فا

‫ اخبار

صفحات: «« « ... 46 47 48 49 50 ... » »»
خطرناك ترين 25 خطاي برنامه نويسي- قسمت اول
IRCRE200902001
متخصصان 30 شركت فعال در زمينه امنيت رايانه با هم همكاري كرده اند تا ليستي از مهم ترين و خطرناك ترين خطاهاي برنامه نويسي را تهيه كنند. متأسفانه تعداد زيادي از برنامه نويسان حتي از وجود چنين خطاهايي بي اطلاع هستند و اغلب در برنامه هايشان مرتكب اشتباهات مشابهي مي شوند. از طرفي چنين نقصهايي معمولاً در نرم افزارهايي كه براي فروش آماده مي شوند، مورد توجه قرار نمي گيرند. تنها دو خطا از ليست فوق منجر به نفوذ در 1.5 ميليون وب سايت در سال 2008 شده است. متأسفانه اين نفوذها به رايانه هاي بازديد كننده از وب سايتهاي مذكور گسترش پيدا مي كنند و آنها را به زامبي هايي براي سوء استفاده هاي بعدي خود تبديل مي كنند. اين ليست براي آگاه سازي تيم هاي برنامه نويسي تهيه شده است تا پروسه اي را براي پيشگيري، تشخيص و ترميم چنين خطاهايي تعريف كنند. ليست مزبور توسط شركتهاي CWE/Sans با جزئيات و مفصلاً منتشر شده است كه براي اطلاعات بيشتر مي توانيد به آن مراجعه كنيد. 25 خطاي خطرناك به سه گروه تقسيم شده اند:
  1. تعامل نا امن بين اجزاي برنامه (9 خطا)
    كاستي هاي اين قسمت مربوط به روش هاي نا امن ارسال و دريافت داده بين اجزا، ماژول ها، برنامه ها، پردازه ها و رشته هاي يك نرم افزار و يا در تعامل با سيستم است.
  2. مديريت پر خطر منابع (9 خطا)
    كاستي هاي اين قسمت مربوط به مديريت نامناسب ايجاد، استفاده، انتقال و يا از بين بردن منابع مهم سيستمي است.
  3. دفاع پرخلل (7 خطا)
    كاستي هاي اين قسمت مربوط به استراتژي هاي دفاعي است كه اغلب بد استفاده مي شوند و يا به راحتي ناديده انگاشته مي شوند.
در اين قسمت از گزارش به توضيح خطاهاي گروه اول مي پردازيم.

تعامل نا امن بين اجزاي برنامه

  • اعتبارسنجي نامناسب ورودي
    اين خطا كه مي تواند منجر به اجراي كد، انكار سرويس و گم شدن داده ها شود، دشمن شماره يك سلامت نرم افزار است. اگر مطمئن نشويد اطلاعات ورودي دقيقاً با انتظارات همخواني دارند، صد در صد با مشكل مواجه خواهيد شد. براي مثال در جايي كه انتظار داريد يك شناسه عددي وارد شود، ورودي به هيچ وجه نبايد شامل داده هاي كاراكتري باشد. در برنامه هاي كاربردي واقعي نيازهاي اعتبارسنجي اغلب پيچيده تر از حالت ساده مذكور مي باشند. اعتبار سنجي نادرست منجر به آسيب پذيري مي شود، زيرا مهاجمان قادرند ورودي را با روشهاي غير قابل انتظار دستكاري كنند. امروزه بسياري از آسيب پذيري هاي مشترك و معمول مي توانند با اعتبار سنجي درست ورودي از بين رفته و يا به حداقل كاهش پيدا كنند.
  • رمزگذاري نامناسب يا خروجي رها شده
    اين خطا كه مي تواند منجر به اجراي كد و گم شدن داده ها شود، يكي ديگر از خطاهاي معمول برنامه نويسان است. بهتر است توجه كنيد رايانه ها عادت دارند آنچه را مي گوييد انجام دهند نه آنچه را منظورتان است. رمز گذاري ناكافي خروجي كه در رديف اعتبارسنجي ضعيف ورودي است، معمولاً ناديده انگاشته مي شود. اما بايد توجه داشت همين امر، ريشه بسياري از حملات تزريقي است كه امروزه بسيار رايج است. زماني كه قسمتي از برنامه شما خروجي ساخت يافته براي ديگر اجزاي برنامه توليد مي كند، بايد دقت كنيد كه داده هاي كنترلي و ابرداده ها از داده هاي واقعي جدا شوند و همگي از طريق يك جريان ارسال نشوند. در غير اين صورت مهاجمان مي توانند كنترل برنامه را به جاي شما به دست گيرند.
  • ضعف در حفظ ساختار پرس و جوي SQL (تزريق SQL)
    امروزه به نظر مي رسد عمده كار نرم افزارها با داده ها است: آنها را به پايگاه داده ها مي فرستند، از پايگاه داده بازيابي مي كنند و به صورت پيغامهاي اطلاعاتي در مي آورند تا آنها را به هر مقصد ديگري ارسال كنند. اگر مهاجمان بتوانند به SQL شما نفوذ كنند، آنگاه مي توانند به پايگاه داده ها دسترسي پيدا كرده و هر گونه خرابكاري ممكن را از سرقت داده ها گرفته تا دستكاري آنها و تخريب زيربناهاي پايگاه داده انجام مي دهند. آنها ممكن است حتي اطلاعات را بايت به بايت دريافت كنند و خيلي خوب هم مي دانند كه چگونه اين كار را انجام دهند.
  • ضعف در حفظ ساختار صفحات وب (Cross-Site Scripting)
    XSS يا Cross-site scripting يكي از متداولترين، سرسخت ترين و خطرناك ترين آسيب پذيريها در برنامه­هاي كاربردي وب است. البته با توجه به طبيعت HTTP، اختلاط داده و اسكريپت در HTML ، تعدد انتقال داده بين وب سايتها، الگوهاي رمزگذاري متنوع و مرورگرهاي وب با ظاهرهاي آراسته، بروز اينگونه آسيب پذيريها اجتناب ناپذير مي نمايد. اگر شما بادقت و آگاه نباشيد، مهاجمان قادرند كدهاي جاوا اسكريپت يا كدهايي كه توسط مرورگرها قابل اجرا هستند را در برنامه شما تزريق كنند و به اين ترتيب بدافزارها از طريق صفحات وب شما به رايانه هاي مشاهده كنندگان سايت راه پيدا مي كنند. دقت كنيد كه در اين صورت، اين وب سايت شما است كه منبع گسترش بدافزارها مي شود. در واقع برنامه شما در خدمت كدي در مي آيد كه شما آن را توليد نكرده ايد.
  • ضعف در حفظ ساختار دستورات سيستم عامل (تزريق دستور سيستم عاملي)
    معمولاً نرم افزار شما پلي بين كاربران و سيستم عامل است، وقتي شما درخواستي به يكي از برنامه هاي سيستم عامل مي فرستيد و اجازه مي دهيد تا وروديهاي غير قابل اعتماد، وارد رشته دستور توليدي براي برنامه مقصد شوند، در اين صورت مهاجمان را دعوت به شكستن پل و دسترسي به منابع سيستمي، با استفاده از اجراي دستورات خودشان به جاي دستورات شما، مي كنيد.
  • انتقال اطلاعات حساس به صورت متن معمولي
    اگر نرم افزار شما اطلاعات حساسي مانند داده هاي خصوصي يا گواهي هاي تصديق هويت را از طريق اينترنت ارسال مي كند، بايد دقت داشته باشيد كه داده هاي شما براي رسيدن به مقصد از گره هاي بسياري عبور مي كند. مهاجمان بدون تلاش زيادي و با روشهاي خاص خودشان، قادرند اطلاعاتي را كه در حال تبادل هستند، شنود كرده و مورد سوءاستفاده قرار دهند. در ضمن بايد گفت الگوهايي مانند Base64 و رمزگذاري URL هيچگونه مصونيتي براي داده هاي شما ايجاد نمي كنند. رمزگذاريهاي مذكور براي نرمال سازي ارتباطات به كار مي روند نه براي تغيير داده ها به صورتي كه ناخوانا شوند. لذا اطلاعات حساس را هميشه بايستي پيش از ارسال با استفاده از الگوريتمهاي مناسب رمزنگاري كرد.
  • جعل تقاضاهاي Cross-Site
    اين اشتباه برنامه نويسي كه منجر به حمله CSRF مي شود را مي توان به تحويل گرفتن ساكي دربسته از فردي ناشناس براي وارد كردن به هواپيما تشبيه كرد. بله اين خطا به همان اندازه خطرناك است. در اين مورد مهاجم يك كاربر را فريب مي دهد تا درخواستي را براي وب سايت شما ارسال كند، البته ممكن است خود كاربر حتي متوجه ارسال اين درخواست نشود. به هرحال وقتي درخواست به سرور شما مي رسد، به عنوان درخواستي از يكي از كاربران شما تلقي مي شود نه درخواستي از يك مهاجم. شايد اين مسئله فريبي بزرگ به نظر نرسد ولي در نظر بگيريد كه مهاجم به اين ترتيب دسترسي هاي كاربران را خواهد داشت و اگر اين كاربر دسترسي مدير سايت را داشته باشد، آنگاه مهاجم كنترل كامل وب سايت شما را در اختيار خواهد گرفت. وقتي اين حمله با حمله كرمهاي XSS تركيب شود، نتايج گسترده و ويرانگري به جا خواهد گذاشت. شايد قبلاً درباره كرمهاي XSS كه ظرف مدت چند دقيقه تعداد زيادي وب سايت را در مي نوردند، شنيده باشيد. بايد حدس زده باشيد كه در اين حالت كرمها معمولاً توسط حمله CSRF تغذيه مي شوند. براي مقابله با اين حمله بهتر است از بسته هاي ضد CSRF مانند OWASP استفاده كنيد و مطمئن شويد كه برنامه شما شامل دستورات Cross-Site Scripting نيست، چراكه بسياري از ديوارهاي دفاعي CSRF توسط اسكريپت هاي كنترلي مهاجمان شكسته مي شوند.
  • شرايط رقابتي
    تصادفات ترافيكي زماني رخ مي دهند كه دو وسيله قصد استفاده از منبع يكساني مانند جاده، را درست در يك زمان دارند. شرايط رقابتي در رايانه شما نيز وضعيت مشابهي را دارا هستند با اين تفاوت كه مهاجم آگاهانه سعي در ايجاد شرايط رقابتي دارد تا با ايجاد هرج و مرج، برنامه شما را در حالتي قرار دهد كه اطلاعات ارزشمندي لو بروند. شرايط رقابتي منجر به خرابي داده ها و انكار سرويس مي شوند. خوشبختانه در حال حاضر هنوز روش مطمئني براي اجراي كد از طريق شرايط رقابتي ابداع نشده است. فشار شرايط رقابتي مي تواند محلي يا عمومي باشد و اين بستگي به محل وقوع آن دارد كه آيا در رشته ها، پردازه ها و يا سيستم اتفاق بيفتد. هم چنين بستگي به محل اثرگذاري آن مانند منطق امنيتي برنامه يا متغيرهاي حالت دارد.
  • نشت اطلاعات از پيغام هاي خطا
    اگر از پيغامهاي خطا با توضيحات زياد استفاده كنيد، آنگاه اين پيغامها مي توانند به فاش سازي اسرار براي مهاجمي بپردازند كه مشتاقانه سيستم شما را نادرست مورد استفاده قرار مي دهد. اسرار فاش شده دامنه وسيعي از اطلاعات از داده هاي شخصي گرفته تا تنظيمات سرور را شامل مي شوند. بعضي اوقات اطلاعات ذكر شده در خطا، اطلاعات بي ضرري به نظر مي رسند كه براي راحتي بيشتر كاربران ارائه شده اند مانند مسير نصب نرم افزار. ولي در واقع اين اطلاعات كوچك نيز مي توانند كمكي براي حمله هاي بزرگ و متمركز ديگر باشند كه هر روزه اتفاق مي افتند. دقت كنيد كه امكان آشكار سازي اطلاعات چه شما خطا را به كاربر برگردانيد، چه آن را در فايلي ثبت كنيد، صادق است.
خطاهاي باقيمانده مربوط به گروه دوم و سوم در قسمت دوم گزارش بررسي شده است.
25 بهمن 1390 برچسب‌ها: گزارشات تحلیلی
همه آنچه در موردConficker بايد بدانيد
IRCRE200902002
اين روزها همه جا بحث از كرم Downadup يا Conficker و آلودگي هاي ايجاد شده توسط آن است. طبق اظهارات متخصصان امنيت رايانه، حمله اين كرم بزرگترين حمله يك كرم اينترنتي در طي سالهاي اخير بوده است و همچنان خبرهاي زيادي در مورد آن در وب سايت هاي مرتبط با امنيت رايانه منتشر مي شود. در اين گزارش برآنيم تا مشخصات كرم مذكور، آلودگيهايي كه ايجاد مي كند، راههاي گسترش آن و هم چنين روش مقابله با آن را بررسي كنيم.

