امنيت در حوزه بانكداري الكترونيك

IP Spoofing چیست؟چگونه از آن جلوگیری کنیم؟

DHCP Spoofing حمله ای است که عملکرد سرویس DHCP  (اختصاص IP به صورت اتومات) را مختل می کند. 

این حمله به دو صورت می تواند به وجود اید:

• DHCP Server Spoofing:  

در حالت اول مهاجم به بسته های DHCP Request گوش می کند و بلافاصله به آنها جواب می دهد و IP Address و مشخصات مورد نظر خود را برای قربانی ارسال می کند به این نوع حملات Man in the Middle گفته می شود. به طور مثال IP خود را به عنوان Gateway به قربانی اعلام می کند. در نتیجه قربانی بسته هایی که مقصد آنها خارج از شبکه هستند را به مهاجم تحویل می دهد و مهاجم اطلاعات مورد نظر خود را از این بسته استخراج می کند و سپس بسته را به سوی مقصد واقعی ارسال می کند و قربانی از این اتفاق بی خبر است.

• DHCP Starvation:

حالت دوم جهت از کار انداختن سرویس DHCP مورد استفاده قرار می گیرد به این صورت که مهاجم تعداد زیادی DHCP Request جعلی ایجاد می کند و باعث می شود که کل محدود IP تعیین شده برای DHCP سرور پر شود یا تعداد این DHCP Request انقدر زیاد می شود که سرور توان پاسخگویی به ان را نداشته باشد.

نکته: در صورتی که DHCP سرور روی سوئیچ فعال باشد حمله حالت اول رخ نخواهد داد.

برای جلوگیری از این حملات از DHCP Snooping استفاده می کنیم و به صورت زیر عمل می کند: 

• برای جلوگیری از حالت اول پورتی که متصل به DHCP سرور ماست را به عنوان Trust معرفی می کنیم در نتیجه تنها این پورت اجازه دارد به بسته های DHCP Request پاسخ دهد. 
• برای جلوگیری از حالت دوم برای پورت ها مشخص می کنیم که در هر ثانیه اجازه دارد چندتا DHCP Request دریافت کند و یا استفاده از قابلیت Port Security .

نحوی تنظیم DHCP Snooping در سوئیچ های سیسکو : 

• در ابتدا DHCP Snooping را فعال می کنیم. 
• سپس VLAN مربوطه را مشخص می کنیم. 
• وارد اینترفیس متصل به DHCP سرور می شویم و آنرا به عنوان trust معرفی می کنیم.
• حالا باید مشخص کنیم که باقی پورت ها در هر ثانیه اجازه ارسال چند DHCP Request را دارند. 

  Switch(config)#ip dhcp snooping

Switch(config)#ip dhcp snooping vlan 1

Switch(config)#ip dhcp snoopng vlan 1

Switch(config-if)# ip dhcp snooping trust

Switch(config)#interface range fastethernet 0/1-23

Switch(config-if)#ip dhcp snooping limit rate 3

منبع:  انجمن تخصصی فناوری اطلاعات ایران -جعفر قنبری

اگر تا به حال واژه باج افزار به گوشتان نخورده باید بگوییم که این عبارت به نوعی بدافزار اشاره دارد که داده های ما را به شیوه ای نامطلوب رمزگذاری می کند. این بدافزار در واقع داده های شما را بدون اجازه یا اطلاع تان رمزگذاری می کند و کلید دسترسی به آنها را نیز در اختیار هکر قرار می دهد. از این مرحله به بعد اگر بخواهید اطلاعات خود را قفل گشایی نمایید باید باج بدهید و در غیر اینصورت کلید رمزگشایی به شما داده نمی شود و حتی در برخی موارد دور ریخته می شود. داستان از آنجا شروع می شود که بیمارستانی در لس آنجلس هدف حمله یکی از این باج افزارها قرار گرفت و در جریان آن مجبور شد مبلغی درحدود 17 هزار دلار را برای دسترسی به برخی از داده های خود به هکرها پرداخت نماید.

 باج‌افزار پتیا حدود بیش از یک ماه است که در فضای مجازی منتشر شده و از طریق هرزنامه‌های ایمیلی با موضوع شغل‌یابی با سرعت بالا گسترش می‌یابد. علت خطرناک بودن این باج‌افزار آن است که با نگارش محتوای خود بر روی master boot record   (MBR) هارددیسک، اجرای درست سیستم‌عامل نصب شده را غیرممکن می‌کند.

دستکاری کدهای درست MBR که برای اجرای بی دردسر سیستم‌عامل ضروری است با کدهایی که master file table (MFT) را رمزگذاری می‌کنند مشکل اصلی ایجاد شده توسط این باج‌افزار است. MFT فایل خاصی است که حاوی اطلاعاتی در مورد اسامی، اندازه و نقشه سکتورهای هارددیسک است و نباید به هیچ وجه دستکاری شود.

بنابراین این باج‌افزار برای خرابکاری نیازی به رمزگذاری همه داده‌های کاربران ندارد و با مختل کردن MFT کاری می‌کند که سیستم‌عامل دیگر اطلاعی از محل قرارگیری فایل‌ها بر روی هارددیسک نداشته باشد.

علیرغم همه این مشکلات محققان راهی برای بازگرداندن MFT به حالت عادی و از کار انداختن باج‌افزار Petya یافته‌اند. متخصصان شرکت امنیتی Emsisoft ابزاری رایگان طراحی کرده‌اند که حتی در صورت از کار افتادن ویندوز می‌تواند با استفاده از پرت یو.اس.بی به رایانه متصل شده و هارددیسک آلوده شده را به حالت عادی برگرداند.

