فا

‫ اخبار

صفحات: «« « ... 46 47 48 49 50 »
نتایج جستجو براساس برچسب: "گزارشات تحلیلی"
مديريت حق دسترسي، روش مقابله با آسيب پذيري هاي مايكروسافت
IRCRE201004028
بنا بر گزارش BeyondTrust كه اخيراً منتشر شده است، 64 درصد آسيب پذيري هاي مايكروسافت در سال 2009 مي توانستند با تنظيم كمترين حق دسترسي، كاهش پيدا كنند.



اين گزارش آماري با توجه به بولتن هاي امنيتي مايكروسافت در طول سال 2009 تنظيم شده است و در آنها آسيب پذيري هايي بررسي شده اند كه مي توانستند با مديريت حق دسترسي كاهش پيدا كنند. مايكروسافت ماهيانه اصلاحيه هايي را براي آسيب پذيري هاي شناخته شده منتشر مي كند. با اين وجود همواره مدت زماني طول مي كشد تا آسيب پذيري ها شناسايي شده و سپس اصلاحيه مربوطه آماده و منتشر شود. در اين فاصله زماني كه به window of opportunity يا پنجره فرصت براي هكرها معروف است، تهديدها مي توانند به شبكه ها آسيب زده و يا منجر به از دست رفتن اطلاعات حساس شوند. لذا همه شركت ها بايد راه حلي را براي مديريت حق دسترسي (Privilege Identity Management) تعريف كرده تا ميزان خطر و امكان سوء استفاده از آسيب پذيري هاي كشف نشده را كاهش دهند. اين مديريت بايد به گونه اي باشد كه با وجود عدم اعطاي اختيارات مديريتي به كاربران، قدرت عملياتي آنها را حفظ كند. البته توصيه كارشناسان امنيتي مبني بر كاهش حق دسترسي از سالها پيش مطرح شده است و در حال حاضر امكان پياده سازي آن در سيستم عامل هاي جديد راحت تر شده است. اما با در نظر گرفتن موارد مذكور و با وجود آنكه مسئله مديريت حق دسترسي يك پروسه مميزي امنيتي اصلي و مهم است، بسياري از شركت ها و همچنين كاربران تمايلي به اجراي آن ندارند. اين يك روش پيشگيري است و همواره پيشگيري بهتر از درمان است. در اين گزارش نشان داده شده است كه يك مديريت حق دسترسي مؤثر تا چه ميزان مي تواند از بروز حملات با سوءاستفاده از آسيب پذيري ها، پيشگيري كند.
در زير يافته هاي كليدي گزارش مذكور در مورد درصد كاهش خطر نقص هاي امنيتي آمده است:
  • خطر 90 درصد آسيب پذيري هاي بسيار خطرناك سيستم عامل ويندوز 7 با login كاربران به عنوان كاربر استاندارد كاهش پيدا مي كنند.
  • خطر 100 درصد آسيب پذيري هاي گزارش شده در آفيس در سال 2009، با تنظيم حداقل حق دسترسي كاهش پيدا مي كنند.
  • خطر 94 درصد آسيب پذيري هاي IE و 100 درصد آسيب پذيري هاي IE8 در سال 2009 از طريق مذكور كاهش پيدا مي يابد.
  • خطر 64 درصد كل آسيب پذيري هاي گزارش شده در مايكروسافت با تنظيم حداقل حق دسترسي كاهش پيدا مي كنند.
  • خطر 87 درصد آسيب پذيري هاي طبقه بندي شده در زمره آسيب پذيري هاي اجراي كد از راه دور با حذف حق دسترسي مدير سيستم كاهش پيدا مي كنند.


25 بهمن 1390 برچسب‌ها: گزارشات تحلیلی
همه چيز درباره Mariposa
IRCRE201004029
در ماه مي سال 2009، شركت امنيتي Defence Intelligence كه يك شركت خصوصي كانادايي است، خبر شناسايي يك شبكه رايانه هاي خرابكار (botnet) جديد را به نام Mariposa براي برخي از شركت هاي امنيتي سرشناس مانند پاندا، پليس اسپانيا و FBI به صورت محرمانه ارسال كرد. در پي كشف مذكور، تحقيقات چند ماهه اي با هدف از كار انداختن شبكه خرابكار مذكور كه چيزي نمانده بود تا به بزرگترين شبكه رايانه هاي خرابكار در تاريخ رايانه تبديل شود، انجام شد. در اولين گام يك كارگروه Mariposa با نام اختصاري MWG، متشكل از شركت امنيتي Defense Intelligence، مركز امنيت اطلاعات Georgia، شركت امنيتي پاندا و برخي متخصصان و آژانس هاي امنيتي بين المي كه نخواسته اند نامشان فاش شود، تشكيل شد. هدف از اين كارگروه، اجراي عملياتي بود كه از يك طرف botnet مذكور را ريشه كن سازد و از طرف ديگر مجرمان را تحويل قانون دهد. بعد از جمع آوري و تحليل اطلاعات مرتبط با botnet مذكور، افراد درگير در پروژه سعي كردند تا كنترل Mariposa را از دست مجرمان خارج كرده و آن را تصاحب كنند. آنها همچنين تلاش كردند تا مجرمان پشت پرده را شناسايي كنند ولي اين كار بسيار پيچيده و سخت بود زيرا صاحبان Mariposa همواره از طريق يك VPN (Virtual Private Network) ناشناس به سرورهاي كنترل و فرماندهي متصل مي شدند و لذا شناسايي IP حقيقي آنها غير ممكن بود. متخصصان امنيتي كارگروه تحقيقاتي Mariposa، جهت انجام اقدامات فوق، ابتدا سرورهاي كنترل و فرماندهي (Command & Control (C&C)) را كه فرمان هاي جديد از طريق آنها براي اعضاي شبكه ارسال مي شود، شناسايي كردند. متخصصان امنيتي از اين طريق توانستند انواع فعاليت هايي را كه از طريق شبكه مذكور انجام مي شد، مشاهده كرده و متوجه شوند كه شبكه رايانه هاي خرابكار Mariposa براي چه اهدافي مورد استفاده قرار گرفته است. بر اين اساس، مهمترين اعمال خرابكارانه شبكه مذكور شامل اجاره دادن بخشي از botnet به ديگر مجرمان، سرقت اطلاعات حساس و يا طبقه بندي شده از رايانه قربانيان، تغيير نتايج موتورهاي جستجويي همچون گوگل و نمايش تبليغات pop-up بوده است. بنا بر گزارش پاندا در همه فعاليت هاي فوق، پولسازي از Botnet مذكور، در رأس اهداف صاحبان آن قرار داشته است. مجرمان پشت پرده Mariposa، خود را گروه DDP (Dias de Pesadilla) يا گروه روزهاي كابوس ناميده بودند. اين مسئله زماني كشف شد كه يكي از رهبران گروه سهواً اشتباهي را مرتكب شده و خود را لو داده بود. در 23 دسامبر 2009 در يك عمليات بين المللي، كارگروه MWG بالاخره توانست كنترل Mariposa را در اختيار بگيرد. در پي اين اقدام، رهبر گانگسترهاي سايبر با نام مستعار Netkairo، عصباني شده و تمام توانش را به كار گرفت تا بتواندBotnet خويش را باز پس گيرد. وي در اين تلاش مرتكب اشتباه مرگباري شد و به جاي استفاده از VPN، از رايانه خانگي خود به صورت مستقيم به سرورهاي C&C متصل شد. البته وي بالاخره توانست كنترلBotnet مذكور را دوباره به دست آورد و در اين هنگام يك حمله انكار سرويس سنگين را با تمام توان بر عليه شركت امنيتي Defense Intelligence انجام داد. شدت حمله به قدري بود كه يك ISP را از كار انداخت و تعداد زيادي از كاربران از جمله برخي دانشگاه هاي كانادايي و موسسات دولتي براي ساعت ها اينترنت نداشتند. اعضاي تيم تحقيقاتي Mariposa بار ديگر سعي كردند از دسترسي تيم DDP به botnet جلوگيري به عمل آورند و اين كار را از طريق تغيير DNS انجام دادند. لذا تمام تمام درخواست هاي ارسالي از زامبي ها به سمت يك نقطه هدايت شدند. در اين هنگام بود كه متخصصان امنيتي براي اولين بار متوجه ميزان گستردگي و بزرگي Botnet مذكور شدند. آنها توانستند تمام IP هايي را كه براي دريافت فرمان سعي در اتصال به سرور C&C را داشتند، شناسايي كرده و با كمال تعجب دريافتند كه بيش از 12 ميليون IP آلوده سعي در ارسال اطلاعات به سرورهاي C&C دارند. اين موضوع Mariposa را به يكي از بزرگترين Botnet هاي تاريخ رايانه تبديل كرد. البته تعداد IP ها لزوماً با تعداد رايانه هاي آلوده برابر نيست، زيرا يك رايانه مي تواند از طريق IP هاي مختلفي به اينترنت متصل شود و از طرف ديگر چندين رايانه هم مي توانند از طريق يك IP به اينترنت متصل شوند، براي مثال شركت هايي كه از پراكسي سرور براي اتصال شبكه به اينترنت استفاده مي كنند. در ابتدا اعضاي كارگروه انتظار داشتند بيشتر آلودگي ها در آمريكا، اروپاي غربي و چندين كشور آسيايي از جمله ژاپن و چين باشد. اما اين پيش بيني آنها كاملاً غلط از آب درآمد و بيشتر آلودگي ها مربوط به هند، مكزيك و برزيل بود. در زير مي توانيد نقشه آلودگي ها را ببينيد. در اين نقشه نقاط پر رنگ تر نشان دهنده تعداد بيشتر IP هاي آلوده است.



