ویروسی که بدون اینترنت اطلاعات را سرقت می‌کند

/در , , , /توسط
ما همیشه شنیده‌ایم که ویروس‌ها از طریق اینترنت یا شبکه به کامپیوتر ما نفوذ می‌کنند که البته درست هم بود. اما اکنون وضعیت کمی تغییر کرده و اتفاق عجیبی در زمینه نفوذ به کامپیوترها افتاده است. اگر کامپیوتر شما هم برای خنک شدن از فن استفاده می‌کند باید بدانید محققان روشی را اختراع کردند که می‌تواند اطلاعات شما را از طریق صدای CPU و فن دستگاه سرقت کند.
 
محققان ویروسی ساخته‌اند که صدای سرعت CPU و فن خنک‌کننده دستگاه را به‌صورت کد مورس ترجمه و به اطلاعات تبدیل می‌کند. این سیگنال‌های مورس تا فاصله 8 متری به خوبی شنیده می‌شوند و می‌توان آنها را با یک گوشی هوشمند دریافت کرد. البته برای دریافت اطلاعات، گیرنده باید به فن دستگاه شما بچسبد. که البته خیلی کار مشکلی نیست. این گیرنده می‌تواند یک برچسب کوچک باشد و زمانی که نصب شد می‌تواند محل ذخیره اطلاعات را پیدا کند و با کنترل سرعت CPU و فن دستگاه، اطلاعات را دریافت کند و متاسفانه شما هیچ راهی برای متوجه شدن ندارید. اما چون این روش با کد مورس کنترل می‌شود نمی‌توان حجم زیادی از اطلاعات را سرقت کرد.
 
اما محققان به این نتیجه رسیده‌اند زمانی که سرعت CPU به 900 بیت در ساعت می‌رسد(این سرعت خیلی کم اتفاق می‌افتد)، کامپیوتر شما در حال رمزگذاری است و می‌توان به فایل‌های رمز‌گذاری شده دسترسی پیدا کرد. البته این نوع حمله به دو چیز نیاز دارد که هکر را خیلی محدود می‌کند. اول اینکه هکر باید نزدیک شما باشد نهایتا تا فاصله 8 متری. دوم هم اینکه، باید یک برچسب را روی فن دستگاه شما نصب کند. البته همه اینها هم شدنی است و این موضوع نشان می‌دهد امن‌ترین کامپیوترها هم امن نیستند.

پایگاه‌های اینترنتی کشور سیستم مدیریت وقایع دارند؟

/در , , , /توسط
آیا سازمانها برنامه‌ای برای جمع‌آوری و پیدا کردن همبستگی و روابط بین لاگ‌ها از چند منبع را برای تحلیل برخط در اختیار دارند؟
 
مرور وقایع سایبری اخیر در ارتباط با پایگاه‌های اینترنتی کشور نشان می‌دهد که مسئولان فنی بیش از هر زمان دیگری نیازمند توصیه‌های امنیتی هستند.
 
مرکز ماهر در بخشی از گزارش "راهنمای فنی برای ارتقا امنیت فناوری اطلاعات در سازمان" به جمع‌آوری و تحلیل لاگ‌ها و وقایع پرداخته و گفته است که از داشتن یک برنامه SIEM برای جمع‌آوری لاگ‌ها، تحلیل‌ها، همبستگی آنلاین، و پاسخ خودکار مطمئن شوید.
 
آیا سازمان، برنامه‌ای برای جمع‌آوری و پیدا کردن همبستگی و روابط بین لاگ‌ها از چند منبع را برای تحلیل برخط در اختیار دارد؟
 
اگر چه ممکن است، لاگ‌ها به خودی خود باعث حل مشکلات امنیتی نشوند اما وسیله ضروری برای نظارت بر وقایع امنیتی و تحلیلی حوادث هستند.
 
تمامی دستگاه‌های موجود در شبکه توانایی تولید لاگ اتفاقات خود را دارند.
 
با در اختیار داشتن داده‌های مربوط به لاگ دستگاه‌های متفاوت می‌توان آنها را به صورت آنلاین پردازش کرد و با استفاده از رابطه بین آنها مشکلات امنیتی پیش آمده را تشخیص و نسبت به رفع آن اقدام کرد.
 
سیستم‌های مدیریت وقایع و امنیت اطلاعات (SIEM) بهترین راه‌حل برای مدیریت جامع لاگ‌های سیستم است.
 
این سیستم‌ها قابلیت پاسخ خودکار را برای مشکلات امنیتی دارند، که با این کار گروه‌های امنیتی سازمان‌ها می‌توانند مطمئن باشند که قادر هستند توسط این سیستم‌ها مانع وقوع بسیاری از مشکلات امنیتی شوند.
 
بسیاری از برنامه‌های امنیتی موجود در شبکه نسبت به استفاده‌های نادرست و دسترسی غیرمجاز آسیب‌پذیر هستند.
 
این برنامه‌ها شامل موارد زیر است:
 
سیستم‌های تشخیص نفوذ
برنامه‌های آنتی‌ویروس
فایروال‌ها، روترها و دیگر دستگاه‌های موجود در شبکه
وی‌پی‌ان، درگاه‌های امن و سرورهای انتقال فایل
برنامه‌های سروری، وب سرورها و سرورهای پایگاه داده
سیستم‌عامل‌ها، ماشین‌های مجازی و ...
مانیتور کردن لاگ وقایع در هر کدام از موجودیت‌های بالا از دیدگاه یک متخصص امنیت در سازمان بسیار لازم و ضروری است.
 