اسامي پيشنهاد شده

براي اين كرم اسامي متعددي پيشنهاد شده است:
CA : Win32/Conficker.A
Sophos : Mal/Conficker-A
Kaspersky : Trojan.Win32.Agent.bccs
Symantec : W32.Downadup.B
other : Confickr
other : TA08-297A
other : CVE-2008-4250
other : VU827267

در اين گزارش از نام Conficker كه رايج تر از بقيه است، استفاده مي كنيم.
كرم Win32/Conficker.B از طريق شبكه و با سوءاستفاده از يك آسيب­پذيري كه در خدمت ويندوز سرور (Windows Server Service) وجود دارد، (SVCHOST.EXE) گسترش پيدا مي كند. اگر سوءاستفاده از آسيب­پذيري مذكور با موفقيت انجام شود، كرم مذكور رايانه هدف را مجبور مي سازد تا نسخه اي از آن را از رايانه ميزبان، با استفاده از يك پورت تصادفي بين 1024تا 10000 كه توسط كرم باز شده است، بر روي رايانه قرباني قرار دهد. اين كرم هم چنين مي تواند از طريق حافظه هاي قابل حمل يا رمز عبورهاي ضعيف مديران شبكه راه خود را به رايانه هاي ديگر باز كند. اين كرم زرنگ زماني كه به رايانه­اي وارد مي­­شود، محصولات امنيتي و خدمات سيستمي مهم را غير فعال مي سازد و حسابي دست و پاي رايانه قرباني را مي بندد. به همين علت قوياً به همه كاربران ويندوز توصيه مي كنيم تا به روز رساني امنيتي MS08-067 را هر چه سريعتر دريافت و نصب كنند. هم چنين پيشنهاد مي­كنيم كاربران از به كار بردن رمزهاي عبور ضعيف خودداري كنند تا آلودگي از اين طريق گسترش پيدا نكند.

آلوده سازي

اين كرم در وهله اول سعي مي كند خود را در فولدر ويندوز به عنوان يك DLL مخفي با نامي تصادفي، كپي كند. اگر در اين مرحله موفق نشود، سعي مي كند خود را با همان پارامترها در فولدرهاي زير كپي كند:
%ProgramFiles%Internet Explorer
%ProgramFiles%Movie Maker

اين كرم رشته زير را در رجيستري وارد مي كند تا مطمئن شود هر بار كه ويندوز بالا مي آيد، كپي مذكور اجرا مي شود:

Adds value: "<random string>"
With data: "rundll32.exe <system folder><malware file name>.dll,<malware parameters>"
To subkey: HKCUSoftwareMicrosoftWindowsCurrentVersionRun

هم چنين ممكن است خود را به عنوان يك خدمت بارگذاري كند كه در زمان بار شدن گروه netsvcs توسط فايل سيستمي svchost.exe، بالا بيايد، يا خود را به صورت يك خدمت جعلي با استفاده از كليد رجيستري زير بار گذاري كند:
HKLMSYSTEMCurrentControlSetServices
اين كرم نام خود را از تركيب دو واژه از ليست واژگان زير يا به شكل تصادفي برمي­گزيند.

Boot
Center
Config
Driver
Helper
Image
Installer
Manager
Microsoft
Monitor
Network
Security
Server
Shell
Support
System
Task
Time
Universal
Update
Windows

راه هاي انتشار

همان طور كه گفتيم يكي از راه هاي انتشار اين كرم از طريق شبكه است. به همين علت در وهله اول كرم Conficker سعي مي كند تا با استفاده از اعتبار قانوني كاربري كه در حال حاضر به شبكه متصل است يك كپي از خودش را درshare ADMIN$ ماشين هدف قرار دهد. اگر به هر دليلي، مثلاً نداشتن دسترسي هاي ضروري كاربر فعلي، در اين گام موفق نشود، ليستي از حسابهاي كاربري ماشين هدف را به دست مي آورد. سپس سعي مي كند تا با استفاده از نام هاي كاربري فوق و يكي از رمزهاي عبور ضعيف زير به رايانه هدف راه پيدا كند. به همين دليل به كاربران توصيه مي كنيم از انتخاب رمزهاي ضعيف خودداري كنند.
123
1234
12345
123456
1234567
12345678
123456789
1234567890
123123
12321
123321
123abc
123qwe
123asd
1234abcd
1234qwer
1q2w3e
a1b2c3
admin
Admin
administrator
nimda
qwewq
qweewq
qwerty
qweasd
asdsa
asddsa
asdzxc
asdfgh
qweasdzxc
q1w2e3
qazwsx
qazwsxedc
zxcxz
zxccxz
zxcvb
zxcvbn
passwd
password
Password
login
Login
pass
mypass
mypassword
adminadmin
root
rootroot
test
testtest
temp
temptemp
foofoo
foobar
default
password1
password12
password123
admin1
admin12
admin123
pass1
pass12
pass123
root123
pw123
abc123
qwe123
test123
temp123
mypc123
home123
work123
boss123
love123
sample
example
internet
Internet
nopass
nopassword
nothing
ihavenopass
temporary
manager
business
oracle
lotus
database
backup
owner
computer
server
secret
super
share
superuser
supervisor
office
shadow
system
public
secure
security
desktop
changeme
codename
codeword
nobody
cluster
customer
exchange
explorer
campus
money
access
domain
letmein
letitbe
anything
unknown
monitor
windows
files
academia
account
student
freedom
forever
cookie
coffee
market
private
games
killer
controller
intranet
work
home
job
foo
web
file
sql
aaa
aaaa
aaaaa
qqq
qqqq
qqqqq
xxx
xxxx
xxxxx
zzz
zzzz
zzzzz
fuck
12
21
321
4321
54321
654321
7654321
87654321
987654321
0987654321
0
00
000
0000
00000
00000
0000000
00000000
1
11
111
1111
11111
111111
1111111
11111111
2
22
222
2222
22222
222222
2222222
22222222
3
33
333
3333
33333
333333
3333333
33333333
4
44
444
4444
44444
444444
4444444
44444444
5
55
555
5555
55555
555555
5555555
55555555
6
66
666
6666
66666
666666
6666666
66666666
7
77
777
7777
77777
777777
7777777
77777777
8
88
888
8888
88888
888888
8888888
88888888
9
99
999
9999
99999
999999
9999999
99999999

اگر win32/Conficker.B در دسترسي به رايانه هدف موفق شود، براي مثال تركيب يكي از نام هاي كاربري با يكي از رمزهاي عبور فوق درست از آب درآيد و كاربر اجازه نوشتن بر روي رايانه هدف را داشته باشد، آنگاه يك نسخه از خودش را بر روي ADMIN$System32<random letters>.dl قرار مي دهد.
بعد از دسترسي از راه دور به يك ماشين ، كرم فوق يك كار زمان بندي شده از راه دور (remote schedule job) را با استفاده از دستور زير براي فعال سازي كپي خود ايجاد مي كند:
“rundll32.exe<malware file name>.dll, <malware parameters>”
اين امر در شكل زير نشان داده شده است:




كرم Win32/Conficker.B مي تواند خود را بر روي همه درايوهاي قابل حمل و نگاشت شده با استفاده از يك نام فايل تصادفي، كپي كند. كرم مذكور يك فولدر به نام RECYCLER ايجاد مي كند و سپس يك نسخه از خودش را در مسير زير قرار مي دهد:
<drive:>RECYCLERS-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d<random letters>.dll

در مسير فوق %d يك كاراكتر حرفي تصادفي است. هم چنين اين كرم يك نسخه از فايل autorun.inf را در همان محل قرار مي دهد تا هر زمان كه دسترسي به درايو از طريق AutoRun انجام شد، فايل مذكور اجرا شود. شكل زير نشان مي دهد كه چگونه كاربران ممكن است كرم را با دسترسي به يك فايل مشترك آلوده، فعال كنند.



دقت كنيد كه متن انتخاب اول "open folder to view files" مي باشد در حالي كه زير گزينه "Install or run program" آمده است، كه نشان مي دهد باز كردن فولدر از اين طريق منجر به اجراي برنامه اي مي شود. استفاده از انتخاب پايين كه زير گزينه "General Options" آمده و در شكل پررنگ شده است، ربطي به كرم مذكور نداشته و منجر به نصب كرم نمي شود.

تغيير در تنظيمات سيستم

كرم مزبور تنظيمات سيستم را به گونه اي تغيير مي دهد تا كاربران قادر به ديدن فايلهاي مخفي نباشند و اين كار را از طريق تغيير در مدخل رجيستري زير انجام مي دهد:
Adds value: "CheckedValue"
With data: "0"
To subkey: HKLMSOFTWAREMicrosoftWindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL

هم چنين تنظيمات TCP را براي ايجاد سيلي از اتصالات به شبكه، به صورت زير تغيير مي دهد، كه در آن 0x00FFFFFE يك عدد شانزده – شانزدهي است و در دستگاه دهدهي معادل 16777214 مي شود.
Adds value: "TcpNumConnections"
With data: "0x00FFFFFE"
To subkey: HKLMSYSTEMCurrentControlSetServicesTcpipParameters

كرم مذكور يك فايل موقتي را براي تنظيم مجدد خدمت TCP/IP بعد از تغييرات، بر روي رايانه كپي مي كند. اين فايل به عنوان يك تروجان شناخته مي شود و نامش WinNT/Conficker.B مي باشد.

تغيير در خدمات سيستم

اين بدافزار ممكن است تغييراتي را در سيستم قرباني اعمال كند كه به شرح زير مي باشند:
  • خدمات زير غير فعال شده يا از كار مي افتند:

    • خدمت به روز رساني ويندوز يا Windows Update Service
    • خدمت انتقال هوشمند پس زمينه يا Background Intelligent Transfer Service
    • پدافند ويندوز يا Windows Defender
    • خدمت گزارش خطاهاي ويندوز يا (Windows Error Reporting Service
  • برخي از حساب هاي كاربري به علت دستكاري رجيستري كه منجر به سيلي از اتصالات به شبكه مي شود، غير فعال مي شوند. در بالا ذكر شد كه رجيستري به شكل زير تغيير مي كند:

    HKLMSYSTEMCurrentControlSetServicesTcpipParameters "TcpNumConnections" = "0x00FFFFFE
  • كاربران نمي توانند به خدمات آنلاين يا وب سايت هايي كه شامل واژه هاي زير باشند، دسترسي پيدا كنند:

    virus
    spyware
    malware
    rootkit
    defender
    microsoft
    symantec
    norton
    mcafee
    trendmicro
    sophos
    panda
    etrust
    networkassociates
    computerassociates
    f-secure
    kaspersky
    jotti
    f-prot
    nod32
    eset
    grisoft
    drweb
    centralcommand
    ahnlab
    esafe
    avast
    avira
    quickheal
    comodo
    clamav
    ewido
    fortinet
    gdata
    hacksoft
    hauri
    ikarus
    k7computing
    norman
    pctools
    prevx
    rising
    securecomputing
    sunbelt
    emsisoft
    arcabit
    cpsecure
    spamhaus
    castlecops
    threatexpert
    wilderssecurity
    windowsupdate

پيشگيري

براي پيشگيري از آلودگي با كرم Conficker.B توصيه هاي زير را جدي بگيريد:
  • نصب فايروال بر روي سيستم
  • نصب تمام به روز رساني هاي امنيتي براي نرم افزارهاي روي سيستم و در اين مورد نصب Security Bulletin MS08-067.
  • استفاده از نسخه هاي به روز آنتي ويروس.
  • در باز كردن پيوست ها و يا قبول كردن انتقال فايل بسيار دقت كنيد.
  • در كليك بر روي لينكهايي كه به وب سايتهاي مشكوك اشاره مي كنند دقت كنيد.
  • در مورد حمله هاي مهندسي اجتماعي (فريب كاربران از طرق مختلف) مراقب باشيد و از خود محافظت نماييد.

