امنیت در پرداخت - تلفن های همراه

ارسال شده در 30 بهمن 1393 توسط قهرود


پرداخت‌های همراه سادگی و راحتی را برای مصرف‌کنندگان به همراهدارند اما هنوز نگرانی‌های امنیتی در پس این فن‌آوری وجود دارد که مانع از استفادهگسترده از آن می‌شود. اطمینان مشتریان به توانایی ارائه‌دهندگان برای حفاظت از داده‌هایدارندگان کارت‌ها یک عامل تعیین کننده در موفقیت یا شکست خدمات پرداخت همراه است.کارت‌های یوروپی، مسترکارت و ویزا کارتبااستفاده از ریزتراشه امن که یک عنصر فیزیکی برای تراکنش داده‌ها است، به تامینامنیت به کمک رمزنگاری می‌پردازد. گام بعدی افزایش امنیت مجازی است.

شبیه‌سازی کارت میزبان (HCE) معجزه‌ای در صنعت پرداخت همراه است که هزینه‌ها و موانع استفادهگسترده‌تر از این صنعت را کاهش می‌دهد. سازمان‌هایی که تمایل به استفاده از کارت‌هایپرداخت دارند اکنون می‌توانند این کار را بدون هزینه‌های بالا و ارتباطات پیچیدهبا شرکایشان، انجام دهند. پیش از سخن به میان آمدن از اچ‌سی‌ای، سازمان‌ها مجبوربودند گواهی‌نامه‌ها را در یک تراشه امنیتی ویژه (عنصر امن) در تلفن ذخیره کنند یااز گوهینامه‌های کارت درون فایل در ابر استفاده کنند. گزینه عنصر امن تلفن را بهیک کیف پول همراه مبدل می‌کند زیرا عنصر امن همچون یک تراشه در کارت‌های ای‌ام‌ویعمل می‌کند. گزینه «ابر» امکان ذخیره‌سازی اطلاعات پایه‌ای پرداخت همچون شمارهکارت، تاریخ انقضا، یا کد مرتب‌سازی و شماره حساب را به سادگی در اینترنت می‌دهد.از زمان معرفی اچ‌سی‌ای (HCE) به خاطر داده‌های کامل پرداخت -یک ارائه دقیق از تنها نرم‌افزاراستفاده شده توسط کارت- دیگر نیازی به نگه‌داری اطلاعات در یک تراشه فیزیکی و درحقیقت عنصر امن نیست.

برای انتقال داده‌های ذخیره شده در کارت ازتراشه به یک محیط امن در ابر، معیارهای اصلی باید برآورده شوند و این معیارها ممکناست منجر به مشکلاتی شوند. تلفن شما برای کامل کردن تراکنش باید به اینترنت متصل، منتظر انجام شدن رمزنگاری و دریافت پاسخ شود.حتی در بهترین حالت ممکن نیز کامل شدن این کار در زمان مورد نیاز برنامه‌های کارتدشوار است. البته بدون سیگنال این کار غیرممکن است. راه حل معرفی شده برای حل اینمشکل از مفهومی با عنوان «tokenization» استفاده می‌کند. به جای نیاز به اتصال اینترنتی هنگام پرداخت، کارت‌هایمجازی با استفاده محدود در گوشی شما ذخیره می‌شوند.

یک کیف پول مجازی برای مصرف خریداران وشناسایی سارقان راهکاری آسان و مناسب است. احتمال وجود تهدیدهایی همچون شبیه‌سازیتلفن و درخواست اطلاعات کارت و یا مستقر شدن یک بدافزار در تلفن و ارسال اطلاعاتکارت مجازی به سارق وجود دارد.

به‌روزرسانی احراز هویت و ارزیابی

قدرت مکانیزم احراز هویت برای پرداخت‌هایهمراه عامل تعیین کننده امنیت این پرداخت‌ها است. ما باید قادر به مرتبط ساختنشناسایی کاربران به احراز هویت تراکنش باشیم. در حالی که بانک‌ها با نیازهای حفاظتاز داده آشنا هستند، رقبایی با تجربه کمتر در اداره داده‌ها نیاز به دقت بیشتری دراحراز هویت و ارزیابی ریسک دارند.

یک گوشی هوشمند می‌تواند به ارزیابی مخاطراتتراکنش‌ها و احراز هویت کاربر کمک کند. ویژگی‌های همچون داده‌های جی‌پی‌اس، موقعیتتری‌جی، نزدیکی به محل‌های وای‌فای و شماره و تعداد برنامه‌ها در دستگاه، یکاثرانگشت یکتا برای هر تلفن می‌سازد و واضح است که این موارد می‌توانند کمک شایانتوجهی به شناسایی احتمال جعلی بودن یک تراکنش کنند. این قابلیت به ساده کردن تجربهکاربری و کاهش موانع موجود بر سر راه احراز هویت کاربران در صورتی که به نظر بیایداین یک کاربر تایید شده است و معرفی موانعی برای مختل کردن یک پرداخت در صورت شککردن به تایید شده بودن کاربر، کمک کند.

همه این تحلیل‌ها بستگی به داده‌ها -داده‌هایشخصی که از اهداف مورد علاقه هکرها هستند و باید در مقابل حملات محافظت شوند-دارد. محافظت از همه این داده‌های شخصی ذخیره شده از مشکلات مرسوم پایگاه دادهگذرواژه‌ها از نظر حجم و حساسیت احراز هویت است و «مشکل گذرواژه» را به «مشکل دادههای بزرگ» مبدل می‌کند. اطلاعات باید به خوبی به منظور خنثی کردن و کاهش تاثیراتبه سرقت رفتن یا گم شدن آن‌ها رمزنگاری شوند. تکامل سریع صنعت پرداخت همراه باظهور اچ‌سی‌ای (HCE) بهبود خواهد یافت. اچ‌سی‌ای دروازه‌های عظیمی را به سوی سازمان‌هاییکه استطاعت پرداخت هزینه‌های فن‌آوری‌های پیشین را ندارند باز می‌کند. این می‌تواندمنجر به افزایش داده‌هایی از کاربران که باید محافظت شوند، بشود. در دنیای دیجیتالو به صورت جهانی متصل، ما باید از هر منبع موجودی برای اطمینان از سهولت استفاده،راحتی و امنیت پرداخت‌های همراه اطمینان حاصل کنیم. تنها در آن زمان است که مصرف‌کنندگانبه فن‌آوری اطمینان می‌کنند و آن را در ابعاد گسترده‌ای می‌پذیرند.


علیرضا قهرود

مرکز عملیات امنیت - SOC

تغییر موضع امنیت سایبری از دفاع به حمله

ارسال شده در 30 بهمن 1393 توسط قهرود


پس از نفوذهای پی‌درپی و شرم‌آور امنیتی درسال گذشته، اعتماد مشتریان به شرکت‌های بزرگ در این زمینه تا حد زیادی از بین رفتهاست. با تمام این‌ها، به جرات می‌توان گفت با پایان سال ۲۰۱۴دنیای امنیت اطلاعات حال و هوای تازه‌ای دارد.» این صحبت‌های ریکداکین مدیرعامل و سرپرست امنیت استراتژیک کمپانی Coalfire پیرامون تغییرات دنیای امنیت است. او در ادامه می‌گوید: «حالا وقت آنرسیده که شرکت‌ها با نگاهی بازتر و بررسی تهدیدات نسل آینده جهت پشتیبانی و امنیتبیشتر از اطلاعات مشتریانشان اقدام کنند. چشم‌انداز تهدیدات اینترنتی با سرعت فوق‌العادهدر حال تکامل است. اگر تاکنون به فکر آماده‌سازی جهت رویارویی با تهدیدات در سالآینده نیستید، بدون شک این آخریت فرصت شماست !

Coalfireبا بررسی بیش از ۱۰۰۰ سیستم حاوی اطلاعات حساس و تحقیقات پیرامون آن‌ها، پیش‌بینی خود ازسال ۲۰۱۵ را به شکل زیر بیان می‌کند:

تهدیدکنندگان با انگیزه‌:آمار حملات سایبری موفق در فضای اینترنت سیر تصاعدی خود را با شیببسیار زیادی طی می‌کند. با این پیروزی‌ها، گروه‌ها، از لحاظ ژئوپلیتیکی و مالی بهتوانایی بیشتری در این زمینه رسیده و فعالیت‌های مجرمانه خود را گسترش می‌دهند.

تعریف دوباره دفاع:نیاز به امنیت سایبری باعث تغییرات بنیادین در دنیای فناوری اطلاعاتمی‌شود. مدیریت بحران سایبری و امنیت حالا مانند دیگر ویژگی‌ها مانند طراحی، حجم وکارکرد از اهمیت بسیار زیادی برخوردار است. سود کردن و بازگشت هزینه سرمایه‌گذاری،حالا با این ویژگی جدید مفهومی تازه به خود گرفته و با ریسک از دست دادن همه چیزتلفیق گشته است.

سه سرپرست به جای یکی:در شرکت‌های بزرگ شغل‌هایی تحت عنوان «مدیر ارشد اطلاعات»، «مدیر ارشدامنیت اطلاعات» و «مدیر ارشد فناوری اطلاعات» وجود دارند. درحالی که بسیاری ازتحلیلگران، دوره حضور پررنگ سرپرست اصلی (مدیر ارشد اطلاعات) را تمام شده می‌دانند،ما سعی می‌کنیم در همه حال تعادل را بین این سه حفظ کنیم.

افزایش سرمایه‌گذاری:با وجود ریسک‌های خطرناک در دنیای اطلاعات، هزینه امنیت سایبری ومدیریت بحران با سیری صعودی رو به افزایش است به طوری که تا سه سال آینده بهدوبرابر مقدار فعلی می‌رسد.

پیشگامان نو:تکامل سیستم‌های موبایلی، محاسبات ابری و اینترنت اشیا همه و همهبستری نو را برای سایبر تروریسم فراهم آورنده‌اند.

مانیتورینگ جهانی:با وجود حوادث سایبری اخیر در دنیای فناوری اطلاعات، افراد و سازمان‌هابه طرق مختلف به پایش اطلاعات مشتریانشان می‌پردازند. این روش‌ها کاملا قانونیبوده و تمام هزینه‌ها را موسسه‌های مالی، بیمه‌ها یا خود شرکت متقبل می‌شود.

مدیریت تجاری در توسعه خط مشی:مدیریت صحیح، سازمان را چه در بخش خصوصی چه دولتی به سمت توسعه و بلوغکامل سوق می‌دهد. نتیجه این امر، بهبود مدیریت بحران و کاهش احتمال حملات سایبریاست.

