آسیب‌پذیری‌های چندگانه اجرای کد دلخواه در مرورگر فایرفاکس

/در , , , , /توسط
اخیراً چندین #‫آسیب‌پذیری در Mozilla Firefoxو Firefox Extended support release(ESR) کشف شده است که شدیدترین آن‌ها ممکن است امکان اجرای کد دلخواه را داشته باشد. همانطور که می‌دانیم Mozilla Firefoxیک مرورگر وب است اما Mozilla Firefox ESRنسخه‌ای از این مرورگر وب است که قرار است در سازمان‌های بزرگ مورد استفاده قرار گیرد. سوءاستفاده موفقیت‌آمیز از شدیدترین این آسیب‌پذیری‌ها می‌تواند به مهاجمان اجازه دهد کد دلخواه خود را در مرورگر سیستم قربانی اجرا کنند. بسته به دسترسی‌های داده شده به برنامه، مهاجم می‌تواند اقدام به نصب برنامه، بازدید یا تغییر در اطلاعات موجود یا حتی ایجاد حساب‌های کاربری جدید نماید. اگر در تنظیمات و پیکربندی به نکات امنیتی توجه شود، حتی سوءاستفاده از شدیدترین این آسیب‌پذیری‌ها نیز تأثیر کمتری را نسبت به حالت تنظیمات پیش‌فرض خواهد داشت.
 
در حال حاضر گزارشی در مورد بهره‌برداری از این آسیب‌پذیری‌ها منتشر نشده است.
 
سیستم‌های تأثیرپذیر:
 
Firefox versions prior to 71
Firefox ESR versions prior to 68.3
جزئیات این آسیب‌پذیری‌ها به شرح زیر است:
 
سرریز بافر heapدر پردازش FEC در WebRTC با شناسه (CVE-2018-6156)
دسترسی خارج از محدوده NSSدر هنگام رمزگذاری با cipher block، (CVE-2019-11745)
استفاده پس از آزادسازی در SFTKSession (CVE-2019-11756)
عدم دسترسی مطلوب به پشته به دلیل مقداردهی نادرست پارامترها درکد (CVE-2019-13722) WebRTC
سرریز بافر در سریالایز کردن‌ متن آشکار (CVE-2019-17005)
استفاده پس از آزادسازی در تابع (CVE-2019-17008)
به‌روزرسانی موقت پرونده‌ها دارای مجوز دسترسی به فرآیندها (CVE-2019-17009)
استفاده‌ پس از آزادسازی هنگام اجرای orientation check (CVE-2019-17010)
استفاده‌ پس از آزادسازی هنگام بازیافت یک سند در antitracking (CVE-2019-17011)
برطرف شدن اشکالات امن‌سازی حافظه در فایرفاکس 71و فایرفاکس ESR 68.3(CVE-2019-17012)
برطرف شدن اشکالات امن‌سازی حافظه در فایرفاکس 71(CVE-2019-17013)
بر طرف شدن مشکل (drag and drop) یک منبع Cross-origin، که به طور اشتباه به عنوان تصویر بارگذاری شده است، که می‌تواند منجر‌به افشای اطلاعات شود. (CVE-2019-17014)
پیشنهادات:
 
توصیه می‌شود اقدامات زیر انجام شود:
 
• به کاربران این مرورگر به شدت توصیه می‌شود تا آن را به آخرین نسخه به روزرسانی نمایند.
 
• برای کاهش اثر حملات، تمام نرم‌افزارها را با سطح مجوز پایین (کاربری غیر از administrative) اجرا کنید.
 
• به کاربران خود یادآوری کنید که از وب‌سایت‌های غیرقابل اعتماد بازدید نکرده و همچنین لینک‌هایی با منبع نامشخص و غیرقابل اعتماد را دنبال نکنند.
 
• اطلاع‌رسانی و آموزش کاربران در مورد خطرات لینک‌ها یا فایل‌های پیوست شده در ایمیل‌ها به ویژه از منابع غیرقابل اعتماد
 
• رعایت اصول حداقل حق دسترسی موردنیاز کاربران (اصل POLPیا Principle of Least Privilege) به سیستم‌ها و سرویس‌ها

شرکت ها برای استفاده از اطلاعات کاربران هندی باید اجازه بگیرند

/در , , , , /توسط
 
قرار است طی روزهای آتی آخرین نسخه از لایحه حمایت از اطلاعات شخصی کاربران به پارلمان هند ارائه می شود. طبق آن شرکت ها برای استفاده از اطلاعات کاربران باید اجازه بگیرند.
 
