بایگانی ماهیانه: تیر ۱۳۹۶

معضل ترجمه متون فنی امنیت

قبلاً گفته بودم که ترجمه متون فنی کار ساده ای نیست و پیچیدگی های خاصی داره که اگر رعایت نشه، خواننده رو به جای سهولت فهم موضوع، گمراه میکنه. از جمله همین اواخر در مورد اینکه اینترنت اشیاء درسته یا اینترنت چیزها؟

و قدیم تر درباره بعضی خبرهای ترجمه شده مثل این.

حالا به این خبر که افتانا از اینجا عیناً نقل کرده و ترجمه ای از این یادداشت هست نگاه کنیم.

این ترجمه ای که انجام شده، هم اشتباهات فاحش لغوی داره، و هم ایرادات مفهومی. مثلاً کلمه value در جمله زیر به “مقدار” ترجمه شده!

Dynamic analysis can help determine the runtime effects of a piece of malware, but with tools for sandbox detection and evasion becoming increasingly common, its value is limited.

فقط به عنوان نمونه ای از خطاهای مفهومی این ترجمه:

Besides, knowing what a piece of malware does won’t help with file similarity analysis, as there may be dozens of ways to achieve that result.

این جمله داره میگه تحلیل پویا (زمان اجرا) نمیتونه لزوماً برای قضاوت در مورد شباهت ساختاری بدافزارها مفید باشه. چرا؟ چون بدیهیه که میشه هزار تا کد ظاهراً متفاوت (یعنی با ساختار ایستای متفاوت) نوشت که رفتار زمان اجراشون مشابه باشه. کلاً هدف این مقاله تاکید بر اهمیت کشف شباهت ساختاری (ایستای) بدافزارهاست، بر خلاف روند کلی تحلیل بدافزار که بر روش های پویا (تحلیل زمان اجرا) بنا شده.

حالا ترجمه این جمله رو میبینیم:

“علاوه بر این با مقایسه‌ی مشابهت‌های بین کد بدافزارها، نمی‌توان متوجه عملکرد یک باج‌افزار شد و نیاز داریم ده‌ها روش را مورد بررسی قرار دهیم تا به این نتایج برسیم.

یعنی کلاً مفهوم مورد نظر نویسنده معکوس شد!

اشتراک گذاری

بدافزار هدایت کننده ترافیک برای کرنل لینوکس

ویکی لیکس در ادامه افشای پروژه های Vault7 آژانس اطلاعات مرکزی ایالات متحده (CIA) به یک ماژول کرنل لینوکس با نام OutlawCountry اشاره کرده که یک جدول پنهانی در بخش فایروال لینوکس یعنی Netfilter ایجاد و به وسیله Iptables قواعد مورد نظر را در آن ایجاد میکند. قواعد داخل این جدول، دیگر قواعد فایروال را دور زده و موجب می شوند مسیر ترافیک خروجی سرور آلوده به خواست نفوذگر به سمت ماشین تحت کنترل او تغییر کند.

اشتراک گذاری

باج افزار یا خرابکار؟

بر اساس ویژگی های مشاهده شده از نسخه جدید بدافزار Petya که از چهارشنبه گذشته گسترش پیدا کرد، به جای یک باج افزار، باید آن را بدافزاری برای خرابکاری به حساب آورد. چون اطلاعاتی که Petya رمز کرده قابل رمزگشایی با کلید ارائه شده در ازای باج پرداخت شده نیست. این یعنی باج گیری نمیتوانسته هدف بلندمدت آن باشد. همچنین تخریب  Master Boot Record یک عمل خرابکارانه و بر خلاف منطق باج افزارها است.

اشتراک گذاری

روش CIAبرای نفوذ به شبکه های Air-gapped

برای سرقت اطلاعات از کامپیوتر یا شبکه ای از کامپیوترها که هیچ اتصالی به بیرون ندارن، یعنی Air-gapped هستن، بهترین راه اینه که اتصال به بیرون رو به صورت غیرمستقیم، با استفاده از مدیای مشترک مثل حافظه فلش، ایجاد کرد. شما لپ تاپ کسی رو که به اونجا رفت و آمد داره، کارمند یا پیمانکار،  آلوده می کنید. اون آدم فلش مموری شخصی یا سازمانی خودش رو که به اون لپ تاپ آلوده متصل بوده، وارد محیط ایزوله میکنه و به سیستم کاری خودش وصل می کنه. بدافزار شروع به کار میکنه، شبکه ایزوله رو شناسایی میکنه تا به سیستم های مقصد برسه. اطلاعات هدف رو برداشته و به همون سیستم کاری آلوده منتقل می کنه، با این امید که اون کارمند دوباره یک فلش مموری رو از این سیستم برداشته و به خونه میبره و متصل می کنه به لپ تاپ شخصی خودش که در مرحله اول آلوده شده بود. حالا اطلاعات هدف از شبکه ایزوله خارج شده و در دسترس نفوذگر هست. این کار توسط CIA در پروژه Brutal Kangaroo که در ادامه افشاگری ویکی لیکس از مجموعه Vault7 منتشر شده، برای سیستم های ویندوزی انجام شده.

چطور میشه از این اتفاق جلوگیری کرد؟ تا وقتی نیاز به تبادل اطلاعات از/به شبکه ایزوله وجود داشته باشه، ریسک این نفوذ هم وجود داره. به خصوص اگر بدافزار از آسیب پذیری ۰-day استفاده کرده باشه. مدیای مشترک ارتباط شبکه ایزوله با بیرون رو به صورت یک کانال پنهان حتی به صورت یک طرفه برقرار میکنه و این برای ورود بدافزار یا خروج اطلاعات کافی خواهد بود.

اشتراک گذاری