شناسایی تهدیدات جدید و فناوری‌های پیش‌گیرانه:برای جلوگیری از هر تهدید اینترنتی باید با کدهای تو‌درتو، هوش ماشینیو تحلیل‌های فراوان سر و کله بزنیم. بدون شک وجود ربات‌های هوشمند و الگوریتم‌هایپیشرفته جهت شناسایی تهدیدگنندگان و جلوگیری از اهداف آن‌ها تاثیر بسیاری خواهدداشت.

بهبود امنیت:برنامه‌های جدیدتر و بهتر اعتبارسنجی، EMV، رمزگذاری و راه‌حل‌های نشانه‌گذاری شدهامنیت سیستم پرداخت بدون دخالت مستقیم پول را افزایش می‌دهند. بدون شکApple Pay و دیگر فناوری‌هاینسل بعد بر سیستم‌های ضد NFC غلبه خواهند کرد و با وجود سیستم پرداخت موبایلی امنیت در این زمینهمعنای جدیدی می‌یابد. به گونه‌ای که تمامی برنامه‌های پولی مانند نرم‌افزارهایمربوط به سلامت – که اطلاعات و ضروری در آن‌ها مبادله می‌شوند – را تحت‌الشعاعقرار می‌دهد.

بازگشت به حمله:بدون شک در آینده نزدیک شاهد تغییر موضع امنیت سایبری از دفاع به حملههستیم. از ساختن سیستم‌های غیرقابل نفوذ گرفته تا سیستم‌هایی که امکان شناساییحمله کنندگان و در نتیجه ایجاد رخنه در کار آن‌ها و دستگیریشان را فراهم می‌آروند.

و در آخر تمامی شواهد و گزارشات سایبری و .. نشان از بیان این موضوع میباشد که کلیهسازمان ها با هر سایز و خط مشی توسعه گری نیاز به

·پیاده سازی راهکار های امنیت اطلاعات و شبکه

·پیاده سازی روش های پیشرفته تست نفوذ - ارزیابیامنیتی و شناسایی ریسک های موجود

·پیاده سازی راه کارهای نسل نوین رایانش ابریعمومی و خصوصی

: و در انتهابردن تمامی موارد ذکر شده ( برای بالاترین سیستم امن یافته و مانیتورینگپشرفته و چرخه مداوم امن نگه داشتن بصورت لحظه ایدر جهت پیشگیری از هرگونه حملات سایبری و رصد حملات ) در زیر چتر مفهومجدید و ارتقا یافته ای به نام مرکز عملیات امنیت –

Security Operation Center دیگر انتخاب و گزینه نیست بلکه برای تداوم کسب - کارو گریز از هرگونه آسیب و اختلال در هرسطحی داشتن چنین مرکزی و یا گرفتن سرویس از مرکز عملیاتامنیت است که یک الزام میباشد .

یک الزام !


علیرضا قهرود

مرکز عملیات امنیت - SOC

امنیت و حریم خصوصی - SmartPhone

ارسال شده در 30 بهمن 1393 توسط قهرود


نرم‌افزار پرایوسی (Privacy App) برپایه فن‌آوریcounterveillanceشرکت اسنوپ‌وال (snoopwall) است. این برنامه به اعماق برنامه‌ها در دستگاه‌های اندرویدی رفته و آن‌هارا از لحاظ حفظ حریم خصوصی بررسی کرده و در صورتی که برنامه‌ای جاسوسی کند کاربررا مطلع می‌سازد. این برنامه به کاربران گوشی‌های هوشمند نشان می‌دهد خطرات زیادیوجود دارند و یکی از دلایلی پایداری این خطرات آن است که کاربران به سادگی به نرم‌افزارهایضد ویروس برای حافظت از آن‌ها در بانکداری الکترونیکی و تراکنش‌های دارای خطراتبالا اعتماد کرده و آن‌ها را کافی می‌دانند.

اسنوپ‌وال پس از۱۴ ماه توسعه فن‌آوری و آزمودن بیش از ۹۰۰۰۰ برنامه در اندروید پلی استور کشف کردهکه ۲۰ درصد از برنامه‌های این فروشگاه دارایدسترسی‌هایی هستند که به آن‌ها نیاز ندارند و همین امر موجب شده اندروید به یکی ازسیستم‌عامل‌های موجود در بازاری مبدل شود که بسیارمورد جاسوسی قرار می‌گیرد. به عنوان نمونه می‌تواند به برنامه‌هایی اشاره کرد کهدر پشت صحنه اجرا می‌شوند و تنها منتظر هستند که کاربرمطلب مهمی بگوید یا گذرواژهخود را بنویسید. برنامه‌هایی نیز وجود دارند که می‌توانند بدون روشن کردن ال‌ای‌دیوب‌کم اقدام به تصویربرداری کنند، بنابراین اغراق نیست اگر بگوییم کاربران در معرضخطرات فوق‌العاده و سرقت هویت هستند.

برنامه Privacy "ضریب خطر” حفظحریم خصوصی را برای رده برنامه‌هایی با بیشترین عناوین برنامه‌های بحرانی شامل نرم‌افزارهایمالی و بانکداری که بیشترین نیاز را به حفظ امنیت و حریم خصوصی دارند ارائه می‌کندو جالب توجه است که این برنامه‌ها معمولا رتبه‌های حفظ حریم خصوصی پایینی دارند.

این برنامه ازفن‌آوری "port authority” که پتنت آن متعلق به شرکت اسنوپ‌والاست، برای شناسایی این که کدام پورت‌ها برای جاسوسی از کاربران نهایی استفاده می‌شودبهره می‌برد. این برنامه به مالکان گوشی‌های هوشمند و تبلت‌ها کمک می‌کند ریشهبرنامه‌ها و اینکه برای ارسال اطلاعات شخصی به خارج از دستگاه به چه مواردی ممکناست متصل شوند را پیگیری کنند.

این برنامههمچنین حذف یا غیرفعال کردن برنامه‌ها را (در صورتی که امکان حذف/غیرفعال کردن آن‌هاوجود داشته باشد) آسان‌تر می‌کند. اگر یک بدافزار شناخته شده توسط ضد ویروس‌ها یاناشناخته (صفر روزه) تلاش کند از دستگاه جاسوسی کند برنامه پرایوسی با بررسی رفتاربرنامه این امر را تشخیص داده و کاربر را آگاه می‌سازد.

پرایوسی، برنامه‌هایمحبوب شما برای بانکداری را از جهت وجود حفره‌های امنیتی ممیزی کرده و در صورتروشن بودن نرم‌افزار ضد ویروستان نقص‌های امنیتی موجود را کشف می‌کند.

توسعه‌دهندگاناسنوپ‌وال قصد دارند نسخه آی‌او‌اس و ویندوزی برنامه پرایوسی را در ابتدای سال 2015منتشرکنند.

دیدن این فیلمنیز توصیه می‌شود:


علیرضا قهرود

مرکز عملیات امنیت - SOC

تهدیدات سایبری و بهبود وضعیت راهبردهای دفاعی

ارسال شده در 30 بهمن 1393 توسط قهرود


(SOC: Security Operation Center مرکز عملیاتامنیت

واضح است که ظهور اینترنت نحوهتعاملات، تجارت و انتشار و تبادل اطلاعات را دگرگون کرده است. از اینترنت می‌توانتحت عنوان ( موتور خلاقیت ) یاد کرد، اماهمین موتور می‌تواند موجب شود تا تهدیدات سایبری با سرعت بیشتر از روش‌های دفاعسایبری پیشرفت کنند. از آنجا که تهدیدات سایبری ماهیتی پیچیده و دائماً در حال رشددارند، شبکه‌های دفاعی برای آنکه بتوانند همپای آن‌ها رشد کنند، با دشواری مواجههستند.

طراحی اصلی و اولیه اینترنت برپایه ارتباطات پایدار و نه امنیت صورت گرفته است. این موضوع همچنان به همین شکلمانده و تغییری در این واقعیت ایجاد نشده است. در نگاهی کلی می‌توان گفت اغلبسامانه‌های متصل به اینترنت، آسیب‌پذیر بوده، روش‌های دفاعی موجود ( پدافندهایمبتنی بر ایجاد فهرست‌های سیاه بر اساس امضای الکترونیک) تاریخ‌مصرف خود را از دستداده و اکثر راهبردهای امنیت سایبری کنونی ناکافی به نظر می‌آیند و فاصله میانتوان تهاجمی و توان تدافعی رو به روز بیشتر می‌شود. در حقیقت امنیت نتوانسته همپایتهدیدات رشد کرده و تکامل یابد.

حملاتی که این روزها صورت می‌گیرد،دقیقاً نظیر کسانی این حملات را ترتیب می‌دهند، بسیار پیچیده هستند. مجرمین سایبریبه طور مداوم بدافزارهای خاص خود را طراحی می‌کنند تا بر روش‌های دفاع سایبری غلبهکنند (طراحی بدافزاری هم که اخیراً به شرکت ها ( مقصد – هدف ) حمله میکنند ، طوریخواهند بود که بتوانند از اعلام خطر اغلببرنامه‌های آنتی‌ویروس جلوگیری کند). این عملیات ( سنجش ) که با هدف جلوگیری از شناسایی صورت می‌گیرد،اقدامی معمول است که به صورت روزمره انجام می‌شود و ابزارهای انجام این اقدامات بهسادگی در بازار سیاه جرائم اینترنتی در دسترس است. در مقابل، اغلب کاربران اینترنتاطلاعات اندکی از موارد امنیتی دارند. عوامل مختلفی نظیر وجود مهاجمین فرصت‌طلب وبا انگیزه‌های خاص، تمهیدات ضعیف امنیتی، تهدیدات داخلی و ناتوانی دولت و بخشخصوصی در سیاست‌گذاری و تعریف قوانین مربوط به امنیت سایبری، دست‌به‌دست هم دادهتا شبکه‌های مجازی بسیار آسیب‌پذیر باشند.

فضای مجازی اکنون به محیطی تبدیلشده که مردم بیش از آنکه از آن برای انتقال اطلاعات استفاده کنند، آن را برایذخیره موارد باارزش به کار می‌گیرند و این روندی است که روزبه‌روز در حال گسترشاست. فضای مجازی محیطی است با ارتباطات داخلی به شدت فراگیر که به صورت مداوم درحال تغییر هستند و همین امر دستیابی به برتری‌های امنیت ایستا را ناممکن می‌کند.فضای سایبری فضایی است منبعث از تمام دامنه‌هایی که از آن پشتیبانی می‌کند، اما درعین حال ویژگی‌هایی منحصربه‌فرد دارد که دفاع از آن را دشوار می‌کند.