منابع:

http://thetechnews.com 

http://www.mashreghnews.ir 

http://itna.ir

 آسیب پذیری GHOST

به نقل از کارشناسان امنیت اطلاعات، آسیب پذیری Ghost یکی از خطرناک ترین حفره های امنیتی است که تا به حال در سیستم عامل لینوکس کشف و گزارش شده است.

ظاهرا روندافشای مشکلات امنیتی مانند Shellshock و ... که سالیان سال وجود داشت اما کسی آنها را شناسایی و کشف نکرده بود ، در سال 2015 هم ادامه خواهد داشت. آسیب پذیری موردبحث از این جهت مهم است که توزیع های زیادی از سیستم عامل لینوکس را تحت تاثیر قرار می دهد و همچنین با استفاده از روش ها مختلف مورد سوء استفاده قرار میگیرد.

به نقل از کارشناسان امنیت اطلاعات، آسیب پذیری Ghost که به تازگی در راس اخبار امنیتی دنیا قرار گرفته است، یکی از خطرناک ترین حفره های امنیتی است که تا به حال در سیستم عامل لینوکس کشف و گزارش شده است. مهاجمین با استفاده از این آسیب پذیری می توانند بر روی سرورهای لینوکسی کدهای مخرب[1] اجرا کنند و از آنها دسترسی[2] بگیرند.

این آسیب پذیری در کتابخانه GNU C Libraryکه یکی از رایجترین کتابخانه های برنامه نویسی زبان C میباشد، کشف شده است. همچنین از آنجاکه این کتابخانه به صورت وسیعی در تمامی توزیع های مختلف سیستم عامل لینوکس مورد استفاده قرار میگیرد، امکان حملات گسترده ای را برای مهاجمین ایجاد میکند. این آسیب پذیری که با شناسه CVE-2015-0235شناخته می شود، توسط یک پژوهشگر امنیتی[3] در شرکت امنیتی Qualys[4] واقع در ایالات متحده آمریکا کشف و گزارش شده است.

نکته مهم دیگر در مورد این حفره امنیتی[5] یا آسیب پذیری سیستمی[6]، روش های مختلف دسترسی به کد و سو استفاده ازآن است. بدین معنی که مهاجمین می توانند از طریق وب سرور، میل سرور، یا هر سرویس دیگری که به نحوی داده های تحت کنترل کاربر را به عنوان پارامتر به تابع gethostbyname()ارسال می کند، به این حفره امنیتی دسترسی یابند. این آسیب پذیری از نظر تهدید آمیز بودن برای فضای اینترنت مشابه آسیب پذیری های Heartbleed، Shellshock و Poodle می باشد که در سال 2014 کشف و گزارش شده اند.

چرا نام Ghost برای این آسیب پذیری انتخاب شده است؟

از آنجاکه این آسیب پذیری در خانواده توابع gethostbynameکتابخانه GNU C Libraryیا همان glibcکشف گردید، Ghostنام گرفت. شایان ذکر است، کتابخانه برنامه نویسی glibcیک مخزن برای نرم افزارهای متن باز C و C++به شمار می رود که فراخوانی های سیستمی در آن تعریف می شوند.
این مسئله امنیتی در حقیقت از یک سرریز بافر مبتنی بر حافظه Heap[7] سرچشمه می گیرد که در تابع __nss_hostname_digits_dots()نسخه 2.2 کتابخانه glibc رخ می دهد. همچنین قابل ذکر است، تابع __nss_hostname_digits_dots()توسط دو تابع سیستمی مهم دیگر سیستم عامل لینوکس _gethostbyname و gethostbyname2() فراخوانی و اجرا می شود که مطابق گفته پژوهشگران امنیتی، یک مهاجم می تواند به سادگی از راه دور هر دوِ این توابع را فراخوانی کند و از این آسیب پذیری سو استفاده نماید.

همچنین در متن گزارش شرکت امنیتی Qualysقطعه کدی هم برای بررسی آسیب پذیر بودن سیستم ها آورده شده ، که می توانید با استفاده از آن بررسی کنید که آیا سیستم شما آسیب پذیر است یا خیر. مثلا در شرایطی که شما چند نسخه مختلف از glibc روی سیستم خود دارید ولی مطمئن نیستید که سیستم عامل بطور پیشفرض از کدام نسخه استفاده می کند، می توانید کد ارائه شده را مورد استفاده قرار دهید. پس از اینکه کد را کامپایل و اجرا کنید، اگر سیستم شما به این ضعف امنیتی آسیب پذیر باشد، پیام Vulnerable برای شما نمایش داده خواهد شد. به تصویر زیر توجه کنید:

کد sample.c در قسمت زیر آورده شده است :

منابع:

امنیت در بانکداری اینترنتی

مقدمه

بانکداری اینترنتی (Online Banking) به سرعت در حال توسعه پیدا کردن است و همین موضوع باعث شده که در ادامه روند توسعه خود تبدیل به یک چالش عظیم برای امنیت موضوعات مالی و حریم خصوصی افراد تبدیل شود. روزانه حساب های بانکی میلیون ها نفر از افراد مختلف در سراسر جهان در نتیجه بانکداری اینترنتی از طریق بدافزارها، حملات وب و... مورد نفوذ و سرقت قرار می گیرد. لذا اگر شما قصد داشته باشید از بانکداری اینترنتی به منظور انجام تراکنش های مالی خود استفاده کنید، باید خطرات پیرامون آن را در نظر بگیرید تا بتوانید امنیت خود را به شکل نسبتا کاملی حفظ کنید. با این حال در این مقاله تلاش ما بر این است که راه های عمومی، به منظور حفظ ایمنی کاربران ارائه کنیم. با این حال شما می توانید با رعایت موارد آورده شده در ادامه مقاله تا حد ممکن امنیت خود را حفظ کنید. همچنین در ادامه، برخی از حملاتی که می توانند شما را در حین انجام تراکنش های مالی آنلاین مورد هدف قرار بدهند را تشریح خواهیم کرد.

نکاتی که باید رعایت شوند :

1.  از نام کاربری و رمز عبور سخت و منحصر به فردی استفاده کنید که به سادگی قابل حدس زدن نباشد.

2.   از یک کامپیوتر ایمن و به روز شده استفاده کنید که دارای ضعف امنیتی نباشد.

3.   همواره از یک آنتی ویروس به روز به همراه دیوار آتش (Firewall) به منظور جلوگیری از حملات فیشینگ و بدافزارها بر روی سیستم خود استفاده کنید.

4.   از آخرین نسخه مرورگرهای اینترنتی استفاده کنید.

5.   در بازه های زمانی مشخص موجودی حساب های بانکی خود را بررسی کنید.

6.   بر روی لینک های مشکوک ارسال شده در چت روم ها و سایت های اجتماعی و عمومی کلیک نکنید.

7.   از مکان های عمومی به حساب بانکی خود متصل نشوید و در حالت کلی هیچ تراکنش مالی را در محیط های عمومی انجام ندهید.

8.   اگر حساب کاربری شما مورد نفوذ قرار گرفت به سرعت از طریق بانک اقدام به مسدود کردن آن کنید.

حملاتی که بانکداری اینترنتی را هدف قرار می دهد

حملات بسیار زیادی مبتنی بر وب و شبکه وجود دارد که مهاجمین می توانند با استفاده از آنها بانکداری اینترنتی  هدف قرار بدهند. با این حال، در این قسمت سعی ما بر این است تا برخی از این نوع حملات پیشرفته را مورد بررسی و تشریح قرار بدهیم.

حملات فریفتن (Phishing Attacks)

روش فیشینگ اولین بار با جزئیات در سال ۱۹۸۷ توضیح داده شده است و این واژه برای اولین بار در سال ۱۹۹۵ مورد استفاده قرار گرفته است. واژه‌ی فیشینگ مخفف عبارت Password Harvesting Fishing (شکار کردن گذرواژه کاربر از طریق یک طعمه) است که در آن حرف Ph به جای F برای القای مفهوم فریفتن جایگزین شده است.

فیشینگ یا سرقت آنلاین در عمل به صورت کپی دقیق رابط گرافیکی یک وب‌گاه معتبر مانند صفحات اینترنتی بانک‌ها انجام می‌شود. ابتدا کاربر از طریق ایمیل و یا آگهی‌های تبلیغاتی سایت‌های دیگر، به این صفحه جعلی راهنمایی می‌شود. سپس از کاربر درخواست می‌شود تا اطلاعاتی را که می‌تواند مانند اطلاعات کارت اعتباری مهم و حساس باشد، آنجا وارد کند. در صورت فریب خوردن کاربر و وارد کردن اطلاعات خود، فیشرها به اطلاعات شخص دسترسی پیدا می‌کنند. از جمله سایت‌هایی که هدف این حملات قرار می گیرند می‌توان سایت‌های PayPal، Ebay و بانک‌های آنلاین را نام برد. در حالت کلی، فیشینگ به تلاش برای بدست آوردن اطلاعاتی مانند نام کاربری، گذرواژه، اطلاعات حساب بانکی و... از طریق جعل یک وب‌سایت، آدرس ایمیل و... گفته می‌شود. شبکه‌های اجتماعی و وب‌سایت‌های پرداخت آنلاین از جمله اهداف حملات فیشینگ هستند. علاوه بر آن، ایمیل‌هایی که با این هدف ارسال می‌شوند و حاوی پیوندی به یک وب‌سایت هستند در اکثر موارد حاوی بدافزار نیز هستند.

شایان ذکر است تمام حملات فیشینگ نیازمند به یک وب‌گاه جعلی نیست. پیامهایی که ظاهراً از طرف بانک فرستاده شده و از کاربر می‌خواهد تا مثلاً به دلیل وجود ایراد در حسابشان، شماره خاصی را شماره گیری کنند نیز می‌توانند حمله فیشینگ باشند. بعد از گرفتن شماره (که متعلق به فیشر است و با سرویس VoIP مهیا شده‌است)، از کاربر خواسته می‌شود تا شماره حساب و پین (PIN) خود را وارد کند.

اما به منظور جلوگیری از این حمله چه کاری می توان انجام داد؟ با استفاده از نرم‌افزارهای ضد هک و فیشینگ شما می توانید از این حملات تا حد خوبی در سیستم های کامپیوتری جلوگیری کنید. با این حال برای جلوگیری از افزایش آمار فیشینگ و سرقت اطلاعات باید آگاهی کاربران را افزایش داد. نباید به ایمیل هایی که از شما در آنها خواسته شده تا فرمی را پر کنید، اطمینان کرد. نباید اطلاعات حساب کاربری خود را در اختیار سایت ها قرار داد. کاربران برای پرداخت آنلاین باید از درگاه های مخصوص بانک ها استفاده کنند. همچنین سعی کنید به ایمیل های داخل بخش Spam در حساب کاربری تان بی اعتنا باشید و آنها را پاک کنید.

