شماره: IRCNE2015032455
تاريخ: 1/05/94

محققان امنيتي كسپراسكاي اظهار داشتند كه مديران كسب و كارها مي ترسند تا به علت وقوع حملات انكار سرويس، مشتريان خود را از دست بدهند و از طرفي نگران هزينه مقابله با تهديدات نيز مي باشند.
در مطالعه اي كه توسط محققان شركت امنيتي كسپراسكاي با همكاري B2B International انجام شده است مشخص شد 26 درصد از شركت ها بر اين باور هستند كه اين مشكلات در نتيجه اثرات بلند مدت حملات سايبري به وجود مي آيد و آن ها در دراز مدت مشتريان خود را از دست مي دهند.
23 درصد اظهار داشتند كه حملات انكار سرويس مي تواند باعث از بين رفتن اعتبار و آبرويشان شود و 19 درصد معتقدند خطر از دست دادن مشترياني كه قادر به دسترسي به سرويس نمي باشند بزرگترين تهديد براي كسب و كارها به شمار مي آيد.
محققان اعلام كردند كه تنها 37 درصد از شركت هايي كه مورد مطالعه قرار گرفته اند در حال حاضر مجهز به ابزاري براي مقابله با حملات انكار سرويس توزيع شده مي باشند.
در اين تحقيق مشخص شد كه اكثريت شركت هاي تلكام، تجارت الكترونيك، صنعتي و ابزارآلات نگران از دست دادن اعتبار و آبرو در نتيجه حملات انكار سرويس مي باشند در حالي كه شركت هاي مهندسي و ساختماني بيشتر نگران هزينه هاي پياده سازي و نگهداري سيستم هاي پشتيبان هستند.

شماره: RCNE2015032454
تاريخ:05/01/94

با توجه به گزارشات گروه محققان امنيتي IBM، بيش از يك ميليارد ركورد شخصي در سال 2014 افشاء شده است. اين مقدار 25 درصد بيشتر از اطلاعات شخصي افشاء شده در سال 2013 مي باشد.
در اين ميان بدافزارها و آسيب پذيري برنامه هاي كاربردي موبايل دليل افشاي حجم بالايي از اطلاعات شخصي است. هم چنين سه عامل رمز عبور ضعيف، آسيب پذيري هاي بحراني در سيستم عامل و عكس هاي حساس ذخيره شده بر روي سرويس هاي ابر به عنوان عامل افشاء شناخته شده اند.
محققان امنيتي اظهار داشتند: در سال 2014 شاهد افزايش سريع رخدادهاي امنيتي و نشت اطلاعات بوده ايم. اكثريت اين اطلاعات از شركت هاي امريكايي مانند سوني به سرقت رفته است. هم چنين آسيب پذيري هايي مانند Shellshock و آسيب پذيري جديد FREAK اطلاعات بانك ها و ساير صنايع را تحت تاثير قرار داده و سهم مهي در افزايش رخدادهاي امنيتي داشتند.
محققان دريافتند كه بدافزارهاي گروگان گير در سال 2014 در بين مجرمان سايبري از محبوبيت خاصي برخوردار بودند و از آن براي حملات انكار سرويس و رمزگذاري داده هاي كاربران بهره جستند.

