Number: IRCNE2014102336
Date: 2014/10/11

According to “zdnet”, microsoft has released their advance notification for the October 2014 Patch Tuesday updates. There will be a total of nine updates issued next Tuesday, October 14, three of them rated critical.
The three critical updates address problems in Internet Explorer and all versions of Windows. The first update, for Internet Explorer and Windows, is rated Critical on Windows client systems and Moderate on servers. The problems are likely mitigated by the Enhanced Security Configuration in Windows Server. The other two critical updates, affecting Windows and the .NET Framework, are critical on all Windows platforms, with a couple exceptions for Server Core.
Four other updates affect Windows. One is rated Moderate and the others Important. The Moderate bug also is listed as affecting Microsoft Office 2007 IME (Japanese).
Another update to Office affects Office 2007 and 2010 on Windows, Office for Mac 2011 and the Office Compatibility Pack SP3, is rated Important on all.
The final bug is a security bypass vulnerability, rated Important, in ASP.NET MVC versions 2.0, 3.0, 4.0, 5.0 and 5.1.
Microsoft will also release a new version of the Windows Malicious Software Removal Tool and probably some as-yet undisclosed number of non-security updates to various Windows versions.

شماره: IRCNE2014102335
تاريخ: 15/7/93

ياهو روز دوشنبه اعلام كرد كه نقصي را كه به جاي نقص امنيتي Shellshock اشتباه گرفته شده بود ترميم كرده است، ولي داده‌هاي هيچ كاربري تحت تأثير آن قرار نگرفته است.
به گفته مدير ارشد امنيت اطلاعات ياهو، در تعطيلات پايان هفته گذشته بر روي سه سرور اين كمپاني با API هايي كه جريان زنده را براي سرويس Sports فراهم مي‌كنند، كد مخربي توسط مهاجمان اجرا مي‌شده كه به دنبال سرورهاي آسيب‌پذير در برابر Shellshock مي‌گشتند.
وي در وب‌سايت اخبار هكري نوشته است كه پس از افشاي آسيب‌پذيري Shellshock، بر روي اين سرورها اصلاحيه نصب شده است.
ياهو توسط مهندس ارشد و رئيس شركت مشاوره امنيتي Future South Technologies، از اين موضوع آگاه شده بود. اين فرد در وبلاگ خود نوشته است كه يك آسيب‌پذيري را در حداقل دو سرور ياهو كشف كرده است.
وي نوشت كه شواهدي كشف كرده است كه يك گروه كه به نظر مي‌رسد مهاجمان رومانيايي باشند به ياهو، Lycos و WinZip حمله كرده‌اند تا با استفاده از آسيب‌پذيري Shellshock، سرورها را آلوده كرده و يك بات‌نت تشكيل دهند.
Shellshock كه نخستين بار ماه گذشته ميلادي شناسايي شد، نام يك نقص امنيتي در نوعي نرم‌افزار است كه با نام Bash شناخته مي‌شود. Bash يك پردازشگر پوسته خط دستور در سيستم‌هاي يونيكس و لينوكس است. اين حفره امنيتي مي‌تواند به مهاجمان اجازه دهد كد را به كامپيوتري كه Bash را اجرا مي‌كند تزريق نمايند و كنترل سرور را از راه دور در اختيار بگيرند.
در نخستين اظهار نظرها تصور مي‌شد كه ياهو نيز گرفتار Shellshock شده است، اما مدير ارشد امنيت اطلاعات اين شركت بعداً اظهار كرد كه تحقيقات نشان داده است كه اين مسأله ربطي به Shellshock نداشته است.
وي نوشته است كه مهاجمان از نقص امنيتي ديگري بهره برده‌اند كه در يك اسكريپت مانيتورينگ قرار داشته و توسط توسعه دهندگان ياهو براي تجزيه و عيب‌يابي لاگ‌هاي وب اجرا شده است. وي تأكيد كرد كه اين نقص امنيتي فقط به تعداد كمي از سيستم‌ها محدود است.
به گفته مدير ارشد امنيت اطلاعات ياهو، او ايميل هشداري نيز براي WinZip ارسال كرده و يافته‌هاي ياهو را به اطلاع آنها رسانده است.