 به نقل از انگجت، آخرین نسخه از لایحه حمایت از اطلاعات شخصی هند شرکت های فناوری را ملزوم می کند قبل از استفاده از داده های کاربران از آنها اجازه بگیرند. همچنین شهروندان می توانند تقاضا کنند اطلاعاتشان حذف شود. 
 
 همچنین لایحه مذکور در صورت تصویب محدودیت های کمتری برای دسترسی دولت به اطلاعات ایجاد می کند. به این ترتیب دولت می تواند از شرکت ها تقاضا کند به اطلاعات ناشناس و غیر شخصی دسترسی یابند. این نسخه از قانون طی روزهای آتی به پارلمان هند ارائه می شود. 
 
برخی کارشناسان قانون حمایت از اطلاعات شخصی هند را با قانون حفاظت از اطلاعات اتحادیه اروپا مقایسه می کنند. البته در لایحه حمایت از اطلاعات شخصی در هند محدودیت های کمتری برای استفاده از اطلاعات حساس مانند داده های بیومتریک از سوی دولت در نظر گرفته شده است. 
 
همچنین در این لایحه ذکر شده اطلاعات حساس مانند اطلاعات مالی، بهداشتی و بیومتریک در سرورهای داخل کشور ذخیره شود .

روش‌هایی برای پیشگیری از حملات سایبری به کسب‌وکارهای کوچک

/در , , , /توسط
با توجه به این‌که در حال حاضر مهاجمان به دلیل ضعف‌های امنیتی موجود در این بخش، به طور جدی در حال انجام حملات سایبری هدفمند هستند، پیشگیری از حمله‌ سایبری برای کسب‌وکارهای کوچک موردی است که باید برای امنیت سایبری آن‌ها بسیار جدی گرفته‌ شود.
 
در شرایط کنونی شرکت‌هایی که مورد حملات سایبری قرار می‌‎گیرند، ضرر و زیان‌های مختلف را در ابعاد گوناگون تجربه می‌کنند. حملات سایبری می‌‎تواند باعث خرابی، بدنامی و از دست رفتن درآمد شود که این موارد، از دسته مواردی هستند که کسب‌وکارهای کوچک از آن‌ها دوری می‌کنند. البته پیشگیری از حملات سایبری نیز یک بخش چالش برانگیز برای آن‌هاست.
 
اگرچه در آخرین گزارشات ۴۳ درصد از حملات سایبری مربوط به شرکت‌های کوچک‌تر است. اما اگر صاحب کسب‌وکار کوچک باشید، می‌توانید امنیت خود را بهبود بخشید. ارائه‌دهندگان راه‌حل‌های امنیتی، ابزارهایی را برای کسب و کارهای کوچک و ارزان‌تر ارائه می‌دهند. مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه‌ای) روش‌هایی را برای پیشگیری از حملات سایبری برای کسب‌وکارهای کوچک پیشنهاد داده است.
 
امروزه امکان عضویت در سرویس‌های ضدبدافزار و فایروال cloud-based وجود دارد که می‌توانند حفاظتی مشابه با آنچه که شرکت‌های بزرگ از آن لذت می‌برند را فراهم کنند. گذشته از این راه‌حل‌های متداول‌، اقدامات پیشرفته‌تری مانند شبیه‌سازی نشت اطلاعات و حمله (BAS) در حال حاضر برای کسب‌وکار کوچک قابل دسترسی است. حمله BAS می‌تواند با ارزیابی راه‌حل‌های امنیتی تمام پیشگیری‌هایی که از حملات سایبری کرده‌اید، به شما کمک کند.
 
پلت‌فرم BAS Cymulate به شما امکان می‌دهد با راه‌اندازی حملات شبیه‌سازی‌شده علیه آن، تمهیدات امنیتی خود را برای آسیب‌پذیری‌های احتمالی بررسی کنید. ارزیابی‌های مختلف اگر بتوانند فایروال را برای نقص‌های احتمالی در پیکربندی و حتی راه‌حل‌های امنیتی نقطه پایانی را بررسی کنند، به راحتی نقاط ضعف را تشخیص خواهند داد.
 