بدافزارها

Malware مخفف واژه Malicious Softwareاست که در زبان پارسی، بدافزار ترجمه می شود. بدافزارها برنامه های کامپیوتری مخصوصی هستند که توسط برنامه نویس های حرفه ای و هکرها نوشته می شوند. این بدافزارها می توانند به منظور اهداف مخرب از قبیل سرقت گذرواژه های کامپیوتری، جاسوسی و... مورد استفاده قرار گیرند. بدافزارها شامل چندین خانواده هستند و هر کدام از آنها برای یک هدف خاصی مورد استفاده قرار می گیرند . در قسمت زیر برخی از آنها به صورت خلاصه تشریح شده اند.

     سرقت کننده اطلاعات[1]: بدافزار هایی که از سیستم هدف، اطلاعات جمع آوری کرده و آن اطلاعات را معمولا برای مهاجمین یا هکر ها ارسال می. به عنوان مثال، بد افزار های شنودکننده، سرقت کننده های رمزهای عبور هش شده و کیلاگر ها از این خانواده هستند. این بدافزار ها عموما برای دسترسی گرفتن به حساب های بانکی، حساب سایت های اجتماعی(فیسبوک، توئیتر، کلوب و...) و ایمیل ها مورد استفاده قرار می گیرند.

     روتکیت[2]:کد مخربی که برای پنهان کردن یک کد مخرب دیگر طراحی شده باشد را روتکیت می گویند. روتکیت ها معمولا با دیگر نرم افزار های مخرب به صورت زوج فعالیت می کنند. از قبیل بک دور ها، که به مهاجمین اجازه دسترسی از راه دور به ماشین های قربانیان را می دهند. مهاجمین با استفاده از روتکیت ها می توانند شناسایی بک دور را سخت تر و گاهی اوقات غیر ممکن کنند.

     ارسال کننده هرزنامه[3]: بدافزار هایی که ماشین یک کاربر را آلوده کرده و سپس از آن برای ارسال هرزنامه استفاده می کنند، بدافزار های ارسال کننده هرزنامه نامیده می شوند. این نوع بدافزارها به حمله کنندگان اجازه می دهند از طریق ارسال هرزنامه تبلیغات کرده و حملات فیشینگ را بر علیه قربانیان پیاده سازی کنند.

     کرم یا ویروس[4]: بدافزار هایی که می توانند خودشان را تکثیر کنند و کامپیوتر های دیگر را آلوده سازند را کرم یا ویروس می نامند. ویروس ها می توانند مرورگر شما راتصرف کرده و بدون اینکه شما اطلاع پیدا کنید تراکنش های مالی انجام دهند. به عنوان مثال، هنگامی که شما به یک بانک وارد می شوید، این نوع بدافزار می تواند یک مرورگر مخفی بر روی کامپیوتر شما اجرا کند و به بانک شما وارد شود، در مرحله بعد موجودی حساب شما را بخواند و سپس یک انتقال وجه به حساب نفوذگر انجام دهد.

بدافزار ها همچنین می توانند بر مبنای هدف مهاجمین[5] در دو دسته بدافزار های جمع هدفی و بدافزار های تک هدفی تقسیم شوند. گروه اول این بدافزار ها را در اصطلاح انگلیسی Mass می نامند. این نوع بدافزار ها به گونه ای طراحی شده اند که بتواند بر روی تعداد زیادی از سیستم ها تاثیر بگذارند و آنها را مورد سوأ استفاد  قرار بدهند. مانند بدافزارهای سارق و یا جاسوس افزارهای نظامیکه جزو این دسته هستند.

دسته دوم را بدافزار های تک محوری یا بدافزار های هدفمند[6] می نامند، مانند یک بک دور که برای حمله به یک سازمان خاص طراحی شده است. بدافزارهای هدفمند تهدید بزرگتری نسبت به بدافزار های جمعی به شمار می روند. زیرا که آنها به صورت گسترده مورد استفاده قرار نمی گیرند و فقط هدفشان حمله به یک شخص خاص است. به همین دلیل احتمال زیادی وجود دارد که سیستم های دفاعی نتوانند آن ها را شناسایی کنند زیرا تا به حال با آن بدافزار مواجه نشده اند و ساختار و نوع عملیات آنها برایشان بی معنا و ایمن به نظر می رسد. با قدرت می توان گفت، بدون تجزیه و تحلیل این نوع بدافزارها تقریبا غیرممکن است که بتوان از شبکه یا سیستم در برابر حمله آنها محافظتی به عمل آورد. بدافزارهای هدفمند عموما خیلی پیچیده هستند و تحلیل کردن آنها نیاز به مهارت بالایی دارد.