شماره: IRCNE2014102334
تاريخ: 15/7/93

شركت مخابراتي AT&T وقوع نشت اطلاعات از اين شركت توسط يكي از كارمندان آن در ماه آگوست را تأييد كرد.
بر اساس نامه مقامات رسمي AT&T، اين كارمند سابق به اطلاعات حساب كاربري افراد شامل شماره تأمين اجتماعي و شماره گواهينامه رانندگي دسترسي داشته است.
شناسه مشتري كه تحت عنوان اطلاعات شبكه اختصاصي مشتري (CPNI) شناخته مي‌شود و مي‌تواند شامل ابرداده‌هايي مانند زمان، تاريخ، مدت و شماره مقصد هر تماس باشد نيز توسط اين كارمند مشاهده شده است.
اين نامه بيان مي‌كند كه اين اطلاعات بدون احراز هويت مورد دسترسي واقع شده‌اند.
AT&T در نامه خود نوشته است كه اين روش پيشبرد تجارت اين شركت نيست و در نتيجه، اين فرد ديگر براي AT&T كار نمي‌كند.
AT&T تأكيد كرده است كه نهادهاي قانوني را در جريان اين اتفاق قرار داده است.
البته اين شركت كه پس از Verizon دومين شركت بزرگ تلفن‌هاي سلولي در ايالات متحده است، در مورد تعداد افرادي كه تحت تأثير اين نشت اطلاعات قرار گرفته و اطلاعات آنها لو رفته است سكوت كرده است.

شماره: IRCNE2014102333
تاريخ: 15/07/93

يك تحليلگر IDC اظهار داشت كه با وجود راه اندازي فناوري هاي جديد بيومتريك براي اجازه دادن پرداخت هاي مالي، بانك ها نبايد از اين روش ها استفاده نمايند و فعلا به همان روش قديمي رمز عبور بسنده كنند. شناسايي بيومتريكي در برنامه هاي مالي روشي نسبتا جديدي است.
اين تحليلگر اشاره مي كند كه بزرگترين تحولات اين حوزه مربوط به اسكنرهاي مبتني بر اثر انگشت ساخته شده در گوشي هاي هوشمند اپل و سامسونگ مي باشد. در اين ماه Mastercard اعلام كرد كه در حال آزمايش فناوري تشخيص صوت و چهره براي اجازه دادن پرداخت هاي مالي خرد مي باشند.
IDهاي لمسي اپل بيش از يكسال است كه در دسترس مي باشد اما تاكنون تنها براي باز كردن قفل صفحه كليد استفاده شده است. با عرضه آيفون 6، شركت اپل اساسا استفاده از ID لمسي را به جاي كد PIN قديمي براي پرداخت هاي مالي از طريق Apple Pay تاييد كرد.
از همه مهمتر آن كه در حال حاضر شركت اپل براي دسترسي به APIهاي ID لمسي و استفاده از روش هاي شناسايي بيومتريك در برنامه هاي كاربردي iOS با توسعه دهندگان ديگر همكاري مي كند.
علاوه بر اين اپراتورهاي كيف پول ديجيتالي PayPal و Alipay، برنامه هاي كاربردي خود را ارتقاء داده اند تا كاربران بتوانند از طريق اثر انگشت مجوز ورود و پرداخت مالي را بدست آورند.
اما IDC هشدار مي دهد كه موسسات مالي مانند بانك ها نبايد از اين فناوري استفاده نمايند. در حالي كه بهبود و ارتقاء روش هاي مجوز دهي جذاب است و به استفاده از خدمات بانكداري تلفن همراه كمك مي كند، اما موسسات مالي نبايد ناآگاهانه از راه حل هاي شناسايي بيومتريك بويژه آن هايي كه توسط شركت هاي ثالث طراحي مي شود اعتماد نمايند.
براي صنعت مالي چندين سال طول مي شكد تا سطح ايمني اين روش ها را ارزيابي كند. تا آن زمان بهترين روش در برنامه هاي كاربردي تلفن همراه استفاده از سيستم تاييد هويت دو فاكتوري است. اين روش ها مي تواند تنها براي ثبت نام اوليه و دسترسي به بخشي از اطلاعات مورد استفاده قرار گيرد. موسسات مالي بايد براي قسمت هاي تراكنشي برنامه هاي كاربردي تلفن همراه از جمله انتقال حساب، پرداخت قبوض و ساير توابع حساس از سيستم قديمي رمز عبور استفاده نمايند.

