ارائه سرویس های امنیتی حوزه فناوری اطلاعات در آزمایشگاه پژوهشکده امنیت

/در , , , /توسط
 
رییس اداره آزمایشگاه امنیت پژوهشکده امنیت پژوهشگاه ICT از ارائه خدمات و سرویس‌های امنیتی تخصصي در حوزه فناوری اطلاعات (IT) و در حوزه صنعت فناوری عامل (OT ) در این آزمایشگاه خبر داد.
 افشین سوزنی در خصوص فعالیت‌های در حال انجام در آزمایشگاه امنیت پژوهشگاه ICT گفت: این آزمایشگاه به عنوان آزمايشگاه مرجع در حوزه امنيت كشور، با اخذ تاييديه از مراكز ذي‌صلاح، مركز راهبردي افتا و سازمان فناوري اطلاعات ايران، خدمات و سرویس‌های امنیتی را به متقاضيان ارائه مي‌کند.
 
وی در خصوص اهداف و ماموريت آزمايشگاه اظهار کرد: دستيابي به اهداف تعيين شده در برنامه توسعه كشور، رسيدن به اقتصاد دانش‌بنيان در حوزه ارزيابي امنيتي، پرورش نيروي متخصص و كارآمد در حوزه امنيت و ارائه خدمات امنيتي جهت رشد و توسعه امنيت در كشور را از اهداف و ماموريت‌هاي آزمايشگاه برشمرد.
 
سوزنی با ارائه مصادیقی در این خصوص افزود: این آزمایشگاه با دارا بودن زيرساخت‌هاي لازم و پرسنل متخصص، براي مراكز دولتي، شركت‌هاي خصوصي و دانشگاه‌ها خدمات امنيتي را ارائه مي‌کند و قابلیت ارزیابی سامانه‌هاي كاربردي تحت وب و تجهيزات امنيتي مختلف شبكه مانند  UTM، Firewall.، SIEM، Switch   و... را دارا است.
 
وی اظهار کرد: در کنار اين خدمات و سرويس‌هاي امنيتي و ارزیابی برنامك‌هاي موبایل، ارزيابي عملكرد امنيت محصولات و تجهيزات نظارت تصويري و ارزيابي سامانه‌هاي هوشمند (صيانت فرهنگي/اجتماعي) نيز در آزمايشگاه امنيت پژوهشگاه به متقاضيان دريافت خدمت ارائه مي‌شود.
 
رییس اداره آزمایشگاه امنیت ICT در ادامه اين گزارش اعلام کرد: بخش ديگر فعاليت آزمايشگاه امنیت ارائه خدمات ارزيابي و مشاوره تخصصي در حوزه OT است.
 
سوزنی گفت: بيش از ۱۰ سال است كه پژوهشكده امنيت در اين حوزه فعاليت‌هاي خود را شروع کرده است و با توجه به تخصص و تجربه كسب شده در اين زمينه هم‌اكنون آماده ارائه خدمات مشاوره و ارائه خدمات و سرويس هاي ارزيابي امنيتي در حوزه صنعت OT است.  
 
رییس اداره آزمایشگاه امنیت پژوهشکده امنیت پژوهشگاه ICT تاکید کرد: آزمایشگاه ارزيابي امنيت تجهيزات و سامانه‌هاي كنترل صنعتي برای نخستین بار در كشور و با حمايت سازمان فناوري اطلاعات ايران در پژوهشگاه ارتباطات و فناوري اطلاعات راه‌اندازي شده است.  
 
سوزنی گفت: اين آزمايشگاه در راستاي چارچوب و ضوابط اعلامي از سوي مركز مديريت راهبردي افتا، پروفايل هاي حفاظتي و سند آزمون براي محصولات امنيت در حوزه صنعت توسط پژوهشكده امنيت عمل مي‌کند، بنابراين این امیدواری وجود دارد که در ۶ ماهه دوم سال جاري، تائیدیه ارائه خدمات از مراکز ذی صلاح در اين خصوص اخذ شده و خدمات مربوط به آن ارائه شود.
 
وی در ادامه اظهارات خود از ارائه خدمات آموزش و مشاوره در آزمایشگاه امنیت خبر داد و گفت: در راستاي ماموريت پژوهشكده امنيت و پیرو تفاهم نامه‌های منعقد شده از طرف پژوهشگاه با ديگر مجموعه‌ها، آزمايشگاه امنيت در برگزاري دوره‌هاي آموزشی تخصصي امنيت، ارائه مشاوره و ارائه خدمات و سرويس‌هاي امنيتي همكاري و فعاليت مي‌کند.
 