همان طور كه مشاهده مي كنيد، آلودگي تقريباً در تمام كشورهاي جهان مشاهده مي شود و در زير ليست آلوده ترين 20 شهر جهان در بين 31900 شهر آلوده، آورده شده است:



متاسفانه تهران نيز با 174455 عدد IP آلوده، در رده دهم ليست مذكور قرار دارد. شبكه رايانه هاي خرابكار Mariposa توانسته بود در 190 كشور جهان نفوذ پيدا كند كه در اين ميان هند با ميزباني بيش از 19 درصد از زامبي، به عنوان آلوده ترين كشور شناسايي شد. نمودار زير نيز نشان دهنده آلوده ترين كشورهاي جهان به Mariposa است و در ادامه ليست آلوده ترين 20 كشور را مشاهده مي كنيد. ايران نيز در اين ليست با 293673 عدد IP آلوده در رده دوازدهم قرار دارد:





قربانيان Mariposa را طيف مختلفي از كاربران، از شركت ها و موسسات دولتي گرفته تا دانشگاه ها و كاربران خانگي تشكيل مي دهند. مديرعامل شركت امنيتي Defense Intelligence براي روشن شدن ميزان آلودگي گفته است: "... براي من راحت تر است تا ليستي از شركت هاي مطرح شده در Fortune 1000 كه آلوده نبوده اند را ارائه كنم تا ليست طولاني شركت هاي آلوده..." داده هاي به سرقت رفته حاوي جزئيات حساب بانكي، شماره كارت هاي اعتباري، نام كاربري، كلمات عبور وغيره بوده است. قابل توجه است كه تنها بر روي رايانه Netkairo اطلاعات به سرقت رفته بيش از 800 هزار كاربر قرار داشته است. Mariposa يك كلمه اسپانيايي به معني پروانه است. قابل ذكر است كه صاحبان Botnet مذكور براي ارتباط با يكديگر از پروتكل مبتني بر UDP كه خودشان تعريف كرده بودند، استفاده مي كرده اند. بنا بر اطلاعات جمع آوري شده توسط پاندا اين شبكه رايانه هاي خرابكار، به تدريج گسترش پيدا كرده و بعد از آلوده سازي، رايانه قرباني را توسط ديگر بدافزارها همچون ثبت كننده ضربات صفحه كليد، تروجان هاي سرقت اطلاعات و تروجان هاي بانكي نيز مورد حمله قرار مي داده است. بالاخره در سوم ماه فوريه 2010، نيروهاي امنيتي اسپانيا سر كرده شبكه مخوف خرابكار، Netkairo، را دستگير كردند. بعد از دستگيري اين مجرم 31 ساله، پليس به بازرسي رايانه وي و تجهيزات مربوط به آن پرداخت و از اين طريق توانست دو نفر ديگر از سران گروه با نام هاي مستعار jonyloleante و ostiator را كه به ترتيب 30 و 25 سال دارند، شناسايي كرده و در 24 فوريه 2010 دستگير كند. تحقيقات در اين مورد همچنان ادامه دارد ولي محاسبات اوليه نشان مي دهد خسارات تحميل شده بر اثر كلاهبرداري، سرقت هاي مالي، از دست رفتن داده ها و پاكسازي به ميليون ها دلار خواهد رسيد.
25 بهمن 1390 برچسب‌ها: گزارشات تحلیلی
وضعيت امنيت در سه ماهه اول 2010
IRCRE201004030
شركت امنيتي PandaLabs در گزارشي كه به تازگي منتشر كرده است، به بررسي وضعيت امنيتي جهان در سه ماهه اول سال 2010 پرداخته است. در زير خلاصه اي از اين گزارش را مطالعه مي كنيد. هيچكس شك ندارد كه اكنون بدافزارها بيش از هميشه در حال گردش در اينترنت هستند. چند سال پيش، زماني كه از گسترش نمايي خطرات اينترنتي صحبت مي شد، كاربران اين موضوع را باور نمي كردند. امروز اين مساله نه تنها يك واقعيت اثبات شده است، بلكه جرائم اينترنتي به سرعت در حال رشد هستند. يك مثال از اين روند، botnet جديد Mariposa است كه بدون شك يكي از مهمترين وقايع سه ماهه گذشته است. اكنون ما مي دانيم كه اعضاي گروهي موسوم به DDP كه پشت اين botnet قرار دارند، با استفاده از مجموعه اي از ابزارها (packer ها، obfuscator ها و غيره)، از شناسايي اعضاي اين botnet توسط آنتي ويروس ها جلوگيري كرده اند. بدافزارهاي دريافت شده در آزمايشگاه هاي Panda در طول اين سه ماهه مي توانند به صورت زير دسته بندي گردند:



تروجان ها همچنان اسلحه اصلي مجرمان اينترنتي به شمار مي روند، كه بيشترين درآمد را از طريق سرقت هويت يا سرقت جزئيات حساب هاي بانكي و يا كارت هاي اعتباري به دست مي آورند. تروجان­ها 61 درصد از كل بدافزارهاي توليد شده در سه ماهه اول سال جاري را تشكيل داده اند. دسته بعد ويروس ها هستند كه به تنهايي بيش از 15 درصد بدافزارها را تشكيل مي­دهند. جالب اينجاست كه اين دسته كه عملا از محدوده بدافزارها حذف شده بودند، دوباره بازگشته و اكنون از ساير انواع بدافزارها نيز عبور كرده اند. در اين سه ماهه ما شاهد خرابكاري هاي متعددي توسط ويروس هاي پيچيده اي مانند Sality و Virutas بوده ايم. البته ممكن است اين تحرك مجدد ويروس ها براي جلب توجه شركت هاي توليد كننده آنتي ويروس و دور كردن تمركز آنها از ساير خطرات باشد. تبليغ افزارها در رده سوم بدافزارهاي اين سه ماهه قرار گرفته اند كه حدود 14 درصد بدافزارها را تشكيل مي دهند. اين دسته شامل برنامه هاي خرابكاري مانند فريب افزارها يا آنتي ويروسهاي جعلي و تقلبي است، كه از نخستين ظهور خود در دو سال پيش، رشد كرده اند. علت وجود اين دسته از بدافزارها نيز مانند تروجا ها صرفا مالي است. پس از اين سه دسته، كرم ها با 8.7 درصد، و جاسوس افزارها با 0.29 درصد قرار دارند. به نظر مي آيد كه فروش جزئيات عادات اينترنتي كاربران ديگر چندان مورد علاقه سارقان اطلاعات نيست. دسته بعدي نيز كه در مجموع 1 درصد از كل بدافزارها را تشكيل ميدهند، شامل ريسك­هاي امنيتي، PUP (برنامه هايي كه به طور بالقوه ناخواسته هستند)، و ابزارهاي هك مي­باشد.

توزيع جهاني بدافزارها

در اين بخش نگاهي به چگونگي توزيع بدافزارها در سراسر جهان و وضعيت كشورهاي مختلف خواهيم داشت. نمودار زير داده هاي به دست آمده توسط ابزار آنلاين ActiveScan 2.0 را نمايش مي­دهد. اين سرويس به تمامي كاربران اجازه مي­دهد كه به صورت رايگان، سيستم­­هاي خود را به شكل آنلاين اسكن نمايند و آنها را در مورد آلودگي­هاي احتمالي بررسي كنند.
در اين نمودار شما مي­توانيد كشورهايي را كه داراي بيشترين درصد آلودگي هستند مشاهده نماييد:




اين نمودارها در مقايسه با آخرين سه ماهه سال 2009، كاهش درصد آلودگي در تمامي اين كشورها را نشان مي­دهد. بيشترين كاهش آلودگي در اسپانيا مشاهده شده است، كه درصد آلودگي در آن حدود 12 درصد كاهش داشته است. پس از آن مكزيك با 6 درصد كاهش، و ايالات متحده با 3 درصد كاهش آلودگي قرار گرفته اند. در ساير كشورها كه درصد آلودگي پايين­تر بوده است، كاهش اين آلودگي نيز در حدود 1 درصد بوده است.
در تمامي اين كشورها، تروجان­ها گوي سبقت را از ساير تهديدات امنيتي ربوده اند:




درصد تروجان ها در تمامي كشورها چيزي در حدود 50 درصد از كل بدافزارها را تشكيل مي دهد، كه اين موضوع، نشان دهنده علاقه مجرمان اينترنتي به اين دسته از بدافزارهاست كه نوعا براي سرقت اطلاعات مورد استفاده قرار مي گيرند. در اسپانيا و مكزيك، ويروس ها حدود 15 درصد از آلودگي ها را تشكيل مي­دهند. اين دسته در اسپانيا رده دوم بدافزارها را به خود اختصاص داده اند.