ایزارهای مدیریت وقایع و امنیت اطلاعات به عنوان یک راه‌حل برای مدیریت لاگ‌هاست که می‌تواند با دیگر ابزارهای امنیتی تلفیق شود.
 
به صورت خلاصه این ابزارهای دارای ویژگی‌های به شرح زیر هستند:
 
مجتمع کردن و تحلیل تمامی لاگ‌ها به صورت بر خط
پیدا کردن روابط و همبستگی لاگ‌ها با دیگر وقایع رخ داده در شبکه
تشخیص درست برای ممانعت و ترمیم تهدیدهای آنی در سیستم‌ها براساس جدول زمانی
تولید پاسخ‌های خودکار براساس بهترین اعمال امنیتی

منشأ یکی از حملات سایبری منع سرویس کشف شد

/در , , , , /توسط
بررسی‌ها نشان می‌دهد بسیاری از نرم‌افزارهای TFTP بطور خودکار ترافیک خروجی در حدود ۶ برابر ترافیک ورودی تولید می‌کنند.
 
پروتکل TFTP یا Trivial File Transfer Protocol پروتکلی ساده برای انتقال فایل درون شبکه است که این امکان را در اختیار کلاینت قرار می‌دهد تا فایل مورد نظرش را به یک سیستم راه دور ارسال یا از آن دریافت کند.
 
این پروتکل قدیمی بوده و در سال 1981 میلادی در قالب یک استاندارد ارائه و در سال‌های بعد نسخه‌های تکمیلی به استاندارد افزوده شده است.
 
از عمده‌ترین کاربردهای این پروتکل می‌توان به انتقال خودکار فایل‌های مربوط به تنظیمات یک دستگاه یا فایل‌های مورد نیاز یک دستگاه برای بوت شدن در یک شبکه محلی اشاره کرد.
 
TFTP از پروتکل UDP و شماره پورت 69 برای انتقال فایل یا گاهی از TCP و شماره پورت 8099 به منظور انتقال اطلاعات مربوط به رابط کاربری استفاده می‌کند.
 
هدف از طراحی پروتکل TFTP کوچک بودن و سادگی پیاده‌سازی آن بوده و بنابراین فاقد بسیاری از ویژگی‌هایی است که توسط دیگر پروتکل‌های انتقال فایل قدرتمند ارائه می‌گردد.
 
تنها کاری که TFTP انجام می‌دهد خواندن یا نوشتن فایل‌ها از یا روی سیستم راه دور است و نمی‌تواند فایل‌ها یا دایرکتوری‌ها را حذف، تغییر نام یا لیست کند؛ همچنین فاقد قابلیت احراز اصالت کاربران است که بزرگترین نقطه ضعف امنیتی آن محسوب می‌شود.
 
پروتکل TFTP طبق گزارش مـاهر، بهترین مصداق امنیت از طریق گمنام است و اگر شخصی قصد سوء‌استفاده از این سرویس را داشته باشد باید نام فایل مورد نظرش را حتماً بداند.
 
اگرچه این مورد ساده به نظر می‌رسد ولی با توجه به عدم امکان ارسال درخواست مبنی بر لیست کردن فایل‌ها یا دایرکتوری‌ها در پروتکل TFTP، این گمنامی می‌تواند زمان نتیجه گرفتن حمله را به تأخیر بیاندازد. با توجه به امنیت بسیار پایین این پروتکل، توصیه شده است که حداکثر در شبکه‌های محلی به کار گرفته شود.
 
یکی دیگر از تهدیدهای پر اهمیت پروتکل TFTP امکان سوء‌استفاده از آن برای انجام حملات DDOS است.
 
عدم تعیین سایز پیش فرض برای برخی از فیلدهای پرسش و پاسخ پروتکل، Stateless بودن پروتکل و عدم استفاده از روش‌های احراز اصالت از مهمترین دلایل پیدایش این حمله است.
 
برای اجرای حمله، فرد حمله‌کننده ابتدا اقدام به یافتن سرورهای TFTP می‌نماید که از طریق شبکه اینترنت قابل دسترسی هستند. پس از آن یک درخواست PRQ TFTP با حداقل سایز ممکن را ارسال نموده که پاسخ آن حداکثر بوده و به جای قرار دادن آدرس IP خود در فیلد آدرس IP فرستنده، آدرس IP فرد قربانی را قرار می‌دهد.
 
درنتیجه پاسخ تولیدی برای فرد قربانی ارسال خواهد شد.
 
به دلیل اینکه تعداد بایت موجود در پیامی که سرور در پاسخ باز می‌گرداند نسبت به تعداد بایت موجود در پرسش ارسال شده از سوی کلاینت قابل توجه است، حمله کننده می‌تواند به ضریب تقویت بالایی دست پیدا کند.
 
به این صورت با بکارگیری یک شبکه بات‌نت می‌توان حجم بسیار زیادی ترافیک به سوی فرد قربانی هدایت نمود. در نتیجه یک سرویس‌دهنده TFTP که پیکربندی صحیحی ندارد می‌تواند بطور ناخواسته در حمله DDoS مورد سوء‌استفاده قرار گیرد.
 
اگر تمام شرایط مورد نظر به درستی وجود داشته باشد، با استفاده از این حمله، ترافیک خروجی می‌تواند به میزان 60 برابر ترافیک اولیه نیز برسد.
 
بررسی‌ها نشان می‌دهد بسیاری از نرم‌افزارهای TFTP بطور خودکار ترافیک خروجی در حدود 6 برابر ترافیک ورودی تولید می‌کنند.
 
