آسیب پذیری خطرناک محصولات SIMATIC WINCC ، SIMATIC PCS7 و SIMATIC TIA PORTAL

/در , , , , /توسط
طبق مستند منتشر شده شرکت #‫Siemens در تاریخ 2019-09-10 (19/6/98) محصولات SIMATIC WinCC Runtime و SIMATIC PCS7 و SIMATIC WinCC ( همچنین نسخه TIA PORTAL ) دارای آسیب پذیری با درجه اهمیت 9.1 و شماره CVE-2019-10916 هستند که اجازه اجرای کد را برای حمله کننده برروی سیستم های آلوده را فراهم می کند. این آسیب پذیری قابل بهره برداری از راه دور می باشد ( حمله کننده می بایست به project file دسترسی داشته باشد ) و به دلیل ضعف در کد از نوع SQL INJECTION (شماره CWE-89) بوجود آمده است.
محصولات آسیب پذیر به ظرح زیر می باشند :
• تمامی نسخه های SIMATIC PCS 7 V8.0
• تمامی نسخه های SIMATIC PCS 7 V8.1 قبل از V8.1 به همراه WinCC V7.3 Upd 19
• تمامی نسخه های SIMATIC PCS 7 V8.2قبل از V8.2 SP1 به همراه WinCC V7.4 SP1Upd11
• تمامی نسخه های SIMATIC PCS 7 V9.0 قبل از V9.0 SP2 به همراه WinCC V7.4 SP1Upd11
• تمامی نسخه های SIMATIC WinCC (TIA Portal) V13
• تمامی نسخه های SIMATIC WinCC (TIA Portal) V14
• تمامی نسخه های SIMATIC WinCC (TIA Portal) V15
• تمامی نسخه های SIMATIC WinCC Runtime Professional V13
• تمامی نسخه های SIMATIC WinCC Runtime Professional V14 قبل از V14.1 Upd 11
• تمامی نسخه های SIMATIC WinCC Runtime Professional V15 قبل از V15.1 Upd 3
• نسخه SIMATIC WinCC V7.2 و همه نسخه های قبل از آن
• تمامی نسخه های SIMATIC WinCC V7.3 قبل از V7.3 Upd 19
• تمامی نسخه های SIMATIC WinCC V7.4 قبل از V7.4 SP1 Upd 11
• تمامی نسخه های SIMATIC WinCC V7.5 قبل از V7.5 Upd 3
جهت رفع این آسیب پذیری به نکات زیر توجه فرمایید:
بروز رسانی های زیر توسط Siemens منتشر شده که در آن ها این آسیب پذیری مرتفع شده است :
• SIMATIC WinCC Runtime Professional v14: Update to v14.1 Upd 11
• SIMATIC WinCC Runtime Professional v15: Update to v15.1 Upd 3
• SIMATIC PCS7 v8.1: Update WinCC to v7.3 Upd 19
• SIMATIC PCS7 v9.0: Update WinCC to v7.4 SP1 Upd 11
• SIMATIC WinCC v7.3: Update WinCC to v7.3 Upd 19
• SIMATIC PCS7 v8.2: Update WinCC to v7.4 SP1 Upd 11
• SIMATIC WinCC v7.4: Update WinCC to v7.4 SP1 Upd 11
• SIMATIC WinCC v7.5: Update WinCC to v7.5 Upd 3

مسابقات ارزیابی امنیتی وب‌سایت های دولتی برگزار می‌شود

/در , , , /توسط
مرکز ماهر مسابقات ارزیابی امنیتی و کشف باگ (Bug bounty) در سطح وب‌سایت‌ها و سامانه‌های دولتی تحت شبکه اینترنت را توسط سامانه کلاه سفید برگزار می کند.
 
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای در راستای ماموریت‌های خود به منظور ارتقای امنیت در سامانه‌های کشور، اقدام به برگزاری مسابقات ارزیابی امنیتی و کشف باگ (Bug bounty) در سطح وب‌سایت‌ها و سامانه‌های دولتی تحت شبکه‌ اینترنت کرده است.
 