سوزنی همچنین به برخی از دستاوردها و افتخارات این مجموعه اشاره و اظهار کرد: بومي‌سازي و توليد سامانه‌هاي ارزيابي امنيت (سامانه امن جو و پدسا)، شركت فعال در کنفرانس های متعدد در حوزه امنيت و كسب رتبه‌هاي برتر در كنفرانس‌ها، همكاري در ايجاد مراكز ارزیابی امنیتی با نام «آپا» در دانشگاه‌هاي كشور براي اولين بار، چاپ و نشر كتب تخصصي در حوزه امنيت را از دستاوردها و افتخارات آزمايشگاه امنيت پژوهشگاه ارتباطات و فناوري عنوان کردند.

هشدار بانک مرکزی درباره افزایش سایت‌ها و درگاه‌های پرداخت تقلبی

/در , , , , /توسط
با توجه به افزایش تعداد سایت‌های جعلی در فضای پرداخت کشور، بانک مرکزی از دارندگان کارت‌های بانکی درخواست کرد هنگام انجام عملیات بانکی و خرید در فضای مجازی، توجه و دقت لازم را به عمل آورده و از ورود و افشای اطلاعات کارت خود در سایت‌های نامعتبر و مشکوک خودداری کنند.
 
 
 
بانک مرکزی در اطلاعیه‌ای نسبت به افزایش تعداد سایت‌های جعلی و درگاه‌های تقلبی هشدار داد.
 
در این اطلاعیه آمده است:«به اطلاع هم‌میهنان گرامی می رساند این بانک در راستای صیانت و محافظت از دارایی مشتریان و به منظور مقابله با سایت های جعلی و جلوگیری از فیشینگ درگاه های پرداخت همواره اقدام به شناسایی درگاه‌های تقلبی و پیگیری جهت مسدودسازی و غیرفعال شدن این درگاه‌های می‌نماید.
 
درگاه‌های جعلی پرداخت یا فیشینگ توسط مجرمان سایبری به منظور سرقت اطلاعات کارت مردم، طراحی شده و در اینترنت بارگذاری می‌شوند.
 
با توجه به اینکه اطلاعات کارت (شماره کارت، رمز دوم، تاریخ انقضا و کد CVV2 ) برای انجام تراکنش‌های کارتی اینترنتی مانند خرید و انتقال وجه کارت به کارت استفاده می‌شود، مجرمان همواره سعی در سرقت این اطلاعات با فریب مردم از طریق صفحات فیشینگ را دارند.
 
بانک مرکزی با همکاری بانک‌ها و موسسات اعتباری و شرکت‌های ارایه دهنده خدمات پرداخت اقدامات پیشگیرانه متعددی برای حفاظت از دارایی شهروندان در برابر این نوع کلاهبرداری ها به انجام رسانده اند که از آن جمله می‌توان به تجمیع درگاه‌های پرداخت معتبر ذیل دامنه شاپرک بکارگیری گواهی‌های امنیتی معتبر، ارایه رمز دوم پویا به مشتریان و رصد و پایش مستمر درگاه های پرداخت در فضای مجازی اشاره کرد.
 
 به موازات اقدامات پیشگیرانه فوق، این بانک با همکاری بانک‌ها و موسسات اعتباری، شرکت های ارایه دهنده خدمات پرداخت و شرکت های تابعه خود با رصد شبکه‌های اجتماعی و بهره گیری از قابلیت‌های مراکز رصد و پایش درگاه‌های شبکه پرداخت کشور و نیز تعامل با نهادهایی نظیر دادستانی، پلیس فتا و مرکز ماهر اقدام به مسدود سازی تعداد زیادی سایت جعلی کرده است.
 
در پایان از مشتریان بانک‌ها و موسسات اعتباری که اقدام به انجام تراکنش‌های اینترنتی می‌کنند درخواست می‌شود ضمن توجه به اعتبار درگاه‌های مورد استفاده در فضای مجازی از رمز دوم پویا که توسط بانک‌ها و موسسات اعتباری ارایه می‌شود استفاده کنند. امید است اقدامات انجام شده در کنار ارتقاء آگاهی عموم مشتریان بانک‌ها موجبات کاهش اقدامات مجرمانه در فضای مجازی را فراهم آورد».

‫ شناسایی آسیب پذیری حیاتی در میل سرور های EXIM (CVE-2019-16928

/در , , , , /توسط
بار دیگر آسیب پذیری حیاتی در سرویس‌دهنده‌ی ایمیل #‫exim شناسایی شده است. با سواستفاده از آن مهاجم می تواند کد های مخرب را با دسترسی root بر روی میزبان اجرا کند. نسخه‌های 4.92 تا 4.92.2 آسیب‌پذیر هستند.در صورت استفاده از این سرویس دهنده سریعا نسبت به بروزرسانی اقدام نمایید.
بر اساس بررسی و رصد مرکز ماهر ۶۰۰۰ آدرس IP و ۳۳۰۰۰۰ دامنه تحت تاثیر این آسیب‌پذیری در کشور شناسایی شده اند. شمار زیادی از این دامنه‌ها، دامنه‌های اشتراکی میزبانی شده توسط شرکت‌های میزبانی هستند که به واسطه استفاده از ابزار CPANEL تحت تاثیر این آسیب‌پذیری قرار دارند. اطلاع رسانی به صاحبان IP های آسیب‌پذیر در جریان است.