برای امن‌سازی تجهیزات در برابر سوء‌استفاده از این آسیب‌پذیری، موارد زیر باید اعمال شوند:
 
بایستی در صورت عدم نیاز به TFTP، این سرویس غیرفعال گردد.
 
بایستی در صورت نیاز به TFTP، تنها در شبکه محلی قابل دسترسی باشد. در صورت نیاز به دسترسی به این سرویس از طریق شبکه اینترنت، بایستی ترافیک وارد شده از بیرون شبکه به این سرویس و همچنین ترافیک خروجی از آن از داخل شبکه به بیرون کنترل شود.
 
این کار با کنترل کردن ترافیک UDP/69 توسط دیواره آتش قابل انجام است.

راه نفوذ هکرها به وب سایت های دولتی مشخص شد

/در , , , /توسط
پلیس فتای کشور با انتشار دو سند مرکز ماهر به صورت عمومی، جزییات بیشتری از هک های اخیر منتشر کرد.
 
این دو سند با عناوین «راهکار رفع آسیب پذیری Installatian در پورتال DotNetNuke» و «راهنمای فنی برای ارتقای امنیت فناوری اطلاعات در سازمان» منتشر شده است.
 
در راهکار رفع آسیب پذیری Installatian در پورتال DotNetNuke آمده است: بررسی های صورت گرفته درخصوص وقایع هک اخیر در شماری از پورتال های کشور نشان از سوءاستفاده از یک ضعف امنیتی بر CMS متن باز DotNetNuke دارد. این CMS در نسخه های قبل از 8.0.3 دارای یک نقص امنیتی جدی است که در چند مرحله در سال های 2015 و 2016 مورد حمله واقع شده است.
 
نسخه فعلی 8.0.3 روی سایت شرکت irandnn.ir که ارایه دهنده CMS به بسیاری از پورتال ها در کشور است، دارای آخرین بروزرسانی ها بوده و ضعف امنیتی معروف به Installation بر نسخه فعلی ارایه شده روی این سایت پوشش داده شده و آسیب پذیری وجود ندارد. به عبارت بهتر نسخه 8.0.3 همان نسخه بروزرسانی شده 07.04.01 مربوط به سایت اصلی سیستم مدیریت محتوای DNN است که ضعف امنیتی مذکور روی آن پوشش داده شده است.سایت irandnn.ir در تاریخ 14 خرداد 95 اخطار امنیتی درباره این ضعف را گزارش داده و نحوه از بین بردن آن را به صورت دستی توضیح داده است. همچنین نسخه DNN فارسی خود را هم به 8.0.3 ارتقا داده است.
 
در نسخه 07.04.00 از DNN CMS متاسفانه هیچ گونه تدبیری درباره دسترسی افراد غیرمجاز به سیستم نصب آن اندیشیده نشده است. به همین دلیل نفوذگران با دسترسی Remote می توانند مجددا سیستم DNN CMS را reinstall کرده و به سطح دسترسی Super User روی این سیستم مدیریت محتوا برسند. همچنین تمامی نسخه های پیش از نسخه 07.04.00 هم دارای این مشکل هستند.
 
 توضیحات irandnn.ir
پویا پلاشانی، مدیرعامل شرکت راهبران فناوری پاسارگاد (سایت irandnn.ir) که در گزارش مرکز ماهر از سایت وی نام برده شده است، گفت: ما مشتریان زیادی مانند سازمان حج و زیارت، شرکت مخابرات، بانک کشاورزی و شهرداری تهران داریم و به آنها نیز حملات زیادی شده بود و می شود و باید دید چرا هکرها در حمله به آنها موفق نبوده اند.
 
وی افزود: چون اتفاق پرسروصدا و مهمی تاکنون رخ نداده بود، متاسفانه برخی از سایت ها به تذکرات و هشدارها بی توجهی می کرده و در جلوگیری از برخی آسیب پذیری ها غفلت می کردند.
 
پلاشانی در پاسخ به این سوال که چرا براساس گزارش مرکز ماهر، نخستین اخطار درباره این آسیب پذیری خیلی دیر (14 خرداد) به سازمان ها اعلام شد، گفت: این باگ از سال گذشته مشخص شده و هشدارهای لازم داده شده بود. اما پس از اینکه این مشکلات پیش آمد، مجددا در 14 خرداد اخطار جدیدی برای سازمان ها فرستاده شد.
 
وی درباره میزان نفوذی که می توان از این آسیب پذیری انجام داد، گفت: کار خاصی نمی توان کرد و در هک های اخیر هم شاهد بودیم که تنها موضوع دیفیس (تغییر ظاهر) سایت ها پیش آمد.
مدیرعامل شرکت راهبران فناوری پاسارگاد گفت: دات نت نیوک یک نرم افزار شناخته شده است که حتی  سازمان ملل، bank of America و ارتش آمریکا هم از آن استفاده می کنند. 
 
بر اساس این گزارش همچنین سند دوم با عنوان «راهنمای فنی برای ارتقای امنیت فناوری اطلاعات در سازمان» منتشر شده است. در توضیح این راهنما آمده است: هرچند توصیه های کلی توسط مراجع مختلف به سازمان ها ابلاغ شده است، اما راهنمایی که جزییات دقیق تری را از نظر فنی مشخص کند، می تواند کمک بسیاری جهت ارتقای امنیت سازمان ها داشته باشد.
 