در این راستا سامانه‌ کلاه سفید مرکز ماهر (https://kolahsefid.cert.ir)، آماده ارزیابی امنیتی سامانه‌ها از طریق برگزاری مسابقات عمومی و خصوصی است.
 
برخلاف قراردادهای مرسوم و سنتی آزمون نفوذ، با استفاده از سامانه کلاه سفید، تنها به ازای آسیب‌پذیری‌های کشف‌شده توسط متخصصان امنیتی شرکت‌کننده در مسابقه و با داوری‌ تیم مرکز ماهر هزینه ارزیابی امنیتی پرداخت می‌شود. همچنین پس از برگزاری مسابقه و ارزیابی نهایی سامانه توسط داوران، گواهی تاییدیه ارزیابی امنیتی سامانه به سازمان مربوطه اعطا خواهد شد.
 
سامانه کلاه سفید با توجه به همین چالش‌ها، راهکار ارائه خدمات برگزاری مسابقه ارزیابی امنیتی را مطرح و بستری فراهم کرده است تا متخصصان مجرب امنیتی و سازمان‌ها و شرکت‌های تولید نرم‌افزار با حداکثر سرعت و حداقل هزینه در کنار یکدیگر قرار گیرند.
 
با توجه به تعداد بالای متخصصان این سامانه، که تعداد آن‌ها تاکنون به بیش از ۵۰۰ نفر رسیده است، طیف وسیعی از دانش و مهارت مورد نیاز برای ارزیابی امنیتی فراهم شده است.
 
این مسابقات به دو صورت عمومی و خصوصی برگزاری می‌شود. در مسابقات عمومی کلیه متخصصان عضوشده در سامانه کلاه سفید امکان مشاهده جزئیات و شرکت در آن را دارند و در مسابقه خصوصی تنها متخصصان شناخته‌شده و منتخب، امکان شرکت دارند.
 
در مرحله اول، طی روزهای آینده ارزیابی امنیتی برخی از سامانه‌های مرکز ماهر و سازمان فناوری اطلاعات به مسابقه گذاشته خواهد شد. سایر دستگاه‌های دولتی نیز می‌توانند در صورت تمایل جهت ارزیابی سامانه‌های خود در این مسابقات با مرکز ماهر تماس برقرار کنند.

تحلیل فنی باج‌افزار MEGACORTEX

/در , , , , /توسط
باج‌افزارMegacortexبرای اولین بار در اوایل ماه مه سال 2019 میلادی مشاهده گردید. این باج‌افزار در همان ابتدای فعالیت خود به سبب حملات گسترده به شبکه‌های سازمان‌ها و کسب و کارها در کشورهای آمریکا، کانادا و بخش غربی قاره اروپا، توجه محققان سایبری را به خود جلب کرد. براساس مشاهدات صورت گرفته، اولین نسخه این باج‌افزار تا 600 بیت‌کوین هم درخواست باج می‌دهد که مبلغ قابل توجهی می‌باشد. این باج‌افزار از الگوریتمAES و RSAجهت رمزگذاری فایل‌های سیستم قربانی استفاده می‌کند و پسوند .megac0rtx را به انتهای فایل‌های رمزگذاری شده اضافه می‌نماید. تحلیل پیش رو مربوط به نسخه دوم این باج‌افزار می‌باشد. این نسخه در تاریخ 23 ژوئیه سال جاری میلادی منتشر گردیده است.

رمزگشای باج‌افزار Syrkتوسط پژوهشگران شرکت امنیتی Emsisoftارائه شد.

/در , , , , /توسط
 
باج‌افزار Syrkبرای اولین بار در ماه آگوست 2019 میلادی مشاهده گردید. طبق اخبار منتشر شده، این باج‌افزار که ظاهراً در پوشش یک ابزار هک برای بازی ویدیویی Fortniteمنتشر می‌گردد، فایل‌های قربانی را با الگوریتم AES-256رمزگذاری نموده پسوند .Syrkرا به انتهای فایل‌های رمزگذاری شده اضافه می‌کند. باج‌افزار مورد اشاره متن پیغام باج‌خواهی خود را در قالب یک فایل متنی به نام Readme_now.txtو با مضمون زیر در سیستم قربانی قرار می‌دهد:
 
Your personal files have been encrypted by Syrk Malware, send an email to [email protected] to recover them.
 
