اولين همايش ملي امنيت سامانه­ هاي هوشمند همراه، به ميزباني پژوهشگاه ارتباطات و فناوري اطلاعات (مركز تحقيقات مخابرات ايران) در تاريخ ۲۳-۲۲ تيرماه ۱۳۹۵ برگزار مي ­شود. براي كسب اطلاعات بيشتر به پوستر همايش (تصاوير انتهاي متن) و يا وبگاه همايش به آدرس http://mobilesec.itrc.ac.ir مراجعه نماييد.

با توجه به تحقيقات انجام شده، سوئيچ هاي مدل Nexus سري هاي 3000 و 3500 از شركت سيسكو حاوي يك حساب كاربري پيش فرض با سطح دسترسي مدير مي باشند. رمز عبور اين حساب كاربري به صورت ثابت درون تجهيز وجود دارد و مي تواند از طريق ارتباط از راه دور نيز قابل دسترس باشد.
شركت سيسكو به منظور رفع اين آسيب پذيري و پاك كردن حساب كاربري پيش فرض موجود بر روي تجهيز، يك آپديت نرم افزاري براي سوئيچ هاي Nexus سري هاي 3000 و 3500 فراهم كرده است.
به گفته سيسكو اين حساب كاربري هنگام نصب نرم افزار Cisco NX-OS ايجاد مي شود و تغيير و يا حذف اين حساب كاربري بدون تأثير بر عملكرد تجهيز امكان پذير نيست.
سيسكو اين آسيب پذيري را در دسته آسيب پذيري هاي بحراني قرار داده است، به اين دليل كه فرآيند احراز اصالت با اين حساب كاربري مي تواند به حمله كننده امكان دسترسي به پوسته bash با سطح دسترسي root را بدهد. اين امر بدين معني است كه حمله كننده مي تواند به طور كامل كنترل تجهيز را در دست گيرد.
عاملي كه مي تواند به طور بالقوه اثر اين حمله را كاهش دهد آن است كه در بسياري از نسخه هاي NX-OS، حساب كاربري پيش فرض موجود فقط از طريق telnet قابل دسترس مي باشد و سرويس telnet نيز به صورت پيش فرض غيرفعال است. تنها استثناء در اين مورد، سوئيچ Nexus سري 3500 مي باشد كه نسخه 6.0(2)A6(1) از NX-OS بر روي آن وجود دارد. در اين تجهيز علاوه بر telnet از طريق SSH نيز مي توان با آن ارتباط برقراركرد.
تجهيزاتي كه اين آسيب پذيري بر روي آن ها وجود دارد شامل موارد زير است:
سوئيچ هاي سيسكو مدل Nexus سري 3000 كه نسخه هاي NX-OS زير بر روي آن ها در حال اجراست:
   • 6.0(2)U6(1)
   • 6.0(2)U6(2)
   • 6.0(2)U6(3)
   • 6.0(2)U6(4)
   • 6.0(2)U6(5)
سوئيچ هاي سيسكو مدل Nexus سري 3500 كه نسخه هاي NX-OS زير بر روي آن ها در حال اجراست:
   • 6.0(2)A6(2)
   • 6.0(2)A6(3)
   • 6.0(2)A6(4)
   • 6.0(2)A6(5)
   • 6.0(2)A7(1)
سيسكو براي تمام اين نسخه ها، نسخه اصلاح شده فراهم كرده است. البته توصيه سيسكو به مشتريان خود، ارتقاء NX-OS براي سوئيچ هاي سري 3000 به نسخه 6.0(2)U6(5a) و براي سوئيچ هاي سري 3500 به نسخه 6.0(2)A7(1a) يا 6.0(2)A6(5a) مي باشد. نسخه هاي ذكرشده داراي وصله هاي امنيتي براي دو آسيب پذيري ديگر نيز مي باشند كه مي توانند منجر به DOS شدن تجهيز شوند.
براي مشاهده نسخه فعلي NX-OS مي توان از دستور زير استفاده كرد:

