بایگانی ماهیانه: فروردین ۱۳۹۴

نگاهی به آرشیو اطلاعات هک شده سونی پیکچرز در سایت ویکی لیکس

موضوع هک شدن شرکت سونی پیکچرز یکی از بحث برانگیزترین حوادث امنیتی سال ۲۰۱۴ و حتی تاریخ امنیت اطلاعات به حساب می آید. گفته شده که گروهی با نام GOP در اعتراض به برنامه اکران فیلم مصاحبه (the interview) که مضمونی کمدی درباره رهبر کره شمالی داشت، دست به این نفوذ زده بودند. این گروه تقریباً همه نوع اطلاعات شخصی و اداری و حتی کپی فیلم ها را سرقت کرده و در نتیجه یکی از بزرگ ترین حوادث امنیت سایبری را رقم زدند.

تا امروز آرشیو جامعی از آنچه از سونی پیکچرز سرقت شده بود در دسترس عموم وجود نداشت، اما اخیراً اطلاعات سرقت شده از سونی پیکچرز توسط سایت ویکی لیکس در دسترس عموم قرار گرفته است. در این صفحه یک موتور جستجوی قدرتمند به شما برای یافتن انواع اطلاعات مربوط به سونی پیکچرز از بین ۳۰۲۷۸ سند و ۱۷۳۱۳۲ ایمیل کمک می کند. ویکی لیکس در بیانیه خود اعلام کرده که این آرشیو را بدون توجه به فشارهای سیاسی و قانونی در دسترس عموم نگه خواهد داشت.

تصویر صفحه اول این آرشیو

در بخش جستجو، می توانید بر اساس فرمت فایل های سرقت شده به دنبال کلمات خاصی بگردید. مثلاً تمام فایل های اکسل یا PDF یا تمام ایمیل ها که شامل کلمه خاصی هستند.

در ساختار دایرکتوری های این آرشیو، مطابق تصاویر زیر، تعداد بسیار زیادی فایل وجود دارد که در نام آنها از کلمه password استفاده شده است.

تصویر ۱ ، تصویر ۲ ، تصویر ۳ و تصویر ۴

 بررسی تصادفی محتوای این فایل ها نشان می دهد که نه تنها کاربران بخش های مختلف سونی پیکچرز، پسوردهای خود را در فایل های متنی ذخیره می کرده اند، بلکه این کار به صورت سیستماتیک توسط راهبران و مدیران هم انجام می شده است. در یکی از این فایل ها، پسورد صفحه رسمی سونی پیکچرز در تمام شبکه های اجتماعی ذخیره شده است.

تصور کنید که در یک کمپانی چند ده میلیارد دلاری به نام سونی پیکچرز که مطمئناً از بهترین فناوری ها استفاده می کند و کسب و کار بین المللی دارد، بدیهی ترین اصل در حفاظت از سیستم ها که همان ذخیره نکردن پسوردها به صورت clear text باشد رعایت نمی شود. می شود حدس زد که میانگین وضعیت در شرکت ها و سازمان های ایرانی چگونه باشد. فقط باید امیدوار بود که حادثه ای از نوع سونی پیکچرز در اینجا پیش نیاید. 

اشتراک گذاری

آغاز کنفرانس RSA 2015

کنفرانس سالانه RSA که یکی از معتبرترین کنفرانس های مربوط به مارکت امنیت است از امروز ۲۰ آوریل آغاز و تا ۲۴ آوریل در سانفرانسیسکو ادامه خواهد داشت.

اشتراک گذاری

گزارش DBIR 2015

گزارش سالانه Verizon با عنوان DBIR 2015 منتشر شده که بر اساس اطلاعات بیش از ۸۰۰۰۰ حادثه امنیتی و بیش از ۲۰۰۰ نفوذ منجر به سرقت اطلاعات تولید شده است.

خلاصه ای از مهم ترین نتایج گزارش در اینجا ذکر شده، از جمله:

  • برای بیش از نیمی از آسیب پذیری ها، فاصله زمانی بین انتشار آسیب پذیری و اکسپلویت شدن آن به صورت عمومی در سال ۲۰۱۴ همیشه کمتر از ۱ ماه بوده است.
  • نفوذ به پایانه های فروش (POS) بیشترین درصد حملات منجر به سرقت اطلاعات را شامل می شود.
اشتراک گذاری

سرویس جدید پاسخ به حوادث سیسکو

سرویس Advanced Malware Protection سیسکو (AMP) که بعد از خرید SourceFire توسط سیسکو به خدمات امنیتی این شرکت اضافه شده حالا طبق اعلام این شرکت با سرویس Threat Grid ترکیب شده تا خدمات مختلف Threat Intelligence را در مجموعه خدمات پاسخ به حوادث سیسکو ارائه کند.