حملات فارمینگ

عبارت Pharmingیک واژه جدید بر اساس واژگان Farming و Phishing است. Phishingیک حمله در خانواده حملات مهندسی اجتماعی است که برای دسترسی به نام های کاربری و کلمه های عبور استفاده می شود که در قسمت قبل توضیح داده شد. در سال‌های اخیر pharming و phishing برای دسترسی به گواهینامه‌های دستیابی در سرقت‌های آنلاین به کار رفته‌اند.Pharming تبدیل به یکی از نگرانی‌های عمده برای تجارت الکترونیک و وب سایت‌های بانکداری آنلاین شده‌ است. اقدامات پیشرفته‌ای که با عنوان Anti-pharming شناخته شده‌اند، برای مقابله با این سرقت‌ها نیاز است، اما با این حال نرم افزار‌های ضدویروس و نرم افزارهای پاک کننده جاسوس افزار‌ها نمی‌توانند به شکل کاملی از شما در مقابل حملاتpharmingمحفاظت کنند.

در این حملات بدون اینکه شما متوجه شوید، یک کد مخرب بر روی سیستم شما نصب می شود. به عنوان مثال، هنگامی که شما یک ایمیل را باز می کنید، یا یک فایل پیوست شده به ایمیل را مورد مشاهده قرار می دهید، مهاجم می تواند از این طریق با استفاده از یک سری ترفندهای خاص بر روی سیستم شما یک کد مخرب نصب کند. سپس شما وارد یک وب سایت جعلی می شوید که شبیه به بانک یا یک وب سایت مالی دیگر مانند PayPal است. در این هنگام، هر اطلاعاتی که شما در این وب سایت وارد کنید برای شخص مهاجم ارسال خواهد شد. شایان ذکر است حملات Pharming می‌تواند از طریق تغییر فایل‌hosts در کامپیوتر قربانی یا از طریق بهره برداری از قابلیت آسیب پذیری نرم افزارهای سامانه نام دامنه(DNS) صورت گیرد.

با این حال، درحالیکه یک تشخیص نام دامنه مخرب (malicious domain-name resolution) می‌تواند از به خطر انداختن تعداد زیادی از سرور های مورد اعتماد که در name lookup شرکت کرده‌اند، به دست آید، اکثر نقاط آسیب پذیر در نزدیکی سرور های آخر که نزدیک به کاربر هستند قرار دارد. به عنوان مثال ورودی‌های نادرست در فایل‌ hostsدر یک کلاینت که name lookup را با تبدیل نام محلی خود به آدرس IPانجام می دهد، یک هدف محبوب برای بدافزار‌ها می‌باشد. کلاینت ‌ها غالبا هدف‌های بهتری برای pharming هستند، زیرا سرور‌های اینترنتی مدیریت ضعیف تری روی آنها دارند.

آزاردهنده تر از حملات فایل میزبان(hosts-file attacks)، به خطر افتادن یک مسیریاب(router) محلی است. وظیفه مسیریاب‌ها این است که یک سامانه DNS مطمئن جهت دسترسی به شبکه برای کلاینت ها تعیین کنند. اطلاعات نادرست در اینجا می‌تواند موجب خرابی جستجو‌ها برای کل شبکه محلی شود. بر خلاف بازنویسی‌های فایل میزبان، به خطر افتادن مسیریاب‌های محلی به سختی کشف می‌شود. همچنین شایان ذکر است، مسیریاب‌ها می‌توانند اطلاعات بد سامانه نام دامنه (DNS) را با پیکربندی نادرست محیط های موجود یا بازنویسی کامل نرم افزارهای تعبیه شده (firmware) عبور دهند. بسیاری از مسیریاب‌ها برای مدیر‌ها امکان تعیین یک سامانه نام دامنه ویژه و قابل اعتماد را در مکان پیشنهاد شده توسط گره‌های بالادستی (مانند ISP) فراهم می‌کنند.

یک حمله کننده می‌تواند یک سامانه نام دامنه را تحت کنترل خود درآورد تا همه Resolution های بعدی از سرور نادرست عبور ‌کنند. یک سناریو شامل جاوااسکریپت مخرب می تواند سامانه نام دامنه مسیریاب (Router DNS) را تغییر دهد و drive-by pharming نامیده می‌شود که توسط Stamm، Ramzan وJakobsson  در تاریخ  December 2006 گزارش شد. از سوی دیگر بسیاری از مسیریاب‌ها دارای توانایی جایگزینی Firmware [7]( نرم افزار داخلی که سرویس‌های پیچیده تر دستگاه را انجام می‌دهد) هستند. مانند بدافزار در کامپیوترهای رومیزی، جایگزینی یک Firmware هم به سختی می‌تواند کشف شود.

Pharming تنها یکی از انواع حملات است که می‌تواند Firmwareمخرب نصب کند. سایر موارد شامل حمله Man in the middle، شنود و... است. این روش‌های pharming به خودی خود فقط از نظر آکادمیک مورد توجه هستند. درحالی که مشتریان مسیریاب های بی سیم در همه جا هستند و این خود نوعی آسیب پذیری کلان به وجود می‌آورد. دسترسی اجرایی به صورت بی سیم در اکثر این دستگاه‌ها امکان پذیر است. علاوه بر این چون این مسیریاب‌ها غالبا با تنظیمات پیش فرض خود کار می‌کنند، رمزهای اجرایی معمولا بدون تغییر باقی می‌مانند. حتی زمانی که رمزهای اجرایی تغییر می‌کنند، بسیاری از آنها از طریق حملات Dictionary قابل حدس زدن هستند، چون بیشتر مشتریان مسیریاب ‌های بی سیم تلاش های نا موفق هنگام ورود به سیستم (login) را نشان نمی‌دهند. وقتی دستیابی اجرایی تائید شد، همه محیط‌های رهیاب حتی خود Firmware ممکن است تغییر کند. این فاکتورها برای به خطر انداختن مسیریاب‌ها استفاده می‌شوند. این حملات به سختی ردیابی می‌شوند زیرا خارج از خانه یا ادارات کوچک و خارج از اینترنت روی می‌دهند.

