شماره: IRCNE2015102647
تاريخ: 07/13/94

شركت اپل تعدادي مشكل را در به روز رساني جديد iOS 9.0.2 از جمله مشكلات فعالسازي iMessage، مشكلات مرتبط با پشتيبان گيري iCloud و مشكلي در تنظيمات داده هاي سلولي اصلاح كرد.
از بعد امنيتي تنها يك مشكل برطرف شده است و آن مربوط به يك آسيب پذيري در قفل صفحه كليد است كه مي توانست بدون كد رمز عبور كاربر منجر به دسترسي غيرمجاز به عكس ها و تماس ها شود.
گزارشات مربوط به دور زدن قفل صفحه كليد هفته گذشته منتشر شد. هر فردي كه دسترسي فيزيكي به دستگاه داشته باشد در صورتيكه Siri فعال باشد مي تواند قفل صفحه كليد را دور زده و به عكس ها و تماس هاي دستگاه دسترسي يابد.
يكي از كاربران آيفون كه دو سال پيش اين مشكل را در iOS 7 پيدا كرده بود چند روز پيش در توييتي نوشت: مشكل دور زدن قفل صفحه كليد هم چنان در iOS 9.0.1 وجود دارد. اين كاربر سپس تاييد كرد كه اين مشكل در iOS 9.0.2 اصلاح شده است.
به كاربران توصيه مي شود تا اصلاحيه ها را اعمال نمايند.

Number: IRCNE2015102648
Date: 2015/10/05

According to “itpro”, AppRiver has uncovered a new Upatre Trojan phishing campaign that specifically targets machines still running Windows XP.
Upatre Trojan can steal personal details and download additional malware, and this newest threat is delivered via an email with the subject line 'Attorney-client agreement'.
"One interesting detail about this line of attack is that they seem to be targeting older, out of date PCs," Fred Touchette, senior security analyst of AppRiver said. "After running the samples on a couple of different operating systems, they only seemed to want to carry out their malicious intent on machines running Windows XP (I was using SP3)."
Once up and running, the malware hacks systems processes to infiltrate the computer, checks its IP address and then tries to communicate with the IP 197.149.90.166 on port 12299 and reports back with the information it has uncovered from the computer, such as the IP address and the computer's name.
He explained that if the malware was executed on newer machines, it would be shut down before it has a chance to run, rendering it useless.

Number: IRCNE2015102648
Date: 2015/10/05

According to “zdnet”, Apple has squashed a number of lingering bugs in the new iOS 9.0.2 update, released Wednesday, including fixes for iMessage activation problems, issues with iCloud backups, and an ongoing bug with cellular data settings.
On the security side of things, there was one security fix, according to the iOS 9.0.2 release notes: a flaw in the lock screen that allowed unauthorized access to photos and contacts, without the user's passcode.
The reported "dead simple" lock screen bypass was published last week. Anyone with physical access to the device could gain access through the lock screen if Siri was available.
iPhone user Jose Rodriguez, who also found a flaw two years ago in iOS 7, noted in a tweet that the bypass still was present in iOS 9.0.1, released just a few days later. Rodriguez later confirmed the flaw was fixed in iOS 9.0.2.
If you haven't already been notified of the new software, you can get the update now through the Settings menu.

آغاز رقابت بيش از 137 نفر از خبرگان امنيتي كشور در مسابقه ملي فتح پرچم آپا دانشگاه صنعتي اصفهان. اين رقابت، مرحله نخست سومين جشنواره ملي امنيت فضاي تبادل اطلاعات است كه با همكاري مركز ماهر در دانشگاه صنعتي اصفهان برگزار مي‌گردد.
اين رقابت نفس‌گير كه از ساعت 10 صبح امروز پنج‌شنبه 9 مهر 94 آغاز شده است، به مدت 12 ساعت به صورت برخط ادامه خواهد داشت. محورهاي وب، شبكه، مهندسي معكوس، رمزنگاري، پنهان‌نگاري، جرم‌شناسي و كشف آسيب‌پذيري از جمله توانايي‌هايي هستند كه در اين مسابقات مورد ارزيابي قرار مي‌گيرد.
مسابقات CTF يك مانور شبيه‌سازي شده در فضاي سايبري محسوب مي گردد كه در آن متخصصين امنيت اطلاعات و ارتباطات به رقابت با يكديگر مي‌پردازند.مسابقه ملي فتح‌ پرچم به عنوان مرحله نخست سومين جشنواره ملي امنيت فضاي تبادل اطلاعات محسوب مي‌گردد و برگزيدگان اين مرحله به مرحله نهايي جشنواره كه 3 و 4و 5 آذر 94 در دانشگاه صنعتي اصفهان برگزار مي‌گردد، راه خواهند يافت.
سومين جشنواره ملي امنيت فضاي تبادل اطلاعات با محوريت مركز تخصصي آپا دانشگاه صنعتي اصفهان و با همكاري مركز ماهر در مهر و آذر 94 در دانشگاه صنعتي اصفهان برگزار مي‌گردد. در ادامه اين جشنواره رويداد كسب و كار نو افتا (security startup) آغاز خواهد شد.

