هشدار مرکز ماهر؛ کشف آسیب پذیری در یک داشبورد مدیریتی/دسترسی راه دور مهاجم به سرور

/در , , , , /توسط
 
مرکز ماهر نسبت به شناسایی و کشف آسیب پذیری در داشبورد مدیریتی تحت وب تحلیل های آماری «الاستیک سرچ » هشدار داد. این آسیب پذیری امکان اخذ دسترسی از راه دور را روی سرور فراهم می کند.
 
 یک آسیب‌پذیری حیاتی در داشبورد مدیریتی کیبانا (‫kibana ) شناسایی و گزارش شده است. kibana یک داشبورد تحت وب جهت مدیریت و تصویرسازی و تحلیل های آماری است که معمولا در کنار پایگاه داده‌ elasticsearch استفاده می شود.
 
«الاستیک سرچ » یکی از مهمترین بانکهای اطلاعاتی سندگرا و جزء بهترین کتابخانه های جستجوی متن شناخته می شود.
 
این آسیب پذیری خطرناک با شناسه‌ CVE-۲۰۱۹-۷۶۰۹ با درجه CVSS ۱۰ امکان اخذ دسترسی از راه دور را روی سرور فراهم می کند. ضعف امنیتی مربوطه در سرویس Timelion visualizer بوده و از نوع command Injection است (CWE-۷۷).
 
نسخه های آسیب پذیر این ابزار شامل همه نسخه های قبل از ۵.۶.۱۵ و همچنین نسخه های ۶.۰.۰ تا قبل از ۶.۶.۱ است.
 
مرکز ماهر از کاربران خواست با توجه به انتشار exploit (بهره برداری) سواستفاده از این آسیب پذیری درفضای اینترنت و امکان اخذ دسترسی از راه دور توسط مهاجمین، هرچه سریعتر درخصوص به روز رسانی این ابزار اقدام کنند.

در دیدار وزیر ارتباطات با همتای قطری مطرح شد؛ شرکت نمایندگان ایران در مانور امنیت سایبری دوحه

/در , , , , , , /توسط
 
وزیر ارتباطات در دیدار با وزیر حمل و نقل و ارتباطات قطر درباره چگونگی شرکت در مانور امنیت سایبری این کشور بحث و گفتگو کرد.
  آذری جهرمی وزیر ارتباطات در ادامه سفر خود به دوحه ظهر امروز با السلیطی وزیر حمل و نقل و ارتباطات قطر دیدار و گفتگو کرد.
در این دیدار که وزرای بهداشت و کار و امور اجتماعی قطر همچنین مشاور وزیر دفاع این کشور حضور داشتند، وزرای دو کشور آخرین وضعیت روابط دو جانبه تهران-دوحه را بررسی کردند. 
در جریان این جلسه کاری، محمد جواد آذری جهرمی و جاسم بن سیف السلیطی جزئیات همکاری های موجود و آینده دو کشور در عرصه ارتباطات و فناوری اطلاعات را به تفصیل بررسی کردند.
طرفین در خصوص شرکت نمایندگان ایران در مانور امنیت سایبری قطر که  بزودی برگزار می شود و برگزاری نمایشگاه اختصاصی شرکت ها و استارت آپهای ایرانی در دوحه برای معرفی توانمندی های آنان به بازارهای منطقه ای و بین المللی به توافق رسیدند.
همچنین نحوه مشارکت شرکت های ایرانی در برگزاری جام جهانی فوتبال مورد بررسی قرار گرفت.

در دیدار وزیر ارتباطات با همتای قطری مطرح شد؛ شرکت نمایندگان ایران در مانور امنیت سایبری دوحه

