات درباره از دسترس خارج شدن چند ساعته سایت تامین اجتماعی که روز پنجشنبه اتفاق افتاده بود، گفت که قبل از هک شدن سامانه تامین اجتماعی، مرکز ماهر دو مرتبه و در فواصل مختلف به آن‌ها هشدار داده بود. به گفته ناظمی تامین امنیت سازمان تامین اجتماعی و مقابله با حمله‌ هکرها به سایت این سازمان برعهده «افتا» بوده است اما با این حال مرکز ماهر پس از پایش طرح «دژفا» دوبار در مورد احتمال حمله به صورت دوستانه به تامین اجتماعی هشدار داده بود.
 
پس از اینکه سایت سازمان تامین اجتماعی در روز پنج شنبه نهم خرداد ماه برای چند ساعتی از دسترس خارج شد، «محمد حسن زدا» سرپرست سازمان تامین اجتماعی، اعلام کرد که امنیت کامل تمامی سامانه‌ها، اطلاعات و سوابق بیمه‌شدگان، مستمری‌بگیران و کارفرمایان محرز است و جای هیچ نگرانی نیست. هرچند اطلاعات کاربران دست نخورده باقی ماند اما همین حمله چند ساعته، ضعف امنیتی سامانه‌های مهمی مانند تامین اجتماعی را نشان داد که می‌تواند خسارات بسیاری به دنبال داشته باشد.
 
بر همین اساس رئیس سازمان فناوری اطلاعات جزئیاتی در مورد این اتفاق و اینکه طرح دژفا چطور سامانه‌های مهم کشور را رصد و پایش می‌کند را بیان کرد. ناظمی در گفتگو با ایرنا گفت طبق قوانین و مقررات ایران، هر دستگاهی مسئولیت جمع‌آوری داده‌های مخصوص به خود و محافظت از آنها را برعهده دارد؛ اما زمانی که رخداد و جرایمی اتفاق می‌افتد، نوبت به «نظام مقابله» با آنها می‌رسد که با بحران‌های این چنینی مقابله کند. ناظمی می‌گوید در نظام مقابله، بانک‌های داده دستگاه‌ها به سه دسته تقسیم می‌شوند:
 
«دسته اول سازمان‌های حساس هستند که مسئولیت مقابله با رخداد در این سازمان‌ها به «افتا» ریاست جمهوری (امنیت فضای تولید و تبادل اطلاعات کشور) بر می‌گردد. سازمان تأمین اجتماعی نیز جزو دستگاه‌هایی است که افتا مسئولیت رسیدگی به رخدادهای احتمالی آن را برعهده دارد. دسته دوم کسب‌وکارها هستند که مقابله با جرایمی که در خصوص آنها رخ می‌دهد، برعهده پلیس فتاست. مقابله با رخدادهای بقیه سازمان‌های دولتی نیز بر عهده وزارت ارتباطات و مرکز ماهر است.»
 
بر اساس گفته‌های ناظمی سازمان فناوری اطلاعات ایران و مرکز ماهر عملاً در این رخدادهای بانکی، تأمین اجتماعی و کسب‌وکارها مسئولیتی ندارد و به همین دلیل سعی شده تا اطلاع‌رسانی در این خصوص انجام ندهند. به گفته او سازمان فناوری معمولاً به این مسائل حتی اگر در حوزه وظایف خود نباشد، دوستانه کمک می‌کند برای مثال اخطارهایی به سازمان تامین اجتماعی داده بودند: «سازمان فناوری طی دو مرحله، یک‌بار یک ماه قبل و یک بار دو روز قبل از هک شدن سایت، به آنها در نامه‌ای گوشزد کردیم، مشکلاتی وجود دارد که ممکن است منجر به آسیب‌پذیری سایت‌شان شود. سازمان فناوری بر اساس طرح دژفا، پایشی را به صورت مداوم روی سایت‌ها و سامانه‌های دولتی انجام می‌دهد و پس از رصد آن‌ها، نقاط آسیب‌پذیرشان را شناسایی می‌کند. پس از شناسایی آسیب نیز شروع می‌کند به اخطار دادن. هر دو مرتبه به همین شکل به سازمان تأمین اجتماعی اخطار داده دادیم.»
 
