رییس اداره آزمایشگاه امنیت پژوهشکده امنیت پژوهشگاه ICT از ارائه خدمات و سرویسهای امنیتی تخصصي در حوزه فناوری اطلاعات (IT) و در حوزه صنعت فناوری عامل (OT ) در این آزمایشگاه خبر داد.
افشین سوزنی در خصوص فعالیتهای در حال انجام در آزمایشگاه امنیت پژوهشگاه ICT گفت: این آزمایشگاه به عنوان آزمايشگاه مرجع در حوزه امنيت كشور، با اخذ تاييديه از مراكز ذيصلاح، مركز راهبردي افتا و سازمان فناوري اطلاعات ايران، خدمات و سرویسهای امنیتی را به متقاضيان ارائه ميکند.
وی در خصوص اهداف و ماموريت آزمايشگاه اظهار کرد: دستيابي به اهداف تعيين شده در برنامه توسعه كشور، رسيدن به اقتصاد دانشبنيان در حوزه ارزيابي امنيتي، پرورش نيروي متخصص و كارآمد در حوزه امنيت و ارائه خدمات امنيتي جهت رشد و توسعه امنيت در كشور را از اهداف و ماموريتهاي آزمايشگاه برشمرد.
سوزنی با ارائه مصادیقی در این خصوص افزود: این آزمایشگاه با دارا بودن زيرساختهاي لازم و پرسنل متخصص، براي مراكز دولتي، شركتهاي خصوصي و دانشگاهها خدمات امنيتي را ارائه ميکند و قابلیت ارزیابی سامانههاي كاربردي تحت وب و تجهيزات امنيتي مختلف شبكه مانند UTM، Firewall.، SIEM، Switch و... را دارا است.
وی اظهار کرد: در کنار اين خدمات و سرويسهاي امنيتي و ارزیابی برنامكهاي موبایل، ارزيابي عملكرد امنيت محصولات و تجهيزات نظارت تصويري و ارزيابي سامانههاي هوشمند (صيانت فرهنگي/اجتماعي) نيز در آزمايشگاه امنيت پژوهشگاه به متقاضيان دريافت خدمت ارائه ميشود.
رییس اداره آزمایشگاه امنیت ICT در ادامه اين گزارش اعلام کرد: بخش ديگر فعاليت آزمايشگاه امنیت ارائه خدمات ارزيابي و مشاوره تخصصي در حوزه OT است.
سوزنی گفت: بيش از ۱۰ سال است كه پژوهشكده امنيت در اين حوزه فعاليتهاي خود را شروع کرده است و با توجه به تخصص و تجربه كسب شده در اين زمينه هماكنون آماده ارائه خدمات مشاوره و ارائه خدمات و سرويس هاي ارزيابي امنيتي در حوزه صنعت OT است.
رییس اداره آزمایشگاه امنیت پژوهشکده امنیت پژوهشگاه ICT تاکید کرد: آزمایشگاه ارزيابي امنيت تجهيزات و سامانههاي كنترل صنعتي برای نخستین بار در كشور و با حمايت سازمان فناوري اطلاعات ايران در پژوهشگاه ارتباطات و فناوري اطلاعات راهاندازي شده است.
سوزنی گفت: اين آزمايشگاه در راستاي چارچوب و ضوابط اعلامي از سوي مركز مديريت راهبردي افتا، پروفايل هاي حفاظتي و سند آزمون براي محصولات امنيت در حوزه صنعت توسط پژوهشكده امنيت عمل ميکند، بنابراين این امیدواری وجود دارد که در ۶ ماهه دوم سال جاري، تائیدیه ارائه خدمات از مراکز ذی صلاح در اين خصوص اخذ شده و خدمات مربوط به آن ارائه شود.
وی در ادامه اظهارات خود از ارائه خدمات آموزش و مشاوره در آزمایشگاه امنیت خبر داد و گفت: در راستاي ماموريت پژوهشكده امنيت و پیرو تفاهم نامههای منعقد شده از طرف پژوهشگاه با ديگر مجموعهها، آزمايشگاه امنيت در برگزاري دورههاي آموزشی تخصصي امنيت، ارائه مشاوره و ارائه خدمات و سرويسهاي امنيتي همكاري و فعاليت ميکند.
