ID: IRCNE2014112362
Date: 2014-11-05

According to “ITPro”, Facebook will no longer try to stop Tor users from accessing its social network.
Until now, Facebook’s security policies had prevented people from accessing the site via the so-called “dark web”.
Users will be able to visit the site via a secure browser using the Tor network to anonymise where the user is. Tor works by adding multiple layers of encryption to data and relaying this information through random computers around the world.
The change in policy means users can access the site "without losing the cryptographic protections", according to Facebook.
Users can access Facebook anonymously through https://facebookcorewwwi.onion/ and use this address to prevent their location becoming exposed or other information about them to others.
Previously, Facebook locked out this type of traffic for fear it was under attack from a botnet.
“Tor challenges some assumptions of Facebook's security mechanisms,” said Alec Muffett, software engineer for security infrastructure at Facebook London, in a blog post.
“For example its design means that from the perspective of our systems a person who appears to be connecting from Australia at one moment may the next appear to be in Sweden or Canada. In other contexts, such behaviour might suggest that a hacked account is being accessed through a 'botnet', but for Tor this is normal.”
The access also uses SSL security on top of Tor as Facebook’s architecture requires this to accept the connection, rather than for any security concerns.

ID: IRCNE2014112360
Date: 2014-11-02

According to “ComputerWorld”, Google plans to remove support for the aging Secure Sockets Layer (SSL) version 3.0 protocol in Google Chrome 40, which is expected to ship in about two months.
The decision comes after Google security researchers recently discovered a dangerous design flaw in SSL 3.0. Dubbed "POODLE," the vulnerability allows a man-in-the-middle attacker to recover sensitive, plain text information like authentication cookies, from a HTTPS (HTTP Secure) connection encrypted with SSLv3.
Even though POODLE is the biggest security issue found in SSL 3.0 so far, it is not the protocol's only weakness. SSL version 3 was designed in the mid-1990s and supports outdated cipher suites that are now considered insecure from a cryptographic standpoint.
HTTPS connections today typically use TLS (Transport Layer Security) versions 1.0, 1.1 or 1.2. However, many browsers and servers have retained their support for SSL 3.0 over the years -- browsers to support secure connections with old servers and servers to support secure connections with old browsers.
This compatibility-driven situation is one that security experts have long wanted to see change and thanks to POODLE it will finally happen. The flaw's impact is significantly amplified by the fact that attackers who can intercept HTTPS connections can force a downgrade from TLS to SSL 3.0.
Based on an October survey by the SSL Pulse project, 98 percent of the world's most popular 150,000 HTTPS-enabled sites supported SSLv3 in addition to one or more TLS versions. It's therefore easier for browsers to remove their support for SSL 3.0 than to wait for hundred of thousands of web servers to be reconfigured.
According to Google security engineer Adam Langley, Chrome 39, which is currently in beta and will be released in a couple of weeks, will no longer support the SSL 3.0 fallback mechanism, preventing attackers from downgrading TLS connections.
"In Chrome 40, we plan on disabling SSLv3 completely.

Number: IRCNE2014112359
Date: 2014/11/01

According to “zdnet”, reports are emerging that attacks are being performed against SMTP servers using the Shellshock bug. The campaign seeks to create an IRC botnet for DDOS attacks and other purposes.
Shellshock emerged about a month ago and immediately was recognized widely as a serious problem.
The bug had been in the Bash shell for 20 years and was widely deployed in a configuration that made it easy to exploit.
This SMTP vector is a good example of the problem, as mail servers are often left untouched for long periods.
Writing about the attacks, CSO says they have found one the IRC servers used to host the bots. On October 24 it had 160 compromised servers connected to it.

