معرفی نیازهای فناورانه حوزه امنیت فناوری اطلاعات

/در , , , , /توسط
 
 
از سوی صندوق نوآوری و شکوفایی رویداد معرفی نیازهای فناورانه حوزه امنیت فناوری اطلاعات برگزار می‌شود.
 
 رویداد مجازی (وبینار) نیازهای فناورانه حوزه امنیت فناوری اطلاعات به منظور شبکه‌سازی و بهره‌مندی از توان شرکت‌های دانش بنیان برای رفع چالش‌های این حوزه با محوریت "امنیت در اپراتورها"، "بانک‌ها"، "فضای مجازی"، "شبکه‌های کنترل صنعتی" و "بلاکچین" برگزار می‌شود.
 
در این رویداد علاوه بر ارائه نیازهای فناورانه حوزه امنیت فناوری اطلاعات، جلسات پرسش و پاسخ زنده و تشریح نحوه تعامل شرکت‌های بهره‌بردار حوزه افتا با شرکت‌های دانش بنیان، مذاکرات تجاری B۲B به صورت آنلاین، برگزاری کارگاه‌های معرفی نقش مالکیت فکری و دریافت استانداردها در توسعه بازار محصولات حوزه افتا و معرفی حمایت‌های صندوق نوآوری و شکوفایی و نیز معاونت علمی و فناوری ریاست جمهوری از بهم‌رسانی عرضه و تقاضای فناوری نیز برگزار خواهد شد.
 
بر اساس اعلام روابط عمومی صندوق نوآوری و شکوفایی، این رویداد با هدف بهم‌رسانی عرضه و تقاضای نوآوری حوزه امنیت در فناوری اطلاعات در روزهای ۱۶ تا ۱۸ شهریور ماه جاری به صورت آنلاین و رایگان به همت صندوق نوآوری و شکوفایی برگزار می‌شود.
 

مشارکت دانش‌بنیان‌ها در ارتقای امنیت فضای مجازی در همکاری مشترک معاونت علمی و پلیس فتا

/در , , , , , /توسط
 
 
مشارکت دانش‌بنیان‌ها در ارتقای امنیت فضای مجازی در همکاری مشترک معاونت علمی و پلیس فتا
تفاهم‌نامه همکاری میان معاونت علمی و فناوری ریاست جمهوری و پلیس فتا در زمینه بهره‌گیری از ظرفیت فعالان زیست‌بوم دانش‌بنیان در حوزه امنیت فضای مجازی امضا شد.
 
 تفاهم‌نامه‌ای میان سورنا ستاری معاون علمی و فناوری رییس جمهوری و سرتیپ دوم وحید مجید رییس پلیس فتا برای ارتقای امنیت فضای مجازی به کمک شرکت‌های دانش‌بنیان و استارتاپ‌ها امضا شد و بر اساس آن دو طرف تلاش می‌کنند تا با استفاده از ظرفیت‌های شرکت‌های دانش‌بنیان، استارتاپ‌ها و شتاب‌دهنده‌های تخصصی حوزه امنیت سایبری وفناوری اطلاعات و ارتباطات رونق یابد.
 
فروش محصولات فناورانه شرکت‌های دانش‌بنیان، پیاده‌سازی راه حل‌های سرمایه‌گذاری در حوزه امنیت سایبری، جذب سرمایه گذار و منابع مالی در طرح‌های فناورانه این حوزه از دیگر محورهای این تفاهم‌نامه همکاری است.
 
بر اساس اعلام معاونت علمی، توسعه طرح‌های امنیت سایبری با مشارکت شرکت‌های دانش بنیان و مراکز شتاب دهنده جزو محورهای همکاری میان معاونت علمی و فناوری ریاست جمهوری و پلیس فتا است. قرار است تا ظرفیت صندوق های پژوهش و فناوری، پارک‌های علم و فناوری کشور برای اجرای طرح پژوهشی مشترک در حوزه فناوری‌های نوین امنیت سایبری نقش‌آفرین شود.
 

مشاغل جهانی در معرض خطر حمله بات‌ها

/در , , /توسط
تعداد زیادی از مشاغل در معرض حمله بات‌ها قرار دارند. با وجود آگاهی از این مشکل، اطمینان بیش از حد آنها به تحت کنترل بودن مسائل امنیتی، منجر می شود که مورد حمله قرار گیرند.
 
 بات‌نت (Botnet) شبکه‌ای از چندین کامپیوتر است که مخفیانه و بدون اطلاع صاحبانشان، توسط یک بات مستر (Bot Master) برای انجام فعالیت‌های مخرب یا ارسال ایمیل‌های هرزنامه تحت کنترل گرفته شده است. این بات‌نت‌ها یا دستگاه‌های اجیرشده می‌توانند بسیار مشکل‌ساز باشند. مهاجمان می‌توانند از این بات‌ها برای انجام حملات منع سرویس توزیع‌شده (DDoS) استفاده کنند و با این حملات بخش وسیعی از زیرساخت اینترنت و وب‌گاه‌های مختلف آسیب خواهند دید.
 
