ابلاغ طرح امن‌سازی زیرساخت‌های حیاتی در قبال حملات سایبری

/در , , , , , , , /توسط
 
مرکز مدیریت راهبردی افتای ریاست جمهوری، طرح امن سازی زیرساخت‌های حیاتی را در قبال حملات سایبری تدوین و برای اجرا به تمامی دستگاه‌های اجرایی دارای زیرساخت حیاتی کشور ابلاغ کرد.
 
هدف این طرح که به تمامی دستگاه‌های زیرساختی کشور ابلاغ شده است، ارتقا امنیت فضای تولید و تبادل اطلاعات هر سازمان و جلوگیری از بروز اختلال در ارائه سرویس‌های حیاتی آنهاست.
 
در این باره رضا جواهری - رئیس مرکز مدیریت راهبردی افتای ریاست جمهوری - گفت: مسئولیت امنیت سایبری در هر حوزه‌ی زیرساختی با بالاترین مقام آن دستگاه است و انتظار می‌رود برای پیشگیری از وقوع حوادث احتمالی، طرح امن سازی زیرساخت‌های حیاتی در قبال حملات سایبری در هر دستگاه زیرساختی و واحدهای تابع آن با بهره‌گیری از ظرفیت بخش خصوصی دارای مجوز با قید فوریت، عملیاتی شود.
جواهری افزود: با توجه به مخاطرات نوظهور در عرصه‌ی فناوری اطلاعات و ارتباطات، این طرح با بازنگری همه جانبه در نسخه ابلاغی اسفند ۱۳۹۲ با بیش از ۱۸ ماه کار مداوم، تحقیق، پژوهش، بررسی آسیب‌ها و توانمندی‌های سایبری و ارزیابی ظرفیت امنیت سایبری و صرف افزون بر ۷۲ هزار ساعت نفر کار تدوین نهایی و ابلاغ شده است.
 
وی تصریح کرد: نسخه جدید طرح امن سازی زیرساخت‌های حیاتی در قبال حملات سایبری شامل الزامات امنیتی اولویت دار، نقشه راه اجرا و مدل ارزیابی بلوغ امنیتی است.
 
رئیس مرکز مدیریت راهبردی افتای ریاست جمهوری گفت: این مرکز با دریافت بازخوردهای مختلف از زیرساخت‌های حیاتی، بخش خصوصی ارائه دهنده‌ی خدمات افتا و همچنین متخصصان فنی این حوزه، نسخه‌ی بازنگری شده این سند را تدوین کرده است تا سازمان‌ها به سوی نظم بخشی و ساماندهی فعالیت‌های تضمین امنیت سایبری رهنمون شوند.
 
جواهری گفت: هدف از الزامات طرح امن سازی، جهت دهی راهبردی به فعالیت‌های ملی در حوزه‌ی امنیت سایبری زیرساخت‌ها و ارائه‌ی یک نقشه راه برای توسعه‌ی همزمان امنیت سایبری در بخش‌های مختلف است.
وی با اشاره به اهمیت مدیریت مخاطرات در طرح امن سازی زیرساخت‌های حیاتی در برابر حملات سایبری گفت: مدیریت مخاطرات در این طرح امن سازی، فرآیندی مستمر است که در آن تهدیدات و آسیب پذیری‌های موجود در یک سازمان شناسایی و ارزیابی می‌شوند تا با انجام اقدامات امن سازی، مخاطرات احتمالی سایبری مدیریت شوند.
 
بنا بر اعلام روابط عمومی مرکز مدیریت راهبردی افتای ریاست جمهوری، جواهری ضمن مقایسه این طرح با طرح امن‌سازی اسفند ۱۳۹۲ گفت: در طرح جدید به مدل بلوغ امن سازی توجه خاصی شده و برای اندازه‌گیری پیشرفت امن‌سازی، سطوح چهارگانه شاخص بلوغ در نظر گرفته شده است تا سازمان‌های دارای زیرساخت حیاتی بتوانند با سنجش سطح بلوغ امنیتی حوزه‌ی خود برای ارتقا آن تلاش کنند.
رئیس مرکز مدیریت راهبردی افتای ریاست جمهوری، اطلاعات موجود در هر دستگاه زیرساختی را جز دارایی‌ها و سرمایه‌های ارزشمند خواند و گفت: اجرای دقیق طرح امن سازی زیرساخت‌های حیاتی در قبال حملات سایبری می‌تواند امنیت لازم را برای تولید و تبادل اطلاعات به‌وجود آورد.
 

