بایگانی ماهیانه: بهمن ۱۳۹۳

اتمام دوره آموزشی تهدیدهای نوظهور در شبکه های بانکی

خوشبختانه این فرصت فراهم شد که دوره آموزشی تهدیدهای نوظهور در شبکه های بانکی را برای اولین بار به مدت ۳۲ ساعت ( ۸ جلسه ۴ ساعته) در مرکز فرهنگسازی و آموزش بانکداری الکترونیک (فابا) برگزار کنم. ایده اجرای این دوره با توجه به شناخت نسبی از فضای بانک ها و موسسات مالی از خودم بود و محتوای آن هم تماماً برای همین دوره تهیه شد. به طور خلاصه محورهای زیر در این دوره بحث شد:

  • مقدمات، تعاریف و ابعاد امنیت اطلاعات و انواع تهدیدها
  • بررسی سیر تکامل تهدیدها و آشنایی با حملات هدفمند و APT
  • مطالعه نمونه های متعدد از حملات و حوادث امنیتی مربوط به بانک ها در دنیا
  • بررسی عملکرد بدافزارهای خاص شبکه های مالی
  • امنیت در پایانه های فروش (POS Security)
  • امنیت در خودپردازها (ATM Security)
  • امنیت در پرداخت همراه (Mobile Payment) و برنامه های موبایل
  • بررسی آخرین گزارش های معتبر امنیتی از وضعیت تهدیدها و حملات در شبکه های بانکی
  • بررسی فناوری های پایه ای امنیت (فایروال، IDP ، هانی پات، DLP و …)
  • بررسی فناوری های جدید از جمله Breach Detection System ، Threat Intelligence و …

استقبال از این دوره بسیار خوب بود. تقریباً ۲۰ نفر از بانک ها و موسسات مالی مختلف در دوره حضور داشتند که حضور و فعالیت آنها هم به پربار شدن مباحث کمک کرد.

اشتراک گذاری

دوره آموزشی الزامات ایزو ۲۷۰۰۱:۲۰۱۳

فردا آخرین جلسه از جلسات آموزش الزامات استاندارد ایزو ۲۷۰۰۱:۲۰۱۳ در شرکت امدادخودرو سایپا برگزار خواهد شد.

اشتراک گذاری

kippo: هانی پات سرویس SSH

kippo یک هانی پات برای سرویس SSH است. یعنی با راه اندازی آن یک هانی پات در نقش SSH Server داریم که اطلاعات انواع حملات به این سرویس را ثبت می کند. در توزیع لینوکسی  HoneyDrive ، این هانی پات به صورت پیش فرض نصب شده و کافی است اسکریپت start.sh را در دایرکتوری Kippo  اجرا کنید. بعد برای مشاهده خروجی تولید شده از kippo-graph استفاده می کنیم، به این صورت که آدرس زیر را در مرورگر وارد می کنیم:

http://honeydrive-ip-/kippo-graph

گرافها و گزارش های متنوعی از خصوصیات حملات انجام شده به سرویس SSH در این ابزار قابل مشاهده است.

اشتراک گذاری

افشای هشتاد میلیون رکورد شخصی در یک شرکت خدمات بیمه سلامت

اطلاعات شخصی حدود هشتاد میلیون نفر از مشتریان شرکت بیمه سلامت Anthem ، یکی از شرکت های بزرگ ارائه دهنده خدمات بیمه سلامت در ایالات متحده، سرقت شده است. این حادثه یکی از بزرگ ترین حوادث سرقت اطلاعات الکترونیکی مشتریان در سال های گذشته است. این یکی دیگر از نمونه های تهدید پیشرفته ماندگار (APT) است که آغاز آن به سال ۲۰۱۴ بر می گردد.

پیش بینی شده که این اطلاعات که شامل شماره ملی، شماره تلفن، آدرس و غیره است به طور گسترده ای در حملات فیشینگ، تماس های تلفنی کلاهبرداری، ارسال اسپم و دیگر حملات معمول استفاده شود. به خصوص اینکه این اطلاعات می تواند شناسایی اهداف ارزشمند مثلاً طرفهای قرارداد با صنایع نظامی یا افراد ثروتمند را تسهیل کرده و به انجام حملات هدفمند کمک کند.

مطابق معمول اینگونه حملات، انگشت اتهام به سمت هکرهای چینی است، و البته تحلیل های فنی ارائه شده، به خصوص این تحلیل، مدارک و شواهد قابل اعتنایی هم در این زمینه ارائه کرده است. تحلیل فوق به خوبی نشان دهنده جزئیات، پیچیدگی ها و خلاقیت های به کار رفته در فرآیند آنالیز نفوذ و شناسایی مبدأ حمله (Attribution) است.

اشتراک گذاری

دوره الزامات ایزو ۲۷۰۰۱:۲۰۱۳

در سه هفته اخیر سه دوره یک روزه آموزشی با عنوان الزامات ایزو ۲۷۰۰۱:۲۰۱۳ در شرکت امداد خودرو سایپا برگزار کردم. این دوره ها به صورت هفته ای یک روز برای عموم پرسنل شرکت برگزار شد.

اشتراک گذاری

مخاطرات USSD برای سرویس های بانکی و مصاحبه من در نشریه فابا

یادداشت من درباره امنیت خدمات بانکی بر بستر USSD در شماره ۵۶ نشریه بانکداری الکترونیک (مرکز فابا) و مصاحبه درباره ابعاد مختلف امنیت اطلاعات در بانک ها.

اشتراک گذاری

رفع خطای ورژن در ماشین مجازی دانلود شده

بسیاری از ابزارهای امنیتی و غیر امنیتی به صورت یک ماشین مجازی از قبل نصب شده آماده دانلود و استفاده هستند. کافی است که این ماشین مجازی را دانلود و با داشتن VMWare یا virtualBox آن را اجرا کنید.

اگر ورژن VMWare شما منطبق با ورژن VMWare مبدأ (که ماشین مجازی در آنجا نصب شده) نباشد، ممکن است پیغام خطای زیر هنگام اجرای ماشین تولید شود:

Invalid configuration file. xxx was created by a VMware product with more features than this version of VMware Workstation and cannot be used with this version of VMware Workstation.

برای رفع این خطا در فایل vmx. مقدار فیلد virtualHW.version را به ورژن VMware خودتان تغییر دهید.

منبع

اشتراک گذاری

یک نمونه فارنزیک در ویندوز

فرمان های net use و net view دو ابزاری هستند که احتمال استفاده از آنها در یک سیستم هک شده یا آلوده به بدافزار زیاد است. این دو فرمان که در خط فرمان ویندوز (cmd) قابل اجرا هستند، به ترتیب برای وصل شدن به یا قطع شدن از یک سیستم راه دور و نیز برای مشاهده سیستم های متصل به کار می روند. 

برای اطلاع از اینکه آیا این دو فرمان در سیستم اجرا شده اند یا خیر، دو موضوع را باید بررسی کرد:

۱- آیا در دایرکتوری Prefetch ویندوز، فایلی که نشان دهنده اجرای آنها باشد ایجاد شده است؟

۲- آیا در مجموعه event log های ویندوز، رخدادی مبتنی بر اجرای این فرمان ها ثبت شده است؟

برای این کار دو ابزار وجود دارد:

Microsoft Log Parser 2.2

Nirsoft WinPrefetchView v1.25

نحوه استفاده از این دو ابزار برای حل مسأله فوق در اینجا ذکر شده است.

اشتراک گذاری