این ابزار حتی می‌تواند حملات فیشینگ را شبیه‌سازی کرده تا ببیند کاربران تا چه حد احتمالاً در برابر حملات مهندسی اجتماعی آموزش دیده‌اند. با دانستن این مشکلات می‌توانید تنظیمات یا تغییرات لازم را برای برطرف کردن نقص‌ها انجام دهید. بنا بر آمارهای موجود در حوزه کسب‌و کارهایکوچک، باید توجه کرد که تهدیدا در حوزه امنیت سایبری واقعی و جدی هستند و بعید نیست هکرها در حال حاضر شرکت شما را مورد هدف قرار داده باشند. به همین دلیل، شما باید اقدامات سختگیرانه امنیتی را اجرا کنید که بتواند حتی تهدیدات پیچیده را خنثی کند.
 
در این گزارش، پنج مرحله وجود دارد که می‌توان برای اطمینان از محافظت از اطلاعات شرکت، از آنها استفاده کرد: تعیین یک سطح پایه از نیازهای امنیتی، سرمایه‌گذاری روی راه‌حل‌های امنیتی کارا، پیاده‌سازی دقیق کنترل‌ سطوح مختلف دسترسی، تهیه‌ نسخه‌ پشتیبان از برنامه‌ها و به‌روزرسانی مداوم نرم‌افزارها و آموزش کارمندان.
 
تعیین یک سطح پایه از نیازهای امنیتی
 
صاحبان کسب‌وکار برای جلوگیری از حملات سایبری مربوط به کسب‌وکارهای کوچک، با مجموعه‌ای از راه‌حل‌ها طرف هستند که ممکن است گاهی استفاده از کدام یک از آن موارد گمراه کننده باشد. برای شما مهم است که ابتدا درک کنید که نیازهای تجاری شما به چه صورت است، بنابراین می‌دانید برای پشتیبانی از این نیازها به چه نوع زیرساخت‌های فناوری اطلاعات نیاز دارید. این را باید دانست که بدون توجه به نیازهای خود، اگر هم حتی بالاترین هزینه‌ها در حوزه فناوری اطلاعات و امنیت انجام شود، بدیهی است منابع با ارزش خود را به آسانی هدر داده‌‎اید.
 
ابتدا باید درک کنید که چه حوزه‌هایی از کسب‌وکارتان باید توسط فناوری پشتیبانی شود. به این ترتیب، شما قادر خواهید بود نرم‌افزار و سخت‌افزارهای مورد نیاز خود را شناسایی کنید. علاوه بر این، می‌دانید که داده‌ها و منابع مربوط به شرکت به چه صورت مورد استفاده خواهند بود. باید دانست که آیا از سرور داخلی یا فضای ذخیره‌سازی ابری استفاده می‌کنید؟ با بررسی نیازها و داشتن تصوری از ساختار کلی شرکت خود در این حوزه، می‌توان مشخص کرد که چه راه‌حل‌های امنیتی برای محافظت از هر یک از این مؤلفه‌ها مورد نیاز است.
 
اگر شبکه اداری کوچک شما فقط دارای سه ایستگاه کاری باشد، دستیابی به راه‌حل‌های امنیتی ارائه‌شده برای شرکت‌های بزرگ مانند پلت‌فرم‌های مدیریتIT  یا حتی security information and event management (SIEM) می‌تواند برای شرکت شما زیاده‌روی و هدررفت هزینه باشد. اگر بدون بررسی نیازها و بسترهای خود از راه‌حل‌ها و ابزارهایی استفاده کرده و هزینه‌هایی را انجام دهید، به احتمال فراوان قادر به بازگشت سرمایه خود نخواهید بود.
 
سرمایه‌گذاری روی راه‌حل‌های امنیتی کارا
 
سرمایه‌گذاری در ابزارهای امنیتی کارا گامی مهم است که بتوان امنیت سایبری را تا حد زیادی برقرار کرد. استفاده از ابزارها برای محافظت از سیستم‌های کارمندان مانند آنتی‌ویروس، ضدبدافزار و ابزارهای امنیتی شبکه مانند فایروال از جمله راه‌حل‌هایی است که باید در شرکت پیاده‌ کرد. ممکن است نیاز شما فراتر از ابزارهای رایگان باشد و باید راه‌حل‌های بهتری که بتواند تهدیدهای پیشرفته را شناسایی و با آن‌ها مقابله کند، مورد استفاده قرار دهید و روی این موارد باید سرمایه‌گذاری کنید.
 
اکنون بسیاری از سرویس‌ها برای سازمان‌ها از طریق سرویس‌های ابری موجود است که می‌توان به راحتی از آنها استفاده کرد. حتی برای استفاده از بسیاری از ویژگی‌ها نیاز به دانش بالا نیست و می‌توان به راحتی از این سرویس‌ها استفاده کرد. همچنین باید بتوان اثریخشی این ابزارها را ارزیابی و بررسی کرد.
 