حمله بات‌ها مانند باج افزارها که سایت‌ها را به طور کامل قفل می‌کنند، به تازگی بیشتر مطرح شده و منجر به نارضایتی  شده‌ است. حمله بات‌ها نامحسوس است، به همان اندازه هم برای یک تجارت ویران‌کننده است. زیرا حساب‌های اعتباری به سرقت می‌رود و به فروش می‌رسد، اطلاعات کارت‌ها ناقص می‌شوند و تصمیمات بدی بر اساس داده‌های ناقص گرفته می‌شود. اطمینان بیش از حد به امنیت سایبری‌، مشاغل را قربانی حمله بات‌ها می‌کند.
 
طی تحقیقاتی که گزارش آن در پلیس فتا منتشر شده، مشاغل مربوط به بخش‌های سفر، سرگرمی‌، تجارت الکترونیکی و خدمات مالی مورد بررسی قرار گرفتند و مشخص شد که میزان آگاهی از حمله بات‌ها و تاثیر منفی آن بر تجارت بالا است. بیش از ۷۰ درصد از مشاغل، شایع‌ترین حملات از جمله سرقت اعتبار و هک اطلاعات کارت اعتباری را تجربه کرده‌اند، ۷۶ درصد اظهار کرده‌اند که توسط بات‌ها مورد حمله قرار گرفته‌اند.
 
با این حال‌، بررسی مشاغل مشابه نشان داد که حدود ۱۵ درصد از منابع وب‌سایت آن‌ها توسط بات‌ها جذب می‌شود و حمله بات‌ها بیش از نیمی از ترافیک وب را ایجاد می‌کند. این بدین معناست که مشاغل از میزان ترافیک بات‌ها در سایت‌های خود آگاه نیستند. همچنین برخی از مشاغل، از بازارهایی که در آن‌ها نام کاربری و کلمه عبور مشتریهایشان خرید و فروش می‌شود، کاملا بی‌اطلاع بودند و تنها یک درصد از پاسخ‌دهندگان از این موضوع آگاه بودند.
 
سایت‌های سرگرمی آنلاین‌، از جمله بازی‌های آنلاین‌، بیشترین آگاهی از حمله بات‌ها را داشتند و بیش از نیمی اظهار داشتند که در سال گذشته مورد حمله قرار نگرفته‌اند.
 
اندی استیل مدیر ارشد Netacea گفت: درشرایط فعلی مشاغل بیش از گذشته به‌صورت آنلاین فعالیت می‌کنند، ‌این شرایط همچنین فرصت‌های سوءاستفاده بیشتری را برای شرکت‌های جنایی آنلاین که به‌دنبال افزایش سودجویی هستند، فراهم می‌کند. در حالی که اکثر مشاغل نسبت به مشکل حمله بات‌ها آگاهی دارند، نتیجه اجتناب‌ناپذیر این تحقیق این است که این آگاهی منجر به مراقبت نمی‌شود.
 
این تحقیقات خبرهای خوبی نیز دربرداشته است. ‌تقریباً همه مشاغل یا در حال سرمایه‌گذاری بودند، یا قصد داشتند برای مدیریت ‌حمله بات‌ها سرمایه‌گذاری کنند و تقریباً هیچکدام از این مشاغل نیاز به اقدامات امنیتی حیاتی نداشتند (زیرا مورد حمله قرار نگرفته بودند). ‌
 

لمپ‌فون: نوع جدیدی از «استراق‌سمع بصری»