رئیس سازمان فناوری اطلاعات تاکید دارد زمانی که به واسطه پایش طرح دژفا، آسیبی شناسایی می‌شود یا تغییراتی در حوزه تنظیمات سایت‌ها رخ می‌دهد، اخطارهای لازم ابلاغ می‌شود. او  به ماجرای هک شدن سایت تپسی در هفته‌های قبل اشاره می‌کند و می‌گوید: «قبل از اینکه دسترسی به اطلاعات برخی از صورت حساب‌های تپسی رخ دهد، با همین روش پایش از طریق ایمیل به آن‌ها هشدار داده بودیم، اما مدیر امنیت ایمیل خود را چک نکرده بود و متأسفانه آن نفوذ اتفاق افتاد.»
 
ناظمی در بخش دیگری از صحبت‌های خود، گفته‌های زدا مبنی بر عدم دسترسی هکرها به بانک داده‌ها و اطلاعات مردم را تائید کرد و در خصوص برنامه‌های آتی سازمان فناوری اطلاعات در این خصوص افزود که پس از تجربیات اخیری که در خصوص هک کسب‌وکارهای اینترنتی و مواردی شبیه سایت تأمین اجتماعی به دست آمده‌ است، این سازمان سعی دارد پیشنهاداتی در مورد بهبود نظام مقابله با چنین رخدادهایی را به شورای عالی فضای مجازی ارائه کنند تا در موقعیت‌های مشابه رفتارهای بهتری نشان دهند.
 
او درباره اینکه آیا قرار است سازمان فناوری اطلاعات از هکرهای کلاه سفید استفاده کند و بودجه‌ای برای تشویق آن‌ها در حوزه شناسایی آسیب سایت‌ها اختصاص دهد نیز توضیح داد: «اکنون سایت «کلاه سفید» با همین محوریت توسعه داده شده است. بودجه‌ای برای استفاده از توانمندی هکرهای کلاه سفید در نظر گرفته شده و جوایز نیز روی سایت قرار دارند. البته با توجه به محدودیت‌های منابع دولتی، این جوایز مبلغ زیادی را شامل نمی‌شوند اما در نظر داریم سازمان‌ها را نیز به استفاده «باگ بانتی» تشویق کنیم. تا آن‌ها به صورت داوطلبانه بیایند و آسیب‌پذیری‌هایشان را از طریق مشارکتی که هکرهای کلاه سفید انجام می‌دهند، بهبود ببخشند.»
 
با اینکه سازمان فناوری طبق همان دسته‌بندی، مسئولیتی در قبال برخی سازمان‌ها ندارد، اما به گفته ناظمی هم به دلیل وظیفه ملی و هم به این دلیل مهم که آن‌ها سامانه توانمندتری برای شناسایی آسیب‌های این‌چنین دارند، همواره آماده کمک‌رسانی به سازمان‌ها خواهند بود.
 
آنطور که تحقیقات نشان می‌دهد هک سایت سازمان تامین اجتماعی به دست گروهی موسوم به گروه تپندگان صورت گرفته که چندی پیش شهرداری تهران و فرودگاه‌های برخی از شهرهای کشور را نیز هک کرده بودند.

سرویس کنترل از راه دور مایکروسافت آسیب پذیر است

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای با اعلام هشدار در خصوص آسیب‌پذیری در سرویس دسترسی از راه دور (RDP) مایکروسافت، به کاربران ویندوز توصیه کرد سیستم خود را به روز کنند.
 
مرکز ماهر اعلام کرد که آسیب‌پذیری جدیدی با شناسه CVE-۲۰۱۹-۰۷۰۸ در سرویس دسترسی از راه دور ویندوز یافت شده است که در صورت سوءاستفاده توسط مهاجم امکان اجرای کد از راه دور را فراهم می‌کند.
 