شماره: IRCNE2015092646
تاريخ:07/08/94

يك كمپين بدافزاري جديد از صفحه آبي مرگ براي كلاهبرداري از كاربران و سرقت پول و هويت آن ها استفاده مي كند.
هر روزه موتورهاي جستجوي آنلاين توسط ميليون ها كاربر وب مورد استفاده قرار مي گيرد. براي پشتيباني از حجم بالاي درخواست ها اين موتورهاي جستجو مانند گوگل، ياهو و مايكروسافت پلت فرم هاي تبليغاتي و بسته هايي را براي كسب و كارها پيشنهاد مي دهند. كاربران لينك هاي حمايت شده در صفحه نتايج جستجو را مشاهده مي كنند و از اين طريق موتورهاي جستجو توليد درآمد مي كنند.
با اين وجود، تبليغات موتور جستجو به مكاني مناسب براي سوء استفاده تبديل شده است و توسط مجرمان سايبري براي توليد درآمد مورد استفاده واقع مي شود. يكي از رايج ترين روش ها شامل تنظيم دامنه اي خرابكار براي ارسال بدافزار به ماشين قربانيان است كه منجر به سرقت داده مي شود. هم چنين برخي مهاجمان دامنه هاي جعلي را ايجاد مي كنند كه به ظاهر معتبر به نظر مي رسد و قرباني را فريب مي دهند تا اطلاعات حساب كاربري خود را در آنجا وارد كند.
متاسفانه بسياري از الگوهاي تبليغاتي آنلاين بر روي پلت فرم هاي متفرقه اجرا مي شود و گاهي اوقات بردارهاي تهديد از طريق شبكه ايجاد مي شوند و منجر به توليد لينك هاي جعلي و مخرب شده كه بر روي دامنه هاي معتبر نمايش داده مي شوند.
هفته گذشته گروهي از Malwarebytes يافته هاي خود درباره كمپين بدافزاري جديد كه از صفحه آبي مرگ (BSOD) در ويندوز استفاده مي كند را منتشر كرد. اين گروه با استفاده از روش مهندسي اجتماعي قربانيان را تحت تاثير قرار مي دهند. اين شركت امنيتي دريافت كه مهاجمان از عبارات معروف در فضاي تبليغاتي AdWords گوگل از جمله لغات كليدي يوتيوب براي نمايش تبليغات در بالاي صفحه جستجو استفاده مي كنند. در اصل اين لينك بايد به سمت يك URL خاص يوتيوب هدايت شود اما با كليك بر روي اين تبليغ يك صفحه وب با تصاوير BSOD نمايش داده مي شود.
در اين كمپين خاص حداقل دو دامنه براي هدايت كاربران به صفحات جعلي از طريق آدرس هاي IP در آريزونا ثبت شده است.
اين كمپين به گوگل گزارش شده و تبليغات مرتبط با آن سريعا از روي موتورهاي جستجو حذف شده است اما اين تنها يكي از هزاران كمپين هاي كلاهبرداري مي باشد كه هر روزه براي فريب كاربران استفاده مي شوند.