/در , , , /توسط
چند وقت پیش خبری منتشر شد در مورد متودهایی که موردچای گوری و همکارانش در دانشگاه بن‌گوریون برای استخراج اطلاعات از دستگاهی ساخته بودند؛ دستگاهی که نه تنها به اینترنت وصل بود که همچنین به طور فیزیکی هم از این شبکه جداسازی شده بود.
به گزارش روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ در کنفرانس 2020 بلک‌هت در آمریکا نیز محقق دیگری از دانشگاه بن‌گوریون گزارشی با موضوعی مرتبط ارائه داد. بن ناسی در خصوص متود استراق‌سمع بصری‌ای که او و همکارانش آن را «لمپ‌فون» صدا می‌زنند صحبت کرد. در ادامه همراهمان باشید تا توضیح دهیم لمپ‌فون چطور عمل می‌کند.
چطور امکان دارد صدا دیده شود؟
یکی از فناوری‌های شناخته‌شده‌ برای ضبط ریموت صدا با استفاده از همین متودهایی که بدان‌ها می‌گویند متودهای بصری، میکروفون لیزری است. این تکنیک بسیار ساده و سرراست است. افرادی که مکالمه‌ای را شنود تلفنی می‌کردند، در سطحی مناسب (معمولاً شیشه پنجره) از اتاقی که در آن مکالمه در حال رخ دادن بود نور مستقیم لیزر -در دامنه‌ی اینفرارد- می‌انداختند. این پرتو بازتاب‌دهنده‌ی سطح است و به گیرنده برخورد می‌کند. امواج صدا لرزه‌هایی را روی سطح شیء ایجاد می‌کنند که در عوض رفتار پرتوی لیزریِ بازتاب‌شده را تغییر می‌دهد. گیرنده این تغیرات را ضبط می‌کند؛ این تغییرات در نهایت به ضبط صدای مکالمه برگردانده می‌شوند. از عصر جنگ سرد  این فناوری به کار گرفته شده است و تا به حال در بسیاری از فیلم‌های جاسوسی از آن کمک گرفته شده. شاید تا به حال در یکی از همین فیلم‌ها ساز و کار آن را دیده باشید. چندین شرکت کارشان تولید دستگاه‌هایی آماده برای استراق‌سمع لیزری است؛ دستگاه‌هایی که گفته می‌شود محدوده عملیاتی‌شان به 500 یا حتی 1000 متر هم می‌رسد. با این حال برای آن دسته از افرادی که نگران هستند قربانی استراق‌سمع لیزری بشوند خبرهای خوبی داریم: اول اینکه میکروفون‌های لیزری بسیار گران هستند و دوم اینکه تولیدکنندگان میکروفون‌های لیزری را فقط به آژانس‌های دولتی می‌فروشند (یا دست‌کم اینطور ادعا می‌کنند).
با این وجود، بنابر گفته‌های ناسی طبیعت فعال میکروفون‌های لیزری نقصی است بس جدی. برای اینکه این نوع استراق‌سمع کار کند باید سطحی را با پرتوی لیزری «روشن» کنید و این یعنی یک شناساگر اینفرارد می‌تواند آن را تشخیص دهد. چندین سال پیش، گروهی از محققین دانشگاه MIT متود جایگزین «ضبط بصری» را که کاملاً منفعل بود ارائه دادند. ایده‌شان تا حد زیادی شبیه به هم بود: امواج صدا لرزه‌هایی را روی سطح یک شیء ایجاد می‌کند. البته که این لرزه‌ها و ارتعاشات می‌توانند ضبط شوند. برای ثبت این لرزه‌ها، محققین از دوربین سرعت بالا در چندین هزار قاب در ثانیه استفاده کردند. آن‌ها با مقایسه فریم‌های دوربین (با کمک یک کامپیوتر) توانستند صدای توالی قاب‌های ویدیویی را تکرار کنند. این متود همچنین نقصی هم دارد و این نقص هم اصلاً کوچک نیست. میزان منابع رایانشی لازم برای برگردان این حجم از اطلاعات بصری از دوربین سرعت بالا به صدا فوق‌العاده بود. محققین دانشگاه MIT حتی استفاده از یک ایستگاه کار به شدت نیرومند هم دو الی سه ساعت وقت نیاز داشتند تا بتوانند یک ضبط ویدیویی 5 ثانیه‌ای را تحلیل کنند، بنابراین واضح است چنین رویکردی برای شنود مکالمات نمی‌تواند انتخاب خوبی باشد.
نحوه‌ی عملکرد لمپ‌فون
ناسی و همکارانش موفق به ساخت متود جدیدی به نام «استراق‌سمع بصری» شدند که خود نام آن را لمپ‌فون گذاشته‌اند. ایده‌ی اصلی این متود استفاده از یک لامپ (همانطور که عنوان این تکنیک بدان اشاره می‌کند) در قالب شیء‌ایست که از آن می‌توانید لرزه‌های ناشی از صدا را دریافت کنید. لامپ نه تنها شیء بسیار معمولی است بلکه همچنین روشن نیز هست. از این رو، فردی که دارد از لرزه‌های لامپ استفاده می‌کند نیازی ندارد برای تحلیل تغییرات بسیار جزئی در تصویر، کلی منبع رایانش هدر دهد. تنها لازمه این کار، یک تلسکوپ نیرومند در لامپ است. این تلسکوپ در واقع جریان نور ساطع‌شده از لامپ را به حسگری برقی-نوری هدایت می‌کند. این لامپ نور را به طوری منسجم و بی‌نقص به جهات مختلف ساطع نمی‌کند (جالب آنکه این ناهمواری از یک لامپ تا لامپی دیگر –رشته‌ای یا ال‌ای‌دی- متفاوت است). این میزان ناهمواری باعث می‌شود تا ارتعاشات لامپ (ناشی از امواج صدا) به آرامی شدت جریان نور را –که حسگر برقی-بصری دریافتش می‌کند- تغییر دهند. و این تغییرات برای ضبط بسیار مناسبند. محققین که تغییرات را ضبط کرده و چند تعداد تغییر اعمال کردند توانستند صدا را از «ضبط نوری» بازیابی کنند. محققین برای تست این روش دستگاه شنودی را روی یک پل عابرپیاده از فاصله 25 متری پنجره اتاقی نصب کردند که در آن صدایی داشت از طریق بلندگو پخش می‌شد. محققین با نشانه گرفتن تلسکوپ روی لامپی در اتاق توانستند ارتعاشات نور را ضبط کرده و آن‌ها را به صدای ضبط‌شده تبدیل کنند؛ صداهای ضبط‌شده‌ای که بسیار هم قابل‌درک بودند. بعنوان مثال، Shazam با موفقیت توانست آهنگ‌های Let It Be از گروه بیتلز و Clocks از گروه کُلد‌پلی را تشخیص دهد. علاوه بر این، سرویس تشخیص صدای گوگل نیز درستی حرف‌های دونالد ترامپ را از یکی از سخنرانی‌هایش رونویسی کرد.
آیا لمپ‌فون تهدیدی کاربردی است؟
ناسی و همکارانش در ساخت متودی حقیقتاً کاربردی موفق شدند؛ متود «استراق‌سمع بصری». مهمتر آنکه این متود تماماً منفعل ات و از این رو نمی‌تواند توسط هیچ شناساگری ثبت گردد. همچنین توجه داشته باشید که برخلاف متود ابداع‌شده توسط محققین ام‌آی‌تی، محاسبات رمزگشایی ضبط‌های لمپ‌فون بسیار ساده است. از آنجایی که پردازش آن نیازی به منابع وسیع رایانشی ندارد می‌توان از لمپ‌فون در لحظه استفاده کرد. با این وجود، ناسی اذعان دارد که در طول این آزمایش صدا در اتاق تست به ولوم بسیار بالا پخش می‌شد. بنابراین، تا اینجای کار نتایج این تست شاید بیشتر در بخش تئوری جذاب باشد. از طرفی دیگر سادگی متودهای بکارگرفته‌شده برای برگردان «ضبط نوری» به صدا را هم نباید دست‌کم گرفت. این تکنیک ممکن است در ادامه –با استفاده از الگوریتم‌های یادگیری ماشین- اصلاح شود. در این مرحله محققین امکان‌سنجی فعلی کاربرد این روش را به صورت عملی نه خیلی سخت ارزیابی کرده‌اند و نه خیلی آسان (شاید چیزی بین سخت و آسان). با این وجود آن‌ها اینطور پیش‌بینی می‌کنند که متود مذکور -اگر فردی بتواند الگوریتم‌های پیچیده‌ی تبدیل ضبط‌های برقی‌نوریِ حسگر را به ضبط‌های صوتی تبدیل کند -پتانسیل این را دارد که در آینده اجرایی‌تر شود.

