امنیت در پرداخت - تلفن های همراه
پرداختهای همراه سادگی و راحتی را برای مصرفکنندگان به همراهدارند اما هنوز نگرانیهای امنیتی در پس این فنآوری وجود دارد که مانع از استفادهگسترده از آن میشود. اطمینان مشتریان به توانایی ارائهدهندگان برای حفاظت از دادههایدارندگان کارتها یک عامل تعیین کننده در موفقیت یا شکست خدمات پرداخت همراه است.کارتهای یوروپی، مسترکارت و ویزا کارتبااستفاده از ریزتراشه امن که یک عنصر فیزیکی برای تراکنش دادهها است، به تامینامنیت به کمک رمزنگاری میپردازد. گام بعدی افزایش امنیت مجازی است.
شبیهسازی کارت میزبان (HCE) معجزهای در صنعت پرداخت همراه است که هزینهها و موانع استفادهگستردهتر از این صنعت را کاهش میدهد. سازمانهایی که تمایل به استفاده از کارتهایپرداخت دارند اکنون میتوانند این کار را بدون هزینههای بالا و ارتباطات پیچیدهبا شرکایشان، انجام دهند. پیش از سخن به میان آمدن از اچسیای، سازمانها مجبوربودند گواهینامهها را در یک تراشه امنیتی ویژه (عنصر امن) در تلفن ذخیره کنند یااز گوهینامههای کارت درون فایل در ابر استفاده کنند. گزینه عنصر امن تلفن را بهیک کیف پول همراه مبدل میکند زیرا عنصر امن همچون یک تراشه در کارتهای ایامویعمل میکند. گزینه «ابر» امکان ذخیرهسازی اطلاعات پایهای پرداخت همچون شمارهکارت، تاریخ انقضا، یا کد مرتبسازی و شماره حساب را به سادگی در اینترنت میدهد.از زمان معرفی اچسیای (HCE) به خاطر دادههای کامل پرداخت -یک ارائه دقیق از تنها نرمافزاراستفاده شده توسط کارت- دیگر نیازی به نگهداری اطلاعات در یک تراشه فیزیکی و درحقیقت عنصر امن نیست.
برای انتقال دادههای ذخیره شده در کارت ازتراشه به یک محیط امن در ابر، معیارهای اصلی باید برآورده شوند و این معیارها ممکناست منجر به مشکلاتی شوند. تلفن شما برای کامل کردن تراکنش باید به اینترنت متصل، منتظر انجام شدن رمزنگاری و دریافت پاسخ شود.حتی در بهترین حالت ممکن نیز کامل شدن این کار در زمان مورد نیاز برنامههای کارتدشوار است. البته بدون سیگنال این کار غیرممکن است. راه حل معرفی شده برای حل اینمشکل از مفهومی با عنوان «tokenization» استفاده میکند. به جای نیاز به اتصال اینترنتی هنگام پرداخت، کارتهایمجازی با استفاده محدود در گوشی شما ذخیره میشوند.
یک کیف پول مجازی برای مصرف خریداران وشناسایی سارقان راهکاری آسان و مناسب است. احتمال وجود تهدیدهایی همچون شبیهسازیتلفن و درخواست اطلاعات کارت و یا مستقر شدن یک بدافزار در تلفن و ارسال اطلاعاتکارت مجازی به سارق وجود دارد.
بهروزرسانی احراز هویت و ارزیابی
قدرت مکانیزم احراز هویت برای پرداختهایهمراه عامل تعیین کننده امنیت این پرداختها است. ما باید قادر به مرتبط ساختنشناسایی کاربران به احراز هویت تراکنش باشیم. در حالی که بانکها با نیازهای حفاظتاز داده آشنا هستند، رقبایی با تجربه کمتر در اداره دادهها نیاز به دقت بیشتری دراحراز هویت و ارزیابی ریسک دارند.
یک گوشی هوشمند میتواند به ارزیابی مخاطراتتراکنشها و احراز هویت کاربر کمک کند. ویژگیهای همچون دادههای جیپیاس، موقعیتتریجی، نزدیکی به محلهای وایفای و شماره و تعداد برنامهها در دستگاه، یکاثرانگشت یکتا برای هر تلفن میسازد و واضح است که این موارد میتوانند کمک شایانتوجهی به شناسایی احتمال جعلی بودن یک تراکنش کنند. این قابلیت به ساده کردن تجربهکاربری و کاهش موانع موجود بر سر راه احراز هویت کاربران در صورتی که به نظر بیایداین یک کاربر تایید شده است و معرفی موانعی برای مختل کردن یک پرداخت در صورت شککردن به تایید شده بودن کاربر، کمک کند.
همه این تحلیلها بستگی به دادهها -دادههایشخصی که از اهداف مورد علاقه هکرها هستند و باید در مقابل حملات محافظت شوند-دارد. محافظت از همه این دادههای شخصی ذخیره شده از مشکلات مرسوم پایگاه دادهگذرواژهها از نظر حجم و حساسیت احراز هویت است و «مشکل گذرواژه» را به «مشکل دادههای بزرگ» مبدل میکند. اطلاعات باید به خوبی به منظور خنثی کردن و کاهش تاثیراتبه سرقت رفتن یا گم شدن آنها رمزنگاری شوند. تکامل سریع صنعت پرداخت همراه باظهور اچسیای (HCE) بهبود خواهد یافت. اچسیای دروازههای عظیمی را به سوی سازمانهاییکه استطاعت پرداخت هزینههای فنآوریهای پیشین را ندارند باز میکند. این میتواندمنجر به افزایش دادههایی از کاربران که باید محافظت شوند، بشود. در دنیای دیجیتالو به صورت جهانی متصل، ما باید از هر منبع موجودی برای اطمینان از سهولت استفاده،راحتی و امنیت پرداختهای همراه اطمینان حاصل کنیم. تنها در آن زمان است که مصرفکنندگانبه فنآوری اطمینان میکنند و آن را در ابعاد گستردهای میپذیرند.
علیرضا قهرود
مرکز عملیات امنیت - SOC
تغییر موضع امنیت سایبری از دفاع به حمله
پس از نفوذهای پیدرپی و شرمآور امنیتی درسال گذشته، اعتماد مشتریان به شرکتهای بزرگ در این زمینه تا حد زیادی از بین رفتهاست. با تمام اینها، به جرات میتوان گفت با پایان سال ۲۰۱۴دنیای امنیت اطلاعات حال و هوای تازهای دارد.» این صحبتهای ریکداکین مدیرعامل و سرپرست امنیت استراتژیک کمپانی Coalfire پیرامون تغییرات دنیای امنیت است. او در ادامه میگوید: «حالا وقت آنرسیده که شرکتها با نگاهی بازتر و بررسی تهدیدات نسل آینده جهت پشتیبانی و امنیتبیشتر از اطلاعات مشتریانشان اقدام کنند. چشمانداز تهدیدات اینترنتی با سرعت فوقالعادهدر حال تکامل است. اگر تاکنون به فکر آمادهسازی جهت رویارویی با تهدیدات در سالآینده نیستید، بدون شک این آخریت فرصت شماست !
Coalfireبا بررسی بیش از ۱۰۰۰ سیستم حاوی اطلاعات حساس و تحقیقات پیرامون آنها، پیشبینی خود ازسال ۲۰۱۵ را به شکل زیر بیان میکند:
تهدیدکنندگان با انگیزه:آمار حملات سایبری موفق در فضای اینترنت سیر تصاعدی خود را با شیببسیار زیادی طی میکند. با این پیروزیها، گروهها، از لحاظ ژئوپلیتیکی و مالی بهتوانایی بیشتری در این زمینه رسیده و فعالیتهای مجرمانه خود را گسترش میدهند.
تعریف دوباره دفاع:نیاز به امنیت سایبری باعث تغییرات بنیادین در دنیای فناوری اطلاعاتمیشود. مدیریت بحران سایبری و امنیت حالا مانند دیگر ویژگیها مانند طراحی، حجم وکارکرد از اهمیت بسیار زیادی برخوردار است. سود کردن و بازگشت هزینه سرمایهگذاری،حالا با این ویژگی جدید مفهومی تازه به خود گرفته و با ریسک از دست دادن همه چیزتلفیق گشته است.
سه سرپرست به جای یکی:در شرکتهای بزرگ شغلهایی تحت عنوان «مدیر ارشد اطلاعات»، «مدیر ارشدامنیت اطلاعات» و «مدیر ارشد فناوری اطلاعات» وجود دارند. درحالی که بسیاری ازتحلیلگران، دوره حضور پررنگ سرپرست اصلی (مدیر ارشد اطلاعات) را تمام شده میدانند،ما سعی میکنیم در همه حال تعادل را بین این سه حفظ کنیم.
افزایش سرمایهگذاری:با وجود ریسکهای خطرناک در دنیای اطلاعات، هزینه امنیت سایبری ومدیریت بحران با سیری صعودی رو به افزایش است به طوری که تا سه سال آینده بهدوبرابر مقدار فعلی میرسد.
پیشگامان نو:تکامل سیستمهای موبایلی، محاسبات ابری و اینترنت اشیا همه و همهبستری نو را برای سایبر تروریسم فراهم آورندهاند.
مانیتورینگ جهانی:با وجود حوادث سایبری اخیر در دنیای فناوری اطلاعات، افراد و سازمانهابه طرق مختلف به پایش اطلاعات مشتریانشان میپردازند. این روشها کاملا قانونیبوده و تمام هزینهها را موسسههای مالی، بیمهها یا خود شرکت متقبل میشود.
مدیریت تجاری در توسعه خط مشی:مدیریت صحیح، سازمان را چه در بخش خصوصی چه دولتی به سمت توسعه و بلوغکامل سوق میدهد. نتیجه این امر، بهبود مدیریت بحران و کاهش احتمال حملات سایبریاست.