‫ اطلاعیه مرکز ماهر در خصوص دومین مرحله از مسابقات کشف باگ و آسیب‌پذیری

/در , , , , /توسط
دومین مرحله از مسابقات کشف باگ و آسیب‌پذیری مرکز ماهر با شرکت دو وبسایت دیگر سازمان فناوری اطلاعات ایران در سامانه کلاه‌سفید در جریان است.وبسایت‌های شرکت کننده در مسابقه: http://mob.gov.ir
https://payesh.iran.gov.ir
جزییات بیشتر را می توانید در صفحه‌ی مسابقات ملاحظه کنید:
https://kolahsefid.cert.ir/Contest/276.html
https://kolahsefid.cert.ir/Contest/279.ht

اظهارات بیژن زنگنه در خصوص ضرورت هوشیاری صنعت نفت در برابر تهدیدهای سایبری

/در , , , , , , /توسط

وزیر نفت در پیامی با تبریک روز ملی آتش‌نشانی و ایمنی  تاکید کرده که همه شرکت‌ها و تاسیسات صنعت نفت در شرایطی که تحریم‌ها صنعت نفت را نشانه گرفته است، در برابر تهدیدهای فیزیکی و سایبری هوشیاری کامل داشته باشند.

وزیر نفت در این پیام آورده است که رشادت آتش‌نشانان صنعت نفت در هفتمین روز مهرماه سال ۱۳۵۹، مقارن با نخستین روزهای دفاع مقدس، نماد درخشان پایمردی و از خودگذشتگی کارکنان خدوم و وظیفه شناسی این صنعت در حفاظت از تاسیسات است و این روحی ارزشمند در برهه‌های مختلف و دشوار این صنعت چه در دوران دفاع مقدس و چه پس از آن متجلی است.
 
زنگنه در ادامه گفته که همکاران عزیز، تحریم‌های ظالمانه دشمنان در یک جنگ تمام عیار اقتصادی، صنعت نفت را که پیشران و محرک اقتصاد کشور است، نشانه گرفته و شرایطی خاص را رقم زده است. در این شرایط لازم است در همه شرکت‌ها و تاسیسات صنعت نفت، هوشیاری کامل در برابر تهدیدهای فیزیکی و سایبری ایجاد و تمهیدات مدیریتی، فنی و عملیاتی لازم برای حفاظت از تاسیسات و سرمایه‌های فیزیکی، ارتقای تاب‌آوری و پایداری در زنجیره ارزش از بالادست تا پایین‌دست صنعت نفت به صورت یکپارچه و باتوجه ویژه به رویکردهای پیشگیرانه ایمنی و کنترل‌های دقیق عملیاتی، اتخاذ شود.
 
وی با تاکید بر ضرورت توجه همه شرکت‌ها و تاسیسات تابعه صنعت نفت با سرلوحه قرار دادن مفاد شیوه‌نامه ابلاغی مدیریت شرایط اضطراری در صنعت نفت و رویه‌ها و شیوه‌نامه‌های تکمیلی مرتبط، تاکید کرده که تدابیر لازم به‌منظور آمادگی کامل برای مواجهه با وضعیت‌های اضطراری و به حداقل رساندن هرگونه صدمه و آسیب به کارکنان، تاسیسات و جامعه محلی را با محوریت اصلی فرماندهی واحد به کار گیرند.
 
زنگنه در پایان ضمن قدردانی از تلاش‌های مستمر و شبانه‌روزی یکایک کارکنان صنعت نفت، از مدیران همه شرکت‌ها و واحدهای صنعت نفت اعم از دولتی و غیردولتی خواسته تا با بهره‌گیری از توانمندی‌های ارزشمند سرمایه انسانی، تدابیر و اقدام‌های لازم را برای تحقق موارد فوق به‌کار گیرند.