دسترسی غیرقانونی دولت آمریکا به موقعیت مکانی موبایل ها

/در , , /توسط
 
 
سرویس مخفی دولت آمریکا با خرید محصولی به نام لوکیت ایکس به قیمت دو میلیون دلار به موقعیت مکانی تمامی کاربران گوشی‌های هوشمند در سراسر خاک ایالات متحده دسترسی دارد.
 
 به نقل از سی نت، لوکیت ایکس محصولی است که با جمع‌آوری اطلاعات مربوط به موقعیت جغرافیایی افراد شناسایی محل حضور آنها را ممکن می‌کند. دسترسی به این اطلاعات با بررسی اپلیکیشن‌های مختلفی صورت می‌گیرد که هر فرد در حال استفاده از آنهاست.
 
سرویس مخفی دولت آمریکا لوکیت ایکس را خریداری کرده و از این طریق بدون نیاز به طی کردن رویه‌های قانونی و قضائی و صدور مجوز دادگاه می‌تواند دریابد هر فردی که در داخل خاک آمریکاست دقیقاً در چه محلی قرار دارد.
 
علاوه بر سرویس مخفی دولت آمریکا، برخی نهادهای دولتی دیگر قراردادهای مشابهی را با شرکت بابل استریت تولیدکننده لوکیت ایکس امضا کرده‌اند. از جمله این نهادها می‌توان به اداره گمرک و محافظت از مرزهای ایالات متحده اشاره کرد.
 
بسیاری از اپلیکیشن‌های آمریکایی که به بهانه تسهیل ارائه خدمات به کاربرانشان، اطلاعات مربوط به موقعیت مکانی آنها را جمع‌آوری می‌کنند این داده‌ها را به نهادهای دولتی و خصوصی ثالث می‌فروشند. دولت ترامپ قبلاً داده‌های جغرافیایی کاربران گوشی‌های هوشمند را از شرکتی به نام ونتل خریداری کرده بود تا آن را در اختیار اداره مهاجرت قرار دهد. اداره درآمدهای داخلی آمریکا نیز دست به اقدامی مشابه زده بود.
 
سرویس مخفی دولت آمریکا نهادی امنیتی و تحت نظارت دولت فدرال ایالات متحده است که علاوه بر حفاظت امنیتی از جان دولت‌مردان بلندپایه ایالات متحده آمریکا و شخصیت‌های عالی‌رتبه خارجی مقیم یا میهمان در ایالات متحده، مسئول مقابله با تخلفات مالی عمده و جعل اسکناس واحد پول ایالات متحده است.

مقابله با بدافزار خطرناک از طریق عقیم کردن مخفیانه آن

/در , , , , /توسط
محققان امنیتی برای مقابله با یک بدافزار خطرناک و از کار انداختن آن، بی سروصدا از یک آسیب پذیری در کدنویسی آن برای عقیم کردن این بدافزار بهره گرفتند.
 