شماره: IRCNE2014102353
تاريخ: 29/07/93

محققان امنيتي هشدار دادند كه اگر كاربران به روز رساني هاي منتشر شده در 14 اكتبر فلش پلير را اعمال نكرده اند، بدانند كه ممكن است تحت تاثير حملات جديدي كه در آن از بسته سوء استفاده تجاري با نام Fiesta استفاده مي شود قرار بگيرند.
اين آسيب پذيري كه در پايگاه داده CVE با شماره CVE-2014-0569 شناسايي شده است هفته گذشته در به روز رساني هاي فلش پلير اصلاح شده است.
بسته سوء استفاده از اين آسيب پذيري در يك ابزار حمله در بازارهاي زيرزميني فروخته مي شود غيرعادي است به خصوص زماني كه اين آسيب پذيري به صورت خصوصي به شركت ادوب گزارش شده است و بدين معناست كه جزئيات آن نبايد به طور عمومي منتشر شده باشد.
طراحان اين بسته مانند بسته Fiesta از حملاتي كه براي اثبات اين آسيب پذيري توسط محققان منتشر شده است استفاده كرده اند. با مهندسي معكوس اصلاحيه ها نيز مي توان محل قرار گيري آسيب پذيري را كشف كرد و سپس بر مبناي آن كدهاي سوء استفقاده كننده مناسب را نوشت كه اين كار تنها توسط افراد خبره و متخصص قابل پياده سازي است.
سوء استفاده از آسيب پذيري CVE-2014-0569حملات Fiesta براي اولين بار توسط يك محقق بدافزار مستقل با نام مستعار Kafeine كشف شده است. ابتدا اين محقق بر اين باور بود كه اين حملات با سوء استفاده از آسيب پذيري CVE-2014-0556 كه در ماه سپتامبر اصلاح شده بود انجام شده است اما Timo Hirvonen يكي از محققان F-Secure بر اين باور است كه اين حملات با سوء استفاده از آسيب پذيري جديد CVE-2014-0569 صورت گرفته است.
صرفنظر از اين كه اين حملات از چه نوع آسيب پذيري سوء استفاده مي كنند كاربراني كه هم چنان آخرين به روز رساني هاي فلش پلير را اعمال نكرده اند بايد هر چه سريع تر و در اسرع وقت اين اصلاحيه ها را نصب نمايند.
كاربران ويندوز و مكينتاش بايد فلش پلير را به نسخه 15.0.0189 يا 13.0.0.250 ارتقاء دهند. كاربران لينوكس نيز بايد فلش پلير را به نسخه 11.2.202.411 به روز رساني نمايند. پلاگين هاي فلش پلير در گوگل كروم، IE 10 و IE 11 اصلاحيه هاي مربوط به فلش پلير را از طريق مكانيزم به روز رساني مرورگر دريافت مي كنند.

Number: IRCNE2014102353
Date: 2014/10/21

According to “techworld”, if you haven't updated your Flash Player with the fixes released on Oct. 14, you may be vulnerable to new attacks using a commercial exploit kit called Fiesta, security researchers warn.
The vulnerability, which is being tracked as CVE-2014-0569 in the Common Vulnerabilities and Exposures (CVE) database, was fixed in Flash Player updates last week.
The bundling of an exploit for CVE-2014-0569 in an attack tool that's sold on underground markets is unusual, especially since the vulnerability was privately reported to Adobe through Hewlett-Packard's Zero Day Initiative (ZDI) program, meaning its details should not be public.
The creators of exploit kits like Fiesta typically reuse proof-of-concept exploits published online by researchers or included in legitimate penetration testing tools like Metasploit. That's because reverse engineering patches to discover where vulnerabilities are located and then writing reliable exploits for them requires advanced knowledge and is generally done by professionals.
The use of a CVE-2014-0569 exploit in a Fiesta-powered attack was first spotted by an independent malware researcher known online as Kafeine. Initially he believed the exploit targeted a Flash vulnerability called CVE-2014-0556 that was patched in September, but Timo Hirvonen, a researcher at F-Secure, later determined it actually attacked the much newer flaw.
Regardless of where the exploit came from, users who have not yet installed the latest Flash Player updates should do so as soon as possible.
Windows and Mac users should update to Flash Player 15.0.0.189, or 13.0.0.250 if they're using the extended support release. Users of Flash Player on Linux should upgrade to version 11.2.202.411. The Flash Player plug-ins bundled with Google Chrome, Internet Explorer 10 and Internet Explorer 11 will receive patches though the update mechanisms of those browsers.