همچنین مهاجم می‌تواند نسبت به نصب برنامه‌ها و بدافزارها، تغییر و یا حذف داده‌ها و ساخت حساب کاربری با دسترسی کامل، اقدام کند.
 
وصله‌های امنیتی لازم برای جلوگیری از سوءاستفاده برای سیستم‌عامل‌های ویندوز XP تا سرور ۲۰۰۸ منتشر شده است.
 
مرکز ماهر تاکید کرد که با توجه به درجه اهمیت «حیاتی» در نظر گرفته شده برای این آسیب‌پذیری، توصیه می‌شود هرچه سریع‌تر نسبت به به‌روزرسانی و نصب وصله‌های امنیتی ارائه شده توسط مایکروسافت اقدام شود.
 
وصله‌های امنیتی این آسیب پذیری در این لینک آمده است.

‫ برنامه‌های اندرویدی افزایش سرعت اینترنت دروغ‌گو هستند

برنامه‌های اندرویدی افزایش سرعت اینترنت چند ثانیه پس از اجرا ادعا می‌کنند که سرعت اینترنت افزایش یافته اما هیچ کار مفیدی انجام نمی‌دهند و تنها با هدف نمایش تبلیغات و کنترل گوشی کاربر منتشر شده‌اند.
 
مرکز ماهر اعلام کرد: متاسفانه برنامک‌های متعددی تحت عنوان "افزایش سرعت اینترنت" در فروشگاه‌های برنامک ‌های ‫اندروید وجود دارند. این برنامک‌ها با ظاهرسازی و ادعاهای دروغین سعی در ترغیب کاربران به نصب برنامک را دارند اما هیچ‌کدام نمی‌توانند منجر به افزایش سرعت اینترنت شوند، چرا که چنین کاری در دنیای واقعی عملی نیست. این برنامک‌ها به محض شروع اعلام می‌کنند که سرعت اینترنت پایین است، سپس با نمایش اعلان‌هایی و بعد از چند ثانیه، ادعا می‌کنند که سرعت اینترنت افزایش یافته است. در این گزارش برنامک‌های پرنصب (29 برنامک با بیش از 127هزار کاربر) در این زمینه مورد بررسی قرار گرفته و نشان داده شده که این برنامک‌ها در پس‌زمینه هیچ کار مفیدی انجام نمی‌دهند و تنها با هدف نمایش تبلیغات و کنترل گوشی کاربر منتشر شده‌اند.
 

‫ سوءاستفاده از نقص انکار سرویس در چندین مسیریاب MIKRO TIK

شرکت MikroTik بار دیگر از وجود نقصی در مسیریاب‌های خود خبر داد. این شرکت در هفته‌ی اول ماه آوریل سال 2019، جزئیات فنی مربوط به یک آسیب پذیری قدیمی که دستگاه را به مهاجمان راه دور نشان می‌دهد، منتشر ساخته است.
 
مهاجمان می‌توانند از این آسیب‌پذیری برای راه‌اندازی یک حالت انکار سرویس (DoS) در دستگاه‌هایی که RouterOS را اجرا می‌کنند، سوءاستفاده کنند. RouterOS حاوی چندین مشکل خسته‌شدن بیش از اندازه‌ی منبع مربوط به IPv6 است که در حال حاضر برطرف شده‌اند.
 
اولین مسئله باعث می‌شود در صورتی که ترافیک به سمت تعداد زیادی آدرس مقصد مختلف، تعیین مسیر شود، دستگاه مجدداً راه‌اندازی شود. این راه اندازی‌های مجدد توسط یک تایمر نگهبان (watchdog) دایماً تکرار و در نتیجه منجر به به بارگیری بیش از اندازه و توقف پاسخ‌گویی دستگاه می‌شوند.
 
به‌روزرسانی‌های امنیتی برای RouterOS منتشر شده است که این نقص (CVE-2018-19299) را برطرف می‌سازد؛ اما به گفته‌ی کارشناسان، برخی از دستگاه‌های متأثر همچنان آسیب‌پذیر هستند.
 