شماره:IRCNE2015033253
تاريخ:05/01/94

يك نقص امنيتي در پلاگين وردپرس Google Analytics by Yoast، به هكرها اجازه مي‌دهد كد دلخواه خود را اجرا كرده و حساب‌هاي مديريتي را تحت كنترل خود درآورند.
اين نقص امنيتي كه روز پنجشنبه توسط يك محقق امنيتي فنلاندي به نام جوكو پينونن افشا شد، به مهاجمي كه احراز هويت نشده است اجازه مي‌دهد كه كد HTML دلخواه خود شامل جاوا اسكريپت را در داشبورد مديريتي وردپرس بر روي سيستم هدف ذخيره نمايد كه هنگامي كه ادمين، پنل تنظيمات اين پلاگين را مشاهده مي‌كند فعال مي‌گردد.
اين مسأله مجوز اجراي كد دلخواه سمت سرور را از طريق اين پلاگين يا ويرايشگرهاي تم وردپرس فراهم مي‌كند. علاوه بر اين، پينونن معتقد است كه يك مهاجم مي‌تواند از طريق اين نقص امنيتي كلمه عبور ادمين را تغيير داده، حساب‌هاي خاص خود را ايجاد كرده و يا كنترل يك وب‌سايت را در اختيار بگيرد.
Google Analytics by Yoast يك پلاگين مشهور است كه تقريباً 7 ميليون بار دانلود شده است و سرويس‌هاي Google Analytics را با سايت‌هاي وردپرس يكپارچه مي‌سازد و همچنين، عملكردهاي ديگري از جمله رديابي خطاي صفحه، برآورد كردن تعداد كليك‌ها و دانلودها را انجام مي‌دهد. Yoast در نسخه‌هاي رايگان و پولي در دسترس كاربران قرار دارد.
اين نقص امنيتي از دو مسأله ناشي مي‌شود. نخست، نقص روال‌هاي كنترل دسترسي است كه به كاربر اجازه مي‌دهد بدون احراز هويت به تنظيمات پلاگين دست يابد. ممكن است اعتبارات OAuth2 مورد استفاده توسط اين پلاگين را تغيير دهد تا با اتصال پلاگين از طريق يك حساب ديگر Google Analytics كه متعلق به مهاجم است، داده‌ها را از Google Analytics دريافت نمايد.
دوم، اين پلاگين يك منوي HTML را بر اساس اين داده‌ها تفسير مي‌كند كه امن‌سازي نشده است. درصورتيكه مهاجمي بخواهد كه تگ‌هاي اسكريپت را در properties در تنظيمات حساب Google Analytics اضافه كند، اين اسكريپتها در داشبورد مديريتي وردپرس قرباني ظاهر خواهد شد و هنگامي كه كاربر صفحه تنظيمات را مشاهده كند، اجرا خواهد شد.
به Yoast روز هجدهم مارس در اين مورد اطلاع‌رساني شده است و اين شركت، بلافاصله روز بعد نسخه 5.3.3 اين پلاگين را عرضه كرد تا اين مسأله را برطرف نمايد. درصورتي‌كه از اين پلاگين استفاده مي‌كنيد به شما توصيه مي‌شود كه هرچه سريعتر آن را به‌روز رساني نماييد.

شماره: IRCNE2015032452
تاريخ: 27/12/93

ياهو اعلام كرد با توجه به اينكه هيچ‌كس نمي‌تواند كلمه عبور ياهوي خود را به خاطر بسپارد، قصد دارد كلمه عبور را به طور كلي حذف كند.
روز يكشنبه ياهو سرويس جديدي به نام كلمات عبور «on-demand» را راه‌اندازي كرد كه به كاربر اجازه مي‌دهد به جاي به خاطر سپردن كلمه عبور، با استفاده از يك كلمه عبور كوتاه كه اين شركت به موبايل وي ارسال مي‌كند، به حساب ياهوي خود وارد شود.
نحوه كار اين سرويس بدين صورت است: شما با استفاده از كلمه عبور عادي خود به حساب ياهوي خود وارد مي‌شويد. در بخش تنظيمات امنيتي، كلمات عبور on-demand را فعال مي‌كنيد و تلفن خود را ثبت مي‌نماييد. دفعه بعد كه بخواهيد به ياهو وارد شويد، فيلد كلمه عبور با دكمه‌اي جايگزين مي‌شود كه مي‌گويد «كلمه عبور من را ارسال كن» و اين شركت، يك كلمه عبور چهار كاراكتري را به موبايل شما ارسال مي‌كند.
به گفته يكي از مديران ارشد ياهو، اين نخستين گام براي حذف كلمات عبور است.
اين روال شبيه به روال معمول ورود به وب‌سايت‌ها با استفاده از احراز هويت دو مرحله‌اي است كه در آن، شما ابتدا كلمه عبور خود را وارد مي‌كنيد و سپس يك كلمه عبور ديگر از طرف شركت براي شما ارسال مي‌گردد. روال ياهو مشابه همين روال است با اين تفاوت كه گام اول آن حذف شده است.
امنيت سايبري به يك مسأله مهم در صنعت فناوري تبديل شده است. چندين شركت مشهور جهان از جمله سوني و اپل با آسيب‌پذيري‌هاي امنيتي جدي روبرو شده‌اند. بسياري شركت‌ها نيز سعي كرده‌اند مشكل كلمات عبور ضعيف كاربران خود را به نحوي حل نمايند. نرم‌افزارهاي مديريت كلمه عبور مانند LastPass نيز سعي مي‌كنند مشكل كاربران در به خاطر سپردن كلمه عبور را حل كنند.