/در , , , , , , /توسط
 
وزیر ارتباطات در دیدار با وزیر حمل و نقل و ارتباطات قطر درباره چگونگی شرکت در مانور امنیت سایبری این کشور بحث و گفتگو کرد.
  آذری جهرمی وزیر ارتباطات در ادامه سفر خود به دوحه ظهر امروز با السلیطی وزیر حمل و نقل و ارتباطات قطر دیدار و گفتگو کرد.
در این دیدار که وزرای بهداشت و کار و امور اجتماعی قطر همچنین مشاور وزیر دفاع این کشور حضور داشتند، وزرای دو کشور آخرین وضعیت روابط دو جانبه تهران-دوحه را بررسی کردند. 
در جریان این جلسه کاری، محمد جواد آذری جهرمی و جاسم بن سیف السلیطی جزئیات همکاری های موجود و آینده دو کشور در عرصه ارتباطات و فناوری اطلاعات را به تفصیل بررسی کردند.
طرفین در خصوص شرکت نمایندگان ایران در مانور امنیت سایبری قطر که  بزودی برگزار می شود و برگزاری نمایشگاه اختصاصی شرکت ها و استارت آپهای ایرانی در دوحه برای معرفی توانمندی های آنان به بازارهای منطقه ای و بین المللی به توافق رسیدند.
همچنین نحوه مشارکت شرکت های ایرانی در برگزاری جام جهانی فوتبال مورد بررسی قرار گرفت.

یک حمله سایبری به بنادر شرق آسیا ۱۱۰ میلیارد دلار خسارت می زند

/در , , , , /توسط
 
نتایج یک بررسی نشان می دهد تنها وقوع یک حمله سایبری حساب شده به بنادر منطقه شرق آسیا و اقیانوسیه می تواند خسارتی ۱۱۰ میلیارد دلاری به بار آورد.
 
 به نقل از زددی نت، بررسی های موسسه بیمه لیوید نشان می دهد خسارت های ناشی از وقوع حملات سایبری به زیرساخت های بنادر منطقه شرق آسیا و اقیانوسیه بسیار گسترده خواهد بود و رقم ۱۱۰ میلیارد دلاری برآورد شده برابر با نیمی از خسارات ناشی از بلایای طبیعی در کل جهان در سال جاری میلادی است.
 
البته این خسارت در بدترین حالت و در زمانی رخ می دهد که یک ویروس رایانه ای فوق العاده خرابکار بتواند به ۱۵ بندر مهم و اصلی در کشورهای سنگاپور، چین، ژاپن، کره جنوبی و مالزی نفوذ کند.
 
بررسی مذکور همچنین حاکیست که ۹۲ درصد از هزینه های اقتصادی چنین حمله ای بیمه نشده باقی مانده و لذا ۱۰۱ میلیارد دلار از ارزش مالی این خسارت غیرقابل جبران باقی می ماند. گفتنی است که این بررسی با همکاری دانشگاه کمبریج و دانشگاه فناوری نانیانگ سنگاپور صورت پذیرفته است.
 
بر همین اساس، حمله سایبری به زیرساخت های بنادر می تواند موجب نفوذ ویروس به پایگاه داده حاوی اطلاعات کشتی های باری شده و اختلال اساسی به وجود آورد. نتیجه طولانی مدت تر چنین حملاتی کاهش بهره وری و افزایش زمان و هزینه های پهلوگیری کشتی ها و تخلیه بارهای آنهاست که می تواند تعاملات جهانی را در حوزه دریانوردی بسیار کند کند.
 
البته این نوع حملات سایبری می تواند بر علیه صنایع حمل و نقل زمینی، هوایی و هوافضا نیز رخ دهد و در مجموع باعث ۲۸.۲ میلیارد دلار خسارت اقتصادی سالانه شود. چنین حملاتی به صنعت تولید هم ۲۳.۶ میلیارد دلار خسارت و به صنعت خرده فروشی ۱۸.۵ میلیارد دلار خسارت می زند.
 
حملات سایبری این چنینی بیش از هر چیز به کشورهای آسیایی خسارت می زند و کشورهای اروپایی و آمریکای شمالی در رتبه های بعدی قرار دارند.

پیگرد قانونی گوگل به اتهام سوءاستفاده از اطلاعات شخصی کاربران

/در , , , , /توسط
 
 کمیسیون رقابت و مصرف کنندگان استرالیا (ACCC) شرکت گوگل را به اتهام سوءاستفاده از اطلاعات شخصی و گمراه کردن کاربران در مورد جمع‌آوری و استفاده از این اطلاعات، تحت پیگرد قانونی قرار داد.
 