هرزنامه ها

هر روزه صندوق هاي ايميل كاربران به وسيله حجم زيادي از هرزنامه ها پر مي­شود. اين هرزنامه ها به شكل هاي مختلفي اعم از متن ساده، HTML، تصوير، فايل PDF و حتي MP3 هستند. كلاهبرداران اينترنتي به طور مداوم از ايده هاي جديد براي فريب دادن فيلترهاي ضد هرزنامه و عبور از اين فيلترها و در نهايت گول زدن كاربران استفاده مي كنند. در ماه فوريه، Twitter و YouTube به عنوان كانالهايي براي توزيع هرزنامه هدف مهاجمان اينترنتي قرار گرفتند. ابتدا پيغامي در Twitter منتشر شد كه شامل يك لينك بود. اين لينك به يك صفحه YouTube واقعي اشاره مي­كرد، و در واقع اين خود YouTube بود كه پيغام هرزنامه را به همراه داشت، و براي وب سايتي تبليغ مي كرد كه ظاهرا، روش هاي پولدار شدن آسان را ارائه مي­داد. هرزنامه هاي سنتي همچنان بسيار مورد استفاده اند، و آمارهاي جهاني نشان دهنده اين موضوع هستند كه روزانه هزاران ميليون پيغام هرزنامه در سراسر جهان ارسال مي­شود. اكنون اغلب هرزنامه ها از طريق botnet ها توليد مي­شوند. سيستم­هايي كه مورد سوء استفاده قرار گرفته و اين botnet ها را تشكيل مي دهند، در سراسر جهان پراكنده اند.
همانطور كه نمودار زير نشان مي دهد، منشاء 70 درصد از هرزنامه هاي ارسال شده در ماه­هاي ژانويه و فوريه، فقط 10 كشور بوده اند:




و نمودار زير نيز نشان مي دهد كه چه كشورهايي پشت اين هرزنامه ها قرار دارند:



برزيل مهمترين منشاء هرزنامه ها در جهان بوده و حدود 20 درصد از كل هرزنامه هاي سراسر دنيا از اين كشور ارسال مي­شود. پس از آن، كشورهاي هند (با 10 درصد)، ويتنام (با 8.76 درصد)، كره جنوبي (با 7.72 درصد)، و ايالات متحده (با 7.54 درصد) قرار گرفته اند. ساير كشورهاي دنيا نيز در مجموع كمتر از 4 درصد كل هرزنامه هاي جهان را توليد كرده اند.
25 بهمن 1390 برچسب‌ها: گزارشات تحلیلی
گزارش تحليل رفتار نوجوانان هكر
IRCRE201004031


چند درصد از نوجوانان به موضوع هك علاقمند هستند؟ چند درصد آنها واقعاً دست به هك مي زنند؟ اهداف مورد علاقه هكرهاي نوجوان چيست؟ آيا دختران بيشتر از پسران هك مي كنند؟ انگيزه آنها از دست زدن به چنين اعمالي چيست؟ شركت فناوري هاي Tufin كه يكي از شركت هاي پيشرو در زمينه راه حل هاي مديريت امنيت است، تحقيقي را در اين زمينه بر روي نوجوانان انجام داده است. تحقيق مذكور بر روي 1000 دانش آموز آمريكايي در نيويورك و 1000 دانش آموز بريتانيايي در لندن انجام شده است. نتايج تحقيقات مذكور شباهت ها و تفاوت هاي جالبي را در رفتار هك دو جمعيت مورد مطالعه نشان مي دهد. تحقيقات Tufin نشان مي دهد كه اين دو گروه از لحاظ شيوه هك و محل وقوع آن متفاوت از هم عمل مي كنند. در حالي كه تنها 27 درصد دانش آموزان انگليسي تمايل دارند از خانه خود دست به اعمال غيرقانوني هك بزنند، 51 درصد دانش آموزان نيويوركي مشكلي را در انجام هك از طريق رايانه خانگي نمي بينند. از طرف ديگر 22 درصد نوجوانان لندني از طريق كافي نت ها دست به هك مي زنند، در حالي كه تنها 6 درصد نوجوانان آمريكايي تمايل به هك از طريق كافي نت ها دارند. همچنين 21 درصد و 28 درصد نوجوانان انگليسي و آمريكايي از طريق مدارس دست به هك مي زنند كه حدود 20 درصد آنها در هر دو گروه اين كار را از طريق دستگاه يك نفر ديگر انجام مي دهند. جالب است كه 70 درصد دانش آموزان آمريكايي هكرها را مجرم مي دانند و عقيده دارند كه بايد توسط قانون مورد مجازات قرار گيرند، در حالي كه تنها 53 درصد همتايان آنها در لندن هكرها را مستحق مجازات دانسته اند. نكته جالب در نتيجه تحقيق اينست كه نه تنها پسران، بلكه دختران نيز تمايل زيادي براي هك كردن دارند. 29 درصد كساني كه در اين تحقيق تصديق كرده اند كه حداقل براي يك بار دست به هك زده اند، دختران بوده اند. همچنين 34 درصد افراد مذكور در سن 13 سالگي و 52 درصد بين 14-16 سالگي دست به هك زده اند.
در زير نتيجه تحقيقات مذكور به صورت خلاصه آورده شده است:
  • نوجوانان آمريكايي كمتر هك مي كنند و بيشتر قرباني هك مي شوند. در عين حال نوجوانان آمريكايي بسيار كمتر از همتايان انگليسي خود، در هك كردن و تشخيص هك موفقند.
  • فيس بوك هدف اول هكرهاي نوجوان در آمريكا (20%) و انگليس (27%) است.
  • نفوذ به ايميل دوستان هدف دوم هك در بين نوجوانان آمريكايي (6%) و نوجوانان بريتانيايي (18%) است.
  • 29 درصد هكرهاي نوجوان دختران هستند.
  • 80% نوجوانان آمريكايي تا قبل از سن 13 سالگي، براي هك تلاش كرده اند. اين ميزان در بين نوجوانان انگليسي 44% بوده است.
  • انگيزه اصلي هكرهاي نوجوان، سرگرمي (54%) و كنجكاوي (30%) است.
  • 14% از نوجواناني كه دست به هك مي زنند با هدف خرابكاري اين كار را انجام مي دهند و 7 % آنها مي توانند از اين طريق درآمد كسب كنند. همچنين 6% آنها، هك را به عنوان روشي براي پيدا كردن شغل مناسب در آينده مي دانند.
  • در انگلستان از هر چهار نوجوان يكي از آنها (26%) دست به هك مي زند و از هر سه نوجوان يكي از آنها (36%) هك مي شود.
  • در آمريكا، از هر شش نوجوان يكي از آنها (16%) دست به هك مي زند و از هر دو نوجوان يكي از آنها (50%) هك مي شود.
  • 18% دانش آموزان انگليسي و با كمال تعجب 30% دانش آموزان نيويوركي هك را امري آسان دانسته اند.
  • 51 % نوجوانان آمريكايي از خانه خود دست به هك مي زنند.
تحقيق مشابهي نيز قبل از اين توسط پاندا انجام شده كه به نتايج مشابهي دست يافته بود. در آن تحقيق 67 درصد نوجوانان پذيرفته بودند كه حداقل يك بار تلاش كرده اند دست به هك بزنند. اكثر آنها از روي كنجكاوي، سعي در نفوذ به حساب كاربري دوستان خود در فيس بوك، توئيتر و يا خدمات ايميل داشته اند.
مديرعامل فناوري هاي Tufin در اين زمينه مي گويد:
" فرقي نمي كند هك بر عليه دارايي هاي معنوي يك شركت، حساب بانكي يا صفحه فيس بوك انجام شود، وظيفه ما به عنوان افراد فعال در زمينه امنيت فناوري اطلاعات، جلوگيري از ادامه فعاليت هكرها است. ما بايد به كودكان و نوجوانان خود آموزش دهيم كه مهم نيست كه آنها در انجام هك تمايل به آزار كسي ندارند، بلكه دسترسي غير مجاز به دارايي هاي آنلاين افراد يا شركت ها نادرست و غير قانوني است. اين مسئله نه تنها به علت پيشگيري از هك در آينده بسيار مهم است، بلكه آموزش به كودكان در مورد امنيت آنلاين و آگاهي دادن به آنها در مورد تهديدهاي روزافزون، خود از اهميت بالايي برخوردار است." جهت آگاهي بيشتر از چگونگي حفظ امنيت در اينترنت به مقاله هاي 1387/10/4 چهارشنبه شش راه ساده حفاظت اطلاعات در رايانه هاي شخصي و ده راه سريع براي برخورد با بدترين كابوسهاي امنيتي مراجعه فرماييد.
25 بهمن 1390 برچسب‌ها: گزارشات تحلیلی
وضعيت اينترنت در سه ماهه چهارم 2009
IRCRE201005032
شركت Akamai Technologies هر سه ماه گزارشي را با عنوان «وضعيت اينترنت» منتشر مي­كند. در اين مطالعه، داده هايي از سراسر دنيا جمع آوري و تحليل شده و در نهايت گزارشي شامل اطلاعاتي آماري درباره ترافيك حمله ها، سرعت اينترنت و غيره منتشر مي شود. اين شركت گزارش خود را درباره سه ماهه چهارم سال 2009، در ماه آوريل 2010 منتشر كرد. در ادامه، خلاصه اي از مهمترين بخشهاي اين گزارش را مطالعه مي كنيد.

