بایگانی برچسب: s

کانال پنهان ناشی از مصرف انرژی در ابزارهای هوشمند

استفاده کانال جانبی یا کانال پنهان یکی از روشهای سرقت اطلاعات محمرانه است. موضوع عدم تداخل (Noninterferene) که در دهه های اخیر از مهم ترین زمینه های تحقیقاتی امنیت بوده، به شناسایی و پیشگیری از این نوع نشت اطلاعات می پردازد. این مقاله در رویداد PETS 2018 به کانال های جانبی ناشی از مصرف پاور در ابزارهای هوشمند به خصوص موبایل پرداخته است. نشان داده شده که ازاین طریق، امکان افشای بسیاری از اطلاعات محرمانه لیست کاربر، حتی چیزی که تایپ کرده، وجود دارد.

اشتراک گذاری

دیدگاه مدیر سابق Equifax درباره نفوذ اخیر

دکتر Anna Slomovic که تا ابتدای سال ۲۰۱۴، در جایگاه Chief Privacy Officer شرکت Equifax مشغول به کار بوده، در مورد حادثه نفوذ و نشت اطلاعات بیش از ۱۴۵ میلیون نفر از مشتریان این شرکت در یادداشتی توضیحات جالبی داده. اون توضیح میده که تاریخچه و ماهیت کسب و کار Equifax چه ویژگی هایی داره و از استرس ذاتی کار کردن در این نوع شرکت ها، به خصوص برای کسانی که در قبال امنیت مسئول هستن، میگه:

“When I was at Equifax, there was a palpable feeling of being in an organization under threat. Physical and data security was a priority because it was understood that if there were a problem, a widely disliked company whose role in the economy is not always appreciated would get little sympathy. This is precisely what happened since the data breach was announced. As of this writing, Equifax stock has lost a third of its value, the Congress and the regulators are investigating and threatening action, and the press is publishing rumors that Equifax’s customers plan to defect to other CRAs.”

 

اشتراک گذاری

حواشی نشت اطلاعات Equifax

آیا صرفاً وصله نکردن یک آسیب پذیری Apache Struts منجر به هک شدن Equifax و افشای اطلاعات شخصی بیش از ۱۴۳ میلیون مشتری شد؟ گزارشی از ادعای هکرهای ناشناس این شرکت نشون میده که سریالی از اشتباهات و سهل انگاری ها در پیکربندی سرورها و پنل های مدیریتی در کار بوده.
بعد از اخراج محترمانه CIO و CSO شرکت، مدرک تحصیلی CSO (مدیر ارشد امنیت) به بحث های جدی دامن زده. خانم Susan Mauldin طبق پروفایل لینکدین خودش که اخیراً از دسترس خارج شده، تحصیلات موسیقی داشته و هیچ مدرکی در حوزه مهندسی کامپیوتر نداره. خیلی از سایتها به این موضوع که شرکتی با این ابعاد کسب و کار، فردی متخصص در موسیقی رو به عنوان مدیر امنیت انتخاب کرده به شدت حمله کردن. در مقابل، افراد زیادی هم به اینکه مدرک تحصیلی مدیر امنیت چقدر به طور مستقیم در چنین رخدادی تاثیر میتوانسته داشته باشه توجه کردن و جواب دادن.