# show version

خروجی دستور فوق به صورت زیر می‌باشد:

Cisco Nexus Operating System (NX-OS) Software
TAC support: http://www.cisco.com/tac
Documents: http://www.cisco.com/en/US/products/ps9372/tsd_products_support_series_home.html
Copyright (c) 2002-2015, Cisco Systems, Inc. All rights reserved.
The copyrights to certain works contained herein are owned by
other third parties and are used and distributed under license.
Some parts of this software are covered under the GNU Public
License. A copy of the license is available at
http://www.gnu.org/licenses/gpl.html.
Software
BIOS: version 2.6.0
loader: version N/A
kickstart: version 6.0(2)U6(2)
system: version 6.0(2)U6(2)

همچنين براي مشاهده فعال و يا غير فعال بودن سرويس telnet با سطح دسترسي مدير بايستي دستور زير را اجرا كرد:

# show feature | incl telnet

خروجی دستور فوق به صورت زیر می‌باشد:

telnetServer 1 disabled

توسعه‌دهندگان نسخه‌هاي قديمي بدافزار تسلاكريپت، در هنگام توليد كليدهاي خصوصي و عمومي در انتخاب اعداد اول دقت لازم را لحاظ ننموده‌‌اند و از اين رو مي‌توان در مدت زمان قابل قبولي فاكتورهاي اول كليد عمومي را استخراج و با استفاده از آن‌ها كليد خصوصي را محاسبه نمود. به عبارت ديگر، به خاطر وجود اين آسيب‌پذيري مي‌توان فايل‌هاي رمز شده توسط نسخه‌هاي قديمي اين باج‌افزار را بدون نياز با تعامل با سازندگان بدافزار و پرداخت باج، با استفاده از قدرت محاسباتي كامپيوترهاي معمولي رمزگشايي نمود (رمزگشايي فايل ها مي تواند از 5 دقيقه تا چند روز به طول بيانجامد). البته اين نقص در نسخه TeslaCrypt 3.0 برطرف شده است.
باج افزار TeslaCrypt بعد از رمزنگاري فايل ها، آن ها را با پسوندهاي مختلفي ذخيره مي كند. در حال حاضر فايل‌هايي با پسوندهاي زير قابل رمزگشايي هستند:

.ECC, .EZZ, EXX, .XYZ, .ZZZ, .AAA, .ABC, .CCC, .VVV

البته با توجه به برطرف شدن اين نقص در نسخه جديد باج افزار، فايل هايي با پسوندهاي .TTT ، .XXX و .MICRO قابل رمزگشايي نيستند.
نقص موجود در اين باج افزار در واقع در الگوريتم رمزنگاري مورد استفاده نيست، بلكه در ارتباط با نحوه توليد و ذخيره سازي كليد رمزنگاري در سيستم قرباني مي باشد. باج افزار TeslaCrypt براي رمزنگاري فايل ها از الگويتم AES استفاده مي كند كه يك الگوريتم رمز متقارن مي باشد و براي رمزنگاري و رمزگشايي فايل ها از يك كليد يكسان استفاده مي كند. هر بار كه اين باج افزار شروع به كار مي كند، يك كليد AES جديد توليد مي شود و در يك فايل كه در طول نشست مربوطه رمزنگاري مي شود، ذخيره خواهد شد. اين بدين معني است كه ممكن است تعدادي از فايل ها بر روي سيستم قرباني با كليدي متفاوت نسبت به ديگر فايل ها رمز شده باشند. از آنجايي كه قرار است كليد رمزنگاري درون يك فايل رمزشده ذخيره شود، بايد به روشي امن اين كار انجام شود (به طوري كه قرباني نتواند به راحتي كليد رمزنگاري را از درون فايل رمزشده استخراج كند). براي محافظت از اين كليد، باج افزار ابتدا كليد رمزنگاري را با استفاده از يك الگوريتم ديگر رمزنگاري مي كند و پس از آن اين كليد رمزشده را در يك فايل رمزشده ذخيره مي كند.
البته طول كليد ذخيره شده در برابر قدرت محاسباتي سيستم هاي امروزي به اندازه كافي قوي نيست و قابل رمزگشايي مي باشد. به طوري كه مي توان با استفاده از برنامه هاي خاصي اين اعداد بزرگ را تجزيه و عامل-هاي اول آن را به‌دست آورد. پس از به‌دست آوردن عامل هاي اول، مي توان از روي اين عامل ها كليد رمزنگاري فايل ها را مجدداً توليد كرد.
براي رمزگشايي فايل هايي كه با باج افزار TeslaCrypt 2.0 رمز شده اند و داراي پسوندهاي زير مي باشند (داراي يكي از پسوندهاي .ECC، .EZZ، .EXX، .XYZ، .ZZZ، .AAA، .ABC، .CCC و .VVV مي‌باشند)، مي توان با استفاده از اسكريپتي كه به زبان پايتون نوشته شده است، كليد خصوصي رمزنگاري را به‌دست-آورده و فايل ها را رمزگشايي كرد. اين اسكريپت در مسير زير قرار دارد:
https://github.com/Googulator/TeslaCrack