شاید نیاز به فراتر از ابزارهای رایگان داشته باشید و در راه‌حل‌های پیشرفته‌تری که بتواند تهدیدهای پیشرفته را شناسایی و مقابله کند، سرمایه‌گذاری کنید. شبیه‌سازی به شما این امکان را می‌دهد که آزمایش و برنامه‌ریزی را به‌صورت خودکار انجام داده تا بتوانید تشخیص دهید که آیا فایروال و آنتی ویروس‌های موجود تهدیدات را نمایش می‌دهند.
 
پیاده‌سازی دقیق کنترل سطوح مختلف دسترسی
 
هکرها برای دستیابی به رایانه‌ها و حساب‌های آنلاین از روش‌های مختلفی استفاده می‌کنند. اگر برای بخش پسورد از یک عبارت استفاده شود احتمال موفقیت کاهش می‌یابد. در عوض استفاده از کلمات و نمادهای خاص، حروف بزرگ و عبارت‌های طولانی می‌تواند مناسب باشد. فعال کردن تأیید هویت دومرحله‌ای یکی از روش‌های جلوگیری از حمله سایبری است که می‌تواند یک لایه اضافی برای محافظت از حساب را اضافه کند.
 
یک مورد دسترسی اضافی مانند رمز عبور یکبار مصرف (OTP) که به یک حساب ایمیل یا تلفن همراه ارسال می‌شود می‌تواند از دسترسی هکرها به ان جلوگیری کند. جلوگیری از استفاده مجدد از گواهی‌نامه‌ها نیز می‌تواند مفید باشد. کاربرانی که از یک رمز عبور برای حساب‌های شخصی و حرفه‌ای خود استفاده می‌کنند، هم شرکت و هم خود را در معرض خطر قرار می‌دهند. برای ایجاد رمزهای قوی و منحصربه‌فرد می‌توانید از مدیر پسورد استفاده کنید.
 
 نسخه پشتیبان از برنامه‌ها و به‌روزرسانی مداوم نرم‌افزارها
 
جهت جلوگیری از از بین رفتن کامل اطلاعات، برنامه‌ریزی کرده و از داده‌های خود نسخه پشتیبان تهیه کنید. جهت ذخیره‌سازی اسناد موجود در کامپیوتر خود، از یک راه‌حل ذخیره‌سازی امن ابری استفاده کنید. این راه‌حل‌ها به شما امکان می‌دهند تا داده‌های خود را در صورت خراب شدن بازیابی کنید. در صورت استفاده از نرم‌افزار به روز شده، می‌توانید از حمله‌هایی که اطلاعات حساس را نیز سرقت می‌کنند، جلوگیری کنید.
 
بنابراین برای جلوگیری از حمله سایبری، اعلان‌های به روز را رد نکرده و فقط روی دکمه "remind me later" کلیک نکنید. اکثر برنامه‌ها دارای به‌روزرسانی خودکار بوده و برای سایر برنامه‌هایی که نیاز دارند به‌صورت دستی به‌روز رسانی شوند یک یادآوری برای کارکنان ارسال کنید.
 
آموزش کارمندان
 
حملات مهندسی اجتماعی مانند فیشینگ همچنان از جمله روش‌های رایج برای دستیابی به سیستم‌ها است. در حقیقت، در ۵۷ درصد از مشاغل کوچک که مورد حمله قرار گرفتند، گفتند که قربانیان فیشینگ هستند. پس باید اطمینان حاصل کنید که کارکنان شما به راحتی در برابر این کلاهبرداری‌ها قرار نمی‌گیرند.
 
انجام آموزش امنیت سایبری باید بخشی از روند کاری شما باشد. از طریق آموزش، همه می‌توانند جدی بودن حتی یک اشتباه کوچک را درک کنند. آموزش منظم  به کارکنان شما کمک می‌کند تا از لحاظ امنیتی خود را توسعه دهند. آن‌ها می‌دانند که چگونه می‌توانند ابزارهای امنیتی را بطور مؤثر مدیریت کرده‌، حملات فیشینگ را کشف و فعالیت‌های مشکوک را در یک شبکه تشخیص دهند.
 