اشتراک گذاری

هک شدن Equifax: یک رخداد تاریخی

در دو روز گذشته همه خبرهای دنیای امنیت تحت الشعاع حادثه سرقت اطلاعات شخصی بیش از ۱۴۰ میلیون نفر از مشتریان شرکت Equifax قرار گرفت. ابعاد این حادثه خیلی بیش از چیزی که در ابتدا به نظر می رسید، بوده و تا این لحظه هنوز مطمئن نیستیم که همه زوایای آن روشن شده باشه. شاید از نظر تعداد افرادی که مستقیماً از این رخداد متضرر شده اند، حادثه فروشگاه های زنجیره ای Target در سال ۲۰۱۳ رو بشه تا حدودی مشابه رخداد Equifax دانست، اما از نظر ابعاد و بازتابها، بدون شک این حادثه اخیر با فاصله قابل توجهی از بقیه حوادث امنیتی کسب و کارهای مالی در سالهای چند سال گذشته بزرگتر است.
یکی از ویژگی های منحصر به فرد این حادثه، نحوه اطلاع رسانی، پاسخ و مواجهه شرکت Equifax بوده که حواشی زیادی ایجاد کرده و انتقادات شدیدی رو برانگیخته. مدت زمان نسبتاً طولانی ادعا شده بین کشف تا اعلام حادثه، فروش سهام توسط سه نفر مدیران رده بالای شرکت چند روز قبل از اعلان عمومی حادثه، مشکلات ایجاد شده برای وب سایتی که برای اطلاع رسانی به مشتریان راه اندازی شده و اعتراضها به شرایط حقوقی اعلام شده برای استفاده قربانیان احتمالی از خدمات این سایت، و … از جمله این حواشی هستند. اعتراض ها آنقدر بالا گرفته که برخی خواستار تعطیلی کامل این شرکت شده اند و گزارش شده که شکایاتی با درخواست خسارت چندین میلیارد دلار هم در سیستم قضایی ثبت شده.
گفته شده که نفوذ با استفاده از هک یک وب سایت دارای سرویس آپاچی آسیب پذیر اتفاق افتاده اما اینکه دقیقاً چه آسیب پذیری از ماژول Struts یا دیگر ماژول های آپاچی مورد سوء استفاده قرار گرفته، تا این لحظه قطعی نیست. آپاچی در همین زمینه بیانیه ای منتشر کرده
لینک های مرتبط:
پاسخ هکرهای احتمالی به یک ایمیل
سابقه تیره شرکت Equifax
استفاده از شناسه قابل حدس برای فریز کردن پروفایل مشتری

اشتراک گذاری

نوآوری در سرقت اطلاعات: استفاده از ضدبدافزار!

برای استخراج اطلاعات محرمانه از کامپیوترهای ایزوله از شبکه، در اصطلاح air-gapped، روشهای مختلفی پیشنهاد شده که معمولاً مبتنی بر استفاده از کانال پنهان هستن. در روش جدیدی که اخیراً در کنفرانس Blackhat 2017 ارائه شده، این کانال پنهان با استفاده از ضدبدافزار یا همان آنتی ویروس نصب شده در سیستم ایزوله ایجاد شده. اکثر ضدبدافزارهای معروف و معتبر، یک سرویس sandbox مبتنی بر ابر دارن که نمونه بدافزارهای شناسایی شده رو مستقیم از عامل های نصب شده در سایت مشتری، یا غیر مستقیم توسط خود مشتری، دریافت و بررسی میکنه، کاری که به طور مستقل توسط سرویس هایی مثل Virustotal هم انجام میشه.

در این حمله، فرض بر اینه که بدافزار اولیه وارد سیستم ایزوله شده. بعد، اطلاعات محرمانه رو جمع آوری کرده و کنار بدافزار ثانویه بسته بندی میکنه. حالا بدافزار ثانویه عمداً ضدبدافزار نصب شده در این سیستم رو متوجه خودش میکنه، کاری که به راحتی با انجام یک عملی که معمولاً بدافزارها انجام میدن، اجرا میشه. سیستم ضدبدافزار، نمونه تشخیص داده شده رو، مستقیم یا غیرمستقیم، به sandbox آنلاین خودش میفرسته و اونجا اجرا میکنه. این یعنی بدافزار ثانویه میتونه از طریق اینترنت با نفوذگر ارتباط برقرار کنه و بسته اطلاعات همراه خودش رو ارسال کنه.

آیا sandboxها به اینترنت متصل هستن؟ ارائه دهنده ها نشان دادن که در مورد بسیاری از اونها از جمله کسپرسکی پاسخ مثبته.

نتیجه اخلاقی: اگر در یک شبکه air-gapped فایل مشکوکی پیدا کردید، بهتره در ارسالش به سرویس های آنلاین بررسی و تحلیل بدافزار، احتیاط کنید.