به گزارش ای بی سی نیوز، کمیسیون رقابت و مصرف کنندگان استرالیا (ACCC) می‌گوید نخستین نهاد تنظیم کننده در جهان است که از یک غول جهانی چون گوگل که ارزش سهام آن به ۸۸۰ میلیارد دلار آمریکا می‌رسد، در مورد سوءاستفاده ادعایی از اطلاعات شخصی حساب‌کشی می‌کند.
 
ACCC در مدارکی که در اختیار دادگاه فدرال قرار داده، ادعا می‌کند که گوگل با نمایش پیام‌هایی بر روی صفحه نمایش کاربران مصرف کنندگان را در خصوص جمع‌آوری داده‌های مکانی افراد و بویژه در مورد تداوم ذخیره و استفاده از اطلاعات شخصی برخلاف میل آنان، گمراه کرده و به این ترتیب قوانین حقوق مصرف کننده در استرالیا را نقض کرده است.
 
راد سیمز رئیس کمیسیون رقابت و مصرف کنندگان استرالیا می‌گوید: «گوگل را به دادگاه کشانده‌ایم زیرا معتقدیم این کمپانی به واسطه چنین پیام‌هایی اطلاعات ارزشمند و فوق حساس شخصی را در مورد موقعیت مکانی مصرف کنندگان جمع‌آوری و ذخیره کرده و مورد استفاده قرار داده است، در حالی که آن‌ها هیچ انتخاب آگاهانه‌ای در این باره انجام نداده‌اند.»
 
این اقدام قضایی بر محور حمایت از حقوق آن دسته از مصرف کنندگانی صورت گرفته است که با استفاده از تلفن‌های همراه و تبلت‌های اندرویدی خود به دسترسی به تنظیمات حساب کاربری گوگل خود اقدام نموده‌اند.  
 
به گفته این نهاد تنظیم کننده مقررات، مصرف کنندگان نسبت به این که برای جلوگیری از ذخیره اطلاعات شخصی، باید هر دو گزینه تاریخچه موقعیت مکانی (Location History) و فعالیت وب و برنامه (Web & App Activity) را در تنظیمات خاموش کنند، بی اطلاع بوده‌اند.
 
در بیانیه این کمیسیون استرالیایی این طور آمده است که گوگل از ژانویه ۲۰۱۷ تا اواخر سال ۲۰۱۸ به طور شفاف این اطلاعات را در اختیار مصرف کنندگان قرار نداده و با این کار آنها را گمراه کرده است.
 
 
 
 

بدافزار جاسوسی سایبری از دیپلمات‌ها کشف شد

/در , , , , /توسط
تیم امنیتی کسپرسکی از کشف بدافزاری که ارتباطات وب رمزگذاری شده را به خطر می اندازد خبر داده که این بدافزار برای جاسوسی سایبری از دیپلمات‌ها به کار گرفته شده است.
 به نقل از مرکز ماهر، بدافزار جدیدی کشف شده که ارتباطات وب رمزگذاری شده (ترافیک HTTPS) را به روشی چشمگیر به خطر می‌اندازد. تجزیه و تحلیل این بدافزار تأیید می کند که اپراتورها یک سری کنترل خاص روی کانال شبکه‌ هدف دارند و می‌توانند نصب کننده‌های قانونی را با موارد آلوده در حال اجرا جایگزین کنند.
 
این نسل جدید از بدافزار کشف شده که Reductor نام دارد اجازه می‌دهد مهاجم ترافیک پروتکل HTTPS را توسط آسیب پذیری موجود در فرآیند تولید اعداد تصادفی یک مرورگر که برای اطمینان از اتصال خصوصی بین مشتری و سرور استفاده می‌شود، دستکاری کند.
 
Reductor پس از یک مسیر .pdb در برخی از نمونه‌ها به جا مانده است. علاوه بر کارکردهای معمول تابع RAT، مانند بارگذاری، بارگیری و اجرای فایل ها، نویسندگان Reductor تلاش زیادی را برای دستکاری در صدور گواهینامه‌های دیجیتال و علامت گذاری برون مرزی ترافیک TLS با شناسه‌های مرتبط با میزبان انجام می‌دهند.
 