اشتراک گذاری

پلیس فدرال آمریکا در تعقیب خالق خطرناک ترین بدافزار بانکی *

پلیس فدرال ایالات متحده (FBI) برای مقابله با یکی از مخرب ترین بدافزارهای بانکی با نام زئوس (Zeus) جایزه هنگفتی تعیین کرده است. طبق اطلاعیه­ای که اخیراً در وب­سایت  FBI منتشر شده ، این نهاد در ازای اطلاعاتی که منجربه کشف مخفیگاه معمار اصلی این بدافزار شود، ۳ میلیون دلار پرداخت خواهد کرد. فرد تحت تعقیب طبق اطلاعیه FBI ، یک هکر روس به نام “یِوگِنی میخایلوویچ بوگاچف” است که متهم به ساخت و توزیع بدافزار بانکی زئوس است. بوگاچف به عنوان معمار بدافزار زئوس، بدافزاری که صدها میلیون دلار از بانک های کوچک و متوسط سرقت کرده است، و نیز به عنوان عضوی از یک گروه مجرمان سایبری تحت تعقیب قرار گرفته است. این گروه متهم به ایجاد شبکه ای از میلیون­ها کامپیوتر آلوده و اجاره دادن آن به دیگر مجرمان برای ارسال ایمیل­های تقلبی (اسپم) و انجام انواع حملات دیگر در سطح اینترنت هستند.

بدافزار زئوس از سال ۲۰۰۷ تا کنون در سطح اینترنت فعالیت کرده و صدها میلیون دلار از سیستم­های بانکداری اینترنتی سرقت کرده است. همچنین این بدافزار بارها تکامل یافته و نسخه های مختلفی از آن با قبلیت های مخرب قابل توجه به وجود آمده است. آخرین بار در دسامبر ۲۰۱۴ یک بدافزار پیشرفته به عنوان نسخه ای تکامل یافته از زئوس با نام Chthonic توسط شرکت کسپرسکی کشف شد. پیش از آن هم نسخه هایی چون Zeus Gameover و Citadel به طور گسترده ای موجب آلودگی کامپیوترها در سراسر دنیا، به خصوص آمریکا و اروپا شده بودند. البته آلودگی در کشورهای آمریکای لاتین، آسیا و آفریقا نیز گزارش شده است. فقط  در آمریکا گفته شده که نزدیک به چهار میلیون کامپیوتر آلوده به این بدافزار شناسایی شده است. نسخه های مختلف زئوس در شبکه­های زیرزمینی هکرها خرید و فروش می­شد اما پس از افشای کد منبع آن در سال ۲۰۱۱ این بدافزار در اختیار انواع نفوذگران با سطوح دانش متفاوت قرار گرفت. برخی منابع، قیمت بسته کامل زئوس را حتی تا پانزده هزار دلار نیز ذکر کرده­اند.  

زئوس در اصل یک بدافزار ویندوزی است که از ویندوز ۹۵ تا ویندوز ۸ و نیز اکثر نسخه های سرور ویندوز را آلوده می­کند. قابلیت کلیدی زئوس، اجرای حمله ای موسوم به MITB یا “فردی در مرورگر” است. در این نوع حمله، بدافزار در کامپیوتر آلوده، بین مرورگر کاربر و وب سایت مورد نظر کاربر (مثلاً وب سایت بانکداری اینترنتی) قرار می­گیرد. در نتیجه، کلیه اطلاعاتی که کاربر با مرورگر خود ارسال یا دریافت می­کند، در دسترس بدافزار خواهد بود و می­تواند توسط بدافزار شنود شده و حتی تغییر کند. به عنوان مثال، وقتی کاربر در حال انجام تراکنش آنلاین است، مبلغ تراکنش و شماره حساب مقصد توسط بدافزار پیش از ارسال به سرور بانک تغییر کرده و متناسباً پاسخ سرور بانک به کاربر نیز تغییر می­کند. لذا قربانی بدون اینکه متوجه شود مبلغ مورد نظر بدافزار را به حساب مورد نظر آن منتقل کرده است. البته زئوس دارای قابلیت شنود صفحه کلید (Keylogging) و نیز اتصال به سرور فرماندهی و کنترل و ایجاد شبکه­ای از کامپیوترهای آلوده نیز هست. این شبکه­ها تحت کنترل گروه­های مجرمانه بوده و برای انجام حملات ممانعت از سرویس توزیع شده (DDoS) ارسال ایمیل اسپم استفاده می­شوند. قابلیت شنود صفحه کلید به زئوس امکان سرقت ده­ها هزار نام کاربری و پسورد حساب­های بانکی آنلاین و ارسال آن به سرورهای تحت کنترل نفوذگر را داده است.