در این راهنما پویش دوره ای و ارزیابی امنیتی محدوده آدرس IP، پورتال و سایر سرویس های الکترونیکی سازمان، مشخص کردن تیم فنی و حقوقی برای مدیریت و پاسخ به حوادث امنیتی و داشتن یک برنامه SIEM برای جمع آوری لاگ ها، تحلیل ها، همبستگی آنلاین و پاسخ خودکار از مدیران فناوری اطلاعات سازمان ها خواسته شده است.
 
راه اندازی و پیکربندی فایروال و فایروال وب (WAF)، مدیریت پیکربندی و تغییر شبکه، مدیریت سرور، مدیریت پشتیبان ها، مدیریت دسترسی از راه دور، مدیریت آسیب پذیری در سیستم های شبکه، ممانعت از پاک شدن اطلاعات کاربران، اطمینان از امنیت اطلاعات در اینترنت، مانیتور کردن ترافیک شبکه در سیستم های شبکه، مانیتورینگ شبکه های بی سیم و آموزش کاربران، نکات مربوط به حساب های کاربری و ردگیری دستگاه ها و کاربران از دیگر توصیه های مرکز ماهر به دستگاه هاست.
 
اما نکته جالب این است که این نکات در حد توصیه و راهنما باقی مانده و هیچ الزامی برای سازمان ها درخصوص رعایت این ضوابط در نظر گرفته نشده است.

دلیل هک شدن پورتال‌های ایران مشخص شد/CMS را بروز کنید

/در , , , , /توسط
پلیس فتا با استناد به گزارش مرکز ماهر وزارت ارتباطات و فناوری اطلاعات، دلیل هک شدن پورتال‌های ایرانی طی حملات سایبری اخیر را عنوان کرد.
 
پلیس فضای تولید و تبادل اطلاعات (فتا) گزارشی را با عنوان راهکار رفع آسیب‌پذیری Installatian در پورتال DotNetNuke منتشر کرده که در آن به چرایی هک شدن برخی سایت‌های کشور پرداخته شده است.
 
پلیس فتا در این بیانیه به گزارش مرکز ماهر وزارت ارتباطات استناد و دلیل هک شدن برخی پورتال‌های داخلی را در جریان عملیات سایبری اخیر عنوان کرده است.
 
مرکز ماهر در قالب پیوستی به "راهکار رفع آسیب‌پذیری Installatian در پورتال DotNetNuke" پرداخته است.
 
طبق این گزارش، بررسی‌های صورت گرفته درباره وقایع هک اخیر بر روی شماری از پورتال‌های کشور نشان از سوءاستفاده از یک ضعف امنیتی روی CMS متن باز DotNetNuke دارد.
 
این CMS در نسخه‌های قبل از 8.0.3 دارای یک نقص امنیتی جدی است که در چند مرحله در سال‌های 2015 و 2016 مورد حمله واقع شده است.
 
نسخه فعلی 8.0.3 روی سایت شرکت irandnn.ir که ارایه دهنده این CMS به بسیاری از پورتال‌ها در کشور است، دارای آخرین بروزرسانی‌ها بوده و ضعف امنیتی معروف به Installation بر نسخه فعلی ارایه شده روی این سایت، پوشش داده شده و آسیب‌پذیری وجود ندارد.
 
به عبارت بهتر نسخه 8.0.3 همان نسخه بروزرسانی شده 07.04.01 مربوط به وب‌سایت اصلی سیستم مدیریت محتوای DNN است که ضعف امنیتی یاد شده روی آن پوشش داده شده است.
 
وب‌سایت irandnn.ir در تاریخ 14 خرداد 95 اخطار امنیتی در مورد این ضعف را گزارش و نحوه از بین بردن آن را به صورت دستی توضیح داده است. همچنین نسخه DNN فارسی خود را هم به 8.0.3 ارتقا داده است که کاربران می‌توانند از منوی بروزرسانی در صفحه مدیریت سایت‌های خود، به صورت اتوماتیک نسخه DNN مورد استفاده روی سایت‌شان را بروزرسانی کنند.
 
در نسخه 07.04.00 از DNN CMS متاسفانه هیچ‌گونه تدبیری در مورد دسترسی افراد غیرمجاز به سیستم نصب آن اندیشیده نشده است.
 
به همین دلیل نفوذگران با دسترسی Remote می‌توانند مجددا سیستم DNN CMS را reinstall کرده و به سطح دسترسی Super User روی این سیستم مدیریت محتوا برسند. تمامی نسخه‌های قبل از نسخه 07.04.00 هم دارای این مشکل هستند.
 
در بخش اثبات ادعا هم، مرکز ماهر مستندات زیر را ارائه کرده است:
 

پلیس فتا خبر داد: دستگیری کلاهبردار ۱۰۰ میلیونی اینترنتی در شهرستان قدس

/در , , , , /توسط
جانشين فرمانده انتظامي شهرستان قدس از دستگيري کلاهبردار 100 ميليون ريالي اينترنتي توسط پليس فضاي توليد و تبادل اطلاعات اين شهرستان خبر داد. 
 
سرهنگ"علي محمد احمدي"در تشريح اين خبر گفت:با مراجعه يکي از شهروندان و اعلام گزارش سرقت 100 ميليون ريالي از حساب بانکي اش ،موضوع به صورت ويژه در دستور کار کارشناسان پليس فتاي اين شهرستان قرار گرفت. 
اين مقام انتظامي خاطر نشان کرد:کارشناسان پليس فتا با استعلام از بانک هاي عامل صورتحساب گردش مالي شاکيه را دريافت و در برسي ها زمان برداشت و محل انتقال وجه مشخص گرديد. 
 