ترميم

رايانه هاي آلوده شده با اين كرم نمي توانند به وب سايتهايي كه براي بازبيني و ترميم ويروسها به كار مي روند، مراجعه كنند و هم چنين توانايي دسترسي به اصلاحيه هاي امنيتي و به روز رساني ها را نيز ندارند. بنابراين بايد از طريق يك رايانه غير آلوده ديگر به مقاله زير كه در آن روش دستي براي از بين بردن اين بدافزار توضيح داده شده است، مراجعه كنند و دستورات داده شده را خط به خط اجرا كنند.

اخبار مرتبط

25 بهمن 1390 برچسب‌ها: گزارشات تحلیلی
خطرناك ترين 25 خطاي برنامه نويسي- قسمت دوم
IRCRE200902003
در بخش اول گزارش اشاره كرديم كه متخصصان 30 شركت فعال در زمينه امنيت رايانه با هم همكاري كرده اند تا ليستي از مهم ترين، شايع ترين و خطرناك ترين خطاهاي برنامه نويسي را تهيه كنند.
آنها 25 خطاي رايج و خطرناك را به سه گروه تقسيم كرده اند:
  1. تعامل نا امن بين اجزاي برنامه (9 خطا)
    كاستي هاي اين قسمت مربوط به روش هاي ناامن ارسال و دريافت داده­ها بين اجزا، ماژول­ها، برنامه­ها، پردازه­ها و رشته­هاي در تعامل با سيستم يا درون يك نرم افزار است.
  2. مديريت پر خطر منابع (9 خطا)
    كاستي هاي اين قسمت مربوط به مديريت نامناسب ايجاد، استفاده، انتقال و آزادسازي منابع مهم سيستمي است.
  3. دفاع پرخلل (7 خطا)
    كاستي هاي اين قسمت مربوط به استراتژي هاي دفاعي است كه اغلب بد استفاده مي شوند و يا به راحتي ناديده انگاشته مي شوند.
در قسمت اول به خطاهاي بخش اول يعني تعامل ناامن بين اجزاي برنامه پرداختيم و در اين قسمت بخش مديريت پرخطر منابع را بررسي خواهيم كرد.

مديريت پرخطر منابع

  • عدم رعايت ظرفيت حافظه بافر
    خطاي سرريز بافر، خطاي رايجي است كه منجر به اجراي كد، انكار سرويس و گم شدن داده ها مي شود. خطاي مذكور، مدتهاست كه مانند شلاقي بالاي سر برنامه نويسان C قرار دارد و همچنان در مقابل روشهايي كه براي حذفش به كار مي برند، مقاومت نشان مي دهد. سادگي است اگر فكر كنيم مشكل فقط استفاده نادرست از strcpy()، يا چك نكردن اندازه ورودي ها بوده و با مراقبت از اين موارد، مشكل سرريز بافر را حل كرده ايم. همچنان كه روشهاي تشخيص سرريز بافر پيشرفته تر مي شوند، روشهاي حمله از اين طريق نيز پيشرفته تر مي شوند و امروزه حمله هاي سرريز بافر در نگاه اول و حتي در دومين نگاه هم قابل تشخيص نيستند! از طرفي، شايد تصور كنيد از آنجا كه برنامه هاي خود را با استفاده از زبانهاي سطح بالا و نه C مي نويسيد، كاملاً در امان هستيد. اما مفسر زبان "امن" شما به چه زباني نوشته شده است؟ API هاي سيستم عامل به چه زباني نوشته شده اند؟ كدهاي محلي كه فراخواني مي كنيد به چه زباني نوشته شده اند؟ در مورد نرم افزارهايي كه زيرساخت هاي اينترنت را اجرا مي كنند، چه مي گوييد؟ بهتر است كمي در اين مورد بيشتر فكر كنيد. براي مقابله با مشكل سرريز بافر روشهاي متعددي مانند استفاده از زبانهاي مطمئن­تر برنامه نويسي ، وارسي مجدد اندازه بافرها در مبدأ و مقصد و دقت در استفاده از strcpy()، استفاده از ابزارهاي اتوماتيك تحليل كد، استفاده از روش ASLR (Address Space Layout Randomization) و غيره وجود دارند كه با تحقيق، مطالعه و به كارگيري آنها مي توانيد نرم افزار امن تري توليد كنيد.
  • كنترل داده هاي مهم از بيرون برنامه
    راه هاي بسياري براي ذخيره داده هاي كاربران، بدون ايجاد سربار براي بانك اطلاعات وجود دارد. اما متأسفانه اگر اين داده ها را در مكاني ذخيره كنيد كه مهاجمان قادر به دستكاري آن باشند، سربار يك سوءاستفاده موفق را نيز كاهش داده ايد. براي مثال داده ها مي توانند در فايلهاي پيكربندي، پروفايل ها، كوكي ها، فيلدهاي نهان فرم، متغيرهاي محيطي، كليدهاي رجيستري و هر مكان ديگري كه براي مهاجمان قابل دستيابي باشد، ذخيره گردند. در پروتكل هايي مانند HTTP، در هر درخواست برخي از اطلاعات وضعيت كاربر گرفته مي شود و به اين ترتيب در دسترس مهاجمان نيز قرار مي گيرد. اگر شما برخي از كنترل هاي امنيتي مهم، مانند اينكه آيا كاربر فعلي مدير است، را از اين طريق انجام دهيد، مي­توانيد مطمئن باشيد كه كسي با دستكاري داده ها، برنامه شما را فريب خواهد داد و آن را وادار به انجام كاري خواهد كرد كه شما مايل به انجامش نبوده ايد.
  • كنترل مسير يا نام فايل از بيرون برنامه
    اگر زماني كه انتقال داده ها از طريق فايل صورت مي گيرد، از ورودي هاي بيرون برنامه براي ساختن نام فايل استفاده كنيد، مسير ايجاد شده مي تواند جايي خارج از فولدر مورد نظر برنامه شما باشد. مهاجمان مي توانند با استفاده از چندين ".." يا توالي هاي هاي مشابه، مرورگر سيستم عامل را به خارج از محدوده برنامه شما هدايت كنند. در ضمن با كنترل بيروني نام و مسير فايل، راه را براي حمله هاي فايلي ديگر هموار مي كنيد. يكي از اين حمله ها Symbolic link following است كه باعث مي شود برنامه شما فايلهايي را بخواند يا دستكاري كند كه مهاجم دسترسي مستقيم به آنها ندارد. اگر برنامه شما نام فايل را به عنوان وروردي گرفته و با اولويت بالابرده اجرا شود، همين اتفاق تكرار خواهد شد. هم چنين اگر به كاربر بيروني اجازه دهيد URL دلخواه خود را تعيين كرده تا برنامه شما كدي را از آن دريافت كرده و اجرا كند، در واقع از كرمها براي نفوذ به سيستمتان دعوت به عمل آورده ايد.
  • مسير جستجوي غير قابل اعتماد
    گاهي اوقات نرم افزار شما نياز به يك مسير جستجو براي پيدا كردن منابع مهمي مانند كتابخانه ها يا فايل هاي پيكربندي دارد. اگر كنترل مسير جستجو در دستان يك مهاجم قرار گيرد، آنگاه آن را به سمت منابعي كه خود مي­خواهد هدايت كرده و باعث مي­شود برنامه شما به منابع نادرستي در زمان نامناسبي دسترسي پيدا كند. خطر فوق، حتي زماني كه تنها يك قسمت از مسير جستجو مانند دايركتوري جاري، به دست مهاجم بيفتد، نيز وجود دارد.
  • شكست در كنترل توليد كد (تزريق كد) گاهي اوقات نمي توانيد با استفاده از چندين خط برنامه كارايي مورد لزوم نرم افزار خود را ايجاد كنيد. از طرفي مديريت و ايجاد كد به صورت پويا جذاب تر است، ولي بايد بدانيد اين مسئله به همان اندازه كه براي شما دلپذير است، به كام مهاجمان نيز خوش مي آيد. يكي از آسيب­پذيري هاي جدي زماني رخ مي دهد كه كد شما قابليت فراخواني توسط افراد متفرقه و تأييد نشده را دارا باشد، به خصوص زماني كه ورودي ها بر روي انتخاب كد اجرايي مؤثر باشند و بدتر از اين زماني رخ مي دهد كه ورودي ها مستقيماً وارد كد برنامه شوند. نتيجه اين وضعيت مشخص است: كد شما متعلق به مهاجمان است.
  • باركردن كد بدون وارسي جامع
    زماني كه كدي را بارگذاري كرده و اجرا مي كنيد، در واقع به بدخواه نبودن منبع كد اعتماد كرده ايد. ممكن است بگوييد تنها از وب سايتهايي كه به آنها اعتماد داريد، كدها را بار مي كنيد، ولي مهاجمان قادرند كد مورد نظر را با استفاده از انواع فريبها قبل از اينكه به دست شما برسد، تغيير دهند. ممكن است سايت مورد نظر شما را هك كنند و يا با جعل هويت و استفاده از انواع روشها، سيستم را براي هدايت به سايت ديگري متقاعد كنند يا حتي قادرند كد را در حين انتقال از شبكه مورد دستكاري قرار دهند. سناريوي فوق، حتي زماني كه شما به روزرساني هاي محصول خود را بارگذاري و نصب مي­كنيد ، قابل اجرا خواهد بود. اگر يكي از اتفاقات ذكر شده رخ دهد، نرم افزار شما كدي را كه انتظار نداريد اجرا خواهد كرد كه براي شما بسيار بد و براي مهاجمان بسيار خوشايند است.
  • آزادسازي نامناسب منابع
    زماني كه استفاده شما از منابع سيستم به پايان مي رسد، لازم است كه آنها را به درستي آزاد سازيد. در غير اينصورت محيط برنامه شما بسيار متراكم و آلوده خواهد شد. آزاد سازي در مورد حافظه، فايلها، كوكي ها، ساختارهاي داده، Sessionها، پايپ هاي ارتباطي و ديگر منابع مشابه صدق مي كند. مهاجمان مي توانند از آزادسازي نامناسب منابع سوءاستفاده كرده و از منابعي كه شما به ظاهر استفاده اي از آن نمي كنيد، بهره برداري كنند. اين مسئله منجربه مصرف جدي منابع مي شود زيرا در واقع هر منبعي كه گرفته مي شود به سيستم برنمي­گردد. هم چنين اگر زباله هاي برنامه يا Garbage را پاكسازي نكنيد، مهاجمان با دست يافتن به آن قادرند بعضي اطلاعات ارزشمند را بازيابي كنند.
  • راه اندازي اوليه نامناسب
    همان طور كه يك صبحانه خوب به كارايي شما در طول روز كمك شاياني مي كند، يك راه اندازي اوليه صحيح نيز، تضمين مي كند برنامه شما وسط يك رويداد مهم متوقف نخواهد شد. اگر شما داده ها و متغيرهاي خود را مقداردهي اوليه نكنيد، مهاجمان اين كار را براي شما انجام خواهند داد. آنها همچنين مي توانند اطلاعات به جا مانده از اجراي بخش هاي قبلي را نيز مورد استفاده قرار دهند. امكان دستكاري شدن متغيرهايي كه مقداردهي اوليه نشده اند و در عمليات هاي مهم امنيتي، مانند تصميم تأييد هويت مورد استفاده قرار مي گيرند، وجود دارد و منجر به تغيير سياستهاي امنيتي برنامه مي شود. امكان مقدار دهي اوليه نادرست در هرجايي وجود دارد، ولي شايعترين مورد، شرايط استثنائي برنامه است كه سهواً ازآن پرش مي كنيد و منجر به خطاهاي مبهم و ناپيدا مي شود. بنابراين بيشتر مراقب شرايطي كه احتمال وقوع آن به ندرت براي برنامه شما وجود دارد باشيد، زيرا مهاجمان از اين شرايط به خوبي بهره برداري مي كنند.
  • محاسبات نادرست
    رايانه ها قادرند محاسباتي را انجام دهند كه نتايج آن با منطق رياضي جور در نمي­آيد. براي مثال اگر دو عدد مثبت و بزرگ را در هم ضرب كنيد، ممكن است نتيجه به علت سرريز عدد صحيح، يك عدد كوچك شود. در بعضي موارد انجام محاسبات براي رايانه غيرممكن است مانند مورد تقسيم بر صفر. زماني كه مهاجمان، كنترلي هرچند محدود بر وروديهاي استفاده شده در محاسبات عددي برنامه دارند، اين ضعفها مي­توانند منجر به مشكلات امنيتي مهمي شوند. ممكن است برنامه شما بسيار بيشتر يا بسيار كمتر از حد لزوم منابع را مورد استفاده قرار دهد. ممكن است منطق تجاري برنامه را به خطر اندازد، مانند زماني كه نتيجه محاسبات، يك مبلغ منفي را ارائه مي دهد و بالاخره ممكن است دچار انكار سرويس شويد، مانند زماني كه تقسيم بر صفر منجر به از كار افتادن سيستم مي شود.
در مطلب بعدي به خطاهاي رايج در بخش دفاع پر خلل خواهيم پرداخت.
منابع:
http://cwe.mitre.org/top25
25 بهمن 1390 برچسب‌ها: گزارشات تحلیلی
گزارش برگزاري اولين همايش تخصصي امداد و هماهنگي رخدادهاي امنيتي
IRCRE200903004
دنياي امروز دنياي ارتباطات و اطلاعات است و روز به روز وابستگي بشر به اين تكنولوژي افزايش پيدا مي­كند، لذا ايمن سازي كاربران و امداد رساني به آنها در صورت بروز مشكلات امنيتي يكي از دغدغه هاي اصلي عرصه فناوري اطلاعات است. امروزه مقابله با رخدادهاي امنيتي رايانه اي يكي از اركان سازمانها و مؤسسات در هر دو بخش دولتي و خصوصي شده است. از اين رو شركت فناوري اطلاعات ايران در راستاي آشناسازي بيشتر متخصصان IT با مراكزي همچون ماهر و همچنين گروه هاي پاسخگويي به رخدادهاي رايانه اي در سطح جهان، صبح روز شنبه ۱۰ اسفند ماه ۸۷، اولين همايش تخصصي امداد و هماهنگي رخدادهاي امنيتي را با پشتيباني مراكزي همچون دبيرخانه شوراي عالي فناوري اطلاعات كشور، معاونت فناوري اطلاعات وزارت ارتباطات و فناوري اطلاعات، پژوهشكده فناوري اطلاعات و ارتباطات، مركز تحقيقات مخابرات ايران و سازمان پدافند غير عامل كشور و همچنين دانشگاه هاي خواجه نصير و اميركبير برگزار كرد.
اهداف برگزاري همايش به شرح زير عنوان شده است:
  • آشنايي مديران و كارشناسان در حوزه امنيت فضاي تبادل اطلاعات در هر دو بخش خصوصي و دولتي و تبادل تجربيات با يكديگر
  • تبادل تجربيات در خصوص گروه هاي پاسخگويي به رخدادهاي رايانه اي
  • تبادل آمارها و تحليل ها از وضعيت امنيت فضاي تبادل اطلاعات و ارزيابي امنيت
  • انتقال دانش با حضور متخصصان بين المللي
  • ارائه مشاوره در جهت ايجاد گروه هاي پاسخگويي به رخدادهاي رايانه اي
  • تشويق بخش هاي دولتي و غير دولتي مرتبط با فعاليت هاي مركز امداد و هماهنگي رايانه اي (ماهر) جهت عضويت و ارائه خدمات امن ارتباطي براي استفاده اعضاء و عموم در راستاي دستيابي به اطلاعات صحيح و كارا
در اين همايش بيش از ۲۰۰ نفر از مديران و متخصصان عرصه ارتباطات و فناوري اطلاعات كشور حضور به هم رساندند و با هم به تبادل دانش در اين زمينه پرداختند.

