بایگانی برچسب: s

متخصصان امنیت و سندروم اسپرگر

افراد مبتلا به سندروم اسپرگر، که شکل ملایمی از اوتیسم (در خود ماندگی) است، نشانه هایی دارند که می تواند برای یک متخصص موفق امنیت مفید باشد. از طرف دیگر، مطالعات نشان می دهند که بسیاری از هکرها در بریتانیا و احتمالاث نقاط دیگر دنیا، مبتلا به این سندروم هستند. تمرکز بسیار بالا، توجه به جزئیات، روشمند بودن و توانایی حل بهینه مساله در کنار بعصی مشکلات در روابط اجتماعی، از جمله این فاکتورهای کلیدی مشترک هستند.

اشتراک گذاری

درباره یک باگ بانتی داخلی

اینکه مدیر پیام رسان آی گپ، پیشقدم شده و بخشی از امنیت محصول خود را در معرض قضاوت و تحلیل عمومی قرار داده، فی نفسه و مستقلا قابل تقدیر و ارزشمند است. حرکت ایشان به خصوص در روزهایی که بحث بر سر پیام رسان ها در اوج قرار دارد، به گسترش فرهنگ باگ بانتی (Bug Bounty) یا جایزه باگ، و آشنا شدن عموم و به خصوص صاحبان محصولات نرم افزاری کمک می کند.

برنامه های جایزه باگ، در بسیاری از شرکت های مطرح دنیا و حتی توسط دولتها به طور معمول اجرا می شود. شرکتهایی مثل Hackerone و Bugcrowd هم به طور تخصصی این سرویس را ارائه می کنند. معمولا برگزار کننده به طور مشخص اعلام می کند که جایزه به چه حمله ها یا آسیب پذیری هایی تعلق نمی گیرد، تا افراد وقت خود را صرف آن حمله ها نکرده و بعداً مدعی نشوند.

نکته ای که در جایزه یک میلیارد تومانی هک پیام رسان آی گپ نیاز به شفاف سازی و توضیح بیشتر دارد، بحث استفاده از الگوریتم رمزنگاری AES جهت رمزنگاری پیام های تبادلی بین کلاینت و سرور است. با توجه به اینکه AES یک الگوریتم استاندارد و امن (تا به امروز) است، بدیهی است که هیچ فردی در ایران نمی تواند به نحوی که خواسته شده، پیام های رمز شده با AES را رمزگشایی و به وسیله ابزاری مثل وایرشارک آن را اثبات کند. حتی هیچ فردی در دنیا هم قادر به این کار نیست (اگر هم NSA یا دیگر سازمان های اطلاعاتی قادر به این کار باشند، برای حفظ این برتری استراتژیک، آن را اعلام نخواهد کرد).

اشتراک گذاری

اداره سایت هک شده بیت کوین توسط مدیر سابق یک بات نت

در حالی که ارزهای رمزینه، رمزینه پول ها یا Cryptocurrencies موضوع بحث های داغ این روزها هستند، ریسک های سرمایه گذاری روی آنها هم از جنبه اقتصادی و هم از جنبه فناورانه مورد توجه ویژه قرار گرفته است. یکی از سایتهایی که حدود ۵۲ میلیون دلار بیت کوین در آن ناپدید شده، NiceHash است که از کشور اسلوونی آمده و به گفته Brian Krebs، مدیر فنی سایت مذکور، هکری است که قبلا به جرم مدیریت بات نت Butterfly و فروم مجرمانه Darkode چند سالی در زندان بوده است.

اشتراک گذاری

نکاتی درباره آسیب پذیری WPA2

همانطور که قبلاً گفتم امروز جزئیات حمله ای موسوم به KRACK که مخفف Key Reinstallation Attack هست، علیه پر استفاده ترین و (تا امروز) امن ترین پروتکل امنیتی شبکه بی سیم یعنی WPA2 توسط گروهی از پژوهشگران دانشگاه Leuven بلژیک و Alabama ایالات متحده (از جمله یکی از فارغ التحصیلان مهندسی کامپیوتر دانشگاه تهران) و چند پژوهشگر دیگر منتشر شد که در کنفرانس Balckhat 2017 اروپا ارائه خواهد شد و بازتاب های بسیار گسترده ای داشت. (لینک مقاله)