شناسایی تهدیدات جدید و فناوریهای پیشگیرانه:برای جلوگیری از هر تهدید اینترنتی باید با کدهای تودرتو، هوش ماشینیو تحلیلهای فراوان سر و کله بزنیم. بدون شک وجود رباتهای هوشمند و الگوریتمهایپیشرفته جهت شناسایی تهدیدگنندگان و جلوگیری از اهداف آنها تاثیر بسیاری خواهدداشت.
بهبود امنیت:برنامههای جدیدتر و بهتر اعتبارسنجی، EMV، رمزگذاری و راهحلهای نشانهگذاری شدهامنیت سیستم پرداخت بدون دخالت مستقیم پول را افزایش میدهند. بدون شکApple Pay و دیگر فناوریهاینسل بعد بر سیستمهای ضد NFC غلبه خواهند کرد و با وجود سیستم پرداخت موبایلی امنیت در این زمینهمعنای جدیدی مییابد. به گونهای که تمامی برنامههای پولی مانند نرمافزارهایمربوط به سلامت – که اطلاعات و ضروری در آنها مبادله میشوند – را تحتالشعاعقرار میدهد.
بازگشت به حمله:بدون شک در آینده نزدیک شاهد تغییر موضع امنیت سایبری از دفاع به حملههستیم. از ساختن سیستمهای غیرقابل نفوذ گرفته تا سیستمهایی که امکان شناساییحمله کنندگان و در نتیجه ایجاد رخنه در کار آنها و دستگیریشان را فراهم میآروند.
و در آخر تمامی شواهد و گزارشات سایبری و .. نشان از بیان این موضوع میباشد که کلیهسازمان ها با هر سایز و خط مشی توسعه گری نیاز به
·پیاده سازی راهکار های امنیت اطلاعات و شبکه
·پیاده سازی روش های پیشرفته تست نفوذ - ارزیابیامنیتی و شناسایی ریسک های موجود
·پیاده سازی راه کارهای نسل نوین رایانش ابریعمومی و خصوصی
: و در انتهابردن تمامی موارد ذکر شده ( برای بالاترین سیستم امن یافته و مانیتورینگپشرفته و چرخه مداوم امن نگه داشتن بصورت لحظه ایدر جهت پیشگیری از هرگونه حملات سایبری و رصد حملات ) در زیر چتر مفهومجدید و ارتقا یافته ای به نام مرکز عملیات امنیت –
Security Operation Center دیگر انتخاب و گزینه نیست بلکه برای تداوم کسب - کارو گریز از هرگونه آسیب و اختلال در هرسطحی داشتن چنین مرکزی و یا گرفتن سرویس از مرکز عملیاتامنیت است که یک الزام میباشد .
یک الزام !
علیرضا قهرود
مرکز عملیات امنیت - SOC
امنیت و حریم خصوصی - SmartPhone
نرمافزار پرایوسی (Privacy App) برپایه فنآوریcounterveillanceشرکت اسنوپوال (snoopwall) است. این برنامه به اعماق برنامهها در دستگاههای اندرویدی رفته و آنهارا از لحاظ حفظ حریم خصوصی بررسی کرده و در صورتی که برنامهای جاسوسی کند کاربررا مطلع میسازد. این برنامه به کاربران گوشیهای هوشمند نشان میدهد خطرات زیادیوجود دارند و یکی از دلایلی پایداری این خطرات آن است که کاربران به سادگی به نرمافزارهایضد ویروس برای حافظت از آنها در بانکداری الکترونیکی و تراکنشهای دارای خطراتبالا اعتماد کرده و آنها را کافی میدانند.
اسنوپوال پس از۱۴ ماه توسعه فنآوری و آزمودن بیش از ۹۰۰۰۰ برنامه در اندروید پلی استور کشف کردهکه ۲۰ درصد از برنامههای این فروشگاه دارایدسترسیهایی هستند که به آنها نیاز ندارند و همین امر موجب شده اندروید به یکی ازسیستمعاملهای موجود در بازاری مبدل شود که بسیارمورد جاسوسی قرار میگیرد. به عنوان نمونه میتواند به برنامههایی اشاره کرد کهدر پشت صحنه اجرا میشوند و تنها منتظر هستند که کاربرمطلب مهمی بگوید یا گذرواژهخود را بنویسید. برنامههایی نیز وجود دارند که میتوانند بدون روشن کردن الایدیوبکم اقدام به تصویربرداری کنند، بنابراین اغراق نیست اگر بگوییم کاربران در معرضخطرات فوقالعاده و سرقت هویت هستند.
برنامه Privacy "ضریب خطر” حفظحریم خصوصی را برای رده برنامههایی با بیشترین عناوین برنامههای بحرانی شامل نرمافزارهایمالی و بانکداری که بیشترین نیاز را به حفظ امنیت و حریم خصوصی دارند ارائه میکندو جالب توجه است که این برنامهها معمولا رتبههای حفظ حریم خصوصی پایینی دارند.
این برنامه ازفنآوری "port authority” که پتنت آن متعلق به شرکت اسنوپوالاست، برای شناسایی این که کدام پورتها برای جاسوسی از کاربران نهایی استفاده میشودبهره میبرد. این برنامه به مالکان گوشیهای هوشمند و تبلتها کمک میکند ریشهبرنامهها و اینکه برای ارسال اطلاعات شخصی به خارج از دستگاه به چه مواردی ممکناست متصل شوند را پیگیری کنند.
این برنامههمچنین حذف یا غیرفعال کردن برنامهها را (در صورتی که امکان حذف/غیرفعال کردن آنهاوجود داشته باشد) آسانتر میکند. اگر یک بدافزار شناخته شده توسط ضد ویروسها یاناشناخته (صفر روزه) تلاش کند از دستگاه جاسوسی کند برنامه پرایوسی با بررسی رفتاربرنامه این امر را تشخیص داده و کاربر را آگاه میسازد.
پرایوسی، برنامههایمحبوب شما برای بانکداری را از جهت وجود حفرههای امنیتی ممیزی کرده و در صورتروشن بودن نرمافزار ضد ویروستان نقصهای امنیتی موجود را کشف میکند.
توسعهدهندگاناسنوپوال قصد دارند نسخه آیاواس و ویندوزی برنامه پرایوسی را در ابتدای سال 2015منتشرکنند.
دیدن این فیلمنیز توصیه میشود:
علیرضا قهرود
مرکز عملیات امنیت - SOC
تهدیدات سایبری و بهبود وضعیت راهبردهای دفاعی
(SOC: Security Operation Center مرکز عملیاتامنیت
واضح است که ظهور اینترنت نحوهتعاملات، تجارت و انتشار و تبادل اطلاعات را دگرگون کرده است. از اینترنت میتوانتحت عنوان ( موتور خلاقیت ) یاد کرد، اماهمین موتور میتواند موجب شود تا تهدیدات سایبری با سرعت بیشتر از روشهای دفاعسایبری پیشرفت کنند. از آنجا که تهدیدات سایبری ماهیتی پیچیده و دائماً در حال رشددارند، شبکههای دفاعی برای آنکه بتوانند همپای آنها رشد کنند، با دشواری مواجههستند.
طراحی اصلی و اولیه اینترنت برپایه ارتباطات پایدار و نه امنیت صورت گرفته است. این موضوع همچنان به همین شکلمانده و تغییری در این واقعیت ایجاد نشده است. در نگاهی کلی میتوان گفت اغلبسامانههای متصل به اینترنت، آسیبپذیر بوده، روشهای دفاعی موجود ( پدافندهایمبتنی بر ایجاد فهرستهای سیاه بر اساس امضای الکترونیک) تاریخمصرف خود را از دستداده و اکثر راهبردهای امنیت سایبری کنونی ناکافی به نظر میآیند و فاصله میانتوان تهاجمی و توان تدافعی رو به روز بیشتر میشود. در حقیقت امنیت نتوانسته همپایتهدیدات رشد کرده و تکامل یابد.
حملاتی که این روزها صورت میگیرد،دقیقاً نظیر کسانی این حملات را ترتیب میدهند، بسیار پیچیده هستند. مجرمین سایبریبه طور مداوم بدافزارهای خاص خود را طراحی میکنند تا بر روشهای دفاع سایبری غلبهکنند (طراحی بدافزاری هم که اخیراً به شرکت ها ( مقصد – هدف ) حمله میکنند ، طوریخواهند بود که بتوانند از اعلام خطر اغلببرنامههای آنتیویروس جلوگیری کند). این عملیات ( سنجش ) که با هدف جلوگیری از شناسایی صورت میگیرد،اقدامی معمول است که به صورت روزمره انجام میشود و ابزارهای انجام این اقدامات بهسادگی در بازار سیاه جرائم اینترنتی در دسترس است. در مقابل، اغلب کاربران اینترنتاطلاعات اندکی از موارد امنیتی دارند. عوامل مختلفی نظیر وجود مهاجمین فرصتطلب وبا انگیزههای خاص، تمهیدات ضعیف امنیتی، تهدیدات داخلی و ناتوانی دولت و بخشخصوصی در سیاستگذاری و تعریف قوانین مربوط به امنیت سایبری، دستبهدست هم دادهتا شبکههای مجازی بسیار آسیبپذیر باشند.
فضای مجازی اکنون به محیطی تبدیلشده که مردم بیش از آنکه از آن برای انتقال اطلاعات استفاده کنند، آن را برایذخیره موارد باارزش به کار میگیرند و این روندی است که روزبهروز در حال گسترشاست. فضای مجازی محیطی است با ارتباطات داخلی به شدت فراگیر که به صورت مداوم درحال تغییر هستند و همین امر دستیابی به برتریهای امنیت ایستا را ناممکن میکند.فضای سایبری فضایی است منبعث از تمام دامنههایی که از آن پشتیبانی میکند، اما درعین حال ویژگیهایی منحصربهفرد دارد که دفاع از آن را دشوار میکند.