سرهنگ"احمدي افزود:ماموران پليس فتا با استفاده از مکاتبات اداري و اخذ فيلم دوربين مدار بسته موفق به شناسايي چهره سارق "م-ح"شده و بلافاصله پس از کسب دستور مقام قضايي در يک عمليات حساب شده و سريع متهم را دستگير و و به پليس فتا دلالت دادند. 
 
سرهنگ"احمدي"در خصوص نحوه کلاهبرداري بيان داشت:متهم مدتها پيش به خاطر معامله با برادر شاکيه از وي مبلغ 50 ميليون ريال طلب داشته و با نقشه برادر شاکيه در يک فرصت مناسب کارت وي را با ترفند براشت مبلغ بسيار کم از وي گرفته وکارت به همراه رمز در اختيار متهم قرار مي گيرد که وي نيز در يک اقدامي ناپسند اقدام به کسب مال غير و برداشت مبلغ 100 ميليون ريال مي کند . 
 
اين مقام انتظامي در پايان تصريح کرد:با اعترافات صريح متهمان،پرونده مقدماتي مبني بر کسب مال غير و برداشت غير مجاز تشکيل و متهمان به جرم خيانت در امانت تحويل مراجع قضايي شدند. 
 
سرهنگ"احمدي" در توصيه به شهروندان گفت:شهروندان تحت هيچ عنواني کارت بانکي خود را در اختيار ديگران قرار ندهند و علي رغم فعال نمودن اس ام اس بانک کارت خود ، رمز کارت بانکي خود را نيز به صورت ماهانه تعغير دهند و هر گونه موارد مشکوک را سريعأ به پليس 110 گزارش دهند. 

آیا احراز هویت دوعامله راه‌حلی برای جلوگیری از نفوذگری است؟

/در , , , , /توسط
پس از نفوذهای اخیر به داده‌ها که علیه غول‌های فناوری (برای مثال MySpace، لینکدین، توییتر) صورت گرفت، ‌کارشناسان امنیتی کاربران را دعوت می‌کنند تا از به‌اشتراک‌گذاری اعتبارنامه‌های ورود خود روی وبگاه‌های متعدد جلوگیری کنند و اگر قابلیت احراز هویت دوعامله (FA٢) وجود دارد آن را فعال کنند.
 
بنابراین آیا احراز هویت دوعامله، راه‎حل صحیحی برای هر نوع از نفوذ است؟ البته که نه، بسیار مهم است که فرض کنیم وضعیت امنیتی مناسب، هوشیاری از وقوع تهدیدات است. فرایند احراز هویت دوعامله می‌تواند توسط راه‌های متعدد دور زده شود، برای مثال با استفاده از بدافزار یا از طریق حملات مهندسی اجتماعی.
 
احراز هویت دوعامله به‌شدت امنیت شما را بهبود می‌بخشد، حتی هنگامی‌که نفوذگران موفق به سرقت گذرواژه‌ شما شوند، بازهم نیاز دارند تا عامل دوم را برای کامل‌کردن فرایند احراز هویت در اختیار داشته باشند. متأسفانه، ‌آنها می‌توانند این عامل دوم را با فریب کاربران برای افشای آن در اختیار بگیرند. اوایل این هفته، کارشناسان امنیتی الکس مک کاو از بنیان‌گذاران شرکت Clearbit درباره تکنیک‌های حمله‌ای هشدار داده که در حملات واقعی دیده است. این ترفندها کمک می‌کند تا کاربران فریفته شوند و کد احراز هویت دوعامله خود را برای حساب گوگل افشا کنند.
 
در اینجا این ترفند مرحله‌به‌مرحله توضیح داده می‌شود: مهاجم یک پیام کوتاه برای کاربر ارسال و تظاهر می‌کند که از طرف شرکت ارسال ‌شده است. همچنین این ترفند درصورتی‌که کاربر از سایر ارائه‌دهندگان خدمات استفاده کند، در آنها نیز کار می‌کند. این پیام به کاربر می‌گوید که ارائه‌دهنده خدمات که در اینجا شرکت گوگل است، فعالیت‌های مشکوکی را در حساب کاربر مشاهده کرده است و اکنون شرکت از قربانی می‌خواهد کد احراز هویت دومرحله‌ای را برای اجتناب از قفل‌شدن حساب برای او پیامک کند.
 
قربانی برای جلوگیری از بروز مشکل، این کد را پس می‌فرستد و تصور می‌کند که در حال تلاش برای خنثی‌کردن حمله است. در این لحظه، همه‌ آنچه را که لازم دارد، برای کنترل حساب قربانی در دست دارد. نفوذگر از مشخصات احراز هویت قربانی و کد دومرحله‌ای استفاده کرده و از طریق فرایند گفته‌شده می‌تواند به ‌حساب کاربر دسترسی پیدا کند. 

بازار سیاهی که متاعش سرورهای هک شده است؛ نگاهی به xDedic

/در , , , , /توسط
شکل گیری فضای مجازی، آغازی برای ایجاد فرصت های شغلی تازه بود که خوشبختانه این خبر خوبی است. اما آنطور که در برخی گزارشات آمده، این فضا در سال های اخیر، به بستری برای ایجاد بازارهای زیرزمینی بدل گردید که xDedic یکی از آنهاست.
 