تهدیدات امنیتی فضای سایبری هر روز در حال افزایش است

مهم‌ترینمنبع تهدید در فضای مجازی، گروه‌هایی هستند که با در اختیار داشتند منابع مالی،مأموریت یافته‌اند تا آنقدر به شبکه‌های یک شرکت یا دولت حمله کنند که بتوانند بهآن نفوذ کرده و به موارد مدنظرشان دست پیدا کنند. به این مهاجمین در اصطلاح تهدید دائمی پیشرفته (APT) اطلاق می‌شود APT ها معمولاً به خوبی تغذیه مالی شده، عموماً با دولت‌هاارتباط داشته و ابزارها و مهارت‌های پیچیده انجام هک را در اختیار دارند که دائماًهم در حال بهبود هستند. حرفه‌ترین APT ها عموماً در خانه‌های امن و محل‌هایی مستقر هستند کهخطر بازداشت یا تحت تعقیب قرار گرفتن آن‌ها را تهدید نمی‌کند. از همه مهم‌تر، APTراه‌هایی را برای فرار از سامانه‌هایمعمول دفاع سایبری مبتنی بر ( انطباق الگو ) برای شناسایی و سد راه تهدیدات، یافته‌اند.

ترکیبضعف امنیتی شبکه‌ها و خلاقیت و تحرک مهاجمین منجر شده تا حملات سایبری روند رو بهرشدی داشته باشند. تنها در چند ماه اخیر، شرکت‌ها و بانک‌های بزرگ همگی از حملاتسایبری رنج برده‌اند (این فقط مواردی است که توسطمراکزعملیات امنیت – SOC رصد شدهاند ). در سال ۲۰۱3، سامانه (FireEye) بیشاز ۱۲ میلیون ارتباط بین سرورهای فرمان و کنترل و مجموعه‌هایآلوده را رصد کرد. هریک از این ارتباط‌ها نشان‌دهنده یک نفوذ به شبکه هستند. حملاتسایبری همچنین به طور مداوم از لحاظ پیچیدگی هم در حال رشد هستند. مهاجمین اکنون از حملاتچندمرحله‌ای استفاده می‌کنند که گاهی تا چند ماه به طول می‌انجامد یا اینکه ازالگوهای تازه‌ای برای حمله استفاده می‌کنند (مثلاً بدافزار را در یک سایت پرطرفدارکه کاربران شرکت هدف احتمالاً از آن استفاده می‌کنند، قرار می‌دهند).

آمار: روزانه ۹ هزار سایت جدید برای به دام انداختن کاربران ناآگاه ایجادمی‌شود.

پیچیدگی حملات سایبری را با یک مثال روشن میتوان کر د. در این حمله، مهاجمینتوانستند با استفاده از یک نقطه ضعف در شبکه بدافزاری را در آن جایگذاری کنند. این بدافزاراز طریق همین شبکه منتشر شد و به پایانه‌های فروش که مشتریان در سرتاسر کشور در آن‌هااز کارت‌های اعتباری خود استفاده می‌کردند، رسید. استفاده از پایانه‌های فروش موجبشد تا بدافزار بتواند سامانه‌های دفاعی و کنترل‌های داخلی شبکه را دور بزند. با وجود آنکه اطلاعات کارت‌هایاعتباری بعد از کشیده شدن رمزگذاری می‌شوند، اما این بدافزار طوری طراحی شده بودکه اطلاعات را در مرحله بین کشیده شدن کارت و رمزگذاری ثبت کرده و برای مهاجمینارسال می‌کرد. مهارت ترکیبی برنامه‌نویسی و اطلاع مهاجمین از روند عملیات تجاریموجب شد تا این برنامه بتواند بر شبکه‌های دفاعی مناسب این شرکت، غلبه کند

APT ها همچنین می‌توانند متخصص حملات موسوم به Zero- Day باشند که درآن از نقاط ضعفی استفاده می‌شود که سامانه‌های دفاعی از آن‌ها بی‌اطلاع بوده وبرای مقابله با حملات از این نقاط، آمادگی ندارند. این حملات اکنون بازار بسیارپررونقی دارند، به طوری که محققین بسیاری از کشورها نقاط آسیب‌پذیر را شناساییکرده و اطلاعات مربوط به آن‌ها را به مجرمین سایبری، دولت‌ها یا حتی شرکت‌هایتولیدکننده نرم‌افزار، برای فروش عرضه می‌کنند. ابزارهای حملات Zero- Day در دسترسبوده و به APT ها اجازه می‌دهند تا با استفاده از ابزارهای نرم‌افزاریجدید و غیرقابل‌شناسایی به IP های یک شبکه دستبرد زده یا آن شبکه را مختل کنند.

استخراج IP در شبکه‌ها همچنان اصلی‌ترینهدفی است که APT ها دنبال می‌کنند و مهاجمین این گروه‌ها تقریباً شرکت‌هایهیچ صنعتی را از گزند حملات خود بی‌نصیب نگذاشته‌اند. برخی حملات حتی تا سه سال همبه طول می‌انجامد و مهاجمین در تمام این مدت تمام اطلاعات ارزشمند را استخراج می‌کنند.برخی دیگر از حملات بیشتر شبه به )کیف قاپی ) هستند، که مهاجمین در عرض تنها چند دقیقه اطلاعاتباارزش را به دست می‌آورند.

APT ها از اطلاعات یک کارخانه برای ضربه زدن به همان مجموعهبهره می‌گیرند. به عنوان مثال، یکی از گروه‌های مجرم سایبری توانست به لیست بازرسیاز شرکت‌های فعال در صنعت کارت‌های اعتباری دسترسی پیدا کند، که مشخص می‌کرد وضعیتامنیتی شرکت‌های مختلف از لحاظ امنیت مبادلات کارت‌های اعتباری در چه سطحی است.این فهرست‌های بازرسی، نقاط ضعف سامانه‌های دفاعی شرکت‌های مختلف را مشخص کرده بودکه هکرها از آن‌ها برای افزایش کارایی و بهبود حملات خود از آن‌ها استفاده می‌کنند.

اینحملات هر روز در حال فراگیرتر شدن هستند. در این حملات، هکرها به سراغ شرکت‌هاییمی‌روند که از پروتکل های همچون (SSL) به منظور امن کردن مبادلات استفاده می‌کنند، و برایافزایش امنیت شبکه‌های خود به کار می‌گیرند. آن‌ها سپس با استفاده از فناوری‌ای کهبه آن دستبرد زده‌اند، به ده‌ها یا حتی صدها شرکت یا کاربری که از آن فناوری استفاده می‌کنند،هجوم می‌برند. گویی به یک کلیدسازی دستبرد زده و سپس با استفاده از شاه‌کلید ربوده‌شده،قفل صدها در را باز کنند. یکی از معروف‌ترین این حملات، حمله به شرکت ( RSA) تولیدکننده بزرگ نرم‌افزارهای رمزنگار، است. دراین حمله شرکت خود هدف اصلی نبوده، بلکه مهاجمین APT به این شرکت نفوذ کردند تا به فناوری تائید هویتی که درمؤسسات مالی، شرکت‌های دفاعی و دیگر فعالیت‌های مهم از آن استفاده می‌شد، دستیابند. در حملات بالادستی، استفاده هکرها از شناسه دیجیتالی که با شناسه محصولاصلی غیرقابل تمیز است، موجب می‌شود تا امنیت به کلی از بین برود.

دیگرروش حملات سایبری، روش موسوم به ( فیشینگ متمرکز – هدفمند) است. در این روش ازایمیل‌های آلوده به بدافزار برای فریب کاربران و نفوذ به سامانه‌های آن‌ها استفادهمی‌شود. ایمیل‌ها معمولاً به نظر قابل‌اعتماد می‌رسند و عموماً ویدئو یا یک فایلاکسل نیز به آن ضمیمه شده است. به محض آنکه کاربر برای دریافت فایل ضمیمه روی آنکلیک کند، بدافزار دانلود شده و وارد شبکه می‌شود. در یکی از موارد موفق برایمدیران یک نهاد ایمیل‌هایی تحت عنوان وسوسه‌برانگیز ( لیست پاداش‌های سال آینده )ارسال شد.

دریک مورد دیگر، باز کردن یک فایل ویدئویی با پسوند مثلاMPEG که به ایمیل ضمیمه شده بود، باعث می‌شد تا نرم‌افزارموسوم به ( key logger) روی دستگاه‌ها کپی شود که قادر خواهد بود تک‌ تک کلیدهایی را که کاربر روی کیبورد می‌فشارد،را ثبت کرده و برای مهاجمین بفرستد. هکرها با استفاده از همین اطلاعات به شناسههویتی‌ای که کاربران از آن برای ورود به شبکه شرکت استفاده می‌کردند، دست می‌یافتند.مهاجمین سپس با همین شناسه‌های هویتی معتبر، وارد شبکه شده و بدافزار مدنظر خود رابرای تخلیه اطلاعات مشخص از شبکه، روی آن نصب می‌کردند. تنها با همین روش خاص،تاکنون به بیش از 175 شرکت علمی و فناوری حمله شده است.

اینحملات می‌توانند در چند حمله، چند موج یا بخش به بخش صورت گیرند. APT هادر ابتدا به دنبال کد برنامه‌ای یا اطلاعات نرم‌افزاری هستند که به آن‌ها اجازهدهد به شبکه‌های شرکت دسترسی پیدا کنند. به محض آنکه توانستند به دسترسی‌های مدنظربرسند، برنامه خود را که به دنبال سرقت IP های ارزشمند است، در شبکه جاسازی کرده و آن را فعال می‌کنند.لازم به ذکر است که معمولاً در حملات سایبری تکوینی (که به صورت چند مرحله وتکاملی هستند)، مهاجمین باید خیلی بدشانس یا غیرحرفه‌ای باشند که گیر افتاده یاحتی شناسایی شوند. اغلب پیشرفته‌ترین مهاجمین، ناشناخته باقی می‌مانند.