تهدیدات امنیتی فضای سایبری هر روز در حال افزایش است
مهمترینمنبع تهدید در فضای مجازی، گروههایی هستند که با در اختیار داشتند منابع مالی،مأموریت یافتهاند تا آنقدر به شبکههای یک شرکت یا دولت حمله کنند که بتوانند بهآن نفوذ کرده و به موارد مدنظرشان دست پیدا کنند. به این مهاجمین در اصطلاح تهدید دائمی پیشرفته (APT) اطلاق میشود APT ها معمولاً به خوبی تغذیه مالی شده، عموماً با دولتهاارتباط داشته و ابزارها و مهارتهای پیچیده انجام هک را در اختیار دارند که دائماًهم در حال بهبود هستند. حرفهترین APT ها عموماً در خانههای امن و محلهایی مستقر هستند کهخطر بازداشت یا تحت تعقیب قرار گرفتن آنها را تهدید نمیکند. از همه مهمتر، APTراههایی را برای فرار از سامانههایمعمول دفاع سایبری مبتنی بر ( انطباق الگو ) برای شناسایی و سد راه تهدیدات، یافتهاند.
ترکیبضعف امنیتی شبکهها و خلاقیت و تحرک مهاجمین منجر شده تا حملات سایبری روند رو بهرشدی داشته باشند. تنها در چند ماه اخیر، شرکتها و بانکهای بزرگ همگی از حملاتسایبری رنج بردهاند (این فقط مواردی است که توسطمراکزعملیات امنیت – SOC رصد شدهاند ). در سال ۲۰۱3، سامانه (FireEye) بیشاز ۱۲ میلیون ارتباط بین سرورهای فرمان و کنترل و مجموعههایآلوده را رصد کرد. هریک از این ارتباطها نشاندهنده یک نفوذ به شبکه هستند. حملاتسایبری همچنین به طور مداوم از لحاظ پیچیدگی هم در حال رشد هستند. مهاجمین اکنون از حملاتچندمرحلهای استفاده میکنند که گاهی تا چند ماه به طول میانجامد یا اینکه ازالگوهای تازهای برای حمله استفاده میکنند (مثلاً بدافزار را در یک سایت پرطرفدارکه کاربران شرکت هدف احتمالاً از آن استفاده میکنند، قرار میدهند).
آمار: روزانه ۹ هزار سایت جدید برای به دام انداختن کاربران ناآگاه ایجادمیشود.
پیچیدگی حملات سایبری را با یک مثال روشن میتوان کر د. در این حمله، مهاجمینتوانستند با استفاده از یک نقطه ضعف در شبکه بدافزاری را در آن جایگذاری کنند. این بدافزاراز طریق همین شبکه منتشر شد و به پایانههای فروش که مشتریان در سرتاسر کشور در آنهااز کارتهای اعتباری خود استفاده میکردند، رسید. استفاده از پایانههای فروش موجبشد تا بدافزار بتواند سامانههای دفاعی و کنترلهای داخلی شبکه را دور بزند. با وجود آنکه اطلاعات کارتهایاعتباری بعد از کشیده شدن رمزگذاری میشوند، اما این بدافزار طوری طراحی شده بودکه اطلاعات را در مرحله بین کشیده شدن کارت و رمزگذاری ثبت کرده و برای مهاجمینارسال میکرد. مهارت ترکیبی برنامهنویسی و اطلاع مهاجمین از روند عملیات تجاریموجب شد تا این برنامه بتواند بر شبکههای دفاعی مناسب این شرکت، غلبه کند
APT ها همچنین میتوانند متخصص حملات موسوم به Zero- Day باشند که درآن از نقاط ضعفی استفاده میشود که سامانههای دفاعی از آنها بیاطلاع بوده وبرای مقابله با حملات از این نقاط، آمادگی ندارند. این حملات اکنون بازار بسیارپررونقی دارند، به طوری که محققین بسیاری از کشورها نقاط آسیبپذیر را شناساییکرده و اطلاعات مربوط به آنها را به مجرمین سایبری، دولتها یا حتی شرکتهایتولیدکننده نرمافزار، برای فروش عرضه میکنند. ابزارهای حملات Zero- Day در دسترسبوده و به APT ها اجازه میدهند تا با استفاده از ابزارهای نرمافزاریجدید و غیرقابلشناسایی به IP های یک شبکه دستبرد زده یا آن شبکه را مختل کنند.
استخراج IP در شبکهها همچنان اصلیترینهدفی است که APT ها دنبال میکنند و مهاجمین این گروهها تقریباً شرکتهایهیچ صنعتی را از گزند حملات خود بینصیب نگذاشتهاند. برخی حملات حتی تا سه سال همبه طول میانجامد و مهاجمین در تمام این مدت تمام اطلاعات ارزشمند را استخراج میکنند.برخی دیگر از حملات بیشتر شبه به )کیف قاپی ) هستند، که مهاجمین در عرض تنها چند دقیقه اطلاعاتباارزش را به دست میآورند.
APT ها از اطلاعات یک کارخانه برای ضربه زدن به همان مجموعهبهره میگیرند. به عنوان مثال، یکی از گروههای مجرم سایبری توانست به لیست بازرسیاز شرکتهای فعال در صنعت کارتهای اعتباری دسترسی پیدا کند، که مشخص میکرد وضعیتامنیتی شرکتهای مختلف از لحاظ امنیت مبادلات کارتهای اعتباری در چه سطحی است.این فهرستهای بازرسی، نقاط ضعف سامانههای دفاعی شرکتهای مختلف را مشخص کرده بودکه هکرها از آنها برای افزایش کارایی و بهبود حملات خود از آنها استفاده میکنند.
اینحملات هر روز در حال فراگیرتر شدن هستند. در این حملات، هکرها به سراغ شرکتهاییمیروند که از پروتکل های همچون (SSL) به منظور امن کردن مبادلات استفاده میکنند، و برایافزایش امنیت شبکههای خود به کار میگیرند. آنها سپس با استفاده از فناوریای کهبه آن دستبرد زدهاند، به دهها یا حتی صدها شرکت یا کاربری که از آن فناوری استفاده میکنند،هجوم میبرند. گویی به یک کلیدسازی دستبرد زده و سپس با استفاده از شاهکلید ربودهشده،قفل صدها در را باز کنند. یکی از معروفترین این حملات، حمله به شرکت ( RSA) تولیدکننده بزرگ نرمافزارهای رمزنگار، است. دراین حمله شرکت خود هدف اصلی نبوده، بلکه مهاجمین APT به این شرکت نفوذ کردند تا به فناوری تائید هویتی که درمؤسسات مالی، شرکتهای دفاعی و دیگر فعالیتهای مهم از آن استفاده میشد، دستیابند. در حملات بالادستی، استفاده هکرها از شناسه دیجیتالی که با شناسه محصولاصلی غیرقابل تمیز است، موجب میشود تا امنیت به کلی از بین برود.
دیگرروش حملات سایبری، روش موسوم به ( فیشینگ متمرکز – هدفمند) است. در این روش ازایمیلهای آلوده به بدافزار برای فریب کاربران و نفوذ به سامانههای آنها استفادهمیشود. ایمیلها معمولاً به نظر قابلاعتماد میرسند و عموماً ویدئو یا یک فایلاکسل نیز به آن ضمیمه شده است. به محض آنکه کاربر برای دریافت فایل ضمیمه روی آنکلیک کند، بدافزار دانلود شده و وارد شبکه میشود. در یکی از موارد موفق برایمدیران یک نهاد ایمیلهایی تحت عنوان وسوسهبرانگیز ( لیست پاداشهای سال آینده )ارسال شد.
دریک مورد دیگر، باز کردن یک فایل ویدئویی با پسوند مثلاMPEG که به ایمیل ضمیمه شده بود، باعث میشد تا نرمافزارموسوم به ( key logger) روی دستگاهها کپی شود که قادر خواهد بود تک تک کلیدهایی را که کاربر روی کیبورد میفشارد،را ثبت کرده و برای مهاجمین بفرستد. هکرها با استفاده از همین اطلاعات به شناسههویتیای که کاربران از آن برای ورود به شبکه شرکت استفاده میکردند، دست مییافتند.مهاجمین سپس با همین شناسههای هویتی معتبر، وارد شبکه شده و بدافزار مدنظر خود رابرای تخلیه اطلاعات مشخص از شبکه، روی آن نصب میکردند. تنها با همین روش خاص،تاکنون به بیش از 175 شرکت علمی و فناوری حمله شده است.
اینحملات میتوانند در چند حمله، چند موج یا بخش به بخش صورت گیرند. APT هادر ابتدا به دنبال کد برنامهای یا اطلاعات نرمافزاری هستند که به آنها اجازهدهد به شبکههای شرکت دسترسی پیدا کنند. به محض آنکه توانستند به دسترسیهای مدنظربرسند، برنامه خود را که به دنبال سرقت IP های ارزشمند است، در شبکه جاسازی کرده و آن را فعال میکنند.لازم به ذکر است که معمولاً در حملات سایبری تکوینی (که به صورت چند مرحله وتکاملی هستند)، مهاجمین باید خیلی بدشانس یا غیرحرفهای باشند که گیر افتاده یاحتی شناسایی شوند. اغلب پیشرفتهترین مهاجمین، ناشناخته باقی میمانند.
ازبین مجموع حملات APT که ما از آنها مطلع میشویم، ریشه بیش از ۹۰ درصدشان به چین میرسد. گروههای APT چینی بر سرقت IP ها و دیگر اطلاعات محرمانه تجاری متمرکز هستند. آنها دربهرهبرداری از اطلاعات ارزشمند شبکههای دیگر، در جهان پیشرو هستند. زمانی بحثامنیت IP ها و اطلاعات محرمانه تجاری مطرح است، تغییر رویکرد چینمیتواند نقشی اساسی در پازل امنیت سایبری ایفا کند. گروههای چینی فعالانه صنایعگوناگون از جمله هوا و فضا، داروسازی، شیمی، خودروسازی و رسانههای سرتاسر جهان راهدف قرار میدهند. این حملات گاهی اوقات رسانهای میشود، اما معمولاً از چشمجامعه به دور میماند.