اسكريپت unfactor.py موجود در مسير فوق، با تجزيه عامل هاي اول كليد رمزنگاري سعي در به‌دست آوردن آن مي كند. اسكريپت teslacrack.py با بررسي header مربوط به فايل هاي رمزشده و استخراج كليد رمزنگاري با استفاده از unfactor.py ، فايل ها را رمزگشايي مي كند. براي استفاده از اين اسكريپت بايد پايتون بر روي سيستم نصب شده باشد. توضيحات كامل مربوط به نصب پايتون، نصب اسكريپت فوق و نحوه استفاده از اين اسكريپت را مي توان در همان آدرس مشاهده نمود.

اگر شما هم جزء آن دسته از افرادي هستيد كه در تاريخ 20 فوريه 20160 ميلادي توزيع Mint را دانلود و نصب كرده ايد، در حقيقت از يك توزيع آلوده در حال استفاده هستيد.
Linux Mint يكي از مشهورترين توزيع هاي لينوكس در دنيا مي باشد، ولي اخيراً نسخه ISO آن با يك نسخه حاوي backdoor جايگزين شده است.
در تاريخ 20 فوريه يك گروه ناشناس از هكرها به سايت Linux Mint حمله كرده و لينك دانلود مربوط به توزيع Mint را با لينكي كه به يكي از سرورهاي خودشان اشاره مي كند و حاوي يك نسخه ISO حاوي backdoor مي باشد، به نام Linux Mint 17.3 Cinnamon Edition جايگزين كردند.
به گفته تيم Linux Mint اين حمله فقط يكي از نسخه هاي اين توزيع را آلوده كرده است و اين نسخه، Linux Mint 17.3 Cinnamon Edition مي باشد. ضمن اينكه تنها دانلودهايي كه در تاريخ 20 فوريه انجام شده است، آلوده مي باشند.
هكرها با استفاده از دسترسي به سرورهاي زيرساخت Mint و پس از آن با دسترسي به سرور www-data توانسته اند يك shell از آن در اختيار گيرند.
پس از آن هكرها با دستكاري صفحه دانلود مربوط به Linux Mint و جايگزيني آن با يك سرور FTP آلوده موجود در كشور بلغارستان (با آدرس 5.104.175.212) اقدام به جايگزيني لينك دانلود اين توزيع لينوكس نموده اند.
اين توزيع آلوده علاوه بر دارا بودن تمام ويژگي هاي توزيع هاي عادي Linux Mint، حاوي يك backdoor با نام Tsunami مي باشد كه اين امكان را به حمله كننده مي دهد كه از طريق سرورهاي IRC (Internet Relay Chat) به سيستم قرباني دسترسي داشته باشد.
Tsunami يكي از تروجان هاي نام آشناي مربوط به لينوكس مي باشد كه در واقع يك IRC bot ساده است كه براي حملات DDOS از آن استفاده مي شود.
البته تيم مديريتي Linux Mint با شناسايي اين حمله و پاك كردن لينك آلوده موجود، از آلوده شدن تعداد بيشتري از كاربران جلوگيري كرده است. بري اين كار تيم Linux Mint تمامي دامنه‌هاي linuxmint.com را به صورت آفلاين درآورده و عمليات لازم را انجام داده است.
همچنين اين گروه هكري با سرقت كل ديتابيس سايت Linux Mint اقدام به فروش آن به قيمت 85 دلار كرده اند. گفته مي شود كه اين گروه هكري يك تيم نه چندان حرفه اي بوده كه توانسته با استفاده از بدافزارها و ابزارهاي آماده اقدام به انجام اين حمله كند.