ترافيك حمله، كشورهاي مبدأ حملات

در طي سه ماهه چهارم 2009، Akamai شاهد حملاتي بود كه از 198 كشور جهان سرچشمه گرفته بودند. اين ميزان نسبت به سه ماهه سوم كه در آن 207 كشور منشأ حملات بوده اند، كاهش داشته است. در بين كشورهاي مذكور، روسيه با 13 درصد، همچنان در صدر كشورهاي مبدأ حمله قرار دارد. كشورهاي آمريكا و چين با اشغال مكان دوم و سوم، 20 درصد حملات مشاهده شده را به خود اختصاص داده و كشور برزيل كه در دوره قبلي در جايگاه دوم جدول قرار داشت، به مكان چهارم رانده شده است. با وجودي كه ترتيب كشورهاي اشغال كننده صدر جدول در هر سه ماهه جابجا مي شود، اما تركيب 10 كشور اول مبدأ حملات، در طي سه ماهه هاي متوالي يكسان مانده است. ميزان حمله هاي صورت گرفته از 10 كشور مذكور كمي بيش از دوره پيش گشته و به 63 درصد كل حمله هاي مشاهده شده رسيده است.



پورت هاي هدف حملات

در سه ماهه مورد بررسي، حملات بر روي 10000 پورت يكتا انجام شده اند كه از اين ميان 10 پورت اول، هدف 92 درصد حملات قرار داشته اند. تعداد پورت هاي يكتاي هدف حملات، افزايش چشمگيري نسبت به دوره سه ماهه قبلي داشته است كه در آن 3800 پورت يكتا مشاهده شده بود. البته بيش از نيمي از پورت هاي مذكور، تنها به صورت اتفاقي و براي يك بار مورد حمله قرار گرفته بودند كه نشان دهنده اين است كه هدف، جستجوي پورت ها براي دستيابي به يك پورت باز بوده اند و پورتها هدف يك حمله از پيش تعيين شده قرار نگرفته اند. تعداد پورت هايي كه بيش از يك بار مورد حمله قرار گرفته اند، 4800 پورت يكتا بوده است و تعداد پورت هايي كه بيش از 10 بار مورد حمله قرار گرفته اند، تنها 222 پورت يكتا بوده است. در صورتي كه حد مذكور را به 100 حمله برسانيم تنها 32 پورت يكتا باقي مي مانند. 10 پورت اول هدف حملات در سه ماهه هاي متوالي ثابت مانده اند و تنها ترتيب آنها در جدول جابجا شده است.





تعداد IP ها و ضريب نفوذ اينترنت

در سه ماهه چهارم 2009، حدود 465 ميليون IP يكتا از 234 كشور تشخيص داده شدند كه نسبت به مدت زمان مشابه سال قبل 16 درصد افزايش داشته است. اين ميزان در سال 2007، حدود 302 ميليون آدرس IP يكتا بوده است كه در سال 2009، 54 درصد افزايش داشته است.



براي هفدهمين دوره سه ماهه متوالي، كشورهاي آمريكا و چين 40 درصد آدرس هاي IP مشاهده شده را به خود اختصاص داده اند. همان طور كه در شكل زير نشان داده شده است، 10 كشور اول ليست، در دوره هاي متوالي سه ماهه يكسان باقي مانده اند كه 71 درصد از IP هاي مشاهده شده مربوط به كشورهاي مذكور است. در اين ليست تنها كشور برزيل نسبت به دوره قبل روند نزولي داشته است. از بين تمام كشورها نيز، تنها در 57 كشور تعداد IP هاي مشاهده شده در سه ماهه چهارم كمتر از سه ماهه سوم بوده است. در سه ماهه چهارم تعداد كشورهايي كه كمتر از يك ميليون آدرس IP داشته اند 186 و تعداد كشورهايي كه كمتر از 100 هزار آدرس IP داشته اند، 145 و تعداد كشورهاي با كمتر از 1000 آدرس IP، 32 عدد بوده است.



در صورتي كه تعداد IP هاي مشاهده شده در هر كشور را نسبت به جمعيت آن كشور بسنجيم، معياري به نام ضريب نفوذ اينترنت به دست مي آيد. شركت Akamai ضريب نفوذ اينترنت را در كشورهاي مختلف اندازه گيري كرده است. البته بايد در نظر داشت كه جمعيت كشورها دقيق نبوده و تخميني است و از طرف ديگر امكان دارد كه يك كاربر داراي چندين آدرس IP باشد (در خانه، در محل كار و بر روي لپ تاپ) و يا چندين كاربر از يك يا تعداد محدودي آدرس IP استفاده كنند (براي مثال از طريق فايروال و يا پراكسي به اينترنت وصل شوند) و لذا ضريب نفوذ يك معيار نسبي بوده و دقيق نيست. با مقايسه ضريب نفوذ سه ماهه سوم با ضريب نفوذ سه ماهه چهارم به اين نتيجه مي رسيم كه 8 كشور اول ليست ثابت باقي مانده اند و تنها مكان هاي آنها در جدول جابجا شده است. دو كشور جزائر Falkland و جزائر British Virgin از آخر ليست خارج شده و كشورهاي آلمان و استراليا با 3 تا 4 درصد رشد ضريب نفوذ اينترنت، جاي آنها را گرفته اند. كشور موناكو از مكان هفتم به مكان چهارم ارتقا پيدا كرده و آمريكا را به مكان ششم رانده است. در زير ليست 10 كشوري كه داراي بيشترين ضريب نفوذ بوده اند را مشاهده مي كنيد.



سرعت اينترنت

به طور كلي در سه ماهه چهارم 2009 سرعت اينترنت در سراسر جهان، كمي كاهش پيدا كرده و يك درصد نسبت به سه ماهه قبلي افت داشته است. متوسط سرعت اينترنت در سه ماهه چهارم 1.7 Mbps اندازه گيري شده است. از ليست ده كشوري كه داراي بالاترين سرعت اينترنت بوده اند، هشت كشور نسبت به دوره قبلي داراي سرعت اينترنت بالاتري بوده اند و هشت كشور هم در پايان سال 2009 نسبت به پايان سال 2008، شاهد افزايش در سرعت اينترنت بوده اند. كره جنوبي همچنان در صدر پر سرعت ترين كشورها قرار دارد و ميانگين سرعت اتصال به اينترنت در اين كشور 12 Mbps است كه 24 درصد نسبت به سه ماهه سوم كاهش داشته است و مشابه دوره سه ماهه اول و دوم 2009 است. در اين دوره 96 كشور داراي متوسط سرعت اينترنت زير 1 Mbps بوده اند كه اين ميزان نسبت به 103 كشور در دوره قبل كاهش داشته است. در زير جدول و نمودار كشورهايي را كه داراي بالاترين سرعت اينترنت بوده اند، مشاهده مي كنيد.