APT ها پیش از معمولاً تنها شرکتهای دارای IP های ارزشمند را هدفقرار میدادند. در حالی که این گروهها همچنان چنین شرکتهایی را هدف قرار میدهند،دامنه حملات آنها گسترش یافته و همه شرکتهای دارای اطلاعات مفید، IPیا سرمایه را نیز در برگرفته است.قربانیان این حملات تقریباً در همهجا و هر صنعتی، از شرکتهای کوچک گرفته تامجموعههای بزرگ و در هر کشوری هستند.
بااین حال، تهدیدات امنیت سایبری تنها به چین محدود نمیشود. APT های روسی در مقایسه با چینیها بسیار پیچیدهتر بوده وروشهای مورد استفاده آنها فوقالعاده ممتاز است. به عنوان نمونه، هکرهای روس باطور گستردهای از رمزنگاری استفاده میکنند. آنها با رمزنگاری بدافزار، حذف آن ازشبکهها را دشوارتر کرده و ضمناً بر اقداماتی که برای شناسایی هکرهای چینی صورتگرفته، فائق میآیند.
اگرگروههای APT چینی تمرکز خود را روی سرقت IP ها گذاشتهاند، همتایان روس و اروپای شرقیشان، بیشتر برجرائم مالی متمرکزند. قربانیان این گروه را هم در تقریباً تمام صنایع مختلف میتوانیافت. این گروهها مشخصاً مدیران مالی و ممیزهای حسابهای شرکتها را هدف قرار میدهندتا به اطلاعات خصوصی در مورد وضعیت مالی، سود یا طرحهای شرکتها دست یابند. اینهکرها به دنبال اطلاعاتی خاص مربوط به شرکتهای سهامی هستند تا از این اطلاعاتبرای معامله یا تأثیرگذاری بر قیمت سهام شرکت استفاده کنند. یکی از موارد نگرانکنندهاین است که هکرهای روس از این روش برای دستکاری در بازار سهام به نحوی که قابلتشخیصنباشد، استفاده میکنند.
بهگفته اقایD.d-w از شرکت FireEye ) ( اگر شما ذخیرهای از IP ها دارید، بدانید جزو اهداف هستید. ما این را دربیمارستانها و مراکز درمانی دیدهایم. ما این را به وضوح در بانکداری مشاهده میکنیم.ما این را در اندیشکدهها میبینیم. این را در شرکتهای تولیدی شاهدیم. ما اینموضوع را در بخش انرژی مشاهده میکنیم. تقریباً در تمام بخشهای همه کشورها ماشاهدیم که حملاتی برای نفوذ و سرقت IP ها، اطلاعات و سرمایه، صورت میگیرد. بنابراین، این امربه موضوعی جهانی بدل شده است.
رویکردهای دفاعی بایدهمپای مهاجمین رشد کنند
APT ها فرصتطلب و خلاق هستند. اگر یک نهاد به خوبی محافظتشده باشد، آنها به دنبال شرکای تجاری، حسابداران یا شرکتهای حقوقی خارج از ایننهاد که توان دفاعی کمتری دارند، میروند و از شبکههای آنها به عنوان راهیجایگزین برای نفوذ و دست یافتن به اطلاعاتی که میخواهند، استفاده میکنند. شبکههایشرکتها معمولاً از مسیر شرکتهای ارائهدهنده دامنه یا خدماتدهنده به شبکه، موردهدف قرارگرفته و ضربه میخورند. به عنوان نمونه، ارتش الکترونیک سوریه برای نفوذ به New YorkTimesاز مسیر شرکت خدماتدهندهبه سایت، استفاده کرد. شرکتهای حقوقی هم اهداف خوبی برای دست یافتن به اطلاعاتمحرمانه شرکتها از جمله مجوزها، شرکا یا داراییها، هستند.
تهدید APT ها تنها به اطلاعاتمنحصر نبوده و میتواند به تغییرات فیزیکی نیز منجر شود. انجام تخریبهای فیزیکیدر مقایسه به سرقت ساده اطلاعات، نیازمند حجم بسیار بیشتری از پیچیدگیهای برنامهنویسیو اطلاعات در مورد هدف است. این حملات همچنین در مقایسه با ابزارهایی که در حالحاضر برای حملات معمول استفاده میشوند، به ابزارهایی بسیار گرانقیمتتر نیازدارند. با این حال، اکنون تعداد کشورهایی که به چنین مهارتهایی دستیافتهاند، روبه افزایش است. در حالی که ایجاد اثرات فیزیکی به دلیل منابع و مهارتهای بیشتریکه نیاز دارند، همچنان کاری دشوار است، اما اکنون تعداد فزایندهای از گروهها بهمهارت لازم برای انجام حملات مختلکننده یا تخریبگر که میتواند ایمنی عمومی یاامنیت ملی را در معرض خطر قرار دهد، دستیافته یا در حال دست یافتن هستند.
دفاع سایبری نتوانسته بهاندازهها پیشرفت کند
APT ها منابع، پشتکار و مهارتهای لازم برای طراحی حملاتپیچیده و فائق آمدن بر سامانههای دفاعی و جلوگیری از شناخته شدن را دارند. شبکهبسیاری از شرکتها در حالی مورد حمله و دستبرد قرارگرفته که حتی خود آن شرکت نیزاز این موضوع بیاطلاع است. APT ها با بهرهگیری از هماهنگی ضعیف و اجرای ناقص تمهیداتاولیه امنیت سایبری در شرکتها، به تهدیدی جدی برای امنیت سایبری بدل شدهاند.تمهیدات ضعیف دفاعی بدان معنی است که APT ها میتوانند بدون آنکه قربانی بفهمد، همواره با یکالگوی مشخص با موفقیت به شبکه نفوذ کرده و به اطلاعات آن دستبرد بزنند.
ماداریم در مورد یک روند سایبری صحبت میکنیم. در واقع بهتر از آن تحت عنوان یک )خط دفاعی ( سایبری یادکنیم. ( خط دفاعی ماژینو) استحکاماتی بود که فرانسویها هزینه زیادی برای ایجاد آنکردند، اما آلمان نازی به سادگی توانست در جنگ جهانی دوم از آن عبور کند. بسیاریاز ساختارهای امنیتی دفاعی کنونی نیز مشترکات زیادی با این خط دفاعی دارند. آنها سفتوسخت، انعطافناپذیر و بیشازحدپیچیده هستند. افزایش لایههای ایستا و مشابه هم، به هیچ وجه به معنی افزایش امنیتنیست. یک معماری دفاعی مبتنی بر رویکردهای ایستا که از امضای دیجیتال واستانداردهای انطباقی استفاده میکند، چیزی است که هکرها میتوانند هر بار بر آنغلبه کنند.
اغلبشرکتها وقتی میفهمند مورد حمله قرارگرفتهاند که ماهها از آن حمله گذشته وعموماً هم یک شرکت ثالث است که آنها را از این موضوع مطلع میکند. بخش اعظم حملاتموفق تنها به تکنیکهای ابتدایی نیاز دارند و اغلب آنها را میتوان تنها بااستفاده هماهنگ و مداوم از تمهیدات نسبتاً ابتدایی پیشگیرانه، متوقف کرد. یکی ازدلایلی که جرائم سایبری تا این حد گسترش یافته، این است که مهاجمین برای انجام یکحمله موفق، لازم نیست چندان تلاشی انجام دهند.
باید به سمت روشهای دفاعیپویا حرکت کرد
اغلبسامانههای دفاعی کنونی پایه محور هستند وشرکتها تنها از خود دفاع میکنند. این در حالی است که در رویکرد پدافند پویا، روشهایمورد استفاده هم کلینگر است، به این معنی که تمام مجموعه از حمله شرکای تجاری وتأمینکنندگان مواد اولیه را مدنظر داشته، و پویا بوده و دقیقاً همپای تهدیدات،روندی تکاملی دارند. اغلب روشهای پدافندی چندلایه ایستا که توسط بسیاری از شرکتهاو با استفاده از برنامههای مختلف به کار گرفته شدهاند، نمیتوانند در برابر روشهایمبتنی بر مهندسی اجتماعی نظیر ( فیشینگ هدفاند) و ( (Zero day مؤثر باشند. یک ساختارامنیتی چندلایه معمولی که لایههای آن از روشهای متداول انطباق الگو یا امضایدیجیتال استفاده میکنند، نظیر سامانههای شناسایی و ممانعت، فایروالها و دروازههایدیجیتال، تنها به ایجاد یک حس غلط امنیت، منجر میشوند.
اطلاعاتمراکزعملیات امنیت ( SOC : Security Operation Center ) نشان میدهند که APT ها ممکن است به شبکههای بیش از 90 درصد شرکتها و دولتها نفوذ کرده باشند. مدل استفادهاز آنتیویروس برای رسیدن به امنیت سایبری، اکنون به شدت تحتفشار است. زمانی شرکتهایتولیدکننده آنتیویروس اولین بار ایجاد شدند، باید تنها به دنبال الگوها یا نشانههاییبودند که نشاندهنده بروز حمله است، و با ایجاد یک امضای دیجیتال، فایلها را برایشناسایی حمله رصد کنند. این شرکتها در طول سالهای طولانی الگوهای بیشتری تولید وفایلهای بیشتری را رصد کردهاند. استفاده از مشخصههای دیجیتال و ایجاد فهرستهایسیاه به آن معنی است که ما بیش از ۶۰میلیون شناسه تهدیدات سایبری را در هر سیستم قرار دادهایم؛ با این حال حملاتهمچنان با سرعت خیرهکننده، به پیش میروند.
