‫ اخبار

در سیستم عامل اندروید دسترسی مولفه ها و برنامه های عادی به منابع سیستمی محدود شده است و برای دسترسی به اینگونه منابع نیاز به سطح دسترسی SuperUser است. رسیدن به این سطح دسترسی با روش های خاصی امکان پذیر است ولی در صورتی که برنامه ای قابلیت دسترسی به این سطح را پیدا کند به دلیل اینکه به همه منابع سیستم دسترسی خواهد داشت بسیار خطرناک خواهد بود. همچنین به دلیل اینکه در سیستم عامل اندروید برنامه ها را می توان از منابع مختلفی بارگذاری نمود، امکان بارگذاری برنامه های آلوده ای که در فروشگاه های غیر معتبر وجود دارند زیاد است. این نرم افزار ها در نگاه اول نرم افزار های سالمی هستند که پس از نصب سعی در بدست آوردن سطح دسترسی بالا و ایجاد آلودگی و یا سرقت اطلاعات دارند.

درگذشته شاهد استفاده از سطح دسترسی SuperUser در تبلیغات درون برنامه هایی مانند Leech ، Guerilla، Ztogبوده ایم. این نوع استفاده از سطح دسترسی root، عادی نیست. با این حال برای حملات بدافزار های بانکداری، به دلیل اینکه پول را می توان به روش های دیگری که نیاز به سطح دسترسی خاصی ندارد، دزدید از این روش ها استفاده نمی شد.

در آغاز فوریه سال 2016، آزمایشگاه Kaspersky، یک تروجان بانکداری روی سیستم های اندروید تحت عنوان توردو Trojan banker (android os.tordow) پیدا کرد. نویسندگان این تروجان، استفاده از سطح دسترسی root را مفید می دانستند. به همین دلیل قابلیت های توردو بسیار بیشتر از سایر بدافزار های بانکداری می باشد و این موضوع می تواند باعث ایجاد حملات جدیدی از طرف مهاجمین شود.

دانلود پیوست

با وجود اینکه کلمه «Locky» جالب به نظر می رسد، در واقع یکی از متداول ترین گروه های باج افزار را نشان می دهد. با شناسایی شدن این باج افزار در اواسط فوریه 2016، همه گیر شدن رمزگذاری فایل، به اندازه ای پیچیده است که از رادار برخی ضد بدافزارها مخفی می ماند. به علاوه، سازندگان این باج افزار، در پیاده سازی رمزنگاری و استفاده از مکانیزم قفل اطلاعات که متخصصان امنیتی همچنان به دنبال راهکار دائمی برای آن هستند، بسیار تبحر دارند. درنهایت، این باج افزار نه تنها کاربران منحصر به فرد بلکه مؤسسات بهداشتی، شرکت های مخابراتی، دانشگاه ها و حتی دولت ها را مورد هدف قرار می دهد.

کمپین Locky به جای یک روند ایستا، یک فرآیند است. در طول فعالیت هشت ماهه خود، پنج شاخه مجزا از آن حاصل شده و احتمالاً چندین شاخه دیگر نیز در حال آماده سازی است. هر به روزرسانی جدید،

باج افزار را به دقت تنظیم می کند، به طوری که می تواند تلاش های رمزگشایی را مؤثرتر پاسخ دهد و فعالیت خود را برای گریز از شناسایی، مبهم کند. اکنون بررسی می گردد که چگونه این آسیب، طی زمان تکامل یافته است.

دانلود پیوست

با هزاران فایل جدید مخربی که هر روزه تولید می شوند، استفاده از راه های قدیمی مانند استفاده از آنتی ویروس ها راه دفاعی کافی در برابر حملات جدید محسوب نخواهد شد. Device Guard در ویندوز 10 نسخه سازمانی ، رویه سیستم عامل را از حالتی که در آن برنامه ها قابل اعتماد هستند (مگر اینکه توسط یک آنتی ویروس یا برنامه ی امنیتی دیگر جلوی کار آنها گرفته شود)، به حالتی که در آن سیستم عامل فقط به برنامه هایی اعتماد می کند که توسط خود شرکت مجاز شده باشند تغییر داده است. این برنامه ها با ایجاد سیاست های درستی کد، به عنوان برنامه های قابل اعتماد مشخص می شوند.