پرده برداری کاخ سفید از برنامه جدید امنیت سایبری

کاخ سفید هفته گذشته قانونی را در خصوص حفاظت از مصرف کنندگان و امنیت سایبری تصویب کرد که هدف آن تشویق شرکت ها و سازمان ها در به اشتراک گذاری اطلاعات مربوط به تهدیدات امنیتی با حکومت و همچنین با یکدیگر می باشد. در این رابطه کاخ سفید می گوید؛ این فرمان اجرایی را اصولی ترسیم می کند که حراست قوی از محرمیت و آزادی مدنی شامل آن خواهد بود، حتی این فرمان موانع بین حکومت و بخش خصوصی را حذف می کند.

این اقدام بعد از نفوذ و هک شرکت Sony Pictures و یک حساب تویتر پنتاگون، در صدد تقویت قوانین مربوط به امنیت سایبری و اینترنت در آمریکا صورت گرفت. همچنین رئیس جمهور وقت ایالات متحده آمریکا، آقای اوباما، ماه گذشته هنگام ایراد سخنرانی درباره وضعیت کشور در اجلاس مشترک کنگره، در مورد اهمیت امنیت سایبری صحبت کرد.

کاخ سفید این هفته اعلام کرد که باید یک سازمان فدرال جدید به منظور تحلیل تهدیدهای امنیت سایبری کشور و هماهنگی استراتژی برای مبارزه با این تهدیدها ایجاد گردد. انتظار می رود این فرمانِ اجرایی؛ نخستین گام برنامه برای جلب نظر کنگره به تصویب طرح پیشنهادی کاخ سفید باشد . طرحی که وزارت امنیت داخلی کشور را به مرکز تبادل اطلاعات سایبری خصوصی و عمومی تبدیل می کند.

آقای باراک اوباما مرکز ادغام اطلاعاتی تهدید سایبری را به عنوان یک مرکز هماهنگی اطلاعات می داند که متشکل از اداره تحقیقات فدرال، سازمان امنیت ملی، وزارت امنیت داخلی و دیگر سازمانهای فدرال است. این مرکز تحت راهبرد مدیر اطلاعات ملی عمل می کند.

به گزارش وب سایت Bank Info Security، مطابق یک برگه اطلاعاتی از کاخ سفید، شرکت پردازش پرداخت ویزا، از ماه مارس شماره کارت های اعتباری را با نشانه های تصادفی تولید شده برای هر یک از تراکنش های مالی نشانه گذاری می کند.

همچنین مسترکارت برای ابزارهای جدید امنیت سایبری از جمله استقرار یک شبکه ایمن و یک راه حل امنیتی جدید برای کاهش خطرات حملات سایبری، 20 میلیون دلار سرمایه گذاری خواهد کرد.

برند های کارت های اعتباری همچنین در طرح مدیریت فروش ایمن با تعهد همکاری با شرکت های Apple، Comerica Bank و U.S. Bank برای ایجاد یک سرویس پرداخت موبایل رمزنگاری و نشانه گذاری شده با نام ApplePay شرکت خواهند کرد. این سرویس برای کاربران کارت های پرداخت فدرال موجود خواهد بود.

کاخ سفید همچنین اعلام کرد؛ دو گروه تجاری  Financial Services Roundtable و Retail Industry Leaders Association دو مجوز با هدف افزایش تلاش های مشترک برای ایجاد استانداردها و اصول توسعه فناوری های نسل جدید عرضه خواهند کرد تا ارزش اطلاعات مربوط به پرداخت را در صورتی که این اطلاعات به سرقت رفته یا از بین روند کم کند.

تصدیق هویت چند عاملی 

همچنین در نشست برگزار شده ی دانشگاه استنفورد؛ شرکت اینتل فناوری جدیدی را به منظور تصدیق هویت منتشر نمود که فقط متکی به کلمه عبور نخواهد بود، این فناوری جدید از فناوری های دیگری چون زیست سنجی به منظور تصدیق و تائید هویت کاربران استفاده می کند.

در همین رابطه American Express گفت، تکنولوژی تصدیق هویت چندعاملی را برای مصرف کنندگان خودش راه اندازی می کند. علاوه بر این MasterCard و First Tech Credit Union در اواخر سال جاری پایلوت جدیدی را نشان خواهند که به مصرف کنندگان اجازه می دهد تا تراکنش های مالی خودشان را با ترکیبی از تکنولوژی های زیست سنجی از قبیل تشخیص صدا و تشخیص چهره تصدیق و تائید کنند. همچنین تعدادی از سازمان های دیگر از صحن اجلاس برای معرفی طرح های جدید استفاده کردند، از جمله:

1.      اتحادیه تهدیدات سایبری شامل شرکت های امنیتی Palo Alto Networks, Symantec, Intel Security و Fortinet، مطابق دستور اشتراک تهدیدات سایبری توسط باراک اوباما با یکدیگر همکاری خواهند کرد.

2.      انجمن نرم افزارهای سرگرمی و همچنین Crowdstrike یک سازمان جدید برای تحلیل و اشتراک اطلاعات (ISAO) سازگار با فرمان اجرایی ایجاد می کنند.