ازبین مجموع حملات APT که ما از آن‌ها مطلع می‌شویم، ریشه بیش از ۹۰ درصدشان به چین می‌رسد. گروه‌های APT چینی بر سرقت IP ها و دیگر اطلاعات محرمانه تجاری متمرکز هستند. آن‌ها دربهره‌برداری از اطلاعات ارزشمند شبکه‌های دیگر، در جهان پیشرو هستند. زمانی بحثامنیت IP ها و اطلاعات محرمانه تجاری مطرح است، تغییر رویکرد چینمی‌تواند نقشی اساسی در پازل امنیت سایبری ایفا کند. گروه‌های چینی فعالانه صنایعگوناگون از جمله هوا و فضا، داروسازی، شیمی، خودروسازی و رسانه‌های سرتاسر جهان راهدف قرار می‌دهند. این حملات گاهی اوقات رسانه‌ای می‌شود، اما معمولاً از چشمجامعه به دور می‌ماند.

APT ها پیش از معمولاً تنها شرکت‌های دارای IP های ارزشمند را هدفقرار می‌دادند. در حالی که این گروه‌ها همچنان چنین شرکت‌هایی را هدف قرار می‌دهند،دامنه حملات آن‌ها گسترش یافته و همه شرکت‌های دارای اطلاعات مفید، IPیا سرمایه را نیز در برگرفته است.قربانیان این حملات تقریباً در همه‌جا و هر صنعتی، از شرکت‌های کوچک گرفته تامجموعه‌های بزرگ و در هر کشوری هستند.

بااین حال، تهدیدات امنیت سایبری تنها به چین محدود نمی‌شود. APT های روسی در مقایسه با چینی‌ها بسیار پیچیده‌تر بوده وروش‌های مورد استفاده آن‌ها فوق‌العاده ممتاز است. به عنوان نمونه، هکرهای روس باطور گسترده‌ای از رمزنگاری استفاده می‌کنند. آن‌ها با رمزنگاری بدافزار، حذف آن ازشبکه‌ها را دشوارتر کرده و ضمناً بر اقداماتی که برای شناسایی هکرهای چینی صورتگرفته، فائق می‌آیند.

اگرگروه‌های APT چینی تمرکز خود را روی سرقت IP ها گذاشته‌اند، همتایان روس و اروپای شرقی‌شان، بیشتر برجرائم مالی متمرکزند. قربانیان این گروه را هم در تقریباً تمام صنایع مختلف می‌توانیافت. این گروه‌ها مشخصاً مدیران مالی و ممیزهای حساب‌های شرکت‌ها را هدف قرار می‌دهندتا به اطلاعات خصوصی در مورد وضعیت مالی، سود یا طرح‌های شرکت‌ها دست یابند. اینهکرها به دنبال اطلاعاتی خاص مربوط به شرکت‌های سهامی هستند تا از این اطلاعاتبرای معامله یا تأثیرگذاری بر قیمت سهام شرکت استفاده کنند. یکی از موارد نگران‌کنندهاین است که هکرهای روس از این روش برای دستکاری در بازار سهام به نحوی که قابل‌تشخیصنباشد، استفاده می‌کنند.

بهگفته اقایD.d-w از شرکت FireEye ) ( اگر شما ذخیره‌ای از IP ها دارید، بدانید جزو اهداف هستید. ما این را دربیمارستان‌ها و مراکز درمانی دیده‌ایم. ما این را به وضوح در بانکداری مشاهده می‌کنیم.ما این را در اندیشکده‌ها می‌بینیم. این را در شرکت‌های تولیدی شاهدیم. ما اینموضوع را در بخش انرژی مشاهده می‌کنیم. تقریباً در تمام بخش‌های همه کشورها ماشاهدیم که حملاتی برای نفوذ و سرقت IP ها، اطلاعات و سرمایه، صورت می‌گیرد. بنابراین، این امربه موضوعی جهانی بدل شده است.

رویکردهای دفاعی بایدهمپای مهاجمین رشد کنند

APT ها فرصت‌طلب و خلاق هستند. اگر یک نهاد به خوبی محافظتشده باشد، آن‌ها به دنبال شرکای تجاری، حسابداران یا شرکت‌های حقوقی خارج از ایننهاد که توان دفاعی کمتری دارند، می‌روند و از شبکه‌های آن‌ها به عنوان راهیجایگزین برای نفوذ و دست یافتن به اطلاعاتی که می‌خواهند، استفاده می‌کنند. شبکه‌هایشرکت‌ها معمولاً از مسیر شرکت‌های ارائه‌دهنده دامنه یا خدمات‌دهنده به شبکه، موردهدف قرارگرفته و ضربه می‌خورند. به عنوان نمونه، ارتش الکترونیک سوریه برای نفوذ به New YorkTimesاز مسیر شرکت خدمات‌دهندهبه سایت، استفاده کرد. شرکت‌های حقوقی هم اهداف خوبی برای دست یافتن به اطلاعاتمحرمانه شرکت‌ها از جمله مجوزها، شرکا یا دارایی‌ها، هستند.

تهدید APT ها تنها به اطلاعاتمنحصر نبوده و می‌تواند به تغییرات فیزیکی نیز منجر شود. انجام تخریب‌های فیزیکیدر مقایسه به سرقت ساده اطلاعات، نیازمند حجم بسیار بیشتری از پیچیدگی‌های برنامه‌نویسیو اطلاعات در مورد هدف است. این حملات همچنین در مقایسه با ابزارهایی که در حالحاضر برای حملات معمول استفاده می‌شوند، به ابزارهایی بسیار گران‌قیمت‌تر نیازدارند. با این حال، اکنون تعداد کشورهایی که به چنین مهارت‌هایی دست‌یافته‌اند، روبه افزایش است. در حالی که ایجاد اثرات فیزیکی به دلیل منابع و مهارت‌های بیشتریکه نیاز دارند، همچنان کاری دشوار است، اما اکنون تعداد فزاینده‌ای از گروه‌ها بهمهارت لازم برای انجام حملات مختل‌کننده یا تخریب‌گر که می‌تواند ایمنی عمومی یاامنیت ملی را در معرض خطر قرار دهد، دست‌یافته یا در حال دست یافتن هستند.

دفاع سایبری نتوانسته بهاندازهها پیشرفت کند

APT ها منابع، پشت‌کار و مهارت‌های لازم برای طراحی حملاتپیچیده و فائق آمدن بر سامانه‌های دفاعی و جلوگیری از شناخته شدن را دارند. شبکهبسیاری از شرکت‌ها در حالی مورد حمله و دستبرد قرارگرفته که حتی خود آن شرکت نیزاز این موضوع بی‌اطلاع است. APT ها با بهره‌گیری از هماهنگی ضعیف و اجرای ناقص تمهیداتاولیه امنیت سایبری در شرکت‌ها، به تهدیدی جدی برای امنیت سایبری بدل شده‌اند.تمهیدات ضعیف دفاعی بدان معنی است که APT ها می‌توانند بدون آنکه قربانی بفهمد، همواره با یکالگوی مشخص با موفقیت به شبکه نفوذ کرده و به اطلاعات آن دستبرد بزنند.

ماداریم در مورد یک روند سایبری صحبت می‌کنیم. در واقع بهتر از آن تحت عنوان یک )خط دفاعی ( سایبری یادکنیم. ( خط دفاعی ماژینو) استحکاماتی بود که فرانسوی‌ها هزینه زیادی برای ایجاد آنکردند، اما آلمان نازی به سادگی توانست در جنگ جهانی دوم از آن عبور کند. بسیاریاز ساختارهای امنیتی دفاعی کنونی نیز مشترکات زیادی با این خط دفاعی دارند. آن‌ها سفت‌وسخت، انعطاف‌ناپذیر و بیش‌ازحدپیچیده هستند. افزایش لایه‌های ایستا و مشابه هم، به هیچ وجه به معنی افزایش امنیتنیست. یک معماری دفاعی مبتنی بر رویکردهای ایستا که از امضای دیجیتال واستانداردهای انطباقی استفاده می‌کند، چیزی است که هکرها می‌توانند هر بار بر آنغلبه کنند.

اغلبشرکت‌ها وقتی می‌فهمند مورد حمله قرارگرفته‌اند که ماه‌ها از آن حمله گذشته وعموماً هم یک شرکت ثالث است که آن‌ها را از این موضوع مطلع می‌کند. بخش اعظم حملاتموفق تنها به تکنیک‌های ابتدایی نیاز دارند و اغلب آن‌ها را می‌توان تنها بااستفاده هماهنگ و مداوم از تمهیدات نسبتاً ابتدایی پیشگیرانه، متوقف کرد. یکی ازدلایلی که جرائم سایبری تا این حد گسترش یافته، این است که مهاجمین برای انجام یکحمله موفق، لازم نیست چندان تلاشی انجام دهند.

باید به سمت روش‌های دفاعیپویا حرکت کرد

اغلبسامانه‌های دفاعی کنونی پایه محور هستند وشرکت‌ها تنها از خود دفاع می‌کنند. این در حالی است که در رویکرد پدافند پویا، روش‌هایمورد استفاده هم کلی‌نگر است، به این معنی که تمام مجموعه از حمله شرکای تجاری وتأمین‌کنندگان مواد اولیه را مدنظر داشته، و پویا بوده و دقیقاً همپای تهدیدات،روندی تکاملی دارند. اغلب روش‌های پدافندی چندلایه ایستا که توسط بسیاری از شرکت‌هاو با استفاده از برنامه‌های مختلف به کار گرفته شده‌اند، نمی‌توانند در برابر روش‌هایمبتنی بر مهندسی اجتماعی نظیر ( فیشینگ هدف‌اند) و ( (Zero day مؤثر باشند. یک ساختارامنیتی چندلایه معمولی که لایه‌های آن از روش‌های متداول انطباق الگو یا امضایدیجیتال استفاده می‌کنند، نظیر سامانه‌های شناسایی و ممانعت، فایروال‌ها و دروازه‌هایدیجیتال، تنها به ایجاد یک حس غلط امنیت، منجر می‌شوند.

اطلاعاتمراکزعملیات امنیت ( SOC : Security Operation Center ) نشان می‌دهند که APT ها ممکن است به شبکه‌های بیش از 90 درصد شرکت‌ها و دولت‌ها نفوذ کرده باشند. مدل استفادهاز آنتی‌ویروس برای رسیدن به امنیت سایبری، اکنون به شدت تحت‌فشار است. زمانی شرکت‌هایتولیدکننده آنتی‌ویروس اولین بار ایجاد شدند، باید تنها به دنبال الگوها یا نشانه‌هاییبودند که نشان‌دهنده بروز حمله است، و با ایجاد یک امضای دیجیتال، فایل‌ها را برایشناسایی حمله رصد کنند. این شرکت‌ها در طول سال‌های طولانی الگوهای بیشتری تولید وفایل‌های بیشتری را رصد کرده‌اند. استفاده از مشخصه‌های دیجیتال و ایجاد فهرست‌هایسیاه به آن معنی است که ما بیش از ۶۰میلیون شناسه تهدیدات سایبری را در هر سیستم قرار داده‌ایم؛ با این حال حملاتهمچنان با سرعت خیره‌کننده، به پیش می‌روند.