 به نقل از زددی نت، محققان مؤسسه باینری دیفنس، یک حفره امنیتی را در بدافزار اموتت شناسایی کردند و موفق شدند با بهره گیری از آن جلوی سرقت اطلاعات توسط این بدافزار و قربانی شدن افراد تازه را بگیرند.
 
مقابله با بدافزارهای مخرب چالشی بزرگ است ولی این بار پژوهشگران امنیتی با ایجاد تغییراتی کوچک در کدنویسی یکی از این بدافزارها توانستند آن را از کار بیندازند. بدافزار اموتت که از جمهوری‌های شوروی سابق نشأت گرفته، از سال ۲۰۱۴ تا به امروز در حال سرقت اطلاعات حساب‌های بانکی مردم است و بعد از نفوذ به شبکه‌های رایانه‌ای بانکی، انبوهی از اطلاعات حساس را به سرقت می‌برد.
 
جیمز کوئین تحلیل گر امنیتی شرکت باینری دیفنس با بررسی دقیق این بدافزار مشکلی را در آن شناسایی کرد که جلوی انتشار گسترده آن را در وب می‌گیرد و از راه اندازی مکرر رایانه‌ها توسط اموتت ممانعت به عمل می‌آورد. همین اطلاعات برای دستکاری بدافزار یادشده به کار گرفته شد و در نتیجه توان تخریبی آن به میزان چشمگیری کاهش یافته و این بدافزار در عمل عقیم شد.
 
محققان امیدوارند بتوانند در آینده از این روش برای مقابله با بدافزارهای دیگری نیز استفاده کنند.

استفاده اداره مهاجرت و گمرک آمریکا از فناوری جنجالی تشخیص چهره

/در , , , , /توسط
اداره مهاجرت و گمرک آمریکا قراردادی را با شرکت کلیرویو امضا کرده تا از فناوری جنجالی و غیردقیق تشخیص چهره آن در مرزهای ایالات متحده استفاده کند.
 
 به نقل از انگجت، اداره یادشده در دالاس ۲۲۴ هزار دلار به کلیرویو پرداخت کرده تا فناوری یادشده را در اختیار بگیرد، این در حالی است که منتقدان می‌گویند این فناوری از دقت کافی برخوردار نیست و ممکن است در شناسایی هویت افراد دچار خطا و اشتباه شود.
 
کلیرویو مدعی است فناوری هوش مصنوعی این شرکت با بررسی تصاویر دوربین‌های مداربسته می‌تواند هویت اشخاص را شناسایی کرده و از این طریق افراد مظنون و متخلف را مشخص کند. در عین حال اتحادیه آزادی‌های مدنی آمریکا کلیرویو را مورد پیگرد قضائی قرار داده و مدعی شده استفاده از فناوری این شرکت با توجه به مشکلاتی که دارد موجب نقض امنیت و حریم شخصی میلیون‌ها آمریکایی می‌شود.
 
کلیرویو ضمن رد مشکلات فنی فناوری خود تصریح کرده که اطلاعات مورد استفاده این شرکت برای شناسایی هویت افراد به طور عمومی در دسترس است. در عین حال شرکت‌هایی مانند توئیتر، فیس بوک، گوگل، لینکداین و ونمو با ارسال نامه ایی برای کلیرویو از آن خواسته اند تا از استفاده از داده‌های این شرکت‌ها برای شناسایی هویت افراد دست بردارد. همچنین تحقیقاتی در مورد تخلفات کلیرویو در استرالیا و انگلیس در جریان است.