شاید در وهله نخست نتوان اطلاعات زیادی را با دیدن اسم کوتاه و البته مرموز xDedic به دست آورد. با این همه، باید به اطلاع تان برسانیم که در این بازار مهجور همه می توانند خریدار یکی یا تمامی هفتاد هزار سروری باشند که در سرتاسر دنیا هک شده اند.
 
 
xDedic در واقع محلی است برای خریداران تا هرآنچه که می خواهند را در آن بیابند و از شبکه های دولتی و شرکتی گرفته تا سرورهای تحت وب و دیتابیس ها را بسته به نیاز خود خریداری نمایند و بهترین نکته در مورد آن شاید قیمت پایینش باشد؛ خرید مجوز دسترسی به یک سرور مستقر در کشورهای عضو اتحادیه اروپا شاید حتی با تنها 6 دلار هم ممکن باشد.
 
این هزینه که تنها یک بار هم پرداخت می گردد دسترسی خریدار را به تمامی داده هایی فراهم می کند که روی سرور قرار دارند و حتی ممکن است امکانی را به فرد یا نهاد خریدار دهد که با استفاده از این داده ها، حملات سایبری دیگری را ترتیب دهد. سهولت دسترسی به قربانیان، ارزان تر نمودن این فرایند و سرعت بخشیدن به آن و ایجاد فرصت های تازه هم برای مجرمان سایبری و عاملات تهدیدات پیشرفته همگی از جمله اقداماتی هستند که هکرها رویایش را در سر می پرورانند.
 
 
حال آزمایشگاه کسپرسکی برای بررسی xDedic با ارائه دهندگان خدمات اینترنتی در اروپا وارد همکاری شده است تا از این طریق داده های لازم را در خصوص قربانیان این بازار سیاه و عملکرد آن به دست آورد.
 
طبق بررسی های صورت گرفته توسط این ائتلاف، در ماه می امسال، حدود 70624 سرور توسط 416 موجودیت مستقل فروشنده از 173 کشور مختلف دنیا در این بازار به فروش گذاشته شد. در ماه مارس این رقم به 55 هزار سرور تنزل یافت که نشان می دهد دیتابیس کاربران و سرورها در این ماه به شکل بهتری نگهداری و به روز شده است.
 
 
جالب اینجاست که توسعه دهندگان xDedic خودشان چیزی نمی فروشند و در مقابل بازاری را ایجاد کرده اند که در آن شبکه ای از وابستگانشان می توانند دسترسی به سرورهای تضعیف شده را به علاقمندان بفروشند.
 
اگر صادق باشیم و جوانب منفی این کار را نادیده بگریم، آنها که مدیریت xDedic را بر عهده دارند خدماتی «با کیفیت» را در اختیار مشتریان خود قرار می دهند (این فوروم حتی پشتیبانی فنی لایو هم در اختیار مشتریانش می گذارد و ابزارهای ویژه ای برای پچ سرورهای هک شده و آپلود اطلاعات مربوط به سرور روی دیتابیس خود دارد).
 
10 فروشنده اصلی سرور در این بازار
 
سوال اینجاست: فروشندگان xDedic چه کسانی هستند؟ کارشناسان کسپرسکی اخیرا موفق شده اند بدافزاری (به نام SCCLIENT) که توسط یکی از آنها مورد استفاده قرار می گیرد را شناسایی نمایند و دیدی مختصر نسبت به عملیات های انجام شده توسط یکی از این موجودیت ها پیدا کنند که براساس شمار قربانیان آن تصور می شود یکی از موجودیت های xLeon، Narko یا sirr باشد.
 
 
تروجان SCCLIENT: اطلاعات به دست آمده از قربانیان با استفاده از Sinkholing (دوازده ساعت نخست)
 
همانطور که در بالا گفته شد xDedic نوعی ابزار ایجاد پروفایل هم در اختیار مشتریان خود قرار می دهد که در واقع اطلاعات لازم را در خصوص نرم افزار نصب شده روی سرور هک شده به دست می آورد و برای نمونه مشخص می کند که به شرط بندی آنلاین مربوط می شود یا تجارت و پرداخت.
 
روشن است که مجرمان سایبری علاقه ویژه ای به نرم افزارهای حسابداری، گزارشگیری مالیاتی و نقطه فروش (point-of -sale) دارند چراکه این نرم افزارها فرصت های زیادی را برای تقلب و جعل در اختیارشان قرار می دهند.
 
 
تیم کسپرسکی در جریان بررسی های خود با 453 مورد سرور مختلف از 67 کشور دنیا برخورد که روی آنها نرم افزارهای PoS نصب شده بود.
 
 
سرورهایی که نرم افزارهای PoS روی آنها نصب شده بود و برای فروش گذاشته شده بودند (ماه می 2016)
 
اما می خواهید بدانید این اطلاعات چه سودی می تواند برای مجرمان داشته باشد؟ برای نمونه ممکن است که یک کاربر خرابکار به فوروم xDedic برود، اکانتی برای خود ثبت نماید و سپس با استفاده از بیت کوین تعدادی سرور را خریداری کند که روی آنها همین نرم افزارها نصب گردیده است. در مرحله بعد مجرم سایبری می تواند بدافزارهای PoS نظیر Backoff را روی سرورهای خریداری شده نصب نموده و اطلاعات مربوط به کارت های اعتباری آنها را سرقت نماید. اما این تنها یکی از موارد استفاده است و قطعا احتمالات بیشتر از این است.
 
خوشبختانه آزمایشگاه کسپرسکی مساله را با نهادهای مجری قانون در میان گذاشته و هم اکنون در پروسه های نظارتی و بازرسی با این سازمان ها همکاری دارد.