سوزنی همچنین به برخی از دستاوردها و افتخارات این مجموعه اشاره و اظهار کرد: بوميسازي و توليد سامانههاي ارزيابي امنيت (سامانه امن جو و پدسا)، شركت فعال در کنفرانس های متعدد در حوزه امنيت و كسب رتبههاي برتر در كنفرانسها، همكاري در ايجاد مراكز ارزیابی امنیتی با نام «آپا» در دانشگاههاي كشور براي اولين بار، چاپ و نشر كتب تخصصي در حوزه امنيت را از دستاوردها و افتخارات آزمايشگاه امنيت پژوهشگاه ارتباطات و فناوري عنوان کردند.
هشدار بانک مرکزی درباره افزایش سایتها و درگاههای پرداخت تقلبی
با توجه به افزایش تعداد سایتهای جعلی در فضای پرداخت کشور، بانک مرکزی از دارندگان کارتهای بانکی درخواست کرد هنگام انجام عملیات بانکی و خرید در فضای مجازی، توجه و دقت لازم را به عمل آورده و از ورود و افشای اطلاعات کارت خود در سایتهای نامعتبر و مشکوک خودداری کنند.
بانک مرکزی در اطلاعیهای نسبت به افزایش تعداد سایتهای جعلی و درگاههای تقلبی هشدار داد.
در این اطلاعیه آمده است:«به اطلاع هممیهنان گرامی می رساند این بانک در راستای صیانت و محافظت از دارایی مشتریان و به منظور مقابله با سایت های جعلی و جلوگیری از فیشینگ درگاه های پرداخت همواره اقدام به شناسایی درگاههای تقلبی و پیگیری جهت مسدودسازی و غیرفعال شدن این درگاههای مینماید.
درگاههای جعلی پرداخت یا فیشینگ توسط مجرمان سایبری به منظور سرقت اطلاعات کارت مردم، طراحی شده و در اینترنت بارگذاری میشوند.
با توجه به اینکه اطلاعات کارت (شماره کارت، رمز دوم، تاریخ انقضا و کد CVV2 ) برای انجام تراکنشهای کارتی اینترنتی مانند خرید و انتقال وجه کارت به کارت استفاده میشود، مجرمان همواره سعی در سرقت این اطلاعات با فریب مردم از طریق صفحات فیشینگ را دارند.
بانک مرکزی با همکاری بانکها و موسسات اعتباری و شرکتهای ارایه دهنده خدمات پرداخت اقدامات پیشگیرانه متعددی برای حفاظت از دارایی شهروندان در برابر این نوع کلاهبرداری ها به انجام رسانده اند که از آن جمله میتوان به تجمیع درگاههای پرداخت معتبر ذیل دامنه شاپرک بکارگیری گواهیهای امنیتی معتبر، ارایه رمز دوم پویا به مشتریان و رصد و پایش مستمر درگاه های پرداخت در فضای مجازی اشاره کرد.
به موازات اقدامات پیشگیرانه فوق، این بانک با همکاری بانکها و موسسات اعتباری، شرکت های ارایه دهنده خدمات پرداخت و شرکت های تابعه خود با رصد شبکههای اجتماعی و بهره گیری از قابلیتهای مراکز رصد و پایش درگاههای شبکه پرداخت کشور و نیز تعامل با نهادهایی نظیر دادستانی، پلیس فتا و مرکز ماهر اقدام به مسدود سازی تعداد زیادی سایت جعلی کرده است.
در پایان از مشتریان بانکها و موسسات اعتباری که اقدام به انجام تراکنشهای اینترنتی میکنند درخواست میشود ضمن توجه به اعتبار درگاههای مورد استفاده در فضای مجازی از رمز دوم پویا که توسط بانکها و موسسات اعتباری ارایه میشود استفاده کنند. امید است اقدامات انجام شده در کنار ارتقاء آگاهی عموم مشتریان بانکها موجبات کاهش اقدامات مجرمانه در فضای مجازی را فراهم آورد».
شناسایی آسیب پذیری حیاتی در میل سرور های EXIM (CVE-2019-16928
بار دیگر آسیب پذیری حیاتی در سرویسدهندهی ایمیل #exim شناسایی شده است. با سواستفاده از آن مهاجم می تواند کد های مخرب را با دسترسی root بر روی میزبان اجرا کند. نسخههای 4.92 تا 4.92.2 آسیبپذیر هستند.در صورت استفاده از این سرویس دهنده سریعا نسبت به بروزرسانی اقدام نمایید.