چطور از اکانت PayPal خود محافظت کنیم؟

/در , , , , /توسط
سرویس پی‌پل که صدها میلیون کاربر در سراسر جهان دارد در صنعت پرداخت الکترونیک پیشرویی بین‌المللی شده است اما همانطور که می‌دانید پرداخت‌های الکترونیکی همیشه در معرض کلاهبرداری‌ها و حملات سایبری قرار می‌گیرند؛ خصوصاً در این برهه‌ی زمانی خاص که در پی پاندمی ویروس کرونا همه‌چیز در فضای آنلاین اتفاق می‌افتد. در ادامه با ما همراه شوید تا توضیح دهیم چطور می‌توان از اکانت پی‌پل خود محافظت نمود.
پی‌پل تا چه حدی امن است؟
به گزارش روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ در واقع، PayPal پلت‌فرم بسیار قابل‌اطمینانی است که سطح بالایی از امنیت را حفظ کرده و همواره سعی در ارتقای آن دارد. بنابراین، این شرکت برنامه‌ی رسمی‌ای دارد که در آن از هکرهای اصطلاحاً کلاه سفید برای کشف آسیب‌پذیری‌ها استفاده می‌شود. از سال 2018 برای این برنامه چیزی حدود 4 میلیون دلار هزینه شده است. این برنامه همچنین چندین سرویس دیگر را نیز که صاحبش پی‌پل است (مانند Venmo) تحت پوشش خود قرار می‌دهد. PayPal همچنین بسیار مسئولانه با داده‌های کاربران خود برخورد می‌کند: سال 2017 این شرکت گزارش مطمئنی از یک نشت اطلاعاتی دریافت کرد اما این نشتی در واقع شامل زیرساخت شرکتی می‌شد که پی‌پل آن زمان آن را خریده بود. تمامی پرداخت‌هایی که با پی‌پل انجام می‌شود بر اساس آدرس‌های ایمیل است؛ از این رو کاربران هرگز نیازی ندارند اطلاعات محرمانه کارت خود را با فروشندگان به اشتراک بگذارند. فارغ از بحث فناوری، نمی‌توان عامل انسانی را نادیده گرفت. هرچند پی‌پل برای امنیت‌دهی به تراکنش‌های کاربران خود اقدامات بسیاری انجام می‌دهد اما خود کاربران هم برخی‌اوقات دست به اشتباهاتی می‌زنند که برایشان گران تمام خواهد شد. برای جلوگیری از چنین پیامدهایی قوانین ساده‌ی زیر را دنبال کنید:
محافظت از اکانت پی‌پل
محافظت در برابر هک شدن در پی‌پل
نخست اینکه، مطمئن شوید اکانت PayPal شما پسورد مطمئنی داشته باشد. وقتی می‌گوییم مطمئن منظورمان پسوردهایی است بلند و منحصر به فرد که حدس زدنشان سخت باشد. اگر از پسورد ضعیف استفاده کنید و یا یک پسورد را برای کلی اکانت به کار گیرید پس اکانت PayPal شما در مقابل حملات جستجوی فراگیر یا دستکاری اعتبار آسیب‌پذیر خواهد بود. ساخت پسوردی خوب آنقدرها هم سخت نیست؛ روش‌های مخصوص به خود را دارد. بر فرض می‌توانید به مدیر کلمه عبور پناه آورید. مدیر کلمه عبور هر دو کار را انجام خواهد داد: تولید پسوردهای مطمئن و ذخیره‌ی امن آن‌ها. وقتی پای بحث پول و مال به میان می‌آید باید همیشه جانب احتیاط و امنیت را رعایت کرد. با پی‌پل شما می‌توانید کدهای یکبار مصرف در پیام‌های متنی دریافت کنید یا آن‌ها را در یک اپ تولید کنید- هر اپ تأیید اعتباری که بیشترین تناسب را با شما دارد. گزینه‌ی مبتنی بر اپ به طور کلی مطمئن‌تر تلقی می‌شود اما هر فاکتور ثانویه هم باز بهتر از این است که هیچ کاری نکنید؛ بنابراین اگر شدیداً استفاده از اپ تأیید اعتبار را دوست ندارید دست‌کم از کدهای یکبار مصرفی استفاده کنید که از طریق اس‌ام‌اس فرستاده می‌شوند.
در مورد سوال و جواب‌های محرمانه با احتیاط و دقت رفتار کنید. شاید فهمیدن نام مادربزرگ شما یا اسم اولین مدرسه‌تان از اکانت‌های شبکه‌ی اجتماعی‌ شما کار سختی نباشد؛ سوالاتی این چنین محافظت ضعیفی دارند. شما می‌توانید باهوش‌تر از این حرف‌ها باشید. برای مثال به جای استفاده از نام اولین مدرسه خود، جواب یکی از اقوام یا دوستان را پر کنید- فقط فراموش نکنید که جواب درست باید چه باشد. به دلایل امنیتی، توصیه ما این است که برای این منظور نیز از Password Manager استفاده کنید. این محصول همچنین یادداشت‌های رمزگذاری‌شده‌ی شما–و نه فقط پسوردها- را ذخیره می‌کند. افزون بر تأیید صحت اعتبار مطمئن شوید نوتیفیکیشن‌هایی راه‌اندازی شده تا برای شما بهترین عملکرد را داشته باشند. فعالسازی پیام‌های پوش موبایل در خصوص پرداختی‌های خروجی شاید کارامدترین اقدام از حیث امنیتی باشد. بدین‌ترتیب، اگر کسی به اکانت شما دستبرد زد و شروع کرد به خرج کردن پول شما حتماً به شما اطلاع داده شده و بلافاصله این روند متوقف خواهد شد. ضمیمه‌ای نه چندان بر پایه‌ی درک و شهود: گرچه نوتیفیکیشن‌ها را دریافت می‌کنید اما باید اکانت خود و تاریخچه تراکنش را هر از چند گاهی به صورت دستی چک کنید. اگر دید پی‌پل تراکنش‌هایی را که شما انجام نداده‌اید گزارش می‌دهد، پسورد و سوالات امنیتی خود را تغییر داده و بلافاصله با پشتیبانی پی‌پل تماس بگیرید.
محافظت در برابر آسیب‌پذیری در اپ‌های پی‌پل
نرم‌افزار به دست انسان‌ها نوشته می‌شود و انسان هم که اشتباه زیاد می‌کند. خطاها سپس به آسیب‌پذیری‌هایی تبدیل می‌شوند که مجرمان سایبری می‌توانند آن‌ها را اکسپلویت کنند. همانطور که در فوق بدان اشاره کردیم، پی‌پل برای سرچ چنین آسیب‌پذیری‌هایی کلی هزینه کرده است و شاید برای پالوده کرده محصولات و سیستم‌های خود حتی پول بیشتری هم بدهد! اما برای منابعی که پی‌پل دائماً جهت محافظت از شما سرمایه‌گذاری می‌کند شما هم می‌بایست قدمی بردارید. برای مثال، هرگز آپدیت‌های اپ اسمارت‌فون را رد نکنید (کاربران دسکتاپی باید از نسخه‌ی وبی پی‌پل استفاده کنند؛ پس اگر از آن استفاده می‌کنید دلیل دیگری برای هرگز رد نکردن آپدیت‌های مرورگر و سیستم‌عامل دارید). تمام آپدیت‌ها را به محض عرضه شدنشان نصب کنید. یادتان نرود که روی دستگاه‌هایی که برای پی‌پل استفاده می‌کنید –پی‌سی و اسمارت‌فونتان- اسکن‌های آنتی‌ویروس اجرا کنید. وقتی پولتان در خطر است هرگز بی‌احتیاطی پیشه نکنید.
محافظت در برابر حملات سایبری در پی‌پل
همیشه یادتان باشد که وای‌فای عمومی ناامن است. هرگز برای تراکنش‌های مالی بدون اینکه از بابت کانکشن امن خیالتان راحت باشد از وای‌فای عمومی استفاده نکنید. اگر مجبورید حین استفاده از وای‌فای رایگان در کافه یا فرودگاه تراکنشی را تکمیل کنید ابتدا وی‌پی‌انی مطمئن روشن کنید و بعد اپ پی‌پل خود را باز نمایید. حواستان به ایمیل‌های ورودی که ظاهراً از سمت پی‌پل هستند باشد؛ ممکن است تهدید فیشینگ باشند! PayPal مدت‌هاست جایگاه اول را در فهرست برندهایی دارد که تحت حمله‌ی هدف‌دار اسکم‌های جعلی ایمیل قرار گرفته‌اند؛ چرا که نه؟ یادتان هست که گفتیم کلاهبرداران اینترنتی پول را بو می‌کشند؟! برای شناسایی فیشینگ از تکنیک‌های استاندارد مشاهده استفاده کنید: آدرس فرستنده را به دقت بررسی کنید؛ همینطور هر لینک داخل پیام را. همچنان توصیه می‌کنیم روی هیچ لینکی کلیک نکنید. در عوض، آدرس پی‌پل را در مرورگر خود وارد نموده، لاگین کنید و چک کنید ببینید آیا در اکانت خود نوتیفیکیشنی دارید یا خیر. اگر خبری از نوتیفیکیشن نیست به احتمال زیاد ایمیل جعلی است. و مهمتر از همه اینکه هرگز اطلاعات محرمانه‌ی اکانت پی‌پل خود را –اگر حتی ذره‌ای نسبت به قانونی بودن ایمیل یا وبسایتی که با آن سر و کار دارید شک دارید- هرگز اطلاعات محرمانه‌ی اکانت پی‌پل خود را وارد نکنید. برخی استفاده از پی‌پل را از مرورگر یا حتی دستگاهی مجزا (که مشخصاً به همین منظور استفاده می‌شود) توصیه می‌کنند. البته به نظر این رویه، رویه‌ای سختگیرانه است. در عوض توصیه می‌کنیم از قابلیت Safe Money در Kaspersky Internet Security استفاده کنید تا مطمئن شوید پولتان هرگز وقتی دارید پرداختی را انجام می‌دهید سرقت نخواهد شد.