شماره: IRCNE2014102352
تاريخ: 29/7/93

يك محقق كشف كرده است كه دستگاه‌هاي ذخيره سازي متصل به شبكه (NAS) داراي آسيب‌پذيري‌هايي هستند كه مي‌توانند داده‌هاي حساس و شبكه‌ها را در معرض خطر قرار دهند. وي براي اثبات نظر خود، يك كرم توليد كرده است كه مي‌تواند به دستگاه‌هاي سه توليد كننده مختلف ضريه بزند.
پيش‌تر و در سال جاري يك تحليلگر امنيتي شركت Independent Security Evaluators به نام ژاكوب هولكومب، شروع به تحقيق در مورد امنيت دستگاه‌هاي NAS كرده بود. وي دستگاه‌هاي مشهوري از ده توليد كننده انتخاب كرده و متوجه شده بود كه تمامي آنها در برابر سوء استفاده root آسيب‌پذير هستند. بعلاوه وي كشف كرد كه سوء استفاده از نيمي از اين دستگاه‌ها نيازي به احراز هويت ندارد.
دستگاه‌هاي تست شده عبارت بودند از Asustor AS-602T، TRENDnet TN-200 و TN-200T1، QNAP TS-870، Seagate BlackArmor 1BW5A3-570، Netgear ReadyNAS104، D-LINK DNS-345، Lenovo IX4-300D، Buffalo TeraStation 5600، Western Digital MyCloud EX4 و ZyXEL NSA325 v2.
در طول يك ارائه در هفته گذشته در كنفرانس امنيتي Black Hat Europe در آمستردام، هولكومب يك كرم را به نمايش گذاشت كه قادر است به طور خودكار و با سوء استفاده از آسيب‌پذيري‌هاي تزريق دستور و دور زدن احراز هويت، دستگاه‌هاي D-LINK DNS-345، TRENDnet TN-200/TN-200T1 و Western Digital MyCloud EX4 را آلوده سازد كه ظاهراً هنوز اصلاح نشده‌اند.
كرم هولكومب مي‌تواند گستره‌هاي از پيش تعيين شده آدرس‌هاي IP را اسكن كند تا دستگاه‌هايي را كه روي TCP پورت 80 پاسخ مي‌دهند كشف نمايد. هنگاميكه يك دستگاه آسيب‌پذير شناسايي مي‌گردد، اين كرم كد سوء استفاده كننده لازم را براي دستيابي به دسترسي root اجرا مي‌كند و يك پوسته تعاملي را نصب مي‌كند. سپس يك كپي باينري از خود دانلود و اجرا كرده و شروع به اسكن از دستگاه جديد مي‌نمايد.
هولكومب كد اين كرم را به صورت عمومي منتشر نكرده است، اما قصد دارد كه در آينده و پس از عرضه اصلاحيه‌هاي مربوط به اين آسيب‌پذيري‌ها، اين كار را انجام دهد. هدف وي از نمايش اين كرم اين بود كه اثبات كند كه ايجاد يك بدافزار خود انتشار براي دستگاه‌هاي NAS كار ساده‌اي است، چرا كه بسياري از اين سيستم‌ها از معماري و حتي كد يكساني كه توسط توليد كنندگان چيپ ست ارائه شده است استفاده مي‌كنند.
به گفته هولكومب، برخي توليد كنندگان نيز يك كد را در كل خط توليد مورد استفاده مجدد قرار مي‌دهند، در نتيجه يك آسيب‌پذيري كه در يك دستگاه NAS خانگي ارزان قيمت وجود دارد، مي‌تواند در دستگاه‌هاي گران قيمت شركتي همان توليد كننده نيز وجود داشته باشد. بنابراين در دستگاه‌هاي NAS پرداخت پول بيشتر لزوماً به معناي امنيت بهتر نيست.
كرم هولكومب كاري بيش از انتشار در يك شبكه محلي انجام نمي‌دهد، اما مهاجمان مي‌توانند بدافزارهاي مشابهي توليد كنند كه دستگاه‌هاي NAS را كه از طريق اينترنت در دسترس هستند مورد سوء استفاده قرار دهند و از آنها براي انجام حملات توزيع شده انكار سرويس يا ساير فعاليت‌هاي خرابكارانه بهره ببرند.