باگ جدید کروم، ویندوز را مختل می‌کند

/در , , , , /توسط
محققان امنیتی از کشف باگ جدیدی در مرورگر کروم خبر می دهند که منجر به از کار افتادن ویندوز و افشا شدن اطلاعات حساس کاربران می‌شود.
 
این باگ جدید به مهاجمان این امکان را می‌دهد تا با استفاده از کد‌های جاوا اسکریپت، تمام حافظه رم دستگاه را اشغال کند و در نهایت باعث از کار افتادن سیستم عامل ویندوز شود.
 
همچنین باگ کشف شده می‌تواند زمینه دسترسی هکرها به رمز‌های ذخیره شده در مرورگر را محیا کند و خرابکاران سایبری از این طریق به اطلاعات حساسی مثل رمز‌ عبور کارت بانک کاربران دسترسی پیدا کنند.
 
گوگل هنوز برای از بین بردن این باگ امنیتی ، بسته بروزرسانی جدیدی را ارایه نکرده است و به همین دلیل محققان امنیتی به کاربران پیشنهاد می‌کنند که تا ارایه بسته بروزرسانی توسط گوگل ، از کروم استفاده نکنند. 

پاداش صدهزار دلاری اتحادیه اروپا برای یافتن حفره های امنیتی

/در , , , /توسط
اتحادیه اروپا به افرادی که بتوانند حفره های امنیتی برنامه ها و نرم افزارهای متن باز را بیابند تا ۱۰۲ هزار دلار جایزه می دهد.
 
به گزارش انگجت، در حالی که تا پیش از این تنها برخی شرکت های فناوری از روش اعطای جایزه به یابندگان آسیب پذیری های امنیتی نرم افزاری استفاده می کردند، اتحادیه اروپا نیز از روش یادشده استقبال کرده و قصد دارد در ماه ژانویه به افرادی که مشکلات امنیتی چهارده نرم افزار محبوب متن باز را شناسایی کنند، جایزه بدهد.
 
از جمله این نرم افزارها می توان به برنامه چندرسانه ای وی ال سی، برنامه امنیتی KeePass، ۷-zip  و Drupal اشاره کرد.
 
میزان جایزه اعطایی بسته به میزان خطرناک بودن آسیب پذیری شناسایی شده متفاوت بوده و از ۲۵ هزار تا ۹۰ هزار یورو (معادل ۲۸۶۰۰ دلار تا ۱۰۲۹۰۰ دلار ) در نوسان است. علاقمندان تا ۱۵ آگوست سال ۲۰۱۹ برای شناسایی و اعلام مشکلات امنیتی فرصت دارند.
 
اتحادیه اروپا که مروج استفاده از نرم افزارهای متن باز و رایگان است، تلاش می کند بدین شیوه امنیت آنها را هم افزایش دهد. افزایش امنیت کاربران در برابر حملات سایبری مهم ترین نتیجه اجرای این طرح است.

شکاف امنیتی در خدمات پستی آمریکا ترمیم شد

/در , , , /توسط
یک شکاف امنیتی در وب سایت خدمات پستی آمریکا که اطلاعات ۶۰ میلیون مشتری را فاش کرده، بالاخره پس از یک سال ترمیم شد.
 
به گزارش دیلی میل، سازمان خدمات پستی آمریکا یک شکاف امنیتی را رفع کرد که اطلاعات ۶۰ میلیون مشتریش را فاش کرده بود.
 
وب سایت امنیت سایبریKerbsOnSecurity شکاف امنیتی در وب سایت UPSP کشف کرد که به افراد اجازه می داد آدرس، نام کاربری، شماره تماس و دیگر اطلاعات محرمانه مشتریان را ببیند.
 
این درحالی است که یک سال قبل یک محقق امنیتی مستقل این شکاف امنیتی را به خدمات پستی آمریکا هشدار داد اما این شرکت به آن توجهی نکرد. یک هفته قبل وب سایتKerbsOnSecurity با این سازمان تماس گرفت و شکاف امنیتی بالاخره پس از یک سال ترمیم شد.
 
این شکاف در API وجود داشت که به خدمت UPSP Informed Delivery متصل است.این خدمت اصل به کاربران خلاصه توضیحاتی درباره محموله پستی شان می دهد. این محموله ها شامل اسناد مهم  وحساسی مانند چک، پاسپورت و غیره هستند.
 
به گفته وب سایت امنیتی، ضعف در بخش احراز هویت در API به هر فردی اجازه می داد به راحتی به اطلاعات شخصی کاربران در مخازن سازمان پست آمریکا دسترسی یابد.