25 بهمن 1390 برچسب‌ها: گزارشات تحلیلی
گزارش امنيتي مايكروسافت از نيمه دوم 2009
IRCRE201005033
مايكروسافت در شماره هشتم گزارش امنيتي خود، به بررسي وضعيت امنيت در نيمه دوم سال 2009 پرداخته است. اين گزارش بر اساس داده هاي به دست آمده از كاربران اين شركت توسط ابزارهاي امنيتي مايكروسافت تنظيم شده است. در زير خلاصه اي از نكات مهم اين گزارش را مطالعه مي كنيد.

توزيع جغرافيايي بدافزارها

در زير فهرست 15 كشوري را كه در نيمه دوم سال 2009 بيشترين بدافزارها در آنها توسط محصولات ضد بدافزاري مايكروسافت پاك شده است مشاهده مي كنيد:



دو كشور چين و برزيل در اين شش ماهه بيشترين رشد را در كامپيوترهاي پاكسازي شده داشته اند كه ميزان آن نسبت به نيمه اول 2009، به ترتيب 19.1 و 15.8 درصد افزايش داشته است. البته عمده اين افزايش به دليل عرضه Microsoft Security Essentials در سپتامبر 2009 است. برخي كشورها نيز با كاهش قابل ملاحظه اي در نرخ آلودگي روبرو بوده اند. بيشترين كاهش در كامپيوترهاي آلوده مربوط به تركيه است كه 26.2 درصد بوده است. در تايوان نيز درصد كاهش سيستم­هاي آلوده برابر با 19.6 و در ايتاليا نيز برابر با 20 درصد بوده است.



نمودار بالا نشان دهنده درصد انواع تهديدات در سراسر جهان و نيز هشت كشور جهان به تفكيك است. اين هشت كشور بيشترين كامپيوترهاي آلوده را در اين شش ماهه به خود اختصاص داده اند. به طور كلي تروجان ها در اغلب نقاط جهان بيشترين تهديدات را تشكيل مي دهند. در مقابل، ابزارهاي جاسوسي كمترين درصد تهديدات را به خود اختصاص داده اند.

آلودگي انواع سيستم عامل



در نمودار فوق درصد آلودگي را به تفكيك انواع سيستم عامل ويندوز مشاهده مي­نمائيد. همانطور كه انتظار مي رود، درصد آلودگي در مورد سيستم عامل ها و سرويس پك ه ي جديدتر پايين تر است. ويندوز 7 و ويندوز Vista SP2 داراي كمترين درصد آلودگي در سراسر جهان بوده اند. در مورد هر سيستم عامل نيز، سرويس پك هاي جديد، درصد آلودگي كمتري نسبت به سرويس پك هاي قبلي داشته اند.

آلودگي به تفكيك بدافزارها

جدول زير ده بدافزار برتر در سراسر جهان را نمايش مي دهد:



در جدول زير نيز حجم انواع بدافزار پاك شده از روي سيستم­هاي مشتريان مايكروسافت در نيمه دوم سال 2009 با نيمه اول اين سال مقايسه شده است:



همانطور كه مشاهده مي­شود، در مجموع بيش از 126 ميليون نمونه خرابكار در نيمه دوم 2009 توسط مايكروسافت شناسايي شده است. حجم انواع بدافزارها در نيمه دوم سال نسبت به نيمه اول رشد داشته است كه در اين ميان، ابزارهاي سرقت كلمه عبور استثنا هستند. اين مساله به اين دليل است كه ابزار سرقت كلمه عبور Win32/Lolyda، از 5.7 ميليلون نمونه در نيمه اول سال، به كمتر از 100000 نمونه در نيمه دوم كاهش يافته است. علت افزايش ابزارهاي جاسوسي نيز بيشتر به ابزار Win32/ShopAtHome مرتبط مي شود كه در نيمه دوم 5 برابر نيمه اول سال بوده است. تعداد زياد نمونه هاي ويروس به اين واقعيت برمي گردد كه ويروس ها مي توانند فايل هاي زيادي را آلوده كنند كه هر فايل، يك نمونه جداگانه محسوب مي شود. به همين دليل، اين تعداد نبايد با تعداد واقعي نمونه هاي ويروس يكي در نظر گرفته شود.

نرم افزارهاي امنيتي جعلي

نرم افزارهاي امنيتي جعلي نرم افزارهايي هستند كه هشدارهاي اشتباه يا گمراه كننده در مورد آلودگي سيستم و وجود آسيب پذيري به كاربر مي­دهند و به وي پيشنهاد مي­دهند كه در قبال پرداخت مبلغي، آن آلودگي يا آسيب پذيري را برطرف نمايد. اين نرم افزارها به يكي از روش­هاي مورد علاقه مهاجمان براي كسب درآمد تبديل شده اند. محصولات امنيتي مايكروسافت در نيمه دوم 2009 حدود 7.8 ميليون كامپيوتر را از اين نرم افزارها پاك كرده اند. اين ميزان نسبت به نيمه اول اين سال، 46.5 درصد افزايش داشته است.

تهديدات ايميلي



در نمودار بالا، درصد انواع پيام­هاي ايميلي را كه توسط فيلترهاي محتواي مايكروسافت مسدود شده اند در نيمه دوم 2008، نيمه اول 2009، و نيمه دوم 2009 مشاهده مي­كنيد. در ميان انواع تهديدات ايميلي، ايميل­هاي معروف به «فريب 419» رشد قابل توجهي داشته اند. در فريب 419، فرد تبهكار وانمود مي­كند كه از دوستان فرد قرباني است كه به پول نياز دارد و از وي مي­خواهد كه پول مورد نظر را به وي برساند. ساير تهديدات ايميلي در اين سه بازه زماني تقريبا ثابت مانده اند. پنج كشور ايالات متحده آمريكا با 27%، كره با 6.9%، چين با 6.1%، برزيل با 5.8%، و روسيه با 2.9%، بيشترين توليد هرزنامه را در نيمه دوم 2009 در جهان داشته اند. botnet ها مسئول اصلي انتشار هرزنامه ها در سراسر دنيا هستند.
25 بهمن 1390 برچسب‌ها: گزارشات تحلیلی
وضعيت هرزنامه ها در سه ماهه اول 2010
IRCRE201005034
شركت امنيتي Kaspersky اقدام به انتشار گزارشي در مورد وضعيت هرزنامه ها در سراسر جهان در سه ماهه اول 2010 نموده است. در ادامه خلاصه اي از اين گزارش را مطالعه مي­كنيد.

حجم هرزنامه در ترافيك ايميل



در سه ماهه اول 2010، درصد هرزنامه ها در ترافيك ايميلي به طور ميانگين 85.2 درصد بوده است. در نيمه اول مارس شاهد افت قابل ملاحظه اي در حجم هرزنامه هاي ارسالي بوده ايم. اين مساله ممكن است به دليل افشاي 277 دامنه متعلق به botnet معروفي به نام Waledoc در انتهاي ماه فوريه باشد كه مسووليت ارسال بسياري از هرزنامه ها را بر عهده داشت. مدتي است كه حجم هرزنامه ها نسبت به ترافيك ايميل تقريبا ثابت باقي مانده و به طور ميانگين بين 84 تا 87 درصد است. در اين سه ماهه حداكثر حجم هرزنامه هاي ثبت شده متعلق به 21 فوريه با 90.8 درصد و حداقل آن متعلق به 5 مارس با 78 درصد است.

منابع هرزنامه به تفكيك ناحيه



آسيا همچنان با توليد 31.7 درصد كل هرزنامه ها، بزرگترين توليد كننده هرزنامه در سراسر دنياست. اروپا نيز با فاصله نه چندان زيادي با توليد 30.6 درصد از هرزنامه ها در مقام دوم قرار گرفته است. اگر روسيه را نيز به همراه اروپا در نظر بگيريم، اين مقدار به 36.6 درصد خواهد رسيد. حجم هرزنامه هاي منتشر شده از آمريكاي جنوبي در اين سه ماهه كاهش داشته است. در نيمه اول 2009 اين ميزان به 15 درصد رسيده و اين ناحيه در مقام دوم توليد كنندگان هرزنامه قرار گرفته بود. در حال حاضر آمريكاي جنوبي 10.5 درصد از كل هرزنامه هاي جهان را توليد كرده و در مقام پنجم قرار گرفته است كه اين ميزان، نزديك به سال 2008 (11 درصد) است. در همين زمان ميزان هرزنامه هاي توليد شده توسط اروپاي شرقي افزايش يافته و به 16.4 درصد رسيده است.

منابع هرزنامه به تفكيك كشور



نسبت به سال گذشته، تغيير چنداني در رده بندي كشورهاي توليد كننده هرزنامه رخ نداده است. ايالات متحده همچنان در صدر كشورهاي توليد كننده هرزنامه قرار دارد، و هند و روسيه در رده هاي بعدي قرار گرفته اند. اين فهرست با كشورهايي از آسياي شرقي و اروپاي شرقي دنبال مي­شود. در اين ميان وضعيت برزيل بهبود قابل توجهي داشته است. اين كشور از مقام سوم توليد كنندگان هرزنامه به مقام ششم رسيده است. تركيه و چين همچنان در ميان 10 كشور اول توليد كننده هرزنامه باقي مانده اند. اوكراين و آلمان نيز كه در سال 2009 از جمع اين ده كشور خارج شده بودند، دوباره به اين فهرست بازگشته اند.