حراج اطلاعات ۷۰هزار

/در , , , , /توسط
در طول 2سال گذشته، یک نوع بازار زیرزمینی رونق گرفته که کالاهایی خاص در آن خرید و فروش می‌شود، شاید باور نکنید ولی کالای این بازار، اطلاعاتی است که هکرها در گوشه و کنار جهان از سرورهای مختلف سرقت می‌کنند. یکی از کامل ترین نمونه‌های این بازار سیاه و غیرقانونی، پلتفرمی تجاری به نام xDedic است که مجرمان سایبری می‌توانند از طریق اینترنت، اطلاعات بیش از 70هزار سرور هک شده را خریداری کنند.
 
کمپانی کسپرسکای تلاشی همه جانبه را برای شناسایی عملکرد این پلتفرم و خطرات آن آغاز کرد و در تازه ترین گزارشی که ارائه داده با معرفی این بازار، از آلوده و هک شدن سرورهای متعدد در کشورهای مختلف و فروش اطلاعات آن خبر می‌دهد که ایران نیز از این قاعده مستثنی نیست و طبق اطلاعات این کمپانی، حداقل 718 سرور ایرانی آلوده، شناسایی شده و اطلاعات آن در این بازار به فروش می‌رسد.
 
6دلار برای دسترسی به اطلاعات
کمپانی کسپرسکای با مشارکت یک ISP اروپایی، در قالب گزارشی به جمع‌آوری اطلاعات درباره قربانیان پلتفرم تجاری xDedic و نوع عملکرد این بازار غیرقانونی و مجرمانه، چگونگی دسترسی مجرمان به سرورها و... پرداخته است. همچنین در این گزارش ابزار و تروجان‌های نصب شده در سرورهایی که مورد حمله سایبری قرار گرفته‌اند و نیز آمار فروش در این پلتفرم، مورد بحث و بررسی قرار گرفته است.
 
گفته می‌شود این پلتفرم که با هدف آسان‌تر کردن خرید و فروش اطلاعات محرمانه سرورهای هک شده، فعالیت می‌کند، توسط یک گروه از هکرهای روس زبان اداره می‌شود و با کمک ابزارهایی ویژه، می‌تواند زمینه دسترسی و لاگین چند کاربر را به سرورها فراهم کند. از پرتال‌ها و شبکه‌های دولتی گرفته تا شرکت‌های کوچک و بزرگ و سازمان‌ها، می‌توانند اطلاعات مورد علاقه خود را روی این پلتفرم مشاهده کرده و تنها با پرداخت بهای اندک 6دلار به ازای هر سرور، به گنجینه عظیم اطلاعات آن دسترسی پیدا کنند.
 
موضوع جالب دیگر اینکه بازار این پلتفرم با دامنه(domain) به نام biz [.]xdedic در دسترس هرکسی که در آن ثبت‌نام کند قرار می‌گیرد و تنها با پرداخت 6دلار می‌تواند دارای یک اکانت مشخص شده و به یکی از اعضای این مجموعه تبدیل شود. کاربر با ورود به این پلتفرم، صفحه‌ای حاوی فهرست سرورهای موجود برای خرید را پیش روی خود می‌بیند و برای هر سرور نیز جزئیات اطلاعات همچون قیمت، موقعیت، سرعت و آنتی ویروس‌های نصب شده و... درج شده است تا خریدار راحت‌تر انتخاب کند. البته متقاضی حتماً باید ظرف 72ساعت از اکانت خود استفاده کند وگرنه به طور اتوماتیک حذف می‌شود مگر اینکه 10دلار دیگر برای حضور در این پلتفرم بپردازد. البته مالکان دامنه biz [.]xdedic  که گفته می شود در یکی از کشورهای اروپای شرقی میزبانی می شود، مدعی هستند با فروشندگان سرورهای هک شده، هیچ ارتباط مستقیمی ندارند و تنها یک پلتفرم تجاری امن برای  تبلیغات این سرورها فراهم کرده‌اند.
 
افزایش محبوبیت پلتفرم  xDedic
کسپرسکای در بخش دیگری از گزارش خود آورده است آنالیز اطلاعاتی که در بازار xDedic وجود دارد، نشان می‌دهد این سرویس احتمالاً در سال 2014 راه‌اندازی شده و از اواسط سال 2015 میلادی محبوبیت چشمگیری کسب کرده است. به صورتی که در این زمان بیش از 3هزار سرور هک شده، برای فروش گذاشته شده بود و نام تعداد زیادی سرور که مورد دستبرد مجرمان سایبری قرار گرفته است را می‌توان در این پلتفرم دید.نمودارهای این گزارش نیز نشان می‌دهد که از اواسط سال 2016، این پلتفرم و بازار مورد توجه قرار گرفته و هرماه هم بر تعداد اکانت‌ها افزوده شده است.
 
در گزارش کسپرسکای همچنین آمده است در ماه مارس(فروردین)، آدرس 51هزار و 752 سرور از 183کشور جهان برای فروش در این پلتفرم تجاری وجود داشت که در 11هزار و 50 زیرشبکه(subnet) قرار گرفته بود و البته این تعداد سرور توسط 452گروه فروشنده انحصاری در معرض فروش قرار داده شده بود. از ماه مه(اردیبهشت) سال 2016 نیز میزان دسترسی به سرورهای مختلف در جهان از طریق این پلتفرم، به 70هزار و 624 عدد رسیده که برای فروش آماده هستند و آنالیز این کمپانی نشان می‌دهد این تعداد سرور توسط 416فروشنده انحصاری در 173کشور آلوده جمع‌آوری شده و برای فروش در اختیار کاربران متقاضی قرار گرفته است.
 