شماره: IRCNE2015092645
تاريخ: 07/08/94

بات نت لينوكسي حملات قدرتمندي را راه اندازي كرده است كه منجر به حملات انكار سرويس توزيع شده مي شود.
بدافزار اين بات نت XOR DdoS مي باشد و براي اولين بار در سپتامبر 2014 شناسايي شد. مهاجمان اين بدافزار را بر روي سيستم هاي لينوكس از جمله دستگاه هاي تعبيه شده مانند مسيرياب هاي واي فاي و دستگاه هاي ذخيره سازي شبكه نصب مي كنند. اين بدافزار با حدس اعتبارنامه هاي لاگين SSH با استفاده از حملات brute-force بر روي برخي دستگاه ها نصب مي شود.
اين اعتبارنامه ها براي ورود به سيستم آسيب پذير و اجراي دستورات shell كه منجر به دانلود و نصب بدافزار مي شود مورد استفاده قرار مي گيرد. اين بدافزار براي پنهان كردن خودش از روش هاي رايج روت كيتي استفاده مي كند.
اين بات نت در هر روز بيش از 20 هدف را مورد حمله قرار مي دهد كه 90 درصد آن ها در منطقه آسيا قرار دارند. بيشترين هدف اين بات نت شركت هايي مربوط به بخش بازي هاي آنلاين مي باشد.
XOR DDoS يكي از برنامه هاي خرابكاري است كه سيستم هاي لينوكس را هدف حمله قرار مي دهد. مسيرياب هاي قديمي نسبت به اين نوع حملات آسيب پذير هستند.
از آنجايي كه تعداد محيط هاي لينوكس در حال رشد مي باشد، فرصت هاي بالقوه براي مجرمان سايبري نيز در حال افزايش است. مهاجمان روش ها و ابزارهاي خود را ارتقاء مي دهند و متخصصان امنيت بايد مطابق با اين تهديدات سيستم هاي مبتني بر لينوكس را محافظت كنند.

شماره: IRCNE2015092644
تاريخ: 07/08/94

كاربران ويندوز كه از TrueCrypt براي رمزگذاري هارد درايوها استفاده مي كنند داراي مشكل امنيتي مي باشند. يك محقق امنيتي دو آسيب پذيري بحراني را در TrueCrypt شناسايي كرده است.
برنامه TrueCrypt از طريق توليدكننده اصلي آن پشتيباني نشد اما به عنوان يكي از گزينه هاي رمزگذاري در ويندوز باقي ماند. اين مساله محققان را ترغيب كرد تا حفره هاي موجود در برنامه را شناسايي كنند.
جيمز فورشو، يكي از اعضاي گروه Google's Project Zero كه آسيب پذيري هاي بسياري را در نرم افزارهاي پركاربرد شناسايي كرده، اخيرا دو آسيب پذيري را در درايوي كه برنامه TrueCrypt بر روي سيستم ويندوز نصب شده است پيدا كرده است.
اين آسيب پذيري ها مي تواند به مهاجمان اجازه دهد تا در صورت دسترسي به حساب كاربر محدود شده بتوانند حق دسترسي هاي خود را بر روي سيستم افزايش دهند.
توليد كننده اصلي اين برنامه كه ناشناس مي باشد پشتيباني از اين پروژه را از ماه مي 2014 متوقف كرد و هشدار داد كه اين برنامه داراي مشكلات امنيتي اصلاح نشده است و به كاربران توصيه كرد تا از رمزگذاري BitLocker استفاده كنند.
محققان گوگل جزئيات اين آسيب پذيري ها را افشاء نكرده اند و توضيح دادند كه هفت روز پس از اصلاح اين آسيب پذيري ها، گزارش آن را منتشر خواهند كرد.
از آنجايي كه اين برنامه توسط توليدكننده آن پشتيباني نمي شود در نتيجه اين مشكلات به طور مستقيم در كد برنامه اصلاح نخواهد شد. با اينحال، اين آسيب پذيري ها در VeraCrypt، برنامه منبع باز مبتني بر كد TrueCrypt برطرف مي شوند.
اين مشكلات در VeraCrypt نسخه 1.15 اصلاح شده است. يكي از اين آسيب پذيري ها با شماره CVE-2015-7358 بحراني مي باشد.
به كاربراني كه از TrueCrypt استفاده مي كنندتوصيه مي شود تا در اسرع وقت برنامه رمزگذاري خود را به VeraCrypt تغيير دهند. عليرغم اصلاح اين دو آسيب پذيري اما برنامه TrueCrypt هم چنان داراي آسيب پذيري هاي امنيتي مي باشد.