اسلایدهای ارائه

اشتراک گذاری

بدافزار هدایت کننده ترافیک برای کرنل لینوکس

ویکی لیکس در ادامه افشای پروژه های Vault7 آژانس اطلاعات مرکزی ایالات متحده (CIA) به یک ماژول کرنل لینوکس با نام OutlawCountry اشاره کرده که یک جدول پنهانی در بخش فایروال لینوکس یعنی Netfilter ایجاد و به وسیله Iptables قواعد مورد نظر را در آن ایجاد میکند. قواعد داخل این جدول، دیگر قواعد فایروال را دور زده و موجب می شوند مسیر ترافیک خروجی سرور آلوده به خواست نفوذگر به سمت ماشین تحت کنترل او تغییر کند.

اشتراک گذاری

روش CIAبرای نفوذ به شبکه های Air-gapped

برای سرقت اطلاعات از کامپیوتر یا شبکه ای از کامپیوترها که هیچ اتصالی به بیرون ندارن، یعنی Air-gapped هستن، بهترین راه اینه که اتصال به بیرون رو به صورت غیرمستقیم، با استفاده از مدیای مشترک مثل حافظه فلش، ایجاد کرد. شما لپ تاپ کسی رو که به اونجا رفت و آمد داره، کارمند یا پیمانکار،  آلوده می کنید. اون آدم فلش مموری شخصی یا سازمانی خودش رو که به اون لپ تاپ آلوده متصل بوده، وارد محیط ایزوله میکنه و به سیستم کاری خودش وصل می کنه. بدافزار شروع به کار میکنه، شبکه ایزوله رو شناسایی میکنه تا به سیستم های مقصد برسه. اطلاعات هدف رو برداشته و به همون سیستم کاری آلوده منتقل می کنه، با این امید که اون کارمند دوباره یک فلش مموری رو از این سیستم برداشته و به خونه میبره و متصل می کنه به لپ تاپ شخصی خودش که در مرحله اول آلوده شده بود. حالا اطلاعات هدف از شبکه ایزوله خارج شده و در دسترس نفوذگر هست. این کار توسط CIA در پروژه Brutal Kangaroo که در ادامه افشاگری ویکی لیکس از مجموعه Vault7 منتشر شده، برای سیستم های ویندوزی انجام شده.

چطور میشه از این اتفاق جلوگیری کرد؟ تا وقتی نیاز به تبادل اطلاعات از/به شبکه ایزوله وجود داشته باشه، ریسک این نفوذ هم وجود داره. به خصوص اگر بدافزار از آسیب پذیری ۰-day استفاده کرده باشه. مدیای مشترک ارتباط شبکه ایزوله با بیرون رو به صورت یک کانال پنهان حتی به صورت یک طرفه برقرار میکنه و این برای ورود بدافزار یا خروج اطلاعات کافی خواهد بود.

اشتراک گذاری

هک شدن پانصد میلیون حساب کاربران یاهو

هک شدن پانصد میلیون حساب کاربران یاهو تایید شده

اگر هنوز کاربر یاهو هستید، پسورد و پرسش امنیتی اکانت خود را عوض کنید.

اشتراک گذاری

درس هایی از حمله به بانک مرکزی بنگلادش: هکرها در کمین سوئیفت

این یادداشت در شماره ۶۹ ماهنامه بانکداری الکترونیک (خرداد ۹۵) چاپ شده است (دانلود فایل)

در ماه فوریه گذشته هکرهای ناشناس با ورود به سامانه­ای در بانک مرکزی بنگلادش، نزدیک به ۱ میلیارد دلار تراکنش از مبدأ حساب این بانک در فدرال رزرو نیویورک به حسابهایی در فیلیپین و سریلانکا انجام دادند. تنها چهار تراکنش از تراکنش­های درخواستی این نفوذگران، البته به ارزش ۸۱ میلیون دلار، به صورت موفقیت آمیز انجام شد. مقصد نهایی این وجوه، کازینوهایی در فیلیپین بوده که تا زمان نگارش این متن نه از بازگشت وجوه خبری هست و نه از شناسایی نفوذگران. کازینوهای فیلیپین از قوانین ضد پولشویی مستثنی بوده و در نتیجه مقصد جذابی برای انجام اینگونه فعالیت­های غیرقانونی هستند. بعد از این کازینوها، پول­ها به حساب­هایی در بانک­های بین المللی منتقل شده است. ادعاهای متفاوت  و متناقضی از طرف های درگیر به خصوص بانک مرکزی بنگلادش و سوئیفت منتشر شده که هر یک دیگری را به قصور در این زمینه متهم می­کنند. همچنین اخیراً FBI اعلام کرده که احتمال می­دهد حداقل یک نفر از کارمندان بانک مرکزی بنگلادش در این سرقت سایبری دست داشته اند.  