شماره: IRCNE2014102351
تاريخ: 29/07/93

روش جديدي كه به مهاجمان اجازه مي دهد تا برنامه هاي اندرويدي رمزگذاري شده مخرب را در داخل تصاوير پنهان كنند مي تواند براي فرار از تشخيص داده شدن توسط محصولات آنتي ويروس و اسكنر بدافزار گوگل پلي، مورد استفاده قرار گيرد.
اين حمله توسط Axelle Apvrille، محققي از Fortinet طراحي شده است و Albertini روز پنج شنبه در كنفرانس كلاه سياه اروپا كه در آمستردام برگزار شده بود اثبات ادعاي خود را نشان داد.
روشي كه توسط Albertini نشان داده شد AngeCryption نام دارد كه مي تواند عمليات رمزگذاري فايل هاي ورودي و خروجي كه از AES استفاده مي كنند را با بهره گيري از ويژگي هاي برخي فرمت هاي فايل ها كه به فايل ها اجازه مي دهد عليرغم داشتن داده هاي بدردنخور معتبر باقي بمانند كنترل كند.
AngeCryption به كاربر اجازه مي دهد تا يك فايل ورودي و يك فايل خروجي را انتخاب نمايد و تغييرات لازم را اعمال نمايد در نتيجه هنگامي كه فايل ورودي با يك كليد خصوصي با استفاده از AES در حالت CBC رمزگذاري مي شود، اين روش فايل خروجي مورد نظر را ايجاد مي كند.
محققان امنيتي ايده خود را فراتر بردند و اين روش را بر روي فايل هاي APK (بسته هاي برنامه هاي كاربردي اندرويد) اعمال كردند. آن ها براي نشان دادن ادعاي خود برنامه كاربردي ايجاد كردند كه به راحتي مي تواند يك تصوير PNG از بازيگر جنگ ستارگان با نام Anakin Skywalker را نشان دهد. با اين حال، اين برنامه مي تواند به منظور ساختن فايل دوم APK كه قابل نصب است، تصوير را با كليد خصوصي رمزگشايي كند.
در نمايش محققان، APK مخفي شده در تصوير براي نمايش تصويري از Darth Vader طراحي شده است اما مهاجم واقعي مي تواند به جاي آن از يك برنامه مخرب براي سرقت پيام هاي متني، عكس ها، تماس ها يا ساير داده ها استفاده نمايد.
Apvrille گفت: اين حملات بر روي اندرويد 4.4.2، آخرين نسخه از سيستم عامل كار مي كند. اين مساله به گروه امنيتي اندرويد اطلاع داده شده است و آن ها در حال بررسي براي انتشار يك برطرف كننده مي باشند.
او افزود: اين آسيب پذيري ممكن است براي يك يا دو سال بر روي بسياري از گوشي ها باقي بماند.

شماره: IRCNE2014102350
تاريخ: 29/07/93

تنها حدود يك ماه از انتشار iOS 8.0 مي گذرد كه شركت اپل نسخه 8.1 اين سيستم عامل را منتشر كرد. در iOS 8.0، 53 آسيب پذيري موجود در نسخه 7.1 برطرف شد. در حال حاضر 5 آسيب پذيري در نسخه 8.0 برطرف شده است. يكي از اين آسيب پذيري ها مربوط به آسيب پذيري POODLE در پروتكل SSL نسخه 3 است كه در حال حاضر در اغلب نرم افزارهاي ديگر اپل اصلاح شده است.
ساير مشكلاتي كه در اين به روز رساني اصلاح شده اند عبارتند از:
· اگر يك دستگاه iOS با يك نوع خاص از دستگاه هايي كه بلوتوث دارند زوج شده باشد در نتيجه مهاجم مي تواند آن دستگاه را جعل كرده و يك ارتباط رمزگذاري نشده با دستگاه iOS برقرار نمايد.
· برخي اوقات فايل هايي كه در دايركتوري Documents برنامه ها نوشته مي شود با كليد ضعيفي رمزگذاري مي شود.
· مهاجمي كه بر روي شبكه اي يكسان با دستگاه iOS قرار دارد مي تواند كلاينت هايي كه به داده هاي iCloud دسترسي دارند را مجبور كند تا اطلاعات حساس را افشاء نمايند.
· QuickType، نرم افزار جديد كيبورد در iOS 8 مي تواند اعتبارنامه هاي كاربران را در حافظه خود نگه دارد.
هم چنين شركت اپل Apple TV نسخه 7.0.1 را منتشر كرد كه دو آسيب پذيري در آن اصلاح شده است. يكي از آن ها آسيب پذيري POODLE بوده است و ديگري مشكل زوج شدن بلوتوث ها كه در بالا به آن اشاره شد.