كارگاه هاي آموزشي سايبري در تاريخ 26/11/1394 در محل دانشكده علمي كاربردي استانداري يزد با موضوعات ذيل برگزار گرديد.

• امنيت شبكه
• امنيت سيستم عامل
• امنيت برنامه هاي كاربردي موبايل
• امنيت پايگاه داده

لازم به ذكر است اين كارگاه ها كه با هماهنگي اداره كل ارتباطات و فناوري اطلاعات و مركز ماهر توسط مركز آپا دانشگاه يزد برگزار شد با استقبال خوبي از سوي كارشناسان و مديران فناوري اطلاعات دستگاه هاي اجرايي استان همراه شد و بيش از 180 نفر از اين كار گاه ها استفاده كردند. همچنين با هماهنگي هاي انجام شده به شركت كنندگان گواهينامه معتبر نيز اعطاء خواهد شد.

در تاريخ 7 ژانويه 2016، تيم تحقيقاتي آزمايشگاه كومودو حمله بدافزاري جديد كه كاربران واتساپ را هدف قرار داده بود شناسايي كردند. در اين حمله مجرمين سايبري با استفاده از تكنيك‌هاي فيشينگ، يك ايميل جعلي از طرف شركت واتساپ به كاربران ارسال مي‌كردند. زماني كه كاربر روي فايل پيوست شده به ايميل كليك مي‌كرد، بدافزار منتشر مي‌شد.
در تاريخ 21 ژانويه 2016 اين تيم حمله‌اي بسيار شبيه به حمله قبل شناسايي كردند كه اين بار كاربران فيس‌بوك را مورد حمله قرار داده بودند. احتمال مي‌رود اين بدافزار توسط كسي كه بدافزار واتساپ را طراحي كرده است، ايجاد شده باشد.
هردوي اين بدافزارها از خانواده “Nivdort” بوده‌اند. اين تروجان قادر به ضبط اطلاعاتي مانند آدرس IP و ايميل، سايت‌هايي كه بيشتر از آن‌ها بازديد شده است و اطلاعات كارت اعتباري است. اين اطلاعات مي‌توانند به شخص ديگري ارسال شوند و از آن‌ها براي آلوده كردن سيستم به ديگر ويروس‌ها يا حتي دزديدن پول از حساب بانكي استفاده شود. از اين رو لازم است هرچه زودتر اين تروجان از سيستم حذف شود.