بر اساس بررسی و رصد مرکز ماهر ۶۰۰۰ آدرس IP و ۳۳۰۰۰۰ دامنه تحت تاثیر این آسیبپذیری در کشور شناسایی شده اند. شمار زیادی از این دامنهها، دامنههای اشتراکی میزبانی شده توسط شرکتهای میزبانی هستند که به واسطه استفاده از ابزار CPANEL تحت تاثیر این آسیبپذیری قرار دارند. اطلاع رسانی به صاحبان IP های آسیبپذیر در جریان است.
اطلاعیه مرکز ماهر در خصوص دومین مرحله از مسابقات کشف باگ و آسیبپذیری
دومین مرحله از مسابقات کشف باگ و آسیبپذیری مرکز ماهر با شرکت دو وبسایت دیگر سازمان فناوری اطلاعات ایران در سامانه کلاهسفید در جریان است.وبسایتهای شرکت کننده در مسابقه: http://mob.gov.ir
https://payesh.iran.gov.ir
جزییات بیشتر را می توانید در صفحهی مسابقات ملاحظه کنید:
https://kolahsefid.cert.ir/Contest/276.html
https://kolahsefid.cert.ir/Contest/279.ht
اظهارات بیژن زنگنه در خصوص ضرورت هوشیاری صنعت نفت در برابر تهدیدهای سایبری
وزیر نفت در پیامی با تبریک روز ملی آتشنشانی و ایمنی تاکید کرده که همه شرکتها و تاسیسات صنعت نفت در شرایطی که تحریمها صنعت نفت را نشانه گرفته است، در برابر تهدیدهای فیزیکی و سایبری هوشیاری کامل داشته باشند.
وزیر نفت در این پیام آورده است که رشادت آتشنشانان صنعت نفت در هفتمین روز مهرماه سال ۱۳۵۹، مقارن با نخستین روزهای دفاع مقدس، نماد درخشان پایمردی و از خودگذشتگی کارکنان خدوم و وظیفه شناسی این صنعت در حفاظت از تاسیسات است و این روحی ارزشمند در برهههای مختلف و دشوار این صنعت چه در دوران دفاع مقدس و چه پس از آن متجلی است.
زنگنه در ادامه گفته که همکاران عزیز، تحریمهای ظالمانه دشمنان در یک جنگ تمام عیار اقتصادی، صنعت نفت را که پیشران و محرک اقتصاد کشور است، نشانه گرفته و شرایطی خاص را رقم زده است. در این شرایط لازم است در همه شرکتها و تاسیسات صنعت نفت، هوشیاری کامل در برابر تهدیدهای فیزیکی و سایبری ایجاد و تمهیدات مدیریتی، فنی و عملیاتی لازم برای حفاظت از تاسیسات و سرمایههای فیزیکی، ارتقای تابآوری و پایداری در زنجیره ارزش از بالادست تا پاییندست صنعت نفت به صورت یکپارچه و باتوجه ویژه به رویکردهای پیشگیرانه ایمنی و کنترلهای دقیق عملیاتی، اتخاذ شود.
وی با تاکید بر ضرورت توجه همه شرکتها و تاسیسات تابعه صنعت نفت با سرلوحه قرار دادن مفاد شیوهنامه ابلاغی مدیریت شرایط اضطراری در صنعت نفت و رویهها و شیوهنامههای تکمیلی مرتبط، تاکید کرده که تدابیر لازم بهمنظور آمادگی کامل برای مواجهه با وضعیتهای اضطراری و به حداقل رساندن هرگونه صدمه و آسیب به کارکنان، تاسیسات و جامعه محلی را با محوریت اصلی فرماندهی واحد به کار گیرند.
زنگنه در پایان ضمن قدردانی از تلاشهای مستمر و شبانهروزی یکایک کارکنان صنعت نفت، از مدیران همه شرکتها و واحدهای صنعت نفت اعم از دولتی و غیردولتی خواسته تا با بهرهگیری از توانمندیهای ارزشمند سرمایه انسانی، تدابیر و اقدامهای لازم را برای تحقق موارد فوق بهکار گیرند.