در حالی که بیش از سه ماه از این رخداد گذشته، هنوز ابهامات متعددی در این زمینه وجود دارد و نتایج تحقیقات طرف­های درگیر به طور کامل منتشر نشده است. در آخرین ساعات نگارش این متن، سخنگوی سوئیفت از کشف دومین بانک قربانی این نوع سرقت آنلاین خبر داده و ضمن هشدار به مشتریان خود تأکید نموده که این دو مورد احتملاً بخشی ازیک کارزار جهانی علیه بانک­ها است که با همکاری شبکه­های نفوذگران بین المللی و همدستی احتمالی افرادی درداخل سیستم بانکی انجام می­شود. سوئیفت بدون اعلام نام بانک دوم که قربانی این نوع حمله شده است هشدار داده که شباهت­های فراوانی بین این مورد اخیر و موضوع بانک مرکزی بنگلادش وجود دارد.   

غلط املایی، منشأ لو رفتن سارقین!

فقط ۸۱ میلیون دلار از یک میلیارد دلار تراکنش درخواستی هکرها در بانک مرکزی بنگلادش انجام شده و بقیه تراکنش­ها توسط بانک مرکزی بنگلادش با همکاری بانک­های واسط، متوقف شد. اما بنگلادشی­ها چگونه به این موضوع پی بردند؟ داستان از این قرار است که هکرها در یکی از درخواست­ها، تراکنشی به مبلغ بیست میلیون دلار به مقصد حساب یک نهاد غیر دولتی در سریلانکا به نام Shalika Foundation ثبت کرده بودند، اما به اشتباه از عبارت Fandation به جای Foundation در این درخواست استفاده شده بود. این غلط املایی، موجب مشکوک شدن کارگزاران Deutsche Bank شد و لذا آنها ضمن تماس با بانک مرکزی بنگلادش، درخواست ارائه توضیح در خصوص این تراکنش را دادند. در نتیجه مجموعه تراکنش­های هکرها شناسایی شد. بعداً مشخص شد که این تشکیلات سریلانکایی اساساً  وجود خارجی ندارد. همچنین فدرال رزرو نیویورک با مشاهده تراکنش­های سنگین به مقصد حساب­های خصوصی، ضمن بررسی آنها از ادامه این روند جلوگیری کرد.

اتهامات علیه سوئیفت

به گزارش رویترز، پلیس بنگلادش سوئیفت را متهم کرده است که سه ماه قبل از سرقت آنلاین ۸۱ میلیون دلار از این بانک، سیستمی را به سوئیفت متصل کرده که بانک را در برابر این حمله آسیب پذیرتر کرده است. بنا به ادعای رئیس اداره تحقیقات جرائم پلیس بنگلادش که مسئولیت راهبری تحقیقات در این زمینه را بر عهده دارد، کارشناسان سوئیفت با اتصال آن به اولین سیستم ساتنا (RTGS) در این بانک، موجب ایجاد این آسیب پذیری شده­اند. وی اضافه کرده که تیم فنی سوئیفت اشتباهات متعددی در اتصال این سیستم بانک به سوئیفت مرتکب شده­اند. یکی از مقامات بانک مرکزی بنگلادش هم ضمن خودداری از ارائه توضیحات بیشتر به دلیل پایان نیافتن تحقیقات، گفته که به نظر می­رسد کارشناسان سوئیفت حتی رویه­های امنیتی خودشان را هم در این پروژه به طور کامل رعایت نکرده اند. گفته شده است که سیستم سوئیفت در بانک مرکزی بنگلادش از راه دور در دسترس بوده و صرفاً با یک پسورد محافظت می­شده است و اتصال آن به شبکه هم از طریق فایروال حفاظت نمی شده است. بانک همچنین اضافه کرده که وظیفه بررسی امنیتی کل سامانه بر عهده خود سوئیفت بوده است.