دقيقه به دقيقه با همايش





همايش فوق رأس ساعت ۹ با تلاوت آياتي چند از قرآن و پخش سرود ملي آغاز به كار كرد. سپس نماهنگ مخصوص همايش كه به زيبايي و مرتبط با موضوع ساخته شده بود، پخش شد.



ساعت ۹:۲۵ آقاي مهندس عبدالمجيد رياضي، معاون فناوري اطلاعات وزارت ارتباطات و فناوري اطلاعات، به ايراد سخنراني مختصري در مورد وضعيت فناوري اطلاعات در ايران پرداخت. وي عنوان كرد كه در كشور ما نگاه به فناوري اطلاعات به گستردگي كشورهاي ديگر نيست و سياستگذاران كلان كشور توجه چنداني به اين موضوع ندارند. نه تنها در كشورهاي توسعه يافته، بلكه در كشورهاي در حال توسعه نيز فناوري اطلاعات سهم بسزايي در توليد ناخالص ملي دارد. براي مثال، در دهه ۹۰، سهم فناوري اطلاعات در توليد ناخالص ملي در كشورهايي همچون ويتنام و لهستان ۱۵% و در كشورهاي عربستان، مالزي و اندونزي حدود ۳% بوده است. اين در حالي است كه در سال گذشته، اين رقم در ايران تنها ۱.۰% بوده است. اين مسئله به دليل عدم سرمايه گذاري ما در حوزه فناوري اطلاعات است. ايشان در ادامه به ارائه آمارهايي در مورد ميزان سرمايه گذاري كشورهاي ديگر در حوزه فناوري اطلاعات و اهميت دادن آنها به بخش R&D پرداخت.



ساعت ۹:۵۰ آقاي مهندس سعيد مهديون، رئيس هيئت مديره و مدير عامل شركت فناوري اطلاعات ايران، كه رياست همايش را نيز به عهده داشت، به ارائه سخنراني در مورد ضرورت ايجاد مراكز امنيت رايانه اي پرداخت. ايشان در ابتدا به نقش دولت جمهوري اسلامي ايران در زمينه فناوري اطلاعات از بعد از انقلاب تا كنون اشاره كرد و عنوان كرد كه دولتها گام به گام در جهت خصوصي سازي اين حوزه پيش رفته اند و در حال حاضر دولت به سمت مديريت توسعه زيرساختهاي فناوري اطلاعات حركت مي كند. وي در ادامه اظهار داشت كه امروزه اطلاعات به نوعي يك دارايي است و وظيفه داريم از دارايي ها محافظت به عمل آوريم. به گفته وي گروه هاي پاسخگويي به رخداد يا CSIRT ها گروه هايي هستند براي پاسخگويي به رخدادهاي امنيتي رايانه اي و هدف از ايجاد آنها آموزش به افراد در محافظت از خود در دنياي ارتباطات، پاسخگويي مناسب به رخدادهاي امنيتي رايانه اي و كاهش صدمات تا حد ممكن است. آنها به بقاي شركتهاي فعال در زمينه فناوري اطلاعات كمك كرده و موجب بهره وري بيشتر آنها مي شوند. وي همچنين اشاره كرد كه در ايجاد زير ساختهاي امنيتي دو ديدگاه وجود دارد، ديدگاه از پايين به بالا، يعني اول مراكز CSIRT را ايجاد كرده و سپس يك مركز را براي هماهنگي آنها تأسيس كرد و ديدگاه از بالا به پايين يعني ابتدا يك مركز هماهنگي را ايجاد كرده و سپس گروه هاي CSIRT را ايجاد كنيم تا به اين مركز گزارش دهند. شركت فناوري اطلاعات راه ميانه را گرفته و از دو طرف در حال توسعه اين مراكز مي باشد. در اين راستا پروژه ماهر يا ايجاد مركز امداد و هماهنگي رايانه اي كه به نظر آقاي مهندس مهديون عنوان مركز امداد هماهنگ رايانه اي براي آن مناسب تر است، تعريف شده و در حال اجرا مي­باشد. وي عنوان كرد كه ماهر براي موفقيت احتياج به گوهرها (نام معادل پيشنهادي براي CSIRT) دارد. شركت فناوري اطلاعات دو گام مهم را در اين مورد برداشته است، در گام اول حاضر به پشتيباني از شركت هايي است كه مايلند جزء اولين گوهرهاي كشور باشند و به همكاري با آنها مي پردازد. در اين راستا تفاهم نامه هايي تنظيم شده كه در پايان همايش به شركتهاي داوطلب داده خواهد شد. در گام دوم اين شركت در حال شناسايي شركتهاي فعال در اين زمينه و ارزيابي و معرفي آنها به عنوان ISMS ها مي باشد.



آقاي دكتر پورآذين سومين سخنران جلسه افتتاحيه بود كه به نمايندگي از سازمان پدافند غيرعامل حضور يافته بود و ساعت ۱۰:۲۰ سخنراني خود را در مورد چگونگي محاسبه هزينه يك رخداد امنيتي آغاز كرد. وي ابتدا به معرفي CSIRT ها به صورت مختصر و سپس اهميت پاسخگويي سريع و كارآمد آنها پرداخت. وي عنوان كرد يكي از خدمات اين گروه ها خدمات پيشگيرانه است كه از ايجاد صدمات گسترده جلوگيري مي كند. ايشان اظهار داشت كه دولت بايد به عنوان يك كنترل كننده در اين زمينه وارد شود و به جلوگيري از ايجاد بازار حمله و دفاع بپردازد. منظور از بازار حمله و دفاع ايجاد ويروسها براي فروختن آنتي ويروسها است. ايشان فرمولي براي محاسبه حداقل و حداكثر بودجه تخصيصي براي پاسخگويي به رخدادهاي رايانه اي را به حاضران معرفي كرده و آن را شرح داد.
فرمول حداكثر و حداقل بودجه در زير آورده شده است:




در اين فرمولها Pi احتمال وقوع يك رخداد، Ci هزينه اي كه در اثر وقوع رخداد تحميل مي شود، N تعداد رخدادهاي واقع شده در يك بازه زماني و E پارامتري بين 0 و 1 است كه هرچه نيروي انساني ماهرتر باشد اين عدد به 1 نزديكتر شده و هر چه نابلد تر باشد به صفر نزديك مي شود.



آخرين سخنران جلسه افتتاحيه، آقاي دكتر رسول جليلي، رئيس مركز امنيت شبكه دانشگاه صنعتي شريف بود. وي سخنراني خود در مورد مقايسه مراكز امداد و هماهنگي رايانه اي منطقه اي و فني را ساعت ۱۰:۴۰ آغاز كرد. ايشان عنوان كردند كه هر جا آپا مي گوييم منظور همان CERT است. عنوان CERT يك نام انحصاري مربوط به گروه امداد و امنيت رايانه دانشگاه كارنگي ملون آمريكا است و استفاده از آن بدون اجازه دانشگاه فوق ممنوع است. لذا نام آپا براي گروه هاي امداد و امنيت رايانه اي ايران در دانشگاه ها انتخاب شده است. ايشان به مقايسه افرازهاي منطقه اي و فني آپا پرداختند و عنوان كردند كه منظور از افراز منطقه اي افرازي است كه كاربران يك منطقه جغرافيايي كشور يا حتي كاربران يك سازمان را در بر مي­گيرد و منظور از افراز فني افرازي است كه كاربران يك محصول خاص را شامل مي شود. در مقايسه افرازهاي منطقه اي امكان عملكرد مستقل را داشته و نيازي به هماهنگ كننده ندارند ولي افرازهاي فني از آنجا كه بسياري از رخدادهاي امنيتي حوزه هاي گوناگوني را شامل مي شوند، امكان عملكرد مستقل نداشته و نياز به يك هماهنگ كننده قوي دارند. در مورد خدمات واكنشي به دليل عدم آگاهي كاربران از حوزه فني مربوط به رخداد امنيتي واقع شده و همچنين از آنجا كه رخدادهاي امنيتي چندين حوزه فني را شامل مي شوند، افرازهاي منطقه اي بهتر عمل مي كنند. در مورد خدمات بازدارنده معمولاً افرازهاي فني از آنجا كه حرفه اي تر هستند بهتر عمل مي كنند. وي در ادامه در مورد آپاي فني در حوزه بانك اطلاعات كه در دانشگاه صنعتي شريف و به رياست ايشان در حال فعاليت است توضيحاتي را ارائه داد. آقاي دكتر جليلي در پايان اينگونه نتيجه گيري كرد كه با وجود اينكه در اكثر نقاط دنيا افرازها منطقه­اي هستند ولي تجربه نشان داده است كه اگر يك هماهنگ كننده قوي براي تيم هاي فني وجود داشته باشد، افراز فني نيز به خوبي جواب مي دهد. سخنراني ايشان در ساعت ۱۱ پايان يافت و حاضران حدود نيم ساعت به استراحت و تبادل اطلاعات پرداختند.



بعد از استراحت و پذيرايي، يكي از مؤسسان CERT مالزي كه از تجربيات عملي بسياري در اين زمينه برخوردار است، به موضوع رويدادهاي رايانه اي پرداخت. عنوان ارائه ايشان" Ready, Respond, Review in Computer Incident" بود. سخنراني ايشان به زبان انگليسي ايراد شد، البته ترجمه همزمان نيز براي اين بخش و بخش بعدي فراهم شده بود كه از كيفيت نسبتاً خوبي برخوردار بود. ايشان در بخش اول ارائه خود به معرفي CSIRT ها پرداخت و سپس گامهاي لازم براي ايجاد مراكز CSIRT را توضيح داد. وي در ادامه به بحث در مورد عملكردهاي عمومي CSIRT ها پرداخت. در بخش دوم سخنراني انواع رويدادهاي امنيتي رايانه اي و ۷ گام در رسيدگي به اين رويدادها را مورد بررسي قرار گرفت. اين متخصص در بخش سوم به چالشهاي پيش روي CERT ها پرداخت و در مورد نقش CERT هاي ملي نيز توضيحاتي ارائه كرد. سخنراني ايشان ساعت ۱۲:۳۰ پايان يافت و حاضران حدود يك ساعت به استراحت، صرف ناهار و اقامه نماز پرداختند.