درگذشته، بلافاصله چند روز بعد از آنکه بدافزاری ظاهر میشد، مشخصهای برای شناساییو مسدود کردن آن از سوی شرکتها تولید میشد. اما در چند سال اخیر، سرعت ظهوربدافزارهای جدید و تعداد بالای حملاتی که انجام میدهند موجب شده تا آنتیویروسهادر موضع ضعف قرار گیرند. مهاجمین میتوانند با دسترسی به لیست مشخصههای یک شرکتبه طور کامل سپر دفاعی آن شرکت را دور بزنند.
عدموجود مدیریت هماهنگ هم دیگر مسئلهای است که دفاع در برابر APT ها را دشوارتر میکند. مدیریت هماهنگ در واقع قوانین وتفاهماتی است که بر اقدامات هماهنگ بیم شرکتها و دولتها علیه APT ها حاکم است. مدیریتهماهنگ ضعیف موجب میشود تا دولتها و نهادها در همکاری برای مقابله با APT ها با دشواری بیشتریروبرو شوند. در چنین فضایی است که حتی حملات غیرپیچیده و ابتدایی هم میتوانندموفق باشند. نبود هماهنگی بین مدافعین، موضوعی است که از نبود مدیریت هماهنگ نشأتمیگیرد. در واقع مدیریت هماهنگ با ایجاد ساختارهای لازم برای همکاریهای دفاعی،زمینه را برای یک رویکرد جامع در امنیت سایبری فراهم میکند. ناتوانی در ایجاد یکساختار مدیریت هماهنگ بین شرکتها و دولت منجر به این معنی است که به عنوان حجمبالایی از حملات شناسایی نشده و امکان پیشگیری و مبارزه با آن فراهم نمیشود. درصورتی که شبکه لایههای دفاعی کافی را نداشته باشد، در آن صورت نبود هماهنگی مناسبجزو اصلیترین مشکلات امنیت سایبری خواهد بود.
ها
چیزیکه به طور خلاصه میتوان گفت، این است که رقبای APT ما افرادی هستند ماهر و خلاق که در برابر خطوط دفاعیایقرارگرفتهاند که برای مهارشان بسیار ضعیف هستند. سالهاست که این وضعیت ادامهیافته، اما نباید اجازه داد این وضعیت به امری دائمی بدل شود. با وجود آنکه هیچراهحل قطعی برای دستیابی به امنیت سایبری کامل وجود ندارد، اما میتوان با ایجاد مراکزعملیاتامنیت برای سازمان ها و شرکت های حد وسط – پیشرفته و همچنین مراکز دفاعی – دولتی –نظامی – صنعتی و هماهنگی در سطوح بینالمللی، ملی و شرکتی، میزان تهدید APT ها را کاهش داده وامنیت سایبری را بالا برد. راهکارهایی که پیشنهاد میشوند : در ۵ ردیف دستهبندی میشود: رویهها، تبعات، فناوری، مدیریتو نیروی انسانی.
اقدامات پیشگیرانه سایبرینقطه شروع است
هیچشرکت یا آژانسی نمیتواند بدون آنکه در ابتدا برخی اصول اولیه مراقبتی را رعایتکند، از پس تهدیدات سایبری برآید. بسیاری از حملات را میتوان با اجرای برایتمهیدات ساده امنیتی، ناکام گذاشت. یک نمونه خوب برای تمهیدات اولیه، بسته موسومبه راهبردهای ۳۵ گانه کاهش تهدید استرالیا است. یک نمونه دیگر، بستهموسوم به ۲۰ تمهید امنیتی مؤثر در دفاع سایبری موسسه SANS است.این راهبردهای مقابله با ریسک میتواند به شرکتها کمک کند که از پس اغلب تهدیداتسایبری شناخته شده برآمده و در عین حال هزینههای دفاعی خود را کاهش دهند. راهبردهایکاهشی همچنین میتوانند به پایین آمدن تهدیدات داخلی سازمانها نیز کمک کنند.گزارش چارچوب امنیت سایبری موسسه ملی استاندارد و فناوری که به دستور اجرایی 2014 رئیسجمهور اوباما و با هدف تهیه لیستی از تماماقداماتی که شرکتها میتوانند برای بالا بردن امنیت شبکههایشان انجام دهند،ایجاد شد. این لیست موقعیتی را فراهم میکند تا تمهیدات اولیه به پایهای برایامنیت سایبری بدل شوند.
اینتمیهدات اولیه امنیتی باید همراه با نظارت و مراقبت مداوم به اجرا گذاشته شوند. بهعنوان مثال اقدامات سادهای چون کسب اطمینان از اینکه تمام نرمافزارهای نصبشدهروی دستگاهها، از لحاظ امنیتی به روز شدهاند. چک کردن مداوم موارد دفاعی موجب میشودتا نقاط ضعف پیش از آنکه مهاجمین بتوانند از آن استفاده کنند، شناسایی شوند. میزانکارایی کنترلها و تمهیدات امنیتی به میزان توانایی کاربر برای استفاده بهینه ازآنها بستگی دارد. متخصصان امنیت اطلاعات اغلب به این نتیجه میرسند که در بسیاریاز موارد، موفقیت حملات بیش از آنکه نتیجه استفاده مهاجمین از روشهای پیچیدهباشد، ناشی از اجرای نادرست تمهیدات امنیتی از سوی قربانی بوده است. در مجموع،باید گفت حتی پیچیدهترین راهبردهای دفاعی هم اگر به درستی از سوی کاربر موردنظارت قرار نگرفته و به اجرای مناسبشان بیتوجهی شود، در برابر حملات مغلوب میشوند.
برای افزایشامنیت، باید از روشهای سنتی فاصله گرفت
وقتآن رسیده که روش معمول تائید هویت کنار گذاشته شود. شرکتها باید به استفاده ازشیوه ( نام کاربری - کلمه عبور) برای تأمین امنیت موارد باارزش، پایان دهند.برنامههایی که رمز عبور را شکسته یا حدس میزنند، به وفور در بازار سیاه جرائمسایبری یافت میشوند و APT ها نیز به ابزارهای حتی پیشرفتهتر و پیچیدهتر دسترسیدارند. بسیاری از حملات مهاجمین، به دلیل ضعیف بودن رمز عبور است که با موفقیتهمراه میشود. از این رو، به روشهای پیشرفتهتری برای تائید هویت نیاز است. البتهاین امر همواره به دلیل بالا رفتن هزینهها و همچنین دشوارتر شدن دسترسی کارکنانبا مخالفتهایی همراه است؛ درست همانطور که بیشتر کردن قفلهای درها با مخالفتمواجه میشود. اگر شرکتی همچنان به استفاده از روش قدیمی ( نام کاربری - کلمه عبور) برای محافظت از اطلاعات باارزش ادامهدهد، انگار درهای شرکت را بدون قفل و نگهبان، به حال خود رها کرده است( نسبتبه تائید صحت هویت , جدیت به خرج دهید ).
ها
وقتی بحث تعیین شناسایی مسئول حملات مطرح است، میبینیمکه ما پیشرفتهای زیادی را داشتهایم، حتی از ۵ سال قبل تا الان. اکنون در بسیاری از موارد (و البته نهدر همه آنها) میتوانیم بگویم که چه کسی عامل حمله بوده است. همین امر به مااجازه میدهد تا در رویکرد خود برای یافتن راهکارهای جلوگیری از تهدیدات سایبری،متمرکزتر عمل کنیم. داشتن توانایی مشخص کردن عامل حمله، این فرصت را فراهم میکندتا جرایمی برای مهاجمین در نظر گرفته شود و نتیجتاً هر حمله تبعاتی مشخص را برایعوامل آن داشته باشد. وقتی در حال حاضر تقریباً هیچ جریمه و تنبیهی برای ایجادبدافزارها وجود ندارد، چرا مهاجمین باید از اعمال خود دست بردارند؟ قطعاً بایدجریمهها یا تبعاتی دیگر برای مهاجمین وجود داشته باشد.
استفادهاز رویکردهای حقوقی برای هزینهدار کردن اعمال APT ها، یکی از مواردی است که تاکنون به ندرت به آن پرداختهشده است. شاید برای یک شرکت مقدور نباشد که مهاجمین را تحت پیگرد قرار دهد، امامقامات کشوری میتوانند با استفاده از ابزارهای ایجاد شده برای تروریسم، منع گسترشو جرائم برون مرزی برای مقابله با APT ها استفاده کنند. خودداری از ارائه ویزا، محدود کردنتراکنشهای مالی و همچنین تحت پیگرد قرار دادن افراد دخیل یا منتفع از جاسوسیسایبری از جمله این ابزارهاست. اینها ابزارهایی هستند که امتحان خود را پس داده ومیتوان از آنها برای مقابله با گروههای شناختهشده APT استفاده کرد.
هیاهوییکه در مورد جاسوسی آژانس امنیت ملی آمریکا به راه افتاده، از ارزش اقدامات قانونینمیکاهد. بسیاری از کشورها در جهان دست به جاسوسی سایبری میزنند. این کشورها نمیخواهندآژانس امنیت ملی آمریکا را به دادگاه بکشانند، چراکه این کار بدعتی تازه بنا میگذاردکه بعدها میتواند آژانسهای اطلاعاتی خود آنها را نیز گرفتار کند. حتی اگر همه APT ها هم ارتباط نزدیکی بادولت کشورهای میزبان داشته باشند، اما آنها همچنان شخصیتهای حقیقیای هستند کههم بر اساس قوانین فردی مرتکب جرم شده و هم بر خلاف جاسوسی، حتی بر اساس قوانینملی خود نیز که مخالف سرقت اطلاعات مالی و IP است، مرتکب تخلف شدهاند. وقتی بحث جرائم اینترنتی درمیان است، جهان باید به امان دادن به APT ها پایان دهد.