مکانیزم صحت کد دو قسمت دارد:‌ حالت درستی کد در مد هسته و حالت درستی کد در مد کاربر. حالت هسته ی درستی کد در نسخه های قبلی ویندوز وجود داشته و هسته ی سیستم عامل را در برابر اجرا شدن درایور های شناخته نشده محافظت می کرد. در ویندوز ۱۰ و ویندوز سرور ۲۰۱۶ علاوه بر حالت هسته، حالت کاربر درستی کد هم برای محافظت در برابر ویروس ها و بد افزار ها اضافه شده است.

برای بیشتر کردن میزان امنیتی که سیاست های درستی کد ایجاد می کند، Device guard می تواند از قابلیت های پیشرفته ی سخت افزار ها برای محافظت بیشتر آنها استفاده کند. این قابلیت ها شامل شبیه سازی CPU (Intel VT و AMD-V) و ترجمه سطح دوم آدرس (SLAT) می شود. علاوه بر این سخت افزار هایی که دارای واحد های مدیریت ورودی و خروجی حافظه هستند، محافظت بیشتری را شامل می شوند. وقتی که قابلیت های پیشرفته سخت افزار را فعال سازی می کنید، سرویس درستی کد می تواند در کنار هسته ی ویندوز در یک حالت محافظتی اجرا شود.

دانلود پیوست

سیستم های کنترل صنعتی (ها ICS)، بخش اصلی زیرساخت های حیاتی هستند و به تسهیل فعالیت های صنایع حیاتی مانند برق، نفت و گاز، آب، حمل و نقل، تولیدات و تولیدات شیمیایی کمک می کنند. موضوع در حال گسترش امنیت سایبری و تأثیر آن برICS، خطرات اساسی برای زیرساخت حیاتی کشور را نشان

می دهد. مدیریت مؤثر مسائل امنیت سایبری ICS، نیازمند درک صریح چالش های کنونی امنیت و اقدامات متقابل دفاعی خاص است. یک راهکار جامع (راهکاری که از اقدامات متقابل خاص پیاده سازی شده در لایه ها جهت ایجاد وضعیت امنیتی جامع و مبتنی بر خطر استفاده می‌کند) به دفاع در مقابل تهدیدات و آسیب پذیری های امنیت سایبری که می تواند بر این سیستم ها تأثیر بگذارد، کمک می کند. این راهکار که غالبا به عنوان «دفاع در عمق » به آن اشاره می شود، چارچوب انعطاف پذیر و قابل استفاده ای را برای بهبود امنیت سایبری در زمان پیاده سازی در سیستم های کنترل، ارائه می کند.

دانلود پیوست

اجرای چندین ماشین مجازی روی یک کامپیوتر بجای سرورهای اختصاصی که هر کدام نیازمند نگهداری های دمایی و مراقبت های توان مصرفی است، مبحث متقاعدکننده ای است. گره های مجازی سازی شده که توسط یک سرور فیزیکی واحد تغذیه می شوند، صرفه اقتصادی مناسبی دارد. تأثیرات اقتصادی مجازی سازی می تواند به طرز جذابی قوی باشد. به استناد نظر سنجی انجام شده توسط Forrester در سال 2011، پیاده سازی زیرساخت های ماشین های مجازی 255% از ریسک تنظیم شده در مدل ROI در یک بازه ی 4 ساله را به همراه داشته است که حتی با یک بازدهی 17 ماهه بعد از گسترش نیز برابر است.