شماره: IRCNE2015092643
تاريخ: 07/08/94

محققان دانشگاه كارديف نشان دادند يك آسيب پذيري امنيتي در توييتر وجود دارد كه مي تواند به مجرمان اجازه دهد تا آدرس هاي URL كوتاه شده مخرب ايجاد كنند.
در حال حاضر اين گروه سيستمي را ايجاد كرده است كه لينك هاي خرابكار را شناسايي مي كند. اين تحقيق به گونه اي مديريت شده است كه حملات سايبري بالقوه را در عرض 5 ثانيه بادقت بالاي 83 درصد و در عرض 30 ثانيه بادقت بالاي 98 درصد شناسايي كند. اين زمان مقدار بين كليك كاربر بر روي لينك و آلوده شدن دستگاه توسط بدافزار است.
هنگامي كه كاربري بر روي لينكي كليك مي كند كه منجر به تغيير دستگاه مقصد مي شود، فرآيند جديد ايجاد مي شود، رجيستري فايلي تغيير مي كند يا فايل ها دستكاري مي شوند، حمله خرابكاري به حساب مي آيد. اين سيستم به گونه اي طراحي شده است كه لينك هاي خرابكار را تشخيص مي دهد.
محققان توضيح دادند كه حجم بالاي ترافيك در حوادثي مانند كاپ قهرماني راگبي و رقابت هاي جام باشگاه هاي اروپا در سال آينده وجود دارد و اين نشان مي دهد كه شانس بالايي براي مجرمان وجود دارد تا لينك هاي خرابكار را در توييت ها به كار ببرند و تعداد زيادي از سيستم هاي كاربران را آلوده نمايند.
مجرمان مي توانند لينك به سرورهاي خرابكار را در قالب پست هايي جذاب و اطلاعاتي در خصوص حوادث مهم ورزشي پنهان كنند.
در توييتر هميشه به دليل محدوديت كاراكترها در پست ها، آدرس هاي URL كوتاه شده و مختصر مي باشند در نتيجه بسيار سخت است تا معتبر بودن آن ها را تشخيص داد. اگر سيستمي به بدافزاري آلوده شود مي تواند آن را به يك زامبي تبدلي كرده و مي تواند به عنوان بخشي از شبكه جهاني ماشين هايي شود كه براي پنهان كردن اطلاعات يا حملات ديگر مورد استفاده قرار مي گيرند.

شماره: IRCNE2015092642
تاريخ: 07/07/94

تبليغات جعلي آنلاين كه رايانه ها را به بدافزار آلوده مي كند بسيار رايج است. اما در حال حاضر هكرها دريافتند كه چگونه مي توان از طريق تبليغات مخرب حملات انكار سرويس توزيع شده را راه اندازي نمايند.
اخيرا گروهي از CloudFlare حملاتي را در سطح گسترده مشاهده كردند و بر اين باور هستند كه اين حملات در نتيجه تبليغات مخربي كه در برنامه هاي كاربردي و مرورگرها روي دستگاه تلفن همراه لود شده اند به وقوع پيوسته است.
اين حمله مشتريان شركتي را هدف حمله قرار داده اند كه در هر ثانيه 275000 درخواست HTTP داشته و بر روي 650000 آدرس IP واحد به وقوع پيوسته است.
نكته قابل توجه اين حمله در آن است كه به نظر مي رسد درخواست ها از مرورگرهاي معتبر ارسال مي شوند نه از طريق اسكريپت ها يا بدافزارها. اما تجزيه و تحليل سرآيند اين درخواست ها نشان داد كه تقريبا 80 درصد از دستگاه هاي توليد كننده اين ترافيك گوشي هاي هوشمند و تبلت ها هستند.
تحقيقات بيشتر مشخص كرد كه اين درخواست ها ناشي از وقوع حمله صفحاتي حاوي چندين تبليغ و كد جاوااسكريپتي است كه اسكريپت هاي اضافي را از دامنه هاي ديگر لود مي كند.
راهي وجود ندارد كه اطمينان حاصل كرد چرا بسياري از دستگاه هاي تلفن همراه از اين صفحه حمله بازديد كرده اند اما به نظر مي رسد اغلب بردارهاي محتمل توزيع، شبكه تبليغات مي باشد. اين احتمال وجود دارد كه كاربران تبليغاتي حاوي كد جاوااسكريپت مخرب را ميزباني مي كنند. احتمالا اين تبليغات در iframeهاي برنامه تلفن همراه نشان داده مي شوند.
محققان امنيتي سال ها پيش احتمال وقوع حملات انكار سرويس توزيع شده مبتني بر تلفن همراه را پيش بيني كرده بودند. در كنفرانس كلاه سياه سال 2013، محققان امنيتي در خصوص استفاده از تبليغات مخرب در ايجاد بات نت مبتني بر مرورگر و راه اندازي حملات انكار سرويس توزيع شده هشدار دادند. به نظر مي رسد كه مهاجمان اين ايده را پياده سازي كردند.