 

آذری جهرمی: دفع حمله بزرگ سایبری علیه زیرساخت‌های دولت الکترونیک

/در , , , , , /توسط
 
وزیر ارتباطات گفت: اخیرا یک حمله سازمان یافته‌ علیه زیرساخت‌های کشور انجام گرفت که توسط سپر امنیتی دفع شد و حمله بسیار بزرگی هم بود.
 
 محمد جواد آذری جهرمی وزیر ارتباطات در حاشیه جلسه هیئت دولت در پاسخ به سوالی درخصوص حمله سایبری به زیرساخت‌های کشورمان، اظهار کرد: اخیرا با یک حمله بسیار سازمان یافته‌ و حکومتی علیه زیرساخت‌های دولت الکترونیک مواجه بودیم که توسط سپر امنیتی کشور شناسایی و دفع شده است.
 
وی با بیان اینکه این حمله بسیار بزرگ بوده است، افزود: فعلا نمی‌توانم جزئیاتی از این موضوع بگویم، اما ابعاد آن استخراج شده است و حتما در رابطه با آن گزارشی داده می‌شود.
 
وزیر ارتباطات گفت: فعلا نمی‌توانم بگویم این حمله توسط چه کشوری انجام گرفته است.
 
آذری جهرمی در رابطه با مصاحبه نزار زکا علیه وی مبنی بر اینکه بازجو بوده است، گفت: احتمالا گرد نخودی که مصرف کرده خوب بوده است! او مباحث را باهم قاطی کرده است.
 
وی افزود: آنهایی که گفتند من بازجوی ‌وزارت اطلاعات بودم، باید بدانند مربوط به قبل از سال ۸۸ بوده است. آن سالی که وی‌ به ایران آمده من در وزارت ارتباطات بودم. ضمن اینکه وی بازداشت سپاه بوده نه وزارت اطلاعات.
 
وزیر ارتباطات در پاسخ به سؤالی مبنی بر احتمال قطع مجدد اینترنت و ایجاد اینترنت ملی گفت: چیزی به نام اینترنت ملی معنای خارجی ندارد. اینترنت یک شبکه جهانی است، داخلی و بین المللی ندارد. شبکه ملی اطلاعات با بحث اینترنت ملی تفاوت دارد. افرادی که از کلماتی مانند اینترنت ملی استفاده می کنند، هدفشان تخریب دستاوردهای جوانان ایرانی در حوزه خودشان است.
 
وی ادامه داد: آمریکا تلاش داشت با خروج  از برجام و عدم تعهد علیه ملت و دولت ایران و اعمال تحریم های جدید در زمینه دارو و فناوری ها و همچنین تروریست خواندن ملت ایران، برای شرکت های ایرانی نیز تعیین تکلیف کند.
 
وزیر ارتباطات افزود: ما نباید دست روی دست بگذاریم تا آمریکا برای ما تعیین تکلیف کند که چه شرکت ایرانی می تواند رشد کند و چه شرکت ایرانی نمی تواند رشد کند.
 
وی تصریح کرد: شبکه ملی اطلاعات با توجه به فرمایشات مقام معظم رهبری به صورت جدی از سوی وزارت ارتباطات پیگیری می‌شود تا ما بتوانیم سهم خود را در دنیا بگیریم.
 
آذری جهرمی گفت: پیامی که ما به تحریم هایی که آمریکا علیه وزارت ارتباطات، فعالیت های فضایی ایران و بنده وضع کرد دادیم، روشن بود. ما استارت‌آپ‌های ایران را به آذربایجان بردیم. اگر اینترنت نباشد چطور می‌خواهیم در بازار منطقه‌ای فعالیت کنیم.
 
وی تأکید کرد: این اظهارات پروپاگاندا است و ما در حوزه برخورد با این پروپاگاندا هنوز به وحدت رسانه‌ای کامل نرسیده‌ایم و به وقتش حتما بنده با مردم درباره شبکه ملی اطلاعات صحبت می‌کنم. هدف شبکه ملی اطلاعات، رشد اقتصادی کشور در حوزه اقتصاد دیجیتال است، نه قطع اینترنت. حرف‌هایی که زده می شود دروغ است.
 
وزیر ارتباطات و فناوری اطلاعات گفت: اینترنت لازمه اقتصاد دیجیتال است و امروز برای توسعه اقتصادی، اکسیژن است. نمی توانیم به عنوان مثال در حوزه صنعت کشاورزی ارتباطاتمان را با دنیا قطع کنیم و هیچ صادراتی انجام ندهیم. اینترنت لازمه زندگی مردم است و به هیچ وجه قطع نمی‌شود.
 