تیم جهانی تحقیقاتی و تجزیه و تحلیل (GReAT) در کسپرسکی، این بدافزار را کشف کرده‌اند.
 
طبق گفته‌ آنها هنگامی‌که کسی از طریق این بدافزار آلوده شود، از Reductor برای جاسوسی از فعالیت مرورگر قربانی، استفاده می‌شود.
 
محققان گفتند که از Reductor برای جاسوسی سایبری از دیپلمات ها که عضوی از جمهوری های پس از اتحاد جماهیر شوروی هستند و به عنوان کشورهای مستقل مشترک المنافع شناخته می‌شوند، استفاده می‌شود.
 
این محققان گفتند Reductor ارتباط نزدیکی با تروجان COMpfun دارد.

هشدار مرکز افتا؛ شناسایی نقص امنیتی در نسخه‌های جدید زبان برنامه‌نویسی PHP

/در , , , , , , /توسط
 
مرکز مدیریت راهبردی افتای ریاست جمهوری نسبت به شناسایی نقص امنیتی در نسخه‌های جدید زبان برنامه‌نویسی PHP هشدار داد که از این نقص برای تحت کنترل درآوردن سرورها سوءاستفاده شده است.
 
 به نقل از معاونت بررسی مرکز افتا، آسیب‌پذیری جدید اجرای کد از راه دور در زبان برنامه نویسی PHP سبب شده که از این نقص امنیتی اخیرا برای تحت کنترل درآوردن سرورها سوءاستفاده شود.
 
زبان PHP رایج‌ترین زبان برنامه‌نویسی است که برای ساخت وب‌سایت‌ها استفاده می‌شود. در این نرم افزار، آسیب‌پذیری با شماره CVE-۲۰۱۹-۱۱۰۴۳ ردیابی می‌شود و به مهاجمان اجازه می‌دهد تا با دسترسی به یک URL ساخته شده، دستوراتی را روی سرورها اجرا کنند.
 
بهره‌برداری از این آسیب‌پذیری به سادگی انجام می‌شود و کد اثبات مفهومی (PoC) آن به صورت عمومی در گیت‌هاب منتشر شده و در دسترس کاربران است.
 
طبق گفته کارشناسان امنیتی، اسکریپت PoC موجود در گیت‌هاب می‌تواند از طریق وب سرور مورد نظر وجود آسیب‌پذیری را بررسی کند و هنگامی که یک هدف آسیب‌پذیر شناسایی شود، مهاجم می‌تواند به سرور وب آسیب‌پذیر، درخواست دستکاری شده ارسال کند.
 
در این آسیب پذیری که وصله مربوط به آن نیز منتشر شده است، همه سرورهای مبتنی بر PHP تحت تأثیر قرار نمی‌گیرند و تنها سرورهای NGINX که ویژگی PHP-FPM آن‌ها فعال باشد آسیب‌پذیر هستند؛ برخی از ارائه‌دهندگان میزبانی وب این مولفه را به عنوان بخشی از محیط میزبانی PHP اضافه می‌کنند.
 
مرکز افتا تاکید کرد که با توجه به در دسترس بودن کد PoC و سادگی بهره‌برداری از این نقص، به صاحبان وب‌سایت‌ها توصیه می شود تنظیمات وب سرور را بررسی و نسخه PHP را در اسرع وقت به روز کنند.