شماره: IRCNE2015032451
تاريخ: 27/12/93

روز پنج شنبه نسخه جديد OpenSSL به منظور اصلاح چندين آسيب پذيري امنيتي منتشر خواهد شد. بنا به گزارشات يكي از آسيب پذيري ها داراي رده امنيتي بالاست.
در راهنمايي امنيتي منتشر شده در روز دوشنبه اطلاعات جزئي اين آسيب پذيري ها منتشر نشده است. اين اصلاحيه ها مربوط به OpenSSL نسخه هاي 1.0.2a، 1.0.1m، 1.0.0r و 0.9.8zf مي باشد.
تعدادي از اين آسيب پذيري ها سال گذشته در OpenSSL كشف شده است. OpenSSL يك نرم افزار منبع باز است كه به طور گسترده براي رمزگذاري ارتباطات مورد استفاده قرار مي گيرد.
حملات FREAK و Heartbleed با سوء استفاده از نقص هاي موجود در اين نرم افزار پياده سازي شده اند و كاربران بسياري را در معرض خطر قرار دادند.

Number: IRCNE2015032444
Date: 2015/03/14

According to “zdnet”, security researchers have exposed a vulnerability within the Google Admin console which allows cyberattackers to send spoof emails which appear legitimate from unclaimed domains.
Last month, as reported by Security Week, Patrik Fehrenbach and Behrouz Sadeghipour discovered across a security flaw in the Google Admin console -- used to control a company's Google Apps suite -- which allowed users to temporarily claim domains and send spoof emails.
In order to test the vulnerability, Fehrenbach and Sadeghipour used the tech giant itself as a victim -- claiming domains including ytimg.com and gstatic.com to send spoofed emails. The domains are used by Google in relation to YouTube and both hosting files and offloading static content in order to reduce bandwidth requirements in web browsing.
Throughout testing, as explained in a blog post and accompanying video, emails were sent appearing to send from these domains -- including "admin@ytimg.com" and "admin@gstatic.com."
As a result, cyberattackers could use this vulnerability to send out spoof emails which appear legitimate and sourced from a trusted server -- and contain no flags identifying emails as suspicious.
The researchers reported the security flaw to Google, which was patched by simply applying a FROM no-reply@google.com.

Number: IRCNE2015032442
Date: 2015/03/14

According to “zdnet”, Dropbox has patched a security flaw which allowed cyberattackers to steal new information uploaded to accounts through compromised third-party apps on Android devices.
The company announced the fix through the Dropbox Developer Blog on Wednesday. Dropbox, a firm which caters for over 300 million users and offers cloud-based file storage, said a minor security vulnerability in Android Core and Sync/Datastore SDKs was patched a few months ago.
Dropbox's Android Core and Sync/Datastore software development kits are issued to developers working on third-party apps which work with Dropbox services. The company says that most third-party apps now have updated Android SDKs, but requests that remaining Android developers update their apps to use Core API Android SDK v1.6.3 or Sync/Datastore Android SDK v3.1.2.
For the security vulnerability to impact users, a compromised third-party app would have to be installed on an Android device -- but not have the Dropbox for Android app installed -- and the user would need to visit a specific type of malicious web page targeting the vulnerable app. A cyberattacker would then be able to link their Dropbox account to the third-party app, which then could be used to capture new data a user saved to Dropbox via the third-party application.
"Every app works differently, so many apps using the affected SDKs weren't vulnerable at all or required additional factors to exploit. This vulnerability couldn't give attackers access to any existing files in a user's account, and users with the Dropbox app installed on their devices were never vulnerable. There are no reports or evidence to indicate the vulnerability was ever used to access user data," Dropbox says.
Researchers at IBM, Roee Hay and Or Peles, were first to detect and disclose this vulnerability.