سخنران بعدي جلسه، آقاي مسلم كوثر از شركت NSS كشور هند بود كه سرپرستي فني پروژه CERT ملي كشور هند را نيز به عهده داشته است. وي به ارائه سخنراني در مورد سرويس هاي CSIRT، گامهاي تشكيل يك CSIRT، مهارتهاي لازم براي افراد و مدلهاي سازماني موجود پرداخت. ايشان در ابتدا به تعريف رخدادهاي امنيتي و نتايجي كه به بار مي آورند و ارائه مثالهايي در اين مورد پرداخته و سپس در مورد نحوه پاسخگويي به اين رخدادها و هدف از پاسخگويي ها توضيحاتي را ارائه داد. وي در ادامه در مورد چگونگي تشخيص يك رخداد و اهميت اين موضوع مطالبي را ارائه كرد. آقاي كوثر سپس در مورد CSIRT ها، تعاريف ارائه شده براي آن و انگيزه هاي ايجاد اين مراكز به بحث پرداخت و عنوان كرد كه قالب كاري CSIRT شامل تعريف هدف، حوزه، موقعيت در سازمان و نحوه ارتباط با مراكز مشابه ديگر مي شود. وي در ادامه به توضيح گامهاي لازم براي ايجاد مراكز پاسخگويي به رخدادهاي رايانه اي پرداخت. سخنراني آقاي كوثر پس از استراحتي كوتاه با ارائه مدلهاي سازماني موجود براي ايجاد اينگونه مراكز و مهارتهاي لازم براي افراد و آموزش هاي لازم ادامه پيدا كرد. در انتها ايشان مدلي را براي ايجاد مراكز CSIRT و ايجاد مركز ماهر در ايران ارائه كرد. در انتهاي همايش، جلسه پرسش و پاسخ برگزار گرديد. در اين جلسه حضار سؤالاتي را در مورد چگونگي اطلاع رساني به جامعه در اين مورد، ساختار مورد نظر سخنرانان براي ايجاد اين مراكز (فني يا منطقه اي) و امنيت سيستم عاملها و مخصوصاً ويندوز مطرح كردند. اين همايش در ساعت ۱۸ به كار خود پايان داد. اميدواريم اين همايش آغاز روندي جديد در نگاه به مسئله امنيت در فضاي سايبر كشور بوده و موجب آگاهي و فعاليت بيشتر متخصصان فناوري اطلاعات كشور در اين زمينه شود.
25 بهمن 1390 برچسب‌ها: گزارشات تحلیلی
خطرناك ترين 25 خطاي برنامه نويسي- قسمت سوم
IRCRE200903005
در بخش اول گزارش اشاره كرديم كه متخصصان 30 شركت فعال در زمينه امنيت رايانه با يكديگر همكاري كرده اند تا ليستي از مهم ترين و خطرناك ترين خطاهاي برنامه نويسي را تهيه كنند.
25 خطاي خطرناك به سه گروه تقسيم شده اند:
  1. تعامل نا امن بين اجزاي برنامه (9 خطا)
    كاستي هاي اين قسمت مربوط به روش هاي نا امن ارسال و دريافت داده بين اجزا، ماژول ها، برنامه ها، پردازه ها و رشته هاي يك نرم افزار و يا در تعامل با سيستم است.
  2. مديريت پر خطر منابع (9 خطا)
    كاستي هاي اين قسمت مربوط به مديريت نامناسب ايجاد، استفاده، انتقال و يا از بين بردن منابع مهم سيستمي است.
  3. دفاع پرخلل (7 خطا)
    كاستي هاي اين قسمت مربوط به استراتژي هاي دفاعي است كه اغلب بد استفاده مي شوند و يا به راحتي ناديده انگاشته مي شوند.
در قسمت اول به خطاهاي بخش اول يعني تعامل ناامن بين اجزاي برنامه پرداختيم و در قسمت دوم گزارش بخش مديريت پرخطر منابع را بررسي كرديم. در اين قسمت به بررسي خطاهاي بخش سوم يعني دفاع پرخلل خواهيم پرداخت.

دفاع پرخلل

  • كنترل دسترسي نامناسب (تأييد كردن)
    در صورتي كه مطمئن نشويد كاربران شما دقيقاً توانايي همان كاري را دارند كه براي آنها در نظر گرفته شده است و نه بيشتر، آنگاه مهاجمان از كنترل دسترسي نامناسب شما سوء استفاده كرده و به كارهايي دست مي زنند كه شما تنها به كاربران محدودي اجازه اجراي آنها را داده ايد.
  • استفاده از الگوريتمهاي رمزگذاري پرخطر يا شكسته شده
    در صورتي كه كار شما با داده هاي حساس است و يا لازم است از يك كانال ارتباطي محافظت به عمل آوريد، نياز به رمز گذاري پيدا مي كنيد تا دست مهاجمان را از برنامه تان كوتاه كنيد. شما هم مانند بسياري از نرم افزار نويسان علاقه داريد خودتان يك الگوي رمزگذاري را اختراع كنيد تا احتمال حدس زدن آن توسط مهاجمان را كاهش دهيد. اين كار شما يك جور خوشامدگويي به مهاجمان محسوب مي شود. رمزگذاري كار بسيار سختي است و جايي كه نابغه هاي رياضي و دانشمندان كامپيوتر در اين كار صددرصد موفق نمي شوند، مطمئن باشيد شما هم موفق نخواهيد شد. ممكن است فكر كنيد يك الگوريتم كاملاً جديد كشف كرده ايد كه هيچ كس آن را حدس نمي زند، ولي در واقع شما دوباره چرخي را اختراع كرده ايد كه قبلاً سقوط كرده است. بنابراين همواره هوشيار بوده و از مجموعه اي از الگوهاي رمزگذاري كه فعلاً شكسته نشده اند استفاده كنيد.
  • آوردن رمز در كد برنامه
    آوردن نام كاربري ورمز عبور محرمانه در كد برنامه و در ماژول تأييد هويت نرم افزارتان كار بسيار راحتي است و شما را از نوشتن كدهاي بيشتر و اعمال بررسي ها خلاصي مي دهد، ولي اين كار امنيت كاربران شما را تا حد صفر كاهش مي دهد و در صورتي كه اين رمز به طريقي لو رود ديگر مفهومي به نام امنيت براي نرم افزار شما بي معني خواهد بود. در ضمن كشف و اصلاح اين خطا براي مديران سيستم كار راحتي نيست و مشتريان هم با اين موضوع به هيچ وجه كنار نمي آيند. بنابراين اگر قادريد عصبانيت مدير سيستم در ساعت 2 نيمه شب، زماني كه سيستمش هك شده و يا بد و بيراه مشتريان پشت خط تلفن را تحمل كنيد بازهم به قرار دادن رمز عبور در كد برنامه ادامه دهيد.
  • مديريت دسترسي نا امن براي منابع مهم
    درست است كه برداشتن بي اجازه وسايل ديگران گستاخانه است ولي در صورتي كه خود شما فايلهاي تنظيمات، داده ها و برنامه هاي مهم را بدون محافظ رها كنيد و هركسي بتواند آنها را بخواند يا تغيير دهد، مطمئن باشيد كه بدون اجازه و يا حتي آگاهي شما خوانده خواهند شد و تغيير خواهند كرد. اين مسئله معمولاً در زمان طراحي و پياده سازي ناديده انگاشته مي شود در حالي كه برخي از اوقات تنها راه حل مشكلات ايجاد شده است. در ضمن گذاشتن مسؤوليت اين امر به عهده مدير سيستم و توقع اينكه وي تنظيمات لازم را براي حقوق دسترسي انجام دهد, كاري غير عملي است و نتايج خوبي ندارد.
  • استفاده ناقص از مقادير تصادفي
    در صورتي كه بتوان مقدار تصادفي بعدي را به درستي حدس زد، مقدار تصادفي مفهوم و كارايي خود را از دست خواهد داد. اگر شما از الگوهاي امنيتي استفاده كنيد كه نياز به مقادير تصادفي دارند ولي شما آنها را به خوبي تأمين نكنيد، راه مهاجمان را هموار ساخته ايد. بعضي اوقات ممكن است بدون اينكه متوجه باشيد از مقادير تصادفي استفاده كنيد، براي مثال زماني كه Session ID يا نام يك فايل موقتي را توليد مي كنيد. غالب برنامه نويسان از PRNGها يا Pseudo-Random Number Generator استفاده مي كنند ولي اگر مهاجم متوجه شود شما از چه الگوريتمي استفاده كرده ايد، قادر است مقدار تصادفي بعدي را حدس بزند و يك حمله موفق را با آزمايش كردن مقاديري محدود سازماندهي كند.
  • اجرا با اولويتهاي غير ضروري
    شعار مرد عنكبوتي را به خاطر آوريد: "قدرت بيشتر مسؤليت بيشتر مي آورد"، اين مسئله در مورد برنامه هاي شما نيز صادق است. ممكن است نرم افزار شما براي انجام كار خاصي نياز به حق دسترسي بالايي داشته باشد، ولي نگهداري اين حق دسترسي بيشتر از حد لزوم خطراتي را متوجه كاربرانتان خواهد كرد. زماني كه شما با حق دسترسي بالا كار مي كنيد، برنامه شما اجازه دسترسي به منابعي را دارد كه يك كاربر معمولي ندارد و مهاجم با استفاده از اين امكان به منابع غيرمجاز دسترسي پيدا مي كند. براي مثال اگر برنامه شما يك برنامه ديگر را بالا مي آورد كه در آن كاربر فايلي را باز مي كند، با استفاده از حق دسترسي برنامه شما مي توان به فايلهاي حفاظت شده دسترسي پيدا كرد، همچنين امكان اجراي دستورات به همين ترتيب وجود دارد. حتي اگر برنامه ديگري را اجرا نكنيد، آسيب­پذيري هاي ديگري كه در نرم افزار شما وجود دارند با حق دسترسي بالا عواقب ناگوارتري به بار خواهند آورد.
  • اجراي امنيت طرف سرور توسط طرف كاربر
    زماني كه به طرف كاربر نرم افزار اجازه اجراي وارسي هاي امنيتي طرف سرور را مي دهيد، در واقع مهاجمان را قويتر و مشتريانتان را ضعيف تر مي كنيد. به ياد داشته باشيد كه در زير ظاهر زيباي واسط كاربر، فقط مقداري كد قرار دارد. مهاجمان مي توانند بخش كاربر برنامه شما را مهندسي معكوس كرده و برنامه خود را به جاي آن قرار دهند، به طوري كه ظواهر امر حفظ شود به خصوص قسمتهايي كه مربوط به كنترلهاي امنيتي است. نتايج اين امر بسته به اينكه چه مقدار كنترل امنيتي را در طرف كاربر انجام مي دهيد، متفاوت است. اما هدف مهاجمان معمولاً بخشهاي تأييد هويت، اجازه دادن ها و اعتبار سنجي ورودي است. از طرفي اگر بخشهاي امنيتي را در طرف سرور پياده سازي كرده ايد، بايد مطمئن شويد اجراي آنها فقط از طرف كاربر انجام نمي شود.
25 بهمن 1390 برچسب‌ها: گزارشات تحلیلی
وضعيت امنيتي جهان در سال 2008 از ديد Symantec
IRCRE200904107
شركت Symantec در گزارشي آماري به بررسي وضعيت امنيت در سراسر جهان در سال 2008 پرداخت. اين گزارش كه روز 13 آوريل منتشر شده است، افزايش زيادي را در تعداد حفره هاي امنيتي نرم افزارها و همچنين تعداد حملات اينترنتي نشان مي­دهد. به خصوص حملاتي كه طي آن كنترل مرورگرها به سرقت رفته و مجبور به دانلود برنامه هاي خرابكار مي­شوند از جايگاه ويژه اي در اين ميان برخوردارند. حتي مشاهده وب سايتهاي قابل اعتماد نيز هميشه مطمئن نيست. بر اساس اين گزارش، بيشتر حملات مبتني بر وب، كاربران آن دسته از سايتهاي قانوني را كه مورد سوء استفاده قرار گرفته اند هدف قرار مي­دهند. اين حملات همچنين محتويات خرابكار را روي سيستم كاربر بارگذاري كرده و يا يك iframe خرابكار و نامرئي را روي صفحه وب قرار مي­دهند كه مرورگر كاربر را به يك سرويس دهنده وب ديگر كه تحت كنترل فرد مهاجم است منتقل مي­كند. اين گزارش اظهار مي­دارد كه اين حملات به يك تجارت زير زميني تبديل شده اند و افراد به خريد و فروش نرم افزارهايي كه حملات را بصورت خودكار انجام مي­دهند مشغولند و همچنين شبكه هاي كامپيوترهاي آسيب ديده را بعنوان ارتش ارسال هرزنامه معامله مي­كنند. داده هاي به سرقت رفته نيز قيمت گذاري شده و با ليست قيمت و گارانتي به فروش مي­روند. البته نكته جالب توجه اين است كه قيمت داده هاي به سرقت رفته در سال 2008 ثابت باقي مانده است.
در اينجا به نكات مهم مطرح شده در اين گزارش Symantec مي­پردازيم:

Conficker

بيشترين آسيبهاي كرم Conficker كه با نام Downandup نيز شناخته مي­شود، مربوط به كشورهاي شرق آسيا و آمريكاي لاتين است كه بيشترين درصد استفاده از نرم افزارهاي قفل شكسته را نيز دارا هستند. نسخه هاي قفل شكسته نرم افزارها نمي­توانند بصورت خودكار به روز رساني شده و اصلاحيه هاي امنيتي را دريافت كنند. اين كرم كه به ميليونها سيستم ويندوز بدون اصلاحيه آسيب وارد كرده است، اكنون در حال ارتباط با ساير سيستمهاي آسيب ديده از طريق P2P است و بدافزاري را كه خود را به عنوان يك نرم افزار آنتي ويروس معرفي مي­كند روي اين سيستمها نصب مي­نمايد.

جعل هويت

جعل هويتنزديك به 80 درصد از حملات به اطلاعات محرمانه، اطلاعات كاربر را افشا كرده و 76 درصد نيز با استفاده از ثبت كليدهاي فشرده شده در صفحه كليدها، داده هايي مانند اعتبارات حسابهاي بانكي را سرقت كرده اند. 76 حمله سرقت هويت سعي كرده اند قربانيان را با ماركهاي تجاري فريب دهند و به نظر مي­رسد كه يك گروه به نام شبكه تجاري روسيه مسوول حدود نيمي از وقايع سرقت هويت در سراسر جهان در سال گذشته بوده است. 12 درصد از تمام داده هاي لو رفته، اطلاعات كارتهاي اعتباري است كه در تجارت زير زميني بيشترين فروش را نيز داشته است. داده هاي كارتهاي اعتباري از قيمت 6 سنت تا 30 دلار به فروش مي­رسند. اعتبارات حسابهاي بانكي با قيمتي بين 10 تا 1000 دلار و حسابهاي ايميل نيز با قيمتي بين 10 سنت تا 100 دلار فروخته مي­شوند. بيشتر داده هاي كارتهاي اعتباري كه به فروش گذاشته شده اند مربوط به ايالات متحده هستند. بيشترين داده هاي لو رفته كه مي­توانند منجر به جعل هويت گردند مربوط به بخش آموزش است، در حاليكه بخش تجاري بيشترين آمار را در مورد هويتهاي افشا شده داراست. دليل نزديك به نيمي از افشاي داده ها، سرقت يا گم شدن تجهيزات بوده است و 66 درصد از افشاي هويتها نيز به همين دليل بوده است.

هرزنامه

معمولترين نوع هرزنامه كشف شده مربوط به ابزار و سرويسهاي اينترنتي و كامپيوتري است. حجم هرزنامه ها در سال 2008 حدود 200 درصد افزايش داشته و به حدود 350 ميليارد در اين سال رسيده است. شبكه هاي كامپيوترهاي آلوده كه مورد سوء استفاده هكرها قرار گرفته بودند مسوول انتشار حدود 90 درصد از اين هرزنامه ها بوده اند.

بدافزارها

شركت Symantec حدود 66/1 ميليون حمله كدهاي خرابكار را در سال 2008 تشخيص داده كه اين تعداد برابر است با 60 درصد از مجموع 6/2 ميليون حملات بدافزاري كه از ابتدا تا كنون تشخيص داده است. تعداد امضاهاي جديد كدهاي خرابكار نيز 265 درصد نسبت به سال 2007 افزايش داشته است. تروجانها نزديك به 70 درصد از حجم 50 نمونه برتر كدهاي خرابكار را به خود اختصاص داده اند.

آسيب پذيريها

شركت Symantec نزديك به 5500 آسيب پذيري را در سال 2008 مستند كرده است كه اين تعداد حدود 20 درصد نسبت به سال 2007 افزايش داشته است و 80 درصد از آسيب پذيريهاي مستند شده در رده آسيب پذيريهايي دسته بندي شده اند.كه به سادگي مي­توانند مورد سوء استفاده قرار گيرند مرورگر Safari با ميانگين 9 روز، بيشترين زمان را در ارائه اصلاحيه از زمان كشف كد سوء استفاده كننده از يك آسيب پذيري داشته است. در حاليكه Mozilla با ميانگين زماني كمتر از يك روز كمترين زمان را به خود اختصاص داده است. مرورگر Mozilla از طريق 99 آسيب پذيري جديد در سال 2008 آسيب ديده است. IE با 47 آسيب پذيري، Safari با 40 آسيب پذيري، Opera با 35 آسيب پذيري و Google Chrome با 11 آسيب پذيري در رده هاي بعدي قرار دارند.

جغرافياي حملات

بيشتر حملات از ايالات متحده نشات گرفته و مقصد اغلب حملات انكار سرويس نيز ايالات متحده بوده است. كشور چين بيشترين كامپيوترهاي آسيب ديده را در ميان كشورهاي جهان و شهر بوينس آيرس بيشترين كامپيوترهاي آسيب ديده را در ميان شهرهاي جهان داشته است.

زيرساختهاي حياتي

مخابرات مهمترين زيرساخت حياتي در بخش فعاليتهاي خرابكارانه بوده است كه 97 درصد از كل اين فعاليتها و بيشترين حملات انكار سرويس متوجه آن بوده است.
25 بهمن 1390 برچسب‌ها: گزارشات تحلیلی
الگوريتمهاي جديد CAPTCHA
IRCRE200904008
اخيراً روشهاي جديد Captcha مبتني بر تصوير ارائه شده اند كه عبور از آنها براي ما انسانها ساده تر و براي رايانه ها غيرممكن شده است. در يكي از اين روشها از قدرت تشخيص انسانها در تمييز اجسام از يكديگر در حالت سه بعدي و دو بعدي و همچنين در زواياي مختلف استفاده مي شود. روش ديگر بر تشخيص يك تصوير متفاوت از بين چندين تصوير مشابه استوار است و شكستن آن براي رايانه هاي فعلي غيرممكن مي باشد. روشي كه در بيشتر وب سايتها براي جداسازي وروديهايي كه كامپيوترها توليد كرده اند از وروديهاي انساني به كار مي رود، Captcha يا Completed Automated Public Turing نام دارد. در اين روشها، معمولاً تركيبي از الفبا، اعداد و كاراكترهاي ديگر را توليد مي كنند به طوري كه يك انسان بتواند آنها را تشخيص دهد، ولي شناسايي اجزاي آن براي رايانه ها مشكل باشد. همان طور كه رباتهاي كامپيوتري توليد كننده وروديها هوشمندتر مي شوند، روشهاي Captcha نيز آزاردهنده تر مي شوند به طوري كه عبور از برخي از آنها براي ما انسانها نيز دشوار مي نمايد. به همين دليل متخصصان اين قضيه به دنبال روشهايي هستند كه استفاده از آنها براي انسانها ساده تر و براي كامپيوترها تقريباً غير ممكن باشد. يكي از روشهاي جايگزين، استفاده از عكسهاي سه بعدي در اينگونه تستها است كه تشخيص آنها براي انسانها ساده بوده و در حال حاضر تكنولوژي شكستن آن براي رايانه ها موجود نمي باشد. در اين روش كه 3D Captcha نام دارد، از قدرت تشخيص انسانها براي تمييز اجسام سه بعدي در زواياي مختلف استفاده مي شود. در زير نمونه اي از اين تست را كه وب سايت Yuniti.com از آن استفاده مي كند، مشاهده مي كنيد (وب سايت مذكور ابداع كننده اين الگوريتم Captcha مي باشد):



كاربر بايد اجسام پاييني را به ترتيب در قسمت بالا پيدا كرده و بچيند. با كليك بر روي هر يك از باكسهاي بالا، يك ليست از اجسام نشان داده مي شود كه كاربر بايد جسم مورد نظر را در بين آنها پيدا كند. اين مطلب در عكس زير نشان داده شده است.



ايده ديگري كه پيشنهاد مي شود، استفاده از تصاوير در اينگونه الگوريتمها است. در همين راستا روشي به نام Captcha the Dog ابداع شده كه در وب سايتي با همين نام ارائه شده است. ايده اصلي در اين روش كليك بر روي تصويري است كه با بقيه متفاوت است. در اينجا منظور كليك بر روي تصوير سگ در بين هشت تصوير گربه بر روي يك صفحه 3×3 است. در اين روش هر بار جاي سگ در رديفها و ستونهاي مختلف عوض مي شود. در صورتي كه كاربر يك بار هم اشتباه كند كل پروسه از اول آغاز مي گردد. زماني كه كاربر به تعداد كافي بر روي تصوير درست كليك كند، آنگاه كل صفحه شامل تصاوير گربه خواهد شد و به اين ترتيب فرد از تست با موفقيت عبور مي كند.



در حال حاضر تمييز اين تصاوير از يكديگر براي رايانه ها غير ممكن است و همچنين انتخاب تصادفي و درست تصاوير در دفعات مختلف محال مي باشد. به نظر مي رسد كم كم روشهاي مبتني بر متن جاي خود را به روشهاي مبتني بر تصوير بدهند.
25 بهمن 1390 برچسب‌ها: گزارشات تحلیلی
RSA 2009 در يك نگاه
IRCRE200904009
كنفرانس RSA يكي از مهمترين كنفرانسهاي امنيتي در سطح دنياست كه سعي مي­كند برنامه امنيت اطلاعات را در سراسر جهان با توجه به وقايع صنعتي سالانه آمريكا، اروپا و ژاپن رهبري نمايد. اين كنفرانس در تاريخ 17 ساله خود با جمع كردن بزرگان حوزه امنيت، فرصتهايي براي شركت كنندگان در اين همايش فراهم كرده است تا مهمترين مسائل امنيت فناوري اطلاعات را از شخصيتها و شركتهاي مهم و مطرح در اين حوزه ياد بگيرند. كنفرانس امسال 20-22 ماه آوريل در شهر سانفرانسيسكو برگزار شد كه در زير خلاصه اي از مهمترين مباحث مطرح شده در اين كنفرانس آورده شده است:

روز اول- 20 آوريل 2009

  • جستجوي امن
    در اولين روز كنفرانس RSA، شركت امنيتي AVG نرم افزار امنيتي خود به نام LinkScanner را بصورت رايگان عرضه نمود. اين نرم افزار زماني كه شما مشغول جستجو در وب هستيد، به صورت بلادرنگ صفحات وب مورد جستجوي شما را اسكن مي­كند. نرم افزار LinkScanner كه در حال حاضر به صورت يك plug-in براي مرورگرهاي Firefox و IE تحت ويندوز ارائه مي­گردد، يك صفحه وب را پيش از آنكه فرد جستجو كننده آن را باز كند اسكن نموده و در صورتيكه آن صفحه وب نا امن باشد، به كاربر اخطار مي­دهد. اين نرم افزار پيش از اين براي مدت يكسال بصورت يك ويژگي در مجموعه امنيتي AVG ارائه مي­شد. اما اكنون كاربران مي­توانند آن را به صورت رايگان و جدا از آنتي ويروس AVG دريافت نمايند.
  • ويندوز 7 مطمئن تر از ويستا؟
    در آغاز كنفرانس امنيتي RSA 2009، غول نرم افزاري جهان يعني مايكروسافت، توضيحات مفصلي در مورد وضعيت امنيت جديدترين سيستم عامل خود ارائه داد. مطابق اين گزارش، پيغامهاي UAC كه منفورترين ويژگي ويندوز ويستا بودند در ويندوز 7 حدود 29 درصد كاهش داشته اند. همچنين ايجاد ارتباطي امن و يكپارچه براي كاربران راه دور شبكه يك شركت توسط DirectAccess و نيز تعميم ويژگي رمز كردن داده ها به حافظه هاي قابل حمل توسط BitLocker To Go از ديگر ويژگيهاي اين سيستم عامل عنوان شده است.
  • شماره موبايل خود را به هر كسي ندهيد
    بنابر اطلاعات ارائه شده توسط شركت امنيتي تلفن همراه Trust Digital در كنفرانس RSA، يك مهاجم با استفاده از كمي مهارت و به كارگيري ابزارهاي مربوطه، قادر است به سرقت اطلاعات تلفن همراه از راه دور، تنها با فرستادن يك پيام كوتاه بپردازد.
  • نرم افزار امن، خيال يا واقعيت؟
    در كنفرانس RSA متخصصان به دنبال دستيابي به جام مقدس يا همان نرم افزار عاري از آسيب پذيري امنيتي هستند. توسعه دهندگان نرم افزار روز به روز بيشتر به ابزارهاي كمكي جهت ايمن سازي نرم افزارهايشان مجهز مي شوند و عرضه كنندگان محصولات نرم افزاري نيز به دنبال روشهايي هستند كه نه تنها حفره هاي امنيتي را اصلاح كند بلكه به آنها اطمينان دهد كه نرم افزار از ابتدا داراي حفره هاي امنيتي نمي باشد.
  • Mi5 به Symantec مي پيوندد
    شركت Networks Mi5 محصولات امنيتي تحت وب را براي مقابله با تهديدهاي امنيتي مبتني بر وب به فروش مي رساند. مدير بازاريابي محصولات Symantec در RSA عنوان كرد، Symantec قصد دارد فناوري امنيت تحت وب را با محصولات فعلي خود مجتمع سازد و همه را تحت عنوان يك محصول در تابستان سال 2009 ارائه دهد.

روز دوم- 21 آوريل 2009

  • فعاليتهاي امنيتي IBM
    در دومين روز كنفرانس، شركت IBM سرويسهاي امنيت ابر (cloud security) خود را معرفي كرده و اعلام كرد كه در حال آغاز يك پروژه بزرگ براي ايجاد يك معماري امنيتي براي hosted computing است. در اين روش، چندين شركت با هم جمع شده و به كمك هم شبكه اي مي­سازند كه بسيار بهتر از شبكه اي است كه هريك به تنهايي مي­توانستند ايجاد كنند. بانكهاي اطلاعاتي قوي، بازدهي بالا، قابليت تحمل خطا، امنيت بالا و در دسترس بودن از ويژگيهاي اين شبكه هاست.
  • Adobe Acrobat Reader را موقتاً كنار بگذاريد
    رئيس بخش تحقيقات شركت امنيتي F-Secure در كنفرانس RSA عنوان داشت : " با توجه به حمله هايي كه با سوءاستفاده از آكروبات انجام گرفته است، مردم بايد به دنبال جايگزيني براي باز كردن فايلهاي PDF باشند."
  • كشف يكي از بزرگترين شبكه رايانه هاي آلوده در دست خرابكاران
    شركت امنيتي Finjan در كنفرانس RSA در سانفرانسيسكوي آمريكا خبر از كشف يكي از بزرگترين شبكه هاي خرابكار در جهان داد كه شامل 1.9 ميليون زامبي (رايانه آلوده تحت فرمان هكر) مي باشد. اين شبكه خرابكار از ماه فوريه مورد استفاده بوده و مبدأ آن در اوكراين مي باشد. گروه خرابكاراني كه اين شبكه را كنترل مي كنند شش نفر هستند و از رايانه هايي كه داراي ويندوز XP مي باشند براي كپي كردن فايلها، ثبت ضربات صفحه كليد، فرستادن هرزنامه و گرفتن تصوير از صفحه مانيتور سوءاستفاده مي كنند.
  • ديگر نگران فراموشي رمزهاي عبور نباشيد
    نرم افزار كاربردي FireId كه در كنفرانس RSA 2009 معرفي شد، يك فناوري جديد است كه به افراد اجازه مي دهد به وب سايتها و نرم افزارهاي كاربردي مختلف از طريق تلفن همراهشان دسترسي پيدا كنند، بدون اينكه نياز به يادآوري همه رمزهاي عبور داشته باشند.
  • مايكروسافت تكنولوژي تاييد هويت را در مدارس آزمايش مي­كند
    يكي از مديران اجرايي مايكروسافت در سخنراني خود اعلام كرد كه اين شركت برخي تكنولوژيهاي امنيتي مبتني بر هويت خود را در 50 مدرسه ايالت واشنگتن به آزمايش مي­گذارد. دانش آموزان و والدين آنها اطلاعات شناسايي خود را به مدرسه تحويل مي­دهند. سپس هر دانش آموز يك نوت بوك كوچك به همراه كارتهاي اطلاعات هويت دريافت خواهد كرد كه براي دسترسي به آموزش آنلاين مورد استفاده قرار مي­گيرد. اين تكنولوژي Geneva نام گرفته است.
  • امنيت محاسبات ابري از ديد متخصصين
    در دومين روز از كنفرانس RSA، يك گروه از پيشكسوتان حوزه امنيت، كه كار آنها در رمزنگاري براي محافظت داده ها در اينترنت و ارتباطات هر روزه مورد استفاده قرار مي­گيرد، ميزگردي را درباره وضعيت امنيت برگزار كردند. در اين ميزگرد به موضوعات متنوعي پرداخته شد. اما بيشتر صحبتها درباره «محاسبات ابري (Cloud Computing)» صورت گرفت.
  • محصولات نا مطمئن، عمد يا غير عمد؟
    تجهيزات كامپيوتري به همراه ويروسها و ساير نرم افزارهاي خرابكار وارد بازار مي­شوند. ولي معلوم نيست كه اين موضوع در نتيجه خرابكاري عمدي برخي افراد ايجاد مي­شود و يا در اثر ضعف توليد كنندگان. مدير اجرايي سياست امنيت ملي در شركت تجاري Verizon اعلام كرد كه سال گذشته، ابزارهاي GPS، ديسكهاي سخت، لپ تاپهاي Toshiba، iPodها و كليدهاي USB كه سرورهاي HP را همراهي مي­كردند دچار مشكلاتي مانند آلودگي به بدافزار بودند.
  • سرمايه گذاري بيشتر سيسكو در محصولات امنيتي
    شركت سيسكو در كنفرانس RSA، از فراهم آوردن امكانات جديدي در رابطه با امنيت فناوري ابر خبر داد. اين امكانات جديد شامل گسترش خدمان امنيتي متمركز و يكي سازي برنامه هاي امنيت به عنوان يك خدمت يا همان SaaS(Security as a Service) با زيرساختهاي مشترك شبكه ميشود. محصولات جديد سيسكو شامل Cisco Security Cloud Services، Cisco IPS Sensor Software 7.0 for intrusion prevention و نرم افزار Cisco Adaptive Security Appliance 5500 Series 8.2 مي شود كه داراي يك فيلتر ترافيك botnet براي تشخيص كاربران آلوده و دسترسي هاي از راه دور مي شود.

روز سوم – 22 آوريل 2009

  • به توصيه متخصصان، بهترين راه مقابله با مجرمان سايبر تحريم مالي آنها مي باشد
    متخصصان در كنفرانس RSA عنوان كردند كه فناوري براي كمك به صنعت امنيت جهت مقابله با سرقت پول مردم و حملات انكار سرويس توسط Botnet ها كافي نمي باشد. پيشنهاد آنها متوقف كردن جريانهاي مالي خرابكاران اينترنتي و بستن حسابهاي آنها مي باشد. طبق نظر متخصصان، لازم است مدل تجاري آنها شكسته شده و پول در آوردن از اين راه برايشان بسيار سخت شود.
  • نقش سازمانها و شركتها در امنيت فضاي سايبر
    در روز سوم كنفرانس گروهها، شركتها و سازمانهاي مختلفي به نقش خود در مورد امنيت فضاي سايبر پرداختند. از آن جمله مي­توان به FBI، آژانس امنيت ملي آمريكا (NSA)، كاخ سفيد و شركت مايكروسافت اشاره كرد.

در حاشيه

  • تعداد افراد شركت كننده در كنفرانس امسال كمتر از سال گذشته بود. سال گذشته حدود 17000 نفر در اين كنفرانس شركت كرده بودند و امسال اين ميزان 13% كاهش داشته است. با اين وجود افراد حاضر در كنفرانس اظهار مي دارند كه به سختي مي توان باور كرد بيش از 10000 نفر در كنفرانس حضور داشته اند.
  • بسياري از نويسندگان حوزه امنيت كامپيوتري، كنفرانس امسال را فاقد جذابيت و نوآوري لازم مي­دانستند و معتقد بودند كه بسياري از شركت كنندگان حرف تازه اي براي گفتن نداشتند و اين در حالي است كه برنامه هاي اعلام شده از قبل به نظر بسيار قوي مي آمدند.
  • در سالهاي گذشته همواره حداقل يك موضوع در كنفرانس RSA مطرح مي شد كه توجه همگان را به خود جلب مي كرد ولي امسال چنين اتفاقي تكرار نشد.
25 بهمن 1390 برچسب‌ها: گزارشات تحلیلی
نرم افزار امن، خيال يا واقعيت؟
IRCRE200904010
با توجه به اينكه كرم Conficker هنوز هم موضوع داغ بسياري از محافل امنيتي است و از طرفي مايكروسافت هم هفته گذشته يك اصلاحيه امنيتي را براي آسيب پذيري هاي متعددي منتشر كرده است، به نظر مي رسد كه خرابكاران، كنترل رايانه هاي موجود در اينترنت را به دست گرفته اند و جنگ را به نفع خود به پيش مي برند، ولي بازي به همين جا ختم نمي شود. در طرف مقابل نيز توسعه دهندگان نرم افزار روز به روز بيشتر به ابزارهاي كمكي جهت ايمن سازي نرم افزارهايشان مجهز مي شوند. همچنين عرضه كنندگان محصولات نرم افزاري نيز به دنبال روشهايي هستند كه نه تنها حفره هاي امنيتي را اصلاح كند بلكه به آنها اطمينان دهد كه نرم افزار از ابتدا داراي حفره هاي امنيتي نيست. در زير نظرات برخي از متخصصين در مورد اين موضوع آورده شده است. آقايDan Geer كه يك متخصص مديريت مخاطرات و كارشناس امنيت اطلاعات است، در اين باره مي گويد:" من فكر مي كنم در حالت كلي صنعت امنيت نرم افزار وضعيت بهتري پيدا كرده است، ولي فاصله اي كه بين بهترين و بدترين وجود دارد، بيشتر شده است." وي براي يكي از بزرگترين شركتهاي سرمايه گذاري در فناوري امنيت اطلاعات كار مي كند. آقايDan Kaminsky مدير بخش تست رخنه پذيري در IOActive عقيده دارد كه Conficker خسارات بسيار كمتري را در سال 2009 نسبت به آنچه كه در سال 2003 مي توانست به بار بياورد، پديد آورده است. به نظر وي، در آن زمان ويروسها بسيار راحت تر مي توانستند ويندوز را از كار بيندازند. در يكي از بزرگترين همايشهاي دنياي امنيت رايانه، يعني كنفرانس RSA ، كه از دوشنبه 31 فروردين ماه در سانفرانسيسكو آغاز به كار كرده است، متخصصان همچنان به دنبال دستيابي به جام مقدس يا همان نرم افزار عاري از آسيب پذيري امنيتي هستند. در كنفرانسهاي پيشين RSA، مايكروسافت دائماً به علت تعداد زياد حفره هاي امنيتي نرم افزارهايش، مورد اعتراض منتقدان قرار مي گرفت. به همين دليل در سال 2002، مايكروسافت بخشي به نام Trustworthy Computing را براي تمركز بر روي بحث امنيت در دنياي رايانه، تأسيس كرد. هفت سال بعد، سرمايه گذاري مذكور به بار نشست و در كنفرانس اخير RSA مايكروسافت طي گزارشي اعلام كرد، تعداد حفره هاي امنيتي در نسخه هاي جديد محصولاتش بسيار كمتر از گذشته هستند و ضعفهاي پيشين در سيستم عاملهايش به صورت كلي برطرف شده اند. همچنين در گزارش مذكور آمده است كه بدترين نرم افزارهاي كاربردي از لحاظ امنيتي، نرم افزارهاي مبتني بر وب بوده اند. بنا بر اظهارات مايكروسافت، سهم آسيب پذيري هاي ويندوز ويستا در نيمه دوم سال 2008 در مقايسه با كل آسيب پذيري هاي مايكروسافت در مدت مشابه، 5.5 درصد بوده است. همچنين سيستم هاي با ويندوز ويستا 60 درصد كمتر از سيستمهاي با ويندوز XP دچار آلودگي شده اند. آقاي Steve Lipner مدير بخش استراتژي مهندسي امنيت در گروه Trustworthy Computing مايكروسافت مي گويد: " امنيت ذاتاً يك مسئله پيچيده است و براي همه شركتها رسيدن به حد كمال در اين زمينه بسيار مشكل است. چيزي كه براي ما مهم است، كاهش درصد آسيب پذيري هايي است كه در محصولات شركت هاي اصلي توليد كننده نرم افزار وجود دارد و همچنين كاهش تعداد كلي آسيب پذيري ها است كه در گزارش ذكر شده است."