شماره: IRCNE2014102348
تاريخ: 29/07/93

كاربراني كه دقت مي كنند فايل ها را تنها از وب سايت هاي معتبر دانلود نمايند ممكن است فريب نوع جديدي از آسيب پذيري وب را بخورند. اين آسيب پذيري باعث مي شود تا فايل هاي اجرايي مخربي دانلود شوند كه در واقع از جايي كه به نظر مي رسد اين فايل را ميزباني مي كند نيست.
اين حمله باعنوان RFD شناسايي مي شود و در برخي موارد شبيه حملات اسكريپت بين سايتي است كه در آن كاربر را براي كليك بر روي لينك هاي دستكاري شده خاص فريب مي دهند.
در مورد RFD، مرورگر قرباني كدي را اجرا نمي كند اما فايلي را براي دانلود با پسوند اجرايي .bat يا .cmd كه حاوي دستورات shell يا فايل هاي اسكريپتي مانند JS، VBS، WSH كه از طريق ميزبان مبتني بر ويندوز اجرا خواهد شد، پيشنهاد مي دهد. محتوي اين فايل از طريق آدرس URLتوليد شده توسط مهاجم كه كاربر بر روي آن كليك كرده است منتقل مي شود. وب سايت مذكور ورودي را به عنوان يك فايل قابل دانلود به مرورگر برمي گرداند.
اين حمله مي تواند حملات مهندسي اجتماعي قدرتمندي را فعال نمايد زيرا اگرچه فايل مخرب به طور فيزيكي بر روي وب سايت هدف ميزباني نمي شود ولي به نظر مي رسد كه بر روي اين سايت قرار دارد. در نتيجه مهاجمان به راحتي مي توانند كاربران را متقاعد نمايند تا آن را دانلود كنند.
به عنوان مثال، يك ايميل جعلي از بانك كه از كاربر مي خواهد تا يك محصول امنيتي جديد را دانلود و نصب نمايد تا از نشست هاي بانكي آن محافظت نمايد مي تواند براي كاربر بسيار متقاعدكننده باشد تا آن را دانلود و نصب كند به خصوص كه لينك دانلود به وب سايت اصلي بانك اشاره كند و اين دقيقا چيزي است كه آسيب پذيري RFD اجازه آن را مي دهد.
با توجه به گفته هاي محقق امنيتي از Trustwave كه اين مشكل را كشف كرده است، وب سايتي نسبت به اين حملات آسيب پذير است كه از فناوري هاي JSON يا JSONP استفاده كند. البته وب سايت هايي كه از JSON استفاده نمي كنند نيز ممكن است نسبت به اين مشكل آسيب پذير باشند.

ID: IRCNE2014102352
Date: 2014-10-21

According to “TechWorld”, Network-attached storage (NAS) devices are riddled with vulnerabilities that can put the security of sensitive data and networks at risk, a researcher has found. To prove his point, he has created a proof-of-concept worm that can infect devices from three different manufacturers.
Earlier this year, Jacob Holcomb, a security analyst at Baltimore-based firm Independent Security Evaluators, started researching the security of NAS devices. He selected popular devices from 10 manufacturers and found that they were all were susceptible to root compromise. In addition, he found that exploiting half of them did not require authentication.
The tested devices were: Asustor AS-602T, TRENDnet TN-200 and TN-200T1, QNAP TS-870, Seagate BlackArmor 1BW5A3-570, Netgear ReadyNAS104, D-LINK DNS-345, Lenovo IX4-300D, Buffalo TeraStation 5600, Western Digital MyCloud EX4 and ZyXEL NSA325 v2.
During a presentation last week at the Black Hat Europe security conference in Amsterdam, Holcomb demonstrated a proof-of-concept worm that can automatically infect the D-LINK DNS-345, TRENDnet TN-200/TN-200T1 and Western Digital MyCloud EX4 devices by exploiting command injection and authentication bypass vulnerabilities, which as far as he knows, are still unpatched.
Holcomb's worm can scan predefined ranges of IP (Internet Protocol) addresses to find devices that respond over TCP port 80 and match certain digital fingerprints associated with the targeted NAS devices. Once it identifies a vulnerable device, the worm launches the necessary exploit to obtain root access and installs an interactive shell. It then downloads and runs a binary copy of itself and begins scanning from the new device.
Holcomb has not released the worm's code publicly, but plans to do so in the future after the affected vendors patch the vulnerabilities and users have a chance to upgrade. His demonstration was intended to show that creating self-propagating malware for NAS devices is relatively easy, because many of these systems share the same architecture and even code that was provided by chipset vendors.
Furthermore, some manufacturers reuse code across entire product lines, so one vulnerability found in a low-end consumer NAS device can also be present in expensive, enterprise-grade devices from the same manufacturer, according to Holcomb. When it comes to NAS devices, paying more does not necessarily mean better security, he said.
While Holcomb's proof-of-concept worm did nothing more than propagate within a local area network, attackers could create similar malware to compromise NAS devices that are accessible from the Internet and use them for performing distributed denial-of-service (DDoS) attacks and other malicious activities.