وی اظهارداشت: البته تهدید امنیتی به وجود آمد و دستگاه های امنیتی برای مدیریت شرایط آن تصمیم را گرفتند که حتما به وقتش در مورد شبکه ملی اطلاعات صحبت خواهم کرد.
 
آذری جهرمی در پاسخ به سؤالاتی در مورد سورپرایز پنجشنبه، به حدس‌های خبرنگاران پاسخ نداد و گفت: پنجشنبه اعلام می‌کنم.
 
وزیر ارتباطات در پاسخ به سؤال دیگری پیرامون آمارهای عجیب و غریب در خصوص خسارت‌های قطع اینترنت به کسب و کارهای دیجیتالی گفت: آمار باید مبتنی بر واقعیت باشد. خسارت اپراتورهای ما برآورد شده است که حدود هزار و 80 میلیارد تومان است. بیش از 100 میلیارد تومان از این خسارات به خاطر آسیب وارد شدن به تأسیسات و تجهیزات مخابراتی در اغتشاشات بوده و مابقی آن به دلیل منع و توقف سرویس‌ها بوده است.
 
آذری جهرمی گفت: دیروز متوجه شدم که برخی اپراتورها هزینه اینترنت بین الملل برای صدور قبض دریافت کرده اند، این مصداق حق الناس است. دیروز به سازمان تنظیم مقررات به صورت مکتوب نامه نوشتم که سریع این موضوع بررسی و با تخلفات برخورد شود.
 
وی در خصوص خسارات استارت آپ ها و کسب و کارها گفت: به استارت آپ ها و کسب و کارها خسارت وارد شده است. بنده جلساتی را با اتاق بازرگانی تهران، اتاق بازرگانی ایران، نظام صنفی رایانه ای و اتحادیه های کسب و کارهای نوپا دارم. برآورد خسارات که کامل شود، اعلام می کنیم.
 
وزیر ارتباطات و فناوری اطلاعات در پاسخ به سؤال دیگری مبنی بر مشکلات پیام رسان های داخلی در ایام قطع اینترنت گفت: طبق گزارشاتی که به بنده رسیده است، ظرفیتی که به پیام رسان های داخلی اختصاص داده شد، به اندازه گذشته نبود. البته تلاش هایی انجام شد تا مشکل این پیام رسان‌ها برطرف شود.
 
آذری جهرمی گفت: برخی از پیام رسان های داخلی موانع سخت افزاری را به عنوان عامل محدودکننده اعلام می کردند و برخی دیگر معماری نرم افزار را عامل مشکلات می دانستند. برخی از پیام رسان های داخلی نیز خیلی خوب کار کردند با اینکه در لیست پیام رسان های معروف قرار نداشتند. گزارشی از عملکرد آنها تهیه کردیم که وقتی تب و تاب شرایط بخوابد، ارائه خواهد شد.
 
وی در پاسخ به سؤال دیگری مبنی بر اینکه مبالغ اعتراضی در مورد ارزش افزوده ها چه زمانی واریز می شود، گفت: آنها شرکت هایی نیستند که از وزارت ارتباطات مجوز داشته باشند. شکایات مردم جمع آوری شده و در دادسرا ثبت شده است. باید اموال شرکت هایی که از آنها شکایت شده، حسابرسی شود.
 
وزیر ارتباطات اظهارداشت: این وزارتخانه نامه ای به شورای هماهنگی سران قوا نوشته و درخواست کرده است که به وزارت ارتباطات اجازه حسابرسی این موضوع را بدهند. این نامه به مرکز ملی فضای مجازی ارجاع داده شد.
 
وی گفت: مرکز ملی فضای مجازی نیز معتقد است که دستگاه قضایی باید ورود کند. ما شکایت را داده ایم و منتظریم که دستگاه قضایی اظهارنظر کند.
 
آذری جهرمی تصریح کرد: هفته آینده برنامه اجرایی ما برای توقف کلاهبرداری‌ها در صحن کمیسیون تنظیم مقررات مطرح و تصویب خواهد شد.

قانون جدید استرالیا برای فشار بیشتر به شرکتهای اینترنتی

/در , , , , /توسط
دولت استرالیا قصد دارد قانونی را برای حفظ امنیت آنلاین تصویب کند. این قانون به شرکت های فناوری فشار می آورد تا محتوای خود را بیشتر کنترل کنند.
 