راهحل ضد تقلب کسپرسکی برای ورزشهای الکترونیکی
آن زمان که گیمهای ویدیویی فقط یک سرگرمیِ خانگی بودند، هیچکس اهمیت نمیداد بازیکنان جرزنی میکنند یا نه. حتی وقتی حالت بازیهای چندنفره هم باب شد باز معدود افرادی بودند که بخواهند به این مسائل اهمیت دهند. اما با پیشرفت esports ورق برگشت؛ حالا دیگر تقلب و جرزنی در بازیست که نه فقط عمده مشکلِ بازیکنها که همچنین دغدغهی متصدیان، حامیان مالی و میلیونها بیننده است.
روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ نگوییم که این وسط صنعت شرطبندی چقدر سرِ بُرد و باخت این بازیها خونِ دل میخورد. از اینها گذشته، پول جایزهای که برای این رقابتها در نظر دیده شده است نیز میتواند به خطر بیافتد.
مسیر از کجا میتواند منحرف شود؟
بیشترِ گیمها با میزبانیِ سرورها و یا در سرویسهای کلود انجام میشوند. بنابراین شاید خیلیها فکر کنند دیگر خبری از جرزنی و تقلب در بازی نیست اما طبق معمول همهچیز همیشه هم آنقدر ساده و قابلفهم نیست؛ گاهی مسائل پیچیده میشوند و دور از انتظار. در بسیاری از بازیها، برنامهی کلاینت، اطلاعاتی بیش از حدِ مجاز بازیکن برای دیدن دریافت میکند. برای مثال، برنامه دقیقاً میداند دو رقیب بازی کجای کارند و با یکدیگر چند چندند. طبیعی است که طرفداران دوآتشهی تکنولوژی پی بردند چطور میشود از این اطلاعات برای جرزنی کردن در بازی استفاده کرد.
بازیکنها با جرزنی میتوانند حریفان خود را از پشت دیوارها و سایر مناظر ببینند و هیچ کمینگاهی برایشان باقی نگذراند. اگر برنامه به مختصاتِ دقیقِ حریف واقف باشد، ساخت قابلیتی با هدف خودکار برای شلیک مستقیم به سرِ دشمن چندان هم کار سختی نخواهد بود. علاوه بر اینها، جرزنی میتواند به طور اتوماتیک، پاسخی باشد به رویدادهای درون-گیمی (آن هم با سرعتی خیلی بیشتر از آنچه انسان در توان دارد).
تقلب در تورنومنتها
خوشبختانه، در رویدادهای مهم گیمینگ خیلی سخت میشود جرزنی و تقلب کرد. اول از همه اینکه، این گیمها روی دستگاههای ناظران بازی اتفاق میافتند. دوم اینکه تماشاگران، کارشان نظارت بر روی رفتار بازیکن است. و سوم اینکه کلی تماشاگرِ حرفهای آنجا هستند که میتوانند بازی فول را در لحظه تشخیص دهند. با این حال، بازیکنان سرکش همچنان به جرزنی و تقلب خود در گیم ادامه میدهند.
برای بازیکنان مبتدی، بسیاری از رویدادها ابتدا با سنجش صلاحیتِ رقابتها شروع میشود که بازیکنان در آن از کامپیوترهای خانگی خود استفاده میکنند. گرچه آنها در این مرحله چندان هم نمیتوانند امتیاز کسب کنند اما بازیکنان همچنین فرصتهای بیشتری برایشان پیش میآید تا دست به جرزنی و تقلب بزنند. حذف تیمی قوی در راندهای سنجش صلاحیت فقط میتواند شانسشان را در مراحل بعدی بالاتر ببرد. وبسایتهای هوادار دائماً فهرستهایی از متقلبینی را که دستشان رو شده و از بازی کنار گذاشته شدند منتشر میکنند. برای مثال اینجا فهرستی است از بازیکنانی که از کانتر-استراک: تورنومنتهای گلوبال آفنسیو حذف شدند. همانطور که مستحضر هستید، اکثر آنها به خاطر جرزنی و تقلب کنار گذاشته شدند.
چرا داریم در موردش مینویسیم
تقلب در ورزشهای الکترونیکیِ حرفهای اساساً نوع دیگریست از یک تهدید سایبری. تقلبهای نرمافزاری چندان هم توفیری با بدافزارها ندارند. علاوه بر اینها، بسیاری از کارمندان کسپرسکی، خود طرفداران پر و پا قرص گیمینگ حرفهای هستند. آنها زود متوجه شدند که فناوریهای شناسایی حملات سایبریِ ما میتواند طوری تغییر داده شوند تا بشود از طریقشان به گندکاریهایی که در رویدادهای ورزشهای الکترونیکیِ حرفهای رخ میدهد پی برد.