اندازه هرزنامه ها



هرزنامه نويسان معمولا ترجيح مي دهند كه ايميل هايي با حجم كم (حتي كمتر از 1 كيلو بايت) ارسال نمايند. چنين ايميل هايي معمولا فقط حاوي لينك هستند، به همين دليل فيلترهايي كه مبتني بر محتواي ايميل كار مي كنند، قادر به فيلتر كردن اين ايميل ها نيستند. از طرفي اين هرزنامه ها به منابع كمتري براي انتشار نياز دارند. در اين سه ماهه، ايميل­هايي با اندازه بيش از 50 كيلو بايت، صرفا 2.9 درصد از كل هرزنامه ها را تشكيل داده اند.

انواع پيوست هاي خرابكار در هرزنامه ها

در اين سه ماهه، پيوست هاي HTML بخش عمده اين هرزنامه ها را تشكيل داده اند. با فاصله كمي بعد از اين دسته، هرزنامه هايي قرار دارند كه علاوه بر پيوست HTML، يك لينك نيز به همراه دارند. هرزنامه هايي با پيوست jpeg، gif، png، و bmp كه همگي پيوست هاي تصويري هستند، در رده هاي بعدي قرار گرفته اند. مجموعا پيوست هاي گرافيكي بطور ميانگين 11.7 درصد از كل هرزنامه ها را تشكيل مي دهند.

سرقت هويت

در سه ماهه اول 2010، لينك به سايت هاي سرقت هويت به طور ميانگين در 0.57 درصد از كل ترافيك ايميلي ديده شد. در ماه مارس اين ميزان به شدت كاهش يافته و به حدود 0.03 درصد از كل ايميل ها رسيد.

هدف مورد علاقه سارقان هويت، PayPal بوده است. سايت هاي Facebook و Google در رده هاي چهارم و پنجم اهداف مورد علاقه سارقان هويت قرار گرفته اند.

انتقال دامنه از .cn به .ru

سال گذشته هرزنامه نويسان از دامنه هاي چيني براي فعاليت هاي خود استفاده مي­كردند و هرزنامه هاي زيادي را كه حاوي لينك­هايي به اين سايت ها بودند منتشر مي كردند. در انتهاي سال 2009، دولت چين براي ثبت كردن دامنه در چين اقدام به سختگيري كرد. به همين دليل هرزنامه نويسان به سراغ دامنه هاي .ru (دامنه هاي متعلق به روسيه) رفتند.

نتيجه گيري

آغاز سال 2010 براي صنعت هرزنامه چندان فعال نبود. حجم هرزنامه ها در ترافيك ايميل رشد نداشته و در اين سه ماهه، از سال گذشته بيشتر نشد. شايد بتوان گفت هرزنامه ها به مرز اشباع رسيده اند. از آغاز سال 2000، هر ساله سهم هرزنامه ها از ترافيك ايميل دو برابر مي­شد. 15 درصد در سال 2001، 30 تا 40 درصد در سال 2002، 50 درصد تا اواسط 2003، و 70 تا 80 درصد تا آخر سال 2003، سهم هرزنامه ها از ترافيك ايميل بود. از سال 2004 تا 2009 اين ميزان از 75 درصد به 85 درصد رسيد. اكنون هرزنامه ها صرفا از ناحيه اي به ناحيه ديگر منتقل مي شوند، اما حجم كلي آنها تقريبا ثابت باقي مي­ماند. هرزنامه نويسان تكنولوژي هاي جديد را به خدمت نمي گيرند.
25 بهمن 1390 برچسب‌ها: گزارشات تحلیلی
مسائل امنيتي مطرح در سال 2010
IRCRE201006035
در ژانويه 2010، موسسه Fortinet گزارشي در مورد پيش بيني مسائل امنيتي برتر سال 2010 منتشر كرد. اكنون كه نيمي از اين سال گذشته است، نگاهي به اين پيش بيني ها داشته و آنها را با آنچه كه اتفاق افتاده است مقايسه خواهيم كرد.
  1. امنيت ماشين هاي مجازي
    با پيشرفت روز افزون مجازي سازي، اين مساله بسيار مهم است كه با هر ماشين مجازي مانند يك شيء فيزيكي برخورد كنيم. براي مثال، يك كرم مي تواند به سادگي مي تواند از يك ماشين مجازي به ماشين مجازي ديگري با اعتبارات دسترسي كاملا متفاوت حركت كند و صدمات بيشتري نيز ايجاد نمايد. در سال جاري شاهد برخي پيشرفت هاي جالبي در اين زمينه بوده ايم، از جمله يك مشكل امنيتي Flash كه فقط در محيط هاي مجازي اتفاق مي افتد.
  2. تدوين سياست امنيتي مستقل از ابزارهاي ذخيره سازي اطلاعات
    امروزه، اطلاعات مي توانند در هرجايي ذخيره شوند: دوربين هاي ديجيتالي، پرينترها، فريم هاي تصويري، درايوهاي USB، لپ تاپ ها و نوت بوك ها، و ساير وسايل. تعداد ابزارهاي ذخيره كننده اطلاعات روز به روز افزايش مي يابد، در حالي كه اطلاعات حساس نسبتا همان اطلاعات قبلي هستند. به همين دليل تشكيلات اقتصادي و مديران احتياج دارند در مورد سياست ها و نيز يك چارچوب امنيتي فكر كنند كه صرفنظر از محل نگهداري اطلاعات، اين اطلاعات را در زمان ورود و خروج به شبكه كنترل كنند.
  3. حفظ امنيت داده ها پيش از انتشار
    اطلاعات از طريق مجاري عمومي در جريان هستند. براي مثال، Facebook اكنون plugin هاي اجتماعي را معرفي كرده است. اطلاعاتي كه در حال حاضر از يك منبع در دسترس قرار دارند، با ساير پلتفورم هاي عمومي مجتمع شده و به اين ترتيب، اطلاعات حساس در فضاي سايبر منتشر مي شوند. به محض اينكه اطلاعات را توسط صفحه كليد خود وارد فضاي سايبر مي كنيد كنترل آن بسيار مشكل مي شود. بنابراين بسيار مهم است كه اطلاعات خود را و در نتيجه شبكه داده هاي خود را قبل از وارد كردن آن به فضاي مجازي، امن كنيد.
  4. تجميع سرويس هاي امنيتي شبكه
    امروزه افزودن سرويس هاي شبكه به دستگاه هاي امنيتي، اساس مديريت واحد تهديدات به شمار مي رود. براي مثال ابزارهايي وجود دارند كه خدمات كنترل امنيت برنامه هاي كاربردي و پيشگيري از نفوذ را به طور همزمان بر روي يك دستگاه ارائه مي دهند. در حاليكه اين دو، داراي اهداف متفاوتي هستند، تكنولوژي زيربنائي بررسي بسته ها منجر به توسعه در هر دو زمينه خواهد شد. با افزايش سطح حملات، نيازمند توسعه تكنولوژي امنيتي مناسب براي مقابله با اين حملات هستيم. تجميع اين تكنولوژي ها و ساده سازي مديريت، دو عنصر حياتي در جهت كاهش تهديدات از ديدگاه مديران است.
  5. CaaS در برابر SaaS
    مجرمان اينترنتي با ايده گرفتن از مدل تجاري «امنيت در قالب سرويس (SaaS)»، روش «جرم در قالب سرويس (CaaS)» را ابداع كرده اند. در سال 2010 سرويس هاي مجرمانه به خصوص از طريق استفاده از botnet هاي ساده سازي شده، به راحتي در دسترس بوده اند. اين botnet ها آمار خود را براي كنترل كيفيت به صاحبان خود گزارش مي كنند، به همين دليل اپراتورهايي كه اين سرويس ها را عرضه مي كنند، مي توانند به مشتريان خود اطلاع دهند كه چه زماني و كجا نرم افزار خرابكار مورد نظر آنها نصب شده است. همچنين در اين سال شاهد بوده ايم كه botnet معروف منتشر كننده هرزنامه يعني Cutwail، با شماره هاي شناسايي متفاوتي منتشر شده است. ربات هاي اجاره اي عضو botnet، بر اساس شماره هاي شناسايي مشتريان، هرزنامه هاي مورد نظر آنها را منتشر مي كنند.
  6. بدافزارهاي گروگان گير
    افزايش بدافزارهايي كه قربانيان خود را وادار به پرداخت پول مي كنند يك واقعيت است. انواع مختلفي از بدافزارهاي گروگان گير در سال 2010 ظهور كرده اند. از جمله اين بدافزارها ميتوان به قفلهاي مبتني بر SMS و يا بدافزارهايي كه برنامه هاي كاربر را تا زمان پرداخت پول از كار مي اندازند اشاره كرد. بدافزارهاي گروگان گير در حال رساندن خود به فهرست ده تهديد برتر امنيتي هستند. علاوه بر افزايش تعداد و تنوع اين بدافزارها، استراتژي هاي حمله و تكنولوژي هاي مورد استفاده در اين حملات نيز روز به روز پيچيده تر مي شوند. تركيب اين بدافزارها با الگوريتم هاي رمزنگاري، بدافزارهاي گروگان گير را به بيماري مهلك فضاي سايبر در آينده تبديل خواهد كرد.
  7. پول شويي اينترنتي
    كاربران بي دقت به ملعبه دست مجرمان اينترنتي براي پول شويي تبديل مي شوند. تا كنون نمونه هاي زيادي از اين دست مشاهده شده است. حملات مهندسي اجتماعي كاربران را فريب مي دهند تا بدون اطلاع، كارهاي مجرمانه و خرابكارانه اي را انجام دهند كه در ظاهر قانوني و بي اشكال هستند. بيشتر موارد مشاهده شده، شامل حساب هاي بانكي است كه براي جابجايي پول در ازاي دريافت مبلغي مورد استفاده قرار مي گيرند.
  8. تهديدات بر روي سيستم هاي موبايل
    ما شاهد افزايش فعاليت تهديدات موبايلي بوده ايم. سيستم عامل Symbianهنوز يك پلتفورم حمله مورد علاقه مجرمان است. ويروسهايي مانند Yxes هر روز پيچيده تر ميشوند و ويروسهاي ديگري مانند Enoriv نيز شروع به فعاليت مي­كنند. سيستم عامل هاي ديگري مانند Android نيز اين قابليت را دارا هستند كه در زمان كوتاهي ميزبان چنين حملاتي باشند.
  9. Botnet ها
    در سال جاري چندين botnet جديد كه به ميدان آمدند، استفاده از پروتكل هاي معمولي مانند HTTP را براي انجام كارهاي كثيف خود آسانتر كردند. Botnet ها كه پيش از اين نيز وجود داشتند، قدرتمندانه به حيات خود ادامه دادند و پروتكلهاي خود را براي پنهان كردن فعاليت هاي خود گسترش دادند. در اين سال Webwail كشف شد كه يك موتور اسكريپتينگ مبتني بر وب است كه مي تواند حسابهايي را در سراسر وب (مانند ياهو، Hotmail، GMail، و غيره) ايجاد نمايد و سپس از طريق آنها به انتشار هرزنامه بپردازد. براي انجام اين كار، الگوريتم هاي CAPTCHA به طور پويا شكسته مي شوند، به همين دليل اعضاي botnet مانند يك انسان واقعي عمل ميكنند. اگرچه تا كنون صرفا ايجاد و انتشار هرزنامه ها را در Webwail كشف كرده ايم، اما به نظر ميرسد كه اين botnet دامنه فعاليت گسترده تري داشته باشد.
25 بهمن 1390 برچسب‌ها: گزارشات تحلیلی
Top 10 in 2011: An 'explosive' year in security- 2
IRCRE201201088
As we turn the page to 2012, it makes sense to sit back and take a look at what happened during the past twelve months in the IT Security world. If we were to summarize the year in one word, I think it would probably be “explosive.” The multitude of incidents, stories, facts, new trends and intriguing actors is so big that it makes it very hard to crack into top 10 of security stories of 2011. What I was aiming for with this list is to remember the stories that also indicate major trends or the emergence of major actors on the security scene. By looking at these stories, we can get an idea of what will happen in 2012.
6. The Sony PlayStation Network hack