افشای رمزعبور بیش از ۹۰۰ وی‌پی‌ان

/در , , , , , /توسط
آسیب‌پذیری در محصول وی‌پی‌ان یک شرکت،‌ به مهاجمان اجازه می‌دهد تا از راه دور و به صورت غیرمجاز به شبکه‌ شرکت‌ها متصل شوند و تأیید هویت چندعاملی را غیرفعال کنند.
 
محققان امنیتی ابتدا در سال ۲۰۱۹ در خصوص یک آسیب‌پذیری که بر محصول وی‌پی‌ان شرکت Pulse Secure تأثیر می‌گذارد هشدار دادند، این آسیب‌پذیری به شدت بحرانی به مهاجمان اجازه می‌دهد تا از راه دور و به صورت غیرمجاز به شبکه‌ شرکت‌ها متصل شوند، تأیید هویت چندعاملی را غیرفعال کنند و از راه دور لاگ‌ها و گذرواژه‌هایی با متن ساده، ازجمله گذرواژه‌های حساب کاربری Active Directory را مشاهده کنند.
 
 در تاریخ ۴ آگوست ۲۰۲۰ یک هکر، لیستی از آدرس IP بیش از ۹۰۰ سرور Pulse Secure VPN و همچنین نام‌های کاربری و رمزهای عبوری که از الگویی ساده برای انتخاب کاراکترهای آن‌ها استفاده شده بود منتشر کرد که تحت تأثیر این آسیب‌پذیری بحرانی قرار گرفته‌اند.
 