حمله به واتساپ
تيم ضد اسپم كومودو بدافزار جديدي كه كاربران واتساپ را مورد هدف قرار داده است شناسايي كرده‌اند. برنامه واتساپ يك برنامه موبايل است كه امكاناتي نظير ارسال پيام و تماس تلفني از طريق اينترنت را مهيا مي‌سازد.
مجرمين اينترنتي يك ايميل جعلي از طرف شركت واتساپ ارسال كرده بودند و درصورتي كه كاربر روي پيوست ايميل كليك مي‌كرد، بدافزار منتشر مي‌شد. ايميل‌هاي ارسالي از يك آدرس ايميل متفرقه ارسال شده بود اما در ابتداي آن نام واتساپ آورده شده بود. درواقع اگر كاربر به آدرس ايميل دقت مي‌كرد متوجه مي‌شد كه ايميل از طرف شركت ارسال نشده است.
ايميل‌هاي ارسالي از طرف مهاجم داراي عناوين مختلفي بود كه برخي از آن‌ها به شرح زير هستند:
   • You have obtained a voice notification xgod
   • An audio memo was missed. Ydkpda
   • A brief audio recording has been delivered! Jsvk
   • A short vocal recording was obtained npulf
   • A sound announcement has been received sqdw
   • You have a video announcement. Eom
   • A brief video note got delivered. Atjvqw
   • You’ve recently got a vocal message. Yop
همان‌طور كه مشاهده مي‌شود هر يك از عناوين با مجموعه‌اي تصادفي از كاراكترها، مانند "xgod" يا "ydkpda" پايان مي‌پذيرند. احتمال مي‌رود كه از اين كاراكترها براي كد كردن برخي داده‌ها مانند اطلاعاتي راجع به گيرنده پيام، استفاده شده باشد.

در روز‌هاي اخير شركت جونيپر چند وصله‌ي اضطراري را براي بستن حفره هاي امنيتي متعلق به دو در پشتي(backdoor) در محصولات خود منتشر كرده است. يكي از درهاي پشتي (CVE-2015-7756) اجازه رمزگشايي پسيو ترافيك VPN عبوري از تجهيز و ديگري (CVE-2015-7755) اجازه دسترسي مديريتي از راه دور از طريق SSH‌ يا Telnet را فراهم مي كند.
طبق بررسي هاي كارشناسان جونيپر، نسخه هاي ScreenOS 6.2.0r15 تا 6.2.0r18 و 6.3.0r12 تا 6.3.0r20 داراي اين آسيب پذيرها مي باشند. البته درپشتي دسترسي مديريتي روي نسخه هاي قديمي تر ScreenOS وجود ندارد، بنابراين سري 6.2.0 در اين مورد آسيب پذير نيست ولي آسيب پذيري VPN را داراست.
با توجه به اين موضوع، به تمامي مديران شبكه پيشنهاد مي گردد در صورتي كه از اين نسخه از محصولات جونيپر استفاده مي‌كنند، هرچه سريع تر نسبت به بروز رساني تجهيزات اقدام نمايند.
جهت دريافت گزارش كامل اين آسيب پذيري به بخش گزارشات تحليلي پورتال مراجعه نماييد.

شماره: IRCNE2015112705
تاريخ: 09/08/94

شركت مايكروسافت لايه دفاعي جديدي براي مسدود كردن تبليغ افزارها به محصولات خود اضافه كرد. تبليغات عموما به عنوان برنامه هاي ناخواسته يا PUA دسته بندي مي شوند و به برنامه هايي گفته مي شود كه لزوما بدافزار نيستند اما مي توانند يك خطر امنيتي به حساب آيند.
با توجه به وبلاگ مايكروسافت: اين برنامه ها مي توانند ريسك آلوده شدن به بدافزارها را در شبكه هاي داخلي افزايش دهند.
ويژگي كه در محصول System Center Endpoint Protection شركت و محصولات Forefront Endpoint Protection اضافه شده است، opt-in مي باشد و بدين معناست كه ادمين ها مي توانند آن را فعال كنند. در نتيجه PUAها مسدود شده و براي مدت زمان تنظيم شده قرنطينه مي شوند.
شركت مايكروسافت اعلام كرد كه بهترين خط مشي براي سازمان هاي بزرگ آن است كه به كاربران خود هشدار دهند كه PUAها را دانلود نكنند.