چشم‌انداز تهدید برای ساختمان‌های هوشمند

/در , , , /توسط
همایش امنیت سایبری صنعتی کسپرسکی 2019 شهریور امسال در شهر سوچیِ روسیه با محوریتِ معضلات امنیت سایبری صنعتی برگزار شد. در این کنفرانس از میان سایر موضوعات، به امنیت سیستم‌های اتوماسیون در ساختمان‌ها –نسخه‌های صنعتی خانه‌ی هوشمند امروزی که خیلی هم رایج شده‌اند- پرداخته شد. 
به گزارش روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ معمولاً چنین سیستمی شامل حسگرها و هدایتگرهای مختلف برای مدیریت آسانسورها، تهویه، گرمایشی، روشنایی، برق، تأمین آب، نظارت ویدیویی، سیستم‌های هشدار، سیستم‌های اطفای حریق و غیره می‌شود. همچنین سرورهایی هم دارد که کارشان مدیریت هدایتگرها و نیز کامپیوترِ مهندسین و مسئولین توزیع امکانات است. چنین سیستم‌های اتوماسیونی نه تنها در ساختمان‌های اداری و مسکونی که در بیمارستان‌ها، مراکز خرید، زندان‌ها، تولیدات صنعتی، حمل و نقل عمومی و سایر اماکن (که محیط کاری یا مسکونی هستند) که نیاز به نظارت و مدیریت دارند نیز مورد استفاده قرار می‌‌گیرند. از همین رو تصمیم گرفتیم در این خبر چشم‌اندازی از تهدیدهای پیرامون سیستم‌های اتوماسیون-محورِ ساختمان را ترسیم کنیم تا ببینیم صاحبان آن‌ها در شش ماه اول سال 2019 با چه بدافزارهایی روبرو شدند. پس با ما همراه شوید.
بدافزارها و سیستم‌های هدف
به نقل از خبرگزاری KSN، محصولات کسپرسکی در نیمه‌ی اول سال 2019 موارد آلوده را روی 37.8 درصد کامپیوترهای سیستم‌های اتوماسیونِ ساختمان‌محور بلاک کردند (از یک نمونه‌ی تصادفیِ بیش از 40 هزار منبع).
 
1.PNG
همینجا این نکته را هم بگوییم که اکثر تهدیدهای بلاک‌شده نه هدف‌دار بودند و نه مختصِ سیستم‌های اتوماسیونِ ساختمان‌محور. آن‌ها اغلب بدافزارهایی معمولی‌اند که مرتباً روی شبکه‌های سازمانی‌ای که هیچ ربطی به سیستم‌های اتوماسیون ندارند پیدا می‌شوند. با این حال، این بدان معنا نیست که نباید چنین بدافزارهایی را جدی گرفت. نادیده گرفتن آن‌ها عواقب مختلفی در پی دارد که در نهایت به طور قابل‌توجهی دسترسی و انسجام سیستم‌های اتوماسیون را تحت الشعاع قرار می‌دهد؛ از رمزگذاری فایل (شامل پایگاه‌های اطلاعاتی) گرفته تا محرومیتِ سرویس روی تجهیزات شبکه‌ای و ایستگاه‌های کار. همه‌ی اینها در نتیجه‌ی ترافیک آلوده و اکسپلویت‌های ناپایدار است.
جاسوس‌افزارها و بک‌درها (عاملین بات‌نت) هدفشان بسی بزرگ‌تر است؛ چراکه می‌توان از قابلیت سرقت اطلاعات احراز هویت و کنترل ریموتِ آن‌ها برای طرح‌ریزی و اجرای حمله‌ای هدف‌دار به یک سیستم اتوماسیونِ ساختمانی استفاده نمود.
یک حمله‌ی هدف‌دار چه خطراتی می‌تواند داشته باشد؟ نخست اینکه، کامپیوترهایی که کارشان نظارتِ سیستم‌های اتوماسیون است از کار می‌افتند و به دنبال آن سیستم‌ها نیز مختل می‌شوند؛ دلیلش هم این است که همه‌ی آن‌ها که تماماً خودمختار نیستند. نتیجه‌ی کلی اینکه عملکرد ساختمان بهم می‌ریزد: برق، آب و تهویه احتمالاً مثل قبل کار می‌کند اما شاید باز/بسته شدن درب‌ها یا استفاده از آسانسور دچار مشکل شود. سیستم‌ اطفای حریق نیز می‌تواند از کار بیافتد؛ مثلاً اینکه هشدار غلط بدهد یا بدتر اینکه وقتی آتش‌سوزی را حس می‌کند دیگر هشدار ندهد.
توزیع جغرافیاییِ تهدیدها
 
 

2.PNG

3.PNG

 
منابع تهدید برای سیستم‌های ساختمان‌محورِ اتوماسیون
حین بررسی منابع تهدید برای سیستم‌های ساختمان‌محورِ اتوماسیون، تصمیم گرفتیم آن‌ها را با آمار مشابه روی سیستم‌های صنعتی (که مرتباً جمع‌آوری نموده و نشر می‌دهیم). نتایج بدست‌آمده:
 