قدم بعدی هم طبیعتاً ساخت سیستمی ضد تقلب بود که باید ناظرین e-sports آن را استفاده میکردند. راهحل ما مبتنی بر کلود است و کارش نظارتِ در لحظهی تقلبها در طول رقابت است. این راهحل به درستی و بر حق در مورد جرزنیها قضاوت میکند و تأیید فنی را در اختیار مسئولین قرار میدهد. گرچه در نهایت نیرویی انسانی باید آخرین قضاوت را داشته باشد؛ اما این سیستم میتواند تشخیص بازیِ جرزنیشده را بسیار آسانتر کند. و از همه مهمتر، سیستم ما هیچ تأثیری بر روی عملکرد بازی و یا گیمپلی نمیگذارد؛ تمام محاسبات اعدادی روی سرورهای کلود صورت میگیرد و نه دستگاههای بازیکن.
در حال حاضر، راهحل ضد تقلبِ کسپرسکی دو تا از محبوبترین رقابتهای e-sports را پوشش میدهد: Counter-Strike: Global Offensive و PlayerUnknown’s Battlegrounds؛ اما در نظر داریم این فهرست را بلندبالاتر کنیم.
رفع نقص XSS در WORDPRESS
تجزیه و تحلیل محققان خبر از وجود یک #آسیبپذیری اسکریپتنویسی متقابل ذخیرهشده (Stored Cross-Site Scripting) در WordPress میدهد که میتواند منجر به اجرای کد راهدور drive-by شود.
حملهی drive-by زمانی رخ میدهد که دشمن از طریق ملاقات کاربر از مرورگر وب طی یک جستجوی نرمال، به سیستم دسترسی یابد.
این آسیبپذیری که با شناسهی CVE-2019-16219 ردیابی میشود، در ویرایشگر داخلی Gutenburg که در نسخههای WordPress 5.0 و بالاتر وجود دارد، یافت شده است. به گفتهی Zhouyuan Yang در آزمایشگاه Forti Gaurd، در صورت وجود یک پیغام خطای “Shortcode”، Gutenburg نمیتواند کد JavaScript/HTML یک پست را فیلتر کند.
Shortcodeها میانبرهای ضروری هستند که کاربران WordPress میتوانند بهمنظور تعبیهکردن فایلها یا ساخت اشیایی که به صورت نرمال نیاز به کد پیچیدهتری برای انجام دادن دارند، به کار گیرند. بلوکهای Shortcode میتوانند با کلیک بر روی گزینهی “Add Block button” درون ویرایشگر Gutenburg، به یک صفحه اضافه شوند.
با این حال، با اضافهکردن برخی کاراکترهای رمزگذاریشدهی HTML (مانند ‘<’) به خود بلوک Shortcode و سپس بازکردن دوبارهی پست، کاربران یک پیغام خطایی دریافت خواهند کرد.
Wordpress پست را با رمزگشایی ‘<’ به ‘<”,”’ به نمایش میگذارد. فیلتر XSS در این پیشنمایش میتواند بهراحتی با اضافهکردن کد اثبات مفهوم ‘>img src=1 onerror-prompt(1)>.’ به پست، دور زده شود. از آن پس، هر بازدیدکنندهی سایت که این پست را مشاهده میکند، کد XSS در مرورگرش اجرا خواهد شد.
این امر به یک مهاجم راهدور با مجوز «مشارکتکننده» (contributor) یا بالاتر اجازه میدهد کد دلخواه JavaScript/HTML را در مرورگر قربانیانی که به صفحه وب آسیبپذیر دسترسی دارند، اجرا کند. تا زمانی که مهاجم دارای نقش مشارکتکننده در یک صفحه وب WordPress آسیبپذیر است، میتواند از این نقص سوءاستفاده کند. مهاجمان همچنین میتوانند خودشان وبسایتی بسازند یا ابتدا یک وبسایت قانونی را جهت تزریق کد در معرض خطر قرار دهند. از آن پس تنها لازم است قربانیان فریبخورده، صفحهی در معرض خطر را بهمنظور اجرای کد مخرب ملاقات کنند.