شماره: IRCNE2014102332
تاريخ: 15/07/93

هكرها بيش از 17000 سيستم مكينتاش را از طريق سايت خبري Reddit به بدافزار Mac.BackDoor.iWorm آلوده كردند.
مجرمان سايبري با دستكاري توابع توضيح و جستجوي سايت Reddit از يك حفره در سيستم عامل رايانه هاي اپل سوء استفاده كردند.
محققان شركت آنتي ويروس روسي Dr Web اين حفره را آشكار كردند و اظهار داشتند كه اين حفره اجزاي دسترسي از راه دور را به هكر مي دهد، هم چنين به او اجازه مي دهد تا دستوراتي را به ساير رايانه ها براي نصب بدافزار ارسال نمايد. در برخي موارد با سوء استفاده از اين حفره مي توان كمپين هرزنامه يا حملات انكار سرويس نيز راه اندازي نمود.
شركت Dr Web اعلام كرد كه اين بدافزار با استفاده از C++ و Lua نوشته شده است و براي انجام عمليات خود از رمزگذاري استفاده مي كند.
هنگامي كه هكر سعي مي كند تا به رايانه اي دسترسي يابد ابتدا فايلي در پوشه /Library/Application Support/JavaW از حالت فشرده خارج مي شود و يك فايل p-list ايجاد شده سپس راه نفوذ مخفي به طور خودكار راه اندازي مي شود.
Graham Cluley يك محقق امنيتي مستقل گفت: اين اولين بار نيست كه رايانه هاي مكينتاش هدف اين چنين حملاتي قرار مي گيرند هم چنين اين حمله به بزرگي آخرين حملاتي كه بر روي رايانه هاي اپل صورت گرفت نيست. تاكنون سيستم هاي ميكنتاش هيچ حمله اي را به بزرگي كرم بدنام Flashback كه در سال 2012 بيش از 600000 سيستم را آلوده كرد تجربه نكرده اند.
او اضافه كرد: تهديد اخير تنها به كاربران مكينتاش هشدار مي دهد كه نبايد تصور كنند كه سيستم آن ها در برابر تهديدات امنيتي ايمن است. اگر براي حريم خصوصي خود ارزش قائل هستيد و داده هاي مهمي را بر روي سيستم خود نگه مي داريد بايد از يك آنتي ويروس استفاده نماييد.

ID: IRCNE2014102335
Date: 2014-10-07

According to “TechWorld”, Yahoo said Monday it has fixed a bug that was mistaken for the Shellshock flaw, but no user data was affected.
Three of the company's servers with APIs (application programming interfaces) that provide live streaming for its Sports service "had malicious code executed on them this weekend by attackers looking for vulnerable Shellshock servers," wrote Alex Stamos, Yahoo's chief information security officer.
Stamos wrote on the Hacker News website that the servers had been patched after the Shellshock vulnerability was disclosed.
Yahoo was notified by Jonathan Hall, senior engineer and president of Future South Technologies, a security consulting firm. Hall wrote on his blog that he uncovered a vulnerability in at least two Yahoo servers.
Hall wrote he found evidence that a group of what appears to be Romanian hackers had struck Yahoo, Lycos and WinZip, using the Shellshock vulnerability to infect servers and build a botnet, the term for a network of infected machines.
Shellshock, first identified late last month, is the nickname for a flaw in a form of software known as Bash, a command-line shell processor on Unix and Linux systems. The security hole could let attackers insert extra code into computers running Bash, allowing them to take control of servers remotely.
In a statement released earlier on Monday, Yahoo appeared to confirm Hall's finding that Shellshock was to blame. But Stamos later published a post on the Hacker News saying that further investigation showed Shellshock was not the cause.
The attackers, Stamos wrote, had "mutated" their exploit and ended up taking advantage of a different bug that was in a monitoring script being run by Yahoo's developers to parse and debug Web logs. That bug was only specific to a small number of machines, he wrote.
"As you can imagine this episode caused some confusion in our team, since the servers in question had been successfully patched (twice!!) immediately after the Bash issue became public," he wrote.
Hall wrote that he sent an email warning of his findings to WinZip, a division of Canada-based Corel. WinZip is a file compression utility.