راه‌حل ضد تقلب کسپرسکی برای ورزش‌های الکترونیکی

/در , , , , /توسط
آن زمان که گیم‌های ویدیویی فقط یک سرگرمیِ خانگی بودند، هیچکس اهمیت نمی‌داد بازیکنان جرزنی می‌‌کنند یا نه. حتی وقتی حالت بازی‌های چندنفره هم باب شد باز معدود افرادی بودند که بخواهند به این مسائل اهمیت دهند. اما با پیشرفت esports ورق برگشت؛ حالا دیگر تقلب و جرزنی در بازیست که نه فقط عمده مشکلِ بازیکن‌ها که همچنین دغدغه‌ی متصدیان، حامیان مالی و میلیون‌ها بیننده است.
روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ نگوییم که این وسط صنعت شرط‌بندی چقدر سرِ بُرد و باخت این بازی‌ها خونِ دل می‌خورد. از اینها گذشته، پول جایزه‌ای که برای این رقابت‌ها در نظر دیده شده است نیز می‌تواند به خطر بیافتد.  
مسیر از کجا می‌تواند منحرف شود؟  
بیشترِ گیم‌ها با میزبانیِ سرورها و یا در سرویس‌های کلود انجام می‌شوند. بنابراین شاید خیلی‌ها فکر کنند دیگر خبری از جرزنی و تقلب در بازی نیست اما طبق معمول همه‌چیز همیشه هم آنقدر ساده و قابل‌فهم نیست؛ گاهی مسائل پیچیده می‌شوند و دور از انتظار. در بسیاری از بازی‌ها، برنامه‌ی کلاینت، اطلاعاتی بیش از حدِ مجاز بازیکن برای دیدن دریافت می‌کند. برای مثال، برنامه دقیقاً می‌داند دو رقیب بازی کجای کارند و با یکدیگر چند چندند. طبیعی است که طرفداران دوآتشه‌ی تکنولوژی پی بردند چطور می‌شود از این اطلاعات برای جرزنی کردن در بازی استفاده کرد.
بازیکن‌ها با جرزنی می‌توانند حریفان خود را از پشت دیوارها و سایر مناظر ببینند و هیچ کمینگاهی برایشان باقی نگذراند. اگر برنامه به مختصاتِ دقیقِ حریف واقف باشد، ساخت قابلیتی با هدف خودکار برای شلیک مستقیم به سرِ دشمن چندان هم کار سختی نخواهد بود. علاوه بر اینها، جرزنی می‌تواند به طور اتوماتیک، پاسخی باشد به رویدادهای درون-گیمی (آن هم با سرعتی خیلی بیشتر از آنچه انسان در توان دارد).
تقلب‌ در تورنومنت‌ها
خوشبختانه، در رویدادهای مهم گیمینگ خیلی سخت می‌شود جرزنی و تقلب کرد. اول از همه اینکه، این گیم‌ها روی دستگاه‌های ناظران بازی اتفاق می‌افتند. دوم اینکه تماشاگران، کارشان نظارت بر روی رفتار بازیکن است. و سوم اینکه کلی تماشاگرِ حرفه‌ای آنجا هستند که می‌توانند بازی فول را در لحظه تشخیص دهند. با این حال، بازیکنان سرکش همچنان به جرزنی و تقلب خود در گیم ادامه می‌دهند.
برای بازیکنان مبتدی، بسیاری از رویدادها ابتدا با سنجش صلاحیتِ رقابت‌ها شروع می‌شود که بازیکنان در آن از کامپیوترهای خانگی خود استفاده می‌کنند. گرچه آن‌ها در این مرحله چندان هم نمی‌توانند امتیاز کسب کنند اما بازیکنان همچنین فرصت‌های بیشتری برایشان پیش می‌آید تا دست به جرزنی و تقلب بزنند. حذف تیمی قوی در راندهای سنجش صلاحیت فقط می‌تواند شانس‌شان را در مراحل بعدی بالاتر ببرد. وبسایت‌های هوادار دائماً فهرست‌هایی از متقلبینی را که دستشان رو شده و از بازی کنار گذاشته شدند منتشر می‌کنند. برای مثال اینجا فهرستی است از بازیکنانی که از کانتر-استراک: تورنومنت‌های گلوبال آفنسیو حذف شدند. همانطور که مستحضر هستید، اکثر آن‌ها به خاطر جرزنی و تقلب کنار گذاشته شدند.
 