آسیبپذیری اسکریپتنویسی متقابل ذخیرهشده (XSS ذخیرهشده)، شدیدترین نوع XSS است. XSS ذخیرهشده زمانی اتفاق میافتد که یک برنامهی کاربردی تحت وب دادههای ورودی را از یک کاربر جمعآوری کند و آن دادهها را برای استفادهی بعدی ذخیره سازد. اگر این دادهها بهدرستی فیلتر نشوند، دادههای مخرب بخشی از وبسایت را تشکیل خواهند داد و درون مرورگر کاربر، تحت امتیازات برنامهی کاربردی تحت وب، اجرا میشوند.
آسیب دیگری که این نقص دارد این است که اگر قربانی دارای مجوز بالا باشد، مهاجم حتی میتواند کارگزار وب آنها را در معرض خطر قرار دهد.
این نقص از نظر شدت، «متوسط» رتبه بندی شده است و دارای رتبهی 6.1 در مقیاس 10 است.
این آسیبپذیری در نسخههای WordPress 5.0 تا 5.0.4، 5.1 و 5.1.1 یافت شده است و در ماه سپتامبر سال 2019، با انتشار نسخهی WordPress 5.2.3، وصله شده است.
این نقص XSS، تنها نقص XSS وصلهشده در بستر WordPress نیست؛ این بهروزرسانی آسیبپذیریهای XSS یافتشده در پیشنمایشهای پست توسط مشارکتکنندگان، در نظرات ذخیرهشده، در حین بارگزاری رسانهها، در داشبود و در حین پاکسازی URL را نیز برطرف ساخته است.
نقصهای XSS در WordPress و افرونههای مختلف، به آسیبزدن به این معروفترین سیستم مدیریت محتوا در جهان که 60.4 درصد از سهم بازار CMS را به خود اختصاص دادهاست، ادامه میدهند. حدود یک سوم تمامی وبسایتهای اینترنتی بااستفاده از WordPress ساخته شدهاند.
به مدیران وبسایتها توصیه میشود بهروزرسانی منتشرشده جهت رفع این آسیبپذیری را در اسرع وقت بهکار گیرند.
هشدار! گسترش حملات باجافزاری در بین کاربران خانگی
مشاهدات صورت گرفته نشان میدهد که در بازه زمانی یکماهه اخیر، با رشد و گسترش باجافزارهایی همچون STOP/Djvu که کابران خانگی را مورد حمله قرار میدهند، شدت این حملات بیشتر شده است. بررسیها نشان میدهد که از عمده دلایل آلوده شدن این رایانهها کلیک بر روی لینکهای آلوده، دریافت فایلهای اجرایی مخرب، کرکها و نرمافزارهای فعالساز و همچنین ماکروهای آلوده موجود در فایلهای محصولات ادوبی و آفیس با پسوندهای pdf, doc, ppt و ... میباشند.
برای جلوگیری از آلوده شدن رایانههای شخصی و کاربران خانگی و همچنین کاهش آسیبهای ناشی از حملات باجافزاری توصیه میگردد:
1. نسبت به تهیه نسخههای پشتیبان از اطلاعات ارزشمند و نگهداری به صورت غیر برخط اقدام نمایند.
2. از باز کردن پیامهای مشکوک در محیطهای مختلف از جمله ایمیل، پیامرسانها و شبکههای اجتماعی پرهیز نمایند.
3. از دریافت فایلهای اجرایی از منابع ناشناس پرهیز نمایند. به طور ویژه از دریافت کرک نرمافزارها خصوصاً فعالسازهای ویندوز و محصولات آفیس خودداری نمایند.
4. از بهروز بودن سیستمعامل و محصولات ضدویروس اطمینان حاصل نمایند. لازم به یادآوری است که در بسیاری از موارد، ضدویروسها از از تشخیص بههنگام باجافزارها ناتوان هستند. دلیل این موضوع گسترش کاربرد RaaS در بین باجافزارهای امروزی میباشد. مفهوم RaaS یا "باجافزار به عنوان یک خدمت" زمانی به کار برده میشود که گروهی نسبت به تهیه بستر حمله یعنی فایلهای مخرب و بستر ارتباطی اقدام کرده و طیف گستردهای از مهاجمین عموماً با دانش پایینتر با در اختیار گرفتن انواع فایلهای جدید و سفارشیسازی شده که تا آن لحظه توسط هیچ ضدویروسی مشاهده نشده است، اقدام به حمله مینمایند.