درگذشته، بلافاصله چند روز بعد از آنکه بدافزاری ظاهر می‌شد، مشخصه‌ای برای شناساییو مسدود کردن آن از سوی شرکت‌ها تولید می‌شد. اما در چند سال اخیر، سرعت ظهوربدافزارهای جدید و تعداد بالای حملاتی که انجام می‌دهند موجب شده تا آنتی‌ویروس‌هادر موضع ضعف قرار گیرند. مهاجمین می‌توانند با دسترسی به لیست مشخصه‌های یک شرکتبه طور کامل سپر دفاعی آن شرکت را دور بزنند.

عدموجود مدیریت هماهنگ هم دیگر مسئله‌ای است که دفاع در برابر APT ها را دشوارتر می‌کند. مدیریت هماهنگ در واقع قوانین وتفاهماتی است که بر اقدامات هماهنگ بیم شرکت‌ها و دولت‌ها علیه APT ها حاکم است. مدیریتهماهنگ ضعیف موجب می‌شود تا دولت‌ها و نهادها در همکاری برای مقابله با APT ها با دشواری بیشتریروبرو شوند. در چنین فضایی است که حتی حملات غیرپیچیده و ابتدایی هم می‌توانندموفق باشند. نبود هماهنگی بین مدافعین، موضوعی است که از نبود مدیریت هماهنگ نشأتمی‌گیرد. در واقع مدیریت هماهنگ با ایجاد ساختارهای لازم برای همکاری‌های دفاعی،زمینه را برای یک رویکرد جامع در امنیت سایبری فراهم می‌کند. ناتوانی در ایجاد یکساختار مدیریت هماهنگ بین شرکت‌ها و دولت منجر به این معنی است که به عنوان حجمبالایی از حملات شناسایی نشده و امکان پیش‌گیری و مبارزه با آن فراهم نمی‌شود. درصورتی که شبکه لایه‌های دفاعی کافی را نداشته باشد، در آن صورت نبود هماهنگی مناسبجزو اصلی‌ترین مشکلات امنیت سایبری خواهد بود.

ها

چیزیکه به طور خلاصه می‌توان گفت، این است که رقبای APT ما افرادی هستند ماهر و خلاق که در برابر خطوط دفاعی‌ایقرارگرفته‌اند که برای مهارشان بسیار ضعیف هستند. سال‌هاست که این وضعیت ادامهیافته، اما نباید اجازه داد این وضعیت به امری دائمی بدل شود. با وجود آنکه هیچراه‌حل قطعی برای دستیابی به امنیت سایبری کامل وجود ندارد، اما می‌توان با ایجاد مراکزعملیاتامنیت برای سازمان ها و شرکت های حد وسط – پیشرفته و همچنین مراکز دفاعی – دولتی –نظامی – صنعتی و هماهنگی در سطوح بین‌المللی، ملی و شرکتی، میزان تهدید APT ها را کاهش داده وامنیت سایبری را بالا برد. راهکارهایی که پیشنهاد میشوند : در ۵ ردیف دسته‌بندی می‌شود: رویه‌ها، تبعات، فناوری، مدیریتو نیروی انسانی.

اقدامات پیشگیرانه سایبرینقطه شروع است

هیچشرکت یا آژانسی نمی‌تواند بدون آنکه در ابتدا برخی اصول اولیه مراقبتی را رعایتکند، از پس تهدیدات سایبری برآید. بسیاری از حملات را می‌توان با اجرای برایتمهیدات ساده امنیتی، ناکام گذاشت. یک نمونه خوب برای تمهیدات اولیه، بسته موسومبه راهبردهای ۳۵ گانه کاهش تهدید استرالیا است. یک نمونه دیگر، بستهموسوم به ۲۰ تمهید امنیتی مؤثر در دفاع سایبری موسسه SANS است.این راهبردهای مقابله با ریسک می‌تواند به شرکت‌ها کمک کند که از پس اغلب تهدیداتسایبری شناخته شده برآمده و در عین حال هزینه‌های دفاعی خود را کاهش دهند. راهبردهایکاهشی همچنین می‌توانند به پایین آمدن تهدیدات داخلی سازمان‌ها نیز کمک کنند.گزارش چارچوب امنیت سایبری موسسه ملی استاندارد و فناوری که به دستور اجرایی 2014 رئیس‌جمهور اوباما و با هدف تهیه لیستی از تماماقداماتی که شرکت‌ها می‌توانند برای بالا بردن امنیت شبکه‌هایشان انجام دهند،ایجاد شد. این لیست موقعیتی را فراهم می‌کند تا تمهیدات اولیه به پایه‌ای برایامنیت سایبری بدل شوند.

اینتمیهدات اولیه امنیتی باید همراه با نظارت و مراقبت مداوم به اجرا گذاشته شوند. بهعنوان مثال اقدامات ساده‌ای چون کسب اطمینان از اینکه تمام نرم‌افزارهای نصب‌شدهروی دستگاه‌ها، از لحاظ امنیتی به روز شده‌اند. چک کردن مداوم موارد دفاعی موجب می‌شودتا نقاط ضعف پیش از آنکه مهاجمین بتوانند از آن استفاده کنند، شناسایی شوند. میزانکارایی کنترل‌ها و تمهیدات امنیتی به میزان توانایی کاربر برای استفاده بهینه ازآن‌ها بستگی دارد. متخصصان امنیت اطلاعات اغلب به این نتیجه می‌رسند که در بسیاریاز موارد، موفقیت حملات بیش از آنکه نتیجه استفاده مهاجمین از روش‌های پیچیدهباشد، ناشی از اجرای نادرست تمهیدات امنیتی از سوی قربانی بوده است. در مجموع،باید گفت حتی پیچیده‌ترین راهبردهای دفاعی هم اگر به درستی از سوی کاربر موردنظارت قرار نگرفته و به اجرای مناسبشان بی‌توجهی شود، در برابر حملات مغلوب می‌شوند.

برای افزایشامنیت، باید از روش‌های سنتی فاصله گرفت

وقتآن رسیده که روش معمول تائید هویت کنار گذاشته شود. شرکت‌ها باید به استفاده ازشیوه ( نام کاربری - کلمه عبور) برای تأمین امنیت موارد باارزش، پایان دهند.برنامه‌هایی که رمز عبور را شکسته یا حدس می‌زنند، به وفور در بازار سیاه جرائمسایبری یافت می‌شوند و APT ها نیز به ابزارهای حتی پیشرفته‌تر و پیچیده‌تر دسترسیدارند. بسیاری از حملات مهاجمین، به دلیل ضعیف بودن رمز عبور است که با موفقیتهمراه می‌شود. از این رو، به روش‌های پیشرفته‌تری برای تائید هویت نیاز است. البتهاین امر همواره به دلیل بالا رفتن هزینه‌ها و همچنین دشوارتر شدن دسترسی کارکنانبا مخالفت‌هایی همراه است؛ درست همانطور که بیشتر کردن قفل‌های درها با مخالفتمواجه می‌شود. اگر شرکتی همچنان به استفاده از روش قدیمی ( نام کاربری - کلمه عبور) برای محافظت از اطلاعات باارزش ادامهدهد، انگار درهای شرکت را بدون قفل و نگهبان، به حال خود رها کرده است( نسبتبه تائید صحت هویت , جدیت به خرج دهید ).

ها

وقتی بحث تعیین شناسایی مسئول حملات مطرح است، می‌بینیمکه ما پیشرفت‌های زیادی را داشته‌ایم، حتی از ۵ سال قبل تا الان. اکنون در بسیاری از موارد (و البته نهدر همه آن‌ها) می‌توانیم بگویم که چه کسی عامل حمله بوده است. همین امر به مااجازه می‌دهد تا در رویکرد خود برای یافتن راهکارهای جلوگیری از تهدیدات سایبری،متمرکزتر عمل کنیم. داشتن توانایی مشخص کردن عامل حمله، این فرصت را فراهم می‌کندتا جرایمی برای مهاجمین در نظر گرفته شود و نتیجتاً هر حمله تبعاتی مشخص را برایعوامل آن داشته باشد. وقتی در حال حاضر تقریباً هیچ جریمه و تنبیهی برای ایجادبدافزارها وجود ندارد، چرا مهاجمین باید از اعمال خود دست بردارند؟ قطعاً بایدجریمه‌ها یا تبعاتی دیگر برای مهاجمین وجود داشته باشد.

استفادهاز رویکردهای حقوقی برای هزینه‌دار کردن اعمال APT ها، یکی از مواردی است که تاکنون به ندرت به آن پرداختهشده است. شاید برای یک شرکت مقدور نباشد که مهاجمین را تحت پیگرد قرار دهد، امامقامات کشوری می‌توانند با استفاده از ابزارهای ایجاد شده برای تروریسم، منع گسترشو جرائم برون مرزی برای مقابله با APT ها استفاده کنند. خودداری از ارائه ویزا، محدود کردنتراکنش‌های مالی و همچنین تحت پیگرد قرار دادن افراد دخیل یا منتفع از جاسوسیسایبری از جمله این ابزارهاست. این‌ها ابزارهایی هستند که امتحان خود را پس داده ومی‌توان از آن‌ها برای مقابله با گروه‌های شناخته‌شده APT استفاده کرد.

هیاهوییکه در مورد جاسوسی آژانس امنیت ملی آمریکا به راه افتاده، از ارزش اقدامات قانونینمی‌کاهد. بسیاری از کشورها در جهان دست به جاسوسی سایبری می‌زنند. این کشورها نمی‌خواهندآژانس امنیت ملی آمریکا را به دادگاه بکشانند، چراکه این کار بدعتی تازه بنا می‌گذاردکه بعدها می‌تواند آژانس‌های اطلاعاتی خود آن‌ها را نیز گرفتار کند. حتی اگر همه APT ها هم ارتباط نزدیکی بادولت کشورهای میزبان داشته باشند، اما آن‌ها همچنان شخصیت‌های حقیقی‌ای هستند کههم بر اساس قوانین فردی مرتکب جرم شده و هم بر خلاف جاسوسی، حتی بر اساس قوانینملی خود نیز که مخالف سرقت اطلاعات مالی و IP است، مرتکب تخلف شده‌اند. وقتی بحث جرائم اینترنتی درمیان است، جهان باید به امان دادن به APT ها پایان دهد.