KRACK شامل ده آسیب پذیری کشف شده در WPA2 است. WPA2 بهترین و توصیه شده ترین پروتکل در دسترس جهت ایمن سازی شبکه بی سیم در کاربردهای خانگی، سازمانی و غیره است. نفوذگر با سوء استفاده از این آسیب پذیری‌ها، می تواند بدون در اختیار داشتن پسورد یا کلید اتصال به شبکه بی سیم، ترافیک شبکه را شنود و ارسال مجدد (Replay) کند و در حالت های خاصی امکان جعل بسته ها را هم خواهد داشت.
مبنای آسیب پذیری، در نوع طراحی و پیاده سازی Handshake اجرا شده بین کلاینت و Access Point در WPA2 (هنگام اتصال کلاینت به شبکه) و همچنین پارامترهای جانبی استفاده شده در WPA2 تحت حمله، نهفته است. به همین خاطر، این آسیب پذیری ربطی به محصول یا برند خاصی ندارد و تمام پیاده سازی های WPA2 را شامل می شود. لیست برندهای آسیب پذیر، که اکثر آنها الان اصلاحیه (Patch) مورد نیاز را منتشر کرده اند، در اینجا موجود است. برخی برندها مثل ویندوز و iOS به دلیل اینکه در پیاده سازی این Handshake به طور کامل از استاندارد IEEE 802.11i تبعیت نکرده اند، نسبت به برخی از این چند آسیب پذیری (نه همه آنها) مصون هستند!
ویدئویی از نحوه انجام حمله در اینجا ارائه شده است. حمله نیازمند ایجاد یک Access Point جعلی، با همان SSID و آدرس MAC متعلق به Access Point واقعی است. این یکی از نکاتی است که می تواند از نظر عملی، اجرای حمله را مشکل کند، اگر چه در مقاله ارائه شده، تمام این نکات جانبی به خوبی بررسی و حل شده است.

یکی از جذاب ترین بخش های این پژوهش از دید من آنجایی است که نویسندگان، وارد بحث اثبات ریاضی امنیت پروتکل (روش های فرمال یا صوری) شده اند. در واقع، ویژگی های امنیتی متنوعی برای WPA2 در پژوهش های قبلی اثبات شده است. نکته کلیدی آن است که حمله KRACK هیچ کدام از ویژگی های امنیتی اثبات شده به روش فرمال در پژوهش های قبلی را نقض نمی کند. مثلاً، ویژگی Key Secrecy کماکان در WPA2 آسیب پذیر نیز برقرار است، زیرا این حمله، کلید خصوصی نشست را برای نفوذگر افشا نمی کند:

“However, the proofs do not model key installation. Put differently, they do not state when the key is installed for use by the data confidentiality protocol. In practice, this means the same key can be installed multiple times, thereby resetting associated nonces and/or replay counters used by the data-confidentiality protocol.”
این پژوهش بر ضرورت عدم ابهام و توصیف صریح پروتکل هایی مثل IEEE 802.11i برای پیشگیری از تفسیرهای متفاوت در زمان پیاده سازی تأکید می کند. در اینجا، از ابهامی که در مقادیر مجاز شمارنده بسته Replay شده در زمان Handshake  سوء استفاده شده است. همچنین، همانطور که همیشه در روش های صوری توصیف و اثبات تأکید می شود، باید به تفاوت بین اثبات امنیت پروتکل، با پیاده سازی امن آن توجه کرد. در اینجا، اثبات فرمال امنیت Handshake پروتکل، در نظر نمی گیرد که طرفین چه زمانی مجاز به نصب کلید توافق شده نشست هستند. در نتیجه، یک کلید می تواند چندین بار نصب شود. این نقیصه فقط با بررسی کد پیاده سازی شده قابل کشف است، نه با خواندن اثبات ارائه شده برای توصیف سطح بالای پروتکل. در حالی که اثبات مورد بحث مربوط به سال ۲۰۰۵ است، آسیب پذیری ها در پیاده سازی پروتکل، از آن زمان تا کنون کشف نشده بودند.

به روز رسانی در ۹۶/۸/۱۲: اسلایدهای ارائه شده در کنفرانس ACM CCS 2017

به روز رسانی در ۹۶/۸/۲۲: مجموعه اسکریپت های تست آسیب پذیری

اشتراک گذاری

دیدگاه مدیر سابق Equifax درباره نفوذ اخیر

دکتر Anna Slomovic که تا ابتدای سال ۲۰۱۴، در جایگاه Chief Privacy Officer شرکت Equifax مشغول به کار بوده، در مورد حادثه نفوذ و نشت اطلاعات بیش از ۱۴۵ میلیون نفر از مشتریان این شرکت در یادداشتی توضیحات جالبی داده. اون توضیح میده که تاریخچه و ماهیت کسب و کار Equifax چه ویژگی هایی داره و از استرس ذاتی کار کردن در این نوع شرکت ها، به خصوص برای کسانی که در قبال امنیت مسئول هستن، میگه:

“When I was at Equifax, there was a palpable feeling of being in an organization under threat. Physical and data security was a priority because it was understood that if there were a problem, a widely disliked company whose role in the economy is not always appreciated would get little sympathy. This is precisely what happened since the data breach was announced. As of this writing, Equifax stock has lost a third of its value, the Congress and the regulators are investigating and threatening action, and the press is publishing rumors that Equifax’s customers plan to defect to other CRAs.”