همچنین صفحه‌ای همانند تصویر زیر نیز بر روی دسکتاپ ظاهر می‌شود.
 
 
در صورتی که فایل‌های رمز شده شما توسط این باج‌افزار دارای پسوند .Syrkمی‌باشند، می‌توانید به وسیله این رمزگشا فایل‌های خود را رمزگشایی کنید.

‫ هشدار در خصوص آسیب‌پذیری در FORTIOS و PULSE CONNECT SECURE CVE-2018-13379) و CVE-2019-11510)

/در , , , , /توسط
دو آسیب‌پذیری جدی در دو سرویس دهنده‌ی VPNدر تجهیزات شرکت فورتی‌نت و PulseSecureدر روزهای اخیر بطور جدی مورد سوءاستفاده‌ی مهاجمین قرار گرفته است. قرار داشتن سرویس دهنده‌های VPNدر لبه‌ی شبکه‌، خطر این آسیب‌پذیری‌ها رو بسیار بیشتر کرده است.
 
آسیب پذیری CVE-2018-13379برروی تجهیزات امنیتی فورتی‌گیت با سیستم عامل FortiOSو بر روی پورتال تحت وب VPNآن امکان اخذ دسترسی از راه دور را برای مهاجم فراهم می­کند. حمله از طریق ارسال یک بسته آلوده HTTPصورت می­گیرد. ضعف موجود در این سرویس از نوع path-traversalو با شماره CWE-22است.
 
نسخه­های آسیب پذیر این سیستم عامل 5.6.3تا 5.6.7و 6.0.0تا 6.0.4می­باشد و تنها در صورتی دستگاه آسیب پذیر است که سرویس VPNفعال باشد.
 
راهکار موقتی جلوگیری از آلوده شدن، غیرفعال سازی سرویس SSL VPNمی­باشد که با دستور زیر می­توان این سرویس را غیرفعال کرد:
 
config vpn ssl settings
unset source-interface
end
 
آسیب پذیری CVE-2019-11510 نیز در محصول Pulse Connect Secure(PCS) کشف شده که به حمله کننده این امکان را می­دهد تا هر فایلی را از راه دور از روی سرور بخواند. به همین دلیل امنیت میزبانی که این سرویس دهنده برروی آن نصب شده باشد به خطر میافتد.
 
سرویس دهنده­های آسیب پذیر به شرح زیر می باشند :
 
نسخه های قبل از 8.1R15.1
نسخه های قبل از 8.2R12.1
نسخه های قبل از 8.3R7.1
نسخه های قبل از 9.0R3.4
لازم به توضیح است اطلاع رسانی به مالکین تجهیزات آسیب‌پذیر در جریان است.

احراز هویت ۲ مرحله‌ای جلوی نفوذ هکرها را می‌گیرد

/در , , , /توسط
 
مایکروسافت به تازگی اعلام کرده است که استفاده از ورود و احراز هویت چند مرحله‌ای در حساب‌های کاربری جلوی بالغ بر ۹۹ درصد از هک و سرقت‌های اطلاعاتی توسط هکرها و مجرمان سایبری را می‌گیرد.  
 
شرکت مایکروسافت به عنوان یکی از بزرگترین غول‌های تکنولوژی در جهان به تازگی اعلام کرده است که کاربران در صورتی که گزینه ورود و احراز هویت چندمرحله‌ای را در حساب‌های کاربری شبکه‌های اجتماعی و اپلیکیشن‌های پیام رسان خود فعال‌سازی کنند، قادر خواهند بود تا ۹۹ درصد از احتمال هک شدن و نفوذ هکرها و مجرمان سایبری به حساب‌های کاربری خود بکاهند و بدین ترتیب به محافظت از حریم شخصی و خصوصی خود بپردازند.
 