به نقل از گاردین، دولت استرالیا به شرکت های بزرگ اینترنتی درباره قلدری سایبری هشدار داده و در یک تحقیق جدید طرحی برای حل این چالش را ارائه کرده است.
 
امنیت سایبری یکی از سیاست های مهم اسکات موریسون نخست وزیر استرالیا از زمان انتخاب شدن برای این پست در ماه می تاکنون است. پل فلچر وزیر هنر و ارتباطات این کشور اکنون وظیفه اجرایی کردن طرح امنیت سایبری را دارد.
 
قرار است فلچر قانون امنیت آنلاین پیشنهادی را طی سخنرانی خود در «نشنال پرس کلاب» توضیح دهد. طبق این قانون ابزارهایی برای شناسایی و محافظت در برابر برخورد های  مخرب در فضای آنلاین ایجاد خواهد شد. علاوه بر آن  محتوای خطرناک هرچه سریع تر از شبکه های اجتماعی حذف می شوند و ابزارهای استخدام نیرو توسط تروریست ها نیز از بین می روند.
 
فلچر در این باره می گوید: صنعت فناوری باید مسئولیت بیشتری در این باره قبول کند. ما نیازمند روش های هوشمندانه ای هستیم تا محتوای خطرناک را حذف کنیم.
 
همچنین دولت استرالیا قصد دارد پس از سخنرانی وزیر ارتباطات و هنر درباره قانون امنیت آنلاین ، از مردم نظرخواهی کند. این قانونی برای از بین بردن مضرات آنلاین طراحی شده و به شرکت های فناوری فشار می آورد تا مسئولیت محتوای منتشر شده در پلتفرم های خود را قبول کنند.

اسباب بازی های هوشمند تهدیدی برای امنیت کودکان

/در , , , , , , /توسط
 
محققان امنیتی هشدار می دهند که اسباب بازی های هوشمند قابل اتصال به اینترنت، آسیب پذیری هایی دارند که باعث می شود کودکان استفاده کننده از آنها در معرض خطر قرار بگیرند.
 
به نقل از یاهونیوز، این اسباب بازی ها به علت قابلیت ارتباط با شبکه های ارتباطی و از جمله اینترنت به افراد غریبه امکان می دهند کودکان را مشاهده کرده، با آنها صحبت کنند و سواستفاده های مختلفی را به عمل آورند.
 
پژوهشگران آمریکایی معتقدند دولت این کشور باید هر چه سریع تر قوانینی را به تصویب برساند تا شرکت های سازنده اسباب بازی های هوشمند موظف شوند تا برخی استانداردهای امنیتی در زمان تولید این محصولات را رعایت کنند.
 
بررسی هفت گروه از اسباب بازی های هوشمند قابل اتصال به اینترنت که توسط شرکت های آمازون، آرگوز، جان لویز و اسمیت به فروش می رسند، نشان می دهد تمامی آنها در برابر حملات هکری آسیب پذیر هستند.
 
به عنوان مثال یک واکی تاکی مشهور به نام «کیدی گیر» که برای ارتباط بی سیم کودکان از فاصله حداکثر ۲۰۰ متری به کار می رود قابل هک شدن است و افراد غریبه از این طریق می توانند با کودکان صحبت کرده و آنها را آزار داده یا بترسانند.
 
همچنین میکروفون های اسباب بازی «کارائوکه» به علت ضعف سیستم بلوتوث قابل هک شدن هستند و هکرها از طریق آنها می توانند پیام های ضبط شده خود را برای دیگران پخش کنند. لذا ضروری است والدین از خرید چنین اسباب بازی هایی جدا خودداری کنند.

اسباب بازی های هوشمند تهدیدی برای امنیت کودکان

/در , , , , , , /توسط
 
محققان امنیتی هشدار می دهند که اسباب بازی های هوشمند قابل اتصال به اینترنت، آسیب پذیری هایی دارند که باعث می شود کودکان استفاده کننده از آنها در معرض خطر قرار بگیرند.
 
به نقل از یاهونیوز، این اسباب بازی ها به علت قابلیت ارتباط با شبکه های ارتباطی و از جمله اینترنت به افراد غریبه امکان می دهند کودکان را مشاهده کرده، با آنها صحبت کنند و سواستفاده های مختلفی را به عمل آورند.
 
پژوهشگران آمریکایی معتقدند دولت این کشور باید هر چه سریع تر قوانینی را به تصویب برساند تا شرکت های سازنده اسباب بازی های هوشمند موظف شوند تا برخی استانداردهای امنیتی در زمان تولید این محصولات را رعایت کنند.
 