در همین حال سخنگوی سوئیفت  از هرگونه اظهار نظر در مورد ادعاهای اخیر خودداری کرده و حتی به این پرسش که آیا این پروژه مستقیماً توسط کارشناسان خود سوئیفت یا یکی از طرف های قرارداد آن انجام شده پاسخ نداده است. با این حال مدیر عامل سوئیفت گفته بانک مرکزی بنگلادش مسئول تأمین امنیت سیستم­های داخلی بانک که متصل به سوئیفت هستند بوده و ادعاهای بانک در مورد قصور تیم فنی سوئیفت نادقیق، غلط و گمراه کننده است. وی به بانک­ها هشدار داده که این حمله نه اولین مورد از این نوع حملات بوده و نه احتمالاً آخرین آن خواهد بود. البته یکی دیگر از مقامات بانک مرکزی بنگلادش گفته است که سیستم ساتنا به خوبی و به صورت عادی کار می­کند و بسیاری از کشورها از سیستم سوئیفت به این شیوه استفاده می­کنند، لذا این سیستم به خودی خود ریسکی را متوجه بانکها نمی­کند.

پلیس بنگلادش اعلام کرده که سوئیفت سیستم خود را به همان شبکه­ای متصل کرده که بیش از ۵۰۰۰ کامپیوتر متصل به اینترنت در بانک مرکزی به آن وصل بوده اند. در حالی طبیعتاً سیستمی با این حساسیت باید در یک شبکه محافظت شده و تا حد امکان ایزوله نصب شود. علاوه بر این، به جای استفاده از یک سوئیچ قابل مدیریت با امکانات کنترل دسترسی، از سوئیچی عادی برای اتصال لایه دو سوئیفت استفاده شده است.

بدافزار، ابزار اصلی نفوذ

بنا  به اظهارات پلیس، تیم فنی سوئیفت در طول راه اندازی سیستم یک اتصال بیسیم به سیستم های داخل اتاق مخصوص سیستم های سوئیفت ایجاد کرده بودند که با یک پسورد ساده محافظت می­شده است، اما پس از پایان پروژه این اتصال بی­سیم را قطع نکرده بودند. همچنین درگاه USB یکی از کامپیوترهای متصل به سوئیفت فعال بوده است، در حالی که در سیستم های اینچنینی با حساسیت بالا، غیر فعال کردن درگاه های جانبی برای کم کردن احتمال آلودگی به بدافزار ضروری است.

طبق برخی گزارش­ها، هکرها با استفاده از ضعف­های معمول در بسیاری از شبکه ها به شبکه داخلی بانک راه پیدا کرده­اند و سپس از آنجا با ایجاد تغییرات در نرم افزار Alliance Access هم تراکنش­های مدنظر خود را اجرا کرده و هم شواهد مربوطه را پاک کرده­اند. این نرم­افزار خواندن و نوشتن پیغام­های سوئیفت در سیستم فایل را انجام داده و نیز جزئیات تراکنش­ها را در پایگاه داده اوراکل ذخیره می­کند. هکرها با استفاده از یک بدافزار به صورت هدفمند، کنترل­های جامعیتی انجام شده توسط Alliance را غیرفعال کرده و با ایجاد تغییر در محتوا ترتیب درخواست­های پرداخت، تراکنش­های عادی سیستم را به نفع خود تغییر داده اند. این تغییرات از راه دور از طریق یک شبکه فرماندهی و کنترل بدافزار (C&C) در کشور مصر کنترل می­شده است. به علاوه، هکرها تأییدیه­های انجام تراکنش­های سوئیفت را هم با استفاده از همین بدافزار تغییر داده و مقدیر اصلی تراکنش را در آن وارد می­کردند و سپس در پایگاه داده ذخیر می­کردند تا همه چیز عادی جلوه کرده و بانک نتواند متوجه تغییر تراکنش­های عادی شود.