 

4.PNG


نمودار نشان می‌دهد در سیستم‌های اتوماسیون ساختمان‌محور سهم کامپیوترهای مورد حمله واقع‌شده به طور مداومی بیشتر از سیستم‌های صنعتی است. با در نظر گرفتن این مورد، سهم کلیِ کامپیوترهای مورد حمله واقع‌شده -در همان بازه‌ی زمانی- در سیستم‌های صنعتی بیشتر بوده است (41.2 درصد). دلیلش هم این است که سیستم‌های ساختمان‌محور اتوماسیون بیشتر به سیستم‌های بخش آی‌تی شباهت دارند- از طرفی آن‌ها نسبت به سیستم‌های بخش صنعتی بهتر محافظت می‌شوند پس درصد کلیِ پایین‌تر است؛ از طرفی دیگر هم محیط نرم‌افزاریِ attack surface بزرگ‌تری دارند (یعنی بیشتر آن‌ها به اینترنت دسترسی داشته و اغلب از ایمیل سازمانی و درایوهای پرتابل استفاده می‌کنند)؛ بنابراین هر کامپیوتری بیشتر در معرض خطر (از سوی منابع مختلف) است.
 
  

5.PNG


توجه داشته باشید که فقط شبکه‌های سیستم‌های اتوماسیون در برخی ساختمان‌ها (ایستگاه‌ها، فرودگاه‌ها، بیمارستان‌ها و غیره) نیستند که این تهدیدها متوجهشان می‌شود. شبکه‌های توسعه‌دهندگان، تجمیع‌کنندگان و اپراتورهای چنین سیستم‌هایی که اغلب مجازند به تعداد زیادی موردِ مختلف دسترسی داشته باشند نیز در معرض حملات هدف‌دار و تصادفی هستند.
مجرمان سایبری بعد از دسترسی به کامپیوترهای داخل شبکه (از جانب تجمیع‌کننده/اپراتور)، می‌توانند به طور تئوریک به بسیاری از موارد دسترسی ریموت پیدا کنند (به صورت همزمان). در عین حال، کانکشن ریموت به یک موردِ اتوماسیون (از جانب تجمیع‌کننده/اپراتور)، کانکشنی قابل‌اعتماد تلقی شده و اغلب بدون‌نظارت صورت می‌گیرد.
چشم‌انداز تهدید برای ساختمان‌های هوشمند و طریقه‌ی کاهش میزان آن‌ها در همایش‌های بعدی مورد بررسی قرار خواهد گرفت. نکته‌ی آخر تأکید روی اهمیت نظارت بر ارتباطات شبکه‌ایست (هم داخل شبکه‌ی سیستم‌های اتوماسیون و هم پیرامون آن). حتی نظارت کمترین میزان نظارت نیز باز مشکلات و نقض‌های فعلی را برملا خواهد کرد که پاک کردنشان می‌تواند به طور چشمگیری سطح امنیت موارد را افزایش دهد.
 