اکنون سؤال این است که چه تعداد از ماشین های مجازی را می توان با آن مشخصات سخت افزاری بدون تأثیر قابل توجه در کارایی آنها پیاده سازی کرد؟ این به عنوان نرخ تثبیت شناخته می شود و این در حقیقت بخش ماهرانه کار است. با بسیاری از فاکتورهای که باید در نظر گرفته شود. به عنوان مثال باید دید ماشین مجازی مورد نظر چه نوع کارهایی را باید بتواند انجام دهد؟ از چه نرم افزاری برای ساخت استفاده می شود؟ ریسک های موجود برای سرمایه گذاری تمام عیار روی این کار چیست؟ و چگونه مطمئنانه زیرساخت مجازی خود را باید امن نمود و بدون کاهش بسیار زیاد سرعت در کار، از عدم آسیب پذیری در مقابل مجرمان مجازی اطمینان حاصل کرد؟ برای انتخاب تصمیم درست، به فهمیدن چندین مقوله و چگونگی ارتباط کاری بین آنها نیاز است.

لینک پیوست

آسیب‌پذیری دور زدن احراز هویت و پایان یافتن منابع بر روی محصولات siprotec4 و siprotec compact شرکت زیمنس

شرکت زیمنس از انتشار نسخه‌ی بروز رسانی سفت افزار برای دو محصول siprotec 4 و siprotec compact خبر داده است که به منظور کاهش آسیب پذیری های دور زدن احراز هویت و پایان یافتن منابع می باشد. این آسیب پذیری ها می توانند از راه دور مورد سوء استفاده قرار گیرند.

محصولات تحت­تأثیر

طبق گزارش شرکت زیمنس، محصول زیر تحت تاثیر این آسیب پذیری قرار دارد:

• ماژول اترنت EN100 (بطور اختیاری روی siprotec4 و siprotec compact قرار میگرد): تمام نسخه های قبل از v4.29

تأثیرات آسیب پذیری

مهاجم، با سوء استفاده از این آسیب پذیری میتواند به قسمت مربوط به مدیر اپلیکیشن تحت وب وصل شود. مهاجمانی که به شبکه از طریق رابط وب (port80/tcp) متصل اند، میتوانند احراز هویت را دور بزنند و عملیاتی در سطح مدیر انجام دهند.

تاثیر این آسیب پذیری بر سازمان ها به فاکتورهای متعددی که برای هر سازمان منحصر به فرد هستند، بستگی دارد. NCCIC/ICS-CERT به سازمان ها توصیه می کند تاثیر این آسیب پذیری را بر اساس محیط عملیاتی، معماری و پیاده سازی محصول شان ارزیابی کنند.

اقدامات جهت کاهش شدت آسیب­پذیری

شرکت زیمنس سفت افزار نسخه v4.29 را برای بروز رسانی ماژول EN100 در این دو محصول ارایه کرده است. همچنین برروز رسانی به اخرین نسخه را نیز توصیه کرده است.

ادرس محل دانلود نسخه های بروز برای این دو محصول در زیر امده است:

http://www.siemens.com/downloads/siprotec-4

http://www.siemens.com/downloads/siprotec-compact(link is external)

به عنوان یک اقدام امنیتی عمومی، شرکت زیمنس به حفظ شبکه از دسترسی دستگاه های خارجی و غیر محیطی به آن با مکانیزم های مناسب توصیه می کند.

مرکز ماهر جهت به حداقل رساندن خطر بهره برداری از این آسیب‌پذیری ها، به کاربران توصیه می کند تدابیر امنیتی در نظر گیرند. به طور خاص، کاربران باید:

• در معرض شبکه قرار گرفتن تمام دستگاه های سیستم و/یا سیستم های کنترل را به حداقل برسانند، و مطمئن شوند که آنها از طریق اینترنت قابل دسترسی نیستند.
• شبکه های سیستم کنترل و دستگاه های راه دور را در پشت دیوارآتش مستقر سازند، و آن ها را از شبکه تجاری جدا سازند.
• هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن، مانند شبکه های خصوصی مجازی (VPNs) استفاده کنند، در نظر داشته باشند که VPNها نیز ممکن است آسیب پذیری هایی داشته باشند و باید به جدیدترین نسخه موجود به روز رسانی شوند. همچنین VPN تنها امنیت دستگاه های متصل را تأمین می کند.

مرکز ماهر یادآور می شود که سازمان ها قبل از اعمال تدابیر امنیتی، آنالیز مناسبی از تأثیر و ارزیابی خطر انجام دهند.