آسیب‌پذیری CVE-2018-19299، دستگاه‌های وصله‌نشده‌ی Mikro Tik را که مسیر بسته‌های IPv6 را تعیین می‌کنند، تحت‌تأثیر قرار می‌دهد. مهاجم می‌تواند با ارسال یک دنباله‌ی خاص از بسته‌های IPv6 که استفاده از RAM را اشباع می‌سازد، از این نقص سوءاستفاده کند.
 
پس از رفع نقص مربوط به راه‌اندازی مجدد، مسئله‌ی دیگری باعث پرشدن حافظه می‌شود، زیرا اندازه‌ی کش مسیر IPv6 می‌تواند بزرگتر از RAM موجود باشد. این مشکل نیز با محاسبه‌ی خودکار اندازه‌ی کش بر اساس حافظه‌ی موجود، رفع شده است.
 
MikroTik این آسیب‌پذیری‌ها را در نسخه‌های RouterOS که در ماه آوریل سال 2019 منتشر شده‌اند (تمامی زنجیره‌های انتشار: RouterOSv6.44.2، RouterOS v6.45beta23 و RouterOSv6.43.14)، برطرف ساخته است.
 
کارشناسان کشف کرده‌اند که نقص DoS تنها در دستگاه‌های با بیش از 64 مگابایت RAM رفع شده است.
 
Javier Prieto، یکی از اعضای Mikro Tik، این نقص را بر روی Cloud Hoster Router (CHR) با RAM 256 مگابایت مورد آزمایش قرار داده است. او مشاهده کرد که این حمله باعث استفاده‌ی بیش از 20Mib شده است. Prieto چندین تست مختلف با GNS3 بااستفاده از CHR 6.44.2 (ثابت) انجام داده است و از آنجاییکه مسیریاب دارای حافظه‌ی کافی بود ، نابود نشد.
 
در این آزمایش و با استفاده از CHR دارای 256 مگابایت حافظه، منابع سیستم، پیش از حمله، کل حافظه‌ را 224 MiB و حافظه‌ی آزاد را 197 MiB نشان می‌دهد. در حین حمله و تنها از یک رایانه، حافظه‌ی آزاد تا حدود 20 MiB و گاهی تا 13 MiB کاهش می‌یابد. در استفاده از دو مهاجم، به نظر می‌رسد نتایج مشابه است و بدتر نیست. استفاده از مسیریاب دارای حافظه‌ی 200 مگابایت منجر به راه‌اندازی مجدد می‌شود.
 
این نقص توسط چندین متخصص مختلف، از جمله Isalski، در 16 آوریل سال 2018 گزارش شده بود. به گفته‌ی این متخصص، Mikro Tik بر وجود این نقص اذعان داشت؛ اما آن را به عنوان آسیب‌پذیری امنیتی دسته‌بندی نکرد. Isalski این نقص را در ماه مارس به چندین تیم پاسخگویی اورژانسی گزارش داد و مدارک سوءاستفاده از این آسیب‌پذیری در حملات وحشیانه را منتشر ساخت. Isalski ثابت کرد که نقص CVE-2018-19299 تقریباً هر دستگاه Mikro Tik را تحت‌تأثیر قرار می‌دهد؛ حتی دستگاه‌هایی که به عنوان مسیریاب‌های “core” یا “backhaul” استفاده می‌شوند.
 
Mikro Tik بیش از 20 نسخه RouterOS پس از کشف این آسیب‌پذیری منتشر ساخته است. یکی از دلایل این امر علاوه بر رد خطر امنیتی آن، این است که این نقص در سطح هسته (kernel) است و رفع آن بسیار دشوار است. به گفته‌ی یکی از اعضای تیم پشتیبانی شرکت Mikro Tik، Router v6 دارای هسته‌ی قدیمی‌تری است و نمی‌توان آن را تغییر داد.
 
کارشناسان معتقدند، Mikro Tik تعدادی بهینه‌سازی در نسخه‌ی بتای بعدی RouterOS برای سخت‌افزار با منبع کم RAM، معرفی خواهد کرد.