بر اساس گزارش وب‌سایت زد دی نت، سیستم و گزینه ورود و احراز هویت دو مرحله‌ای یکی از راهکارهای جدیدی است که سرویس ها و شبکه‌های اجتماعی مختلف به پلتفرم خود افزوده‌اند تا کاربران بتوانند امنیت سایبری حساب کاربری و اطلاعات خصوصی خود را ارتقا دهند.
 
این سیستم ورود و احراز هویت دو مرحله‌ای بدین گونه است که کاربران برای ورود به اکانت موردنظر خود، یک بار نام کاربری و رمزعبور خود را وارد می‌کنند، سپس یک کد لحظه‌ای به صورت اس‌ام‌اس یا ایمیل برای آنها ارسال می‌شود که باید در مرحله بعدی، وارد کنند تا در صورت مطابقت بتوانند وارد حساب کاربری خود شوند.
 
به باور کارشناسان و تحلیلگران فعال در حوزه فناوری و امنیت سایبری، این روش به میزان قابل توجهی از هک و سرقت‌های اطلاعاتی کاربران جلوگیری می‌کند، چراکه هکرها و مجرمان سایبری حتی در صورت دسترسی به گذرواژه کاربران، دیگر قادر نخواهند بود به کدهای لحظه‌ای که شرکت توسعه دهنده سرویس موردنظر برای کاربران به صورت پیامک یا ایمیل ارسال می‌کند، دسترسی پیدا کنند و بدین ترتیب نمی‌توانند وارد حساب کاربری آنها شوند و اطلاعات موردنظر خود را به سرقت ببرند.
 
بدین ترتیب کاربران باید به قسمت تنظیمات سرویس‌های مختلف اینترنتی و شبکه‌های اجتماعی خود بروند و در صورت وجود گزینه احراز هویت و ورود دو مرحله‌ای، آن را فعال‌سازی کنند.
 
به عنوان مثال، تصویر زیر به ترتیب مراحل فعال‌سازی سیستم ورود و احراز هویت دو مرحله‌ای را در اپلیکیشن پیام رسان واتس‌اپ نشان می‌دهد:
 

افزایش کلیک‌دزدی: شکار بازدیدکنندگان سایت‌های رده اول

/در , , , /توسط
طبق گفته‌های محققین، کلیک‌دزدی تهدیدی است که هر قدر تاکتیک‌های جدید ظهور می‌کنند این تهدید نیز روز به روز بیشتر شایع می‌شود. در طول کلیک‌دزدی لینک‌های روی وبسایت، کاربرانِ از همه جا بی‌خبر را به اسپم‌ها هدایت می‌کنند. محتوای اسپم‌ها هم اغلب چیزی نیست جز تبلیغات یا بدافزار. با این حال، مطالعات جدید نشان می‌دهد ترفندهای جدید که مدام با تلاش مرورگرها برای رد کردن این اثرات سوء مبارزه می‌کنند باعث شده میلیون‌ها کاربر اینترنتی که در سایت‌های برتر وبگردی می‌کنند مبتلا شوند.
 
روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ محققین در خزنده‌ی وبِ 250 هزار وبسایت برتر (از سایت الکسا) متوجهِ 437 اسکریپت طرف‌سوم شدند که کلیک‌های کاربر را روی 613 وبسایت قطع کردند- که در کل 43 میلیون کلیک به طور روزانه (از همین طریق) دریافت می‌کنند. چیزی که مزید بر علت نیز می‌شود این است که لینک‌های رهگیریِ کلیک نیز دارند از تکنیک‌های جدیدی استفاده می‌کنند- مانند بزرگ‌تر کردن لینک‌ها (بدین‌ترتیب نادیده گرفتنشان سخت‌تر می‌شود).
به نقل از محققین: «بعدها به این مسئله نیز پی بردیم که بسیاری از اسکریپت‌های طرف‌سوم کلیک‌های کاربران را متوقف می‌سازند تا با این کلیک‌دزدی برای خودشان کسب و کار کاذب دست و پا کنند. همچنین متوجه شدیم متوقف‌سازی کلیک‌ها می‌تواند در نهایت باعث شود کاربران قربانی به سمت محتواهایی آلوده و مخرب سوق داده شوند. تحقیقات ما انعکاسِ تهدید نوظهوری در بخش کلیک‌هاست. نتایج حاصله، نیاز به محدودسازی امتیازات کدهای طرف‌سوم جاوااسکریپت را تأکید می‌کند».
محققین که مشارکت خود را از دانشگاه چینی هنگ‌کنگ، مرکز تحقیقاتی مایکروسافت، دانشگاه ملی سئول و دانشگاه ایالتی پنسیلوانیا شروع کردند یافته‌های خود را در مقاله‌ای تحت عنوان «همه‌ی کلیک‌های شما به من تعلق دارد: برسی توقف‌سازی کلیک‌ها روی وب» چاپ نموده و قرار است آن را در کنفرانس امنیتی USENIX ارائه داده، پیرامون آن به بحث و بررسی بپردازند.
 
تاکتیک‌های نوظهور متوقف‌سازیِ کلیک‌ها
عملِ کلیک‌دزدی (همان توقف‌ِ کلیک) و بحث پیرامون آن سال‌هاست نقل محافل امنیتی است.
وبسایت‌هایی که تحت تأثیر کلیک‌دزدی قرار می‌گیرند درشان اسکریپت‌های طرف‌سوم بکار رفته است. این اسکریپت‌ها به نظر شبیه به لینک‌هایی بی‌گناه و مظلوم هستند (مثل دکمه‌ی فیسبوک) اما در واقع به صورت بسیار مخفیانه در خود کُدی با کارکردی متفاوت دارد که در تگیiframe  یا اجزایی دیگر جاسازی شده است. بنابراین، وقتی قربانی‌ای روی لینک کلیک می‌کند یک‌جورهایی «گروگان» گرفته شده (برای همین نامش را گذاشته‌اند کلیک‌دزدی) و به صفحه‌ی اسپم یا پیجی مخرب برده می‌شوند.
 
Kasper.png
محققین بعد از ساخت فریم‌ورک تحلیلیِ مرورگر محورِ کرومیوم (که اسمش را گذاشته‌اند Observer) توانستند رفتارهای مرتبط با کلیک را برای 250 هزار وبسایت برتر الکسا مورد تحلیل قرار دهند.
هدف کلیک‌دزدیِ رؤیت‌شده، فرستادن قربانی به صفحات آلوده (مثل نرم‌افزارهای جعلی آنتی‌ویروس و صفحات دانلود درایو بای) بود؛ اما محققین می‌گویند با این ترفند همچنین کسب درآمد هم می‌شده است (برای مثال تبلیغات کذب یا اسپم برای مقاصد مربوط به اسکم).
علاوه بر روش‌های سنتی لینک‌دزدی که در فوق شرح دادیم، عاملین مخرب اکنون همچنین به فریب‌های بصری برای متوقف‌سازی کلیک‌های کاربران روی آورده‌اند (شامل لینک‌هایی که خود را به شکل بنرهای وبسایت یا دکمه‌های دانلود درمی‌آورند).
 
بعلاوه اینکه، مهاجمین در حال حاضر برای بهتر به دام انداختن کاربران برای کلیک روی اسکریپت‌های آن‌ها به ترفندهای جدید نیاز دارند. برای مثال، محققین موفق به شناسایی 86 اسکریپت طرف‌سوم که داشتند از ابرلینک‌ها (روی صفحه می‌چسبند) استفاده می‌کردند شدند. این اسکریپت‌های طرف‌سوم، با کلیک هر کاربر او را وارد سایت‌های بازی‌های آنلاین شرط‌بندی می‌کردند. محققین می‌گویند هرقدر فونت ابرلینک‌ها بزرگ‌تر بود احتمال کلیک شدن رویش هم بیشتر می‌شد. اسکریپت‌های طرف‌سوم دیگر نیز به طور انتخابی برای اینکه مورد شناسایی قرار نگیرند کلیک‌های کاربر را متوقف می‌ساختند.
محققین: «گرچه اسکریپت‌های طرف‌سوم می‌توانند با ترفندهای گوناگون کاربر را فریب دهند اما بسته به پیاده‌سازیی هر ترفند و البته پیش‌زمینه‌ی فنی هر کاربر، میزان تأثیر هر ترفند با دیگری به طرز قابل ملاحظه‌ای فرق دارد».
 