 
چرا داریم در موردش می‌نویسیم
تقلب در ورزش‌های الکترونیکیِ حرفه‌ای اساساً نوع دیگریست از یک تهدید سایبری. تقلب‌های نرم‌افزاری چندان هم توفیری با بدافزارها ندارند. علاوه بر اینها، بسیاری از کارمندان کسپرسکی، خود طرفداران پر و پا قرص گیمینگ حرفه‌ای‌ هستند. آن‌ها زود متوجه شدند که فناوری‌های شناسایی حملات سایبریِ ما می‌تواند طوری تغییر داده شوند تا بشود از طریقشان به گندکاری‌هایی که در رویدادهای ورزش‌های الکترونیکیِ حرفه‌ای رخ می‌دهد پی برد.
قدم بعدی هم طبیعتاً ساخت سیستمی ضد تقلب بود که باید ناظرین  e-sports آن را استفاده می‌کردند. راه‌حل ما مبتنی بر کلود است و کارش نظارتِ در لحظه‌ی تقلب‌ها در طول رقابت است. این راه‌حل به درستی و بر حق در مورد جرزنی‌ها قضاوت می‌کند و تأیید فنی را در اختیار مسئولین قرار می‌دهد. گرچه در نهایت نیرویی انسانی باید آخرین قضاوت را داشته باشد؛ اما این سیستم می‌تواند تشخیص بازیِ جرزنی‌شده را بسیار آسانتر کند. و از همه مهمتر، سیستم ما هیچ تأثیری بر روی عملکرد بازی و یا گیم‌پلی نمی‌گذارد؛ تمام محاسبات اعدادی روی سرورهای کلود صورت می‌گیرد و نه دستگاه‌های بازیکن.
در حال حاضر، راه‌حل ضد تقلبِ کسپرسکی دو تا از محبوب‌ترین رقابت‌های e-sports را پوشش می‌دهد: Counter-Strike: Global Offensive  و  PlayerUnknown’s Battlegrounds؛ اما در نظر داریم این فهرست را بلندبالاتر کنیم.

رفع نقص XSS در WORDPRESS

/در , , , , /توسط
تجزیه و تحلیل محققان خبر از وجود یک #‫آسیب‌پذیری اسکریپت‌نویسی متقابل ذخیره‌شده (Stored Cross-Site Scripting) در WordPress می‌دهد که می‌تواند منجر به اجرای کد راه‌دور drive-by شود.
حمله‌ی drive-by زمانی رخ می‌دهد که دشمن از طریق ملاقات کاربر از مرورگر وب طی یک جستجوی نرمال، به سیستم دسترسی یابد.
این آسیب‌پذیری که با شناسه‌ی CVE-2019-16219 ردیابی می‌شود، در ویرایشگر داخلی Gutenburg که در نسخه‌های WordPress 5.0 و بالاتر وجود دارد، یافت شده است. به گفته‌ی Zhouyuan Yang در آزمایشگاه Forti Gaurd، در صورت وجود یک پیغام خطای “Shortcode”، Gutenburg نمی‌تواند کد JavaScript/HTML یک پست را فیلتر کند.
Shortcodeها میانبرهای ضروری هستند که کاربران WordPress می‌توانند به‌منظور تعبیه‌کردن فایل‌ها یا ساخت اشیایی که به صورت نرمال نیاز به کد پیچیده‌تری برای انجام دادن دارند، به کار گیرند. بلوک‌های Shortcode می‌توانند با کلیک بر روی گزینه‌ی “Add Block button” درون ویرایشگر Gutenburg، به یک صفحه اضافه شوند.
با این حال، با اضافه‌کردن برخی کاراکترهای رمزگذاری‌شده‌ی HTML (مانند ‘<’) به خود بلوک Shortcode و سپس بازکردن دوباره‌ی پست، کاربران یک پیغام خطایی دریافت خواهند کرد.
Wordpress پست را با رمزگشایی ‘<’ به ‘<”,”’ به نمایش می‌گذارد. فیلتر XSS در این پیش‌نمایش می‌تواند به‌راحتی با اضافه‌کردن کد اثبات مفهوم ‘>img src=1 onerror-prompt(1)>.’ به پست، دور زده شود. از آن پس، هر بازدیدکننده‌‌‌ی سایت که این پست را مشاهده می‌کند، کد XSS در مرورگرش اجرا خواهد شد.
این امر به یک مهاجم راه‌دور با مجوز «مشارکت‌کننده» (contributor) یا بالاتر اجازه می‌دهد کد دلخواه JavaScript/HTML را در مرورگر قربانیانی که به صفحه وب آسیب‌پذیر دسترسی دارند، اجرا کند. تا زمانی که مهاجم دارای نقش مشارکت‌کننده در یک صفحه وب WordPress آسیب‌پذیر است، می‌تواند از این نقص سوءاستفاده کند. مهاجمان همچنین می‌توانند خودشان وب‌سایتی بسازند یا ابتدا یک وب‌سایت قانونی را جهت تزریق کد در معرض خطر قرار دهند. از آن پس تنها لازم است قربانیان فریب‌خورده، صفحه‌ی در معرض خطر را به‌منظور اجرای کد مخرب ملاقات کنند.
آسیب‌پذیری اسکریپت‌نویسی متقابل ذخیره‌شده (XSS ذخیره‌شده)، شدیدترین نوع XSS است. XSS ذخیره‌شده زمانی اتفاق می‌افتد که یک برنامه‌ی کاربردی تحت وب داده‌های ورودی را از یک کاربر جمع‌آوری کند و آن داده‌ها را برای استفاده‌ی بعدی ذخیره سازد. اگر این داده‌ها به‌درستی فیلتر نشوند، داد‌ه‌های مخرب بخشی از وب‌سایت را تشکیل خواهند داد و درون مرورگر کاربر، تحت امتیازات برنامه‌ی کاربردی تحت وب، اجرا می‌شوند.
آسیب‌ دیگری که این نقص دارد این است که اگر قربانی دارای مجوز بالا باشد، مهاجم حتی می‌تواند کارگزار وب آن‌ها را در معرض خطر قرار دهد.
این نقص از نظر شدت، «متوسط» رتبه بندی شده است و دارای رتبه‌ی 6.1 در مقیاس 10 است.
این آسیب‌پذیری در نسخه‌های WordPress 5.0 تا 5.0.4، 5.1 و 5.1.1 یافت شده است و در ماه سپتامبر سال 2019، با انتشار نسخه‌ی WordPress 5.2.3، وصله شده است.
این نقص XSS، تنها نقص XSS وصله‌شده در بستر WordPress نیست؛ این به‌روزرسانی آسیب‌پذیری‌های XSS یافت‌شده در پیش‌نمایش‌های پست توسط مشارکت‌کنندگان، در نظرات ذخیره‌شده، در حین بارگزاری رسانه‌ها، در داشبود و در حین پاکسازی URL را نیز برطرف ساخته است.
نقص‌های XSS در WordPress و افرونه‌های مختلف، به آسیب‌زدن به این معروف‌ترین سیستم مدیریت محتوا در جهان که 60.4 درصد از سهم بازار CMS را به خود اختصاص داده‌است، ادامه می‌دهند. حدود یک سوم تمامی وب‌سایت‌های اینترنتی بااستفاده از WordPress ساخته شده‌اند.
به مدیران وب‌سایت‌ها توصیه می‌شود به‌روزرسانی منتشرشده جهت رفع این آسیب‌پذیری را در اسرع وقت به‌کار گیرند.