گزارش آماري از آسيب پذيري هاي محصولات شركت زيمنس
در سال 2014 و نيمه اول سال 2015

1 معرفي انواع آسيب پذيري‌ها
1-1 آسيب پذيري انكار سرويس
آسيب پذيري انكار سرويس يا حمله DoS جهت ممانعت يا متوقف كردن كاركرد عادي يك وب سايت، سرور يا ساير منابع شبكه طراحي شده است. مبناي حملات DOS زير بار قرار دادن يك سرويس به شكلي كه ديگر قادر به پاسخگويي نباشد مي باشد و باعث اتلاف منابع و نهايتا از كار افتادن سيستم مي شود.
حملات انكار سرويس با هدف قرار دادن سرويسهاي گوناگون و در اشكال متنوعي ظاهر مي شوند، اما سه شيوه اصلي حمله وجود دارد كه عبارتند از:
مصرف كردن منابع نادر، محدود و غير قابل تجديد
از بين بردن يا تغيير دادن اطلاعات مربوط به پيكربندي سيستم
خرابي فيزيكي يا تبديل اجزاي شبكه

1-2 آسيب پذيري اجراي كد
آسيب پذيري اجراي كد به مهاجمان و نفوذگران اجازه تزريق كد و اجراي كد دلخواه بر روي محصول آسيب پذير را مي دهد.
1-3 آسيب پذيري سرريز
آسيب پذيري سرريز زماني رخ ميدهد كه حجم اطلاعات كپي شده به بافر يا پشته، بيشتر از ميزان مشخص شده براي آنها باشد. اين آسيب پذيري به مهاجمان راه دور اجازه اجراي كد دلخواه از طريق بردارهاي نامشخص را مي‌دهند.
1-4 آسيب پذيري تزريق كد
تزريق كد عبارت‌است از سوء استفاده از باگ‌هاي يك سامانه كه منجر به اجرايِ كد‌هاي ناخواسته در سامانه مي‌شود. مهاجم با استفاده از حملات تزريق مي‌تواند مسير برنامه را به سمتي كه مي‌خواهد تغيير دهد. يكي از موارد رايج براي حمله‌هاي تزريق كد، اعتماد نابجاي توسعه‌دهندگان نرم‌افزارها به ورودي كاربران است كه در پي آن مهاجم با سوءاستفاده از اين موضوع كد خود را در كنار ورودي كاربر جاسازي مي‌كند.
حمله هاي XSS نوعي از تزريق كد هستند كه به وسيله ي آن اسكريپت هاي مخرب را درون يك وب سايت مورد اعتماد، تزريق مي كنند. حمله هاي XSS زماني اتفاق مي افتد كه هكر از يك برنامه‌ي وب براي ارسال كدهاي مخرب خود كه عموماً در شكل اسكريپت هاي سمت مرورگر است به كاربر نهايي استفاده كند. رخنه هايي كه باعث مي‌شوند اين حمله موفقيت آميز باشد، بسيار شايع است و اين آسيب پذيري در هر برنامه ي تحت وبي كه از ورودي هاي كاربر در خروجي و بدون اعتبارسنجي يا كدگذاري استفاده مي كند، وجود دارد.

براي مطالعه كامل اين گزارش به پيوست مراجعه نماييد.

پيوست شماره 1

وضعيت امنيت در سيستم‌هاي كنترل امروزي

سيستم‌هاي كنترل صنعتي (ICS) يا نرم‌افزار و سخت‌افزاري كه تجهيزات فيزيكي و فرايندهاي مربوط به زيرساخت‌هاي حياتي مانند آب، نفت، گاز، انرژي، خدمات رفاهي و همچنين توليدات اتوماتيك، فرايند داروسازي و شبكه‌هاي دفاعي را مديريت و كنترل مي‌كنند، به هدف بسيار جالبي براي افرادي كه قصد تخريب يا تهديد اين زيرساخت‌ها را براي مقاصد شخصي دارند، تبديل مي‌شوند. به سبب هزينه‌هاي قابل توجه طراحي، توسعه و بهينه‌سازي سيستم‌هاي كنترل، افرادي كه به‌خاطر منافع شخصي به دنبال كسب داده‌هاي تكنيكي هستند نيز اين سيستم‌ها را مورد هدف قرار مي‌دهند.