بررسی هفت گروه از اسباب بازی های هوشمند قابل اتصال به اینترنت که توسط شرکت های آمازون، آرگوز، جان لویز و اسمیت به فروش می رسند، نشان می دهد تمامی آنها در برابر حملات هکری آسیب پذیر هستند.
 
به عنوان مثال یک واکی تاکی مشهور به نام «کیدی گیر» که برای ارتباط بی سیم کودکان از فاصله حداکثر ۲۰۰ متری به کار می رود قابل هک شدن است و افراد غریبه از این طریق می توانند با کودکان صحبت کرده و آنها را آزار داده یا بترسانند.
 
همچنین میکروفون های اسباب بازی «کارائوکه» به علت ضعف سیستم بلوتوث قابل هک شدن هستند و هکرها از طریق آنها می توانند پیام های ضبط شده خود را برای دیگران پخش کنند. لذا ضروری است والدین از خرید چنین اسباب بازی هایی جدا خودداری کنند.

وزیر ارتباطات: بانک‌ها هک نشده‌اند، پیمانکار سابق باج می‌خواهد

/در , , , , , /توسط
 
وزیر ارتباطات و فناوری اطلاعات در واکنش به خبر هفته گذشته هک برخی بانک‌های کشور اعلام کرد که این بانک‌ها هک نشده‌اند بلکه پیمانکار فنی  سابق یکی از مجموعه‌ها که به اطلاعات دسترسی داشته در حال باج‌خواهی به کمک این اطلاعات است.
 
هفته گذشته پنج بانک سپه، ملت، تجارت، سرمایه و قوامین در واکنش به دست به دست شدن خبر نشت اطلاعات کاربرانشان در شبکه‌های اجتماعی، همگی این اخبار را بی‌اساس دانسته و اعلام کردند که  اطلاعات مشتریان همچنان دارای امنیت کافی است.
 
محمد جواد آدری جهرمی هم حالا با اینکه اطلاعات مشتریان این بانک‌ها هک نشده است اعلام کرد: «بانک‌ها هک نشده بودند بلکه پیمانکار فنی سابق یک مجموعه از اطلاعاتی که به آن‌ها دسترسی داشت نسخه پشتیبان گرفته بود و اکنون با دسترسی به این نسخه در حال تهدید و باج‌گیری است.»
 
جهرمی در ادامه افزود: «اگر برای آن سازمان مدیریت سطوح امنیتی مهم بود فکر می‌کنید اجازه می‌داد که مدیر فنی نسخه‌ای از اطلاعات را در اختیار داشته باشد. این مجموعه‌ها به مدیریت سطوح امنیتی دسترسی اطلاعات اهمیت نمی‌دهند بعد که دچار مشکل می‌شوند انتظار دارند که مرکز ماهر تمام مشکلاتشان را حل کند.»

مک آفی مهم ترین تهدید امنیتی سال ۲۰۲۰ را اعلام کرد

/در , , , /توسط
شرکت امنیتی مک آفی ویدئوهای جعل عمیق را یک تهدید سایبری عمده در سال 2020 دانست و از ضرورت برخورد با آن خبر داد.
 
 
 
به نقل از آسین ایج، ویدئوهای جعل عمیق که با استفاده از هوش مصنوعی به تقلید از سخنرانی‌های افراد مشهور و سیاستمداران می پردازند، چنان دقیق جعل می شوند که تشخیص قلابی بودن آنها تقریبا غیرممکن است و از همین رو مک آفی این پدیده را یک تهدید امنیتی جدی دانسته است.
 
 
 
 
مک آفی در گزارش امنیتی تازه خود برای سال 2020 تاکید کرده که ماهیت جرائم سایبری در حال تغییر است و باید قوانین جدیدی به منظور مقابله با این شرایط وضع شوند.
 
بر اساس بررسی‌های این شرکت، تهدیدات ناشی از هوش مصنوعی و طراحی ماشین‌های دارای توان خودآموزی روز به روز در حال گسترش هستند و استفاده از ویدئوهای جعل عمیق موجب انتشار اخبار و اطلاعات دروغین و نیز شکل‌گیری آشوب‌های اجتماعی خواهند شد.
 
از فناوری جعل عمیق می توان برای دور زدن فناوری‌های شناسایی چهره و طراحی باج افزارهای پیشرفته برای انجام حملات سایبری مخرب استفاده کرد.