‫ هشدار! گسترش حملات باج‌افزاری در بین کاربران خانگی

/در , , , /توسط
مشاهدات صورت گرفته نشان می‌دهد که در بازه زمانی یک‌ماهه اخیر، با رشد و گسترش باج‌افزارهایی همچون STOP/Djvu که کابران خانگی را مورد حمله قرار می‌دهند، شدت این حملات بیشتر شده است. بررسی‌ها نشان می‌دهد که از عمده دلایل آلوده شدن این رایانه‌ها کلیک بر روی لینک‌های آلوده، دریافت فایل‌های اجرایی مخرب، کرک‌ها و نرم‌افزارهای فعال‌ساز و همچنین ماکروهای آلوده موجود در فایل‌های محصولات ادوبی و آفیس با پسوندهای pdf, doc, ppt و ... می‌باشند.
برای جلوگیری از آلوده شدن رایانه‌های شخصی و کاربران خانگی و همچنین کاهش آسیب‌های ناشی از حملات باج‌افزاری توصیه می‌گردد:
1. نسبت به تهیه نسخه‌های پشتیبان از اطلاعات ارزشمند و نگهداری به صورت غیر برخط اقدام نمایند.
2. از باز کردن پیام‌های مشکوک در محیط‌های مختلف از جمله ایمیل، پیام‌رسان‌ها و شبکه‌های اجتماعی پرهیز نمایند.
3. از دریافت فایل‌های اجرایی از منابع ناشناس پرهیز نمایند. به طور ویژه از دریافت کرک نرم‌افزارها خصوصاً فعال‌سازهای ویندوز و محصولات آفیس خودداری نمایند.
4. از به‌روز بودن سیستم‌عامل و محصولات ضدویروس اطمینان حاصل نمایند. لازم به یادآوری است که در بسیاری از موارد، ضدویروس‌ها از از تشخیص به‌هنگام باج‌افزارها ناتوان هستند. دلیل این موضوع گسترش کاربرد RaaS در بین باج‌افزارهای امروزی می‌باشد. مفهوم RaaS یا "باج‌افزار به عنوان یک خدمت" زمانی به کار برده می‌شود که گروهی نسبت به تهیه بستر حمله یعنی فایل‌های مخرب و بستر ارتباطی اقدام کرده و طیف گسترده‌ای از مهاجمین عموماً با دانش پایین‌تر با در اختیار گرفتن انواع فایل‌های جدید و سفارشی‌سازی شده که تا آن لحظه توسط هیچ ضدویروسی مشاهده نشده است، اقدام به حمله می‌نمایند.
5. همواره نسبت به علائم آلودگی باج‌افزار از قبیل تغییر پسوند فایل‌ها، پیغام باج‌خواهی، کاهش محسوس سرعت سیستم‌عامل و ... حساسیت داشته و در صورت مشاهده موارد مشکوک به آلودگی، قبل از هر اقدامی از خدمات مشاوره‌ای مرکز ماهر در این زمینه استفاده نمایند.