کارشناسان امنیتی وب‌سایت زددی‌نت که نسخه‌ای از این لیست را با کمک شرکت اطلاعاتی KELA  به دست آورده است نیز صحت این موضوع را تأیید می‌کنند. این لیست شامل IP آدرس‌ سرورهای Pulse Secure VPN، سرور Pulse Secure VPN نسخه firmware، کلیدهای SSH هر سرور، لیستی از تمامی کاربران محلی و رمزهای عبور هش‌شده آن‌ها، جزئیات حساب کاربری مدیر، آخرین ورودهای  VPNشامل نام‌های کاربری و رمزهای عبوری که از الگویی ساده برای انتخاب کاراکترهای آن‌ها استفاده شده است وکوکی‌های VPN session می‌شود.
 
از بین ۹۱۳ آدرس IP منحصربه‌فرد پس از بررسی‌های صورت‌گرفته توسط اسکنرهای Bad Packets CTI  تعداد ۶۷۷ مورد از این آدرس‌ها در سال گذشته ‌هنگام اکسپلوت عمومی این آسیب‌پذیری، نسبت به آن آسیب‌پذیر بوده‌اند؛ همچنین در بین لیست منتشرشده، مشخص شده است که ۶۷۷ شرکت از نخستین اسکن Bad Packets در سال گذشته، هنوز وصله نشده‌اند.
 
حتی اگر این شرکت‌ها سرورهایPulse Secure خود را وصله کنند، جهت جلوگیری از سوءاستفاده هکرها، باید رمزهای عبور خود را تغییر دهند. لیست مذکور در یک تالار گفتگو در بین هکرها به اشتراک گذاشته شده است تا مورد سوءاستفاده قرار گیرد. بسیاری ازاین باندها با استفاده از سرورهای Pulse Secure VPN وارد شبکه‌های سازمانی شده و از قربانیان طلب باج خواهند کرد.
 
نکته مهم آن است که سرورهای Pulse Secure VPN معمولأ به عنوان gateway دسترسی به شبکه‌های شرکتی، مورد استفاده قرار می‌گیرند تا کارکنان آن‌ها بتوانند از طریق اینترنت و از راه دور به اپلیکیشن‌های داخلی وصل شوند.
 
تحلیل‌گری به نام Bank Security و کسی که در همان لحظات اولیه از لیست مذکور اطلاع پیدا کرد و آن را با زددی‌نت به اشتراک گذاشت، نظر جالبی درخصوص این لیست و محتوای آن بیان کرد. به گفته وی، تمامی سرورهای Secure VPN موجود در لیست، نسخه‌ای از firmware را اجرا می‌کنند که نسبت به این نقص آسیب‌پذیر هستند؛ وی معتقد است هکری که این لیست را منتشر کرده ، تمامی فضای آدرس IPv۴ اینترنت را برای سرورهای Pulse Secure VPN اسکن کرده است.
 
برای مقابله با این آسیب‌پذیری و جلوگیری از تحت تأثیر قرار گرفتن سرورها، اعلام شد که هرچه سریع‌تر وصله‌های امنیتی منتشر شده توسط Pulse Secure را اعمال کنید و اگر سازمان شما از Pulse Connect Secure  استفاده می‌کند، در اسرع وقت نسبت به اعمال وصله امنیتی منتشر شده اقدام کنید.
 

جریمه ۸۰ میلیون دلاری بانک آمریکایی به علت نشت داده های کاربران

/در , , , , , /توسط
بانک آمریکایی کپیتال وان به علت نشت اطلاعات خصوصی کاربران در سال 2019 باید جریمه ای 80 میلیون دلاری بپردازد.
 
 
 
 به نقل از انگجت، بانک کپیتال وان به علت سهل انگاری امنیتی و نشت اطلاعات خصوصی کاربران جریمه شده است.
 
بانک مذکور نتوانسته قبل از انتقال سیستم های کلیدی فناوری اطلاعات خود به فضای کلود یک سیستم ارزیابی خطر موثر طراحی کند و همین مساله مشکلات زیادی برای مشتریان بانک کپیتال وان ایجاد کرده و در نهایت به نشت اطلاعات منجر شده است.
 
سارق این اطلاعات پیگ تامپسون نام دارد که از بی دقتی بانک و پیکربندی اشتباه یک فایروال سوء استفاده کرده و توانسته اطلاعات مد نظر خود را سرقت کند. در نتیجه داده های شخصی و مالی ۱۰۰ میلیون نفر در آمریکا به دست هکرها و کلاهبرداران افتاده است. علاوه بر این شش میلیون نفر دیگر در کانادا نیز به همین علت دچار مشکل شده اند.
 
قرار است محاکمه این هکر در سال ۲۰۲۱ آغاز شود. یک سخنگوی بانک کپیتال وان در این مورد گفته است: ما در حال تقویت سیستم امنیتی و به روزرسانی منابع خود هستیم تا از تکرار رویدادهای مشابه جلوگیری کنیم.