3.      شرکت امنیت شبکه FireEye، در همین راستا شبکه اشتراک اطلاعات خودش را برای کاربرانش به منظور دریافت اطلاعات تهدیدات و ارائه شاخص های تهدیدات ناشناخته راه اندازی خواهد کرد.

این در حالی است که رئیس جمهوری آمریکا از شرکت‌های فناوری خواست که برای مقابله با جرائم اینترنتی، اطلاعات بیشتری را با دولت آمریکا و شرکت‌های امنیتی به اشتراک بگذارند.

با این حال برخی شرکت‌های کلیدی حوزه فناوری اطلاعات، دعوت کاخ سفید برای شرکت در کنفرانسی در این باره که روز جمعه برگزار شد رد کردند. از جمله "مارک زوکربرگ" مدیر ارشد فیسبوک و و "ماریسا مایر" مدیر ارشد یاهو همراه با "لری پیج" و "اریک اشمیت" از شرکت گوگل. فیسبوک، یاهو، گوگل و مایکروسافت مدیران رده پایین‌تری را به این کنفرانس فرستادند.

منابع:

مهاجمین و استفاده مستمر آنها از Shellshock

در حالی که هنوز سازمان ها و مراکز زیرساختی هشدارهای آسیب پذیری Shellshock و مهار این ضعف امنیتی از سیستم های کلیدی خود را نادیده میگیرند ، مطابق گزارش شرکت امنیتی Imperva، بیش از صد و چهل هزار رویداد[1] امنیتی در ماه ژانویه امسال به آسیب پذیری Shellshock مرتبط می شوند. این آسیب پذیری در ماه سپتامبر 2014 کشف شد و در مدت زمانی که از کشف آن می گذرد توانسته است تاثیر به سزایی بر روی امنیت سیستم های رایانه ای و صنعتی بگذارد.

در همین رابطه، مرکز امنیت اطلاعات مستقر در کالیفرنیای آمریکا اذعان داشته است، سیستم دفاعی آنها چندین حالت مختلفِ سوء استفاده[2] از ضعف های امنیتی را شناسایی کرده است که میان آنها 3 نوع از 10 نوع حمله ای که بیش از همه قربانی داشته اند، ضعف های امنیتی  CVE-2014-6271, CVE-2014-7169  و CVE-2014-7186 بوده اندکه تمامی آنها با آسیب پذیری Shellshock در ارتباط هستند.

این آسیب‌ پذیری بحرانی در پوسته[3] Bourne Again Shellموسوم به Bash شناسایی شده است که یکی از محبوب‌ترین پوسته های کاربران سیستم عامل لینوکس می‌باشد. آسیب پذیری Shellshock پیرامون نحوه‌ عملکرد متغیرهای محیطی[4] است. در سیستم عامل های لینوکسی، متغیر‌های محیطی راهی را برای تاثیر‌گذاری در رفتار یک نرم‌افزار ایجاد می‌کنند، این متغیر‌ها معمولا دارای یک نام و یک مقدار مربوط به همین نام هستند. در سیستم ‌عامل لینوکس، غالب نرم‌افزار‌ها در هنگام اجرا یک نسخه از Bash را در پشت صحنه اجرا کرده و از آن برای ارتباط با یک کاربر راه دور استفاده می‌کنند.

در حال حاضر نرم افزارهایی که تحت تاثیر ضعف امنیتی Bash قرار دارند به طور گسترده مورد استفاده قرار می گیرند، بنابراین مهاجمان می توانند از این آسیب پذیری سوء استفاده نمایند و از راه دور[5] کد سوء استفادهخود را بر روی دستگاه و وب سرورهای آسیب پذیر اجرا نمایند.

به هر صورت شدت آسیب‌پذیری Shellshock به حدی است که وب سایت هایی همچون Nist.gov امتیاز ۱۰ را برای میزان تهدید آن در نظر گرفته اند. با این حال، این نقص امنیتی 25 ساله به مجرمان سایبری اجازه می دهد تا کد مخرب (شلکد) را در پوسته Bashسیستم عامل لینوکس اجرا نمایند و با استفاده از یک ارتباط بازگشتی (Connect-Back) کنترل سیستم عامل را بدست آورند.

آسیب پذیری Shellshock با شناسه CVE-2014-6271 شناخته می شود و مطابق با گزارش شرکت امنیتی سیمانتک، بیش از دو دهه است که این آسیب پذیری در بسیاری از توزیع های سیستم عامل لینوکس و همچنین سیستم عامل Mac OS Xکه بر پایه سیستم عامل BSD است، وجود دارد. از همین روی درک شدت خطر آن برای افراد فعال در حوزهIT   و امنیت سیستم های کامپیوتری و زیرساختی بسیار آسان است، چرا که بسیاری از سیستم های صنعتی در معرض این آسیب پذیری قرار دارند.

در همین رابطه رابرت گراهام، متخصص امنیت هشدار داد که این مشکل امنیتی حتی از آسیب پذیری Heartbleed بزرگتر و خطرناکتر است، زیرا این مشکل از راه های غیرمنتظره ای با نرم افزارهای دیگر تعامل می کند و همچنین درصد بالایی از نرم افزارها با این پوسته تعامل دارند.