ID: IRCNE2014102334
Date: 2014-10-07

According to “ZDNet”, AT&T suffered a data breach in August, carried out by one of its own staff, the cellular giant confirmed on Monday.
In a letter to Vermont's attorney general [PDF], AT&T officials said the former employee was able to access account information, including Social Security and driving license numbers.
Unique customer numbers, known as Customer Proprietary Network Information (CPNI), which can include metadata — such as the time, date, duration, and destination number of each call made — were also viewed by the company insider.
The letter said the account information was accessed "without authorization."
"This is not the way we conduct business, and as a result, this individual no longer works for AT&T," the letter wrote.
AT&T said it has informed law enforcement of the data breach.
However, the company, which remains the second-largest cellular giant by customers in the US behind Verizon, remained mum on how many individuals were affected.

Number: IRCNE2014102333
Date: 2014/10/07

According to “techworld”, despite the launch of new biometric technologies to authorise financial payments, banks should not ditch the traditional password to enable payments to be cleared, according to analyst IDC.
The analyst says biometric identification in financial applications is a "relatively young and experimental business".
IDC points out that the biggest developments are related to the fingerprint scanners built into Apple and Samsung smartphones. And Mastercard this month said it was trialling facial and voice recognition technologies to authorise retail payments.
Apple's Touch ID has been available for a year now, but up to now has only been used for unlocking screens. With the launch of the new iPhone 6 though, Apple has essentially endorsed Touch ID to replace the traditional PIN code for payment cards via Apple Pay, said IDC.
More importantly, said the analyst, Apple has now also given third-party developers access to the Touch ID application programming interface (API), enabling integration of its biometric identification method into iOS apps.
In addition, digital wallet operators PayPal and have upgraded their apps to allow users to sign in and authorise payments by swiping their finger. IDC said, "These financial institutions are the first to bet that the security level offered by mass market fingerprint scanners is at least as good as that of a PIN code or a password.
But financial institutions like banks should not jump in, warned IDC. Andrei Charniauski, an analyst at IDC, said: ''While improving authorisation experience is attractive and will help adoption of mobile banking services, financial institutions should not just blindly commit to mass market biometric identification solutions, especially those provided by third parties via publicly-available APIs.''
Charniauski said it would take "several years" for the financial industry to assess safety levels. Until then, the best approach, he said, was to use two-factor authentication in mobile applications. In order to maximise user experience, he added, it would be appropriate to introduce biometrics only for the initial sign in and access to the information area that offers account overviews and transaction statements, for instance.
"For the transaction part of the mobile application - including account transfers, bill payments and other sensitive functions such as payment card PIN change - financial institutions should double-up by retaining the traditional password,'' said Charniauski.

Number: IRCNE2014102332
Date: 2014/10/07

According to “itpro”, hackers have infected more than 17,000 Macs worldwide, and 1,227 in the UK, with the Mac.BackDoor.iWorm malware via social news site Reddit.
The cyber criminals managed to exploit a flaw in Apple's computer operating system by manipulating Reddit's search and comment functions.
Researchers at Russian antivirus company Dr Web revealed the flaw and said it gives a hacker remote access, allowing them to send commands to other computers to install more malware and, in some cases, launch spam campaigns and denial-of-service attacks.
The company said the hackers developed the malware using C++ and Lua and used encryption to carry out its actions.
When the hacker has managed to access the computer installation it is extracted into /Library/Application Support/JavaW folder and generates a p-list file so that the backdoor is launched automatically.
Independent security researcher Graham Cluley responded to the attack on his blog by saying it's not the first time Macs have been targeted with such a verocious campaign, although it's not as large scale as past attacks on Apple's computers.
"It isn’t anything like as big so far as the notorious Flashback worm which hit more than 600,000 Mac computers in early 2012," Cluley said.
He warned: "It is another timely warning that Mac users shouldn’t be fooled into thinking they are somehow immune from computer security threats. An anti-virus product should be part of your arsenal, if you value your privacy and the data you store on your Apple computer."