یکروش دیگر ایجاد هزینه و تبعات برای مهاجمین که البته مشکلاتی دارد، اما اخیراً بهصورتی جدی مورد بحث و توجه قرارگرفته، انجام حملات تلافی‌جویانه به مهاجمین است.به این روش برخی اوقات، دفاع فعال گفته می‌شود. به طور کلی، آنچه که یک شرکت برایمحافظت از خود در شبکه‌اش انجام می‌دهد، نظیر قرار دادن اطلاعات غلط در شبکهداخلی، تله‌گذاری و یا ایجاد توانایی ردگیری و کنترل استفاده از IP همگی مواردی است که جزوسیاست‌های داخلی آن شرکت یا قوانین کشور به شمار می‌آید و دینی برای آن نهاد ایجادنمی‌کند. اما، اگر یک شرکت برای تلافی حملات از خود از شبکه‌اش خارج شده و به خصوصوارد شبکه‌ای در خارج از کشور شود، خود را در معرض تهدید قوانین بین‌المللی قرارداده و ممکن است مدیون شناخته شود. علاوه بر این، از آنجا که ایالات متحده تلاشکرده تا روسیه و چین را به همکاری در زمینه اجرای قوانین مبارزه با جرائم سایبریتشویق کند، به سختی می‌تواند در برابر درخواست‌های خارجی برای همکاری در زمینهتحقیق در مورد جرائم سایبری آمریکایی‌هایی که حملات تلافی‌جویانه انجام داده‌اند،ایستادگی کند. همچنین اقدامات تلافی‌جویانه که افراد رأساً دست به آن می‌زنند، درصورت خارج شدن از کنترل و ضرر زدن به شخص ثالثی که خطایی مرتکب نشده بوده، بهصورتی جدی با ریسک مدیون شدن فرد مواجه است. بسیاری از شرکت‌ها به شدت وسوسه می‌شوندتا دست به حملات تلافی‌جویانه بزنند، اما آن‌ها پیش از هر اقدامی باید به دقت بهتبعات لو رفتن احتمالی خود فکر کند و بعد این ریسک را بپذیرند.

بهترینراه برای کنترل تقاضا برای حملات تلافی‌جویانه، این است که دولت‌ها سیاست‌هایقاطعانه‌تری برای مقابله و برخورد با APT ها در پیش بگیرند. این بدان معنی نیست که دولت‌ها به هماعلام جنگ کنند، بلکه به این معنی است که به طور کامل از مجموعه ابزارهایدیپلماتیک، تجاری و قانونی‌ای که در اختیار دارند، در راستای ایجاد تبعات واقعیبرای مهاجمین استفاده کنند؛ آن هم در محیطی که تبعات حملات به طور سنتی آنقدرمحدود است که تقریباً به چشم نمی‌آیند. جایگزین این روش هم این است که برخوردیمنفعلانه داشته و اجازه دهیم افراد قربانی شوند.

بهره بگیری از فناوری‌هایجدید

در بازار فناوری‌های موثری در زمینه امنیت سایبری وجود دارد، اماپیشرفت‌هایی که اخیراً صورت گرفته، شانس کاهش فاصله میان توان تهاجمی و دفاعی راافزایش داده است. روش‌هایی چون کلان‌داده، رایانش ابری و نرم‌افزار به عنوان سرویس (SaaS) می‌تواننددیگر در حد یک شعار باقی نمانند. فناوری‌هایی که پشت این روش‌هاست، نوع جدیدی ازدفاع سایبری را معرفی می‌کند. استفاده از سامانه‌های مجازی برای بررسی فایل‌ها پیشاز آنکه به شبکه هدف منتقل شوند، روش جدید و امیدوارکننده‌ای برای استفاده ازفناوری است. روش‌های بسیار دیگری هم وجود دارد که می‌تواند به ما در فاصله گرفتهاز روش‌های منفعلانه کمک کنند. ایجاد استانداردهایی برای رویارویی با تهدیداتپیشرفته و گسترش همکاری‌های داخلی بین سرویس‌دهندگان مختلف، می‌تواند فناوریپیشرفته‌ای را ایجاد کند که تاکنون هرگز دیده نشده است.و در انتها ایجاد مراکز عملیات امنیت پیشرفته که چتریمیباشند که تمامی باید ها را در خود جا داده اند.

لازمهکاهش میزان تهدیدات، بررسی دقیق معماری اینترنت، کاربری‌ها و برنامه‌هاست تا بتواننقاط ضعف آن‌ها را شناسایی کرد. در حال حاضر، نقاط ضعف به طرز شرم‌آوری آشکار ومتعدد هستند، که دلیل اصلی این امر عموماً ضعف در توسعه و انجام عملیات سنجش است.برای تغییر این روند، لازم است تا در طرز فکر تولیدکنندگان نرم‌افزار، تغییر ایجادشود. یکی از موضوعاتی که باید مورد بحث قرار گیرد، این است که آیا برای رسیدن بهامنیت بهتر نیاز است که چارچوبی قابل‌اتکاتر برای شرکت‌های دخیل در تولید و فروشنرم‌افزار، تعریف شود یا خیر؟!

قرار الگویتهدیدات و حملات

درحال حاضر، شرکت‌های بزرگ و کوچک هریک تنها از بخشی از اطلاعات مربوط به پازل امنیتسایبری دسترسی دارند. اکنون آگاهی وضعی ما در مورد تهدیدات سایبری بسیار ناقص و ازهم گسیخته است. اطلاعات ما در مقایسه با اطلاعاتی که مجموعه‌های مختلف در موردتهدیدات سایبری دارند، بسیار محدود است. اگر ما بتوانیم تمام اطلاعاتی را که شرکت‌هاو آژانس‌های مختلف در اختیار دارند، کنار هم بگذاریم، دانش ما نسبت به APT ها و به تبع آن توانمانبرای دفاع از خود در برابر آن‌ها به میزان بسیار زیادی افزایش می‌یابد.

درحال حاضر همکاری میان شرکت‌ها با هم و با دولت‌ها در زمینه امنیت سایبری با موانعقانونی، تجاری و معاملاتی مواجه است. موضوعات مربوط به عدم اط

حملات فیشینگ این بار (Linkedin )

ارسال شده در 30 بهمن 1393 توسط قهرود


امنیت مجموعه ای از دانش و آگاهی بهمراهعوامل تکنولوژیک میباشد با این حال 100% نبوده , گرچه میتوان ضریب پایداری امن رابالا برد و در مقابل درصد خطرات و آسیبپذیری های باز رو به صفر رساند.

فیشینگ - Phishing بهتلاش برای بدست آوردن اطلاعاتی مانند نام کاربری، گذرواژه، اطلاعات حساب بانکی و...از طریق جعل یک وب‌سایت، آدرس ایمیل و... گفته می‌شود. شبکه‌های اجتماعی و وب‌سایت‌های پرداخت آنلاین از جملهاهداف حملات فیشینگ هستند (. علاوه بر آن، ایمیل‌هایی که با این هدف ارسال می‌شوندو حاوی پیوندی به یک وب‌سایت هستند در اکثر موارد حاوی بدافزار هستند.)

هدف اصلی از ارسال این ایمیل های جعلی، سرقت مجوزهای دسترسیکاربران به این سایت می باشد.

شرکت امنیتی Symantec باانتشار اطلاعیه ای خبر از افزایش ایمیل های جعلی که در نگاه اول از طرف بخش پشتیبانیسایت LinkedIn فرستادهشده اند، داد. در این ایمیل های جعلی به فعالیت مشکوک در حساب کاربری LinkedIn اشاره شده و از کاربر خواستهشده تا برای رفع این مشکل، اطلاعات خود را به روز کند.

ایمیل جعلی دارای یک فایل پیوست از نوع HTML است که در ظاهر کاربر باید برای به روز رسانی اطلاعات خود، آنرااجرا کند. این فایل حاوی صفحه ورود (login) بهسایت اجتماعی LinkedIn استولی بخشی هایی از آن دستکاری شده تا اطلاعات وارد شده در این صفحه به یک سرور تحتکنترل مجرمان سایبری ارسال شود.

گریز از این نوع حمله سایبری تنها با آگاهی

تاکنون باید کاربران یاد گرفته باشند و بدانند که شرکتهایی نظیر LinkedIn ،Facebook،Google و … هیچگاه برای مسائل امنیتی و به روز رسانی، ایمیل با فایل پیوستارسال نمی کنند.

به کاربران LinkedIn توصیهمی شود تا در صورت امکان از روش ( تائید دوطرفه) برای ورورد به سایت استفاده کنند.در این روش، LinkedIn یک رمز عبور یکبار مصرف بهشماره همراه کاربر ارسال می کند تا با وارد کردن آن رمز، ورود کاربر به سایت تائیدو نهایی شود. با این روش، حتی در صورت لو رفتن و افشا شدن مجوز دسترسی به سایت،امکان ورورد و سوء استفاده از حساب کاربری وجود نخواهد داشت.

در صورت هرگونه برخورد با این تهدیدات به phishing@linkedin.com گزارش دهید


علیرضا قهرود

SOC_ عضو تیم مرکز عملیات امنیت

شرکت نوآوران ارتباطات دوران ( عضو گروه دوران )

محافظت از دارای های کشور در فضای سایبر با پیاده سازی مراکز عملیات امنیت SOC –

ارسال شده در 30 بهمن 1393 توسط قهرود


 SOC – Security Operation Center

محصولات غیربومی (و عدم پایش بلادرنگ ) در تحققجامعهبیوسایبر

شرکتمایکروسافت بزرگترین شرکت تولید سیستم‌عامل کاربری است که بارها اسنادی در راستایاثبات همکاری‌اش با آژانس امنیت ملی آمریکا به منظور سرقت اطلاعات کاربرانش منتشرگردیده است.

درحال حاضر نسخه آزمایشی ویندوز ۱۰مایکروسافت منتشر شده و افراد زیادی منتظر دریافت و آزمون آن هستند.امانکته حائز اهمیت اینست که این نسخه با ظاهری کاربر پسند، بصورتی حرفه‌ای‌تراطلاعات افراد را به سرقت می‌برد.این نسخهاز سیستم‌عامل مایکروسافت اطلاعات بسیاری را بصورت پنهانی و خودکار از کاربرانشضبط و ارسال می‌کند.