موسسه SANS، نگراني‌هاي كنوني مربوط به حملات در اين بخش را با ظهور استاكس‌نت تشخيص داد و توسعه فرايند امنيتي ICS را آغاز كرد كه گزينش رو به رشدي را در پيشنهادات آموزشي و تحقيق ساليانه درباره متخصصان شاغل يا فعال در سيستم‌هاي كنترل صعنتي شامل مي‌شود. از زمان اولين تحقيق امنيت ICS، وقايع نگران‌كننده‌اي را مشاهده كرده‌ايم مانند حادثه كارخانه استيل آلماني در سال 2014 و بدافزارهاي هدف‌گيرنده ICS مانند Havex و Dragonfly.

در سال 2015، سومين تحقيق را روي امنيت ICS انجام داديم كه توسط 314 شركت‌كننده انجام شد. جواب‌هاي شركت‌كنندگان نشان مي‌دهد كه سازمان‌هايآنها در رابطه با اجراي اساسي‌ترين عمليات ICS به نحو قابل اعتماد و ايمن، ابراز نگراني كرده‌اند. جواب‌هاي شركت‌كنندگان ترديد رو به رشدي را نيز نشان مي‌دهد كه آيا به سيستم‌هايشان بدون اطلاع آنها نفوذ شده است يا خير. همچنين نتايج حاصل از تحقيق، داده‌هاي صنعت ديگري را منعكس مي‌كند كه نشان‌دهنده مورد هدف قرار گرفتن مكرر سيستم‌هاي كنترل صنعتي، مخصوصا سيستم‌هاي توليد انرژي است. همچنين اين داده‌ها نشان مي‌دهند كه آن حملات هدف‌دار، با توجه به تعداد زياد رخنه‌ها حاصل شده‌اند.



براي دريافت كامل اين مستند به پيوست مراجعه نماييد.

گزارش آماري از آسيب پذيري هاي امنيتي سامانه هاي كنترل صنعتي برندهاي معروف دنيا در سال هاي اخير

تمدن مدرن تا حد زيادي به سيستم هاي اتوماسيون پردازش صنعتي ICS/SCADA وابسته هستند. تكنولوژي كامپيوتر در حال حاضر عمليات نيروگاه هاي هسته اي، نيروگاه هاي برق آبي (هيدرو‌الكتريسيته) خطوط نفت و گاز و همچنين سيستم هاي حل و نقل در سطح ملي و جهاني را كنترل مي‌كند.

سود شركت ها و امنيت ملي، هر دو در اين سيستم هاي كنترلي به عمليات بدون خطر و قابل اعتماد بستگي دارد.

امنيت چنين سيستم هايي در سالهاي اخير، در پي يك سري از حوادث مربوط به ويروس هاي كامپيوتري خاص مانند Flame و Stuxnet ، به يك موضوع مهم تبديل شده است. اين حملات نشان مي دهند در صورتي كه امنيت اطلاعات ICS/SCADA/PLC در اولويت بالا قرار داده نشده باشد چگونه مهاجمان سايبري، شركت هاي رقيب يا سرويس هاي مخفي از كشورهاي ديگر، مي توانند به آساني از آنها سود ببرند.

حملات شبيه سازي شده و مدل سازي تهديد جزء ضروري از فرآيند استقرار براي سيستم هاي حياتي هستند. از آنجايي كه فهميدن اين موضوع كه مهاجم احتمالي ممكن است چه مهارتي داشته باشد و چه روش حمله اي را انتخاب مي كند امري مهم است، از حملات شبيه سازي شده و مدل سازي تهديدات استفاده مي‌شود. به منظور پاسخ به اين پرسش، كارشناسان Positive Research يك بررسي امنيتي كامل از سيستم هاي ICS/SCADA انجام داده اند. اين گزارش، جزئيات يافته هاي مطالعه آسيب‌پذيري هاي كشف شده در طي مدت سال 2005 تا اكتبر 2012 را بيان مي كند.