5. همواره نسبت به علائم آلودگی باجافزار از قبیل تغییر پسوند فایلها، پیغام باجخواهی، کاهش محسوس سرعت سیستمعامل و ... حساسیت داشته و در صورت مشاهده موارد مشکوک به آلودگی، قبل از هر اقدامی از خدمات مشاورهای مرکز ماهر در این زمینه استفاده نمایند.
آموزش بهینه تعاملات سازمانی به تیم امنیتی، طی حملهی سایبری
آن روز را به خاطر دارم؛ انگار همین دیروز بود: مدیر عامل اجراییمان مرا به دفترش خواند و از من خواهش کرد تا لپتاپ و اسمارتفونم را روی میزم بگذارم. خیلی رک و راست گفت: «ما هک شدیم. بررسیها همچنان ادامه داره اما میشه تا اینجای کار تأیید کرد که تو محیط داخلی شرکت یک مهاجم نفوذیِ فعال، به شدت سرسخت و پیچیده، تحت حمایت دولت داریم».
روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ راستش را بخواهید، خیلی هم غیرمنتظره نبود. متخصصین ما چند وقتی میشد که داشتند با نقض امنیتیِ کلاینتهایمان دست و پنجه نرم میکردند و البته شرکت ما که اساساً شرکتی فعال در حوزهی امنیتی است اصلیترین هدف بود. با این حال، غافلگیریِ بدی بود: کسی بیاید و امنیت اطلاعات لایههای دفاعی شرکت را مورد تجاوز قرار دهد. در ادامه با ما همراه شوید تا به سوالی که فوراً در ذهن ایجاد میشود بپردازیم: «چطور میشود با چنین حادثهای کنار آمد؟»
5 مرحلهی اطلاعرسانی در مورد مسئله: انکار، خشم، چانهزنی، افسردگی و پذیرش.
این حقیقت است -هرچند شاید غافلگیرکننده باشد- که پیش از GDPR هر سازمانی انتخاب میکرد حادثهی پیشآمده را همگانی و علنی کند و یا همچنان آن را باور نکرده و انکارش کند. کسپرسکی اما اهل انکار نیست؛ این شرکت امنیت سایبری عادت دارد بیپرده و شفافسازیشده برنامههای خود را پیش ببرد. ما مدیران ارشد همگی اتفاق نظر داشتیم تا این مسئله را علنی کنیم؛ که البته کار درستی هم بود، خصوصاً اینکه شاهد بودیم چطور شکاف ژئوپولیتیک داشت عمیقتر میشد و میدانستیم قدرتهای بزرگِ دخیل در این حملهی سایبری آمادهاند تا این نقض را چماغی کنند بر سرمان- تنها چیزی که در موردش مطمئن نبودیم زمان و چگونیاش بود. ما با علنی کردن این حادثه نه تنها آنها را از این فرصت محروم نمودیم، که همچنین این واقعه را به نفع خود نیز تمام کردیم.
گفته میشود دو نوع سازمان داریم- سازمانهایی که هک شدند و سازمانهایی که حتی روحشان هم خبر ندارد هک شدند. در این قلمرو، الگوی سادهای حاکم است: شرکت نباید نقض امنیتیاش را پنهان کند. علنی کردن این موضوع شرف دارد به خدشهدار کردن امنیت سایبری کلی شرکا و مشتری.
خوب بیایید برگردیم به ماجرای خودمان. وقتی طرفهای دخیل در شرکتمان را راه انداختیم –تیمهای حقوقیِ امنیت اطلاعات برای دست و پنجه نرم کردن با بخش ارتباطات، فروش، بازاریابی و پشتیبانی فنی- شروع کردیم به آمادهسازی اطلاعرسانیِ رسمی و Q&A (پرسش و پاسخ)- که کار بسیار خستهکنندهای بود. در آنِ واحد بررسیهای خود را توسط متخصصین تیم GReAT کسپرسکی ادامه دادیم. اعضای تیم دخیل در این ماجرا تمام اطلاعرسانیها را بر روی کانالهای رمزگذاریشده انجام دادند تا حتی یکدرصد هم به این پژوهش دستبرد زده نشود. منتها گذاشتیم تمام بخش پاسخها پوشش داده شود تا بعد آمادهی اعلام علنی شویم.