آموزش بهینه‌ تعاملات سازمانی به تیم امنیتی، طی حمله‌ی سایبری

/در , , , /توسط
آن روز را به خاطر دارم؛ انگار همین دیروز بود: مدیر عامل اجرایی‌مان مرا به دفترش خواند و از من خواهش کرد تا لپ‌تاپ و اسمارت‌فونم را روی میزم بگذارم. خیلی رک و راست گفت: «ما هک شدیم. بررسی‌ها همچنان ادامه داره اما می‌‌شه تا اینجای کار تأیید کرد که تو محیط داخلی شرکت یک مهاجم نفوذیِ فعال، به شدت سرسخت و پیچیده، تحت حمایت دولت داریم».
روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ راستش را بخواهید، خیلی هم غیرمنتظره نبود. متخصصین ما چند وقتی می‌شد که داشتند با نقض امنیتیِ کلاینت‌هایمان دست و پنجه نرم می‌کردند و البته شرکت ما که اساساً شرکتی فعال در حوزه‌ی امنیتی است اصلی‌ترین هدف بود. با این حال، غافلگیریِ بدی بود: کسی بیاید و امنیت اطلاعات لایه‌های دفاعی شرکت را مورد تجاوز قرار دهد. در ادامه با ما همراه شوید تا به سوالی که فوراً در ذهن ایجاد می‌شود بپردازیم: «چطور می‌شود با چنین حادثه‌ای کنار آمد؟»
5 مرحله‌ی اطلاع‌رسانی در مورد مسئله: انکار، خشم، چانه‌زنی، افسردگی و پذیرش.
این حقیقت است -هرچند شاید غافلگیرکننده باشد- که پیش از GDPR هر سازمانی انتخاب می‌کرد حادثه‌ی پیش‌آمده را همگانی و علنی کند و یا همچنان آن را باور نکرده و انکارش کند. کسپرسکی اما اهل انکار نیست؛ این شرکت امنیت سایبری عادت دارد بی‌پرده و شفاف‌سازی‌شده برنامه‌های خود را پیش ببرد. ما مدیران ارشد همگی اتفاق نظر داشتیم تا این مسئله را علنی کنیم؛ که البته کار درستی هم بود، خصوصاً اینکه شاهد بودیم چطور شکاف ژئوپولیتیک داشت عمیق‌تر می‌شد و می‌دانستیم قدرت‌های بزرگِ دخیل در این حمله‌ی سایبری آماده‌اند تا این نقض را چماغی کنند بر سرمان- تنها چیزی که در موردش مطمئن نبودیم زمان و چگونی‌اش بود.  ما با علنی کردن این حادثه نه تنها آن‌ها را از این فرصت محروم نمودیم، که همچنین این واقعه را به نفع خود نیز تمام کردیم.
گفته می‌شود دو نوع سازمان داریم- سازمان‌هایی که هک شدند و سازمان‌هایی که حتی روحشان هم خبر ندارد هک شدند. در این قلمرو، الگوی ساده‌ای حاکم است: شرکت نباید نقض امنیتی‌اش را پنهان کند. علنی کردن این موضوع شرف دارد به خدشه‌دار کردن امنیت سایبری کلی شرکا و مشتری. 
خوب بیایید برگردیم به ماجرای خودمان. وقتی طرف‌های دخیل در شرکت‌مان را راه انداختیم –تیم‌های حقوقیِ امنیت اطلاعات برای دست و پنجه نرم کردن با بخش ارتباطات، فروش، بازاریابی و پشتیبانی فنی- شروع کردیم به آماده‌سازی اطلاع‌رسانیِ رسمی و Q&A (پرسش و پاسخ)- که کار بسیار خسته‌کننده‌ای بود. در آنِ واحد بررسی‌های خود را توسط متخصصین تیم GReAT کسپرسکی ادامه دادیم. اعضای تیم دخیل در این ماجرا تمام اطلاع‌رسانی‌ها را بر روی کانال‌های رمزگذاری‌شده انجام دادند تا حتی یک‌درصد هم به این پژوهش دستبرد زده نشود. منتها گذاشتیم تمام بخش پاسخ‌ها پوشش داده شود تا بعد آماده‌ی اعلام علنی شویم.