یکروش دیگر ایجاد هزینه و تبعات برای مهاجمین که البته مشکلاتی دارد، اما اخیراً بهصورتی جدی مورد بحث و توجه قرارگرفته، انجام حملات تلافیجویانه به مهاجمین است.به این روش برخی اوقات، دفاع فعال گفته میشود. به طور کلی، آنچه که یک شرکت برایمحافظت از خود در شبکهاش انجام میدهد، نظیر قرار دادن اطلاعات غلط در شبکهداخلی، تلهگذاری و یا ایجاد توانایی ردگیری و کنترل استفاده از IP همگی مواردی است که جزوسیاستهای داخلی آن شرکت یا قوانین کشور به شمار میآید و دینی برای آن نهاد ایجادنمیکند. اما، اگر یک شرکت برای تلافی حملات از خود از شبکهاش خارج شده و به خصوصوارد شبکهای در خارج از کشور شود، خود را در معرض تهدید قوانین بینالمللی قرارداده و ممکن است مدیون شناخته شود. علاوه بر این، از آنجا که ایالات متحده تلاشکرده تا روسیه و چین را به همکاری در زمینه اجرای قوانین مبارزه با جرائم سایبریتشویق کند، به سختی میتواند در برابر درخواستهای خارجی برای همکاری در زمینهتحقیق در مورد جرائم سایبری آمریکاییهایی که حملات تلافیجویانه انجام دادهاند،ایستادگی کند. همچنین اقدامات تلافیجویانه که افراد رأساً دست به آن میزنند، درصورت خارج شدن از کنترل و ضرر زدن به شخص ثالثی که خطایی مرتکب نشده بوده، بهصورتی جدی با ریسک مدیون شدن فرد مواجه است. بسیاری از شرکتها به شدت وسوسه میشوندتا دست به حملات تلافیجویانه بزنند، اما آنها پیش از هر اقدامی باید به دقت بهتبعات لو رفتن احتمالی خود فکر کند و بعد این ریسک را بپذیرند.
بهترینراه برای کنترل تقاضا برای حملات تلافیجویانه، این است که دولتها سیاستهایقاطعانهتری برای مقابله و برخورد با APT ها در پیش بگیرند. این بدان معنی نیست که دولتها به هماعلام جنگ کنند، بلکه به این معنی است که به طور کامل از مجموعه ابزارهایدیپلماتیک، تجاری و قانونیای که در اختیار دارند، در راستای ایجاد تبعات واقعیبرای مهاجمین استفاده کنند؛ آن هم در محیطی که تبعات حملات به طور سنتی آنقدرمحدود است که تقریباً به چشم نمیآیند. جایگزین این روش هم این است که برخوردیمنفعلانه داشته و اجازه دهیم افراد قربانی شوند.
بهره بگیری از فناوریهایجدید
در بازار فناوریهای موثری در زمینه امنیت سایبری وجود دارد، اماپیشرفتهایی که اخیراً صورت گرفته، شانس کاهش فاصله میان توان تهاجمی و دفاعی راافزایش داده است. روشهایی چون کلانداده، رایانش ابری و نرمافزار به عنوان سرویس (SaaS) میتواننددیگر در حد یک شعار باقی نمانند. فناوریهایی که پشت این روشهاست، نوع جدیدی ازدفاع سایبری را معرفی میکند. استفاده از سامانههای مجازی برای بررسی فایلها پیشاز آنکه به شبکه هدف منتقل شوند، روش جدید و امیدوارکنندهای برای استفاده ازفناوری است. روشهای بسیار دیگری هم وجود دارد که میتواند به ما در فاصله گرفتهاز روشهای منفعلانه کمک کنند. ایجاد استانداردهایی برای رویارویی با تهدیداتپیشرفته و گسترش همکاریهای داخلی بین سرویسدهندگان مختلف، میتواند فناوریپیشرفتهای را ایجاد کند که تاکنون هرگز دیده نشده است.و در انتها ایجاد مراکز عملیات امنیت پیشرفته که چتریمیباشند که تمامی باید ها را در خود جا داده اند.
لازمهکاهش میزان تهدیدات، بررسی دقیق معماری اینترنت، کاربریها و برنامههاست تا بتواننقاط ضعف آنها را شناسایی کرد. در حال حاضر، نقاط ضعف به طرز شرمآوری آشکار ومتعدد هستند، که دلیل اصلی این امر عموماً ضعف در توسعه و انجام عملیات سنجش است.برای تغییر این روند، لازم است تا در طرز فکر تولیدکنندگان نرمافزار، تغییر ایجادشود. یکی از موضوعاتی که باید مورد بحث قرار گیرد، این است که آیا برای رسیدن بهامنیت بهتر نیاز است که چارچوبی قابلاتکاتر برای شرکتهای دخیل در تولید و فروشنرمافزار، تعریف شود یا خیر؟!
قرار الگویتهدیدات و حملات
درحال حاضر، شرکتهای بزرگ و کوچک هریک تنها از بخشی از اطلاعات مربوط به پازل امنیتسایبری دسترسی دارند. اکنون آگاهی وضعی ما در مورد تهدیدات سایبری بسیار ناقص و ازهم گسیخته است. اطلاعات ما در مقایسه با اطلاعاتی که مجموعههای مختلف در موردتهدیدات سایبری دارند، بسیار محدود است. اگر ما بتوانیم تمام اطلاعاتی را که شرکتهاو آژانسهای مختلف در اختیار دارند، کنار هم بگذاریم، دانش ما نسبت به APT ها و به تبع آن توانمانبرای دفاع از خود در برابر آنها به میزان بسیار زیادی افزایش مییابد.
درحال حاضر همکاری میان شرکتها با هم و با دولتها در زمینه امنیت سایبری با موانعقانونی، تجاری و معاملاتی مواجه است. موضوعات مربوط به عدم اط
حملات فیشینگ این بار (Linkedin )
امنیت مجموعه ای از دانش و آگاهی بهمراهعوامل تکنولوژیک میباشد با این حال 100% نبوده , گرچه میتوان ضریب پایداری امن رابالا برد و در مقابل درصد خطرات و آسیبپذیری های باز رو به صفر رساند.
فیشینگ - Phishing بهتلاش برای بدست آوردن اطلاعاتی مانند نام کاربری، گذرواژه، اطلاعات حساب بانکی و...از طریق جعل یک وبسایت، آدرس ایمیل و... گفته میشود. شبکههای اجتماعی و وبسایتهای پرداخت آنلاین از جملهاهداف حملات فیشینگ هستند (. علاوه بر آن، ایمیلهایی که با این هدف ارسال میشوندو حاوی پیوندی به یک وبسایت هستند در اکثر موارد حاوی بدافزار هستند.)
هدف اصلی از ارسال این ایمیل های جعلی، سرقت مجوزهای دسترسیکاربران به این سایت می باشد.
شرکت امنیتی Symantec باانتشار اطلاعیه ای خبر از افزایش ایمیل های جعلی که در نگاه اول از طرف بخش پشتیبانیسایت LinkedIn فرستادهشده اند، داد. در این ایمیل های جعلی به فعالیت مشکوک در حساب کاربری LinkedIn اشاره شده و از کاربر خواستهشده تا برای رفع این مشکل، اطلاعات خود را به روز کند.
ایمیل جعلی دارای یک فایل پیوست از نوع HTML است که در ظاهر کاربر باید برای به روز رسانی اطلاعات خود، آنرااجرا کند. این فایل حاوی صفحه ورود (login) بهسایت اجتماعی LinkedIn استولی بخشی هایی از آن دستکاری شده تا اطلاعات وارد شده در این صفحه به یک سرور تحتکنترل مجرمان سایبری ارسال شود.
گریز از این نوع حمله سایبری تنها با آگاهی
تاکنون باید کاربران یاد گرفته باشند و بدانند که شرکتهایی نظیر LinkedIn ،Facebook،Google و … هیچگاه برای مسائل امنیتی و به روز رسانی، ایمیل با فایل پیوستارسال نمی کنند.
به کاربران LinkedIn توصیهمی شود تا در صورت امکان از روش ( تائید دوطرفه) برای ورورد به سایت استفاده کنند.در این روش، LinkedIn یک رمز عبور یکبار مصرف بهشماره همراه کاربر ارسال می کند تا با وارد کردن آن رمز، ورود کاربر به سایت تائیدو نهایی شود. با این روش، حتی در صورت لو رفتن و افشا شدن مجوز دسترسی به سایت،امکان ورورد و سوء استفاده از حساب کاربری وجود نخواهد داشت.
در صورت هرگونه برخورد با این تهدیدات به [email protected] گزارش دهید
علیرضا قهرود
SOC_ عضو تیم مرکز عملیات امنیت
شرکت نوآوران ارتباطات دوران ( عضو گروه دوران )
محافظت از دارای های کشور در فضای سایبر با پیاده سازی مراکز عملیات امنیت SOC –
SOC – Security Operation Center
محصولات غیربومی (و عدم پایش بلادرنگ ) در تحققجامعهبیوسایبر
شرکتمایکروسافت بزرگترین شرکت تولید سیستمعامل کاربری است که بارها اسنادی در راستایاثبات همکاریاش با آژانس امنیت ملی آمریکا به منظور سرقت اطلاعات کاربرانش منتشرگردیده است.
درحال حاضر نسخه آزمایشی ویندوز ۱۰مایکروسافت منتشر شده و افراد زیادی منتظر دریافت و آزمون آن هستند.امانکته حائز اهمیت اینست که این نسخه با ظاهری کاربر پسند، بصورتی حرفهایتراطلاعات افراد را به سرقت میبرد.این نسخهاز سیستمعامل مایکروسافت اطلاعات بسیاری را بصورت پنهانی و خودکار از کاربرانشضبط و ارسال میکند.