On April 19th, 2011, Sony learned that its PlayStation Network (PSN) was hacked. At first, the company was reluctant to explain what happened and claimed the service, which was suspended on April 20th, would be back in a few days. It wasn’t until April 26th that the company acknowledged personal information was stolen, which potentially included credit card numbers. Three days later, reports appeared which seemed to indicate that 2.2 million credit card numbers were being offered for sales on hacker forums. By May 1st, the PSN was still unavailable, which left many users not just with their credit cards stolen, but frustrated for not being able to play the games they already paid for. Unfortunately for Sony, the story was not over because in October 2011, the PSN was again making the headlines with 93,000 compromised accounts that had to be locked down by Sony to prevent further misusage.

The Sony PSN hack was a major story for 2011 because it points out several main things – first of all, in the cloud era, Personally Identifiable Information is nicely available in one place, over fast internet links, ready to be stolen in the case of any misconfigurations or security issues. 77 million usernames and 2.2 million credit cards can be considered normal “booty” in the cloud era.
7. Fighting cybercrime and botnet takedowns

If the attackers from the PSN incident are still unidentified, 2011 was definitively a bad year for many cybercriminals that got caught and arrested by law enforcement authorities around the world. The ZeuS gang arrests, the DNSChanger gang takedown and the Rustock, Coreflood and Kelihos/Hilux botnet takedowns were just a few examples. These indicate an emerging trend, which is of course “attribution.” Bringing down one cyber-criminal gang goes a long way to slow criminal activity around the world and sending a message to the remaining gangs that this is no longer a risk-free job. One particular case I’d like to mention is the Kelihos takedown, which was performed in cooperation between Kaspersky Lab and Microsoft’s Digital Crimes Unit. As part of this effort, Kaspersky Lab initiated a sinkhole operation for the botnet, counting many tens of thousands of infected users per day. Here’s where the big debate starts: knowing the bot update process, Kaspersky Lab or a law enforcement agency could effectively push a program to all the infected users, notifying them of this fact, or, even cleaning their machines automagically. In a poll ran on the Securelist website, a whopping 83% of the users voted that Kaspersky should “Push a cleanup tool that removes the infections,” despite this being illegal in most countries. For obvious reasons, we haven’t done so, but it outlines the vast limitations of today’s legal system when it comes to fighting cyber-crime in an effective manner.

8. The rise of Android malware

In August 2010, the first Trojan for the Android platform appeared as Trojan-SMS.AndroidOS.FakePlayer.a, which masqueraded as a media player app. In less than one year, Android malware quickly exploded and became the most popular mobile malware category. This trend became obvious in Q3, when we received over 40% of all the mobile malware we saw in 2011. Finally, we hit critical mass in November 2011, when we received over 1000 malicious samples for Android, which is almost as much as all the mobile malware we have received in the past 6 years! The huge popularity of Android malware can be attributed to several things – most notably the wild growth of Android itself. Secondly, the documentation available on the Android platform makes the creation of malware for Android quite trivial. Finally, there are many who blame the Google Market for its weak screening process, which makes it easy for cybercriminals to upload malicious programs. While there are only two known malicious programs for iPhone, we are now approaching 2000 Android Trojans in our collection.

9. The CarrierIQ incident

CarrierIQ is a small, privately owned company founded in 2005 and operating out of Mountain View, Calif. According to their web site, the CarrierIQ software is deployed on over 140 million devices around the world. Although the declared purpose of CarrierIQ is to collect “diagnostic” information from the mobile terminals, Trevor Eckhart, a security researcher, demonstrated that the extent of information CarrierIQ is collect goes beyond the simple “diagnostic” purpose and includes things such as keylogging and monitoring URLs opened on the mobile device. CarrierIQ is built in a typical Command and Control architecture – the admins can set up the kind of information which is collected from the terminals and which information is being sent “home.”

While it is obvious that CarrierIQ does collect a lot of information from your mobile phone, it doesn’t necessarily mean it is evil, or so we are advised to think by its creators or companies such as HTC, which support its usage. Being a U.S.-based company, this means that CarrierIQ could be forced to disclose much of the collected information to US law enforcement, if presented with a warrant. This legal loophole could effectively turn it into a government spy and monitoring tool. If this is indeed the case, or not, many users have decided that it’s best to get rid of CarrierIQ from their phones. Unfortunately, this isn’t a very simple process and is different for iPhones, Android phones and BlackBerry terminals. In the case of Android, you may have to root your phone in order to get rid of it. Alternatively, many users have decided to flash a custom Android firmware instead, such as Cyanogenmod. The CarrierIQ incident shows that we are vastly unaware of what exactly is running on our mobile devices, or the level of control which the mobile operator has on your hardware.
10. MacOS malware
While I do realize that I’ll put myself into the line of fire by even just mentioning Mac OS X malware, I think it’s an important story from 2011 which shouldn’t be overlooked. Products called MacDefender, MacSecurity, MacProtector or MacGuard, which are actually Rogue AV products for Mac OS appeared in May 2011 and quickly became popular. Distributed through black-hat SEO techniques in Google searches, these programs rely on social engineering to get the user to download, install and then pay for the full version. Most of the users who decide to pay $40 for the supposedly “full” version, later discover that they actually paid $140, and sometimes, they paid multiple times.