ساخت و پاخت وبسایت‌ها
در متودی جدید، محققین به این مسئله پی بردند که مهاجمین برای فرستادن قربانی‌ها به سمت تبلیغات آن هم برای تقلید کلیک‌های واقع‌گرایانه (در ازای هر بار کلیک روی آگهی کمیسیون دریافت می‌کردند) از کلیک‌دزدی استفاده می‌کردند.
محققین: «مهاجمین به جای اینکه به بات‌های کلیک وابسته باشند اخیراً شروع کردند به متوقف‌سازی و ریدایرکت کلیک‌ها یا بازدیدهای پیج از کاربران واقعی (برای تقلید و جعل کلیک‌های تبلیغاتی)»
 
جالب است بدانید، گرچه بسیاری از اسکریپت‌های طرف‌سوم ابرلینک‌های طرف‌سوم را برای متوقف‌سازی کلیک‌های کاربر تغییر می‌دهند، اما محققین همچنین دریافتند برای وبسایت‌ها برای کسب درآمد از طریق کلیک‌دزدی با اسکریپت‌های طرف‌سوم زد و بند می‌کنند. مطالعات نشان داد بیش از 36 درصد از  3,251 یوآرال ویژه‌ی توقف کلیک مربوط به آگهی‌های آنلاین می‌شده است.
«کلیک‌ها همچنین برای تبلیغات نمایشیِ آنلاین نیز نقش مهمی ایفا می‌کنند- و همین میلیاردها وبسایت روی اینترنت را توانمند می‌سازد. وبسایت‌های ناشر با هر بار کلیک کاربر روی آگهی از شبکه‌ی آگهی آنلاین کمیسیون دریافت می‌کنند».
 
پادزهر؟
مرورگرهای آنلاین سال‌هاست که برای کاهش کلیک‌دزدی‌ها تلاش می‌کنند اما محققین می‌گویند این تلاش‌ها کافی نیست. برای مثال، همین هفته‌ی پیش بود که فیسبوک اعلام کرد دارد شکایتی علیه دو سازنده اپ تنظیم می‌کند که از تزریق کلیک برای سوءاستفاده از پلت‌فرم تبلیغاتی‌اش استفاده می‌کردند. این پرونده اولین نوع از شکایاتی است که دارد علیه کلیک‌دزدی تشکیل می‌شود. مرورگرهای دیگر مانند کروم نیز از سال 2017 تلاش دارند در این راستا اقداماتی محدودکننده انجام دهند. علاوه بر این، سیستم‌هایی چون  EvilSeed یا  Revolver نیز برای شناسایی صفحات وبی مخرب (با استفاده از شباهت‌های محتوایی یا کد) ساخته شده‌اند.
با این حال، برخی از این تاکتیک‌های مبارزه با کلیک‌دزدی یارای مقابله با حربه‌های جدید را ندارند. برای مثال، به گفته‌ی محققین: «کروم هنوز هم نتوانسته روش‌های احتمالی دیگر را برای متوقف‌سازی کلیک‌های کاربر شناسایی کند (مثل لینک‌های دستکاری‌شده توسط اسکریپت‌های طرف‌سوم، محتواهای طرف‌سوم در لباس محتواهای طرف‌اول و پوشش‌های شفاف)».
توصیه‌ی محققین به وبسایت‌ها به نوبه‌ی خود این است که وقتی کاربر موس را روی آن‌ها قرار می‌دهد، نوار وضعیت علامت «هشدار» -به نشانه‌ی این که لینک حاوی اسکریپت طرف‌سوم است- بزند. علاوه بر این، مرورگرها می‌توانند خط‌مشی‌های یکپارچه‌ای را روی ابرلینک‌ها پیاده کنند؛ ابرلینک‌هایی که تعیین می‌کنند طرف‌سوم‌ها نمی‌توانند اسکریپت‌های طرف‌اول را دستکاری کنند.
محققین: «برای مثال، یک خط‌مشی یکپارچه می‌تواند مشخص کند تمام ابرلینک‌های طرف‌اول نباید توسط کد جاوااسکریپت طرف‌سوم دستکاری شوند. چنین خط‌مشی‌ای در ادامه تعیین می‌کند اسکریپت‌های طرف‌سوم اجازه ندارند نویگیشن‌های فریم را کنار کنند؛ گرچه در جریان تعداد کلیک کاربران قرار گرفتن هنوز هم مجاز است. پیاده‌سازی تمام این خط‌مشی‌ها به طورمؤثری می‌تواند جلوی این کلیک‌دزدی‌ها را بگیرد».
محققین (با توجه به گفته‌های خودشان) تصمیم دارند در آینده چنین مانیزم یکپارچه‌ای را ساخته و مورد ارزیابی قرار دهند.