اين گزارش شامل 3 بخش مي باشد.

براي دريافت كامل اين مستند به پيوست مراجعه نماييد.

آسيب پذيري دور زدن احراز هويت در SICAM MIC شركت زيمنس

آسيب پذيري دور زدن احراز هويت در SICAM MIC
شركت زيمنس در دستگاه كنترل از راه دور SICAM MIC خود، يك آسيب پذيري دور زدن احراز هويت را شناسايي كرده است. در اين خصوص شركت زيمنس يك بروزرساني جديد در firmware را براي كاهش اين آسيب پذيري ارائه داده است. اين آسيب‌پذيري مي‌تواند از راه دور مورد سوء استفاده قرار گيرد.
محصولات تحت¬تأثير
دستگاه SICAM MIC شركت زيمنس، يك دستگاه مدولار راه دور براي اتوماسيون انرژي است كه به خانواده محصولات SICAM RTU تعلق دارد. به گفته ي شركت زيمنس، محصولات SICAM MIC در چندين بخش از جمله "انرژي" گسترش يافته اند. شركت زيمنس تخمين مي زند اين محصولات در سراسر دنيا (صنعت برق) مورد استفاده قرار ميگيرد.
شركت زيمنس اعلام مي كند اين آسيب پذيري بر روي تمام نسخه هاي SICAM MIC ذيل تاثير مي گذارد:
• SICAM MIC : تمام نسخه هاي قبل از V2404

تأثيرات آسيب پذيري
مهاجم راه دور مي تواند از اين آسيب پذيري براي اجراي عمليات مديريتي بهره ببرد. تاثير اين آسيب پذيري بر هر سازمان به فاكتورهاي متعددي كه براي هر سازمان منحصر به فرد هستند، بستگي دارد. NCCIC/ICS-CERT به سازمان ها توصيه مي كند تاثير اين آسيب پذيري را بر اساس محيط عملياتي، معماري و پياده سازي محصول شان ارزيابي كنند.

اقدامات جهت كاهش شدت آسيب¬پذيري
شركت زيمنس سفت افزار به روز رساني شده V2404 را كه اين آسيب پذيري در آن بر طرف شده و شامل بهبود وضعيت امنيتي است، ارائه كرده است. اين شركت به مشتريان توصيه مي كند سيستم عامل سفت افزار هاي خود را به بالاترين نسخه ارتقا دهند. نسخه ي به روز SICAM MIC را مي توانيد از وبسايت شركت زيمنس به آدرس زير دريافت كنيد:
http://w8.siemens.com/smartgrid/global/en/products-systems-solutions/substation-automation/remote-terminal-units/Pages/SICAM-MIC.aspx

مركز ماهر به كاربران توصيه مي كند براي كاهش خطر بهره برداي از اين آسيب پذيري، اقدامات دفاعي اتخاذ كنند. به ويژه كابران بايد:
• قوانين ديواره آتش را به گونه اي تنظيم كنند كه ترافيك وارد شونده به دستگاه هاي آسيب ديده بر روي پورت TCP 80 محدود شود.
• ترافيك وارد شونده به دستگاه هاي آسيب ديده بر روي پورت TCP 80 را با سيستم تشخيص نفوذ (IDS) نظارت كنند.
• در معرض شبكه قرار گرفتن تمام سيستمها و يا دستگاه‌هاي سيستم كنترل را به حداقل برسانند و اطمينان حاصل كنند كه آنها از طريق اينترنت در دسترس نيستند.
• شبكه هاي سيستم كنترلي و دستگاه هاي از راه دور را در پشت ديواره هاي آتش قرار دهند و آنها را از شبكه كسب و كار جدا كنند.
• هنگامي كه دسترسي از راه دور مورد نياز است از روش هاي امن، مانند شبكه هاي خصوصي مجازي (VPN) استفاده كنند، با آگاهي به اينكه VPN ها ممكن است ضعف هايي داشته باشند و بايد به آخرين نسخه ي موجود به روز رساني شوند. همچنين در نظر داشته باشيد كه امنيت VPN به دستگاه هاي متصل بستگي دارد.