شماره: IRCNE2015112704
تاريخ: 09/08/94

شركت مايكروسافت چندين ابزار امنيتي خود را به منظور حذف گواهينامه هاي ديجيتال نصب شده بر روي رايانه هاي Dell به روز رساني كرد.
اين به روز رساني ها بر روي Windows Defender براي ويندوز 8.1 و 10، Microsoft Security Essentials براي ويندوز 7 و ويستا و Safety Scanner و ابزار Malicious Software Removal اعمال شده است.
شركت Dell به اشتباه كليدهاي رمزگذاري خصوصي را به همراه دو گواهينامه ديجيتالي منتشر كرده است. اين كليدها مي توانند توسط مهاجمان براي امضاي بدافزار، ايجاد وب سايت هاي جعلي و هدايت حملات MitM براي جاسوسي داده هاي كاربر مورد سوء استفاده قرار بگيرند.
اين دو گواهينامه eDellRoot و DSDTestProvider نام دارند. شركت Dell هفته گذشته اصلاحيه اي را براي حذف اين دو گواهينامه منتشر كرد و هم چنين توضيح داد كه كاربران چگونه مي توانند به صورت دستي آن ها را حذف نمايند.
شركت مايكروسافت نيز با به روز رساني ابزارهاي امنيتي خود به كاربران در حذف اين گواهينامه ها كمك مي كند.

شماره: IRCNE2015112703
تاريخ: 09/07/94

بر طبق يك مطالعه صورت گرفته مشخص شد كه هزاران مسيرياب، مودم، دوربين هاي IP، تلفن هاي هوشمند و ساير دستگاه هاي تعبيه شده از كليدهاي يكسان SSH يا گواهينامه هاي يكسان سرور HTTPS استفاده مي كنند.
هكرها مي توانند با استخراج اين كليدها به طور بالقوه حملات MitM را براي ردگيري و رمزگشايي ترافيك بين كاربران و ميليون ها دستگاه راه اندازي نمايند.
محققان شركت امنيتي SEC Consult تصاوير ميان افزار 4000 مدل از دستگاه هاي تعبيه شده را از 70 شركت مختلف مورد بررسي قرار دادند. آن ها بيش از 580 كليد خصوصي منحصربفرد را براي SSH و HTTPS شناسايي كردند كه بيشتر آن ها بين دستگاه هاي مختلف يك شركت توليد كننده يا حتي در نمونه هاي مشابه آن به اشتراك گذاشته شده است.
هنگامي كه وابستگي اين 580 كليد با داده هاي بدست آمده از اسكن هاي اينترنت مورد بررسي قرار گرفت مشخص شد كه حداقل 230 كليد به طور فعال توسط 4 ميليون دستگاه متصل به اينترنت استفاده مي شود. حدود 150 كليد مربوط به گواهينامه هاي سرور HTTPS است كه توسط 3.2 ميليون دستگاه استفاده مي شود و 80 كليد مربوط به SSH مي باشد كه توسط 900000 دستگاه استفاده مي شود.
به احتمال زياد مابقي كليدها توسط دستگاه هاي ديگري كه به اينترنت متصل نيستند و در شبكه هاي محلي قرار دارند استفاده مي شوند و آن دستگاه ها نيز در برابر حملات MitM آسيب پذير مي باشند.
محققان بر اين باور هستند كه توليدكنندگان بايد اطمينان حاصل كنند كه هر دستگاه توليدي آن ها از يك كليد رمزگذاري يكتا و رندوم استفاده مي كند. اين كليدها بايد در كارخانه و هنگام اولين بوت شدن توليد شوند.
كاربران بايد در صورت امكان كليد ميزبان SSH و گواهينامه هاي HTTPS را در دستگاه هاي خود تغيير دهند. البته اين كار نياز به دانش فني دارد و در برخي موارد كه تغيير تنظيمات دستگاه توسط ISPها قفل مي شود اين امكان وجود ندارد.