ازجمله این اطلاعات میتوان به:
۱-نام کاربر (بر حسب پروفایلهایمجزای روی سیستمعامل)
۲-ایمیل کاربران
۳-موقعیت فیزیکی محل زندگیکاربران(Geo Location)
۴-علاقه مندیهای کاربر
۵-نوع و میزان نظم ذهنیکاربر
۶-اسامی و نوع فایلهایذخیره شده و مورد استفاده
۷-متا دیتاهای کاربر (متادیتا دادهای است که دیگر دادهها را توصیف میکند)
۸-جستجوهای انجام شده در فضایسیستمعامل (آنلاین و آفلاین)
۹-کلیه ارتباطات تماسی نظیرتماسهای تلفنی،پیامهای صوتی، تصویری و متنی و ...
۱۰- اطلاعاتشبکهای کاربر
- مشخصاتسختافزاری و نرمافزاری دستگاه شامل HID، SID، Bios،میزان و نوع استفاده از سیستم، زمان استفاده، تعداد کاربران یک سیستم و …
- شناسههای بیومتریک منحصر بفردنظیر اثر انگشت، عنبیه چشم و ...
-اطلاعات سیستمفایل
- میزان و نوع کار کاربر بااینترنت
- لیست مخاطبان کاربر (آنلاین وآفلاین)
- HID کلیه سختافزارهای موقت و دائم نصب شدهبه سیستم اشاره نمود.
ازجمله شیوههای دقیق کسب اطلاعات ویندوز ۱۰، ذخیره تکتک کلماتی است که در فضاهای مختلف آن اعم از ورد، جستجویفایلهای سیستمی و مرورگر تایپ میشوند.
همچنینبر اساس اذعان صریح این شرکت، ویندوز ۱۰ از طریق رصد و ذخیره کوکیها و ابزارهای مرورگر، بیش از پیش اطلاعاتکاربران را تجسس میکند.
شرکتمایکروسافت مدعی است که از این اطلاعات تنها برای بهبود بخشیدن به سیستمعاملشاستفاده میکند حال آنکه بسیاری از این اطلاعات به هیچ وجه جنبه بهرهوری تکنیکیندارند و تنها برای مقاصد اطلاعاتی مفید هستند.
اینشرکتاضافه کرده است با باز شدن هر فایل توسطکاربر، سیستمعاملرفتار وی را تحلیل میکند تا به دیگر ویژگیهایکاربر پی ببرد.
درسربخش دیگر این صفحه، با صراحت بیان شده است که ( تمامی دیتاهای انتقالی (ارسال ودریافت) کنترل میشوند. )
وقابل توجهترین نکته اینست که پس از اعتراف مایکروسافت به حجم عظیم جاسوسیاش ازکاربر، در نهایت ابراز داشته که این اطلاعات تنها در اختیار شرکت نمیماند و ممکناست به همکارانش واگذار نماید!
سؤالاینست که همکاران شرکت مایکروسافت چه کسانی هستند؟
باتوجه به اینکه هدف اصلی در جامعه بیوسایبر ( کنترل افراد از طریق چیپستهای الحاقی درشریانهای اصلی خونی و مغز آنها ) است، نیاز های اطلاعاتی بیشمار سازمانهایاطلاعات سایبری جهان خصوصا مجموعه هایاطلاعاتی به اطلاعات بیومتریک افراد، بسیار بیشتر از هر اطلاعات دیگری است.
بایدبه زودی منتظر ظهور و بروز ابزارهایی باشیم که به بهانههای مختلف از جمله (تأمینامنیت ) و ( همیاری پزشکی ) حتی نرخ و نوع ضربان قلب کاربران را بصورت ۲۴ ساعته اندازهگیری میکنند.
ویندوز۱۰ در محصولات شرکت مایکروسافت نقطه عطفمیان سیستمعامل های ارگانیک گذشته و سیستمعاملهای بیولوژیک آینده این شرکت استو اساسا این ادعای شرکت ماکروسافتکه بیان داشت )بجای استفاده از عنوان ویندوز ۹، از ویندوز ۱۰ برای محصول جدیدمان استفاده میکنیم چرا که تفاوتهایآن با نسخه ۸، بسیار بیشتر ازتفاوتهای معمول میان دو سیستمعامل است ( به حوزه جاسوسیهای نوین بیومتریک این سیستمعامل باز میگردد.
و این تنها برند و محصول نیست , غول های موجود همچون گوگلبا سیستم عامل اندروید و محصولات – برند های دیگر هم بصورت موازی عملیات سرقت اطلاعات شخصی -سازمانی را در جهت استفاده هرچه بیشتر درنسل نوین جنگ ( جنگ سایبری ) بی پروااستفاده کرده و این روند ادامهدارد !
بصورت صریح در صورت استفاده از محصولات غیر بومی و عدم مانیتورینگ آن چه در سطح شخص - کاربر و چه در لایه هایبالاتر شرکت های خصوصی و دولتی , اطلاعاتما کاملا در اختیار سازمان های جاسوسیقرار خواهد گرفت و این شکل زیر کاملامنظور را منتقل خواهد کرد
تخم مرغ= دارایی های ما –سازمان
ماهیتابه = استفاده از محصولات غیر بومی و عدم پایش آن
و در آخر ( نهایتامن کردن سیستم ها - طراحی دقیق زیرساخت هابا استاندارد های موجود و پیاده سازیعوامل و فرآیندها بعلاوه ابزار های نوین و تکنولوژی های از جنس برای جلوگیری از نشر و لو رفتن اطلاعات سازمان ها در حین استفاده از ابزار ها وتکنولوژی های که بومی نبوده تنها تکیه بهحرکت به پیاده سازی مراکز عملیات امنیت آن هم با استفاده از ابزار های بومی با خروجی مناسب می باشد
که پیاده سازی مراکز عملیات امنیت SOC)دو موضوع را بصورتکامل همپوشانی میکند :
1.جلوگیری از حملات سایبریبوسیله امن کردن ساختار و سیستم های موجود ( بهمراه رصد بلادرنگ زیرساخت - شبکه سازمان مدنظر وپاسخگویی به حوادث سایبری در لحظه )
2.جلوگیری از افشای اطلاعات دربستر شبکه سازمان در حین استفاده از محصولات و نرم افزار های غیر بومی
+ ذکر این موضوع هم لازم میباشد که گام پایه ای برای افزایشامنیت فضای سایبر کشور میتوان مورد توجهباشد :
-حرکت بسویی محصولات بومی آنهم با قدرت - سرعت بیشتر
-تعاملات ( اعتماد) و سرمایه گذاری سازمان های بزرگ دولتی – خصوصی
-پشتوانهکمک دولت تدبیر امید
-و افزایش روند ایجاد مراکزعملیات امنیت
برای رسیدن به ایناهم که در بحث های از جنس IT محور بتوان بومی سازی را به بالاترین حد ممکنبرای حفظ امنیت کشور در نگاه فضای سایبری رساند
http://windows.microsoft.com/en-us/windows/preview-privacy-statement
http://www.microsoft.com/privacystatement/en-us/office/default.aspx
علیرضا قهرود
SOC _ عضو تیم مرکز عملیاتامنیت
شرکت نوآوران ارتباطاتدوران ( عضو گروه دوران )
مایکروسافت و اصلاحیه های امنیتی
روز سه شنبه ۲۱ بهمن ماه، شرکت مایکروسافت اصلاحیه های امنیتیماهانه برای ماه میلادی فوریه را منتشر کرد. مرورگر InternetExplorer،نرم افزار Office و سیستم عامل Windows توسط این اصلاحیهها ترمیم و به روز شده اند.
)از بین ۵۶ نقطه ضعفی که این ماه در محصولات گوناگون مایکروسافت ترمیم شدهاند، ۴۱ نقطه ضعف مربوطبه مرورگر Internet Explorer هستند(
برای اولین بارهم Group Policy در Windows اصلاح شده که می تواند برای شبکه های سازمانی بسیار مهم باشد.
طبق اطلاعیه شرکت مایکروسافت، این ماه ۹ اصلاحیه برای ترمیم ۵۶ نقطه ضعف در انواع محصولات این شرکت منتشر شدهاست. از این ۹ اصلاحیه، ۳ اصلاحیه دارای درجه اهمیت - حیاتی (Critical) هستند. نقاط ضعفی که توسط اصلاحیه های حیاتی ترمیم می شوند، بدوننیاز به دخالت کاربر، قابل سوء استفاده توسط مهاجمین و نفوذگران هستند.
از بین ۵۶ نقطه ضعفی کهاین ماه در محصولات گوناگون مایکروسافت ترمیم شده اند، ۴۱ نقطه ضعف مربوط به مرورگر InternetExplorerهستند که تنها جزئیات یکی از این نقاط ضعف بطور عمومی منتشر شده و مابقی ۴۰ نقطه ضعف بطور خصوصی به اطلاع شرکت مایکروسافترسیده و ترمیم شده اند.
یکی از سه اصلاحیه حیاتی این ماه (MS15-009) برای مرورگر InternetExplorerاست که شامل تمام نسخه های قدیمی و جدید این مرورگر می شود. این اصلاحیه همچنینتنظیمات پودمان SSL3.0 را نیز در نسخه IE11 تغییر داده تا آسیب پذیری کمتری نسبت به ضعف POODLE داشته باشد. بدین ترتیب امکان اینکه مرورگر IE را بتوان وادار به استفاده از پودمان قدیمی و آسیب پذیر SSL3.0 بجای نسخه های جدید و امن این پودمان نمود، دیگر وجود ندارد.
اصلاحیه حیاتی دوم این ماه (MS15-010) شش نقطه ضعف را در بخشی که مسئولیت پردازش فونتهای TrueType را در هسته اصلی Kernel سیستم عامل Windows برعهده دارد، برطرف می نماید.