حملات بدافزاری و تروجان ها
کمپانی کسپرسکای هنگام آغاز مطالعه، تصور می‌کرد هکرها از حملات بروت فورس (Brute Force) برای دستیابی به اطلاعات سرورها استفاده می‌کنند ولی مشخص شد که این مجرمان سایبری از ابزار هک همچون Hacktool.Win32.Bruteforce و نیز تروجانSCClientبهره می‌گیرند.(بروت فورس نوعی از حملات کرکینگ است که هکر در آن از ابزاری استفاده می‌کند تا با بررسی همه احتمالات موجود، موفق به یافتن مواردی مانند رمز عبور یک سایت شود.) طبق مطالعات کارشناسان مؤسسه کاسپراسکای، هکرها یک بدافزار در مسیر «/Windows/System32/scclient.exe» قرار می‌دهند و آن را به گونه‌ای به سیستم معرفی می‌کنند که هنگام بالا آمدن، به طور اتوماتیک آغاز به کار کند.
 
این مجرمان سایبری همچنین با نصب نرم افزار mining Bitcoin به دنبال درآمدزایی هستند. همچنین در این گزارش آمده است که تیم xDedic کلاینت مشخص و ویژه‌ای برای ویندوز ایجاد کرده است. همچنین مالکانxDedic، ابزاری را توسعه داده‌اند که می‌تواند به طور اتوماتیک اطلاعات درباره سیستم ازجمله وب سایت‌ها، هر نرم افزاری که بر آن نصب می‌شود و... را جمع‌آوری کند. برخی از این نرم افزارها تحت کنترل مجرمان سایبری درآمده و می‌توانند با استفاده از آن، اسپم ارسال کرده یا از نرم افزار پروکسی استفاده کنند و بدون اینکه هیچ شکی برانگیزند، هکرها به کار خود ادامه دهند.
 
برزیل دارای بیشترین سرور هک شده
کسپرسکای همچنین با تفکیک کشورهای مختلف بر اساس تعداد سرورهای آلوده، نموداری ارائه کرده که در آن، 10 کشور دارای بیشترین سرور هک شده، مشخص است. این نمودار نشان می‌دهد که برزیل در این زمینه پرچمدار است و بالاترین رقم یعنی حدود 9درصد از سرورهای آلوده و هک شده واقع در این پلتفرم تجاری، مربوط به این کشور است. پس از آن، چین با 7درصد کل سرورهای سرقت شده در جایگاه دوم قرار گرفته و میزان سرورهای هک شده در روسیه نیز 6درصد است. آمار سرورهای هک شده هندوستان و اسپانیا که در این پلتفرم قرار گرفته، 5درصد است و پس از آن، ایتالیا و فرانسه با 4درصد در رده بعدی  قرار دارند.
 
همچنین 3درصد از سرورهایی که برای فروش گذاشته شده به کشورهای استرالیا، آفریقای جنوبی و مالزی مربوط می‌شود و سایر نقاط جهان نیز روی هم رفته51درصد از سرورهای آلوده این پلتفرم را دارند. طبق این گزارش مالزی را می توان از نظر تعداد سرور آلوده در صدر کشورهای آسیای جنوب شرقی دانست.
 
تمرکز هکرها بر سرورهای مرتبط با تجارت الکترونیک
همچنین گزارش مؤسسه کسپرسکای نشان می‌دهد که در سال 2016 تمرکزمجرمان سایبری، بیشتر بر فروشگاه‌های تجاری آنلاین و نیز بانک‌ها و سیستم‌های پرداختی بوده است و البته نام برخی شبکه‌های تبلیغاتی، اپراتورهای تلفن همراه و ISP نیز در میان این سرورها دیده می‌شود.  سرورهای مرتبط با تجارت الکترونیک یا نرم افزارهای حسابداری نیز بخش عمده ای را به خود اختصاص داده اند. برزیل بیشترین میزان سرور به سرقت رفته را در این زمینه دارد و پس از آن به ترتیب روسیه، اسپانیا، بریتانیا، امریکا، هندوستان، اسلوونی، آفریقای جنوبی، آلمان، فرانسه، استرالیا، اوکراین، مکزیک، مالزی، بلژیک، امارات متحده عربی، هلند، ویتنام، توباگو، عربستان سعودی، لهستان قرار دارند.

حمله سایبری به سایت سازمان صنعت، معدن و تجارت رد شد

/در , , , , /توسط
بر خلاف ادعاهای مطرح شده مبنی بر هک شدن سایت سازمان صنعت، معدن و تجارت تهران، رییس این سازمان نفوذ به سایت این سازمان را رد کرد.
 
در حالی که سخنگوی مرکز بررسی جرایم سازمان یافته سایبری سپاه پاسدار خبری مبنی بر نفوذ یک هکر به پایگاه‌های اینترنتی سازمان ثبت، راه و شهرسازی، گمرک، سازمان صنایع و معادن و ۳۷۰ پایگاه اینترنتی دانشگاه ها را اعلام کرد، محمدرضا مس‌فروش هرگونه نفوذ را به پایگاه اطلاعاتی سازمان صنعت، معدن و تجارت استان تهران را رد و اعلام کرد که سیستم های امنیتی این سازمان اخیرا تهدیدی را ثبت نکرده و نفوذی اتفاق نیفتاده است.
 
این ادعا در وضعیتی است که اخیرا فضای رسانه ها درگیر فیش‌های حقوقی چند ده میلیونی برخ مسئولان است که توسط افرادی ناشناس در فضای مجازی منتشر  شده است.