تحلیل و جمع بندی   

موضوع سرقت از بانک مرکزی بنگلادش با سوء استفاده از سیستم سوئیفت وهمچنین تکرار آن در بانک دیگری که تا زمان نگارش این متن نام آن اعلام نشده نشان می­دهد که احتمالاً یک کارزار هدفمند توسط مجرمان سایبری آغاز شده است که گفته می­شود هکرهایی از چین، پاکستان، فیلیپین، ماکائو و سریلانکا در آن دست دارند. در پایان آموخته­هایی از این ماجرا به شکل خلاصه بیان می­کنیم.

۱-    ساده­ترین اشتباهات در پیکربندی سیستم­ها راه را برای پیچیده ترین نفوذها باز می­کند.

۲-    کنترل دسترسی به شبکه و نرم­افزارها یک عنصر حیاتی در حفظ امنیت سیستم­ها است.

۳-    بخش­بندی شبکه ومحدودسازی ارتباط با سیستم های حساس باید در کلیه سطوح انجام شود.

۴-    هر سیستم نرم افزاری حتی سوئیفت می­تواند دارای آسیب پذیری­ امنیتی باشد، یا با وجود امن بودن خود نرم­افزار، به دلیل نقص در پیکربندی مورد سوء استفاده قرار گیرد.

حفظ امنیت نقاط پایانی (endpoints)  مستقل از دروازه­های ورود و خروج شبکه، اهمیت دارد.

اشتراک گذاری

درس هایی از رسوایی نشت اطلاعات موسوم به اوراق پانامایی

رسوایی اوراق پانامایی (Panama Papers) به حادثه افشای بیش از یازده میلیون سند الکترونیکی و ۴٫۸ میلیون ایمیل – بالغ بر ۲٫۶ ترابایت – از اطلاعات مشتریان و اطلاعات داخلی شرکت Mossack Fonseca اطلاق شده که در بسیاری از رسانه ها به بزرگترین نشت اطلاعات محرمانه به رسانه ها در طول تاریخ تعبیر شده است. اگرچه هنوز بررسی محتوای این اطلاعات به پایان نرسیده، اما تا امروز ده ها رهبر فعلی و پیشین کشورهای مختلف و عده ای از مشاهیر ورزشی، هنری و غیره طبق این اسناد به پولشویی های گسترده و فرار از مالیات با کمک این شرکت پانامایی متهم شده اند.

 

بررسی منابع مختلف نشان می دهد که این شرکت با وجود در اختیار داشتن انبوهی از اطلاعات محرمانه، بدیهیات امنیتی را در سیستم هایش رعایت نمی کرده است، از جمله:

۱- پورتال این شرکت از نسخه به روز نشده و آسیب پذیر Drupal استفاده کرده است.

۲- وب سایت شرکت با استفاده از WordPress و یک افزونه آسیب پذیر و به روز نشده Revolution insider راه اندازی شده است.

۳- گفته شده که وب سایت شرکت، فایروال نداشته است.

۴- سرورهای عمومی و داخلی شرکت (وب سایت و ایمیل داخلی) در یک Zone قرار دارند و نفوذ به یکی، دسترسی به دیگران را ممکن ساخته است.

البته هنوز با قطعیت مشخص نشده که پای نفوذ داخلی در میان بوده یا نفوذ از بیرون شرکت. اما همین موارد و دیگر شواهد و حدسیات، درس هایی برای همه سازمان ها  و شرکت ها دارد:

۱- به روز رسانی سیستم عامل ها، زیرساخت ها و برنامه ها موضوعی جدی و حیاتی است.

۲- حداقل یک فایروال برای هر شبکه ای حیاتی است!

۳- قرار دادن سرورها پشت فایروال کافی نیست:

  • جدا کردن سرورها (ایجاد نواحی امنیتی) بر اساس سطح تهدید و نیازمندی های امنیتی آنها هم لازم است.
  • مانیتور کردن ترافیک خروجی از شبکه هم لازم است.
  • مانیتور کردن ترافیک بین سرورها هم لازم است.

۴- دسترسی های راه دور منشأ بسیاری از تهدیدها هستند و باید کنترل و مانیتور شوند.

۵- میزان آسیبی که از نشت اطلاعات به سازمان وارد می شود، با افزایش حجم اطلاعات افشا شده به صورت تصاعدی و غیرقابل تصور افزایش می یابد.

اشتراک گذاری