چشم‌انداز تهدید برای ساختمان‌های هوشمند

/در , , , /توسط
همایش امنیت سایبری صنعتی کسپرسکی 2019 شهریور امسال در شهر سوچیِ روسیه با محوریتِ معضلات امنیت سایبری صنعتی برگزار شد. در این کنفرانس از میان سایر موضوعات، به امنیت سیستم‌های اتوماسیون در ساختمان‌ها –نسخه‌های صنعتی خانه‌ی هوشمند امروزی که خیلی هم رایج شده‌اند- پرداخته شد. 
به گزارش روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ معمولاً چنین سیستمی شامل حسگرها و هدایتگرهای مختلف برای مدیریت آسانسورها، تهویه، گرمایشی، روشنایی، برق، تأمین آب، نظارت ویدیویی، سیستم‌های هشدار، سیستم‌های اطفای حریق و غیره می‌شود. همچنین سرورهایی هم دارد که کارشان مدیریت هدایتگرها و نیز کامپیوترِ مهندسین و مسئولین توزیع امکانات است. چنین سیستم‌های اتوماسیونی نه تنها در ساختمان‌های اداری و مسکونی که در بیمارستان‌ها، مراکز خرید، زندان‌ها، تولیدات صنعتی، حمل و نقل عمومی و سایر اماکن (که محیط کاری یا مسکونی هستند) که نیاز به نظارت و مدیریت دارند نیز مورد استفاده قرار می‌‌گیرند. از همین رو تصمیم گرفتیم در این خبر چشم‌اندازی از تهدیدهای پیرامون سیستم‌های اتوماسیون-محورِ ساختمان را ترسیم کنیم تا ببینیم صاحبان آن‌ها در شش ماه اول سال 2019 با چه بدافزارهایی روبرو شدند. پس با ما همراه شوید.
بدافزارها و سیستم‌های هدف
به نقل از خبرگزاری KSN، محصولات کسپرسکی در نیمه‌ی اول سال 2019 موارد آلوده را روی 37.8 درصد کامپیوترهای سیستم‌های اتوماسیونِ ساختمان‌محور بلاک کردند (از یک نمونه‌ی تصادفیِ بیش از 40 هزار منبع).
 
1.PNG
همینجا این نکته را هم بگوییم که اکثر تهدیدهای بلاک‌شده نه هدف‌دار بودند و نه مختصِ سیستم‌های اتوماسیونِ ساختمان‌محور. آن‌ها اغلب بدافزارهایی معمولی‌اند که مرتباً روی شبکه‌های سازمانی‌ای که هیچ ربطی به سیستم‌های اتوماسیون ندارند پیدا می‌شوند. با این حال، این بدان معنا نیست که نباید چنین بدافزارهایی را جدی گرفت. نادیده گرفتن آن‌ها عواقب مختلفی در پی دارد که در نهایت به طور قابل‌توجهی دسترسی و انسجام سیستم‌های اتوماسیون را تحت الشعاع قرار می‌دهد؛ از رمزگذاری فایل (شامل پایگاه‌های اطلاعاتی) گرفته تا محرومیتِ سرویس روی تجهیزات شبکه‌ای و ایستگاه‌های کار. همه‌ی اینها در نتیجه‌ی ترافیک آلوده و اکسپلویت‌های ناپایدار است.
جاسوس‌افزارها و بک‌درها (عاملین بات‌نت) هدفشان بسی بزرگ‌تر است؛ چراکه می‌توان از قابلیت سرقت اطلاعات احراز هویت و کنترل ریموتِ آن‌ها برای طرح‌ریزی و اجرای حمله‌ای هدف‌دار به یک سیستم اتوماسیونِ ساختمانی استفاده نمود.
یک حمله‌ی هدف‌دار چه خطراتی می‌تواند داشته باشد؟ نخست اینکه، کامپیوترهایی که کارشان نظارتِ سیستم‌های اتوماسیون است از کار می‌افتند و به دنبال آن سیستم‌ها نیز مختل می‌شوند؛ دلیلش هم این است که همه‌ی آن‌ها که تماماً خودمختار نیستند. نتیجه‌ی کلی اینکه عملکرد ساختمان بهم می‌ریزد: برق، آب و تهویه احتمالاً مثل قبل کار می‌کند اما شاید باز/بسته شدن درب‌ها یا استفاده از آسانسور دچار مشکل شود. سیستم‌ اطفای حریق نیز می‌تواند از کار بیافتد؛ مثلاً اینکه هشدار غلط بدهد یا بدتر اینکه وقتی آتش‌سوزی را حس می‌کند دیگر هشدار ندهد.
توزیع جغرافیاییِ تهدیدها
 
 

2.PNG

3.PNG

 
منابع تهدید برای سیستم‌های ساختمان‌محورِ اتوماسیون
حین بررسی منابع تهدید برای سیستم‌های ساختمان‌محورِ اتوماسیون، تصمیم گرفتیم آن‌ها را با آمار مشابه روی سیستم‌های صنعتی (که مرتباً جمع‌آوری نموده و نشر می‌دهیم). نتایج بدست‌آمده:
 
 