 

اشتراک گذاری

حواشی نشت اطلاعات Equifax

آیا صرفاً وصله نکردن یک آسیب پذیری Apache Struts منجر به هک شدن Equifax و افشای اطلاعات شخصی بیش از ۱۴۳ میلیون مشتری شد؟ گزارشی از ادعای هکرهای ناشناس این شرکت نشون میده که سریالی از اشتباهات و سهل انگاری ها در پیکربندی سرورها و پنل های مدیریتی در کار بوده.
بعد از اخراج محترمانه CIO و CSO شرکت، مدرک تحصیلی CSO (مدیر ارشد امنیت) به بحث های جدی دامن زده. خانم Susan Mauldin طبق پروفایل لینکدین خودش که اخیراً از دسترس خارج شده، تحصیلات موسیقی داشته و هیچ مدرکی در حوزه مهندسی کامپیوتر نداره. خیلی از سایتها به این موضوع که شرکتی با این ابعاد کسب و کار، فردی متخصص در موسیقی رو به عنوان مدیر امنیت انتخاب کرده به شدت حمله کردن. در مقابل، افراد زیادی هم به اینکه مدرک تحصیلی مدیر امنیت چقدر به طور مستقیم در چنین رخدادی تاثیر میتوانسته داشته باشه توجه کردن و جواب دادن.

اشتراک گذاری

هک شدن Equifax: یک رخداد تاریخی

در دو روز گذشته همه خبرهای دنیای امنیت تحت الشعاع حادثه سرقت اطلاعات شخصی بیش از ۱۴۰ میلیون نفر از مشتریان شرکت Equifax قرار گرفت. ابعاد این حادثه خیلی بیش از چیزی که در ابتدا به نظر می رسید، بوده و تا این لحظه هنوز مطمئن نیستیم که همه زوایای آن روشن شده باشه. شاید از نظر تعداد افرادی که مستقیماً از این رخداد متضرر شده اند، حادثه فروشگاه های زنجیره ای Target در سال ۲۰۱۳ رو بشه تا حدودی مشابه رخداد Equifax دانست، اما از نظر ابعاد و بازتابها، بدون شک این حادثه اخیر با فاصله قابل توجهی از بقیه حوادث امنیتی کسب و کارهای مالی در سالهای چند سال گذشته بزرگتر است.
یکی از ویژگی های منحصر به فرد این حادثه، نحوه اطلاع رسانی، پاسخ و مواجهه شرکت Equifax بوده که حواشی زیادی ایجاد کرده و انتقادات شدیدی رو برانگیخته. مدت زمان نسبتاً طولانی ادعا شده بین کشف تا اعلام حادثه، فروش سهام توسط سه نفر مدیران رده بالای شرکت چند روز قبل از اعلان عمومی حادثه، مشکلات ایجاد شده برای وب سایتی که برای اطلاع رسانی به مشتریان راه اندازی شده و اعتراضها به شرایط حقوقی اعلام شده برای استفاده قربانیان احتمالی از خدمات این سایت، و … از جمله این حواشی هستند. اعتراض ها آنقدر بالا گرفته که برخی خواستار تعطیلی کامل این شرکت شده اند و گزارش شده که شکایاتی با درخواست خسارت چندین میلیارد دلار هم در سیستم قضایی ثبت شده.
گفته شده که نفوذ با استفاده از هک یک وب سایت دارای سرویس آپاچی آسیب پذیر اتفاق افتاده اما اینکه دقیقاً چه آسیب پذیری از ماژول Struts یا دیگر ماژول های آپاچی مورد سوء استفاده قرار گرفته، تا این لحظه قطعی نیست. آپاچی در همین زمینه بیانیه ای منتشر کرده
لینک های مرتبط:
پاسخ هکرهای احتمالی به یک ایمیل
سابقه تیره شرکت Equifax
استفاده از شناسه قابل حدس برای فریز کردن پروفایل مشتری

اشتراک گذاری

بازداشت “عامل توسعه” یا “عامل مقابله” با واناکرای؟

یکی از مهم ترین اخباری که از دیروز در توئیتر و خبرگزاری های بزرگ دنیا منتشر شد، بازداشت Markus Hutchins یک کارشناس مشهور امنیت در خلال حضور در لاس وگاس برای کنفرانس های Blackhat و Defcon بود که به واسطه کشف راه مقابله با توسعه باج افزار WannaCry به شهرت خیلی زیادی رسیده بود. بر خلاف موضوعی که در بعضی منابع فارسی گفته شده، این فرد عامل توسعه واناکرای نیست، بلکه به اتهام مشارکت در توسعه یک بدافزار بانکی به نام kronos دستگیر شده و در صورت اثبات اتهام ممکنه تا ۴۰ سال زندان در انتظارش باشه.

اشتراک گذاری

امنیت پرینتر!

ابزار PRET امکان اتصال به پرینترها در شبکه داخلی و اجرای فرمان روی اونها رو فراهم میکنه. در بسیاری از شبکه ها دسترسی به پورتهای مدیریتی پرینتر محدود نشده و Firmware اونها به روز نمیشه. انواع کارهایی که یک نفوذگر با استفاده از پرینتر قادر به انجامش هست رو در اینجا ببینید.

اشتراک گذاری