در پی این اقدام، رسانه‌های مختلف چیزی حدود 2000 خبر مبنی بر نقض امنیت در کسپرسکی منتشر کردند. بیشتر این خبرها (95 درصد) خنثی بودند و تعداد خبرهای غرض‌مند و جهت‌دهی‌ داده‌‌شده به طور قابل ملاحظه‌ای کم بود (کمتر از 3 در صد). تعادل این پوشش‌ خبری قابل‌درک است؛ رسانه‌ها موضوع را از سمت ما، شرکای ما و سایر محققین امنیتی که با اطلاعات صحیح سر و کار دارند فهمیدند. من آمار دقیق را ندارم اما از طرز واکنش رسانه‌ها به ماجرای حمله‌ی باج‌افزاری به نورسک هیدرو -شرکت نروژیِ تولیدکننده‌ی آلومینیوم- در اوایل سال جاری معلوم بود برخی از پوشش‌های خبری بی‌کیفیت و غرضمند بوده است. برای همین شاید خیلی از شرکت‌ها دوست نداشته باشند رازشان را برملا کنند.
عبرت گرفتن و گذر کردن
خبر خوب اینکه ما از حمله‌ی سایبریِ سال 2015 نه تنها توانستیم از قابلیت‌های فنی پیشرفته‌ترین عاملین تهدید سایبری پی ببریم که همچنین یاد گرفتیم چطور باید بدان‌ها واکنش نشان داده و آن را به طور عمومی علنی کنیم. 
ما وقت داشتیم تا تماماً این حمله را مورد بررسی قرار دهیم و از آن درس بگیریم. وقت داشتیم از خشممان عبور کنیم و مراحل چانه‌زنی را از سر بگذرانیم- منظورم همان پذیرش و آماده‌سازی برای علنی کردن اتفاق است. و در طول همه‌ی اینها تعاملمان با افراد فعال در بخش امنیت سایبری و متخصصین سازمانی بخش ارتباطات همواره جریان داشت. امروزه، مدت زمان علنی کردن نقض بسیار کوتاه شده است: برای مثال، GDPR همه‌ی شرکت‌هایی که کارشان با اطلاعات مشتریان است ملزم کرده که نه تنها مقامات را در جریان هر گونه نقض امنیتی بگذارند که همچنین باید این کار را در بازه‌ی زمانی کوتاه 72 ساعت انجام دهند. و شرکتی که مورد حمله‌ی سایبری قرار گرفته می‌بایست از همان لحظه که به مقامات اطلاع می‌دهد خودش را برای علنی کردن این ماجرا آماده کند.
« در این خصوص باید با چه افراد درون‌سازمانی‌ای ارتباط برقرار کرد؟ از چه کانال‌هایی می‌شود استفاده کرده و باید از چه چیزهایی خودداری نمود؟ نحوه‌ی اقدام باید چگونه باشد؟» این سوالات و کلی پرسش‌های دیگر چیزی بود که ما می‌بایست در طول بررسی‌های خود بدان‌ها پاسخ می‌دادیم. این اطلاعات چیزی که نیست که براحتی بشود پیدا کرد، ما برای بدست آوردنش زحمت کشیدیم و حالا با افتخار این داده‌های ارزشمند و تجربه‌ی گرانبها را در سرویسی به نام Kaspersky Incident Communications Service ارائه داده‌ایم. این سرویس علاوه بر آموزش استاندارد توسط متخصصین معتبر ارتباطات که بخش استراتژی را پوشش داده و پیام‌رسانی برون‌سازمانی را توصیه می‌کند، همچنین فرصت‌هایی را در اختیار قرار می‌دهد تا بتوانید نکاتی از متخصصین GReAT ما بیاموزید. آن‌ها در مورد ابزارها و پروتکل‌های ارتباطاتی اطلاعات بسیار به روزی داشته و می‌توانند نحوه‌ی واکنش‌دهی به چنین وضعیت‌های بحرانی (نقض اطلاعات و امنیت) را به شما مشاوره دهند.

گزارش اصلاحیه امنیتی مایکروسافت در ماه سپتامبر ۲۰۱۹

/در , , , /توسط
مایکروسافت آخرین به‌روزرسانی را برای آسیب‌پذیری‌های نرم‌افزارها و سیستم‌عامل‌های این شرکت منتشر کرده است. به‌روزرسانی‌ امنیتی در ماه سپتامبر سال 2019 برای محصولات در درجه حساسیت بحرانی به صورت زیر بوده است:
 
Microsoft Windows
Internet Explorer
Microsoft Edge
ChakraCore
Microsoft SharePoint
Azure DevOps Server
و همچنین برای Adobe Flash Playerیک بروزرسانی با شناسه ADV190022ارائه شد.
 
وصله امنیتی هر کدام از آسیب‌پذیری‌ها بر اساس نسخه خاصی از سیستم‌عامل نوشته شده است. کاربر می‌بایست با استفاده از فرمان winverدر CMDنسخه سیستم‌عامل خود را بدست آورد سپس وصله امنیتی مورد نظر خود را دانلود نماید.