4.PNG


نمودار نشان می‌دهد در سیستم‌های اتوماسیون ساختمان‌محور سهم کامپیوترهای مورد حمله واقع‌شده به طور مداومی بیشتر از سیستم‌های صنعتی است. با در نظر گرفتن این مورد، سهم کلیِ کامپیوترهای مورد حمله واقع‌شده -در همان بازه‌ی زمانی- در سیستم‌های صنعتی بیشتر بوده است (41.2 درصد). دلیلش هم این است که سیستم‌های ساختمان‌محور اتوماسیون بیشتر به سیستم‌های بخش آی‌تی شباهت دارند- از طرفی آن‌ها نسبت به سیستم‌های بخش صنعتی بهتر محافظت می‌شوند پس درصد کلیِ پایین‌تر است؛ از طرفی دیگر هم محیط نرم‌افزاریِ attack surface بزرگ‌تری دارند (یعنی بیشتر آن‌ها به اینترنت دسترسی داشته و اغلب از ایمیل سازمانی و درایوهای پرتابل استفاده می‌کنند)؛ بنابراین هر کامپیوتری بیشتر در معرض خطر (از سوی منابع مختلف) است.
 
  

5.PNG


توجه داشته باشید که فقط شبکه‌های سیستم‌های اتوماسیون در برخی ساختمان‌ها (ایستگاه‌ها، فرودگاه‌ها، بیمارستان‌ها و غیره) نیستند که این تهدیدها متوجهشان می‌شود. شبکه‌های توسعه‌دهندگان، تجمیع‌کنندگان و اپراتورهای چنین سیستم‌هایی که اغلب مجازند به تعداد زیادی موردِ مختلف دسترسی داشته باشند نیز در معرض حملات هدف‌دار و تصادفی هستند.
مجرمان سایبری بعد از دسترسی به کامپیوترهای داخل شبکه (از جانب تجمیع‌کننده/اپراتور)، می‌توانند به طور تئوریک به بسیاری از موارد دسترسی ریموت پیدا کنند (به صورت همزمان). در عین حال، کانکشن ریموت به یک موردِ اتوماسیون (از جانب تجمیع‌کننده/اپراتور)، کانکشنی قابل‌اعتماد تلقی شده و اغلب بدون‌نظارت صورت می‌گیرد.
چشم‌انداز تهدید برای ساختمان‌های هوشمند و طریقه‌ی کاهش میزان آن‌ها در همایش‌های بعدی مورد بررسی قرار خواهد گرفت. نکته‌ی آخر تأکید روی اهمیت نظارت بر ارتباطات شبکه‌ایست (هم داخل شبکه‌ی سیستم‌های اتوماسیون و هم پیرامون آن). حتی نظارت کمترین میزان نظارت نیز باز مشکلات و نقض‌های فعلی را برملا خواهد کرد که پاک کردنشان می‌تواند به طور چشمگیری سطح امنیت موارد را افزایش دهد.
 

۶۵۸ حمله سایبری به انگلیس در یک سال اخیر

/در , , , , /توسط
 
مرکز ملی امنیت سایبری دولت انگلیس از دفع ۶۵۸ حمله سایبری از اول سپتامبر سال ۲۰۱۸ تا ۳۱ اگوست سال ۲۰۱۹ خبر داده است.
 
 به نقل از یاهونیوز، این مرکز همچنین بیش از یک میلیون تلاش برای کلاهبرداری از اطلاعات کارت های اعتباری را در فضای مجازی شناسایی کرده و با آنها مقابله کرده  است.
 
اطلاعات منتشر شده توسط این مرکز نشان می دهد هزاران نفر از مردم انگلیس به دنبال مداخله مرکز ملی امنیت سایبری دولت توانسته اند، جلوی خالی شدن حساب های بانکی خود را بگیرند.
 
این مرکز مدعی است بخش عمده ای از حملات سایبری بر علیه انگلیس توسط دولت های متخاصم انجام می شود. مرکز ملی امنیت سایبری دولت انگلیس اسامی این کشورها را اعلام نکرده است.
 
سیاران مارتین مدیر اجرایی این مرکز گفته است: برای مقابله با کلاهبرداری های سایبری هنوز باید اقدامات بیشتری انجام شود و ضروری است مردم عادی آموزش های گسترده تری دریافت کنند.