گراهام همچنین گفته است: ما قادر نخواهیم بود تمامی نرم افزارهایی که نسبت به مشکل Bash آسیب پذیر هستند را شناسایی نماییم. در نتیجه در حالی که آسیب پذیری در سیستم های شناسایی شده اصلاح می شود، سیستم های شناسایی نشده بدون اصلاحیه باقی می مانند و در نتیجه در مقابل حمله مهاجمین آسیب پذیر خواهند بود.

علاوه بر رابرت گراهام، Tod Beardsley، مدیر شرکت امنیتی Rapid7 هشدار داد که با وجود آنکه پیچیدگی این آسیب پذیری بسیار کم است اما به مدیران سیستم های دارنده ی دستگاه های آسیب پذیر توصیه می شود تا در اسرع وقت اصلاحیه های مربوطه را اعمال نمایند، زیرا مهاجمین با استفاده از این آسیب پذیری می توانند به سیستم عامل نفوذ کرده، به اطلاعات حساس دسترسی بگیرند و بر روی آن ها تغییرات اعمال نمایند.

منابع:

باج افزارهایی که امروزه در دنیای شبکه اینترنت وجود دارند، بسیار پیچیده تر از باج افزارهای اولیه می باشند. این باج افزارها با طراحی قوی و پیچیده خود، لایه محافظتی سیستم را دور می زنند و می توانند هرگونه اطلاعاتی را نابود کنند. در دو سال گذشته باج افزارهایی نظیر TeslaCrypt، CryptoWall، TorrentLocker، Locky و CTB-Locker با ظاهر و عملکردهای گوناگون در دنیای اینترنت مشاهده شده اند. ولی اکنون فضای مجازی با نوع جدیدی از باج افزارها روبرو شده است. این گونه جدید، نسخه پیشرفته باج افزار CryptoLocker است. دنیای مجرمان سایبری همیشه در حال سرمایه‌گذاری به منظور تولید گونه های جدید و خطرناکتری از باج افزارها می باشند.

CTB Locker چیست؟

CTB Locker نسل جدیدی از ویروس‌های کامپیوتری می‌باشد که در حوزه IT راه مقابله با آن پیشگیری از آن می‌باشد. این برنامه باج افزار، باعث می‌شود فایلهای قربانی‌ها برای انجام اخاذی آلوده شوند. این نمونه خاص باج افزار ویژگی‌های نمونه های قبلی از جمله CryptoLocker و CryptoWall را دارد علاوه بر آن کاربرانی که آلوده به این ویروس شده‌اند نمی‌توانند فایلهای اصلی خود را بازیابی کنند.

نویسنده‌های این باج‌افزار برای تکثیر از اسباب کار مورد نیاز کاربران استفاده می‌کند. نرم‌افزار PDF و آسیب‌پذیری‌های Java در سیستم‌های کامپیوتری از فاکتور‌های اصلی هستند که موجب گسترش ویروس می‌شوند.

 CTB Locker چگونه فایل‌های قربانیان را رمز گذاری می‌کند؟

این بدافزار با استفاده از باج‌افزار، کلیه درایوها (حتی فلش یا هارد خارجی یا هر وسیله دارای حافظه) را جستجو کرده و فایلهایی که دارای فرمت پرکاربرد و شناخته شده می‌باشند را می‌یابد.

ممکن است کاربر در ابتدا فکر کند که ویروس فرمت فایلها را تغییر می‌دهد ولی آنچه در حقیقت رخ می‌دهد چیزی کاملا پیچیده می‌باشد. ورژن‌های اصلی فایل پاک می‌شود ‌و کپی آنها رمزگذاری می‌شود. ابزار رمزگشایی (ابزار key و decryptor) برای هر کامپیوتر آلوده منحصر به فرد بوده و در یک سرورremote ذخیره شده است که تنها از طریق Tor قابل دستیابی است. کاربر نیاز به نصب Tor Browser Bundle برای رمزگشایی دارد، که به موجب آن کسانی که این کار را انجام می‌دهند گمنام می‌مانند.

بازگشت باج‌افزار CTB-Locker (نسخه سرویس‌دهنده وب)

نحوه استفاده باج افزار CTB-Locker از TOR به منظور حفظ گمنامی و عدم شناسایی آن با دیگر باج افزارها تفاوت دارد. نکته دیگری که از باج افزار CTB-Locker در برابر شناسایی شدن محافظت می کند، استفاده آن از Bitcoin به منظور تراکنش های مالی خود می باشد.

نسخه جدید باج افزار CTB-Locker فقط وب‌سرورها را مورد حمله قرار می دهد. با توجه به آماری که شرکت کسپرسکی منتشر نموده است، تا کنون نسخه جدید این باج افزار توانسته فایل های مسیر root مربوط به بیش از 70 وب سرور از 10 کشور جهان را به طور موفقیت آمیز رمز کند.

در شکل زیر میزان گسترش این باج افزار در کشورهای مختلف جهان نشان داده شده است. نکته قابل ذکر این است که شکل زیر میزان گسترش فعلی باج افزار را نشان می دهد و امکان آلودگی هر وب سرور در هر گوشه های از جهان در زمان های آینده وجود دارد.

شرکت کسپرسکی با بررسی نمونه هایی از وب سرورهایی که توسط این باج افزار مورد حمله قرار گرفته اند، نحوه عملکرد نسخه جدید باج افزار CTB-Locker را تحلیل نموده است. این گزارش خلاصه‌ای از نتایج منتشر شده توسط این شرکت است. 

منبع: ماهر