ازجمله این اطلاعات می‌توان به:

۱-نام کاربر (بر حسب پروفایل‌هایمجزای روی سیستم‌عامل)

۲-ایمیل کاربران

۳-موقعیت فیزیکی محل زندگیکاربران(Geo Location)

۴-علاقه مندی‌های کاربر

۵-نوع و میزان نظم ذهنیکاربر

۶-اسامی و نوع فایل‌هایذخیره شده و مورد استفاده

۷-متا دیتاهای کاربر (متادیتا داده‌ای است که دیگر داده‌ها را توصیف می‌کند)

۸-جستجوهای انجام شده در فضایسیستم‌عامل (آنلاین و آفلاین)

۹-کلیه ارتباطات تماسی نظیرتماس‌های تلفنی،پیام‌های صوتی، تصویری و متنی و ...

۱۰- اطلاعاتشبکه‌ای کاربر

- مشخصاتسخت‌افزاری و نرم‌افزاری دستگاه شامل HID، SID، Bios،میزان و نوع استفاده از سیستم، زمان استفاده، تعداد کاربران یک سیستم و

- شناسه‌های بیومتریک منحصر بفردنظیر اثر انگشت، عنبیه چشم و ...

-اطلاعات سیستم‌فایل

- میزان و نوع کار کاربر بااینترنت

- لیست مخاطبان کاربر (آنلاین وآفلاین)

- HID کلیه سخت‌افزارهای موقت و دائم نصب شدهبه سیستم اشاره نمود.

ازجمله شیوه‌های دقیق کسب اطلاعات ویندوز ۱۰، ذخیره تک‌تک کلماتی است که در فضاهای مختلف آن اعم از ورد، جستجویفایل‌های سیستمی و مرورگر تایپ می‌شوند.

همچنینبر اساس اذعان صریح این شرکت، ویندوز ۱۰ از طریق رصد و ذخیره کوکی‌ها و ابزارهای مرورگر، بیش از پیش اطلاعاتکاربران را تجسس می‌کند.

شرکتمایکروسافت مدعی است که از این اطلاعات تنها برای بهبود بخشیدن به سیستم‌عاملشاستفاده می‌کند حال آنکه بسیاری از این اطلاعات به هیچ وجه جنبه بهره‌وری تکنیکیندارند و تنها برای مقاصد اطلاعاتی مفید هستند.

اینشرکتاضافه کرده است با باز شدن هر فایل توسطکاربر، سیستم‌عاملرفتار وی را تحلیل می‌کند تا به دیگر ویژگی‌هایکاربر پی ببرد.

درسربخش دیگر این صفحه، با صراحت بیان شده است که ( تمامی دیتاهای انتقالی (ارسال ودریافت) کنترل می‌شوند. )

وقابل توجه‌ترین نکته اینست که پس از اعتراف مایکروسافت به حجم عظیم جاسوسی‌اش ازکاربر، در نهایت ابراز داشته که این اطلاعات تنها در اختیار شرکت نمی‌ماند و ممکناست به همکارانش واگذار نماید!

سؤالاینست که همکاران شرکت مایکروسافت چه کسانی هستند؟

باتوجه به اینکه هدف اصلی در جامعه بیوسایبر ( کنترل افراد از طریق چیپ‌ست‌های الحاقی درشریان‌های اصلی خونی و مغز آنها ) است، نیاز های اطلاعاتی بیشمار سازمان‌هایاطلاعات سایبری جهان خصوصا مجموعه هایاطلاعاتی به اطلاعات بیومتریک افراد، بسیار بیشتر از هر اطلاعات دیگری است.

بایدبه زودی منتظر ظهور و بروز ابزارهایی باشیم که به بهانه‌های مختلف از جمله (تأمینامنیت ) و ( همیاری پزشکی ) حتی نرخ و نوع ضربان قلب کاربران را بصورت ۲۴ ساعته اندازه‌گیری می‌کنند.

ویندوز۱۰ در محصولات شرکت مایکروسافت نقطه عطفمیان سیستم‌عامل های ارگانیک گذشته و سیستم‌عامل‌های بیولوژیک آینده این شرکت استو اساسا این ادعای شرکت ماکروسافتکه بیان داشت )بجای استفاده از عنوان ویندوز ۹، از ویندوز ۱۰ برای محصول جدیدمان استفاده می‌کنیم چرا که تفاوت‌هایآن با نسخه ۸، بسیار بیشتر ازتفاوت‌های معمول میان دو سیستم‌عامل است ( به حوزه جاسوسی‌های نوین بیومتریک این سیستم‌عامل باز می‌گردد.

و این تنها برند و محصول نیست , غول های موجود همچون گوگلبا سیستم عامل اندروید و محصولات برند های دیگر هم بصورت موازی عملیات سرقت اطلاعات شخصی -سازمانی را در جهت استفاده هرچه بیشتر درنسل نوین جنگ ( جنگ سایبری ) بی پروااستفاده کرده و این روند ادامهدارد !

بصورت صریح در صورت استفاده از محصولات غیر بومی و عدم مانیتورینگ آن چه در سطح شخص - کاربر و چه در لایه هایبالاتر شرکت های خصوصی و دولتی , اطلاعاتما کاملا در اختیار سازمان های جاسوسیقرار خواهد گرفت و این شکل زیر کاملامنظور را منتقل خواهد کرد

تخم مرغ= دارایی های ما سازمان

ماهیتابه = استفاده از محصولات غیر بومی و عدم پایش آن

و در آخر ( نهایتامن کردن سیستم ها - طراحی دقیق زیرساخت هابا استاندارد های موجود و پیاده سازیعوامل و فرآیندها بعلاوه ابزار های نوین و تکنولوژی های از جنس برای جلوگیری از نشر و لو رفتن اطلاعات سازمان ها در حین استفاده از ابزار ها وتکنولوژی های که بومی نبوده تنها تکیه بهحرکت به پیاده سازی مراکز عملیات امنیت آن هم با استفاده از ابزار های بومی با خروجی مناسب می باشد

که پیاده سازی مراکز عملیات امنیت SOC)دو موضوع را بصورتکامل همپوشانی میکند :

1.جلوگیری از حملات سایبریبوسیله امن کردن ساختار و سیستم های موجود ( بهمراه رصد بلادرنگ زیرساخت - شبکه سازمان مدنظر وپاسخگویی به حوادث سایبری در لحظه )

2.جلوگیری از افشای اطلاعات دربستر شبکه سازمان در حین استفاده از محصولات و نرم افزار های غیر بومی

+ ذکر این موضوع هم لازم میباشد که گام پایه ای برای افزایشامنیت فضای سایبر کشور میتوان مورد توجهباشد :

-حرکت بسویی محصولات بومی آنهم با قدرت - سرعت بیشتر

-تعاملات ( اعتماد) و سرمایه گذاری سازمان های بزرگ دولتی خصوصی

-پشتوانهکمک دولت تدبیر امید

-و افزایش روند ایجاد مراکزعملیات امنیت

برای رسیدن به ایناهم که در بحث های از جنس IT محور بتوان بومی سازی را به بالاترین حد ممکنبرای حفظ امنیت کشور در نگاه فضای سایبری رساند

http://windows.microsoft.com/en-us/windows/preview-privacy-statement

http://www.microsoft.com/privacystatement/en-us/office/default.aspx


علیرضا قهرود

SOC _ عضو تیم مرکز عملیاتامنیت

شرکت نوآوران ارتباطاتدوران ( عضو گروه دوران )

مایکروسافت و اصلاحیه های امنیتی

ارسال شده در 30 بهمن 1393 توسط قهرود

روز سه شنبه ۲۱ بهمن ماه، شرکت مایکروسافت اصلاحیه های امنیتیماهانه برای ماه میلادی فوریه را منتشر کرد. مرورگر InternetExplorer،نرم افزار Office و سیستم عامل Windows توسط این اصلاحیه‌ها ترمیم و به روز شده اند.

)از بین ۵۶ نقطه ضعفی که این ماه در محصولات گوناگون مایکروسافت ترمیم شدهاند، ۴۱ نقطه ضعف مربوطبه مرورگر Internet Explorer هستند(

برای اولین بارهم Group Policy در Windows اصلاح شده که می تواند برای شبکه های سازمانی بسیار مهم باشد.

طبق اطلاعیه شرکت مایکروسافت، این ماه ۹ اصلاحیه برای ترمیم ۵۶ نقطه ضعف در انواع محصولات این شرکت منتشر شدهاست. از این ۹ اصلاحیه، ۳ اصلاحیه دارای درجه اهمیت - حیاتی (Critical) هستند. نقاط ضعفی که توسط اصلاحیه های حیاتی ترمیم می شوند، بدوننیاز به دخالت کاربر، قابل سوء استفاده توسط مهاجمین و نفوذگران هستند.

از بین ۵۶ نقطه ضعفی کهاین ماه در محصولات گوناگون مایکروسافت ترمیم شده اند، ۴۱ نقطه ضعف مربوط به مرورگر InternetExplorerهستند که تنها جزئیات یکی از این نقاط ضعف بطور عمومی منتشر شده و مابقی ۴۰ نقطه ضعف بطور خصوصی به اطلاع شرکت مایکروسافترسیده و ترمیم شده اند.

یکی از سه اصلاحیه حیاتی این ماه (MS15-009) برای مرورگر InternetExplorerاست که شامل تمام نسخه های قدیمی و جدید این مرورگر می شود. این اصلاحیه همچنینتنظیمات پودمان SSL3.0 را نیز در نسخه IE11 تغییر داده تا آسیب پذیری کمتری نسبت به ضعف POODLE داشته باشد. بدین ترتیب امکان اینکه مرورگر IE را بتوان وادار به استفاده از پودمان قدیمی و آسیب پذیر SSL3.0 بجای نسخه های جدید و امن این پودمان نمود، دیگر وجود ندارد.

اصلاحیه حیاتی دوم این ماه (MS15-010) شش نقطه ضعف را در بخشی که مسئولیت پردازش فونتهای TrueType را در هسته اصلی Kernel سیستم عامل Windows برعهده دارد، برطرف می نماید.