شماره: IRCNE2015092641
تاريخ: 07/07/94

كوكي ها، فايل هايي هستند كه وب سايت ها براي حفظ كاربران لاگين شده و ردگيري ساير اطلاعات آن ها در مرورگر ايجاد مي كنند. اين كوكي ها مي توانند توسط مهاجمان براي استخراج اطلاعات حساس از ارتباطات رمزگذاري شده HTTPS مورد سوء استفاده قرار بگيرند.
مسائل مربوط به ايجاد و مديريت كوكي ها، مكانيزمي براي ايزوله كردن يا بررسي يكپارچگي آن ها ارائه نمي دهد. هم چنين مرورگرهاي وب دامنه هايي كه كوكي ها را آماده مي كنند را احراز هويت نمي كنند. در نتيجه مهاجمان خرابكار مي توانند كوكي هايي را از طريق ارتباطات ساده HTTP تزريق كنند و اين كوكي ها به جاي كوكي هاي توليد شده توسط سايت هاي HTTPS ارسال مي شود.
يكي از دلايل وقوع اين اتفاق آن است كه زيردامنه ها مي توانند كوكي هايي را ايجاد كنند كه براي دامنه هاي والد يا ساير زيردامنه ها معتبر باشد.
به عنوان مثال، اگر دامنه subdomain.domain.com يك كوكي با صفات دامنه domain.com ايجاد كند، آن كوكي بايد توسط مرورگر به دامنه subdomain2.domain.com نيز ارسال شود. سايت ميزباني شده بر روي دامنه subdomain2 قادر نيست تا كوكي خودش را با كوكي تقلبي تشخيص دهد.
هم چنين كوكي ها نمي توانند توسط شماره پورت ايزوله شوند. يك سرور مي تواند چندين وب سايت را از طريق دامنه يكسان اما بر روي پورت هاي مختلف ميزباني كند. اين وب سايت ها قادر خواهند بود تا كوكي هاي يكديگر را بخوانند و يا بنويسند.
تمامي اين ناسازگاري ها مي توانند به مهاجمان MitM اجازه دهند تا حملات تزريق كوكي را اجرا نمايند و مي توانند براي استخراج اطلاعات حساس از ارتباطات HTTPS مورد سوء استفاده قرار بگيرند.
گروهي از محققان امنيتي از دانشگاه هاي معتبر تحقيقي را انجام دادند و دريافتند كه مي توان گجت هاي چت كاربران را در واسط جيميل به سرقت برد، تاريخچه هاي جستجوي گوگل را دزديد، اطلاعات كارت اعتباري وب سايت UnionPay چيني را به سرقت برد، كارت هاي خريد را بر روي سايت هاي تجاري الكترونيكي ردگيري و دستكاري كرد، تاريخچه خريدهاي سايت آمازون را ردگيري كرد و بسياي سوء استفاده هاي ديگر را مي توان از طريق سوء استفاده از نقاط ضعف كوكي ها اجرا نمود.
در راهنمايي امنيتي سايت CERT/CC آمده است: برخي از توليدكنندگان مرورگر وب نشان دادند كه تلاش هاي گذشته براي مديريت امن كوكي ها به دليل كمبود استانداردهاي پياده سازي با شكست مواجه شده است.
استفاده از مكانيزم HSTS براي مجبور كردن مرورگر به دسترسي دائمي از طريق ارتباطات HTTPS مي تواند تا حدودي با خطرات مقابله كند.
آخرين نسخه از تمامي مرورگرهاي اصلي از HSTS پشتيباني مي كنند اما به منظور استفاده موثر از اين مكانيزم عليه حملات تزريق كوكي، وب سايت ها بايد اين مكانيزم را پياده سازي كنند.
با توجه به داده هاي آماري تنها 4.5 درصد از وب سايت هاي HTTPS از مكانيزم HSTS پشتيباني مي كنند.