ابزارهاي بهتر، اشتباهات كمتر

مايكروسافت پروسه SDL يا Security Development Lifecycle را كه در بررسي امنيتي نرم افزارهايش مورد استفاده قرار مي دهد، به صورت يك دستورالعمل در آورده است تا ديگر توليد كننده هاي نرم افزار نيز بتوانند از آن استفاده كنند. سال گذشته مايكروسافت شروع به قرار دادن ابزارهاي رايگان SDL بر روي وب سايتش كرد تا ديگر توسعه دهندگان نرم افزار نيز بتوانند به ارزيابي و تحليل طراحي نرم افزارهايشان پرداخته و به دنبال ضعفهاي امنيتي در آنها بگردند. رئيس بخش تحقيقات امنيت در موسسه امنيتي SANS مي گويد: " از آنجايي كه ابزارهاي مخصوص نوشتن كدهاي امن بهتر از قبل شده اند، توسعه دهندگان نرم افزار نيز كمتر دچار اشتباه مي شوند." البته مايكروسافت تنها حامي نرم افزار نويسان نيست و ديگران نيز در اين راه قدمهاي خوبي برداشته اند. براي مثال، HP نيز يك ابزار رايگان را براي پيدا كردن حفره هاي امنيتي در نرم افزارهاي فلش ارائه كرده است و اخيراً ابزار ديگري را براي كساني كه در مباحث امنيتي خبره نيستند، معرفي كرده كه براي بررسي هاي امنيتي به كار مي رود. شركت IBM نيز ابزاري را براي توسعه دهندگان نرم افزارهاي فلش و Ajax به فروش مي رساند. همچنين هفته گذشته وب سايت CERT نيز ابزار رايگاني به نام Dranzer را براي بررسي كدهاي ActiveX ارائه كرده است. اخيراً مايكروسافت نسخه جديد يك ابزار كد آزاد را به نام exploitable Crash Analyzer منتشر كرده است كه پروسه تشخيص آسيب پذيري هاي قابل سوءاستفاده را در حين توسعه نرم افزار بسيار ساده ساخته است. يكي از متخصصان در اين زمينه مي گويد: " من فكر نمي كنم تا به حال براي توسعه دهندگان نرم افزاري كه تخصصي در زمينه امنيت ندارند، تشخيص آسيب پذيري ها و نقص هاي امنيتي كه منجر به سوءاستفاده خرابكاران مي شود، به اين سادگي بوده باشد."

چالش توسعه دهندگان نرم افزار

آقاي Gary McGraw مدير ارشد فناوري (CTO) در شركت مشاوره امنيتي Cigital هفته گذشته مقاله اي را منتشر كرده است كه در آن وضعيت توسعه پردازه هاي امن را در شركتهاي بزرگ توليد كننده نرم افزار مانند مايكروسافت، گوگل، Adobe و چندين شركت اصلي ديگر بررسي كرده است. اين شركتها رده بندي شده و نمره هايي به آنها اختصاص يافته كه محرمانه هستند. به هرحال طبق اين رده بندي شركتها مي توانند جايگاه خود را در اين زمينه پيدا كنند. مدلي نيز در مقاله پيشنهاد شده است كه Building Security in Maturity Model نام گرفته و براي توليد محصولات امن طراحي شده است. آقاي McGraw ابراز مي دارد: "به نظر من امنيت روز به روز مهمتر و مهمتر مي شود و خبر خوب اينست كه ما واقعاً در حال پيشرفت هستيم." به نظر وي در حال حاضر ابزارهاي خوبي وجود دارند ولي توسعه دهندگان نرم افزار اغلب آموزش كافي را نديده اند. در يك بررسي كه توسط Forrester انجام و در RSA منتشر شده، كشف شده است كه تنها 34 درصد كمپاني ها يك چرخه حيات جامع براي توليد نرم افزار دارند كه مسائل امنيتي را نيز در نظر گرفته است و در مقابل نيز 57 درصد سازمانها داراي برنامه سيستماتيك آموزش امنيت براي توسعه دهندگان نرم افزارهايشان نيستند. در مقاله فوق، مفهومي به نام "Software Security Street Fighting " يا "دعواي خياباني امنيت نرم افزار" معرفي شده است كه منظور از آن امتناع توسعه دهندگان نرم افزار از به كارگيري تكنيكهاي پيچيده اي است كه بدون آنها حفره هاي امنيتي به راحتي ايجاد مي شوند. به عقيده نويسنده مقاله توسعه دهندگان نرم افزار كار بسيار سختي پيش رو دارند و نمي توانند برنده واقعي باشند چرا كه آنها همواره و در تمام لحظات بايد درست كار كنند، در حالي كه يك مهاجم كافي است كه تنها يك بار درست عمل كند. در نهايت Kaminsky كسي كه حفره امنيتي DNS را كشف كرد، عقيده دارد كه بحث امنيت فراتر از يك شركت به تنهايي و حتي فراتر از دولتها است و براي تأثير گذار بودن در زمينه امنيت نرم افزارها همه بايد دست به دست هم بدهند و با هم همكاري كنند.
25 بهمن 1390 برچسب‌ها: گزارشات تحلیلی
وضعيت امنيت در سه ماهه اول 2009
IRCRE200905011
شركت امنيتي McAfee گزارشي از وضعيت حملات امنيتي در سه ماهه اول سال 2009 منتشر كرد. اين گزارش آخرين آمار و تحليلهاي مرتبط با اين حملات را ارائه مي­كند. در اينجا خلاصه اي از اين گزارش را مطالعه مي­كنيد.

هرزنامه ها و ايميلها

بنابراين گزارش، حجم ايميلها و هرزنامه ها در سه ماهه اول 2009 بسيار پايين تر از دو سال گذشته بوده است. در مقايسه با سه ماهه اول سال گذشته، حجم هرزنامه ها حدود 20 درصد كاهش داشته و در مقايسه با سه ماهه سوم سال 2008 نيز حدود 30 درصد كاهش يافته است. قابل توجه است كه حجم هرزنامه ها در سه ماهه سوم سال 2008 به بيشترين مقدار خود تا كنون رسيده بود. با از كار انداختن ميزبان هرزنامه ها، اين تعداد كم شده است، اما هنوز به مقدار اوليه خود نرسيده است. در سال 2008 هرزنامه ها بيش از 90 درصد كل ايميلها را تشكيل مي­دادند كه اين مقدار اكنون به 86 درصد رسيده است.

ارتش كامپيوترهاي خرابكار

در اين سه ماهه حدود 12 ميليون آدرس آي پي جديد كه بعنوان Zombie (كامپيوترهاي تحت كنترل هرزنامه نويسان و ساير خرابكاران اينترنتي كه از آن براي گسترش اعمال بدانديشانه خود استفاده مي­كنند) عمل مي­كردند كشف شده است. اين تعداد نسبت به آخرين دوره سه ماهه سال 2008 حدود 50 درصد افزايش را نشان مي­دهد. اگرچه سه ماهه سوم سال 2008 نيز ركورد جديدي در تعداد كامپيوترهاي جديد تحت كنترل خرابكاران بر جاي گذاشت، ولي اين ركورد در اين سه ماهه با افزايش حدود يك ميليوني روبرو بوده است. اين افزايش نشان مي­دهد كه هرزنامه نويسان به شدت در تلاش هستند تا زيرساخت از دست رفته خود در سال 2008 را مجددا به دست آورده و دوباره هرزنامه هاي خود را به وضعيت قبل برگردانند. نكته جالب توجه اين است كه حدود 63 درصد از اين كامپيوترها در 10 كشور واقع شده اند كه ايالات متحده آمريكا و چين به ترتيب با 18 و 13.4 درصد در صدر اين ليست قرار دارند. همچنين بيشترين توليد هرزنامه نيز با 35 درصد متعلق به كشور ايالات متحده است. آمارهاي 6 ماهه گذشته نشان مي­دهد كه كشور هند بيشترين افزايش را در توليد هرزنامه داشته است و اكنون سهمي 7 درصدي در توليد هرزنامه در جهان دارد. در حقيقت درصد توليد هرزنامه در اين كشور از سه ماهه گذشته دو برابر شده است. همچنين كشورهاي تايلند، روماني و لهستان نيز به جمع 10 كشور پيشرو در اين زمينه پيوسته اند كه اين به معناي گسترش بيشتر هرزنامه نويسان در دنياست. همچنين بررسيها نشان مي­دهد كه هرزنامه نويسان حكومت هيچ كشوري –حتي كشور خودشان- را به رسميت نمي­شناسند. پيش از اين تصور مي­شد كه مجرمان اينترنتي از تخصص خود براي ضربه زدن به كشورهاي رقيب استفاده مي­كنند. اما اكنون آمارها نشان مي­دهد كه اين مجرمان هيچ مرز جغرافيايي را نمي­شناسند و به هر هدفي كه بتوانند ضربه مي­زنند.

سايتهاي خرابكار هر روز متولد مي­شوند

بررسيهاي اين سه ماهه نشان دهنده ادامه تهديدهايي است كه در سه ماهه آخر سال 2008 وجود داشتند و اكنون با قدرت بيشتري به كار خود ادامه مي­دهند. آمارها نشان مي­دهد كه تعداد سايتهايي كه مورد سوء استفاده خرابكاران اينترنتي قرار گرفته و به عنوان ميزبان بدافزارها عمل مي­كنند، در سه ماهه اول امسال افزايش داشته است. ايالات متحده با 46 درصد، بيشترين تعداد اين سايتها را ميزباني مي كند. كشورهاي چين و آلمان نيز به ترتيب با 10 و 6 درصد در رده هاي بعدي اين فهرست قرار گرفته اند. درصد اين سايتها در ساير كشورها نيز با افزايش روبرو بوده است. البته بخش عمده اي از اين افزايش مربوط به Conficker بوده، تا جاييكه Conficker به تنهايي توانسته است كشور هلند را، كه هرگز در اين فهرست جايگاه مهمي نداشته است به رده چهارم انتقال دهد. تعداد pop-upها نيز كه بعنوان يك فاكتور آزار دهنده در يك سايت به شمار مي­روند كاهش نيافته است و علي رغم عرضه نرم افزارهايي براي مسدود كردن pop-upها، هنوز بسياري از سايتها از آن استفاده مي­كنند. بنابر آمار، بيشترين تعداد pop-up ها در يك سايت 116 pop-up بوده است.

بدافزارها

چند ماه گذشته همه جا صحبت از Conficker بود، تا جاييكه به نظر مي آمد كه تنها تهديد نگران كننده در اينترنت Conficker است. اما زماني كه به اعداد و ارقام نگاه مي­كنيم پي مي­بريم كه قضيه به اين صورت نبوده است. كرم Conficker به دلايل متعددي قطعا يكي از بدافزارهاي مهم در اين مدت بوده است. اين كرم كامپيوترهاي زيادي را تحت تاثير قرار داده، به سرعت گسترش يافته، نگهداري و به روز شده است. ولي كاري كه اين كرم انجام داده به اندازه توجهي كه به خود جلب كرده نبوده است. بدافزارهاي ديگري در اين سه ماهه وجود داشته اند كه واقعا نگران كننده هستند. بدافزارهاي مبتني بر AutoRun كه با استفاده از حافظه هاي Flash يا درايوها USB خود را منتشر مي­كنند، در اين سه ماهه بسيار زياد ديده شده اند. البته برخي نسخه هاي Conficker نيز از همين روش براي انتشار خود استفاده مي­كنند.
25 بهمن 1390 برچسب‌ها: گزارشات تحلیلی
صفحات: «« « ... 46 47 48 49 50 ... » »»