شماره: IRCNE2014102331
تاريخ: 12/07/93

يكي از محققان امنيتي در كنفرانس هفته گذشته آتلانتا اظهار داشت كه براي حمله به سيستم هاي كنترل صنعتي نيازي به حملات پيچيده اي مانند استاكس نت نيست بلكه مي توان با حملات سرقت هويت ساده اين سيستم ها را در معرض خطر قرار داد.
Chris Shipp، مدير امنيت سايبري در دپارتمان انرژي امريكا در كنفرانس امنيت گفت:با وجود استفاه از فايروال و كنترل دستگاه ها از طريق سروري كه در DMZ قرار دارد، حملات ساده مي توانند با موفقيت اجرا شوند.
او گفت كه اين قبيل حملات را بيش از يكبار در محيط هاي واقعي مشاهده كرده است و اين مشكل بسيار حائز اهميت است زيرا استاكس نت و حملات پيچيده ديگر نشان مي دهند كه گروهي با منابع وسيع در حال كار بر روي حملات مي باشند.
بهترين روش پيشگيري و دفاع در برابر حملات براي سيستم هايي كه نمي توانند ارتقاء يابند آن است كه تست نفوذ دائمي بر روي آن ها صورت گيرد تا ضعف هاي آن ها شناسايي شده و نسبت به رفع آن ها اقدام گردد.
اين مشكلات از آنجا ناشي مي شود كه سيستم هاي كنترلي به شبكه كسب و كار متصل مي شود و در نتيجه به اينترنت متصل مي شوند. اين كار باعث مي شود تا سوئيچ ها و گيت ها براي عمليات صدور صورتحساب، كنترل موجودي و اعمال اصلاحيه ها از راه دور كنترل شده و در دسترس قرار داشته باشند. در نتيجه مي توانند در معرض خطر حملات راه دور قرار داشته باشند.
در بسياري موارد امكانات شبكه از نرم افزارهاي اختصاصي به سمت نرم افزار ويندوز تغيير پيدا كرده است. بسياري از هكرها با اين محيط و آسيب پذيري هاي آن آشنايي كامل دارند و در نتيجه تعداد حملات بالقوه افزايش مي يابد.
در اين كنفرانس حمله اي شبيه سازي شد كه مي تواند حتي به شبكه هايي كه از سرور امن شده براي كنترل سيستم ها استفاده مي كنند نفوذ كند. در اين حمله ابتدا مهاجم از طريق يك حمله سرقت هويت و فريب كاربر به كليك كردن بر روي لينكي در يك وب سايت خرابكار كه منجر به دانلود بدافزار مي شود، كنترل سيستمي را بدست مي آورد. سپس مي تواند حملات متعدد ديگري را از جمله نصب ثبت كننده ضربات صفحه كليد، سرقت رمز عبور، نصب پوسته اي كه حاوي دستورات هكر است، پياده سازي نمايد. در نتيجه مسيري بين رايانه مهاجم و سرور امن شده از طريق ماشين كاربري كه هدف حمله قرار گرفته است برقرار مي شود. در اين حمله نمايشي، نشان داده شد كه چگونه هكر مي تواند فن يا چراغ قطعه اي از سخت افزار را خاموش نمايد.
اين محقق امنيتي توصيه مي كند كه امنيت معماري سايت هايي كه از سيستم هاي كنترل صنعتي استفاده مي نمايند بايد مبتني بر راهنماها و استارنداردهايي موسسه ملي كه براي اين قبيل سيستم ها طراحي شده است، باشد.