The expansion of PC threats (Rogue AV programs being one of the most popular malware categories for PCs) to Macs is one of the important trends of 2011. In addition to Mac OS Rogue AVs, the DNSChanger family of Trojans deserves a special mention as well. First identified around 2007, these small Trojans perform a very simple and straightforward system compromise, by changing the DNS settings to point to the criminals’ private DNS servers, before uninstalling themselves. Hence, you may get infected with a DNSChanger, have your DNS settings changed and you may be happily thinking you’re fine because there’s no malware on your computer, while criminals abuse the DNS communication to make you visit fake websites and perform click fraud and man-in-the-middle attacks. Luckily, in November 2011, the FBI arrested six Estonian nationals as part of an operation called “Ghost Click,” as the gang behind the DNSChanger malware.

According to FBI data, during the past four years, they infected over 4 million computers in more than 100 countries and generated approximately $14 million in illegal profit. These incidents show that malware for Mac OS is as real as the malware for PCs, and that even modern security practices fail against carefully elaborated social engineering techniques. It is without doubt that we will see both of them being abused in the future.
SUMMARY

To summarize, these 10 stories are probably just a tiny speck in the galaxy of 2011 security incidents. The reason I selected them is because they point to the major actors of 2011 which will no doubt continue to play a major role in the cyber-security blockbuster which is around the corner. These are the hacktivist groups, the security companies, the Advanced Persistent Threat in the form of superpowers fighting each other through cybere-spionage, the major software and gaming developers such as Adobe, Microsoft, Oracle or Sony, Law Enforcement Agencies and traditional cybercriminals, Google, via the Android operating system and Apple, thanks to its Mac OS X platform. The relations between these can be complicated, full of drama, contain many super-secret details and be as mysterious and darkly dreaming as Showtime’s Dexter. One thing is for sure – these same stars will be playing in all the major 2012 security blockbuster movies.

Source: ZDNet website

25 بهمن 1390 برچسب‌ها: گزارشات تحلیلی
Top 10 in 2011: An 'explosive' year in security
IRCRE201201087

As we turn the page to 2012, it makes sense to sit back and take a look at what happened during the past twelve months in the IT Security world. If we were to summarize the year in one word, I think it would probably be “explosive.” The multitude of incidents, stories, facts, new trends and intriguing actors is so big that it makes it very hard to crack into top 10 of security stories of 2011. What I was aiming for with this list is to remember the stories that also indicate major trends or the emergence of major actors on the security scene. By looking at these stories, we can get an idea of what will happen in 2012.

1. The rise of Hacktivism

It’s difficult to imagine someone reading this list who has not yet heard of Anonymous, LulzSec or TeaMp0isoN. Throughout 2011, these groups, together with others were actively involved in various operations against law enforcement agencies, banks, governments, security companies or just major software vendors. Sometimes working together, in other cases, working against each other, these groups emerged as one of the main actors of 2011, through incidents such as security breaches of networks belonging to the United Nations, security intelligence firm Stratfor, FBI contractor IRC Federal, US Defense contractor ManTech or the CIA website. Interestingly, some of these incidents, such as the Stratfor hack revealed major security problems such as the storing of CVV numbers in unencrypted format, or extremely weak passwords used by the administrator.

Overall, the rise of hacktivism was one of the major trends of 2011 and no doubt, it will continue in 2012 with similar incidents.
2. The HBGary Federal hack

Although related to the first item on this list, I’d like to point this out as a separate story. In January 2011, hackers from the ‘Anonymous’ hacker collective broke into HBGary Federal’s webserver “hbgaryfederal.com” through an SQL injection attack. They were able to extract several MD5 hashes for passwords belonging to the company CEO, Aaron Barr and COO, Ted Vera. Unfortunately, both used passwords were very simple: six lowercase letters and two numbers. These passwords allowed the attackers to get access to the company’s research documents and tens of thousands of mails stored on Google Apps.

I believe this story is relevant because it shows an interesting situation – the usage of weak passwords together with old software systems and cloud application can turn into a security nightmare. If the CEO and COO would have been using strong passwords, maybe none of this would have happened. Or, if they would have had multi-factor authentication enabled on Google Apps, the attackers wouldn’t have been able to access the superuser account and copy all the company e-mails. It’s important to point out that even if better security measures were into place, we can’t rule out the possibility that the persistent hackers wouldn’t have found another way in. Persistence and determination, together with time, gives the attackers the upper hand.
3. The Advanced Persistent Threat

Although many security experts despise this term, it has made its way into the media and rocketed to the top with incidents such as the RSA security breach or imposingly sounding incidents such as operation “Night Dragon,” “Lurid,” or “Shady Rat.” Interestingly, many of these operations were not too advanced at all. On the other hand, there were many cases in which zero-day exploits were used, such as the RSA breach. In this case, the attackers took advantage of CVE-2011-0609 – a vulnerability in Adobe Flash Player - to run malicious code on the target machine. Another interesting zero-day is CVE-2011-2462, a vulnerability in Adobe Reader, which was used in targeted attacks against U.S. Defense contractor ManTech. Several things stand out in these attacks – many cases involved zero-day vulnerabilities in Adobe software such as Flash Player or Adobe Reader.

Additionally, many of these attacks were directed at U.S. targets, notably companies working with the U.S. military or government. From this point of view, the “Lurid” attack was interesting because it mainly targeted countries in the Eastern part of Europe, such as Russia or the CIS. These attacks confirm the emergence of powerful nation-state actors and the establishment of cyber-espionage as common practice.

Additionally, many of these attacks seem to be connected and have major global ramifications. For instance, the RSA breach was notable because the attackers stole the database of SecurID tokens, which was later used in another high-profile attack.

4. The Comodo and DigiNotar incidents

On March 15th 2011, one of the affiliates of Comodo, a company known for its security software and SSL digital certificates, was hacked. The attacker quickly used the existing infrastructure to generate nine fake digital certificates, for web sites such as mail.google.com, login.yahoo.com, addons.mozilla.com or login.skype.com. During the incident analysis, Comodo was able to identify the attacker as operating from the IP address 212.95.136.18, in Tehran, Iran. If in the Comodo incident, only nine certificates were created, the DigiNotar breach was a lot bigger. On 17th June 2011, the hackers began poking at the DigiNotar servers and during the next five days, managed to get access to the infrastructure and generate over 300 fraudulent certificates. The hacker left a message in the form of a digital certificate containing a message in the Persian language, “Great hacker, I will crack all encryption, I break your head!” To make the link with Iran more solid, days later, the fake certificates were used in a man-in-the-middle attack against over 100,000 GMail users from Iran.

The attacks against Comodo and DigiNotar are an indication of two emerging trends: first of all, we already have the loss of trust in the certificate authorities (CA), but in future, CA compromises may become even more popular. Additionally, more digitally signed malware will appear.
5. Duqu

In June 2010, researcher Sergey Ulasen from the Belarussian company VirusBlokada discovered a most intriguing piece of malware which appeared to use stolen certificates to sign its drivers, together with a zero-day exploit which used .LNK files for replication in a typical Autorun fashion. This malware became world famous under the name “Stuxnet,” a computer worm containing a very special payload, directly aimed at Iran’s nuclear program.

Duqu Trojan created by the same people as Stuxnet, Duqu was discovered in August 2011 by the Hungarian research lab CrySyS. Originally, it wasn’t known how one gets infected with Duqu – later, malicious Microsoft Word documents exploiting the vulnerability known as CVE-2011-3402 were discovered as a means of entry for Duqu. Compared to Stuxnet, the purpose of Duqu is quite different; this Trojan is actually a sophisticated attack toolkit which can be used to breach a system and then systematically siphon information out of it. New modules can be uploaded and run on the fly, without a filesystem footprint. The highly modular architecture, together with the small number of victims around the world made Duqu so hard to detect for years – the first trace of Duqu related activity we were able to find actually dates back to August 2007. In all the incidents we have analyzed, the attackers used an infrastructure of hacked servers to move the data, sometimes hundreds of megabytes, out of the victim’s PCs. Duqu and Stuxnet represent the state of the art in cyberwarfare and hint that we are entering an era of cold cyberwar, where superpowers are fighting each other unconstrained by the limitations of real world war.

source: ZDNet website

25 بهمن 1390 برچسب‌ها: گزارشات تحلیلی
صفحات: «« « ... 46 47 48 49 50 »