اصلاحیه حیاتی سوم (MS15-011)نقطه ضعفی را در بخش Group Policy سیستم عامل Windows برطرف می کند. این نقطه ضعف جالبی است که سوء استفاده از آن میتواند امکان دستکاری ارتباط بین سرور و ایستگاه کاری را فراهم آورده و از این طریقبه نفوذگر اجازه اجرای فرامین و تغییر تنظیمات GroupPolicy(جهت کاهش تنظیمات امنیتی) بر روی ماشین های یک دامنه خاص را بدهد. نصب ایناصلاحیه در شبکه های سازمانی به شدت توضیه می گردد.

همچنین اصلاحیه - مهم (Important) شماره( MS15-014) نیز برای GroupPolicyاست تا مانع از انجام حملاتی از نوع Man-in_the -Middle شود. این نوع حملات می توانند تنظیمات GroupPolicy رابر روی ماشین هایی که مورد حمله قرار گرفته اند، غیرقابل خواندن کند.

دیگر اصلاحیه های امنیتی مهم این ماه عبارتند از:

MS15-012سه نقطه ضعف را در تمامی نسخه های نرم افزار Office برطرف می کند.

MS15-013یک نقطه ضعف را در نرم افزار Office برطرف می کند. این نقطه ضعف کمی متفاوت با دیگر نقاط ضعف Office است. این امکان وجود دارد که این نقطه ضعف مهم با ترکیب با نقطهضعف دیگری، تبدیل به یک نقطه ضعف حیاتی شود که سوء استفاده از آن بدون نیاز به دخالتکاربر قابل انجام خواهد بود.

MS15-015 یک نقطه ضضعف Windows را که سوء استفاده از آن می تواند باعث ارتقاء مجوز دسترسی بهشبکه شود، برطرف می کند.

MS15-016یک نقطه ضعف Windows را در بخش پردازش فایل های گرافیکی TIFF برطرف می کند.

MS15-017یک نقطه ضعف را در بخش VirtualMachine Managerسیستم عامل Windows برطرف می کند.

 

https://technet.microsoft.com/en-us/library/security/dn610807.aspx

https://technet.microsoft.com/en-us/security/bulletin/dn602597.aspx

 


علیرضا قهرود

SOC _ عضو تیم مرکز عملیات امنیت

شرکت نوآوران ارتباطات دوران ( عضو گروهدوران )

 

رفع اشکال15 ساله و جدی مایکروسافت ( رفع آسیب پذیری )

ارسال شده در 30 بهمن 1393 توسط قهرود


شرکت مایکروسافت اصلاحیههایی منتشر کرده تا یک نقطه ضعف حیاتی را که می تواند کنترل سیستم های Windows را مورد تهدید قرار دهد، ترمیم کند. این نقطه ضعف برای شبکههای سازمانی اهمیت بیشتری دارد. برای تهیه این اصلاحیه‌ها بیش از یکسال وقت صرفشده و نیازمند بازنگری های اساسی در بخش هایی از سیستم عامل Windows بوده است.

MS15-011 MS15-014 که بیش از یکسال صرف طراحی، تهیه و تست آنها شده، یک ضعف دربخشGroup Policy سیستمعاملWindows را برطرفو اصلاح می کند. دو شرکت امنیتی که این ضعف را کشف کرده اند، آنرا JASBUG نامگذاری کرده اند.

دو شرکتامنیتی به نام‌هایJas Global و SimMachines در مورد این آسیب‌پذیری به صورت رسمی در ژانویه‌ی ۲۰۱۴ اطلاعاتی را بهمایکروسافت ارائه کرده بودند. درتوصیه‌نامه‌ی این آسیب‌پذیری آمده است:‌ ( این آسیب‌پذیری از راهدور قابل سوء‌استفاده است و ممکن است برای مهاجم دسترسی مدیر سامانهرا در ماشین یا دستگاه قربانیفراهم کند. ماشین‌هایی که از طریقActive Directory به شبکه‌ی محلی متصل شده‌اند و از طریق اینترنت یا شبکه‌یخصوصی مجازی VPN به خارج از شبکه‌ی محلی دست‌رسی دارند، در خطر بیش‌تریقرار دارند.)

امکان Group Policy در سیستم عاملWindows برایتعریف و مدیریت متمرکز سیستم هایWindows،نرم افزارهای کاربردی و تنظیمان کاربران در محیط Active Directory بکار می رود.

Active Directory یک سرویس مبتنیبر پایگاه داده است که در ویندوز تعبیه شده ومانند یک محافظ امنیتی، برای کاربران و گروه‌ها، مجوزها و دست‌رسی‌های لازم را ایجاد می‌کند ومحل دقیق منابع شبکه را در نقشه‌ی شبکه مشخص می‌کند.

باید توجهداشت این ضعف که بیشتر از یک دهه درWindows وجودداشته و شناسایی نشده بود، برخلاف ضعف های اخیر، نظیر Heartbleed وShellshock،یک اشکال برنامه نویسی نیست و بلکه یک ایراد اساسی در طراحی اولیه Group Policy بوده است. برای ترمیم این ضعف طراحی، مایکروسافت مجبور بهبازنگری اساسی بخش هایی از سیستم عامل شده و ناچاراً امکانات جدیدی را نیز اضافهکرده است.

نفوذگر میتوانند با سوء استفاده از این ضعف، بر روی شبکه محلی به روش های مختلف، کامپیوترهارا فریب دهد تا تنظیمات جدید و مخربGroup Policy را از یکسرور تحت کنترل نفوذگر پذیرفته و اعمال کنند. با سوء استفاده موفق از ضعف Group Policy می توان بر روی سیستم های آسیب پذیر اقدام به نصب برنامه،تغییر داده ها، ایجاد حساب کاربری جدید کرد. اصلاحیه MS15-011 مانع از این سوء استفاده ها خواهد شد.

برایجلوگیری از دستکاریDomain Controller توسط نفوذگران در زمان دریافت تنظیمات Group Policy توسط یک ایستگاه کاری در شبکه محلی، شرکت مایکروسافت ناچاربه افزودن قابلیت جدیدی به نامUNC Hardened Access شده است. این قابلیت توسط اصلاحیه MS15-014 به سیستم عاملWindows افزوده میشود.

هنگامی کهاین قابلیت جدید فعال می باشد، ضروری است که قبل از دسترسی ایستگاه کاری به منابع UNC، نظیر تنظیماتGroup Policy،ایستگاه کاری و سرور همدیگر را تائید(authenticate) کنند.همچنین امکاناتی برای رمزگذاری و تائید اصالت ارتباط سرور و ایستگاه کاری به سیستمعامل افزوده شده است. برای استفاده از این قابلیت و امکانات جدید، مایکروسافتراهنمایی را تهیه و منتشر کرده است.

در سناریوی حمله‌ای که توسط محققان مایکروسافت در وبلاگ اینشرکت قرار گرفته برای سوء‌استفاده از این آسیب‌پذیری در یک ماشین که به شبکه‌ی WiFi عمومی متصل است، باید گام‌های زیر راطی کرد:

۱- شنود ترافیکسوییچ و کشف ماشینی که تلاش می‌کند یک پرونده را از آدرس UNC مانند آدرس زیر دریافت کند:

۱۰٫۰٫۰٫۱۰۰ShareLogin.bat

۲- در ماشین مهاجمیک مسیرShare ایجاد می‌شودکه دقیقاً با درخواست قربانی همانند شده است:

*ShareLogin.bat

۳- مهاجم مطمئن می‌شودکه درخواست کاربر از ماشین خودش می‌گذرد

۴- نسخه‌ی مخربی ازپرونده‌ی درخواستی کاربر به سمت قربانی ارسال می‌شود، البته این سناریو نشان می‌دهدمهاجم برای سوء‌استفاده از این آسیب‌پذیری باید به شبکه‌ی محلی کاربر دست‌رسیداشته باشد

he Windows OS versionsimpacted by the JASBUG flaw are:

·Windows Vista

·Windows 7

·Windows 8

·Windows RT

·Windows 8.1

·Windows RT 8.1

·Windows Server 2003

·Windows Server 2008

·Windows Server 2008 R2

·Windows Server 2012

·Windows Server 2012 R2

این آسیب‌پذیریمربوط به مولفه‌یGroup Policy از نرم‌افزار Active Directory است، که منجر می‌شود در مرحله‌ی بازیابی سیاست‌های تعریف‌شدهنرم‌افزار شکست بخورد و برخی سیاست‌های پیش‌فرض را بارگذاری کند.

هنوز مشخص نشده است که سناریوی حملات علیه شبکه‌هایی که از VPN استفاده می‌کنند چیست، اما به صورتتئوری این مسئله ممکن است.

گرچه ضعف Group Policy در تمام نسخه های سیستم عامل Windows وجود دارد ولی شرکت مایکروسافت تصیمیم گرفته تا اصلاحیه ایبرای نسخهWindows Server 2003 که پشتیبانی آن به زودی به پایان خواهد رسید، منتشر نکند.به گفته مایکروسافت، اصلاحGroup Policy در Server 2003 نیازمند تغییرات بسیار اساسی در ساختار سیستم عامل است کهدر نهایت می تواند منجر به مشکلات عدم سازگاری Windows با نرم افزارهای کاربردی گردد.

نصب دواصلاحیهMS15-011 و MS15-014 که بخشی از اصلاحیه های امنیتی ماهانه مایکروسافت برای ماهمیلادی فوریه هستند که روز سه شنبه ۲۱ بهمن ماه منتشر شده اند، به مدیرانشبکه و کاربران توصیه می گردد.

http://blogs.technet.com/b/srd/archive/2015/02/10/ms15-011-amp-ms15-014-hardening-group-policy.aspx

https://technet.microsoft.com/en-us/library/security/ms15-011.aspx

https://technet.microsoft.com/en-us/library/security/ms15-014.aspx


علیرضا قهرود

SOC _ عضو تیم مرکز عملیاتامنیت

شرکت نوآوران ارتباطاتدوران ( عضو گروه دوران )

به پروفسورا خوش آمديد

ارسال شده در 30 بهمن 1393 توسط قهرود
با سلام و احترام خدمت شما استاد گرامی،

پیوستن شما را به وب سایت پروفسورا خوش آمد می‌گوئیم.

شما میتوانید برای آشنایی بیشتر با خدمات سایت به آدرس های زیر مراجعه كنید:

- راهنمای کار با سیستم
- اخبار و اطلاعیه های سایت

در صورت بروز هر گونه مشكل در استفاده از خدمات سایت می توانید با پست الكترونیكی زير تماس حاصل فرمائيد:

info@professora.ir


با تشكر، مدیریت پروفسورا
×
خطا ...
آدرس ایمیل وارد شده نامعتبر است.
متوجه شدم