فعالیت یک شرکت دانش بنیان در زمینه تجهیزات امنیتی

/در , , , , /توسط
یک شرکت دانش‌بنیان توانسته دستگاه‌های الکترونیکی در زمینه تجهیزات امنیتی نظیر سوئیچر، کنترل پنل هوشمند آسانسور، اتوماسیون خانگی و کنترل برد هوشمند لوازم خانگی ارائه کند.
 
 
 یک شرکت دانش‌بنیان توانسته دستگاه‌های الکترونیکی در زمینه تجهیزات امنیتی نظیر سوئیچر، کنترل پنل هوشمند آسانسور، اتوماسیون خانگی و کنترل برد هوشمند لوازم خانگی ارائه کند.
 
این شرکت از طریق سرمایه‌گذاری در پشتیبانی مهندسی در ساخت و تولید صنایع الکترونیکی و مخابراتی به دنبال افزایش مشتری است.
 
لازم به ذکر است، رقابت خوبی بین شرکت های ایرانی با خارجی شکل گرفت است.
 
 

اپل برای کشف شکاف‌ های امنیتی سیستم IOS جایزه تعیین کرد

/در , , , /توسط
 
اپل جایزه ای با سقف یک میلیون دلار برای کشف شکاف های امنیتی در سیستم عامل خود در نظر گرفته است.
اپل یک برنامه جدید برای کشف باگهای امنیتی  اعلام کرده است. طبق این برنامه افرادی که بتوانند  شکاف های امنیتی در مک او اس، تی وی او اس، واچ او اس و آی کلود را کشف و فاش کنند ، جایزه ای یک میلیون دلاری از اپل دریافت می کنند.
 
این شرکت اعلام کرده آیفون هایی مخصوص  و رایگان در اختیار کارشناسان امنیتی قرار می دهد تا به این ترتیب آنها قبل از هکرها باگ های امنیتی را فاش کنند.
 
برنامه کشف شکاف امنیتی در آیفون از اوایل هفته گذشته اعلام شده است اما این نخستین باری است که اپل برنامه کشف شکاف امنیتی در سیستم iOS را گسترش می دهد. این برنامه نخستین بار در ۲۰۱۶ میلادی ارائه شد.
 
 به نقل از انگجت، کارشناسان امنیتی که بتوانند شکاف های امنیتی در پلتفرم هایی غیر از iOS را شناسایی کنند، جایزه ای ۲۰۰ هزار دلاری دریافت می کنند. البته  جایزه یک میلیون دلاری به کشف شکاف های امنیتی تعلق می گیرد که حمله کنندگان با استفاده از آنها و بدون دسترسی فیزیکی به دستگاه قادر به نفوذ کامل در آیفون یا آی پد هستند.
 