Number: IRCNE2015032442
Date: 2015/03/08

According to “cnet”, a new report from Spanish firm Panda Security offers further evidence that last year was a nasty one in the fight against malicious software -- the worst ever, actually.
In an annual report released Monday, Panda said that in 2014 it detected and eliminated 75 million samples of malicious software -- harmful code also known as malware, which includes things like computer viruses and worms. That's more than double the 30 million new malware strains recorded in 2013 by the company, which provides both home and business computer-security services. On average, 200,000 new malware strains were detected daily in 2014, the firm said.
In 25 years tracking malware, Panda has detected 220 million specimens -- and 34 percent of those were coded in 2014, according to the report.
"Security threats will increase in 2015, and both companies and home users must prepare themselves to respond to them," said Panda Security Technical Director Luis Corrons in a statement. "It is not a question of whether their security will be compromised but rather when and how, so in this case prevention is key."
Panda is just the latest malware-watcher to document the spike this year in malware. AV-Test, a company that tests the effectiveness of antivirus software, reported last month that malware spiked in 2014 to more than 143 million detections, up 72 percent from last year. And Kaspersky Lab, another provider of home and business security products, saw four times more mobile malware attacks in 2014 than the year before.

Number: IRCNE2015032441
Date: 2015/03/08

According to “cnet”, computers running all supported releases of Microsoft Windows are vulnerable to "FREAK," a decade-old encryption flaw that leaves device users vulnerable to having their electronic communications intercepted when visiting any of hundreds of thousands of websites, including Whitehouse.gov, NSA.gov and FBI.gov.
The flaw was previously thought to be limited to Apple's Safari and Google's Android browsers. But Microsoft warned that the encryption protocols used in Windows -- Secure Sockets Layer and its successor Transport Layer Security -- were also vulnerable to the flaw.
"Our investigation has verified that the vulnerability could allow an attacker to force the downgrading of the cipher suites used in an SSL/TLS connection on a Windows client system," Microsoft said in its advisory.
Microsoft said it will likely address the flaw in its regularly scheduled Patch Tuesday update or with an out-of-cycle patch. In the meantime, Microsoft suggested disabling the RSA export ciphers.

Number: IRCNE2015032440
Date: 2015/03/07

According to “cnet”, Apple and Google are both working on fixes to a decade-old security flaw that could leave millions of users of the tech titans' mobile web browsers vulnerable to hacking.
The newly discovered encryption flaw known as "FREAK attack" left users of Apple's Safari and Google's Android browsers vulnerable to hackers for more than a decade, researchers told the Washington Post.
Researchers said there was no evidence hackers had exploited the vulnerability, which they blamed on a former US policy that banned US companies from exporting the strongest encryption standards available, according to the newspaper.
Apple and Google said they were creating software updates to address the vulnerability. Apple told CNET that it would distribute its fix next week, while Google told the newspaper it would provide its update to device makers and wireless carriers.
The flaw surfaced a few weeks ago when a group of researchers discovered they could force websites to use the intentionally weakened encryption, which they were able to break within a few hours. Once a site's encryption was cracked, hackers could then steal data such as passwords and hijack elements on the page, the newspaper reported.
Researchers have been alerting affected government and commercial websites for a few weeks in hopes of taking corrected measures before the vulnerability was publicized, the newspaper reported. Whitehouse.gov and FBI.gov have been repaired, but NSA.gov remains vulnerable, researchers told the newspaper.