 نسخه ای از زئوس در اندروید و برخی سیستم های موبایل دیگر هم شناسایی شده است که به منظور سرقت کد عبور یک بار مصرف ارسالی از سرور بانک در هنگام ورود به سیستم بانکداری اینترنتی (در مواردی که این سرویس برای امنیت بیشتر توسط بانک به مشتری ارائه می­شود) تهیه شده است. این نسخه ZitMo نام دارد.

زئوس را می­توان یکی از نمونه­های کامل تهدیدهای جدید موسوم به تهدید پیشرفته ماندگار (APT) دانست. یک APT دارای چندین مرحله عملکرد است که از نفوذ اولیه آغاز و به سرقت اطلاعات از سیستم­های حساس شبکه قربانی ختم می­شود. معمولاً نفوذ اولیه در این تهدیدها با استفاده از ارسال ایمیل حاوی ضمیمه آلوده یا ترغیب کاربر به دانلود نرم افزار آلوده انجام می­شود. سپس این بدافزار اولیه، بدافزار اصلی را در سیستم قربانی نصب می­کند. در اینجا دیگر شناسایی و پاکسازی سیستم بسیار مشکل خواهد بود چون APT ها معمولاً دارای قابلیت روتکیت و نیز دور زدن انواع ضدبدافزارها هستند. بنابراین باید راه نفوذ اولیه را با آموزش کاربر، به روز رسانی سیستم عامل و ضدبدافزار مناسب مسدود نمود. آژانس امنیت سایبری اروپا موسوم به ENISA در سال ۲۰۱۲ در واکنش به گسترش روزافزون زئوس به بانک­ها توصیه کرد که در توسعه سیستم­های بانکداری آنلاین باید فرض را بر آلودگی قطعی کامپیوتر مشتری قرار دهند. همانطور که ذکر شد، در حملات MiTB نمی­توان به تصدیق اصالت دو عامله عادی (مثل استفاده از کارت هوشمند، اثر انگشت و غیره در کنار پسورد) اطمینان کرد. در نتیجه باید با استفاده از یک کانال امن دور از دسترس کامپیوتر (احتمالاً آلوده) کاربر، از صحت هویت کاربر اطمینان حاصل نمود.

*این یادداشت در شماره ۵۸ نشریه بانکداری الکترونیک چاپ شده است. (دانلود فایل مقاله)

اشتراک گذاری

اطلاع رسانی نفوذهای انجام شده به سیستم های عمومی به عنوان یک حق شهروندی

در ایالات متحده طبق قانون، اطلاعات مربوط به نفوذهای منجر به افشای اطلاعات (Breach) در سیستم های سلامت (Health) مثل بیمارستان ها و غیره که منجر به نقض امنیت اطلاعات بیش از پانصد نفر شود، باید در یک پورتال عمومی به اشتراک گذاشته شود. این کار به صورت دوره ای توسط بخش دولتی متولی بهداشت و درمان (دفتر حقوق شهروندی وزارت بهداشت) در این کشور انجام می شود.

سیستم Breach Portal در آدرس زیر قابل مشاهده است:

https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf

اشتراک گذاری

نتیجه نهایی بررسی امنیتی TrueCrypt

همانطور که یکسال پیش اشاره کرده بودم، پروژه بررسی امنیتی نرم افزار TrueCrypt توسط عده ای از دانشمندان معماشناسی به سرپرستی پروفسور Matthew Green در حال انجام بود که اخیراً نتیجه نهایی آن اعلام شده که طبق این بررسی، نرم افزار دارای مشکل امنیتی قابل توجهی نیست، لذا با وجود پایان یافتن توسعه TrueCrypt، کماکان می توان از آن به عنوان یک راه حل قابل اتکاء استفاده کرد.

اشتراک گذاری