همچنین این شرکت جایزه ای ۵۰۰ هزار دلاری برای کشف شکاف های امنیتی درنظر گرفته که به هکرها اجازه دسترسی به کل اطلاعات کاربر را می دهد.

مایکروسافت با راه‌اندازی لابراتور جدید امنیتی آژور خدمات ابری خود را بهبود می‌بخشد

/در , , , , , /توسط
 
مایکروسافت لابراتور جدید امنیتی آژور را راه‌اندازی کرده و به‌دنبال جذب نیرو با پاداش‌های چشمگیر برای بهبود خدمات ابری خود است.
 
مایکروسافت لابراتور جدید امنیتی آژور را راه‌اندازی کرده و قرار است پاداش تشویقی خود را برای بهبود امنیت خدمات ابری تا دوبرابر، یعنی ۴۰ هزار دلار، افزایش دهد. همچنین، ردموندی‌ها پاداش‌های بیشتری برای کارمندان لابراتور امنیتی آژور اعلام کرده‌ و توافق خود را برای دو دهه با Safe Harbor رسمیت بخشیده‌اند.
 
لابراتور امنیتی آژور محیط ابری امنی برای مشتری است و بدون اینکه کاربران عمومی را درمعرض خطر قرار دهد، به افراد این امکان را می‌دهد تا تلاش کنند تکنولوژی‌های آژور را هک کنند. لابراتور امنیتی آژور کاملا تخصصی و منحصربه‌فرد است و به دور از کاربران عادی است. این بدان معنی است که چالش‌های مبتنی‌بر سناریو، بدون تحت‌تأثیر قراردادن کاربران عادی آژور انجام خواهد شد. مایکروسافت ۳۰۰ هزار دلار جایزه برای حل این چالش‌ها تعیین کرده است. جزئیات این جوایز برتر روی صفحه‌ی برنامه تشویقی آژور قرار گرفته است. افزون‌براین، مایکروسافت در پست اخیر خود تمام اطلاعیه‌های امنیتی را در ZDNet اعلام کرده است. 
 
 
در این اطلاعیه آمده است:
لابراتور امنیتی آژور مجموعه‌ای از میزبان‌های اختصاصی ابری برای پژوهشگران امنیتی است که حملات علیه سناریوهای خدمات ابری زیرساختی (IaaS) را آزمایش کنند. همان‌طورکه پیش‌تر اشاره شد، این آزمایش‌ها از مشتریان آژور کاملا تفکیک داده شده است. به‌منظور ارائه‌ی فضای آزمایشی ایمن، برنامه‌ی لابراتور به پژوهشگران مشارکت‌کننده این امکان را می‌دهد به‌طور مستقیم با کارشناسان امنیتی آژور در مایکروسافت در تعامل باشند. متقاضیان پذیرفته‌شده به کمپین‌های سه‌ماهه برای سناریوهای هدفمند با پاداش‌های تشویقی‌های اضافه خواهند شد و به خدمات منحصربه‌فرد دسترسی خواهند داشت. همچنین، مایکروسافت افرادی که موفق شوند باگ‌ها را شناسایی کنند، به‌طور رسمی این شناسایی را با نام خودشان اعلام می‌کند و افتخار و پاداشش نصیب خود فرد می‌شود.
 
مایکروسافت از امروز اپلیکیشن‌هایی برای پیوستن به لابراتور امنیتی آژور راه‌اندازی کرد و از افراد منتخب دعوت کرد بیایند و بهترینِ خودشان را به‌نمایش بگذارند و به‌ خوبیِ هکرهای جنایی کارشان را انجام دهند. افراد واجد شرایط می‌توانند ازطریق فرم درخواست مایکروسافت، درخواست همکاری خود را ثبت کنند. همچنین، مایکروسافت با رسمیت‌بخشیدن به تعهدات خود با Safe Harbor، کمک می‌کند این اطمینان حاصل شود که افراد بدون اینکه عواقب قانونی متوجه آن‌ها باشد، بتوانند آسیب‌پذیری‌ها و مسائل امنیتی را گزارش کنند.