اصلاحیه حیاتی سوم (MS15-011)نقطه ضعفی را در بخش Group Policy سیستم عامل Windows برطرف می کند. این نقطه ضعف جالبی است که سوء استفاده از آن میتواند امکان دستکاری ارتباط بین سرور و ایستگاه کاری را فراهم آورده و از این طریقبه نفوذگر اجازه اجرای فرامین و تغییر تنظیمات GroupPolicy(جهت کاهش تنظیمات امنیتی) بر روی ماشین های یک دامنه خاص را بدهد. نصب ایناصلاحیه در شبکه های سازمانی به شدت توضیه می گردد.
همچنین اصلاحیه - مهم (Important) شماره( MS15-014) نیز برای GroupPolicyاست تا مانع از انجام حملاتی از نوع Man-in_the -Middle شود. این نوع حملات می توانند تنظیمات GroupPolicy رابر روی ماشین هایی که مورد حمله قرار گرفته اند، غیرقابل خواندن کند.
دیگر اصلاحیه های امنیتی مهم این ماه عبارتند از:
MS15-012سه نقطه ضعف را در تمامی نسخه های نرم افزار Office برطرف می کند.
MS15-013یک نقطه ضعف را در نرم افزار Office برطرف می کند. این نقطه ضعف کمی متفاوت با دیگر نقاط ضعف Office است. این امکان وجود دارد که این نقطه ضعف مهم با ترکیب با نقطهضعف دیگری، تبدیل به یک نقطه ضعف حیاتی شود که سوء استفاده از آن بدون نیاز به دخالتکاربر قابل انجام خواهد بود.
MS15-015 یک نقطه ضضعف Windows را که سوء استفاده از آن می تواند باعث ارتقاء مجوز دسترسی بهشبکه شود، برطرف می کند.
MS15-016یک نقطه ضعف Windows را در بخش پردازش فایل های گرافیکی TIFF برطرف می کند.
MS15-017یک نقطه ضعف را در بخش VirtualMachine Managerسیستم عامل Windows برطرف می کند.
https://technet.microsoft.com/en-us/library/security/dn610807.aspx
https://technet.microsoft.com/en-us/security/bulletin/dn602597.aspx
علیرضا قهرود
SOC _ عضو تیم مرکز عملیات امنیت
شرکت نوآوران ارتباطات دوران ( عضو گروهدوران )
رفع اشکال15 ساله و جدی مایکروسافت ( رفع آسیب پذیری )
شرکت مایکروسافت اصلاحیههایی منتشر کرده تا یک نقطه ضعف حیاتی را که می تواند کنترل سیستم های Windows را مورد تهدید قرار دهد، ترمیم کند. این نقطه ضعف برای شبکههای سازمانی اهمیت بیشتری دارد. برای تهیه این اصلاحیهها بیش از یکسال وقت صرفشده و نیازمند بازنگری های اساسی در بخش هایی از سیستم عامل Windows بوده است.
MS15-011 MS15-014 که بیش از یکسال صرف طراحی، تهیه و تست آنها شده، یک ضعف دربخشGroup Policy سیستمعاملWindows را برطرفو اصلاح می کند. دو شرکت امنیتی که این ضعف را کشف کرده اند، آنرا JASBUG نامگذاری کرده اند.
دو شرکتامنیتی به نامهایJas Global و SimMachines در مورد این آسیبپذیری به صورت رسمی در ژانویهی ۲۰۱۴ اطلاعاتی را بهمایکروسافت ارائه کرده بودند. درتوصیهنامهی این آسیبپذیری آمده است: ( این آسیبپذیری از راهدور قابل سوءاستفاده است و ممکن است برای مهاجم دسترسی مدیر سامانهرا در ماشین یا دستگاه قربانیفراهم کند. ماشینهایی که از طریقActive Directory به شبکهی محلی متصل شدهاند و از طریق اینترنت یا شبکهیخصوصی مجازی VPN به خارج از شبکهی محلی دسترسی دارند، در خطر بیشتریقرار دارند.)
امکان Group Policy در سیستم عاملWindows برایتعریف و مدیریت متمرکز سیستم هایWindows،نرم افزارهای کاربردی و تنظیمان کاربران در محیط Active Directory بکار می رود.
Active Directory یک سرویس مبتنیبر پایگاه داده است که در ویندوز تعبیه شده ومانند یک محافظ امنیتی، برای کاربران و گروهها، مجوزها و دسترسیهای لازم را ایجاد میکند ومحل دقیق منابع شبکه را در نقشهی شبکه مشخص میکند.
باید توجهداشت این ضعف که بیشتر از یک دهه درWindows وجودداشته و شناسایی نشده بود، برخلاف ضعف های اخیر، نظیر Heartbleed وShellshock،یک اشکال برنامه نویسی نیست و بلکه یک ایراد اساسی در طراحی اولیه Group Policy بوده است. برای ترمیم این ضعف طراحی، مایکروسافت مجبور بهبازنگری اساسی بخش هایی از سیستم عامل شده و ناچاراً امکانات جدیدی را نیز اضافهکرده است.
نفوذگر میتوانند با سوء استفاده از این ضعف، بر روی شبکه محلی به روش های مختلف، کامپیوترهارا فریب دهد تا تنظیمات جدید و مخربGroup Policy را از یکسرور تحت کنترل نفوذگر پذیرفته و اعمال کنند. با سوء استفاده موفق از ضعف Group Policy می توان بر روی سیستم های آسیب پذیر اقدام به نصب برنامه،تغییر داده ها، ایجاد حساب کاربری جدید کرد. اصلاحیه MS15-011 مانع از این سوء استفاده ها خواهد شد.
برایجلوگیری از دستکاریDomain Controller توسط نفوذگران در زمان دریافت تنظیمات Group Policy توسط یک ایستگاه کاری در شبکه محلی، شرکت مایکروسافت ناچاربه افزودن قابلیت جدیدی به نامUNC Hardened Access شده است. این قابلیت توسط اصلاحیه MS15-014 به سیستم عاملWindows افزوده میشود.
هنگامی کهاین قابلیت جدید فعال می باشد، ضروری است که قبل از دسترسی ایستگاه کاری به منابع UNC، نظیر تنظیماتGroup Policy،ایستگاه کاری و سرور همدیگر را تائید(authenticate) کنند.همچنین امکاناتی برای رمزگذاری و تائید اصالت ارتباط سرور و ایستگاه کاری به سیستمعامل افزوده شده است. برای استفاده از این قابلیت و امکانات جدید، مایکروسافتراهنمایی را تهیه و منتشر کرده است.
در سناریوی حملهای که توسط محققان مایکروسافت در وبلاگ اینشرکت قرار گرفته برای سوءاستفاده از این آسیبپذیری در یک ماشین که به شبکهی WiFi عمومی متصل است، باید گامهای زیر راطی کرد:
۱- شنود ترافیکسوییچ و کشف ماشینی که تلاش میکند یک پرونده را از آدرس UNC مانند آدرس زیر دریافت کند:
۱۰٫۰٫۰٫۱۰۰ShareLogin.bat
۲- در ماشین مهاجمیک مسیرShare ایجاد میشودکه دقیقاً با درخواست قربانی همانند شده است:
*ShareLogin.bat
۳- مهاجم مطمئن میشودکه درخواست کاربر از ماشین خودش میگذرد
۴- نسخهی مخربی ازپروندهی درخواستی کاربر به سمت قربانی ارسال میشود، البته این سناریو نشان میدهدمهاجم برای سوءاستفاده از این آسیبپذیری باید به شبکهی محلی کاربر دسترسیداشته باشد
he Windows OS versionsimpacted by the JASBUG flaw are:
·Windows Vista
·Windows 7
·Windows 8
·Windows RT
·Windows 8.1
·Windows RT 8.1
·Windows Server 2003
·Windows Server 2008
·Windows Server 2008 R2
·Windows Server 2012
·Windows Server 2012 R2
این آسیبپذیریمربوط به مولفهیGroup Policy از نرمافزار Active Directory است، که منجر میشود در مرحلهی بازیابی سیاستهای تعریفشدهنرمافزار شکست بخورد و برخی سیاستهای پیشفرض را بارگذاری کند.
هنوز مشخص نشده است که سناریوی حملات علیه شبکههایی که از VPN استفاده میکنند چیست، اما به صورتتئوری این مسئله ممکن است.
گرچه ضعف Group Policy در تمام نسخه های سیستم عامل Windows وجود دارد ولی شرکت مایکروسافت تصیمیم گرفته تا اصلاحیه ایبرای نسخهWindows Server 2003 که پشتیبانی آن به زودی به پایان خواهد رسید، منتشر نکند.به گفته مایکروسافت، اصلاحGroup Policy در Server 2003 نیازمند تغییرات بسیار اساسی در ساختار سیستم عامل است کهدر نهایت می تواند منجر به مشکلات عدم سازگاری Windows با نرم افزارهای کاربردی گردد.
نصب دواصلاحیهMS15-011 و MS15-014 که بخشی از اصلاحیه های امنیتی ماهانه مایکروسافت برای ماهمیلادی فوریه هستند که روز سه شنبه ۲۱ بهمن ماه منتشر شده اند، به مدیرانشبکه و کاربران توصیه می گردد.
http://blogs.technet.com/b/srd/archive/2015/02/10/ms15-011-amp-ms15-014-hardening-group-policy.aspx
https://technet.microsoft.com/en-us/library/security/ms15-011.aspx
https://technet.microsoft.com/en-us/library/security/ms15-014.aspx
علیرضا قهرود
SOC _ عضو تیم مرکز عملیاتامنیت
شرکت نوآوران ارتباطاتدوران ( عضو گروه دوران )
به پروفسورا خوش آمديد
پیوستن شما را به وب سایت پروفسورا خوش آمد میگوئیم.
شما میتوانید برای آشنایی بیشتر با خدمات سایت به آدرس های زیر مراجعه كنید:
- راهنمای کار با سیستم
- اخبار و اطلاعیه های سایت
در صورت بروز هر گونه مشكل در استفاده از خدمات سایت می توانید با پست الكترونیكی زير تماس حاصل فرمائيد:
با تشكر، مدیریت پروفسورا