در پی این اقدام، رسانههای مختلف چیزی حدود 2000 خبر مبنی بر نقض امنیت در کسپرسکی منتشر کردند. بیشتر این خبرها (95 درصد) خنثی بودند و تعداد خبرهای غرضمند و جهتدهی دادهشده به طور قابل ملاحظهای کم بود (کمتر از 3 در صد). تعادل این پوشش خبری قابلدرک است؛ رسانهها موضوع را از سمت ما، شرکای ما و سایر محققین امنیتی که با اطلاعات صحیح سر و کار دارند فهمیدند. من آمار دقیق را ندارم اما از طرز واکنش رسانهها به ماجرای حملهی باجافزاری به نورسک هیدرو -شرکت نروژیِ تولیدکنندهی آلومینیوم- در اوایل سال جاری معلوم بود برخی از پوششهای خبری بیکیفیت و غرضمند بوده است. برای همین شاید خیلی از شرکتها دوست نداشته باشند رازشان را برملا کنند.
عبرت گرفتن و گذر کردن
خبر خوب اینکه ما از حملهی سایبریِ سال 2015 نه تنها توانستیم از قابلیتهای فنی پیشرفتهترین عاملین تهدید سایبری پی ببریم که همچنین یاد گرفتیم چطور باید بدانها واکنش نشان داده و آن را به طور عمومی علنی کنیم.
ما وقت داشتیم تا تماماً این حمله را مورد بررسی قرار دهیم و از آن درس بگیریم. وقت داشتیم از خشممان عبور کنیم و مراحل چانهزنی را از سر بگذرانیم- منظورم همان پذیرش و آمادهسازی برای علنی کردن اتفاق است. و در طول همهی اینها تعاملمان با افراد فعال در بخش امنیت سایبری و متخصصین سازمانی بخش ارتباطات همواره جریان داشت. امروزه، مدت زمان علنی کردن نقض بسیار کوتاه شده است: برای مثال، GDPR همهی شرکتهایی که کارشان با اطلاعات مشتریان است ملزم کرده که نه تنها مقامات را در جریان هر گونه نقض امنیتی بگذارند که همچنین باید این کار را در بازهی زمانی کوتاه 72 ساعت انجام دهند. و شرکتی که مورد حملهی سایبری قرار گرفته میبایست از همان لحظه که به مقامات اطلاع میدهد خودش را برای علنی کردن این ماجرا آماده کند.
« در این خصوص باید با چه افراد درونسازمانیای ارتباط برقرار کرد؟ از چه کانالهایی میشود استفاده کرده و باید از چه چیزهایی خودداری نمود؟ نحوهی اقدام باید چگونه باشد؟» این سوالات و کلی پرسشهای دیگر چیزی بود که ما میبایست در طول بررسیهای خود بدانها پاسخ میدادیم. این اطلاعات چیزی که نیست که براحتی بشود پیدا کرد، ما برای بدست آوردنش زحمت کشیدیم و حالا با افتخار این دادههای ارزشمند و تجربهی گرانبها را در سرویسی به نام Kaspersky Incident Communications Service ارائه دادهایم. این سرویس علاوه بر آموزش استاندارد توسط متخصصین معتبر ارتباطات که بخش استراتژی را پوشش داده و پیامرسانی برونسازمانی را توصیه میکند، همچنین فرصتهایی را در اختیار قرار میدهد تا بتوانید نکاتی از متخصصین GReAT ما بیاموزید. آنها در مورد ابزارها و پروتکلهای ارتباطاتی اطلاعات بسیار به روزی داشته و میتوانند نحوهی واکنشدهی به چنین وضعیتهای بحرانی (نقض اطلاعات و امنیت) را به شما مشاوره دهند.
گزارش اصلاحیه امنیتی مایکروسافت در ماه سپتامبر ۲۰۱۹
مایکروسافت آخرین بهروزرسانی را برای آسیبپذیریهای نرمافزارها و سیستمعاملهای این شرکت منتشر کرده است. بهروزرسانی امنیتی در ماه سپتامبر سال 2019 برای محصولات در درجه حساسیت بحرانی به صورت زیر بوده است:
Microsoft Windows
Internet Explorer
Microsoft Edge
ChakraCore
Microsoft SharePoint
Azure DevOps Server
و همچنین برای Adobe Flash Playerیک بروزرسانی با شناسه ADV190022ارائه شد.
وصله امنیتی هر کدام از آسیبپذیریها بر اساس نسخه خاصی از سیستمعامل نوشته شده است. کاربر میبایست با استفاده از فرمان winverدر CMDنسخه سیستمعامل خود را بدست آورد سپس وصله امنیتی مورد نظر خود را دانلود نماید.